Europarådets konvention om skydd för enskilda vid automatisk databehandling av personuppgifter (nedan kallad konvention 108) är det enda rättsligt bindande multilaterala avtalet om personuppgiftsskydd. Konventionens mål är att skydda den rätt till privatliv som erkänns i artikel 8 i Europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna. Rätten till privatliv och dataskydd fastställs även i artiklarna 7 och 8 i EU:s stadga om de grundläggande rättigheterna och i artikel 16 i EUF-fördraget.

Enligt konvention nr 108 krävs att parterna vidtar nödvändiga åtgärder i sin nationella lagstiftning för att säkerställa respekt för alla enskildas mänskliga rättigheter när det gäller behandling av personuppgifter. Konventionen var en av de viktigaste inspirationskällorna vid utformningen av EU:s regelverk för dataskydd. Enligt skäl 11 är ett av målen med Europaparlamentets och rådets direktiv (EG) 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter just att det ska utgöra ”en precisering och en förstärkning av [principerna och rättigheterna] i [konvention 108].

I dag har 51 stater ratificerat konvention 108, däribland samtliga 28 EU-medlemsstater, de fyra Eftastaterna, alla länder på västra Balkan, flera grannskapsländer (t.ex. Armenien och Georgien), Ryska federationen, Turkiet och flera icke-europeiska länder i både Afrika (t.ex. Senegal och Tunisien) och Latinamerika (Uruguay). Flera ansökningar (t.ex. Argentina, Mexiko och Marocko) är under behandling och ett antal länder har observatörsstatus (t.ex. Japan och Sydkorea).

Konvention 108 öppnades för undertecknande 1981, dvs. långt innan internet och elektronisk kommunikation slagit igenom. Den tekniska utvecklingen och globaliseringen av information innebär att det uppstår nya utmaningar när det gäller skyddet av privat information. Syftet med ändringsprotokollet är att uppdatera konvention 108 för att hantera dessa utmaningar.

Den uppdaterade konventionen (dvs. konvention 108 ändrad genom ändringsprotokollet) kommer att ha ett enhetligt tillämpningsområde för alla konventionsparter och det kommer inte att vara möjligt att helt undanta sektorer eller verksamhet från dess tillämpning (t.ex. med hänvisning till den nationella säkerheten) på det sätt som är möjligt med den nuvarande konvention 108. Den kommer därmed att omfatta all typ av databehandling under parternas jurisdiktion inom både den offentliga och den privata sektorn.

Genom ändringsprotokollet stärks dataskyddet enligt konvention 108 väsentligt. Den uppdaterade konventionen kommer framför allt att närmare fastställa principen om laglig behandling (i synnerhet när det gäller kraven på samtycke) och ytterligare stärka skyddet av särskilda uppgiftskategorier (samtidigt som kategorierna ska utvidgas till de som erkänns som särskilda kategorier av personuppgifter i unionens lagstiftning). Den uppdaterade konventionen kommer dessutom att innehålla nya skyddsregler för enskilda vars personuppgifter behandlas (framför allt skyldigheter att undersöka de sannolika effekterna av en planerad databehandling och att genomföra relevanta tekniska och organisatoriska åtgärder, en skyldighet att rapportera allvarliga dataintrång) och kommer även att stärka deras rättigheter (särskilt i fråga om transparens och tillgång till uppgifter). Nya rättigheter införs även för registrerade, t.ex. rätten att inte bli föremål för ett beslut som får betydande effekter för den registrerade enbart på grundval av automatisk databehandling, rätten att invända mot databehandling och rätten till rättsmedel vid kränkningar av en enskilds rättigheter.

Den uppdaterade konventionen kommer att innefatta reviderade bestämmelser (som för närvarande ingår i ett tilläggsprotokoll som bara vissa parter har undertecknat) enligt vilka parterna måste inrätta en eller flera självständiga myndigheter som ska ansvara för kontroll av att bestämmelserna i konvention 108 följs. Dessa myndigheters ställning skulle stärkas om det krävdes att parterna skulle ge dem ytterligare befogenheter, t.ex. befogenhet att utfärda beslut avseende överträdelser av konvention 108 och att besluta om administrativa sanktioner.

