Till innehåll på sidan
Sveriges Riksdags logotyp, tillbaka till startsidan

RIF, RådsPM Dataskydd, dp 22

Bilaga till dokument från EU-nämnden 2010/11:244B0D

DOCX
RIF, RådsPM Dataskydd, dp 22(docx, 31 KB)
PAGE 4

Rådspromemoria

2010-11-19

Justitiedepartementet

Grundlagsenheten

Rådets möte (rättsliga och inrikes frågor) den 2-3 december 2010

Dagordningspunkt 22

Rubrik: Meddelande från Europeiska kommissionen om dataskydd

= Riktlinjedebatt

Dokument: det har ännu inte presenterats något dokument för behandlingen i rådet.

Tidigare dokument: KOM (2010) 609

Tidigare behandlad vid samråd med EU-nämnden: -

Tidigare behandlad vid information till KU: 2010-11-11

Bakgrund (inkl. syftet med behandlingen i rådet)

Kommissionen har inlett en översyn av EU:s dataskyddsreglering. Den 4 november 2010 publicerade kommissionen ett meddelande med en strategi för översynen. Tanken är att strategin ska omsättas i konkreta lagstiftningsförslag under 2011.

Den viktigaste rättsakten inom EU på dataskyddsområdet är direktiv 95/46/EG (dataskyddsdirektivet) som gäller inom det som tidigare var den första pelaren, dvs. samarbetet i bland andra ekonomiska frågor och frågor om den inre marknaden.

Inom den f.d tredje pelaren, dvs. det rättsliga och inrikes samarbetet, har rambeslut 2008/977/JHA (dataskyddsrambeslutet) antagits, som reglerar behandling av personuppgifter inom området för polisiärt och straffrättsligt samarbete. Rambeslutet gäller dock inte för rent nationell behandling av personuppgifter utan endast behandling av uppgifter som utbyts mellan medlemsstaterna.

Vid rådets möte (rättsliga och inrikes frågor) den 2-3 december 2010 önskar ordförandeskapet en riktlinjedebatt om kommissionens meddelande.

Rättslig grund och beslutsförfarande

I fördraget om EU:s funktionssätt (artikel 16) finns en rättslig grund för antagande av en dataskyddsreglering som omfattar både f.d. första respektive f.d. tredje pelaren. Kommissionen har dock ännu inte lagt fram något förslag till rättsakt.

Svensk ståndpunkt

Sverige välkomnar en översyn av EU:s dataskyddsregelverk i syfte att åstadkomma ett heltäckande och effektivt skydd för personuppgifter.

–

Av yttersta vikt är att den kommande regleringen inte kommer i konflikt med våra grundlagar. Det handlar framförallt om att säkerställa att offentlighetsprincipen och tryck- och yttrandefriheten inte inskränks.

Vidare bör den kommande regleringen i större utsträckning än vad som nu är fallet utformas enligt en s.k. missbruksmodell (se närmare om uttalanden från riksdagen i denna fråga nedan).

En annan viktig fråga är att det även fortsättningsvis ska vara möjligt att på nationell nivå ha sådan särreglering som finns i våra ca 200 stycken registerförfattningar (t.ex. patiendatalagen [2008:355] och polisdatalagen [2010:361]). Sådana författningar innehåller skräddarsydda avvägningar mellan intresset av att behandla personuppgifter och integritetsskyddsintresset. Om utrymmet för sådan lagstiftning skulle minska finns risken för att integritetsskyddet och rättssäkerheten försämras.

Det är också av stor betydelse att en kommande reglering som täcker området för polisiärt och straffrättsligt samarbete tar hänsyn till de särskilda behov som finns på det brottsbekämpande området, samtidigt som den värnar integritetsintresset.

Europaparlamentets inställning

Europaparlamentets inställning är ännu inte känd.

Förslaget

I kommissionens meddelande konstateras att den teknologiska utvecklingen och globaliseringen har medfört att det finns skäl att se över EU:s dataskyddsregelverk för att se till att det fortfarande erbjuder ett tillräckligt skydd.

