Sökformulär

Den nya dataskyddsförordningen

Den nya dataskyddsförordningen kommer att handla dels om människors rätt till privatliv och skydd för sina privata data, men också på ett avgörande sätt om hur vi i Europa är villiga att reglera våra industrier. Följande inlägg är ett försök att i alla fall delvis förklara hur jag därför ställer mig till vissa av förslagets olika delar.

Mindre uppmärksammat i Sverige än datalagringsdirektivet (DLD) är dataskyddsdirektivet (DSD) från 1995 (infört som Personuppgiftslagen i Sverige 1998). Kommissionen släppte ett förslag på hur regelverket ska uppdateras i januari i år, vilket har fått mild kritik från de som vill skydda privata data och hårdare kritik de som inte vill det. Vi publicerade en längre text om detta för två veckor sedan.

Invändningar jag tagit emot från olika branschorganisationer (t ex Eurofinas - the voice of consumer credit providers in Europe) inkluderar en oro att det t ex inte kommer att gå att utföra ordentliga kreditundersökningar om man inte får hantera så mycket data som behövs för att man ska klara sina lagstadgade förpliktelser. En underlig invändning eftersom kommissionen medgivit att man får hantera precis den mängd data och under så lång tid (minimiregeln) som behövs för att utföra sådana uppgifter. Man tycker också att det är svårt, tekniskt, att kontrollera vart privata data hamnar efter att de publicerats på en hemsida (rätten att bli bortglömd). Jag kan visserligen tänka mig rätten att bli glömd som en tänkbar utmärkt affärsmöjlighet, vars potential industrin för tillfället inte anser sig tillräckligt innovativ för att kunna uppfylla. Reglering kan ju också användas för att styra den tekniska utvecklingen i privatlivsvänlig riktning och det är inte nödvändigtvis dåligt, menar jag.

Situationen att man går över från direktiv till förordning då? Skillnaden är att förordningen blir direkt tillämpbar i alla medlemsländer samtidigt, och att kommissionen i egenskap av exekutiv institution blir skyldig att upprätthålla förordningens ord. Hade det varit ett direktiv hade man istället behövt införa direktivets regelverk i alla medlemsstater och haft ett fortsatt mycket stort ansvar dels på nationella lagstiftande församlingar och dels medlemsländernas dataskyddsmyndigheter för att säkerställa efterlevnad. Erfarenheterna från DSD-1995 visar att tillämpningen av dataskyddsdirektivet i de olika medlemsstaterna var mycket ojämn och i många fall bristfällig. Tydliga regler i hela unionen som är likadana överallt kommer också att hjälpa företag eller enskilda som vill agera över gränserna, som ju så ofta händer på internet, utan att oroa sig för olika juridiska krav på olika ställen.

Bör det vara kommissionen som utarbetar tydliga riktlinjer för arbetet med dataskydd? Jag har svårt att se att de nationella regleringsmyndigheterna helt kommer att spela ut sin roll. Snarare tror jag att det kommer uppstå en liknande situation som på konkurrensområdet, där kommissionen har väldigt tydliga riktlinjer för alla former av konkurrensbegränsande beteende som uppstår i handel mellan medlemsländerna, medan de nationella myndigheterna ägnar sig åt mer lokala företeelser. Den relevanta frågan för mig blir istället om jag litar mer på kommissionen i deras ambition att utarbeta bra riktlinjer för mig, än vad jag litar på t ex brittiska, tyska eller nederländska myndigheter (de medlemsländer jag bedömer som troligast att ha webhosting och cloud services för företag, på grund av infrastrukturell kapacitet och nuvarande marknadsfördelning) att vara särskilt benägna om att skydda mig som svensk privatperson mot de faktiskt multinationella, gränsöverskridande företag som oftast hanterar min persondata slarvigt.

Artikel 29-gruppen har arbetat nära kommissionen under hela transponeringsprocessen för DSD-1995, och det finns ingen anledning att tro att kommissionen kommer att förkasta de nationella dataregleringsmyndigheternas (i Sverige Datainspektionen) erfarenheter i framtiden.

Är det ett problem att insynen från parlamentet och ministerrådet är för lågt? Svårt att säga. European Data Protection Supervisor och Artikel 29-gruppen har ett svårt jobb framför sig varän ansvaret för att arbeta ut riktlinjer hamnar. Olyckligtvis är det väldigt starka kommersiella krafter som skulle ha intresse av att tänja på regelverket, och oviljan att investera i nya, bättre affärsmöjligheter som skyddar privata data är förhållandevis hög.

