RIF_radsPM_dataskyddsforordningen_dp_3

Bilaga till dokument från EU-nämnden 2014/15:3C1F2C

RIF, dp. 3

Rådspromemoria

2015-06-08

Justitiedepartementet

Grundlagsenheten

Rådets möte för rättsliga och inrikes frågor (RIF) den 15–16 juni 2015

Dagordningspunkt 3.

Rubrik: Förslag till Europaparlamentets och rådets förordning om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (allmän uppgiftsskyddsförordning)

– Generell allmän inriktning

Dokument: det har ännu inte presenterats något dokument för behandlingen i rådet

Tidigare dokument:

-KOM (2012) 11 slutlig Förslag till Europaparlamentets och rådets förordning om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter

-Faktapromemoria 2011/12:FPM117

Tidigare behandlad vid samråd med EU-nämnden: 2012-10-19, 2012-11- 30, 2013-03-01, 2013-05-31, 2013-10-04, 2013-11-29, 2014-02-28, 2014-05- 30, 2014-10-03, 2014-11-28 och 2015-03-06.

Tidigare behandlad vid överläggning med eller information till konstitutionsutskottet och vid information till justitieutskottet:

-konstitutionsutskottet: 2012-02-16, 2012-03-20, 2012-11-20, 2013-01-22, 2013-05-28, 2013-10-03, 2014-11-27 och 2015-03-05.

-justitieutskottet: 2013-05-30, 2013-10-03, 2014-02-27, 2014-05-27 och 2015-03-03.

2

Bakgrund

Den viktigaste EU-rättsakten på dataskyddsområdet är det s.k. dataskyddsdirektivet som antogs 1995. Direktivets syfte är dels att skydda fysiska personers grundläggande fri- och rättigheter i samband med behandling av personuppgifter, dels att underlätta ett fritt flöde av personuppgifter mellan medlemsstaterna. Dataskyddsdirektivet har i svensk rätt genomförts genom personuppgiftslagen och ett antal särregleringar i förhållande till denna lag, t.ex. patientdatalagen och kustbevakningsdatalagen.

Den 25 januari 2012 presenterade kommissionen ett förslag till en genomgripande reform av EU:s regler om skydd för personuppgifter. Förslaget innebär bl.a. att dataskyddsdirektivet ska ersättas av en allmän dataskyddsförordning. Förslaget till förordning har därefter förhandlats i behörig rådsarbetsgrupp.

Förslaget har behandlats vid RIF-rådets samtliga möten sedan december 2012. Därvid har riktlinjedebatter hållits bl.a. i fråga om att införa en riskbaserad ansats i regleringen, att skapa ökad flexibilitet för den offentliga sektorn, att utvidga det s.k. hushållsundantaget i regleringen och att utvidga regleringens territoriella tillämpningsområde. Frågan om att skapa en mekanism för enhetlighet vid behandling av personuppgifter med gränsöverskridande inslag har diskuterats vid flera av rådets möten.

Vid RIF-rådet i juni 2014 träffades en överenskommelse om partiell allmän inriktning när det gäller förordningens kapitel V, som innehåller bestämmelser om överföring av personuppgifter till länder och internationella organisationer utanför EU och EES.

Vid RIF-rådet i oktober 2014 träffades en överenskommelse om partiell allmän inriktning när det gäller kapitel IV, som främst innehåller bestämmelser om de personuppgiftsansvarigas skyldigheter.

Vid RIF-rådet i december 2014 träffades en överenskommelse om partiell allmän inriktning när det gäller kapitel IX, som främst innehåller bestämmelser som definierar utrymmet för medlemstaterna att anta nationella bestämmelser om undantag från förordningen i vissa avseenden (bl.a. när det gäller yttrandefriheten och allmänhetens tillgång till allmänna handlingar), och när det gäller artiklarna 1(2)a, 6(3) och 21, som innehåller bestämmelser som klargör utrymmet för nationella kompletterande föreskrifter rörande offentlig sektor.

Vid RIF-rådet i mars 2015 träffades en överenskommelse om partiell allmän inriktning när det gäller kapitel II, VI och VII. Kapitel II innehåller grundläggande bestämmelser om principerna för behandling av personuppgifter. I kapitel VI och VII finns bestämmelser om tillsynsmyndigheternas självständighet, uppgifter

3

och befogenheter samt om inrättandet av en ny EU-myndighet, Europeiska dataskyddsstyrelsen (EDPB), som bl.a. ska ha som uppgift att fatta vissa beslut i ärenden med gränsöverskridande inslag. I kapitel VII regleras också den nya mekanismen för enhetlig tillämpning av förordningen (one-stop-shop).

Som förbehåll för dessa överenskommelser har gällt att inget är överenskommet förrän allt är överenskommet, att överenskommelsen inte binder förhandlingarna till några horisontella frågor och att beslutet inte ger ordförandeskapet mandat att inleda triloger med Europaparlamentet.

Vid nu aktuellt rådsmöte är avsikten att nå en överenskommelse om en generell allmän inriktning avseende hela förordningen, utan några förbehåll.

