RIF, radspm - dataskyddsforordningen, dp.11
Bilaga till dokument från EU-nämnden 2013/14:2C3A6E
Rådspromemoria
2013-11-25
Justitiedepartementet
Grundlagsenheten
Rådets möte för rättsliga och inrikes frågor (RIF) den 5-6 december 2013
Dagordningspunkt 11
Rubrik: Förslag till Europaparlamentets och rådets förordning om skydd
för enskilda personer med avseende på behandling av personuppgifter
och om det fria flödet av sådana uppgifter (allmän uppgiftsskyddsförordning) – Partiell allmän inriktning
Dokument: Något dokument har ännu inte presenterats inför rådsbehandlingen.
Tidigare dokument:
- KOM (2012) 11 slutlig Förslag till Europaparlamentets och rådets förordning om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter
- Faktapromemoria 2011/12:FPM117
- 10227/13 DATAPROTECT 72 JAI 438 MI 469 DRS 104 DAPIX 86 FREMP 77 COMIX 339 CODEC 1257
- 10227/13 ADD 1 DATAPROTECT 72 JAI 438 MI 469 DRS 104 DAPIX 86 FREMP 77 COMIX 339 CODEC 1257
Tidigare behandlad vid samråd med EU-nämnden: 2012-10-19, 2012-11-30, 2013-03-01, 2013-05-31 och 2013-10-04
Tidigare behandlad vid möte med konstitutionsutskottet: 2012-02-16, 2012-03-20, 2012-11-20, 2013-01-22, 2013-05-28 och 2013-10-03
Tidigare behandlad vid möte med justitieutskottet: 2013-05-30 och 2013-10-03
Bakgrund
Den viktigaste EU-rättsakten på dataskyddsområdet är det s.k. dataskyddsdirektivet som antogs 1995. Direktivet syfte är dels att skydda fysiska personers grundläggande fri- och rättigheter i samband med behandling av personuppgifter, dels att underlätta ett fritt flöde av personuppgifter mellan medlemsstaterna. Dataskyddsdirektivet har i svensk rätt genomförts genom personuppgiftslagen och ett antal särregleringar i förhållande till denna lag, t.ex. patientdatalagen och kustbevakningsdatalagen.
Den 25 januari 2012 presenterade kommissionen ett förslag till en genomgripande reform av EU:s regler om skydd för personuppgifter. Förslaget innebär bl.a. att dataskyddsdirektivet ska ersättas av en allmän dataskyddsförordning. Förslaget till förordning har därefter förhandlats i behörig rådsarbetsgrupp.
Förslaget behandlades vid RIF-råden i december 2012 och januari och mars 2013. Rådet uttalade då bl.a. sitt stöd för att införa en riskbaserad ansats i regleringen samt för att skapa flexibilitet för den offentliga sektorn. Ministrarna har också gett stöd till en utvidgning av det s.k. hushållsundantaget.
Vid RIF-rådet i juni 2013 diskuterades vissa nyckelfrågor som ordförandeskapet identifierat efter den första läsningen av förordningen. Inför rådsmötet arbetade ordförandeskapet även om stora delar av förslaget, bl.a. för att införa en mer riskbaserad ansats och för att skapa flexibilitet för den offentliga sektorn i regleringen. Dessutom införde ordförandeskapet efter förslag från bl.a.
Sverige en särskild artikel om tillgång till allmänna handlingar, vilket är mycket positivt. Sverige kunde ställa sig bakom många av de ändringar som föreslogs eftersom dessa gick i rätt riktning ur ett svenskt perspektiv.
Vid RIF-rådet i juli 2013 diskuterades den s.k. mekanismen för enhetlighet, dvs. den del av regleringen som syftar till att säkerställa en konsekvent och enhetlig tillämpning av dataskyddsreglerna inom EU.
Vid RIF-rådet i oktober 2013 diskuterades regleringen om behörig tillsynsmyndighet vid gränsöverskridande ärenden och förslaget till en s.k. ”one-stop-shop”-mekanism (en ensam behörig tillsynsmyndighet). Ordförandeskapets sammanfattning av orienteringsdebatten var (i) att det finns stöd för att i viktigare ärenden ha en ”one-stop-shop”-mekanism, (ii) att arbetsgruppen skulle arbeta vidare med en modell där den behöriga tillsynsmyndigheten ges exklusiv befogenhet att fatta beslut men att befogenheten ska vara begränsad till särskilda områden och (iii) att arbetsgruppen skulle undersöka hur närheten mellan medborgarna och den beslutsfattande myndigheten kan ökas genom att den lokala tillsynsmyndigheten involveras i processen.
