Senast publicerat 27-11-2021 10:49

Statsrådets U-skrivelse U 26/2017 rd Statsrådets skrivelse till riksdagen med anledning av kommissions förslag till Europaparlamentets och rådets förordning (Dataskyddsförordning för unionens institutioner)

I enlighet med 96 § 2 mom. i grundlagen sänder statsrådet till riksdagen Europeiska kommissionens förslag av den 10 januari 2017 till Europaparlamentets och rådets förordning om skydd för enskilda personer med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ, kontor och byråer och om det fria flödet av sådana uppgifter samt om upphävande av förordning (EG) nr 45/2001 och beslut 1247/2002/EG. 

I Helsingfors den 16 mars 2017 
Justitie- och arbetsminister 
Jari 
Lindström 
 
Lagstiftningsdirektör 
Tuula 
Majuri 
 

PROMEMORIAJUSTITIEMINISTERIET10.3.2017EU/2017/0462KOMMISSIONENS FÖRSLAG TILL FÖRORDNING OM SKYDD FÖR ENSKILDA PERSONER MED AVSEENDE PÅ BEHANDLING AV PERSONUPPGIFTER SOM UTFÖRS AV UNIONENS INSTITUTIONER, ORGAN, KONTOR OCH BYRÅER OCH OM DET FRIA FLÖDET AV SÅDANA UPPGIFTER (DATASKYDDSFÖRORDNING FÖR UNIONENS INSTITUTIONER)

Allmänt

Europeiska kommissionen gav den 10 januari 2017 ett förslag till Europaparlamentets och rådets förordning om skydd för enskilda personer med avseende på behandling av personuppgifter inom EU:s institutioner och organ och om det fria flödet av sådana uppgifter COM(2017) 8 final (härefter förordningsförslaget eller kommissionens förslag). Kommissionens förslag skulle ersätta nuvarande dataskyddsförordning för institutioner (45/2001, härefter nuvarande dataskyddsförordning för institutioner) samt beslutet om Europeiska datatillsynsmannens uppgifter (1247/2002). 

Syftet med förordningsförslaget är att harmonisera gällande lagstiftning med den allmänna uppgiftsskyddsförordningen (2016/679, härefter allmän uppgiftsskyddsförordning). Samtidigt skulle bestämmelserna om skyddet av slutanvändares terminalutrustning i den nya förordningen om integritet och elektronisk kommunikation införlivas i dataskyddsförordningen för institutioner. Dessa förordningar är en del i uppdateringen av EU:s dataskyddsregler, vars syfte är att skapa en modern, stark, gemensam och täckande dataskyddsramverk för Europeiska unionen. 

Den allmänna uppgiftsskyddsförordningen trädde i kraft 24.5.2016. Direktivet om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter inom rättsväsendet (2016/680, härefter uppgiftsskyddsdirektivet) trädde i kraft 5.5.2016.  

Den allmänna uppgiftsskyddsförordningen förutsätter att nuvarande dataskyddsförordning för institutioner anpassas till principerna och bestämmelserna i den allmänna uppgiftsskyddsförordningen. På så sätt säkerställs enhetlighet mellan bestämmelserna som rör medlemsländerna och dem som rör EU:s institutioner samt möjliggörs att förordningarna kan tillämpas samtidigt. Den allmänna uppgiftsskyddsförordningen börjar tillämpas 25.5.2018. 

Huvudsakligt innehåll

Eftersom syftet med kommissionens förslag är att harmonisera bestämmelserna för institutionernas dataskydd med den allmänna uppgiftsskyddsförordningen, är förslaget i stora delar baserat på den allmänna uppgiftsskyddsförordningen. Kommissionens utgångspunkt har varit att den allmänna uppgiftsskyddsförordningen ska förbigås endast då det är oundvikligt. Enligt kommissionen ska den nya dataskyddsförordningen för institutioner alltid tolkas i enlighet med den allmänna uppgiftsskyddsförordningen när bestämmelserna i dessa är baserade på samma begrepp. Strukturen i den nya dataskyddsförordningen för institutioner borde anses motsvara den allmänna uppgiftsskyddsförordningens struktur. Med hänsyn till särdragen i institutionernas hantering av personuppgifter har man i förordningsförslaget införlivat nödvändiga delar ur den nuvarande dataskyddsförordningen för institutioner. 