Som förberedelse inför en generell allmän inriktning har under våren de delar av förordningen som inte omfattas av någon partiell överenskommelse förhandlats. Förhandlingar under våren har omfattat delar av kapitel I och hela kapitel III, VIII, X och XI. Dessa kapitel innehåller bestämmelser om definitioner (kap. 1), om den grundläggande regleringen om enskildas rättigheter (kap. 3), om regleringen avseende sanktioner (kap. 8) och om kommissionens behörighet att anta delegerade akter och genomförandeakter samt slutbestämmelser (kap. 10 resp. 11). Sveriges har i dessa delar haft en förhållandevis flexibel hållning. Utgångspunkten har varit att regleringen om enskildas rättigheter bör vara balanserad och bygga på dagens ordning enligt dataskyddsdirektivet, som har implementerats i bland annat personuppgiftslagen. Det har också varit viktigt att bevaka så att sanktionssystemet – med administrativa sanktioner och straffsanktioner – kan tillämpas utan risk för otillåten dubbelbestraffning och med beaktande av nationella förvaltningstraditioner. Regeringen bedömer att de bestämmelser som omfattas av nämnda kapitel utgör en godtagbar kompromiss och därmed kan accepteras.

Rättslig grund och beslutsförfarande

Den rättsliga grunden för förslaget är artikel 16 i Fördraget om Europeiska unionens funktionssätt (EUF-fördraget). Beslut fattas genom det ordinarie beslutsförfarandet, vilket betyder att det krävs kvalificerad majoritet i rådet samt enighet med Europaparlamentet för att anta den föreslagna förordningen.

4

Svensk ståndpunkt

Övergripande ståndpunkt

Regeringen bedömer att Sverige kan ställa sig bakom förslaget till generell allmän inriktning när det gäller den allmänna dataskyddsförordningen.

Förhållande till grundlagarna

En grundläggande förutsättning för regeringens arbete i förhandlingarna om förslaget har hela tiden varit att det är av yttersta vikt att den kommande regleringen inte kommer i konflikt med våra grundlagar. Det handlar framförallt om att säkerställa att offentlighetsprincipen och tryck- och yttrandefriheten inte inskränks. Det förslag som nu förhandlats fram innehåller en uttrycklig bestämmelse om offentlighetsprincipen och om information- och yttrandefrihet. Den senare bestämmelsen ser i allt väsentligt ut som den gör enligt dataskyddsdirektivet. Sveriges har varit drivande i båda dessa frågor. Regeringen bedömer att den föreslagna förordningen inte kommer i konflikt med våra grundlagar.

Regleringen av berättigade behov till personuppgiftsbehandling

Regeringen har vidare verkat för att hänsyn tas till de berättigade behov som myndigheter, företag, privatpersoner, föreningar och forskarsamhället har av att behandla personuppgifter. För regeringen har det t.ex. varit viktigt att den nuvarande regleringen om otvetydigt samtycke som rättslig grund för behandling behålls och att regleringens tillämpningsområde tydligare avgränsas mot privatpersoners helt privata behandling av personuppgifter. Dessa önskemål har tillgodosetts. I syfte att främja fortsatt digitalisering och utveckling av handel på internet har regeringen strävat efter att den nya dataskyddsregleringen inte ska ålägga företag ökade administrativa och ekonomiska bördor, om inte dessa kan anses motiverade utifrån ett integritetsskyddsperspektiv. Regeringen har vidare med stor kraft verkat för att regleringen ska förbättra forskningens förutsättningar att behandla personuppgifter. Regeringens bedömning är sammanfattningsvis att den föreslagna förordningen skapar en god balans mellan berörda motstående intressen.

Utformning av hanteringsregler enligt en riskbaserad ansats

5

Regeringen har vidare under lång tid verkat för att den nya dataskyddsregleringen ska utformas enligt en missbruksmodell. Syftet med en sådan modell är att begränsa hanteringsreglernas tillämpning vid sådan vardaglig behandling av personuppgifter som kan bedömas som riskfri från integritetssynpunkt (t.ex. e-post och ordbehandling). Det har dock visat sig svårt att på ett tydligt och rättssäkert sätt definiera och avgränsa sådan vardaglig behandling som typiskt sett kan bedömas som riskfri. Den föreslagna förordningen har därför istället utformats så att hanteringsreglerna ska tillämpas med utgångspunkt i en riskbaserad ansats. Den riskbaserade ansatsen innebär att regleringen ställer olika krav beroende på vilka integritetsrisker som behandlingen medför. Ju mer riskfylld behandlingen bedöms vara för den enskilde utifrån ett integritetsperspektiv, desto högre krav ställs på behandlingen. Regeringen bedömer därmed att det grundläggande syftet med att skapa en reglering utifrån en missbruksmodell i mångt och mycket har tillgodosetts genom den riskbaserade ansatsen, som går som en röd tråd genom den föreslagna förordningen.

