|
|
COMMUNICATION FROM THE COMMISSION TO
THE EUROPEAN PARLIAMENT, THE COUNCIL, THE EUROPEAN ECONOMIC AND SOCIAL
COMMITTEE AND THE COMMITTEE OF THE REGIONS
|
MEDDELANDE FRÅN KOMMISSIONEN TILL
EUROPAPARLAMENTET, RÅDET, EUROPEISKA EKONOMISKA SOCIALA KOMMITTEN SAMT
REGIONKOMMITTÉN
|
|
Safeguarding Privacy in a Connected World
A European Data Protection Framework for the 21st Century
|
Skydd av den personliga integriteten i en
uppkopplad värld
En europeisk ram för personuppgiftsskydd för tjugohundratalet
|
|
(Text with EEA relevance)
|
(Text av betydelse för EES)
|
|
1.
TODAY'S CHALLENGES TO DATA PROTECTION
|
1.
DAGENS UTMANINGAR INOM UPPGIFTSSKYDDET
|
|
The rapid pace of technological change and
globalisation have profoundly transformed the way in which an ever-increasing
volume of personal data is collected, accessed, used and transferred. New ways
of sharing information through social networks and storing large amounts of
data remotely have become part of life for many of Europe's 250 million
internet users. At the same time, personal data has become an asset for many
businesses. Collecting, aggregating and analysing the data of potential
customers is often an important part of their economic activities[1].
|
Den snabba tekniska utvecklingen och
globaliseringen har i grunden omdanat hur allt större mängder av
personuppgifter samlas in, sprids, används och överförs. Nya sätt att sprida
information genom sociala nätverk och fjärrlagring av stora datamängder har
blivit en del av vardagen för många av Europas 250 miljoner
internetanvändare. Samtidigt är personuppgifter en tillgång för många företag. Att
samla in, sammanställa och bedöma potentiella kunders uppgifter är ofta en
viktig del av näringsverksamheten[1].
|
|
In this new digital environment, individuals
have the right to enjoy effective control over their personal information.
Data protection is a fundamental right in Europe, enshrined in Article 8 of the
Charter of Fundamental Rights of the European Union, as well as in Article
16(1) of the Treaty on the Functioning of the European Union (TFEU), and needs to
be protected accordingly.
|
I denna sköna nya digitala värld har den
enskilde rätt att åtnjuta verksam kontroll över sina personuppgifter. Skyddet
av den personliga integriteten är en grundläggande rättighet i Europa som
stadfästs i artikel 8 i Europeiska unionens stadga om de grundläggande
rättigheterna och i artikel 16.1 i fördraget om Europeiska unionens
funktionssätt, och integriteten måste alltså skyddas därefter.
|
|
Lack of confidence makes consumers hesitant to
buy online and accept new services. Therefore, a high level of data protection
is also crucial to enhance trust in online services and to fulfil the potential
of the digital economy, thereby encouraging economic growth and the competitiveness
of EU industries.
|
Bristande förtroende gör att konsumenterna tvekar
att handla på nätet eller ta till sig nya tjänster. Därför är ett starkt
uppgiftsskydd också en förutsättning för att öka förtroendet för nättjänsterna
och ta vara på den digitala ekonomins potential, och på så sätt uppmuntra ekonomisk
tillväxt och EU-företagens konkurrenskraft.
|
|
Modern, coherent rules across the EU are needed
for data to flow freely from one Member State to another. Businesses need clear
and uniform rules that provide legal certainty and minimise the administrative
burden. This is essential if the Single Market is to function and to stimulate
economic growth, create new jobs and foster innovation[2]. A modernisation of the
EU's data protection rules, which strengthens their internal market
dimension, ensures a high level of data protection for individuals, and
promotes legal certainty, clarity and consistency, therefore plays a central
role in the European Commission's Stockholm Action Plan[3], in the Digital Agenda for
Europe[4]
and, more broadly, for the EU's growth strategy Europe 2020[5].
|
Moderna, konsekventa regler i hela EU behövs för
att uppgifterna ska kunna flöda fritt från en medlemsstat till en annan. Företagen
behöver för rättssäkerhetens skull tydliga, enhetliga regler som håller den
administrativa bördan så låg som möjligt. Det är viktigt för att den inre
marknaden ska kunna fungera och stimulera ekonomisk tillväxt, sysselsättning
och innovation[2].
Med modernare EU-regler om skydd av personuppgifter stärks den inre
marknaden, de enskilda får ett starkt skydd, och rättssäkerheten främjas, så
det innebär att reglerna har stor betydelse för kommissionens Stockholmsprogram[3], den digitala agendan för
Europa[4]
och i största allmänhet för EU:s tillväxtstrategi Europa 2020[5].
|
|
The EU's 1995 Directive[6], the central legislative
instrument for the protection of personal data in Europe, was a milestone in
the history of data protection. Its objectives, to ensure a functioning Single Market
and effective protection of the fundamental rights and freedoms of individuals,
remain valid. However, it was adopted 17 years ago when the internet was in its
infancy. In today's new, challenging digital environment, existing rules
provide neither the degree of harmonisation required, nor the necessary
efficiency to ensure the right to personal data protection. That is why the
European Commission is proposing a fundamental reform of the EU's data
protection framework.
|
EU:s dataskyddsdirektiv från 1995[6], den centrala rättsakten för
skydd av personuppgifter i EU, var en milstolpe i dataskyddets historia. Dess
mål, att garantera en väl fungerande inre marknad och skydda de enskildas
grundläggande fri- och rättigheter, är fortfarande relevanta. Det antogs dock
för 17 år sedan när internet låg i sin linda. I dagens nya, farofyllda
digitala miljö ger de befintliga reglerna varken den enhetlighet eller den
resurseffektivitet som krävs för skyddet av personuppgifter. Därför föreslår
kommissionen att EU:s dataskydd omdanas i grunden.
|
|
In addition, the Lisbon Treaty has created,
with Article 16 TFEU, a new legal basis for a modernised and comprehensive
approach to data protection and the free movement of personal data, also
covering police and judicial cooperation in criminal matters[7]. This approach is reflected in
the European Commission's Communications on the Stockholm Programme and the
Stockholm Action Plan[8],
which stress the need for the Union to "establish a comprehensive personal
data protection scheme covering all areas of EU competence" and "ensure that the fundamental right to data protection is consistently
applied".
|
Dessutom tillfördes genom Lissabonfördraget en ny
rättslig grund, i form av artikel 16 i fördraget om Europeiska unionens
funktionssätt, för en modern, heltäckande hållning till dataskydd och fri
rörlighet för personuppgifter som även omfattar polisiärt och straffrättsligt
samarbete[7].
Hållningen återspeglas i kommissionens meddelanden om Stockholmsprogrammet och
Stockholmsplanen[8],
där det framhålls att EU bör ”utveckla ett enhetligt system för skydd av
personuppgifter som täcker alla unionens behörighetsområden” och ”se till att
den grundläggande rätten till skydd för personuppgifter tillämpas på ett
konsekvent sätt”.
|
|
To prepare the reform of the EU's data
protection framework in a transparent manner, the Commission has, since 2009, launched
public consultations on data protection[9]
and engaged in intensive dialogue with stakeholders.[10] On 4 November 2010, the
Commission published a Communication on a comprehensive approach on personal
data protection in the European Union[11]
which set out the main themes of the reform. Between September and December
2011, the Commission was involved in an enhanced dialogue with Europe's
national data protection authorities and with the European Data Protection
Supervisor to explore options for more consistent application of EU data
protection rules across all EU Member States[12].
|
För att förbereda reformen av EU:s dataskydd på
ett öppet sätt inledde kommissionen 2009 offentliga samråd om dataskydd[9] och förde en intensiv dialog
med de berörda parterna[10].
Den 4 november 2010 offentliggjorde kommissionen meddelandet Ett samlat
grepp på skyddet av personuppgifter i Europeiska unionen[11] där reformens huvuddrag
skisseras. Mellan september och december 2011 förde kommissionen en utökad
dialog med EU:s nationella dataskyddsmyndigheter och med Europeiska
datatillsynsmannen för att undersöka alternativen för en mer enhetlig
tillämpning av EU:s dataskyddsregler i alla EU:s medlemsstater[12].
|
|
These discussions made clear that both citizens
and businesses wanted the European Commission to reform EU data protection
rules in a comprehensive manner. After assessing the impacts of different
policy options[13],
the European Commission is now proposing a strong and consistent legislative
framework across Union policies, enhancing individuals' rights, the Single Market
dimension of data protection and cutting red tape for businesses[14]. The Commission proposes that
the new framework should consist of:
|
Av diskussionerna framkom tydligt att både enskilda
och företag vill att kommissionen ska göra en genomgripande reform av
dataskyddet i EU. Efter att ha bedömt konsekvenserna av olika alternativ[13] föreslår nu kommissionen en stark
och enhetlig rättslig ram över alla EU:s politikområden som ska stärka de enskildas
rättigheter, främja den inre marknaden på dataskyddsområdet och minska krånglet
för företagen[14].
Kommissionen föreslår följande komponenter:
|
|
–
A Regulation (replacing Directive
95/46/EC) setting out a general EU framework for data protection[15];
|
–
En förordning (som ersätter direktiv 95/46/EG)
med allmänna EU-regler om skydd av personuppgifter[15].
|
|
–
and a Directive (replacing Framework
Decision 2008/977/JHA[16])
setting out rules on the protection of personal data processed for the purposes
of prevention, detection, investigation or prosecution of criminal offences
and related judicial activities.
|
–
Ett direktiv (som ersätter rambeslut 2008/977/RIF[16]) med regler om skydd av
personuppgifter som behandlas i samband med förebyggande, utredning, avslöjande
eller lagföring av brott och därmed förbunden rättslig verksamhet.
|
|
This Communication sets out the main elements
of the reform of the EU framework for data protection.
|
I detta meddelande redovisas huvuddragen i
reformen av EU:s dataskydd.
|
|
2.
Putting individuals in control of their personal data
|
2.
individEN SKA HA KONTROLL ÖVER SINA PERSONUPPGIFTER
|
|
Under Directive 95/46/EC – the EU's main legislative
act in the field of data protection today – the ways in which individuals are
able to exercise their right to data protection are not sufficiently harmonised
across Member States. Nor are the powers of the national authorities
responsible for data protection harmonised enough to ensure consistent and
effective application of the rules. This means that actually exercising such rights
is more difficult in some Member States than in others, particularly online.
|
Direktiv 95/46/EG, EU:s grundbult på området för
närvarande, leder inte till tillräckligt stor enhetlighet i medlemsstaterna för
hur enskilda kan utöva sin rätt till skydd av personuppgifter. Inte heller är
de nationella dataskyddsmyndigheternas befogenheter tillräckligt enhetliga för
att garantera en enhetlig, verkningsfull tillämpning av reglerna. Det innebär
att det är svårare i en del medlemsstater att i praktiken utöva sina
rättigheter, särskilt via nätet.
|
|
These difficulties are also due to the sheer
volume of data collected everyday, and the fact that users are often not fully
aware that their data is being collected. Although many Europeans consider that
disclosure of personal data is increasingly a part of modern life[17], 72% of internet users in
Europe still worry that they are being asked for too much personal data online[18]. They feel they are not in
control of their data. They are not properly informed of what happens to their
personal information, to whom it is transmitted and for what purposes. Often, they
do not know how to exercise their rights online.
|
Dessa svårigheter beror också på den enorma mängd
data som samlas in varje dag och att användarna ofta inte är riktigt medvetna
om att uppgifter om dem samlas in. Även om många européer anser att utlämnande
av personuppgifter är en del av den moderna vardagen[17] oroar sig ändå 72 % av de
europeiska internetanvändarna för att de lämnar ifrån sig för mycket
personuppgifter på nätet[18].
De upplever att de inte har kontroll över sina personuppgifter. De vet inte
riktigt vad som händer med deras personuppgifter, till vem de lämnas ut och för
vilka ändamål. Ofta vet de inte heller hur de kan utöva sina rättigheter via nätet.
|
|
'Right to be
forgotten'
|
”Rätten att bli glömd”
|
|
A European student who is a member of an
online social networking service decides to request access to all the personal
data the network holds about him. In doing so, he realises that it collects
much more data than he was aware of and that some personal data that he thought
had been deleted were still being stored.
|
En europeisk student är med i en social
nätverkstjänst på internet, och bestämmer sig för att begära ut alla
personuppgifter tjänsten har om honom. När han gör det inser han att tjänsten
samlar in mycket mer uppgifter än han var medveten om , och att en del
personuppgifter som han trodde hade raderats för länge sedan fortfarande lagras.
|
|
The reform of the EU's data protection
rules will ensure that this will no longer happen by introducing:
|
Reformen av EU:s dataskyddsregler ska
garantera att detta inte längre händer genom att det införs
|
|
- an explicit requirement that obliges
online social networking services (and all other data controllers) to minimise
the volume of users' personal data that they collect and process;
|
- ett uttryckligt krav på att sociala
nätverkstjänster (och andra registeransvariga) ska minimera mängden
personuppgifter om användare som de samlar in och behandlar,
|
|
- a requirement that the default settings ensure
that data is not made public;
|
- ett krav på att den förvalda inställningen
ska vara att uppgifter inte är offentliga,
|
|
- an explicit obligation for data
controllers to delete an individual's personal data if that person explicitly requests
deletion and where there is no other legitimate reason to retain it.
In this specific case, this would oblige the social network provider to delete
the student's data immediately and completely.
|
- en uttrycklig skyldighet för
registeransvariga att radera en individs personuppgifter om individen
uttryckligen begär det och det inte finns några legitima skäl att ha kvar
uppgifterna.
I det här fallet skulle alltså den sociala nätverkstjänsten vara skyldig att
omedelbart radera studentens personuppgifter fullständigt.
|
|
As highlighted in the Digital Agenda for
Europe, concerns about privacy are among the most frequent reasons for people
not buying goods and services online. Given the contribution of the Information
and Communication Technology (ICT) sector to overall productivity growth in
Europe – 20% directly from the ICT sector and 30% from ICT investments[19] – trust in such services is
vital to stimulate growth in the EU economy and the competitiveness of European
industry.
|
Som framhålls i den digitala agendan för Europa är
oro för den personliga integriteten ett av de vanligaste skälen som nämns för
att inte köpa varor eller tjänster över nätet. Med tanke på informations- och
kommunikationsteknikens (IKT) bidrag till den totala produktivitetstillväxten i
Europa, närmare bestämt 20 % direkt i IKT-sektorn och 30 % från
investeringar i IKT[19],
är förtroendet för de här tjänsterna avgörande för att stärka den ekonomiska
tillväxten i EU och främja det europeiska näringslivets konkurrenskraft.
|
|
Data breach
notifications
|
Varningar om
dataintrång
|
|
Hackers attacked a gaming service which
targets users in the EU. The breach affected databases containing personal data
(including names,
addresses and possibly credit card data) of tens of millions of users worldwide. The company waited for a week before
notifying the users concerned.
|
Hackare angrep en speltjänst med många
användare i EU. Intrånget berörde databaser med personuppgifter (bl.a. namn,
adress och ev. kreditkortsnummer) för tiotals miljoner användare i hela världen.
