Förordning om fritt flöde av data i Europeiska unionen

Regeringskansliet

Faktapromemoria 2017/18:FPM6

Förordning om fritt flöde av data i	2017/18:FPM6
Europeiska unionen
Utrikesdepartementet
2017-10-17

Dokumentbeteckning

KOM (2017) 495

Förslag till Europaparlamentets och rådets förordning om en ram för det fria flödet av icke-personuppgifter i Europeiska unionen

Tidigare faktapromemorior i ärendet:

2016/17:FPM68 Meddelande om en europeisk dataekonomi 2014/15:FPM35 En strategi för en digital inre marknad

Sammanfattning

Kommissionens förslag till förordning ska säkra principen om fritt flöde av data i EU, och därmed minska hindren för en konkurrenskraftig datadriven europeisk ekonomi. Förslaget ska främja det gränsöverskridande fria flödet av data inom EU i syfte att åstadkomma en mer konkurrenskraftig och integrerad inre marknad för lagring och behandling av data(exempelvis molntjänster).

Förslaget ska förbättra det fria dataflödet framförallt genom att omotiverade eller oproportionerliga lokaliseringskrav inom unionen förbjuds. Redan existerande krav ska upphävas, och nya krav förhindras. Genom att på så sätt etablera ett enhetligt förhållningssätt till datarörlighet och lokaliseringskrav inom unionen ska förslaget leda till bättre förutsättningar för det fria flödet av data, och till minskad rättslig osäkerhet på området. Samtidigt ska behöriga myndigheters möjlighet att begära och få tillgång till data i kontrolländamål inte påverkas.

Ökad dataportabilitet, det vill säga rörlighet för data, ska också främjas för att göra det enklare för användare av lagrings- och behandlingstjänster att

flytta data och byta tjänsteleverantör, utan att betungande krav ställs på tjänsteleverantörerna vilket annars skulle riskera att snedvrida marknaden.

Regeringen välkomnar kommissionens förslag. Regeringen ser fria dataflöden som en förutsättning för en välfungerande digital inre marknad och för en europeisk dataekonomi, liksom för vår innovations- och konkurrenskraft. De flesta företag, oavsett sektor, är idag beroende av fria, gränsöverskridande dataflöden i sin verksamhet. Regeringen ser därför positivt på att omotiverade eller oproportionerliga lokaliseringskrav undanröjs.

Regeringen anser samtidigt att möjligheten att behålla eller införa lokaliseringskrav med hänvisning till undantagsgrunden allmän säkerhet, vilken i enlighet med rättspraxis omfattar bl.a. nationella säkerhetsintressen, ska garanteras för medlemsstaterna. Regeringen anser således att även verksamheter som avser det militära försvaret eller rikets säkerhet, vilka faller inom ramen för medlemsstaternas kompetens, självfallet också kan utgöra grund för undantag.

Behöriga myndigheters möjlighet att tillgå data i kontrolländamål ska inte behöva påverkas av var inom unionen data fysiskt befinner sig. För regeringen är det viktigt att behöriga myndigheters möjligheter till åtkomst till data för effektiv kontroll inte försämras utan upprätthålls och säkerställs genom förslaget.

1 Förslaget

1.1Ärendets bakgrund

Förutsättningarna för en europeisk dataekonomi ingår i den digitala inre marknadsstrategin, DSM, som är en av Junckerkommissionens tio prioriteringar för mandatperioden. I Strategin för en digital inre marknad (faktapromemoria 2014/15:FPM35) aviserade kommissionen att man avsåg presentera ett initiativ för fria dataflöden som del i strategin.

Meddelandet om skapandet av en europeisk dataekonomi (2016/17:FPM68), som presenterades den 10 januari 2017, tog upp ett flertal frågor av vikt för den europeiska dataekonomin med bäring på gränsöverskridande rörlighet för data, men även ägande, interoperabilitet, användbarhet och åtkomst av data. Främjandet av fria dataflöden och undanröjande av omotiverade eller oproportionerliga lokaliseringskrav ingick som en del i meddelandet.

Den 13 september 2017 lade kommissionen fram sitt förslag till förordning om en ram för det fria flödet av icke-personuppgifter i Europeiska unionen (KOM (2017) 495).

