MEDDELANDE FRÅN KOMMISSIONEN TILL EUROPAPARLAMENTET, RÅDET, EUROPEISKA EKONOMISKA SOCIALA KOMMITTEN SAMT REGIONKOMMITTÉN Skydd av den personliga integriteten i en uppkopplad världEn europeisk ram för personuppgiftsskydd för tjugohundratalet /* COM/2012/09 final */
MEDDELANDE FRÅN KOMMISSIONEN TILL
EUROPAPARLAMENTET, RÅDET, EUROPEISKA EKONOMISKA SOCIALA KOMMITTEN SAMT
REGIONKOMMITTÉN Skydd av den personliga integriteten i en
uppkopplad värld
En europeisk ram för personuppgiftsskydd för tjugohundratalet (Text av betydelse för EES)
1.
DAGENS UTMANINGAR INOM UPPGIFTSSKYDDET
Den snabba tekniska utvecklingen och
globaliseringen har i grunden omdanat hur allt större mängder av
personuppgifter samlas in, sprids, används och överförs. Nya sätt att sprida
information genom sociala nätverk och fjärrlagring av stora datamängder har
blivit en del av vardagen för många av Europas 250 miljoner
internetanvändare. Samtidigt är personuppgifter en tillgång för många företag. Att
samla in, sammanställa och bedöma potentiella kunders uppgifter är ofta en
viktig del av näringsverksamheten[1]. I denna sköna nya digitala värld har den
enskilde rätt att åtnjuta verksam kontroll över sina personuppgifter. Skyddet
av den personliga integriteten är en grundläggande rättighet i Europa som
stadfästs i artikel 8 i Europeiska unionens stadga om de grundläggande
rättigheterna och i artikel 16.1 i fördraget om Europeiska unionens
funktionssätt, och integriteten måste alltså skyddas därefter. Bristande förtroende gör att konsumenterna tvekar
att handla på nätet eller ta till sig nya tjänster. Därför är ett starkt
uppgiftsskydd också en förutsättning för att öka förtroendet för nättjänsterna
och ta vara på den digitala ekonomins potential, och på så sätt uppmuntra ekonomisk
tillväxt och EU-företagens konkurrenskraft. Moderna, konsekventa regler i hela EU behövs för
att uppgifterna ska kunna flöda fritt från en medlemsstat till en annan. Företagen
behöver för rättssäkerhetens skull tydliga, enhetliga regler som håller den
administrativa bördan så låg som möjligt. Det är viktigt för att den inre
marknaden ska kunna fungera och stimulera ekonomisk tillväxt, sysselsättning
och innovation[2].
Med modernare EU-regler om skydd av personuppgifter stärks den inre
marknaden, de enskilda får ett starkt skydd, och rättssäkerheten främjas, så
det innebär att reglerna har stor betydelse för kommissionens Stockholmsprogram[3], den digitala agendan för
Europa[4]
och i största allmänhet för EU:s tillväxtstrategi Europa 2020[5]. EU:s dataskyddsdirektiv från 1995[6], den centrala rättsakten för
skydd av personuppgifter i EU, var en milstolpe i dataskyddets historia. Dess
mål, att garantera en väl fungerande inre marknad och skydda de enskildas
grundläggande fri- och rättigheter, är fortfarande relevanta. Det antogs dock
för 17 år sedan när internet låg i sin linda. I dagens nya, farofyllda
digitala miljö ger de befintliga reglerna varken den enhetlighet eller den
resurseffektivitet som krävs för skyddet av personuppgifter. Därför föreslår
kommissionen att EU:s dataskydd omdanas i grunden. Dessutom tillfördes genom Lissabonfördraget en ny
rättslig grund, i form av artikel 16 i fördraget om Europeiska unionens
funktionssätt, för en modern, heltäckande hållning till dataskydd och fri
rörlighet för personuppgifter som även omfattar polisiärt och straffrättsligt
samarbete[7].
Hållningen återspeglas i kommissionens meddelanden om Stockholmsprogrammet och
Stockholmsplanen[8],
där det framhålls att EU bör ”utveckla ett enhetligt system för skydd av
personuppgifter som täcker alla unionens behörighetsområden” och ”se till att
den grundläggande rätten till skydd för personuppgifter tillämpas på ett
konsekvent sätt”. För att förbereda reformen av EU:s dataskydd på
ett öppet sätt inledde kommissionen 2009 offentliga samråd om dataskydd[9] och förde en intensiv dialog
med de berörda parterna[10].