Företaget väntade en vecka med att varsko de drabbade användarna.
|
|
The reform of the EU's data protection
rules will ensure this could no longer happen. The new rules will oblige
companies:
|
Genom reformen av dataskyddet i EU ska detta
inte längre kunna hända. Med de nya reglerna blir företagen skyldiga
|
|
- to strengthen their security measures to
prevent and avoid breaches;
|
- att skärpa sin säkerhet för att förebygga
intrång,
|
|
- to notify data breaches to both the
national data protection authority – within 24 hour of the breach being
discovered, where feasible – and the individuals concerned without undue delay.
|
- att anmäla dataintrång till den nationella
dataskyddsmyndigheten, om möjligt inom ett dygn efter det att intrånget
upptäcktes, och varsko de berörda användarna utan otillbörliga dröjsmål.
|
|
The aim of the new legislative acts proposed by
the Commission is to strengthen rights, to give people efficient and
operational means to make sure they are fully informed about what happens to
their personal data and to enable them to exercise their rights more
effectively.
|
Målet med kommissionens nya lagförslag är att
stärka rättigheterna, ge människorna effektiva, verksamma sätt att se till att
de är helt underrättade om vad som händer med deras personuppgifter och ge dem
möjlighet att utöva sina rättigheter med verkningsfullt.
|
|
To strengthen the right of individuals to data
protection, the Commission is proposing new rules which will:
|
För att stärka individens rätt till skydd av
personuppgifter föreslår kommissionen nya regler med följande syften:
|
|
Improve individuals' ability to control
their data, by:
|
Förbättra individens möjlighet att kontrollera
sina personuppgifter
|
|
- ensuring that, when their consent
is required, it is given explicitly, meaning that it is based either on a
statement or on a clear affirmative action by the person concerned and is
freely given;
|
- Det ska garanteras att när en individs samtycke
behövs ska det ges uttryckligt, dvs. ta formen av ett uttalande eller
en tydligt jakande handling av den berörda individen och lämnas frivilligt.
|
|
- equipping internet users with an
effective right to be forgotten in the online environment: the right to
have their data deleted if they withdraw their consent and if there are no other
legitimate grounds for retaining the data;
|
- Internetanvändare ska ha en verkningsfull ”rätt
att bli glömd” på nätet, dvs. rätt att få sina uppgifter raderade om de
drar tillbaka sitt samtycke och det inte finns några legitima skäl att ha kvar
uppgifterna.
|
|
- guaranteeing easy access to one's own
data and a right to data portability: a right to obtain a copy of
the stored data from the controller and the freedom to move it from one service
provider to another, without hindrance;
|
- Det ska garanteras att man har lätt
tillgång till sina egna uppgifter och har rätt till medflyttbarhet av
uppgifter, dvs. rätt att få en kopia av de lagrade uppgifterna från den
registeransvariga och frihet att flytta dem till en annan tjänsteleverantör
utan hinder.
|
|
- reinforcing
the right to information so that individuals fully understand how
their personal data is handled, particularly when the processing activities
concern children.
Improve the means for individuals to exercise their rights, by:
|
- Rätten till information ska stärkas så att individer verkligen förstår hur deras
personuppgifter hanteras, särskilt när behandlingen rör barn.
Förbättra individens sätt att utöva sina rättigheter
|
|
- strengthening national data protection
authorities' independence and powers, so that they are properly equipped to
deal effectively with complaints, with powers to carry out effective investigations,
take binding decisions and impose effective and dissuasive sanctions;
|
- De nationella dataskyddsmyndigheternas
oberoende och befogenheter ska stärkas, så att de står rustade att
verkningsfullt ta itu med klagomål, genomföra utredningar, fatta bindande
beslut och påföra verkningsfulla och avskräckande sanktioner.
|
|
- enhancing administrative and judicial
remedies when data protection rights are violated. In particular, qualified
associations will be able to bring actions to court on behalf of the individual.
|
- Förvaltningsrättsliga medel och andra
rättsmedel ska skärpas när skyddet av personuppgifter kränks. Särskilt
ska kvalificerade sammanslutningar kunna väcka talan inför rätta för en
individs räkning.
|
|
Reinforce data security, by:
|
Stärkt datasäkerhet
|
|
- encouraging the use of privacy-enhancing
technologies (technologies which protect the privacy of
information by minimizing the storage of personal data),
privacy-friendly default settings and privacy certification schemes;
|
- Användningen av integritetsstärkande
teknik (teknik som skyddar den personliga integriteten genom att den mängd personuppgifter
som lagras hålls så liten som möjligt), integritetsvänliga standardinställningar
och system för integritetsmärkning ska uppmuntras.
|
|
- introducing a general obligation[20] for data controllers to
notify data breaches without undue delay to both data protection
authorities (which, where feasible, should be within 24 hours) and the
individuals concerned.
|
- Det införs ett generellt krav[20] att registeransvariga ska
anmäla dataintrång utan otillbörliga dröjsmål till dataskyddsmyndigheterna (om
möjligt inom ett dygn) och varsko de berörda användarna.
|
|
Enhance the accountability of those processing data, in particular by:
|
Öka möjligheterna att utkräva ansvar av dem
som behandlar personuppgifter
|
|
- requiring
data controllers to designate a Data Protection Officer in companies with
more than 250 employees and in firms which are involved in processing operations
which, by virtue of their nature, their scope or their purposes, present
specific risks to the rights and freedoms of individuals ("risky
processing");
|
- Registeransvariga
ska utse en dataskyddsansvarig vid företag med över 250 anställda
och företag som sysslar med databehandling som på grund av behandlingens slag,
omfattning eller ändamål medför särskilda risker för enskildas fri- och
rättigheter (s.k. riskabel behandling).
|
|
- introducing the "Privacy by
Design" principle to make sure that data protection safeguards are
taken into account at the planning stage of procedures and systems;
|
- Principen om ”inbyggd integritet”
införs, så att dataskyddet tas i beaktande vid utformningen av rutiner och
system.
|
|
- introducing the obligation to carry out Data
Protection Impact Assessments for organisations involved in risky
processing.
|
- Det införs en skyldighet att utföra konsekvensbedömningar
för dataskydd vid organisationer som sysslar med riskabel behandling.
|
|
3.
data protection rules fit for the digital single
market
|
3.
dataSKYDDSREGLER SOM PASSAR DEN INRE MARKNADEN
|
|
Despite the current Directive's objective to
ensure an equivalent level of data protection within the EU, there is still
considerable divergence in the rules across Member States. As a consequence, data
controllers may have to deal with 27 different national laws and requirements.
The result is a fragmented legal environment which has created legal
uncertainty and uneven protection for individuals. This has caused unnecessary
costs and administrative burdens for businesses and is a disincentive for
enterprises operating in the Single Market that may want to expand their
operations across borders.
|
Trots det gällande direktivets mål att garantera
en likvärdig nivå på dataskyddet i EU finns det fortfarande avsevärda skillnader
i medlemsstaternas regler. Därför måste registeransvariga hantera 27 olika
nationella rättsordningar och kravlistor. Följden är en splittrad rättslig
miljö som skapat ett oklart rättsläge och olika skydd för
individerna. En annan följd är onödiga kostnader och administrativa bördor för
företag, vilket avskräcker företag med verksamhet på den inre marknaden från
att expandera sin verksamhet till andra länder.
|
|
The resources and the powers of the national authorities
responsible for data protection vary considerably among Member States[21]. In some cases, they are
unable to perform their enforcement tasks satisfactorily. Cooperation among these
authorities at European level – via the existing Advisory Group (the so-called
Article 29 Working Party)[22]
– does not always lead to consistent enforcement and also needs to be improved.
|
De nationella dataskyddsmyndigheternas resurser
och befogenheter varierar avsevärt mellan medlemsstaterna[21]. I några fall är de oförmögna
att utöva en tillfredsställande tillsyn. Samarbetet mellan dessa myndigheter på
EU-nivå i den befintliga rådgivande arbetsgruppen (den s.k.
artikel 29-gruppen)[22]
utmynnar inte alltid i en konsekvent lagtillämpning och behöver alltså
förbättras.
