Regeringskansliet

Faktapromemoria 2005/06:FPM44

Skydd av personuppgifter i europeisk brottsbekämpning

Justitiedepartementet

2006-02-10

Dokumentbeteckning

KOM (2005) 475 slutlig)

Förslag till rådets rambeslut om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete

Sammanfattning

För närvarande finns inget sammanhållet instrument för dataskyddsbestämmelser gällande EU:s brottsbekämpande och straffrättsliga samarbete (tredje pelaren). Inom första pelaren styrs skyddet av personuppgifter av direktivet 95/46/EC, men detta är alltså inte tillämpligt inom tredje pelaren. I de rättsakter inom tredje pelaren där dataskyddsregler är påkallade sker oftast en hänvisning till Europakonventionens protokoll av år 2001 och rekommendation R (87) 15. Genom det ökande antalet tredjepelarinstrument där bland annat informationsutbyte ingår som en komponent har behovet av ett sammanhållet tredjepelarinstrument blivit alltmer trängande. I Haagprogrammet för stärkt frihet, säkerhet och rättvisa i Europeiska unionen, som antogs av Europeiska rådet den 4 november 2004 uppmanas kommissionen att lägga fram förslag till genomförande av principen om tillgång till information som är relevant för brottsbekämpning och förslag till lämpliga garantier och effektiva rättsmedel för överföring av personuppgifter.

Syftet med föreliggande förslag till rambeslut från kommissionen är att säkerställa skyddet av personuppgifter som utväxlas inom ramen för det brottsbekämpande och straffrättsliga samarbetet. Förslaget syftar vidare till att förbättra detta samarbete, särskilt när det gäller att förhindra och bekämpa terrorism.

I förslaget beaktas också att grundläggande rättigheter, särskilt såvitt avser rätten till privatliv och skyddet av personuppgifter, respekteras inom hela Europeiska unionen. Förslaget syftar slutligen till att säkerställa att utbytet av relevant information mellan medlemsstaterna inte hindras av att medlemsstaterna tillämpar olika nivåer för skydd av personuppgifter.

1Förslaget

1.1Innehåll

Kapitel 1 Syfte, definitioner och omfattning

(Artiklarna 1-3)

Syfte

Det huvudsakliga syftet med förslaget till rambeslut är att fastställa den standard som skall gälla för skydd av enskilda personer vid behandling av personuppgifter inom ramen för det brottsbekämpande och straffrättsliga samarbetet. Enligt förslaget skall medlemsstaterna se till att överföring av personuppgifter till behöriga myndigheter i andra medlemsstater varken begränsas eller förbjuds i förhållande till det personuppgiftsskydd som föreskrivs i rambeslutet.

Omfattning

Rambeslutet skall vara tillämpligt på helt eller delvis datoriserad bearbetning av personuppgifter och på annan än datoriserad bearbetning av personuppgifter som utgör en del av ett register eller syftar till att utgöra en del av ett register. Rambeslutet är inte tillämpligt på behandling av personuppgifter hos Europol, Eurojust och i Tullinformationssystemet (TIS).

Kapitel II Generella regler om lagligheten av behandling av personuppgifter

(Artiklarna 4-7)

Principer för uppgifters kvalité

Medlemsstaterna skall se till att behandlingen av personuppgifter sker på ett rättvist och lagenligt sätt. Insamling av personuppgifter får bara ske på grundval av specificerade, uttryckliga och legitima skäl och behandling får inte ske i strid med dessa skäl. Behandling av uppgifter av historiska, statistiska eller vetenskapliga skäl skall inte anses oförenliga med rambeslutet förutsatt att medlemsstaterna vidtar åtgärder för att säkerställa ett adekvat skydd för dessa uppgifter. Medlemsstaterna skall även sörja för att personuppgifter som behandlas är aktuella och, där så är nödvändigt, uppdaterade. Uppgifter som är ofullständiga eller oriktiga förstörs eller rättas. Medlemsstaterna skall också se till att personuppgifter inte lagras längre än vad som är nödvändigt för det syfte som de insamlats för.

Medlemsstaterna skall vidare se till att det görs tydlig skillnad mellan personuppgifter beträffande personer som är misstänkta, dömda eller beträffande vilka det finns anledning anta att de kommer att begå brott. Åtskillnad skall också göras mellan exempelvis vittnen, målsäganden och informatörer.

Medlemsstaterna skall säkerställa att bearbetning av personuppgifter endast sker när det finns rimliga grunder att tro att uppgifterna kommer att möjliggöra, underlätta eller påskynda förebyggande, utredande, upptäckande eller åtal avseende en brottslig gärning. Därtill kommer att inte mindre ingripande åtgärder kan tillgripas och att behandlingen av uppgifterna inte är oproportionerliga i förhållande till det aktuella brottet.

Medlemsstaternas skyldigheter

Medlemsstaterna skall förbjuda behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politisk åskådning, religiös eller filosofisk tro, medlemskap i fackförening samt behandling av uppgifter rörande hälsa eller sexualliv. Undantag görs för situationer där lagstöd finns för sådan behandling, samt där särskilda skyddsåtgärder vidtas. Medlemsstaterna skall också säkerställa att behandling av personuppgifter endast sker med stöd av lag och att personuppgifter inte lagras längre än nödvändigt med hänsyn till syftet med lagringen, om inte annat föreskrivs i lag.

