Sammanfattning

I detta utlåtande prövar justitieutskottet EU-kommissionens förslag till direktiv om skydd för enskilda personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter (KOM(2012) 10). Direktivet ska upphäva nu gällande reglering på området, nämligen rådets rambeslut från 2008 om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete.

Syftet med det föreslagna direktivet är att säkerställa personers grundläggande fri- och rättigheter, framför allt rätten till skydd av personuppgifter, och att underlätta utbytet av personuppgifter mellan behöriga myndigheter i EU. Förslaget till direktiv bygger på rambeslutet men innehåller också flera nyheter i förhållande till detta. Rambeslutet tillämpas på behandling av personuppgifter som utbyts mellan medlemsländerna. Direktivet ska, till skillnad från rambeslutet, även omfatta nationell behandling av personuppgifter som medlemsländernas behöriga myndigheter utför i syfte att förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder.

Utskottet anser att de delar av kommissionens förslag som berör den renodlat nationella behandlingen av personuppgifter strider mot subsidiaritetsprincipen och föreslår att riksdagen lämnar ett motiverat yttrande till EU. I likhet med regeringen menar utskottet att det i dag inte är motiverat att utöka tillämpningsområdet till att gälla nationell personuppgiftsbehandling på det brottsbekämpande området.

Utskottets förslag till riksdagsbeslut

Subsidiaritetsprövning av kommissionens förslag till direktiv om skydd av personuppgifter på det brottsbekämpande området (KOM(2012) 10)

Riksdagen beslutar att lämna ett motiverat yttrande till Europaparlamentets, rådets och EU-kommissionens ordförande med den lydelse som anges i bilaga 3.

Stockholm den 20 mars 2012

På justitieutskottets vägnar

Morgan Johansson

Följande ledamöter har deltagit i beslutet: Morgan Johansson (S), Johan Linander (C), Krister Hammarbergh (M), Ewa Thalén Finné (M), Kerstin Haglö (S), Ulrika Karlsson i Uppsala (M), Christer Adelsbo (S), Jan R Andersson (M), Elin Lundgren (S), Johan Pehrson (FP), Anna Wallén (S), Arhe Hamednaca (S), Patrick Reslow (M), Caroline Szyber (KD), Kent Ekeroth (SD), Lena Olsson (V) och Carl-Oskar Bohlin (M).

Redogörelse för ärendet

Ärendet och dess beredning

Den 25 januari 2012 presenterade EU-kommissionen ett förslag till direktiv om skydd för enskilda personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter. Förslaget har därefter översänts till riksdagen och övriga medlemsländers parlament för att ge dem möjlighet att lämna motiverade yttranden om de anser att förslaget strider mot subsidiaritetsprincipen.

Kammaren hänvisade kommissionens förslag till justitieutskottet den 16 februari 2012. Tidsfristen för att lämna ett motiverat yttrande går ut den 10 april 2012.

Den 29 februari 2012 överlämnade regeringen en faktapromemoria (2011/12:FPM119) till riksdagen. Eftersom utskottet ansåg att regeringens bedömning i subsidiaritetsfrågan inte framgick tillräckligt tydligt i faktapromemorian begärde utskottet muntlig information från regeringen angående dess bedömning i subsidiaritetsfrågan. Regeringen lämnade information vid utskottets sammanträde den 13 mars 2012 och översände därefter skriftlig information den 14 mars 2012.

Vid sitt sammanträde den 1 mars 2012 beslutade utskottet att bereda konstitutionsutskottet tillfälle att yttra sig i subsidiaritetsfrågan i de delar det berör konstitutionsutskottets beredningsområde. Konstitutionsutskottet lämnade sitt yttrande den 15 mars 2012, se bilaga 2.

Bakgrund

År 1995 antog EU ett direktiv om skydd av personuppgifter som gäller i all behandling av uppgifter inom verksamhet som omfattas av gemenskapsrätten (f.d. första pelaren), det s.k. dataskyddsdirektivet (95/46/EG). Som komplement till detta regelverk beslutade bl.a. rådet 2008 om ett rambeslut om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete (f.d. tredje pelaren), det s.k. dataskyddsrambeslutet (2008/977/RIF).

