Lägesrapport – när kommer förordningen träda ikraft?

Det korta svaret på frågan hur det går med processen att ta fram en ny dataskyddsförordning är att bollen fortfarande ligger hos Rådet, som måste komma fram till en gemensam ståndpunkt innan de trepartsförhandlingar som brukar kallas trialogen kan hållas mellan Rådet, Kommissionen och Europaparlamentet om en slutlig version.

Med tanke på hur komplicerad processen är kan det vara på sin plats med en kort återblick innan vi ger oss på en närmare redogörelse för den senaste tidens händelser och vad som väntar i framtiden.

Bakgrund

Den 25 januari 2012 lade kommissionen fram ett förslag till dataskyddsförordning som ska ersätta dataskyddsdirektivet (som ligger till grund för den svenska personuppgiftslagen). Därefter övergick frågan till Europaparlamentet, som tillsatte en särskild arbetsgrupp, LIBE-utskottet, som fick ansvaret för att ta fram ett modifierat förslag till dataskyddsförordning som Europaparlamentet skulle kunna ställa sig bakom. LIBE-utskottet lade fram sitt förslag den 16 januari 2013, och Europaparlamentet antog förslaget vid en omröstning den 12 mars i år (se här för en utförligare redogörelse om bakgrunden till dataskyddsförordningen). Efter att både Kommissionen och Europaparlamentet lagt fram sina förslag har det varit upp till Rådet att klargöra sin ståndpunkt innan de tre institutionerna kan komma fram till en slutlig överenskommelse. Denna process pågår fortfarande. I det avseendet kan man alltså säga att läget är detsamma som vid vår lägesrapport efter sommaren – vi väntar fortfarande på att Rådet ska anta en gemensam ståndpunkt.  Detta innebär dock inte att processen har stått stilla sedan dess.

Det pågående arbetet

Förhandlingarna i Rådet pågår för fullt och har resulterat i ett stort antal officiella dokument. Det är inte särskilt konstigt om någon av våra läsare tycker att det inte är helt lätt att följa processen trots den flitiga dokumentationen. Många av dokumenten rör nämligen förslag och kommentarer, antingen från ordförandeskapet eller enskilda medlemsstater, eller till intet förpliktigande överenskommelser i enskilda delar. Samma eller i princip samma fråga behandlas löpande i flera olika dokument och förhandling om flera olika delar av förordningen pågår parallellt. Trots dessa svårigheter ska vi dock här försöka ge er en överblick över vad som skett.

Den sammansättning inom Rådet som har ansvar för dataskyddsförordningen, kallad Rådet för rättliga och inrikes frågor, RIF-rådet (på engelska JHA, Justice and Home Affairs Council), möts nästa gång den 4-5 december. För att skynda på processen behandlas dock frågan av en särskild arbetsgrupp – DAPIX – som fortlöpande håller täta möten för att förbereda beslutsunderlag inför mötena i RIF-rådet.

Kapitel IV

I samband med mötet den 10 oktober nåddes en så kallad tillfällig delvis överenskommelse angående kapitel IV som innehåller bestämmelser om registeransvarig (personuppgiftsansvarig) och registerförare (personuppgiftsbiträde). Läs pressreleasen här, och det förslag till överenskommelse som sedermera antogs här. Den tillfälliga överenskommelsen innebär bland annat att man enats om ett riskbaserat förhållningssätt (”Risk-based approach”), vilket innebär att den personuppgiftsansvarige måste beakta vilken risk behandlingen innebär för de registrerades integritet, och anpassa sina åtgärder därefter. Dessutom sker en förskjutning av ansvaret från den personuppgiftsansvarige till personuppgiftsbiträdet. Detta avspeglar hur biträdets roll har förändrats med tiden. När dataskyddsdirektivet infördes tänkte man sig att biträdet typiskt sett utförde en specifik uppgift åt den personuppgiftsansvarige enligt den senares instruktioner. Det synsättet motsvarar inte alltid förhållandet mellan en stor molntjänstleverantör och dess kunder. Även om molntjänstleverantören betraktas som biträde så kan det i praktiken vara mycket svårt för kunderna att utöva övervakning och kontroll över hur uppgifterna hanteras och lagras. Därmed blir det naturligt att låta biträdet ta ett större ansvar för hur uppgifterna hanteras. Å andra sidan kan biträdets ökade ansvar, i kombination med de stränga sanktioner som föreslås, komma att påverka priset för molntjänster.

