Förordning om dataförvaltning
Fakta-pm om EU-förslag 2020/21:FPM44 : COM(2020) 767
Fakta-PM om EU-förslag
En faktapromemoria, fakta-PM, är en redogörelse från regeringen till riksdagen om ett förslag från EU-kommissionen. Där framgår vad förslaget går ut på, hur det kan påverka svenska regler och vad regeringen anser om förslaget.
Regeringskansliet
Faktapromemoria 2020/21:FPM44
| Förordning om dataförvaltning | 2020/21:FPM44 |
Infrastrukturdepartementet
2020-12-16
Dokumentbeteckning
COM(2020) 767
Förslag till Europaparlamentets och rådets förordning om dataförvaltning (dataförvaltningsakten)
Sammanfattning
Förslaget till en förordning om europeisk dataförvaltning är den första av flera insatser som meddelades i den europeiska datastrategin. Kommissionens förordningsförslag presenterades den 25 november. Kommissionens avsikt med förordningen är att främja tillgängligheten och användbarheten för data genom att öka förtroendet mellan aktörer som hanterar data samt att stärka mekanismer för datadelning inom EU. Kommissionen anger i sitt förslag att följande situationer ska främjas och underlättas:
-Offentlig sektors tillgängliggörande av särskilt utpekade datakategorier för vidareutnyttjande t.ex. data som skyddas av viss sekretess, dataskydd eller tredje mans rätt.
-Datadelning mellan företag och mellan företag och privatpersoner via en neutral dataförmedlare, som kan uppbära någon form av ersättning.
-Underlätta för enskilda och företag att tillåta att personuppgifter och annan data behandlas för ändamål av allmänt intresse s.k. dataaltruism.
Regeringen välkomnar kommissionens förslag till en rättsakt om utvecklad europeisk dataförvaltning. Rätt utformat och genomfört bedömer regeringen att förslaget kan bidra till nytta genom ökad datadelning. Initiativet bör baseras på en grundlig samhällsekonomisk konsekvensanalys med utgångspunkt i ett användarperspektiv, jämställdhet och respekt för mänskliga rättigheter och säkerhet. Regeringen anser att det är positivt att förslaget har frivillighet som grund för datadelning. Initiativen bör även så
1
| långt möjligt vara teknikneutrala och främja innovation och nya | 2020/21:FPM44 |
| affärsmodeller. Det är angeläget att nya begrepp såsom dataaltruism och | |
| dataförmedlare ges tydliga definitioner. Det finns mer att göra gemensamt i | |
| EU för att främja en positiv utveckling, och nya insatser på området bör | |
| bygga vidare på den digitala inre marknadsstrategin. Slutligen anser | |
| regeringen att tydliga hänvisningar till dataskyddsförordningen behövs och | |
| att medlemsstaternas kompetens när det gäller nationell säkerhet måste | |
| säkerställas. |
1 Förslaget
1.1Ärendets bakgrund
Förslaget till en förordning om europeisk dataförvaltning är den första av flera insatser som meddelades i den europeiska datastrategin, vilken presenterades samtidigt med en vitbok för AI i februari 2020, inom ramen för EU:s digitala strategi (faktapromemoria 2019/20:FPM23).
1.2Förslagets innehåll
Det förslag till förordning om europeisk dataförvaltning som kommissionen lagt fram är en första insats i det ramverk som beskrivs i EU:s datastrategi som har syftet att underlätta användning och vidareutnyttjande av data inom EU. Målet med insatserna är att till 2030 etablera en inre marknad för data.
Initiativet till förordning ska enligt kommissionen täcka olika typer av så kallade dataförmedlare och gäller både för personuppgifter och ickepersonuppgifter. Kommissionen framhåller därför att relationen mellan den föreslagna rättsakten och lagstiftning för personuppgifter är särskilt viktig. Vidare framhåller kommissionen att dataskyddsförordningen (GDPR) och direktivet om integritet och elektronisk kommunikation ger en stabil grund för skyddet av personuppgifter och är en internationell förebild och standard.