Genom Lissabonfördraget infördes en ny rättslig grund för dataskyddsreglering i artikel 16 i fördraget om Europeiska unionens funktionssätt (EUF-fördraget). Nämnda artikel ger EU rätt att besluta om personuppgiftsskydd även inom det straffrättsliga och polisiära samarbetet. I en förklaring fogad till slutakten från den regeringskonferens som antog fördraget konstateras dock att det kan behövas särskilda regler om skydd av personuppgifter och om fri rörlighet av sådana uppgifter på områdena för straffrättsligt samarbete och polissamarbete med tanke på områdenas karaktär.

Kommissionen påbörjade en översyn av dataskyddsreglerna 2009. I november 2010 presenterade kommissionen ett meddelande om ett samlat grepp på skyddet av personuppgifter i EU där den bl.a. pekar på behovet av en mer enhetlig strategi när det gäller rätten till skydd av personuppgifter. Samråd genomfördes där allmänheten och berörda parter kunde lämna synpunkter på förslagen i meddelandet.

Mot bakgrund av ovanstående presenterade kommissionen den 25 januari 2012 två lagförslag som ska uppdatera EU:s dataskyddsregler: dels ett förslag till förordning om en allmän ram för dataskydd i EU (allmän uppgiftsskyddsförordning, KOM(2012) 11) som ska ersätta dataskyddsdirektivet, dels ett förslag till direktiv om skydd av personuppgifter som behandlas i samband med förebyggande, avslöjande, utredning eller lagföring av brott, som upphäver rådets rambeslut från 2008. Detta utlåtande rör kommissionens förslag till direktiv om skydd av personuppgifter på det brottsbekämpande området.

Förslagets huvudsakliga innehåll

Kommissionens förslag till direktiv om skydd av personuppgifter som behandlas av behöriga myndigheter i syfte att förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder ska upphäva data-skyddsrambeslutet från 2008.

Syftet med kommissionens förslag är att säkerställa personers grundläggande fri- och rättigheter, framför allt rätten till skydd av personuppgifter, och att öka det ömsesidiga förtroendet mellan medlemsländernas polis och rättsliga myndigheter för att på så sätt underlätta utbytet av personuppgifter mellan behöriga myndigheter i EU. Kommissionen vill med direktivet skapa en stark och mer sammanhängande ram för uppgiftsskyddet genom att EU:s allmänna principer för skyddet även tillämpas inom det straffrättsliga och polisiära samarbetet.

Direktivet ska, utöver gränsöverskridande behandling, även omfatta polisens och de rättsliga myndigheternas behandling av personuppgifter för brottsbekämpande ändamål på nationell nivå. Förslaget till direktiv utvidgar därmed tillämpningsområdet i jämförelse med det nuvarande rambeslutet vilket endast omfattar utbyte av personuppgifter mellan medlemsländerna. Enligt kommissionen ska förslaget leda till stärkt personuppgiftsskydd genom att ländernas nationella lagstiftning blir mer likvärdig. Kommissionen vill också komma till rätta med de problem som kan uppstå på grund av svårigheten att avgöra vad som är nationell eller gränsöverskridande behandling eller vilka uppgifter som kan komma att bli föremål för gränsöverskridande utbyte vid ett senare tillfälle. Ett direktiv i stället för ett rambeslut ger enligt kommissionen även bättre förutsättningar för ett enhetligt genomförande av bestämmelserna i medlemsländerna, bl.a. genom att kommissionen får befogenhet att övervaka genomförandet av bestämmelserna i medlemsländerna.

Enligt direktivförslaget är behandling av personuppgifter tillåten om behandlingen är nödvändig för att en behörig myndighet ska kunna utföra en arbetsuppgift, för att en registeransvarig ska kunna fullgöra en rättslig förpliktelse, för att skydda intressen av grundläggande betydelse för den registrerade eller för att avvärja ett hot mot den allmänna säkerheten. Direktivet gäller personuppgiftsbehandling som avser enskilda fysiska personer oavsett deras medborgarskap eller hemvist. De personer som registreras ska informeras om att behandling sker, i vilket syfte behandlingen sker och om sin rätt att få tillgång till uppgifterna. Medlemsländerna får dock genom lagstiftning begränsa denna tillgång till uppgifter om det är nödvändigt och proportionellt för att förebygga obstruktion av officiella eller rättsliga utredningar, undersökningar eller förfaranden, förhindra menlig inverkan på förebyggande, upptäckt, utredning och lagföring av brott eller verkställighet av straffrättsliga påföljder, skydda allmän eller nationell säkerhet eller för att skydda den registrerade eller andra personers fri- och rättigheter.

