Sammanfattning av Europeiska datatillsynsmannens yttrande ”Att möta utmaningarna från stordata: Behov av insyn, användarkontroll, inbyggt uppgiftsskydd och ansvarighet”

(Den fullständiga texten till detta yttrande finns på engelska, franska och tyska på Europeiska datatillsynsmannens webbplats www.edps.europa.eu)

(2016/C 67/05)

Stordata kan, om de hanteras ansvarsfullt, medföra betydande fördelar och effektivitetsvinster för samhället och för enskilda inom områdena hälsa, forskning, miljö och andra specifika områden. Men den faktiska och potentiella inverkan som behandlingen av stora mängder uppgifter kan ha på den enskildes rättigheter och friheter, inbegripet rätten till privatliv, ger anledning till allvarliga farhågor. Med hänsyn till utmaningarna och riskerna med stordata behövs därför ett effektivare uppgiftsskydd.

Tekniken bör inte diktera våra värderingar och rättigheter, men inte heller bör främjandet av innovation ses som oförenligt med bevarandet av de grundläggande rättigheterna. Nya affärsmodeller som utnyttjar nya möjligheter till omfattande insamling, omedelbar överföring, kombinering och återanvändning av personuppgifter för hittills oförutsedda syften sätter uppgiftsskyddsprinciperna på nya prov, vilket gör det nödvändigt att grundligt överväga hur de ska tillämpas.

Den europeiska uppgiftsskyddslagstiftningen har utarbetats för att skydda våra grundläggande rättigheter och värderingar, inbegripet rätten till privatliv. Frågan är inte om uppgiftsskyddslagstiftningen ska tillämpas på stordata, utan snarare hur den ska tillämpas innovativt i nya miljöer. Våra nuvarande uppgiftsskyddsprinciper, inbegripet principerna om insyn, proportionalitet och ändamålsbegränsning, utgör den baslinje som vi behöver för att mer dynamiskt skydda våra grundläggande rättigheter i stordatavärlden. De måste emellertid kompletteras med ”nya” principer som har utvecklats med åren, såsom principerna om ansvarighet, inbyggt integritetsskydd och integritetsskydd som standard. EU:s paket för reform av uppgiftsskyddet förväntas stärka och modernisera regelverket (2).

EU har för avsikt att maximera tillväxten och konkurrenskraften genom användning av stordata. Men den digitala inre marknaden kan inte okritiskt importera de datadrivna tekniker och affärsmodeller som har blivit en ekonomisk huvudfåra i andra delar av världen. I stället måste den visa ledarskap när det gäller att utveckla en ansvarig behandling av personuppgifter. Internet har utvecklats på ett sådant sätt att övervakning – att spåra människors beteende – betraktas som en absolut nödvändig inkomstmodell för en del av de mest framgångsrika företagen. Denna utveckling kräver en kritisk bedömning och att man försöker hitta andra alternativ.

I varje fall, och oavsett vilken affärsmodell som väljs, måste organisationer som bearbetar stora mängder personuppgifter följa tillämplig uppgiftsskyddslagstiftning. Europeiska datatillsynsmannen (EDPS) anser att en ansvarstagande och hållbar utveckling av stordata måste grunda sig på fyra nödvändiga villkor:

När det gäller insyn måste enskilda få tydlig information om vilka uppgifter som behandlas, inbegripet vilka uppgifter om dem som man observerar eller sluter sig till. De måste få bättre information om hur och för vilka syften deras uppgifter används, inbegripet den logik som används i algoritmer för att göra antaganden och förutsägelser om dem.

Användarkontroll kommer att bidra till att garantera att enskilda får större möjligheter att bättre upptäcka orättvisa fördomar och invända mot felaktigheter. Det kommer att göra det lättare att förhindra sekundär användning av uppgifter för ändamål som inte motsvarar deras legitima förväntningar. Med en ny generation av användarkontroll kommer enskilda att när så är relevant ges mer genuina möjligheter att göra välunderrättade val och kommer själva att ha större möjligheter att använda sina personuppgifter bättre.

En kraftfull rätt till tillgång och till uppgiftsportabilitet samt effektiva mekanismer för att motsätta sig behandling av personuppgifter (opt-out) kan vara en förutsättning för att användarna ska kunna få mer kontroll över sina uppgifter, och kan också bidra till utvecklingen av nya affärsmodeller och en effektivare och mer transparent användning av personuppgifter.

Genom att integrera uppgiftsskyddet i sina system och processer och anpassa det så att mer genuin insyn och användarkontroll möjliggörs kommer ansvarstagande registeransvariga också att kunna dra nytta av fördelarna med stordata samtidigt som de säkerställer att den enskildes värdighet och friheter respekteras.

Men uppgiftsskydd är bara en del av svaret. EU måste på ett mer sammanhängande sätt utnyttja de moderna verktyg som är tillgängliga, inbegripet på områdena konsumentskydd, antitrust, forskning och utveckling, för att garantera skyddsåtgärder och valmöjligheter på en marknad där integritetsvänliga tjänster kan blomstra.

För att möta utmaningarna från stordata måste vi möjliggöra innovation samtidigt som vi skyddar de grundläggande rättigheterna. Det är nu upp till företag och andra organisationer som gör stora satsningar för att hitta innovativa sätt att använda personuppgifter att använda samma innovativa tänkesätt när de genomför personuppgiftslagstiftningen.

Genom att bygga vidare på tidigare bidrag från den akademiska världen, lagstiftare och andra aktörer och genom att bättre involvera det civila samhället, konstruktörer, företag, akademiker, offentliga myndigheter och lagstiftare vill EDPS stimulera till en ny öppen och initierad diskussion inom och utanför EU om hur man bäst kan använda industrins kreativa potential för att genomföra lagstiftningen och skydda integriteten och andra grundläggande rättigheter på bästa möjliga sätt.

6.   Nästa steg: omvandla principerna till praktik

För att möta utmaningarna från stordata måste vi möjliggöra innovation samtidigt som vi skyddar de grundläggande rättigheterna. För att åstadkomma detta bör de fastställda principerna i den europeiska uppgiftsskyddslagstiftningen bevaras, men tillämpas på nya sätt.

6.1   En framtidsinriktad förordning

Förhandlingarna om förslaget till en allmän uppgiftsskyddsförordning befinner sig i slutskedet. Vi har uppmanat EU-lagstiftarna att anta ett paket för reform av uppgiftsskyddet som stärker och moderniserar regelverket, så att det förblir effektivt i stordatans tidsålder genom att stärka den enskildes tillit och förtroende för internet och den digitala inre marknaden (3).

I yttrande 3/2015, vilket åtföljdes av rekommendationer om kompletteringar till förslaget till förordning, gjorde vi klart att våra nuvarande uppgiftsskyddsprinciper, inbegripet principerna om nödvändighet, proportionalitet, dataminimering, ändamålsbegränsning och insyn måste förbli nyckelprinciper. De utgör den baslinje som vi behöver för att skydda våra grundläggande rättigheter i stordatavärlden (4).

Samtidigt måste dessa principer stärkas och tillämpas mer effektivt och på ett mer modernt, flexibelt, kreativt och innovativt sätt. De måste också kompletteras med nya principer såsom principerna om ansvarighet, inbyggt uppgiftsskydd och integritetsskydd samt uppgiftsskydd och integritetsskydd som standard.

Ökad insyn, en kraftfull rätt till tillgång och till uppgiftsportabilitet samt effektiva mekanismer för att motsätta sig behandling av personuppgifter (opt-out) kan vara en förutsättning för att användarna ska kunna få större kontroll över sina uppgifter och kan också bidra till mer effektiva marknader för personuppgifter, till fördel för såväl konsumenter som företag.

Att utvidga tillämpningsområdet för EU:s uppgiftsskydd till att omfatta organisationer som inriktar sig på enskilda i EU och ge dataskyddsmyndigheterna befogenhet att tillämpa meningsfulla rättsmedel, inbegripet effektiva böter, såsom det föreskrivs i förslaget till förordning, kommer också att vara ett nyckelkrav för att vår lagstiftning ska kunna genomföras effektivt i en global miljö. Reformprocessen har en nyckelroll i detta hänseende.

