i STANDARDÓW ETYKI BADAŃ ORAZ
WYMOGÓW RODO
Koordynator ewaluacji
Koordynator UCZESTNIKÓW
Koordynator techniczny
Dostawcy rozwiązań
INFORMACJE o NARZĘDZIU
PRZEZNACZENIE
NARZĘDZIA
Istotne dla wszystkich trzech wymiarów wydajności Trialu są zagadnienia związane z etyką badań. Zasady i standardy etyki badań stanowią element metodologii TGM i należy je wziąć pod uwagę podczas planowania Trialu. Ilekroć w działaniach biorą udział ludzie, należy postępować zgodnie z zasadami i wymogami dotyczącymi ochrony danych, aby chronić ich prywatność i uregulować odpowiednio ich udział w Trialu. Obowiązki z tym związane najbardziej szczegółowo określono w ogólnym rozporządzeniu o ochronie danych osobowych (RODO) przyjętym przez UE. RODO opiera się na szeregu zasad ochrony prywatności, które zostały pokrótce opisane poniżej. Niniejsze wytyczne, bazujące na tych zasadach, określają zbiór wymagań i zaleceń związanych z każdą spośród trzech faz Trialu: przygotowaniem, realizacją i oceną. Po wprowadzeniu nowego rozporządzenia na przedsiębiorstwo może zostać nałożona kara w wysokości 2% całkowitego rocznego obrotu firmy na całym świecie za brak porządku w dokumentacji (art. 28 RODO), za niepowiadomienie organu nadzorczego i osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych lub za nieprzeprowadzenie oceny oddziaływania. W przypadku przeprowadzanych Triali zmiany wprowadzone rozporządzeniem dotyczą głównie praw obywateli. Prawa osób, których dane dotyczą, zostały szczegółowo opisane w rozdziale III RODO. Nowe zasady dla przedsiębiorstw obowiązują również w kontekście Trialu, przy czym wdrożenie i egzekwowanie RODO leży w gestii odnośnej spółki/organizacji uczestniczącej w Trialu. Podsumowując, niniejsze wytyczne dotyczące etyki (stanowiące element metodologii Trial Guidance Methodology) nie mają na celu pomagania przedsiębiorstwom w dostosowaniu się do wymagań RODO. Odnoszą się one przede wszystkim do praw osób, których dane dotyczą i które mogą potencjalnie uczestniczyć w działaniach związanych z Trialem.
Poniższe wytyczne odzwierciedlają najbardziej prawdopodobne problemy i zagadnienia związane z organizacją Trialu, ale nie mają charakteru wyczerpującego. Wynika to z faktu, że aby móc dokładnie określić, jakie problemy mogą być istotne dla danego Trialu, konieczne są szczegółowe informacje dotyczące zastosowanej konfiguracji, takie jak scenariusz i zakres zaangażowania uczestników zewnętrznych, np. ochotników. Wytyczne stanowią jednak przydatną wskazówkę na temat potencjalnie ważnych problemów i sposobu ich rozwiązania.
Najpierw zapoznajmy się ogólnie z niektórymi najważniejszymi zasadami RODO:
Zgodność z prawem, uczciwość i przejrzystość: Zgodność z prawem, uczciwość i przejrzystość: RODO wyraźnie określa, że przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w zakresie, w jakim – spełniony jest co najmniej jeden z szeregu warunków (art. 6 RODO). Warunki te przewidują na przykład, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów. Warunki udzielenia zgody zostały uściślone, a zgodnie z rozporządzeniem zgoda musi być udzielona w zrozumiałej i łatwo dostępnej formie oraz prostym językiem.