Systemet med undantag till ovannämnda rättigheter och skyldigheter såsom de formuleras i ändringsprotokollet uppfyller tre grundläggande villkor: att den övergripande räckvidden för konvention 108 bevaras (inga generella undantagsbestämmelser), flexibilitet (som gör det möjligt att förena en hög dataskyddsnivå med andra viktiga allmänna intressen, t.ex. nationella säkerhetshänsyn) och att det finns en övergripande samstämmighet med rättspraxis från Europadomstolen för de mänskliga rättigheterna (framför allt ingen restriktion som påverkar själva innebörden av den grundläggande rätten till dataskydd).

Den uppdaterade konventionen skulle sammantaget erbjuda ett starkt skydd men samtidigt ge parterna flexibilitet beträffande genomförandet av konventionens bestämmelser i nationell lagstiftning. Den skulle göra det attraktivt att ansluta sig till den uppdaterade konvention 108 för länder, även utanför Europa, som överväger att inrätta eller stärka sina system för dataskydd. Dess konkreta effekter kan förväntas bli betydligt större än effekterna av den nuvarande konvention 108, både i fråga om räckvidd och de skyldigheter som föreskrivs.

Ändringsprotokollet kommer, när det träder i kraft, innebära att det införs en möjlighet för unionen att bli part i den (uppdaterade) konventionen. När det gäller rösträtter i konventionskommittén säkerställer den överenskomna texten principen att unionen får rösta inom sitt behörighetsområde och har lika många röster som antalet medlemsstater som är parter i konventionen. För att hantera den oro som funnits över vilken vikt unionens röst ska ha nåddes en kompromisslösning som innebär att beslut bara får fattas av en ”supermajoritet” (fyra femtedelar) av parterna och att det för de viktigaste besluten om en parts efterlevnad av konventionen ska krävas ”dubbel majoritet” (kvalificerad majoritet tillsammans med enkel majoritet av parter som inte är EU-medlemsstater).

Den uppdaterade konventionen skulle även stärka det faktiska dataskyddet genom att föreskriva att konventionskommittén kan bedöma effektiviteten av åtgärder som vidtas i den nationella lagstiftningen för att ge verkan åt konventionens bestämmelser.

Texten till ändringsprotokollet samordnades med medlemsstaternas företrädare i den behöriga rådsarbetsgruppen och genomför rådets förhandlingsdirektiv. Den är även helt i linje med både Europarlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (den allmänna dataskyddsförordningen eller GDPR) och Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter (polisdirektivet om dataskydd) och utesluter därmed möjligheten att medlemsstaterna omfattas av olika, eller till och med motstridiga, skyldigheter enligt unionens och Europarådets lagstiftning. Antagandet av en stark konvention som bygger på samma tillvägagångssätt och principer som unionens (nya) regelverk är av stor betydelse för unionens internationella strategi när det gäller dataskydd. Konvention 108, som även är öppen för icke-europeiska stater, har blivit högaktuell för länder runt om i världen som förbereder eller planerar att anta lagstiftning om dataskydd. I sitt meddelande från januari 2017 om utbyte och skydd av personuppgifter i en globaliserad värld (COM(2017) 07 final) tog kommissionen upp konvention 108 och konstaterade att en uppdaterad konvention skulle bygga på samma principer som EU:s dataskyddslagstiftning och ”därigenom bidra till förenlighet med en uppsättning strikta standarder för dataskydd” på global nivå. Kommissionen förband sig därför att ”främja ett snabbt antagande” av ändringsprotokollet.