2.1.1  Syfte och tillämpningsområde

Förordningen är, liksom nuvarande dataskyddsförordning för institutioner, avsedd att tillämpas vid behandlingen av personuppgifter i unionens samtliga institutioner och organ, om behandlingen genomförs för att utföra uppgifter som helt eller delvis omfattas av unionsrätten.  

2.1.2  Definitioner

Definitioner i förslaget till förordningen motsvarar i mångt och mycket definitioner i den allmänna uppgiftsskyddsförordningen. Vissa skillnader finns dock. I förordningsförslaget beaktas att förslaget gäller unionens institutioner. I den allmänna uppgiftsskyddsförordningen definieras inte begreppen unionens institutioner och organ, användare och katalog. Definitionen av personuppgiftsansvarig är snävare i förordningsförslaget än i den allmänna uppgiftsskyddsförordningen, och skiljer sig även något från definitionen i nuvarande dataskyddsförordning för institutioner. Definitionen av elektronisk kommunikation överensstämmer med definitionen i den nya förordningen om integritet och elektronisk kommunikation. Elektroniska kommunikationsnät och slutanvändare har definierats som i det nya direktivet om inrättandet av en europeisk kodex för elektronisk kommunikation, och definitionen av terminalutrustning å sin sida motsvarar begreppet enligt direktivet 2008/63/EG om konkurrens på marknaderna för teleterminalutrustning.  

2.1.3  Bestämmelser i nuvarande dataskyddsförordning för institutioner, som ska harmoniseras med den allmänna uppgiftsskyddsförordningen

Principerna rörande behandling av personuppgifter i förordningsförslaget överensstämmer med principerna i den allmänna uppgiftsskyddsförordningen. Nyheter jämfört med nuvarande dataskyddsförordning för institutioner är principer om öppenhet, integritet och konfidentialitet samt ansvarssyldighet. Med öppenhet avses öppenhet i behandlingen i förhållande till den registrerade. Integritet och konfidentialitet å sin sida förutsätter att personuppgifter behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna inbegripet skydd mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse, med användning av lämpliga tekniska eller organisatoriska åtgärder. Den personuppgiftsansvarige ska även kunna visa att behandling av personuppgifterna sker i enlighet med förordningen.  

Förutsättningarna för laglig behandling överensstämmer i tillämpliga delar med förutsättningarna i den allmänna uppgiftsskyddsförordningen. I kommissionens förslag nämns dock inte personuppgiftsansvariges berättigade intresse. Det beror på att ovannämnda förutsättningen ska enligt den allmänna uppgiftsskyddsförordningen inte tillämpas på uppgiftsbehandling som utförs av offentliga myndigheter när de fullgör sina uppgifter. Unionens institutioner kan till den delen jämställas med medlemsländernas myndigheter. Enligt förordningsförslaget skulle behandlingen vara lagenlig till exempel om den är nödvändig för att utföra en uppgift av allmänt intresse på grundval av eller som ett led i unionsinstitutionens eller unionsorganets myndighetsutövning. Dessa uppgifter av allmänt intresse skulle enligt förslaget fastställas i unionsrätten. Enligt den allmänna uppgiftsskyddsförordningen ska grunden för behandlingen fastställas i lag, utöver i dessa situationer, även i situationer där behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige. 

Vid erbjudande av informationssamhällets tjänster direkt till barn, skulle behandlingen av personuppgifter som rör ett barn under 13 år vara lagenlig endast med samtycke eller godkännande av den person som har föräldraansvar för barnet. I den allmänna uppgiftsskyddsförordningen var utgångspunkten en åldersgräns på 16 år, vilken medlemsländerna får avvika från så länge åldersgränsen inte understiger 13 år. 

