A GDPR perspective on scientific research in times of a pandemic

08.04.2020 – Authors: Roxana Ionescu & Irina Vasile

The article is available in English and Romanian. Please scroll down for Romanian language./Articolul este disponibil în limba engleză și în limba română.

The current global climate has changed the manner in which we socialize, work and engage even in the simplest activities. We had to quickly adapt to speaking with our friends over video calls, working primarily from home and going out of the house to the most limited extent possible, generally only to conduct essential activities, as defined by the public authorities. In the mean time however, various organizations and entities around the world are doing their best to protect us and to perform the necessary research in order to pin down COVID-19.

An inherent part of scientific research is that an accurate and sufficiently vast set of data is necessary in order to obtain reliable results. If the information comprises personal data, as it will in most cases, then the rules regarding processing of personal data come into play.

To start off, scientific research has always been a primary focus for the EU with the sharing of data for this purpose being promoted in the fundamental treaties of the Union. Recently, the Committee for Medicinal Products for Human Use of the European Medicines Agency has indicated it is now more than ever necessary for institutions to collaborate to obtain “robust and interpretable evidence” in view of finding a safe treatment for COVID-19.

As processing personal data in this context may pose a lot of questions, we summarize some main points of interest particularly with respect to scientific research.

If we collect data for a particular purpose and then decide we want to use it or share it for scientific research, are we allowed to?

Yes, the GDPR institutes a compatibility presumption in relation to further processing for scientific research, if this is conducted subject to specific safeguards (e.g., pseudonymisation) as regulated under the GDPR. In this scenario, scientific research may not be considered incompatible with the initial processing purposes.

This presumption may prove useful for the various actors within the medical and healthcare sectors, insofar a particular set of data could be useful for research in the context of COVID-19.

Actually, in its “Preliminary Opinion on data protection and scientific research“, the European Data Protection Supervisor (EDPS) stated that, generally, personal data which has been collected in a healthcare context may be used for scientific research purposes by the original or a new controller, subject to appropriate safeguards being in place.

Is our processing lawful?

Processing personal data must always be substantiated on a legal ground and, if special categories of data are involved (such as health data), an additional guarantee is needed to ensure processing is conducted in compliance with data protection rules.

Depending on their regulated object of activity, entities might be able to argue that processing data for scientific research purposes in the context of COVID-19 is undertaken for the performance of a task carried out in the public interest or in the legitimate interests of a third party (e.g., the public authorities, the community as a whole) and for reasons of substantial public interest, including as regards protecting against serious cross-border threats to health.

The Romanian local data protection regime also provides for suitable and specific measures to safeguard processing data for tasks carried out in the public interest, such as implementing adequate technical and organizational measures for ensuring compliance with the data minimization principle.

Before commencing processing for scientific research purposes, entities should always analyze the particularities of their processing and any legal obligations which may be incumbent/ relevant in their object of activity.

Are there any safeguards we should particularly consider?

Yes. The GDPR specifically indicates pseudonymisation as a safeguard for data processed for scientific research indicating this could be particularly relevant for compliance with the data minimization principle.

In addition, the GDPR provides for the undertaking of scientific research on the basis of data which does not permit or no longer permits the identification of data subjects, if the processing purpose may be fulfilled as such. In this respect, Recital 26 of the GDPR indicates that “principles of data protection should therefore not apply to anonymous information, namely information which does not relate to an identified or identifiable natural person or to personal data rendered anonymous in such a manner that the data subject is not or no longer identifiable”.

Effectively anonymised data” has also recently been confirmed to fall outside the scope of data protection rules by the EDPS, in its Statement on monitoring the spread of COVID-19.

What about storage?

Data processed for scientific research may be stored for longer periods of time subject to implementing appropriate technical and organizational measures. That being said however, such data cannot be stored on an indefinite basis and entities are still subject to determining storage durations and ensuring such durations are being complied with in practice.

Does anything change in relation to data subject rights?

Yes, there are certain exemptions and particularities for data subject rights being exercised in the context of scientific research purposes.

For example, an entity may be able to not give effect to a right to erasure request if this would render impossible or seriously impair the achievement of the objectives of its scientific research processing.

In addition, data subjects are able to object to scientific research processing on grounds relating to their particular situation, if such processing is not necessary for the performance of a task carried out for reasons of public interest.