Kapitel III Speciella former av behandling

(Artiklarna 8-18)

Del I (Artiklarna 8 10) Överföring och tillgängliggörande av personuppgifter till myndigheter i andra medlemsstater

I bestämmelserna regleras förutsättningarna för överföring av personuppgifter mellan medlemsstaterna. Överföring eller tillgängliggörande får endast ske till annan medlemsstats myndigheter om det är nödvändigt av rättsliga skäl och för att förhindra, utreda, upptäcka samt åtala straffbara gärningar. Medlemsstaterna skall se till att kvalitén på personuppgifter som görs tillgängliga fortlöpande verifieras för att säkerställa att uppgifterna är uppdaterade och riktiga. Medlemsstaterna skall dokumentera all överföring av uppgifter och vilka personer som sänt respektive tagit emot informationen. Denna information skall vara tillgänglig för granskande myndighet när sådan begär den.

Del II (Artiklarna 11 18) Ytterligare bearbetning

Bestämmelserna stakar ut förutsättningarna för ytterligare behandling av personuppgifter och under vilka förutsättningar informationen får sändas vidare till andra myndigheter och privata enheter i mottagarlandet. Överföring till tredje land och internationella organ regleras också. En kommitté föreslås inrättas under ledning av kommissionen. Denna kommitté skall sammanträffa vid behov och bland annat avgöra huruvida tredje land har adekvat dataskydd.

Kapitel IV Datasubjektets rättigheter

(Artiklarna 19-22)

Bestämmelserna reglerar under vilka förutsättningar de personer vars uppgifter behandlas skall ha rätt att få kännedom om att uppgifter lämnas ut, information om vem som har tagit del av uppgifterna samt under vilka förutsättningar den vars uppgifter behandlas inte skall få veta att hans eller hennes uppgifter lämnats ut. Här stadgas också en rätt till rättelse eller strykning av uppgifter och rätt att få en rättslig prövning i händelse av tvist.

Kapitel V Sekretess och säkerhet vid behandling

(Artiklarna 23 26)

Dessa bestämmelser reglerar kraven som ställs på sekretess och säkerhet vid behandling av de informationstyper som omfattas av rambeslutet. Medan sekretessbestämmelserna avser personers hantering med informationen, avser säkerhetsbestämmelserna också de metoder som används för hanteringen. I artiklarna anges vilka åligganden registerförande myndighet skall ha vad gäller tekniska och organisatoriska åtgärder i systemet.

Kapitel VI Rättsliga åtgärder och skadestånd

(Artiklarna 27 29)

Kapitlets bestämmelser stadgar en skyldighet för medlemsstaterna att tillse att envar har rätt att föra talan vid domstol om kränkningar skett av de rättigheter som den nationella lagstiftning, som antagits till följd av rambeslutet, stadgar. En skadeståndsskyldighet för registeransvarig föreskrivs vidare, liksom en skyldighet för medlemsstaterna att föreskriva påföljder för överträdelser av bestämmelser som antagits till följd av rambeslutet.

Kapitel VII Tillsynsmyndighet och arbetsgrupp för skyddet av individer såvitt avser behandling av personuppgifter

(Artiklarna 30 32)

Bestämmelserna ålägger medlemsstaterna att utse en tillsynsmyndighet för skyddet av information såvitt avser behandling av personuppgifter. Bestämmelserna föreskriver dessutom att en arbetsgrupp på EU-nivå skall inrättas, till vilken medlemsstaterna utser representanter. Arbetsgruppen föreslås stå under EU-kommissionens ledning och rapportera till kommissionen och rådet om verksamhetens utveckling.

Kapitel VIII - Avslutande bestämmelser

(Artiklarna 33-36)

I de avslutande bestämmelserna föreslås bland annat att instrumentet skall ersätta artikel 23 i MLA-konventionen. Förslaget föreslås träda ikraft den 31 december 2006.

1.2Gällande svenska regler och förslagets effekt på dessa

Förslagets regler motsvaras i viss utsträckning av svenska bestämmelser i Polisdatalagen och motsvarande regleringar avseende personuppgiftsbehandling i Tullverkets, Kustbevakningens och Skatteverkets brottsbekämpande verksamhet samt i Sekretesslagen. I sitt föreslagna skick skulle rambeslutet kräva viss kompletterande lagstiftning, framförallt när det gäller förutsättningarna för överföring av personuppgifter till andra medlemsstater.

1.3Budgetära konsekvenser

Det är i dagsläget inte möjligt att närmare bedöma vilka budgetära konsekvenser förslaget kan få. Vissa administrativa kostnader kan förutses för möten som skall hållas av den kommitté och den arbetsgrupp som föreslås i artiklarna 16 respektive 31. Eventuella budgetära konsekvenser, såväl nationellt som inom EU, skall dock finansieras genom omprioriteringar inom befintlig budgetram. Det ursprungliga förslaget torde innebära merkostnader framför allt vad gäller översyn. Med hänsyn till rådets rättstjänsts inställning till genomförandeprocedur (se nedan under 1.6) är det emellertid osannolikt att den delen av förslaget bibehålls i ett färdigförhandlat rambeslut.

2Ståndpunkter

2.1Svensk ståndpunkt

Sverige välkomnar förslaget till rambeslut då det är ett viktigt steg mot en enhetlig reglering av ett område som för närvarande är föremål för en rad olika regleringar, på en bas av konventionsreglering från Europarådet, vilken tillkommit för ett par decennier sedan. På basis av samma svenska inställning anser Sverige att det vore bra om Europols och Eurojusts verksamhetsområden omfattades av rambeslutet. Den information som förekommer i brottsbekämpande och rättsligt samarbete hanteras på ett sätt nationellt, vare sig den så småningom ska utbytas via Europol, Eurojust, Interpol eller via andra kanaler. Om ett heltäckande system för dataskydd skapas och exkluderar t.ex. Europolinformation, kan det i förlängningen innebära att det i det nationella systemet måste skapas parallella rutiner för information som, beroende på i vilket sammanhang den skall utbytas, följer olika rutiner och grader av skydd. Sverige anser att det är önskvärt med ett heltäckande instrument som säkerställer att personuppgifter skyddas oavsett land och organisation.

EU bör ha en hög gemensam nivå för personskydd men Sverige anser att detta gemensamma ramverk inte bör vara för detaljreglerat då medlemsstaternas myndighetsstrukturer skiljer sig åt och en detaljreglering riskerar att bli kostsam och ineffektiv. Förslaget till rambeslut präglas bland annat av ett registertänkande ett nytt register förutsätts skapas för varje nytt ändamål vilket Sverige anser vara otidsenligt, onödigt byråkratiserande och kontrollförsvårande. Behovet av bestämmelser till skydd för enskilda bör inte kopplas till personuppgifternas förekomst i register eller någon annan form av uppgiftssamling som kan uppfattas ha en onödigt snäv teknisk definition, utan bör i stället bedömas utifrån vilket skydd som motiveras av att uppgifterna är gemensamt tillgängliga för en vidare krets. En enhetlig modell för informationsklassificering är att föredra.

Ändamålsbestämmelserna i rambeslutet är idag formulerade på ett svepande sätt, vilket avviker från den precision med vilken rättsakter inom EU:s område för frihet, säkerhet och rättvisa vanligt utformas. Förtydligande krävs för att direkt koppla rättsakten till det lagstiftningsområdet för frihet, säkerhet och rättvisa, vilket inte omfattar informationsutbyte för exempelvis försvars- eller nationella säkerhetsändamål; instrumentet saknar rättslig grund utanför den tredje pelaren och får endast omfatta polissamarbete och rättsligt samarbete.

Regleringen föreslås omfatta information för såväl polissamarbete som rättsligt samarbete. I det senare fallet innebär den föreslagna texten en klar inskränkning av den reglering som idag finns nationellt i Sverige och inom EU:s tredje pelare, vad avser användning av information för andra ändamål än den ursprungligen överfördes. Emedan det är rimligt att en sådan bestämmelse finns avseende polisinformation, behandlas i det rättsliga samarbetet information i ett senare skede av rättsprocessen när förundersökning och/eller åtal redan inletts. De möjligheter som idag finns för att utvidga en förundersökning eller ett åtal på basis av de uppgifter som framkommer under förundersökningen bör därför inte begränsas i de fallen.

I anslutning till kapitel III vill Sverige framhålla vikten av dataintegritet, dvs. att de data som behandlas inte skall kunna förändras på ett okontrollerat sätt. Detta ställer bl.a. krav på användarautencitering.

Under kapitel IV i rättsakten föreslås en skyldighet att ex officio underrätta alla dataskyddssubjekt om varje förekomst av information som berör subjektet, vilket vore en stor utmaning för såväl svensk som andra länders förvaltningar, utan uppenbar nytta i samhället. Regeln bör i stället vara rätt till aktinsyn, på den sökandes initiativ.

2.2Medlemsstaternas ståndpunkter

Medlemsstaterna har inte uttryckt någon gemensam ståndpunkt i frågan men inget land har hittills motsatt sig förslaget.

2.3Institutionernas ståndpunkter

Europaparlamentet ställer sig positivt till ett rättsligt instrument under tredje pelaren för skyddet av personuppgifter. Rådets rättstjänst har aviserat allvarliga rättsliga invändningar mot den typ av genomförandekommittéer som föreslås i detta instrument av kommissionen. Samma invändning har också gjorts från flera medlemsstater.

2.4Remissinstansernas ståndpunkter

-

3Övrigt

3.1Fortsatt behandling av ärendet

Förhandlingar på arbetsgruppsnivå inom rådet har inletts under det österrikiska ordförandeskapet första halvåret 2006.

3.2Rättslig grund och beslutsförfarande

Den rättsliga grunden för instrumentet är artiklarna 30, 31 och 34(2)b Fördraget om Europeiska unionen.

3.3Fackuttryck/termer

-