Allmän dataskyddsförordning

Fakta-PM om EU-förslag 2011/12:FPM117 KOM (2012) 11 slutlig

KOM (2012) 11 slutlig
FPM_201112__117

Regeringskansliet

Faktapromemoria 2011/12:FPM117

Allmän dataskyddsförordning

Justitiedepartementet

2012-02-27

Dokumentbeteckning

KOM (2012) 11 slutlig

Förslag till Europaparlamentets och rådets förordning om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (allmän uppgiftsskyddsförordning)

Sammanfattning

Den 25 januari 2012 presenterade Europeiska kommissionen ett förslag till en genom­gripande reform av EU:s regler om skydd för personuppgifter. Förslaget innebär bl.a. att Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (dataskyddsdirektivet) ska ersättas av en ny allmän dataskyddsförordning. Dataskyddsdirektivet har i Sverige genomförts genom personuppgiftslagen (1998:204) och ett antal särregleringar i förhållande till denna lag (särskilda registerförfattningar).

Det huvudsakliga syftet med kommissionens förslag är att ytterligare harmonisera och effektivisera skyddet av personuppgifter i syfte att förbättra den inre marknadens funktion och öka enskildas kontroll över sina personuppgifter. Förordningen är till stor del baserad på den reglering som redan gäller enligt dataskydds­direktivet. Förslaget innehåller även ett stort antal nyheter som från olika utgångspunkter behöver analyseras närmare. Eftersom regleringen föreslås få formen av en förordning och en sådan är direkt tillämplig i medlemsstaterna kommer regleringen, om förslaget genomförs, att ersätta inte bara dataskyddsdirektivet utan även personuppgiftslagen. Förslaget till förordning lämnar dock ett visst utrymme för att behålla registerförfattningar på vissa områden, t.ex. på arbetsmarknadsområdet.

Regeringen välkomnar en reform av EU:s dataskydds­regelverk i syfte att åstadkomma ett heltäckande och effektivt skydd för personuppgifter. Även andra fri- och rättigheter och samhälleliga intressen måste dock beaktas vid utformningen av regleringen. Det är av yttersta vikt att den kommande regleringen inte kommer i konflikt med de svenska grundlagarna. Det handlar framför allt om att säkerställa att offentlighetsprincipen och tryck- och yttrandefriheten inte inskränks. Vidare måste hänsyn tas till de berättigade behov som myndigheter, företag, föreningsliv och forskar­samhället har av att behandla person­uppgifter.

Den föreslagna förordningen är utformad enligt en ”hanterings­modell” som innebär att själva hanteringen av personuppgifter regleras från det att uppgifterna samlas in till dess att de utplånas. Regeringen avser att fortsätta verka för att regleringen i stället utformas enligt en sådan ”missbruksmodell” som finns i person­uppgifts­lagen, dvs. en förenklad reglering för vardaglig behandling av person­uppgifter i löpande text, ljud och bild. En sådan modell innebär att behandling av personuppgifter är tillåten så länge den inte kränker enskildas personliga integritet.

Det bör även fortsättningsvis vara möjligt att på nationell nivå ha sådan sektorsspecifik reglering som finns i de svenska register­författ­ningarna. Om EU-regleringen ges formen av en förordning minskar sannolikt utrymmet för registerförfattningarna. Regeringen anser bl.a. därför att det är att föredra om regleringen ges formen av ett direktiv.

1 Förslaget

1.1 Ärendets bakgrund

Den viktigaste EU-rättsakten på dataskyddsområdet, data­skyddsdirektivet, antogs 1995. Direktivet syftar till att skydda fysiska personers grund­läggande fri- och rättigheter i samband med behandling av personuppgifter samt att underlätta ett fritt flöde av personuppgift­er mellan medlemsstaterna. Dataskyddsdirektivet har i svensk rätt genomförts genom personuppgifts­lagen (1998:204) och ett antal särregleringar i förhållande till denna lag.

På EU-nivå finns kompletterande rättsakter, bl.a. rådets rambeslut 2008/977/RIF av den 27 november 2008 om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete (dataskyddsrambeslutet) med särskilda regler om skydd av personuppgifter i frågor som rör polisiärt och straffrättsligt samarbete.

Genom Lissabonfördraget infördes en ny rättslig grund för dataskyddsreglering i artikel 16 i fördraget om Europeiska unionens funktionssätt. Rätten till skydd av personuppgifter har även fått status som en självständig grundläggande rättighet (artikel 8 i Europeiska unionens stadga om de grundläggande rättigheterna).