Efter RIF-rådet i oktober 2013 har förslaget till ”one-stop-shop”-mekanism diskuterats ingående i arbetsgruppen och det litauiska ordförandeskapet har föreslagit ett stort antal justeringar i regleringen. Vid nu aktuellt rådsmöte är ordförandeskapets avsikt att nå fram till en överenskommelse om en partiell allmän inriktning gällande ”one-stop-shop”-mekanismen.
Rättslig grund och beslutsförfarande
Den rättsliga grunden för förslaget är artikel 16 FEUF. Beslut fattas genom det ordinarie beslutsförfarandet, vilket betyder att det krävs kvalificerad majoritet i rådet samt enighet med Europaparlamentet för att anta den föreslagna förordningen.
Svensk ståndpunkt
Sveriges övergripande målsättning i förhandlingarna är att skapa en balanserad reglering som säkerställer att det finns ett effektivt skydd för enskildas personliga integritet vid behandling av personuppgifter samtidigt som hänsyn tas till de berättigade behov som finns inom både den privata och den offentliga sektorn av att behandla personuppgifter.
Avsikten bakom förslaget till en ”one-stop-shop” (en ensam behörig tillsynsmyndighet) är att öka enhetligheten i tillämpningen, skapa rättssäkerhet och minska den administrativa bördan för personuppgiftsansvariga som har etableringar i flera medlemsstater. Genom att dessa personuppgiftsansvariga endast ska behöva ha kontakt med en tillsynsmyndighet skapas utrymme för vissa lättnader för företag inom den inre marknaden eftersom behovet av anpassningar till flera olika myndigheters beslut minskar. Förslaget har dock kritiseras för att det skapar ett avstånd mellan enskilda och tillsynsmyndigheten eftersom den behöriga tillsynsmyndigheten kan finnas i ett annat land än det där den registrerade bor.
Detta innebär också att en eventuell domstolsprövning kan komma att ske i ett annat land än det där den registrerade bor.
Sveriges ståndpunkt vad gäller förslaget till ”one-stop-shop” är oförändrad. Sverige anser att det är bra om de administrativa bördorna för företag kan minskas genom att företagen i vissa fall endast behöver ha kontakt med en tillsynsmyndighet. Samtidigt är det av stor vikt att enskildas möjligheter att ta tillvara sina rättigheter inte begränsas i förhållande till dagens ordning. Sverige föredrar därför en reglering som pekar ut en enda behörig tillsynsmyndighet som företag kan vända sig till med frågor av mer administrativ karaktär, som inte direkt berör en enskild registrerad utan snarare rör de allmänna förutsättningarna för behandlingen av personuppgifter, samtidigt som frågor om tillsyn och klagomål från enskilda fortfarande handläggs av myndigheter och domstolar i den registrerades egen medlemsstat.
Efter RIF-rådet i oktober 2013 har det litauiska ordförandeskapet föreslagit ett stort antal justeringar i regleringen för att möta de synpunkter som framförts av medlemsstaterna. Många grundläggande frågor återstår dock att lösa. Förslagen som hitintills har diskuterats har enligt Sveriges mening inte i tillräcklig utsträckning begränsat den exklusiva kompetens som ska ges till den behöriga tillsynsmyndigheten vid gränsöverskridande personuppgiftsbehandling. Det återstår således enligt Sveriges mening fortfarande många frågor att diskutera innan en överenskommelse om konkreta textförslag kan nås. Dessutom kvarstår Sveriges övergripande inställning att dataskyddsregleringen bör ges formen av ett direktiv istället för en förordning.
Europaparlamentets inställning
I Europaparlamentet behandlas dataskyddsförordningen i LIBE-utskottet. Rapportören, Jan Philipp Albrecht, lade fram ett förslag till betänkande i december 2012. Den 21 oktober 2013 röstade LIBE fram sitt betänkande. Parlamentet planerar för en omröstning i plenum under april 2014.
