Sammanfattning

I betänkandet behandlar utskottet proposition 2008/09:16 Godkännande av Dataskyddsrambeslutet. I betänkandet behandlas vidare en motion som väckts med anledning av propositionen.

I propositionen föreslår regeringen att riksdagen ska godkänna ett inom Europeiska unionen upprättat utkast till rambeslut om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete (dataskyddsrambeslutet). Rambeslutet utgör, när det gäller dataskydd, ett komplement till andra instrument om informationsutbyte inom ramen för polisiärt och straffrättsligt samarbete. I stora delar motsvarar utkastet till rambeslut det s.k. dataskyddsdirektivet, som har genomförts i svensk rätt genom personuppgiftslagen. Utkastet innehåller härutöver bl.a. särskilda skyddsbestämmelser avsedda att begränsa möjligheterna att behandla utbytta personuppgifter. I motionen yrkas att regeringen ska ta initiativ till förstärkningar av dataskyddsrambeslutet.

Utskottet tillstyrker propositionen och föreslår att riksdagen godkänner utkastet till rambeslut samt avslår motionen.

I ärendet finns en reservation (s, v och mp).

Utskottets förslag till riksdagsbeslut

Reservation (s, v, mp)

Stockholm den 30 oktober 2008

På justitieutskottets vägnar

Inger Davidson

Följande ledamöter har deltagit i beslutet: Inger Davidson (kd), Henrik von Sydow (m), Krister Hammarbergh (m), Margareta Persson (s), Ulrika Karlsson i Uppsala (m), Johan Linander (c), Elisebeht Markström (s), Johan Pehrson (fp), Karl Gustav Abramsson (s), Inge Garstedt (m), Christer Adelsbo (s), Lena Olsson (v), Kerstin Haglö (s), Otto von Arnold (kd), Mehmet Kaplan (mp), Anders Hansson (m) och Maryam Yazdanfar (s).

Redogörelse för ärendet

Ärendet och dess beredning

I november 2004 antog Europeiska rådet det s.k. Haagprogrammet för stärkt frihet, säkerhet och rättvisa i Europeiska unionen. Rådet uttalade att en förstärkning av frihet, säkerhet och rättvisa kräver en innovativ strategi i fråga om gränsöverskridande utbyte av information. Ett effektivare polissamarbete och rättsligt samarbete måste emellertid balanseras mot grundläggande friheter, bl.a. rätten till privatliv och rätten till skydd av personuppgifter.

I oktober 2005 presenterade kommissionen ett förslag till rambeslut om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete. Efter ingående förhandlingar i rådet, där medlemsstaterna inte kunde enas, omarbetades förslaget på ett genomgripande sätt under det tyska ordförandeskapet våren 2007. Förutom EU:s medlemsstater har även Island, Norge och Schweiz deltagit i förhandlingarna.

I slutet av år 2007 nåddes en politisk principöverenskommelse om innehållet i utkastet till rambeslut, med reservation för vissa ändringar, bl.a. i preambeln. Sverige lämnade i samband med det en parlamentarisk granskningsreservation.

Europaparlamentet har yttrat sig över det ursprungliga förslaget i september 2006 och över det reviderade förslaget i juni 2007, i februari 2008 samt på nytt i september 2008. Europeiska datatillsynsmannen har avgett tre yttranden över utkastet till rambeslut, det senaste i april 2007.

En faktapromemoria om förslaget har överlämnats till riksdagen (2005/06:FPM44 Skydd av personuppgifter i europeisk brottsbekämpning).

Regeringen har under förhandlingsarbetet fortlöpande informerat och samrått med riksdagen. Företrädare för Justitiedepartementet har sammanträtt med justitieutskottet och justitieministern har vid sammanträde i EU-nämnden redogjort för förhandlingsarbetet och den svenska positionen.

Inom Justitiedepartementet har departementspromemorian Antagande av rambeslut om skydd för personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete (Ds 2008:30) tagits fram. Promemorian har remissbehandlats. En sammanställning av remissyttrandena finns tillgänglig i Justitiedepartementet (dnr Ju2008/3356/PO).

