RIF, Rådspromemoria dataskydd, dp 3

Bilaga till dokument från EU-nämnden 2012/13:2BA40D

Rådspromemoria

2013-05-29

Justitiedepartementet

Grundlagsenheten

Rådets möte för rättsliga och inrikes frågor (RIF) den 6-7 juni 2013

Dagordningspunkt 3

Rubrik: Förslag till Europaparlamentets och rådets förordning om skydd
för enskilda personer med avseende på behandling av personuppgifter
och om det fria flödet av sådana uppgifter (allmän uppgiftsskyddsförordning) [första behandlingen]
= Nyckelfrågor

Dokument: Något dokument har ännu inte presenterats inför rådsbehandlingen.

Tidigare dokument: KOM (2012) 11 slutlig
Förslag till Europaparlamentets och rådets förordning om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter
Faktapromemoria 2011/12:FPM117

Tidigare behandlad vid samråd med EU-nämnden: 2012-10-19, 2012-11-30, 2013-03-01

Tidigare behandlad vid möte med konstitutionsutskottet: 2012-02-16, 2012-03-20, 2012-11-20, 2013-01-22 och 2013-05-28
Bakgrund
Den viktigaste EU-rättsakten på dataskyddsområdet är det s.k. dataskyddsdirektivet som antogs 1995. Direktivet syfte är dels att skydda fysiska personers grundläggande fri- och rättigheter i samband med behandling av personuppgifter, dels att underlätta ett fritt flöde av personuppgifter mellan medlemsstaterna. Dataskyddsdirektivet har i svensk rätt genomförts genom personuppgiftslagen och ett antal särregleringar i förhållande till denna lag, t.ex. patientdatalagen och kustbevakningsdatalagen.

Den 25 januari 2012 presenterade kommissionen ett förslag till en genomgripande reform av EU:s regler om skydd för personuppgifter. Förslaget innebär bl.a. att dataskyddsdirektivet ska ersättas av en allmän dataskyddsförordning.

Vid RIF-rådet i december 2012 instruerade rådet den behöriga rådsarbetsgruppen att fortsätta arbetet med konkreta förslag för att implementera en förstärkt riskbaserad ansats i förordningen. Vidare kom man överens om att ta ställning till frågan om förordningen kan ge tillräcklig flexibilitet för den offentliga sektorn samt frågan om delegerade akter och genomförandeakter i ett senare skede.

Vid det informella RIF-rådet i januari 2013 diskuterades det s.k. hushållsundantaget, rätten att bli glömd och administrativa sanktionsavgifter. Ministrarna gav då stöd till en utvidgning av hushållsundantaget.

Vid RIF-rådet i mars 2013 diskuterades förhandssamråd, personuppgiftsombud samt uppförandekoder och certifieringsmekanismer. Rådet gav sitt stöd till fortsatt arbete med en riskbaserad ansats samt för att skapa flexibilitet för den offentliga sektorn.

Under det irländska ordförandeskapet har den behöriga arbetsgruppen avslutat den första läsningen av förordningen och i stort sett avslutat en andra och tredje genomgång av kapitel 1-4 i förordningen. Ordförandeskapet har även arbetat om stora delar av förslaget, bl.a. för att införa en mer riskbaserad ansats och för att skapa flexibilitet för den offentliga sektorn i regleringen.

Dessutom har ordförandeskapet efter förslag från bl.a. Sverige föreslagit en särskild artikel om tillgång till allmänna handlingar.

Vid detta rådsmöte är avsikten att vissa nyckelfrågor ska diskuteras. Vilka eventuella slutsatser som ordförandeskapet önskar att rådet ska dra är ännu inte helt klart. Sannolikt kommer ministrarna inbjudas att ge allmänt stöd för ordförandeskapets förslag i följande nyckelfrågor:

Förordningens materiella och territoriella tillämpningsområde
Regleringen av samtycke
Principer om dataskydd
Yttrandefrihet och tillgång till allmänna handlingar
Införandet av en riskbaserad ansats i förordningen
Ökad öppenhet gentemot den enskilde
Utveckling och tillämpning av uppförandekoder och certifieringsmekanismer

Rättslig grund och beslutsförfarande
Den rättsliga grunden för förslaget är artikel 16 FEUF. Beslut fattas genom det ordinarie beslutsförfarandet, vilket betyder att det krävs kvalificerad majoritet i rådet samt enighet med Europaparlamentet för att anta den föreslagna förordningen.
Svensk ståndpunkt
Allmänt
Sverige välkomnar en modernisering av EU:s dataskyddsregelverk mot bakgrund av den tekniska utveckling som skett under de senaste decennierna. Det är angeläget att säkerställa att det finns ett effektivt skydd för enskildas personliga integritet vid behandling av personuppgifter. Samtidigt måste hänsyn tas till de berättigade behov som finns inom både den privata och den offentliga sektorn av att behandla personuppgifter. Nya administrativa bördor bör inte införas om det inte är nödvändigt för att skydda enskildas personliga integritet och kraven står i rimlig proportion till integritetsintresset.

