A személyes adatok kezelésével járó tudományos kutatások kapcsán elsődleges kérdés, hogy a GDPR alkalmazása során mit tekinthetünk tudományos kutatásnak, mely esetekben alkalmazhatók az erre vonatkozó speciális szabályok. A német adatvédelmi biztosok konferenciája (Datenschutzkonferenz, DSK) ebben a kérdésben ad segítséget az adatkezelőknek egy, a napokban megjelent állásfoglalásában.
Bár több helyen hivatkozik a "tudományos és történelmi kutatásra", mint adatvédelmi szempontból speciális kezelést igénylő tevékenységre, a GDPR a fogalmat nem határozza meg.
A preambulumon túl, a GDPR alábbi szakaszaiban fordul elő a "tudományos és történelmi kutatásra" történő hivatkozás:
- 5. cikk (1) bekezdés b) pont: célhoz kötöttség (a GDPR rögzíti, hogy a GDPR "89. cikk (1) bekezdésének megfelelően nem minősül az eredeti céllal össze nem egyeztethetőnek a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból történő további adatkezelés" (kiemelés tőlem),
- 5. cikk (1) bekezdés e) pont: korlátozott tárolhatóság (a személyes adatok hosszabb ideig tartó tárolásának lehetőségét megnyitva a a GDPR 89. cikk (1) bekezdésével összhangban, tudományos és történelmi kutatási célból is),
- 9. cikk (2) bekezdés j) pont: különleges adatok kezelésének tilalma alóli kivétel lehetősége,
- 14. cikk (5) bekezdés b) pontja: a nem érintettől gyűjtött személyes adatok kezelésével kapcsolatban (kivételt biztosítva a tájékoztatási kötelezettség alól),
- 17. cikk (3) bekezdéd d) pont: törléshez való jog korlátozása, amennyiben a törléshez való jog érvényesítése valószínűsíthetően lehetetlenné tenné vagy komolyan veszélyeztetné a GDPR 89. cikk (1) bekezdésével összhangban zajló adatkezelést,
- 21. cikk (6) bekezdés: tiltakozási jog biztosítása, kivéve, ha az adatkezelésre közérdekű okból végzett feladat végrehajtása érdekében van szükség,
- 89. cikk: a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból folytatott adatkezelésre vonatkozó garanciák és eltérések.
Az elmúlt években iránymutatások és állásfoglalások is megjelentek a tudományos céllal összefüggő adatkezelések vonatkozásában, ám ezek tipikusan nem a tudományos kutatás fogalmának meghatározásával, hanem azon adatvédelmi garanciák és eltérések körével és gyakorlatban történő alkalmazásával foglalkoznak, amelyek a megfelelő szintű adatvédelem érvényesülését biztosítják.
1. Miért szükséges egyáltalán speciális szabályokat biztosítani a tudományos kutatásra vonatkozóan?
A DSK állásfoglalása is kiemeli, hogy az Európai Unió Alapjogi Chartája a személyes adatok védelme (8. cikk) mellett szintén alapjogként biztosítja a tudomány és művészet szabadságát (13. cikk). A két alapjog érvényesüléséhez szükséges, hogy ezek összehangolásra kerüljenek, ugyanakkor erre oly módon kerüljön sor, hogy az érintett alapjogok lényege eközben ne sérüljön. Ennek megfelelően a tudományos kutatás során, ha az személyes adatok kezelésével jár, figyelemmel kell lenni a személyes adatok védelmére, míg a személyes adatok védelme során, ha az adatok kezelése tudományos kutatáshoz kapcsolódik, tekintettel kell lenni a tudományos kutatás jellegzetességeire és arra a közérdekre, amelyek megvalósulását a tudományos kutatások szolgálják. Ahhoz azonban, hogy az alapjogok összehangolása megvalósulhasson, szükséges annak pontos meghatározása, hogy mely esetekben "ér össze" a két alapjog alkalmazási területe, mikor beszélünk tudományos kutatási célú adatkezelésről.
2. Hogyan határozható meg a tudományos kutatás fogalma?
A tudományos kutatás fogalmának meghatározására a szakirodalomban több lehetséges változatot is találhatunk. Ezek közül Dr. Hornyacsek Júlia 2014-ben megjelent tanulmányában - többek között - idézi Dr. Tomcsányi Pál meghatározását, miszerint „a tudományos kutatás a megismerés célszerű, tervezett, módszeres, ellenőrizhető (kontrollálható) eredményekhez vezető változata" (lásd Dr. Hornyacsek Júlia: A tudományos kutatás elmélete és módszertana, Nemzeti Közszolgálati Egyetem Hadtudományi és Honvédtisztképző Kar, 2014, 43. o.).
