Det är inte så många som tänker på det, men den nuvarande konsultationen om dataskyddsdirektivet är den största uppgift som digitala rättighetsaktivister har fått på sina händer de senaste två åren.
-- Erfaren telekomaktivist
Efter PNR- och SWIFT-diskussionerna i Europaparlamentet råder det inget tvivel om att det finns en stor medvetenhet i det europarlamentiska etablissmanget att amerikanska dataskyddslagar skiljer sig mycket från det europeiska. En skillnad är att USA bara har indirekt dataskydd som lutar sig väldigt mycket på konstitutionella rättigheter som skydd från statligt intrång på privat egendom. En annan betydelsefull skillnad är att amerikanskt indirekt dataskydd per definition bara utsträcker sig till individer som ligger under konstitutionens jurisdiktion, det vill säga amerikanska medborgare. I Europa har man istället valt en människorättsbaserad syn på privat data, och databehandling gäller därför inom europeiskt territorium, snarare än för personer med europeiska pass (skillnaden gäller väl i och för sig många rättigheter).
För att vara en jurisdiktion som behandlar stora mängder av världens data, inklusive privat data från medborgare i andra länder, kan man lätt bli turberad över (turberade kanske vi borde vara också kinesiska dataskyddslagar, haha) hur och när privat data behandlas särskilt i amerikanska datacenter.
Jaja, SWIFT-diskussionerna fick ett besvikande resultat. Men nu finns hopp om förändring! Kommissionen öppnade för ett tag sedan en konsultation om 1995 års dataskyddsdirektivet, och vid kritiskt utfall kan direktivet mycket väl komma att öppnas upp för att anpassa det bättre till teknologins nya förutsättningar. Här är jag inte säker på vad som kan gå fel. Var paranoida! Vilken problematik kan diskussioner om teknikoberoende dataskydd medföra? Jag är nog själv inte tillräckligt paranoid för jag har inte lyckats identifiera något rejält upprörande (kanske det inte ens finns).
Nu finns en stark pliktkänsla hos våra politiker att skydda privat data. Det är trendigt, även i situationer då det kanske leder till mindre lyckade resultat.
Ett stort problem med alla direktiv är medlemsstaternas förmåga att uppfylla formella krav, men brista i uppfyllande av syften. I detta är dataskyddsmyndigheter till exempel väldigt lika telekommunikationsmyndigheter: de finns, de har styrelser och anställda, men dessa lyckas förhålla sig passiva till allt vad dataskydd eller marknadskonkurrens heter. Det här gäller till exempel irländska och nederländska dataskyddsmyndigheter: myndigheterna existerar, men deras arbete präglas av icke-arbete, och när de väl skrider till aktion har de inga befogenheter att utföra påtryckningar mot den felande parten. Jag uppmanar Ryanairs kunder att hålla det bristande irländska dataskyddet i tankarna när de beställer biljetter eller tar kontakt med kundtjänst.
I Sverige är tillsynsmyndigheten Datainspektionen däremot ganska välfungerande. Jag drar mig till minnes kritik mot Datainspektionen från SM5POR utfärdad, tydligen, 2007, men kritiken rör knappast brist på aktion utan överambitiösa uppdragsformuleringar. De har inte tolkat sitt uppdrag för snävt, utan väldigt vitt, och det kan i vissa fall vara problematiskt om de väljer att agera. Å andra sidan brukar jag i allmänhet uppleva att svenska myndigheter är väldigt pragmatiska och ogärna skrider till handling när det är uppenbart fånigt eller onödigt.
Tyskland, likt Sverige, har tolkat uppdraget att kontrollera databehandling av statliga och privata aktörer bokstavligt. Tillsynsmyndighetens granskningar anses generellt oberoende av regering och parlament, och ser också till att hålla sig underrättad om hur data behandlas, i vilken utsträckning och av vem. De får dessutom extra skydd från sin konstitutionsdomstol.
En vanlig brist i skapandet av tillsynsmyndigheter i medlemsstaterna är att myndigheterna att deras arbete blir för beroende av pengar och operativt stöd från statsmakten, vilket givetvis gör det svårt att utfärda kritik mot statens verksamhet. Direktiven kräver ofta att myndigheterna ges oberoende från statens övriga verksamhet, men kommissionen kan väl anses lite för passiv när det gäller eftersyn av medlemsstaternas uppfyllande av denna punkt.
Inför dataskyddsdirektivets utvärderings dödslinje (som för övrigt är 12te januari) har jag för övrigt grubblat på identifikationssystem versus autentifieringssystem, men det kan väl få bli en bloggpost för imorgon.
Add new comment