Exempel på EU-direktiv och förordningar Dataskyddsförordningen Dataskyddsförordningen

Den viktigaste rättsakten på dataskyddsområdet är dataskydds-direktivet66 som antogs 1995. Dataskyddsdirektivet har i Sverige genomförts genom personuppgiftslagen (1998:204) och ett antal särregleringar i förhållande till denna lag, till exempel patientdata-lagen (2008:355). I januari 2012 presenterade EU-kommissionen ett förslag på reform av EU:s regler om skydd för personuppgifter, som innebär att dataskyddsdirektivet kommer att ersättas av en ny allmän dataskyddsförordning67. Förslaget ska anpassa dataskydds-direktivet till den tekniska utveckling som skett, effektivisera skyddet av personuppgifter för att förbättra den inre marknadens funktion och öka enskildas kontroll över personuppgifter. Efter-som det ursprungliga dataskyddsdirektivet införts på olika sätt i medlemsländerna, syftar förslaget även till en ökad harmoni-sering.68 I och med att förslaget föreslås som en förordning och

som sådan är direkt tillämplig i medlemsstaterna och gäller som lag, kommer regleringen, om det genomförs, att ersätta inte bara data-skyddsdirektivet utan även personuppgiftslagen. I reformen ingår även ett förslag till direktiv69 som ska ersätta rådets rambeslut70 om skydd för personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete med särskilda regler om skydd av personuppgifter i frågor som rör polisiärt och straffrättsligt 66 Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter.

67 Förslag till Europaparlamentets och rådets förordning om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (allmän uppgiftsförordning) COM (2012) 11 final.

68 Förslag till Europaparlamentets och Rådets förordning om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (allmän uppgiftsskyddsförordning), COM (2012)11 final.

69Förslag till Europaparlamentets och rådets direktiv om skyddet av enskilda vid behöriga myndigheters behandling av personuppgifter i syfte att förebygga, utreda, avslöja eller lag-föra brott eller verkställa straffrättsliga påföljder samt fri rörlighet för sådana uppgifter, COM (2012) 10 final.

70 Rådets rambeslut av den 27 november 2008 om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete.

samarbete. Nedan berörs bara den förslagna dataskyddsförord-ningen.

Förslaget till dataskyddsförordning omfattar hantering av per-sonuppgifter för aktörer inom både den privata och den offentliga sektorn. I vilken utsträckning den offentliga sektorn ska omfattas har varit omdiskuterat, men det har uttalats av rådet att medlems-staterna ska tillerkännas ett visst utrymme i nationell lagstiftning att avvika eller specificera regleringen inom vissa områden.71 Vad

utfallet blir är ännu inte fastställt. Förslaget baseras i stor del på den struktur och reglering som finns i det nu gällande dataskydds-direktivet, men innehåller även en del nyheter. Vad gäller över-föring av uppgifter till tredje land har det föreslagits att företag utanför EU som erbjuder tjänster till konsumenter inom EU ska följa dataskyddsförordningen i sin helhet. En rätt att bli bortglömd föreslås, det vill säga att en enskild under vissa förutsättningar ska kunna se till att sina uppgifter raderas och inte sprids ytterligare. Samtyckets definition förändras genom att det kommer krävas att samtycket är uttryckligt istället för underförstått, som gäller enligt gällande reglering (med undantag för känsliga personuppgifter). En princip om ”one stop shop” föreslås, vilken bland annat innebär att individen ska ha möjlighet att vända sig till tillsynsmyndigheten i sitt hemland vid frågor om personuppgiftshantering även om den personuppgiftsansvarige är etablerad i ett annat land.

