Till innehåll på sidan
Sveriges Riksdags logotyp, tillbaka till startsidan

RIF, RådsPM Dataskydd, dp 12

Bilaga till dokument från EU-nämnden 2010/11:254628

DOCX
RIF, RådsPM Dataskydd, dp 12(docx, 33 KB)
PAGE 6

Rådspromemoria

2011-02-14

Justitiedepartementet

Grundlagsenheten

Rådets möte (rättsliga och inrikes frågor) den 24-25 februari 2011

Dagordningspunkt 12

Rubrik: Utkast till rådets slutsatser om kommissionens meddelande till Europaparlamentet och rådet: Ett samlat grepp på skyddet av personuppgifter i EU

Dokument: 5980/2/11 REV2, JAI 68, MI 50, DATAPROTECT 5 FREMP 8, COHOM 28, DAPIX 3 (bifogas)

Tidigare dokument: KOM (2010) 609

Tidigare behandlad vid samråd med EU-nämnden: 2010-11-26

Tidigare behandlad vid information till KU: 2010-11-11

Bakgrund (inkl. syftet med behandlingen i rådet)

Kommissionen har inlett en översyn av EU:s dataskyddsreglering. Den 4 november 2010 publicerade kommissionen ett meddelande med en strategi för översynen. Vid rådets möte den 2-3 december 2010 var meddelandet föremål för en riktlinjedebatt. Kommissionens avsikt är att lägga fram konkreta lagstiftningsförslag under 2011.

Nu har rådsslutsatser om kommissionens meddelande tagits fram. Tanken är att rådsslutsatserna ska antas vid rådets möte (rättsliga och inrikes frågor) den 24-25 februari 2011.

Den viktigaste nu gällande rättsakten inom EU på dataskyddsområdet är direktiv 95/46/EG (dataskyddsdirektivet) som gäller inom det som tidigare var den första pelaren, dvs. samarbetet i bl.a. ekonomiska frågor och frågor om den inre marknaden.

Inom den f.d. tredje pelaren, dvs. det rättsliga och inrikes samarbetet, gäller rambeslut 2008/977/JHA (dataskyddsrambeslutet), som reglerar behandling av personuppgifter inom området för polisiärt och straffrättsligt samarbete. Rambeslutet gäller dock inte för nationell behandling av personuppgifter utan endast behandling av uppgifter som utbyts mellan medlemsstaterna.

Rättslig grund och beslutsförfarande

I fördraget om EU:s funktionssätt (artikel 16) finns en rättslig grund för antagande av en dataskyddsreglering som omfattar både f.d. första respektive f.d. tredje pelaren. Kommissionen har dock ännu inte lagt fram något förslag till rättsakt.

Svensk ståndpunkt

Sverige kan ställa sig bakom rådsslutsatserna. Slutsatserna ger uttryck för en bra balans mellan integritetsintresset och andra motstående intressen. I det följande behandlas vissa frågor som bedömts vara av särskilt stort svenskt intresse.

Det är av yttersta vikt att den kommande dataskyddsregleringen inte kommer i konflikt med våra grundlagar. Det handlar framförallt om att säkerställa att offentlighetsprincipen och tryck- och yttrandefriheten inte inskränks. Det är därför glädjande att Sverige har fått gehör för sitt förslag att i rådsslutsatserna framhålla att rätten till yttrande- och informationsfrihet samt principen om öppenhet måste beaktas fullt ut samtidigt som rätten till skydd för personuppgifter tillförsäkras.

Det är av stor betydelse att en framtida heltäckande dataskyddsreglering både tar hänsyn till de särskilda behov som finns på området för polisiärt och straffrättsligt samarbete och behovet av att värna integritetsintresset inom detta område. Det är därför positivt att båda dessa aspekter lyfts fram i rådsslutsatserna.

En annan viktig fråga är att det även fortsättningsvis ska vara möjligt att på nationell nivå ha sådan särreglering som finns i våra ca 200 registerförfattningar (t.ex. patientdatalagen [2008:355] och polisdatalagen [2010:361]). Sådana författningar innehåller skräddarsydda avvägningar mellan intresset av att behandla personuppgifter och integritetsskyddsintresset på olika områden. Om utrymmet för sådan lagstiftning skulle minska finns risken för att integritetsskyddet och rättssäkerheten försämras. Sverige anser därför att det kommande regelverket bör ges formen av ett direktiv, och inte en direkt tillämplig förordning. Vid behandlingen av rådsslutsatserna har framkommit att det för närvarande finns ett utbrett stöd bland medlemsstaterna för att regelverket bör ges formen av ett direktiv. Det har dock ansetts för tidigt att i rådsslutsatserna uttala sig om formen för den kommande rättsakten.

