Senast publicerat 06-04-2025 08:18

Statsrådets U-skrivelse U 59/2017 rd Statsrådets skrivelse till riksdagen om kommissionens förslag till Europaparlamentets och rådets förordning (fritt flöde av uppgifter)

I enlighet med 96 § 2 mom. i grundlagen översänds till riksdagen Europeiska kommissionens förslag av den 13 september 2017 till Europaparlamentets och rådets förordning om en ram för det fria flödet av uppgifter som inte är personuppgifter inom Europeiska unionen samt en promemoria om förslaget. 

Helsingfors den 19 oktober 2017 
Kommunikationsminister 
Anne 
Berner 
 
Överinspektör 
Tuomas 
Kaivola 
 

PROMEMORIAKOMMUNIKATIONSMINISTERIET10.10.2017EU/2017/1439FÖRSLAG TILL EUROPAPARLAMENTETS OCH RÅDETS FÖRORDNING OM EN RAM FÖR DET FRIA FLÖDET AV UPPGIFTER SOM INTE ÄR PERSONUPPGIFTER INOM EUROPEISKA UNIONEN; COM(2017) 495 FINAL

Bakgrund och syfte

Den 13 september 2017 lade kommissionen fram ett förslag till Europaparlamentets och rådets förordning om en ram för det fria flödet av uppgifter som inte är personuppgifter inom Europeiska unionen (COM(2017)495 final). Förslaget ingår i ett nytt regelverk och kommissionens strategi för den digitala inre marknaden: i och med digitaliseringen har utnyttjandet av data blivit en viktig del av ekonomin. Med data avses i förslaget andra uppgifter än sådana personuppgifter som avses i den allmänna dataskyddsförordningen. Personuppgiftsdirektivet (95/46/EG) och den allmänna dataskyddsförordningen (679/2016), som ersätter personuppgiftsdirektivet i maj 2018, gäller redan det fria flödet av personuppgifter. 

Det primära syftet med förslaget är att avlägsna hinder för det fria flödet av uppgifter inom Europeiska unionen i syfte att mer effektivt utnyttja data och att förbättra funktionen och transparensen på den inre marknaden. Det andra syftet är att underlätta möjligheterna för yrkesanvändare att överföra data från en tjänsteleverantörs system till en annan tjänsteleverantörs system. Det tredje syftet är att förbättra tillgången till data i myndighetsverksamhet när data lagras inom en annan medlemsstats territorium. 

Huvudsakligt innehåll

Den föreslagna förordningen är kompakt och, när det gäller materiell rätt, allmän. Innehållet i förordningen kan delas in i tre avsnitt: allmänna bestämmelser, principiella bestämmelser om principen ”fritt flöde av uppgifter”, tillgången till data för myndighetsbruk och överförbarheten av data och bestämmelser om förvaltningen. Kommissionen motiverar det principbaserade regelverket med att detta ger flexibilitet och med att det på så sätt är möjligt att bättre beakta unionens, medlemsstaternas och industrins föränderliga behov. För att regelverket inte ska överlappa andra regelverk, innehåller förordningen inte heller några närmare tekniska specifikationer. 

2.1.1  Allmänna bestämmelser: tillämpningsområde och definitioner

Förordningen tillämpas på sådan lagring och behandling av elektroniska data som erbjuds som tjänster till användare som är bosatta eller etablerade inom unionen, oberoende av var tjänsteleverantören befinner sig. Förordningen tillämpas också när en person som är bosatt eller etablerad inom unionen lagrar eller på något annat sätt behandlar data för sina egna ändamål. Förordningen påverkar inte tillämpningen av den allmänna dataskyddsförordningen (2016/679), direktivet om integritet och elektronisk kommunikation (2002/58/EG), direktivet om skydd av personuppgifter vid brottsärenden (2016/680) eller direktivet om elektronisk handel (2000/31/EG). 

Med krav på datalokalisering avses alla sådana skyldigheter, förbud, villkor, begränsningar och andra krav i medlemsstaternas lagstiftning, förordningar och administrativa föreskrifter som ställer krav på datalokalisering i tjänster för lagring eller ytterligare behandling av data i en viss medlemsstat eller som utgör ett hinder för lagring eller ytterligare behandling inom en annan medlemsstats territorium. 

