RIF, radspm - dataskyddsförordningen, dp. 10

Rådspromemoria
2015-03-02

Justitiedepartementet

Grundlagsenheten

RIF, dp. 10 RIF, dp. 10

Rådets möte för rättsliga och inrikes frågor (RIF) den 12–13 mars 2015

Dagordningspunkt 10

Rubrik: Förslag till Europaparlamentets och rådets förordning om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (allmän uppgiftsskyddsförordning)

– Partiell allmän inriktning

Dokument: det har ännu inte presenterats något dokument för behandlingen i rådet

Tidigare dokument:

KOM (2012) 11 slutlig Förslag till Europaparlamentets och rådets förordning om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter

Faktapromemoria 2011/12:FPM117

Tidigare behandlad vid samråd med EU-nämnden: 2012-10-19, 2012-11-30, 2013-03-01, 2013-05-31, 2013-10-04, 2013-11-29, 2014-02-28, 2014-05-30, 2014-10-03 och 2014-11-28

Tidigare behandlad vid överläggning med eller information till konstitutionsutskottet och vid information till justitieutskottet:

- konstitutionsutskottet: 2012-02-16, 2012-03-20, 2012-11-20, 2013-01-22, 2013-05-28, 2013-10-03 och 2014-11-27

- justitieutskottet: 2013-05-30, 2013-10-03, 2014-02-27 och 2014-05-27

Bakgrund

Den viktigaste EU-rättsakten på dataskyddsområdet är det s.k. dataskyddsdirektivet som antogs 1995. Direktivets syfte är dels att skydda fysiska personers grundläggande fri- och rättigheter i samband med behandling av personuppgifter, dels att underlätta ett fritt flöde av personuppgifter mellan medlemsstaterna. Dataskyddsdirektivet har i svensk rätt genomförts genom personuppgiftslagen och ett antal särregleringar i förhållande till denna lag, t.ex. patientdatalagen och kustbevakningsdatalagen.

Den 25 januari 2012 presenterade kommissionen ett förslag till en genomgripande reform av EU:s regler om skydd för personuppgifter. Förslaget innebär bl.a. att dataskyddsdirektivet ska ersättas av en allmän dataskyddsförordning. Förslaget till förordning har därefter förhandlats i behörig rådsarbetsgrupp.

Förslaget har behandlats vid RIF-rådets samtliga möten sedan december 2012. Därvid har riktlinjedebatter hållits bl.a. i fråga om att införa en riskbaserad ansats i regleringen, att skapa ökad flexibilitet för den offentliga sektorn, att utvidga det s.k. hushållsundantaget i regleringen och att utvidga regleringens territoriella tillämpningsområde. Frågan om att skapa en mekanism för enhetlighet vid behandling av personuppgifter med gränsöverskridande inslag har diskuterats vid flera av rådets möten.

Vid RIF-rådet i juni 2014 träffades en överenskommelse om partiell allmän inriktning när det gäller förordningens kapitel V, som innehåller bestämmelser om överföring av personuppgifter till stater och internationella organisationer utanför EU och EES.

Vid RIF-rådet i oktober 2014 träffades en överenskommelse om partiell allmän inriktning när det gäller kapitel IV, som främst innehåller bestämmelser om de personuppgiftsansvarigas skyldigheter.

Vid RIF-rådet i december 2014 träffades en överenskommelse om partiell allmän inriktning när det gäller kapitel IX, som främst innehåller bestämmelser som definierar utrymmet för medlemstaterna att anta nationella bestämmelser om undantag från förordningen i vissa avseenden (bl.a. när det gäller yttrandefriheten och allmänhetens tillgång till allmänna handlingar), och när det gäller artiklarna 1(2)a, 6(3) och 21, som innehåller bestämmelser som klargör utrymmet för nationella kompletterande föreskrifter rörande offentlig sektor.

Som förbehåll för dessa överenskommelser har gällt att inget är överenskommet förrän allt är överenskommet, att överenskommelsen inte binder förhandlingarna till några horisontella frågor och att beslutet inte ger ordförandeskapet mandat att inleda triologer med Europaparlamentet.

Vid nu aktuellt rådsmöte är avsikten att nå en överenskommelse om partiell allmän inriktning rörande kapitel II, VI och VII. Kapitel II innehåller grundläggande bestämmelser om principerna för behandling av personuppgifter. I kapitel VI och VII finns bestämmelser om tillsynsmyndigheternas självständighet, uppgifter och befogenheter samt om inrättandet av en ny EU-myndighet, Europeiska dataskyddsstyrelsen (EDPB), som bl.a. ska ha som uppgift att fatta vissa beslut i ärenden med gränsöverskridande inslag. I kapitel VII regleras också den nya mekanismen för enhetlig tillämpning av förordningen (one-stop-shop).

Rättslig grund och beslutsförfarande

Den rättsliga grunden för förslaget är artikel 16 i Fördraget om Europeiska unionens funktionssätt (EUF-fördraget). Beslut fattas genom det ordinarie beslutsförfarandet, vilket betyder att det krävs kvalificerad majoritet i rådet samt enighet med Europaparlamentet för att anta den föreslagna förordningen.