Kommissionen konstarerar att digitaliseringen av ekonomin går allt snabbare. Informationsteknologin är inte längre begränsad till en specifik sektor, utan utgör grunden för innovativa ekonomiska system och samhällen. Eletroniska uppgifter eller digital data (i detta fakta-PM hänvisat till som ”data” eller ”uppgifter”), är en central del i den digitala ekonomin och kan generera stora värden när den analyseras eller kombineras med olika tjänster och produkter.

Datavärdekedjor byggs på flera olika dataaktiviteter – skapande och samlande av data, aggregering och organisering, lagring och behandling, analys och marknadsföring och distribution, användning och återanvändning. Ett effektivt användande av datalagring och databehandling är således en grundläggande del i datavärdekedjan. Nationella lokaliseringskrav hindrar dock datarörligheten på den inre marknaden, vilket också hämmar eller hindrar etableringsfriheten och friheten att tillhandahålla tjänster på området. Datarörligheten på den inre marknaden hämmas också till viss del av restriktioner från privata marknadsaktörerna, i form av avtalsmässiga eller tekniska hinder.

För den inre marknadens funktion, och för att skapa rättssäkerhet och lika villkor inom hela unionen, föreslår kommissionen därför ett gemensamt regelverk för det fria flödet av data. Ett gemensamt regelverk ska undanröja de handelshinder och snedvridningar av konkurrensen som följer av olikheter i nationell lagstiftning. Regelverket ska också förebygga att framtida hinder av liknande karaktär uppstår. Enligt kommissionen bidrar detta förslag till förordning för det fria flödet av icke-personlig data till att lägga grunden för en europeisk dataekonomi och höja den europeiska konkurrenskraften.

1.2Förslagets innehåll

Genom den nya dataskyddsförordningen (2016/679) garanteras det fria flödet av persondata inom EU. Den förordning som nu föreslås syftar till att etablera samma princip av fritt flöde av data inom unionen för ickepersondata. Undantag medges emellertid fortsatt för restriktioner i det fria dataflödet med hänvisning till särskilda säkerhetsskäl. Enligt kommissionen ska den nu föreslagna förordningen i kombination med dataskyddsförordningen (2016/679), Polisdirektivet (2016/680) och e- dataskyddsdirektivet (2002/58/EC) skapa ett heltäckande och enhetligt rättsligt ramverk för fri rörlighet av data på den inre marknaden.

Att förslaget har formen av en förordning ska enligt kommissionen säkra enhetliga regler för fria dataflöden i hela unionen. Detta är särskilt viktigt vad gäller undanröjande av existerande omotiverade eller oproportionerliga lokaliseringskrav och förhindrandet av nya krav, för att garantera rättssäkerhet för användare och tillhandahållare av datatjänster, liksom för att öka tilliten till gränsöverskridande dataflöden och datalagrings- och behandlingstjänster.

Förslaget kommer enligt kommissionen att inverka positivt på konkurrensen och stimulera innovation i datalagrings- och databehandlingstjänster, attrahera fler användare till dessa tjänster och sänka trösklarna för särskilt nya och mindre aktörer att träda in på nya marknader. Förslaget ska också underlätta gränsöverskridande och sektoröverskridande användning av datalagrings- och processtjänster, och därmed utvecklingen av en europeisk datamarknad och europeisk dataekonomi, till gagn för europeiska medborgare, näringsaktörer och offentlig sektor. Förslaget väntas också inverka positivt på näringsfriheten, då det undanröjer hinder för olika databehandlingstjänster som molntjänster, liksom konfigurering av interna itsystem.

Förordningen föreslås vara tillämplig på datalagring och databehandlingstjänster i vid mening. Förordningen föreslås omfatta användandet av alla typer av it-system, oavsett om de används internt eller har lagts ut på entreprenad. Användarna av dessa tjänster får därmed driftmässiga möjligheter till lagring och behandling av data på flera olika platser inom unionen.

Fem år efter förordningens ikraftträdande ska en omfattande utvärdering av förslaget ske, i syfte att utvärdera förordningens effektivitet och proportionalitet.

Undanröjande av omotiverade eller oproportionerliga lokaliseringskrav

Lokaliseringskraven representerar ett tydligt hinder mot friheten att tillhandahålla datalagrings- och behandlingstjänster på den inre marknaden. Enligt kommissionen bör de därför vara förbjudna. Kommissionen föreslår att lagring eller behandling av data inte ska få begränsas genom lokaliseringskrav till ett särskilt medlemsland, om de inte kan rättfärdigas med hänvisning till allmän säkerhet – såsom begreppet definieras av EU-

rätten – särskilt i artikel 5 och 52 i fördraget om Europeiska unionens funktionssätt (FEUF).