Det finns en stor misstanke mot att överreglera industrin, som oftast tar sig uttryck i att man viker sig för industrins naturliga rädsla för förändring. I slutändan kommer det att handla om huruvida väljare väljer att rösta på politiker som tror att en väl reglerad industri klarar av att driva samhället framåt på de premisser samhället håller med om.

4 kommentarer

Jag har inte tagit del av kritiken från Eurofinas, så jag kanske missförstår vad du skriver, men jag gissar att de syftar på den uppenbara svårigheten att "glömma" information som en gång har offentliggjorts, eftersom den då i princip är spridd till flera okända mottagare i hela världen. Den personuppgiftsansvarige kan på sin höjd åläggas att ta bort uppgifterna från sin egen webbsida, men hur skall man förhålla sig till att samma uppgifter kan finnas hos Google, Internet Archive och andra aktörer utanför EU:s jurisdiktion? Är det möjligheten att på privat väg övertala också dessa aktörer att låta sig omfattas av den korporativa glömskan som du åsyftar med uttrycket "tänkbar utmärkt affärsmöjlighet"..?

"Rätten att bli glömd" gäller för övrigt inte utan undantag, och ett av undantagen motiveras av hänsyn till yttrandefriheten, som i kommissionens förslag synbarligen går längre än artikel 9 i det gamla dataskyddsdirektivet. Nättidningar och enskilda bloggare bör alltså kunna citera taxeringskalendern eller telefonkatalogen utan att riskera krav på radering av gamla artiklar för att uppgifterna är föråldrade.

Jag vill dock varna för att förordningen kan komma att beröra fysiska personers informationsbehandling i högre grad än vad dataskyddsdirektivet har gjort. I förslaget formuleras det sålunda:

This Regulation does not apply to the processing of personal data:

...

(d) by a natural person without any gainful interest in the course of its own exclusively personal or household activity;

Jag har inte direktivets text framför mig just nu, men det nya i formuleringen ovan är "without any gainful interest". Vad betyder det? Krävs det att jag driver en affärsrörelse för att jag skall anses ha "gainful interest" i behandlingen av mitt kundregister, eller räcker det att jag för ett register över politiker för att lista ut vem jag skall rösta på för att bäst gynna den egna hushållsekonomin?

Det finns liksom inget undantag för personuppgiftsbehandling med politiskt syfte på motsvarande sätt som för behandling med journalistiskt eller konstnärligt syfte, utan uppgifter om politiska åsikter är tvärtom klassade som särskilt känsliga dito, precis som i nuvarande lagstiftning. Sådana får i princip bara behandlas med den registrerades eget samtycke, men det vore orimligt att lägga dylika restriktioner på den väljare som är i färd med att kryssa den ena eller andra politikern i lokalvalet.

Att rösta i allmänna val betraktar jag nämligen som en "personal or household activity", och detta räcker enligt min mening för att jag skall kunna använda automatisk databehandling som ett led i den politiska opinionsbildningen utan hinder av gällande personuppgiftslag, även i samarbete med andra väljare. Jag skulle vilja se konkreta exempel på vad som skiljer undantagen i direktivet respektive förordningsförslaget från varandra på just denna punkt för att förvissa mig om att EU-kommissionen inte är på väg att beröva oss ännu mer av vår redan sargade informationsfrihet.

Ytterligare en formulering som inger oro i frågan finns i avsnittet om påföljder, där det anses räcka med en skriftlig varning om

a natural person is processing personal data without a commercial interest;

Översatt: "En fysisk person behandlar personuppgifter utan kommersiellt syfte".

Vi har redan ett vidlyftigt undantag för behandling i "journalistiskt" eller "konstnärligt" syfte, vare sig det sker kommersiellt eller ej. Likväl finns det tydligen situationer där man utan kommersiella baktankar behandlar personuppgifter för något annat ändamål än publicering, och som skall omfattas av regleringen. Vilka ändamål då? Att berätta för kyrkans konfirmander att en av församlingsvaktmästarna är halvt sjukskriven efter en fotskada på grund av fall från en stege? Ett exempel, ett exempel, en union av republiker och kungariken för ett exempel!

