Integritet och privatliv är grundläggande mänskliga rättigheter.

Vi behöver kunna forma våra egna identiteter och bestämma över oss själva för att delta i demokratiska samhällen och vara informerade konsumenter.

Skyddet för privatlivet är i dag svagt, men EU har föreslagit en lösning. EU:s dataskyddspaket stuvar om en del: makt flyttas från företag och stater till individer. Det gillar inte företagen eller regeringarna i EU:s medlemsländer. De gör allt de kan för att försvaga och urholka det lagförslag som ska garantera våra rättigheter.

"Var och en har rätt till skydd för sitt privat- och familjeliv, sitt hem och sin korrespondens."Europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna, artikel 8

Dessa rättigheter ska genomsyra lagstiftningen, men lagarna som skyddar oss mot integritetskränkningar är svaga. Tydliga regler, och straff mot dem som bryter lagen, saknas.

EU har föreslagit en lösning: dataskyddspaketet är ett lagförslag från januari 2012 som innehåller starkare skydd för privatpersoners integritet och privatliv, samtidigt som myndigheter och företag som inte bryr sig om integritet och privatliv får kännbara straff för det.

Myndigheter köper oftast register och IT-verktyg från företag, som inte är ansvariga för att deras produkter följer lagen. EU har föreslagit att företagen ska få ett större ansvar för människors privatliv, oavsett var i värdekedjan de tillhandahåller sin expertis.

"Var och en har rätt till skydd av de personuppgifter som rör honom eller henne.

Dessa uppgifter ska behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund. Var och en har rätt att få tillgång till insamlade uppgifter som rör honom eller henne och att få rättelse av dem."

Europeiska unionens stadga om de grundläggande rättigheterna, artikel 8
"Den offentliga makten ska utövas med respekt för alla människors lika värde och för den enskilda människans frihet och värdighet."Regeringsformen, 1 kap. 2 §

Dagens skydd brister

400X

Skillnaden mellan grundläggande rättigheter och upphovsrätt

När Google fanns skyldiga till intrång i privatlivet med sina nya slutanvändaravtal – som alla Googles kunder tvångsanslöts till 2012 – fick de runt 1,3 miljoner svenska kronor i böter i Frankrike. När Google tvingades göra en uppgörelse om upphovsrätt fick de betala 550 miljoner svenska kronor.

Upphovsrätten har alltså värderats mer än 400 gånger högre än grundläggande rättigheter för 60 miljoner franska medborgare. I dataskyddspaketet föreslås att maxstraffen ska bli 5% av årsomsättningen i böter för företag som inte skyddar privatliv.

70% av all behandling av personuppgifter har skett under undantaget för "berättigat intresse".

Det är när företagen får välja att deras intressen är viktigare än dina grundläggande rättigheter utan att berätta för dig.

Kommissionen och parlamentet har föreslagit att det åtgärdas och att företag får mindre utrymme att bestämma att dina grundläggande rättigheter inte spelar roll.

Databaser läcker

Alla personuppgifter som läggs på samma ställe, i samma databas, kan läcka ut. Det behöver inte vara avsiktligt, utan kan hända av misstag eller på grund av dålig mjukvara eller hårdvara.

Dataminimeringsprincipen innebär att man inte ska samla in mer uppgifter än man verkligen behöver, och då minskar också risken för läckor, intrång och mänskliga misstag.

"Vad vi ser i dag är att företag och stater har blivit väldigt mäktiga på individernas bekostnad."Bart Preneel, professor i kryptografi vid Leuvens universitet, Belgien. På Chaire Castex-seminarium i mars, 2014.

Du är spårad när du läser nyheterna

På en normal nyhetstidnings hemsida blir dina läsvanor och surfbeteenden spårade av runt 50 olika aktörer som du aldrig får veta namnet på eller förstå vilka de är.

EU föreslår att det ska bli lättare att förstå vem som spårar och kartlägget vilka ord vi förstår, och inte förstår, vem som kollar vilka artiklar vi läser, och vilka vi inte läser. Det ska också bli lättare att säga nej till att bli spårad om man inte vill bli spårad - privatlivet innebär att vi själva måste ha ett val.

Din identitet är till salu

I affärsvärlden och på myndigheter pratar man om identiteter som en ny valuta. Information om vem varje person är säljs mellan olika aktörer utan att personen i fråga får veta eller godkänna.

Det är en viktig princip att man alltid har rätt att veta vem man ingår avtal med, och vem som försöker påverka en. EU:s dataskyddspaket har innehållit bestämmelser som gör det tydligt att varje marknadsaktör som köper och säljer personuppgifter tydligt ska informera individen, och ge individen möjlighet att säga nej.

