Eftersom syftet med kommissionens förslag är att harmonisera bestämmelserna för institutionernas dataskydd med den allmänna uppgiftsskyddsförordningen, är förslaget i stora delar baserat på den allmänna uppgiftsskyddsförordningen. Kommissionens utgångspunkt har varit att den allmänna uppgiftsskyddsförordningen ska förbigås endast då det är oundvikligt. Enligt kommissionen ska den nya dataskyddsförordningen för institutioner alltid tolkas i enlighet med den allmänna uppgiftsskyddsförordningen när bestämmelserna i dessa är baserade på samma begrepp. Strukturen i den nya dataskyddsförordningen för institutioner borde anses motsvara den allmänna uppgiftsskyddsförordningens struktur. Med hänsyn till särdragen i institutionernas hantering av personuppgifter har man i förordningsförslaget införlivat nödvändiga delar ur den nuvarande dataskyddsförordningen för institutioner.
2.1.3
Bestämmelser i nuvarande dataskyddsförordning för institutioner, som ska harmoniseras med den allmänna uppgiftsskyddsförordningen
Principerna rörande behandling av personuppgifter i förordningsförslaget överensstämmer med principerna i den allmänna uppgiftsskyddsförordningen. Nyheter jämfört med nuvarande dataskyddsförordning för institutioner är principer om öppenhet, integritet och konfidentialitet samt ansvarssyldighet. Med öppenhet avses öppenhet i behandlingen i förhållande till den registrerade. Integritet och konfidentialitet å sin sida förutsätter att personuppgifter behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna inbegripet skydd mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse, med användning av lämpliga tekniska eller organisatoriska åtgärder. Den personuppgiftsansvarige ska även kunna visa att behandling av personuppgifterna sker i enlighet med förordningen.
Förutsättningarna för laglig behandling överensstämmer i tillämpliga delar med förutsättningarna i den allmänna uppgiftsskyddsförordningen. I kommissionens förslag nämns dock inte personuppgiftsansvariges berättigade intresse. Det beror på att ovannämnda förutsättningen ska enligt den allmänna uppgiftsskyddsförordningen inte tillämpas på uppgiftsbehandling som utförs av offentliga myndigheter när de fullgör sina uppgifter. Unionens institutioner kan till den delen jämställas med medlemsländernas myndigheter. Enligt förordningsförslaget skulle behandlingen vara lagenlig till exempel om den är nödvändig för att utföra en uppgift av allmänt intresse på grundval av eller som ett led i unionsinstitutionens eller unionsorganets myndighetsutövning. Dessa uppgifter av allmänt intresse skulle enligt förslaget fastställas i unionsrätten. Enligt den allmänna uppgiftsskyddsförordningen ska grunden för behandlingen fastställas i lag, utöver i dessa situationer, även i situationer där behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige.
Vid erbjudande av informationssamhällets tjänster direkt till barn, skulle behandlingen av personuppgifter som rör ett barn under 13 år vara lagenlig endast med samtycke eller godkännande av den person som har föräldraansvar för barnet. I den allmänna uppgiftsskyddsförordningen var utgångspunkten en åldersgräns på 16 år, vilken medlemsländerna får avvika från så länge åldersgränsen inte understiger 13 år.
Principerna för behandling av särskilda kategorier av personuppgifter överensstämmer i stort med den allmänna uppgiftsskyddsförordningen men enligt kommissionens förslag skulle det inte vara möjligt för institutionerna att behålla eller införa ytterligare villkor, även begränsningar, för behandlingen av genetiska eller biometriska uppgifter eller uppgifter om hälsa.
Den registrerades rättigheter överensstämmer i stort med rättigheterna i den allmänna uppgiftsskyddsförordningen. Eftersom unionens institutioner inte förväntas ta ut några avgifter med anknytning till de administrativa kostnaderna för att tillhandahålla informationen, har denna möjlighet som finns i den allmänna uppgiftsskyddsförordningen inte tagits med i kommissionens förslag. Vad gäller den registrerades rätt att göra invändningar, saknas hänvisningar till direkt marknadsföring i förslaget, eftersom institutionerna inte idkar direkt marknadsföring.
Förordningsförslaget skulle göra det möjligt att begränsa den registrerades rättigheter i motsvarande situationer som den allmänna uppgiftsskyddsförordningen. Begränsningarna skulle föreskrivas i rättsakter som antas på grundval av fördragen eller i institutioners interna regler.
De centrala delarna i den personuppgiftsansvariges skyldigheter överensstämmer med de skyldigheter som fastställs i den allmänna uppgiftsskyddsförordningen. I förordningsförslaget beaktas även kommande förordning om integritet och elektronisk kommunikation.
Förordningsförslaget inkluderar såsom den allmänna uppgiftsskyddsförordningen krav på inbyggt uppgiftsskydd och uppgiftsskydd som standard, vilka förutsätter att den personuppgiftsansvarige beaktar dataskyddsprinciperna på ett lämpligt sätt vid fastställandet av vilka medel behandlingen utförs med och vid själva behandlingen. Den personuppgiftsansvarige ska även säkerställa att som standard behandlas endast nödvändiga personuppgifter och att personuppgifter som standard inte görs tillgängliga för ett obegränsat antal fysiska personer.