Hej Anders,

Jag tror dock inte att närmare övervägning av sådana frågor passar sig för direktivet - dina funderingar om vad som är kommersiellt, eller huruvida deltagande i omröstningar innebär privat verksamhet eller inte, lämpar sig, om de över huvud taget kommer upp till konflikt, mer i de riktlinjer som tillämpande myndigheter (Datainspektionen, eller i förordningens linje, Europakommissionen) målar upp efteråt.

Du har förstås rätt i att förordningen som föreslagits av kommissionen innehåller många undantag som sedan ska kristaliseras i riktlinjer. Men trots detta undantag kan man se en stark motvilja mot att över huvud taget formulera målsättningar i förordning om en viss samhällsordning. Mina generella slutsatser, att det kommer bli en hård strid eftersom rädslan för att överreglera industrin är väldigt hög, gäller alltså i det fallet.

Ett annat problem som kommit till min uppmärksamhet är behandlingen av persondata i vetenskapligt syfte. Det har inkommit från en svensk grupp som engagerar epidemiforskare. Deras problem lär säkerligen vara att allt eftersom de av forskningspolitiken tvingas söka mer och mer privat kapital för sina projekt kommer att riskera hamna i fåran personer som bedriver forskning i kommersiellt syfte, och därför inte omfattas av direktivets undantag. Även här tror jag att prövning i en särskild etiknämnd skulle kunna vara en bra policy för just en riktlinje om implementering, men inte som särskilt krav i lagen - lagen som sådan bör naturligtvis skydda privatpersonens integritet fullt ut!

Jag tror att det kan vara lätt att missa skogen för alla träd här - visst vill vi alla ha en stark privatlivslagstiftning, och att alla människors rätt till integritet och anonymitet ska bevaras. Men då måste vi också kunna förhålla oss till hur den påverkar t ex den privata sektorn, och välja när vi ska leda den privata sektorn mot en utveckling vi som samhälle vill ha. Som privatpersoner interagerar vi med den privata sektorn betydligt mer än vi interagerar med våra offentliga institutioner så för mig blir det helt obegripligt hur man i lagstiftningen skulle kunna bortse från dem som aktörer. Därmed inte sagt att man bör ha deras huvudsakligen konservativa och inspirationslösa förhållningssätt till saken.

Nu är det alltså fråga om en förordning i stället för ett direktiv, och som du säger skall förordningen tillämpas direkt av domstolarna utan att man behöver ta omvägen via olika implementeringar i nationell lag. Då förefaller det än mer angeläget att förordningens sakliga innebörd är klarlagd redan när den antas, eftersom det inte finns något utrymme för medlemsstaternas parlament att anpassa innebörden till nationell lag.

Jag begär inte heller att förordningen i detalj skall precisera vad som menas med "kommersiellt syfte" eller liknande; det är inte där problemet ligger. Jag efterlyser i stället ett klargörande av huruvida förekomsten av ett kommersiellt syfte alls spelar någon roll för vilka slag av personuppgiftsbehandling som förordningen är tänkt att reglera.

Mitt sista citat ur förslaget ovan, "a natural person is processing personal data without a commercial interest", är för övrigt inte ens menat att peka på avgränsningen uppåt, mot de kommersiella syftena, utan tvärtom att belysa bristen på avgränsning nedåt, mot behandling som inte alls skall regleras.

Finns det en sådan gräns? Är det den som avses med uttrycket "gainful interest" tidigare i förslaget? Det kan i så fall inte vara synonymt med "commercial interest", för då skulle förordningen bli självmotsägande: Man kan inte dels göra undantag från förordningen för fysiska personers icke-kommersiella behandling, dels skicka ut skriftliga varningar när samma fysiska personers icke-kommersiella behandling strider mot förordningen!

Alltså blir min slutsats att "gainful interest" inte kan betyda samma sak som "commercial interest", men vad betyder det då? "Vinstintresse"? Och hur skiljer sig "vinstintresse" från "kommersiellt intresse"? Att översätta till svenska hjälper till synes inte alls... EU-kommissionen måste väl ha haft en tanke med att använda två olika uttryck. Om denna tanke inte kan redovisas offentligt innan förslaget blir till beslut, då ser jag inte denna process som ett dugg bättre än hur ACTA-avtalets luddiga formuleringar har mejslats fram bakom stängda dörrar för att utan tolkningsanvisningar föreläggas lagstiftaren. Det är inget annat än en juridisk trojan.