Förslaget
Det huvudsakliga syftet med kommissionens förslag till dataskyddsförordning är att ytterligare harmonisera och effektivisera skyddet av personuppgifter i syfte att förbättra den inre marknadens funktion och öka enskildas kontroll över sina personuppgifter. I och med att regleringen ges formen av en förordning kommer den att bli direkt tillämplig i alla medlemsstater när den trätt i kraft. Om förslaget genomförs kommer förordningen således inte att ersätta bara dataskyddsdirektivet utan även personuppgiftslagen. Förslaget till förordning lämnar dock ett visst utrymme för nationell reglering. Exempelvis är det möjligt att i nationell rätt fastställa vad som är ett allmänt intresse som kan ge rätt att behandla personuppgifter samt att under vissa förutsättningar införa undantag från bestämmelserna i förordningen.
Vidare är det möjligt att införa viss nationell reglering inom vissa i förordningen utpekade områden, t.ex. arbetsmarknadsområdet. Kommissionen framhåller att förslaget kommer att undanröja den fragmentariska dataskyddsreglering som nu finns inom EU. Enligt kommissionen kommer detta att både förenkla för företagen och stärka den enskildes rätt till skydd för sina personuppgifter.
Förslaget till förordning baseras till stor del på den struktur och reglering som finns i det nu gällande dataskyddsdirektivet. Förordningen innehåller dock även en rad nyheter jämfört med dataskyddsdirektivet. För en mer utförlig beskrivning av förslaget hänvisas till faktapromemorian.
Gällande svenska regler och förslagets effekter på dessa
Dataskyddsdirektivet har i svensk rätt genomförts dels genom personuppgiftslagen, dels genom ett stort antal författningar som innehåller särregleringar om behandling av personuppgifter för olika myndigheter och sektorer.
Kommissionens förslag innebär att dataskyddsdirektivet ska ersättas av en allmän dataskyddsförordning. Eftersom förordningen kommer att bli direkt tillämplig i medlemsstaterna kommer den, om förslaget genomförs, att ersätta personuppgiftslagen. Med en förordning kommer även utrymmet för hela eller delar av de många särregleringar som finns i förhållande till personuppgiftslagen sannolikt att minska.
Ekonomiska konsekvenser
I dagsläget är det inte möjligt att närmare bedöma vilka budgetära eller samhällsekonomiska konsekvenser ett genomförande av förslaget kommer att få för företag och privatpersoner i Sverige och för svensk offentlig förvaltning. Det bör dock kunna förutsättas att eventuella budgetära konsekvenser ska kunna finansieras genom omfördelningar inom befintliga budgetramar, inom såväl den nationella som den gemensamma EU-budgeten.
2013-11-25
Justitiedepartementet
Grundlagsenheten
Rådets möte för rättsliga och inrikes frågor (RIF) den 5-6 december 2013
Dagordningspunkt 11
Rubrik: Förslag till Europaparlamentets och rådets förordning om skydd
för enskilda personer med avseende på behandling av personuppgifter
och om det fria flödet av sådana uppgifter (allmän uppgiftsskyddsförordning) – Partiell allmän inriktning
Dokument: Något dokument har ännu inte presenterats inför rådsbehandlingen.
Tidigare dokument:
- KOM (2012) 11 slutlig Förslag till Europaparlamentets och rådets förordning om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter
- Faktapromemoria 2011/12:FPM117
- 10227/13 DATAPROTECT 72 JAI 438 MI 469 DRS 104 DAPIX 86 FREMP 77 COMIX 339 CODEC 1257
- 10227/13 ADD 1 DATAPROTECT 72 JAI 438 MI 469 DRS 104 DAPIX 86 FREMP 77 COMIX 339 CODEC 1257
Tidigare behandlad vid samråd med EU-nämnden: 2012-10-19, 2012-11-30, 2013-03-01, 2013-05-31 och 2013-10-04
Tidigare behandlad vid möte med konstitutionsutskottet: 2012-02-16, 2012-03-20, 2012-11-20, 2013-01-22, 2013-05-28 och 2013-10-03
Tidigare behandlad vid möte med justitieutskottet: 2013-05-30 och 2013-10-03
Bakgrund
Den viktigaste EU-rättsakten på dataskyddsområdet är det s.k. dataskyddsdirektivet som antogs 1995. Direktivet syfte är dels att skydda fysiska personers grundläggande fri- och rättigheter i samband med behandling av personuppgifter, dels att underlätta ett fritt flöde av personuppgifter mellan medlemsstaterna. Dataskyddsdirektivet har i svensk rätt genomförts genom personuppgiftslagen och ett antal särregleringar i förhållande till denna lag, t.ex. patientdatalagen och kustbevakningsdatalagen.
