Diametros (2023), 76: 1–14
doi: 10.33392/diam.1869
Zgłoszono: 7 stycznia 2023
Zaakceptowano: 6 maja 2023
Opublikowano online: 28 czerwca 2023

Ochrona danych osobowych jako element oceny etycznej badań naukowych z udziałem ludzi

Mariusz Jagielski

Instytut Nauk Prawnych
Uniwersytet Śląski w Katowicach
https://orcid.org/0000-0003-2239-7216
email: mariusz.jagielski@us.edu.pl

Abstrakt

Celem artykułu jest wyjaśnienie wzajemnych relacji pomiędzy oceną etyczną badań naukowych z wykorzystaniem danych osobowych i oceną spełnienia wymogów prawa ochrony danych osobowych. Artykuł przedstawia wzajemne relacje pomiędzy ochroną danych osobowych a działalnością naukową z perspektywy dogmatycznej, prawną regulację przetwarzania danych osobowych w badaniach naukowych, w tym tzw. wyjątki badawcze, które znajdą zastosowanie w przypadku, gdy dane będą przetwarzane do celów badań naukowych, zagadnienie znaczenia spełnienia wymagań etycznych badań naukowych z perspektywy możliwości skorzystania ze wskazanych wyjątków oraz porównanie etycznego i prawnego reżimu ochrony danych osobowych w badaniach (cele, kryteria, organy i procedury).

Słowa kluczowe: proporcjonalność, badania naukowe, badania z udziałem ludzi, etyka badań, standardy etyczne, komisje etyczne, ochrona danych osobowych, RODO, zgodność z prawem, wyjątki badawcze.

Wprowadzenie

Ochrona danych osobowych stanowi współcześnie jedną z kluczowych kwestii prowadzenia badań naukowych. Wiąże się to z faktem rosnącego znaczenia przetwarzania tych danych w ramach współczesnych badań naukowych, a co za tym idzie, pogłębiającej się interakcji pomiędzy zagadnieniami wykorzystywania danych osobowych i prowadzenia działalności naukowej1. Intencją, jaka stoi za tym powiązaniem, jest, rzecz jasna, troska o dobrostan oraz prawa i wolności uczestników badań, czyli osób, których dane podlegają przetwarzaniu.

Idea ochrony jednostek, których dane są wykorzystywane w nauce, wywodzi się z dwóch autonomicznych źródeł. Pierwszym z nich jest etyka badań, czyli refleksja nad moralnymi standardami uprawiania nauki, która towarzyszyła działalności naukowej od zawsze, a której kluczowe znaczenie uświadomiły światu nauki zbrodnicze nazistowskie eksperymenty na ludziach podczas II wojny światowej. Ochrona danych osobowych w ramach tej koncepcji pojawia się najpierw jako wyzwanie etyczne na polu nauk medycznych, a potem zostaje zuniwersalizowana jako jeden z generalnych standardów uprawiania nauki z udziałem ludzi w ogóle2. Drugim źródłem jest prawo ochrony danych osobowych, którego początki związane są z rozwojem nowych technologii przetwarzania informacji i koniecznością ujęcia tego zjawiska w ramy prawne3. Działalność naukowa stanowi w ramach prawa ochrony danych osobowych jedno z licznych pól regulacyjnych, którego specyfika wymaga wypracowania szczególnych metod ochrony.

Konsekwencją wskazanej dwoistości jest fakt, że zagadnienie wykorzystywania danych osobowych w badaniach naukowych podlega niejako dwóm reżimom normatywnym – etycznemu i prawnemu. Są one od siebie formalnie niezależne, niemniej ze względu na ten sam przedmiot regulacji są ze sobą powiązane i na siebie oddziałują. Zrozumienie tych interakcji jest kluczowe z perspektywy oceny wymogu ochrony danych osobowych w ramach prowadzenia badań naukowych.

Celem niniejszego artykułu jest wyjaśnienie wzajemnych relacji pomiędzy oceną etyczną badań naukowych z wykorzystaniem danych osobowych i oceną spełnienia wymogów prawa ochrony danych osobowych. By to zrobić, najpierw określimy wzajemne relacje pomiędzy ochroną danych osobowych a działalnością naukową z perspektywy dogmatycznej, czyli w świetle praw podstawowych i prawa europejskiego. Następnie przedstawimy prawną regulację zagadnienia przetwarzania danych osobowych w badaniach naukowych. Jak się przekonamy, przepisy prawa ochrony danych osobowych przewidują w tym zakresie specjalne rozwiązania, tzw. wyjątki badawcze, które znajdą zastosowanie w przypadku, gdy dane będą przetwarzane do celów badań naukowych. By ustalić, kiedy badacz może skorzystać ze wskazanych wyjątków, zajmiemy się definicją badań naukowych w świetle przepisów o ochronie danych osobowych. W szczególności zobaczymy, że spełnienie wymagań etycznych ma kluczowe znaczenie z perspektywy spełnienia kryteriów prowadzenia badań naukowych. Artykuł zakończy porównanie obydwu – etycznego i prawnego – reżimów ochrony danych osobowych w badaniach. Przekonamy się, że jakkolwiek cele, kryteria, organy i procedury oceny etycznej i prawnej są różne, to powiązania między nimi są znaczące, co nie pozostaje bez wpływu dla wymagań, jakim muszą sprostać instytucje badawcze i naukowcy.

