Remiss av kommissionens förslag till dataskyddsförordning KOM (2012) 11 slutlig

Transkript

1 1 (5) YTTRANDE Regeringskansliet (Justitiedepartementet) Stockholm Remiss av kommissionens förslag till dataskyddsförordning KOM (2012) 11 slutlig Juridiska fakultetsnämnden vid Stockholms universitet, som har anmodats yttra sig över kommissionens förslag till dataskyddsförordning, anför följande: 1. Allmänt Inledningsvis beklagar Juridiska fakultetsnämnden den jämförelsevis korta tid som stått till förfogande för utformning av remissvaret. Det begränsade tidsspannet för beredning av detta genomgripande och omfattande förslag till dataskyddsförordning medför allmänt sett en risk för otillräcklig genomlysning. Här ska även nämnas att vissa av de synpunkter som i det följande förs fram och som främst har bäring på svensk rätt inte självklart kan komma att få gehör inom EU. Detta till trots är de värda att artikuleras. De övergripande målen med förslaget, dvs. att stärka integritetsskyddet, öka harmoniseringen inom EU, minska byråkratiseringen och förbättra anpassningen till dagens globala användning av informations- och kommunikationsteknik (IKT) är alla lovvärda i sig om än svåra att fullt ut kombinera. Särskilt senare tids ökade användning av s.k. molntjänster (eng. cloud computing) med anknytande ärenden hos tillsynsmyndigheterna i Norden har visat att dagens regelverk som utgår från strikt åtskilda kategorier av aktörer (personuppgiftsansvarig, personuppgiftsbiträde m.fl.) svårligen låter sig tillämpas i digitala miljöer av detta slag. En bärande tanke med molnbaserade affärsmodeller är just dynamisk, skalbar och geografiskt oberoende databehandling av parter som inte nödvändigtvis är utpekade i förhand. Bland annat mot denna bakgrund framstår det som angeläget med en översyn av EU:s regelverk om skydd av den personliga integriteteten vid behandling av personuppgifter. Jämfört med det nuvarande dataskyddsdirektivet (95/46/EG) är det givetvis en betydande skillnad att det nu framlagda förslaget har fått formen av en förordning. Principiellt sett ger detta rättsliga instrument förstås andra premisser för den nationella rättens utformning. Möjligtvis blir de reella skillnaderna inte så betydande, men det finns åtminstone två risker förknippade med en reglering i form av en EU-förordning: Stockholms universitet Besöksadress: Telefon: Stockholm Universitetsvägen 10 E E-post: clara.hallen@juridicum.su.se

2 2 (5) En faktisk minskning av integritetsskyddet i vissa avseenden Den harmonisering som kan åstadkommas genom en förordning utesluter, eller är starkt begränsande för, ett lands möjlighet att behålla, och/eller införa, ett integritetsskydd som är starkare än det som fastställs genom förordningen. Detta måste ses som gynnsamt för den fria rörligheten på den inre marknaden. Samtidigt bör det noteras att detta också leder till att medlemsstaterna inte alltid kan behålla ett så starkt integritetsskydd som man kanske skulle önska och detta blir än mer påtagligt nu med en förordning. Således blir effekten att, inom de områden, och i den utsträckning, som svensk rätt medger ett starkare skydd än förordningen, kommer det integritetsskydd som svenska folket åtnjuter minska även vad gäller uteslutande inhemsk behandling av personuppgifter. Praktiska svårigheter Då integritetsrelaterade regler återfinns inom ett flertal lagområden kommer det krävas en avsevärd arbetsinsats för att försäkra att svensk rätt inte innehåller några regler i strid med förordningen. 2. Synpunkter med avseende på den svenska rättens ställning 2.1 Offentlighetsprincipen Av särskild betydelse för svenskt vidkommande är hur vår offentlighetsprincip kan komma att stå sig om förslaget till dataskyddsförordning går igenom. I detta sammanhang finns anledning att peka på den skrivning som i samband med Sveriges medlemskap kom till uttryck i preambeln till dataskyddsdirektivet: 72) Detta direktiv gör det möjligt att vid genomförandet av dessa bestämmelser ta hänsyn till principen om allmänhetens rätt till tillgång till allmänna handlingar. Vikten av handlingsoffentlighet så som reglerat i 2 kap. tryckfrihetsförordningen kan inte nog betonas i ett samhälle som vilar på demokratiska grundvalar. Givetvis måste en vidsträckt insynsrätt balanseras mot bl.a. skydd av denna personliga integriteten. Det sätt på vilket den svenska lagstiftaren axlat denna uppgift, genom bl.a. regleringen av sekretess vid behandling i strid med personuppgiftslagen (1998:204) i 21 kap. 7 offentlighets- och sekretesslagen (2009:400), är ett exempel härpå. Juridiska fakultetsnämnden antar att företrädare för den svenska lagstiftaren arbetar för att den svenska offentlighetsprincipen inte mer än nödvändigt ska naggas i kanten av vårt medlemskap i EU. Likväl bör denna centrala frågeställning uppmärksammas kontinuerligt.