2.1.2  Fritt flöde av uppgifter inom unionen

Artikel 4 i förordningen innehåller följande huvudregel för det fria flödet av data: Lagring och annan behandling av data får inte begränsas till en viss medlemsstats territorium, och lagring och annan behandling av data inom en annan medlemsstats territorium får varken förbjudas eller begränsas, såvida inte kravet kan berättigas utifrån allmän säkerhet. I ingressen till förordningen motiveras ett enda åberopat undantag med att förordningens syfte är att trygga det fria flödet av uppgifter och med att förordningen innehåller regler för tillgången till data i myndighetsverksamhet. 

I artikeln åläggs medlemsstaterna anmälningsskyldighet, upphävningsskyldighet och informationsskyldighet. Medlemsstaterna ska till kommissionen anmäla alla lagutkast som antingen fastställer nya begränsningar för datalokalisering eller ändrar på befintliga begränsningar. Medlemsstaterna ska inom tolv månader efter att ha börjat tillämpa förordningen säkerställa att alla obefogade begränsningar av datalokalisering har upphävts. Medlemsstaterna ska offentliggöra en förteckning över alla krav på datalokalisering via ett informationsställe på Internet. Medlemsstaterna ska uppge det egna informationsstället till kommissionen, som sammanställer en förteckning över informationsställena och lägger ut den på sin webbplats. 

2.1.3  Tillgång till data för behöriga myndigheter

Enligt artikel 5 i förordningen påverkar förordningen inte de behöriga myndigheternas rätt att begära och få data av fysiska personer eller juridiska personer med stöd av någon annan EU-lagstiftning eller nationell lagstiftning. I artikeln föreskrivs det också att användare inte får vägra att ge behöriga myndigheter tillgång till data utgående från att data lagras eller behandlas i en annan medlemsstat. 

Genom förordningen skapas en ny samarbetsmekanism för att tillgången till data ska kunna säkerställas för de behöriga myndigheterna: En behörig myndighet kan begära hjälp av en myndighet i ett annat land via en sådan centraliserad kontaktpunkt i medlemsstaten som avses i förordningen. Om begäran kräver tillträde till en fysisk eller juridisk persons lokaler, ska detta göras enligt de förfaranderegler som tillämpas av unionens och medlemsstatens rätt. Enligt ingressen till förordningen är det förslagna förfarandet subsidiärt i förhållande till de förfaranden som fastställs i särskilda regelverk och kan tillämpas först när den behöriga myndigheten har använt alla tillämpliga metoder för att få tillgång till data. 

2.1.4  Dataöverföring

I artikel 6 föreskrivs det att kommissionen ska uppmuntra och göra det lättare för yrkesanvändare att ta fram uppförandekodex, som bygger på självreglering, om överföring av data och transparens i avtalsvillkoren för dataöverföring. I förordningen definieras inte begreppet ”överföring av data”, men det hänvisar till yrkesanvändarens förmåga att byta tjänsteleverantör och att överföra sina uppgifter från en tjänsteleverantör till en annan eller tillbaka till sig själv. Med yrkesanvändare avses fysiska eller juridiska personer, inklusive offentliga aktörer, som använder tjänsten vid handel, företagsverksamhet, yrkesverksamhet eller utförande av sina uppgifter. I artikeln föreskrivs det att kommissionen ska uppmuntra aktörerna att på ett effektivt sätt införa uppförandekodexen minst ett år efter att förordningen har börjat tillämpas. Två år efter att förordningen har börjat tillämpas ska kommissionen kontrollera att uppförandekodexen har införts på ett effektivt sätt. 

2.1.5  Förvaltning

Förutom att medlemsstaterna ska uppfylla de informations- och anmälningsskyldigheter som är förknippade med begränsningarna av datalokalisering, ska medlemsstaterna inrätta en centraliserad kontaktpunkt för att säkerställa tillämpningen av förordningen. Kontaktpunkten ska förmedla begäranden om information i anslutning till tillgången till data från andra medlemsstater till behöriga myndigheter. Sådan information får endast användas för det ändamål som anges i begäran. 

2.1.6  Delegerad lagstiftningsbehörighet och kommissionens genomförandeåtgärder

Enligt artikel 7.6 i förordningen får kommissionen i enlighet med artikel 8 anta genomförandeakter om förfaranderegler vid begäranden om information via centraliserade kontaktpunkter. 

I artikel 8 föreskrivs det om kommittéförfarande.  

När det gäller dataskydd innehåller övervägande 27 i ingressen till förordningen en hänvisning till direktivet om säkerhet i nätverks- och informationssystem (2016/1148) och den i direktivet angivna rätten att fastställa genomförandeåtgärder. 

Förslagens rättsliga grund och förhållande till subsidiaritets- och proportionalitetsprinciperna

Som rättslig grund för förordningen föreslår kommissionen artikel 114 om tillnärmning av lagstiftning inom unionen i fördraget om Europeiska unionens funktionssätt. 

Enligt artikel 114 ska Europaparlamentet och rådet i enlighet med det ordinarie lagstiftningsförfarandet och efter att ha hört Ekonomiska och sociala kommittén, besluta om åtgärder för tillnärmning av sådana bestämmelser i lagar och andra författningar i medlemsstaterna som syftar till att upprätta den inre marknaden och få den att fungera. Bestämmelser om det ordinarie lagstiftningsförfarandet finns i artikel 294 i fördraget om Europeiska unionens funktionssätt. 

Europadomstolen har av hävd ansett att en rättsakt endast kan antas utifrån artikel 114 i EUF-fördraget, om det av rättsakten framgår och objektivt kan påvisas att den syftar till att förbättra villkoren för upprättandet av den inre marknaden och dess funktion. Enligt kommissionens förslag är dess syfte att säkerställa rättslig klarhet och lika villkor på den inre marknaden och att det därför behövs harmoniserade regler. Statsrådet anser att den rättsliga grunden är lämplig. 

Enligt kommissionens förslag är harmonisering av den inre marknaden, avlägsnande av obefogade begränsningar av datalokalisering och skapande av en digital inre marknad sådana åtgärder där de uppställda målen kan uppnås på ett effektivare sätt genom åtgärder på unionsnivå. Dessutom är de föreslagna åtgärderna i stort sett principiella bestämmelser. Statsrådet anser att förslaget följer subsidiaritetsprincipen och proportionalitetsprincipen.  

Förslagets förhållande till grundläggande och mänskliga rättigheter samt grundlagen

Förslaget till förordning har inga direkta konsekvenser för Finlands skyldigheter att iaktta de grundläggande och mänskliga rättigheterna och grundlagen. I ingressen till förslaget konstateras det att förordningen respekterar de grundläggande rättigheterna och särskilt rätten till skydd för personuppgifter, konsumentskydd och näringsfrihet, som erkänns i Europeiska unionens stadga om de grundläggande rättigheterna.  

Förslagens konsekvenser

5.1.1  Konsekvenser för EU:s budget

Förordningen ökar något förvaltningen på EU-nivå, vilket förmodligen medför årliga kostnader. 

5.1.2  Konsekvenser för nationella budgeter

Förordningen ökar förvaltningen i anslutning till det fria flödet av uppgifter på nationell nivå, vilket förmodligen medför årliga kostnader. Enligt kommissionens beräkning behövs cirka 0,5 årsverken för att driva en nationell kontaktpunkt och kostnaderna är i snitt 33 384 euro per år för en medlemsstat. 

Genomgång av nationella regler medför förmodligen en del engångskostnader. Kostnaderna för avreglering torde bromsas av att det utifrån kommissionens preliminära kartläggning inte har upptäckts några begränsningar av datalokalisering i lagstiftningen i Finland. Enligt kommissionens beräkning medför skyldigheten att anmäla begränsningar av datalokalisering kostnader för cirka 385 euro per anmälan för medlemsstaterna.  

Finlands faktiska kostnader blir troligen större än vad kommissionen beräknat, eftersom den allmänna kostnadsnivån i Finland är högre än genomsnittet i EU-länderna. 

Å andra sidan kan det fria flödet av uppgifter sänka IT-kostnaderna och samarbetsmekanismen förvaltningskostnaderna för samarbetet när ett sådant förfarande som avses i särskilda regelverk saknas. 

5.1.3  Konsekvenser för nationell lagstiftning

Förordningen är direkt tillämplig i unionens medlemsstater.  

I förordningen förpliktas medlemsstaterna att, inom tolv månader efter att ha börjat tillämpa förordningen, upphäva de krav som strider mot det fria flödet av data. Dessutom ska medlemsstaterna anmäla de bestämmelser som fastställer begränsningar för datalokalisering och motiveringarna till varför bestämmelserna är berättigade. 

5.1.4  Övriga konsekvenser

Ekonomiska konsekvenser för den inre marknaden. Förslaget är en del av kommissionens åtgärder för att skapa en europeisk datadriven ekonomi. Enligt kommissionens arbetsdokument var det beräknade värdet på datamarknaden i EU 60 miljarder euro 2016. Värdet hade stigit med 9,5 procent jämfört med 2015. År 2020 kan värdet vara hela 106 miljarder euro. Om begränsningarna av datalokalisering avlägsnades, skulle detta redan i sig medföra en årlig nytta på cirka 8 miljarder euro. 

Konsekvenser för företag. I sina arbetsdokument poängterar kommissionen att det fria flödet av uppgifter kan gynna användare av lagringstjänster genom sänkta priser. Enligt beräkningen är nyttan för yrkesanvändare 7,2 miljarder euro. De som kommer att gynnas mest av det fria flödet av uppgifter är dock tjänsteleverantörerna som kan placera sin kapacitet friare. Den beräknade nyttan för dem är 19,5 miljarder euro. Dessutom kommer principen om fritt flöde av uppgifter att minska osäkerheten kring tillåten datalokalisering, vilket kan gynna i synnerhet små och medelstora företag.  

Utifrån beräkningarna i arbetsdokumenten kommer företag som tillhandahåller lagringstjänster och andra behandlingstjänster att få en del smärre kostnader för skapande och genomförande av självreglering. 

Ålands behörighet

Det gäller ett förslag till EU-förordning som är direkt tillämplig i medlemsstaterna.  

De föreslagna reglerna för det fria flödet av uppgifter förpliktar medlemsstaterna att avlägsna obefogade begränsningar av datalokalisering eller att anmäla dem. Landskapet Åland svarar för genomförandet av Europeiska unionens rättsakter till den del ärendet utifrån självstyrelselagen omfattas av landskapets behörighet. Bestämmelser om fördelning av lagstiftningsbehörigheten mellan riket och landskapet finns i självstyrelselagen för Åland (1144/1991). Bestämmelser om landskapets och rikets lagstiftningsbehörigheter finns i 18 § respektive 27 § och 29 § i den lagen. Till den del begränsningar av datalokalisering fastställs i det regelverk som tillhör landskapet Ålands behörighet, svarar landskapet för att avlägsna och anmäla begränsningarna. 

Enligt förslaget stödjer kommissionen tjänsteleverantörernas åtgärder och arbetet med att ta fram en uppförandekodex för att data ska kunna överföras. Enligt 27 § 1 mom. 10 punkten i självstyrelselagen har riket lagstiftningsbehörighet i fråga om främjande av konkurrens och konsumentskydd. Närmare regler eller nationella genomförandeåtgärder presenteras inte i förslaget till förordning.  

Enligt förslaget ska varje medlemsstat inrätta en nationell kontaktpunkt för att säkerställa tillämpningen av förordningen. Bestämmelser om förvaltningsärenden och överenskommelseförordningar finns i 30 § respektive 32 § i självstyrelselagen för Åland. 

Nationell behandling av förslaget och behandling inom Europeiska unionen

Meddelandet ”Att skapa en europeisk dataekonomi” gavs den 10 januari 2017 (E 8/2017 rd). I meddelandet behandlar kommissionen på en allmän nivå frågor kring en europeisk datadriven ekonomi och kartlägger åtgärdsalternativ, även när det gäller begränsningar av datalokalisering. 