Det är oklart vem som köper din identitet

Ofta förstår inte ens företagen själva hur de byter, säljer och köper våra identiteter. EU:s dataskyddspaket innehöll, när det föreslogs från kommissionen, tydliga regler om revisionsåtgärder och att man ska veta vad man har gjort med, och hur man har spritt, information om privatpersoner och deras förehavanden.

Dessa regler har också kallats rätten att bli bortglömd eftersom privatpersonen har en rätt att begära att företaget ska ta bort informationen.

Ingen vill gå till domstol, ingen vet vad som gäller

Dataskyddsmyndigheter har varit dåliga på att gå till domstol, så vi har inte rättspraxis på vad som faktiskt gäller enligt lagen. EU:s dataskyddsförordning gör det enklare för Datainspektionen att göra utredningar, tillslag och gå till domstol.

Det här ökar möjligheten för lagen att faktiskt efterlevas, och stärker individers rättigheter. Den lag är ingen lag som inte upprätthålls.

Nya lagförslaget

Dataskyddspaketet består av två delar: en förordning som gäller alla utom polisen, och ett direktiv som gäller ingen utom polisen.

Båda sätter upp starka skydd för privatlivet. Båda har grunden i en stark europeisk rättstradition där rätten till en egen identitet – att själv få förstå vem man är och bestämma av vem man påverkas – också är grunden för demokratin. Det här är en svår värdering, för det är lättare för regeringar att styra människor som beter sig likartat. Det är också lättare att skapa masskonsumtion om alla vill samma sak.

En förordning blir aldrig nationell lag, så den kommer att gälla lika i alla EU-länder alltid. Det betyder dock inte att den inte påverkar – dataskyddsförordningen är den lag som i de flesta fall kommer att skydda ditt privatliv.

Sveriges regering har varit emot förordningen för att de gärna vill behålla sina 50 specialregisterlagar som inte skyddar integriteten särskilt bra.

Sveriges regering har varit emot direktivet – som behöver göras om till svensk lag när det träder i kraft – för att de vill bestämma över polisen själva.

Men både direktivet och förordningen hjälper till att sätta höga standardkrav. Om lagstiftningen är tydlig och klar i sina värderingar och sin utformning blir det lättare för tillverkare, uppfinnare och programmerare att förstå hur man gör produkter och tjänster som respekterar privatliv och integritet i lagens mening. Upphandlingar av IT-system, register, databaser och tjänster blir lättare för myndigheter, inklusive polisen, om standarderna är liknande på en större upphandlingsmarknad.

EU:s dataskyddspaket skyddar oss i vardagen genom att skapa pekpinnar för dem med mycket mer makt än oss som privatpersoner att skydda oss som privatpersoner när de använder IT.

"Förordningar har allmän giltighet. En förordning som har trätt i kraft gäller direkt och likadant i alla medlemsländer som en del av den nationella lagstiftningen. Det brukar kallas för att en förordning är direkt tillämplig. Den direkta tillämpligheten betyder att ett medlemsland, efter att en förordning har antagits, inte behöver göra någonting mer för att den ska gälla i medlemslandet. Men ett medlemsland får inte heller göra någonting som går emot det som står i förordningen. Om det visar sig att ett medlemslands nationella regler säger någonting annat än vad som sägs i en förordning är det förordningen som gäller." EU-upplysningen
"Direktiv innehåller istället mål för lagstiftningen som EU-länderna ska nå. Hur de väljer att nå målen avgör de själva. Det är då vanligt att Sverige ändrar eller stiftar nya lagar för att genomföra ett direktiv i den svenska lagstiftningen. Direktiv kan även genomföras genom myndigheters föreskrifter." EU-upplysningen

Vad som hänt och vad som kan hända

För att dataskyddspaketet ska bli lag i EU måste både parlamentet och medlemsländerna godkänna paketet. Innan de gör det får de ändra i lagtexten.

Parlamentet är klara sedan mars 2014: EU-parlamentet har röstat ja till ett stärkt dataskyddsdirektiv för polisen, och en något urvattnad dataskyddsförordning för alla andra. Medlemsländerna är däremot saktfärdiga.

Våren 2014 började Tysklands förbundskansler Angela Merkel ta tydligare ställningstaganden för en dataskyddsförordning. Medlemsländerna, kommissionen och parlamentet hoppas att dataskyddsförordningen kan antas under 2015.

Dataskyddsdirektivet riskerar att lämnas därhän. EU-parlamentet har varit tydliga med att både förordningen och direktivet ska behandlas tillsammans, men medlemsländerna vill inte.