Vad gäller de specifika frågorna som ordförandeskapet lyft fram är det Sveriges uppfattning att det fortfarande är väl tidigt att slutligt ta ställning till konkreta textförslag. Det återstår fortfarande många frågor att lösa. I ordförandeskapets utkast till diskussionsunderlag inför rådsmötet understryks också att eventuella överenskommelser är villkorade på det sättet att ingen del av förslaget kan anses överenskommen innan en överenskommelse nås om hela förslaget. Det framhålls också att Sverige och några andra medlemsstater anser att regleringen ska ges formen av ett direktiv istället för en förordning. Slutligen anges att en överenskommelse om de aktuella frågorna inte heller påverkar frågan om förordningen kan ge tillräcklig flexibilitet för medlemsstaterna när det gäller den offentliga sektorn eftersom denna fråga inte kan avgöras i detta skede i förhandlingarna.

Förordningens tillämpningsområde
En viktig fråga för svenskt vidkommande är i vilken mån dataskyddsregleringen ska vara tillämplig på enskildas personers behandling av personuppgifter.

Det är viktigt att vi får en reglering som är anpassad till dagens samhälle och som inte lägger hinder i vägen för enskildas vardagliga behandling av personuppgifter som typiskt sett innefattar små integritetsrisker. Ett sätt att uppnå detta är att utvidga det s.k. hushållsundantaget, dvs. undantaget från regleringen för sådan behandling av personuppgifter som utförs av fysiska personer som ett led i en verksamhet av privat natur eller som har samband med deras hushåll. Ordförandeskapets förslag att utvidga undantaget ligger i linje med den förenklade reglering för vardaglig behandling som vi har i Sverige. Sverige kan därför välkomna förslaget.

Ordförandeskapet har vidare strukit det undantag från förordningen som enligt kommissionens förslag skulle gälla för EU:s institutioner. Sverige kan godta detta även om det innebär att förordningen kommer att behöva anpassas ytterligare för att kunna tillämpas av EU:s institutioner.

Regleringen av samtycke
Enligt det nuvarande dataskyddsdirektivet ska ett samtycke till behandling av personuppgifter vara otvetydigt. För känsliga personuppgifter (t.ex. uppgifter om hälsa och etniskt ursprung) ställs kravet på samtycke högre – i sådana fall ska ett samtycke vara uttryckligt. Enligt kommissionens förslag skulle definitionen av samtycke ändras på så sätt att ett samtycke alltid måste vara uttryckligt. Ordförandeskapet föreslår dock, efter kritik från många medlemsstater, att återgå till att samtycke ska vara otvetydigt. Detta är något som Sverige kan ställa sig bakom.

Principer om dataskydd
I förslaget till förordning, liksom i det nu gällande direktivet, anges vissa principer som alltid gäller vid behandling av personuppgifter. Det handlar t.ex. om att personuppgifter ska behandlas lagligt, korrekt och på ett transparant sätt i förhållande till den enskilde. Ordförandeskapet har föreslagit att regleringen i huvudsak ska motsvara den som redan idag gäller, vilket Sverige kan ställa sig bakom. Därutöver föreslår ordförandeskapet en ny princip om att uppgifter ska behandlas på ett sätt som säkerställer lämplig säkerhet för uppgifterna. Även denna nya princip kan Sverige ställa sig bakom.

Yttrandefrihet och tillgång till allmänna handlingar
Sveriges viktigaste prioritering under förhandlingarna är att se till att dataskyddsregleringen inte kommer i konflikt med våra grundlagar. Det handlar framför allt om att värna offentlighetsprincipen men också om tryck- och yttrandefriheten.

Sverige har, tillsammans med några andra medlemsstater, verkat för att en artikel om offentlighetsprincipen ska införas i förordningen. Det är därför mycket positivt att ordförandeskapet nu föreslagit en artikel om rätten till tillgång till allmänna handlingar. Artikeln tydliggör att man i Sverige kan fortsätta tillämpa den svenska grundlagsregleringen om offentlighetsprincipen.

Sverige kan också välkomna ordförandeskapets förslag att ändra och utvidga den artikel i förordningen som ger medlemsstaterna rätt att närmare reglera tryck- och yttrandefriheten.

Införandet av en riskbaserad ansats
Sverige har ställt sig bakom införandet av en riskbaserad ansats i regleringen. En differentiering av regleringen utifrån den risk som personuppgiftsbehandlingen innebär ligger också i linje med nuvarande svensk lagstiftning. En sådan differentiering möjliggör en hög skyddsnivå vid verkligt integritetskänslig personuppgiftsbehandling samtidigt som administrativa bördor kan undvikas vid riskfri behandling.

