Förordning om dataförvaltning

Fakta-PM om EU-förslag 2020/21:FPM44 : COM(2020) 767

COM(2020) 767

Regeringskansliet

Faktapromemoria 2020/21:FPM44

Förordning om dataförvaltning 2020/21:FPM44

Infrastrukturdepartementet

2020-12-16

Dokumentbeteckning

COM(2020) 767

Förslag till Europaparlamentets och rådets förordning om dataförvaltning (dataförvaltningsakten)

Sammanfattning

Förslaget till en förordning om europeisk dataförvaltning är den första av flera insatser som meddelades i den europeiska datastrategin. Kommissionens förordningsförslag presenterades den 25 november. Kommissionens avsikt med förordningen är att främja tillgängligheten och användbarheten för data genom att öka förtroendet mellan aktörer som hanterar data samt att stärka mekanismer för datadelning inom EU. Kommissionen anger i sitt förslag att följande situationer ska främjas och underlättas:

-Offentlig sektors tillgängliggörande av särskilt utpekade datakategorier för vidareutnyttjande t.ex. data som skyddas av viss sekretess, dataskydd eller tredje mans rätt.

-Datadelning mellan företag och mellan företag och privatpersoner via en neutral dataförmedlare, som kan uppbära någon form av ersättning.

-Underlätta för enskilda och företag att tillåta att personuppgifter och annan data behandlas för ändamål av allmänt intresse s.k. dataaltruism.

Regeringen välkomnar kommissionens förslag till en rättsakt om utvecklad europeisk dataförvaltning. Rätt utformat och genomfört bedömer regeringen att förslaget kan bidra till nytta genom ökad datadelning. Initiativet bör baseras på en grundlig samhällsekonomisk konsekvensanalys med utgångspunkt i ett användarperspektiv, jämställdhet och respekt för mänskliga rättigheter och säkerhet. Regeringen anser att det är positivt att förslaget har frivillighet som grund för datadelning. Initiativen bör även så

1

långt möjligt vara teknikneutrala och främja innovation och nya 2020/21:FPM44
affärsmodeller. Det är angeläget att nya begrepp såsom dataaltruism och  
dataförmedlare ges tydliga definitioner. Det finns mer att göra gemensamt i  
EU för att främja en positiv utveckling, och nya insatser på området bör  
bygga vidare på den digitala inre marknadsstrategin. Slutligen anser  
regeringen att tydliga hänvisningar till dataskyddsförordningen behövs och  
att medlemsstaternas kompetens när det gäller nationell säkerhet måste  
säkerställas.  

1 Förslaget

1.1Ärendets bakgrund

Förslaget till en förordning om europeisk dataförvaltning är den första av flera insatser som meddelades i den europeiska datastrategin, vilken presenterades samtidigt med en vitbok för AI i februari 2020, inom ramen för EU:s digitala strategi (faktapromemoria 2019/20:FPM23).

1.2Förslagets innehåll

Det förslag till förordning om europeisk dataförvaltning som kommissionen lagt fram är en första insats i det ramverk som beskrivs i EU:s datastrategi som har syftet att underlätta användning och vidareutnyttjande av data inom EU. Målet med insatserna är att till 2030 etablera en inre marknad för data.

Initiativet till förordning ska enligt kommissionen täcka olika typer av så kallade dataförmedlare och gäller både för personuppgifter och ickepersonuppgifter. Kommissionen framhåller därför att relationen mellan den föreslagna rättsakten och lagstiftning för personuppgifter är särskilt viktig. Vidare framhåller kommissionen att dataskyddsförordningen (GDPR) och direktivet om integritet och elektronisk kommunikation ger en stabil grund för skyddet av personuppgifter och är en internationell förebild och standard.