Ochrona danych osobowych a badania naukowe – zagadnienia dogmatyczne

Ochrona danych osobowych w europejskim kręgu kulturowym jest traktowana jako jedno z podstawowych praw człowieka4. Jako prawo jednostki (tzw. prawo do ochrony danych osobowych) jest ona ujęta zarówno w konstytucjach państw europejskich5, jak i obowiązujących w Europie aktach międzynarodowych oraz w prawie europejskim6. Bardziej szczegółowe zasady ochrony tych danych stanowią przedmiot regulacji na poziomie ustawowym. W państwach należących do Unii Europejskiej od 2016 r. regulacje te zostały ujednolicone poprzez przyjęcie wspólnego dla całej wspólnoty aktu prawnego – ogólnego rozporządzenie o ochronie danych (RODO).

Jakkolwiek w powszechnym odbiorze regulacje prawne z dziedziny ochrony danych osobowych postrzegane są jako restryktywne, to celem ochrony danych nie jest zakazywanie ich przetwarzania, tylko ujęcie tego procesu w ramy prawne i wyznaczenie warunków jego realizacji. Chodzi o to, by z jednej strony móc cieszyć się korzyściami płynącymi z możliwości przetwarzania danych, z drugiej zaś chronić osoby, których one dotyczą, przed negatywnymi konsekwencjami, zwłaszcza przed naruszeniem ich praw i wolności. Regulacje te należy zatem postrzegać w kategoriach kompromisu, który ma przynosić korzyści wszystkim uczestnikom procesu przetwarzania informacji, czyli całemu społeczeństwu. Jak to ujmuje RODO, celem ochrony danych osobowych jest przyczynianie się do tworzenia przestrzeni wolności, bezpieczeństwa i sprawiedliwości oraz unii gospodarczej, do postępu społeczno-gospodarczego, do wzmacniania i konwergencji gospodarek na rynku wewnętrznym, a także do pomyślności ludzi7.

Takie ujęcie sprawy otwiera pole do odnalezienia kompromisu pomiędzy ochroną danych osobowych a działalnością naukową. Z perspektywy prawnej ta ostatnia jest pojmowana na dwa sposoby. Z jednej strony należy widzieć ją jako konstytucyjne prawo podstawowe (dokładnie: wolność badań naukowych), które, podobnie jak prawo do ochrony danych osobowych, jest chronione przez konstytucje państw europejskich8 oraz prawo europejskie9. Z drugiej strony jest jedną z tzw. wytycznych działalności państwa, co oznacza, że wsparcie dla prowadzenia badań naukowych stanowi jeden z celów państw europejskich i Unii Europejskiej10. Przekłada się to na odpowiednie unijne i krajowe polityki.

Powyższe powoduje konieczność odnalezienia właściwej równowagi (tzw. ‘fair balance’) pomiędzy wskazanymi wartościami. Zarówno na gruncie konstytucyjnych praw podstawowych, jak i prawa europejskiego, jako regułę umożliwiającą określenie wzajemnych relacji pomiędzy konkurującymi wartościami uznaje się zasadę proporcjonalności. Stanowi ona, że w przypadku konfliktu wartości należy dążyć do takiego ich uzgodnienia, by ograniczenia każdej z nich następowały jedynie wtedy, gdy jest to niezbędne dla realizacji drugiej. Takie ograniczenia powinny być zawsze wyjaśnione i usprawiedliwione oraz nie nadmierne11. Tam zaś, gdzie chodzi o ingerencję w prawa podstawowe jednostek, powinna mieć ona podstawę w przepisach prawa12. Dokonując wyważenia wskazanych wartości, należy też pamiętać, że prawa podstawowe nie są sobie równe13. Ich miejsce w systemie zależy od znaczenia z perspektywy aksjologii praw człowieka. W szczególności powszechnie przyjmuje się, że wolności i prawa osobiste oraz polityczne, do których zalicza się prawo do ochrony danych osobowych, zajmują w hierarchii praw człowieka pozycję wyższą niż te o charakterze ekonomicznym, społecznym i kulturowym14, wśród których sytuuje się wolność prowadzenia badań naukowych.

Przekładając wskazane założenia na grunt relacji pomiędzy ochroną danych osobowych a badaniami naukowymi, prawodawca unijny ustanowił dwie reguły:

  1. przetwarzanie danych osobowych w ramach badań naukowych jest dopuszczalne, jednak z zastrzeżeniem spełnienia odpowiednich warunków i zabezpieczeń przewidzianych w prawie europejskim lub w prawie państwa członkowskiego15;
  2. w ramach przepisów o ochronie danych osobowych należy stworzyć regulację wyjątkową („specjalne warunki”) odnośnie do przetwarzania danych osobowych dla celów badań naukowych, tak by uwzględnić specyfikę tej działalności16.

Reguła pierwsza oznacza, że prowadząc badania naukowe należy respektować ogólne zasady ochrony danych osobowych wskazane w przepisach. Reguła druga pozwala na stworzenie pewnych odstępstw od tych zasad w celu ułatwienia prowadzenia działalności badawczej. Ponieważ odstępstwa te są przewidziane jedynie „dla celów badań naukowych”, to konieczne będzie precyzyjne zdefiniowanie tego pojęcia, tak by móc ustalić, kiedy owa wyjątkowa regulacja (tzw. wyjątki badawcze17) znajdzie zastosowanie. Jak się przekonamy, kwestia ta będzie miała istotne znaczenie w kontekście etycznej oceny badań naukowych z perspektywy wymogów ochrony danych osobowych.