Den 25 januari 2012 presenterade kommissionen ett förslag till en genomgripande reform av EU:s regler om skydd för personuppgifter. Förslaget innebär bl.a. att dataskyddsdirektivet ska ersättas av en allmän dataskyddsförordning. Förslaget till förordning har därefter förhandlats i behörig rådsarbetsgrupp.
Förslaget behandlades vid RIF-råden i december 2012 och januari och mars 2013. Rådet uttalade då bl.a. sitt stöd för att införa en riskbaserad ansats i regleringen samt för att skapa flexibilitet för den offentliga sektorn. Ministrarna har också gett stöd till en utvidgning av det s.k. hushållsundantaget.
Vid RIF-rådet i juni 2013 diskuterades vissa nyckelfrågor som ordförandeskapet identifierat efter den första läsningen av förordningen. Inför rådsmötet arbetade ordförandeskapet även om stora delar av förslaget, bl.a. för att införa en mer riskbaserad ansats och för att skapa flexibilitet för den offentliga sektorn i regleringen. Dessutom införde ordförandeskapet efter förslag från bl.a.
Sverige en särskild artikel om tillgång till allmänna handlingar, vilket är mycket positivt. Sverige kunde ställa sig bakom många av de ändringar som föreslogs eftersom dessa gick i rätt riktning ur ett svenskt perspektiv.
Vid RIF-rådet i juli 2013 diskuterades den s.k. mekanismen för enhetlighet, dvs. den del av regleringen som syftar till att säkerställa en konsekvent och enhetlig tillämpning av dataskyddsreglerna inom EU.
Vid RIF-rådet i oktober 2013 diskuterades regleringen om behörig tillsynsmyndighet vid gränsöverskridande ärenden och förslaget till en s.k. ”one-stop-shop”-mekanism (en ensam behörig tillsynsmyndighet). Ordförandeskapets sammanfattning av orienteringsdebatten var (i) att det finns stöd för att i viktigare ärenden ha en ”one-stop-shop”-mekanism, (ii) att arbetsgruppen skulle arbeta vidare med en modell där den behöriga tillsynsmyndigheten ges exklusiv befogenhet att fatta beslut men att befogenheten ska vara begränsad till särskilda områden och (iii) att arbetsgruppen skulle undersöka hur närheten mellan medborgarna och den beslutsfattande myndigheten kan ökas genom att den lokala tillsynsmyndigheten involveras i processen.
Efter RIF-rådet i oktober 2013 har förslaget till ”one-stop-shop”-mekanism diskuterats ingående i arbetsgruppen och det litauiska ordförandeskapet har föreslagit ett stort antal justeringar i regleringen. Vid nu aktuellt rådsmöte är ordförandeskapets avsikt att nå fram till en överenskommelse om en partiell allmän inriktning gällande ”one-stop-shop”-mekanismen.
Rättslig grund och beslutsförfarande
Den rättsliga grunden för förslaget är artikel 16 FEUF. Beslut fattas genom det ordinarie beslutsförfarandet, vilket betyder att det krävs kvalificerad majoritet i rådet samt enighet med Europaparlamentet för att anta den föreslagna förordningen.
Svensk ståndpunkt
Sveriges övergripande målsättning i förhandlingarna är att skapa en balanserad reglering som säkerställer att det finns ett effektivt skydd för enskildas personliga integritet vid behandling av personuppgifter samtidigt som hänsyn tas till de berättigade behov som finns inom både den privata och den offentliga sektorn av att behandla personuppgifter.
Avsikten bakom förslaget till en ”one-stop-shop” (en ensam behörig tillsynsmyndighet) är att öka enhetligheten i tillämpningen, skapa rättssäkerhet och minska den administrativa bördan för personuppgiftsansvariga som har etableringar i flera medlemsstater. Genom att dessa personuppgiftsansvariga endast ska behöva ha kontakt med en tillsynsmyndighet skapas utrymme för vissa lättnader för företag inom den inre marknaden eftersom behovet av anpassningar till flera olika myndigheters beslut minskar. Förslaget har dock kritiseras för att det skapar ett avstånd mellan enskilda och tillsynsmyndigheten eftersom den behöriga tillsynsmyndigheten kan finnas i ett annat land än det där den registrerade bor.
Detta innebär också att en eventuell domstolsprövning kan komma att ske i ett annat land än det där den registrerade bor.