Vidare anser kommissionen att förslaget kompletterar öppna datadirektivet. Förslaget inriktas bl.a. på data som innehas av den offentliga sektorn och som skyddas av viss sekretess, t.ex. hälsorelaterad data, samt data som skyddas för att de rör personuppgifter och därför faller utanför öppna datadirektivets tillämpningsområde. Kommissionen anser vidare att förslaget på ett logiskt och sammanhållet sätt länkar till andra delar av den europeiska datastrategin. Förslagets syfte är att underlätta datadelning och att stärka förtroendet för de aktörer som ska förmedla delning av data (dataförmedlare) som ska komma till användning i det som kommissionen i datastrategin kallar europeiska gemensamma dataområden. Syftet är inte att bevilja, ändra eller ta bort väsentliga rättigheter i fråga om tillgång till och användning av data. Den typen av åtgärder planeras ingå i förslag till en eventuell datalag som preliminärt förutses under 2021. I framtagandet av förslaget till förordning har kommissionen inspirerats av principer för
2
datahantering och vidareutnyttjande som tagits fram för forskningsdata. 2020/21:FPM44 FAIR-dataprinciperna anger att sådan data, i princip, ska vara möjlig att
finna, få tillgång till, vara interoperabel och möjlig att återanvända.
Som komplement till tidigare rättsakter så introducerar förslaget delning av data utifrån aktivitet (vidareutnyttja och delning) i stället för typ av data (personlig och icke-personlig).
Kapitel I i förslaget definieras målet för förordningen och ger de definitioner av termer och uttryck som används i förslaget.
Kapitel II skapar mekanismen för att vidareutnyttjande av vissa typer av skyddad data i offentlig sektor under förutsättning att andras rättigheter iakttas (särskilt på grundval av skydd av personuppgifter men även sekretess samt skydd av immateriella rättigheter). Denna mekanism gäller oavsett sektorsspecifik EU-rätt om tillgång till och vidareutnyttjande av denna data. Vidareutnyttjande av sådan data faller utanför ramen för Öppna datadirektivet. Bestämmelserna i detta kapitel ger inte rätt att få tillgång till och vidareutnyttja sådan data, utan syftar till att ge en uppsättning harmoniserade grundläggande förutsättningar under vilka vidareutnyttjande av sådan data kan tillåtas. Det finns begränsningar i förslaget när det gäller överförande av icke-personuppgifter till tredje land. Offentliga aktörer som tillåter denna typ av vidareutnyttjande kommer behöva ha de tekniska förutsättningarna för att tillgodose integritetsskydd och sekretess. Medlemsstaterna kommer behöva etablera en kontaktpunkt som stöd för vidareutnyttjare i att finna lämpliga data, och etablera strukturer till att stödja offentlig sektor i tekniska och rättsliga frågor kring datadelning.
Kapitel III syftar till att öka förtroendet vid delning av personuppgifter och icke-personuppgifter samt att minska transaktionskostnaderna för datadelning mellan företag (B2B) och mellan privatpersoner (konsumenter) och företag (C2B) genom ett system för hantering av notifieringar om dataförmedlare. Dessa förmedlare kommer att behöva uppfylla ett antal kriterier, särskilt kriteriet om att agera neutralt i datautbytet. Förmedlare kan under vissa förutsättningar förlora rätten att agera som förmedlare. Dataförmedlaren får inte använda uppgifterna i andra syften. En behörig myndighet som utses av medlemsstaterna ska ansvara för att övervaka efterlevnaden av de krav som är knutna till tillhandahållandet av sådana tjänster. Kommissionens ansats syftar till att säkra datadelningsfunktioner på ett öppet och samverkande sätt, och att stärka fysiska och juridiska personers rätt genom att ge dem bättre översikt och kontroll över sin data. En behörig myndighet i medlemsstaterna ska ansvara för övervakning och tillsyn av efterlevnad av krav som ingår i förmedling av sådana tjänster. Medlemsstaterna ska till kommissionen notifiera vilken behörig myndighet som utsetts.
Kapitel IV syftar till att främja så kallad dataaltruism (dvs. data som på frivillig basis görs tillgänglig av individer eller företag i det allmännas intresse). De data som en dataaltruistisk organisation kan hantera är:
3
| 1) Personuppgifter som tillhandhålls av fysiska personer (för behandling av | 2020/21:FPM44 |
| dessa krävs samtycke från den fysiska personen). |
2)Annan data dvs. icke-personuppgifter från juridiska personer (för behandling av dessa data krävs tillstånd från den juridiska personen).