Principerna för behandling av särskilda kategorier av personuppgifter överensstämmer i stort med den allmänna uppgiftsskyddsförordningen men enligt kommissionens förslag skulle det inte vara möjligt för institutionerna att behålla eller införa ytterligare villkor, även begränsningar, för behandlingen av genetiska eller biometriska uppgifter eller uppgifter om hälsa.  

Den registrerades rättigheter överensstämmer i stort med rättigheterna i den allmänna uppgiftsskyddsförordningen. Eftersom unionens institutioner inte förväntas ta ut några avgifter med anknytning till de administrativa kostnaderna för att tillhandahålla informationen, har denna möjlighet som finns i den allmänna uppgiftsskyddsförordningen inte tagits med i kommissionens förslag. Vad gäller den registrerades rätt att göra invändningar, saknas hänvisningar till direkt marknadsföring i förslaget, eftersom institutionerna inte idkar direkt marknadsföring. 

Förordningsförslaget skulle göra det möjligt att begränsa den registrerades rättigheter i motsvarande situationer som den allmänna uppgiftsskyddsförordningen. Begränsningarna skulle föreskrivas i rättsakter som antas på grundval av fördragen eller i institutioners interna regler. 

De centrala delarna i den personuppgiftsansvariges skyldigheter överensstämmer med de skyldigheter som fastställs i den allmänna uppgiftsskyddsförordningen. I förordningsförslaget beaktas även kommande förordning om integritet och elektronisk kommunikation.  

Förordningsförslaget inkluderar såsom den allmänna uppgiftsskyddsförordningen krav på inbyggt uppgiftsskydd och uppgiftsskydd som standard, vilka förutsätter att den personuppgiftsansvarige beaktar dataskyddsprinciperna på ett lämpligt sätt vid fastställandet av vilka medel behandlingen utförs med och vid själva behandlingen. Den personuppgiftsansvarige ska även säkerställa att som standard behandlas endast nödvändiga personuppgifter och att personuppgifter som standard inte görs tillgängliga för ett obegränsat antal fysiska personer. 

I likhet med den allmänna uppgiftsskyddsförordningen innehåller förordningsförslaget krav på anmälan av en personuppgiftsincident till tillsynsmyndigheten och den registrerade samt upprättande av en konsekvensbedömning avseende dataskydd. 

Bestämmelserna rörande överföring av personuppgifter till tredjeländer eller internationella organisationer överensstämmer med bestämmelserna i den allmänna uppgiftsskyddsförordningen. 

Förordningsförslagets bestämmelser gällande rättsmedler, ansvar och sanktioner är i tillämpliga delar baserade på bestämmelserna i den allmänna uppgiftsskyddsförordningen och i övrigt på bestämmelserna i nuvarande dataskyddsförordning för institutioner.  

Syftet med förordningsförslagets bestämmelser gällande samarbete och enhetlighet är att säkerställa ett fungerande samarbete mellan Europeiska datatillsynsmannen och de nationella tillsynsmyndigheterna. Enligt förslaget ska Europeiska datatillsynsmannen samarbeta med de nationella tillsynsmyndigheterna i den utsträckning som krävs för att de ska kunna fullgöra sina respektive uppgifter, särskilt genom att ge varandra relevant information, begära att de nationella tillsynsmyndigheterna utövar sina befogenheter eller svara på en begäran från dessa myndigheter.  

Med den allmänna uppgiftsskyddsförordningen inrättades Europeiska dataskyddsstyrelsen, bestående av nationella tillsynsmyndigheter och Europeiska datatillsynsmannen, som har till uppgift att övervaka att den allmänna uppgiftsskyddsförordningen tillämpas enhetligt i unionen. Europeiska datatillsynsmannen har rösträtt i fråga om beslut som rör principer och regler som är tillämpliga på unionens institutioner, organ och byråer, och som i allt väsentligt motsvarar principer och regler i den allmänna uppgiftsskyddsförordningen. 