Under det första året efter ikraftträdandet av förordningen ska samtliga medlemsstater genomföra en inventering av samtliga sina lokaliseringskrav, och meddela dem till kommissionen. I de fall medlemsstaterna önskar behålla sina lokaliseringskrav ska detta motiveras, för att ge kommissionen möjlighet att kontrollera dess förenlighet med principen om fria dataflöden som förordningen syftar till att etablera.

Skulle en medlemsstat vid ett senare tillfälle önska införa nya lokaliseringskrav, ska landet i fråga notifiera detta genom ett informationsförfarande i enlighet med direktivet om ett informationsförfarande beträffande tekniska föreskrifter och beträffande föreskrifter för informationssamhällets tjänster (2015/1535). Notifieringsproceduren ska säkerställa att det fria dataflödet inom EU upprätthålls och förhindra införandet av nya omotiverade eller oproportionerliga lokaliseringskrav.

I syfte att säkerställa transparens kring kvarvarande lokaliseringskrav ska medlemsstaterna enligt förslaget publicera information om sina lokaliseringskrav och löpande uppdatera informationen. Medlemsstaterna ska också ange var de publicerar informationen. På så sätt kan kommissionen också offentliggöra informationen på sin egen hemsida.

Åtkomst till uppgifter för behöriga myndigheters kontrolländamål

Kommissionen konstaterar att lokaliseringskrav i medlemsstaterna ofta har sin grund i uppfattningen att data, om den fysiskt lagras eller behandlas utanför landets gränser, inte kommer att vara tillgänglig för behöriga myndigheters kontrolländamål.

Kommissionen önskar därför tydliggöra att förslaget inte påverkar de behöriga myndigheternas befogenheter att begära och erhålla data i enlighet med EU-rätt eller nationell rätt, och att behöriga myndigheters åtkomst till data inte kan nekas på basis av att data lagras eller behandlas i en annan medlemsstat.

Det är möjligt att en fysisk eller juridisk person underlåter att lämna ut uppgifter till behöriga myndigheter i ett medlemsland. Samtidigt kan det vara svårt för myndigheterna att komma åt uppgifterna, eftersom de är lagrade i en annan medlemsstat. I den situationen ska myndigheterna kunna be om hjälp från myndigheterna i det land där uppgifterna rent fysiskt befinner sig. Medlemsstaterna ska i dessa fall, beroende på frågans karaktär, i första hand

använda sig av redan existerande samarbetsinstrument inom EU-rätten eller internationella överenskommelser. Kommissionen konstaterar att det idag finns olika instrument för att säkerställa medlemsstaternas behöriga myndigheters tillgång till data/uppgifter för kontrolländamål. I de fall en samarbetsmekanism skulle saknas, eller andra sätt att få tillgång till uppgifterna har uttömts, ska den kontaktpunkt som ingår som samarbetsmekanism i förslaget användas för att ge nationella myndigheter tillgång till data.

Medlemsstaterna ska för detta utse en särskild kontaktpunkt för att hantera dessa myndighetsförfrågningar. Kontaktpunkten ska också samverka med kontaktpunkterna i andra medlemsstater liksom fungera rådgivande till kommissionen genom ett särskilt mötesforum.

Portabilitet

Kommissionen konstaterar att möjligheten att flytta data utan hinder är central för användarnas valfrihet och effektiv konkurrens på marknaden för datalagrings- och behandlingstjänster. Reella eller upplevda svårigheter med dataportabilitet underminerar förtroendet för denna typ av tjänster och det gränsöverskridande användandet av dem. Användarna bör också kunna fatta välinformerade beslut och kunna jämföra olika tjänster och dess villkor med varandra. Kommissionen uppmuntrar därför de privata tjänsteleverantörerna på datalagrings- och databehandlingsmarknaden att skapa bättre förutsättningar för ökad dataportabilitet, det vill säga möjligheter för deras kunder att flytta data. Kommissionen uppmanar till självreglering i form av uppförandekoder för information och villkor vad gäller portabilitet av data. Tjänsteleverantörerna bör tillhandahålla sina kunder information om villkoren för dataportabilitet på ett tillräckligt detaljerat, tydligt och transparent vis innan avtal undertecknas. Detta i syfte att förhindra inlåsningseffekter och öka datarörligheten för användarna av dessa tjänster.

