Dataskyddsförordningen är en EU-lag som ersätter 1995 års Dataskyddsdirektiv. Direktivet från 1995 ligger till grund för den svenska Personuppgiftslagen. Europakommissionen presenterade lagförslaget i januari 20121. Den ingår i ett paket av två lagstiftningar: ett dataskyddsdirektiv och en dataskyddsförordning.  EU-parlamentet godkände två ändrade förslag i mars 2014. I december 2015 kom EU-parlamentet och EU:s ministerråd, där Sverige har representerats av justitieminister Morgan Johansson, överens om dataskyddsförordningens slutgiltiga lydnad. Texten förväntas publiceras i EU:s offentliga journal för lagstiftning framåt april eller maj 2016.

Dataskyddsförordningen ska gälla alla utom polisen. Myndigheter (utom polisen), företag och andra som befattar sig med privat information och personuppgifter behöver respektera de individuella rättigheter som dataskyddsförordningen föreslår.

Dataskyddsförordningen är uppbyggd kring fem grundläggande principer:
  1. Individen i centrum: Utgå ifrån att personuppgifter kommer from personen i fråga. En privatperson är alltid källan till uppgifter, information och slutsatser kring sig själv och sitt umgänge.

  2. Rätt att veta: Personer ska ha en rätt att veta vad som händer och vem som påverkar dem.

  3. Rätt att samtycka: Personer ska ha en rätt att godkänna vad som händer och vem som påverkar dem.

  4. Dataminimering: Man ska inte samla in mer data än vad som är absolut nödvändigt. Det minskar risken för stora dataläckor och ökar informationssäkerheten.

  5. Kännbara straff: Den som misslyckas med ovanstående ska hållas ekonomiskt ansvarig.

Utifrån dessa fyra principer, och tillägget med riktiga straff för de som inte vill verka enligt demokratiska principer, är hela dataskyddsförordningen skriven. Det är individen som ska stå i centrum, och som ska ges valmöjligheter och rättigheter. Individer ska informeras om vad som händer med deras privatliv, vem som tar del av deras privata uppgifter, om uppgifterna läcker och de har en rätt att förvänta sig att läckor åtgärdas.

Dessa principer kan fortfarande stärkas. På Dataskydd.NET har vi sammanfattat hur.

Bakgrunden till förslaget är som följer:

Dataskydd och integritet har lyfts, skyddats och utretts många gånger. Den första svenska utredningen om dataskydd för privatpersoner gjordes 19722. Under 1970- och 1980-talen diskuterades dataskydd i Europarådet, som ansvarar för Europeiska konventionen för mänskliga rättigheter. De antog en konvention till skydd för privatlivet 19813 EU-kommissionen föreslog gemensam lagstiftning för dataskydd redan i början av 1990-talet. Det resulterande Dataskyddsdirektivet blev till svensk lag 1998.

Efter ECHELON-skandalen i slutet av 1990-talet bad Europaparlamentet om en utvärdering och revision av dataskyddsdirektivet. Det var också snabbt uppenbart att vissa medlemsländer enbart gjorde minsta möjliga ansträngning för att uppfylla direktivets administrativa förpliktelser, men inte dess andemening.

Kommissionen började redan 2002 utredningar om hur lagstiftningen kunde uppdateras och göras bättre. Det visade sig finnas stora brister och skillnader mellan hur allvarligt medlemsländerna tagit på dataskyddslagstiftningen. Eftersom 2000-talet präglats av en brist på visioner kring mänskliga rättigheter både i den nationella och den internationella politiken blev det dock inte mycket av utredningen. Några expertgrupper tillsattes, men konkret handling för att fixa problemen med direktivet kom inte. Kommissionen tillsatte en till utredning 2009. Mellan 2002 och 2009 lanserade kommissionen också ett flaggskeppsprogram för identitet och integritet i digitala världar inom ramen för sin forskningsverksamhet.4

Det förslag som ligger på bordet nu har alltså utretts i lite över 10 år, i olika omgångar och i olika medlemsländer.

Vissa länder har gjort svaga tolkningar av dataskyddsdirektivet från 1995. På Irland har medborgarna sämre rätt till makt över sitt privatliv än vad vi har haft här i Sverige. Olika medlemsländer har valt att införa olika undantag i olika utsträckning och resultatet har blivit en rättslig situation som är väldigt svår för både privatpersoner och företag som vill vara verksamma i flera av EUs medlemsstater. I Sverige har vi även en stor mängd speciallagar som bara reglerar vissa typer av register. Det kan vara praktiskt för myndigheter, men är svårt för privatpersoner som inte kan hålla koll på alla olika lagar och vilka undantag de innebär från den grundläggande rätten till privatliv. Sverige har också en omfattande verksamhet kring registerforskning, och har under 1900-talets senare hälft byggt upp en stor administrativ apparat för insamling av uppgifter och statistisk om privatpersoner. Därför kommer inverkan av förordningen bli extra stor i Sverige.

Direktivet från 1995 kräver att medlemsstaterna har en särskild myndighet som kontrollerar att dataskyddslagarna upprätthålls. I Sverige heter den myndigheten Datainspektionen. I många andra länder har de myndigheter som fått ansvaret att se till att dataskyddslagarna upprätthålls inte fått tillräckligt med resurser. Dataskyddsmyndigheterna har sällan tillräckliga verktyg eller resurser att göra tillräckliga utredningar, och de går sällan till domstol. Dataskyddsförordningen föreslår att Datainspektionen ska tilldelas tillräckliga resurser, och tillräcklig kompetens, för att utöva sitt mandat. Datainspektionen ska dessutom få bättre möjligheter att göra utredningar mot de som tros bryta mot dataskyddslagstiftningen. Bland annat föreslås en sekretessplikt, liknande den som konkurrensverket har, för att Datainspektionen ska kunna utreda företag bättre.

Dataskyddsförordningen är ett av de i särklass hårdast lobbade lagförslagen genom tiderna

Efter att kommissionen lagt sitt förslag om nya dataskyddslagar i januari 2012 följde sex månader av stiltje. Mellan sommaren 2012 och hösten 2013 var dataskyddspaketet ett av de hårdast lobbade lagstiftningarna någonsin. Reklamindustrin, amerikansk IT-industri och annan industri som koordineras via amerikanska organ fyllde EU-parlamentarikernas tid både i Bryssel och på hemmaplan med evenemang. På Dataskydd.NET samlades vi ihop de lobbydokument som tillföll Piratpartiets ledamöter5. Genom hemsidorna lobbyplag.eu och ParlTrack kan man själv följa hur svenska EU-ledamöter som Anna-Maria Corazza Bildt, Anna Hedh och Cecilia Wikström gått i industrins ledband.

Sedan våren 2015 kan man också följa svenska regeringens handlingar i EU:s ministerråd via lobbyplag. Regeringen fick bland annat betyget "femte sämst för privatliv och dataskydd" genom lobbyplag:s granskning.