RIF, RådsPM - dataskyddsförordningen, dp. 13

Bilaga till dokument från EU-nämnden 2012/13:2B5722

Rådspromemoria

2013-02-25

Justitiedepartementet

Grundlagsenheten

Rådets möte för rättsliga och inrikes frågor (RIF) den 7-8 mars 2013

Dagordningspunkt 13

Rubrik: Förslag till Europaparlamentets och rådets förordning om skydd
för enskilda personer med avseende på behandling av personuppgifter
och om det fria flödet av sådana uppgifter (allmän
uppgiftsskyddsförordning) [första behandlingen]
= Riktlinjedebatt

Dokument: KOM (2012) 11 slutlig
Förslag till Europaparlamentets och rådets förordning om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter

Tidigare dokument: Faktapromemoria 2011/12:FPM117

Tidigare behandlad vid samråd med EU-nämnden: 2012-10-19, 2012-11-30

Tidigare behandlad vid möte med konstitutionsutskottet: 2012-02-16, 2012-03-20, 2012-11-20 och 2013-01-22
Bakgrund
Den viktigaste EU-rättsakten på dataskyddsområdet är det s.k. dataskyddsdirektivet som antogs 1995. Direktivet syfte är dels att skydda fysiska personers grundläggande fri- och rättigheter i samband med behandling av personuppgifter, dels att underlätta ett fritt flöde av personuppgifter mellan medlemsstaterna. Dataskyddsdirektivet har i svensk rätt genomförts genom personuppgiftslagen och ett antal särregleringar i förhållande till denna lag, t.ex. patientdatalagen och kustbevakningsdatalagen.

På EU-nivå finns kompletterande rättsakter på dataskyddsområdet, bl.a. det s.k. dataskyddsrambeslutet som antogs 2008 och som innehåller regler om behandling av personuppgifter som är tillämpliga enbart vid överföring av sådana uppgifter inom ramen för polisiärt och straffrättsligt samarbete.

Genom Lissabonfördraget infördes en ny rättslig grund för dataskyddsreglering inom EU:s tidigare första och tredje pelare (artikel 16 FEUF). Rätten till skydd av personuppgifter har även fått status som en självständig grundläggande rättighet (artikel 8 i EU:s stadga om de grundläggande rättigheterna).

Den 25 januari 2012 presenterade kommissionen ett förslag till en genomgripande reform av EU:s regler om skydd för personuppgifter. Förslaget innebär bl.a. att dataskyddsdirektivet ska ersättas av en allmän dataskyddsförordning. I reformen ingår också ett förslag till direktiv som ska ersätta dataskyddsrambeslutet.

Förslaget till förordning har förhandlats i behörig rådsarbetsgrupp under de danska, cypriotiska och nuvarande irländska ordförandeskapen. Arbetet har intensifierats under det irländska ordförandeskapet och första läsningen av förslaget har nyligen avslutats. Vid rådsmötet den 7-8 mars ska en riktlinjedebatt hållas. Ordförandeskapet avser att diskutera två frågeställningar; dels hur man ska genomföra en riskbaserad ansats, dels hur man i regleringen ska införa flexibilitet för den offentliga sektorn. Ordförandeskapet förväntas presentera ett underlag inför riktlinjedebatten.
Rättslig grund och beslutsförfarande
Den rättsliga grunden för förslaget är artikel 16 FEUF.

Beslut fattas genom det ordinarie beslutsförfarandet, vilket betyder att det krävs kvalificerad majoritet i rådet samt enighet med Europaparlamentet för att anta den föreslagna förordningen.
Svensk ståndpunkt
Regeringen välkomnar en modernisering av EU:s dataskyddsregelverk mot bakgrund av den tekniska utveckling som skett under de senaste decennierna. Det är angeläget att säkerställa att det finns ett effektivt skydd för enskildas personliga integritet vid behandling av personuppgifter. Samtidigt måste hänsyn tas till de berättigade behov som finns inom både den privata och den offentliga sektorn av att behandla personuppgifter. Nya administrativa bördor bör inte införas om det inte är nödvändigt för att skydda enskildas personliga integritet och kraven står i rimlig proportion till integritetsintresset.

Dataskyddsregleringen i EU har hittills bedömts vara förenlig med våra grundlagar, och det är av yttersta vikt att inte heller den kommande regleringen kommer i konflikt med grundlagarna. Det handlar framför allt om att säkerställa att offentlighetsprincipen och tryck- och yttrandefriheten inte inskränks.

Regeringen har under en längre tid verkat för att EU:s dataskyddsreglering ska utformas enligt en missbruksmodell, dvs. en modell som i princip tillåter personuppgiftsbehandlingen så länge den inte innebär en kränkning av den personliga integriteten. Redan när dataskyddsdirektivet genomfördes 1998 ansåg regeringen och riksdagen att direktivets hanteringsmodell framstod som omodern i ljuset av den alltmer genomgripande datoriseringen i samhället. Hanteringsmodellen innebär att själva hanteringen av personuppgifter regleras från det att uppgifterna samlas in till dess att de utplånas, oavsett om behandlingen kan betecknas som harmlös eller känslig från integritetssynpunkt. Förordningen bygger liksom direktivet på en sådan modell. Regeringen verkar i förhandlingarna om förordningen för att en förenklad reglering ska införas för vardaglig behandling av personuppgifter bl.a. i löpande text, ljud och bild (t.ex. e-post och ordbehandling).

Det är angeläget att den EU-rättsliga dataskyddsregleringen inte medför att utrymmet blir för snävt för att på nationell nivå ha sådan preciserad reglering av förutsättningarna för behandling av personuppgifter som finns i de svenska registerförfattningarna. Med en förordning finns det en risk att det integritetsskydd som byggts upp genom sektorspecifika regleringar försvagas. Utrymmet för att på nationell nivå ha sådan reglering skulle vara större om EU:s dataskyddsreglering ges formen av ett direktiv och inte en förordning. Bland annat av detta skäl är det att föredra om regleringen ges formen av ett direktiv. I nuläget är det endast ett fåtal medlemsstater som förespråkar ett direktiv framför en förordning. Regeringen verkar dock för att rättsakten ska få formen av ett direktiv.

Förordningen ger kommissionen möjlighet att i stor utsträckning meddela s.k. delegerade akter och genomförandeakter. Regeringen anser, i likhet med de flesta andra medlemsstater, att den delegation som ges till kommissionen är för omfattande och måste begränsas.
Europaparlamentets inställning
I Europaparlamentet behandlas dataskyddsförordningen i LIBE-utskottet. Rapportören, Jan Philipp Albrecht, lade fram ett förslag till betänkande i december 2012. Omröstning om betänkandet planeras ske under april 2013. Europaparlamentet har således ännu inte redovisat några formella ståndpunkter rörande kommissionens förslag.
Förslaget
Det huvudsakliga syftet med kommissionens förslag till dataskyddsförordning är att ytterligare harmonisera och effektivisera skyddet av personuppgifter i syfte att förbättra den inre marknadens funktion och öka enskildas kontroll över sina personuppgifter. I och med att regleringen ges formen av en förordning kommer den att bli direkt tillämplig i alla medlemsstater när den trätt i kraft. Om förslaget genomförs kommer förordningen således inte att ersätta bara dataskyddsdirektivet utan även personuppgiftslagen. Förslaget till förordning lämnar dock ett visst utrymme för nationell reglering. Exempelvis är det möjligt att i nationell rätt fastställa vad som är ett allmänt intresse som kan ge rätt att behandla personuppgifter samt att under vissa förutsättningar införa undantag från bestämmelserna i förordningen. Vidare är det möjligt att införa nationell reglering inom vissa i förordningen utpekade områden, t.ex. arbetsmarknadsområdet. Kommissionen framhåller att förslaget kommer att undanröja den fragmentariska dataskyddsreglering som nu finns inom EU. Enligt kommissionen kommer detta att både förenkla för företagen och stärka den enskildes rätt till skydd för sina personuppgifter.

Förslaget till förordning baseras till stor del på den struktur och reglering som finns i det nu gällande dataskyddsdirektivet. Förordningen innehåller dock även en rad nyheter jämfört med dataskyddsdirektivet, t.ex. följande:

Företag och organisationer ska enligt förslaget underrätta den nationella tillsynsmyndigheten (i Sverige Datainspektionen) om dataintrång.
Myndigheter och företag av viss storlek ska ha ett dataskyddsombud.
Det införs ett nytt system som syftar till att garantera en enhetlig tillämpning av förordningen i medlemsstaterna. Detta system omfattar bl.a. ett nytt organ, Europeiska dataskyddsstyrelsen, bestående av representanter för de nationella dataskyddsmyndigheterna.
Kommissionen ges enligt förslaget rätt att på ett stort antal om-råden komplettera regleringen i förordningen genom delegerade akter och genomförandeakter.

För en mer utförlig beskrivning av förslaget hänvisas till faktapromemorian.
Gällande svenska regler och förslagets effekter på dessa
Dataskyddsdirektivet har i svensk rätt genomförts dels genom personuppgiftslagen, dels genom ett stort antal författningar som innehåller särregleringar om behandling av personuppgifter för olika myndigheter och sektorer.

Kommissionens förslag innebär att dataskyddsdirektivet ska ersättas av en allmän dataskyddsförordning. Eftersom förordningen kommer att bli direkt tillämplig i medlemsstaterna kommer den, om förslaget genomförs, att ersätta personuppgiftslagen. Med en förordning kommer även utrymmet för hela eller delar av de många särregleringar som finns i förhållande till personuppgiftslagen sannolikt att minska.
Ekonomiska konsekvenser
I dagsläget är det inte möjligt att närmare bedöma vilka budgetära eller samhällsekonomiska konsekvenser ett genomförande av förslaget kommer att få för företag och privatpersoner i Sverige och för svensk offentlig förvaltning. Det bör dock kunna förutsättas att eventuella budgetära konsekvenser inom EU ska kunna finansieras genom omfördelningar inom befintliga budgetramar.

Enligt kommissionens konsekvensanalys kommer förordningen att leda till besparingar för företagen i EU på 2,3 miljarder euro per år genom att den undanröjer dagens splittrade reglering inom EU och de stora administrativa kostnader som följer av denna. Kravet på dataskyddsombudsmän kommer dock, enligt kommissionen, att leda till en mindre kostnadsökning för större företag och myndigheter. Kommissionen bedömer också att förordningen kommer att bidra till att öka konsumenternas förtroende för onlinetjänster, vilket kan öka tillväxten och sysselsättningen i Europa.