Centrum för forsknings- & bioetik (CRB)

Nytt avtal om överföring av personuppgifter till USA

2016-03-15

Det ogiltigförklarade Safe Harbour-beslutet har försatt forskningssamarbeten i en knepig situation. Här ger Jane Reichel, professor i förvaltningsrätt vid Uppsala universitet, en uppdatering om de pågående förhandlingarna.

Jane ReichelNyligen presenterade EU-kommissionen ett utkast till beslut om adekvat skyddsnivå för överföring av data till USA. Utkastet är ett resultat av förhandlingarna med USA. Det går under namnet EU-US Privacy Shield och är avsett att ersätta det tidigare, numera ogiltigförklarade, beslutet om Safe Harbour. Beslutet innefattar dataskyddsprinciper som amerikanska organisationer och företag ska tillämpa för att uppfylla kraven enligt EU-rätten. Det är formulerat som ett allmänt beslut, men riktar sig främst till kommersiella aktörer.

Avtalet om “integritetsskölden” baseras på självcertifiering. Amerikanska organisationer som har förbundit sig att följa dataskyddsprinciperna är med på en lista som upprättas av det amerikanska handelsdepartementet, Department of Commerce. Det förutsätts att åtagandet utvärderas varje år. Skölden avser att skydda EU-data som hanteras i USA. Innan data överförs ska den personuppgiftsansvarige i EU se till att det finns en rättslig grund för att tillåta att data behandlas, till exempel ett informerat samtycke eller ett avtal. Dataskyddsprinciperna består av 13 Framework Principles som motsvaras av grundläggande dataprinciper i dataskyddsdirektivet och ett antal Supplemental Principles, som innehåller specifikationer och undantag från Framework Principles, samt institutionella och organisatoriska regler som de amerikanska personuppgiftsansvariga att följa. Principerna finns i annex II till beslutet.

Framework Principles inkluderar en Notice Principle och en Choice principle. Den första kräver att organisationer lämnar information om de viktigaste aspekterna i hanteringen av personliga data till datasubjekten, det vill säga de personer vars data hanteras. Den andra principen betyder att den som är registerad kan välja att dra tillbaka sina data (opt-out) om personlig information om dem lämnas ut till tredje part. När det gäller känsliga data behöver organisationer inhämta nytt samtycke (opt-in) innan man lämnar ut sådan information till tredje part eller använder den för nya syften. Supplemental Principles ger utrymme för vissa undantag när det gäller medicinska och farmaceutiska produkter (artikel 14). Det finns också ett litet utrymme när det gäller samtycke för framtida användning. Så länge som underrättandet datasubjektet fått innehåller en förklaring att personliga data kan användas i framtida, ännu ej förutsedd, medicinsk och farmaceutisk forskning, har man möjlighet att använda data för nya vetenskapliga aktiviteter. Men, det finns tydliga gränser för hur brett det här samtycket kan vara. Å andra sidan kan kodad data under vissa omständigheter betraktas som icke-identifierbar data (artikel 14g), och därmed falla utanför EU:s dataskyddslagstiftning och skölden.  

Nästa steg är att EUs arbetsgrupp för Artikel 29 arbetsgruppen uttalar sig om utkastet till beslut och anger om de anser att det är i överensstämmelse med grundläggande EU-lagstiftning om dataskyddsprinciper.

Mer nyheter från CRB