Ökad öppenhet gentemot den enskilde samt uppförandekoder och certifieringsmekanismer
Ordförandeskapet har lagt fram förslag för att tydliggöra och öka öppenheten vid personuppgiftsbehandling så att den enskilde ska kunna få tillgång till den information som krävs för att kunna tillvarata sina rättigheter. Detta kan Sverige ställa sig bakom. Även utveckling och tillämpning av uppförandekoder och certifieringsmekanismer bör uppmuntras. På detta sätt kan regelverk skapas som skyddar enskildas personliga integritet samtidigt som hänsyn kan tas till specifika sektorers förutsättningar.
Europaparlamentets inställning
I Europaparlamentet behandlas dataskyddsförordningen i LIBE-utskottet. Rapportören, Jan Philipp Albrecht, lade fram ett förslag till betänkande i december 2012. Ursprungligen planerades en omröstning om betänkandet under april 2013. Tidpunkten för omröstningen har dock flyttats fram flera gånger, nu senast till juni 2013. Europaparlamentet har således ännu inte redovisat några formella ståndpunkter rörande kommissionens förslag.
Förslaget
Det huvudsakliga syftet med kommissionens förslag till dataskyddsförordning är att ytterligare harmonisera och effektivisera skyddet av personuppgifter i syfte att förbättra den inre marknadens funktion och öka enskildas kontroll över sina personuppgifter. I och med att regleringen ges formen av en förordning kommer den att bli direkt tillämplig i alla medlemsstater när den trätt i kraft. Om förslaget genomförs kommer förordningen således inte att ersätta bara dataskyddsdirektivet utan även personuppgiftslagen. Förslaget till förordning lämnar dock ett visst utrymme för nationell reglering. Exempelvis är det möjligt att i nationell rätt fastställa vad som är ett allmänt intresse som kan ge rätt att behandla personuppgifter samt att under vissa förutsättningar införa undantag från bestämmelserna i förordningen. Vidare är det möjligt att införa nationell reglering inom vissa i förordningen utpekade områden, t.ex. arbetsmarknadsområdet. Kommissionen framhåller att förslaget kommer att undanröja den fragmentariska dataskyddsreglering som nu finns inom EU. Enligt kommissionen kommer detta att både förenkla för företagen och stärka den enskildes rätt till skydd för sina personuppgifter.

Förslaget till förordning baseras till stor del på den struktur och reglering som finns i det nu gällande dataskyddsdirektivet.

Förordningen innehåller dock även en rad nyheter jämfört med dataskyddsdirektivet, t.ex. följande:

Företag och organisationer ska enligt förslaget underrätta den nationella tillsynsmyndigheten (i Sverige Datainspektionen) om dataintrång.
Myndigheter och företag av viss storlek ska ha ett personuppgiftsombud.
Det införs ett nytt system som syftar till att garantera en enhetlig tillämpning av förordningen i medlemsstaterna. Detta system omfattar bl.a. ett nytt organ, Europeiska dataskyddsstyrelsen, bestående av representanter för de nationella dataskyddsmyndigheterna.
Kommissionen ges enligt förslaget rätt att på ett stort antal om-råden komplettera regleringen i förordningen genom delegerade akter och genomförandeakter.

För en mer utförlig beskrivning av förslaget hänvisas till faktapromemorian.
Gällande svenska regler och förslagets effekter på dessa
Dataskyddsdirektivet har i svensk rätt genomförts dels genom personuppgiftslagen, dels genom ett stort antal författningar som innehåller särregleringar om behandling av personuppgifter för olika myndigheter och sektorer.

Kommissionens förslag innebär att dataskyddsdirektivet ska ersättas av en allmän dataskyddsförordning. Eftersom förordningen kommer att bli direkt tillämplig i medlemsstaterna kommer den, om förslaget genomförs, att ersätta personuppgiftslagen. Med en förordning kommer även utrymmet för hela eller delar av de många särregleringar som finns i förhållande till personuppgiftslagen sannolikt att minska.
Ekonomiska konsekvenser
I dagsläget är det inte möjligt att närmare bedöma vilka budgetära eller samhällsekonomiska konsekvenser ett genomförande av förslaget kommer att få för företag och privatpersoner i Sverige och för svensk offentlig förvaltning. Det bör dock kunna förutsättas att eventuella budgetära konsekvenser inom EU ska kunna finansieras genom omfördelningar inom befintliga budgetramar.

Enligt kommissionens konsekvensanalys kommer förordningen att leda till besparingar för företagen i EU på 2,3 miljarder euro per år genom att den undanröjer dagens splittrade reglering inom EU och de stora administrativa kostnader som följer av denna. Kravet på dataskyddsombudsmän kommer dock, enligt kommissionen, att leda till en mindre kostnadsökning för större företag och myndigheter. Kommissionen bedömer också att förordningen kommer att bidra till att öka konsumenternas förtroende för onlinetjänster, vilket kan öka tillväxten och sysselsättningen i Europa.