Badawcza regulacja RODO

Zanim przejdziemy do kwestii oceny etycznej, konieczne będzie chociaż pobieżne zarysowanie regulacji prawnej prowadzenia działalności badawczej z wykorzystaniem danych osobowych. Karta praw podstawowych Unii Europejskiej wskazuje następujące zasady, którym musi sprostać przetwarzanie danych osobowych: rzetelności, określoności celu oraz legalności18. RODO uzupełnia ten katalog o siedem następnych: przejrzystości, minimalizacji danych, prawidłowości, ograniczoności przechowywania, integralności i poufności19 oraz rozliczalności20. Akt ten przekłada je następnie na konkretne rozwiązania prawne (nakazy i zakazy), do których zobowiązane są stosować się wszystkie podmioty wykorzystujące w swojej działalności dane osobowe. Podmioty prowadzące naukową działalność badawczą będą musiały je spełnić, jak wszystkie inne, dostosowując zasady ich realizacji do specyfiki swojej działalności. Ze względu na ramy artykułu nie sposób w tym miejscu wymienić i omówić wszystkich tych wymagań, dlatego też ograniczymy się jedynie do wskazania kluczowych spośród nich21. Generalnie można podzielić je na dwa typy. Pierwsze to te, które będą musiały być zrealizowane na poziomie instytucji prowadzącej naukową działalność badawczą. Mają one charakter permanentny, czyli należy zapewnić ich ciągłą realizację:

Drugi typ wymogów to te, które nakierowane są na konkretne działania obejmujące przetwarzanie danych, czyli w kontekście działalności badawczej takie, które odnoszą się do konkretnych projektów badawczych. Będą one musiały być zrealizowane w stosunku do każdego pojedynczego projektu:

Już w tym miejscu podkreślmy, że wskazanych wymogów RODO nie można mylić z wymogami etycznymi, jakie musi spełniać projekt badawczy. Mimo przedmiotowego podobieństwa, a nawet częściowej tożsamości niektórych z nich, różnią się one charakterem. Wzajemne relacje pomiędzy tymi dwoma kategoriami wymagań zostaną szczegółowo przedstawione dalej.

Jak wspomniano, RODO zawiera szczególną regulację odnoszącą się do przetwarzania danych w celu prowadzenia badań naukowych, tzw. wyjątki badawcze. Ich istota polega na tym, że w zamian za wprowadzenie odpowiednich zabezpieczeń dla praw i wolności osób, których dane dotyczą, zwalnia się podmioty wykorzystujące dane w celach badawczych z konieczności realizacji pewnych obowiązków i spełniania niektórych wymogów22. Przy czym zarówno wymagane zabezpieczenia, jak i zakres zwolnień regulowane są jednocześnie przez RODO i przepisy prawa krajowego23 – w Polsce: ustawę Prawo o szkolnictwie wyższym i nauce24. Najważniejsze przywileje określone w ramach tego rozwiązania to:

Przedstawione zwolnienia tworzą szczególny reżim przetwarzania danych osobowych dla celów badawczych, będący wyrazem uprzywilejowanej pozycji tej działalności w ramach regulacji RODO25. Jego ideą jest ułatwienie prowadzenia badań naukowych, przy jednoczesnym zapewnieniu ochrony praw i wolności podmiotów danych. Właśnie dlatego możliwość skorzystania ze wskazanych wyjątków zawsze obarczona jest koniecznością spełnienia wymogów zabezpieczających prawa i wolności uczestników badań. Są one określone we wskazanych wyżej przepisach. Dla lepszej ochrony podmiotów danych przepisy te muszą być interpretowane ściśle i nie mogą być nadużywane. Ich zastosowanie nie może bowiem pozbawić tych podmiotów przynależnej im ochrony26.

Podsumowując, zauważmy, że konstrukcja rozwiązań regulujących prowadzenie działalności badawczej w RODO jest dwuwarstwowa. Podmioty prowadzące taką działalność w pierwszej kolejności muszą spełnić ogólne wymagania RODO dotyczące przetwarzania danych osobowych (pierwsza warstwa). Chodzi zarówno o takie wymagania, które mają charakter instytucjonalny, czyli odnoszą się do sposobu działania instytucji badawczej, jak i poświęcone konkretnym przedsięwzięciom, czyli w interesującym nas przypadku projektom badawczym. Jakkolwiek realizacja tych wymogów musi być dostosowana do typu prowadzonej działalności, to wymagania te mają charakter generalny, czyli podmioty prowadzące badania są w zakresie ich spełnienia traktowane jak wszystkie inne podmioty zobowiązane do stosowania RODO. Prawo ochrony danych osobowych zawiera także rozwiązania szczególne, opracowane specjalnie na potrzeby przetwarzania danych osobowych do celów badawczych – tzw. wyjątki badawcze (druga warstwa). Ich celem jest ułatwienie prowadzenia działalności naukowej, a zatem są tak pomyślane, by można było z nich skorzystać wtedy, gdy spełnia się wymogi prowadzenia takiej działalności. Musimy zatem ustalić, jak badania naukowe rozumiane są na gruncie przepisów o ochronie danych osobowych.

Spełnienie wymagań etycznych jako element definiujący badania naukowe w rozumieniu prawa ochrony danych osobowych

RODO zawiera szeroką definicję badań naukowych. Mogą być one prowadzone w dowolnej dziedzinie nauki, zarówno w naukach ścisłych, jak i społecznych27, mogą przybrać różną postać, np. badań podstawowych albo stosowanych, mogą być finansowane zarówno ze środków publicznych, jak i prywatnych28, w końcu, mogą być prowadzone przez dowolne podmioty – naukowców akademickich, organizacje non-profit, instytucje rządowe, firmy komercyjne29. Jednak by działalność została uznana za naukową, musi ona spełniać pewne wymagania. W pierwszej kolejności musi ona dostarczać solidnej, dobrej jakościowo wiedzy30. Chodzi zatem jedynie o takie projekty badawcze, które „zostały opracowane zgodnie z odpowiednimi sektorowymi standardami metodologicznymi i etycznymi, w zgodzie z dobrymi praktykami”31. Badania te muszą ponadto być prowadzone w odpowiednim celu, czyli muszą być nakierowane na wypracowanie i realizację „polityki opartej na wiedzy” i zmierzać do podnoszenia „jakości życia wielu osób”, a także „zwiększyć skuteczność usług społecznych”32. Trzeba je zatem widzieć w kontekście unijnej polityki budowy „europejskiej przestrzeni badawczej”33. Chodzi więc o poszerzanie zbiorowej wiedzy i społecznego dobrobytu, co jest interpretowane jako przeciwieństwo realizacji interesów partykularnych (prywatnych)34.

