118. Posiedzenie plenarne EROD, 15-16.04.2026 r.

EROD zapewnia przejrzystość w kwestii przetwarzania danych do celów badań naukowych, przyspiesza finalizację prac nad wytycznymi dot. anonimizacji oraz zatwierdza pierwszy europejski znak jakości ochrony danych jako narzędzie  przekazywania danych

Podczas 118. posiedzenia plenarnego Europejskiej Rady Ochrony Danych (EROD), które odbyło się w dniach 15-16.04.2026r., EROD przyjęła Wytyczne dotyczące przetwarzania danych osobowych do celów badań naukowych. Ponadto EROD powołała zespół do przyspieszenia finalizacji prac nad wytycznymi dotyczącymi anonimizacji. EROD przyjęła również opinie dotyczące dwóch zestawów kryteriów certyfikacji Europrivacy do zatwierdzenia jako europejskiego znaku jakości ochrony danych, z których jedna ma być wykorzystywana jako narzędzie przekazywania danych osobowych.

Wiele dziedzin badań naukowych opiera się na przetwarzaniu danych osobowych osób, co przyczyniło się do znaczących przełomów naukowych, które przynoszą korzyści społeczeństwu. Rozwój nowych technologii, takich jak sztuczna inteligencja, również przyczynia się do postępu naukowego, umożliwiając badaczom innowacyjne wykorzystanie i analizę danych.

Głównym celem wytycznych EROD dotyczących badań naukowych jest zapewnienie większej przejrzystości dla badaczy oraz ułatwienie zgodności z RODO, przy jednoczesnym zapewnieniu ochrony podstawowych praw osób fizycznych.

"Badania naukowe mogą napędzać postęp społeczny i poprawiać nasze codzienne życie. Nasze wytyczne wspierają innowacyjne badania, pomagając badaczom w poruszaniu się po przepisach RODO.

EROD zobowiązuje się wspierać środowisko naukowe i uwalniać pełny potencjał badań naukowych w UE, jednocześnie chroniąc prawa do ochrony danych".

 Przewodnicząca EROD, Anu Talus

W swoich wytycznych EROD wyjaśnia pojęcie "badań naukowych". Aby ustalić, czy przetwarzanie odbywa się do celów badań naukowych w rozumieniu RODO, EROD podaje sześć kluczowych czynników, które należy wziąć pod uwagę, oprócz charakteru, zakresu, kontekstu i celów przetwarzania. Są to: 1) metodyczne i systematyczne podejście, 2) przestrzeganie standardów etycznych, 3) weryfikowalność i przejrzystość, 4) autonomia i niezależność, 5) cele badań oraz 6) potencjał do rozwoju istniejącej wiedzy naukowej lub stosowania istniejącej wiedzy w nowatorski sposób. Jeśli działania badawcze spełniają te sześć czynników, można je uznać za badania naukowe. W przeciwnym razie administrator powinien uzasadnić i być w stanie wykazać, dlaczego działania powinny być uznawane za badania naukowe, w rozumieniu RODO.

Dalsze przetwarzanie do celów badań naukowych uznaje się za zgodne z pierwotnym celem zbierania danych osobowych osób fizycznych. Dlatego administratorzy nie są zobowiązani do przeprowadzania testu zgodności celu na podstawie RODO, aby ustalić, czy nowe przetwarzanie jest zgodne z pierwotnym celem zbierania danych. Jednak administratorzy muszą nadal upewnić się, że podstawa prawna pierwotnego przetwarzania jest również odpowiednia do dalszego przetwarzania danych osobowych do celów badań naukowych.

Administratorzy mogą polegać na "szerokiej zgodzie", gdy cele badań nie są w pełni znane w momencie zbierania danych osobowych. W takim przypadku badacze powinni respektować standardy etyczne badań naukowych i wprowadzić dodatkowe zabezpieczenia, aby zrekompensować brak określenia celu. Administratorzy mogą również zwracać się do osób fizycznych o wyrażenie zgody na  poszczególne projekty badawcze osobno, gdy tylko cele tych projektów będą znane (zgoda dynamiczna). Możliwe jest także połączenie szerokiej i dynamicznej zgody.

