Till innehåll på sidan
Sveriges Riksdags logotyp, tillbaka till startsidan

RIF_radspm_dataskyddsforordningen_dp_13

Bilaga till dokument från EU-nämnden 2014/15:2EA7C6

PDF
RIF_radspm_dataskyddsforordningen_dp_13(pdf, 220 KB)

RIF, dp. 13

Rådspromemoria

2014-09-29

Justitiedepartementet

Grundlagsenheten

Rådets möte för rättsliga och inrikes frågor (RIF) den 9 – 10 oktober 2014 i Luxemburg

Dagordningspunkt 13

Rubrik: Förslag till Europaparlamentets och rådets förordning om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (allmän uppgiftsskyddsförordning)

–Riktlinjedebatt

–Partiell allmän inriktning avseende kapitel IV

Dokument: har ännu inte presenterats

Tidigare dokument:

-KOM (2012) 11 slutlig Förslag till Europaparlamentets och rådets förordning om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter

-Faktapromemoria 2011/12:FPM117

Tidigare behandlad vid samråd med EU-nämnden: 2012-10-19, 2012-11-30, 2013-03-01, 2013-05-31, 2013-10-04, 2013-11-29, 2014-02-28 och 2014-05-28

Tidigare behandlad vid möte med konstitutionsutskottet: 2012- 02-16, 2012-03-20, 2012-11-20, 2013-01-22, 2013-05-28 och 2013-10-03

Tidigare behandlad vid möte med justitieutskottet: 2013-05-30, 2013-10-03 och 2014-02-27

2

Bakgrund

Den viktigaste EU-rättsakten på dataskyddsområdet är det s.k. dataskyddsdirektivet som antogs 1995. Direktivet syfte är dels att skydda fysiska personers grundläggande fri- och rättigheter i samband med behandling av personuppgifter, dels att underlätta ett fritt flöde av personuppgifter mellan medlemsstaterna. Dataskyddsdirektivet har i svensk rätt genomförts genom personuppgiftslagen och ett antal särregleringar i förhållande till denna lag, t.ex. patientdatalagen och kustbevakningsdatalagen.

Den 25 januari 2012 presenterade kommissionen ett förslag till en genomgripande reform av EU:s regler om skydd för personuppgifter. Förslaget innebär bl.a. att dataskyddsdirektivet ska ersättas av en allmän dataskyddsförordning. Förslaget till förordning har därefter förhandlats i behörig rådsarbetsgrupp.

Förslaget behandlades vid RIF-råden i december 2012 och januari och mars 2013. Rådet uttalade då bl.a. sitt stöd för att införa en riskbaserad ansats i regleringen samt för att skapa flexibilitet för den offentliga sektorn. Ministrarna har också gett stöd till en utvidgning av det s.k. hushållsundantaget.

Vid RIF-rådet i juni 2013 diskuterades vissa nyckelfrågor som ordförandeskapet identifierat efter den första läsningen av förordningen. Inför rådsmötet arbetade ordförandeskapet även om stora delar av förslaget, bl.a. för att införa en mer riskbaserad ansats och för att skapa flexibilitet för den offentliga sektorn i regleringen. Dessutom införde ordförandeskapet efter förslag från bl.a. Sverige en särskild artikel om tillgång till allmänna handlingar, vilket är mycket positivt. Sverige kunde ställa sig bakom många av de ändringar som föreslogs eftersom dessa gick i rätt riktning ur ett svenskt perspektiv.

Vid RIF-rådet i juli 2013 diskuterades den s.k. mekanismen för enhetlighet, dvs. den del av regleringen som syftar till att säkerställa en konsekvent och enhetlig tillämpning av dataskyddsreglerna inom EU.

Vid RIF-rådet i oktober 2013 hölls en orienteringsdebatt kring regleringen om behörig tillsynsmyndighet vid gränsöverskridande ärenden. Sammanfattningen efter orienteringsdebatten var att man ska arbeta vidare med en modell som syftar till att nå fram till en ”one- stop-shop” där den behöriga myndighetens befogenheter är begränsade till särskilda områden.

Vid RIF-rådet i december 2013 hölls en ny debatt om ”one-stop-shop”- mekanismen. Vid mötet intervenerade rådets rättstjänst och avgav ett

3

utlåtande som innebar att man bl.a. ansåg att förslaget inte i tillräcklig omfattning tog hänsyn till enskildas rättigheter enligt stadgan om de grundläggande rättigheterna.

Vid RIF-rådet i mars 2014 hölls en riktlinjedebatt om vissa nyckelbegrepp, förordningens territoriella tillämpningsområde och bestämmelserna om överföring av personuppgifter till tredje land.

Vid RIF-rådet i juni 2014 nåddes en överenskommelse om partiell allmän inriktning om kapitel V om överföring av personuppgifter till tredjeland. Beslutet villkorades av att inget är överenskommet förrän allt är överenskommet, att överenskommelsen inte binder rättsaktens form och att beslutet inte ger ordförandeskapet mandat att inleda triologer med EP.

Vid RIF-rådet den 9-10 oktober avser ordförandeskapet dels hålla en riktlinjedebatt om rätten att bli glömd och dels uppnå en partiell överenskommelse om en allmän inriktning när det gäller kapitel IV, som innehåller bestämmelser främst om vilka skyldigheter som ska gälla för dem som är personuppgiftsansvariga.

