Välkommen till Delphi Data Protection Blog! Vi kan förvänta oss stora förändringar i kraven på företags och myndigheters hantering av data. Inom EU pågår nämligen en lagstiftningsprocess om en ny reglering om skydd för personuppgifter ("dataskyddsförordningen"). Den här bloggen drivs av jurister i Advokatfirman Delphis TMT/IP-grupp i samarbete med Christine Kirchberger, doktorand vid Institutet för rättsinformatik på Stockholms universitet. Bloggen syftar till att öka medvetenheten om den kommande regleringen och peka på hur reglerna på dataskyddsområdet kan komma att ändras. Vi följer utvecklingen och uppdaterar självklart även om andra nyheter på området.

Om förordningen

(senast uppdaterad januari 2016)

Personlig integritet har diskuterats inom EU under flera år, bl.a. är skyddet av den personliga integriteten en viktig komponent i EU:s Digitala Agenda från år 2010. År 2012 bestämde sig Europeiska Kommissionen för att anpassa dataskyddsdirektivet till den tekniska utveckling som skett och även att arbeta för att förbättra harmoniseringen mellan medlemsstaterna eftersom det ursprungliga dataskyddsdirektivet har genomförts på olika sätt i de olika medlemsländerna. Tanken är att en ny reglering kommer att minska administrativa kostnader och öka konsumenters förtroende för e-handel vilket i sin tur leder till fler jobb och ekonomisk tillväxt i Europa.

Nedan följer en överblick över arbetet med dataskyddsförordningen inom EU:s olika organ sedan det första förslaget till dataskyddsförordning presenterades av Kommissionen den 25 januari 2012. Överblicken presenteras i kronologisk ordning.

16 december 2016
Artikel 29-gruppen publicerade vägledningar angående dataportabilitet, dataskyddsombud samt ansvarig tillsynsmyndighet.

4 maj 2016
Dataskyddsförordningen publicerades i EU:s officiella tidning, vilket betyder att den kommer att träda ikraft från och med den 25 maj 2018.

14 april 2016
Dataskyddsförordningen antogs!

8 april 2016
Rådet publicerade en slutlig text till dataskyddsförordningen på alla officiella språk.

11 februari 2016
Artikel 29-gruppen publicerade en ”action plan” rörande arbetet med implementeringen av dataskyddsförordningen.

18 december 2015
Rådet bekräftade texterna i dataskyddspaketet.

17 december 2015
LIBE utskottet godkände lagförslagen i dataskyddspaketet (förordningen och direktivet). Därmed avslutades trepartsförhandlingarna.

24 juni
Trepartsförhandlingarna mellan Rådet, Kommissionen och Europaparlamentet påbörjades.

15 juni 2015
Förslaget till dataskyddsförordningen diskuterades av EU:s justitie- och inrikesministrar. Målet med diskussionen var att nå en slutgiltig gemensam ståndpunkt som sedan kan ligga till grund för trepartsförhandlingar mellan Rådet, Kommissionen och Europaparlamentet angående en slutlig version av dataskyddsförordningen.

13 mars 2015
Rådet diskuterade dataskyddsförordningen och mer specifikt ”one-stop shop”-mekanismen, där en av diskussionens centrala frågor var hur mekanismen kan förenas med den registrerades rätt till effektiva rättsmedel. En tillfällig överenskommelse nåddes vid mötet, som i kortet innebar att Rådet tillsvidare antog den text som lagts fram inför mötet. Texten innebar att one-stop shop-mekanismen endast ska ha betydelse i viktiga gränsöverskridande fall samt kommer innehålla bestämmelser om samarbete och gemensamt beslutsfattande mellan flera berörda dataskyddsmyndigheter.    

I början av år 2015 tog Lettland över ordförandeskapet i Rådet. Ett digitalt Europa är ett av de tre stora målen för det lettiska ordförandeskap. Detta innebär – enligt ordförandeskapet – att bygga tillit till den digitala inre marknaden, digitalisering av den offentliga sektorn och ökad säkerhet i den digitala miljön. Enligt arbetsprogrammet (pdf) kommer ordförandeskapet därför bl.a. försöka nå överenskommelser på de aktuella lagstiftningsförslagen som är under behandling för tillfället, vilket tycks omfatta dataskyddsförordningen.

December 2014
Tillfällig partiell överenskommelse nåddes vid ett möte i Rådet den 4 december 2014. Den text som det italienska ordförandeskapet lagt fram inför mötet antogs (partiell överenskommelse kring den offentliga sektorn, art. 1, 6, (2 -3), 21) och kapitel IX rörande särskilda situationer vid behandling av personuppgifter).

En debatt hölls även om one-stop-shop-mekanismen mot bakgrund av det förslag som det italienska ordförandeskapet presenterat. En majoritet av justitieministrarna uttryckte stöd för grunddragen i förslaget och kom överens om att behandla frågan vidare.