2.1.4  Bestämmelser i nuvarande dataskyddsförordning för institutioner, som ska bevaras på grund av deras nödvändighet

Europeiska datatillsynsmannen har en central roll i skyddandet av personuppgifter, varför man har önskat bevara nuvarande bestämmelser gällande datatillsynsmannen även i den nya dataskyddsförordningen för institutioner. Kommissionens förslag vidareutvecklar bestämmelserna gällande Europeiska datatillsynsmannen och harmoniserar dem i tillämpliga delar med den allmänna uppgiftsskyddsförordningens bestämmelser gällande nationella tillsynsmyndigheter. Enligt förslaget skulle kommissionen även framöver ha skyldighet att samråda med datatillsynsmannen i anslutning till sådana lagstiftningsprojekt som har en inverkan på skyddet av personuppgifter. 

En nyhet jämfört med nuvarande tillstånd är att Europeiska datatillsynsmannen skulle få befogenhet att utfärda administrativa sanktionsavgifter om institutionerna bryter mot dataskyddsförordning för institutionerna. I den allmänna uppgiftsskyddsförordningen ges samma befogenhet till de nationella tillsynsmyndigheterna, men där är de maximala bötesbeloppen högre än i kommissionens förslag. I den allmänna uppgiftsskyddsförordningen har medlemsländerna kvar prövningsrätt gällande utfärdandet av administrativa sanktionsavgifter till myndigheter.  

Enligt förslaget skulle bestämmelserna i nuvarande dataskyddsförordning för institutioner gällande dataskyddsombudet, konfidentialitet för elektronisk kommunikation, kataloger över användare samt skyldighet att reagera på anmärkningar bevaras. Dessutom skulle bestämmelserna om överföring av personuppgifter till mottagare, utöver unionsinstitutioner och unionsorgan, som är etablerade i unionen och som omfattas av allmänna uppgiftsskyddsförordningen eller dataskyddsdirektivet bevaras.  

Enligt förslaget skulle Europeiska unionens domstol bevara sin behörighet att pröva tvister som hänför sig till förordningen, och anställda vid unionens institutioner skulle även fortsättningsvis kunna framföra klagomål om påstådda överträdelse av förordningen till Europeiska datatillsynsmannen utan att gå den officiella vägen. 

2.1.5  Övrigt

I förordningsförslaget saknas en specifik bestämmelse om anpassningen av personuppgiftsskyddet med allmänna handlingars offentlighet. Enligt den allmänna uppgiftsskyddsförordningen får myndigheterna lämna ut personuppgifter i allmänna handlingar som förvaras av dem, i enlighet med den unionsrätt eller den medlemsstats nationella rätt som myndigheten omfattas av. 

Förordningsförslaget kompletterar skyddsåtgärderna enligt den allmänna uppgiftsskyddsförordningen gällande behandling för arkivändamål och för forsknings- eller statistiska ändamål. I förordningsförslaget har dock inte inkluderats en möjlighet att avvika från den registrerades rättigheter i samband med sådan behandling. 

Förordningsförslaget påverkar inte de nuvarande mandaten för Europeiska datatillsynsmannen och den biträdande datatillsynsmannen.  

Den rättsliga grunden och beslutsförfarandet i enlighet med EU-rätten

Kommissionens förslag grundar sig på EUF-fördragets artikel 16 (Fördraget om Europeiska unionens funktionssätt). Förordningen antas i enlighet med det ordinarie lagstiftningsförfarandet (samarbete mellan rådet och Europaparlamentet, kvalificerad majoritet i rådet).  

Subsidiaritetsprincipen

Innehållet i kommissionens förslag hör till unionens exklusiva behörighet. Endast unionen kan godkänna bestämmelser gällande dataskydd vid institutionernas och organens behandling av personuppgifter.  

