En ny dataskyddsförordning – lagstiftningsprocessen inom EU så här långt.

Av Christine Storr (Kirchberger) 

Bakgrund
Dataskydd och personlig integritet har varit en viktig fråga för EU under lång tid. Redan 1995 antogs ett direktiv (dataskyddsdirektivet) som reglerar skydd för personuppgifter och som ställer upp vissa krav på behandlingen av dessa. Direktivet tar sikte på digital behandling av data vilket nuförtiden omfattar nästan all daglig behandling av personuppgifter, från att skriva epostmeddelanden, publicera text på en webbplats och i sociala medier, till att ta fotografier med sin mobiltelefon.

Sverige genomförde direktivet 1998 genom personuppgiftslagen (PUL) som sedan anpassades till den nya tekniska utvecklingen år 2006 när missbruksregeln i 5a § PUL infördes. Missbruksregeln undantar vanlig ostrukturerad behandling av personuppgifter från de flesta av reglerna i PUL. En ostrukturerad behandling av personuppgifter är oförenlig med PUL endast om den innebär en kränkning av den personliga integriteten.

Personlig integritet har diskuterats inom EU under flera år, bl.a. är skyddet av den personliga integriteten en viktig komponent i EU:s Digitala Agenda från år 2010. År 2012 bestämde sig Europeiska Kommissionen för att anpassa dataskyddsdirektivet till den tekniska utveckling som skett och även att arbeta för att förbättra harmoniseringen mellan medlemsstaterna eftersom det ursprungliga dataskyddsdirektivet har genomförts på olika sätt i de olika medlemsländerna. Tanken är att en ny reglering kommer att minska administrativa kostnader och öka konsumenters förtroende för e-handel vilket i sin tur leder till fler jobb och ekonomisk tillväxt i Europa.

Lagstiftningsprocessen
Två förslag till reglering diskuteras samtidigt. Det ena förslaget gäller den s.k. allmänna uppgiftsskyddsförordningen (COM(2012) 11 final – Förslag till Europaparlamentets och rådets förordning om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter) som ska ersätta det nuvarande dataskyddsdirektivet. Det andra förslaget gäller myndigheters behandling av personuppgifter (COM/2012/010 final – Förslag till Europaparlamentets och rådets direktiv om skyddet av enskilda vid behöriga myndigheters behandling av personuppgifter i syfte att förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, samt fri rörlighet för sådana uppgifter).

Båda förslagen diskuteras inom ramen för medbeslutandeförfarandet (ordinarie lagstiftande), vilket innebär att Europaparlamentet och Europeiska unionens råd lagstiftar tillsammans och omröstningen i Rådet sker med kvalificerad majoritet. Även om lagstiftningsförfarandet i första hand åligger Europaparlamentet och Rådet har även Kommissionen ett visst inflytande över utformningen av lagstiftningen, vilket ibland kallas “trialog” mellan Kommissionen, Europaparlamentet och Rådet.

I fortsättningen kommer fokus ligga på den allmänna uppgiftsskyddsförordningen (COM(2012) 11 final), som lades fram av Kommissionen den 25 januari 2012 och som därefter översändes till Europaparlamentet och Rådet.

Flera av EU:s institutioner har redan lämnat sina yttranden, t.ex. Europeiska datatillsynsmannen den 7 mars 2012, Europeiska ekonomiska och sociala kommittén den 23 maj 2012 och Regionkommittén den 10 oktober 2012.

Europaparlamentet
Inom Europaparlamentet har flera utskott utsetts (för en överblick, se här), varav LIBE(Utskottet för medborgerliga fri- och rättigheter samt rättsliga och inrikes frågor) är det ansvariga utskottet och följande utskott är rådgivande utskott: EMPL (Sysselsättning och sociala frågor), ITRE (Industrifrågor, forskning och energi), IMCO (Inre marknaden och konsumentskydd), ECON (Ekonomi- och valutafrågor), och JURI (Rättsliga frågor).

LIBE-utskottet lade fram ett förslag den 16 januari 2013, som sedan diskuterades den 24 april 2013 (videostreaming finns tillgänglig här). LIBE:s betänkande planeradesursprungligen att fattas beslut om den 29–30 maj 2013, men det blev uppskjutet till hösten 2013. Den 21 oktober 2013 blev LIBE:s betänkande slutligen antaget. Utskottet föreslår 104 ändringar i det ursprungliga KOM-förslaget. En översikt över Europaparlamentets synpunkter finns här.