En uttalad ambition är att stärka enskildas rättigheter. Kommissionen kommer i detta syfte bl.a. att överväga att införa en allmän princip om insynsvänlig behandling av personuppgifter i förhållande till den som uppgifterna rör och att undersöka om det ska införas bestämmelser om skyldighet att anmäla när personuppgifter oavsiktligt eller uppsåtligt t.ex. förloras eller läses av eller lämnas ut till obehöriga. Andra åtgärder som kommissionen kommer att undersöka är bl.a. att skärpa principen om att behandling bara får ske i vissa syften (dataminimering) och hur man kan förtydliga och skärpa bestämmelserna om samtycke. Kommissionen vill vidare undersöka om t.ex. föreningar som representerar den person som uppgifterna rör ska kunna föra talan inför domstol samt om det finns skäl att skärpa sanktionerna vid brott mot dataskyddsregleringen.

Vidare konstaterar kommissionen att många intressenter framfört att det – trots den EU-rättsliga regleringen – fortfarande finns skillnader på nationell nivå som utgör ett hinder mot den inre marknaden. Kommissionen kommer därför att undersöka behovet av ytterligare harmonisering av bestämmelserna om skydd av personuppgifter på EU-nivå. Kommissionen kommer bl.a. att undersöka möjligheterna att förenkla och harmonisera dagens system för förhandsanmälningar av tilltänkta personuppgiftsbehandlingar till behörig dataskyddsmyndighet. Med hänsyn till att det ibland är oklart vilken medlemsstats dataskyddsreglering som ska tillämpas på en viss personuppgiftsbehandling kommer kommissionen också att utreda möjligheter att förtydliga bestämmelserna om tillämplig lag.

Kommissionen framhåller vidare behovet av ett heltäckande dataskyddsregelverk, som till skillnad från dataskyddsdirektivet även omfattar det polisiära och straffrättsliga samarbetet. Kommissionen betonar i det sammanhanget att den viktigaste rättsakten i fråga om dataskydd på detta område – dataskyddsrambeslutet – har brister, bl.a. eftersom det enbart är tillämpligt på gränsöverskridande utbyte av personuppgifter och inte på behandling av personuppgifter i medlemsstaterna.

Kommissionen tar även upp behovet av att klargöra och förenkla reglerna för överföring av uppgifter till tredje land. Kommissionen tillkännager också att kommissionen har för avsikt att öka sitt samarbete med tredje länder och internationella organisationer i syfte att öka nivån på dataskyddet internationellt.

Som ett första steg kommer kommissionen under 2011 att föreslå lagstiftning rörande den övergripande rättsliga ramen för personuppgiftsskydd. I ett andra steg kommer kommissionen att undersöka behovet av att anpassa andra rättsakter till den nya övergripande ramen för uppgiftsskydd.

Gällande svenska regler och förslagets effekter på dessa

Personuppgiftslagen, registerförfattningar och grundlagsregleringen

Dataskyddsdirektivet har i svensk rätt genomförts genom personuppgiftslagen (1998:204). Denna lag är generellt tillämplig, men specialförfattningar om personuppgiftsskydd har företräde. Specialförfattningarna kan vara både på lag- respektive förordningsnivå. Konstitutionsutskottet har i flera lagstiftningsärenden framhållit att målsättningen bör vara att myndighetsregister med ett stort antal registrerade och ett särskilt känsligt innehåll ska regleras särskilt i lag (se t.ex. bet. 1990/91:KU11 s. 11 och bet. 1997/98:KU18 s. 43). Det finns numera ca 200 s.k. registerförfattningar, dvs. specialregleringar avseende personuppgiftsbehandling på olika områden (t.ex. polisdatalagen, patiendatalagen m.fl. lagar och förordningar).