Vidare anser kommissionen att förslaget kompletterar öppna datadirektivet. Förslaget inriktas bl.a. på data som innehas av den offentliga sektorn och som skyddas av viss sekretess, t.ex. hälsorelaterad data, samt data som skyddas för att de rör personuppgifter och därför faller utanför öppna datadirektivets tillämpningsområde. Kommissionen anser vidare att förslaget på ett logiskt och sammanhållet sätt länkar till andra delar av den europeiska datastrategin. Förslagets syfte är att underlätta datadelning och att stärka förtroendet för de aktörer som ska förmedla delning av data (dataförmedlare) som ska komma till användning i det som kommissionen i datastrategin kallar ”europeiska gemensamma dataområden”. Syftet är inte att bevilja, ändra eller ta bort väsentliga rättigheter i fråga om tillgång till och användning av data. Den typen av åtgärder planeras ingå i förslag till en eventuell datalag som preliminärt förutses under 2021. I framtagandet av förslaget till förordning har kommissionen inspirerats av principer för

2

datahantering och vidareutnyttjande som tagits fram för forskningsdata. 2020/21:FPM44 FAIR-dataprinciperna anger att sådan data, i princip, ska vara möjlig att

finna, få tillgång till, vara interoperabel och möjlig att återanvända.

Som komplement till tidigare rättsakter så introducerar förslaget delning av data utifrån aktivitet (vidareutnyttja och delning) i stället för typ av data (personlig och icke-personlig).

Kapitel I i förslaget definieras målet för förordningen och ger de definitioner av termer och uttryck som används i förslaget.

Kapitel II skapar mekanismen för att vidareutnyttjande av vissa typer av skyddad data i offentlig sektor under förutsättning att andras rättigheter iakttas (särskilt på grundval av skydd av personuppgifter men även sekretess samt skydd av immateriella rättigheter). Denna mekanism gäller oavsett sektorsspecifik EU-rätt om tillgång till och vidareutnyttjande av denna data. Vidareutnyttjande av sådan data faller utanför ramen för Öppna datadirektivet. Bestämmelserna i detta kapitel ger inte rätt att få tillgång till och vidareutnyttja sådan data, utan syftar till att ge en uppsättning harmoniserade grundläggande förutsättningar under vilka vidareutnyttjande av sådan data kan tillåtas. Det finns begränsningar i förslaget när det gäller överförande av icke-personuppgifter till tredje land. Offentliga aktörer som tillåter denna typ av vidareutnyttjande kommer behöva ha de tekniska förutsättningarna för att tillgodose integritetsskydd och sekretess. Medlemsstaterna kommer behöva etablera en kontaktpunkt som stöd för vidareutnyttjare i att finna lämpliga data, och etablera strukturer till att stödja offentlig sektor i tekniska och rättsliga frågor kring datadelning.

Kapitel III syftar till att öka förtroendet vid delning av personuppgifter och icke-personuppgifter samt att minska transaktionskostnaderna för datadelning mellan företag (B2B) och mellan privatpersoner (konsumenter) och företag (C2B) genom ett system för hantering av notifieringar om dataförmedlare. Dessa förmedlare kommer att behöva uppfylla ett antal kriterier, särskilt kriteriet om att agera neutralt i datautbytet. Förmedlare kan under vissa förutsättningar förlora rätten att agera som förmedlare. Dataförmedlaren får inte använda uppgifterna i andra syften. En behörig myndighet som utses av medlemsstaterna ska ansvara för att övervaka efterlevnaden av de krav som är knutna till tillhandahållandet av sådana tjänster. Kommissionens ansats syftar till att säkra datadelningsfunktioner på ett öppet och samverkande sätt, och att stärka fysiska och juridiska personers rätt genom att ge dem bättre översikt och kontroll över sin data. En behörig myndighet i medlemsstaterna ska ansvara för övervakning och tillsyn av efterlevnad av krav som ingår i förmedling av sådana tjänster. Medlemsstaterna ska till kommissionen notifiera vilken behörig myndighet som utsetts.

Kapitel IV syftar till att främja så kallad dataaltruism (dvs. data som på frivillig basis görs tillgänglig av individer eller företag i det allmännas intresse). De data som en dataaltruistisk organisation kan hantera är:

3

1) Personuppgifter som tillhandhålls av fysiska personer (för behandling av 2020/21:FPM44
dessa krävs samtycke från den fysiska personen).  

2)Annan data dvs. icke-personuppgifter från juridiska personer (för behandling av dessa data krävs tillstånd från den juridiska personen).