Svensk ståndpunkt

Regeringen står bakom den utformning av kapitel II som nu föreslagits. Strukturen bygger i huvudsak på den reglering som finns i det nuvarande dataskyddsdirektivet, som visat sig fungera väl i praktiken. För regeringen har det varit viktigt att regleringen om otvetydigt samtycke som rättslig grund för behandling behålls, i stället för att – som kommissionen föreslagit – ett generellt krav på uttryckligt samtycke införs. Detta önskemål har tillgodosetts. Regeringen har också med prioritet verkat för att regleringen inte ska få några negativa konsekvenser för forskningens förutsättningar. Regeringens bedömning är att den föreslagna regleringen skapar en god balans mellan berörda motstående intressen.

När det gäller regleringen av tillsynsmyndigheternas uppdrag och befogenheter har regeringen verkat för att regleringen ska begränsas till vad som är nödvändigt för att säkerställa myndigheternas självständighet och för att ge dem likartade förutsättningar att utföra sitt uppdrag och att det i övrigt lämnas åt medlemsstaterna att reglera den nationella förvaltningen. Regleringen i denna del har fått något större omfång och detaljeringsgrad än vad regeringen i första hand eftersträvat, men utformningen bedöms kunna godtas som en acceptabel kompromiss i rådet.

När det gäller Europeiska dataskyddsstyrelsens (EDPB) roll och den nya enhetlighetsmekanismens funktion har regeringen välkomnat att det införs ett system för att säkerställa en enhetlig tillämpning av regelverket i fall som har gränsöverskridande inslag. Den mekanism som nu presenteras för rådet är ett resultat av långa och svåra diskussioner mellan medlemsstaterna. Förslaget syftar till att tillgodose två delvis helt motsatta ändamål. Å ena sidan ska regleringen ge multinationella företag en möjlighet att vända sig till enbart en tillsynsmyndighet i EU för att få ett beslut som kan gälla för behandlingen av personuppgifter i alla företag inom en koncern i EU. Å andra sidan ska regleringen också tillgodose intresset av att tillförsäkra enskilda individer närhet till beslutsfattandet och till tillgängliga överklagandemekanismer. Regleringen är komplicerad. Det kan inte uteslutas att den kan ge upphov till tillämpningsproblem. Regeringen bedömer trots det att det presenterade förslaget utgör en bra grund för en godtagbar kompromiss.

Europaparlamentets inställning

I Europaparlamentet behandlas dataskyddsförordningen i LIBE-utskottet. Rapportören, Jan Philipp Albrecht, lade fram ett förslag till betänkande i december 2012 och den 22 oktober 2013 röstade LIBE fram ett förslag. Den 12 mars 2014 antog Europarlamentet sin resolution till lagstiftingen (första läsning).

Förslaget

Det huvudsakliga syftet med kommissionens förslag är att ytterligare harmonisera och effektivisera skyddet av personuppgifter i syfte att förbättra den inre marknadens funktion och öka enskildas kontroll över sina personuppgifter. I och med att regleringen ges formen av en förordning kommer den att bli direkt tillämplig i alla medlemsstater när den trätt i kraft. Om förslaget genomförs kommer förordningen således inte att ersätta bara dataskyddsdirektivet utan även personuppgiftslagen. Förslaget lämnar dock ett visst utrymme för nationell reglering. Exempelvis är det möjligt att i nationell rätt fastställa vad som är ett allmänt intresse som kan ge rätt att behandla personuppgifter samt att under vissa förutsättningar införa undantag från bestämmelserna i förordningen. Vidare är det möjligt att införa viss nationell reglering inom vissa i förordningen utpekade områden, t.ex. arbetsmarknadsområdet. Kommissionen framhåller att förslaget kommer att undanröja den fragmentariska dataskyddsreglering som nu finns inom EU. Enligt kommissionen kommer detta att både förenkla för företagen och stärka den enskildes rätt till skydd för sina personuppgifter.

Förslaget till förordning baseras till stor del på den struktur och reglering som finns i det nu gällande dataskyddsdirektivet. Förordningen innehåller dock även en rad nyheter jämfört med dataskyddsdirektivet. För en mer utförlig beskrivning av förslaget hänvisas till faktapromemorian.

Gällande svenska regler och förslagets effekter på dessa

Dataskyddsdirektivet har i svensk rätt genomförts dels genom personuppgiftslagen, dels genom ett stort antal författningar som innehåller särregleringar om behandling av personuppgifter för olika myndigheter och sektorer.

Kommissionens förslag innebär att dataskyddsdirektivet ska ersättas av en allmän dataskyddsförordning. Eftersom förordningen kommer att bli direkt tillämplig i medlemsstaterna kommer den, om förslaget genomförs, att ersätta personuppgiftslagen.

Ekonomiska konsekvenser

I dagsläget är det inte möjligt att närmare bedöma vilka budgetära eller samhällsekonomiska konsekvenser ett genomförande av förslaget kommer att få för företag och privatpersoner i Sverige och för svensk offentlig förvaltning. Det bör dock kunna förutsättas att eventuella budgetära konsekvenser inom EU ska kunna finansieras genom omfördelningar inom befintliga budgetramar.