Skydd av personuppgifter inom Europeiska unionen

Skydd av personuppgifter inom Europeiska unionen är en grundläggande rättighet enligt stadgan om de grundläggande rättigheterna. Denna rättighet rörande personuppgifter slås även fast i artikel 16 i fördraget om Europeiska unionens funktionssätt.

Europaparlamentet och Europeiska unionens råd kan anta lagstiftning i enlighet med det ordinarie lagstiftningsförfarandet för skydda enskilda personer när det gäller ”behandling av personuppgifter hos unionens institutioner, organ och byråer och i medlemsstaterna, när dessa utövar verksamhet som omfattas av unionsrättens tillämpningsområde, samt om den fria rörligheten för sådana uppgifter”.

Historia[redigera | redigera wikitext]

Se även: Europeiska unionens historia

Det europeiska dataskyddets historia sträcker sig tillbaka till början av 1970-talet när de första dataskyddsbestämmelserna infördes på nationell nivå i Europa. I samband med en folk- och bostadsräkning under 1970 uppkom en debatt i Sverige om behovet av att reglera användningen av personuppgifter, främst för att begränsa myndigheters och stora företags användning av sådana uppgifter. Detta ledde fram till den svenska datalagen, som trädde i kraft den 1 juli 1973 och var den första nationella dataskyddslagen i världen. Under 1970-talet införde flera andra europeiska stater, däribland Danmark, Frankrike, Luxemburg, Norge, Tyskland och Österrike, dataskyddslagar av olika slag. I Portugal, Spanien och Österrike infördes samtidigt dataskydd som en grundläggande rättighet i konstitutionen.^[1]

Mot bakgrund av de olika nationella regelverk som uppkom kring dataskydd antog Organisationen för ekonomiskt samarbete och utveckling (OECD) under 1980 riktlinjer gällande skyddet för privatliv och gränsöverskridande överföring av personuppgifter. Syftet var att motverka handelshinder till följd av de olika nationella regelverken kring dataskydd. Riktlinjerna baserade sig på åtta grundläggande principer om dataskydd, däribland begränsningar i insamling av personuppgifter, ändamålsbegränsningar och transparens. Europarådet utarbetade parallellt en konvention om skydd för enskilda vid automatisk databehandling av personuppgifter som antogs den 28 januari 1981.^[2]

I början av 1990-talet inleddes förhandlingar om införandet av dataskyddsdirektivet. Vid denna tidpunkt hade endast sju medlemsstater inom Europeiska gemenskaperna ratificerat Europarådets konvention, varav en hade ännu inte införlivat bestämmelserna i sin nationella lagstiftning. Europeiska gemenskapernas kommission ansåg att bestämmelserna om dataskydd behövde harmoniseras i högre grad för att säkra både rätten till skydd för personuppgifter och det fria flödet av personuppgifter på den tilltänkta inre marknaden, som skulle komma att förverkligas den 1 januari 1993, och lade därför fram ett förslag till direktiv den 18 juli 1990.^[3] Efter långa förhandlingar mellan Europaparlamentet och Europeiska unionens råd antogs dataskyddsdirektivet den 24 oktober 1995. Medlemsstaterna fick tre år på sig att införliva direktivet i sina nationella lagar och andra författningar.

Under 2001 antogs ett annat direktiv om behandling av personuppgifter vid unionens institutioner och organ och Europeiska datatillsynsmannen inrättades till följd av detta den 17 januari 2004. Vid förhandlingarna om Europeiska konstitutionen under 2000-talets början enades medlemsstaterna om införandet av en ny rättslig grund för skydd av personuppgifter i fördragstexten. Konstitutionen kunde dock inte antas efter att ha blivit avslagen i två folkomröstningar i Frankrike och Nederländerna 2005, men den rättsliga grunden infördes istället genom Lissabonfördraget, som trädde i kraft den 1 december 2009. Samtidigt blev även stadgan om de grundläggande rättigheterna rättsligt bindande, där även skyddet av personuppgifter fanns inkluderat som en grundläggande rättighet inom unionen.

År 2012 lade kommissionen fram ett förslag till en ny förordning som skulle ersätta dataskyddsdirektivet. Efter förhandlingar mellan Europaparlamentet och Europeiska unionens råd antogs dataskyddsförordningen 2016, men blev tillämplig först i maj 2018. Genom förordningen infördes mer enhetliga bestämmelser, som är direkt tillämpliga i samtliga medlemsstater, än vad dataskyddsdirektivet gjorde. 2018 antogs även uppdaterade bestämmelser för behandlingen av personuppgifter hos unionens institutioner, organ och byråer.

Befogenhetsområde[redigera | redigera wikitext]

Dataskydd utgör ett av Europeiska unionens befogenhetsområden. Unionen har delad befogenhet att vidta åtgärder vad gäller dataskydd, vilket innebär att både unionen och medlemsstaterna kan vidta åtgärder, men medlemsstaterna endast i den mån unionen inte redan har utövat sina befogenheter.^[4]

Bestämmelser om dataskydd kan antas av Europaparlamentet och Europeiska unionens råd i enlighet med det ordinarie lagstiftningsförfarandet. Särskilda bestämmelser gäller för den gemensamma utrikes- och säkerhetspolitiken.

