RIF, RådsPM - dataskydd, dp. 13

Bilaga till dokument från EU-nämnden 2012/13:2B5515

Rådspromemoria

2013-02-27

Justitiedepartementet

Grundlagsenheten

Rådets möte för rättsliga och inrikes frågor (RIF) den 7-8 mars 2013

Dagordningspunkt 13

Rubrik: Förslag till Europaparlamentets och rådets förordning om skydd
för enskilda personer med avseende på behandling av personuppgifter
och om det fria flödet av sådana uppgifter (allmän uppgiftsskyddsförordning) [första behandlingen]
= Riktlinjedebatt

Dokument: 6607/13 DATAPROTECT 18/JAI 125/MI 116/DRS 30/DAPIX 28/FREMP 13/COMIX 108/CODEC 359

Tidigare dokument: KOM (2012) 11 slutlig
Förslag till Europaparlamentets och rådets förordning om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter
Faktapromemoria 2011/12:FPM117

Tidigare behandlad vid samråd med EU-nämnden: 2012-10-19, 2012-11-30

Tidigare behandlad vid möte med konstitutionsutskottet: 2012-02-16, 2012-03-20, 2012-11-20 och 2013-01-22
Bakgrund
Den viktigaste EU-rättsakten på dataskyddsområdet är det s.k. dataskyddsdirektivet som antogs 1995. Direktivet syfte är dels att skydda fysiska personers grundläggande fri- och rättigheter i samband med behandling av personuppgifter, dels att underlätta ett fritt flöde av personuppgifter mellan medlemsstaterna. Dataskyddsdirektivet har i svensk rätt genomförts genom personuppgiftslagen och ett antal särregleringar i förhållande till denna lag, t.ex. patientdatalagen och kustbevakningsdatalagen.

Den 25 januari 2012 presenterade kommissionen ett förslag till en genomgripande reform av EU:s regler om skydd för personuppgifter. Förslaget innebär bl.a. att dataskyddsdirektivet ska ersättas av en allmän dataskyddsförordning.

Förslaget till förordning har därefter förhandlats i behörig rådsarbetsgrupp under de danska, cypriotiska och nuvarande irländska ordförandeskapen. Arbetet har intensifierats under det irländska ordförandeskapet och första läsningen av förslaget har nyligen avslutats.

Vid rådsmötet ska en orienteringsdebatt hållas. Ordförandeskapet avser att återrapportera från diskussionerna på rådsarbetsgruppsnivå samt att diskutera två övergripande frågeställningar; dels hur man ska införa en mer riskbaserad ansats i regleringen, dels hur man i regleringen ska införa flexibilitet för den offentliga sektorn.

När det gäller den första frågeställningen har ordförandeskapet föreslagit ett antal justeringar i förslaget för att införa en mer riskbaserad ansats, framförallt vad gäller artiklarna om den personuppgiftsansvariges ansvar och skyldigheter. I denna del önskar ordförandeskapet en diskussion om tre frågor:

ska personuppgiftsansvariga vara skyldiga att samråda med tillsynsmyndigheterna inför särskilt riskfylld personuppgiftsbehandling,
ska det vara obligatoriskt eller frivilligt att utse ett s.k.

personuppgiftsombud och bör det leda till lättnader i skyldigheterna enligt förordningen om ett sådant ombud utses, och
bör det skapas incitament för att tillämpa uppförandekoder och godkända certifieringsmekanismer genom att skapa en koppling till sådana riskbedömningar som förordningen i vissa fall kräver.

Därutöver önskar ordförandeskapet att ministerrådet instruerar rådsarbetsgruppen att fortsätta arbeta med den riskbaserade ansatsen, bl.a. genom att ta fram kriterier för riskbedömningen och utforska möjligheterna att införa begreppet pseudonymiserade uppgifter i förordningen.

Den andra frågeställningen är hur flexibilitet för den offentliga sektorn ska införas i förordningen. I denna del antecknar ordförandeskapet att ett sätt att skapa sådan flexibilitet är att i förordningen uttryckligen ange att medlemsstaternas lagstiftning får innehålla bestämmelser som specificerar den allmänna regleringen i förordningen. Dessutom anger ordförandeskapet att rätten till tillgång till allmänna handlingar uttryckligen behöver beaktas i förordningen. I denna del önskar ordförandeskapet att rådet ska instruera rådsarbetsgruppen att fortsätta arbeta med frågan, bl.a. genom att klargöra utrymmet för nationell lagstiftning som specificerar förordningens bestämmelser.
Rättslig grund och beslutsförfarande
Den rättsliga grunden för förslaget är artikel 16 FEUF. Beslut fattas genom det ordinarie beslutsförfarandet, vilket betyder att det krävs kvalificerad majoritet i rådet samt enighet med Europaparlamentet för att anta den föreslagna förordningen.
Svensk ståndpunkt

En riskbaserad ansats
Regeringen välkomnar en modernisering av EU:s dataskyddsregelverk mot bakgrund av den tekniska utveckling som skett under de senaste decennierna. Det är angeläget att säkerställa att det finns ett effektivt skydd för enskildas personliga integritet vid behandling av personuppgifter. Samtidigt måste hänsyn tas till de berättigade behov som finns inom både den privata och den offentliga sektorn av att behandla personuppgifter. Nya administrativa bördor bör inte införas om det inte är nödvändigt för att skydda enskildas personliga integritet och kraven står i rimlig proportion till integritetsintresset. Regeringen kan därför ställa sig bakom införandet av en mer riskbaserad ansats i regleringen. En differentiering av regleringen utifrån den risk som personuppgiftsbehandlingen innebär ligger i linje med nuvarande svensk lagstiftning. En sådan differentiering möjliggör en hög skyddsnivå vid verkligt integritetskänslig personuppgiftsbehandling samtidigt som administrativa bördor kan undvikas vid riskfri behandling. Arbetet med att införa en mer riskbaserad ansats i regleringen bör fortsätta för att regleringen ska bli mer balanserad.

Vad gäller de tre frågorna som ordförandeskapet önskar diskutera är det regeringens uppfattning att det är väl tidigt att slutligt ta ställning till konkreta förslag.

Den första läsningen av förslaget har nyligen avslutats och det återstår fortfarande många frågor att lösa. Regeringen anser emellertid att krav på samråd i vissa fall kan vara ett bra instrument för tillsynsmyndigheten, för att få överblick över och i förväg kontrollera särskilt känslig personuppgiftsbehandling. En utgångspunkt bör dock vara att ett sådant krav endast gäller väl avgränsade kategorier av särskilt riskfylld behandling av personuppgifter.

Likaså anser regeringen att personuppgiftsombud i många fall kan vara ett bra instrument för att säkerställa skyddet för personuppgifter. Det är dock viktigt att man avgränsar regleringen på ett lämpligt sätt så att onödiga administrativa bördor undviks. Det kan t.ex. ifrågasättas om varje myndighet, oavsett storlek och vilken personuppgiftsbehandling som myndigheten ägnar sig åt, ska vara skyldig att utse ett sådant ombud. Enligt regeringens mening fungerar dagens frivilliga system väl och ett generellt krav att utse personuppgiftsombud kan i många fall innebära en onödig administrativ börda som inte står i proportion till fördelarna med sådana ombud.

Regeringen anser slutligen att framtagande och tillämpning av uppförandekoder och godkända certifieringsmekanismer bör uppmuntras. På detta sätt kan regelverk skapas som skyddar enskildas personliga integritet samtidigt som hänsyn kan tas till specifika sektorers förutsättningar. Det närmare sättet att skapa incitament för uppförandekoder och certifieringar bör diskuteras vidare på arbetsgruppsnivå.

Flexibilitet för den offentliga sektorn
Sveriges viktigaste prioritering under förhandlingarna är att se till att dataskyddsregleringen inte kommer i konflikt med våra grundlagar. Det handlar framför allt om att värna offentlighetsprincipen. Förhållandet mellan dataskydd och offentlighetsprincipen regleras i förordningen i en beaktandesats. En motsvarande beaktandesats i direktivet som gäller idag har bedömts vara tillräcklig för att värna offentlighetsprincipen. Regeringen verkar dock för att en artikel om offentlighetsprincipen ska införas i förordningen. Regeringen ser därför mycket positivt på att ordförandeskapet anser att rätten till tillgång till allmänna handlingar uttryckligen behöver beaktas i förordningen.

Det är vidare angeläget att den EU-rättsliga dataskyddsregleringen inte medför att utrymmet blir för snävt för att på nationell nivå ha sådan preciserad reglering avseende personuppgiftsbehandling som finns i de svenska registerförfattningarna. Regeringen delar ordförandeskapets bedömning att ett sätt att skapa ett sådant utrymme är att i förordningen uttryckligen ange att medlemsstaternas lagstiftning får innehålla bestämmelser som specificerar den allmänna regleringen i förordningen. Samtidigt är det regeringens uppfattning att utrymmet för att på nationell nivå ha sådan lagstiftning skulle vara större om EU:s dataskyddsreglering ges formen av ett direktiv och inte en förordning.

