Protejarea datelor cu caracter personal

Datele de natură personală utilizate în scopuri de cercetare de către personalul Universității din Bucureşti  trebuie să fie tratate în conformitate cu RGPD și principiile sale de protecție a datelor. Pe lângă îndeplinirea cerințelor RGPD, cercetarea care implică date personale trebuie să respecte procedurile de etică stabilite la nivelul Universității din Bucureşti.  Pentru a verifica ce măsuri se impun fiecărei cercetări în parte, trebuie să luați legătura cu membrii Comisiei de Etică a Cercetării (cometc@unibuc.ro).

În continuare sunt prezentate principiile de protecție a datelor specificate în RGDP și modul în care se aplică acestea în proiectele de cercetare.

Principiul „legalitate, echitate şi transparență”

Conform RGPD datele de natură personală trebuie să fie prelucrate în mod legal.

În cazul cercetării, baza legală cea mai probabilă pentru prelucrarea datelor de natură personală este articolul 6(1)e, „îndeplinirea unei sarcini care servește unui interes public sau care rezultă din exercitarea autorității publice cu care este învestit operatorul”.

O altă bază legală care se poate utiliza este solicitarea consimțământului pentru participarea la cercetare, articolul 6(1)a. Această bază legală poate să nu fie adecvată deoarece RGPD prevede la Art.7  că, persoana vizată are dreptul să îşi retragă în orice moment consimţământul acordat, iar în cazul în care rezultatele sunt publicate, nu mai este posibilă extragerea datelor de natură personală referitoare la un individ ca urmare a retragerii consimțământului.

În cazul in care cercetatorul doreste sa foloseasca datele și pentru cercetări ulterioare, consimțământul acordat trebuie să prevadă explicit și posibilitatea reutilizării datelor pentru cercetări ulterioare.

Dacă proiectul de cercetare implică utilizarea unor categorii speciale de date personale (originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice, apartenența la sindicate, date genetice, date biometrie, date privind sănătatea sau date privind viața sexuală sau orientarea sexuală ale unei persoane fizice) atunci, conform articolului 9 din RGPD, este necesară identificarea unei justificări.

În acest caz, se poate utiliza articolul 9(2)j, „prelucrare desfășurată în scopuri de cercetare științifică sau istorică ori în scopuri statistice” sau art 9(2)a, „persoana vizată şi-a dat consimţământul explicit pentru prelucrarea acestor date”.

 

Pentru îndeplinirea cerinței legată de transparență, cercetătorii trebuie să furnizeze o informare privind confidențialitatea participanților la proiectul de cercetare, atât în cazul în care datele sunt preluate direct de la persoana vizată cât și în cazul în care cercetătorul utilizează date cu caracter personal obținute prin intermediul unui terț.

Principiul colectării datelor în scopuri determinate, explicite şi legitime („limitări legate de scop”)

Conform acestui principiu se consideră că prelucrarea ulterioară în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice nu este incompatibilă cu scopurile inițiale.

Principiul „reducerii la minimum a datelor”

Cercetătorii trebuie să colecteze și să prelucreze numai datele personale necesare cercetării lor (exemplu: în cazul în care pentru a realiza cercetarea nu sunt necesare date de identificare cum ar fi nume sau adresă, nu ar trebui să li se solicite aceste informații respondenților).

Principiul exactității datelor („exactitate”)

In cazul in care cercetătorii sesizeaza inexactitati privind datelor colectate, trebuie să adopte toate măsurile necesare pentru a se asigura că datele cu caracter personal care sunt inexacte, având în vedere scopurile pentru care sunt prelucrate, sunt șterse sau rectificate fără întârziere.

