Dataskyddsreformen: rådet antar sin ståndpunkt vid första behandlingen

Den 8 april 2016 antog rådet sin ståndpunkt vid första behandlingen om dataskyddsreformen, som banar väg för att Europaparlamentet slutgiltigt ska kunna anta lagstiftningspaketet vid plenarsessionen i april.

Detta formella antagande föregicks av en kompromiss med Europaparlamentet i december 2015.

Efter antagandet sade Nederländernas justitieminister Ard van der Steur: ”Europaparlamentet har försäkrat mig att omröstning kan ske i april om både dataskyddspaketet och PNR-direktivet. Attentaten i Bryssel den 22 mars visar ännu en gång tydligt att antagandet av PNR-direktivet brådskar.”

Dataskyddsreformen är ett lagstiftningspaket som syftar till att uppdatera och modernisera de befintliga dataskyddsbestämmelserna. Det rör sig om två lagstiftningsinstrument: den allmänna dataskyddsförordningen (avsedd att ersätta direktiv 95/46/EG) och direktivet om dataskydd vid brottsbekämpning (avsedd att ersätta 2008 års rambeslut om dataskydd).

Skyddet för enskilda med avseende på behandlingen av deras personuppgifter är en grundläggande rättighet som fastställts i EU:s stadga om de grundläggande rättigheterna (artikel 8) och i fördraget om Europeiska unionens funktionssätt (artikel 16).

Allmän dataskyddsförordning

Syftet med den allmänna dataskyddsförordningen är att förbättra dataskyddet för de personer vars uppgifter behandlas och att öka affärsmöjligheterna inom den digitala inre marknaden genom att den administrativa bördan minskas.

Stärkt dataskydd

Principerna och bestämmelserna om behandling av personuppgifter måste respektera grundläggande rättigheter och friheter, särskilt rätten till skydd av personuppgifter. Denna förstärkta rätt till dataskydd ger registrerade (personer vars personuppgifter behandlas) mer kontroll över sina uppgifter på följande sätt:

• Mer detaljerade bestämmelser för registeransvarigas (de som ansvarar för behandlingen av uppgifter) behandling av personuppgifter, inklusive krav på samtycke från berörda personer.
• Enklare åtkomst till personuppgifter.
• Bättre information om vad som händer med personuppgifter när de delas, vilket även inbegriper att personer informeras om gällande integritetspolicy med ett klart och tydligt språk, vilket även kan ske via standardiserade symboler.
• Rätt att radera personuppgifter och "rätt att bli bortglömd". Detta gör det till exempel möjligt för registrerade att begära att utan dröjsmål få raderat personuppgifter som samlats in eller offentliggjorts på ett socialt nätverk när personen fortfarande var ett barn.
• Om ungdomar under 16 år vill använda onlinetjänster måste tjänsteleverantörer försöka kontrollera att föräldrarna har gett sitt samtycke. Medlemsstater får sänka denna åldersgräns, dock till lägst 13 år.
• Rätt till portabilitet så att det blir enklare att överföra personuppgifter från en tjänsteleverantör, till exempel ett socialt nätverk, till en annan. Detta stärker rätten till dataskydd och ökar även konkurrensen mellan tjänsteleverantörer.
• Rätt att invända mot behandling av personuppgifter i allmänintresse eller en registeransvariges berättigade intresse. Denna rätt omfattar användning av personuppgifter för profilering.
• Gemensamma skyddsåtgärder som omfattar behandling av personuppgifter i arkiveringssyfte som är i allmänhetens intresse och för vetenskapliga och historiska forskningsändamål eller statistiska ändamål.

För att garantera möjlighet till rättslig prövning kommer de registrerade alltid att kunna få beslut som fattats av deras dataskyddsmyndighet prövade av sin nationella domstol, oavsett i vilken medlemsstat den registeransvarige är etablerad.

Ökade affärsmöjligheter på den digitala inre marknaden

Förordningen föreskriver ett gemensamt regelverk för hela EU och för både europeiska och icke-europeiska företag som tillhandahåller onlinetjänster i EU. På detta sätt undviks en situation där motstridiga nationella bestämmelser om dataskydd stör det gränsöverskridande utbytet av uppgifter. Det innebär också ökat samarbete mellan medlemsstaterna för att säkerställa enhetlig tillämpning av dataskyddsbestämmelserna i hela EU. Detta kommer att skapa rättvis konkurrens och uppmuntra företag, särskilt små och medelstora, att utnyttja den digitala inre marknaden.

För att minska kostnaderna och skapa rättssäkerhet fattas det gemensamma tillsynsbeslut i viktiga gränsöverskridande fall där flera nationella tillsynsmyndigheter är inblandade. Denna mekanism med en enda kontaktpunkt gör det möjligt för företag med verksamhet i flera medlemsstater att bara ha kontakt med dataskyddsmyndigheten i den medlemsstat där företaget har sitt huvudsakliga verksamhetställe. Mekanismen innebär även att ett gemensamt beslut är tillämpligt på hela EU:s territorium vid tvister.