Wskazane wymagania są o tyle istotne, że zawężają zakres zastosowania specjalnej regulacji, jaka dla badań naukowych została przewidziana w RODO. Europejski Inspektor Ochrony Danych (dalej: EDPS) na tej podstawie wskazał trzy kryteria zastosowania tej regulacji35. Stworzył w ten sposób swoisty test, któremu należy poddać projekt badawczy, gdy chce się ustalić, czy do jego oceny należy zastosować reguły RODO opracowane dla badań naukowych. Można przedstawić go w postaci trzech pytań:

  1. czy projekt obejmuje przetwarzanie danych osobowych?
  2. czy projekt spełnia odpowiednie metodologiczne i etyczne standardy danej dziedziny nauki?
  3. czy projekt zmierza do realizacji celów publicznych (co rozumie się jako przeciwieństwo interesów prywatnych)?

Pozytywna odpowiedź na wszystkie powyższe pytania będzie oznaczała zastosowanie badawczego reżimu regulacyjnego przetwarzania danych, czyli wspomnianych wyżej wyjątków badawczych. Jednocześnie, brak spełnienia choć jednego z tych kryteriów będzie oznaczać, że reżim ten nie zostanie zastosowany. Przy tym to, jakie będą konsekwencje uniknięcia wpadnięcia w badawczy reżim RODO zależy od tego, na które pytanie padnie odpowiedź negatywna. Jeśli na pierwsze, będzie to oznaczało, że do danej działalności RODO nie znajdzie zastosowania, a zatem w ogóle nie będzie trzeba spełniać wymogów zawartych w tym akcie prawnym. Jeśli na drugie lub trzecie, to wymogi RODO wdrożyć będzie trzeba, jednak nie będzie można skorzystać z wyjątków badawczych przewidzianych dla tego typu działalności. Podmiot prowadzący taką działalność będzie zatem potraktowany na zasadach ogólnych.

W ramach niniejszego artykułu pełna analiza wszystkich konsekwencji udzielenia pozytywnych lub negatywnych odpowiedzi na wskazane pytania nie jest ani możliwa, ze względu na jej konieczną objętość, ani też celowa. Zwrócimy zatem jedynie uwagę na te kwestie, które bezpośrednio związane są z etyczną oceną projektów badawczych. Po pierwsze, punktem wyjścia każdej oceny działalności badawczej z perspektywy ochrony danych osobowych jest zawsze pytanie o to, czy przewiduje ona przetwarzanie danych osobowych (pytanie 1). To pytanie powinno być zawsze zadawane na początku, gdyż odpowiedź na nie determinuje dalszy proces ewaluacji projektu36. Po drugie, spełnienie przez projekt badawczy standardów etycznych obowiązujących w danej dziedzinie nauki jest traktowane jako integralny element oceny naukowości projektu37 (pytanie 2). Podkreślmy, że w tym miejscu chodzi o standardy etyczne w ogóle, nie zaś jedynie te, które odnoszą się bezpośrednio do przetwarzania danych osobowych. Oznacza to, że badania, które nie spełniają ogólnego wymogu etyczności z perspektywy przepisów o ochronie danych osobowych, nie są badaniami naukowymi, a zatem nie mogą korzystać z przywilejów określonych w badawczej regulacji przewidzianej w RODO, czyli z wyjątków badawczych. Ocena etyczna zdecyduje zatem o wymogach, jakie RODO nakłada na podmiot prowadzący badania.

Jak już wspomniano, ocena etyczna powinna być dokonana na gruncie konkretnej dziedziny nauki, w której projekt jest prowadzony. Z zasady ma zatem charakter sektorowy. Niemniej, porównanie standardów wypracowanych w poszczególnych naukach pozwala na wyciągnięcie pewnych wniosków ogólnych. Otóż tam, gdzie badania dotyczą ludzi, powszechnie uznaje się dwa standardy etyczne prowadzenia działalności naukowej – wymóg uzyskania zgody uczestników badań oraz poddanie badań nadzorowi etycznemu ze strony niezależnych organów oceniających38. W tym miejscu skoncentrujemy się na drugim z nich, gdyż niesie on ze sobą dwie istotne konsekwencje z perspektywy wymogów ochrony danych osobowych określonych w RODO. Pierwszą jest to, że w przypadku badań naukowych z udziałem ludzi brak przeprowadzenia oceny etycznej jakiejś działalności będzie oznaczać, że nie można jej traktować jako badań naukowych w rozumieniu RODO, a zatem zastosować do niej wyjątków badawczych zawartych w tym akcie prawnym. Będzie to miało istotne znaczenie dla tych instytucji badawczych, które obok badań naukowych realizują także inne funkcje społeczne39.

Drugą konsekwencją jest to, że ocena etyczna dokonywana przez odpowiednie komisje etyczne powinna formalnie poprzedzać ocenę spełnienia wymogów RODO dokonywaną przez podmioty oceniające spełnienie wymogów z dziedziny ochrony danych osobowych (zasadniczo przez IOD). IOD przed przystąpieniem do oceny spełnienia wymogów RODO przez projekt badawczy powinien zatem uprzednio otrzymać informację o pozytywnej opinii komisji etycznej. Pozwoli mu to na wybór właściwych kryteriów oceny spełnienia wymogów RODO40.