Grundläggande rättigheter[redigera | redigera wikitext]

Respekt för privatlivet och familjelivet samt skydd av personuppgifter är grundläggande rättigheter som är skyddade inom Europeiska unionen av stadgan om de grundläggande rättigheterna.^[5] Dessa rättigheter kan bara inskränkas genom lag om det sker i enlighet med proportionalitetsprincipen och är nödvändigt för att svara mot ”mål av allmänt samhällsintresse”. Rätten till skydd av personuppgifter fastställs även i artikel 16 i fördraget om Europeiska unionens funktionssätt. Artikeln föreskriver att Europaparlamentet och Europeiska unionens råd kan lagstifta i enlighet med det ordinarie lagstiftningsförfarandet för att reglera behandlingen av personuppgifter av unionens institutioner, organ och byråer och i medlemsstaterna, när dessa utövar verksamhet som omfattas av unionsrätten, samt det fria flödet av sådana uppgifter inom unionen.^[6] Denna artikel utgör den rättsliga grunden för mycket av EU-lagstiftningen för dataskydd.

2014 ogiltigförklarade EU-domstolen det så kallade datalagringsdirektivet med hänvisning till att det just inskränkte skyddet av personuppgifter i stadgan om de grundläggande rättigheterna på ett oproportionellt sätt.

Lagstiftning[redigera | redigera wikitext]

Den europeiska lagstiftningen för dataskydd består av flera delar. Följande rättsakter är särskilt viktiga:

Dataskyddsförordningen (förordning (EU) 2016/679) – utgör grunden för lagstiftningen om behandling av personuppgifter och det fria flödet av sådana uppgifter inom unionen. Den ersatte det tidigare dataskyddsdirektivet;^[7] Kompletterande lagstiftning i Sverige finns i dataskyddslagen.

Dataskyddsdirektivet för brottsbekämpning (direktiv (EU) 2016/680) – reglerar personuppgiftsbehandlingen för nationella myndigheter som behandlar personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder.^[8] Införlivat i Sverige genom brottsdatalagen. Övriga rättsakter på området för polissamarbete och straffrättsligt samarbete har senare anpassats, eller kommer att anpassas, till bestämmelserna om behandling av personuppgifter i direktivet.^[9]^[10]

Förordning (EU) 2018/1725 – reglerar personuppgiftsbehandlingen för unionens institutioner, organ och byråer och det fria flödet av sådana uppgifter inom unionen;^[11]

e-integritetsdirektivet (direktiv 2002/58/EG) – reglerar behandlingen av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation.^[12] Införlivat i Sverige genom lagen om elektronisk kommunikation.

Den europeiska personuppgiftslagstiftningen enligt ovan påverkar inte personuppgiftsbehandling som

är en del av en verksamhet som inte omfattas av unionsrätten, eller

berör fysiska personer som utför en verksamhet i rent privat syfte eller som har samband med personens eget hushåll.

Se även[redigera | redigera wikitext]

Referenser[redigera | redigera wikitext]

^ ”Origins and Historical Context of Data Protection Law” (på engelska). Sian Rudgard. https://iapp.org/media/pdf/publications/European_Privacy_Chapter_One.pdf. Läst 19 juni 2022.
^ Frydlinger, David; Tobias Edvardsson, Caroline Olstedt Carlström och Sandra Beyer (2018). GDPR - juridik, organisation och säkerhet enligt dataskyddsförordningen. Norstedts Juridik. sid. 19–28. ISBN 978-913911431-4
^ ”Commission communication on the protection of individuals in relation to the processing of personal data in the Community and information security” (på engelska). Europeiska kommissionen. 30 september 1990. https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:51990DC0314. Läst 19 juni 2022.
^ [1]
^ Se artikel 7 och 8 i stadgan
^ Artikel 16 i EUF-fördraget
^ Dataskyddsförordningen
^ Direktiv (EU) 2016/680
^ [2]
^ [3]
^ Förordning (EU) 2018/1725
^ EUROPAPARLAMENTETS OCH RÅDETS DIREKTIV 2002/58/EG av den 12 juli 2002 om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation (direktiv om integritet och elektronisk kommunikation)

EU-portalen – temasidan för Europeiska unionen på svenskspråkiga Wikipedia.

[1] ”Origins and Historical Context of Data Protection Law” (på engelska). Sian Rudgard. https://iapp.org/media/pdf/publications/European_Privacy_Chapter_One.pdf. Läst 19 juni 2022.

[2] Frydlinger, David; Tobias Edvardsson, Caroline Olstedt Carlström och Sandra Beyer (2018). GDPR - juridik, organisation och säkerhet enligt dataskyddsförordningen. Norstedts Juridik. sid. 19–28. ISBN 978-913911431-4

[3] ”Commission communication on the protection of individuals in relation to the processing of personal data in the Community and information security” (på engelska). Europeiska kommissionen. 30 september 1990. https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:51990DC0314. Läst 19 juni 2022.

[4] [1]

[5] Se artikel 7 och 8 i stadgan

[6] Artikel 16 i EUF-fördraget

[7] Dataskyddsförordningen

[8] Direktiv (EU) 2016/680

[9] [2]

[10] [3]

[11] Förordning (EU) 2018/1725

[12] EUROPAPARLAMENTETS OCH RÅDETS DIREKTIV 2002/58/EG av den 12 juli 2002 om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation (direktiv om integritet och elektronisk kommunikation)

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]