I juni 2008 gjordes en granskning av texten av EU:s språkexperter, de s.k. juristlingvisterna. Utkastet till rambeslut i dess senaste lydelse på svenska finns i bilaga 2. Ett utkast till rådsbeslut innefattande ett uttalande från rådet finns i bilaga 3.

I propositionen föreslås att riksdagen ska godkänna utkastet till rambeslut. Några lagförslag presenteras inte. Däremot innehåller propositionen en översiktlig beskrivning av i vilka avseenden ett antagande av rambeslutet bedöms kräva lagändringar. Regeringen avser att senare återkomma till riksdagen med förslag till lagändringar.

Propositionens huvudsakliga innehåll

I propositionen föreslås att riksdagen ska godkänna ett inom Europeiska unionen upprättat utkast till rambeslut om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete (dataskyddsrambeslutet).

Utkastet till rambeslut förpliktar medlemsstaterna att behandla sådana uppgifter som utbyts mellan staterna på de nämnda områdena på visst sätt. Det innehåller bestämmelser som avser att förstärka skyddet av information vid behandling av personuppgifter som överförs. Rambeslutet utgör, när det gäller dataskydd, ett komplement till andra instrument om informationsutbyte inom ramen för polisiärt och straffrättsligt samarbete.

Utkastet innehåller bestämmelser om allmänna utgångspunkter för behandlingen av personuppgifter, behandling av känsliga personuppgifter, rättelse, radering och gallring av personuppgifter, information till den registrerade samt skadestånd och sanktioner. I stora delar motsvarar utkastet till rambeslut det s.k. dataskyddsdirektivet, som har genomförts i svensk rätt genom personuppgiftslagen. Utkastet innehåller härutöver bl.a. särskilda skyddsbestämmelser avsedda att begränsa möjligheterna att behandla utbytta personuppgifter.

I propositionen görs en preliminär bedömning av vilka lagändringar som kan bli nödvändiga med anledning av rambeslutet. Propositionen innehåller inga lagförslag.

Utskottets överväganden

Godkännande av dataskyddsrambeslutet, m.m.

Propositionen

I propositionen föreslår regeringen att riksdagen ska godkänna utkastet till dataskyddsrambeslut.

Syftet med rambeslutet, vilket framgår av artikel 1, är att säkerställa en hög skyddsnivå för fysiska personers fri- och rättigheter när det gäller behandling av personuppgifter inom ramen för polissamarbete och straffrättsligt samarbete. Rambeslutet är endast tillämpligt på uppgifter som har överförts till eller gjorts tillgängliga mellan medlemsstaterna eller mellan medlemsstater och myndigheter och informationssystem som har inrättats i enlighet med avdelning VI i EU-fördraget om polissamarbete och straffrättsligt samarbete, t.ex. Europol. Det framgår dock att det är medlemsstaternas avsikt att den nivå på dataskydd som gäller för nationell behandling motsvarar vad som föreskrivs i rambeslutet. Rambeslutet hindrar dock inte medlemsstaterna från att ha ett starkare skydd för behandling av personuppgifter än vad som anges i rambeslutet. Vidare bör tillnärmningen inte leda till ett svagare skydd för personuppgifter än det som medlemsstaternas nuvarande lagstiftning ger utan tvärtom syfta till att garantera en hög skyddsnivå inom hela unionen.

Endast behandling av personuppgifter som utförs helt eller delvis automatiskt samt annan behandling av personuppgifter som ingår i eller kommer att ingå i ett register faller inom tillämpningsområdet. Från tillämpningsområdet undantas också viktiga nationella säkerhetsintressen och särskild underrättelseverksamhet inom området nationell säkerhet.