Bestämmelserna i kapitlet ger en grund för organisationer som arbetar med dataaltruism att registreras som en ”erkänd organisation för dataaltruism i EU” för att öka förtroendet för deras verksamhet. Dessutom kommer i ett senare skede tas fram ett formulär för godkännande i syfte att minska kostnader för att inhämta samtycke och för att underlätta dataportabilitet (där data som ska tillgängliggöras inte förfogas över av individen).

Kapitel V ställer upp kriterier för behöriga myndigheters funktionssätt med syfte att övervaka och genomföra notifieringsramverket för dataförmedlare samt verksamheter som bedriver dataaltruism. Kapitlet innehåller bestämmelser om rätten att föra talan mot beslut från sådana verksamheter och instrumenten att få rättslig prövning.

Kapitel VI syftar till att bilda en formell expertgrupp (den europeiska styrelsen för datainnovation) som ska främja goda exempel från medlemsstaternas myndigheter särskilt vad gäller handläggning av begäran om vidareutnyttjande av data som omfattas av andras rättigheter (under Kapitel II) och för att säkra upp enhetlig hantering för ramverket om notifiering av dataförmedlare (under Kapitel III) samt för dataaltruism (Kapitel IV). Dessutom ska den expertgruppen stödja och ge råd till kommissionen i frågor om standardisering och interoperabilitet. Det kapitlet lägger också grunden för styrelsens sammansättning och utformning av dess funktion.

Kapitel VII ger kommissionen mandat att anta genomförandeakter om formuläret för europeisk dataaltruism. Villkor som rör överföring till tredje land av särskilt känslig data, t.ex. på hälsoområdet, ska enligt förordningen antas genom delegerade akter.

Kapitel VIII innehåller övergångsbestämmelser för funktionen för det generella schemat för auktorisation för dataförmedlare samt ger slutbestämmelser.

1.3Gällande svenska regler och förslagets effekt på dessa

Förordningen kommer behöva kompletteras med nationella bestämmelser t.ex. gällande nya uppgifter för vissa myndigheter och möjligheten för myndigheter att utfärda ekonomiska sanktioner till organ som tillhandahåller datadelningstjänster (artikel 13.4 och 31). I nuläget föreligger dock inte någon slutgiltig bedömning från regeringens sida vilken omfattning sådana kompletteringar kan få.

4

1.4 Budgetära konsekvenser / Konsekvensanalys 2020/21:FPM44

Av kommissionens konsekvensanalyser framgår att den bedömda inverkan av ett paket av satsningar och initiativ där dataförvaltningsakten ingår har en positiv inverkan på EU:s dataekonomi på mellan 7,2 och 10,9 miljarder euro till år 2028 (SWD(2020) 296 final). Därutöver kan initiativet verka som en katalysator för mer effektiva tjänster och nya produkter som bygger på data, inklusive artificiell intelligens. Kommissionen anger att detta inte bara gynnar dataekonomin utan även EU:s ekonomi och samhälle i stort. Exempelvis så anges det potentiella värdet av produktivitet inom tillverkningsindustrin uppgå till 1,3 biljoner euro till 2027 genom data från sakernas internet. Satsningarna kan även bidra till att spara omkring 120 miljarder euro per år inom hälsosektorn i EU.

När det gäller ekonomisk inverkan på medlemsstaterna framgår av konsekvensanalyserna att för de medlemsstater som inte redan har strukturer på plats för att offentliggöra data kommer förslaget medföra kostnader. Dessa kostnader kan utgöras av en engångskostnad om 10,6 miljoner euro i genomsnitt per medlemsstat samt till en återkommande årlig kostnad om 610 000 euro för underhåll. Kommissionen lyfter samtidigt fram att de förväntade ekonomiska vinsterna från avgifter och besparingar genom ökad effektivitet inom offentlig sektor (den senare bedöms till 648 miljoner euro per år) väntas signifikant överstiga kostnaderna. Konsekvensanalysen berör inte konsekvenser vad avser möjligheten för EU att på ett enkelt sätt få tillgång till data från tredje land.