Den 4 november 2010 offentliggjorde kommissionen meddelandet Ett samlat
grepp på skyddet av personuppgifter i Europeiska unionen[11] där reformens huvuddrag
skisseras. Mellan september och december 2011 förde kommissionen en utökad
dialog med EU:s nationella dataskyddsmyndigheter och med Europeiska
datatillsynsmannen för att undersöka alternativen för en mer enhetlig
tillämpning av EU:s dataskyddsregler i alla EU:s medlemsstater[12]. Av diskussionerna framkom tydligt att både enskilda
och företag vill att kommissionen ska göra en genomgripande reform av
dataskyddet i EU. Efter att ha bedömt konsekvenserna av olika alternativ[13] föreslår nu kommissionen en stark
och enhetlig rättslig ram över alla EU:s politikområden som ska stärka de enskildas
rättigheter, främja den inre marknaden på dataskyddsområdet och minska krånglet
för företagen[14].
Kommissionen föreslår följande komponenter: –
En förordning (som ersätter direktiv 95/46/EG)
med allmänna EU-regler om skydd av personuppgifter[15]. –
Ett direktiv (som ersätter rambeslut 2008/977/RIF[16]) med regler om skydd av
personuppgifter som behandlas i samband med förebyggande, utredning, avslöjande
eller lagföring av brott och därmed förbunden rättslig verksamhet. I detta meddelande redovisas huvuddragen i
reformen av EU:s dataskydd.
2.
individEN SKA HA KONTROLL ÖVER SINA PERSONUPPGIFTER
Direktiv 95/46/EG, EU:s grundbult på området för
närvarande, leder inte till tillräckligt stor enhetlighet i medlemsstaterna för
hur enskilda kan utöva sin rätt till skydd av personuppgifter. Inte heller är
de nationella dataskyddsmyndigheternas befogenheter tillräckligt enhetliga för
att garantera en enhetlig, verkningsfull tillämpning av reglerna. Det innebär
att det är svårare i en del medlemsstater att i praktiken utöva sina
rättigheter, särskilt via nätet. Dessa svårigheter beror också på den enorma mängd
data som samlas in varje dag och att användarna ofta inte är riktigt medvetna
om att uppgifter om dem samlas in. Även om många européer anser att utlämnande
av personuppgifter är en del av den moderna vardagen[17] oroar sig ändå 72 % av de
europeiska internetanvändarna för att de lämnar ifrån sig för mycket
personuppgifter på nätet[18].
De upplever att de inte har kontroll över sina personuppgifter. De vet inte
riktigt vad som händer med deras personuppgifter, till vem de lämnas ut och för
vilka ändamål. Ofta vet de inte heller hur de kan utöva sina rättigheter via nätet. ”Rätten att bli glömd” En europeisk student är med i en social
nätverkstjänst på internet, och bestämmer sig för att begära ut alla
personuppgifter tjänsten har om honom. När han gör det inser han att tjänsten
samlar in mycket mer uppgifter än han var medveten om , och att en del
personuppgifter som han trodde hade raderats för länge sedan fortfarande lagras. Reformen av EU:s dataskyddsregler ska
garantera att detta inte längre händer genom att det införs - ett uttryckligt krav på att sociala
nätverkstjänster (och andra registeransvariga) ska minimera mängden
personuppgifter om användare som de samlar in och behandlar, - ett krav på att den förvalda inställningen
ska vara att uppgifter inte är offentliga, - en uttrycklig skyldighet för
registeransvariga att radera en individs personuppgifter om individen
uttryckligen begär det och det inte finns några legitima skäl att ha kvar
uppgifterna.
I det här fallet skulle alltså den sociala nätverkstjänsten vara skyldig att
omedelbart radera studentens personuppgifter fullständigt. Som framhålls i den digitala agendan för Europa är
oro för den personliga integriteten ett av de vanligaste skälen som nämns för
att inte köpa varor eller tjänster över nätet. Med tanke på informations- och
kommunikationsteknikens (IKT) bidrag till den totala produktivitetstillväxten i
Europa, närmare bestämt 20 % direkt i IKT-sektorn och 30 % från
investeringar i IKT[19],
är förtroendet för de här tjänsterna avgörande för att stärka den ekonomiska
tillväxten i EU och främja det europeiska näringslivets konkurrenskraft. Varningar om
dataintrång Hackare angrep en speltjänst med många
användare i EU. Intrånget berörde databaser med personuppgifter (bl.a. namn,
adress och ev. kreditkortsnummer) för tiotals miljoner användare i hela världen.