För att minska administrativa kostnader är tillämpningen av förordningen riskbaserad: registeransvariga kan genomföra åtgärder i enlighet med den risk som den uppgiftsbehandling de utför innebär. Olika företag har olika verksamheter och verksamhetens risker för den personliga integriteten kan variera. Förordningen innehåller ingen universallösning: ju större risk verksamheten utgör för personuppgifterna, desto strängare krav.

Fler och bättre verktyg för att se till att dataskyddsbestämmelserna efterlevs.

Förordningen innehåller ett antal åtgärder för att öka ansvaret och ansvarsskyldigheten för registeransvariga för att säkerställa fullständig efterlevnad av de nya dataskyddsbestämmelserna. Registeransvariga måste genomföra ett antal säkerhetsåtgärder, inklusive kravet att i vissa fall anmäla personuppgiftsbrott. För att framtidssäkra förordningen introduceras principerna om inbyggt dataskydd och dataskydd som standard. Offentliga myndigheter och företag som utför vissa typer av riskfylld uppgiftsbehandling måste utse ett dataskyddsombud för att se till att bestämmelserna efterlevs.

Registrerade personer och, under vissa omständigheter, dataskyddsorganisationer kan lämna in klagomål hos en tillsynsmyndighet eller begära domstolsprövning om dataskyddsbestämmelserna inte efterlevs. Registeransvariga kan åläggas böter på högst 20 miljoner euro eller 4 % av sin sammanlagda årsomsättning.

Garantier för överföring av personuppgifter utanför EU

I förordningen fastställs bestämmelser för överföring av personuppgifter till länder utanför EU och internationella organisationer. Överföring av uppgifter får ske under förutsättning att ett antal villkor uppfylls och ett antal skyddsåtgärder finns på plats, och särskilt om kommissionen har beslutat att en lämplig skyddsnivå existerar. Nya beslut om lämplig skyddsnivå måste ses över minst var fjärde år. Befintliga beslut om lämplig skyddsnivå och befintliga godkännanden fortsätter att gälla tills de ändras, ersätts eller upphävs.

Direktivet om dataskydd vid brottsbekämpning

Syftet med detta direktiv är att skydda personuppgifter som behandlas för att förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, i vilket även ingår att skydda mot och förebygga hot mot den allmänna säkerheten.

Det är viktigt att säkerställa ett enhetligt och starkt personuppgiftsskydd samtidigt som man underlättar utbytet av personuppgifter mellan brottsbekämpande myndigheter i de olika medlemsstaterna.

Bredare tillämpningsområde

För att täcka verksamhet med syfte att förebygga, utreda, avslöja och lagföra brott har det nya direktivet utvidgats för att även gälla skydd mot eller förebyggande av hot mot den allmänna säkerheten.

Det nya direktivet ska vara tillämpligt på både gränsöverskridande behandling av personuppgifter och på polismyndigheters och rättsliga myndigheters behandling av personuppgifter enbart på nationell nivå. Rambeslutet som kommer att ersättas omfattade bara gränsöverskridande utbyte av uppgifter.

Registrerades rättigheter

Bestämmelserna är en balansgång mellan rätten till personlig integritet och polisens behov av att inte avslöja uppgifter som behandlas i ett tidigt skede av en utredning. Dock anges i direktivet den information som den registrerade alltid har rätt att få för att kunna skydda sin rätt om de befarar att en överträdelse avseende deras uppgifter har ägt rum.

De nya bestämmelserna kommer även att omfatta överföring av personuppgifter till tredjeländer och internationella organisationer.

Efterlevnad

I det nya direktivet föreskrivs att ett dataskyddsombud ska utses för att hjälpa de behöriga myndigheterna att se till att dataskyddsbestämmelserna efterlevs.

Konsekvensbedömning är ett annat verktyg för att säkerställa efterlevnad. Om en typ av behandling troligen kommer att resultera i att personers rättigheter och friheter utsätts för hög risk måste de behöriga myndigheterna utföra en bedömning av behandlingens eventuella konsekvenser, särskilt när ny teknik används.

Övervakning och ersättning

Direktivet är anpassat till förordningen för att se till att samma allmänna principer i stora drag gäller. Dessutom är bestämmelserna om tillsynsmyndigheten i hög utsträckning lika eftersom det dataskyddsombud som inrättas genom den allmänna dataskyddsförordningen även kan behandla frågor som omfattas av direktivet. Det nya direktivet ska även ge registrerade rätt till ersättning om de åsamkas skada till följd av att bestämmelserna inte efterlevts vid en uppgiftsbehandling.

Kommande åtgärder

Europaparlamentet förväntas hålla sin omröstning vid andra behandlingen vid plenarsammanträdet nästa vecka, torsdagen den 14 april, och godkänna rådets ståndpunkt vid första behandlingen utan ändringar och därmed slutföra lagstiftningsprocessen.

Därefter offentliggörs rättsakterna i Europeiska unionens officiella tidning.

• Dataskyddsförordningen: rådets ståndpunkt vid första behandlingen
• Dataskyddsförordningen: rådets motivering
• Dataskyddsförordningen: rådets ståndpunkt vid första behandlingen
• Dataskyddsförordningen: rådets motivering
• Uppgiftsskyddsreformen