Regeringen har i flera sammanhang lyft betydelsen av utvecklad användning av data inom EU bl.a. av samhällsekonomiska skäl (se t.ex. 2019/20:FPM23). Som framgår av 1.3 Gällande svenska regler och förslagets effekt på dessa kan nya uppgifter för vissa myndigheter behövas. Sverige ska ha en budgetrestriktiv linje i de kommande förhandlingarna och eventuella kostnader, såväl nationella och inom EU, ska finansieras inom ram.

2 Ståndpunkter

2.1Preliminär svensk ståndpunkt

Regeringen anser att rättsakten kan vara ett verktyg för att skapa förtroende som är nödvändigt för utvecklad tillgång till användbar data. Rätt genomfört kan förslaget bidra till ökad produktivitet i näringslivet och ge effektivitetsvinster i offentlig sektor. Datadelning behöver baseras på frivillighet. Eventuell nyutveckling av standarder bör ske i enlighet med etablerade standardiseringsprinciper och i enlighet med gällande EU- lagstiftning. Mervärdet av global handel, globala regler och europeiska företags stora behov av internationella dataflöden bör tillvaratas. Rimliga villkor för tredjelandsöverföring behöver eftersträvas med hänsyn till förutsättningar för internationella aktörers att agera på den inre marknaden och för europeiska aktörer att använda erhållen data utanför EU. Förslagets

5

överensstämmande med ingångna åtaganden inom handelsavtal behöver 2020/21:FPM44
säkerställas. Det bör också säkerställas att förslaget inte skadar EU:s position  
i handelsförhandlingar om att motverka digitala handelsbarriärer såsom  
datalokaliseringskrav.  
Vidare anser regeringen att ett etiskt förhållningssätt behövs. Skyddet för  
mänskliga fri- och rättigheter inklusive rätten till privatliv, jämställdhet och  
ickediskriminering, skydd av fysiska personer i fråga om behandling av  
personuppgifter, nationell säkerhet samt informations- och cybersäkerhet  
måste omhändertas. Etiska och säkerhetsmässiga överväganden behöver vara  
en integrerad del i utvecklingen av datadelning. Rättsakten får inte leda till  
överreglering som gör det för dyrt och svårt för företagen att dela eller  
återanvända data.  
Regeringen anser att förordningen behöver ha tydliga hänvisningar till  
dataskyddsförordningen både när det gäller skydd för personuppgifter,  
(rättslig grund för behandling av personuppgifter) och de rättigheter som  
tillkommer de registrerade, dvs. de fysiska personer vars personuppgifter  
behandlas. Medlemsstaternas kompetens när det gäller nationell säkerhet  
måste säkerställas och förtydligas ytterligare i förslaget som helhet. Regler  
om tillgängliggörandet av data i det allmännas intresse behöver föregås av en  
noggrann konsekvensbedömning gällande bl.a. praktisk och rättslig  
genomförbarhet. Detta inkluderar kravet på oberoende datamäklare och dess  
påverkan på företags affärsstrukturer. De mekanismer som föreslås för  
uppföljning och kontroll bör utvecklas och anpassas så att de anpassas till de  
risker som kan uppstå för privatpersoner och företag som delar sin data.  
Nyckelbegrepp behöver definieras tydligt, exempelvis ”dataförmedlare” och  
”dataaltruism”. Det behöver tydliggöras vilken nytta som dessa  
dataförmedlare kan få i praktiken. Vidare behöver det förtydligas vad som  
kan utgöra en behandling av uppgifter i det allmännas intresse. När det gäller  
hantering av så kallat känsliga data behöver säkerställas att beslutanderätten  
för dessa data omhändertar medlemsstaternas kompetens avseende nationell  
säkerhet. För bestämmelser som har betydelse för nationell säkerhet anser  
regeringen att dessa inte ska regleras genom delegerade akter eller  
genomförandeakter.  
Regeringen bedömer att förslag till bestämmelser i artikel 8 i förslaget  
(gemensam informationspunkt) kan bli svåra att förena med den svenska  
förvaltningsmodellen och bestämmelserna i 2 kap. TF. Regeringen anser att  
delar av bestämmelsen ska vara frivilliga för medlemsstaterna.  

