• No results found

Kommissionens förslag till dataskyddsförordning (KOM (2012) 11 slutlig)

N/A
N/A
Info
Download
Protected

Academic year: 2022

Share "Kommissionens förslag till dataskyddsförordning (KOM (2012) 11 slutlig)"

Copied!
6
0
0

Loading.... (view fulltext now)

Download now ( 6 Page )

Full text

(1)

YTTRANDE 2012-02-09

Dnr: AD 411-2012/430

Justitiedepartementet Grundlagsenheten 103 33 STOCKHOLM

Kommissionens förslag till dataskyddsförordning (KOM (2012) 11 slutlig)

Sammanfattning

Patent- och registreringsverket (PRV) avstyrker att den föreslagna förord- ningen antas.

PRV anser att den svenska regeringen inte bör godta någon ny rättsakt till skydd för personuppgifter så länge det inte i artikeltext har tagits in före- skrifter som entydigt klargör att rättsakten inte i någon del begränsar rät- ten att få del av allmänna handlingar enligt nationell rätt och unionsrätt.

PRV anser att Kommissionen inte ska bemyndigas att anta delegerade akter för tillämpning av en rättsakt om skydd för personuppgifter.

PRV:s överväganden

Förordningen som Kommissionen lämnat förslag till är omfattande – 91 artiklar och 139 avsiktssatser, vilket kan jämföras med 34 artiklar resp.

72 avsiktssatser i det nu gällande direktivet 95/46/EG. Detaljeringsgraden är hög och för en ingående granskning av textmassan skulle en längre remisstid ha behövts än den som departementet satt ut. PRV får nöja sig med att här redovisa några iakttagelser.

Offentlighetsprincipen otillräckligt säkrad

I det nu gällande direktivet från 1995 anges att direktivet ”gör det möjligt att vid genomförande av dessa bestämmelser ta hänsyn till principen om allmänhetens rätt till tillgång till allmänna handlingar.” Meningen lär ha kommit till på begäran av Sverige. Den finns intagen i den sista avsikts- satsen och motsvaras inte av någon artikeltext.

Det har diskuterats hur långt den citerade avsiktssatsen egentligen kan åberopas till stöd för Sveriges offentlighetsprincip. Formuleringen är allmänt hållen och har som sagt inte kommit till uttryck i bindande un- dantagsbestämmelser.

(2)

I det nu remitterade förordningsförslaget återkommer formuleringen i avsiktssats 18. Någon motsvarighet i artikelbestämmelser finns inte heller den här gången. Enligt PRV:s mening är detta inte godtagbart.

Med förordningen syftar Kommissionen uppenbarligen till att konsistent och heltäckande lägga fast förutsättningarna för tillåten behandling av personuppgifter. En svepande formulering om att nationell grundlagsfäst offentlighetsstruktur kan upprätthållas fullt ut i en sådan regelmiljö är inte trovärdig.

För att en dataskyddsförordning med direkt tillämplighet för medlemssta- terna ska kunna tillstyrkas av Sverige bör ett minimivillkor vara att det i normerande text, kanske i artikel 21, tas in en föreskrift som entydigt klargör nationella lagstiftares rätt att begränsa tillämpningen av förord- ningen för arkiverings- och öppenhetsändamål. Som artikel 21 nu är ut- formad är den otillräcklig för att leva upp till det som sägs i avsiktssats 18.

Delegerade akter av Kommissionen

Enligt förslaget ska Kommissionen ha omfattande befogenheter att anta delegerade akter. Kommissionen ska på så sätt bl.a. kunna precisera – villkor för intresseavvägning (art. 6.5),

– kriterier, villkor och skyddsåtgärder för behandling av ”känsliga” upp- gifter (art. 9.3),

– kriterier för kategorier av mottagare av personuppgifter (art. 14.7), och – kriterier och krav för skyddsåtgärder (art. 22.4),

– villkoren för vad som bedöms ”gynna viktiga samhälleliga intressen”

och som av det skälet rättfärdigar överföring av personuppgifter till tredje land utan att samtycke getts (art. 44.7).

