Regeringskansliet Faktapromemoria  2022/23:FPM124
Förordning med kompletterande förfaranderegler i gränsöverskridande ärenden enligt dataskyddsförordningen	2022/23:FPM124
Justitiedepartementet
2023-08-29
Dokumentbeteckning
COM(2023) 348
Förslag till Europaparlamentets och rådets förordning om fastställande av ytterligare förfaranderegler avseende verkställighet av förordning (EU) 2016/679

 

Sammanfattning

I dataskyddsförordningen[1] finns regler kring förfarandet i ärenden som rör gränsöverskridande behandling av personuppgifter, dvs. sådana ärenden som påverkar enskilda i flera medlemsstater och där fler än en medlemsstats tillsynsmyndighet därför är involverad. Kommissionen har föreslagit en ny förordning med kompletterande bestämmelser om de administrativa förfaranden som tillsynsmyndigheterna ska tillämpa i dessa ärenden, i syfte att effektivisera och harmonisera hanteringen. Förslaget innehåller bestämmelser om bl.a. samarbetet mellan tillsynsmyndigheterna, rättigheter för parterna under utredning och klaganden och konfidentialitet.

Regeringen välkomnar en reform som förbättrar effektiviteten i gränsöverskridande förfaranden enligt dataskyddsförordningen. Det är dock viktigt att en sådan reglering respekterar medlemsstaternas skilda förvaltningsmodeller och inte inverkar på nationella grundlagar och förvaltningsrätt eller på tillsynsmyndighetens prioriteringar. Det är därför viktigt att regleringen inte blir mer långtgående eller detaljerad än vad som är påkallat med hänsyn till dess syfte.

 

1                 Förslaget

1.1           Ärendets bakgrund

Dataskyddsförordningen utgör den generella regleringen för personuppgiftsbehandling inom EU. Enligt dataskyddsförordningen ska det i varje medlemsstat finnas en eller flera oberoende tillsynsmyndigheter med ansvar att övervaka tillämpningen av förordningen. I Sverige är Integritetsskyddsmyndigheten (IMY) tillsynsmyndighet. I dataskyddsförordningen finns regler kring förfarandet i ärenden som rör gränsöverskridande behandling av personuppgifter, dvs. sådan behandling som äger rum i flera medlemsstater eller som kan antas väsentligt påverka registrerade i mer än en medlemsstat. Regleringen bygger på tanken att det i gränsöverskridande ärenden ska finnas en enda ansvarig tillsynsmyndighet, men att alla andra berörda tillsynsmyndigheter ska involveras i förfarandet.

Efter kommissionens utvärdering av dataskyddsförordningens tillämpning år 2020 lyfte både kommissionen och Europaparlamentet behovet av att effektivisera och harmonisera tillsynsmyndigheternas hantering av gränsöverskridande ärenden. Europeiska dataskyddstyrelsen (EDPB) påbörjade ett arbete kring detta och lämnade under hösten 2022 över en lista till kommissionen med förslag till harmoniseringar på området. Det aktuella förslaget bygger på kommissionens rapport från utvärderingen 2020, EDPB:s lista och kommissionens slutsatser från sitt arbete med att övervaka tillämpningen av dataskyddsförordningen.

Kommissionen lade fram sitt förslag den 4 juli 2023.

1.2           Förslagets innehåll

1.2.1        Förordningens tillämpningsområde

Förslaget innehåller förfaranderegler för hanteringen av klagomål och genomförandet av utredningar i gränsöverskridande ärenden enligt dataskyddsförordningen.

 

1.2.2 Formerna för och hanteringen av klagomål

Förslaget innehåller bestämmelser om vilka uppgifter som ett klagomål i gränsöverskridande ärenden ska innehålla, vilka åtgärder den mottagande tillsynsmyndigheten ska vidta i det inledande skedet och ansvaret för översättning av handlingar i ärendet. Förslaget innehåller även en bestämmelse om att ett klagomål kan lösas genom en uppgörelse i godo, och att ett klagomål ska anses återkallat om en klagande inte invänder mot ett utkast till en sådan uppgörelse inom viss tid.  