Do we have to take into consideration any other aspects?

While scientific research processing may be subject to certain specificities and, in certain cases, derogations, GDPR obligations and measures stemming from local data protection regimes continue to be applicable.

Entities engaging in scientific research should carry out an assessment as to the manner in which they will comply with any data protection rules, such as the need to conduct a data protection impact assessment for large scale processing of health data, the provision of information to data subjects as regards further processing, etc. This was applicable even before the current pandemic activity, hence a first step would be to check if the data protection impact assessments prepared before are sufficient to cover this activity or need to be slightly adjusted.


Scientific research may enable us to overcome the current global crisis. The GDPR and the local regimes outline the necessary mechanisms to follow in order to ensure that data protection is being complied with and remains a priority. Stay safe!


O perspectivă GDPR cu privire la cercetarea științifică în timpul unei pandemii

Climatul global curent a schimbat modalitatea în care socializăm, lucrăm și ne implicăm chiar și în cele mai simple activități. A trebuit să ne adaptăm rapid la a interacționa cu prietenii noștri prin conferințe video, a lucra în principal de acasă și a ieși afară cât mai puțin posibil, în general doar pentru activități esențiale, conform celor indicate de autoritățile publice. Între timp însă, multe organizații și entități din jurul lumii luptă pentru a ne proteja și pentru a realiza studiile necesare în vederea opririi COVID-19.

O parte inerentă din cercetarea științifică este reprezentată de faptul că pentru a obține rezultate de încredere, este necesar un set de date exact și suficient de vast. Dacă informațiile cuprind și date cu caracter personal, cum se va întâmpla în cele mai multe cazuri, devin aplicabile regulile privind protecția acestora.

De la bun început trebuie precizat că cercetarea științifică a fost întotdeauna o preocupare pentru UE, schimbul de date pentru acest scop fiind promovat în tratatele fundamentale ale Uniunii. Recent, Comitetul pentru medicamente de uz uman din partea Agenției Europene pentru Medicamente a indicat faptul că acum, mai mult ca niciodată, este necesar ca instituțiile să colaboreze pentru a obține date solide ce pot fi interpretate în vederea identificării unui tratament sigur pentru COVID-19.

Prelucrarea datelor cu caracter personal în acest context poate ridica multe întrebări, astfel că adresăm câteva aspecte principale ce pot fi de interes particular pentru cercetarea științifică.

Colectăm date pentru un anumit scop și ulterior decidem că vrem să le folosim sau să le dezvăluim pentru scopuri de cercetare științifică  – este posibil?

Da, în GDPR se instituie o prezumție de compatibilitate între prelucrarea ulterioară în scopuri de cercetare științifică, dacă aceasta este efectuată cu respectarea unor garanții specifice (spre ex., pseudonimizare), după cum este reglementat în GDPR. În acest scenariu, cercetarea științifică poate să nu fie considerată incompatibilă cu scopurile inițiale de prelucrare.

Această prezumție poate fi de interes pentru diverșii actori din sectoarele medicale și de sănătate, în cazul în care un set particular de date pe care îl dețin ar putea fi util pentru cercetarea în contextul COVID-19.

De fapt, în Opinia Preliminară cu privire la protecția datelor și cercetarea ștințifică, Supervizorul European pentru Protecția Datelor (SEPD) a indicat faptul că, în general, datele cu caracter personal care au fost colectate în contextul serviciilor de sănătate pot fi utilizate pentru scopuri de cercetare științifică de către operatorul inițial sau de către un nou operator, sub rezerva instituirii garanțiilor adecvate.

Prelucrarea noastră este legală?

Prelucrarea datelor cu caracter personal trebuie întotdeauna fundamentată pe un temei legal și, dacă prelucrarea implică și categorii speciale de date (cum ar fi date privind sănătatea), o garanție suplimentară este necesară pentru a asigura desfășurarea prelucrării în concordanță cu regulile din materia protecției datelor.

În funcție de obiectul stabilit de activitate, entitățile ar putea argumenta că prelucrarea datelor pentru scopuri de cercetare științifică în contextul COVID-19 este realizată pentru îndeplinirea unei sarcini care servește unui interes public sau în considerarea intereselor legitime urmărite de o parte terță (spre ex., autoritățile publice, comunitatea largă) și pentru motive de interes public major, inclusiv cu privire la protecția împotriva amenințărilor transfrontaliere grave la adresa sănătății.