Sverige har under ca tio år verkat för att EU:s dataskyddsreglering i större utsträckning än vad som nu är fallet utformas enligt en s.k. missbruksmodell (se närmare om uttalanden från riksdagen i denna fråga nedan). Detta arbete har nu intensifierats. Det kan konstateras att vissa experter på området börjat få förståelse för att det nuvarande regelverket inte i alla avseenden är anpassat till det sätt på vilket den moderna informationsteknologin används. Detta har kommit till uttryck i en forskarrapport som upprättats på uppdrag av kommissionen samt i en rapport som tagits fram i anslutning till den förestående reformen av Europarådets dataskyddskonvention. I dessa rapporter dras dock inte slutsatsen att det finns ett behov av en missbruksmodell av det slag som Sverige förespråkar. Det påverkansarbete som regeringen bedrivit har ännu inte medfört att kommissionen och andra medlemsstater visat förståelse för behovet av en missbruksmodell. Regeringens påverkansarbete kommer därför att fortsätta.

Europaparlamentets inställning

Europaparlamentets inställning är ännu inte känd.

Förslaget

Av kommissionens meddelande framgår att ambitionen är att ta ett samlat grepp om skyddet av personuppgifter inom EU. Kommissionen betonar vikten av att stärka skyddet av enskildas rättigheter och det inre marknadsperspektivet, dvs. att de rättsliga förutsättningarna för behandling av personuppgifter ska vara desamma inom hela unionen.

I rådsslutsatserna välkomnas kommissionens meddelande och de övergripande ambitioner som anges där. Rådsslutsatserna är i stor utsträckning utformade som riktlinjer för kommissionens fortsatta arbete med lagstiftningsförslaget. Rådet tar dock inte ställning till hur det framtida regelverket ska se ut. I stället betonas vikten av att kommissionens lagstiftningsförslag blir föremål för noggranna och detaljerade överväganden i rådet.

I rådsslutsatserna framhålls bl.a. följande.

Kommissionen uppmanas att överväga om dataskyddsregler på området för polisiärt och straffrättsligt samarbete ska införas i det nya regelverket med beaktande av det områdets speciella karaktär. Samtidigt betonas att enskilda bör tillförsäkras skydd för sina personuppgifter inom EU:s alla politikområden. Behovet av en högre grad av harmonisering av regelverket, bl.a. genom ytterligare harmonisering av dataskyddsmyndigheternas roll, betonas. Det framhålls också att rätten till yttrandefrihet och informationsfrihet samt principen om öppenhet måste beaktas fullt ut samtidigt som rätten till skydd för personuppgifter tillförsäkras.

Det betonas att konsekvensanalysen till förslaget bör innehålla en konkret kostnadsanalays för alla åtgärder som föreslås. Kommissionen inbjuds att undersöka möjligheterna att inkludera vissa nyheter i det kommande lagstiftningsförslaget, t.ex. principen om ”privacy by design”, ”rätten att bli glömd”, en utvidgning av begreppet känsliga personuppgifter och särskilda bestämmelser om biometriska data. Kommissionen uppmanas också att ägna frågan om skydd för minderårigas personuppgifter särskild uppmärksamhet. Vidare framhålls att det är viktigt att minska de administrativa bördorna för personuppgiftsansvariga.

Det betonas att enskildas rättigheter bör ges ett tillräckligt skydd även om uppgifterna överförs till tredje land, t.ex. när personuppgiftsansvariga inom EU anlitar företag utanför EU för att behandla personuppgifter. Vidare framhålls behovet av att samarbeta med länder utanför EU och med internationella organisationer som OECD och Europarådet.

Gällande svenska regler och förslagets effekter på dessa

Personuppgiftslagen, registerförfattningar och grundlagsregleringen

Dataskyddsdirektivet har i svensk rätt genomförts genom personuppgiftslagen (1998:204). Denna lag är generellt tillämplig, men specialförfattningar om personuppgiftsskydd har företräde. Specialförfattningarna kan vara både på lag- och förordningsnivå. Konstitutionsutskottet har i flera lagstiftningsärenden framhållit att målsättningen bör vara att myndighetsregister med ett stort antal registrerade och ett särskilt känsligt innehåll ska regleras särskilt i lag (se t.ex. bet. 1990/91:KU11 s. 11 och bet. 1997/98:KU18 s. 43). Det finns numera ca 200 s.k. registerförfattningar, dvs. specialregleringar avseende personuppgiftsbehandling på olika områden (t.ex. polisdatalagen, patientdatalagen m.fl. lagar och förordningar).