 

1.2.2 Uppnående av samförstånd mellan tillsynsmyndigheterna

I förslaget finns bestämmelser om vilka verktyg tillsynsmyndigheterna ska använda sig av för att nå samförstånd i gränsöverskridande ärenden och vilken information som den ansvariga tillsynsmyndigheten ska tillhandahålla övriga berörda tillsynsmyndigheter. Den ansvariga tillsynsmyndigheten ska i inledningen av utredningen översända en sammanfattning av de viktigaste frågorna i ärendet till övriga berörda tillsynsmyndigheter för synpunkter inom viss angiven tid. Om tillsynsmyndigheterna är oeniga om vilken omfattning utredningen ska ha, ska de vända sig till EDPB för ett brådskande bindande beslut i den frågan.

1.2.3 Klagomål som helt eller delvis avslås

Förslaget innehåller bestämmelser om att klaganden ska få möjlighet att yttra sig innan ett klagomål helt eller delvis avslås. Om klaganden inte yttrar sig inom angiven tid ska klagomålet anses återkallat. Klaganden ska även ha rätt att ta del av allt icke-konfidentiellt underlag som förslaget till avslag vilar på.

 

1.2.4 Rätten att bli hörd m.m.

I förslaget finns bestämmelser om att den ansvariga tillsynsmyndigheten, när den utreder en potentiell överträdelse av dataskyddsförordningen, ska låta parterna under utredning få del av och yttra sig över dess preliminära slutsatser i ärendet. De preliminära slutsatserna ska vara utformade så att parterna fullt ut förstår de anklagelser som riktas mot dem. Beslutet i ärendet får endast omfatta sådana anklagelser och grundas på sådana omständigheter som parterna har haft möjlighet att yttra sig över.

Förslaget innehåller vidare bestämmelser som ger klaganden rätt att få del av en icke-konfidentiell version av de preliminära slutsatserna och möjlighet att yttra sig över dessa. Klaganden ska enligt förslaget dessförinnan avge en försäkran om att inte avslöja något av informationen eller använda den i något syfte som inte har med den aktuella utredningen att göra.

 

1.2.5 Relevanta och motiverade invändningar

I dataskyddsförordningen finns bestämmelser om berörda tillsynsmyndigheters möjligheter att komma med relevanta och motiverade invändningar mot ansvarig tillsynsmyndighets förslag till beslut. Förslaget innehåller bestämmelser om vilka krav sådana invändningar ska uppfylla.

 

1.2.6 Partsinsyn och konfidentialitet

Förslaget innehåller bestämmelser om vad som ska anses ingå i akten i ärendet, partsinsyn och konfidentialitet. All korrespondens mellan tillsynsmyndigheterna i ett ärende ska enligt förslaget anses intern och därför vara undantagen från partsinsynen. Vidare föreslås att rätten till partsinsyn ska börja gälla efter det att den ansvariga tillsynsmyndigheten delgett parterna sina preliminära slutsatser, och att parterna får använda handlingar som de fått tillgång till genom partsinsynen endast inom ramen för det aktuella ärendet.

I förslaget finns vidare en bestämmelse som undantar handlingar i pågående gränsöverskridande ärenden från nationella regler om tillgång till allmänna handlingar. Det finns vidare bestämmelser om hur handlingar som innehåller konfidentiell information ska hanteras, bl.a. ska den som ger in en sådan handling samtidigt ge in en icke-konfidentiell version av samma handling. Parter ska även kunna föreläggas att ange i vilka delar som av dem ingivna handlingar kan innehålla konfidentiell information, och vid uteblivet svar på ett sådant föreläggande ska tillsynsmyndigheten kunna utgå från att handlingarna inte innehåller någon sådan information.