Ograniczenia dotyczące zbierania, przetwarzania i celu: RODO wskazuje, że dane osobowe można zbierać wyłącznie „w konkretnych, wyraźnych i prawnie uzasadnionych celach” [art. 5 ust. 1(b) RODO]. RODO przewiduje również, że osoby, których dane dotyczą, powinny móc „wyrazić zgodę tylko na niektóre obszary badań lub elementy projektów badawczych, o ile umożliwia to zamierzony cel”. Art. 17 przyznaje każdej osobie, której dane dotyczą, prawo do usunięcia danych po wycofaniu zgody lub wyrażeniu sprzeciwu wobec przetwarzania, a także wtedy, gdy dane nie są już potrzebne w celu, do którego zostały zebrane. Na mocy RODO nie ma obowiązku przesyłania zawiadomień/rejestracji do każdego inspektora ochrony danych (IOD) o czynnościach związanych z przetwarzaniem danych. Zamiast tego obowiązują wymagania dotyczące prowadzenia dokumentacji wewnętrznej, przy czym w niektórych przypadkach powołanie IOD jest obowiązkowe.
Dokładność: RODO przewiduje, że dane muszą być „prawidłowe i w razie potrzeby uaktualniane” [art. 5 ust. 1(d) RODO].
Ograniczenie ilości danych & ochrona prywatności w fazie projektowania (Privacy by Design): Przepisy RODO wskazują, że dane zbierane na temat danej osoby powinny być „adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane” [art. 5 ust. 1(c) RODO]. Ochrona prywatności w fazie projektowania (privacy by design), która jest nowym wymogiem prawnym na mocy RODO, wymaga uwzględnienia ochrony danych od początku projektowania systemów – nie może być dodana później. Art. 23 wymaga od administratorów danych posiadania i przetwarzania wyłącznie danych absolutnie niezbędnych do realizacji ich obowiązków (ograniczenie ilości danych), a także ograniczenie dostępu do danych osobowych wyłącznie do osób, które muszą dokonywać przetwarzania.
Ograniczenia przechowywania/integralność i poufność: RODO wymaga, aby dane osobowe były „przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne” [art. 5 ust. 1(e) RODO]. Ponadto przepisy rozporządzenia wskazują, że podmioty przetwarzające dane powinny robić to „w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem” [art. 5 ust. 1(f) RODO]. Prawo do bycia zapomnianym, nazywane także prawem do usunięcia danych, upoważnia osobę, której dane dotyczą, do żądania od administratora danych usunięcia jej danych osobowych, zaprzestania dalszego rozpowszechniania danych i ewentualnie zmuszenia osób trzecich do zaprzestania przetwarzania danych. Warunkiem usunięcia danych, jak opisano to w art. 17, jest ustanie pierwotnego celu przetwarzania danych lub wycofanie zgody przez osobę, której dane dotyczą.
Wymagania & zalecenia dotyczące RODO na etapie fazy przygotowawcze
Ustal, czy konieczne jest przeprowadzenie oceny skutków dla ochrony danych (Data Protection Impact Assessment, DPIA) [zob. rozdział 3, art. 35 RODO]. Ocena DPIA wymagana jest w szczególności w następujących przypadkach:
- systematyczna, kompleksowa ocena czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną;
- przetwarzanie na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, lub danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10; lub or
- systematyczne monitorowanie na dużą skalę miejsc dostępnych publicznie.
- Należy dopilnować, aby dane były zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami [art. 5 ust. 1(b) RODO].
- Poinformuj osobę, której dane dotyczą (osobę, od której zbierane są dane osobowe), o tożsamości administratora danych oraz o jego danych kontaktowych, o rodzaju danych, które będą zbierane i przetwarzane oraz o sposobie wykorzystania przekazanych danych, a także upewnij się, że dane faktycznie zebrane są zgodne z tym opisem. Przekaż informacje na temat celu badań, osób, które otrzymają dostęp do danych oraz o czasie przechowywania materiałów. Informacje te należy podać w formularzu świadomej zgody, który musi zostać podpisany przez osobę, której dane dotyczą, przed zebraniem danych.