I Stockholmsprogrammet, som antogs av Europeiska rådet under det svenska ordförandeskapet 2009, uppmanade rådet kommissionen att utvärdera EU:s olika dataskyddsinstrument och vid behov ta ytterligare initiativ på lagstiftningsområdet (EUT C 115, 4.5.2010, s. 1). Kommissionen betonade i sin handlings­plan för att genomföra Stockholmsprogrammet att EU måste se till att den grundläggande rätten till skydd för personuppgifter tillämpas på ett konsekvent sätt och att skyddet för den enskildes personuppgifter måste stärkas inom alla EU:s politikområden (KOM [2010] 171 slutlig). Justitieutskottet och konstitutions­utskottet framhöll i yttranden över Stockholmsprogrammet att det behövs ett heltäckande och effektivt skydd av personuppgifter inom EU. Konstitutionsutskottet påminde i det sammanhanget om vad utskottet tidigare uttalat om att Sverige bör verka för att dataskyddsdirektivet utformas enligt en missbruksmodell (yttrande 2008/09:KU7y).

Kommissionen presenterade den 4 november 2010 ett meddelande med en strategi för att stärka EU:s regler om dataskydd (KOM [2010] 609 slutlig). Kommissionen uppmanade berörda parter att lämna synpunkter på meddelandet och genomförde också ett offentligt samråd. Den 24 februari 2011 antogs rådsslutsatser om meddelandet. Europaparlamentet antog en initiativrapport i juli 2011. Både rådet och parlamentet uttryckte sitt stöd för kommissionens strategi.

Den 25 januari 2012 presenterade kommissionen sitt förslag till en genomgripande reform av EU:s regler om skydd för personuppgifter. Förslaget innebär bl.a. att dataskyddsdirektivet ska ersättas av en generell dataskyddsförordning. I reformen ingår också ett förslag till direktiv som ska ersätta dataskyddsrambeslutet. Denna faktapromemoria behandlar förslaget till data­skydds­förordning. Förslaget till direktiv behandlas i en särskild fakta­promemoria.

1.2 Förslagets innehåll

Det huvudsakliga syftet med kommissionens förslag till dataskydds­förordning är att ytterligare harmonisera och effektivisera skyddet av person­uppgifter i syfte att förbättra den inre marknadens funktion och öka enskildas kontroll över sina personuppgifter. I och med att regleringen ges formen av en förordning kommer den att bli direkt tillämplig i alla medlemsstater när den trätt i kraft. Om förslaget genomförs kommer förordningen således inte att ersätta bara dataskydds­direktivet utan även personuppgiftslagen. Förslaget till förordning lämnar dock ett visst utrymme för att behålla registerförfattningar på vissa områden, t.ex. på arbetsmarknadsområdet. Kommissionen framhåller att förslaget kommer att undanröja den fragmentariska dataskydds­reglering som nu finns inom EU. Enligt kommissionen kommer detta att både förenkla för företagen och stärka den enskildes rätt till skydd för sina personuppgifter.

Förslaget till förordning baseras till stor del på den struktur och reglering som finns i det nu gällande dataskydds­direktivet. Förordningen innehåller dock även en rad nyheter jämfört med dataskyddsdirektivet. En viktig förändring gentemot den nuvarande regleringen är att kommissionen genom ett stort antal bestämmelser ges rätt att anta delegerade akter och genomförandeakter. Kommissionen ges således enligt förslaget en rätt att utfärda rättsakter som preciserar innebörden av de krav som enligt förordningen ställs på behandling av uppgifter samt rätt att utfärda olika standardformulär och procedurregler som ska gälla vid tillämpningen av förordningen.

Den följande redogörelsen för förslaget följer förordningens kapitelindel­ning. Med hänsyn till förslagets omfattning är redogörelsen inte avsedd att ge en heltäckande beskrivning av de föreslagna bestämmelserna utan syftar till att redogöra för förslagets kärnpunkter.