En ändring i regeringsformen trädde i kraft den 1 januari 2011 (prop. 2009/10:80, bet. 2009/10:KU19, rskr. 2009/10:304, bet. 2010/11:KU4). Ändringen innebär att var och en är gentemot det allmänna skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär en övervakning eller kartläggning av den enskildes personliga förhållanden. Begränsningar i denna rätt får dock under vissa förutsättningar göras i lag. Alla registerförfattningar som finns i förordningar måste därför ses över för det fall de reglerar personuppgiftshantering som till följd av den nya grundlagsbestämmelsen ska vara reglerad på lagnivå. Detta arbete måste enligt en övergångsbestämmelse till grundlagsändringen vara avslutat inom fem år.

Missbruksmodellen

Dataskyddsdirektivet är utformat enligt en s.k. hanteringsmodell, vilket innebär att själva hanteringen av personuppgifter regleras oavsett om den kan betecknas som känslig eller harmlös från integritetssynpunkt. I direktivet finns sålunda regler om hur personuppgifter ska hanteras från det att de samlas in till dess att de utplånas. Med anledning av att mycket av den personuppgiftsbehandling som förekommer t.ex. på Internet får betraktas som harmlös och självklar, har riksdagen tillkännagivit, efter förslag från Konstitutionsutskottet, att regeringen dels med kraft skulle verka för en revidering av dataskyddsdirektivet, dels skulle se över personuppgiftslagen. Syftet med översynen av lagen skulle vara att inom ramen för dataskyddsdirektivet åstadkomma en förändring i riktning mot en lagreglering som tar sikte på missbruk av personuppgifter. Så länge personuppgifter inte missbrukas på ett sätt som kränker den personliga integriteten ska behandlingen enligt en sådan missbruksmodell vara tillåten.

Regeringen har därefter verkat för att dataskyddsdirektivet ska ändras i riktning mot en missbruksmodell. I en rapport över implementeringen av dataskyddsdirektivet 2003 tog kommissionen upp de synpunkter Sverige framfört. Kommissionen ansåg att det inte fanns något skäl att ändra direktivet utan hänvisade Sverige till att utnyttja de undantagsmöjligheter som direktivet ger medlemsstaterna. Sverige har därefter infört en s.k. missbruksmodell inom ramen för personuppgiftslagen (se prop. 2005/06:173 och bet. 2005/06:KU37). Denna förenklade reglering omfattar bl.a. situationer där automatiserade hjälpmedel används för framställning av löpande text eller för kommunikation, t.ex. när någon använder ett vanligt ordbehandlingsprogram för att skriva ett dokument, när någon skriver inlägg på ett socialt medium eller när någon kommunicerar med andra via e-post eller IP-telefoni.

Justitieutskottet och Konstitutionsutskottet har i yttranden över Stockholmsprogrammet och kommissionens handlingsplan för att genomföra Stockholmsprogrammet uttalat att det behövs ett heltäckande och effektivt skydd av personuppgifter inom EU. Konstitutionsutskottet påminde i det sammanhanget om vad utskottet tidigare uttalat om att Sverige bör verka för att dataskyddsdirektivet utformas enligt en missbruksmodell (yttrande 2008/09:KU7y).

Förslagets effekt på den svenska regleringen

Det är omöjligt att i detta tidiga skede förutse i vilken utsträckning den svenska regleringen kommer att behöva ändras om de förslag kommissionen kommer att lägga kommer att antas. Med största sannolikhet kommer dock personuppgiftslagen att behöva ändras. Det är även troligt att de särskilda registerförfattningarna kommer att påverkas. Om den nya regleringen får formen av en förordning kan utrymmet för sådana författningar på nationell nivå komma att minska eller t.o.m. försvinna. Ges den nya regleringen i stället formen av ett direktiv är det sannolikt lättare att behålla vårt system med särskilda registerförfattningar. Oavsett regleringens form kan det antas att ändringar i många av registerförfattningarna kommer att bli nödvändiga.

Ekonomiska konsekvenser

-

Övrigt

-