Halvtidsöversynen av genomförandet av strategin för den digitala inre marknaden lämnades den 10 maj 2017 (EKU 21/2017 rd). Halvtidsöversynen innehåller information om bland annat kommissionens åtgärder i fråga om dataekonomi, inklusive begränsningar av datalokalisering. 

Förslaget och U-skrivelsen om förslaget behandlades nationellt vid EU-beredningssektionerna (EU19 kommunikationssektionen och EU8 sektionen för den inre marknaden) den 25–28 september 2017. Dessutom ordnade kommunikationsministeriet ett öppet samrådsmöte om förslaget den 26 september 2017. 

Behandlingen av förslaget i rådets arbetsgrupp för telekommunikation och informationssamhället inleds troligen i november. Kommissionen presenterade initiativet den 25 september 2017 och konsekvensbedömningen den 17 oktober 2017 för arbetsgruppen. 

En politisk diskussion om initiativet ordnas förmodligen i rådet för transport, telekommunikation och energi i december. 

Det behöriga parlamentsutskottet är utskottet för industrifrågor, utrikeshandel, forskning och energi. 

Statsrådets ståndpunkt

Reglerna i förordningen är till karaktären allmänna. Eftersom förordningen är ett nytt regelverk, är dess innehåll, tillämpningsområde och praktiska konsekvenser ännu oklara. Därför kan statsrådet ännu inte framföra några närmare ståndpunkter. 

Statsrådet stödjer dock ett fritt flöde av uppgifter på den inre marknaden och avlägsnande av obefogade begränsningar av datalokalisering. Alla nya regler ska dock vara så enkla som möjligt och tydliga i förhållande till befintliga regler. De ska också ge största möjliga mervärde med tanke på nuläget och uppställda mål. Enligt statsrådet ska reglerna vara enkla även när det gäller att förvalta det fria flödet av uppgifter. I förslaget ska särskild uppmärksamhet ägnas åt tydligheten i förhållande till unionens omarbetade regler för skydd för personuppgifter och dataskydd. 

Statsrådet anser att det räcker med principiella regler för fritt flöde av uppgifter, eftersom det föreslagna regelverket framför allt har en principiell betydelse som säkerställer rättslig klarhet. Enligt statsrådet ska det dock vara möjligt att göra undantag från principen om fritt flöde av uppgifter utifrån allmän säkerhet. 

Enligt statsrådet är det viktigt att uppmärksamhet ägnas åt tillgången till data i myndighetsverksamhet. Eftersom det redan existerar särskilda regler om myndighetssamarbete, anser statsrådet att det regelverk som nu föreslås inte får bli för komplicerat i förhållande till fördelarna med systemet. 

För att målet för utvecklingen av dataekonomin och det fria flödet av uppgifter ska kunna uppnås, är det enligt statsrådet viktigt att uppmärksamhet ägnas åt dataportering från ett system till ett annat. Statsrådet ställer sig positivt till att dataöverföringen i första hand ska förbättras genom tjänsteleverantörernas åtgärder. Det kan dock visa sig vara krävande att på ett effektivt sätt genomföra självregleringen inom utsatt tid på grund av omfattningen av tillämpningsområdet och aktörsfältet. Med tanke på dataekonomin är det dock viktigt att interoperabiliteten ska kunna genomföras fort och systemen utvecklas från leverantörsspecifika slutna system till öppna system. Vid behov ska därför behovet av åtgärder utvärderas till exempel vad gäller interoperabilitet. 

Skapandet av en europeisk datadriven ekonomi och den digitala inre marknaden ger framför allt möjligheter att i allt större omfattning utnyttja data. De föreslagna åtgärderna främjar detta helhetsmål endast i begränsad utsträckning, eftersom det med tanke på mervärdet för dataekonomins värdekedjor är viktigt att säkerställa såväl fri datalokalisering som tillgång, överförbarhet och interoperabilitet för data i de digitala tjänster och verksamhetsmodeller som utvecklas. 

Författarens kontaktuppgifter

Tuomas Kaivola Kommunikationsministeriet, telefon 029 525 8367