 

1.2.7 Tvistlösning genom EDPB m.m.

För det fall tillsynsmyndigheterna inte kan komma överens i ett gränsöverskridande ärende tillhandahåller dataskyddsförordningen en tvistlösningsmekanism genom EDPB. Förslaget innehåller mer detaljerade bestämmelser om hur denna procedur ska gå till, bl.a. angående parternas och klagandens rätt att bli hörda.

Dataskyddsförordningen ger tillsynsmyndigheterna i ett gränsöverskridande ärende möjlighet att initiera ett skyndsamt förfarande vid EDPB, när ett beslut inte kan avvakta. Förslaget innehåller mer detaljerade bestämmelser om hur denna procedur ska gå till.

Enligt förslaget ska merparten av bestämmelserna tillämpas endast på sådana ärenden som inletts efter det att förordningen trätt i kraft.  

1.3           Gällande svenska regler och förslagets effekt på dessa

Förslaget innebär att dataskyddsförordningens bestämmelser om förfarandet i gränsöverskridande ärenden, som gäller i alla medlemsstater, kompletteras. Sverige har antagit författningar som i olika avseenden kompletterar dataskyddsförordningen, bl.a. lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och förordningen (2018:219) med kompletterande bestämmelser till EU:s dataskyddsförordning. Det finns inte några kompletterande nationella bestämmelser om tillsynsmyndighetens hantering av gränsöverskridande ärenden. Regeringens bedömning är därför att förslaget inte kommer att ha några effekter på befintlig svensk dataskyddsreglering.

Förslagets reglering om partsinsyn är i vissa delar mer begränsad än den partsinsyn som gäller enligt förvaltningslagen. De föreslagna bestämmelserna om tillgång till allmänna handlingar, tystnadsplikt och konfidentialitet är delvis svårförenliga med svenska grundlagar om yttrandefrihet, meddelarfrihet och handlingsoffentlighet. Regeringens utgångspunkt är att förslaget inte ska påverka nationell rätt, och kommer i behandlingen av förslaget verka för att det slutliga resultatet är i överensstämmelse med nationell förvaltningsrättslig lagstiftning och med svenska grundlagar.  

1.4           Budgetära konsekvenser / Konsekvensanalys

Kommissionen har inte gjort någon konsekvensanalys av förslaget då förslagets effekter enligt kommissionen är begränsat till att förbättra och effektivisera ett redan befintligt förfarande.

Kommissionen har i sin motivering till förslaget bedömt att förslaget inte kommer att få några betydande budgetära konsekvenser. Med hänsyn till att förslaget endast syftar till att komplettera och precisera regleringen av ett redan befintligt administrativt förfarande, bedömer regeringen att förslaget inte innebär några beaktansvärda konsekvenser för statsbudgeten eller EU:s budget. Utgångspunkten är att eventuella effekter för statsbudgeten ska rymmas inom befintliga ramar. Eventuella utgiftsdrivande åtgärder för EU-budgeten ska finansieras genom omprioriteringar mellan befintliga program i den fleråriga budgetramen (MFF) och eventuella effekter för statsbudgeten ska finansieras i linje med de principer om neutralitet för statens budget som riksdagen beslutat om (prop. 1994/95:40, bet. 1994/95FiU5, rskr. 1994/95:67).

Förslaget förväntas enligt kommissionen underlätta samarbetet mellan tillsynsmyndigheter, och även ha positiva effekter för parter, klaganden och allmänhetens förtroende då hanteringen av gränsöverskridande ärenden kommer att effektiviseras och vara mer likvärdig i de olika medlemsstaterna.