Två år efter förordningens ikraftträdande kommer kommissionen att utvärdera effekten av dessa självregleringsåtgärder.

1.3Gällande svenska regler och förslagets effekt på dessa

Förändring av svensk lagstiftning väntas bli begränsad, men kan förekomma i den mån svensk lagstiftning bär på lokaliseringskrav av den typ som kommissionen definierar som omotiverad eller oproportionerlig.

1.4Budgetära konsekvenser / Konsekvensanalys

Kommissionen uppskattar en måttlig administrativ börda för medlemsstaterna till följd av förslaget, genom de personella resurser som behöver avsättas till kontaktpunkter, samt för att uppfylla medlemsstaternas översyns-, notifierings- och transparensskyldighet. I sin konsekvensanalys

uppskattar kommissionen kostnaden för medlemsstaterna till runt 33 000 EUR årligen, för personalresurser till kontaktpunkten, samt en årlig kostnad på 385-1925 EUR per medlemsland för notifieringsarbete.

Regeringen anser att eventuella kostnader ska finansieras inom befintlig ram.

2 Ståndpunkter

2.1Preliminär svensk ståndpunkt

Regeringen välkomnar kommissionens förslag. Regeringen ser fria dataflöden som en förutsättning för en välfungerande digital inre marknad och för en europeisk dataekonomi, liksom för vår innovations- och konkurrenskraft. De flesta företag, oavsett sektor, är idag beroende av fria, gränsöverskridande dataflöden i sin verksamhet.

Regeringen ser därför positivt på att omotiverade eller oproportionerliga lokaliseringskrav undanröjs, att krav inte ska ställas på var data lagras eller behandlas fysiskt inom unionen, och att EU får ett enhetligt regelverk för det fria dataflödet inom unionen. Det är positivt för utvecklandet av den digitala ekonomin i EU, för vår konkurrenskraft och vårt näringsliv.

Samtidigt anser regeringen att utrymme behöver finnas för nödvändiga undantag från huvudregeln. Regeringen anser att möjligheten att behålla eller införa lokaliseringskrav med hänvisning till undantagsgrunden allmän säkerhet, vilken i enlighet med rättspraxis omfattar bl.a. nationella säkerhetsintressen, ska garanteras för medlemsstaterna. Regeringen anser således att även verksamheter som avser det militära försvaret eller rikets säkerhet, vilka faller inom ramen för medlemsstaternas kompetens, självfallet också kan utgöra grund för undantag.

Behöriga myndigheters möjlighet att tillgå data i kontrolländamål ska inte behöva påverkas av var inom unionen data fysiskt befinner sig. För regeringen är det viktigt att behöriga myndigheters möjligheter till åtkomst till data för effektiv kontroll inte försämras utan upprätthålls och säkerställs genom förslaget.

Regeringen ser vidare positivt på att inga betungande krav på portabilitet införts på de privata aktörerna, med hänvisning till vikten av att förslag från kommissionen ska vara evidensbaserade och annars riskerar att medföra en snedvridning av konkurrensen. Samtidigt ser regeringen positivt på att på ett övergripande plan främja ökad dataportabilitet, för att öka möjligheterna för

användare att flytta data och välja fritt mellan tjänsteleverantörer för datalagring- och behandling.

2.2Medlemsstaternas ståndpunkter

Medlemsstaternas ståndpunkter är ännu inte kända. Sverige har emellertid tillsammans med en större grupp likasinnade medlemsstater bedrivit ett aktivt påverkansarbete för att få till stånd ett lagförslag för att främja det fria dataflödet på den inre marknaden. Bland annat skrev 16 medlemsstater, däribland Sverige, under ett gemensamt brev till Europeiska rådets ordförande Donald Tusk under våren 2017 där vikten av ett lagförslag för att främja fria dataflöden underströks.

Ett par andra medlemsstater väntas, på basis av deras tidigare inställning, kunna vara mer skeptiskt inställda till förslaget.

2.3Institutionernas ståndpunkter

Institutionernas ståndpunkter är ännu inte kända.