Ponadto EROD precyzuje prawa osób fizycznych, gdy ich dane osobowe są przetwarzane do celów badań naukowych. Obejmuje to prawa do usunięcia danych i sprzeciwu,  dla których mogą obowiązywać ograniczenia dotyczące przetwarzania danych osobowych do celów badań naukowych. EROD podaje przykłady wyjaśniające, kiedy prawo do usunięcia danych może być uznane za prawdopodobne, że uniemożliwi cel prowadzenia badań naukowych lub poważnie mu zaszkodzi. EROD wyjaśnia również, kiedy administratorzy mogą odrzucić sprzeciw danej osoby wobec przetwarzania ich danych osobowych do celów badań naukowych. Może to mieć miejsce, gdy przetwarzanie jest konieczne do wykonania zadania realizowanego w interesie publicznym.

EROD przypomina, że gdy w przetwarzanie danych osobowych do celów naukowych zaangażowanych jest kilka podmiotów, konieczne jest ocenienie i udokumentowanie sposobu podziału obowiązków między tymi podmiotami. W tym zakresie wytyczne dostarczają użytecznych przykładów wyjaśniających, w jakich sytuacjach podmioty mogą kwalifikować się jako administrator, współadministrator lub podmiot przetwarzający.

Na koniec EROD wyjaśnia, jak administratorzy mogą oceniać odpowiednie środki techniczne i organizacyjne, takie jak anonimizacja lub pseudonimizacja, podczas przetwarzania danych osobowych do celów badań naukowych. EROD podaje przykłady innych zabezpieczeń, które można wdrożyć, w zależności od ryzyka wynikającego z prowadzonych działań badawczych. Należą do nich niezależny lub etyczny nadzór, bezpieczne środowiska przetwarzania, technologie wspierające prywatność, środki ochronne przed publikacją wyników badań, ustalenia dotyczące poufności oraz warunki dalszego wykorzystywania.

Wytyczne będą przedmiotem konsultacji publicznych do 25 czerwca, dając interesariuszom możliwość zgłaszania uwag i przedstawiania opinii.

"Zespół sprintowy" do finalizacji prac nad anonimizacją 

Aby przyspieszyć finalizację przygotowywanych wytycznych dotyczących anonimizacji, EROD utworzyła specjalny "zespół sprintowy", który zakończy prace nad dokumentem do lata tego roku.

Opinie dotyczące Europrivacy

EROD przyjęła opinię zatwierdzającą zaktualizowany zestaw kryteriów certyfikacji Europrivacy jako europejskiego znaku jakości ochrony danych* zgodnie z art. 42 ust. 5 RODO. EROD po raz pierwszy zatwierdziła kryteria certyfikacji Europrivacy 10 października 2022 roku jako pierwszego europejskiego znaku jakości ochrony danych na podstawie opinii EROD 28/2022. Zakres systemu certyfikacji Europrivacy został rozszerzony o administratorów i podmioty przetwarzające działające poza Europą, którzy podlegają art. 3 ust. 2 RODO, ponieważ dostarczają towary lub świadczą usługi osobom fizycznym w Europie albo monitorują ich zachowania.

Ponadto po raz pierwszy EROD przyjęła opinię uznającą kryteria certyfikacji Europrivacy jako europejskiego znaku jakości ochrony danych, która ma być wykorzystywana jako narzędzie do przekazywania danych zgodnie z art. 42 i 46 RODO.  Administratorzy spoza Europy, którzy nie podlegają RODO, mogą teraz ubiegać się o system certyfikacji Europrivacy w zakresie przekazywania otrzymywanych danych. Certyfikacja ta ułatwi wypełnienie obowiązku administratorów i podmiotów przetwarzających w Europie, aby wykazać, że zapewniają odpowiednie zabezpieczenia dotyczące przekazywania danych osobowych do krajów trzecich lub organizacji międzynarodowych.

Te zatwierdzenia dodatkowo wyjaśniają mechanizmy certyfikacji RODO, potwierdzając ich kluczową rolę jako narzędzia zgodności z RODO.

Uwaga dla redaktorów

*Europejski znak jakości ochrony danych to mechanizm certyfikacji RODO uznawany w całej Europie. Znak jakości musi spełniać określone kryteria zatwierdzone przez EROD i musi być przyznany przez podmiot certyfikujący akredytowany na podstawie art. 43 RODO, aby udowodnić zgodność ze standardami RODO.

Komunikat EROD:  EROD zapewnia przejrzystość w kwestii przetwarzania danych co celów badań naukowych, przyspiesza finalizację prac nad wytycznymi dot. anonimizacji oraz zatwierdza pierwszy europejski znak jakości ochrony danych jako narzędzie przekazywania danych | European Data Protection Board

Agenda 118. posiedzenia plenarnego EROD:  20260415-16plenagenda_en.pdf