Den offentliga sektorn och medlemsstaternas möjligheter att meddela egna regler

Efter mötet i Rådet den 8-9 juli rapporterade vi om att ett överväldigande stöd fanns i Rådet för att den offentliga sektorn ska omfattas av förordningen. Under hösten har det förts en diskussion om hur detta ska möjliggöras i praktiken och vilket lagstiftningsutrymme medlemsstaterna ska tillerkännas på detta område.

I samband med diskussionen om medlemsstaternas rätt att avvika från förordningen när det gäller den offentliga sektorn har det förts en debatt om i vilka övriga fall medlemsstaterna ska ha rätt att precisera eller avvika ifrån reglerna, bland annat när det gäller de särskilda situationer som räknas upp i kapitel IX, som bland annat rör förhållandet mellan dataskydd och yttrandefrihet, tystnadsplikt, uppgifter om hälsotillstånd, forskning och statistik samt behandling som företas arbetsgivare och religiösa samfund. Ordförandeskapets senaste förslag kan läsas här. Förslaget är tänkt att utgöra underlag för en tillfällig delvis överenskommelse vid mötet i RIF-rådet den 4-5 december. Om förslaget står sig tycks huvudregeln bli en minimiharmonisering av personuppgiftsbehandling som sker inom den offentliga sektorn, med möjlighet för medlemsstaterna att införa strängare regler.

Rätten att glömmas bort

En av de frågor som Rådet fortfarande inte nått en ståndpunkt kring är rätten att glömmas bort. Kommissionären Martine Reicherts uttalande efter det senaste mötet i RIF-rådet (den 9-10 oktober) kan tolkas som att den slutliga utformningen blir en annan än vad som följer av Kommissionens ursprungliga förslag.

Tidigare överenskommelser

De överenskommelser som nåddes innan Italien tog över ordförandeskapet den 1 juli i år finns återspeglade i den text som det avgående grekiska ordförandeskapet gett ut. Texten är utformad som en reviderad version av Kommissionens förslag och är tänkt att återspegla förhandlingsläget efter utgången av Greklands tid på ordförandeposten.

Tidsram

Efter mötet den 5-6 juni sade dåvarande ansvarige kommissionär Vivianne Reding att förordningen såg ut att bli klar vid utgången av 2014. Efter mötet i juli uttryckte Françoise Le Bai, generaldirektör för Generaldirektoratet för rättsliga frågor, att Rådet kan komma att nå en gemensam ståndpunkt i år (vilket i sig inte innebär att man även kommit överens med Europaparlamentet och Kommissionen i år). Den senare målsättningen uttrycktesäven av det italienska ordförandeskapet i samband med tillträdet, och upprepades av Vivianne Redings efterträdare Martine Reicherts efter mötet den 9-10 oktober. John Bowman, som tidigare representerat Storbritannien vid förhandlingarna kring dataskyddsförordningen i DAPIX, gjorde i förra veckan uppskattningen att Rådet troligen lyckas nå en gemensam ståndpunkt inför EU-toppmötet den 19 mars 2015, och att en slutlig överenskommelse med Europaparlamentet och Kommissionen kommer att kunna nås i slutet av 2015. Med tanke på den planerade övergångsperioden om två år skulle detta i så fall innebära ett ikraftträdande innan utgången av 2017. Bowmans bedömning byggde på vad som framkommit vid ett event som den tyska federala dataskyddskommissionen och EU:s datatillsynsman stod värd för den 5 november.

Bowmans uppskattning kan tyckas mer realistisk än de mer optimistiska uttalanden som tidigare gjorts av de som har ansvar för processen. Eftersom nästa möte hålls den 4-5 december är det nämligen inte mycket kvar av året, och det italienska ordförandeskapet har inte gjort några uttalanden som tyder på att ett förslag om en gemensam ståndpunkt avseende texten i sin helhet ska behandlas vid detta möte.

Vi ser med spänning fram emot det mötet och kommer givetvis fortsätta att hålla er uppdaterade på utvecklingen!