Podsumowując, z perspektywy RODO ocena etyczna projektu dokonywana przez komisję etyczną ma charakter wstępny. Determinuje ona kryteria oceny, które następnie IOD zastosuje w ramach oceny zgodności z RODO. Jedynie pozytywna ocena komisji etycznej o spełnieniu etycznych wymogów prowadzenia działalności badawczej umożliwi IOD uwzględnienie badawczych wyjątków z RODO w ramach oceny zgodności projektu z wymogami prawa ochrony danych osobowych.

Ocena etyczna a ocena zgodności z RODO

Jest oczywiste, że w przypadku badań prowadzonych z udziałem ludzi ocena etyczna projektu badawczego będzie obejmowała elementy bezpośrednio związane z kwestią zbierania i wykorzystywania danych osobowych. W pierwszej kolejności chodzi o wspomniany wyżej wymóg uzyskania zgody na uczestnictwo, gdyż taki udział z zasady oznacza pozyskiwanie i wykorzystywanie danych41. Ponadto ocenie etycznej podlegać będzie niewątpliwie kwestia przetwarzania szczególnych kategorii danych (np. danych dotyczących przekonań, danych dotyczących zdrowia, danych dotyczących życia seksualnego) oraz szczególnych sposobów przetwarzania (np. stosowanie profilowania i innych innowacyjnych rozwiązań technologicznych, w tym związanych z automatycznym podejmowaniem decyzji), gdyż powodują one zwiększenie ryzyka dla uczestników badań. Podobnie sprawa przedstawia się, gdy dane mają być importowane lub eksportowane za granicę. W grę wchodzą także takie aspekty jak czas i sposób przechowywania danych, ich udostępnianie i rozpowszechnianie, w szczególności w ramach publikowania wyników badań. Bardzo istotną kwestią jest także problem odpowiedniego zabezpieczenia danych podczas prowadzenia badań42. Rzecz jasna powyższe wyliczenie ma jedynie charakter przykładowy.

Powstaje zatem pytanie, jak przedstawiają się wzajemne relacje pomiędzy oceną etyczną oraz oceną zgodności z prawem ochrony danych osobowych, gdy dotyczą one przedmiotowo tych samych zagadnień? Pierwszą kwestią, na którą należy zwrócić uwagę, by prawidłowo odpowiedzieć na wskazane pytanie, jest to, że oceny te mają inne cele. Ocena etyczna jest dokonywana na gruncie konkretnej dziedziny nauki i jej celem jest sprawdzenie standardów naukowości projektu badawczego. Tymczasem ocena dokonywana na gruncie RODO dotyczy dowolnego typu przetwarzania danych i ma na celu sprawdzenie zgodności z prawem. W konsekwencji w przypadku każdego z przedstawionych typów oceny stosowane są inne kryteria. Jeśli chodzi o ocenę etyczną, oceniana jest prawidłowość prowadzenia działalności badawczej, tak jak jest ona rozumiana w danej dziedzinie nauki. Co prawda współcześnie powyższe przekłada się zazwyczaj na ocenę zgodności z zasadami postępowania zebranymi w kodeksach etycznych43, z zasady jednak są to kryteria nieostre, mające charakter kierunkowy i pozostawiające szerokie pole na interpretację. W przypadku oceny z RODO oceniana jest zgodność z prawem, a zatem spełnienie wymogów określonych w przepisach powszechnie obowiązujących. Wymogi te są precyzyjnie wskazane i nie można ich interpretować rozszerzająco. Inne są też podmioty dokonujące oceny i tryb jej przeprowadzania. W przypadku oceny etycznej podmiotami oceniającymi są komisje etyczne funkcjonujące w ramach wewnętrznych struktur instytucji badawczych i dokonujące oceny na podstawie wewnętrznych regulacji tej instytucji44. W przypadku RODO jest to z zasady45 IOD, czyli podmiot, którego status i zadania są określone w tym akcie prawnym46, jest powoływany na podstawie ustawy47 i którego tryb działania podlega kontroli ze strony państwowego organu regulacyjnego48, w Polsce: Prezesa Urzędu Ochrony Danych Osobowych (dalej: PUODO)49. W końcu, inne są konsekwencje naruszenia norm etycznych i prawnych. W pierwszym przypadku w grę wchodzi co najwyżej odpowiedzialność wewnętrzna, w drugim odpowiedzialność zewnętrzna (egzekwowana przez PUODO, a w przypadku odpowiedzialności karnej wymierzana przez sąd50). Jeśli dodamy do tego, że dwie omawiane oceny dokonywane są oddzielnie – jak wskazano wyżej, ocena etyczna musi poprzedzać ocenę zgodności z RODO – to nie ma wątpliwości, że mamy tutaj do czynienia z dwoma niezależnymi rozwiązaniami, które jakkolwiek dotyczą tego samego przedmiotu (projektu badawczego), to muszą być traktowane odrębnie.