|
|
Consistent enforcement of data protection
rules across Europe
|
Enhetlig tillämpning av dataskyddsreglerna i
EU
|
|
A multinational company with several
establishments in the EU has deployed an online mapping system across Europe
which collects images of all private and public buildings, and may also take
pictures of people on the street. In one Member State, the inclusion of
un-blurred pictures of persons unaware that they were being photographed was
considered to be unlawful, while in other Member States there was no such infringement
of data protection laws. As a result, there was no consistent response among
national data protection authorities to remedy this situation.
|
Ett multinationellt företag med flera
driftsställen i EU har tagit i drift ett nätbaserat karteringssystem i Europa
som samlar in bilder av alla privata och offentliga byggnader och ibland även
bilder av människor på gatan. En medlemsstat fann att lagring av omaskerade bilder
av människor som inte var medvetna om att de blev fotograferade var olaglig,
medan en annan medlemsstat fann att det inte stred mot skyddet av den
personliga integriteten. Således reagerade inte de nationella
dataskyddsmyndigheterna enhetligt för att råda bot på denna situation.
|
|
The reform of the EU's data protection
rules will ensure that this could not happen in future, as:
|
Med reformen av dataskyddet i EU garanteras
det att så inte sker framöver, eftersom
|
|
- data protection requirements and
safeguards will be set out in an EU Regulation with direct application throughout
the Union;
|
- dataskyddskraven och säkerhetsåtgärderna ska
anges i en EU-förordning som får direkt tillämplighet i hela EU,
|
|
- only the data protection authority where
the company has its main establishment will be responsible for deciding whether
the company is acting within the law;
|
- bara den dataskyddsmyndighet där företaget
har sitt huvudsakliga driftsställe blir ansvarig för att avgöra om företaget
håller sig inom lagens råmärken,
|
|
- prompt, and effective coordination
between national data protection authorities – given that the service is directed
at individuals in several Member States – will help ensure that the new EU data
protection rules will be applied and enforced consistently across all Member
States.
|
- snabb och verkningsfull samordning mellan de
nationella dataskyddsmyndigheterna, (tjänsten riktar sig ju till individer i
flera medlemsstater) kommer att bidra till att EU:s nya dataskyddsregler kommer
att tillämpas enhetligt i alla medlemsstater.
|
|
National authorities need to be reinforced and
their cooperation strengthened to guarantee the consistent enforcement and,
ultimately, uniform application of rules across the EU.
|
De nationella myndigheterna behöver mer resurser
och samarbetet mellan dem behöver utökas för att garantera enhetlig tillämpning
av reglerna i hela EU.
|
|
A strong, clear and uniform legislative
framework at EU level will help to unleash the potential of the Digital Single Market
and foster economic growth, innovation and job creation. A Regulation will do
away with the fragmentation of legal regimes across 27 Member States and remove
barriers to market entry, a factor of particular importance to micro, small and
medium-sized enterprises.
|
En stark, tydlig och enhetlig EU-lagstiftning
kommer att bidra till att förverkliga den digitala inre marknadens potential
och främja ekonomisk tillväxt. innovation och nya jobb. Med en förordning
försvinner splittringen i form av 27 olika nationella rättsordningar, samtidigt
som hindren för marknadstillträde sänks, något som är särskilt viktigt för
mikroföretag, småföretag och medelstora företag.
|
|
The new rules will also give EU companies an
advantage in global competition. Under the reformed regulatory framework, they
will be able to assure their customers that valuable personal information will
be treated with the necessary care and diligence. Trust in a coherent EU regulatory
regime will be a key asset for service providers and an incentive for investors
looking for optimal conditions when locating services.
|
De nya reglerna ger också EU-företagen en fördel i
konkurrensen på världsmarknaden. Med de nya reglerna kan de försäkra sina
kunder att värdefulla personuppgifter kommer att förvaltas med vederbörlig
omsorg och vaksamhet. Förtroendet för de enhetliga EU-reglerna blir en
konkurrensfördel för tjänsteföretag och ett incitament för investerare som
letar efter de bästa villkoren när de bestämmer var tjänsterna ska vara belägna.
|
|
To enhance the Single Market dimension of data
protection, the Commission proposes to:
|
För att stärka dataskyddets inremarknadsaspekter
föreslår kommissionen följande:
|
|
- lay down data protection rules at EU
level through a Regulation directly applicable in all Member States[23] which will put an end to the
cumulative and simultaneous application of different national data protection
laws. This will lead to a net saving for companies of about € 2.3 billion a
year in terms of administrative burdens alone;
|
- Fastställa dataskyddsreglerna på EU-nivå i
form av en förordning som är direkt tillämplig i alla medlemsstater[23], vilket innebär att man inte
längre måste tillämpa olika nationella dataskyddslagar samtidigt och ovanpå
varandra. På så sätt sparar företagen omkring 2,3 miljarder euro netto
om året enbart på minskade administrativa bördor.
|
|
- simplify the regulatory environment by
drastically cutting red tape and doing away with formalities such as
general notification requirements (leading to net savings of € 130 million a
year in terms of administrative burdens alone). Given their importance for the
competitiveness of the European economy, special attention is given to the specific
needs of micro, small and medium sized enterprises;
|
- Förenkla reglerna, minska krånglet
drastiskt och avskaffa formkrav såsom generell anmälningsplikt (vilket
innebär besparingar på 130 miljoner euro netto om året enbart i form av
minskade administrativa bördor). Med tanke på mikroföretagens, småföretagens
och de medelstora företagens betydelse för den europeiska ekonomisk
konkurrenskraft ska särskild uppmärksamhet ägnas deras behov.
|
|
- further enhance the independence
and powers of national data protection authorities (DPAs) to enable them to
carry out investigations, take binding decisions and impose effective and
dissuasive sanctions, and oblige Member States to provide them with sufficient
resources to do so;
|
- Stärka de nationella
dataskyddsmyndigheternas oberoende och befogenheter så att de kan utföra
utredningar, fatta bindande beslut och påföra verkningsfulla, avskräckande
sanktioner samt ålägga medlemsstaterna att ge myndigheterna tillräckliga
resurser för detta.
|
|
- set up a 'one-stop-shop' system for
data protection in the EU: data controllers in the EU will only have to
deal with a single DPA, namely the DPA of the Member State where the company's
main establishment is located;
|
- Sätta upp ett system med en enda instans
för dataskyddet i EU: registeransvariga i EU behöver bara vända sig till en
enda dataskyddsmyndighet, nämligen den i den medlemsstat där företagets
huvudsakliga driftsställe är etablerat.
|
|
- create the conditions for swift and
efficient cooperation between DPAs, including the obligation for one DPA to
carry out investigations and inspections upon request from another, and to
mutually recognise each other's decisions;
|
- Skapa förutsättningar för snabbt,
effektivt samarbete mellan dataskyddsmyndigheterna, vilket innefattar en
skyldighet för en myndighet att utföra utredningar och inspektioner på en annan
myndighets begäran och ömsesidigt erkänna varandras beslut.
|
|
- set up a consistency mechanism at
EU level, to ensure that DPA decisions that have a wider European impact take
full account of the views of other DPAs concerned, and are fully in compliance
with EU law;
|
- Inrätta en mekanism för enhetlighet på
EU-nivå för att se till att de beslut av dataskyddsmyndigheterna som får vidare
verkan i EU fattas med beaktande av de andra myndigheternas åsikter och
överensstämmer med EU-rätten.
|
|
- upgrade the Article 29 Working Party to
an independent European Data Protection Board to improve its contribution
to consistent application of data protection law and to provide a strong basis for
cooperation among data protection authorities, including the European Data
Protection Supervisor; and to enhance synergies and effectiveness by foreseeing
that the secretariat of the European Data Protection Board will be provided by
the European Data Protection Supervisor.