1 november 2014 – ny Kommission tillträdde.

Oktober 2014
Vid ett möte i Rådet mellan EU:s justitie- och inrikesministrar den 9 – 10 oktober nåddes en så kallad tillfällig delvis överenskommelse angående kapitel IV som innehåller bestämmelser om registeransvarig (personuppgiftsansvarig) och registerförare (personuppgiftsbiträde). Läs pressreleasen här, och det förslag till överenskommelse som sedermera antogs här.

8-9 juli 2014
Ett informellt möte hölls i Rådet där dataskydd nämndes i en av punkterna på dagordningen, ”Horizontal aspects of the system of personal data protection”. En fråga som togs upp vid mötet var om den offentliga sektorn bör omfattas av dataskyddsförordningen eller inte. På den efterföljande presskonferensen uttalade Françoise Le Bail, generaldirektör för Generaldirektoratet för rättsliga frågor, att det tidigare funnits en oenighet inom Rådet i den frågan, men att det nu finns ett överväldigande stöd inom Rådet för att den offentliga sektorn bör omfattas av dataskyddsförordningen (se video från presskonferensen, Françoise Le Bails uttalande om dataskydd börjar vid 5:30 ca).

1 juli 2014
Ordförandeskapet i Rådet övergick från Grekland till Italien.

5-6 juni 2014
Ett möte hölls i Rådet där diskussioner bland annat fördes om förslaget till dataskyddsförordning. Med ett tidigare upprättat dokument (från det grekiska ordförandeskapet) som underlag nådde Rådet en överenskommelse om en generell strategi avseende vissa delar av förslaget till dataskyddsförordning. Rådet kunde presentera gemensamma ståndpunkter i vissa frågor. En sammanfattning av vad man kom fram till kan läsas här.

12 mars 2014
Europaparlamentet höll omröstning om LIBE-utskottets förslag till dataskyddsförordning (LIBE-utskottets kompromissförslag). Med en överväldigande majoritet röstade Parlamentet för förslaget (621 ledamöter för och 10 ledamöter röstade mot dataskyddsförordningen, 22 ledamöter lade ned sina röster).

3-4 mars 2014
I ett möte i Rådet fördes diskussioner om bland annat förslaget till dataskyddsförordning. Efter mötet publicerade Rådet ett pressmeddelande där de olika mötesdiskussionerna beskrivs. Läs mer här.

14 februari 2014
Europeiska datatillsynsmannen framhäver vikten av förordningen i ett brev till Rådet.

28 januari 2014 – Data Protection Day
I anledning av Data Protection Day 2014 publicerade EU-kommissionen en intressant pressrelease som bland annat innehåller bra lägesuppdatering kring framtagandet av en ny dataskyddsreglering.

23 januari 2014
Dataskyddsförordningen diskuterades vid ett informellt möte mellan EU-medlemsstaternas utrikesministrar. Särskilt diskuterades frågan om överföringar av personuppgifter till tredje land. På mötet kom man överens om en tidsplan för antagandet av en ny dataskyddsförordning. En viktig del i tidsplanen var att få rådet att anta en gemensam ståndpunkt att ligga till grund för de trepartsförhandlingar mellan rådet, kommissionen och parlamentet som ska ligga till grund för ett slutligt förslag till förordningen. Vid en presskonferens efter mötet uttalade kommissionens generaldirektör för rättsliga frågor, Françoise Le Bail, att det grekiska ordförandeskapet hade som mål att nå fram till en gemensam ståndpunkt till juni 2014 (ett mål som dock sedermera blev framskjutet, se ovan).

Januari 2014
Ordförandeskapet i Rådet övergick från Litauen till Grekland.

16 december 2013
Rådet offentliggjorde ännu ett arbetsdokument med förslag till ändringar av Kommissionens förslag till dataskyddsförordning. Arbetsdokumentet är ställt till Rådets arbetsgrupp Working Party on Information Exchange and Data Protection (DAPIX) och beskrivs syfta till att återspegla de diskussioner kring förslaget till dataskyddsförordning som förts inom DAPIX under det litauiska ordförandeskapet. Dokumentet finns att läsa här.

6 december 2013
Dataskyddsfrågor diskuterades i Europeiska unionens råd för rättsliga och inrikes frågor (RIF-rådet). Särskilt diskuterades förslaget om så kallad one stop shop utförligt vid mötet (video från mötet finns här).

24–25 oktober 2013
Europeiska Rådet diskuterar förslaget vid sitt möte och uttalar sig i slutsatserna till mötet som följande:

It is important to foster the trust of citizens and businesses in the digital economy. The timely adoption of a strong EU General Data Protection framework and the Cyber-security Directive is essential for the completion of the Digital Single Market by 2015.

21 oktober 2013
LIBE-utskottet beslutar om sitt betänkande, beslutet var uppskjutet från maj 2013. Kommissionens pressmeddelande finns tillgängligt här.  Utskottet föreslår 104 ändringar i det ursprungliga KOM förslaget. En översikt över Europaparlamentets synpunkter finns här.