3 3 (5) 2.2 Missbruksregeln Ett betydande inslag i den svenska rättsutvecklingen kring integritetsskydd vid behandling av personuppgifter har varit införandet av den s.k. missbruksregeln i 5 a personuppgiftslagen. Genom att undanta det som har kommit att betecknas som ostrukturerad behandling från tillämpningen av lagens övriga cirka femtio hanteringsregler har vardaglig användning av IKT avreglerats. Samtidigt omgärdas detta undantag av ett förbud mot missbruk i form av kränkning av den registrerades personliga integritet. Tack vare missbruksregeln är det alltså tillåtet att på ett sedvanligt sätt utnyttja allmänna funktioner i våra vanliga digitala kontorsverktyg. Det går också bra att publicera personuppgifter i löpande text, lägga ut (enstaka) personbilder på internet, konversera i sociala medier som Facebook m.m. utan att vara belastad med krav på överväganden om tillåtligheten, fullgörandet av informationsskyldigheter, etc. För det fall att denna missbruksmodell inte kommer att kunna kvarstå som ett undantag från hanteringsmodellen blir de legala utgångspunkterna för IKT-användning drastiskt förändrade i Sverige. En hel del kommer förstås att falla inom ramen för undantaget i Artikel 2. d) för behandling av personuppgifter som en fysisk person utför utan vinstintresse som ett led i verksamhet av rent privat natur eller som har samband med hans eller hennes hushåll. Betydligt större osäkerhet omgärdar konsekvenserna av förslaget till dataskyddsförordning vad gäller den digitala kommunikation med enskilda som utgör ett centralt inslag i utvecklingen av e- förvaltningen 2.3 Registerförfattningar Det svenska normsystemet för integritetsskydd vid behandling av personuppgifter bygger på att den generella lagstiftningen i form av personuppgiftslagen med anknytande författningar kompletteras av ett stor antal registerförfattningar. Utan att ha underlag för mer djupgående analyser konstaterar Juridiska fakultetsnämnden att förslaget till dataskyddsförordning förändrar förutsättningarna för denna typ av specialreglering. Mot denna bakgrund framstår arbetet i informationshanteringsutredningen (Ju 2011:11) som särskilt angeläget. 3. Synpunkter med avseende på förhållanden inom EU samt internationellt 3.1 Komplext och omfattande I den utsträckning det faktiska målet varit att producera ett lättanvänt regelverk som är begripligt för allmänheten, kan förslaget inte beskrivas som något annat än ett misslyckande. Men i sådana fall beror misslyckandet mest på det orealistiska i själva målsättningen. Integritetsskydd är ett komplext område som inte låter sig regleras genom enkla och för gemene man lättbegripliga regler. Frågan är därför om det finns utrymme att förenkla vissa delar av förslaget.