Proportionalitetsprincipen

Proportionalitetsprincipen förutsätter att unionens åtgärder till innehåll och form inte ska gå utöver vad som är nödvändigt för att nå målen i fördragen (Fördrag om Europeiska unionen, artikel 5 punkt 4). Enligt kommissionen går förordningen inte utöver vad som är nödvändigt för att uppnå de eftersträvade målen. 

Förslagens förhållande till grundlagen samt till förpliktelserna om grundläggande fri- och rättigheter och om människorätt

Kommissionens förslag är av betydelse framför allt med hänsyn till det i 10 § 1 mom. tryggade skyddet för personuppgifter. Enligt momentet utfärdas närmare bestämmelser om skydd för personuppgifter genom lag. 

Enligt EUF-fördragets artikel 16(1) har var och en rätt till skydd av de personuppgifter som rör honom eller henne. Denna rättighet fastställs också i artikel 8 i Europeiska unionens stadga om de grundläggande rättigheter, där det preciseras att sådana uppgifter ska behandlas lagenligt och för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim eller lagenlig grund. Var och en har rätt att få tillgång till insamlade uppgifter som rör honom eller henne och att få rättelse av dem. En oberoende myndighet ska kontrollera att dessa regler efterlevs. 

Också artikel 8 i Europeiska människorättskonventionen innehåller bestämmelser om vars och ens rätt att njuta respekt för sitt privatliv. Dessutom ska beaktas den inom ramen för Europarådet år 1981 ingångna konventionen om skydd för enskilda vid automatisk databehandling av personuppgifter. 

Kommissionens förslag är i många stycken byggd på EU:s nuvarande dataskyddslagstiftning och de konkretiserar bestämmelserna i artikel 8 i EU:s stadga om de grundläggande rättigheterna. Förslaget går i samma riktning som kraven i 10 § 1 mom. i grundlagen genom en närmare reglering av skyddet för personuppgifter genom lag. 

Bestämmelserna i kommissionens förslag gällande rättelse och radering av och likaså bestämmelserna om rättsmedel, ansvar och påföljder är av betydelse för det i 21 § i grundlagen tryggade rättsskyddet samt artikel 47 i Europeiska unionens stadga om de grundläggande rättigheterna gällande rätt till ett effektivt rättsmedel och en opartisk domstol. 

Konsekvenser av förslaget

7.1  Konsekvenser för lagstiftningen i Finland

Förslaget gäller personuppgiftskydd då unionens institutioner och organ behandlar personuppgifter, och medför därför inga ändringsbehov i den nationella lagstiftningen. Eftersom kommissionens målsättning är att förenhetliga dataskyddsförordningen för institutionerna med den allmänna uppgiftsskyddsförordningen, kan lösningarna i dataskyddsförordningen för institutionerna ha en indirekt inverkan på tolkning av den i medlemsländerna direkt tillämpliga allmänna uppgiftsskyddsförordningen och på den nationella lagstiftningen som ges inom ramen för den nationella flexibiliteten som den allmänna dataskyddsförordningen ger medlemsländerna.  

7.2  Övriga konsekvenser

Förslaget skulle förenhetliga lagstiftningen om personuppgiftsskyddet som tillämpas på unionens institutioner och organ med lagstiftningen som tillämpas på medlemsländerna. På så sätt skulle det grundläggande uppgiftsskyddet förstärkas genom att säkerställa att bestämmelserna följs konsekvent oavsett vem som behandlar personuppgifterna. 

Ålands behörighet

Förslaget gäller personuppgiftskydd då unionens institutioner och organ behandlar personuppgifter, vilket inte medför ändringsbehov i den lagstiftning som hör till landskapets lagstiftningsbehörighet. Förslaget kan dock ha en indirekt tolkningseffekt (se punkt 7.1 ovan). 