Sveriges ståndpunkt vad gäller förslaget till ”one-stop-shop” är oförändrad. Sverige anser att det är bra om de administrativa bördorna för företag kan minskas genom att företagen i vissa fall endast behöver ha kontakt med en tillsynsmyndighet. Samtidigt är det av stor vikt att enskildas möjligheter att ta tillvara sina rättigheter inte begränsas i förhållande till dagens ordning. Sverige föredrar därför en reglering som pekar ut en enda behörig tillsynsmyndighet som företag kan vända sig till med frågor av mer administrativ karaktär, som inte direkt berör en enskild registrerad utan snarare rör de allmänna förutsättningarna för behandlingen av personuppgifter, samtidigt som frågor om tillsyn och klagomål från enskilda fortfarande handläggs av myndigheter och domstolar i den registrerades egen medlemsstat.
Efter RIF-rådet i oktober 2013 har det litauiska ordförandeskapet föreslagit ett stort antal justeringar i regleringen för att möta de synpunkter som framförts av medlemsstaterna. Många grundläggande frågor återstår dock att lösa. Förslagen som hitintills har diskuterats har enligt Sveriges mening inte i tillräcklig utsträckning begränsat den exklusiva kompetens som ska ges till den behöriga tillsynsmyndigheten vid gränsöverskridande personuppgiftsbehandling. Det återstår således enligt Sveriges mening fortfarande många frågor att diskutera innan en överenskommelse om konkreta textförslag kan nås. Dessutom kvarstår Sveriges övergripande inställning att dataskyddsregleringen bör ges formen av ett direktiv istället för en förordning.
Europaparlamentets inställning
I Europaparlamentet behandlas dataskyddsförordningen i LIBE-utskottet. Rapportören, Jan Philipp Albrecht, lade fram ett förslag till betänkande i december 2012. Den 21 oktober 2013 röstade LIBE fram sitt betänkande. Parlamentet planerar för en omröstning i plenum under april 2014.
Förslaget
Det huvudsakliga syftet med kommissionens förslag till dataskyddsförordning är att ytterligare harmonisera och effektivisera skyddet av personuppgifter i syfte att förbättra den inre marknadens funktion och öka enskildas kontroll över sina personuppgifter. I och med att regleringen ges formen av en förordning kommer den att bli direkt tillämplig i alla medlemsstater när den trätt i kraft. Om förslaget genomförs kommer förordningen således inte att ersätta bara dataskyddsdirektivet utan även personuppgiftslagen. Förslaget till förordning lämnar dock ett visst utrymme för nationell reglering. Exempelvis är det möjligt att i nationell rätt fastställa vad som är ett allmänt intresse som kan ge rätt att behandla personuppgifter samt att under vissa förutsättningar införa undantag från bestämmelserna i förordningen.
Vidare är det möjligt att införa viss nationell reglering inom vissa i förordningen utpekade områden, t.ex. arbetsmarknadsområdet. Kommissionen framhåller att förslaget kommer att undanröja den fragmentariska dataskyddsreglering som nu finns inom EU. Enligt kommissionen kommer detta att både förenkla för företagen och stärka den enskildes rätt till skydd för sina personuppgifter.
Förslaget till förordning baseras till stor del på den struktur och reglering som finns i det nu gällande dataskyddsdirektivet. Förordningen innehåller dock även en rad nyheter jämfört med dataskyddsdirektivet. För en mer utförlig beskrivning av förslaget hänvisas till faktapromemorian.
Gällande svenska regler och förslagets effekter på dessa
Dataskyddsdirektivet har i svensk rätt genomförts dels genom personuppgiftslagen, dels genom ett stort antal författningar som innehåller särregleringar om behandling av personuppgifter för olika myndigheter och sektorer.
Kommissionens förslag innebär att dataskyddsdirektivet ska ersättas av en allmän dataskyddsförordning. Eftersom förordningen kommer att bli direkt tillämplig i medlemsstaterna kommer den, om förslaget genomförs, att ersätta personuppgiftslagen. Med en förordning kommer även utrymmet för hela eller delar av de många särregleringar som finns i förhållande till personuppgiftslagen sannolikt att minska.
Ekonomiska konsekvenser
I dagsläget är det inte möjligt att närmare bedöma vilka budgetära eller samhällsekonomiska konsekvenser ett genomförande av förslaget kommer att få för företag och privatpersoner i Sverige och för svensk offentlig förvaltning. Det bör dock kunna förutsättas att eventuella budgetära konsekvenser ska kunna finansieras genom omfördelningar inom befintliga budgetramar, inom såväl den nationella som den gemensamma EU-budgeten.