Övriga utskott har lämnat sina yttranden:

• 28 januari 2013: Yttrande från IMCO-utskottet (Inre marknaden och konsumentskydd)
• 26 februari 2013: Yttrande från ITRE-utskottet (Industrifrågor, forskning och energi)
• 4 mars 2013: Yttrande från EMPL-utskottet (Sysselsättning och sociala frågor)
• 19 mars 2013: Yttrande från JURE-utskottet (Rättsliga frågor)

Rådet
Inom Rådet diskuterar två arbetsgrupper förslaget: Working Party on Information Exchange and Data Protection (DAPIX) och en informell arbetsgrupp “The Friends of the Presidency”. I maj 2013 publicerade Ordförandeskapet i Europeiska unionens råd ett utkast med kommentarer till kapitel I – IV i förslaget. I utkastet nämns att Rådet bör utgå ifrån ett mer riskbaserat perspektiv, vilket innebär att arbetsgrupperna ska utveckla kriterier som möjliggör för den personuppgiftsansvarige att skilja på olika risknivåer. Rådet uppmanas att:

Endorse, as regards the obligations on controllers and processors in Chapter IV, the introduction of the risk-based approach, which will take account of the nature, scope, context and purposes of the processing operations and levels of risk arising for data subjects, when determining the measures to be taken (punkt 32 i utkastet).

I juni 2013 publicerade Rådet och DAPIX ett utkast med förslag till ändringar av KOM förslaget.

Vid mötet 24–25 oktober 2013 diskuterade Europeiska Rådet förslaget och uttalade därefter följande sammanfattande slutsats:

It is important to foster the trust of citizens and businesses in the digital economy. The timely adoption of a strong EU General Data Protection framework and the Cyber-security Directive is essential for the completion of the Digital Single Market by 2015.

Det återstår alltså att se om Rådet beslutar om sin ståndpunkt under 2013 eller 2014.

Planerade förändringar i regelverket
Kommissionens förslag syftar till att stärka individernas rättigheter och säkerställa efterlevnad av reglerna. Bland annat införs rätten att bli bortglömd (“the right to be forgotten”, Artikel 17) och rätten till uppgiftsportabilitet (Artikel 18). Vidare införs även en skyldighet att rapportera säkerhetsincidenter (Artikel 31) och en möjlighet för tillsynsmyndigheten att utfärda sanktioner såsom böter på upp till 1 million euro eller 2 procent av ett företags årliga globala omsättning (Artikel 79).

LIBE-utskottet i Europaparlamentet föreslår bl.a. att om ett tredje land kräver att ett företag (t.ex. en söktjänst, ett socialt nätverk eller en molntjänstleverantör) ska röja vissa personuppgifter som hanteras inom EU, måste företaget ansöka om tillstånd från sin nationella dataskyddsmyndighet innan personuppgifterna får överföras. Vidare föreslås att bötesbeloppen ska vara upp till 100 millioner euro eller 5 procent av ett företags årliga globala omsättning och att rätten att få sina personuppgifter raderade även ska innebära en skyldighet för den personuppgiftsansvarige att vidarebefordra begäran till övriga parter dit personuppgifterna har överförts.

Den närmaste framtiden
Efter LIBE:s yttrande diskuterar Europaparlamentet sin ståndpunkt vid en första behandling av lagstiftningsförslaget. För närvarande planeras förslaget att tas upp vid mötet den 11 mars 2014.

Efter det senaste mötet inom Europeiska Rådet i oktober återstår det att se om Rådet antar sin ståndpunkt i slutet av 2013 eller senare under 2014. Olika förslag diskuteras för närvarande. Rådet (Rättsliga och inrikes frågor – RIF) möts igen 5–6 december 2013 och diskuterar dataskyddsfrågor.

Om Rådet och Europaparlamentet är eniga om utformningen av förslaget blir förordningen antagen. Om de inte är eniga diskuteras förslaget vid en andra behandling i Europaparlamentet.

Översikt över lagstiftningsprocessen

• Prelex (EU Kommissionen)
• Legislative Observatory (Europaparlamentet)
• Rådet – officiella dokument