1.2.1 Förordningens syfte och tillämpningsområde

I det första kapitlet slås förordningens syfte och tillämpningsområde fast. Förordningen ska vara tillämplig på all helt eller delvis automatiserad behandling av personuppgifter, samt på manuell behandling av personupp­gifter om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter. Det görs dock vissa undantag från förordningens tillämpningsområde. Förordningen ska t.ex. inte tillämpas inom det brotts­bekämpande området eller då en fysisk person behandlar personuppgifter utan vinstintresse i en verksamhet av uteslutande privat natur. När det gäller det territoriella tillämpningsområdet anges bl.a. att förordningen är tillämplig på behandling av personuppgifter som utförs av en personuppgiftsansvarig som är etablerad inom EU samt på behandling av uppgifter om en enskild som är bosatt inom EU om behandlingen avser antingen erbjudande om varor eller tjänster till den enskilde eller övervakning av den enskildes beteende. Detta innebär att dataskydds­regleringens tillämpningsområde utökas till att även omfatta uppgifts­behandling som sker utanför EU så länge behandlingen utförs av företag som t.ex. erbjuder varor eller tjänster till EU-medborgare.

I kapitlet finns också en rad definitioner av begrepp som används i förord­ningen. Många av definitionerna motsvarar vad som gäller enligt data­skyddsdirektivet, men vissa av definitionerna har ändrats och andra har tillkommit, t.ex. definitioner av genetiska och biometriska uppgifter. Definitionen av samtycke har ändrats på så sätt att ett samtycke alltid måste vara uttryckligt för att det ska anses utgöra ett giltigt samtycke i förordningens mening (”opt-in”). Enligt den nuvarande regleringen i dataskydds­direktivet är huvudregeln att det är tillräckligt med ett underförstått samtycke (”opt-out”). Uttryckligt samtycke krävs endast vid behandling av s.k. känsliga personuppgifter (t.ex. uppgifter om hälsa och etniskt ursprung).

1.2.2 Principer och krav på behandlingen av personuppgifter

Det andra kapitlet innehåller de principer som ska styra behandlingen av personuppgifter. Principerna motsvarar i stora drag de som redan gäller enligt dataskyddsdirektivet. Några nyheter som kan nämnas särskilt är införandet av en princip som innebär att behandling av personuppgifter måste ske på ett öppet sätt samt en uttrycklig reglering om att behandlingen sker på den personuppgifts­ansvariges ansvar. I bestämmelserna anges vidare kriterierna för när behandling av personuppgifter över huvud taget är tillåten och vilka krav som ställs för att behandling ska få ske med stöd av ett samtycke. Det slås bland annat fast att det är den personuppgiftsansvarige som har bevisbördan för att det finns ett samtycke till behandling av personuppgifter.

Slutligen innehåller kapitlet särskilda bestämmelser om behandling av känsliga personuppgifter. I likhet med vad som gäller enligt dataskyddsdirektivet är sådan behandling endast tillåten i vissa särskilt angivna fall. Det föreslås också att vårdnadshavares tillstånd ska krävas för behandling av uppgifter som gäller barn under 13 år, när behandlingen avser erbjudande av vissa tjänster direkt till barnet.

1.2.3 Den enskildes rättigheter

Det tredje kapitlet innehåller bestämmelser gällande den enskildes rättigheter. Först och främst slås fast att den personuppgiftsansvarige ska ha tydliga och lättillgängliga riktlinjer och vara skyldig att ge klar och tydlig information till den enskilde vad gäller behandlingen av person­uppgifter. Den enskilde har vidare rätt till information om bland annat vilka uppgifter om honom eller henne som behandlas, ändamålet med behandlingen och hur länge uppgifterna ska lagras. I likhet med vad som redan gäller har den enskilde också rätt att få felaktiga uppgifter rättade samt att få ofullständiga uppgifter kompletterade.

Den nuvarande rätten att få uppgifter raderade vidareutvecklas genom förordningen till att även avse en ”rätt att bli glömd”. Detta innebär att den personuppgiftsansvarige inte endast ska radera personuppgifter som inte längre får behandlas. Om uppgifterna har gjorts offentliga ska den personuppgiftsansvarige dessutom vidta alla rimliga åtgärder för att informera dem som uppgifterna spridits till att den enskilde vill bli glömd. En begäran om att få bli glömd innebär som huvudregel att uppgifterna ska raderas utan dröjsmål. Endast i vissa särskilt uppräknade undantagsfall får uppgifter behållas trots den enskildes begäran om att bli glömd.

I förordningen introduceras också en rätt för den enskilde att få en kopia av de personuppgifter som behandlas samt en rätt att få person­uppgifter överförda från en personuppgiftsansvarig, t.ex. en tjänsteleverantör, till en annan (”dataportabilitet”).

