RIF_RadsPM_Dataskyddsforordning_for_EUs_institutioner_dp_8

Bilaga till dokument från EU-nämnden 2016/17:480E8F

Rådspromemoria

2017-05-29

Justitiedepartementet

Grundlagsenheten

Rådets möte för rättsliga och inrikes frågor (RIF) den 8-9 juni 2017

Dagordningspunkt 8

Dataskydd av unionens institutioner och organ: Förslag till Europaparlamentets och rådets förordning om skydd för enskilda personer med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ, kontor och byråer och om det fria flödet av sådana uppgifter samt om upphävande av förordning (EG) nr 45/2001 och beslut nr 1247/2002/EG (Första läsningen)

= Allmän inriktning

Dokument:

9091/17 DATAPROTECT 94 JAI 412 DAPIX 180 FREMP 59 DIGIT 133 CODEC 791 RELEX 390

Tidigare dokument:

-8431/17, KOM (2017) 8 final

-Faktapromemoria 2016/17:FPM64

Tidigare behandlad vid samråd med EU-nämnden:

Tidigare behandlad vid överläggning med eller information till riksdagsutskott: 31 januari 2017 (information KU) och 16 maj 2017 (skriftlig information KU)

Bakgrund

I dag regleras behandling av personuppgifter som sker i EU:s institutioner, organ, kontor och byråer av Europaparlamentets och rådets förordning (EG) nr 45/2001 av den 18 december 2000 om skydd

för enskilda då gemenskapsinstitutionerna och gemenskapsorganen behandlar personuppgifter och om den fria rörligheten för sådana uppgifter (dataskyddsförordning för EU:s institutioner). Genom förordningen inrättades den Europeiska datatillsynsmannen (EDPS), som utövar tillsyn över EU:s institutioner m.m. Förutsättningarna och de närmare villkoren för EDPS verksamhet regleras genom Europaparlamentets, rådets och kommissionens beslut nr 1247/2002/EG av den 1 juli 2002 om tjänsteföreskrifter och allmänna villkor för utövande av funktionen som europeisk datatillsynsman (beslut beträffande EDPS).

I maj 2018 börjar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) tillämpas. Av förordningen följer att dataskyddsförordningen för EU:s institutioner ska anpassas till den allmänna dataskyddsförordningen för att säkerställa att enskilda ges ett sammanhängande integritetsskydd inom EU.

Den 10 januari 2017 presenterade kommissionen ett förslag till ny dataskyddsförordning för EU:s institutioner som ska ersätta nuvarande dataskyddsförordning för EU:s institutioner och beslut beträffande EDPS.

Förhandlingarna har bedrivits i hög takt mot bakgrund av att den allmänna dataskyddsförordningen börjar tillämpas fr.o.m. den 25 maj 2018. Efter flera möten på rådsarbetsgrupps- och rättsrådgivarnivå samt ett möte i Coreper den 12 april 2017, har enighet nåtts om ordförandeskapets kompromissförslag.

Coreper gav sitt stöd till kompromissförslaget den 10 maj 2017.

Vid rådsmötet kommer kompromissförslaget tas upp som en s.k. falsk B- punkt, för antagande av en allmän inriktning.

Rättslig grund och beslutsförfarande

Skydd för enskilda avseende behandling av personuppgifter är en grundläggande rättighet enligt artikel 8(1) i Europeiska unionens stadga om de grundläggande rättigheterna. Förslaget har sin rättsliga grund i artikel 16 i fördraget om Europeiska unionens funktionssätt (FEUF).

2 (5)

Beslut om att anta förslaget fattas genom ordinarie lagstiftningsförfarandet, artikel 294 FEUF. Förfarandet innebär att både rådets och Europaparlamentets godkännande krävs för att förslaget till förordning ska antas. Rådet fattar beslut med kvalificerad majoritet.

Svensk ståndpunkt

Regeringen kan stödja ordförandeskapets förslag till allmän inriktning.

Europaparlamentets inställning

Det är i dagsläget inte möjligt att ange Europaparlamentets ställning. Kommissionens förslag presenterades den 3 april 2017 i det ansvariga utskottet LIBE, utskottet för medborgerliga fri- och rättigheter samt rättsliga och inrikes frågor. Enligt uppgift ska en rapport om förslaget presenteras i mitten av juni, diskussion ske i september och ett förslag antas i oktober.