Det föreslagna direktivet ska inte tillämpas på behandling av personuppgifter i verksamhet som inte omfattas av EU-rätten, särskilt sådan verksamhet som rör den nationella säkerheten. Förslaget omfattar inte heller den behandling som utförs av EU:s institutioner, organ eller byråer.

I direktivet finns ett avsnitt om rättsmedel, ansvar, påföljder och sanktioner. Medlemsländerna ska föreskriva att alla registrerade ska ha rätt att lämna in klagomål till en nationell tillsynsmyndighet, att de har rätt att överklaga myndighetens beslut och rätt att föra talan i domstol mot en registeransvarig eller registerförare. Direktivet innehåller även gemensamma bestämmelser om domstolsförfaranden, bl.a. en rätt för tillsynsmyndigheter att delta i rättsliga förfaranden. Medlemsländerna ska föreskriva påföljder för att bestraffa brott mot de bestämmelser som genomför direktivet i den nationella lagstiftningen. Påföljderna ska vara effektiva, proportionella och avskräckande.

I förslaget finns bestämmelser om överföring av personuppgifter till länder utanför EU och till internationella organisationer. En sådan överföring får endast ske om den är nödvändig för att förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder. För att en överföring ska vara tillåten måste kommissionen ha godkänt landets eller organisationens skyddsnivå genom ett beslut eller andra lämpliga skyddsåtgärder ha vidtagits.

Enligt det föreslagna direktivet ska medlemsländerna utse officiella myndigheter som bl.a. ska övervaka tillämpningen av de regler som antagits till följd av direktivet, ta emot klagomål från registrerade, kontrollera att behandlingen av uppgifter är tillåten och utföra undersökningar på eget initiativ. Länderna ska se till att myndigheterna förses med utredande befogenhet, befogenhet att agera och att inleda rättsliga förfaranden. Ett land får besluta att den tillsynsmyndighet som ska utses enligt kommissionens förslag till allmän uppgiftsskyddsförordning även ansvarar för de funktioner som föreskrivs i direktivförslaget.

Utskottets prövning

Subsidiaritetsprincipens tillämpning

Kommissionens bedömning

Kommissionen menar att målen för det föreslagna direktivet, nämligen att skydda fysiska personers grundläggande fri- och rättigheter, särskilt deras rätt till skydd av personuppgifter, och att säkerställa ett fritt utbyte av personuppgifter mellan behöriga myndigheter inom unionen, inte i tillräcklig utsträckning kan uppnås av medlemsländerna. Därför anser kommissionen att målen, på grund av åtgärdens omfattning eller verkningar, bättre kan uppnås på EU-nivå. Därmed kan EU besluta om åtgärder i enlighet med subsidiaritetsprincipen i artikel 5 i EU-fördraget. I enlighet med proportionalitetsprincipen i samma artikel går direktivet enligt kommissionen inte utöver vad som är nödvändigt för att uppnå det målet.

Enligt kommissionen är det nödvändigt med åtgärder på EU-nivå då rätten till skydd av personuppgifter, som fastläggs i artikel 8 i stadgan om de grundläggande rättigheterna och i artikel 16.1 i EUF-fördraget, innebär att samma nivå på uppgiftsskyddet ska gälla i hela EU. För detta krävs samma skyddsnivå för uppgifter som utbyts mellan länder som för uppgifter som behandlas nationellt.

Det finns även ett växande behov för medlemsländernas brottsbekämpande myndigheter att behandla och utbyta uppgifter för att bekämpa gränsöverskridande brottslighet och terrorism. Därför behövs tydliga och enhetliga regler om skydd av personuppgifter på EU-nivå för att främja samarbete mellan ländernas myndigheter.

Kommissionen anför att det finns praktiska problem med genomförandet av uppgiftsskyddslagstiftningen och ett behov av samarbete mellan medlemsländerna och deras myndigheter. Detta samarbete måste enligt kommissionen organiseras på EU-nivå för att säkerställa att EU-rätten tillämpas enhetligt. Enligt kommissionen kan medlemsländerna inte ensamma minska problemen i den nuvarande situationen, särskilt inte de problem som beror på fragmenteringen av de nationella lagstiftningarna. Det finns därför ett särskilt behov av att införa en harmoniserad och sammanhängande ram som möjliggör en smidig överföring av personuppgifter över gränserna inom EU samtidigt som man garanterar ett faktiskt skydd av alla enskilda i hela EU.