Vad som händer med direktivet och förordningen beror på om och hur vi kan få våra politiker lokalt att bry sig om EU-politiken! Du kan göra stor skillnad genom att lyfta frågorna i din kommun, med en riksdagsledamot eller i din omgivning.

"När medlemsländerna förhandlar om texter som försvagar grundläggande rättigheter, har Rådet visat sig kunna agera mycket snabbt. Datalagringsdirektivet förhandlades på mindre än sex månader. Det är dags att Rådet visar att de kan agera med samma snabbhet och bestämdhet när de ska stärka grundläggande rättigheter. De här förslagen har redan diskuterats i 18 månader. Reformen är för viktig för att diskuteras i all oändlighet."Dåvarande kommissionär för grundläggande rättigheter, Viviane Reding. 6 juni 2013
"Det är anmärkningsvärt att det trots det erkänt stora behovet för särskild lagstiftning som garanterar integritet i arbetslivet, Finland är det enda [av EU-länderna] som har gjort en lag ägnad åt integritet i arbetslivet. I andra länder har liknande försök misslyckats. I Sverige diskuterades förslag både 2002 och 2009, men inget av dem ledde någonstans."EU-parlamentets LIBE-utskotts rapport om integritet i arbetslivet, 2013
"Regeringen ska i Sverige och EU verka för att stärka rättssäkerheten och den personliga integriteten, bland annat när det gäller datalagring. Datainspektionen och den parlamentariska integritetskommissionen ska göra en översyn av befintlig lagstiftning, också i ljuset av att allt fler privata aktörer samlar in information om konsumenter.”Stefan Löfven, Sveriges statsminister, i Regeringsförklaringen 3 oktober 2014

Sverige vs. dataskydd

Sveriges riksdag beslutade i mars 2012 att dataskyddspaketet strider mot subsidiaritetsprincipen, baserat på det underlag regeringen presenterat. Man menar att svenskt dataskydd sköts bäst från Sverige. Bara Sverige svenska lagar har.

Massor av speciallagar – inte för din skull

I dag i Sverige finns Personuppgiftslagen från 1998.1 Den kommer från EU:s dataskyddslagstiftning från 1995.2 Men Sverige har haft en personuppgiftslag sedan 1972,3 och den har efter dess kompletterats med runt 50 specialregisterlagar för bland annat Skatteverket,4 socialförsäkringar,5 vården,6 7 8 forskning,9 10 polisregister,11 12 13 och annat.14 15 Till detta kommer ett stort antal förordningar med specialföreskrifter om registerhantering på olika myndigheter.16 17 18 19 20 21

Sverige vill gärna ha kvar specialregisterlagarna, som man menar skapar ett högre skydd för personuppgifter i varje enskilt register. På Dataskydd.net menar vi att 50 specialregister för bort lagstiftningen från allmänna principer med individen i centrum till petimeterdiskussioner om reglering av register där individens rättigheter gärna eftersätts i detaljerna.

De här särskilda registerlagarna finns inte där för att privatpersoner ska förstå vilka rättigheter de har, eller för att individer ska få överblick över vem som vet vad, och vad det innebär för varje individ. De finns där som särreglering av myndigheter för myndigheternas skull.

#Riskbaserad modell

Sedan 1990-talet har svenska regeringen velat ha en "risk-baserad modell", där personuppgiftsbehandling i princip är tillåten så länge den inte innebär "risker".

Den "risk-baserade modellen" kommer från den amerikanska lagstiftningsprincipen, där särreglering av bankdata, sjukvårdsdata och annan data har använts tidigare. I EU har den risk-baserade modellen framhävts av Sverige, Storbritannien och amerikanska IT-företag. Europeiska företagslobbyister (banker, tidningar, reklambyråer, IT-företag) verkar inte, i sin kommunikation mot Europaparlamentet, ha hänvisat till riskbaserade modeller.

En risk-baserad modell grundas inte i föreställningen om att dataskydd och privatliv är en grundläggande rättighet, utan snarare i föreställningen om att dataskydd framför allt har med data- och IT-säkerhet att göra. Ett vanligt krav från de som förespråkar risk-baserade modeller är att barn ska få ett bättre skydd för sitt privatliv än vuxna. Detta har framförts av svenska regeringen i Bryssel, men är så klart dumt: antingen har alla privatliv, eller så har ingen privatliv. Särskilt barn, som inte får fatta egna beslut om vilka personuppgifter myndigheter ska lagra och på vilket sätt (de fattas av vårdnadshavarna) och som inte heller kan kontrollera sina vårdhavare, får ett sämre skydd ju sämre skyddet är för alla andra.