4 4 (5) 3.2 Territoriellt tillämpningsområde Förordningens territoriella tillämpningsområde fastställs i artikel 3. Den utvidgning som artikel 3(2) innebär är viktig, inte minst i samband med elektronisk handel. Det kan samtidigt noteras att formuleringen av artikel 3 troligen kommer att medföra viss gränsdragningsproblematik. 3.3 Samtycke En reglering baserad på samtycke, eller där samtycke spelar en betydande roll, är alltid försvagad av det faktum att allmänheten sällan tar sig tid att informera sig om vad man samtycker till. Trots detta, måste det sätt på vilket artikel 7 hanterar samtyckesfrågan ses som ett välkommet initiativ. 3.4 Rätten att bli bortglömd och raderad Den så kallade rätten att bli bortglömd och raderad (artikel 17) har fått stor uppmärksamhet och i viss mån lanserats som ett nytt koncept med betydande konsekvenser. Detta ter sig som en viss överdrift om man betänker det faktum att radering av uppgifter som ej längre är nödvändiga är en vanlig del av integritetskyddslagstiftning i flera delar av världen. Det finns ändå anledning att uppfatta artikel 17 som en förbättring, inte minst med tanke på den förtydligande roll den spelar. 3.5 Rätten till uppgiftsportabilitet Beroende på dess praktiska tillämpning kan den uppgiftsportabilitet som föreskrivs i artikel 18 ha potential att leda till en avsevärd förbättring av integritetsskyddet i förhållande till ett flertal vanliga internetbaserade användningsområden. Problematiken att överföra information från en internettjänst till en annan leder inte sällan till att många människor blir kvar med den tjänst de börjat använda även när den tjänstens integritetsskydd försämras, eller nya bättre tjänster lanseras. Förordningen behöver emellertid precisera att uttrycket allmänt använt format vid tillämpningen av artikel 18 för att få genomslag ska tolkas på ett sätt som omfattar den typ av uppgiftsportabilitet som förenklar för användare av internettjänster som e-post (t.ex. Gmail) och sociala medier (t.ex. Facebook) att byta tjänsteleverantör. 3.6 Direkt marknadsföring Förordningens artikel 19(2) reglerar direkt marknadsföring. Den kräver att den registrerade erbjuds möjligheten att invända mot behandlingen av sina personuppgifter för sådan marknadsföring ( optout ). Således utgör artikel 19(2) en försämring vad gäller integritetsskyddet jämfört med kravet på samtycke ( opt-in ) som fanns i den version av förordningen som spreds i slutet av november Det är viktigt att detta uppmärksammas, liksom de konsekvenser som valet mellan opt-in och opt-out medför. 3.7 Överföring till tredjeländer Kapitel V innehåller bestämmelser om överföring av personuppgifter till tredjeländer. Det faktum att denna reglering i sig är sex A4-sidor lång är symptomatiskt för den komplexitet som är förenad med normgivning av detta slag

5 5 (5) I internetsammanhang har EU:s förhållningsätt till överföring av personuppgifter till tredjeländer influerats starkt av domen i det så kallade konfirmandlärarmålet. 1 Det står dock klart att den teknologiska utvecklingen inte minst genom framväxten av sociala medier gör att tillämpningen av nu gällande principer knappast kan anses särskilt ändamålsenliga. En modernisering är därför välkommen. Förordningens Kapitel V utgör en sådan modernisering, men mer bör göras för att hantera de avsevärda risker som överföring av personuppgifter till tredjeländer innebär. Till exempel bör den samtyckebaserade överföringen förstärkas eller åtminstone förtydligas ytterligare så att det står klart att samtycke bara kan ges då den registrerade har informerats om följande: till vilket land, eller vilka länder, överföringen kommer ske; vem, eller vilka, mottagaren är; vilka steg som tas för att skydda personuppgifterna efter överföringen; hur personuppgifterna kommer behandlas efter överföringen, samt huruvida personuppgifterna kommer att föras vidare till ytterligare något annat land efter överföringen. Som skydd för den registrerade vid överföring av personuppgifter till tredjeländer kan man vidare tänka sig att hålla den part som för över uppgifterna ansvarig för hur personuppgifterna behandlas efter överföringen. 1 EG-domstolens avgörande i mål C-101/01, REG 2003 s. I Se även Göta hovrätts dom , B