- Wyraźnie zaznacz fakt przeprowadzania obserwacji lub wykonywania nagrań. Daj każdej osobie, na którą czynność ta może potencjalnie wpływać, możliwość zrezygnowania z bycia obserwowanym lub nagrywanym.
- Zawsze informuj wszystkich uczestników i potencjalne osoby postronne dokładnie i z odpowiednim wyprzedzeniem o przeprowadzanym badaniu. Jeżeli czynność może wpływać na osoby postronne, np. poprzez narażenie ich na ekspozycję na prowadzone działania symulacyjne, należy im z wyprzedzeniem udzielić możliwie jak najbardziej wyczerpujących informacji. Można tego dokonać np. poprzez wywieszenie plakatów informacyjnych w okolicy, w której Trial będzie przeprowadzany. Takie postępowanie uważa się za dobrą praktykę, mimo że osób postronnych nie kwalifikuje się do kategorii „osób, których dane dotyczą”. Zależy to jednak od sytuacji. Jeżeli dostawcy usług zapewniają nadzór kamer wideo lub śledzenie osób postronnych, wówczas mogą one stać się osobami, których dane dotyczą, w rozumieniu RODO.
Wymagania & zalecenia dotyczące RODO na etapie fazy przygotowawczejcd.
- W razie potrzeby należy skonsultować się z lokalnymi organami odpowiedzialnymi za ochronę danych, aby dopilnować przestrzegania przepisów dotyczących ochrony danych. W razie konieczności należy dokonać stosownej rejestracji w organach krajowych. RODO nie wymaga już zawiadamiania IOD o przetwarzaniu danych. Istnieją jednak inne obowiązki, które mogą wpływać na prawa uczestników, takie jak obowiązek przeprowadzenia oceny skutków dla ochrony danych oraz wcześniejszych konsultacji (opisy sytuacji, w których są one wymagane, znajdują się w art. 35 i 36 RODO).
- Osoba, której dane dotyczą, ma prawo do tego, by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa (art. 22 RODO). Jeżeli tego rodzaju przetwarzanie jest niezbędne w ramach projektu DRIVER+ (np. w przypadku „potencjalnie zautomatyzowanego” pomiaru wydajności i rejestrowania danych za pomocą infrastruktury technicznej w ramach SP92), decyzja musi opierać się na wyraźnej zgodzie udzielonej przez osobę, której dane dotyczą [art. 22 ust. 2(c) RODO].
- Zaplanuj praktyczną realizację zasady ograniczenia ilości danych, tzn. unikaj zbierania niepotrzebnych danych.
- Zaplanuj i zadbaj o to, aby zbierane dane osobowe były przechowywane w bezpieczny sposób, np. poprzez zastosowanie norm z grupy ISO/IEC 27000 lub wytycznych wydawanych przez brytyjskie Narodowe Centrum Cyberbezpieczeństwa (National Cyber Security Center).
- Z zasady poddawaj anonimizacji i szyfruj dane osobowe.
- Wykorzystuj technologię do rejestracji danych wyłącznie wtedy, gdy jest to konieczne. Dopilnuj uzasadnienia.
Wymagania & zalecenia dotyczące RODO na etapie fazy realizacji
- W przypadku gdy dojdzie do zhakowania serwerów lub przejęcia danych osobowych w inny sposób przez osobę nieuprawnioną, przepisy we wszystkich państwach członkowskich wymagają obecnie zgłaszania tego rodzaju naruszeń. Dotyczy to przypadków, w których naruszenie ochrony danych osobowych może powodować „ryzyko naruszenia praw lub wolności osób, których dane dotyczą”. Zgłoszenia należy dokonać w ciągu
- 72 godzin od powzięcia po raz pierwszy informacji o naruszeniu.
- Zadbaj o to, aby zbierane dane osobowe były przechowywane w bezpieczny sposób, np. poprzez zastosowanie norm z grupy ISO/IEC 27000 lub wytycznych wydawanych przez brytyjskie Narodowe Centrum Cyberbezpieczeństwa (National Cyber Security Center).
