Pekka Nurmi: EU:s allmänna dataskyddsförordning - den finska modellen

Publiceringsdatum 17.1.2017 11.05 Blogg JM

Pekka Nurmi: EU:s allmänna dataskyddsförordning - den finska modellen

 fi | sv 

I april 2016 berättade Anu Talus i sitt inlägg i Rättsbloggen om antagandet av EU:s allmänna dataskyddsförordning och om förordningens innehåll. Dataskyddsförordningen ska börja tillämpas den 25 maj 2018, och före det ska medlemsstaterna ändra sin nationella lagstiftning så att den överensstämmer med förordningen.

Trots att förordningen enligt det normala förfarandet är direkt tillämplig, lämnar den dock medlemsstaterna exceptionellt mycket nationellt spelrum. Förordningen innehåller totalt 50 enskilda punkter som ger medlemsstaterna antingen möjlighet eller ålägger dem att utfärda nationell reglering som preciserar förordningen.

Det är dock skäl att betona att detta spelrum betyder att det kan göras nationella finjusteringar, inte att man skulle kunna avvika från förordningens grundläggande lösningar. Huvuddelen av förordningens bestämmelser tillämpas som sådana och blir förpliktande vid den ovan nämnda tidpunkten. Det gäller att vara beredd på förordningens ikraftträdande i god tid.

Justitieministeriets arbetsgrupp

Justitieministeriet tillsatte i februari 2016 en arbetsgrupp för att bereda förslag i fråga om utnyttjandet av det nationella spelrummet samt för att i allmänhet se till att vår lagstiftning överensstämmer med förordningen.

Arbetsgruppen ska

1. bereda ett förslag till sådan allmän lagstiftning som eventuellt behövs i stället för personuppgiftslagen som upphävs,

2. bereda ett förslag gällande den nationella tillsynsmyndigheten i fråga om datasekretess,

3. fastställa riktlinjer för hur spelrummet kan utnyttjas på ett ändamålsenligt sätt och

4. samordna och bistå vid det lagberedningsarbete som utförs för att se över speciallagstiftningen om behandlingen om personuppgifter.

Det nationella spelrummet och behovet att ändra lagstiftningen gäller främst den offentliga sektorn. Därför är alla ministerier företrädda i arbetsgruppen som består av totalt 19 medlemmar.

Arbetsgruppens förslag till regeringens proposition med förslag till lag ska vara klart före slutet av maj 2017.

Lagstiftningspolitiska riktlinjer

Enligt sitt uppdrag ska arbetsgruppen avhålla sig från att skapa ytterligare nationell reglering vid genomförandet av EU-lagstiftning, stärka medborgarnas rätt att övervaka och besluta om användningen av information som gäller dem själva, säkerställa en smidig överföring av information mellan myndigheterna och avstå från onödig specialreglering.

När det gäller det nationella spelrummet ska det strävas efter att skapa en så enhetlig europeisk lagstiftning som möjligt. För att säkerställa detta har arbetsgruppen haft regelbunden kontakt med de instanser som bereder genomförandet av förordningen i andra EU-länder och särskilt i de nordiska länderna.

Ny allmän lag

Arbetsgruppens huvuduppgift är att bereda ett förslag till en ny allmän lag (personuppgiftslag 2018). I enlighet med de ovan nämnda politiska riktlinjerna har arbetsgruppen koncentrerat sig på sådana punkter i förordningen där det kan anses vara nödvändigt att utnyttja det nationella spelrummet. I detta arbete är det naturligt att utgå från den gällande personuppgiftslagen och erfarenheterna av dess tillämpning.

En problematisk fråga är förhållandet mellan skyddet av personuppgifter och principen om handlingars offentlighet i Finland. Arbetsgruppen har som mål att skapa sådan reglering som på ett balanserat sätt beaktar båda dessa principer, klargör rättsläget och beaktar de utmaningar och möjligheter som hänför sig till ny teknik. Å andra sidan kan arbetsgruppen inte gå in för att reformera hela offentlighetslagen, och därför måste förslagen anpassas till de strukturer och begrepp som används i den gällande lagen. I och för sig har behovet att bedöma reformbehoven i offentlighetslagen blivit allt mer uppenbart.