2                 Ståndpunkter

2.1           Preliminär svensk ståndpunkt

Regeringen välkomnar en reform som förbättrar effektiviteten i gränsöverskridande ärenden enligt dataskyddsförordningen. Det är dock viktigt att en sådan reglering respekterar medlemsstaternas skilda förvaltningsmodeller och inte inverkar på nationella grundlagar och förvaltningsrätt. Det är även viktigt att bestämmelserna inte blir onödigt betungande för tillsynsmyndigheten eller inverkar på dess prioriteringar. Det är också viktigt att förslaget inte påverkar EU:s konkurrenskraft negativt. Regeringen kommer att verka för att det slutliga resultatet är i överensstämmelse med nationell lagstiftning och att regleringen inte blir mer långtgående eller detaljerad än vad som är påkallat med hänsyn till dess syfte.

2.2           Medlemsstaternas ståndpunkter

Medlemsstaterna har generellt ställt sig positiva till förslaget, men uttryckt en del frågetecken kring förslagets förhållande till nationella förfaranderegler och att en del av de föreslagna bestämmelserna riskerar att bli för stelbenta för tillsynsmyndigheterna att tillämpa.

2.3           Institutionernas ståndpunkter

Institutionernas ståndpunkter är ännu inte kända.

2.4           Remissinstansernas ståndpunkter

Förslaget har remitterats. Remisstiden går ut den 20 oktober 2023.

3                 Förslagets förutsättningar

3.1           Rättslig grund och beslutsförfarande

Den rättsliga grunden för förslaget anges vara artikel 16 i fördraget om Europeiska unionens funktionssätt (EUF-fördraget). Förslaget antas genom det ordinarie beslutsförfarandet enligt artikel 294 i EUF-fördraget, vilket betyder att det krävs kvalificerad majoritet i rådet och att Europaparlamentet är medbeslutande.

3.2           Subsidiaritets- och proportionalitetsprincipen

När det gäller subsidiaritetsprincipen anför kommissionen att EU är bäst lämpat att agera eftersom förslaget rör ett redan existerande administrativt förfarande som följer av dataskyddsförordningen, och som involverar tillsynsmyndigheter i flera medlemsstater och EDPB. Regeringen finner inte skäl att göra någon annan bedömning.

Kommissionen bedömer att förslaget även är förenligt med proportionalitetsprincipen av i huvudsak följande skäl. Förslaget tillgodoser intresset av att säkerställa ett effektivt gränsöverskridande förfarande utan att otillbörligt inverka på nationella rättssystem. Parternas rätt att bli hörda och klagandens ställning i förfarandet omfattas i nuläget av nationella förfaranderegler. Eftersom dessa aspekter är grundläggande för hela förfarandet är det nödvändigt att de harmoniseras för att kunna uppnå syftet med förslaget, dvs. att underlätta hanteringen av gränsöverskridande ärenden. Rätten för parterna att bli hörda under utredningen gäller dessutom redan till följd av EU-stadgans bestämmelser om rätten till försvar och rätten till god förvaltning. Likaså gäller redan idag enligt dataskyddsförordningen att klaganden har rätt att bli informerad om hur det går med hans eller hennes klagomål. Förslaget innebär i huvudsak att dessa delar av förfarandet harmoniseras och förtydligas.

Enligt regeringen är det viktigt att det slutliga resultatet inte blir mer långtgående eller detaljerat än vad som är påkallat med hänsyn till dess syfte. Förutsatt att detta uppnås finner regeringen inte skäl att göra någon annan bedömning än den kommissionen har gjort vad gäller förslagets förenlighet med proportionalitetsprincipen.

4                 Övrigt

4.1           Fortsatt behandling av ärendet

Förslaget till förordning har remitterats och remisstiden löper ut den 20 oktober 2023. Ett första möte i rådsarbetsgruppen med anledning av förslaget ägde rum den 24 juli 2023, då kommissionen presenterade förslaget och medlemsstaterna fick möjlighet att lämna inledande synpunkter. Nästa möte i rådsarbetsgruppen kommer att äga rum den 12 september 2023.

4.2           Fackuttryck/termer

 

---

[1] Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).