Konstitutionsutskottets utlåtande
|
Subsidiaritetsprövning av kommissionens förslag till förordning om fastställande av ytterligare förfaranderegler avseende verkställighet av dataskyddsförordningen
Sammanfattning
Utskottet anser att kommissionens förslag till förordning om fastställande av ytterligare förfaranderegler avseende verkställighet av dataskyddsförordningen inte i alla delar är förenligt med subsidiaritetsprincipen och föreslår att riksdagen lämnar ett motiverat yttrande till Europaparlamentets, rådets och kommissionens ordförande.
Utskottet framhåller vikten av att en reglering på unionsnivå inte kommer i konflikt med nationella grundlagar och att den respekterar grunderna i medlemsstaternas nationella förvaltningsmodeller.
Enligt utskottet är den föreslagna regleringen med bestämmelser om bl.a. handlingsoffentlighet och partsinsyn alltför detaljerad och mer långtgående än vad som är nödvändigt för att uppnå dess syfte. Målen med regleringen bör kunna nås genom mer generella bestämmelser på unionsnivå och med kompletterande bestämmelser på nationell nivå.
Prövade förslag
Europeiska kommissionens förslag till Europaparlamentets och rådets förordning om fastställande av ytterligare förfaranderegler avseende verkställighet av förordning (EU) 2016/679 (COM(2023) 348).
Utskottets förslag till riksdagsbeslut
Förslagets huvudsakliga innehåll
Bilaga 1
Förteckning över prövade förslag
Bilaga 2
Motiverat yttrande från Sveriges riksdag
Utskottets förslag till riksdagsbeslut
Subsidiaritetsprövning av kommissionens förslag till Europaparlamentets och rådets förordning om fastställande av ytterligare förfaranderegler avseende verkställighet av dataskyddsförordningen |
Riksdagen beslutar att lämna ett motiverat yttrande till Europaparlamentets, rådets och kommissionens ordförande med den lydelse som framgår av utskottets förslag i bilaga 2.
Stockholm den 28 september 2023
På konstitutionsutskottets vägnar
Ida Karkiainen
Följande ledamöter har deltagit i beslutet: Ida Karkiainen (S), Erik Ottoson (M), Matheus Enholm (SD), Hans Ekström (S), Fredrik Lindahl (SD), Mirja Räihä (S), Ulrik Nilsson (M), Per-Arne Håkansson (S), Amalia Rud Pedersen (S), Susanne Nordström (M), Jessica Wetterling (V), Gudrun Brunegård (KD), Malin Björk (C), Lars Engsund (M), Jan Riise (MP), Lars Johnsson (M) och Martin Melin (L).
Den 4 juli 2023 antog Europeiska kommissionen ett förslag till förordning om fastställande av ytterligare förfaranderegler avseende verkställighet av dataskyddsförordningen[1]. Till förslaget hör en bilaga med ett formulär om gränsöverskridande klagomål.
Den 31 augusti 2023 hänvisade kammaren förslaget till förordning till konstitutionsutskottet för subsidiaritetsprövning.
Tidsfristen för att lämna ett motiverat yttrande löper ut den 6 oktober 2023.
Den 29 augusti 2023 överlämnade regeringen faktapromemoria 2022/23:FPM124 Förordning med kompletterande förfaranderegler i gränsöverskridande ärenden enligt dataskyddsförordningen till riksdagen.
Vid utskottets sammanträde den 14 september 2023 informerade företrädare för Justitiedepartementet utskottets ledamöter om förslaget till förordning och regeringens bedömning av tillämpningen av subsidiaritetsprincipen.
Dataskyddsförordningen innehåller regler om bl.a. förfarandet i ärenden som rör gränsöverskridande behandling av personuppgifter, dvs. sådan behandling som äger rum i flera medlemsstater eller som kan antas väsentligt påverka registrerade i mer än en medlemsstat. Regleringen bygger på tanken att det i gränsöverskridande ärenden ska finnas en enda ansvarig tillsynsmyndighet men att alla andra berörda tillsynsmyndigheter ska involveras i förfarandet.