Principiul păstrării datelor într-o formă care permite identificarea persoanelor vizate pe o perioadă care nu depăşeşte perioada necesară îndeplinirii scopurilor în care sunt prelucrate datele („limitări legate de stocare”)

Datele cu caracter personal trebuie păstrate într-o formă care permite identificarea persoanelor vizate pe o perioadă care nu depășește perioada necesară îndeplinirii scopurilor în care sunt prelucrate datele; datele cu caracter personal pot fi stocate pe perioade mai lungi în măsura în care acestea vor fi prelucrate exclusiv în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice, cu condiția să se instituie garanții adecvate (exemplu: pseudonimatizare), precum și măsuri tehnice și organizatorice adecvate (exemplu: informațiile sunt stocate în siguranță).

 

Atunci când utilizăm date cu caracter personal în cercetare, vom încerca – dacă este posibil – să utilizăm date anonime. În acest caz, nivelul de anonimizare trebuie să facă imposibilă identificarea oricărei persoane din informațiile în cauză sau în combinație cu orice alte informații pe care Universitatea din Bucureşti le deține sau este probabil să le dețină. Dacă datele cu caracter personal sunt anonimizate în mod corespunzător, acestea se află în afara domeniului de aplicare al RGPD.

Atunci când nu este posibilă anonimizarea completă, se poate utiliza ca opțiune pseudonimizarea datelor cu caracter personal. Prin acest proces datele de identitate ale unei persoane sunt ascunse prin înlocuirea câmpurilor de identificare cu identificatori artificiali sau pseudonime. Atunci când datele au fost pseudoanonimizate, acestea vor păstra un nivel de detaliu care va permite aducerea datelor înapoi la starea inițială.

Principiul asigurării integrității și confidențialității datelor („integritate şi confidențialitate”)

Cercetătorii trebuie să prelucreze datele într-un mod care asigură securitatea adecvată a datelor cu caracter personal, inclusiv protecția împotriva prelucrării neautorizate sau ilegale şi împotriva pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de măsuri tehnice sau organizatorice corespunzătoare.

 

Dintre măsurile care trebuie aplicate de către cercetători menționăm:

  • controlul accesului fizic și logic la echipamentele pe care sunt desfășurate prelucrări de date cu caracter personal;
  • păstrarea datelor cu caracter personal (în format electronic) numai pe dispozitive autorizate de Universitatea din Bucureşti;
  • minimizarea datelor colectate;
  • restricționarea accesului fizic la datele cu caracter personal stocate în format de hârtie prin utilizarea de dulapuri și birouri încuiate pentru a împiedica accesul accidental sau deliberat al persoanelor neautorizate;
  • eliminarea în mod corespunzător a datelor cu caracter personal după finalizarea cercetărilor (distrugerea documentelor în format de hârtie deținute și eliminarea definitivă a datelor în format electronic).

Transferuri în afara UE

Transferurile de date cu caracter personal către destinatarii din țări din afara UE sunt reglementate și restricționate în anumite circumstanțe. Acest lucru trebuie luat în considerare atunci când cercetarea presupune o colaborare internațională și, în cadrul acestei colaborări, datele cu caracter personal vor fi transferate într-o țară din afara UE.

La data aprobării ghidului, țările considerate de Comisia Europeană că asigură un nivel adecvat de protecție sunt: Andora, Argentina, Canada (doar organizatiile comerciale), Insulele Faroe, Guernsey, Jersey și Man, Israel, Noua Zeelanda, Elvetia, Uruguay si SUA (dacă destinatarul a aderat la Privacy Shield).

Pentru anumite situații specifice, RGPD prevede derogări de la interdicția privind transferurile de date cu caracter personal în afara UE.

Astfel, se poate efectua un transfer sau un set de transferuri, în cazul în care transferul este:

  • făcut cu consimțământul informat al persoanei vizate de prelucrare,
  • necesar pentru îndeplinirea unui contract între individ și organizație sau pentru măsuri precontractuale luate la cererea persoanei,

necesar pentru executarea unui contract încheiat în interesul persoanei fizice între operator și o altă persoană.

 

Secțiunea preluată din Ghidul privind Protecția Datelor cu Caracter Personal realizat de către echipa responsabilă cu implementarea legii Protecției Datelor cu Caracter Personal în Universitatea din București.