Tillsynsmyndigheten

I förordningen föreskrivs direkt om den nationella tillsynsmyndighetens uppgifter och behörighet. Dessa utvidgas betydligt jämfört med nuläget. Samtidigt ställs det nya krav bl.a. på denna myndighets oberoende. Myndighetens administrativa struktur och förfaranden får dock fortsättningsvis till en stor del regleras genom nationella bestämmelser.

Också i denna fråga har arbetsgruppen utgått från nuläget. Tillsynsmyndigheten ska enligt planerna vara dataombudsmannen, som stärks med en kollegial sammansättning då det fattas beslut som har betydande konsekvenser (t.ex. fastställande av administrativa böter). Förordningen ger också anledning att precisera bestämmelserna om den registrerades rättskydd.

En förutsättning för att trygga tillsynsmyndighetens oberoende är att myndigheten har tillräckliga resurser för att utföra sina uppgifter. I förordningen finns en direkt tillämplig bestämmelse om detta, och medlemsstaterna ska se till att man även i praktiken iakttar denna bestämmelse.

Det är helt klart att man i Finland behöver tilläggsfinansiering för att detta krav ska kunna uppfyllas.

Riktlinjer för utnyttjande av spelrummet

Arbetsgruppens riktlinjer baserar sig på de ovan nämnda politiska målsättningarna och de återspeglas såväl i den allmänna lagen som i den sektorsspecifika specialregleringen. Den mest centrala rättsliga grunden för behandlingen av personuppgifter inom den offentliga sektorn är myndigheternas lagstadgade skyldigheter. Detta innebär att det ska finnas tillräckligt exakta bestämmelser om myndigheternas uppgifter.

Å andra sidan bör onödigt detaljerade bestämmelser om enskilda register undvikas. Förordningen, som ansetts vara förenlig med Finlands grundlag och kunna godkännas, innehåller mer detaljerade bestämmelser än den gällande regleringen. Därför är det inte i regel motiverat att föreskriva om enskilda register med den noggrannhet som det görs enligt nuvarande riksdagspraxis. Detaljerad reglering ska begränsas till sådana fall där det finns ett särskilt behov att garantera skyddet för personuppgifter.

Behovet av avveckla onödig specialreglering

Finland har exceptionellt mycket sektorsspecifik specialreglering jämfört med andra länder. Enligt utredningar finns det omkring 600-700 författningar eller bestämmelser som på ett eller annat sätt gäller behandling av personuppgifter.

Under sommaren 2016 har man i samarbete med universitetsforskare gått igenom dessa bestämmelser. Slutsatsen var att bestämmelserna med några få undantag är förenliga med dataskyddsförordningens rättsliga grund. Problemet med bestämmelserna är deras stora antal samt att de till en viss del är otydliga, oenhetliga och onödigt detaljerade. Detta beror på att det under årens lopp och av olika skäl har uppkommit en viss slags överreglering som bör avvecklas genom sektorsspecifika avregleringsåtgärder.

Utmaning och möjlighet

På hösten 2013 skrev jag i Rättsbloggen om behovet av insiktsfull lagberedning för att uppfylla regeringens målsättningar. Temat är fortfarande aktuellt.

EU:s allmänna dataskyddsförordning är en utmaning för lagstiftarna. Till följd av förordningens struktur behövs det förutom en allmän personuppgiftslag även särskilda bestämmelser för olika enskilda fall. Samtidigt har vi dock möjlighet att slopa onödig reglering. En balanserad lösning kräver insiktsfull lagberedning. Detta bör beaktas även i de andra stora lagstiftningsreformer som pågår på olika sektorer.