Statusuppdatering till dataskyddspaketet!
Det har gått nästan sex månader sedan trialogförhandlingarna mellan Kommissionen, Europaparlamentet och Rådet inledes i juni i år (läs gärna vårt tidigare inlägg). Förhandlingarna har i stor utsträckning hållits bakom stängda dörrar och endast få officiella uttalanden har gjorts. Rådet har publicerat några förberedande dokument öppet.
Ett av de senaste publika dokumenten från Rådet tyder på att man har enats om flera frågor men att några fortfarande återstår. Rådet uttrycker dock att förhandlingarna ska vara klara till slutet av året.
Enligt ett av de senaste dokumenten som har läckt ut (14902/15) från 4 december tycks flera ändringar ha gjorts i samband med trialogförhandlingarna. Här bjuder vi på några utvalda punkter ur dokumentet som är värda att lägga märke till. Notera att dokumentet speglar den nuvarande versionen av trialogförhandlingarna och att ytterligare förändringar kan tillkomma innan vi får se slutversionen.
- Artikel 2a som ursprungligen föreslogs av Rådet och som tog hänsyn till behandling som bl.a. är nödvändig för en rättslig skydlighet, har tagits bort.
- Artikel 3.1 som avser det territoriella tillämpningsområde har lydelsen som Europaparlamentet föreslog, dvs förordningen tillämpas på organisationer som är etablerade inom EU, “oavsett om behandlingen utförs i unionen eller inte”.
- Artikel 6.2a (som tycks vara ny) öppnar upp en möjlighet för medlemsstater att införa mer detaljerade regler med hänsyn till Artikel 6.1 punkt c och e, dvs rättslig skyldighet och “arbetsuppgift av allmänt intresse eller som är ett led i myndighetsutövning”.
- Artikel 6.3a ställer upp faktorer som en organisation ska ta hänsyn till när den ändrar ändamålen efter att personuppgifterna har samlats in. Artikeln fanns med i Rådets ståndpunkt och exempel på faktorer är t.ex. kontexten för insamlingen, förhållandet mellan det ursprungliga och det nya ändamålet och typ av uppgifter.
- Artikel 13 (ursprungligen med i Kommissionens och Europaparlamentets versioner) har tagits bort i senaste dokument från Rådet. Artikeln avsåg anmälningskrav vid rättelser och raderingar. Samma sak gäller för Artikel 13a som Europaparlamentet föreslåg och som avsåg standardiserade informationsstrategier, dvs standarder hur privacy policies skulle presenteras till en individ genom bl.a. symboler och dylikt i stället för endast text.
- Artikel 17 kallas nu (som kompromiss) Right to erasure (“to be forgotten”) efter att Europaparlamentet tog bort uttrycket ”rätten att bli bortglömd”.
- Artikel 18 som avser dataportabilitet finns kvar, men verkar inte ha nått en slutgiltig utformning.
- Artikel 22 (den registeransvariges ansvar och ansvarsskyldighet) har blivit kortare. Konsekvensen av detta återstår att se.
- Artikel 23 (inbyggt uppgiftsskydd och uppgiftsskydd som standard) finns kvar, men Kommissionens delegerade akter saknas och Rådets förslag på certifiering (Artikel 23.2a) finns kvar.
- Artikel 28 som avser dokumentation finns som ”kompromisstext” och organisationer med färre än 250 anställda undantas från dokumentationsskyldigheten.
- Artikel 31 (anmälan av ett personuppgiftsbrott till tillsynsmyndigheten) finns kvar och tidsfristen ligger på 72 timmar just nu.
- Artikel 33 (konsekvensbedömning avseende uppgiftsskydd) finns som ”kompromisstext”.
- Artikel 79 (administrativa sanktioner) finns kvar, men inga belopp nämns i dokumentet just nu.
Kommissionen, Europaparlamentet och Rådet har varit återhållsamma med pressmeddelanden. Enligt en tidsplan som har publicerats av European People’s Party kommer ett (sista) trialogmöte att hållas den 15 december. Vid ett möte i Europaparlamentets LIBE utskott underströks att förhandlingarna ska vara avslutade i slutet av året. Planen är att bli klar med både förordningen och direktivet som avser brottsbekämpande myndigheter samtidigt. Vi håller er uppdaterade!