Z powyższego wynika, że komisje etyczne nawet jeśli dokonują oceny projektów badawczych w zakresie, w jakim obejmują one przetwarzanie danych osobowych, nie oceniają projektu pod względem spełnienia wymogów RODO. Taka ocena zastrzeżona jest dla innego podmiotu (zazwyczaj IOD) i nie ma sensu, by komisja etyczna wchodziła w jego kompetencje. Co więcej, komisje etyczne nie muszą też kierować się kryteriami oceny wypracowanymi na gruncie tego aktu prawnego, nawet jeśli oceniają rozwiązania, które na gruncie RODO mają ustalone znaczenie. Ich zadaniem jest ocena prawidłowości badań, nie zaś zgodności z RODO, mogą więc to samo użyte pojęcie rozumieć inaczej. Dobrym przykładem jest zgoda podmiotu danych i wymagania, jakie musi spełnić to oświadczenie51. W RODO jest ona precyzyjnie opisana poprzez wskazanie zarówno jej przymiotów – dobrowolna, konkretna, świadoma i jednoznaczna52, a w przypadku danych wrażliwych oraz międzynarodowych transferów danych także wyraźna53 – jak i warunków udzielenia54. Tymczasem kodeksy etyczne zazwyczaj stosują znacznie bardzie ogólne, a przez to liberalne, wymagania w tym zakresie55, co należy uznać za praktykę usprawiedliwioną, jeśli odpowiada ona standardom wypracowanym w danej dziedzinie nauki. Rzecz jasna możliwe jest też rozwiązanie odwrotne, polegające na postawieniu przez komisję etyczną wyższych wymagań niż te, które są określone w RODO. Za przykład niech posłuży nam klauzula informacyjna. RODO określa jej minimalną treść56. Nie ma jednak przeciwwskazań, by komisja etyczna uznała standard z RODO za niewystarczający i zobowiązała badacza do przekazania uczestnikowi badań dodatkowych informacji57.

Zauważmy jeszcze, że powyższe nie oznacza zakazu posiłkowania się przez komisje etyczne dorobkiem interpretacyjnym wypracowanym na gruncie ochrony danych osobowych. Jakkolwiek nie jest to wymagane, to należy taką postawę ocenić pozytywnie, a nawet zalecać, zwłaszcza w takim zakresie, w jakim ochrona danych osobowych jest dziedziną wiodącą, co oznacza, że daje rękojmię najbardziej adekwatnej reakcji na wyzwania związane z rozwojem cywilizacyjnym, w tym rozwojem nowych technologii przetwarzania informacji. Doskonałym przykładem są sposoby zdefiniowania podstawowych pojęć z zakresu ochrony danych, takich jak samo pojęcie danych osobowych, ale też przetwarzanie danych osobowych, pseudonimizacja, poufność danych czy profilowanie58. Inne niż na gruncie prawa ochrony danych osobowych ich zdefiniowanie prowadziłoby do obniżenia standardów ochrony, a co za tym idzie oddziaływałoby odwrotnie do założeń koncepcyjnych dokonywania oceny etycznej badań naukowych – ochrony dobrostanu uczestników badań.

Podsumowując, ocenę etyczną dokonywaną przez komisję etyczną oraz ocenę zgodności z RODO dokonywaną przez podmioty odpowiedzialne za ochronę danych osobowych (zazwyczaj IOD) należy uznać za dwa autonomiczne procesy ewaluacji badań naukowych, mające inne cele i posługujące się innymi kryteriami. Nawet jeśli zakresy przedmiotowe oceny w obydwu przypadkach będą się pokrywać (wykorzystywanie w ramach projektu badawczego danych osobowych), to nie można ich traktować jako tożsamych. W konsekwencji nie można wydać łącznego werdyktu o spełnieniu wymogów etyczno-prawnych ochrony danych osobowych, gdyż oceny spełnienia wymogów etycznych i zgodności z RODO nie muszą się pokrywać. Komisje etyczne dysponują autonomią w zakresie dokonywania oceny spełnienia wymogów ochrony danych osobowych i nie muszą kierować się kryteriami zawartymi w RODO. Zaleca się jednak, by komisje etyczne zapoznawały się na bieżąco z dorobkiem interpretacyjnym wypracowywanym na gruncie prawa ochrony danych osobowych i uwzględniały go przy opracowywaniu własnych wytycznych. Intencja obydwu wskazanych typów oceny jest wszak taka sama – troska o dobrostan oraz prawa i wolności uczestników badań.

Przypisy

  1.  Buttarelli (2016): 1.

  2.  EDPS (2020): 13–14.

  3.  Jagielski (2010): 9 i n.

  4.  Agencja Praw Podstawowych Unii Europejskiej i Rada Europy (2020): 21.

  5.  W Polsce od 1997 r. Por. art. 51 Konstytucji Rzeczypospolitej Polskiej.

  6.  Dwa kluczowe w tym względzie akty to: Europejska konwencja praw człowieka (prawo to zostało wyinterpretowane z art. 8 konwencji) oraz Karta praw podstawowych Unii Europejskiej (gdzie jest ono wyrażone wprost w art. 8).

  7.  Motyw 2.

  8.  W Polsce art. 73 Konstytucji Rzeczypospolitej Polskiej („Każdemu zapewnia się wolność twórczości artystycznej, badań naukowych oraz ogłaszania ich wyników, wolność nauczania, a także wolność korzystania z dóbr kultury”).

  9.  Art. 13 Karty praw podstawowych Unii Europejskiej („Sztuka i badania naukowe są wolne od ograniczeń. Wolność akademicka jest szanowana”).

  10.  Por. art. 179 ust. 1 Traktatu o funkcjonowaniu Unii Europejskiej – „Unia ma na celu wzmacnianie swojej bazy naukowej i technologicznej przez utworzenie europejskiej przestrzeni badawczej, w której naukowcy, wiedza naukowa i technologie podlegają swobodnej wymianie, oraz sprzyjanie rozwojowi swojej konkurencyjności, także w przemyśle, a także promowanie działalności badawczej uznanej za niezbędną na mocy innych rozdziałów Traktatów”.