Det föreslås vidare en rätt till uppgiftsportabilitet72 och skyldig-heter för den personuppgiftsansvariga och den som behandlar upp-gifterna för dennes räkning. Till exempel ska personuppgifts-ansvarig rapportera säkerhetsincidenter till tillsynsmyndigheten. Vidare införs en skyldighet för tillsynsmyndigheter att utfärda sanktionsavgifter mot vissa överträdelser av

71Detta framgår av rådets tillfälliga partiella överenskommelse avseende ändringar i artikel 1, 6 (punkt 20 och 3) och 21 samt kapitel IX i dataskyddsförordningen vid rådsmötet den 4 december 2014, se rådsdokumentet daterat den 1 december 2014 från det italienska ord-förandeskapet (Proposal for a Regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation) = Partial general approach = Orientation debate, interinstitutional file 2012/0011 (COD), Brussels, 1 Dec-ember 2014).

72Uppgiftsportabilitet innebär bland annat att den registrerade ska ha rätt att få en kopia av de personuppgifter som behandlas och en rätt att få personuppgifter överförda från en personuppgiftsansvarig (till exempel en tjänsteleverantör) till en annan.

ningen som kan uppgå till 1 miljon euro eller 2 procent av ett företags globala omsättning.73

Sveriges grundinställning i arbetet med förslaget har varit att det är av yttersta vikt att medlemsstaterna i så stor utsträckning som möjligt ges behörighet att i nationell lagstiftning reglera behandling av personuppgifter i särskilda registerlager så att inte sektors-specifika regleringar försvagas, vilket är en av flera omständigheter som motiverat Sverige att driva linjen att den aktuella rättsakten ska ges formen av ett direktiv i stället för en förordning.74 Diskuss-ioner kring hantering av sådana regleringar har förts i rådet vid mötet i december 2014.75 Regeringen har bland annat även verkat

för att dataskyddsförordningen ska utformas enligt en missbruks-modell som personuppgiftslagen är i dag. Det vill säga en missbruks-modell som i princip tillåter personuppgiftsbehandlingen så länge den inte innebär en kränkning av den personliga integriteten.76 Förslaget är utformat enligt en hanteringsmodell, som innebär att hanteringen av personuppgifter regleras från det att personuppgifterna samlas till dess de utplånas oavsett om uppgifterna kan betecknas som harmlösa eller känsliga.77

Dataskyddsförordningen kommer att träda i kraft två år efter att den har antagits78, men innan ett slutligt förslag är på plats krävs dels att rådet uppnår en gemensam ståndpunkt om dataskyddsför-ordningen och dels att kommissionen, parlamentet och rådet där-efter når en slutlig överenskommelse om dataskyddsförordningen. 73 Parlamentet har istället förslagit sanktionsavgifter om högst 10 miljoner euro eller fem procent av företags globala omsättning, Europeiska kommissionen, PM, Progress on EU data

protection reform now irreversible following European Parliament vote, 12 mars 2014,

Strasbourg.

74 Regeringskansliet, Justitiedepartementet, Rådspromemoria Rådets möte för rättsliga och

inrikes frågor (RIF) den 4–5 december 2014, Justitiedepartementet, daterat den 21 november

2014.

75 Rådets tillfälliga partiella överenskommelse avseende ändringar i artikel 1, 6 (punkt 20 och 3) och 21 samt kapitel IX i dataskyddsförordningen vid rådsmötet den 4 december 2014, se rådsdokumentet daterat den 1 december 2014 från det italienska ordförandeskapet (Proposal for a Regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General DataProtection Regulation) = Partial general approach = Orientation debate, interinstitutional file 2012/0011 (COD), Brussels, 1 December 2014).

76 Till exempel e-post och ordbehandling.

77 Regeringskansliet, Justitiedepartementet Faktapromemoria 2011/12:FPM117 Allmän

data-skyddsförordning daterad den 27 februari 2012, s. 10.

78 Det vill säga två år efter dataskyddsförordningen offentliggjorts I europeiska unionens tidning enligt artikel 91 dataskyddsförordningen.

Rådet skulle ha nått en gemensam ståndpunkt i december 201479, men så blev det inte. Det återstår att se när arbetet med data-skyddsförordningen är genomfört.