Kapitlet innehåller vidare bestämmelser som vidareutvecklar nu gällande reglering om den enskildes rätt att invända mot uppgiftsbehandling och att i viss utsträckning inte bli utsatt för så kallad profilering, dvs. automatisk behandling av uppgifter i syfte att bedöma vissa personliga egenskaper hos den enskilde som exempelvis arbetsprestationer eller kreditvärdighet.

Slutligen ges medlemsstaterna befogenhet att för vissa särskilt uppräknade ändamål inskränka vissa av rättigheterna och skyldigheterna i förordningen genom nationell lagstiftning. En förutsättning för att få införa sådana inskränkningar är dock att de är nödvändiga och proportionella i förhållande till det eftersträvade ändamålet. Vissa möjligheter till undantag finns även i dataskyddsdirektivet.

1.2.4 Skyldigheter för den som behandlar personuppgifter

Det fjärde kapitlet i förordningen innehåller bestämmelser om vilka skyldigheter som den personuppgiftsansvarige och den som behandlar uppgifterna för dennes räkning har. Även om många av skyldigheterna har motsvarigheter i dataskyddsdirektivet innebär förslaget att skyldigheterna utökas och vidareutvecklas. Till exempel ska den personuppgifts­ansvarige, både i samband med att det bestäms hur behandlingen ska utföras och vid tidpunkten för själva behandlingen, vidta åtgärder för att säkerställa att kraven i förordningen uppfylls (”data protection by design”). Den personuppgifts­ansvarige ska även säker­ställa att behandlingen, som standard, endast får avse de personuppgifter som är nödvändiga i förhållande till syftet med behandlingen (”data protection by default”). Kravet innebär att de personuppgifts­ansvariga måste minimera mängden personuppgifter som samlas in och lagras.

Den generella skyldigheten enligt dataskyddsdirektivet att anmäla behandling av personuppgifter till den nationella tillsynsmyndigheten har tagits bort. Enligt förordningen ska det endast finnas anmälningsskyldighet i fråga om personuppgifts­behandling som innebär särskilda risker. I stället ska det föras och bevaras en detaljerad dokument­ation om den uppgifts­behandling som genomförs. Denna dokumentation ska efter begäran göras tillgänglig för tillsynsmyndigheten.

Den personuppgiftsansvarige är vidare skyldig, på liknande sätt som redan gäller, att vidta lämpliga säkerhetsåtgärder för att skydda de personuppgifter som behandlas. Det införs också en skyldighet för den personuppgifts­ansvarige att utan dröjsmål, om möjligt inom 24 timmar, underrätta tillsyns­myndigheten om ett dataintrång har ägt rum. I vissa fall krävs det även att de enskilda som berörs av intrånget underrättas. Den personuppgifts­ansvarige ska dessutom i vissa fall låta göra en konsekvens­analys avseende integritetsriskerna med en planerad uppgiftsbehandling.

Varje myndighet samt alla företag med minst 250 anställda eller vars huvudsakliga verksamhet är sådan att den kräver regelbunden övervakning av enskilda ska även utse ett dataskyddsombud. Dataskyddsombudet ska utses för en period om minst två år och ges möjlighet att på ett självständigt sätt övervaka att myndigheten eller företaget uppfyller förordningens krav.

1.2.5 Överföring av uppgifter till länder och internationella organisationer utanför EU

I förordningens femte kapitel regleras under vilka förutsättningar personuppgifter får överföras till tredjeland eller till en internationell organisation utanför EU. Den föreslagna regleringen innebär en vidareutveckling av motsvarande reglering i dataskydds­direktivet. Liksom i dataskyddsdirektivet är det ett grundläggande krav för sådan överföring att det mottagande tredjelandet säkerställer en adekvat skyddsnivå för uppgifterna. I regel är det kommissionen som ska besluta om ett tredjeland uppfyller detta krav eller inte. Om kommissionen har beslutat att ett tredjeland inte har en adekvat skyddsnivå så innebär detta ett förbud för överföring av uppgifter dit. Har kommissionen inte fattat något beslut i frågan finns det möjlighet att överföra uppgifter till tredjeland om vissa juridiskt bindande skyddsåtgärder vidtas, som t.ex. användandet av vissa godkända standardavtalsklausuler.