Företaget väntade en vecka med att varsko de drabbade användarna. Genom reformen av dataskyddet i EU ska detta
inte längre kunna hända. Med de nya reglerna blir företagen skyldiga - att skärpa sin säkerhet för att förebygga
intrång, - att anmäla dataintrång till den nationella
dataskyddsmyndigheten, om möjligt inom ett dygn efter det att intrånget
upptäcktes, och varsko de berörda användarna utan otillbörliga dröjsmål. Målet med kommissionens nya lagförslag är att
stärka rättigheterna, ge människorna effektiva, verksamma sätt att se till att
de är helt underrättade om vad som händer med deras personuppgifter och ge dem
möjlighet att utöva sina rättigheter med verkningsfullt. För att stärka individens rätt till skydd av
personuppgifter föreslår kommissionen nya regler med följande syften: Förbättra individens möjlighet att kontrollera
sina personuppgifter - Det ska garanteras att när en individs samtycke
behövs ska det ges uttryckligt, dvs. ta formen av ett uttalande eller
en tydligt jakande handling av den berörda individen och lämnas frivilligt. - Internetanvändare ska ha en verkningsfull ”rätt
att bli glömd” på nätet, dvs. rätt att få sina uppgifter raderade om de
drar tillbaka sitt samtycke och det inte finns några legitima skäl att ha kvar
uppgifterna. - Det ska garanteras att man har lätt
tillgång till sina egna uppgifter och har rätt till medflyttbarhet av
uppgifter, dvs. rätt att få en kopia av de lagrade uppgifterna från den
registeransvariga och frihet att flytta dem till en annan tjänsteleverantör
utan hinder. - Rätten till information ska stärkas så att individer verkligen förstår hur deras
personuppgifter hanteras, särskilt när behandlingen rör barn.
Förbättra individens sätt att utöva sina rättigheter - De nationella dataskyddsmyndigheternas
oberoende och befogenheter ska stärkas, så att de står rustade att
verkningsfullt ta itu med klagomål, genomföra utredningar, fatta bindande
beslut och påföra verkningsfulla och avskräckande sanktioner. - Förvaltningsrättsliga medel och andra
rättsmedel ska skärpas när skyddet av personuppgifter kränks. Särskilt
ska kvalificerade sammanslutningar kunna väcka talan inför rätta för en
individs räkning. Stärkt datasäkerhet - Användningen av integritetsstärkande
teknik (teknik som skyddar den personliga integriteten genom att den mängd personuppgifter
som lagras hålls så liten som möjligt), integritetsvänliga standardinställningar
och system för integritetsmärkning ska uppmuntras. - Det införs ett generellt krav[20] att registeransvariga ska
anmäla dataintrång utan otillbörliga dröjsmål till dataskyddsmyndigheterna (om
möjligt inom ett dygn) och varsko de berörda användarna. Öka möjligheterna att utkräva ansvar av dem
som behandlar personuppgifter - Registeransvariga
ska utse en dataskyddsansvarig vid företag med över 250 anställda
och företag som sysslar med databehandling som på grund av behandlingens slag,
omfattning eller ändamål medför särskilda risker för enskildas fri- och
rättigheter (s.k. riskabel behandling). - Principen om ”inbyggd integritet”
införs, så att dataskyddet tas i beaktande vid utformningen av rutiner och
system. - Det införs en skyldighet att utföra konsekvensbedömningar
för dataskydd vid organisationer som sysslar med riskabel behandling.
3.
dataSKYDDSREGLER SOM PASSAR DEN INRE MARKNADEN
Trots det gällande direktivets mål att garantera
en likvärdig nivå på dataskyddet i EU finns det fortfarande avsevärda skillnader
i medlemsstaternas regler. Därför måste registeransvariga hantera 27 olika
nationella rättsordningar och kravlistor. Följden är en splittrad rättslig
miljö som skapat ett oklart rättsläge och olika skydd för
individerna. En annan följd är onödiga kostnader och administrativa bördor för
företag, vilket avskräcker företag med verksamhet på den inre marknaden från
att expandera sin verksamhet till andra länder. De nationella dataskyddsmyndigheternas resurser
och befogenheter varierar avsevärt mellan medlemsstaterna[21]. I några fall är de oförmögna
att utöva en tillfredsställande tillsyn. Samarbetet mellan dessa myndigheter på
EU-nivå i den befintliga rådgivande arbetsgruppen (den s.k.
