EDPB zveřejnil návrh pokynů ke zpracování osobních údajů pro účely vědeckého výzkumu

Evropský sbor pro ochranu osobních údajů (EDPB) přijal 15. dubna 2026 návrh Pokynů 1/2026 k vědeckému výzkumu podle GDPR. Dokument je nyní ve veřejné konzultaci.

Pojem vědeckého výzkumu. Pokyny zavádějí šest indikativních faktorů pro určení, zda zpracování spadá pod „vědecké výzkumné účely" ve smyslu GDPR. Pokud jsou splněny všechny, lze vědecký charakter předpokládat; jinak musí správce zdůvodnění doložit:

• metodický a systematický přístup,
• dodržování etických standardů,
• ověřitelnost a transparentnost,
• nezávislost výzkumného týmu,
• cíl přispět k obecnému poznání (nevylučuje komerční zájem),
• potenciál přispět k vědeckému poznání nebo aplikovat existující poznatky novým způsobem.

Faktory se uplatní i na výzkumné datové infrastruktury a na doprovodná zpracování, jako je příprava datových souborů nebo identifikace účastníků.

Jaké hlavní povinnosti plynoucí z GDPR návrh pokynů řeší?

Slučitelnost účelů a uchovávání. Pokud správce zpracovává údaje shromážděné původně k jinému účelu pro výzkum, uplatní se podle čl. 5 odst. 1 písm. b) GDPR presumpce slučitelnosti účelů a test slučitelnosti podle čl. 6 odst. 4 GDPR není nutný. Zákonnost nového zpracování je však třeba posoudit zvlášť a v některých případech může vyžadovat jiný právní titul než původní zpracování. Delší uchovávání údajů pro budoucí výzkum povoluje čl. 5 odst. 1 písm. e) GDPR za podmínky, že je vymezena alespoň výzkumná oblast.

Právní tituly. V oblasti právních titulů se pokyny nejvíce věnují souhlasu podle čl. 6 odst. 1 písm. a) GDPR, tedy souhlasu subjektu údajů. Rozpracovávají dvě formy: broad consent pro celou výzkumnou oblast s povinností doplňkových záruk kompenzujících nižší specifičnost a dynamic consent s postupným souhlasem k jednotlivým projektům či fázím. Souhlas s účastí ve výzkumu vyplývající z etických nebo zákonných požadavků se neztotožňuje se souhlasem jako právním titulem podle GDPR, oba je třeba posuzovat samostatně. Veřejný zájem podle čl. 6 odst. 1 písm. e) GDPR mohou využít i soukromé subjekty, pokrývá-li jejich činnost příslušný unijní nebo národní právní předpis.

Práva subjektů údajů. Právo na výmaz podle čl. 17 odst. 3 písm. d) GDPR lze odmítnout jen tehdy, kdy by výmaz znemožnil nebo vážně narušil cíle výzkumu, a vždy po individuálním posouzení žádosti. Námitku podle čl. 21 odst. 6 GDPR lze odmítnout, je-li zpracování nezbytné pro úkol ve veřejném zájmu; ten se může překrývat s oprávněným zájmem správce.

Role správce a zpracovatele. Aktivní účast na tvorbě výzkumného protokolu zpravidla zakládá postavení správce nebo společného správce. Pouhé financování či konzultace tuto roli nezakládá. Konsorcia a partnerství veřejného a soukromého sektoru obvykle vedou ke společnému správcovství podle čl. 26 GDPR s povinností uzavřít odpovídající ujednání.

Vhodné záruky podle čl. 89 odst. 1 GDPR. Vyžaduje se analýza rizik nebo DPIA a uplatnění hierarchie anonymizace > pseudonymizace > přímé identifikátory. Použití přímých identifikačních údajů musí být striktně nezbytné a přiměřené. U genetických a biometrických údajů se vyžadují přísnější záruky vzhledem k jejich neměnnosti a možnému dopadu i na příbuzné osoby.

Katalog dalších opatření zahrnuje:

• struktury vnitřního řízení a etický dohled,
• zabezpečená zpracovatelská prostředí a řízení přístupu podle rolí,
• federované databáze a technologie zvyšující ochranu soukromí (homomorfní šifrování, syntetická data),
• smluvní zákazy opětovné identifikace a kvalifikační požadavky na výzkumný personál,
• opatření pro ochranu soukromí a práv dotčených osob při publikaci výsledků.
  ‍

Pokyny jsou předloženy k veřejné konzultaci. Připomínky a komentáře lze zasílat do 25. června 2026.

Plné znění návrhu pokynů je dostupné zde.

‍

‍