Regimul juridic național aplicabil cu privire la protecția datelor prevede măsuri adecvate și specifice pentru prelucrarea datelor realizată în îndeplinirea unei sarcini ce servește unui interes public, cum ar fi implementarea măsurilor tehnice și organizatorice pentru asigurarea conformării cu principiul reducerii la minimum a datelor prelucrate.

Înaintea începerii prelucrării pentru scopuri de cercetare științifică, entitățile trebuie întotdeauna să analizeze particularitățile prelucrării pe care vor să o desfășoare, precum și orice alte obligații legale care ar putea fi aplicabile/ relevante în contextul obiectului lor de activitate.

Există măsuri particulare pe care ar trebui să le avem în vedere?

Da. În GDPR se indică în mod specific pseudonimizarea în contextul prelucrării datelor pentru scopuri științifice indicând că o asemenea măsură ar putea fi relevantă pentru conformarea cu principiul reducerii la minimum a datelor prelucrate.

Suplimentar, în GDPR se indică posibilitatea desfășurării cercetării științifice în baza datelor care nu permit sau care nu mai permit identificarea persoanelor vizate, dacă astfel pot fi atinse scopurile de prelucrare. În acest sens, considerentul 26 din GDPR indică faptul că „principiile protecției datelor ar trebui, prin urmare, să nu se aplice informațiilor anonime, adică informațiilor care nu sunt legate de o persoană fizică identificată sau identificabilă sau datelor cu caracter personal care sunt anonimizate astfel încât persoana vizată nu este sau nu mai este identificabilă.

De asemenea, SEPD a confirmat recent într-o Declarație cu privire la monitorizarea răspândirii COVID-19 că datele efectiv anonimizate nu atrag incidența regulilor privind protecția datelor.

Cum stocăm datele?

Datele prelucrate pentru scopuri de cercetare științifică pot fi stocate pe durate mai mari de timp sub rezerva implementării măsurilor tehnice și organizatorice adecvate. Acestea fiind zise, datele nu pot fi stocate pe o durată nedeterminată de timp iar entitățile sunt obligate în continuare să stabilească durate de stocare și să se asigure că astfel de durate sunt respectate în practică.

Există modificări în ceea ce privește drepturile persoanelor vizate?

Da, există anumite excepții și particularități cu privire la exercitarea drepturilor persoanelor vizate în contextul cercetării științifice.

Spre exemplu, o entitate poate decide să nu dea efect unei cereri în baza dreptului la ștergerea datelor, dacă ștergerea respectivelor date este susceptibilă să facă imposibilă sau să afecteze în mod grav realizarea obiectivelor prelucrării.

În plus, persoanele vizate pot să se opună prelucrării datelor în scopuri de cercetare științifică, din motive legate de situațiile lor particulare, dacă prelucrarea nu este necesară pentru îndeplinirea unei sarcini din motive de interes public.

Trebuie să luăm în considerare și alte aspecte?

Deși cercetarea științifică poate face obiectul unor particularități și, în anumite situații, a unor derogări, prevederile GDPR și măsurile emanând din regimul național aplicabil în materia protecției datelor continuă să se aplice.

Entitățile care realizează cercetare științifică ar trebui să analizeze modalitatea în care se conformează cu regulile de protecția datelor, cum ar fi necesitatea realizării unei evaluări a impactului asupra protecției datelor în cazul prelucrării pe scară largă a datelor privind starea de sănătate, furnizarea de informații persoanei vizate cu privire la prelucrările ulterioare, etc. Aceste aspecte erau aplicabile și înaintea situației pandemice cu care ne confruntăm în prezent, astfel că primul pas ar fi să se verifice dacă evaluările pregătite înainte sunt suficiente pentru a acoperi și această activitate de prelucrare sau dacă sunt necesare anumite modificări.


Cercetarea științifică ne poate ajuta să depășim criza globală prin care trecem. GDPR și legislația națională evidențiază mecanismele ce trebuie respectate pentru ca entitățile să asigure conformarea cu prevederile legale și pentru ca protecția datelor să rămână o prioritate.

Sitemap | Terms and Conditions | Privacy Policy | Cookies Policy | Update your cookies consent

Copyright © 2009-2024 Nestor Nestor Diculescu Kingston Petersen SCA. All Rights Reserved.