artikel 29-gruppen)[22]
utmynnar inte alltid i en konsekvent lagtillämpning och behöver alltså
förbättras. Enhetlig tillämpning av dataskyddsreglerna i
EU Ett multinationellt företag med flera
driftsställen i EU har tagit i drift ett nätbaserat karteringssystem i Europa
som samlar in bilder av alla privata och offentliga byggnader och ibland även
bilder av människor på gatan. En medlemsstat fann att lagring av omaskerade bilder
av människor som inte var medvetna om att de blev fotograferade var olaglig,
medan en annan medlemsstat fann att det inte stred mot skyddet av den
personliga integriteten. Således reagerade inte de nationella
dataskyddsmyndigheterna enhetligt för att råda bot på denna situation. Med reformen av dataskyddet i EU garanteras
det att så inte sker framöver, eftersom - dataskyddskraven och säkerhetsåtgärderna ska
anges i en EU-förordning som får direkt tillämplighet i hela EU, - bara den dataskyddsmyndighet där företaget
har sitt huvudsakliga driftsställe blir ansvarig för att avgöra om företaget
håller sig inom lagens råmärken, - snabb och verkningsfull samordning mellan de
nationella dataskyddsmyndigheterna, (tjänsten riktar sig ju till individer i
flera medlemsstater) kommer att bidra till att EU:s nya dataskyddsregler kommer
att tillämpas enhetligt i alla medlemsstater.
De nationella myndigheterna behöver mer resurser
och samarbetet mellan dem behöver utökas för att garantera enhetlig tillämpning
av reglerna i hela EU. En stark, tydlig och enhetlig EU-lagstiftning
kommer att bidra till att förverkliga den digitala inre marknadens potential
och främja ekonomisk tillväxt. innovation och nya jobb. Med en förordning
försvinner splittringen i form av 27 olika nationella rättsordningar, samtidigt
som hindren för marknadstillträde sänks, något som är särskilt viktigt för
mikroföretag, småföretag och medelstora företag. De nya reglerna ger också EU-företagen en fördel i
konkurrensen på världsmarknaden. Med de nya reglerna kan de försäkra sina
kunder att värdefulla personuppgifter kommer att förvaltas med vederbörlig
omsorg och vaksamhet. Förtroendet för de enhetliga EU-reglerna blir en
konkurrensfördel för tjänsteföretag och ett incitament för investerare som
letar efter de bästa villkoren när de bestämmer var tjänsterna ska vara belägna. För att stärka dataskyddets inremarknadsaspekter
föreslår kommissionen följande: - Fastställa dataskyddsreglerna på EU-nivå i
form av en förordning som är direkt tillämplig i alla medlemsstater[23], vilket innebär att man inte
längre måste tillämpa olika nationella dataskyddslagar samtidigt och ovanpå
varandra. På så sätt sparar företagen omkring 2,3 miljarder euro netto
om året enbart på minskade administrativa bördor. - Förenkla reglerna, minska krånglet
drastiskt och avskaffa formkrav såsom generell anmälningsplikt (vilket
innebär besparingar på 130 miljoner euro netto om året enbart i form av
minskade administrativa bördor). Med tanke på mikroföretagens, småföretagens
och de medelstora företagens betydelse för den europeiska ekonomisk
konkurrenskraft ska särskild uppmärksamhet ägnas deras behov. - Stärka de nationella
dataskyddsmyndigheternas oberoende och befogenheter så att de kan utföra
utredningar, fatta bindande beslut och påföra verkningsfulla, avskräckande
sanktioner samt ålägga medlemsstaterna att ge myndigheterna tillräckliga
resurser för detta. - Sätta upp ett system med en enda instans
för dataskyddet i EU: registeransvariga i EU behöver bara vända sig till en
enda dataskyddsmyndighet, nämligen den i den medlemsstat där företagets
huvudsakliga driftsställe är etablerat. - Skapa förutsättningar för snabbt,
effektivt samarbete mellan dataskyddsmyndigheterna, vilket innefattar en
skyldighet för en myndighet att utföra utredningar och inspektioner på en annan
myndighets begäran och ömsesidigt erkänna varandras beslut. - Inrätta en mekanism för enhetlighet på
EU-nivå för att se till att de beslut av dataskyddsmyndigheterna som får vidare
verkan i EU fattas med beaktande av de andra myndigheternas åsikter och
överensstämmer med EU-rätten. - Uppgradera artikel 29-gruppen till en