Tillämpningsföreskrifter av detta slag kan komma att bli mer eller mindre ingripande för både registrerades och registeransvarigas civila rättigheter.

Enligt PRV:s mening är det inte lämpligt att delegera normgivning som i Sverige skulle ha varit förbehållen riksdagen. Det bör ställas högre krav på att innebörden av förordningen är tydlig när ministerrådet och parla- mentet fattar beslut, och att det då i rimlig mån kan förutses vilka konse- kvenserna kommer att bli. Vid framtida oklarhet om tillämpningen får det bli Europeiska domstolens sak att göra en auktoritativ tolkning.

Missbruksmodellen

I den svenska personuppgiftslagen (PUL) infördes år 2006 en 5 a § som innebär att väsentliga delar av lagens bestämmelser inte behöver tilläm- pas på behandling av personuppgifter som inte ingår i eller är avsedda att ingå i en samling av personuppgifter som strukturerats för att påtagligt underlätta sökning efter eller sammanställning av personuppgifter. Av paragrafens andra stycke framgår dock att sådan behandling inte får utfö- ras om den innebär en kränkning av den registrerades personliga integri- tet.

(3)

Denna s.k. missbruksregel infördes i svensk rätt sedan bedömningen gjorts att den var förenlig med dataskyddsdirektivet, i första hand dess artikel 13.1 g som ger utrymme för nationella lagstiftare att begränsa tillämpningen av direktivet av hänsyn till skydd för registrerades eller andras fri- och rättigheter (jfr prop. 2005/06:173 avsnitt 8.3.2).

Om en dataskyddsförordning antas i enlighet med det remitterade försla- get kommer dataskyddsdirektivet att upphöra att gälla. Därmed försvin- ner den rättsliga grunden för missbruksregeln i 5 a § PUL. Eftersom missbruksregeln har bedömts vara av stort värde för att motverka en rigid tillämpning av PUL:s regelverk på harmlös hantering av personuppgifter kan frågan ställas om det finns bestämmelser i förordningen som kan legitimera en tolkning i linje med den nuvarande svenska särregleringen.

Enligt PRV:s mening är det osäkert om så är fallet. Det är visserligen så att förordningen har en artikel 21 som till stora delar motsvarar direkti- vets artikel 13. Det ska alltså finnas möjlighet för medlemsstaterna att genom nationell lag begränsa tillämpningsområdet för skyldigheter och rättigheter som annars gäller enligt art. 5 a-e, art. 11-20 och art. 32, bl.a.

om syftet är att garantera skydd av den registrerades eller andras fri- och rättigheter. Men som nya förutsättningar gäller, dels, att en begränsning med stöd av art. 21 ”utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle”, dels att lagstiftningsåtgärderna ska ”innehålla särskilda bestämmelser åtminstone avseende målen för behandlingen och fastställandet av den registeransvarige”. Dessa tillägg får uppfattas som skärpande och det kan med skäl ifrågasättas om något utrymme för en generell svensk ”missbruksregel” ges i artikel 21. Rättsläget blir inte mindre svårbedömt i ljuset av att Kommissionen förutsätts få behörighet att anta delegerade akter om tillämpningen av vissa av de bestämmelser som nämns i art. 21 (jfr art. 12.5, 14.7, 15.3, 20.5).

Behandling av personuppgifter vid myndighetsutövning m.m.

Som PRV förstår art. 6 i förordningen kommer nya och hårdare krav att gälla när det gäller förutsättningarna för myndigheter att behandla per- sonuppgifter oberoende av samtycke.

Liksom hittills (jfr art. 7 e i direktivet och 10 § d-e PUL) ska behandling få ske om den är nödvändig för att utföra en ”arbetsuppgift av allmänt intresse eller som är ett led i myndighetsutövning”. Nytt i förordningen är att grunden för sådan behandling måste vara författningsreglerad (jfr art.