Vidare anför kommissionen att de föreslagna lagstiftningsåtgärderna på EU-nivå sannolikt kommer att vara effektivare än liknande åtgärder på medlemsstatsnivå på grund av karaktären och omfattningen hos problemen, som inte är begränsade till ett eller flera medlemsländer.

Enligt proportionalitetsprincipen ska alla insatser vara riktade och inte gå utöver vad som är nödvändigt för att uppnå målen. Enligt kommissionen har denna princip varit vägledande under förberedelsen av förslaget, från kartläggningen och utvärderingen av olika alternativ till utarbetandet av lagstiftningsförslaget.

Ett direktiv är enligt kommissionen det bästa instrumentet för att säkerställa harmonisering på EU-nivå på detta område samtidigt som medlemsländerna ges nödvändig flexibilitet när de genomför principerna, reglerna och deras undantag på nationell nivå.

Regeringens bedömning

Kommissionen pekar på flera problem som är förknippade med genomförandet och tillämpningen av dataskyddsrambeslutet, bl.a. att rambeslutets begränsade tillämpningsområde kan leda till svårigheter för nationella myndigheter och att rambeslutet ger medlemsländerna för stor frihet i genomförandet i deras nationella lagstiftning. Kommissionen anser att det är nödvändigt med åtgärder på EU-nivå för att uppnå samma nivå av dataskydd inom hela EU och att dessa åtgärder sannolikt kommer att vara effektivare än åtgärder som vidtas på medlemsstatsnivå på grund av problemens karaktär och omfattning, som inte är begränsade till en eller flera medlemsländer. Eftersom rambeslutet skulle ha genomförts i medlemsländerna senast den 27 november 2010 anser regeringen dock att det är för tidigt att dra några slutsatser av hur effektivt rambeslutet är.

Det direktiv som kommissionen föreslår omfattar till stor del behandling av personuppgifter inom ramen för förundersökning och rättegång i brottmål. Sådana förfaranden regleras normalt i medlemsländernas straff- och straffprocessrätt. Enligt regeringen kan en dataskyddsreglering på EU-nivå riskera att komma i konflikt med sådana nationella regler.

Regeringen noterar även att kommissionen inte har gjort någon fristående konsekvensanalys av direktivförslaget. Den konsekvensanalys som har presenterats gäller hela dataskyddsreformen och berör endast marginellt det föreslagna direktivet.

Enligt subsidiaritetsprincipen ska unionen på områden där den inte har exklusiv befogenhet vidta en åtgärd endast om och i den mån som målen för den planerade åtgärden inte i tillräcklig utsträckning kan uppnås av medlemsstaterna och därför bättre kan uppnås på unionsnivå. Regeringen bedömer att det nu liggande förslaget från kommissionen inte är förenligt med subsidiaritetsprincipen när det gäller sådan renodlat nationell personuppgiftsbehandling som inte omfattas av rambeslutets tillämpningsområde. I övrigt ser regeringen ingen anledning att ifrågasätta kommissionens bedömning i subsidiaritetsfrågan.

Konstitutionsutskottets yttrande

Konstitutionsutskottet ansvarar för subsidiaritetsprövning av förslaget till allmän uppgiftsskyddsförordning (KOM(2012) 11) som tillsammans med förslaget till direktiv om skydd av personuppgifter på det brottsbekämpande området ingår i kommissionens dataskyddsreform. I anslutning till den prövning konstitutionsutskottet har genomfört av förordningsförslaget har utskottet även haft anledning att göra en genomgång av förslaget till direktiv.

Konstitutionsutskottet ställer sig starkt frågande till om förslaget till direktiv om skydd av personuppgifter på det brottsbekämpande området är förenligt med subsidiaritetsprincipen i den del det avser att reglera rent nationell behandling av personuppgifter.

Justitieutskottets ställningstagande

Den nuvarande regleringen på området, dataskyddsrambeslutet från 2008, tillämpas på behandling av personuppgifter som utbyts mellan medlemsländer för att förebygga, utreda, avslöja eller lagföra brott, eller verkställa straffrättsliga påföljder. Det nu föreslagna direktivet ska utöver denna gränsöverskridande behandling även omfatta nationell behandling av personuppgifter som medlemsländernas polisiära och rättsliga myndigheter utför i syfte att förebygga, utreda, avslöja eller lagföra brott, eller verkställa straffrättsliga påföljder.