NIS-direktivet

I februari 2013 lade Europeiska kommissionen och Europeiska utrikestjänsten fram en strategi för internetsäkerhet. EU:s strategi för it-säkerhet: en öppen, säker och trygg cyberrymd. Strategin syftar till att främja frihet och demokrati samt till att den digitala ekonomin ska kunna växa på ett säkert sätt. I strategin anges bland annat att särskilda åtgärder planeras för att stärka beredskapen inom it-systemen, minska it-brottsligheten och stärka EU:s inter-nationella policy för it-säkerhet och it-försvar kopplade till den gemensamma säkerhets- och försvarspolitiken samt att utveckla industrilösningar och teknologiska lösningar för it-säkerhet.80

I samband med offentliggörandet av it-strategin lade kom-missionen även fram ett förslag på direktiv om nät- och inform-ationssäkerhet81, det så kallade NIS-direktivet, som utgör en viktig del i den övergripande strategin.

NIS-direktivet syftar till att säkerställa en hög gemensam nivå av nät- och informationssäkerhet för att förbättra säkerheten för internet och för de privata nät- och informationssystem som behövs för att våra samhällen och ekonomier ska fungera. Förslaget läggs fram mot bakgrund av att kommissionen anser att den fri-villiga väg inom EU som hittills valts inte ger tillräckligt starkt skydd mot nät- och informationsincidenter och att de initiativ som har tagits i medlemsstaterna avseende beredskap och kapacitet är på olika nivå, vilket skapar en fragmentering inom EU som hindrar uppbyggandet av förtroende mellan medlemsstaterna.

79Justice and home Affairs, Council October 2014, Press Conference Part 2 (Justice), Preliminary remarks by Martine REICHERTS, European Commissioner for Justice, following the Justice and Home Affairs Council focused on Justice on 10 October 2014, in Luxembourg, http://tvnewsroom.consilium.europa.eu/event/justice-and-home-affairs-council-october-2014/press-conference-justice-part-2182#/event-media

80 Europeiska kommissionen, pressmeddelande, EU:s plan för it-säkerhet ska skydda ett öppet

internet, Bryssel, den 7 februari 2013.

81 Förslag till Europaparlamentets och rådets direktiv om åtgärder för att säkerställa en hög gemensam av nät och informationssäkerhet i hela unionen COM(2013) 48 final.

I direktivet föreslås att respektive medlemsstat ska säkerställa en miniminivå av nationell kapacitet genom att inrätta en nationell behörig myndighet för nät- och informationssäkerhet som över-vakar tillämpningen av direktivet i medlemsstaten och genom att inrätta en incidenthanteringsorganisation som ska ansvara för han-tering av incidenter och risker. Därutöver föreslås också att varje medlemsstat ska anta nationella strategier respektive nationella samarbetsplaner för nät- och informationssäkerhet.

Det föreslås vidare att de nationella behöriga myndigheterna tillsammans med kommissionen ska samarbeta i ett nätverk för informationsutbyte för att bland annat flagga upp risker och för att göra gemensamma insatser på EU-nivå.

Förslaget avser även säkerställa att en riskhanteringskultur utvecklas mellan privat och offentlig sektor. Den offentliga förvalt-ningen, det vill säga myndigheter, kommuner och landsting, och marknadsoperatörer ska åläggas att bedöma de risker som de står inför och vidta ändamålsenliga åtgärder som är proportionella till hoten. Dessa ska även vara skyldiga att underrätta den behöriga myndigheten för nät- och informationssäkerhet i medlemsstaten om incidenter som har betydande inverkan på säkerheten för de kärntjänster som tillhandahålls. Med marknadsoperatörer avses i förslaget leverantörer av tjänster som möjliggör tillhandahållandet av andra tjänster (till exempel e-handelsplattformar, sociala medier och molntjänster), och operatörer av kritisk infrastruktur som krävs för att upprätthålla centrala ekonomiska och samhälleliga funktioner (operatörer inom områden som energi-, transport-, bank, börs- samt hälso- och sjukvårdsverksamhet). Vilka som ska omfattas av dessa skyldigheter råder det delande meningar om och Europaparlamentet har i sin version av förslaget exkluderat leve-rantörer av sådana informationssamhälletjänster så som moln-tjänster, men även offentliga förvaltningar generellt, från dessa skyldigheter. Incidenttrapporteringen ska istället vara frivillig för sådana marknadsoperatörer.82