Att jag ber om exempel är just för att kunna avgöra huruvida jag skall göra tummen upp eller ned för hela förslaget; vi har sett hur det gick förra gången (DSD/PUL) och jag tänker inte sätta min egen informationsfrihet på spel en gång till bara för nöjet att få tala om för näringslivet var skåpet skall stå. Vilka argument sagda näringsliv har mot förslaget för sin egen del blir då ointressant för mig; deras bästa kort blir i stället att peka på hur förordningen kommer att drabba mig själv som privatperson.

En sak uppskattar jag dock med förordningen, och det är att Datainspektionen förlorar större delen av (om inte rentav hela) sitt inflytande över hur lagen skall tolkas. Vissa nyanser i direktivet gick nämligen förlorade i "översättningen" till PUL, såsom när "personal or household" blev "privat" på svenska, DI tolkade det senare ordet som "hemligt" och förbjöd omnämnandet av fysiska personer i öppna diskussionsfora, något jag inte tror direktivet avsåg att göra...

Tror att du kan inta en mer optimistisk inställning. Europaparlamentet har för närvarande möjlighet att göra ändringar i förslaget som lagts på vårt bord av kommissionen. Jag (och mina kollegor) kan lägga så kallade ändringsförslag direkt i lagtexten.

Du invänder mot förordningens artikel 79, underparagraf 3(b):

3. In case of a first and non-intentional non-compliance with this Regulation, a warning
in writing may be given and no sanction imposed, where:
(a) a natural person is processing personal data without a commercial interest; or
(b) an enterprise or an organisation employing fewer than 250 persons is
processing personal data only as an activity ancillary to its main activities
.

Så vitt jag vet har också 250-personsregeln ifrågasatts. Varför skulle just denna storlek på databehandlande företag undantas från sanktioner? Varför har man inte istället valt att gå på konkurrenslagstiftningens (Förordning 139/2004) spärrar om omsättning (artikel 1, 139/2004)? Jag tycker att en rimligare formulering av art 79(3)b i den föreslagna förordningen skulle rikta sig mot en lämplig omsättningsgräns, t ex 5 miljoner kronor per år (beloppet är taget ur luften och vilar inte på någon rimlig marknadsanalys) och beräknat per "ekonomisk enhet" snarare än per "juridisk person" precis som i konkurrenslagstiftningen.

Din andra invändning, mot inledningspunkt 15 i den föreslagna förordningen:

This Regulation should not apply to processing of personal data by a natural person, which are exclusively personal or domestic, such as correspondence and the holding of addresses, and without any gainful interest and thus without any connection with a professional or commercial activity. The exemption should also not apply to controllers or processors which provide the means for processing personal data for such personal or domestic activities.

skulle vi i parlamentet enkelt kunna föreslå ändras till

This Regulation should not apply to processing of personal data by a natural person, which are exclusively personal or domestic, such as correspondence and the holding of addresses, and without any commercial interest and thus without any connection with a professional or commercial activity. The exemption should also not apply to controllers or processors which provide the means for processing personal data for such personal or domestic activities.

i vår behandling av lagförslaget. Det är det vår lagstiftande makt innebär. Däremot är vi på ett något för tidigt stadium av vår behandling av förslaget för att den sortens detaljerade förändringar ska ha kommit på tal. Vi är alltså fortfarande i det tidiga skedet av vår behandling, och vad gäller den slutgiltiga formuleringen av direktivet kan jag inte se att ordvalet mellan gainful och commercial kommer att utgöra den mest uppseendeväckande politiska striden.

Med detta sagt behöver vi i parlamentet, för att få stöd för våra förändringsförslag, bygga majoriteter i omröstningar. Det här förslaget kommer att behandlas av utskottet för mänskliga rättigheter och inrikesfrågor, där varken jag eller Christian Engström är ledamöter eller suppleanter. Jag är skuggföredragande i mitt utskott, industriutskottet, som ska utfärda ett yttrande. Vi har för närvarande inte ens spikat en tidtabell för vår behandling av förordningen(!). Det gör naturligtvis att alla mina förslag på förändringar presenterade ovan i dagsläget är ytterst spekulativa, men om du håller med mig om att en annorlunda gränsdragning än personalstyrkemåttet bör användas i artikel 79, och dessutom känner dig bekväm med att istället införa ett omsättningsmått, får du gärna hjälpa mig utarbeta ett underlag för vilken storlek det måttet i sådana fall skulle ha. Det vore av oerhörd hjälp för mig i mitt arbete.

Lägg till ny kommentar