2.2 Medlemsstaternas ståndpunkter

Medlemsstaterna har generellt lyft behovet av öppenhet och tillit med beaktande av skydd för integritet och säkerhet samt data som en värdefull tillgång som det gäller att förvalta väl inom Europa. Även behovet av reglering på området för att skapa tydlighet och förutsägbarhet har framhållits som en viktig aspekt.

6

2.3 Institutionernas ståndpunkter 2020/21:FPM44

Europaparlamentet har ännu inte yttrat sig om förslaget.

2.4Remissinstansernas ståndpunkter

Berörda intressenter har ombetts inkomma med synpunkter.

3 Förslagets förutsättningar

3.1Rättslig grund och beslutsförfarande

Rättslig grund för förordningen är artikel 114 i fördraget om Europeiska unionens funktionssätt (FEUF). Artikel 114 FEUF är den rättsliga grunden för harmoniseringsåtgärder som syftar till att upprätta den inre marknaden. I artikeln betonas målet att säkra en hög skyddsnivå. Kommissionens konsekvensanalys anger att den tilltagande digitaliseringen av ekonomin och samhället innebär en risk för det fall att medlemsstaterna i ökad utsträckning stiftar lagar i datarelaterade frågor utan att ta höjd för behov av samordning mellan medlemsstaterna, vilket kan öka fragmenteringen av den inre marknaden. Genom att etablera strukturer för förvaltning och samordning över sektorer och medlemsstaters gränser kan aktörer inom dataekonomin utvecklas och dra nytta av skalfördelar genom den inre marknaden.

Beslut fattas enligt det ordinarie lagstiftningsförfarandet enligt artikel 294 i fördraget, vilket innebär att rådet beslutar med kvalificerad majoritet och att Europaparlamentet är medbeslutande.

3.2Subsidiaritets- och proportionalitetsprincipen

Kommissionen anför att företag ofta har behov av tillgång till data från flera medlemsstater för att kunna utveckla produkter och tjänster för unionsområdet. Databaserade produkter och tjänster kan behöva anpassas utifrån kundernas preferenser i de olika medlemsstaterna och för detta krävs möjlighet att få tillgång till data från varje medlemsstat. För att möjliggöra fria dataflöden över medlemsstaternas gränser och över sektoriella gränser krävs en harmoniserad lagstiftning inom området. Eftersom datadelning till sin karaktär är gränsöverskridande behövs insatser på EU-nivå som säkerställer en europeisk modell för datadelning.

Kommissionen menar att det är motiverat att lagstifta genom förordning eftersom det behövs ett horisontellt ramverk som tillämpas på ett enhetligt sätt och som inte lämnar utrymme för individuell nationell tolkning. Med tanke på att det råder stor variation i medlemsstaterna gällande t.ex. myndigheters ansvar och organisation för att tillgängliggöra uppgifter kan det å ena sidan tyckas att förslagets syfte bör kunna uppnås genom direktiv t.ex. som det i sak närliggande öppna datadirektivet. Å andra sidan har den föreslagna dataförvaltningsakten ett bredare tillämpningsområde än öppna

7

datadirektivet. Utöver den offentliga sektorn omfattar dataförvaltningsaktens 2020/21:FPM44
tillämpningsområde också en mängd icke-offentliga aktörer nämligen  
dataförmedlare och dataaltruistiska organisationer. För dessa aktörer är det  
avgörande, för att uppnå målen med förslaget, att det råder en enhetlig  
tillämpning av regelverket i medlemsstaterna.  
Enligt kommissionen begränsas de föreslagna åtgärderna till vad som är  
nödvändigt för att uppnå de fastställda målen. Förslaget syftar till att  
harmonisera principerna för datadelning utan att frånta medlemsstaterna  
deras befogenheter att styra och reglera tillgång till information från den  
offentliga sektorn. Ramverket för notifiering av dataförmedlare och data-  
altruistiska organisationer syftar dels till att utveckla den inre marknaden för  
datadelning, dels till att uppnå en högre nivå av förtroende för de tjänster  
som dessa verksamheter förmedlar utan att för den skull begränsa  
verksamheterna i onödan.  
Regeringen har tidigare lyft att Europa behöver skapa rätt förutsättningar för  
att utveckla och sprida sina egna nyckelförmågor (2019/20:FPM23 Att forma  
EU:s digitala framtid). Med detta avses en välfungerande inre marknad,  
politik som främjar innovation och investeringar, hållbar tillväxt, öppenhet  
mot omvärlden, konkurrenskraft och färdigheter samt att företag och  
medborgare i Europa har förtroende för digitaliseringen. Regeringen  
bedömer att rätt utformade gemensamma åtgärder, på frivillig grund, kan  
behövas för att ge bättre tekniska och administrativa förutsättningar för  
datadelning på den inre marknaden, exempelvis med stöd av interoperabla  
gränssnitt för säker datadelning, enhetlig terminologi, redskap för värdering  
av data m.m.  