|
- Uppgradera artikel 29-gruppen till en
oberoende europeisk dataskyddsstyrelse för att stärka dess bidrag
till enhetlig tillämpning av dataskyddsrätten, ge en fast grund för samarbetet
mellan dataskyddsmyndigheterna (inklusive Europeiska datatillsynsmannen) och
stärka samverkansfördelarna och genomslaget genom att föreskriva att Europeiska
dataskyddsstyrelsens sekretariat ska tillhandahållas av Europeiska
datatillsynsmannen.
|
|
The new EU Regulation will ensure a robust
protection of the fundamental right to data protection throughout the European
Union and strengthen the functioning of the Single Market. At the same time –
in view of the fact that, as underlined by the Court of Justice of the EU[24], the right to the protection
of personal data is not an absolute right, but must be considered in relation
to its function in society[25]
and be balanced with other fundamental rights, in accordance with the principle
of proportionality[26]
– the Regulation will include explicit provisions that ensure the respect of
other fundamental rights, such as freedom of expression and information, the
right to defence, as well as of professional secrecy (such as for the legal
profession), without prejudicing the status of churches under the laws of the
Member States.
|
Tack vare den nya förordningen får den
grundläggande rättigheten till skydd av den personliga integriteten ett starkt
skydd i hela EU, samtidigt som den inre marknadens funktion stärks. Eftersom
skyddet av personuppgifter enligt EU-domstolens rättspraxis[24] inte är en ovillkorlig rätt
utan måste betraktas i ljuset av sin samhällsfunktion[25] och ställas mot andra
grundläggande rättigheter i enlighet med proportionalitetsprincipen[26] kommer förordningen samtidigt
att innehålla uttryckliga stadganden för att garantera skyddet av andra
grundläggande rättigheter såsom yttrande- och informationsfriheten, rätten till
försvar, tystnadsplikten (t.ex. för jurister) och kyrkors ställning enligt
medlemsstaternas rättsordningar.
|
|
4.
THE use of data in police and criminal justice
cooperation
|
4.
ANVÄNDNING AV PERSONUPPGIFTER I POLISIÄRT OCH STRAFFRÄTTSLIGT
SAMARBETE
|
|
The entry into force of the Lisbon Treaty and
in particular the introduction of a new legal basis (Article 16 TFEU) allow the
establishment of a comprehensive data protection framework ensuring a high
level of protection for individuals' data, whilst respecting the specific
nature of the field of police and judicial cooperation in criminal matters. In
particular, it allows the revised EU data protection framework to cover both
cross-border and domestic processing of personal data. This would reduce
differences between the legislation in Member States, to the likely benefit of
the protection of personal data overall. It could also lead to a smoother
exchange of information between Member States' police and judicial authorities
and thereby improve cooperation in the fight against serious crime in Europe. The
processing of data by police and judicial authorities in criminal matters is
currently principally covered by Framework Decision 2008/977/JHA, which
pre-dates the entry into force of the Lisbon Treaty. The Commission has no
powers to enforce its rules, as it is a Framework Decision, and this has
contributed to uneven implementation. In addition, the scope of the Framework
Decision is limited to cross-border processing activities.[27] This means that the processing
of personal data that has not been made the subject of exchanges is currently
not covered by EU rules governing such processing and protecting the
fundamental right to data protection. This also creates, in some cases,
practical difficulties for police and other authorities for whom it may not be
obvious whether data processing is to be purely domestic or cross-border; or to
foresee whether 'domestic' data might become the object of a subsequent cross-border
exchange.[28]
|
I och med att Lissabonfördraget trädde i kraft
infördes en ny rättslig grund (artikel 16 i fördraget om Europeiska
unionens funktionssätt) som gör det möjligt att fastställa heltäckande
dataskyddsregler som garanterar ett starkt skydd för enskildas personuppgifter,
och samtidigt tar hänsyn till särdragen hos det polisiära och straffrättsliga
samarbetet. Särskilt blir det med den nya rättsliga grunden möjligt att låta
EU:s nya dataskyddsregler täcka både gränsöverskridande och inhemsk behandling
av personuppgifter. Detta skulle minska skillnaderna mellan medlemsstaternas
lagstiftning och antagligen stärka skyddet av personuppgifter generellt. Det
torde också leda till smidigare informationsutbyte mellan medlemsstaternas
polisk och rättsväsende och därigenom förbättra samarbetet i kampen mot
allvarlig brottslighet i EU. Polisens och rättsväsendets behandling av
personuppgifter i straffrättsliga frågor regleras för närvarande främst i
rambeslut 2008/977/RIF, som trädde i kraft före Lissabonfördraget. Eftersom
det är ett rambeslut har kommissionen ingen befogenhet att se till att det
efterlevs, vilket har bidragit till att det tillämpas olika. Dessutom omfattar
rambeslutet bara gränsöverskridande behandling av uppgifter[27]. Det innebär att om
personuppgifterna inte överförts till ett annat land omfattas de inte av
EU-reglerna om behandling och skydd av personuppgifter. Detta innebär också i
vissa fall praktiska problem för polis och andra rättsvårdande myndigheter,
eftersom det inte alltid är uppenbart om behandlingen är rent inhemsk eller
gränsöverskridande, eller för den delen förutse om inhemska uppgifter i ett
senare skede kan komma att överföras till ett annat land[28].
|
|
The EU's new reformed data protection framework
therefore aims to ensure a consistent, high level of data protection to enhance
mutual trust between police and judicial authorities of different Member States,
thus contributing further to a free flow of data, and effective cooperation
between police and judicial authorities.
|
Syftet med EU:s nya dataskyddsregler är därför en
enhetligt hög nivå på skyddet av personuppgifter för att stärka förtroendet
mellan polis och rättsvårdande myndigheter i olika medlemsstater och på så sätt
bidra till ett fritt flöde av personuppgifter och verkningsfullt samarbete
mellan polis och rättsväsende.
|
|
To ensure a high level of protection of personal
data in the field of police and judicial cooperation in criminal matters and to
facilitate exchanges of personal data between Member States' police and
judicial authorities, the Commission is proposing, as part of the data
protection reform package, a Directive which will:
|
För att ombesörja ett starkt skydd av
personuppgifter inom polisiärt och straffrättsligt samarbete och underlätta
överföringar av personuppgifter mellan medlemsstaternas polis och rättsliga
myndigheter föreslår kommissionen som en del av dataskyddspaketet ett direktiv
enligt följande:
|
|
- apply general data protection principles to police cooperation and judicial cooperation in criminal matters,
while respecting the specific nature of these fields;[29]
|
- Generella dataskyddsprinciper som ska
tillämpas på polisiärt och straffrättsligt samarbete
under hänsynstagande till dessa områdens särdrag[29].
|
|
- provide for minimum harmonised
criteria and conditions on possible limitations to the general rules. This concerns,
in particular, the rights of individuals to be informed when police and
judicial authorities handle or access their data. Such limitations are
necessary for the effective prevention, investigation, detection or prosecution
of criminal offences;
|
- Harmoniserade minimikrav och
villkor för inskränkningar av de generella reglerna. Detta omfattar bl.a.
enskildas rätt att informeras när polis eller rättsliga myndigheter behandlar
eller läser personuppgifter om dem. Sådana inskränkningar är nödvändiga för att
verkningsfullt förebygga, utreda, uppspåra eller beivra brott.
|
|
- establish specific rules to cover the
specific nature of law enforcement activities, including a distinction between
different categories of data subjects whose rights may vary (such as witnesses
and suspects).
|
- Särskilda regler anpassade till
den rättsvårdande verksamhetens särdrag, bl.a. en distinktion mellan olika kategorier
av registrerade som kan ha olika rättigheter (t.ex. vittnen och misstänkta).
|
|
5.
DATA PROTECTION IN A GLOBALISED WORLD
|
5.