- Wykorzystuj technologię do rejestracji danych wyłącznie wtedy, gdy jest to konieczne. Dopilnuj uzasadnienia.
- Wprowadź w praktyce zasadę ograniczenia ilości danych, tzn. unikaj zbierania niepotrzebnych danych. Zebrane dane, które nie są już konieczne, należy usuwać. Dzięki temu w przypadku naruszenia ochrony danych liczba osób dotkniętych naruszeniem będzie mniejsza.
- Nie należy przetwarzać danych, które są nieaktualne.
- Z zasady poddawaj anonimizacji i szyfruj dane osobowe.
- Pamiętaj, że na mocy RODO każda osoba znajdująca się w Unii Europejskiej (każda osoba mieszkająca w UE, nie tylko obywatele państw UE) może zażądać usunięcia swoich danych osobowych z bazy danych przedsiębiorstwa lub uzasadnienia, dlaczego jest to niemożliwe.
- Osoba, której dane dotyczą, ma prawo do tego, by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa (art. 22 RODO). Jeżeli tego rodzaju przetwarzanie jest niezbędne do realizacji Trialu (np. w przypadku „potencjalnie zautomatyzowanego” pomiaru wydajności i rejestrowania danych za pomocą infrastruktury Test-bed Technical Infrastructure), decyzja musi opierać się na wyraźnej zgodzie udzielonej przez osobę, której dane dotyczą [art. 22 ust. 2(c) RODO].
- Należy dopilnować, aby dane były zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami [art. 5 ust. 1(b) RODO].
Wymagania & zalecenia dotyczące RODO na etapie fazy ewaluacji
- W przypadku gdy dojdzie do zhakowania serwerów lub przejęcia danych osobowych w inny sposób przez osobę nieuprawnioną, przepisy we wszystkich państwach członkowskich wymagają obecnie zgłaszania tego rodzaju naruszeń. Dotyczy to przypadków, w których naruszenie ochrony danych osobowych może powodować „ryzyko naruszenia praw lub wolności osób, których dane dotyczą”. Zgłoszenia należy dokonać w ciągu 72 godzin od powzięcia po raz pierwszy informacji o naruszeniu.
- Nie wolno ponownie wykorzystywać danych bez umowy pisemnej. Jeżeli administrator zamierza przetwarzać dane w innym celu, wówczas od osoby, której dane dotyczą, należy uzyskać zaktualizowaną podpisaną świadomą zgodę.
- Nie należy przetwarzać danych, które są nieaktualne
- Zebrane dane, które nie są już konieczne, należy usuwać. Dzięki temu w przypadku naruszenia ochrony danych liczba osób dotkniętych naruszeniem będzie mniejsza.
- Z zasady poddawaj anonimizacji i szyfruj dane osobowe. Dane osobowe powinny być „przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne” [art. 5 ust. 1(e) RODO].
- Podmioty przetwarzające/analizujące dane osobowe powinny robić to „w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem” [art. 5 ust. 1(f) RODO].
- Pamiętaj, że na mocy RODO każda osoba znajdująca się w Unii Europejskiej (każda osoba mieszkająca w UE, nie tylko obywatele państw UE) może zażądać usunięcia swoich danych osobowych z bazy danych przedsiębiorstwa lub uzasadnienia, dlaczego jest to niemożliwe.
- Jeżeli dane osobowe znajdują się w opisie rezultatów Trialu przechowywanym w PoS, fakt ten wymaga uzasadnienia.
- Oprócz zapewnienia, aby dane osobowe były zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach, należy również dopilnować, aby dane nie były przetwarzane dalej w sposób niezgodny z tymi celami [art. 5 ust. 1(b) RODO].
Link
- Nie jest to narzędzie fizyczne, lecz proces.