Skydd av personuppgifter inom Europeiska unionen

befogenhetsområde inom Europeiska unionen

Skydd av personuppgifter inom Europeiska unionen är en grundläggande rättighet enligt stadgan om de grundläggande rättigheterna. Denna rättighet rörande personuppgifter slås även fast i artikel 16 i fördraget om Europeiska unionens funktionssätt.

Europaparlamentet och Europeiska unionens råd kan anta lagstiftning i enlighet med det ordinarie lagstiftningsförfarandet för skydda enskilda personer när det gäller ”behandling av personuppgifter hos unionens institutioner, organ och byråer och i medlemsstaterna, när dessa utövar verksamhet som omfattas av unionsrättens tillämpningsområde, samt om den fria rörligheten för sådana uppgifter”.

Historia

redigera

Det europeiska dataskyddets historia sträcker sig tillbaka till början av 1970-talet när de första dataskyddsbestämmelserna infördes på nationell nivå i Europa. I samband med en folk- och bostadsräkning under 1970 uppkom en debatt i Sverige om behovet av att reglera användningen av personuppgifter, främst för att begränsa myndigheters och stora företags användning av sådana uppgifter. Detta ledde fram till den svenska datalagen, som trädde i kraft den 1 juli 1973 och var den första nationella dataskyddslagen i världen. Under 1970-talet införde flera andra europeiska stater, däribland Danmark, Frankrike, Luxemburg, Norge, Tyskland och Österrike, dataskyddslagar av olika slag. I Portugal, Spanien och Österrike infördes samtidigt dataskydd som en grundläggande rättighet i konstitutionen.[1]

Mot bakgrund av de olika nationella regelverk som uppkom kring dataskydd antog Organisationen för ekonomiskt samarbete och utveckling (OECD) under 1980 riktlinjer gällande skyddet för privatliv och gränsöverskridande överföring av personuppgifter. Syftet var att motverka handelshinder till följd av de olika nationella regelverken kring dataskydd. Riktlinjerna baserade sig på åtta grundläggande principer om dataskydd, däribland begränsningar i insamling av personuppgifter, ändamålsbegränsningar och transparens. Europarådet utarbetade parallellt en konvention om skydd för enskilda vid automatisk databehandling av personuppgifter som antogs den 28 januari 1981.[2]

I början av 1990-talet inleddes förhandlingar om införandet av dataskyddsdirektivet. Vid denna tidpunkt hade endast sju medlemsstater inom Europeiska gemenskaperna ratificerat Europarådets konvention, varav en hade ännu inte införlivat bestämmelserna i sin nationella lagstiftning. Europeiska gemenskapernas kommission ansåg att bestämmelserna om dataskydd behövde harmoniseras i högre grad för att säkra både rätten till skydd för personuppgifter och det fria flödet av personuppgifter på den tilltänkta inre marknaden, som skulle komma att förverkligas den 1 januari 1993, och lade därför fram ett förslag till direktiv den 18 juli 1990.[3] Efter långa förhandlingar mellan Europaparlamentet och Europeiska unionens råd antogs dataskyddsdirektivet den 24 oktober 1995. Medlemsstaterna fick tre år på sig att införliva direktivet i sina nationella lagar och andra författningar.

Under 2001 antogs ett annat direktiv om behandling av personuppgifter vid unionens institutioner och organ och Europeiska datatillsynsmannen inrättades till följd av detta den 17 januari 2004. Vid förhandlingarna om Europeiska konstitutionen under 2000-talets början enades medlemsstaterna om införandet av en ny rättslig grund för skydd av personuppgifter i fördragstexten. Konstitutionen kunde dock inte antas efter att ha blivit avslagen i två folkomröstningar i Frankrike och Nederländerna 2005, men den rättsliga grunden infördes istället genom Lissabonfördraget, som trädde i kraft den 1 december 2009. Samtidigt blev även stadgan om de grundläggande rättigheterna rättsligt bindande, där även skyddet av personuppgifter fanns inkluderat som en grundläggande rättighet inom unionen.

År 2012 lade kommissionen fram ett förslag till en ny förordning som skulle ersätta dataskyddsdirektivet. Efter förhandlingar mellan Europaparlamentet och Europeiska unionens råd antogs dataskyddsförordningen 2016, men blev tillämplig först i maj 2018. Genom förordningen infördes mer enhetliga bestämmelser, som är direkt tillämpliga i samtliga medlemsstater, än vad dataskyddsdirektivet gjorde. 2018 antogs även uppdaterade bestämmelser för behandlingen av personuppgifter hos unionens institutioner, organ och byråer.

Befogenhetsområde

redigera

Dataskydd utgör ett av Europeiska unionens befogenhetsområden. Unionen har delad befogenhet att vidta åtgärder vad gäller dataskydd, vilket innebär att både unionen och medlemsstaterna kan vidta åtgärder, men medlemsstaterna endast i den mån unionen inte redan har utövat sina befogenheter.[4]

Bestämmelser om dataskydd kan antas av Europaparlamentet och Europeiska unionens råd i enlighet med det ordinarie lagstiftningsförfarandet. Särskilda bestämmelser gäller för den gemensamma utrikes- och säkerhetspolitiken.

Grundläggande rättigheter

redigera

Respekt för privatlivet och familjelivet samt skydd av personuppgifter är grundläggande rättigheter som är skyddade inom Europeiska unionen av stadgan om de grundläggande rättigheterna.[5] Dessa rättigheter kan bara inskränkas genom lag om det sker i enlighet med proportionalitetsprincipen och är nödvändigt för att svara mot ”mål av allmänt samhällsintresse”. Rätten till skydd av personuppgifter fastställs även i artikel 16 i fördraget om Europeiska unionens funktionssätt. Artikeln föreskriver att Europaparlamentet och Europeiska unionens råd kan lagstifta i enlighet med det ordinarie lagstiftningsförfarandet för att reglera behandlingen av personuppgifter av unionens institutioner, organ och byråer och i medlemsstaterna, när dessa utövar verksamhet som omfattas av unionsrätten, samt det fria flödet av sådana uppgifter inom unionen.[6] Denna artikel utgör den rättsliga grunden för mycket av EU-lagstiftningen för dataskydd.

2014 ogiltigförklarade EU-domstolen det så kallade datalagringsdirektivet med hänvisning till att det just inskränkte skyddet av personuppgifter i stadgan om de grundläggande rättigheterna på ett oproportionellt sätt.

Lagstiftning

redigera

Den europeiska lagstiftningen för dataskydd består av flera delar. Följande rättsakter är särskilt viktiga:

  • Dataskyddsdirektivet för brottsbekämpning (direktiv (EU) 2016/680) – reglerar personuppgiftsbehandlingen för nationella myndigheter som behandlar personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder.[8] Införlivat i Sverige genom brottsdatalagen. Övriga rättsakter på området för polissamarbete och straffrättsligt samarbete har senare anpassats, eller kommer att anpassas, till bestämmelserna om behandling av personuppgifter i direktivet.[9][10]
  • Förordning (EU) 2018/1725 – reglerar personuppgiftsbehandlingen för unionens institutioner, organ och byråer och det fria flödet av sådana uppgifter inom unionen;[11]

Den europeiska personuppgiftslagstiftningen enligt ovan påverkar inte personuppgiftsbehandling som

  • är en del av en verksamhet som inte omfattas av unionsrätten, eller
  • berör fysiska personer som utför en verksamhet i rent privat syfte eller som har samband med personens eget hushåll.

Se även

redigera

Referenser

redigera
  EU-portalen – temasidan för Europeiska unionen på svenskspråkiga Wikipedia.