1.2.6 Tillsynsmyndigheter

I det sjätte kapitlet finns bestämmelser om den nationella tillsyns­myndigheten (i Sverige Datainspektionen). Tillsynsmyndigheten ska vara oberoende och utöva tillsyn över att förordningen följs. Om en personuppgiftsansvarig, t.ex. ett företag, är etablerad i flera medlemsstater ska tillsynsmyndigheten i den medlemsstat där den huvudsakliga etableringen finns vara behörig att utöva tillsyn över all företagets uppgiftsbehandling, oavsett i vilket land behandlingen äger rum (s.k. one-stop-shop). Tillsynsmyndigheten ges också en rad skyldigheter och befogenheter, som t.ex. en skyldighet att pröva klagomål om uppgifts­behandling och en befogenhet att väcka talan i domstol vid överträdelser mot bestämmelserna i förordningen. Genom förslaget införs också en befogenhet för de nationella tillsynsmyndigheterna att besluta om administrativa sanktionsavgifter (se vidare avsnitt 1.2.8).

1.2.7 Tillsynsmyndigheternas samarbete och åtgärder för en konsekvent tillämpning

Genom bestämmelserna i det sjunde kapitlet i förordningen införs uttryckliga regler om tillsynsmyndigheternas samarbete över nationsgränserna. Vidare föreslås en särskild mekanism som ska garantera att förordningen tillämpas på ett konsekvent sätt i hela EU. För att uppnå detta syfte ska det bland annat inrättas en europeisk dataskyddsstyrelse bestående av representanter för de nationella dataskyddsmyndigheterna. Dataskyddsstyrelsen ersätter Arbetsgruppen för uppgiftsskydd, den s.k. Artikel 29-gruppen, som tillskapats enligt dataskyddsdirektivet samt ges en mer central roll än Artikel 29-gruppen. De nationella tillsyns­myndigheterna är skyldiga att samråda med dataskyddsstyrelsen innan de vidtar någon åtgärd som kan få effekter i flera medlemsstater. Dataskyddsstyrelsen ska i sådana fall utfärda ett yttrande som den nationella tillsynsmyndigheten måste ta hänsyn till. Även kommissionen ges rätt att utfärda sådana yttranden som den nationella tillsynsmyndigheten måste beakta.

1.2.8 Rättsmedel, ansvar och sanktioner

Bestämmelserna i det åttonde kapitlet bygger på och utvecklar motsvarande reglering i dataskydds­direktivet. I kapitlet slås fast att enskilda ska ha rätt att klaga hos en nationell tillsynsmyndighet om de anser att behandlingen av deras personuppgifter inte följt regleringen i förordningen. Samma rätt har även organisationer och samman­slutningar som har till syfte att bevaka skyddet för den personliga integriteten. Det slås även fast att alla fysiska och juridiska personer ska ha rätt att överklaga tillsynsmyndighetens beslut om beslutet berör dem.

Den enskilde ska dessutom ges rättsmedel för att kunna få tillsyns­myndigheten att agera utifrån ett klagomål som framförts till myndigheten. I likhet med vad som redan gäller ska den enskilde även ha rätt att väcka talan i domstol mot en personuppgifts­ansvarig.

Om en enskild har drabbats av en skada på grund av en otillåten behandling av personuppgifter ska den ha rätt till skadestånd från den som är ansvarig för behandlingen. I övrigt är det medlemsstaterna som ska fastställa de sanktioner som ska komma i fråga vid överträdelser av förordningens bestämmelser. Sanktionerna måste dock vara effektiva, proportionerliga och avskräckande. En nyhet i förordningen är att de nationella tillsynsmyndigheterna är skyldiga att besluta om administrativa sanktionsavgifter vid vissa överträdelser av förordningen. De belopp som ska dömas ut anges i förordningen och kan uppgå till en miljon euro, eller två procent av ett företags globala omsättning, vid de allvarligaste överträdel­serna av förordningens bestämmelser.