I artikel 3 läggs vissa grundläggande principer för personuppgiftsbehandlingen fast, bl.a. huvudregeln att uppgifter inte får behandlas för något annat ändamål än det ursprungliga, dvs. det ändamål för vilket de överfördes eller gjordes tillgängliga. Personuppgifter får dock alltid vidarebehandlas av behöriga myndigheter för historiska, statistiska eller vetenskapliga ändamål under förutsättning att medlemsstaterna föreskriver lämpliga säkerhetsåtgärder, t.ex. avidentifiering av uppgifterna. Annan vidarebehandling är bara tillåten om det nya ändamålet inte är oförenligt med det ursprungliga och kräver som huvudregel den registrerades samtycke eller den överförande statens medgivande (artikel 11). Vidarebehandling får dock – om kraven i artikel 3 är uppfyllda – alltid ske för att förebygga, utreda, avslöja eller lagföra andra brott eller verkställa andra straffrättsliga påföljder än de för vilka uppgifterna överfördes. Likaså får vidarebehandling ske för att avvärja en omedelbar och allvarlig fara för den allmänna säkerheten. Artiklarna 4 och 5 innehåller bestämmelser om rättelse, radering och blockering av personuppgifter liksom om regelbunden kontroll av nödvändigheten av lagringen av uppgifterna. Kopplat till detta är bestämmelserna i artikel 8 om åtgärder som ska vidtas av överförande myndigheter för att säkerställa att de personuppgifter som överförs är korrekta. Artikel 6 reglerar rätten att behandla s.k. känsliga uppgifter, dvs. uppgifter om t.ex. ras eller etniskt ursprung. Sådana uppgifter får endast behandlas när det är absolut nödvändigt och om det i den nationella lagstiftningen tillhandahålls tillräckliga skyddsåtgärder. I artikel 7 anges att ett automatiserat beslutsförfarande som innefattar behandling av uppgifter som omfattas av rambeslutet är tillåtet endast om det föreskrivs i en lag där det även föreskrivs bestämmelser till skydd för den registrerades legitima intressen. Även artiklarna 9 och 12 innehåller bestämmelser om begränsningar i rätten att behandla uppgifter. Där framgår att den överförande staten har möjlighet att meddela tidsfrister för gallring av uppgifter och att vissa begränsningar i rätten att utbyta uppgifter mellan myndigheter i den överförande statens nationella rätt ska iakttas av den mottagande staten. I artiklarna 13 och 14 regleras under vilka förutsättningar uppgifter får överföras till tredjeland, internationella organ och privata subjekt i medlemsstaterna. Som huvudregel förutsätter sådan överföring dels att det finns en adekvat skyddsnivå för behandlingen av uppgifter hos mottagaren, dels att den medlemsstat från vilken uppgifterna härrör har gett sitt samtycke till överföringen. Artiklarna 16–20 reglerar den registrerades rättigheter i olika avseenden, bl.a. rätt till information, rättelse, skadestånd och tillgång till rättsmedel. För att säkerställa genomförandet av rambeslutet ska medlemsstaterna enligt artikel 24 föreskriva effektiva, proportionella och avskräckande sanktioner mot den som bryter mot bestämmelser som har antagits med anledning av rambeslutet. Artiklarna 21 och 22 reglerar viss tystnadsplikt samt föreskriver krav på säkerhet i samband med behandlingen av uppgifter. Enligt artikel 25 ska varje medlemsstat utse en eller flera nationella tillsynsmyndigheter som ska ansvara för rådgivning och kontroll av behandlingen av uppgifter som omfattas av beslutet. Artikel 26 behandlar förhållandet mellan rambeslutet och andra överenskommelser med tredjeland, och artikel 28 reglerar förhållandet mellan rambeslutet och befintliga rättsakter. Slutligen återfinns bestämmelser om genomförande och utvärdering av rambeslutet i artiklarna 27 och 29.

Motionen

I motionen Ju9 (v) anförs att regeringen ska ta initiativ till förstärkningar av dataskyddsrambeslutet. Motionärerna välkomnar rambeslutet men anser att det finns vissa brister. Motionärerna lyfter bl.a. fram undantaget för nationell säkerhetstjänst, otydligheter vad gäller ändamålsprincipen och att personer som anser sig vara felaktigt registrerade kan tvingas driva processer i andra länder. Motionärerna framför att det i rambeslutet inte finns några regler om att uppgifter ska skiljas åt med hänsyn till tillförlitlighet eller då det t.ex. rör sig om uppgifter om misstänkta eller brottsoffer. Enligt motionärerna saknar rambeslutet även bestämmelser om gallring av uppgifter.