Riksdagen har i ett första beslut antagit en grundlagsändring (det andra beslutet väntas den 24/11), som kommer att träda i kraft den 1 januari 2011 (prop. 2009/10:80, bet. 2009/10:KU19, rskr. 2009/10:304, bet. 2010/11:KU4). Ändringen innebär att var och en gentemot det allmänna är skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär en övervakning eller kartläggning av den enskildes personliga förhållanden. Begränsningar i denna rätt får dock under vissa förutsättningar göras i lag. Alla registerförfattningar som finns i förordningar måste därför ses över för det fall de reglerar personuppgiftshantering som till följd av den nya grundlagsbestämmelsen ska vara reglerad på lagnivå. Detta arbete måste enligt en övergångsbestämmelse till grundlagsändringen vara avslutat inom fem år.

Missbruksmodellen

Dataskyddsdirektivet är utformat enligt en s.k. hanteringsmodell, vilket innebär att själva hanteringen av personuppgifter regleras oavsett om den kan betecknas som känslig eller harmlös från integritetssynpunkt. I direktivet finns sålunda regler om hur personuppgifter ska hanteras från det att de samlas in till dess att de utplånas. Med anledning av att mycket av den personuppgiftsbehandling som förekommer t.ex. på Internet får betraktas som harmlös och självklar, tillkännagav riksdagen år 1999, efter förslag från Konstitutionsutskottet, att regeringen dels med kraft skulle verka för en revidering av dataskyddsdirektivet, dels skulle se över personuppgiftslagen. Syftet med översynen av lagen skulle vara att inom ramen för dataskyddsdirektivet åstadkomma en förändring i riktning mot en lagreglering som tar sikte på missbruk av personuppgifter. Så länge personuppgifter inte missbrukas på ett sätt som kränker den personliga integriteten ska behandlingen enligt en sådan missbruksmodell vara tillåten.

Regeringen har därefter verkat för att dataskyddsdirektivet ska ändras i riktning mot en missbruksmodell. I en rapport över implementeringen av dataskyddsdirektivet 2003 tog kommissionen upp de synpunkter Sverige framfört. Kommissionen ansåg att det inte fanns något skäl att ändra direktivet utan hänvisade Sverige till att utnyttja de undantagsmöjligheter som direktivet ger medlemsstaterna. Sverige har därefter infört en s.k. missbruksmodell inom ramen för personuppgiftslagen (se prop. 2005/06:173 och bet. 2005/06:KU37). Denna förenklade reglering omfattar bl.a. situationer där automatiserade hjälpmedel används för framställning av löpande text eller för kommunikation, t.ex. när någon använder ett vanligt ordbehandlingsprogram för att skriva ett dokument, när någon skriver inlägg på ett socialt medium eller när någon kommunicerar med andra via e-post eller IP-telefoni.

Justitieutskottet och Konstitutionsutskottet har i yttranden över Stockholmsprogrammet och kommissionens handlingsplan för att genomföra Stockholmsprogrammet uttalat att det behövs ett heltäckande och effektivt skydd av personuppgifter inom EU. Konstitutionsutskottet påminde i det sammanhanget om vad utskottet tidigare uttalat om att Sverige bör verka för att dataskyddsdirektivet utformas enligt en missbruksmodell (yttrande 2008/09:KU7y).

Förslagets effekt på den svenska regleringen

Det är omöjligt att i detta tidiga skede förutse i vilken utsträckning den svenska regleringen kommer att behöva ändras om de förslag kommissionen kommer att lägga kommer att antas. Med största sannolikhet kommer dock personuppgiftslagen att behöva ändras. Det är även troligt att de särskilda registerförfattningarna kommer att påverkas. Om den nya regleringen får formen av en förordning kan utrymmet för sådana författningar på nationell nivå komma att minska eller t.o.m. försvinna. Ges den nya regleringen i stället formen av ett direktiv är det sannolikt lättare att behålla vårt system med särskilda registerförfattningar. Oavsett regleringens form kan det antas att ändringar i många av registerförfattningarna kommer att bli nödvändiga.

Ekonomiska konsekvenser

-

Övrigt

-