Centrum för forsknings- & bioetik (CRB)

Ny ansats för europeisk dataskyddslagstiftning

2015-09-28

Den föreslagna europeiska dataskyddsförordningen fortsätter sin resa genom lagstiftningsproceduren. I sommar startar “trilogen” där Rådet, Europaparlamentet och Kommissionen skall försöka förhandla fram en slutversion. Anna-Sara Lind kommenterar här den pågående processen.

I skrivande stund görs intensive ansträngningar i syfte att enas om en gemensam syn på dataskydd i Europeiska unionen. EU:s institutioner har, i enlighet med de lagstiftningsregler som gäller i EU, satt samman varsitt dokument som visar hur deras respektive version av en förordning skulle se ut. Värt att notera är att de tre versionerna skiljer sig åt när det handlar om forskning på biobanksområdet. Vid en jämförelse av de olika dokumenten framstår det tydligt att Rådet är mer generöst inställt till forskning än de andra institutionerna. Europaparlamentet, å andra sidan, strävar efter ett starkare skydd för den personliga integriteten på alla fält, även forskning.

Europaparlamentets ståndpunkt i fråga om ändamålsbegränsning är ett exempel på detta. Idag är huvudregeln att data som samlats in för ett visst syfte inte skall kunna användas för andra ändamål om inte samtycke har getts för de nya ändamålen. Denna regel innehåller dock ett undantag för forskning, vilket Europaparlamentet motsätter sig. Rådet däremot kräver att undantagsregeln skall stå kvar i den nya förordningen. Samtycke är således problematiskt att hantera i förhandlingarna.  Det är långt ifrån klart om EU:s institutioner kommer att kunna komma överens om en forskningsvänlig regel som medger behandling av stora mängder data utan aktivt samtycke.

En annan viktig fråga för forskarna är hur anonymisering och pseuonymisering kommer att hanteras i den nya förordningen. Det främsta skälet till varför en ny förordning behövs är att skyddet för den personliga integriteten stärks på alla områden. Det har dock visat sig att det är svårt för EU:s institutioner att inkludera möjligheten för forskare att beforska data som kan knytas till och identifiera individer. Europaparlamentet kräver att ingen skall kunna bli identifierad. Om detta krav skulle uppfyllas så innebär det vidare att information måste tas bort vilket i sin tur undergräver forskningsresultaten.

Under förhandlingarna I somras underströk Kommissionen att nuvarande dataskyddsdirektiv motsvarar en miniminivå av skyddet för den personliga integriteten och skall som sådan vara lägsta nivå på det som förhandlingarna strävar efter att uppnå. Målet är att uppnå en uppsättning regler som är giltigt över hela EU. En ny förordning är tänkt att stärka rättigheterna och ge individerna kontroll över sina data. Ansvarig kommissionär har också understrukit vikten av att skapa ett system där samma regler tillämpas för företag i och utanför EU. Förordningen skall också inkludera en effektiv förvaltningsorganisation som förenklar för såväl företag som enskilda. När förhandlingarna väl avslutas och parterna har enats om förordningens utformning så tar det ytterligare två år innan förordningen träder ikraft.

Anna-Sara Lind

Mer nyheter från CRB