6.3). Den relevanta lagstiftningen måste dessutom ”uppfylla ett mål av allmänt intresse eller vara nödvändig för att skydda andras fri- och rättig- heter, respektera det väsentliga innehållet i rätten till skydd av person- uppgifter och vara proportionell mot det legitima mål som eftersträvas”.

En konsekvens av detta blir rimligen att det måste göras en fullständig inventering in i detalj av vilken rättslig grund myndigheterna har för sin personuppgiftsbehandling. Frågan måste få ställas om det är motiverat att ta tid och resurser i anspråk för så omfattande projekt.

Det kan naturligtvis framstå som rimligt att personuppgiftshantering som sker inom ramen för egentlig myndighetsutövning har stöd i lag eller

(4)

förordning. Men kravet på författningsstöd tycks gå längre när det hänvi- sas också till behandling som ”är nödvändig för att utföra en arbetsupp- gift av allmänt intresse”. Det skulle kunna innebära att en myndighet inte utan samtycke eller stöd i författning har rätt att nämna ett namn på den egna webbplatsen, att hålla en intern telefonkatalog på intranätet uppda- terad, eller att föra ett register över kunder i uppdragsverksamhet.

Det verkar för övrigt inte vara möjligt att i sådana situationer som nu exemplifierats falla tillbaka på den alternativa undantagsbestämmelsen i art. 6 1. f enligt vilken behandling får ske efter intresseavvägning. I en sista mening i denna bestämmelse har nämligen skrivits in att den inte ska gälla för behandling som utförs av myndigheter. I den svenska text- versionen anges visserligen att undantaget gäller för ”myndighetsutöv- ning”. Det ska dock påpekas att den engelska texten här går längre då den hänvisar till ”processing carried out by public authorities in the perfor- mance of their tasks”. Denna formulering förefaller täcka in det mesta som myndigheter sysslar med, till skillnad från ordvalet för art. 6. 1 e, där det hänvisas till ”exercise of official authority”, något som bättre motsva- rar egentlig ”myndighetsutövning” i svensk mening.

En slutsats skulle då bli att myndigheter praktiskt taget aldrig kan tillåta sig att behandla personuppgifter enbart på basis av en intresseavvägning enligt art. 6.1 f, utan måste basera sin rätt på författningsbestämmelser.

Detta kan inte ses som rimligt.

Reglerna i art. 6 om myndigheters behandling av personuppgifter är en- ligt PRV:s mening oproportionerliga och oflexibla, dessutom oklara i detaljerna.

Överföring till tredje land – Internet

Ett väsentligt syfte med förordningen är att motverka otillbörlig använd- ning av personuppgifter på Internet (jfr avsiktssatserna 7, 21, 25 och 53).

Mot den bakgrunden är det något förvånande att ordet Internet, eller en beskrivning av något som lätt kan identifieras som Internet, inte före- kommer i artikeltext.

Enligt art. 25 i dataskyddsdirektivet får personuppgifter överföras till tredje land endast om landet säkerställer en adekvat skyddsnivå. Artikel- bestämmelsen har i Sverige genomförts i 33 § PUL.

I det s.k. konfirmandlärarmålet (EG-domstolens mål C-101/01) hade Göta hovrätt ställt ett antal tolkningsfrågor varav en gällde om publice- ring av personuppgifter på Internet skulle innebära att en överföring till tredje land skedde. EG-domstolen konstaterade i sin dom att data- skyddsdirektivet inte innehåller någon definition av begreppet överfö- ring. Domstolen uttalade sedan att ”det inte föreligger någon ´överföring av … uppgifter till tredje land´ i den mening som avses i artikel 25 i [di- rektivet] när en person som befinner sig i en medlemsstat lägger ut per- sonuppgifter på en webbsida […] varvid uppgifterna blir åtkomliga för alla som kopplar upp sig på Internet, inklusive personer i tredje land.”

(5)

I förslaget till dataskyddsförordning finns kraftigt utbyggda regler i kapi- tel V om överföring till tredje land. Men inte heller här finns någon defi- nition av ”överföring”.