  11.  Stępkowski (2010): 212 i n.

  12.  Śledzińska-Simon (2019): 111 i n.

  13.  Ibidem: 97.

  14.  Por. orzeczenie Trybunału Konstytucyjnego z 26 kwietnia 1995 r.

  15.  Art. 89 RODO. Patrz też motyw 157 RODO.

  16.  Motyw 159 RODO.

  17.  W literaturze anglojęzycznej określenie to jest czasem używane w liczbie pojedynczej: research exemption (por. van Veen (2017): 1 i n.), co ma podkreślać, że na potrzeby prowadzenia badań naukowych w ramach prawa ochrony danych osobowych stworzony został specjalny badawczy reżim prawny.

  18.  Art. 8 ust. 2 Karty praw podstawowych Unii Europejskiej.

  19.  Art. 5 ust. 1 RODO.

  20.  Art. 5 ust. 2 RODO.

  21.  Pełniejszą analizę przedstawiają m.in. Hintze (2019): 115 i n.; Chassang (2017): 1–12. Trzeba jednak podkreślić, że zagadnienie działalności badawczej w kontekście wymogów prawa ochrony danych osobowych nie zostało jak dotąd w sposób zadowalający opracowane naukowo. Chodzi zwłaszcza o kwestię sposobu zastosowania przedstawionych dalej regulacji RODO w przypadku prowadzenia takiej działalności.

  22.  Art. 89 ust. 1 RODO.

  23.  Smouter-Umans (2018): 29.

  24.  Art. 469a i 469b ustawy Prawo o szkolnictwie wyższym i nauce.

  25.  EDPS (2020): 18.

  26.  Ibidem.

  27.  Motyw 157 RODO.

  28.  Motyw 159 RODO.

  29.  EDPS (2020): 11.

  30.  Motyw 157 RODO. Motyw ten dotyczy wprawdzie bezpośrednio jedynie danych pozyskiwanych z rejestrów, jednak jako wskazówka interpretacyjna odnosi się do badań naukowych w ogóle. Świadczy o tym ostatnie jego zdanie.

  31.  Article 29 Working Party (2018): 28.

  32.  Motyw 157 RODO.

  33.  Motyw 159 RODO.

  34.  EDPS (2020): 12.

  35.  Ibidem.

  36.  Por. Ethics and Data Protection Decisions Tree udostępnione na oficjalnej stronie internetowej Unii Europejskiej prowadzonej przez Komisję Europejską, opracowane w celu wsparcia dla wnioskodawców projektów badawczych. Pytanie o przetwarzanie danych osobowych jest postawione jako pierwsze i determinuje dalsze postępowanie.

  37.  Motyw 33 RODO.

  38.  EDPS (2020): 13–14.

  39.  Przykładem może być przygotowywanie opinii eksperckich. Ich opracowywanie co do zasady nie wymaga akceptacji komisji etycznej. Jeśli jednak w ramach pracy nad nimi dochodzi do przetworzenia danych osobowych, a proces przygotowania opinii nie zostanie poddany ocenie etycznej, to dla takiej działalności należy zastosować ogólne zasady RODO, bez możliwości skorzystania z wyjątków badawczych zawartych w tej regulacji.

  40.  Na marginesie zauważmy, że sytuacja przedstawia się analogicznie, jeśli chodzi o trzecie kryterium wskazane w opinii EDPS (patrz: pytanie 3). Informacja, jaką otrzyma IOD przed dokonaniem przez niego oceny projektu z perspektywy RODO, powinna zatem obejmować także kwestię publicznego celu badań, czyli gwarancję, że nie jest on nakierowany na rozstrzygniecie konkretnego problemu jakiegoś indywidualnego podmiotu.

  41.  Szerzej: EDPD (2020): 14.

  42.  Przykłady za: University of Cambridge: sekcja E, Additional Responsibilities 1: Reasearch Ethics. Por. też European Commission (2021): 4.

  43.  Surmiak (2022): 36.

  44.  Małek-Orłowska, Jach (2022): 20 i n.

  45.  Prywatne podmioty badawcze nie zawsze muszą powoływać IOD. Mogą posługiwać się innymi wewnętrznymi strukturami w celu realizacji obowiązków z dziedziny ochrony danych osobowych (art. 37 ust. 1 RODO).

  46.  Art. 37–39 RODO.

  47.  Art. 8 i n. Ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych.

  48.  Art. 57 ust. 1 lit. h RODO.

  49.  Art. 34 i n. Ustawy o ochronie danych osobowych.

  50.  Art. 107 Ustawy o ochronie danych osobowych.

  51.  Inny przykład to sposób rozumienia zasady rzetelności, która w kontekście nauki (rzetelność badań) odnosi się do standardów badawczych, a w kontekście ochrony danych osobowych (rzetelność przetwarzania) do sposobu traktowania podmiotu danych osobowych.

  52.  Art. 4 pkt. 11 i art. 7 RODO.

  53.  Art. 9 ust. 2 lit. a oraz art. 49 ust. 1 lit. a.

  54.  Art. 7 RODO. Szczegółowe omówienie warunków uzyskania zgody na gruncie RODO zawiera Article 29 Working Party (2018): 20 i n.

  55.  EDPS (2020): 13–14; Surmiak (2022): 43.

  56.  Art. 13 (w przypadku zbierania danych bezpośrednio od podmiotu) lub art. 14 (w przypadku zbierania danych z innego źródła).

  57.  Por. European Commission (2021): 11–13.

  58.  Dobry przykład zastosowania takiego podejścia stanowią wytyczne dotyczące etyki opracowane na poziomie europejskim. Por. European Commission (2021): 5 i n.