Förslaget om fastställande av ytterligare förfaranderegler vid verkställighet av dataskyddsförordningen har sin grund i kommissionens utvärdering av dataskyddsförordningens tillämpning 2020. Vid utvärderingen lyfte både kommissionen och Europaparlamentet behovet av att effektivisera och harmonisera tillsynsmyndigheternas hantering av gränsöverskridande ärenden. Europeiska dataskyddsstyrelsen (European Data Protection Board, EDPB) påbörjade ett arbete med detta och lämnade under hösten 2022 över en lista till kommissionen med förslag till harmoniseringar på området. Det aktuella förslaget bygger på kommissionens rapport från utvärderingen 2020, EDPB:s lista och kommissionens slutsatser från sitt arbete med att övervaka tillämpningen av dataskyddsförordningen.
Syfte
Syftet med förslaget är att effektivisera och harmonisera hanteringen i ärenden som rör gränsöverskridande behandling av personuppgifter, dvs. sådana ärenden som påverkar enskilda i flera medlemsstater och där fler än en medlemsstats tillsynsmyndighet därför är involverad.
Förslaget innehåller kompletterande bestämmelser om de administrativa förfaranden som tillsynsmyndigheterna ska tillämpa i gränsöverskridande ärenden enligt dataskyddsförordningen bl.a. i fråga om formerna för och hanteringen av klagomål, samarbetet mellan tillsynsmyndigheterna, rätten till partsinsyn och parternas rättigheter under utredningen samt konfidentialitet. Huvuddragen i förslagen återges under särskilda rubriker nedan.
Formerna för och hanteringen av klagomål
Förslaget innehåller bestämmelser om vilka uppgifter ett klagomål i gränsöverskridande ärenden ska innehålla, vilka åtgärder den mottagande tillsynsmyndigheten ska vidta i det inledande skedet och ansvaret för översättning av handlingar i ärendet. Förslaget innehåller även en bestämmelse om att ett klagomål kan lösas genom en uppgörelse i godo, och att ett klagomål ska anses återkallat om en klagande inte invänder mot ett utkast till en sådan uppgörelse inom en viss tid.
Uppnående av samförstånd mellan tillsynsmyndigheterna
I förslaget finns bestämmelser om vilka verktyg tillsynsmyndigheterna ska använda sig av för att nå samförstånd i gränsöverskridande ärenden och vilken information den ansvariga tillsynsmyndigheten ska tillhandahålla övriga berörda tillsynsmyndigheter. Den ansvariga tillsynsmyndigheten ska i inledningen av utredningen översända en sammanfattning av de viktigaste frågorna i ärendet till övriga berörda tillsynsmyndigheter för synpunkter inom en viss angiven tid. Om tillsynsmyndigheterna är oeniga om vilken omfattning utredningen ska ha, ska de vända sig till EDPB för ett brådskande bindande beslut i den frågan.
Klagomål som helt eller delvis avslås
Förslaget innehåller bestämmelser om att klaganden ska få möjlighet att yttra sig innan ett klagomål helt eller delvis avslås. Om klaganden inte yttrar sig inom angiven tid ska klagomålet anses återkallat. Klaganden ska även ha rätt att ta del av allt icke-konfidentiellt underlag som förslaget till avslag vilar på.
Rätten att bli hörd m.m.
I förslaget finns bestämmelser om att den ansvariga tillsynsmyndigheten, när den utreder en potentiell överträdelse av dataskyddsförordningen, ska låta parterna under utredning få del av och yttra sig över myndighetens preliminära slutsatser i ärendet. De preliminära slutsatserna ska vara utformade så att parterna fullt ut förstår de anklagelser som riktas mot dem. Beslutet i ärendet får endast omfatta sådana anklagelser och grundas på sådana omständigheter som parterna har haft möjlighet att yttra sig över.
Förslaget innehåller vidare bestämmelser som ger klaganden rätt att få del av en icke-konfidentiell version av de preliminära slutsatserna och möjlighet att yttra sig över dessa. Klaganden ska enligt förslaget dessförinnan lämna en försäkran om att inte avslöja något av informationen eller använda den i något syfte som inte har med den aktuella utredningen att göra.
Relevanta och motiverade invändningar
I dataskyddsförordningen finns bestämmelser om berörda tillsynsmyndigheters möjligheter att komma med relevanta och motiverade invändningar mot den ansvariga tillsynsmyndighetens förslag till beslut. Förslaget innehåller bestämmelser om vilka krav sådana invändningar ska uppfylla.