oberoende europeisk dataskyddsstyrelse för att stärka dess bidrag
till enhetlig tillämpning av dataskyddsrätten, ge en fast grund för samarbetet
mellan dataskyddsmyndigheterna (inklusive Europeiska datatillsynsmannen) och
stärka samverkansfördelarna och genomslaget genom att föreskriva att Europeiska
dataskyddsstyrelsens sekretariat ska tillhandahållas av Europeiska
datatillsynsmannen. Tack vare den nya förordningen får den
grundläggande rättigheten till skydd av den personliga integriteten ett starkt
skydd i hela EU, samtidigt som den inre marknadens funktion stärks. Eftersom
skyddet av personuppgifter enligt EU-domstolens rättspraxis[24] inte är en ovillkorlig rätt
utan måste betraktas i ljuset av sin samhällsfunktion[25] och ställas mot andra
grundläggande rättigheter i enlighet med proportionalitetsprincipen[26] kommer förordningen samtidigt
att innehålla uttryckliga stadganden för att garantera skyddet av andra
grundläggande rättigheter såsom yttrande- och informationsfriheten, rätten till
försvar, tystnadsplikten (t.ex. för jurister) och kyrkors ställning enligt
medlemsstaternas rättsordningar.
4.
ANVÄNDNING AV PERSONUPPGIFTER I POLISIÄRT OCH STRAFFRÄTTSLIGT
SAMARBETE
I och med att Lissabonfördraget trädde i kraft
infördes en ny rättslig grund (artikel 16 i fördraget om Europeiska
unionens funktionssätt) som gör det möjligt att fastställa heltäckande
dataskyddsregler som garanterar ett starkt skydd för enskildas personuppgifter,
och samtidigt tar hänsyn till särdragen hos det polisiära och straffrättsliga
samarbetet. Särskilt blir det med den nya rättsliga grunden möjligt att låta
EU:s nya dataskyddsregler täcka både gränsöverskridande och inhemsk behandling
av personuppgifter. Detta skulle minska skillnaderna mellan medlemsstaternas
lagstiftning och antagligen stärka skyddet av personuppgifter generellt. Det
torde också leda till smidigare informationsutbyte mellan medlemsstaternas
polisk och rättsväsende och därigenom förbättra samarbetet i kampen mot
allvarlig brottslighet i EU. Polisens och rättsväsendets behandling av
personuppgifter i straffrättsliga frågor regleras för närvarande främst i
rambeslut 2008/977/RIF, som trädde i kraft före Lissabonfördraget. Eftersom
det är ett rambeslut har kommissionen ingen befogenhet att se till att det
efterlevs, vilket har bidragit till att det tillämpas olika. Dessutom omfattar
rambeslutet bara gränsöverskridande behandling av uppgifter[27]. Det innebär att om
personuppgifterna inte överförts till ett annat land omfattas de inte av
EU-reglerna om behandling och skydd av personuppgifter. Detta innebär också i
vissa fall praktiska problem för polis och andra rättsvårdande myndigheter,
eftersom det inte alltid är uppenbart om behandlingen är rent inhemsk eller
gränsöverskridande, eller för den delen förutse om inhemska uppgifter i ett
senare skede kan komma att överföras till ett annat land[28]. Syftet med EU:s nya dataskyddsregler är därför en
enhetligt hög nivå på skyddet av personuppgifter för att stärka förtroendet
mellan polis och rättsvårdande myndigheter i olika medlemsstater och på så sätt
bidra till ett fritt flöde av personuppgifter och verkningsfullt samarbete
mellan polis och rättsväsende. För att ombesörja ett starkt skydd av
personuppgifter inom polisiärt och straffrättsligt samarbete och underlätta
överföringar av personuppgifter mellan medlemsstaternas polis och rättsliga
myndigheter föreslår kommissionen som en del av dataskyddspaketet ett direktiv
enligt följande: - Generella dataskyddsprinciper som ska
tillämpas på polisiärt och straffrättsligt samarbete
under hänsynstagande till dessa områdens särdrag[29]. - Harmoniserade minimikrav och
villkor för inskränkningar av de generella reglerna. Detta omfattar bl.a.
enskildas rätt att informeras när polis eller rättsliga myndigheter behandlar
eller läser personuppgifter om dem. Sådana inskränkningar är nödvändiga för att
verkningsfullt förebygga, utreda, uppspåra eller beivra brott. - Särskilda regler anpassade till
den rättsvårdande verksamhetens särdrag, bl.a. en distinktion mellan olika kategorier
av registrerade som kan ha olika rättigheter (t.ex. vittnen och misstänkta).