Bland annat av detta skäl är det att föredra om regleringen ges formen av ett direktiv. I nuläget är det endast ett fåtal medlemsstater som förespråkar ett direktiv framför en förordning. Regeringen verkar dock för att rättsakten ska få formen av ett direktiv.
Europaparlamentets inställning
I Europaparlamentet behandlas dataskyddsförordningen i LIBE-utskottet. Rapportören, Jan Philipp Albrecht, lade fram ett förslag till betänkande i december 2012. Omröstning om betänkandet planeras ske under april 2013. Europaparlamentet har således ännu inte redovisat några formella ståndpunkter rörande kommissionens förslag.
Förslaget
Det huvudsakliga syftet med kommissionens förslag till dataskyddsförordning är att ytterligare harmonisera och effektivisera skyddet av personuppgifter i syfte att förbättra den inre marknadens funktion och öka enskildas kontroll över sina personuppgifter. I och med att regleringen ges formen av en förordning kommer den att bli direkt tillämplig i alla medlemsstater när den trätt i kraft. Om förslaget genomförs kommer förordningen således inte att ersätta bara dataskyddsdirektivet utan även personuppgiftslagen. Förslaget till förordning lämnar dock ett visst utrymme för nationell reglering. Exempelvis är det möjligt att i nationell rätt fastställa vad som är ett allmänt intresse som kan ge rätt att behandla personuppgifter samt att under vissa förutsättningar införa undantag från bestämmelserna i förordningen. Vidare är det möjligt att införa nationell reglering inom vissa i förordningen utpekade områden, t.ex. arbetsmarknadsområdet. Kommissionen framhåller att förslaget kommer att undanröja den fragmentariska dataskyddsreglering som nu finns inom EU. Enligt kommissionen kommer detta att både förenkla för företagen och stärka den enskildes rätt till skydd för sina personuppgifter.

Förslaget till förordning baseras till stor del på den struktur och reglering som finns i det nu gällande dataskyddsdirektivet. Förordningen innehåller dock även en rad nyheter jämfört med dataskyddsdirektivet, t.ex. följande:

Företag och organisationer ska enligt förslaget underrätta den nationella tillsynsmyndigheten (i Sverige Datainspektionen) om dataintrång.
Myndigheter och företag av viss storlek ska ha ett personuppgiftsombud.
Det införs ett nytt system som syftar till att garantera en enhetlig tillämpning av förordningen i medlemsstaterna. Detta system omfattar bl.a. ett nytt organ, Europeiska dataskyddsstyrelsen, bestående av representanter för de nationella dataskyddsmyndigheterna.
Kommissionen ges enligt förslaget rätt att på ett stort antal om-råden komplettera regleringen i förordningen genom delegerade akter och genomförandeakter.

För en mer utförlig beskrivning av förslaget hänvisas till faktapromemorian.

Gällande svenska regler och förslagets effekter på dessa
Dataskyddsdirektivet har i svensk rätt genomförts dels genom personuppgiftslagen, dels genom ett stort antal författningar som innehåller särregleringar om behandling av personuppgifter för olika myndigheter och sektorer.

Kommissionens förslag innebär att dataskyddsdirektivet ska ersättas av en allmän dataskyddsförordning. Eftersom förordningen kommer att bli direkt tillämplig i medlemsstaterna kommer den, om förslaget genomförs, att ersätta personuppgiftslagen. Med en förordning kommer även utrymmet för hela eller delar av de många särregleringar som finns i förhållande till personuppgiftslagen sannolikt att minska.
Ekonomiska konsekvenser
I dagsläget är det inte möjligt att närmare bedöma vilka budgetära eller samhällsekonomiska konsekvenser ett genomförande av förslaget kommer att få för företag och privatpersoner i Sverige och för svensk offentlig förvaltning. Det bör dock kunna förutsättas att eventuella budgetära konsekvenser inom EU ska kunna finansieras genom omfördelningar inom befintliga budgetramar.

Enligt kommissionens konsekvensanalys kommer förordningen att leda till besparingar för företagen i EU på 2,3 miljarder euro per år genom att den undanröjer dagens splittrade reglering inom EU och de stora administrativa kostnader som följer av denna. Kravet på dataskyddsombudsmän kommer dock, enligt kommissionen, att leda till en mindre kostnadsökning för större företag och myndigheter. Kommissionen bedömer också att förordningen kommer att bidra till att öka konsumenternas förtroende för onlinetjänster, vilket kan öka tillväxten och sysselsättningen i Europa.