Bestämmelserna i kapitlet ger en grund för organisationer som arbetar med dataaltruism att registreras som en erkänd organisation för dataaltruism i EU för att öka förtroendet för deras verksamhet. Dessutom kommer i ett senare skede tas fram ett formulär för godkännande i syfte att minska kostnader för att inhämta samtycke och för att underlätta dataportabilitet (där data som ska tillgängliggöras inte förfogas över av individen).
Kapitel V ställer upp kriterier för behöriga myndigheters funktionssätt med syfte att övervaka och genomföra notifieringsramverket för dataförmedlare samt verksamheter som bedriver dataaltruism. Kapitlet innehåller bestämmelser om rätten att föra talan mot beslut från sådana verksamheter och instrumenten att få rättslig prövning.
Kapitel VI syftar till att bilda en formell expertgrupp (den europeiska styrelsen för datainnovation) som ska främja goda exempel från medlemsstaternas myndigheter särskilt vad gäller handläggning av begäran om vidareutnyttjande av data som omfattas av andras rättigheter (under Kapitel II) och för att säkra upp enhetlig hantering för ramverket om notifiering av dataförmedlare (under Kapitel III) samt för dataaltruism (Kapitel IV). Dessutom ska den expertgruppen stödja och ge råd till kommissionen i frågor om standardisering och interoperabilitet. Det kapitlet lägger också grunden för styrelsens sammansättning och utformning av dess funktion.
Kapitel VII ger kommissionen mandat att anta genomförandeakter om formuläret för europeisk dataaltruism. Villkor som rör överföring till tredje land av särskilt känslig data, t.ex. på hälsoområdet, ska enligt förordningen antas genom delegerade akter.
Kapitel VIII innehåller övergångsbestämmelser för funktionen för det generella schemat för auktorisation för dataförmedlare samt ger slutbestämmelser.
1.3Gällande svenska regler och förslagets effekt på dessa
Förordningen kommer behöva kompletteras med nationella bestämmelser t.ex. gällande nya uppgifter för vissa myndigheter och möjligheten för myndigheter att utfärda ekonomiska sanktioner till organ som tillhandahåller datadelningstjänster (artikel 13.4 och 31). I nuläget föreligger dock inte någon slutgiltig bedömning från regeringens sida vilken omfattning sådana kompletteringar kan få.
4
| 1.4 Budgetära konsekvenser / Konsekvensanalys | 2020/21:FPM44 |
Av kommissionens konsekvensanalyser framgår att den bedömda inverkan av ett paket av satsningar och initiativ där dataförvaltningsakten ingår har en positiv inverkan på EU:s dataekonomi på mellan 7,2 och 10,9 miljarder euro till år 2028 (SWD(2020) 296 final). Därutöver kan initiativet verka som en katalysator för mer effektiva tjänster och nya produkter som bygger på data, inklusive artificiell intelligens. Kommissionen anger att detta inte bara gynnar dataekonomin utan även EU:s ekonomi och samhälle i stort. Exempelvis så anges det potentiella värdet av produktivitet inom tillverkningsindustrin uppgå till 1,3 biljoner euro till 2027 genom data från sakernas internet. Satsningarna kan även bidra till att spara omkring 120 miljarder euro per år inom hälsosektorn i EU.
När det gäller ekonomisk inverkan på medlemsstaterna framgår av konsekvensanalyserna att för de medlemsstater som inte redan har strukturer på plats för att offentliggöra data kommer förslaget medföra kostnader. Dessa kostnader kan utgöras av en engångskostnad om 10,6 miljoner euro i genomsnitt per medlemsstat samt till en återkommande årlig kostnad om 610 000 euro för underhåll. Kommissionen lyfter samtidigt fram att de förväntade ekonomiska vinsterna från avgifter och besparingar genom ökad effektivitet inom offentlig sektor (den senare bedöms till 648 miljoner euro per år) väntas signifikant överstiga kostnaderna. Konsekvensanalysen berör inte konsekvenser vad avser möjligheten för EU att på ett enkelt sätt få tillgång till data från tredje land.