Om lagstiftningen, som svenska regeringen vill, ska förutsätta att den grundläggande rättigheten bara i särskilda säkerhetssammanhang ska vara grundläggande, uppnår den inte målet med självbestämmande, rätt till en egen identitet, och rätt till privatliv. På Dataskydd.net förstår vi att det här i grunden är en värderingsfråga, men tror att svenska regeringen egentligen menar att fortfarande acceptera Europeiska konventionen om mänskliga rättigheter och Europeiska unionens stadga för grundläggande rättigheter.

Du har inte rätt att få veta

I Bryssel verkar den svenska regeringen ha argumenterat för att varje individ inte ska få information direkt från den som registrerar och kartlägger individer. Man menar att individer över huvud taget inte ska informeras om vem som registerar och kartlägger individer.

Det är ett starkt avsteg från dataskyddspaketets principer, som sätter individen i centrum. Tecken på detta är bland annat att regeringen har föreslagit att tredjeparter inte ska behöva informera individer om de får tag på personuppgifterna från någon annan än individen.

Tredjeparter ska också få göra bedömningen om de anser att deras egna intressen väger tyngre än individens intresse av grundläggande rättigheter.

Om en tredjepart, utan tidigare kontakt med individen och som individen heller inte har rätt att känna till, gör en bedömning om att dess egna intressen väger tyngst har individen inga möjligheter att överklaga eller protestera – eftersom de per definition inte har någon rätt att få veta att detta ägt rum!

Dataskydd.net menar att det inte är så värdefullt att ha en lag grundad i allmänna undantag och specifika principer, och skulle hellre se att regeringen gjorde tvärtom.

Datainspektionen får inte heller veta

Svenska regeringen har motsatt sig att Datainspektionen ska få möjlighet att hantera konfidentiella uppgifter. Man menar att detta strider mot offentlighetsprincipen, men i själva verket är det vanligt att tillsynsmyndigheter kan göra utredningar. Konkurrensverket, polisen, åklagare, Ekobrottsmyndigheter och Skatteverket kan alla hantera konfidentiella uppgifter från företag i syfte att utreda företagens efterföljande av lagen.

Det är konstigt att offentlighetsprincipen åberopas som anledning till att en grundläggande rättighet inte ska kunna upprätthållas på ett adekvat sätt.

Dataskydd.net är i huvudsak positiva till att kommissionen föreslagit att Datainspektionen ska ges tillräckliga verktyg att se till att lagen efterlevs och har ingenting emot att Datainspektionen tilldelas samma verktyg som andra tillsynsmyndigheter har.

Bara Sverige svenska lagar har

Riksdagen och regeringen menar att bara Sverige borde få lagstifta om vad polisen ska göra med personuppgifter, eftersom polisen är ett svenskt ansvar.

Det är sant att EU inte får lagstifta om polisiär verksamhet i Sverige som sådan. Det är emellertid också sant att polisen upphandlar mjukvarusystem från europeiska och andra företag, som ofta säljs till fler polismyndigheter än bara den svenska.

Ett direktiv på europeisk nivå ställer upp gemensamma standarder för många polismyndigheter, vilket förenklar IT-upphandlingar.

Dataskydd.net har märkt att polisen tidigare haft svårt med IT-upphandlingar,1 och tror att bättre standardiseringar och förutsättningar för privat sektor kan hjälpa polisen att investera i bättre verktyg.

Polisen har också tidigare visat sig bryta mot bestämmelser om personuppgiftsskydd. Datainspektionen har vid flertalet tillfällen kritiserat polisen för att de brister i sitt personuppgiftsskydd.2 3 4 5 6 7 Trots det prioriteras inte arbetet med anpassning till nya, bättre regler för personuppgiftsskydd.8 Bättre möjligheter för privatpersoner och enskilda att kräva skadestånd, och en Datainspektion med bättre möjligheter att utreda överträdelser och gå till domstol kommer att öka respekten för privatlivet även i rättsväsendet.

Vad du kan göra

Om du vill hjälpa till just nu – prata med dina lokalpolitiker! Precis som demokratin börjar i gräsrötterna, börjar också ett starkt privatlivsskydd i gräsrötterna. Kommunpolitiker och landstingspolitiker skjuter ofta av osäkerhet upp IT-frågor till nationell nivå, som ligger långt från privatpersonerna. Men de påverkar ditt privatliv, och i slutändan också kommunernas och landstingens möjligheter och rättigheter att fatta egna beslut.

Lyft med dina bekanta, och vänner, och med organisationer i din kommun och med politiker att frågan är viktig. Se till exempel våra insändaruppslag och argumentationsövningar.

Nyhetsbrev

Prenumerera på vårt nyhetsbrev och få en summering varannan vecka av vad som hänt på dataskyddsfronten, vad som kommer att hända den närmaste tiden och aktuella tips på vad du kan göra.