Partsinsyn och konfidentialitet
Förslaget innehåller bestämmelser om vad som ska anses ingå i akten i ärendet, partsinsyn och konfidentialitet. All korrespondens mellan tillsynsmyndigheterna i ett ärende ska enligt förslaget anses intern och därför vara undantagen från partsinsyn. Vidare föreslås att rätten till partsinsyn ska börja gälla efter det att den ansvariga tillsynsmyndigheten delgett parterna sina preliminära slutsatser, och att parterna får använda handlingar som de fått tillgång till genom partsinsynen endast inom ramen för det aktuella ärendet.
I förslaget finns även en bestämmelse som undantar handlingar i pågående gränsöverskridande ärenden från nationella regler om tillgång till allmänna handlingar. Det finns också bestämmelser om hur handlingar som innehåller konfidentiell information ska hanteras; bl.a. ska den som lämnar in en sådan handling samtidigt lämna in en icke-konfidentiell version av samma handling. Parter ska även kunna föreläggas att ange i vilka delar handlingar som de har lämnat in kan innehålla konfidentiell information, och vid uteblivet svar på ett sådant föreläggande ska tillsynsmyndigheten kunna utgå från att handlingarna inte innehåller någon sådan information.
Tvistlösning genom EDPB m.m.
Om tillsynsmyndigheterna inte kan komma överens i ett gränsöverskridande ärende tillhandahåller dataskyddsförordningen en tvistlösningsmekanism genom EDPB. Förslaget innehåller mer detaljerade bestämmelser om hur denna procedur ska gå till, bl.a. om parternas och klagandens rätt att bli hörda.
Dataskyddsförordningen ger tillsynsmyndigheterna i ett gränsöverskridande ärende möjlighet att initiera ett skyndsamt förfarande vid EDPB, när ett beslut inte kan avvaktas. Förslaget innehåller mer detaljerade bestämmelser om hur denna procedur ska gå till.
Enligt förslaget ska merparten av bestämmelserna tillämpas endast på sådana ärenden som inletts efter det att förordningen trätt i kraft.
Utskottets förslag i korthet
Riksdagen beslutar att lämna ett motiverat yttrande till Europaparlamentets, rådets och kommissionens ordförande med den lydelse som framgår av utskottets förslag i bilaga 2.
Subsidiaritetsprövning
Subsidiaritetsprincipen gäller enligt artikel 5.3 i fördraget om Europeiska unionen på de områden där EU inte har exklusiv befogenhet. Den innebär att EU ska vidta en åtgärd endast om och i den mån som målen för den planerade åtgärden inte i tillräcklig utsträckning kan uppnås av medlemsstaterna, vare sig på central nivå eller på regional och lokal nivå, och därför, på grund av den planerade åtgärdens omfattning eller verkningar, bättre kan uppnås på unionsnivå.
Vid subsidiaritetsprövningen ställs först frågan om det är möjligt att uppnå målen för den föreslagna åtgärden genom att den vidtas på nationell, regional eller lokal nivå. Om svaret är nekande ska åtgärden vidtas på unionsnivå. Om svaret är jakande ska frågan ställas om målen för åtgärden kan uppnås bättre genom att den vidtas på unionsnivå.
Konstitutionsutskottet har uttalat att ett visst mått av proportionalitetsbedömning – dvs. att granska om den föreslagna åtgärden går utöver vad som är nödvändigt för att uppnå de eftersträvade målen – kan anses ingå inom ramen för subsidiaritetsprövningen. Det är inte fråga om renodlade proportionalitetsbedömningar utan om ett proportionalitetstest inom ramen för subsidiaritetsprövningen (bet. 2010/11:KU18 och bet. 2014/15:KU5).
Kommissionens subsidiaritetsbedömning
När det gäller subsidiaritetsprincipen anför kommissionen att EU är bäst lämpat att agera eftersom förslaget rör ett redan existerande administrativt förfarande som följer av dataskyddsförordningen, och som involverar tillsynsmyndigheter i flera medlemsstater och EDPB.
