Nya europiska riktlinjer om forskning

I mitten av april i år antog den Europeiska dataskyddsstyrelsen (EDPB) riktlinjer för behandling av personuppgifter vid forskning. Riktlinjerna är nu ute på offentligt samråd och vem som helst får komma med synpunkter fram till den 25 juni.

Den svenska dataskyddsmyndigheten IMY har lett arbetet med riktlinjerna sedan 2023, då IMY tog över stafettpinnen efter den nederländska dataskyddsmyndigheten. Här berättar Cedric Voss, jurist vid Enheten för EU-samarbete vid Integritetsskyddsmyndigheten (IMY), om arbetet med riktlinjerna.

– Min huvuduppgift har varit att driva arbetet framåt. Riktlinjerna har stor bredd och arbetet har präglats av en hög ambitionsnivå. Men med facit i hand hade det kanske varit bättre med mindre omfattande riktlinjer och att vi i stället fokuserat på en fråga i taget. Då hade arbetet säkert tagit kortare tid. Fördelen nu är dock att riktlinjerna innehåller mycket vägledning och att vi faktiskt kommit framåt i flera viktiga frågor.

Riktlinjerna har tagits fram i en grupp bestående av deltagare från dataskyddsmyndigheterna i Finland, Danmark, Norge, Island, Irland, Frankrike och Italien samt från dataskyddsmyndigheten för EU institutionerna, EPDS.

– En stor utmaning i arbetet har varit att nationella regler och infrastruktur för forskning ser olika ut inom EU, vilket lett till att det funnits olika uppfattningar om riktlinjernas innehåll. Till exempel har de nordiska länderna stora likheter med centraliserade infrastrukturer medan flera andra länder har ett decentraliserat system. Sverige är också ganska unikt med etikprövningstillstånd medan flera andra länder baserar behandling av personuppgifter för forskning på samtycken. En annan utmaning har varit att under arbetets gång har det kommit flera lagförslag inom EU, såsom den digitala omnibussen, förordningen om det europeiska hälsodataområdet (EHDS) men även förslag till ändringar i regleringen av kliniska prövningar, som projektet behövt förhålla sig till.

Vilken status har EDPBs riktlinjer?

– Riktlinjer från EDPB är vägledande men inte rättsligt bindande. Dock har riktlinjerna från EDPB ett starkt rättsligt värde för praxis och är ett uttryck för hur tillsynsmyndigheterna ser på en viss fråga.

Var kommer alla exempel i riktlinjerna ifrån?

– Exemplen hämtas ofta från verkligheten, antingen från dataskyddsmyndigheternas verksamhet eller något som vi läst. Riktlinjernas exempel om när en personuppgiftsansvarig behöver radera personuppgifter kommer till exempel från ett klagomålsärende hos en tillsynsmyndighet.

Centrala delar i riktlinjerna

Cedric har identifierat ett antal centrala delar i riktlinjerna som beskrivs nedan.

Nyckelindikatorer för vad som utgör vetenskaplig forskning

– Riktlinjerna innehåller flera områden där EDPB tagit ställning och som jag tror kommer att lyftas i det offentliga samrådet . En stor fråga har varit att hitta en välpaketerad och juridisk hållbar bedömning av begreppet vetenskaplig forskning. Riktlinjerna innehåller nyckelindikatorer för en sådan bedömning där kärnan ligger på vetenskapligheten, bland annat vad gäller forskningsmetod och transparens kring forskningsresultat. Riktlinjerna avser att täcka både akademisk och kommersiell forskning, men ren AI-utveckling och produktutveckling som inte är vetenskaplig faller utanför.

Finalitetsprincipen och rättslig grund

– En annan stor fråga i riktlinjerna är rättslig grund för vidarebehandling av personuppgifter för forskning. I detta fall har EDPB tagit ställning. Om personuppgifter ursprungligen samlats in för ett ändamål och senare ska behandlas för forskning behöver den personuppgiftsansvarige i varje enskilt fall bedöma om den rättsliga grunden som använts för den initiala behandlingen av personuppgifter även kan tillämpas för den vidarebehandlingen för forskning. Tolkningarna av detta har tidigare gått isär, bland annat utifrån en skrivning i en skälstext i GDPR (skäl 50). Här menar EDPB att artiklarna alltid har företräde och att skrivningarna i skälen endast täcker ändamålen för behandlingen och inte den rättsliga grunden. Det finns dock situationer där samma rättsliga grund kan användas, till exempel när den ursprungliga behandlingen stödjer sig på en intresseavvägning eller ett allmänt intresse. Däremot får det nog anses svårare när den rättsliga grunden för det ursprungliga ändamålet utgör rättslig förpliktelse eller samtycke.

Breda samtycken

– Ytterligare en fråga som jag tror kommer att diskuteras är samtycket som rättslig grund för behandling av personuppgifter för bredare forskningsändamål. Här menar EDPB att det ligger i den fria forskningens natur att det kan vara svårt att på förhand veta mer specificerade ändamål för forskning och att bredare samtycken kan vara en lämplig väg framåt. Av riktlinjerna framgår att breda samtycken kan vara okej om det balanseras med skyddsåtgärder och ett tydligt ramverk för användningen samtidigt som forskningen respekterar den registrerades autonomi och dennes rimliga förväntningar på behandlingen av personuppgifterna. Breda samtycken används dessutom redan i dag i flera medlemsländer, däribland Tyskland på patientgrupper, och samtycken som rättslig grund för behandling av personuppgifter för forskning är vanligt i flera länder.

Undantag från informationsplikten

– Riktlinjerna innehåller även vägledning i vilka situationer den personuppgiftsansvarige inte behöver informera den registrerade individuellt om den personuppgiftsansvarige i ett senare led vill hantera redan insamlade uppgifter för forskning. I dessa situationer kan undantagen från informationsplikten aktualiseras, men den personuppgiftsansvarige måste först göra ett ärligt försök att kontakta den registrerade. Utifrån ett svenskt perspektiv där vi ganska enkelt kan kontakta personer via digitala brevlådor, givet att personens personnummer hanteras, så är nog slutsatsen att den registrerade behöver informeras om den nya behandlingen av personuppgifter.

Tillgängliggörande av data för forskning

– Riktlinjerna innehåller även vägledning för datainnehavare som tillgängliggör data för forskning. Här konstaterar EDPB att tillgängliggörandet i sig utgör ett forskningsändamål och även om det finns en presumtion för att tillgängliggörandet är förenligt med det ursprungliga ändamålet hos datainnehavaren så behöver tillgängliggörandet i sig ha stöd i en rättslig grund.

Vad händer härnäst?

– Riktlinjerna är nu ute på offentligt samråd, vilket innebär att vem som helst får tycka till om riktlinjerna. Detta är möjligt fram till den 25 juni. Alla synpunkter publiceras och sedan ska de hanteras i arbetsgruppen som tagit fram riktlinjerna. Jag räknar med att detta kan ta upp emot ett år innan riktlinjerna slutligen antas.

– IMY planerar även att anordna ett evenemang riktat till forskningssektorn i Sverige före semestern för att närmare diskutera riktlinjernas innehåll och identifiera ytterligare behov och vägledning utifrån den svenska forskningskontexten.

– Även riktlinjerna om pseudonymisering är ute på offentligt samråd och riktlinjer om anonymisering är på gång. Planen är att riktlinjerna för anonymisering ska antas för offentligt samråd i sommar.

– Det kommer troligtvis även påbörjas arbete med riktlinjer som ska ge vägledning om bestämmelser i EHDS, såsom exempelvis riktlinjerna för de nya rättigheterna för registrerade.