I likhet med den allmänna uppgiftsskyddsförordningen innehåller förordningsförslaget krav på anmälan av en personuppgiftsincident till tillsynsmyndigheten och den registrerade samt upprättande av en konsekvensbedömning avseende dataskydd.
Bestämmelserna rörande överföring av personuppgifter till tredjeländer eller internationella organisationer överensstämmer med bestämmelserna i den allmänna uppgiftsskyddsförordningen.
Förordningsförslagets bestämmelser gällande rättsmedler, ansvar och sanktioner är i tillämpliga delar baserade på bestämmelserna i den allmänna uppgiftsskyddsförordningen och i övrigt på bestämmelserna i nuvarande dataskyddsförordning för institutioner.
Syftet med förordningsförslagets bestämmelser gällande samarbete och enhetlighet är att säkerställa ett fungerande samarbete mellan Europeiska datatillsynsmannen och de nationella tillsynsmyndigheterna. Enligt förslaget ska Europeiska datatillsynsmannen samarbeta med de nationella tillsynsmyndigheterna i den utsträckning som krävs för att de ska kunna fullgöra sina respektive uppgifter, särskilt genom att ge varandra relevant information, begära att de nationella tillsynsmyndigheterna utövar sina befogenheter eller svara på en begäran från dessa myndigheter.
Med den allmänna uppgiftsskyddsförordningen inrättades Europeiska dataskyddsstyrelsen, bestående av nationella tillsynsmyndigheter och Europeiska datatillsynsmannen, som har till uppgift att övervaka att den allmänna uppgiftsskyddsförordningen tillämpas enhetligt i unionen. Europeiska datatillsynsmannen har rösträtt i fråga om beslut som rör principer och regler som är tillämpliga på unionens institutioner, organ och byråer, och som i allt väsentligt motsvarar principer och regler i den allmänna uppgiftsskyddsförordningen.
2.1.4
Bestämmelser i nuvarande dataskyddsförordning för institutioner, som ska bevaras på grund av deras nödvändighet
Europeiska datatillsynsmannen har en central roll i skyddandet av personuppgifter, varför man har önskat bevara nuvarande bestämmelser gällande datatillsynsmannen även i den nya dataskyddsförordningen för institutioner. Kommissionens förslag vidareutvecklar bestämmelserna gällande Europeiska datatillsynsmannen och harmoniserar dem i tillämpliga delar med den allmänna uppgiftsskyddsförordningens bestämmelser gällande nationella tillsynsmyndigheter. Enligt förslaget skulle kommissionen även framöver ha skyldighet att samråda med datatillsynsmannen i anslutning till sådana lagstiftningsprojekt som har en inverkan på skyddet av personuppgifter.
En nyhet jämfört med nuvarande tillstånd är att Europeiska datatillsynsmannen skulle få befogenhet att utfärda administrativa sanktionsavgifter om institutionerna bryter mot dataskyddsförordning för institutionerna. I den allmänna uppgiftsskyddsförordningen ges samma befogenhet till de nationella tillsynsmyndigheterna, men där är de maximala bötesbeloppen högre än i kommissionens förslag. I den allmänna uppgiftsskyddsförordningen har medlemsländerna kvar prövningsrätt gällande utfärdandet av administrativa sanktionsavgifter till myndigheter.
Enligt förslaget skulle bestämmelserna i nuvarande dataskyddsförordning för institutioner gällande dataskyddsombudet, konfidentialitet för elektronisk kommunikation, kataloger över användare samt skyldighet att reagera på anmärkningar bevaras. Dessutom skulle bestämmelserna om överföring av personuppgifter till mottagare, utöver unionsinstitutioner och unionsorgan, som är etablerade i unionen och som omfattas av allmänna uppgiftsskyddsförordningen eller dataskyddsdirektivet bevaras.
Enligt förslaget skulle Europeiska unionens domstol bevara sin behörighet att pröva tvister som hänför sig till förordningen, och anställda vid unionens institutioner skulle även fortsättningsvis kunna framföra klagomål om påstådda överträdelse av förordningen till Europeiska datatillsynsmannen utan att gå den officiella vägen.
2.1.5
Övrigt
I förordningsförslaget saknas en specifik bestämmelse om anpassningen av personuppgiftsskyddet med allmänna handlingars offentlighet. Enligt den allmänna uppgiftsskyddsförordningen får myndigheterna lämna ut personuppgifter i allmänna handlingar som förvaras av dem, i enlighet med den unionsrätt eller den medlemsstats nationella rätt som myndigheten omfattas av.
Förordningsförslaget kompletterar skyddsåtgärderna enligt den allmänna uppgiftsskyddsförordningen gällande behandling för arkivändamål och för forsknings- eller statistiska ändamål. I förordningsförslaget har dock inte inkluderats en möjlighet att avvika från den registrerades rättigheter i samband med sådan behandling.
Förordningsförslaget påverkar inte de nuvarande mandaten för Europeiska datatillsynsmannen och den biträdande datatillsynsmannen.