Pro každodenní praxi výzkumných institucí je zásadní pravidlo slučitelnosti. Další zpracování osobních údajů pro účely vědeckého výzkumu se podle pokynů pokládá za slučitelné s původním účelem shromažďování, a správce tedy nemusí provádět samostatný test slučitelnosti podle čl. 6 odst. 4 GDPR. Právní základ prvotního zpracování však musí zůstat vhodný i pro pozdější výzkumnou fázi. U souhlasu EDPB otevírá cestu k takzvanému obecnému (broad) souhlasu, pokud účely výzkumu nejsou v době sběru dat plně definovány. Praktickou alternativou je dynamický souhlas, který se aktualizuje při zahájení každého konkrétního projektu, a pokyny výslovně připouštějí kombinaci obou přístupů.

Sbor rovněž vymezuje, kdy lze omezit práva subjektů údajů. Právo na výmaz a právo vznést námitku lze omezit, pokud by jejich uplatnění vážně ohrozilo cíl výzkumu, a EDPB poskytuje konkrétní příklady, kdy takové omezení obstojí před dozorovým úřadem. Při sdruženém výzkumu napříč institucemi pokyny nabízejí orientační příklady pro vymezení rolí správce, společných správců a zpracovatele, což je v multicentrických studiích dlouhodobě zdroj nejistoty. V oblasti technických a organizačních opatření EDPB doporučuje pseudonymizaci a anonymizaci, nezávislý nebo etický dohled, bezpečné zpracovatelské prostředí, technologie posilující ochranu soukromí a smlouvy o důvěrnosti pro další použití dat. Veřejná konzultace k pokynům běží do 25. června 2026.

Anonymizace dostala na plenárním zasedání samostatnou pozornost. EDPB zřídil takzvaný sprint tým, který má do léta dokončit pokyny pro anonymizaci – dokument, na který organizace čekají již několik let. Pro oblast umělé inteligence, sdílení datasetů s komerčními partnery a otevřených dat veřejné správy je hranice mezi pseudonymizovanými a anonymizovanými daty právně určující. Jasný evropský výklad má snížit nejistotu, která se v debatě o trénování AI modelů zesiluje s každým dalším sofistikovaným re-identifikačním útokem publikovaným v odborné literatuře.

Třetím výstupem plenárního zasedání je schválení aktualizovaných kritérií Europrivacy jako evropské pečeti ochrany údajů. Europrivacy byla prvním evropským certifikačním schématem schváleným EDPB v říjnu 2022, aktualizace nyní rozšiřuje její působnost i na správce a zpracovatele usazené mimo Evropu, na které dopadá čl. 3 odst. 2 GDPR z titulu nabídky zboží a služeb nebo sledování chování osob v EU. Novinkou je rovněž schválení Europrivacy jako nástroje pro předávání osobních údajů podle článků 42 a 46 GDPR. Importéři údajů mimo EU, na které se GDPR přímo nevztahuje, si mohou nechat certifikaci udělit a usnadnit tak evropským správcům a zpracovatelům prokázání vhodných záruk pro předávání do třetích zemí bez rozhodnutí o odpovídající ochraně. Pro multinárodní skupiny a dodavatele cloudových služeb je to po standardních smluvních doložkách a závazných podnikových pravidlech třetí plně provozní nástroj s evropským razítkem.

Dopad do praxe DPO a compliance oddělení je bezprostřední. Výzkumné instituce a farmaceutické společnosti budou muset do svých šablon souhlasu a informačních oznámení zapracovat terminologii obecného a dynamického souhlasu a doplnit zdůvodnění pro omezení práv subjektů. Poskytovatelé IT služeb, kteří zpracovávají výzkumná data, si mají znovu projít vymezení rolí správce a zpracovatele a zvážit, zda aktuální smluvní dokumentace splňuje požadavky na vymezení odpovědností. Multinárodní organizace by měly posoudit, zda certifikace Europrivacy pro předávání údajů může nahradit nebo doplnit stávající nástroje v jejich rámcových smlouvách.

ÚOOÚ

EDPB

EDPB