Regeringskansliet

Faktapromemoria 2009/10:FPM100

Mandat för att inleda förhandlingar om ett dataskyddsavtal mellan EU och USA

Justitiedepartementet

2010-06-30

Dokumentbeteckning

KOM (2010) 252

RECOMMENDATION FROM THE COMMISSION TO THE COUNCIL to authorise the opening of negotiations for an agreement between the European Union and the United States of America on protection of personal data when transferred and processed for the purpose of preventing, investigating, detecting or prosecuting criminal offences, including terrorism, in the framework of police cooperation and judicial cooperation in criminal matters

Sammanfattning

I Stockholmsprogrammet inbjöds kommissionen att föreslå ett mandat för förhandlingar om ett dataskyddsavtal med USA.

Kommissionen presenterade den 26 maj 2010 förslag till förhandlingsdirektiv samt förslag om bemyndigande av kommissionen att inleda förhandlingar mellan EU och USA om ett sådant avtal.

Syftet med avtalet är att säkerställa en hög dataskyddsnivå för personuppgifter som överförs till och behandlas av behöriga myndigheter i EU och USA i syfte att förebygga, utreda, avslöja eller lagföra brott, inklusive terrorism.

Avtalet ska bygga på rättigheterna i EU:s stadga om de grundläggande rättigheterna, Europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna samt EU:s sekundärrätt om skydd för privatlivet och personuppgifter.

Regeringen tycker att det är nödvändigt med ett dataskyddsavtal mellan EU och USA och välkomnar att kommissionen har presenterat ett förslag till förhandlingsdirektiv. Kampen mot den gränsöverskridande brottsligheten förutsätter gränsöverskridande informationsutbyte och ett gränsöverskridande skydd för de personuppgifter som utbyts.

1Förslaget

1.1Ärendets bakgrund

På senare år har EU:s och medlemsstaternas informationsutbyte med USA ökat och i takt med detta har även diskussioner om dataskydd blivit intensivare. Bland annat har Europaparlamentet menat att EU:s avtal med USA om utbyte av bankuppgifter (s.k. SWIFT-avtalet) och utbyte av passageraruppgifter (s.k. PNR-avtalet) saknar tillräckliga dataskyddsgarantier.

År 2006 inrättades en högnivågrupp (HLCG, High Level Contact Group) mellan EU och USA med syfte att diskutera dataskyddsfrågor. HLCG avslutade sitt arbete hösten 2009 med att presentera ett antal gemensamma dataskyddsprinciper och konstatera att ett rättsligt bindande avtal mellan de två parterna var önskvärt.1

I Stockholmsprogrammet2 inbjöds kommissionen att föreslå ett mandat för förhandlingar om ett dataskyddsavtal med USA.

Kommissionen presenterade den 26 maj 2010 ett förslag till förhandlingsdirektiv samt ett förslag om bemyndigande av kommissionen att inleda förhandlingar mellan EU och USA om ett sådant avtal.

1.2Förslagets innehåll

Syftet med avtalet är att säkerställa en hög dataskyddsnivå för personuppgifter som överförs till och behandlas av behöriga myndigheter i EU och USA i syfte att förebygga, utreda, avslöja eller lagföra brott, inklusive terrorism.

Avtalet ska bygga på rättigheterna i EU:s stadga om de grundläggande rättigheterna, Europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna samt EU:s sekundärrätt om skydd för privatlivet och personuppgifter.

Avtalet föreslås få en retroaktiv verkan på redan existerande avtal mellan EU och USA och medlemsstaterna och USA inom tre år från det att dataskyddsavtalet har trätt i kraft.

Avtalet föreslås uttryckligen ange att avtalet i sig inte är tillräckligt som rättslig grund för informationsutbyte mellan EU och USA och att separata rättsliga grunder om informationsutbyte alltid kommer att krävas för att tillåta informationsutbyte.

Avtalet ska vidare omfatta regler om skydd för samtliga personuppgifter, oavsett personernas nationalitet eller hemvist. Det ska finnas regler om personuppgiftsbehandling, vidarebehandling, systemens säkerhet, loggning och dokumentering, tidsgränser för radering och regelbunden översyn av uppgifterna.

Det ska finnas oberoende myndigheter som granskar efterlevnaden av avtalet och som kan hjälpa registrerade personer att utöva sina rättigheter, särskilt rätten till åtkomst, rättning och radering av uppgifter samt rätt till effektiv administrativ och rättslig prövning.

Uppgifter mottagna från en part får endast skickas vidare till tredje land eller en internationell organisation efter skriftlig godkännande från den sändande staten. Tredje land måste ha ett adekvat dataskydd. När så är möjligt ska den registrerade informeras om att informationen har skickats vidare till tredje land.

Avtalet ska inte omfatta verksamhet som rör den nationella säkerheten.