Kommissionen bedömer att förslaget även är förenligt med proportionalitetsprincipen av i huvudsak följande skäl. Förslaget tillgodoser intresset av att säkerställa ett effektivt gränsöverskridande förfarande utan att otillbörligt inverka på nationella rättssystem. Parternas rätt att bli hörda och klagandens ställning i förfarandet omfattas i nuläget av nationella förfaranderegler. Eftersom dessa aspekter är grundläggande för hela förfarandet är det nödvändigt att de harmoniseras för att kunna uppnå syftet med förslaget, dvs. att underlätta hanteringen av gränsöverskridande ärenden. Rätten för parterna att bli hörda under utredningen gäller dessutom redan till följd av EU-stadgans bestämmelser om rätten till försvar och rätten till god förvaltning. Likaså gäller redan i dag enligt dataskyddsförordningen att klaganden har rätt att bli informerad om hur det går med hans eller hennes klagomål. Förslaget innebär i huvudsak att dessa delar av förfarandet harmoniseras och förtydligas.
Regeringens subsidiaritetsbedömning
Regeringen finner inte skäl att göra någon annan bedömning än den som kommissionen gör när det gäller subsidiaritetsprincipen. I fråga om förslagets förenlighet med proportionalitetsprincipen framhåller regeringen att det är viktigt att det slutliga resultatet inte blir mer långtgående eller detaljerat än vad som är påkallat med hänsyn till dess syfte. Förutsatt att detta uppnås finner regeringen inte skäl att göra någon annan bedömning än den som kommissionen har gjort när det gäller förslagets förenlighet med proportionalitetsprincipen.
Utskottets ställningstagande
Utskottet ifrågasätter inte behovet av en förbättrad reglering på unionsnivå när det gäller förfarandet i gränsöverskridande ärenden enligt dataskyddsförordningen. Utskottet ser vidare positivt på en reform som förbättrar effektiviteten i sådana ärenden. Utskottet vill dock framhålla vikten av att en reglering på unionsnivå inte kommer i konflikt med nationella grundlagar och att den respekterar grunderna i medlemsstaternas nationella förvaltningsmodeller. Enligt utskottet bör behovet av harmoniserade förfaranderegler på unionsnivå vägas mot intresset av att värna grundläggande strukturer och vedertagna juridiska begrepp i medlemsstaternas nationella förvaltningsrättsliga regelverk.
Utskottet noterar att unionen enligt artikel 5 i fördraget om Europeiska unionen, på de områden där den inte har exklusiv kompetens, ska vidta en åtgärd endast om och i den mån som målen för den planerade åtgärden inte i tillräcklig utsträckning kan uppnås av medlemsstaterna och därför, på grund av den planerade åtgärdens omfattning eller verkningar, bättre kan uppnås på unionsnivå. Enligt vad utskottet tidigare uttalat får det av orden endast om och i den mån anses framgå att subsidiaritetsprövningen innefattar ett proportionalitetskriterium och att det därav följer att den föreslagna åtgärden inte får gå utöver vad som är nödvändigt för att uppnå de eftersträvade målen. En reglering får således inte, som den svenska regeringen också framhåller, vara mer långtgående eller detaljerad än vad som är påkallat med hänsyn till dess syfte.
Utskottet konstaterar att förslaget innehåller detaljerade regler om bl.a. handlingsoffentlighet och partsinsyn. I förslaget finns en bestämmelse som undantar handlingar i pågående gränsöverskridande ärenden från nationella regler om tillgång till allmänna handlingar. Det föreslås även att all korrespondens mellan tillsynsmyndigheterna i ett ärende ska anses intern och därför vara undantagen från partsinsyn. Vidare föreslås t.ex. att parterna får använda handlingar som de fått tillgång till genom partsinsynen endast inom ramen för det aktuella ärendet. Dessutom innehåller förslaget ingående bestämmelser om konfidentialitet.
Utskottet bedömer att förslaget, särskilt när det gäller bestämmelserna om tillgång till allmänna handlingar, i vissa delar är svårförenligt med svenska grundlagar samt med grundläggande strukturer och vedertagna juridiska begrepp i det svenska förvaltningsrättsliga regelverket.