Regeringen har i flera sammanhang lyft betydelsen av utvecklad användning av data inom EU bl.a. av samhällsekonomiska skäl (se t.ex. 2019/20:FPM23). Som framgår av 1.3 Gällande svenska regler och förslagets effekt på dessa kan nya uppgifter för vissa myndigheter behövas. Sverige ska ha en budgetrestriktiv linje i de kommande förhandlingarna och eventuella kostnader, såväl nationella och inom EU, ska finansieras inom ram.
2 Ståndpunkter
2.1Preliminär svensk ståndpunkt
Regeringen anser att rättsakten kan vara ett verktyg för att skapa förtroende som är nödvändigt för utvecklad tillgång till användbar data. Rätt genomfört kan förslaget bidra till ökad produktivitet i näringslivet och ge effektivitetsvinster i offentlig sektor. Datadelning behöver baseras på frivillighet. Eventuell nyutveckling av standarder bör ske i enlighet med etablerade standardiseringsprinciper och i enlighet med gällande EU- lagstiftning. Mervärdet av global handel, globala regler och europeiska företags stora behov av internationella dataflöden bör tillvaratas. Rimliga villkor för tredjelandsöverföring behöver eftersträvas med hänsyn till förutsättningar för internationella aktörers att agera på den inre marknaden och för europeiska aktörer att använda erhållen data utanför EU. Förslagets
5
| överensstämmande med ingångna åtaganden inom handelsavtal behöver | 2020/21:FPM44 |
| säkerställas. Det bör också säkerställas att förslaget inte skadar EU:s position | |
| i handelsförhandlingar om att motverka digitala handelsbarriärer såsom | |
| datalokaliseringskrav. | |
| Vidare anser regeringen att ett etiskt förhållningssätt behövs. Skyddet för | |
| mänskliga fri- och rättigheter inklusive rätten till privatliv, jämställdhet och | |
| ickediskriminering, skydd av fysiska personer i fråga om behandling av | |
| personuppgifter, nationell säkerhet samt informations- och cybersäkerhet | |
| måste omhändertas. Etiska och säkerhetsmässiga överväganden behöver vara | |
| en integrerad del i utvecklingen av datadelning. Rättsakten får inte leda till | |
| överreglering som gör det för dyrt och svårt för företagen att dela eller | |
| återanvända data. | |
| Regeringen anser att förordningen behöver ha tydliga hänvisningar till | |
| dataskyddsförordningen både när det gäller skydd för personuppgifter, | |
| (rättslig grund för behandling av personuppgifter) och de rättigheter som | |
| tillkommer de registrerade, dvs. de fysiska personer vars personuppgifter | |
| behandlas. Medlemsstaternas kompetens när det gäller nationell säkerhet | |
| måste säkerställas och förtydligas ytterligare i förslaget som helhet. Regler | |
| om tillgängliggörandet av data i det allmännas intresse behöver föregås av en | |
| noggrann konsekvensbedömning gällande bl.a. praktisk och rättslig | |
| genomförbarhet. Detta inkluderar kravet på oberoende datamäklare och dess | |
| påverkan på företags affärsstrukturer. De mekanismer som föreslås för | |
| uppföljning och kontroll bör utvecklas och anpassas så att de anpassas till de | |
| risker som kan uppstå för privatpersoner och företag som delar sin data. | |
| Nyckelbegrepp behöver definieras tydligt, exempelvis dataförmedlare och | |
| dataaltruism. Det behöver tydliggöras vilken nytta som dessa | |
| dataförmedlare kan få i praktiken. Vidare behöver det förtydligas vad som | |
| kan utgöra en behandling av uppgifter i det allmännas intresse. När det gäller | |
| hantering av så kallat känsliga data behöver säkerställas att beslutanderätten | |
| för dessa data omhändertar medlemsstaternas kompetens avseende nationell | |
| säkerhet. För bestämmelser som har betydelse för nationell säkerhet anser | |
| regeringen att dessa inte ska regleras genom delegerade akter eller | |
| genomförandeakter. | |
| Regeringen bedömer att förslag till bestämmelser i artikel 8 i förslaget | |
| (gemensam informationspunkt) kan bli svåra att förena med den svenska | |
| förvaltningsmodellen och bestämmelserna i 2 kap. TF. Regeringen anser att | |
| delar av bestämmelsen ska vara frivilliga för medlemsstaterna. |
2.2 Medlemsstaternas ståndpunkter
Medlemsstaterna har generellt lyft behovet av öppenhet och tillit med beaktande av skydd för integritet och säkerhet samt data som en värdefull tillgång som det gäller att förvalta väl inom Europa. Även behovet av reglering på området för att skapa tydlighet och förutsägbarhet har framhållits som en viktig aspekt.