Behandlingen av förslagen i Europeiska unionen

Kommissionen presenterade förordningsförslaget i rådets DAPIX-arbetsgrupp för informationsutbyte och uppgiftsskydd den 19 januari 2017. Behandlingen av förordningsförslaget fortsatte 9—10 februari och 20—21 februari. 

Europeiska datatillsynsmannen yttrade sig om förordningsförslaget den 19 januari. Europeiska datatillsynsmannen ger kommissionens förslag ett starkt stöd och anser det viktigt att förslaget är, i så hög grad som möjligt, enhetlig med den allmänna uppgiftsskyddsförordningen. De nya bestämmelserna gällande institutionerna bör enligt datatillsynsmannen vara tillämpliga senast när tillämpning av den allmänna uppgiftsskyddsförordningen börjar.  

10  Den nationella beredningen

Utkastet till U-skrivelse har 28 februari—3 mars 2017 behandlats skriftligt i sektion EU-35 för rättsliga frågor, där samtliga ministerier, justitiekanslersämbetet och Ålands landskapsregering är representerade. 

11  Statsrådets ståndpunkt

11.1.1  Allmänt

Statsrådet välkomnar kommissionens förslag till att förnya regleringen gällande behandling av personuppgifter som utförs av EU:s institutioner och organ. Det är viktigt att bestämmelserna gällande unionens institutioner och organ förenhetligas med den allmänna uppgiftsskyddsförordningen. 

Statsrådet anser som viktigt att den nya dataskyddsförordningen för institutioner kan börja tillämpas samtidigt som den allmänna uppgiftsskyddsförordningen börjar tillämpas 25.5.2018.  

Statsrådet anser att förslagets rättsliga grund är lämplig och anser att förslaget även är förenlig med subsidiaritetsprincipen och proportionalitetsprincipen. 

Kommissionens förslag inkluderar hänvisningar till institutionernas interna regler, med vilka vissa av förordningens bestämmelser skulle specificeras. Enligt förslaget skulle även den registrerades rättigheter kunna begränsas genom interna regler. Vid den fortsatta beredningen måste det utredas om detta är möjligt med hänsyn till att enligt artikel 52(1) i unionens stadga om de grundläggande rättigheterna ska varje begränsning i utövandet av de rättigheter och friheter som erkänns i stadgan vara föreskriven i lag.  

11.1.2  Förhållandet till handlingars offentlighet

Vid utarbetandet av den allmänna uppgiftsskyddsförordningen ansåg Finland det viktigt att skyddet av personuppgifter anpassas till principen om allmänna handlingars offentlighet. Enligt kommissionens förslag skulle förhållandet av institutionernas dataskyddsförordning till handlingars offentlighetinte inte regleras i förordningen. Statsrådet anser att handlingars offentlighet bör tryggas på ett lämpligt sätt även vid tillämpningen av dataskyddsförordningen för institutioner.  

11.1.3  Administrativa sanktionsavgifter

I den allmänna uppgiftsskyddsförordningen ges tillsynsmyndigheterna befogenhet att fastställa administrativa sanktionsavgifter för överträdelse av förordningen. Eftersom syftet med förslaget är att förenhetliga dataskyddsförordningen för institutioner med den allmänna uppgiftsskyddsförordningen, vore det konsekvent att motsvarande befogenhet ges även till Europeiska datatillsynsmannen. Målet bör vara att förutsättningarna för utfärdandet av sanktionsavgifter är så enhetliga som möjligt med den allmänna uppgiftsskyddsförordningen. 

11.1.4  Samarbetet mellan Europeiska datatillsynsmannen och Europeiska dataskyddsstyrelsen

Europeiska datatillsynsmannen inrättades genom den allmänna uppgiftsskyddsförordningen och kommer för första gången att samarbeta med Europeiska dataskyddsstyrelsen. Det är viktigt att den funktionella ramen mellan Europeiska datatillsynsmannen och Europeiska dataskyddsstyrelsen är så tydlig som möjligt.