Utrymme för nationella registerförfattningar

Regeringen har vidare ansett att det är angeläget att den EU-rättsliga dataskyddsregleringen inte medför att utrymmet blir för snävt för att på nationell nivå ha sådan preciserad reglering av förutsättningarna för behandling av personuppgifter hos framförallt olika myndigheter som finns i de svenska registerförfattningarna. Utrymmet för att på nationell nivå precisera dessa förutsättningar har generellt bedömts vara större om dataskyddsregleringen ges formen av ett direktiv i stället för en förordning. Sverige har därför under större delen av förhandlingarna verkat för att regleringen ges formen av ett direktiv, även om stödet för den svenska ståndpunkten har varit svagt. Efter den partiella allmänna inriktningen i december 2014, som bl.a. tydliggör att medlemstaterna får anta specifika regler för den offentliga sektorn, minskade stödet för ett direktiv ytterligare. Regeringen bedömer att den flexibilitet som skapats genom preciseringar av medlemsstaternas normgivningsbefogenheter för främst myndigheternas behandling av personuppgifter ger ett sådant utrymme för nationella registerförfattningar att förordningsformen kan godtas. Vid överläggningar med regeringen har konstitutionsutskottet i mars 2015 ställt sig bakom denna bedömning.

Begränsad behörighet för kommissionen att meddela delegerade akter och genomförandeakter

Regeringen har även, i linje med konstitutionsutskottets påpekande, verkat för att kommissionens möjlighet att meddela s.k. delegerade akter och genomförandeakter ska begränsas i så stor utsträckning som möjligt. I stort sett alla medlemsstater har haft samma utgångspunkt när det gäller denna fråga. Resultatet av detta arbete är att huvuddelen

6

av de bemyndiganden som kommissionen ursprungligen föreslagit har tagits bort i det lettiska ordförandeskapets kompromissförslag. Regeringen bedömer att det fåtal delegationer som finns kvar kan godtas. Det handlar t.ex. om att kommissionen ges behörighet att utfärda tekniska standarder för, och närmare specificera processen för, informations-utbyte mellan myndigheter och företag inom Europa i syfte att underlätta informationsutbyte som är sanktionerat av förordningen.

Europaparlamentets inställning

I Europaparlamentet behandlas dataskyddsförordningen i LIBE- utskottet. Rapportören, Jan Philipp Albrecht, lade fram ett förslag till betänkande i december 2012 och den 22 oktober 2013 röstade LIBE fram ett förslag. Den 12 mars 2014 antog Europarlamentet sin resolution till lagstiftingen (första läsning).

Förslaget

Det huvudsakliga syftet med kommissionens förslag till förordning är att ytterligare harmonisera och effektivisera skyddet av personuppgifter i syfte att förbättra den inre marknadens funktion och öka enskildas kontroll över sina personuppgifter. I och med att regleringen ges formen av en förordning kommer den att bli direkt tillämplig i alla medlemsstater när den trätt i kraft. Om förslaget genomförs kommer förordningen således inte att ersätta bara dataskyddsdirektivet utan även personuppgiftslagen. Förslaget till förordning lämnar dock ett visst utrymme för nationell reglering. Exempelvis är det möjligt att i nationell rätt fastställa vad som är ett allmänt intresse som kan ge rätt att behandla personuppgifter samt att under vissa förutsättningar införa undantag från bestämmelserna i förordningen. Vidare är det möjligt att införa viss nationell reglering inom vissa i förordningen utpekade områden, t.ex. arbetsmarknadsområdet. Kommissionen framhåller att förslaget kommer att undanröja den fragmentariska dataskyddsreglering som nu finns inom EU. Enligt kommissionen kommer detta att både förenkla för företagen och stärka den enskildes rätt till skydd för sina personuppgifter.

Förslaget till förordning baseras till stor del på den struktur och reglering som finns i det nu gällande dataskyddsdirektivet. Förordningen innehåller dock även en rad nyheter jämfört med dataskyddsdirektivet. För en mer utförlig beskrivning av förslaget hänvisas till faktapromemorian.

Gällande svenska regler och förslagets effekter på dessa

Dataskyddsdirektivet har i svensk rätt genomförts dels genom personuppgiftslagen, dels genom ett stort antal författningar som innehåller

7

särregleringar om behandling av personuppgifter för olika myndigheter och sektorer.

Kommissionens förslag innebär att dataskyddsdirektivet ska ersättas av en allmän dataskyddsförordning. Eftersom förordningen kommer att bli direkt tillämplig i medlemsstaterna kommer personuppgiftslagen att behöva upphävas. Eftersom dataskyddsförordningens tillämpningsområde begränsas med utgångspunkt i EU-fördragen och därför inte fullt ut motsvarar personuppgiftslagens tillämpningsområde, kan det dock finnas behov av kompletterande nationell reglering i lag och förordning vid sidan av EU-förordningen när denna ska börja tillämpas.

Ekonomiska konsekvenser

I dagsläget är det inte möjligt att närmare bedöma vilka budgetära eller samhällsekonomiska konsekvenser ett genomförande av förslaget kommer att få för EU:s budget, för företag och privatpersoner i Sverige och för svensk offentlig förvaltning. Utgångspunkten är dock att budgetära konsekvenser för EU:s budget och den nationella budgeten ska finansieras genom omprioriteringar inom befintliga ramar.