A DSK által kiadott állásfoglalás - hasonlóan a fent idézett definició egyes elemeihez - az alábbi vizsgálandó ismérveket emeli ki, amikor esetről-esetre azt vizsgáljuk, hogy egy adott tevékenység tudományos kutatásnak minősülhet-e és így alkalmazhatók lehetnek-e rá a GDPR vonatkozó szabályai:
- módszertani és szisztematikus megközelítés,
- ismeretszerzés,
- ellenőrizhetőség,
- függetlenség és autonómia,
- közérdek.
Itt érdemes hivatkozni az európai adatvédelmi biztos (EDPS) 2020-ban kiadott előzetes véleményére a tudományos kutatás témakörében, amely a fentiekhez hasonló szempontokat határoz meg a tudományos kutatás kritériumait illetően és arra jut, hogy abban az esetben alkalmazhatók a vonatkozó speciális adatvédelmi szabályok, ha az alábbi három feltétel teljesül (lásd 3. pont, 9-12. o.):
- személyes adatok kezelésére kerül sor;
- a vonatkozó ágazati módszertani és etikai normák alkalmazandók, beleértve a tájékoztatáson alapuló hozzájárulást, elszámoltathatóságot és felügyeletet;
- a kutatást azzal a céllal végzik, hogy növeljék a társadalom kollektív tudását, és jólétét, szemben elsődlegesen egy vagy több magánérdek szolgálatával.
Kevésbé általános szinten, de a GDPR (159) preambulumbekezdése is ad némi támpontot arra vonatkozóan, hogy a tudományos kutatás fogalma mi mindent foglalhat magában (kiemelés tőlem):
E rendeletet a személyes adatok tudományos kutatási célú kezelése esetében is alkalmazni kell. E rendelet alkalmazásában a személyes adatok tudományos kutatási célú kezelését tág körűen kell értelmezni, oly módon, hogy az magában foglalja többek között a technológiafejlesztési és demonstrációs tevékenységeket, az alapkutatást, az alkalmazott kutatást, és a magánfinanszírozású kutatást. Emellett az ilyen célú adatkezelés összefüggésében figyelembe kell venni az EUMSZ 179. cikkének (1) bekezdésében foglalt, az európai kutatási térség létrehozására irányuló célkitűzést. A tudományos kutatási célok közé kell sorolni a népegészségügy terén folytatott közérdekű kutatásokat is. [...].
A fentiekből is látszik, hogy a tudományos kutatás köre széles lehet, az alapkutatások mellett, az alkalmazott kutatások is beletartoznak, illetve a magánszféra által finaszírozott kutatások is beletartozhatnak, amennyiben a fenti feltételek fennállása megállapítható.
Ahogy arra az állásfoglalás szintén felhívja a figyelmet (lásd 1. o., utolsó bekezdés), a GDPR (159) premabuluma, hivatkozva az EUMSZ 179. cikkének (1) bekezdésében meghatározott célkitűzésekre, azaz a társadalmi haladás előmozdítására, a kiegyensúlyozott gazdasági növekedésre, az életminőség javítására és a közszolgáltatások kérdéseire, egyáltalán nem zárja ki, hogy a tudományos kutatásokhoz gazdasági motívumok is kapcsolódjanak, ugyanakkor a tevékenységnek valamilyen társadalmi haszonnal kell járniuk (azaz a közérdeknek valamilyen módon meg kell jelennie).
3. Mire kell tekintettel lenni a fenti ismérvek kapcsán?
3.1 Módszertani és szisztematikus megközelítés
E körben figyelemmel kell lenni azokra a sajátosságokra, amelyek a kutatással érintett tudományterületre jellemzőek. (Ez összhangban van a 29-es Cikk szerinti Adatvédelmi Munkacsoport hozzájárulással kapcsolatos véleményével, amely szintén kiemelte, hogy a tudományos kutatás fogalma az adott területtel, ágazattal kapcsolatos módszertani és etikai normáknek megfelelően, a legjobb gyakorlatokkal összhangban tervezett eljárást jelent. Lásd WP259 iránymutatás, 7.2. pont, 28. o. Erre hivatkozik a 3/2020. sz. testületi iránymutatás is a tudományos kutatás fogalma kapcsán.)