1.2.9 Behandling av personuppgifter för vissa särskilda ändamål

I det nionde kapitlet finns bestämmelser om behandling av personuppgifter för vissa särskilda ändamål. För att skapa en balans mellan skyddet för personuppgifter och yttrandefriheten anges till exempel att medlemsstaterna ska lagstifta om undantag från vissa av förordningens bestämmelser för sådan behandling av person­uppgifter som sker uteslutande för journalistiska ändamål eller för konstnärligt eller litterärt skapande. Medlemsstaterna får även lagstifta om sådan behandling av enskildas person­uppgifter som har samband med anställning. Det finns även särskilda bestämmelser som närmare reglerar behandling av uppgifter om hälsa samt behandling för statistiska, historiska eller vetenskapliga forskningsändamål. Slutligen innehåller förslaget en bestämmelse om att kyrkor och religiösa samfund får fortsätta att tillämpa sådana regleringar om skydd för personuppgifter som de redan tillämpar, under förutsättning att regleringarna överensstämmer med förordningen.

1.2.10 Kommissionens rätt att utfärda delegerade akter och genomförandeakter

Som nämnts tidigare ges kommissionen i ett stort antal bestämmelser i förordningen rätt att anta delegerade akter och genomförandeakter. Det handlar exempelvis om att utfärda rättsakter som närmare specificerar innebörden av vissa krav som enligt förordningen ställs på behandling av uppgifter samt rätt att utfärda olika standardformulär och procedurregler som ska gälla vid tillämpningen av förordningen. Bestämmelserna i det tionde kapitlet reglerar de närmare villkoren för dessa delegerade befogenheter.

1.2.11 Ikraftträdande m.m.

Det elfte kapitlet innehåller förordningens avslutande bestämmelser. Det föreslås bland annat att kommissionen ska utvärdera förordningen och rapportera till ministerrådet och Europaparlamentet. Förordningen ska enligt förslaget träda i kraft två år efter att den offentliggjorts.

1.3 Gällande svenska regler och förslagets effekt på dessa

Dataskyddsdirektivet har i svensk rätt genomförts dels genom personupp­giftslagen, dels genom ett stort antal registerförfattningar som innehåller sär­regleringar om behandling av personuppgifter för olika myndigheter och sektorer.

Kommissionens förslag innebär att dataskyddsdirektivet ska ersättas av en allmän dataskyddsförordning. Eftersom förordningen kommer att bli direkt tillämplig i medlemsstaterna kommer den, om förslaget genomförs, att ersätta personuppgiftslagen. Med en förordning kommer även utrymmet för hela eller delar av de många register­författningarna sannolikt att minska.

1.4 Budgetära konsekvenser / Konsekvensanalys

I dagsläget är det inte möjligt att närmare bedöma vilka budgetära eller samhällsekonomiska konsekvenser ett genomförande av förslaget kommer att få för Sverige. Det bör dock kunna förutsättas att eventuella budgetära konsekvenser inom EU ska kunna finansieras genom omfördelningar inom befintliga budgetramar.

Kommissionen har gjort en konsekvensanalys och en sammanfattning av denna (SEC [2012] 72 final respektive SEC [2012] 73 final). Kommissionen bedömer att den föreslagna förordningen kommer att leda till besparingar för företagen i EU på 2,3 miljarder euro per år, genom att den undanröjer dagens splittrade reglering inom EU och de stora administrativa kostnader som följer av denna. Kravet på dataskydds­ombudsmän kommer dock att leda till en mindre kostnadsökning för större företag och myndigheter. Kommissionen bedömer också att förordningen kommer att bidra till att öka konsumenternas förtroende för onlinetjänster, vilket kan öka tillväxten och sysselsättningen i Europa.

2 Ståndpunkter

2.1 Preliminär svensk ståndpunkt

Regeringen välkomnar en reform av EU:s dataskyddsregelverk i syfte att åstadkomma ett heltäckande och effektivt skydd för personuppgifter. Regeringen har ännu inte tagit ställning till alla delar i förslaget. Det finns dock vissa frågor av stort svenskt intresse i samband med reformen. Dataskyddsregleringen i EU har hittills bedömts vara förenlig med våra grundlagar, och det är av yttersta vikt att inte heller den kommande regleringen kommer i konflikt med grundlagarna. Det handlar framför allt om att säkerställa att offentlighetsprincipen och tryck- och yttrandefriheten inte inskränks. Vidare måste hänsyn tas till de berättigade behov som myndigheter, företag, föreningar och forskar­samhället har av att behandla personuppgifter.

