Dataskyddsförordningen - Forskning och utveckling av sjukvårds- relaterad artificiell intellige

4.2.1 Inledning och definition av centrala begrepp

Dataskyddsförordningen kommer från och med den 25 maj 2018 att ersätta dataskydds-direktivet och därmed utgöra den generella regleringen av personuppgiftsbehandling inom unionen. Enligt artikel 288 FEUF ska en förordning ha allmän giltighet och vara till alla delar bindande och direkt tillämplig i varje medlemsstat, vilket innebär att det inte fordras några implementeringsåtgärder i Sverige för dess tillämpbarhet. Trots att data-skyddsförordningen är direkt tillämplig i varje medlemsstat innehåller förordningen en rad bestämmelser som både ger utrymme för och ibland förutsätter kompletterande lag-stiftningsåtgärder från medlemsstaterna. Kompletterande nationell lagstiftning är något som gör sig särskilt gällande vid personuppgiftsbehandling för forskningsändamål, vilket är något som kommer att behandlas utförligare i kapitel 5.¹¹³

Dataskyddsförordningens syfte är enligt artikel 1 att reglera behandlingen av fy-siska personers personuppgifter till skydd för deras grundläggande rättigheter och fri-heter, samt att möjliggöra för det fria flödet av personuppgifter inom unionen. Förord-ningen har delvis föranletts av det faktum att det tidigare dataskyddsdirektivet har medfört en bristande enhetlighet för skyddet för personuppgifter inom unionen. Den bristande en-hetligheten har i sin tur medfört barriärer för det fria flödet av personuppgifter vilket också har snedvridit konkurrensen i unionen.¹¹⁴

Dataskyddsförordningen tillämpas enligt artikel 2 på behandling av personuppgifter som helt eller delvis sker automatiskt samt på manuell behandling av personuppgifter som ingår eller ska ingå i ett register. En behandling definieras i artikel 4.2 dataskyddsförord-ningen som en åtgärd eller en kombination av åtgärder beträffande personuppgifter, t.ex. insamling och lagring, oavsett om det sker automatiskt eller inte.

Begreppet personuppgifter definieras brett och innefattar enligt artikel 4.1 alla upp-lysningar som direkt eller indirekt kan identifiera en fysisk person, även kallad en

regi-strerad. En identifierbar fysisk person är enligt samma artikel en person som kan

identi-fieras direkt eller indirekt med hjälp av en identifierare i form av t.ex. ett namn eller en GPS-koordinat, eller med hjälp av en eller flera faktorer som är specifika för den fysiska personens identitet. Uppgifter om hälsa definieras i artikel 4.15 dataskyddsförordningen som personuppgifter som rör en fysisk persons fysiska eller psykiska hälsa, inbegripet tillhandahållande av hälso- och sjukvårdstjänster vilka ger information om personens häl-sostatus.

En personuppgiftsansvarig definieras i artikel 4.7 dataskyddsförordningen som en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av per-sonuppgifter. Det är viktigt att känna till vem som är personuppgiftsansvarig då det ytterst är denne som är skyldig att visa att kraven i dataskyddsförordningen efterlevs och som kan hållas ansvarig om så inte är fallet. Personuppgiftsansvarig vid forskning och utveckl-ing av sjukvårdsrelaterad AI kommer i regel vara den forsknutveckl-ingsaktör som bedriver forsk-ningsprojektet.

4.2.2 Allmänna krav vid personuppgiftsbehandling

Artikel 5 i dataskyddsförordningen stadgar ett antal grundläggande principer som gäller vid all behandling av personuppgifter.¹¹⁵ Exempelvis stadgar artikel 5.1 a) att behandling av personuppgifter ske på ett lagligt, korrekt och öppet sätt i förhållande till den registre-rade och insamling får enligt artikel 5.1 b) endast ske mot bakgrund av uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Den senare principen om ändamålsbegränsning i artikel 5.1 b) kallas också för finalitetsprincipen. Värt att notera är att det vid personuppgiftsbehandling för forsknings-ändamål är möjligt att göra avsteg från finalitetsprincipen. Detta är ett generöst undantag som kraftigt förbättrar möjligheterna att bedriva dataintensiv forskning, vilket forskning och utveckling av sjukvårdsrelaterad AI får sägas vara. Mer om detta i kapitel 4.4.

Ett annat grundläggande krav för att kunna behandla personuppgifter är att den per-sonuppgiftsansvarige har en rättslig grund för att göra det.¹¹⁶ De rättsliga grunderna fram-går av artikel 6.1 i dataskyddsförordningen och det krävs att åtminstone ett av villkoren är uppfyllda. Grunderna är sex till antalet och är till viss del överlappande vilket innebär att flera grunder kan vara tillämpliga för en och samma behandling. Listan är i övrigt uttömmande, d.v.s. om ingen grund är för handen får behandling av personuppgifter inte ske.¹¹⁷

Forskning utgör i sig ingen uttrycklig rättslig grund för behandling av personupp-gifter i artikel 6 dataskyddsförordningen. Forskare måste därför hitta en annan rättslig grund för att kunna behandla personuppgifter. Vid personuppgiftsbehandling för forsk-ningsändamål är det i teorin möjligt att använda sig av vilken som helst av de olika rätts-liga grunderna. I praktiken är det dock främst aktuellt med samtyckesgrunden i artikel 6.1 a), ”allmänt intresse”-grunden i artikel 6.1 e) och ”berättigat intresse”-grunden i artikel 6.1 f).¹¹⁸ Vilken rättslig grund som aktualiseras är till stor del beroende av vilken typ av organisation det är som bedriver forskningen. En uppdelning kan framförallt göras mellan privaträttsliga och offentligrättsliga forskningsaktörer.¹¹⁹

Uppdelningen mellan privata och offentliga forskningsaktörer beror på att möjlig-heterna att tillämpa vissa av de rättsliga grunderna varierar beroende på den personupp-giftsansvariges organisationsform. Exempelvis är berättigat intresse-grunden i artikel 6.1

115 SOU 2017:50 s. 123. 116 SOU 2017:50 s. 123. 117 Prop. 2017/18:105 s. 45 f. 118 SOU 2017:50 s. 124. 119 SOU 2017:50 s. 134.

f) uttryckligen undantagen för offentliga myndigheter. Vidare är det för offentliga myn-digheter svårare att stödja sin personuppgiftsbehandling på samtyckesgrunden i artikel 6.1 a). Detta beror på att det i dataskyddsförordningen har getts uttryck för att myndig-heter bör vara försiktiga med att behandla personuppgifter med stöd av samtycke. Detta eftersom att det ofta går att ifrågasätta frivilligheten i ett lämnat samtycke när det lämnas i ett sammanhang där det rådet betydande ojämlikhet mellan parterna, framförallt i för-hållandet mellan enskild och myndighet.¹²⁰

Sammantaget är kraven i artikel 5 och 6 dataskyddsförordningen kumulativa och alltid tillämpliga och personuppgiftsbehandling är olaglig om inte kraven i dessa artiklar efterlevs.¹²¹ Personuppgiftsansvariga som inte efterlever dessa krav riskerar enligt artikel 83.5 att betala böter motsvarande antingen 20 miljoner euro eller 4 % av den totala globala årsomsättningen, beroende på vilket av beloppen som är högst.

In document Forskning och utveckling av sjukvårds- relaterad artificiell intelligens mot bakgrund av dataskyddsförordningen (Page 31-34)