1.3Gällande svenska regler och förslagets effekt på dessa

Behandling av personuppgifter regleras i personuppgiftslagen (1998:204). Lagen är subsidiär till andra författningar och kompletteras av registerförfattningar som reglerar behandling av personuppgifter på olika områden. Svenska brottsbekämpande myndigheters behandling av personuppgifter regleras av polisdatalagen och motsvarande regleringar avseende personuppgiftsbehandling i Tullverkets, Kustbevakningens och Skatteverkets brottsbekämpande verksamhet samt i offentlighets- och sekretesslagen. År 2008 antog rådet ett rambeslut om skydd av personuppgifter som utbyttes mellan medlemsstaterna inom ramen för den dåvarande tredje pelaren, det så kallade dataskyddsrambeslutet3. Flera av bestämmelserna som föreslås ingå i avtalet med USA påminner om bestämmelserna i dataskyddsrambeslutet. Rambeslutet har ännu inte genomförts i svensk lagstiftning. Regeringen har uppdragit åt en utredare att lämna förslag på hur rambeslutet ska genomföras i svensk rätt (dir. 2010:17). Uppdraget ska redovisas senast den 1 februari 2011.

1.4Budgetära konsekvenser / Konsekvensanalys

De finansiella effekterna av förslaget kan inte bedömas med någon säkerhet i detta skede. Eventuella budgetära konsekvenser torde dock kunna finansieras inom befintliga ramar.

2Ståndpunkter

2.1Preliminär svensk ståndpunkt

Regeringen anser att det är viktigt med ett dataskyddsavtal mellan EU och USA och välkomnar att kommissionen har presenterat ett förslag till förhandlingsdirektiv. Kampen mot den gränsöverskridande brottsligheten förutsätter gränsöverskridande informationsutbyte. Sådant informationsutbyte förutsätter att sändande och mottagande part kan förlita sig på att personuppgifter behandlas på ett korrekt sätt och att registrerade personer åtnjuter rättigheter även när en personuppgift har skickats till ett annat land. Ett generellt dataskyddsavtal mellan EU och USA kommer att utgöra en viktig grund för att fortsätta och vid behov utveckla dagens samarbete. De föreslagna förhandlingsdirektiven tar upp viktiga principer för dataskydd men behöver i vissa avseenden förtydligas.

Det kommande dataskyddsavtalet får inte försämra dagens förutsättningar för svenska brottsbekämpande myndigheter och domstolar att utbyta personuppgifter med USA.

2.2Medlemsstaternas ståndpunkter

Medlemsstaterna stödjer i och med Stockholmsprogrammet att kommissionen ska föra förhandlingar om ett dataskyddsavtal med USA. Däremot är medlemsstaternas ståndpunkter inte kända när det gäller de föreslagna förhandlingsdirektiven.

2.3Institutionernas ståndpunkter

Europeiska dataskyddsombudsmannen, EDPS, har konsulterats av kommissionen och stödjer i stort förslaget till förhandlingsdirektiv. EDPS främsta invändning är att avtalet även borde omfatta verksamhet som rör den nationella säkerheten, till skillnad från vad kommissionen föreslår.

2.4Remissinstansernas ståndpunkter

Förslaget har inte remitterats.

3Förslagets förutsättningar

3.1Rättslig grund och beslutsförfarande

Artiklarna 16 och 218 i fördraget om Europeiska unionens funktionssätt.

Enligt artikel 218 i fördraget om Europeiska unionens funktionssätt ska kommissionen lägga fram rekommendationer för rådet om att anta ett beslut om bemyndigande att inleda förhandlingar och utse unionens förhandlare. Det är rådet som bemyndigar att inleda förhandlingar, utfärdar förhandlingsdirektiv, bemyndigar undertecknande och ingår avtal.

Europaparlamentet ska omedelbart och fullständigt informeras i alla skeden av förfarandet.

Rådet ska på förslag av förhandlaren anta ett beslut om ingående av avtalet efter Europaparlamentets godkännande.

Under hela förfarandet ska rådet besluta med kvalificerad majoritet.

Enligt artikel 16 i fördraget om Europeiska unionens funktionssätt ska Europaparlamentet och rådet i enlighet med det ordinarie lagstiftningsförfarandet fastställa bestämmelser om skydd för enskilda personer när det gäller behandling av personuppgifter hos unionens institutioner, organ och byråer och i medlemsstaterna.

3.2Subsidiaritets- och proportionalitetsprincipen

Kommissionen har inte lämnat någon särskild motivering av förhandlingsdirektiven enligt subsidiaritets- och proportionalitetsprincipen.

Det följer av fördraget att medlemsstaterna inte själva kan ingå avtal med tredje land om behandling av personuppgifter hos unionens institutioner, organ och byråer. Regeringen anser att åtgärder på EU-nivå är nödvändiga och förslaget att bemyndiga kommissionen att ingå avtal stämmer överens med subsidiaritetsprincipen och proportionalitetsprincipen.

4Övrigt

4.1Fortsatt behandling av ärendet

Det inkommande belgiska ordförandeskapet i EU har aviserat att diskussioner om förslaget kan komma att inledas under juli 2010.

4.2Fackuttryck/termer

-


[1]

15851/09 JAI 822 DATAPROTECT 74 USA 102, Reports by the High Level Contact Group (HLCG) on information sharing and privacy and personal data protection

[2]

5731/10 CO EUR-PREP 2 JAI 81 POLGEN 8 Stockholmsprogrammet Ett öppet och säkert Europa i medborgarnas tjänst och för deras skydd

[3]

Rådets rambeslut 2008/977/RIF av den 27 november 2008 om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete