MEDDELANDE FRÅN KOMMISSIONEN TILL EUROPAPARLAMENTET, RÅDET, EUROPEISKA EKONOMISKA SOCIALA KOMMITTEN SAMT REGIONKOMMITTÉN

Transkript

1 EUROPEISKA KOMMISSIONEN Bryssel den COM(2012) 9 final MEDDELANDE FRÅN KOMMISSIONEN TILL EUROPAPARLAMENTET, RÅDET, EUROPEISKA EKONOMISKA SOCIALA KOMMITTEN SAMT REGIONKOMMITTÉN Skydd av den personliga integriteten i en uppkopplad värld En europeisk ram för personuppgiftsskydd för tjugohundratalet (Text av betydelse för EES) [ ]

2 MEDDELANDE FRÅN KOMMISSIONEN TILL EUROPAPARLAMENTET, RÅDET, EUROPEISKA EKONOMISKA SOCIALA KOMMITTEN SAMT REGIONKOMMITTÉN Skydd av den personliga integriteten i en uppkopplad värld En europeisk ram för personuppgiftsskydd för tjugohundratalet (Text av betydelse för EES) 1. DAGENS UTMANINGAR INOM UPPGIFTSSKYDDET Den snabba tekniska utvecklingen och globaliseringen har i grunden omdanat hur allt större mängder av personuppgifter samlas in, sprids, används och överförs. Nya sätt att sprida information genom sociala nätverk och fjärrlagring av stora datamängder har blivit en del av vardagen för många av Europas 250 miljoner internetanvändare. Samtidigt är personuppgifter en tillgång för många företag. Att samla in, sammanställa och bedöma potentiella kunders uppgifter är ofta en viktig del av näringsverksamheten 1. I denna sköna nya digitala värld har den enskilde rätt att åtnjuta verksam kontroll över sina personuppgifter. Skyddet av den personliga integriteten är en grundläggande rättighet i Europa som stadfästs i artikel 8 i Europeiska unionens stadga om de grundläggande rättigheterna och i artikel 16.1 i fördraget om Europeiska unionens funktionssätt, och integriteten måste alltså skyddas därefter. Bristande förtroende gör att konsumenterna tvekar att handla på nätet eller ta till sig nya tjänster. Därför är ett starkt uppgiftsskydd också en förutsättning för att öka förtroendet för nättjänsterna och ta vara på den digitala ekonomins potential, och på så sätt uppmuntra ekonomisk tillväxt och EU-företagens konkurrenskraft. Moderna, konsekventa regler i hela EU behövs för att uppgifterna ska kunna flöda fritt från en medlemsstat till en annan. Företagen behöver för rättssäkerhetens skull tydliga, enhetliga regler som håller den administrativa bördan så låg som möjligt. Det är viktigt för att den inre marknaden ska kunna fungera och stimulera ekonomisk tillväxt, sysselsättning och innovation 2. Med modernare EU-regler om skydd av personuppgifter stärks den inre marknaden, de enskilda får ett starkt skydd, och rättssäkerheten främjas, så det innebär att reglerna har stor betydelse för kommissionens Stockholmsprogram 3, den digitala agendan för Europa 4 och i största allmänhet för EU:s tillväxtstrategi Europa Världsmarknaden för analys av mycket stora datamängder växer med 40 % om året: Jfr Europeiska rådets slutsatser av den 23 oktober 2011, där man framhävde att den inre marknaden spelar en viktig roll när det gäller att skapa tillväxt och sysselsättning och att den digitala inre marknaden bör färdigställas senast KOM(2010) 171 slutlig. SV 2 SV

3 EU:s dataskyddsdirektiv från , den centrala rättsakten för skydd av personuppgifter i EU, var en milstolpe i dataskyddets historia. Dess mål, att garantera en väl fungerande inre marknad och skydda de enskildas grundläggande fri- och rättigheter, är fortfarande relevanta. Det antogs dock för 17 år sedan när internet låg i sin linda. I dagens nya, farofyllda digitala miljö ger de befintliga reglerna varken den enhetlighet eller den resurseffektivitet som krävs för skyddet av personuppgifter. Därför föreslår kommissionen att EU:s dataskydd omdanas i grunden. Dessutom tillfördes genom Lissabonfördraget en ny rättslig grund, i form av artikel 16 i fördraget om Europeiska unionens funktionssätt, för en modern, heltäckande hållning till dataskydd och fri rörlighet för personuppgifter som även omfattar polisiärt och straffrättsligt samarbete 7. Hållningen återspeglas i kommissionens meddelanden om Stockholmsprogrammet och Stockholmsplanen 8, där det framhålls att EU bör utveckla ett enhetligt system för skydd av personuppgifter som täcker alla unionens behörighetsområden och se till att den grundläggande rätten till skydd för personuppgifter tillämpas på ett konsekvent sätt. För att förbereda reformen av EU:s dataskydd på ett öppet sätt inledde kommissionen 2009 offentliga samråd om dataskydd 9 och förde en intensiv dialog med de berörda parterna 10. Den 4 november 2010 offentliggjorde kommissionen meddelandet Ett samlat grepp på skyddet av personuppgifter i Europeiska unionen 11 där reformens huvuddrag skisseras. Mellan september och december 2011 förde kommissionen en utökad dialog med EU:s nationella dataskyddsmyndigheter och med Europeiska datatillsynsmannen för att undersöka alternativen för en mer enhetlig tillämpning av EU:s dataskyddsregler i alla EU:s medlemsstater 12. Av diskussionerna framkom tydligt att både enskilda och företag vill att kommissionen ska göra en genomgripande reform av dataskyddet i EU. Efter att ha bedömt konsekvenserna av olika alternativ 13 föreslår nu kommissionen en stark och enhetlig rättslig ram över alla EU:s politikområden som ska stärka de enskildas KOM(2010) 245 slutlig. KOM(2010) 2020 slutlig. Direktiv 95/46/EG om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter, EGT L 281, , s. 31. Särskilda regler för medlemsstaternas behandling av uppgifter inom ramen för den gemensamma utrikes- och säkerhetspolitiken ska fastställas i ett rådsbeslut med stöd av artikel 39 i fördraget om Europeiska unionen. KOM(2009) 262 respektive KOM(2010) 171. Två offentliga samråd har hållits om reformerna av dataskyddet, ett i juli december 2009 ( och ett november 2010 January 2011 ( Riktade samråd hölls under 2010 med medlemsstaternas myndigheter och privata intressenter. I november 2010 anordnade ledamoten av kommissionen med ansvar för rättvisa, Viviane Reding, ett rundabordssamtal i frågan. Särskilda symposier och seminarier om särskilda frågor (t.ex. varningar om dataintrång) anordnades också under KOM(2010) 609. Se skrivelse från ledamoten av kommissionen med ansvar för rättvisa, Viviane Reding, av den 19 september 2011 till ledamöterna i artikel 29-gruppen: 29/documentation/other-document/index_en.htm. Se konsekvensbedömningen SEK(2012)72. SV 3 SV

4 rättigheter, främja den inre marknaden på dataskyddsområdet och minska krånglet för företagen 14. Kommissionen föreslår följande komponenter: En förordning (som ersätter direktiv 95/46/EG) med allmänna EU-regler om skydd av personuppgifter 15. Ett direktiv (som ersätter rambeslut 2008/977/RIF 16 ) med regler om skydd av personuppgifter som behandlas i samband med förebyggande, utredning, avslöjande eller lagföring av brott och därmed förbunden rättslig verksamhet. I detta meddelande redovisas huvuddragen i reformen av EU:s dataskydd. 2. INDIVIDEN SKA HA KONTROLL ÖVER SINA PERSONUPPGIFTER Direktiv 95/46/EG, EU:s grundbult på området för närvarande, leder inte till tillräckligt stor enhetlighet i medlemsstaterna för hur enskilda kan utöva sin rätt till skydd av personuppgifter. Inte heller är de nationella dataskyddsmyndigheternas befogenheter tillräckligt enhetliga för att garantera en enhetlig, verkningsfull tillämpning av reglerna. Det innebär att det är svårare i en del medlemsstater att i praktiken utöva sina rättigheter, särskilt via nätet. Dessa svårigheter beror också på den enorma mängd data som samlas in varje dag och att användarna ofta inte är riktigt medvetna om att uppgifter om dem samlas in. Även om många européer anser att utlämnande av personuppgifter är en del av den moderna vardagen 17 oroar sig ändå 72 % av de europeiska internetanvändarna för att de lämnar ifrån sig för mycket personuppgifter på nätet 18. De upplever att de inte har kontroll över sina personuppgifter. De vet inte riktigt vad som händer med deras personuppgifter, till vem de lämnas ut och för vilka ändamål. Ofta vet de inte heller hur de kan utöva sina rättigheter via nätet. Rätten att bli glömd En europeisk student är med i en social nätverkstjänst på internet, och bestämmer sig för att begära ut alla personuppgifter tjänsten har om honom. När han gör det inser han att tjänsten samlar in mycket mer uppgifter än han var medveten om, och att en del personuppgifter som han trodde hade raderats för länge sedan fortfarande lagras Detta kommer i ett senare skede att medföra ändringar för anpassning av särskilda eller sektorsspecifika rättsakter, t.ex. förordning (EG) nr 45/2001, EGT L 8, , s. 1. Förordningen omfattar också ett begränsat antal tekniska anpassningar av e-integritetsdirektivet (direktiv 2002/58/EG, EUT L 337, , s. 11) eftersom direktiv 95/46/EG ersätts av en förordning. Den nya förordningens och det nya direktivets materiella rättsliga inverkan på e- integritetsdirektivet kommer i ett senare skede att ses över av kommissionen, under hänsynstagande till resultaten av de pågående förhandlingarna om förslagen med Europaparlamentet och rådet. Rambeslut 2008/977/RIF av den 27 november 2008 om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete, EUT L 350, , s. 60. En rapport om medlemsstaternas tillämpning av rambeslutet, COM(2012) 12, läggs fram som en del av reformpaketet på detta område. Se särskild Eurobarometerundersökning 359, Attitudes on Data Protection and Electronic Identity in the European Union, juni 2011, s. 23. A.a, s. 54. SV 4 SV

5 Reformen av EU:s dataskyddsregler ska garantera att detta inte längre händer genom att det införs - ett uttryckligt krav på att sociala nätverkstjänster (och andra registeransvariga) ska minimera mängden personuppgifter om användare som de samlar in och behandlar, - ett krav på att den förvalda inställningen ska vara att uppgifter inte är offentliga, - en uttrycklig skyldighet för registeransvariga att radera en individs personuppgifter om individen uttryckligen begär det och det inte finns några legitima skäl att ha kvar uppgifterna. I det här fallet skulle alltså den sociala nätverkstjänsten vara skyldig att omedelbart radera studentens personuppgifter fullständigt. Som framhålls i den digitala agendan för Europa är oro för den personliga integriteten ett av de vanligaste skälen som nämns för att inte köpa varor eller tjänster över nätet. Med tanke på informations- och kommunikationsteknikens (IKT) bidrag till den totala produktivitetstillväxten i Europa, närmare bestämt 20 % direkt i IKT-sektorn och 30 % från investeringar i IKT 19, är förtroendet för de här tjänsterna avgörande för att stärka den ekonomiska tillväxten i EU och främja det europeiska näringslivets konkurrenskraft. Varningar om dataintrång Hackare angrep en speltjänst med många användare i EU. Intrånget berörde databaser med personuppgifter (bl.a. namn, adress och ev. kreditkortsnummer) för tiotals miljoner användare i hela världen. Företaget väntade en vecka med att varsko de drabbade användarna. Genom reformen av dataskyddet i EU ska detta inte längre kunna hända. Med de nya reglerna blir företagen skyldiga - att skärpa sin säkerhet för att förebygga intrång, - att anmäla dataintrång till den nationella dataskyddsmyndigheten, om möjligt inom ett dygn efter det att intrånget upptäcktes, och varsko de berörda användarna utan otillbörliga dröjsmål. Målet med kommissionens nya lagförslag är att stärka rättigheterna, ge människorna effektiva, verksamma sätt att se till att de är helt underrättade om vad som händer med deras personuppgifter och ge dem möjlighet att utöva sina rättigheter med verkningsfullt. För att stärka individens rätt till skydd av personuppgifter föreslår kommissionen nya regler med följande syften: Förbättra individens möjlighet att kontrollera sina personuppgifter - Det ska garanteras att när en individs samtycke behövs ska det ges uttryckligt, dvs. ta formen av ett uttalande eller en tydligt jakande handling av den berörda individen och lämnas frivilligt. - Internetanvändare ska ha en verkningsfull rätt att bli glömd på nätet, dvs. rätt att få sina uppgifter raderade om de drar tillbaka sitt samtycke och det inte finns några legitima skäl att ha kvar uppgifterna. 19 Se En digital agenda för Europa, s. 4. SV 5 SV

6 - Det ska garanteras att man har lätt tillgång till sina egna uppgifter och har rätt till medflyttbarhet av uppgifter, dvs. rätt att få en kopia av de lagrade uppgifterna från den registeransvariga och frihet att flytta dem till en annan tjänsteleverantör utan hinder. - Rätten till information ska stärkas så att individer verkligen förstår hur deras personuppgifter hanteras, särskilt när behandlingen rör barn. Förbättra individens sätt att utöva sina rättigheter - De nationella dataskyddsmyndigheternas oberoende och befogenheter ska stärkas, så att de står rustade att verkningsfullt ta itu med klagomål, genomföra utredningar, fatta bindande beslut och påföra verkningsfulla och avskräckande sanktioner. - Förvaltningsrättsliga medel och andra rättsmedel ska skärpas när skyddet av personuppgifter kränks. Särskilt ska kvalificerade sammanslutningar kunna väcka talan inför rätta för en individs räkning. Stärkt datasäkerhet - Användningen av integritetsstärkande teknik (teknik som skyddar den personliga integriteten genom att den mängd personuppgifter som lagras hålls så liten som möjligt), integritetsvänliga standardinställningar och system för integritetsmärkning ska uppmuntras. - Det införs ett generellt krav 20 att registeransvariga ska anmäla dataintrång utan otillbörliga dröjsmål till dataskyddsmyndigheterna (om möjligt inom ett dygn) och varsko de berörda användarna. Öka möjligheterna att utkräva ansvar av dem som behandlar personuppgifter - Registeransvariga ska utse en dataskyddsansvarig vid företag med över 250 anställda och företag som sysslar med databehandling som på grund av behandlingens slag, omfattning eller ändamål medför särskilda risker för enskildas fri- och rättigheter (s.k. riskabel behandling). - Principen om inbyggd integritet införs, så att dataskyddet tas i beaktande vid utformningen av rutiner och system. - Det införs en skyldighet att utföra konsekvensbedömningar för dataskydd vid organisationer som sysslar med riskabel behandling. 3. DATASKYDDSREGLER SOM PASSAR DEN INRE MARKNADEN Trots det gällande direktivets mål att garantera en likvärdig nivå på dataskyddet i EU finns det fortfarande avsevärda skillnader i medlemsstaternas regler. Därför måste registeransvariga hantera 27 olika nationella rättsordningar och kravlistor. Följden är 20 För närvarande är detta bara obligatoriskt inom telesektorn i enlighet med e-integritetsdirektivet. SV 6 SV

7 en splittrad rättslig miljö som skapat ett oklart rättsläge och olika skydd för individerna. En annan följd är onödiga kostnader och administrativa bördor för företag, vilket avskräcker företag med verksamhet på den inre marknaden från att expandera sin verksamhet till andra länder. De nationella dataskyddsmyndigheternas resurser och befogenheter varierar avsevärt mellan medlemsstaterna 21. I några fall är de oförmögna att utöva en tillfredsställande tillsyn. Samarbetet mellan dessa myndigheter på EU-nivå i den befintliga rådgivande arbetsgruppen (den s.k. artikel 29-gruppen) 22 utmynnar inte alltid i en konsekvent lagtillämpning och behöver alltså förbättras. Enhetlig tillämpning av dataskyddsreglerna i EU Ett multinationellt företag med flera driftsställen i EU har tagit i drift ett nätbaserat karteringssystem i Europa som samlar in bilder av alla privata och offentliga byggnader och ibland även bilder av människor på gatan. En medlemsstat fann att lagring av omaskerade bilder av människor som inte var medvetna om att de blev fotograferade var olaglig, medan en annan medlemsstat fann att det inte stred mot skyddet av den personliga integriteten. Således reagerade inte de nationella dataskyddsmyndigheterna enhetligt för att råda bot på denna situation. Med reformen av dataskyddet i EU garanteras det att så inte sker framöver, eftersom - dataskyddskraven och säkerhetsåtgärderna ska anges i en EU-förordning som får direkt tillämplighet i hela EU, - bara den dataskyddsmyndighet där företaget har sitt huvudsakliga driftsställe blir ansvarig för att avgöra om företaget håller sig inom lagens råmärken, - snabb och verkningsfull samordning mellan de nationella dataskyddsmyndigheterna, (tjänsten riktar sig ju till individer i flera medlemsstater) kommer att bidra till att EU:s nya dataskyddsregler kommer att tillämpas enhetligt i alla medlemsstater. De nationella myndigheterna behöver mer resurser och samarbetet mellan dem behöver utökas för att garantera enhetlig tillämpning av reglerna i hela EU. En stark, tydlig och enhetlig EU-lagstiftning kommer att bidra till att förverkliga den digitala inre marknadens potential och främja ekonomisk tillväxt. innovation och nya jobb. Med en förordning försvinner splittringen i form av 27 olika nationella rättsordningar, samtidigt som hindren för marknadstillträde sänks, något som är särskilt viktigt för mikroföretag, småföretag och medelstora företag. De nya reglerna ger också EU-företagen en fördel i konkurrensen på världsmarknaden. Med de nya reglerna kan de försäkra sina kunder att värdefulla personuppgifter kommer att förvaltas med vederbörlig omsorg och vaksamhet. Förtroendet för de enhetliga EU-reglerna blir en konkurrensfördel för tjänsteföretag och ett incitament för investerare som letar efter de bästa villkoren när de bestämmer var tjänsterna ska vara belägna Mer om detta i konsekvensbedömningen som åtföljer lagförslagen, SEC(2012) 72. Artikel 29-gruppen inrättades 1996 med stöd av artikel 29 i direktiv 95/46/EG som ett rådgivande organ. Den består av företrädare för de nationella dataskyddsmyndigheterna, Europeiska datatillsynsmannan och kommissionen. Mer information om gruppens verksamhet: SV 7 SV

8 För att stärka dataskyddets inremarknadsaspekter föreslår kommissionen följande: - Fastställa dataskyddsreglerna på EU-nivå i form av en förordning som är direkt tillämplig i alla medlemsstater 23, vilket innebär att man inte längre måste tillämpa olika nationella dataskyddslagar samtidigt och ovanpå varandra. På så sätt sparar företagen omkring 2,3 miljarder euro netto om året enbart på minskade administrativa bördor. - Förenkla reglerna, minska krånglet drastiskt och avskaffa formkrav såsom generell anmälningsplikt (vilket innebär besparingar på 130 miljoner euro netto om året enbart i form av minskade administrativa bördor). Med tanke på mikroföretagens, småföretagens och de medelstora företagens betydelse för den europeiska ekonomisk konkurrenskraft ska särskild uppmärksamhet ägnas deras behov. - Stärka de nationella dataskyddsmyndigheternas oberoende och befogenheter så att de kan utföra utredningar, fatta bindande beslut och påföra verkningsfulla, avskräckande sanktioner samt ålägga medlemsstaterna att ge myndigheterna tillräckliga resurser för detta. - Sätta upp ett system med en enda instans för dataskyddet i EU: registeransvariga i EU behöver bara vända sig till en enda dataskyddsmyndighet, nämligen den i den medlemsstat där företagets huvudsakliga driftsställe är etablerat. - Skapa förutsättningar för snabbt, effektivt samarbete mellan dataskyddsmyndigheterna, vilket innefattar en skyldighet för en myndighet att utföra utredningar och inspektioner på en annan myndighets begäran och ömsesidigt erkänna varandras beslut. - Inrätta en mekanism för enhetlighet på EU-nivå för att se till att de beslut av dataskyddsmyndigheterna som får vidare verkan i EU fattas med beaktande av de andra myndigheternas åsikter och överensstämmer med EU-rätten. - Uppgradera artikel 29-gruppen till en oberoende europeisk dataskyddsstyrelse för att stärka dess bidrag till enhetlig tillämpning av dataskyddsrätten, ge en fast grund för samarbetet mellan dataskyddsmyndigheterna (inklusive Europeiska datatillsynsmannen) och stärka samverkansfördelarna och genomslaget genom att föreskriva att Europeiska dataskyddsstyrelsens sekretariat ska tillhandahållas av Europeiska datatillsynsmannen. Tack vare den nya förordningen får den grundläggande rättigheten till skydd av den personliga integriteten ett starkt skydd i hela EU, samtidigt som den inre marknadens funktion stärks. Eftersom skyddet av personuppgifter enligt EU-domstolens rättspraxis 24 inte är en ovillkorlig rätt utan måste betraktas i ljuset av sin Enligt förslaget ska reglerna för polisiärt och straffrättsligt samarbete fastställas i ett direktiv (se avsnitt 4), så att medlemsstaterna får mer flexibilitet på detta område. Europeiska unionens domstol, dom av den 9 november 2010 i förenade målen C-92/09 och C-93/09 Volker und Markus Schecke och Eifert [2010], ännu inte publicerad i REG. SV 8 SV

9 samhällsfunktion 25 och ställas mot andra grundläggande rättigheter i enlighet med proportionalitetsprincipen 26 kommer förordningen samtidigt att innehålla uttryckliga stadganden för att garantera skyddet av andra grundläggande rättigheter såsom yttrande- och informationsfriheten, rätten till försvar, tystnadsplikten (t.ex. för jurister) och kyrkors ställning enligt medlemsstaternas rättsordningar. 4. ANVÄNDNING AV PERSONUPPGIFTER I POLISIÄRT OCH STRAFFRÄTTSLIGT SAMARBETE I och med att Lissabonfördraget trädde i kraft infördes en ny rättslig grund (artikel 16 i fördraget om Europeiska unionens funktionssätt) som gör det möjligt att fastställa heltäckande dataskyddsregler som garanterar ett starkt skydd för enskildas personuppgifter, och samtidigt tar hänsyn till särdragen hos det polisiära och straffrättsliga samarbetet. Särskilt blir det med den nya rättsliga grunden möjligt att låta EU:s nya dataskyddsregler täcka både gränsöverskridande och inhemsk behandling av personuppgifter. Detta skulle minska skillnaderna mellan medlemsstaternas lagstiftning och antagligen stärka skyddet av personuppgifter generellt. Det torde också leda till smidigare informationsutbyte mellan medlemsstaternas polisk och rättsväsende och därigenom förbättra samarbetet i kampen mot allvarlig brottslighet i EU. Polisens och rättsväsendets behandling av personuppgifter i straffrättsliga frågor regleras för närvarande främst i rambeslut 2008/977/RIF, som trädde i kraft före Lissabonfördraget. Eftersom det är ett rambeslut har kommissionen ingen befogenhet att se till att det efterlevs, vilket har bidragit till att det tillämpas olika. Dessutom omfattar rambeslutet bara gränsöverskridande behandling av uppgifter 27. Det innebär att om personuppgifterna inte överförts till ett annat land omfattas de inte av EU-reglerna om behandling och skydd av personuppgifter. Detta innebär också i vissa fall praktiska problem för polis och andra rättsvårdande myndigheter, eftersom det inte alltid är uppenbart om behandlingen är rent inhemsk eller gränsöverskridande, eller för den delen förutse om inhemska uppgifter i ett senare skede kan komma att överföras till ett annat land 28. Syftet med EU:s nya dataskyddsregler är därför en enhetligt hög nivå på skyddet av personuppgifter för att stärka förtroendet mellan polis och rättsvårdande myndigheter i olika medlemsstater och på så sätt bidra till ett fritt flöde av personuppgifter och verkningsfullt samarbete mellan polis och rättsväsende I enlighet med artikel 52.1 i stadgan får begränsningar av rätten till skydd av personuppgifter göras om begränsningarna är föreskrivna i lag, förenliga med det väsentliga innehållet i rättigheterna och friheterna, nödvändiga med beaktande av proportionalitetsprincipen och faktiskt svarar mot mål av allmänt samhällsintresse som erkänns av EU eller behovet av skydd för andra människors rättigheter och friheter. Europeiska unionens domstol, dom av den 6 november 2003 i mål C-101/01, Lindqvist REG 2003, s. I , punkterna 82 90, dom av den 16 december 2008 i mål C-73/07, Satamedia, REG 2008, s. I- 9831, punkterna Närmare bestämt gäller rambeslutet personuppgifter som överförs, har överförts, görs eller har gjorts tillgängliga mellan medlemsstaterna eller mellan medlemsstaterna och EU:s institutioner och organ (se artikel 1.2). Några medlemsstater bekräftade detta när de svarade på kommissionens frågeformulär inför rapporten om tillämpningen av rambeslutet, COM(2012) 12. SV 9 SV

10 För att ombesörja ett starkt skydd av personuppgifter inom polisiärt och straffrättsligt samarbete och underlätta överföringar av personuppgifter mellan medlemsstaternas polis och rättsliga myndigheter föreslår kommissionen som en del av dataskyddspaketet ett direktiv enligt följande: - Generella dataskyddsprinciper som ska tillämpas på polisiärt och straffrättsligt samarbete under hänsynstagande till dessa områdens särdrag Harmoniserade minimikrav och villkor för inskränkningar av de generella reglerna. Detta omfattar bl.a. enskildas rätt att informeras när polis eller rättsliga myndigheter behandlar eller läser personuppgifter om dem. Sådana inskränkningar är nödvändiga för att verkningsfullt förebygga, utreda, uppspåra eller beivra brott. - Särskilda regler anpassade till den rättsvårdande verksamhetens särdrag, bl.a. en distinktion mellan olika kategorier av registrerade som kan ha olika rättigheter (t.ex. vittnen och misstänkta). 5. SKYDD AV PERSONUPPGIFTER I EN GLOBALISERAD VÄRLD Individernas rättigheter måste garanteras även när personuppgifter överförs från EU till omvärlden, och när individer i EU:s medlemsstater blir måltavla och deras personuppgifter används eller analyseras av företag utanför EU. Det innebär att EU:s krav på uppgiftsskydd måste gälla oavsett var ett företag eller dess behandlingsanläggning ligger rent geografiskt. I dagens globaliserade värld överförs personuppgifter över allt fler virtuella och geografiska gränser och lagras på servrar i många länder. Alltfler företag erbjuder molntjänster, så att kunderna kan hämta och lagra data på fjärrservrar. Det innebär att de nuvarande formerna för överföring av data till länder utanför EU behöver förbättras, bl.a. i fråga om beslut om huruvida uppgiftsskyddet i utomeuropeiska länder adekvat och lämpliga skyddsåtgärder såsom standardklausuler i avtal eller bindande företagsregler 30, för att garantera ett fullgott skydd för personuppgifter vid behandling utomlands och för att underlätta flödet av personuppgifter över gränserna. Bindande företagsregler En koncern behöver med jämna mellanrum överföra personuppgifter från sina dotterbolag i EU till dotterbolag utanför EU. Koncernen vill införa en uppsättning bindande företagsregler för att följa EU-lagstiftningen och samtidigt begränsa administrationen för varje enskild överföring. Med bindande företagsregler kan man på ett praktiskt sätt se till att samma regler gäller hela koncernen i stället för diverse avtal mellan företagen i koncernen. Enligt rådande praxis, som överenskommits i artikel 29-gruppen, behöver ett företags bindande regler gås igenom grundligt av tre dataskyddsmyndigheter (en föredragande och två bisittare) för att Se förklaring nr 21 om skydd av personuppgifter på området för straffrättsligt samarbete och polissamarbete, som fogats till slutakten från den regeringskonferens som antagit Lissabonfördraget. Bindande företagsregler är etiska regler som bygger på europeiska dataskyddskrav och har godkänts av minst en dataskyddsmyndighet. Företag upprättar dem på frivillig grund och efterlever dem för att ombesörja ett adekvat skydd vid överföringar av personuppgifter mellan företag i samma grupp av företag som är bundna av samma regler. De nämns inte uttryckligen i direktiv 95/46/EG men har vuxit fram i dataskyddsmyndigheternas praxis med stöd av artikel 29-gruppen. SV 10 SV

11 godkännas som garantier för en adekvat skyddsnivå, och andra dataskyddsmyndigheter får lämna synpunkter. Vidare krävs enligt många medlemsstaters lagstiftning ytterligare nationella tillstånd för överföringar enligt de bindande företagsreglerna, och det gör det väldigt betungande, kostsamt, långdraget och svårt att få dem godkända. Med de nya dataskyddsreglerna - blir processen enklare och mer strömlinjeformad, - behöver bindande företagsregler bara godkännas av en enda dataskyddsmyndighet, och det kommer att finnas former för snabb rådfrågning av andra berörda dataskyddsmyndigheter, - blir en uppsättning bindande företagsregler, när den väl godkänts av en myndigheter, giltig i hela EU utan att det krävs fler nationella godkännanden. För att möta globaliseringens utmaningar behövs flexibla verktyg och mekanismer, särskilt för företag på världsmarknaden, samtidigt som individernas personuppgifter måste skyddas utan kryphål. Kommissionen föreslår följande: - Tydliga regler för när EU-lagstiftningen är tillämplig på registeransvariga etablerade i länder utanför EU. Bl.a. föreskrivs att när varor och tjänster bjuds ut till individer i EU eller när dessas beteende övervakas gäller EU-regler. - Alla beslut om adekvat skydd kommer att fattas av kommissionen enligt uttryckliga, tydliga kriterier, även inom polisiärt och straffrättsligt samarbete. - Legitima överföringar av data till länder utanför EU underlättas genom stärkta, förenklade regler för internationell överföring till länder som inte är föremål för något beslut om adekvat skydd, bl.a. genom förenklingar och ökad användning av bindande företagsregler och liknande, så att de kan täcka registerförare och gälla inom koncerner, vilket bättre svarar mot det växande antalet företag som sysslar med databehandling, särskilt molntjänster. - Dialog och i förekommande fall förhandlingar med länder utanför EU, särskilt EU:s strategiska partnerländer och länder inom den europeiska grannskapspolitiken, och internationella organisationer (t.ex. Europarådet, OECD och FN) ska föras för att främja ett starkt, kompatibelt skydd för personuppgifter i hela världen. 6. SLUTSATSER Reformen av EU:s skydd av personuppgifter går ut på att bygga ett modernt, starkt, enhetligt och heltäckande skydd för EU. Individernas grundläggande rätt att få sina personuppgifter skyddade kommer att stärkas. Andra rättigheter ska respekteras, t.ex. yttrandefriheten och informationsfriheten, barnets rättigheter, näringsfriheten, rätten till en rättvis rättegång, tystnadsplikten (bl.a. för jurister) och kyrkornas ställning enligt medlemsstaternas rättsordningar. Reformen kommer först och främst att gynna individerna genom att stärka skyddet av deras personuppgifter och främja deras förtroende för de digitala tjänsterna. Den kommer också att avsevärt förenkla de rättsliga förutsättningarna för företagen och den offentliga sektorn, något som torde stimulera den digitala ekonomisk utveckling på och utanför den inre marknaden i enlighet med målen i strategin Europa 2020 och SV 11 SV

12 den digitala agendan för Europa. Slutligen kommer reformen att stärka de rättsvårdande myndigheternas förtroende för varandra, så att det blir enklare för dem att utbyta uppgifter sinsemellan och samarbeta i kampen mot allvarlig brottslighet, samtidigt som ett starkt skydd för individen säkerställs. Kommissionen kommer att samarbeta med Europaparlamentet och rådet för att få till stånd enighet om EU:s nya dataskyddsregler före utgången av Under beredningen och efteråt, bl.a. i och med att de nya rättsakterna ska genomföras, kommer kommissionen att föra en lyhörd, öppen dialog med alla berörda parter från privat och offentlig sektor. Det omfattar bl.a. företrädare för polis och rättsväsende, det civila samhällets organisationer, dataskyddsmyndigheter, forskare samt företrädare för specialiserade EU-organ som Eurojust, Europol, Europeiska byrån för grundläggande rättigheter och Europeiska byrån för nät- och informationssäkerhet. Eftersom informationstekniken och de sociala beteendena hela tiden utvecklas har en sådan dialog största betydelse för inhämtning av det underlag som krävs för att garantera ett starkt skydd för individers personuppgifter, EU-företagens tillväxt och konkurrenskraft, den offentliga sektorns (däribland polisens och rättsväsendets) effektivitet och lindriga administrativa bördor. SV 12 SV