För att säkerställa att reglerna faktiskt efterlevs måste oberoende dataskyddsmyndigheter inte endast tilldelas rättsliga befogenheter och kraftfulla verktyg utan måste även erhålla de resurser som de behöver för att anpassa sin kapacitet till tillväxten av datadrivna företag.

6.2   Hur EDPS kommer att föra diskussionen framåt

Bra lagstiftning är nödvändig, men räcker inte. Företag och andra organisationer som gör stora satsningar för att hitta innovativa sätt att använda personuppgifter bör använda samma innovativa tänkesätt när de genomför uppgiftsskyddsprinciperna. Dataskyddsmyndigheterna å sin sida bör se till att lagstiftningen faktiskt efterlevs och belöna dem som följer den samt undvika att ålägga krav som medför onödig byråkrati och onödigt pappersarbete.

Europeiska datatillsynsmannen kommer att bidra till att främja dessa ansträngningar, såsom det angavs i EDPS strategi för 2015–2019.

Vi avser att inrätta en extern rådgivande grupp i etiska frågor bestående av framstående och oberoende personligheter med en samlad erfarenhet från många olika områden som kan ”utforska förhållandena mellan mänskliga rättigheter, teknik, marknader och affärsmodeller på tjugohundratalet”, djupgående analysera inverkan av stordata, bedöma de resulterande förändringarna för våra samhällen och hjälpa till att fastställa de frågor som bör vara föremål för en politisk process (5).

Vi kommer också att utveckla en modell för en ärlig informationspolicy för EU-organ som erbjuder onlinetjänster, vilket kan bidra till en bästa praxis för alla registeransvariga.

Slutligen kommer vi även att underlätta diskussioner i syfte att till exempel identifiera, uppmuntra och främja bästa praxis för att öka insynen och användarkontrollen samt utforska möjligheterna med personliga datalager (personal data stores) och uppgiftsportabilitet. EDPS avser att anordna en workshop om skydd för stordata för politiska beslutsfattare, personer som hanterar stora mängder personuppgifter vid EU:s institutioner och externa experter för att identifiera var ytterligare särskild vägledning behövs och underlätta arbetet för Internet Privacy Engineering Network (IPEN), som är ett tvärvetenskapligt kunskapsnav för ingenjörer och integritetsexperter.

(1)  Public Utilities Commission mot Pollak, 343 U.S. 451, 467 (1952) (domare William O. Douglas, avvikande åsikt).

(2)  Den 25 januari 2012 antog Europeiska kommissionen ett paket för reform av den europeiska uppgiftsskyddslagstiftningen. Paketet utgörs av i) ett meddelande (COM(2012) 9 final), ii) ett förslag till en allmän ”uppgiftsskyddsförordning” (”förslaget till förordning”) (COM(2012) 11 final) och iii) ett förslag till ett direktiv om skydd för personuppgifter på det straffrättsliga området (COM(2012) 10 final).

(3)  Europeiska datatillsynsmannens yttrande 3/2015.

(4)  Vi måste motstå frestelsen att sänka den nuvarande skyddsnivån i ett försök att tillgodose ett förmodat behov av en mindre strikt reglering vad gäller stordata. Uppgiftsskyddet måste fortsätta att vara tillämpligt på behandlingen i sin helhet, inbegripet inte endast användningen av uppgifter utan också insamlingen av dem. Det finns inte heller några skäl till ett generellt undantag för behandling av pseudonymförsedda uppgifter eller för behandling av allmänt tillgängliga uppgifter. Definitionen av vad som avses med personuppgifter måste behållas intakt, men kan behöva förtydligas ytterligare i texten till själva förordningen. Den måste täcka alla uppgifter som avser enskilda som identifieras eller skiljs ut, eller kan identifieras eller skiljas ut – oavsett om det är av den registeransvarige eller någon annan part.

(5)  Europeiska datatillsynsmannens yttrande 4/2015.