SKYDD AV PERSONUPPGIFTER I EN GLOBALISERAD VÄRLD
|
|
Individuals' rights must continue to be ensured
when personal data is transferred from the EU to third countries, and whenever
individuals in Member States are targeted and their data is used or analysed by
third country service providers. This means that EU data protection standards have
to apply regardless of the geographical location of a company or its processing
facility.
|
Individernas rättigheter måste garanteras även när
personuppgifter överförs från EU till omvärlden, och när individer i EU:s
medlemsstater blir måltavla och deras personuppgifter används eller analyseras
av företag utanför EU. Det innebär att EU:s krav på uppgiftsskydd måste gälla
oavsett var ett företag eller dess behandlingsanläggning ligger rent
geografiskt.
|
|
In today's globalised world, personal data is
being transferred across an increasing number of virtual and geographical
borders and stored on servers in multiple countries. More companies are
offering cloud computing services, which allow customers to access and store
data on remote servers. These factors call for an improvement in current
mechanisms for transferring data to third countries. This includes adequacy
decisions – i.e. decisions certifying 'adequate' data protection standards in
third countries – and appropriate safeguards such as standard contractual
clauses or Binding Corporate Rules[30],
so as to secure a high level of data protection in international processing
operations and facilitate data flows across borders.
|
I dagens globaliserade värld överförs
personuppgifter över allt fler virtuella och geografiska gränser och lagras på
servrar i många länder. Alltfler företag erbjuder molntjänster, så att kunderna
kan hämta och lagra data på fjärrservrar. Det innebär att de nuvarande formerna
för överföring av data till länder utanför EU behöver förbättras, bl.a. i fråga
om beslut om huruvida uppgiftsskyddet i utomeuropeiska länder adekvat och
lämpliga skyddsåtgärder såsom standardklausuler i avtal eller bindande
företagsregler[30],
för att garantera ett fullgott skydd för personuppgifter vid behandling
utomlands och för att underlätta flödet av personuppgifter över gränserna.
|
|
Binding Corporate Rules
|
Bindande företagsregler
|
|
A corporate group regularly needs to transfer
personal data from its affiliates based in the EU to its affiliates located in
third countries. The group would like to introduce a set of Binding Corporate
Rules (BCRs) to comply with EU law while limiting the administrative
requirements for each individual transfer. In practice, BCRs ensure that a
single set of rules would apply throughout the group instead of various
internal contracts.
|
En koncern behöver med jämna mellanrum
överföra personuppgifter från sina dotterbolag i EU till dotterbolag utanför EU.
Koncernen vill införa en uppsättning bindande företagsregler för att följa EU-lagstiftningen
och samtidigt begränsa administrationen för varje enskild överföring. Med
bindande företagsregler kan man på ett praktiskt sätt se till att samma regler
gäller hela koncernen i stället för diverse avtal mellan företagen i koncernen.
|
|
Based on current practices agreed at the
level of the Article 29 Working Party, the recognition that a company's BCRs
provide adequate safeguards implies a thorough review by three DPAs (one 'lead'
and two 'reviewers') but may also be commented on by several others.
Furthermore, many Member States' laws require additional national
authorisations for transfers covered by BCRs and this makes their adoption
process very burdensome, costly, long and complex.
|
Enligt rådande praxis, som överenskommits i
artikel 29-gruppen, behöver ett företags bindande regler gås igenom
grundligt av tre dataskyddsmyndigheter (en föredragande och två bisittare) för
att godkännas som garantier för en adekvat skyddsnivå, och andra dataskyddsmyndigheter
får lämna synpunkter. Vidare krävs enligt många medlemsstaters lagstiftning
ytterligare nationella tillstånd för överföringar enligt de bindande
företagsreglerna, och det gör det väldigt betungande, kostsamt, långdraget och
svårt att få dem godkända.
|
|
Following the data protection reform:
|
Med de nya dataskyddsreglerna
|
|
- this process will be simpler and more
streamlined;
|
- blir processen enklare och mer
strömlinjeformad,
|
|
- BCRs will be validated only by one DPA,
with mechanisms to ensure the swift involvement of other relevant DPAs;
|
- behöver bindande företagsregler bara
godkännas av en enda dataskyddsmyndighet, och det kommer att finnas former för
snabb rådfrågning av andra berörda dataskyddsmyndigheter,
|
|
- Once one authority has approved a BCR, it
will be valid for the entire EU without needing any additional authorisation at
national level.
|
- blir en uppsättning bindande företagsregler,
när den väl godkänts av en myndigheter, giltig i hela EU utan att det krävs
fler nationella godkännanden.
|
|
To address the challenges of globalisation,
flexible tools and mechanisms are needed – particularly for businesses
operating worldwide – while guaranteeing protection of individuals' data
without any loopholes. The Commission is proposing the following measures:
|
För att möta globaliseringens utmaningar behövs
flexibla verktyg och mekanismer, särskilt för företag på världsmarknaden,
samtidigt som individernas personuppgifter måste skyddas utan kryphål. Kommissionen
föreslår följande:
|
|
- clear rules defining when EU law is applicable to data controllers
established in third countries, in particular by specifying that whenever goods
and services are offered to individuals in the EU, or whenever their behaviour
is monitored, European rules shall apply;
|
- Tydliga regler för när EU-lagstiftningen är tillämplig på registeransvariga
etablerade i länder utanför EU. Bl.a. föreskrivs att när varor och tjänster
bjuds ut till individer i EU eller när dessas beteende övervakas gäller
EU-regler.
|
|
- any adequacy decisions will be
taken by the European Commission on the basis of explicit and clear criteria, including
in the area of police cooperation and criminal justice;
|
- Alla beslut om adekvat skydd kommer
att fattas av kommissionen enligt uttryckliga, tydliga kriterier, även inom
polisiärt och straffrättsligt samarbete.
|
|
- legitimate flows of data to third
countries will be made easier by reinforcing and simplifying rules on
international transfers to countries not covered by an adequacy decision,
in particular by streamlining and extending the use of tools such as Binding
Corporate Rules, so that they can be used to cover data processors and
within groups of companies, thus better reflecting the increasing number
of companies involved in data processing activities, especially in cloud
computing;
|
- Legitima överföringar av data till länder
utanför EU underlättas genom stärkta, förenklade regler för internationell
överföring till länder som inte är föremål för något beslut om adekvat
skydd, bl.a. genom förenklingar och ökad användning av bindande
företagsregler och liknande, så att de kan täcka registerförare
och gälla inom koncerner, vilket bättre svarar mot det växande antalet
företag som sysslar med databehandling, särskilt molntjänster.
|
|
- engaging in dialogue and, where
appropriate, negotiations, with third countries – particularly EU
strategic partners and European Neighbourhood Policy countries – and relevant
international organisations (such as the Council of Europe, the Organisation
for Economic Cooperation and Development, the United Nations) to promote
high and interoperable data protection standards worldwide.
|
- Dialog och i förekommande fall förhandlingar
med länder utanför EU, särskilt EU:s strategiska partnerländer och länder inom
den europeiska grannskapspolitiken, och internationella organisationer (t.ex.
Europarådet, OECD och FN) ska föras för att främja ett starkt, kompatibelt
skydd för personuppgifter i hela världen.
|
|
6.
CONCLUSION
|
6.
SLUTSATSER
|
|
The EU data protection reform aims to build a
modern, strong, consistent and comprehensive data protection framework for the
European Union. Individuals' fundamental right to data protection
will be reinforced. Other rights, such as freedom of expression and information,
the right of the child, the right to conduct a business, the right to a fair
trial and professional secrecy (such as for the legal profession), as well as
the status of churches under Member States' laws will be respected.
|
Reformen av EU:s skydd av personuppgifter går ut
på att bygga ett modernt, starkt, enhetligt och heltäckande skydd för EU.