Enligt utskottet är den föreslagna regleringen alltför detaljerad och mer långtgående än vad som är nödvändigt för att uppnå dess syfte. Målen med regleringen bör kunna nås genom mer generella bestämmelser på unionsnivå och med kompletterande bestämmelser på nationell nivå som kan utformas utifrån de konstitutionella och förvaltningsrättsliga förutsättningarna i respektive medlemsstat.
Mot denna bakgrund anser utskottet att förslaget inte i alla delar är förenligt med subsidiaritetsprincipen. Utskottet föreslår därför att riksdagen lämnar ett motiverat yttrande till Europaparlamentets, rådets och kommissionens ordförande.
Bilaga 1
Förteckning över prövade förslag
Europeiska kommissionens förslag till Europaparlamentets och rådets förordning om fastställande av ytterligare förfaranderegler avseende verkställighet av förordning (EU) 2016/679 (COM(2023) 348).
Bilaga 2
Motiverat yttrande från Sveriges riksdag
Riksdagen har granskat kommissionens förslag till Europaparlamentets och rådets förordning om fastställande av ytterligare förfaranderegler avseende verkställighet av förordning (EU) 2016/679 (COM(2023) 348).
Riksdagen ifrågasätter inte behovet av en förbättrad reglering på unionsnivå när det gäller förfarandet i gränsöverskridande ärenden enligt dataskyddsförordningen. Riksdagen ser vidare positivt på en reform som förbättrar effektiviteten i sådana ärenden. Riksdagen vill dock framhålla vikten av att en reglering på unionsnivå inte kommer i konflikt med nationella grundlagar och att den respekterar grunderna i medlemsstaternas nationella förvaltningsmodeller. Enligt riksdagen bör behovet av harmoniserade förfaranderegler på unionsnivå vägas mot intresset av att värna grundläggande strukturer och vedertagna juridiska begrepp i medlemsstaternas nationella förvaltningsrättsliga regelverk.
Riksdagen noterar att unionen enligt artikel 5 i fördraget om Europeiska unionen, på de områden där den inte har exklusiv kompetens, ska vidta en åtgärd endast om och i den mån som målen för den planerade åtgärden inte i tillräcklig utsträckning kan uppnås av medlemsstaterna och därför, på grund av den planerade åtgärdens omfattning eller verkningar, bättre kan uppnås på unionsnivå. Enligt vad konstitutionsutskottet tidigare uttalat får det av orden endast om och i den mån anses framgå att subsidiaritetsprövningen innefattar ett proportionalitetskriterium och att det därav följer att den föreslagna åtgärden inte får gå utöver vad som är nödvändigt för att uppnå de eftersträvade målen. En reglering får således inte, som den svenska regeringen också framhåller, vara mer långtgående eller detaljerad än vad som är påkallat med hänsyn till dess syfte.
Riksdagen konstaterar att förslaget innehåller detaljerade regler om bl.a. handlingsoffentlighet och partsinsyn. I förslaget finns en bestämmelse som undantar handlingar i pågående gränsöverskridande ärenden från nationella regler om tillgång till allmänna handlingar. Det föreslås även att all korrespondens mellan tillsynsmyndigheterna i ett ärende ska anses intern och därför vara undantagen från partsinsyn. Vidare föreslås t.ex. att parterna får använda handlingar som de fått tillgång till genom partsinsynen endast inom ramen för det aktuella ärendet. Dessutom innehåller förslaget ingående bestämmelser om konfidentialitet.
Riksdagen bedömer att förslaget, särskilt när det gäller bestämmelserna om tillgång till allmänna handlingar, i vissa delar är svårförenligt med svenska grundlagar samt med grundläggande strukturer och vedertagna juridiska begrepp i det svenska förvaltningsrättsliga regelverket.
Enligt riksdagen är den föreslagna regleringen alltför detaljerad och mer långtgående än vad som är nödvändigt för att uppnå dess syfte. Målen med regleringen bör kunna nås genom mer generella bestämmelser på unionsnivå och med kompletterande bestämmelser på nationell nivå som kan utformas utifrån de konstitutionella och förvaltningsrättsliga förutsättningarna i respektive medlemsstat.
Mot denna bakgrund anser riksdagen att förslaget inte i alla delar är förenligt med subsidiaritetsprincipen.
[1] Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).