I likhet med den bedömning regeringen gör anser utskottet att det är för tidigt att dra några slutsatser om hur effektivt rambeslutet är och därmed att fastställa att tillämpningsområdet ska utvidgas till att gälla nationell behandling av personuppgifter. En utvidgad lagstiftning på EU-nivå som omfattar behandling av personuppgifter inom ramen för förundersökning och rättegång i brottmål riskerar även att komma i konflikt med medlemsländernas nationella straff- och processrätt.

Som regeringen anför har kommissionen inte gjort någon fristående konsekvensanalys av direktivförslaget. Avsaknaden av en sådan medför att det är svårt att se vad som motiverar ett utvidgat tillämpningsområde för EU:s regler om skydd av personuppgifter på det brottsbekämpande området.

Även konstitutionsutskottet ifrågasätter om förslaget är förenligt med subsidiaritetsprincipen i den del det avser att reglera rent nationell behandling av personuppgifter.

Justitieutskottet anser därför sammanfattningsvis att kommissionens förslag till Europaparlamentets och rådets direktiv om skydd för enskilda personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter (KOM(2012) 10) strider mot subsidiaritetsprincipen i de delar som reglerar nationell behandling av personuppgifter som medlemsländernas behöriga myndigheter utför i brottsbekämpande syfte. Riksdagen bör lämna ett motiverat yttrande till Europaparlamentets, rådets och kommissionens ordförande med den lydelse som anges i bilaga 3.

Bilaga 1

Behandlat förslag

Kommissionens förslag till Europaparlamentets och rådets direktiv om skydd för enskilda personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter (KOM(2012) 10).

Bilaga 2

Yttrande från konstitutionsutskottet

Utdrag ur konstitutionsutskottets protokoll 2012-03-15, utskottssammanträde 2011/12:31:

Konstitutionsutskottet har – i anslutning till sin prövning av kommissionens förslag till allmän uppgiftsskyddsförordning, KOM(2012) 11 – haft anledning att göra en genomgång av kommissionens förslag till direktiv om skydd för personuppgifter på det brottsbekämpande området, KOM(2012) 10. Utskottet ställer sig starkt frågande till om förslaget till direktiv är förenligt med subsidiaritetsprincipen i den del det avser att reglera rent nationell behandling av personuppgifter.

Bilaga 3

Motiverat yttrande

I sitt förslag till lagstiftningsakt hänvisar kommissionen till flera problem som hänger samman med genomförandet och tillämpningen av rådets rambeslut 2008/977/RIF av den 27 november 2008 om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete. Kommissionen menar att rambeslutets begränsade tillämpningsområde kan skapa problem för medlemsländernas behöriga myndigheter och att rambeslutet lämnar stor frihet till medlemsländerna vad gäller genomförandet. Dessa problem motiverar enligt kommissionen att tillämpningsområdet för det nu föreslagna direktivet utvidgas i förhållande till rambeslutet för att även omfatta nationell behandling av personuppgifter som medlemsländernas behöriga myndigheter utför för att förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder.

Det ovan nämnda rambeslutet skulle ha genomförts av medlemsländerna senast den 27 november 2010. Riksdagen anser att det är för tidigt att dra slutsatser om rambeslutets effektivitet. Vidare har kommissionen inte presenterat någon fristående konsekvensanalys av direktivförslaget, utan detta berörs endast i den konsekvensanalys som gäller reformpaketet som helhet.

Sammanfattningsvis anser riksdagen att det är svårt att se vad som motiverar ett utvidgat tillämpningsområde för EU:s regler om skydd av personuppgifter på det brottsbekämpande området. En utvidgad lagstiftning på EU-nivå som omfattar behandling av personuppgifter inom ramen för förundersökning och rättegång i brottmål riskerar även att komma i konflikt med medlemsländernas nationella straff- och processrätt.

Riksdagen anser mot bakgrund av detta att kommissionens förslag till Europaparlamentets och rådets direktiv om skydd för enskilda personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter (KOM(2012) 10) strider mot subsidiaritetsprincipen i de delar som reglerar renodlat nationell behandling av personuppgifter som behöriga myndigheter i medlemsländerna utför i syfte att förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder.