Lee A. Bygrave, Senter for rettsinformatikk EUs kommende (?) personvernforordning: Konsekvenser for forskning
Rettslig kontekst EMK art 8 EU Charter om grunnleggende rettigheter art 7 og 8 EUF-Traktaten art 16 Personvern direktiv Kommunikasjonsvern direktiv 2002 Datalagringsdirektiv 2006 Rammeavgjørelse om politisamarbeid mv 2008 Forordning for EU organer 2001 1995
Sentrale dokumenter «Safeguarding Privacy in a Connected World A European Data Protection Framework for the 21st Century», COM (2012) 9 final Forslag til «General Data Protection Regulation», COM (2012) 11 final
Siktemål (1) Harmonisering Men medlemsstater får fremdeles spillerom ihht forordningsforslaget (eks. art. 6(3)(b), 21(1), kap. IX ytringsfrihet, helse, forskning, arbeidsliv, religiøs virksomhet)
Siktemål (2) Modernisering «Putting the data subject in control» Stimulerer til økonomisk vekst
Forenkling? (1) (t)ja eks. «one-stop shop» redusert meldeplikt klargjøring av noen kriterier i PVD bl.a. personopplysningsbegrepet, samtykke, tilstrekkelighetstest ifm. overføring av p.o. til tredje land
«Data subject» «an identified natural person or a natural person who can be identified by means reasonably likely to be used by the controller or by any other person, in particular by reference to an identification number, location data, online identifier or to one or more factors specific to the physical, physiological, genetic, mental identity of that person» (art 4(1)) Jf. fortalens avsnitt 23 og 26
«Consent» «any freely given specific, informed and explicit indication of wishes by which the data subject, either by a statement or by a clear affirmative action, signifies agreement» (art. 4(8))
«adequacy» «when assessing adequacy the Commission shall give consideration to (a) the rule of law, relevant legislation as well as effective and enforceable rights including effective administrative and judicial redress (b) the existence and effective functioning of independent supervisory authorities» (art 41(2))
Viktige forskjeller (1) Økt makt til kommisjonen Nye tilsynsordninger European Data Protection Board Kraftigere sanksjonsmuligheter Nye eller forsterkede rettigheter retten til sletting (retten til «å bli glemt») (art. 17) retten til dataportabilitet (art. 18)
Viktige forskjeller (2) Nye kriterier for lovanvendelse (art. 3) Økt dokumentasjonskrav (art. 28) Meldeplikt vedr sikkerhetsbrudd (art. 32) Krav til personvernombud («data protection officers») (art. 35 mv) «data protection by design and default» (art. 23)
Viktige forskjeller (3) Nye begreper, f.eks. genetiske data («all data, of whatever type, concerning the characteristics of an individual which are inherited or acquired during early prenatal development», jf. art. 4(10)) Helse data («any information which relates to the physical or mental health of an individual, or to the provision of health services to the individual», jf. art. 4(12))
Viktige forskjeller (4) Krav til regelmessig vurdering («periodic review» av anonymiseringsbehov ved forskning, jf. art. 5(e) Uttrykkelig rett til å trekke samtykke tilbake, jf. art. 7(3) Kan ikke bruke samtykke «where there is a significant imbalance between the position of the data subject and the controller», jf. art. 7(4)
Særregler for forskning (1) Anonymiserings- og avidentifiseringskrav, jf. art. 83(1) «personal data may be processed [for research purposes] only if (a) these purposes cannot be otherwise fulfilled by processing data which [are anonymous] (b) data enabling the attribution of information to an identified or identifiable data subject is kept separately from the other information as long as these purposes can be fulfilled in this manner»
Særregler for forskning (2) Offentliggjøringsvilkår, jf. art. 83(2) «Publication» or «public disclosure» tillatt dersom samtykke, eller nødvendig «to present research findings or to facilitate research insofar as the the interests of the fundamental rights or freedoms of the data subject do not override these interests», eller den registrerte selv «has made the data public»
Forenkling? (2) Nei mange rettstekniske vanskeligheter 91 artikler fortale med 139 avsnitt til dels lange definisjoner hyppig bruk av kryssreferanser Dessuten: Mye delegert lovgivning som vi vet lite om (og som vil ta lang tid å utarbeide) Vedr. forskning, se art. 83(3)
Forenkling? (3) Nei mye usikkerhet f. eks. Status av biologisk materiale? Jf. Bentzen, «Biologisk materiale som personopplysning», Lov&Data nr. 115, 2013, s. 12-16. Hvordan blir kommisjonens regelverk for forskning? Hva skjer med forordningsforslaget?