Det område som regleras genom den ändrade konventionen omfattas för närvarande till största delen av unionens regelverk när det gäller dataskydd. Genom GDPR, som började tillämpas den 25 maj 2018, och polisdirektivet, som skulle ha införlivats senast den 6 maj 2018, fastställs ett heltäckande regelsystem för dataskydd som säkerställer en åtminstone likvärdig – och i många fall högre – skyddsnivå. Enligt artikel 13 i den uppdaterade konventionen får parterna bevilja registrerade personer ett mer omfattande skydd än vad som föreskrivs i konventionen, vilket innebär att de är fria att anta striktare skyddsregler.

Ändringsprotokollet kommer att träda i kraft när alla parter har deponerat sina ratifikations-, godtagande- eller godkännandeinstrument hos Europarådets generalsekreterare. Med tanke på att ett så stort antal parter måste ratificera protokollet är, enligt ändringsprotokollet, ett delvis ikraftträdande tillåtet inom en mindre grupp och efter fem år, när minst 38 parter har gett sitt medgivande till att bli bundna av protokollet. Undertecknandeceremonin för ändringsprotokollet är planerad till den 25 juni 2018 i Strasbourg.

EU-medlemsstaterna (som för närvarande är de enda parterna i konvention 108) bör vidta nödvändiga åtgärder för att säkerställa att ändringsprotokollet träder i kraft snabbt.

Eftersom den uppdaterade konventionen skulle innehålla i stort sett likartade skyddsåtgärder som GDPR och polisdirektivet kommer för det första ett delvis ikraftträdande bidra till att främja unionens skyddsnivå runt om i världen. Konvention 108 har i själva verket spelat en viktig roll för att sprida den ”europeiska dataskyddsmodellen” globalt eftersom den ofta används som inspirationskälla av länder som överväger att anta eller uppdatera sina lagar om skydd av privatlivet. Detta är desto viktigare i dag eftersom allt fler länder i olika regioner i världen antar sådan lagstiftning. Ett starkare skydd hos parterna i konventionen skulle även underlätta flödet av uppgifter mellan konventionsparter i och utanför EU. För flera länder har anslutning till konvention 108 också visat sig vara en bra förberedelse inför ett eventuellt konstaterande från Europeiska kommissionen om adekvat skyddsnivå. GDPR stärker denna aspekt genom att uttryckligen föreskriva att anslutning till konvention 108 är en viktig faktor när Europeiska kommission gör sin bedömning om adekvat skyddsnivå. Även utan ett konstaterande om adekvat skyddsnivå skulle ett starkare skydd (i synnerhet tillgång till både rättsmedel och prövningsförfaranden utanför domstol, samt en effektiv övervakning från tillsynsmyndigheternas sida) underlätta utbytet av uppgifter på grundval av lämpliga skyddsregler (framför allt eftersom det kan bli lättare att upprätthålla sådana skyddsregler i parternas rättssystem).

Det är för det andra viktigt att se till att den uppdaterade konventionen är helt förenlig med bestämmelserna i GDPR och polisdirektivet, så att EU:s medlemsstater kan fortsätta att vara parter i konventionen och följa dess bestämmelser utan att bryta mot unionens lagstiftning. Detta gäller särskilt bestämmelserna om det fria flödet av uppgifter mellan parterna, eftersom den uppdaterade konventionen (till skillnad från den nuvarande texten) innehåller ett undantag från denna regel för parter som är bundna av harmoniserade skyddsregler som är gemensamma för stater som tillhör en regional internationell organisation. Därmed säkerställs att EU:s medlemsstater följer reglerna trots villkoren om internationella överföringar som fastställs i unionens dataskyddslagstiftning.

Det är för det tredje inte möjligt enligt konvention 108 i dess nuvarande form för internationella organisationer att ansluta sig. Detta ändras genom ändringsprotokollet och dess ikraftträdande är därför ett villkor för EU:s framtida anslutning till konventionen.

Förslaget till rådets beslut baseras på artikel 218.5 i EUF-fördraget jämförd med artikel 16 i EUF-fördraget.