Regeringen har vidare verkat för att dataskyddsreformen ska utformas enligt en missbruksmodell, dvs. en förenklad reglering för vardaglig behandling av personuppgifter i löpande text, ljud och bild (t.ex. e-post och ordbehandling). En sådan modell, som införts i personuppgiftslagen, innebär att behandlingen är tillåten så länge den inte kränker enskildas personliga integritet. Den föreslagna förordningen är i stället utformad enligt en hanteringsmodell, vilket innebär att själva hanteringen av personuppgifter regleras från det att uppgifterna samlas in till dess att de utplånas, oavsett om uppgifterna kan betecknas som harmlösa eller känsliga från integritets­synpunkt. Regeringen avser att fortsätta verka för att en missbruksmodell för sådan vardaglig behandling som typiskt sett innefattar små integritetsrisker införs även på EU-nivå.

Regeringen anser att det är av stor vikt att den EU-rättsliga dataskyddsregleringen inte medför att utrymmet blir för snävt för att på nationell nivå ha sådan reglering som finns i de svenska register­författningarna. Om förordningsformen väljs finns det en risk att de specifika och anpassade skydden för den personliga integriteten som byggts upp genom sektorspecifika regleringar försvagas. Vilket faktiskt utrymme för sådan nationell lagstiftning som förordningen medger behöver analyseras närmare. Utrymmet för att på nationell nivå ha sådan sektorsspecifik reglering skulle vara större om EU:s dataskyddsreglering ges formen av ett direktiv och inte en förordning. Regeringen anser att det bland annat av detta skäl är att föredra om regleringen ges formen av ett direktiv.

2.2 Medlemsstaternas ståndpunkter

Medlemsstaternas ståndpunkter till förslaget till förordning är inte kända.

2.3 Institutionernas ståndpunkter

Det finns ännu inte några formella ståndpunkter till kommissionens förslag.

2.4 Remissinstansernas ståndpunkter

Förslaget till förordning har remitterats till ett stort antal remissinstanser. Remisstiden går ut den 5 mars 2012.

3 Förslagets förutsättningar

3.1 Rättslig grund och beslutsförfarande

Den rättsliga grunden för förslaget är artikel 16 i fördraget om Europeiska unionens funktionssätt. Beslut fattas genom det ordinarie beslutsförfarandet, vilket betyder att det krävs kvalificerad majoritet i rådet samt enighet med Europaparlamentet för att anta den föreslagna förordningen.

3.2 Subsidiaritets- och proportionalitetsprincipen

När det gäller subsidiaritetsprincipen anför kommissionen bl.a. att avsak­naden av en EU-reglering skulle medföra en risk för olika skyddsnivåer i medlemsstaterna, vilket kan innebära ett hinder för det fria flödet av uppgifter. Det ständigt ökande flödet av personuppgifter medför enligt kommissionen också praktiska svårigheter med att genomdriva dataskydds­regleringar och ett behov av samarbete mellan medlemsstaterna och deras myndigheter. Detta samarbete måste organiseras på EU-nivå för att säker­ställa en enhetlig tillämpning och en hög skyddsnivå inom unionen. Vidare framhåller kommissionen att medlemsstaterna inte själva kan minska problemen i den nuvarande situationen, särskilt inte när det gäller de problem som uppstår på grund av splittring mellan medlemsstaternas nationella lag­stiftningar. Därför finns det ett behov av att etablera ett harmoniserat och sammanhängande regelverk på EU-nivå.

Kommissionen bedömer vidare att den föreslagna förordningen inte går utöver vad som är nödvändigt för att uppnå målen med dataskydds­regleringen och att förslaget därför är förenligt med proportionalitetsprin­cipen.

Inom dataskyddsområdet har det sedan 1995 funnits en reglering på EU-nivå genom dataskyddsdirektivet. Ett starkt skydd av personuppgifter inom EU är av stor vikt för ett fritt flöde av personuppgifter och därmed för en välfungerande inre marknad. Rätten till skydd av personuppgifter har även fått status som en självständig grundläggande rättighet i artikel 8 i Europeiska unionens stadga om de grundläggande rättigheterna. Regeringen har mot den bakgrunden inte funnit skäl att göra någon annan bedömning än den kommissionen gjort vad gäller förslagets förenlighet med subsidiaritets­principen.

Regeringen analyserar för närvarande hur förslaget förhåller sig till proportionalitetsprincipen.

4 Övrigt

4.1 Fortsatt behandling av ärendet

Förslaget till förordning har remitterats till ett stort antal remissinstanser och remisstiden löper ut den 5 mars 2012. Det första mötet i rådsarbetsgruppen med anledning av kommissionens förslag äger rum i februari 2012.

4.2 Fackuttryck/termer

-