5.
SKYDD AV PERSONUPPGIFTER I EN GLOBALISERAD VÄRLD
Individernas rättigheter måste garanteras även när
personuppgifter överförs från EU till omvärlden, och när individer i EU:s
medlemsstater blir måltavla och deras personuppgifter används eller analyseras
av företag utanför EU. Det innebär att EU:s krav på uppgiftsskydd måste gälla
oavsett var ett företag eller dess behandlingsanläggning ligger rent
geografiskt. I dagens globaliserade värld överförs
personuppgifter över allt fler virtuella och geografiska gränser och lagras på
servrar i många länder. Alltfler företag erbjuder molntjänster, så att kunderna
kan hämta och lagra data på fjärrservrar. Det innebär att de nuvarande formerna
för överföring av data till länder utanför EU behöver förbättras, bl.a. i fråga
om beslut om huruvida uppgiftsskyddet i utomeuropeiska länder adekvat och
lämpliga skyddsåtgärder såsom standardklausuler i avtal eller bindande
företagsregler[30],
för att garantera ett fullgott skydd för personuppgifter vid behandling
utomlands och för att underlätta flödet av personuppgifter över gränserna. Bindande företagsregler En koncern behöver med jämna mellanrum
överföra personuppgifter från sina dotterbolag i EU till dotterbolag utanför EU.
Koncernen vill införa en uppsättning bindande företagsregler för att följa EU-lagstiftningen
och samtidigt begränsa administrationen för varje enskild överföring. Med
bindande företagsregler kan man på ett praktiskt sätt se till att samma regler
gäller hela koncernen i stället för diverse avtal mellan företagen i koncernen. Enligt rådande praxis, som överenskommits i
artikel 29-gruppen, behöver ett företags bindande regler gås igenom
grundligt av tre dataskyddsmyndigheter (en föredragande och två bisittare) för
att godkännas som garantier för en adekvat skyddsnivå, och andra dataskyddsmyndigheter
får lämna synpunkter. Vidare krävs enligt många medlemsstaters lagstiftning
ytterligare nationella tillstånd för överföringar enligt de bindande
företagsreglerna, och det gör det väldigt betungande, kostsamt, långdraget och
svårt att få dem godkända. Med de nya dataskyddsreglerna - blir processen enklare och mer
strömlinjeformad, - behöver bindande företagsregler bara
godkännas av en enda dataskyddsmyndighet, och det kommer att finnas former för
snabb rådfrågning av andra berörda dataskyddsmyndigheter, - blir en uppsättning bindande företagsregler,
när den väl godkänts av en myndigheter, giltig i hela EU utan att det krävs
fler nationella godkännanden. För att möta globaliseringens utmaningar behövs
flexibla verktyg och mekanismer, särskilt för företag på världsmarknaden,
samtidigt som individernas personuppgifter måste skyddas utan kryphål. Kommissionen
föreslår följande: - Tydliga regler för när EU-lagstiftningen är tillämplig på registeransvariga
etablerade i länder utanför EU. Bl.a. föreskrivs att när varor och tjänster
bjuds ut till individer i EU eller när dessas beteende övervakas gäller
EU-regler. - Alla beslut om adekvat skydd kommer
att fattas av kommissionen enligt uttryckliga, tydliga kriterier, även inom
polisiärt och straffrättsligt samarbete. - Legitima överföringar av data till länder
utanför EU underlättas genom stärkta, förenklade regler för internationell
överföring till länder som inte är föremål för något beslut om adekvat
skydd, bl.a. genom förenklingar och ökad användning av bindande
företagsregler och liknande, så att de kan täcka registerförare
och gälla inom koncerner, vilket bättre svarar mot det växande antalet
företag som sysslar med databehandling, särskilt molntjänster. - Dialog och i förekommande fall förhandlingar
med länder utanför EU, särskilt EU:s strategiska partnerländer och länder inom
den europeiska grannskapspolitiken, och internationella organisationer (t.ex.