4 Övrigt

4.1Fortsatt behandling av ärendet

Första presentation av förslaget i rådsarbetsgrupp (telekom) ägde rum den 30 november 2020. Förhandlingarna i rådet bedöms fortsätta under det portugisiska ordförandeskapet.

4.2Fackuttryck/termer

Dataskyddsförordningen Europaparlamentets och rådets förordning
  (EU) 2016/679 av den 27 april 2016 om
  skydd för fysiska personer med avseende
  på behandling av personuppgifter och om
  det fria flödet av sådana uppgifter och om
  upphävande av direktiv 95/46/EG (allmän
  dataskyddsförordning), General Data
  Protection Regulation, GDPR.  

8

Direktiv om integritet Europaparlamentets och rådets direktiv 2020/21:FPM44
och elektronisk kommunikation 2002/58/EG av den 12 juli 2002 om
  behandling av personuppgifter och
  integritetsskydd inom sektorn för
  elektronisk kommunikation    
Öppna datadirektivet Europaparlamentets och rådets direktiv
  (EU) 2019/1024 av den 20 juni 2019 om
  öppna data och vidareutnyttjande av
  information från den offentliga sektorn  

Nedanstående fackuttryck/termer saknar entydiga definitioner.

Förklaringarna baseras på exempel på definitioner bl.a. i kommissionens

texter.

Dataaltruism Att data som på frivillig basis görs
  tillgänglig av individer eller företag i
  allmänhetens intresse.
Datadelning, dataförmedlare Enligt förslagets artikel 2 innebär
  datadelning förmedling av data som hålls
  av någon i syfte att gemensamt eller
  enskilt använda data som delas, med
  utgångspunkt i frivilliga avtal, antingen
  direkt eller genom en förmedlare
  (intermediär) av data.
Dataportabilitet Att göra det möjligt för registrerade att få
  ut och vidareutnyttja sina uppgifter för
  eget bruk och i olika tjänster. Syftet är att
  göra det enklare för dem att flytta, kopiera
  eller överföra personuppgifter från en it-
  miljö till en annan utan att hindras.
FAIR FAIR är en förkortning som står för
  Findable, Accessible, Interoperable och
  Reusable. FAIR-principerna innebär att
  forskningsdata ska gå att hitta, det ska
  finnas information om hur man får tillgång
  till dem, de ska vara kompatibla med andra
  data, och de ska vara möjliga att
  återanvända. FAIR-principerna används i
  arbetet för öppen vetenskap och beskriver

9

  några centrala riktlinjer för god
  datahantering och öppen tillgång till
  forskningsdata. FAIR bygger på att data
  ska vara så öppen som möjligt men stängd
  när nödvändigt    
Sakernas internet, IoT Föremål som hushållsapparater, kläder och
  accessoarer, men även maskiner, fordon
  och byggnader, med inbyggd elektronik
  och internetuppkoppling, vilket gör att de
  kan styras eller utbyta data över nätet.

2020/21:FPM44

10

Fakta-PM om EU-förslag

En faktapromemoria, fakta-PM, är en redogörelse från regeringen till riksdagen om ett förslag från EU-kommissionen. Där framgår vad förslaget går ut på, hur det kan påverka svenska regler och vad regeringen anser om förslaget.