Rättslig grund och beslutsförfarande

Den rättsliga grunden för förslaget är artikel 16 FEUF. Beslut fattas genom det ordinarie beslutsförfarandet, vilket betyder att det krävs kvalificerad majoritet i rådet samt enighet med Europaparlamentet för att anta den föreslagna förordningen.

Svensk ståndpunkt

Sveriges övergripande målsättning i förhandlingarna är att skapa en balanserad reglering som säkerställer att det finns ett effektivt skydd för enskildas personliga integritet vid behandling av personuppgifter samtidigt som hänsyn tas till de berättigade behov som finns inom både den privata och den offentliga sektorn av att behandla personuppgifter.

Kapitel IV innehåller bestämmelser om skyldigheter för registeransvariga och registerförare. I kapitlet återfinns bl.a. regler om upprättande av konsekvensutvärderingar, samarbete med tillsynsmyndigheten och uppförandekoder.

Sveriges har arbetet för att regleringen ska utformas enligt en missbruksmodell i linje med den som regleras i personuppgiftslagen. Ett av de starkaste skälen för detta är att minska de administrativa bördorna, särskilt för behandling av personuppgifter som inte är

4

riskfylld och som är småskalig, och för att fokusera myndigheternas och privata företags resurser på områden där det finns påtagliga integritetsrisker vid behandlingen av personuppgifter.

Det har emellertid visat sig att det inte finns något stöd för en missbruksmodell i rådet. Rådet har dock tagit ställning för att kravnivåerna i regleringen ska anpassas utifrån det sammanhang uppgifter behandlas i och den risk för integritetsintrång som uppkommer vid behandlingen. En sådan riskbaserad inriktning syftar bl.a. till att minska administrativa bördor för småskalig behandling som inte innebär några särskilda risker. Bestämmelserna i kapitel IV har utformats i enlighet med den riskbaserade inriktningen, vilket ligger i linje med den svenska ståndpunkten. Sverige har därför ansetts sig kunna godta de förslag på bestämmelser i kapitel IV som har presenterats av IT ORDF. De villkor som gäller för överenskommelsen om partiell allmän inriktning avseende kapitel V ska också gälla i fråga om överenskommelsen avseende kapitel IV.

Europaparlamentets inställning

I Europaparlamentet behandlas dataskyddsförordningen i LIBE- utskottet. Rapportören, Jan Philipp Albrecht, lade fram ett förslag till betänkande i december 2012 och den 22 oktober 2013 röstade LIBE fram ett förslag (A7-0402/2013). Den 12 mars 2014 antog Europarlamentet sin resolution till lagstiftingen i en första läsning (T7- 0212/2014).

Förslaget

Förslaget till förordning baseras till stor del på den struktur och reglering som finns i det nu gällande dataskyddsdirektivet. Förordningen innehåller dock även en rad nyheter jämfört med dataskyddsdirektivet. För en mer utförlig beskrivning av förslaget hänvisas till faktapromemorian.

Det huvudsakliga syftet med kommissionens förslag till dataskyddsförordning är att ytterligare harmonisera och effektivisera skyddet av personuppgifter i syfte att förbättra den inre marknadens funktion och öka enskildas kontroll över sina personuppgifter. Kommissionen framhåller att förslaget kommer att undanröja den fragmentariska dataskyddsreglering som nu finns inom EU. Enligt kommissionen kommer detta att både förenkla för företagen och stärka den enskildes rätt till skydd för sina personuppgifter.

I och med att regleringen ges formen av en förordning kommer den att bli direkt tillämplig i alla medlemsstater när den trätt i kraft. Om förslaget genomförs kommer förordningen således inte att ersätta bara dataskyddsdirektivet utan även personuppgiftslagen. Förslaget till förordning lämnar dock ett visst utrymme för nationell reglering. Exempelvis är det möjligt att i nationell rätt fastställa vad som är ett

5

allmänt intresse som kan ge rätt att behandla personuppgifter samt att under vissa förutsättningar införa undantag från bestämmelserna i förordningen. Vidare är det möjligt att införa viss nationell reglering inom vissa i förordningen utpekade områden, t.ex. arbetsmarknadsområdet.

Gällande svenska regler och förslagets effekter på dessa

Dataskyddsdirektivet har i svensk rätt genomförts dels genom personuppgiftslagen, dels genom ett stort antal författningar som innehåller särregleringar om behandling av personuppgifter för olika myndigheter och sektorer.

Kommissionens förslag innebär att dataskyddsdirektivet ska ersättas av en allmän dataskyddsförordning. Eftersom förordningen kommer att bli direkt tillämplig i medlemsstaterna kommer den, om förslaget genomförs, att ersätta personuppgiftslagen. Med en förordning kommer även utrymmet för hela eller delar av de många särregleringar som finns i förhållande till personuppgiftslagen sannolikt att minska.

Ekonomiska konsekvenser

I dagsläget är det inte möjligt att närmare bedöma vilka budgetära eller samhällsekonomiska konsekvenser ett genomförande av förslaget kommer att få för företag och privatpersoner i Sverige och för svensk offentlig förvaltning. Det bör dock kunna förutsättas att eventuella budgetära konsekvenser inom EU ska kunna finansieras genom omfördelningar inom befintliga budgetramar.