Europarådet, OECD och FN) ska föras för att främja ett starkt, kompatibelt
skydd för personuppgifter i hela världen.
6.
SLUTSATSER
Reformen av EU:s skydd av personuppgifter går ut
på att bygga ett modernt, starkt, enhetligt och heltäckande skydd för EU.
Individernas grundläggande rätt att få sina personuppgifter skyddade kommer
att stärkas. Andra rättigheter ska respekteras, t.ex. yttrandefriheten och
informationsfriheten, barnets rättigheter, näringsfriheten, rätten till en
rättvis rättegång, tystnadsplikten (bl.a. för jurister) och kyrkornas ställning
enligt medlemsstaternas rättsordningar. Reformen kommer först och främst att gynna
individerna genom att stärka skyddet av deras personuppgifter och främja deras
förtroende för de digitala tjänsterna. Den kommer också att avsevärt förenkla
de rättsliga förutsättningarna för företagen och den offentliga sektorn, något
som torde stimulera den digitala ekonomisk utveckling på och utanför den inre
marknaden i enlighet med målen i strategin Europa 2020 och den digitala
agendan för Europa. Slutligen kommer reformen att stärka de rättsvårdande
myndigheternas förtroende för varandra, så att det blir enklare för dem att
utbyta uppgifter sinsemellan och samarbeta i kampen mot allvarlig brottslighet,
samtidigt som ett starkt skydd för individen säkerställs. Kommissionen kommer att samarbeta med
Europaparlamentet och rådet för att få till stånd enighet om EU:s nya
dataskyddsregler före utgången av 2012. Under beredningen och efteråt, bl.a. i
och med att de nya rättsakterna ska genomföras, kommer kommissionen att
föra en lyhörd, öppen dialog med alla berörda parter från privat
och offentlig sektor. Det omfattar bl.a. företrädare för polis och rättsväsende,
det civila samhällets organisationer, dataskyddsmyndigheter, forskare samt
företrädare för specialiserade EU-organ som Eurojust, Europol, Europeiska byrån
för grundläggande rättigheter och Europeiska byrån för nät- och
informationssäkerhet. Eftersom informationstekniken och de sociala
beteendena hela tiden utvecklas har en sådan dialog största betydelse för
inhämtning av det underlag som krävs för att garantera ett starkt skydd för
individers personuppgifter, EU-företagens tillväxt och konkurrenskraft, den
offentliga sektorns (däribland polisens och rättsväsendets) effektivitet och
lindriga administrativa bördor. [1] Världsmarknaden för analys av mycket stora datamängder
växer med 40 % om året: http://www.mckinsey.com/mgi/publications/big_data/. [2] Jfr Europeiska rådets slutsatser av den 23 oktober 2011,
där man framhävde att den inre marknaden ”spelar en viktig roll när det gäller
att skapa tillväxt och sysselsättning” och att den digitala inre marknaden bör
färdigställas senast 2015. [3] KOM(2010) 171 slutlig. [4] KOM(2010) 245 slutlig. [5] KOM(2010) 2020 slutlig. [6] Direktiv 95/46/EG om skydd för enskilda personer med
avseende på behandling av personuppgifter och om det fria flödet av sådana
uppgifter, EGT L 281, 23.11.1995, s. 31. [7] Särskilda regler för medlemsstaternas behandling av
uppgifter inom ramen för den gemensamma utrikes- och säkerhetspolitiken ska
fastställas i ett rådsbeslut med stöd av artikel 39 i fördraget om
Europeiska unionen. [8] KOM(2009) 262 respektive KOM(2010) 171. [9] Två offentliga samråd har hållits om reformerna av
dataskyddet, ett i juli–december 2009 (http://ec.europa.eu/justice/news/consulting_public/news_consulting_0003_en.htm)
och ett november 2010–January 2011 (http://ec.europa.eu/justice/news/consulting_public/news_consulting_0006_en.htm). [10] Riktade samråd hölls under 2010 med medlemsstaternas
myndigheter och privata intressenter. I november 2010 anordnade ledamoten av
kommissionen med ansvar för rättvisa, Viviane Reding, ett rundabordssamtal i
frågan. Särskilda symposier och seminarier om särskilda frågor (t.ex. varningar om dataintrång) anordnades också
under 2011. [11] KOM(2010) 609. [12] Se skrivelse från ledamoten av kommissionen med ansvar för
rättvisa, Viviane Reding, av den 19 september 2011 till ledamöterna i
artikel 29-gruppen: http://ec.europa.eu/justice/data-protection/article-29/documentation/other-document/index_en.htm. [13] Se konsekvensbedömningen SEK(2012)72. [14] Detta kommer i ett senare skede att medföra ändringar för
anpassning av särskilda eller sektorsspecifika rättsakter, t.ex. förordning
(EG) nr 45/2001, EGT L 8, 12.1.2001, s. 1. [15] Förordningen omfattar också ett begränsat antal tekniska
anpassningar av e-integritetsdirektivet (direktiv 2002/58/EG, EUT L 337,
18.12.2009, s. 11) eftersom direktiv 95/46/EG ersätts av en förordning. Den nya
förordningens och det nya direktivets materiella rättsliga inverkan på
e-integritetsdirektivet kommer i ett senare skede att ses över av kommissionen,
under hänsynstagande till resultaten av de pågående förhandlingarna om
förslagen med Europaparlamentet och rådet. [16] Rambeslut 2008/977/RIF av den 27 november 2008 om skydd av
personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt
samarbete, EUT L 350, 30.12.2008, s. 60. En rapport om medlemsstaternas
tillämpning av rambeslutet, COM(2012) 12, läggs fram som en del av
reformpaketet på detta område. [17] Se särskild Eurobarometerundersökning 359, Attitudes on
Data Protection and Electronic Identity in the European Union, juni 2011,
s. 23. [18] A.a, s. 54. [19] Se En digital agenda för Europa, s. 4. [20] För närvarande är detta bara obligatoriskt inom
telesektorn i enlighet med e-integritetsdirektivet. [21] Mer om detta i konsekvensbedömningen som åtföljer
lagförslagen, SEC(2012) 72. [22] Artikel 29-gruppen inrättades 1996 med stöd av
artikel 29 i direktiv 95/46/EG som ett rådgivande organ. Den består
av företrädare för de nationella dataskyddsmyndigheterna, Europeiska
datatillsynsmannan och kommissionen. Mer information om gruppens verksamhet: http://ec.europa.eu/justice/policies/privacy/workinggroup/index_en.htm. [23] Enligt förslaget ska reglerna för polisiärt och
straffrättsligt samarbete fastställas i ett direktiv (se avsnitt 4), så
att medlemsstaterna får mer flexibilitet på detta område. [24] Europeiska unionens domstol, dom av den 9 november 2010 i
förenade målen C-92/09 och C-93/09 Volker und Markus Schecke och Eifert [2010],
ännu inte publicerad i REG. [25] I enlighet med artikel 52.1 i stadgan får
begränsningar av rätten till skydd av personuppgifter göras om begränsningarna
är föreskrivna i lag, förenliga med det väsentliga innehållet i rättigheterna
och friheterna, nödvändiga med beaktande av proportionalitetsprincipen och
faktiskt svarar mot mål av allmänt samhällsintresse som erkänns av EU eller
behovet av skydd för andra människors rättigheter och friheter. [26] Europeiska unionens domstol, dom av den 6 november 2003 i
mål C-101/01, Lindqvist REG 2003, s. I-12971, punkterna 82–90, dom av den 16 december 2008 i mål C-73/07,
Satamedia, REG 2008, s. I-9831, punkterna 50–62. [27] Närmare bestämt gäller rambeslutet personuppgifter som
överförs, har överförts, görs eller har gjorts tillgängliga mellan
medlemsstaterna eller mellan medlemsstaterna och EU:s institutioner och organ
(se artikel 1.2). [28] Några medlemsstater bekräftade detta när de svarade på
kommissionens frågeformulär inför rapporten om tillämpningen av rambeslutet, COM(2012) 12.
[29] Se förklaring nr 21 om skydd av personuppgifter på
området för straffrättsligt samarbete och polissamarbete, som fogats till
slutakten från den regeringskonferens som antagit Lissabonfördraget. [30] Bindande företagsregler är etiska regler som bygger på
europeiska dataskyddskrav och har godkänts av minst en dataskyddsmyndighet.
Företag upprättar dem på frivillig grund och efterlever dem för att ombesörja
ett adekvat skydd vid överföringar av personuppgifter mellan företag i samma
grupp av företag som är bundna av samma regler. De nämns inte uttryckligen i
direktiv 95/46/EG men har vuxit fram i dataskyddsmyndigheternas praxis med stöd
av artikel 29-gruppen.