Dir. 2014:31
Tilläggsdirektiv till Informationshanteringsutredningen
Kommittédirektiv
Tilläggsdirektiv till Informationshanteringsutredningen
Beslut vid regeringssammanträde den 6 mars 2014
Ändring av och förlängd tid för uppdraget
Utredningens uppdrag ändras. Uppdraget att analysera registerförfattningar inom tre olika verksamhetsområden och lämna förslag på registerförfattningar för dessa verksamheter samt att överväga vilka typer av allmänna handlingar som myndigheterna inom dessa verksamhetsområden ska vara skyldiga att lämna ut i elektronisk form utgår. Utredningen ska i stället koncentrera arbetet på att utreda förutsättningarna för att skapa en generell, enhetlig och samlad reglering för myndigheternas personuppgiftsbehandling och lämna författningsförslag till en sådan, med beaktande bl.a. av den pågående översynen inom Europeiska unionen av regleringen om skyddet för personuppgifter. Personuppgiftsbehandling inom den brottsbekämpande verksamheten omfattas inte av det uppdrag för utredningen som nu preciseras.
Uppdraget skulle ursprungligen redovisas den 1 december 2014. Utredningstiden förlängs. Uppdraget ska i stället redovisas senast den 30 januari 2015.
Utredningens nuvarande uppdrag
Med stöd av regeringens beslut den 6 oktober 2011 gav chefen för Justitiedepartementet en särskild utredare i uppdrag att se över den s.k. registerlagstiftningen och vissa därmed sammanhängande frågor i syfte att skapa rättsliga förut-
sättningar för en effektivare e-förvaltning där såväl den enskildes rätt till personlig integritet som allmänhetens berättigade anspråk på insyn i den offentliga verksamheten tillgodoses (dir. 2011:86). Utredningen tog namnet Informationshanteringsutredningen (Ju 2011:11).
Den 11 januari 2013 lämnade utredningen delbetänkandet Överskottsinformation vid direktåtkomst (SOU 2012:90). I betänkandet redovisas bl.a. utredningens arbete med frågan om begreppet allmän handling i tryckfrihetsförordningen i förhållande till s.k. överskottsinformation vid myndigheters direktåtkomst till andra myndigheters elektroniskt lagrade personuppgifter.
I utredningens uppdrag att se över registerlagstiftningen ingår bl.a. att göra en översiktlig inventering av gällande registerförfattningar och närmare analysera hur dessa fungerar inom tre olika verksamhetsområden. Det anges i direktiven att regeringen i tilläggsdirektiv kommer att precisera vilka tre verksamhetsområden som närmare ska analyseras, efter att synpunkter inhämtats från utredaren. I uppdraget ingår även att utarbeta en generell modell för hur registerförfattningar bör struktureras, vilka begrepp som bör användas och hur begreppen bör definieras. Med modellen som mall ska utredningen lämna konkreta förslag till registerförfattningar inom de tre verksamhetsområdena. För dessa områden ska utredaren även överväga vilka typer av allmänna handlingar som berörda myndigheter ska ha skyldighet att lämna ut i elektronisk form och föreslå författningsreglering. Av direktiven framgår vidare att utredningen ska överväga ett antal särskilt angivna frågor, bl.a. om åtskillnaden mellan olika former av elektroniskt utlämnande bör behållas och om s.k. sökbegränsningar som tar sikte på en utlämnande myndighet gäller även för en mottagande myndighet.
Översynen av EU:s dataskyddsreglering
Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av
sådana uppgifter (EGT L 281, 23.11.1995, s. 31), förkortat dataskyddsdirektivet, har genomförts i Sverige genom bl.a. personuppgiftslagen (1998:204). Personuppgiftslagen är generellt tillämplig för all helt eller delvis automatiserad behandling av personuppgifter och behandling av personuppgifter i manuella register. Den tillämpas dock inte om något annat följer av avvikande bestämmelser som finns i en annan lag eller i en förordning.
Rådets rambeslut 2008/977/RIF av den 27 november 2008 om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete (EUT L 350, 30.12.2008, s. 60), förkortat dataskyddsrambeslutet, har genomförts genom lagen (2013:329) med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen. Lagen gäller, med vissa begränsningar, för behandling av personuppgifter i verksamhet som har till syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott eller verkställa straffrättsliga påföljder, bl.a. om uppgifterna överförts mellan en svensk myndighet och myndighet i en annan medlemsstat i EU eller ett EU-organ.
Sedan Lissabonfördraget trädde i kraft den 1 december 2009 finns i artikel 16 i fördraget om Europeiska unionens funktionssätt en ny rättslig grund för unionslagstiftning om skydd för personuppgifter. Den omfattar både EU:s inre marknad och det polisiära och straffrättsliga samarbetet mellan EU:s medlemsstater. I och med Lissabonfördragets ikraftträdande gäller vidare Europeiska unionens stadga för de grundläggande rättigheterna med bindande verkan för medlemsstaterna när dessa tillämpar unionsrätten (EUT C 326, 26.10.2012, s. 391). Av EU-domstolens praxis framgår att detta innebär att de rättigheter som garanteras i stadgan måste iakttas när en nationell lagstiftning omfattas av unionsrättens tillämpningsområde (C-617/10 Åkerberg Fransson, dom den 26 februari 2013). Av artikel 8 i stadgan följer att var och en har rätt till skydd av de personuppgifter som rör honom eller henne.