Förslaget

Förslaget har till syfte att slutföra inrättandet av ett starkt och sammanhängande dataskyddsramverk inom EU. I EU:s institutioner, organ, kontor och byråer behandlas t.ex. personuppgifter om anställda och besökare. Förslaget innebär en anpassning av den befintliga

dataskyddsförordningen för EU:s institutioner till principerna och bestämmelserna i den allmänna dataskyddsförordningen.

Förslaget till ny förordning baseras således i stor utsträckning på strukturen och regleringen i den allmänna dataskyddsförordningen. Dessutom har huvuddragen i beslutet om tjänsteföreskrifter och allmänna villkor för den Europeiska datatillsynsmannen tagits in i förslaget.

För Sveriges del har förordningens förhållande till Europaparlamentets och rådets förordning (EG) nr 1049/2001 av den 30 maj 2001 om allmänhetens tillgång till Europaparlamentets, rådets och kommissionens handlingar, den s.k. öppenhetsförordningen, varit en prioriterad fråga under förhandlingarna. Sverige har arbetat aktivt för att öppenhetsaspekterna ska beaktas i tillräcklig utsträckning vid förslagets utformning. Som ett resultat har det i kompromissförslaget tagits in en artikel som anger att EU:s institutioner är skyldiga att förena rätten till skydd för personuppgifter med rätten till tillgång till handlingar i enlighet med unionsrätten.

3 (5)

De frågor som i övrigt har föranlett mer omfattande diskussioner har framför allt varit:

-i vilken utsträckning förordningen ska vara tillämplig på behandling av operativa personuppgifter inom unionens straffrättsliga och polisiära samarbete,

-i vilken utsträckning förordningen ska vara tillämplig på personuppgiftsbehandling inom unionens gemensamma utrikes- och säkerhetspolitik (GUSP),

-om EDPS ska kunna ålägga institutionerna m.m. administrativa sanktionsavgifter vid förordningsöverträdelser, och

-begränsningar av registrerades dataskyddsrättigheter.

Diskussionerna har resulterat i att regleringen, liksom i dag, inte ska vara tillämplig på EU:s organs, byråers och kontors behandling av operativa personuppgifter inom unionens straffrättsliga- och polisiära samarbete, t.ex. den operativa personuppgiftsbehandling som sker inom ramen för Europols och Eurojusts verksamhet. Förordningen ska däremot vara tillämplig på organens, byråernas och kontorens behandling av administrativa personuppgifter.

Vidare innebär kompromissförslaget att personuppgiftsbehandling som sker inom GUSP-området, liksom i dag, ska omfattas av regleringens tillämpningsområde. Detta gäller dock inte när beskickningar som implementerar den gemensamma säkerhets- och försvarspolitiken behandlar personuppgifter, t.ex. vid uppdrag utanför unionen för att bevara fred, förebygga konflikter och stärka den internationella säkerheten.

Kompromissförslaget innebär dessutom att möjligheten till inskränkning av enskildas rättigheter har begränsats i förhållande till kommissionens förslag.

Avslutningsvis ger kompromissförslaget EDPS möjlighet att, under vissa närmare bestämda förutsättningar, ålägga institutionerna m.m. administrativa sanktionsavgifter när förordningen inte efterlevs.

Gällande svenska regler och förslagets effekter på dessa

Förslaget syftar till att reglera behandling av personuppgifter som sker i EU:s institutioner, organ, kontor och byråer och inte sådan behandling som sker i medlemsstaterna. Förslaget bedöms mot den bakgrunden inte ha några effekter på svenska regler.

4 (5)

Ekonomiska konsekvenser

Förslaget förväntas inte få några budgetära konsekvenser för statens budget. Det bedöms vidare inte skapas några betydande tillkommande utgifter för institutionerna, organen, kontoren eller byråerna och eventuella budgetära konsekvenser bedöms kunna hanteras inom befintliga ramar för EU-budgeten.

Övrigt

5 (5)