7–8 oktober 2013
Förslaget finns med på agendan vid Rådets möte i Luxemburg. Inga beslut tas vid mötet men förslaget diskuteras utförligt. Presskonferensen finns tillgänglig här.

“The Council held an in-depth discussion on the proposal for a regulation setting out a general EU framework for data protection with the aim of providing guidance for further work at expert level on the ”one-stop-shop“ mechanism laid down in the Commission proposal.” (pressmeddelande)

21 juni 2013
Rådet och Working Party on Information Exchange and Data Protection (DAPIX) publicerar ett arbetsdokument med förslag på ändringar till Kommissionens förslag.

18 maj 2013
Ordförandeskapet i Europeiska unionens råd publicerar ett utkast med kommentarer till kapitel I – IV i förslaget. I utkastet nämns att Rådet bör utgå ifrån ett mer riskbaserat perspektiv, vilket innebär att arbetsgrupperna ska utveckla kriterier som möjliggör för den personuppgiftsansvarige att skilja på olika risknivåer. Rådet uppmanades att:

Endorse, as regards the obligations on controllers and processors in Chapter IV, the introduction of the risk-based approach, which will take account of the nature, scope, context and purposes of the processing operations and levels of risk arising for data subjects, when determining the measures to be taken (punkt 32 i utkastet)

24 april 2013
LIBE-utskottet diskuterar förslaget, live-inspelning av diskussionen finns tillgänglig här och förslag till föredragningslista här.

19 mars 2013
JURI-utskottet i Europaparlamentet lämnar sitt yttrande:

4 mars 2013
Yttrande från EMPL-utskottet (Sysselsättning och sociala frågor)

26 februari 2013
Yttrande från ITRE-utskottet (Industrifrågor, forskning och energi)

28 januari 2013
Yttrande från IMCO-utskottet (Inre marknaden och konsumentskydd)

16 januari 2013
LIBE-utskottet lägger fram ett förslag

10 oktober 2012
Yttrande från Regionkommittén

23 maj 2012
Yttrande från Europeiska ekonomiska och sociala kommittén

April 2012
Inom Europaparlamentet utses följande utskott (för en närmare överblick, se här):

Ansvarigt utskott:

  • LIBE (Utskottet för medborgerliga fri- och rättigheter samt rättsliga och inrikes frågor)

Rådgivande utskott:

  • EMPL (Sysselsättning och sociala frågor)
  • ITRE (Industrifrågor, forskning och energi)
  • IMCO (Inre marknaden och konsumentskydd)
  • ECON (Ekonomi och valutafrågor). Bestämde sig för att inte avge yttrande.
  • JURI (Rättsliga frågor)

7 mars 2012
Yttrande från Europeiska datatillsynsmannen

27 januari 2012
Komissionen översänder sitt förslag till Europaparlamentet och Rådet som tillsammans är lagstiftande organ enligt medbeslutandeförfarandet (ordinarie lagstiftningsprocess). Även om lagstiftningsförfarandet i första hand åligger parlamentet och Rådet, har Kommissionen ett visst inflytande över utformningen av lagstiftningen, vilket ibland kallas “trialog” mellan Kommissionen, Europaparlamentet och Rådet.

Såväl Europaparlamentet som Rådet påbörjar diskussioner om förslaget. Inom Europaparlamentet utses flera utskott och inom Rådet är det i första hand två arbetsgrupper som går igenom Kommissionens förslag: Working Party on Information Exchange and Data Protection (DAPIX) och en informell arbetsgrupp “The Friends of the Presidency”.

25 januari 2012
Kommissionen lägger fram sitt förslag (COM(2012) 11 final – Förslag till Europaparlamentets och rådets förordning om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter. Förslaget ska ersätta det nuvarande dataskyddsdirektivet.

Tips för ytterligare översikt över lagstiftningsprocessen:

Posted in | Leave a comment
  • ANSVAR – RÄTTIGHETER – INTEGRITET

    Innehållet i denna blogg är av allmän karaktär och är inte att betrakta som rådgivning. Användning av innehållet på bloggen sker på egen risk. Advokatfirman Delphi ansvarar inte för innehållet på de webbplatser som Delphis webbplats länkar till. Vid länkning till denna blogg eller till Delphis webbplats skall länkning göras till startsidan. Advokatfirman Delphi kan inte garantera säker överföring eller konfidentiell hantering av information som överförs via webbplatsen. Kommunikation till Advokatfirman Delphi via webbplatsen innebär inte att det föreligger ett klient-/rådgivarförhållande mellan Advokatfirman Delphi och avsändaren. Advokatfirman Delphi förbehåller sig alla rättigheter till innehållet på webbplatsen. För de områden på webbplatsen där andra villkor för användande anges skall dessa gälla.