Regeringskansliet
Faktapromemoria 2015/16:FPM62
Transatlantiska dataflöden: Återuppbygga förtroende genom starka skyddsåtgärder
Justitiedepartementet
Dokumentbeteckning
KOM (2016) 117
Meddelande från kommissionen till Europaparlamentet och rådet Transatlantiska dataflöden: Återställande av förtroendet genom starka skyddsåtgärder
Sammanfattning
Sedan det rapporterats om amerikanska myndigheters omfattande insamling av personuppgifter presenterade Europeiska kommissionen – i november 2013 – en handlingsplan för att återställa allmänhetens förtroende för dataflödena över Atlanten. Kommissionen framhöll i meddelandet tre nyckelåtgärder för att uppnå detta mål: reformen av EU:s dataskyddsregelverk, moderniseringen av Safe
1 Förslaget
1.1Ärendets bakgrund
I juni 2013 rapporterades om program för storskalig insamling av underrättelseinformation i USA. Den omfattande behandlingen av personuppgifter hos både myndigheter och företag i USA skapade en oro inom EU för följderna för skyddet av
ett meddelande som innehöll en handlingsplan för att återställa allmänhetens förtroende för dataflödena över Atlanten (COM[2013] 846 final). I meddelandet framhöll kommissionen tre nyckelåtgärder för att uppnå detta mål:
(i)reformen av EU:s dataskyddsregler borde slutföras,
(ii)Safe
(iii)förhandlingarna mellan EU och USA rörande avtalet om skydd av personuppgifter i samband med förebyggande, utredning, upptäckt och lagföring av brott borde slutföras.
I det nya meddelandet ger kommissionen en beskrivning av de framsteg som nåtts med att nå de mål som formulerades i 2013 års meddelande.
1.2Förslagets innehåll
1.2.1EU:s dataskyddsreform
I januari 2012 presenterade kommissionen förslag till två nya rättsakter: dels en allmän dataskyddsförordning2 som ska ersätta det gällande dataskyddsdirektivet,3 dels ett direktiv om dataskydd på det brottsbekämpande området4 som ska ersätta det gällande dataskyddsrambeslutet.5 I december 2015 nåddes efter trepartsförhandlingar mellan Europaparlamentet, rådet och kommissionen en politisk överenskommelse avseende både förordningen och direktivet. Det formella antagandet av rättsakterna förväntas ske under det första halvåret 2016. Den allmänna dataskyddsförordningen ska börja tillämpas två år efter antagandet medan direktivet ska ha genomförts i nationell rätt inom två år efter antagandet. Enligt kommissionen kommer regelverken bidra till att stärka de enskildas rättigheter när personuppgifter behandlas utanför EU. I detta sammanhang framhåller kommissionen bl.a. att regelverken innehåller enkla
12000/520/EG: Kommissionens beslut av den 26 juli 2000 enligt Europaparlamentets och rådets direktiv 95/46/EG om huruvida ett adekvat skydd säkerställs genom de principer om integritetsskydd (Safe Harbor Privacy Principles) i kombination med frågor och svar som Förenta staternas handelsministerium utfärdat.
2Förslag till Europaparlamentets och rådets förordning om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (allmän uppgiftsskyddsförordning) – COM(2012) 11 final.
3Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter.
4Förslag till Europaparlamentets och rådets direktiv om skydd för enskilda personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter – COM(2012) 10 final.
5Rådets rambeslut 2008/977/RIF av den 27 november 2008 om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete.
och tydliga regler för internationella dataflöden. Reformen av EU:s dataskyddsreglering har behandlats i faktapromemoriorna 2011/12:FPM117 och 2011/12:FPM119.
1.2.2
1.2.2.1Bakgrund
Enligt huvudregeln i dataskyddsdirektivet är det inte tillåtet att överföra personuppgifter till länder utanför EU och EES (s.k. tredjeländer) som inte har en adekvat skyddsnivå för personuppgifter. Kommissionen kan genom ett s.k. adekvansbeslut konstatera att ett tredjeland har en adekvat skyddsnivå. USA har generellt sett inte ansetts uppfylla detta krav.
År 2000 antog kommissionen Safe
1.De materiella dataskyddsprinciperna bör stärkas. En större öppenhet krävs från de amerikanska företag som åtagit sig att följa principerna.
2.Amerikanska myndigheter måste – på ett effektivt sätt – kunna följa upp att de företag som åtagit sig att följa dataskyddsprinciperna också gör det.
3.Det måste finnas tillgång till tvistlösningsmekanismer och överklagandemöjligheter.
4.Det måste säkerställas att undantaget för nationell säkerhet i Safe
Med dessa rekommendationer som utgångspunkt inledde kommissionen förhandlingar med USA för att åstadkomma ändringar i Safe Harborsystemet. Förhandlingarna inleddes i januari 2014.
Den 6 oktober 2015 ogiltigförklarade
innebär att vissa bestämmelser om dataskydd i den amerikanska rättsordningen också ska gälla för
1.2.2.2Innehållet i
Enligt kommissionen svarar
Stärkta krav på företag och bättre förutsättningar för att följa upp att regelverket efterlevs:
Tydliga gränser och garantier när det gäller USA:s regerings tillgång till personuppgifter: USA:s regering har skriftligen garanterat EU att behandling av personuppgifter för brottsbekämpning, nationell säkerhet och andra ändamål av allmänt intresse kommer att bli föremål för tydligare begränsningar, skyddsåtgärder och övervakningsmekanismer. Det kommer att införas en möjlighet för enskilda i EU att vända sig till en från underrättelsemyndigheterna oberoende ombudsperson med klagomål mot behandling av personuppgifter för nationella säkerhetsändamål. Ombudspersonen kommer att ha till uppgift att kontrollera om relevanta regelverk följs och om eventuella överträdelser har åtgärdats. Rättigheten att vända sig till ombudspersonen kommer dessutom gälla för alla personuppgifter som överförts till USA och således inte endast för uppgifter som överförts med stöd av
Ett effektivt integritetsskydd för enskilda inom EU och flera möjligheter att få upprättelse: Den som anser att hans eller hennes personuppgifter har behandlats felaktigt kommer att erbjudas flera möjligheter att få sin sak prövad, inklusive kostnadsfria alternativa tvistelösningsmekanismer. Det
kommer att finnas en skyldighet för företagen att besvara klagomål inom en bestämd tidsperiod. Till detta kommer att alla företag som åtagit sig att följa regleringen och som behandlar personaluppgifter kommer att vara skyldiga att följa beslut som fattas av
En årligen återkomande översyn: Kommissionen och det amerikanska Handelsdepartementet kommer göra en årlig översyn av regelverket och hur det fungerar. I denna översyn kommer
1.2.2.3Övrigt
Kommissionen har för avsikt att fatta ett adekvansbeslut på grundval av överenskommelsen. Inför detta beslut kommer kommissionen att höra dels den s.k. Artikel
1.2.3Avtal mellan USA och EU om skydd av personuppgifter i samband med förebyggande, utredning, upptäckt och lagföring av brott
I mars 2011 inleddes förhandlingar mellan EU, genom kommissionen, och USA rörande avtalet om skydd av personuppgifter i samband med förebyggande, utredning, upptäckt och lagföring av brott, det s.k. paraplyavtalet. Förhandlingarna slutfördes under sommaren 2015. Kommissionen kommer inom kort att till rådet lägga fram förslag till beslut om bemyndigande att underteckna avtalet. Ett beslut om formellt ingående
av avtalet kommer att fattas av rådet sedan Europaparlamentet gett sitt godkännande. Enligt kommissionen kommer paraplyavtalet att bidra till att återställa och stärka allmänhetens förtroende för de transatlantiska dataflödena samt underlätta samarbetet mellan EU och USA på området. Paraplyavtalet har behandlats i faktapromemoria 2009/10:FPM100.
1.2.4Kommissionens slutsatser
Genomförandet av de tre nyckelåtgärder som lyfts fram i meddelandet från år 2013 visar, enligt kommissionen, att EU har förmåga att lösa problem på ett pragmatiskt och målinriktat sätt utan att göra avkall på grundläggande rättigheter. När
1.3Gällande svenska regler och förslagets effekt på dessa
-
1.4Budgetära konsekvenser / Konsekvensanalys
-
2 Ståndpunkter
2.1Preliminär svensk ståndpunkt
Möjligheten att överföra personuppgifter mellan EU och USA har grundläggande betydelse för såväl handeln som för upprätthållandet av lag och ordning. Samtidigt måste, vid sådana överföringar, hänsyn tas till skyddet av den personliga integriteten. Regeringen välkomnar därför de åtgärder som vidtagits för att återupprätta förtroendet för de transatlantiska dataflödena.
2.2Medlemsstaternas ståndpunkter
Medlemsstaternas ståndpunkter är ännu inte kända.
2.3Institutionernas ståndpunkter
Institutionernas ståndpunkter är ännu inte kända.
2.4Remissinstansernas ståndpunkter
Kommissionens meddelande har inte sänts på remiss.
3 Förslagets förutsättningar
3.1Rättslig grund och beslutsförfarande
-
3.2Subsidiaritets- och proportionalitetsprincipen
-
4 Övrigt
4.1Fortsatt behandling av ärendet
-
4.2Fackuttryck/termer
-