82 Europaparlamentets lagstiftningsresolution av den 13 mars 2014 om förslaget till Europa-parlamentets och rådets direktiv om åtgärder för att säkerställa en hög gemensam nivå av nät- och informationssäkerhet i hela unionen (COM(2013)0048 – C7-0035/2013 – 2013/0027(COD)) (Ordinarie lagstiftningsförfarande: första behandlingen), artikel 3 och 14, http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//TEXT+TA+P7-TA-2014-0244+0+DOC+XML+V0//SV.

Regeringen har uttalat sig avseende kommissionens förslag och anser att detta är för omfattande, långtgående och oproportioner-ligt kostsamt i förhållande till vad som kan förväntas uppnås däri-genom.83 Regeringen anser också att åtgärderna i direktivet inte bör vara tvingande, utan bör genomföras utifrån de förutsättningar som finns i respektive medlemsstat samt att EU:s gemensamma nät- och informationssäkerhet istället kan stärkas genom icke tvingande åtgärder, genom samverkan mellan medlemsstaterna och ett aktivt nationellt arbete.84

Av förslaget framgår att åtgärderna enligt direktivet ska vara genomförda inom ett till ett och ett halvt år efter beslut om direk-tivet,85 vilket regeringen anser är en orimligt kort tidsfrist. Europa-parlamentet beslutade om sin version av NIS-direktivet i mars 2014 och nu ska rådet besluta om förslaget. För närvarande diskuteras förslaget mellan rådet och parlamentet avseende frågor om bland annat direktivets omfattning.86

E-verifikationsdirektivet

Mot bakgrund av att allt fler förfalskade läkemedel avseende identitet, historia eller ursprung upptäcktes inom EU antog Euro-paparlamentet och rådet den 8 juni 2011 ett direktiv (2011/62/EU) om ändring av direktivet 2001/83/EG om upprättande av gemen-skapsregler för humanläkemedel, det så kallade E-verifikations-direktivet87, Det ursprungliga direktivet inkluderar föreskrifter om tillverkning, distribution och användningen av läkemedel med huvudsyftet att värna om folkhälsan.

83Regeringskansliet, Försvarsdepartementets faktapromemoria 2012/13:FPM68

NIS-direk-tivet, daterad den 6 mars 2013.

84Regeringskansliet, Försvarsdepartementets faktapromemoria 2012/13:FPM68

NIS-direk-tivet, daterad den 6 mars 2013.

85 Europeiska kommissionen, pressmeddelande, EU:s plan för it-säkerhet ska skydda ett öppet

internet, Bryssel, den 7 februari 2013, artikel 21, Regeringskansliet, Försvarsdepartementets

faktapromemoria 2012/13:FPM68 NIS-direktivet, daterad den 6 mars 2013.

86 Europeiska rådet, pressmeddelande, 3350:de rådsmötet avseende transport, telekom-munikation och energi, Bryssel, den 27 november 2014, s. 13, och Institutional File 2013/0027, Presedency Information, Proposal for a Directive of the European Parliament and

of the Council concerning measures to ensure high common level of network and information security across the Union – Information on the state of play, Bryssel, 19 November 2014.

87 Europarlamentets och rådets direktiv 2011/62/EU av den 8 juni 2011 om ändring av direktiv 2001/83/EG om upprättande av gemenskapsregler för humanläkemedel vad gäller att förhindra att förfalskade läkemedel kommer in i den lagliga försörjningskedjan.

Syftet med ändringsdirektivet var att införa harmoniserade regler som motverkar att förfalskade läkemedel kommer in i den lagliga distributionskedjan och som säkerställer en hög skyddsnivå för folkhälsan. Direktivet implementerades i Sverige genom främst ändringar i läkemedelslagen (1992:859), vilka trädde i kraft den 1 mars 2013. Ändringsdirektivet innehåller därför bland annat regler för att kunna skilja förfalskade läkemedel från andra läkemedel och regler som syftar till att trygga tillförlitligheten i hela distribu-tionskedjan. Det innehåller också obligatoriska krav på säkerhets-detaljer på förpackningar för receptbelagda läkemedel, med vissa undantag, för att förhindra att förfalskade läkemedel att nå patienterna i de fall förfalskningarna inte på annat sätt upptäckts av myndigheter eller aktörer i distributionskedjan. Säkerhetsdetaljerna ska bestå av en unik förpackningsidentitet kombinerad med säker-hetsförslutning.

Det framgår även att databassystem (verifikationssystem) ska upprättas som innehåller uppgifter om säkerhetsdetaljerna och ska användas för att möjliggöra kontroll av äktheten av läkemedel över hela EES.88 Hur detta ska gå till och mer bestämmelser om hur säkerhetsdetaljerna ska se ut, vilka läkemedel som ska förses med säkerhetsdetaljer och hur kontrollen av säkerhetsdetaljer ska utföras ska kommissionen definiera genom att anta så kallade dele-gerade akter89. Målsättningen var att kommissionen skulle anta de delegerade akterna under 2014. Detta har blivit något förskjutet.90

Det föreskrivs i ändringsdirektivet att det ska vara tillverkarna av läkemedel, som ska bära kostnaderna för databassystemet.91 På

europeisk nivå har den icke vinstdrivande intresseorganisationen European Medicines Verification Organisation (EMVO) bildats av 88 Europarlamentets och rådets direktiv 2011/62/EU av den 8 juni 2011 om ändring av direktiv 2001/83/EG om upprättande av gemenskapsregler för humanläkemedel vad gäller att förhindra att förfalskade läkemedel kommer in i den lagliga försörjningskedjan, artikel 54a, punkt 2.

89 Enligt artikel 290 i EUF-fördraget kan kommissionen tilldelas befogenheter att anta deleg-erade akter då enhetliga regler för genomförandet av EU:s lagstiftning krävs. En delegerad akt är en EU-rättsakt som kompletterar eller ändrar vissa icke väsentliga delar av lagstift-ningsakten.

90 Skr. 2012/13:40, beslut i bet. 2012/13:NU7, rskr. 2013/14:141.

91 Europarlamentets och rådets direktiv 2011/62/EU av den 8 juni 2011 om ändring av direktiv 2001/83/EG om upprättande av gemenskapsregler för humanläkemedel vad gäller att förhindra att förfalskade läkemedel kommer in i den lagliga försörjningskedjan, artikel 54a, punkt 2.

olika intresseorganisationer92 med uppgift att bland annat etablera

ett övergripande europeiskt system, som ska bestå av ett europeiskt nav (European Hub), till vilket nationella eller regionala databas-erna hos varje medlemsstat ska vara kopplade.93 EMVO ska även

ansvara för att det europeiska navet fungerar, sätta standarder och säkerställa kvalitet och tillgänglighet till detta. Avsikten är att de nationella eller regionala databaserna ska hanteras av nationella eller regionala organisationer i respektive medlemsstat.

I Sverige har Läkemedelsindustriföreningen (LIF), Sveriges Apoteksförening, Läkemedelsdistributörsföreningen och Läkemedels-handlarna ingått en avsiktsförklaring för att bland annat samarbeta om att beskriva förutsättningarna för utveckling av ett svenskt verifikationssystem, inklusive en databas, som ska vara kompatibelt med och kopplat till det europeiska. Med stöd av verifikations-systemet ska läkemedel kunna kontrolleras i alla led, från tillverkare till det att apoteket expedierar läkemedlet till patient.94 I avvaktan på kommissionens delegerade akt om det aktuella området förs alltså diskussioner mellan intressegrupper, enligt ovan beskrivna avsiktsförklaring, för hur verifikationssystemet ska kunna hanteras i Sverige.

Anmälningsdirektivet – anmälan

Sedan 1983 finns inom EU en anmälningsprocedur som syftar till att motverka handelshinder orsakade av tekniska föreskrifter på det icke-harmoniserade området. Bestämmelserna finns nu i Europa-parlamentets och rådets direktiv 98/34/EG av den 22 juni 1998 om ett informationsförfarande beträffande tekniska standarder och föreskrifter och beträffande föreskrifter för informationssamhällets tjänster (ändrat genom Europaparlamentets och rådets direktiv 92 European Medicines Verification Organisation har bildats av de europeiska intresse-organisationerna EAEPC (European Associate of Euro-Pharmaceutical Companies), EFPIA (European Federation of Pharmaceutical Industries and Associations), GIRP (European Association of Pharmaceutical Full-Line Wholesalers) och PGEU (Pharmaceutical Group of the European Union representing community pharmacists).

93 Memorandum of Understanding between EFPIA, PGEU, GIRP and EAEPC on the Formation and Governance of a Joint Stakeholder-Run Verification System of Pharma-ceutical Products in Europe, dated 15 February 2012.

94 Avsiktsförklaring mellan Läkemedelsindustriföreningen, Sveriges Apoteksförening, Läke-medelsdistributörsföreningen och Läkemedelshandlarna om bildandet och styrning av ett gemensamt intressestyrt verifikationssystem för läkemedel i Sverige, version 1.0, 2013-10-09.

98/48/EG). Syftet med anmälningsproceduren är att nationella tekniska regler inte ska skapa omotiverade handelshinder för varor och e-tjänster.

I Sverige är direktivet genomfört i förordningen (1994:2029) om tekniska regler. Förordningen innehåller de föreskrifter som stat-liga myndigheter under regeringen ska iaktta när det gäller tekniska regler enligt direktivet, vilka bland annat innebär att myndigheter behöver underrätta kommerskollegiet om en myndighet ska fatta beslut om tekniska regler som omfattas av förordningen. Kom-merskollegiet ska i sin tur anmäla till bland annat EU-kommiss-ionen för granskning.

I 2 § förordningen om tekniska regler anges att med tekniska regler avses:

a) föreskrifter eller andra bestämmelser som utgörs av eller hän-visar till tekniska specifikationer95 eller andra krav96 och som är rättsligt eller faktiskt tvingande vid saluföring eller användning av en vara,

b) föreskrifter om informationssamhällets tjänster97 som är rättsligt eller faktiskt tvingande vid tillhandahållande, etablering eller användande av sådana tjänster, eller

95 Med teknisk specifikation avses, enligt 2 § förordningen om tekniska regler, specifikationer intagna i ett dokument och som fastställer de egenskaper som krävs av en vara, till exempel kvalitetsnivåer, prestanda, säkerhet eller dimensioner, inbegripet krav på varan som avser varubeteckning, terminologi, symboler, provning och provningsmetoder, förpackning, märkning eller etikettering och förfaranden för bedömning av överensstämmelse. Som tekniska specifikationer räknas också krav på processer och tillverkningsmetoder.

96 Med andra krav avses, enligt 2 § förordningen om tekniska regler, krav som inte är tek-niska specifikationer och som ställt på en vara och påverkar varans livscykel efter det att den har släppts ut på marknaden, till exempel villkor för användning, återvinning, återanvändning eller omhändertagande, om dessa krav på ett väsentligt sätt kan påverka varans samman-sättning, natur eller saluföringen av den.

97 Med föreskrifter som informationssamhällets tjänster avses, enligt 2 § förordningen om tek-niska regler, krav av allmän art rörande tillträde till och utövande av verksamhet med inform-ationssamhällets tjänster, särskilt bestämmelser om dem som tillhandahåller tjänster, tjänster och tjänstemottagare, med undantag för föreskrifter som inte särskilt avser