Utskottets ställningstagande

Såväl den ökade gränsöverskridande brottsligheten som den större rörligheten för personer skapar behov av ett tätare samarbete mellan de brottsbekämpande myndigheterna i olika länder och utökade möjligheter till rättslig hjälp i brottmål. Europol fyller en viktig funktion i samarbetet mellan brottsbekämpande myndigheter, samtidigt som Eurojust och det europeiska rättsliga nätverket har fått allt viktigare roller i arbetet med att förbättra det straffrättsliga samarbetet. Under senare år har dessutom en rad olika instrument förhandlats fram inom Europeiska unionen som ger medlemsstaterna större möjligheter att på ett enkelt sätt utbyta information med varandra, att verkställa påföljder beslutade i andra medlemsstater och att arbeta tillsammans med brottsbekämpande uppgifter. Det pågår också ett intensivt arbete med att utveckla det straffrättsliga samarbetet.

Det ökade samarbetet gynnar framför allt effektiviteten i brottsbekämpning och lagföring och skapar betydligt bättre förutsättningar att angripa allvarlig och gränsöverskridande brottslighet. Utskottet delar regeringens uppfattning att det är viktigt att den information som finns om allvarliga hot mot samhället kan utnyttjas, oavsett var den finns, och att brottsligheten i största möjliga utsträckning kan förhindras.

Det ökade informationsflödet kan emellertid också innebära nackdelar. Det kan leda till att myndigheterna samlar på sig stora mängder information om enskilda individer. Ett utökat informationsutbyte ställer därför krav på ett gott skydd för den enskildes personliga integritet. Eftersom dataskyddsdirektivet inte omfattar verksamhet på det polisiära och straffrättsliga området är behovet av bestämmelser om dataskydd på dessa områden stort. Dataskyddsrambeslutet utgör enligt utskottets mening en betydelsefull skyddsreglering när informationsutbytet ökar och balanserar den svåra avvägningen mellan personlig integritet och samhällets intresse av att utreda och lagföra brott. Rambeslutet har tillkommit i det uttalade syftet att öka den enskildes skydd mot felaktig eller otillbörlig behandling av personuppgifter vid polisiärt och straffrättsligt samarbete över gränserna. Sverige har under lång tid varit drivande inom Europeiska unionen när det gäller skydd för den enskildes integritet mot alltför extensiv behandling av personuppgifter. Utskottet anser liksom regeringen att rambeslutet är ett stort steg framåt och att skyddet för enskildas integritet härigenom kommer att förbättras.

Utskottet delar regeringens uppfattning att riksdagen skulle ha haft ett ännu bättre underlag för sitt ställningstagande om ärendet även hade innehållit förslag till svensk följdlagstiftning. Att så inte sker får, i linje med utskottets tidigare uttalanden, dock anses godtagbart (se bet. 1999/2000:JuU20). När det gäller det framtida lagstiftningsbehovet bör noteras att dataskyddsrambeslutet i många avseenden innehåller bestämmelser som finns i dataskyddsdirektivet. Direktivet har genomförts i svensk rätt och det svenska regelverket har i stora delar anpassats till det krav på dataskydd som ställs i rambeslutet. Det torde enligt regeringen därför inte krävas några genomgripande lagstiftningsåtgärder för att genomföra rambeslutets krav. I propositionen lämnar regeringen också en utförlig redogörelse för inom vilka områden det i det fortsatta lagstiftningsarbetet bör göras en närmare analys av hur de svenska reglerna förhåller sig till rambeslutet. Bland de områden som regeringen har identifierat finns rambeslutets regler om vidarebehandling, behandling av känsliga personuppgifter, skyldighet att iaktta överförande stats gallringsfrister, information till de registrerade, tillsynsmyndigheternas befogenheter och skadestånd. Utskottet kan konstatera att på de områden där svensk lagstiftning måste ändras kommer detta att innebära ett förstärkt skydd för den personliga integriteten, vilket utskottet välkomnar.

Sammanfattningsvis anser utskottet att riksdagen bör godkänna utkastet till rambeslut.

I motion Ju9 välkomnas dataskyddsrambeslutet samtidigt som motionärerna begär att regeringen tar initiativ till en förändring av innehållet på vissa punkter.

Riksdagen har nu att ta ställning till om det upprättade utkastet till rambeslut ska godkännas eller ej. Utskottet kan konstatera att det råder enighet om att godkänna det färdigförhandlade utkastet till rambeslut. I detta sammanhang vill utskottet erinra om att några invändningar motsvarande de som har lyfts fram i motionen inte har framförts då den svenska positionen redovisats för riksdagen under förhandlingsarbetet. Sammantaget anser utskottet att den utformning som utkastet till dataskyddsrambeslut har fått får förväntas ge ett gott skydd för personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete. Utskottet ser inte skäl att nu göra något tillkännagivande rörande det framtida EU-samarbetet på området. Motion Ju9 bör avslås.

Reservationer

Utskottets förslag till riksdagsbeslut och ställningstaganden har föranlett följande reservationer. I rubriken anges vilken punkt i utskottets förslag till riksdagsbeslut som behandlas i avsnittet.

Förslag till riksdagsbeslut

Vi anser att förslaget till riksdagsbeslut under punkt 2 borde ha följande lydelse:

Riksdagen tillkännager för regeringen som sin mening vad som anförs i reservationen. Därmed bifaller riksdagen motion 2008/09:Ju9.

Ställningstagande

I takt med att EU-samarbetet har fördjupats i frågor om utbyte av personuppgifter på det rättsliga området är det viktigt med ett gott skydd för uppgifterna. En viktig reglering på detta område är Europarådets konvention om skydd för enskilda vid automatisk databehandling av personuppgifter. Vi välkomnar dataskyddsrambeslutet men anser samtidigt att det finns vissa brister, vilka också har lyfts fram av Datainspektionen, Europeiska datatillsynsmannen och dataskyddsmyndigheterna i EU:s medlemsstater. Det finns en oroande utveckling som innebär att det görs undantag från kravet på rättssäkerhet inom alltfler områden. Detta märks bl.a. genom att dataskyddsrambeslutet inte är tillämpligt på nationell säkerhetstjänst. Vi anser att det är självklart att det ska ställas upp rättssäkerhetsgarantier även på detta område. Vidare är rambeslutet otydligt när det gäller ändamålsprincipen. Samtidigt som det anges att uppgifter endast får användas för de syften för vilka de har samlats in finns det ett undantag för de fall det överlämnande landet lämnar sitt medgivande till ett utvidgat användningsområde. Eftersom ändamålsprincipen är grundläggande för dataskydd bör regeringen ta initiativ till att ändra denna formulering. Vidare är det ett problem att personer som anser sig vara felaktigt registrerade kan tvingas driva processer i de länder dit deras uppgifter har sänts. Vi anser att de i stället ska kunna vända sig till myndigheterna i sitt hemland. Avslutningsvis saknas i utkastet till rambeslut regler om att uppgifter ska hållas åtskilda med hänsyn till tillförlitlighet eller för att skilja registrerade personer åt beroende på om de t.ex. är brottsoffer och gärningsmän. Inte heller finns i rambeslutet några gallringsbestämmelser, vilket är en grundläggande princip när det gäller dataskydd.

Det får ankomma på regeringen att ta initiativ till att dataskyddsrambeslutet förstärks i nu nämnda avseenden.

Bilaga 1

Förteckning över behandlade förslag

Propositionen

Proposition 2008/09:16 Godkännande av Dataskyddsrambeslutet:

Riksdagen godkänner det inom Europeiska unionen upprättade utkastet till rambeslut om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete (dataskyddsrambeslutet).

Följdmotionen

2008/09:Ju9 av Lena Olsson m.fl. (v):

Riksdagen tillkännager för regeringen som sin mening vad som anförs i motionen om att regeringen ska ta initiativ till förstärkningar av dataskyddsrambeslutet.

Bilaga 2

Utkast till rambeslut om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete

Bilaga 3

Utkast till rådsbeslut