Frågan kan då ställas om EG-domstolens bedömning att Internetpublice- ring inte innebär överföring i dataskyddsdirektivets mening – för övrigt en uppfattning som inte delades av Kommissionen – står fast, eller om det finns något i den omfattande förordningstexten som allmänt inskrän- ker utrymmet för att lägga ut personuppgifter på Internet. Frågan är inte oviktig, eftersom det för olika aktörer som har intresse att lägga ut infor- mation med personuppgifter på Internet kan vara väsentligt att veta om bestämmelserna i kapitel V då gäller eller ej.

Även myndigheter kan ha behov att klargöra i vad mån begränsningar finns för spridning av information på Internet. Enligt art. 44.1 g får obe- roende av samtycke överföring av personuppgifter ske ”från ett register som enligt unionens eller medlemsstatens lagstiftning är avsett att ge allmänheten information…”. En sådan överföring får, enligt art. 44.2

”inte omfatta alla personuppgifter eller hela kategorier av personuppgif- ter som finns i registret”. Det kan ligga nära till hands att läsa dessa be- stämmelser som tillämpliga bl.a. för de fall då myndigheter gör sina re- gister åtkomliga för sökningar på Internet. Ett exempel kan tas i PRV:s patentregister, som enligt uttryckliga förordningsbestämmelser ska ge offentlighet åt den information som finns i registret; jfr 38 b § patentkun- görelsen (1967:838). Av 4 § förordningen med instruktion för PRV (2007:1111) framgår att PRV får föra över personuppgifter som ingår i patentregistret till tredje land. Denna bestämmelse kom till i samband med att PUL infördes. Syftet var att överföringsförbudet i 33 § PUL inte skulle lägga hinder i vägen för PRV att lägga ut registerinformation på sin webbplats. Enligt PRV:s bedömning blev den särskilda undantagsbe- stämmelsen i 4 § instruktionen överflödig då EG-domstolen i konfir- mandlärarmålet uttalade att informationsspridning via Internet i princip inte utgjorde en överföring som avses i art. 25 dataskyddsdirektivet.

Om nu en koppling görs mellan å ena sidan denna Internetspridning av information från patentregistret och de citerade bestämmelserna i art. 44 förordningsförslaget så uppkommer frågan: Täcks dessa PRV:s aktivite- ter av art. 44? Är det alls fråga om överföring till tredje land?

Den inskränkning som skrivits in i art. 44.2, om att överföring av regis- terinformation inte får omfatta samtliga personuppgifter, kan vara rimlig utifrån syftet att massuttag av personuppgifter bör motverkas. PRV har inget att invända mot tanken att sökningar ska avse enstaka registerposter och att det inte bör vara möjligt för var och en att ladda ner hela myndig- hetsregister från Internet.

Men viktigt blir då att tydliggöra tillämpningsområdet för art. 44. Om EG-domstolens bedömning i konfirmandlärarmålet står fast är det inte säkert att de förordningsbestämmelserna om restriktioner för överföring till tredje land får avsedd verkan.

(6)

En varning för överreglering

Uppsåtet att försöka åstadkomma bättre skydd för personuppgifter är gott, men det kan ifrågasättas om Kommissionen har valt den mest än- damålsenliga metoden. Intrycket blir att förordningsförslaget ger uttryck för ett regleringstänkande som många i dagens informationssamhälle kan komma att stå främmande inför. Texten är omfattande, svåröverskådlig och inte alltid lätt att tolka. Tillämpningen förutsätter delvis omständliga procedurer och nya byråkratiska strukturer. Risken finns att förordningen kommer att uppfattas som överarbetad och verklighetsfrämmande och att den därför tappar i respekt. Det är naturligtvis allvarligt om den normbil- dande effekten går förlorad hos ett regelverk som är till för att säkra in- tegritetsskyddet för gemene man.