6
| 2.3 | Institutionernas ståndpunkter | 2020/21:FPM44 |
Europaparlamentet har ännu inte yttrat sig om förslaget.
2.4Remissinstansernas ståndpunkter
Berörda intressenter har ombetts inkomma med synpunkter.
3 Förslagets förutsättningar
3.1Rättslig grund och beslutsförfarande
Rättslig grund för förordningen är artikel 114 i fördraget om Europeiska unionens funktionssätt (FEUF). Artikel 114 FEUF är den rättsliga grunden för harmoniseringsåtgärder som syftar till att upprätta den inre marknaden. I artikeln betonas målet att säkra en hög skyddsnivå. Kommissionens konsekvensanalys anger att den tilltagande digitaliseringen av ekonomin och samhället innebär en risk för det fall att medlemsstaterna i ökad utsträckning stiftar lagar i datarelaterade frågor utan att ta höjd för behov av samordning mellan medlemsstaterna, vilket kan öka fragmenteringen av den inre marknaden. Genom att etablera strukturer för förvaltning och samordning över sektorer och medlemsstaters gränser kan aktörer inom dataekonomin utvecklas och dra nytta av skalfördelar genom den inre marknaden.
Beslut fattas enligt det ordinarie lagstiftningsförfarandet enligt artikel 294 i fördraget, vilket innebär att rådet beslutar med kvalificerad majoritet och att Europaparlamentet är medbeslutande.
3.2Subsidiaritets- och proportionalitetsprincipen
Kommissionen anför att företag ofta har behov av tillgång till data från flera medlemsstater för att kunna utveckla produkter och tjänster för unionsområdet. Databaserade produkter och tjänster kan behöva anpassas utifrån kundernas preferenser i de olika medlemsstaterna och för detta krävs möjlighet att få tillgång till data från varje medlemsstat. För att möjliggöra fria dataflöden över medlemsstaternas gränser och över sektoriella gränser krävs en harmoniserad lagstiftning inom området. Eftersom datadelning till sin karaktär är gränsöverskridande behövs insatser på EU-nivå som säkerställer en europeisk modell för datadelning.
Kommissionen menar att det är motiverat att lagstifta genom förordning eftersom det behövs ett horisontellt ramverk som tillämpas på ett enhetligt sätt och som inte lämnar utrymme för individuell nationell tolkning. Med tanke på att det råder stor variation i medlemsstaterna gällande t.ex. myndigheters ansvar och organisation för att tillgängliggöra uppgifter kan det å ena sidan tyckas att förslagets syfte bör kunna uppnås genom direktiv t.ex. som det i sak närliggande öppna datadirektivet. Å andra sidan har den föreslagna dataförvaltningsakten ett bredare tillämpningsområde än öppna
7
| datadirektivet. Utöver den offentliga sektorn omfattar dataförvaltningsaktens | 2020/21:FPM44 |
| tillämpningsområde också en mängd icke-offentliga aktörer nämligen | |
| dataförmedlare och dataaltruistiska organisationer. För dessa aktörer är det | |
| avgörande, för att uppnå målen med förslaget, att det råder en enhetlig | |
| tillämpning av regelverket i medlemsstaterna. | |
| Enligt kommissionen begränsas de föreslagna åtgärderna till vad som är | |
| nödvändigt för att uppnå de fastställda målen. Förslaget syftar till att | |
| harmonisera principerna för datadelning utan att frånta medlemsstaterna | |
| deras befogenheter att styra och reglera tillgång till information från den | |
| offentliga sektorn. Ramverket för notifiering av dataförmedlare och data- | |
| altruistiska organisationer syftar dels till att utveckla den inre marknaden för | |
| datadelning, dels till att uppnå en högre nivå av förtroende för de tjänster | |
| som dessa verksamheter förmedlar utan att för den skull begränsa | |
| verksamheterna i onödan. | |
| Regeringen har tidigare lyft att Europa behöver skapa rätt förutsättningar för | |
| att utveckla och sprida sina egna nyckelförmågor (2019/20:FPM23 Att forma | |
| EU:s digitala framtid). Med detta avses en välfungerande inre marknad, | |
| politik som främjar innovation och investeringar, hållbar tillväxt, öppenhet | |
| mot omvärlden, konkurrenskraft och färdigheter samt att företag och | |
| medborgare i Europa har förtroende för digitaliseringen. Regeringen | |
| bedömer att rätt utformade gemensamma åtgärder, på frivillig grund, kan | |
| behövas för att ge bättre tekniska och administrativa förutsättningar för | |
| datadelning på den inre marknaden, exempelvis med stöd av interoperabla | |
| gränssnitt för säker datadelning, enhetlig terminologi, redskap för värdering | |
| av data m.m. |
4 Övrigt
4.1Fortsatt behandling av ärendet
Första presentation av förslaget i rådsarbetsgrupp (telekom) ägde rum den 30 november 2020. Förhandlingarna i rådet bedöms fortsätta under det portugisiska ordförandeskapet.