Individernas grundläggande rätt att få sina personuppgifter skyddade kommer
att stärkas. Andra rättigheter ska respekteras, t.ex. yttrandefriheten och
informationsfriheten, barnets rättigheter, näringsfriheten, rätten till en
rättvis rättegång, tystnadsplikten (bl.a. för jurister) och kyrkornas ställning
enligt medlemsstaternas rättsordningar.
|
|
The reform will first of all benefit
individuals by strengthening their data protection rights and their trust in
the digital environment. The reform will furthermore simplify the legal
environment for businesses and the public sector substantially. This is
expected to stimulate the development of the digital economy across the EU's Single
Market and beyond, in line with the objectives of the Europe 2020 strategy and
the Digital Agenda for Europe. Finally, the reform will enhance trust among law
enforcement authorities in order to facilitate exchanges of data between them
and cooperation in the fight against serious crime, while ensuring a high level
of protection for individuals.
|
Reformen kommer först och främst att gynna
individerna genom att stärka skyddet av deras personuppgifter och främja deras
förtroende för de digitala tjänsterna. Den kommer också att avsevärt förenkla
de rättsliga förutsättningarna för företagen och den offentliga sektorn, något
som torde stimulera den digitala ekonomisk utveckling på och utanför den inre
marknaden i enlighet med målen i strategin Europa 2020 och den digitala
agendan för Europa. Slutligen kommer reformen att stärka de rättsvårdande
myndigheternas förtroende för varandra, så att det blir enklare för dem att
utbyta uppgifter sinsemellan och samarbeta i kampen mot allvarlig brottslighet,
samtidigt som ett starkt skydd för individen säkerställs.
|
|
The European Commission will work closely with
the European Parliament and the Council to ensure an agreement on the EU's new
data protection framework by the end of 2012. Throughout this adoption process
and beyond, especially in the context of the implementation of the new legal
instruments, the Commission will maintain a close and transparent dialogue with all interested parties involving representatives from the private and public sector.
This will include representatives from the police and the judiciary, electronic
communications regulators, civil society organisations, data protection
authorities and academics, as well as from specialised EU agencies such as
Eurojust, Europol, the Fundamental Rights Agency, and the European Network and
Information Society Agency.
|
Kommissionen kommer att samarbeta med
Europaparlamentet och rådet för att få till stånd enighet om EU:s nya
dataskyddsregler före utgången av 2012. Under beredningen och efteråt, bl.a. i
och med att de nya rättsakterna ska genomföras, kommer kommissionen att
föra en lyhörd, öppen dialog med alla berörda parter från privat
och offentlig sektor. Det omfattar bl.a. företrädare för polis och rättsväsende,
det civila samhällets organisationer, dataskyddsmyndigheter, forskare samt
företrädare för specialiserade EU-organ som Eurojust, Europol, Europeiska byrån
för grundläggande rättigheter och Europeiska byrån för nät- och
informationssäkerhet.
|
|
In a context of constant development of
information technologies and evolving social behaviour, such a dialogue is of
the utmost importance to benefit from the input necessary to ensure a high level
of data protection of individuals, the growth and competitiveness of EU
industries, the operational effectiveness of the public sector (including the police
and the judiciary) and a low level of administrative burden.
|
Eftersom informationstekniken och de sociala
beteendena hela tiden utvecklas har en sådan dialog största betydelse för
inhämtning av det underlag som krävs för att garantera ett starkt skydd för
individers personuppgifter, EU-företagens tillväxt och konkurrenskraft, den
offentliga sektorns (däribland polisens och rättsväsendets) effektivitet och
lindriga administrativa bördor.
|
|
[1] The market for the analysis of very large sets of
data is growing by 40% per year worldwide: http://www.mckinsey.com/mgi/publications/big_data/.
|
[1] Världsmarknaden för analys av mycket stora datamängder
växer med 40 % om året: http://www.mckinsey.com/mgi/publications/big_data/.
|
|
[2] See also the conclusions of the European Council of
23 October 2011, which stressed the "key role" of the Single Market
"in delivering growth and employment", as well as the need to
complete the Digital Single Market by 2015.
|
[2] Jfr Europeiska rådets slutsatser av den 23 oktober 2011,
där man framhävde att den inre marknaden ”spelar en viktig roll när det gäller
att skapa tillväxt och sysselsättning” och att den digitala inre marknaden bör
färdigställas senast 2015.
|
|
[3] COM(2010)171 final.
|
[3] KOM(2010) 171 slutlig.
|
|
[4] COM(2010)245 final.
|
[4] KOM(2010) 245 slutlig.
|
|
[5] COM(2010)2020 final.
|
[5] KOM(2010) 2020 slutlig.
|
|
[6] Directive 95/46/EC on the protection of individuals
with regard to the protection of personal data and on the free movement on such
data, OJ L 281, 23.11.1995, p. 31.
|
[6] Direktiv 95/46/EG om skydd för enskilda personer med
avseende på behandling av personuppgifter och om det fria flödet av sådana
uppgifter, EGT L 281, 23.11.1995, s. 31.
|
|
[7] Specific rules for processing by Member States in the
area of Common Foreign and Security Policy shall be laid down by a Council
Decision based on Article 39 TEU.
|
[7] Särskilda regler för medlemsstaternas behandling av
uppgifter inom ramen för den gemensamma utrikes- och säkerhetspolitiken ska
fastställas i ett rådsbeslut med stöd av artikel 39 i fördraget om
Europeiska unionen.
|
|
[8] COM(2009)262 and COM(2010)171 respectively.
|
[8] KOM(2009) 262 respektive KOM(2010) 171.
|
|
[9] Two public consultations have been launched on the
data protection reform: one from July to December 2009 (http://ec.europa.eu/justice/news/consulting_public/news_consulting_0003_en.htm)
and a second one from November 2010 till January 2011 (http://ec.europa.eu/justice/news/consulting_public/news_consulting_0006_en.htm).
|
[9] Två offentliga samråd har hållits om reformerna av
dataskyddet, ett i juli–december 2009 (http://ec.europa.eu/justice/news/consulting_public/news_consulting_0003_en.htm)
och ett november 2010–January 2011 (http://ec.europa.eu/justice/news/consulting_public/news_consulting_0006_en.htm).
|
|
[10] Targeted consultations were organised in 2010 with
Member State authorities and private stakeholders. In November 2010, EU Justice
Commissioner Viviane Reding organised a roundtable on the data protection
reform. Additional dedicated workshops
and seminars on specific issues (e.g. data breach notifications) were also held
throughout 2011.
|
[10] Riktade samråd hölls under 2010 med medlemsstaternas
myndigheter och privata intressenter. I november 2010 anordnade ledamoten av
kommissionen med ansvar för rättvisa, Viviane Reding, ett rundabordssamtal i
frågan. Särskilda symposier och seminarier om särskilda frågor (t.ex. varningar om dataintrång) anordnades också
under 2011.
|
|
[11] COM(2010)609.
|
[11] KOM(2010) 609.
|
|
[12] See the letter of EU Justice Commissioner Viviane
Reding of 19 September 2011 to the members of the Article 29 Working Party,
published at http://ec.europa.eu/justice/data-protection/article-29/documentation/other-document/index_en.htm.
|
[12] Se skrivelse från ledamoten av kommissionen med ansvar för
rättvisa, Viviane Reding, av den 19 september 2011 till ledamöterna i
artikel 29-gruppen: http://ec.europa.eu/justice/data-protection/article-29/documentation/other-document/index_en.htm.
|
|
[13] See the Impact Assessment SEC(2012)72.
|
[13] Se konsekvensbedömningen SEK(2012)72.
|
|
[14] This will include, at a later stage, amendments to
align specific and sectoral instruments, for example Regulation (EC) No
45/2001, OJ L 8, 12.1.2001, p.1.