Mycket talar för att ett annat anslag borde prövas. Ambitioner att kon- struera ett heltäckande regelverk om vad som ska, får och kan göras i specifika situationer borde mjukas upp till förmån för en inriktning att komma till rätta med klara fall av missbruk vid hantering av personupp- gifter. Ett sådant synsätt kan förväntas möta större förståelse hos både registrerade personer och hos dem som behandlar personuppgifter. Det är kanske inte nödvändigt att uttryckligt samtycke ska krävas av var och en som omnämns på Facebook, eller att publicering på en myndighets intra- nät av ett fotografi från en personalutflykt alltid ska behöva ha författ- ningsstöd.

Slutsats

PRV:s delvis översiktliga, i vissa delar mer ingående genomgång av det remitterade förslaget leder fram till bedömningen att texten inte bör läg- gas till grund för en EU-förordning om skydd för persondata. Det har inte övertygande visats att subsidiaritetsprincipen måste få vika för en ny rättsakt som är direkt bindande och tillämplig för medlemsstaterna. Re- gleringstekniken bygger i väl hög grad på en detaljrikedom som gör tex- ten svåröverskådlig. Samtidigt kvarstår oklarhet om hur fundamentala delar av regelverket ska förstås. Förslaget om att Kommissionen ska be- myndigas att anta delegerade akter gynnar inte självklart intresset av för- utsebarhet och rättssäkerhet.

Detta yttrande har beslutats av generaldirektören Susanne Ås Sivborg. I den slutliga handläggningen har deltagit även chefsjuristen Per Holm- strand, föredragande, samt juristchefen Magnus Ahlgren och juristen Tina Holm.

Susanne Ås Sivborg

Per Holmstrand

References

Download now ( PDF - 6 Page - 383.67 KB )

Related documents

med beaktande av kommissionens förslag till rådet (KOM(2005)0171) 1,

Denna artikel skall tillämpas om aviär influensa bryter ut på en medlemsstats territorium; den skall även tillämpas på gemenskapens stöd till förebyggande åtgärder

med beaktande av kommissionens förslag till Europaparlamentet och rådet (KOM(2002) 244) 1,

Med undantag från andra strecksatsen i artikel 2 d i direktiv 88/357/EEG får, när ett fordon förs in från en medlemsstat till en annan, den medlemsstat där risken är belägen

Genomförande av EG-direktiven om överföring av passageraruppgifter och

Med anledning av rådets direktiv 2004/114/EG om villkoren för tredje- landsmedborgares inresa och vistelse för studier, elevutbyte, oavlönad yrkesutbildning eller

Förslag till RÅDETS FÖRORDNING. {KOM(2011) 126 slutlig} {SEK(2011) 328 slutlig}

Den domstol till vilken ansökan om ändring ges in enligt artikel [42 eller 44] får avslå en ansökan om verkställighetsförklaring eller upphäva en

EU-kommissionens förslag till ändringar i tågpassagerarförordningen (1371/2007/EG)

Befintlig artikel 21.1 stryks enligt förslaget, vilken hänvisade till KOMMISSIONENS FÖRORDNING (EU) nr 1300/2014 av den 18 november 2014 om tekniska specifikationer

Yttrande över direktivförslagen i Europeiska kommissionens förslag till luftvårdspaket: KOM(2013) 920 slutlig och KOM(2013) 919 slutlig

Utgångspunkterna för våra synpunkter på förslaget till revidering av direktivet om minskning av vissa luftföroreningar (även kallat takdirektivet) och förslaget till nytt

med beaktande av kommissionens förslag till rådet (KOM(2007)0393),

informationspaket med utförliga regler för deltagande, metoder för hantering av förslag och projekt, ansökningsformulär (med ifyllnadsanvisningar), regler för inlämnande

Kommissionens förslag om tillämpning av mervärdesskattereglerna om beskattningsland för elektroniska tjänster m.m. KOM(2012) 763 slutlig (Fi2012/4855)

1. Med hänvisning till definitionen av fast egendom i artikel 13b kan det konstateras att nedanstående regler i många fall innebär att vad som idag i svensk rätt anses