Den 25 januari 2012, dvs. efter att direktiven till utredningen beslutades, presenterade EU-kommissionen ett förslag till en
genomgripande reform av EU:s regler om skydd för personuppgifter. Kommissionen har lämnat förslag till dels en förordning med en generell reglering av uppgiftsskyddet som ska ersätta dataskyddsdirektivet, dels ett direktiv om uppgiftsskydd i den brottsbekämpande verksamheten som ska ersätta dataskyddsrambeslutet. Förslaget till direktiv har dock ett bredare tillämpningsområde än rambeslutet och omfattar, utöver gränsöverskridande personuppgiftsbehandling, även rent nationell behandling av personuppgifter i sådan verksamhet (KOM [2012]10 och [2012]11).
Förhandlingarna om de båda förslagen pågår inom EU. Det är i nuläget oklart hur lång tid det kan ta innan de båda rättsakterna antas slutligt av Europaparlamentet och rådet. Förhandlingarna om direktivet har inte kommit lika långt som förhandlingarna om förordningen. Det är också oklart vilka effekter de nya reglerna kommer att få i Sverige. I förhandlingarna om direktivet vänder sig t.ex. flera medlemsstater mot att i unionsrätten reglera förutsättningarna för rent nationell behandling av personuppgifter på området. Om dataskyddsdirektivet ersätts av en EU-förordning kommer under alla förhållanden i vart fall personuppgiftslagen att behöva upphävas eller lagens tillämpningsområde snävas in avsevärt. I vilken utsträckning det kommer att finnas utrymme att behålla en sektorspecifik registerlagstiftning och i vilken mån det blir möjligt att komplettera EU-förordningen med generella nationella normer är för närvarande svårt att förutse. I förhandlingarna om dataskyddsförordningen förespråkar Sverige att regleringen ges formen av ett direktiv i stället för en förordning, men stödet för detta har visat sig vara svagt bland övriga medlemsstater. Mot den bakgrunden arbetar regeringen för att förordningen utformas på ett sätt som ger medlemsstaterna stor flexibilitet att precisera villkoren för behandlingen av personuppgifter främst inom den offentliga sektorn. För en sådan inriktning finns det ett brett stöd också bland övriga medlemsstater.
Ändring av uppdraget
Det är viktigt att översynen av registerlagstiftningen sker på ett sätt som är anpassat till det pågående arbetet inom EU med att reformera dataskyddsregleringen. Med beaktande av kommissionens förslag och det stöd som förefaller finnas inom EU för en dataskyddsreglering som ges formen av en förordning, kan utredningen i sitt fortsatta arbete inte längre utgå från att det kommer att vara möjligt att behålla en heltäckande och allmängiltig nationell författningsreglering om behandling av personuppgifter som på ett eller annat sätt kompletteras av sektorsvisa registerförfattningar. Mot den bakgrunden är det inte ändamålsenligt att utredningen analyserar registerförfattningarna inom tre olika verksamhetsområden och lämnar konkreta författningsförslag för dessa områden. I stället bör utredningen koncentrera sitt fortsatta arbete på att utreda förutsättningarna för att skapa en generell, enhetlig och – helt eller i vart fall delvis – samlad reglering för myndigheternas personuppgiftsbehandling som kan fungera som komplement till – eller, vid behov, genomföra delar av – den unionsrättsliga regleringen på området. Utredaren behöver i det sammanhanget också bedöma vilket utrymme förordningen ger för att i nationell rätt göra undantag från förordningens bestämmelser för myndigheternas personuppgiftsbehandling. Om utredaren bedömer att det finns förutsättningar att skapa en sådan samlad reglering bör utredaren lämna de författningsförslag som han anser vara motiverade.
Utredningens uppdrag ändras därför på så sätt att uppdraget att analysera registerförfattningar inom tre olika verksamhetsområden och lämna förslag på registerförfattningar för dessa verksamheter utgår.
Mot bakgrund av att utredningens uppdrag att överväga vilka typer av allmänna handlingar som myndigheterna bör vara skyldiga att lämna ut i elektronisk form är knutet till de tre verksamhetsområden som skulle analyseras närmare, är det med den ändrade inriktningen av uppdraget inte längre ändamålsenligt att inom ramen för denna utredning utreda utlämnande-
frågan vidare. Utredningens uppdrag ändras därför på så sätt att även uppdraget att överväga frågan om skyldigheten att lämna ut allmänna handlingar i elektronisk form utgår.
Utredningen ska överväga hur en generell reglering bör utformas utifrån vad som är lämpligt från bl.a. normgivningstekniska och systematiska utgångspunkter.
Som framgår ovan omfattas personuppgiftsbehandling inom den brottsbekämpande verksamheten inte av kommissionens förslag till en allmän uppgiftsskyddsförordning utan av ett förslag till ett direktiv. Personuppgiftsbehandling inom den sektorn ska mot bakgrund av detta undantas från utredningens arbete och omfattas inte av det nu preciserade uppdraget. Vid utformningen av en ny reglering behöver utredaren dock ta hänsyn till hur regleringen på såväl detta som andra områden är utformad för att regelverken inte ska komma i konflikt med varandra. Den generella regleringen bör om möjligt vara utformad så att den kan tillämpas på ett enhetligt sätt av myndigheter vars verksamhet i vissa delar kommer att omfattas av tillämpningsområdet för EU-förordningen och i andra delar omfattas av tillämpningsområdet för EU-direktivet.
Utredningen ska i sitt arbete noga följa den fortsatta behandlingen inom EU av förslaget till reformerad dataskyddsreglering. De förslag till författningsreglering som utredningen lämnar ska vara väl anpassade till denna översyn och dess resultat.
I övrigt gäller uppdraget oförändrat såsom det har redovisats i de ursprungliga direktiven.
Förlängd tid för uppdraget
Utredningstiden förlängs. Uppdraget ska redovisas senast den 30 januari 2015.
(Justitiedepartementet)