2.4Remissinstansernas ståndpunkter

Förslaget har den 11 oktober remitterats till myndigheter, organisationer och företag. Remissvaren väntas inkomma till regeringen till den 10 november. Regeringen har emellertid sedan tidigare fått mycket positiva signaler från framförallt det svenska näringslivet vad gäller förslaget. Flera aktörer har pekat på behovet av att skydda det fria flödet av data inom EU samt understrukit den stora och ökande roll detta flöde spelar för handel och näringsliv idag.

3 Förslagets förutsättningar

3.1Rättslig grund och beslutsförfarande

Förslaget faller enligt kommissionen inom området för delad befogenhet i enlighet med artikel 4(2)(a) i fördraget. Det syftar till att skapa en mer konkurrenskraftig och integrerad inre marknad för lagring och hantering av data genom att säkra det gränsöverskridande fria flödet av data inom EU. Detta ska ske genom regler för datalokalisering, datatillgänglighet för kompetenta myndigheter och dataportabilitet för användare.

Förslaget vilar på artikel 114 i fördraget. Det betyder att det ordinarie lagstiftningsförfarandet är tillämpligt. Enligt artikel 294 i fördraget beslutar rådet med kvalificerad majoritet och Europaparlamentet är medbeslutande.

3.2Subsidiaritets- och proportionalitetsprincipen

Vad gäller subsidiaritetsprincipen anför kommissionen att förslagets syfte är att se till att den inre marknaden för datalagrings- och behandlingstjänster fungerar väl. Enligt kommissionen uppnår förslaget det målet genom att säkerställa det fria flödet av data inom unionen. Grundproblemet är av starkt gränsöverskridande karaktär då det handlar om det fria flödet av ickepersondata inom unionen som helhet. Syftet är således inte begränsat till ett enskilt medlemslands territorium, och kan inte heller uppnås genom lagstiftningsåtgärder av den enskilda medlemsstaten på nationell nivå. Medlemsstaterna skulle förvisso på egen hand kunna reducera sina egna lokaliseringskrav, men kommer troligen att göra så i olika utsträckning eller inte alls. Olika förhållningssätt från medlemsstaterna leder till flera olika lagkrav och större rättsosäkerhet på den inre marknaden, med extra kostnader till följd för särskilt små och medelstora företag.

Kommissionen skriver vidare att förslaget är proportionerligt då det utgör ett effektivt ramverk som inte går utöver vad som krävs för att lösa de identifierade problemen. Förslaget vilar i hög grad på redan existerande EU- instrument och -regelverk, såsom direktiv 2015/1535 och olika instrument för att säkerställa tillgång till uppgifter/data för kompetenta myndigheters kontrolländamål. Först i de fall där en samarbetsmekanism saknas, eller andra sätt att få tillgång till uppgifterna har uttömts, ska den samarbetsmekanism som ingår i förslaget användas för att ge nationella myndigheter tillgång till data. Vidare anser kommissionen att förslaget är balanserat vad gäller hänsyn till gemensamma EU-regelverk å ena sidan och nationella säkerhetsintressen hos medlemsstaterna å den andra, samt mellan tvingande lagkrav och självreglering.

Kommissionen bedömer därför att förslaget är förenligt med både subsidiaritetsprincipen och proportionalitetsprincipen. Regeringen instämmer i kommissionens bedömning då det handlar om situationer med starkt gränsöverskridande karaktär och att åtgärder på EU- nivå är nödvändiga för att på ett effektivt sätt främja det gränsöverskridande fria flödet av data inom unionen och motverka omotiverade eller oproportionerliga lokaliseringskrav. Regeringen delar därför kommissionens bedömning om att förslaget är förenligt med såväl subsidiaritetsprincipen som proportionalitetsprincipen.

4 Övrigt

4.1Fortsatt behandling av ärendet

Förslaget är under fortsatt analys och gemensam beredning inom Regeringskansliet. Förslaget kommer också under oktober månad att skickas ut för remiss till berörda parter i Sverige.

Den 17 oktober tas förslaget upp i rådsarbetsgruppen för telekomfrågor för genomgång av kommissionens konsekvensbedömning. Det estniska EU- ordförandeskapet har signalerat att förslaget är högt prioriterat under ordförandeskapsperioden, och uppskattar att förslaget kommer att tas upp till politisk debatt i samband med TTE-ministerrådsmötet 4 december.

4.2Fackuttryck/termer