4.2Fackuttryck/termer
| Dataskyddsförordningen | Europaparlamentets och rådets förordning | ||
| (EU) 2016/679 av den 27 april 2016 om | |||
| skydd för fysiska personer med avseende | |||
| på behandling av personuppgifter och om | |||
| det fria flödet av sådana uppgifter och om | |||
| upphävande av direktiv 95/46/EG (allmän | |||
| dataskyddsförordning), | General | Data | |
| Protection Regulation, GDPR. | |||
8
| Direktiv om integritet | Europaparlamentets och rådets direktiv | 2020/21:FPM44 | ||
| och elektronisk kommunikation | 2002/58/EG av den 12 juli 2002 | om | ||
| behandling av | personuppgifter | och | ||
| integritetsskydd | inom | sektorn | för | |
| elektronisk kommunikation | ||||
| Öppna datadirektivet | Europaparlamentets och | rådets direktiv | ||
| (EU) 2019/1024 av den 20 juni 2019 om | ||||
| öppna data och vidareutnyttjande av | ||||
| information från den offentliga sektorn | ||||
Nedanstående fackuttryck/termer saknar entydiga definitioner.
Förklaringarna baseras på exempel på definitioner bl.a. i kommissionens
texter.
| Dataaltruism | Att data som på frivillig basis görs |
| tillgänglig av individer eller företag i | |
| allmänhetens intresse. | |
| Datadelning, dataförmedlare | Enligt förslagets artikel 2 innebär |
| datadelning förmedling av data som hålls | |
| av någon i syfte att gemensamt eller | |
| enskilt använda data som delas, med | |
| utgångspunkt i frivilliga avtal, antingen | |
| direkt eller genom en förmedlare | |
| (intermediär) av data. | |
| Dataportabilitet | Att göra det möjligt för registrerade att få |
| ut och vidareutnyttja sina uppgifter för | |
| eget bruk och i olika tjänster. Syftet är att | |
| göra det enklare för dem att flytta, kopiera | |
| eller överföra personuppgifter från en it- | |
| miljö till en annan utan att hindras. | |
| FAIR | FAIR är en förkortning som står för |
| Findable, Accessible, Interoperable och | |
| Reusable. FAIR-principerna innebär att | |
| forskningsdata ska gå att hitta, det ska | |
| finnas information om hur man får tillgång | |
| till dem, de ska vara kompatibla med andra | |
| data, och de ska vara möjliga att | |
| återanvända. FAIR-principerna används i | |
| arbetet för öppen vetenskap och beskriver |
9
| några centrala | riktlinjer | för god | |
| datahantering och öppen tillgång till | |||
| forskningsdata. FAIR bygger på att data | |||
| ska vara så öppen som möjligt men stängd | |||
| när nödvändigt | |||
| Sakernas internet, IoT | Föremål som hushållsapparater, kläder och | ||
| accessoarer, men även maskiner, fordon | |||
| och byggnader, med inbyggd elektronik | |||
| och internetuppkoppling, vilket gör att de | |||
| kan styras eller utbyta data över nätet. | |||
2020/21:FPM44
10
Fakta-PM om EU-förslag
En faktapromemoria, fakta-PM, är en redogörelse från regeringen till riksdagen om ett förslag från EU-kommissionen. Där framgår vad förslaget går ut på, hur det kan påverka svenska regler och vad regeringen anser om förslaget.