Finansowanie: Badania, których efektem jest artykuł, zostały przeprowadzone w ramach działalności naukowej Uniwersytetu Śląskiego w Katowicach finansowanej z dotacji na utrzymanie i rozwój potencjału badawczego uczelni.

Konflikt interesów: Autor oświadcza, że w ramach pracy nad artykułem nie wystąpił konflikt interesów na żadnym z jej etapów.

Licencja: Artykuł opublikowany w otwartym dostępie na licencji Creative Commons Attribution License, która dopuszcza użycie, rozpowszechnianie oraz powielanie w dowolnym medium, pod warunkiem, że oryginalne dzieło jest stosownie cytowane.

Bibliografia

  1. Agencja Praw Podstawowych Unii Europejskiej i Rada Europy (2020), Podręcznik europejskiego prawa o ochronie danych, URL = https://fra.europa.eu/sites/default/files/fra_uploads/fra-coe-edps-2018-handbook-data-protection_pl.pdf [dostęp 05.01.2023].

  2. Article 29 Working Party (2018), Guidelines on Consent under Regulation 2016/679, URL = https://ec.europa.eu/newsroom/article29/items/623051/en [dostęp 05.01.2023].

  3. Buttarelli G. (2016), The Impact of the General Data Protection Regulation on Collaborative Science in Europe and the European Cloud Initiative, Keynote Speech at ISC Intelligence in Science seminar, Brussels, 18 October 2016, URL = https://edps.europa.eu/sites/default/files/publication/16-10-18_speech_isc_en.pdf [dostęp 05.01.2023].

  4. Chassang G. (2017), The Impact of the EU General Data Protection Regulation on Scientific Research, “Ecancer”, URL = https://ecancer.org/en/journal/article/709-the-impact-of-the-eu-general-data-protection-regulation-on-scientific-research [dostęp 05.01.2023].

  5. EDPS (Europejski Inspektor Danych Osobowych) (2020), A Preliminary Opinion on Data Protection and Scientific Research, URL = https://edps.europa.eu/sites/edp/files/publication/20-01-06_opinion_research_en.pdf [dostęp 05.01.2023].

  6. Ethics and Data Protection Decisions Tree, URL = https://ec.europa.eu/assets/rtd/ethics-data-protection-decision-tree/index.html [dostęp 05.01.2023].

  7. European Commission (2021), Ethics and Data Protection, URL = https://ec.europa.eu/info/funding-tenders/opportunities/docs/2021-2027/horizon/guidance/ethics-and-data-protection_he_en.pdf [dostęp 05.01.2023].

  8. Europejska konwencja praw człowieka (Konwencja o Ochronie Praw Człowieka i Podstawowych Wolności sporządzona w Rzymie dnia 4 listopada 1950 r.), Dz.U. 1993 nr 61, poz. 284.

  9. Hintze M. (2019): Science and Privacy: Data Protection Laws and their Impact on Research, “Washington Journal of Law, Technology & Arts” 14 (2): 103–137.

  10. Jagielski M. (2010), Prawo do ochrony danych osobowych. Standardy europejskie, Wolters Kluwer, Warszawa.

  11. Karta praw podstawowych Unii Europejskiej, OJ C 326, 26.10.2012: 391–407.

  12. Konstytucja Rzeczypospolitej Polskiej z dnia 2 kwietnia 1997 r., Dz.U. 1997 nr 78, poz. 483.

  13. Małek-Orłowska M., Jach K. (2022), Aspekty normatywne i aktualna sytuacja komisji etyki badań naukowych z udziałem ludzi na polskich uczelniach technicznych, „Diametros” 74: 19–35.

  14. Orzeczenie Trybunału Konstytucyjnego z 26 kwietnia 1995 r., sygn. K 11/94.

  15. RODO (Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE) – ogólne rozporządzenie o ochronie danych, OJ L 119, 4.5.2016: 1–88.

  16. Smouter-Umans K.L. (2018), GDPR and Research: Is the GDPR Eventually Going to Be Good or Bad for Research, “International Journal for the Data Protection Officer, Privacy Officer and Privacy Counsel” 2 (3): 29–30.

  17. Stępkowski A. (2010), Zasada proporcjonalności w europejskiej kulturze prawnej. Sądowa kontrola władzy dyskrecjonalnej w nowoczesnej Europie, Liber, Warszawa.

  18. Surmiak A. (2022), Etyka naukowych badań społecznych. Pomiędzy kodyfikacją i instytucjonalizacją a praktyką badawczą, „Diametros” 74: 36–50.

  19. Śledzińska-Simon A. (2019), Analiza proporcjonalności ograniczeń konstytucyjnych praw i wolności. Teoria i praktyka, Prace Naukowe Wydziału Prawa, Administracji i Ekonomii Uniwersytetu Wrocławskiego, Wrocław.

  20. Traktat o funkcjonowaniu Unii Europejskiej (wersja skonsolidowana), OJ C 326, 26.10.2012: 47–390.

  21. van Veen E.B. (2017), GDPR and Research. A Basic Overview, URL = https://www.medlaw.nl/wpcontent/uploads/2018/01/GDPRrshexemptionsv.1.4.pdf [dostęp 05.01.2023].

  22. University of Cambridge, Academic Research Involving Personal Data, URL = https://www.research-integrity.admin.cam.ac.uk/academic-research-involving-personal-data [dostęp 05.01.2023].

  23. Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych, tekst jednolity Dz.U. 2019 poz. 1781.

  24. Ustawa z dnia 20 lipca 2018 r. Prawo o szkolnictwie wyższym i nauce, tekst jednolity Dz.U. 2021 poz. 478, z późn. zm.