|
[14] Detta kommer i ett senare skede att medföra ändringar för
anpassning av särskilda eller sektorsspecifika rättsakter, t.ex. förordning
(EG) nr 45/2001, EGT L 8, 12.1.2001, s. 1.
|
|
[15] The Regulation also makes a limited number of technical
adjustments to the e-Privacy Directive (Directive 2002/58/EC as last amended by
Directive 2009/136/EC - OJ L 337, 18.12.2009, p. 11) to take account of the
transformation of Directive 95/46/EC into a Regulation. The substantive legal
consequences of the new Regulation and of the new Directive for the e-Privacy
Directive will be the object, in due course, of a review by the Commission,
taking into account the result of the negotiations on the current proposals
with the European Parliament and the Council.
|
[15] Förordningen omfattar också ett begränsat antal tekniska
anpassningar av e-integritetsdirektivet (direktiv 2002/58/EG, EUT L 337,
18.12.2009, s. 11) eftersom direktiv 95/46/EG ersätts av en förordning. Den nya
förordningens och det nya direktivets materiella rättsliga inverkan på
e-integritetsdirektivet kommer i ett senare skede att ses över av kommissionen,
under hänsynstagande till resultaten av de pågående förhandlingarna om
förslagen med Europaparlamentet och rådet.
|
|
[16] Framework Decision 2008/977/JHA of 27 November 2008 on
the protection of personal data processed in the framework of police and
judicial cooperation in criminal matters, OJ L 350, 30.12.2008, p.60. A report
on the implementation by Member States of the Framework Decision (COM(2012)12) is
adopted as part of the data protection reform package.
|
[16] Rambeslut 2008/977/RIF av den 27 november 2008 om skydd av
personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt
samarbete, EUT L 350, 30.12.2008, s. 60. En rapport om medlemsstaternas
tillämpning av rambeslutet, COM(2012) 12, läggs fram som en del av
reformpaketet på detta område.
|
|
[17] See Special Eurobarometer 359 – Attitudes on Data
Protection and Electronic Identity in the European Union, June 2011, p. 23.
|
[17] Se särskild Eurobarometerundersökning 359, Attitudes on
Data Protection and Electronic Identity in the European Union, juni 2011,
s. 23.
|
|
[18] Ibidem, p. 54.
|
[18] A.a, s. 54.
|
|
[19] See Digital Agenda for Europe, cit., p.4.
|
[19] Se En digital agenda för Europa, s. 4.
|
|
[20] This is currently compulsory only in the
telecommunications sector, based on the e-Privacy Directive.
|
[20] För närvarande är detta bara obligatoriskt inom
telesektorn i enlighet med e-integritetsdirektivet.
|
|
[21] For more details on this aspect, see the Impact
Assessment accompanying the legal proposals, SEC(2012)72.
|
[21] Mer om detta i konsekvensbedömningen som åtföljer
lagförslagen, SEC(2012) 72.
|
|
[22] The Article 29 Working Party was set up in 1996 (by
Article 29 of Directive 95/46/EC) with advisory status and composed of
representatives of national Data Protection Supervisory Authorities (DPAs), the
European Data Protection Supervisor (EDPS) and the Commission. For more
information on its activities see http://ec.europa.eu/justice/policies/privacy/workinggroup/index_en.htm.
|
[22] Artikel 29-gruppen inrättades 1996 med stöd av
artikel 29 i direktiv 95/46/EG som ett rådgivande organ. Den består
av företrädare för de nationella dataskyddsmyndigheterna, Europeiska
datatillsynsmannan och kommissionen. Mer information om gruppens verksamhet: http://ec.europa.eu/justice/policies/privacy/workinggroup/index_en.htm.
|
|
[23] A Directive is proposed to define the rules applicable
to the area of police cooperation and judicial cooperation in criminal matters
(see § 4 below), which will allow for more flexibility for Member States in
this specific area.
|
[23] Enligt förslaget ska reglerna för polisiärt och
straffrättsligt samarbete fastställas i ett direktiv (se avsnitt 4), så
att medlemsstaterna får mer flexibilitet på detta område.
|
|
[24] Court of Justice of the EU, judgment of 9.11.2010, Joined
Cases C-92/09 and C-93/09 Volker und Markus Schecke and Eifert [2010], not yet
officially reported.
|
[24] Europeiska unionens domstol, dom av den 9 november 2010 i
förenade målen C-92/09 och C-93/09 Volker und Markus Schecke och Eifert [2010],
ännu inte publicerad i REG.
|
|
[25] In line with Article 52(1) of the Charter, limitations
may be imposed on the exercise of the right to data protection as long as the
limitations are provided for by law, respect the essence of the right and
freedoms and, subject to the principle of proportionality, are necessary and
genuinely meet objectives of general interest recognised by the European Union
or the need to protect the rights and freedoms of others.
|
[25] I enlighet med artikel 52.1 i stadgan får
begränsningar av rätten till skydd av personuppgifter göras om begränsningarna
är föreskrivna i lag, förenliga med det väsentliga innehållet i rättigheterna
och friheterna, nödvändiga med beaktande av proportionalitetsprincipen och
faktiskt svarar mot mål av allmänt samhällsintresse som erkänns av EU eller
behovet av skydd för andra människors rättigheter och friheter.
|
|
[26] Court of Justice of the EU, judgment of 6.11.2003,
C-101/01, Lindqvist [2003] ECR I-12971, para 82-90; judgement of 16.12.2008, C-73/07, Satamedia [2008],
ECR I-9831, para 50-62.
|
[26] Europeiska unionens domstol, dom av den 6 november 2003 i
mål C-101/01, Lindqvist REG 2003, s. I-12971, punkterna 82–90, dom av den 16 december 2008 i mål C-73/07,
Satamedia, REG 2008, s. I-9831, punkterna 50–62.
|
|
[27] More precisely, the Framework Decision applies to personal
data that are or have been transmitted or made available between Member States
or exchanged between Member States and EU institutions or bodies (see Article
1(2)).
|
[27] Närmare bestämt gäller rambeslutet personuppgifter som
överförs, har överförts, görs eller har gjorts tillgängliga mellan
medlemsstaterna eller mellan medlemsstaterna och EU:s institutioner och organ
(se artikel 1.2).
|
|
[28] This was confirmed by some Member States when replying
to the Commission's questionnaire in relation to the Implementation Report on
the Framework Decision (COM(2012)12).
|
[28] Några medlemsstater bekräftade detta när de svarade på
kommissionens frågeformulär inför rapporten om tillämpningen av rambeslutet, COM(2012) 12.
|
|
[29] Cf. Declaration No 21 on the protection of personal
data in the fields of judicial cooperation in criminal matters and police
cooperation, as annexed to the Final Act of the Intergovernmental Conference
which adopted the Lisbon Treaty.
|
[29] Se förklaring nr 21 om skydd av personuppgifter på
området för straffrättsligt samarbete och polissamarbete, som fogats till
slutakten från den regeringskonferens som antagit Lissabonfördraget.
|
|
[30] Binding Corporate Rules (BCRs) are codes of practices
based on European data protection standards, approved by at least one DPA,
which organisations draw up voluntarily and follow to ensure adequate
safeguards for categories of transfers of personal data between companies that
are part of the same corporate group and that are bound by those rules. They
are not explicitly covered in Directive 95/46/EC but have developed as a matter
of practice between DPAs, with the support of the Article 29 Working Party.
|
[30] Bindande företagsregler är etiska regler som bygger på
europeiska dataskyddskrav och har godkänts av minst en dataskyddsmyndighet.
Företag upprättar dem på frivillig grund och efterlever dem för att ombesörja
ett adekvat skydd vid överföringar av personuppgifter mellan företag i samma
grupp av företag som är bundna av samma regler. De nämns inte uttryckligen i
direktiv 95/46/EG men har vuxit fram i dataskyddsmyndigheternas praxis med stöd
av artikel 29-gruppen.
|