3.2 Ismeretszerzés
Szintén fontos az ismeretszerzés, megismerés, mint cél megléte. Nem elegendő tehát, ha már megszerzett ismeretek alkalmazásáról van csupán szó. Szintén nem esik a fogalom alá, ha tudományos módszereket alkalmaznak ugyan, de új ismeretek megszerzésére irányuló cél nélkül (pl. felügyeleti, kontroll, stb. célokból).
3.3. Ellenőrizhetőség
Hivatkozva a Német Szövetségi Alkotmánybíróság gyakorlatára kiemeli az állásfoglalás, hogy a tudományos kutatásokkal szemben támasztott követelmény azok ellenőrizhetősége is. Ehhez kapcsolódóan ugyan publikációs kötelezettség nem áll feltétlenül fenn, de ha az eredmények titokban tartására törekednek, illetve a tudományos közösség általi ellenőrizhetőségétől szisztematikusan törekszenek elzárni az eredményeket, az oda vezethet, hogy a GDPR alkalmazása szempontjából nem valósulnak meg a tudományos kutatás feltételei. (Természetesen az ellenőrizhetőséggel kapcsolatos elvárásokat az üzleti titkok védelméhez, a bizalmassághoz kapcsolódó méltányolható érdekeknek a figyelembevételével kell értékelni.)
3.4. Függetlenség és autonómia
A kutató függetlensége és autonómiája is elengedhetetlen a kutatási tevékenység megállapíthatóságához. Ez persze nem zárja ki, hogy a megbízó bizonyos mértékig meghatározzon elvárásokat vagy instrukciókat adjon, de ezek nem eredményezhetik, hogy a kutatás menete vagy az eredmények feletti rendelkezés kapcsán alapjaiban veszítsék el a kutatók a függetlenségüket.
3.5 Közérdek
Figyelemmel az Alapjogi Charta 52. cikkére is, kiemelten fontos, hogy az alapjogi korlátozás a személyes adatok védelme tekintetében csak akkor és olyan mértékig indokolható, amíg a tudományos kutatás a közjót szolgálja, és nem kizárólag kereskedelmi vagy egyéb egyéni érdekeket szolgál.
Abban az esetben, ha - a fenti kritériumoknak is megfelelően - tudományos célú adatkezelésre kerül sor és alkalmazhatóvá válnak a GDPR vonatkozó rendelkezései (ezek felsorolását lásd fentebb), többek között az alábbi iránymutatások adhatnak további segítséget a rendelkezések megfelelő alkalmazásához:
- általános iránymutatások: a finn adatvédelmi biztos iránymutatása,
- egészségügyi kutatások kapcsán: az Európai Adatvédelmi Testület által a Bizottság számára készített dokumentuma (2021. február), illetve a Tesület 03/2020. iránymutatása az egészségügyi adatoknak a Covid19-járvánnyal összefüggésben végzett tudományos kutatás céljából történő kezeléséről (2020. április 21.),
- egyéb: EDPS: A Preliminary Opinion on data protection and scientific research (2020), Study on the appropriate safeguards under Article 89(1) GDPR for the processing of personal data for scientific research (2021, Milieu Consulting SRL, KU-Leuven vezetésével); az ICO (Egyesült Királyság) vonatkozó iránymutatása (2022), azzal, hogy az Egyesült Királyságban a GDPR-hoz nagyon hasonló, de a Brexitre tekintettel, mégis részben eltérő szabályok (UK GDPR) vonatkoznak.
(Az Európai Adatvédelmi Testület 2023/24-es munkaterve alapján egyébként a témában külön iránymutatás is várható. Lásd 1. pillér, 2. o. Igaz, a 2024/27 közötti időszakra vonatkozó stratégia már külön nem nevesíti ezt a témát.)
Publikációk a témához kapcsolódóan:
- Quinn, P.: Research under the GDPR – a level playing field for public and private sector research?, Life Sciences, Society and Policy 17, 4 (2021)
- Becker et al.: Purpose definition as a crucial step for determining the legal basis under the GDPR: implications for scientific research, Journal of Law and the Biosciences, Volume 11, Issue 1, January-June 2024
- Ducato, R.: Data protection, scientific research, and the role of information, Computer Law & Security Review, Volume 37, July 2020
