Kommentarer på regeringens åsikter

	Kommissionens text	Ministerrådets text
Artikel 1(3)	The free movement of personal data within the Union shall neither be restricted nor prohibited for reasons connected with the protection of individuals with regard to the processing of personal data.	The free movement of personal data within the Union shall neither be restricted nor prohibited for reasons connected with the protection of individuals with regard to the processing of personal data.
Artikel 80(a)		Processing of personal data and public access to official documents: Personal data in official documents held by a public authority or a public body may be disclosed by the authority or body in accordance with Union law or Member State law to which the public authority or body is subject in order to reconcile public access to such official documents with the right to the protection of personal data pursuant to this Regulation.
Artikel 80	(1) Member States shall provide for exemptions or derogations from the provisions on the general principles in Chapter II, the rights of the data subject in Chapter III, on controller and processor in Chapter IV, on the transfer of personal data to third countries and international or ganisations in Chapter V, the independent supervisory authorities in Chapter VI and on co-operation and consistency in Chapter VII for the processing of personal data carried out solely for journalistic purposes or the purpose of artistic or literary expression in order to reconcile the right to the protection of personal data with the rules governing freedom of expression.	(1) Member State law shall (…) reconcile the right to the protection of personal data pursuant to this Regulation with the right to freedom of expression, including the processing of personal data for journalistic purposes and the purposes of artistic or literary expression.
	(2) Each Member State shall notify to the Commission those provisions of its law which it has adopted pursuant to paragraph 1 by the date specified in Article 91(2) at the latest and, without delay, any subsequent amendment law or amendment affecting them.	(…)

Svenska regeringen invänder att privatliv och personuppgiftsskydd måste stå i relation till andra rättigheter, som offentlighetsprincipen och pressfriheten.

Genom att lägga till texten i artikel 80a återgiven ovan, samt utöka undantaget för journalistisk frihet i artikel 80, försämrar man starkt personuppgiftsskyddet och gör medborgarnas rättigheter mycket svagare.

I Sverige är problemet tydliggjort i vårens kontroverser om SPAR-registret: är det rimligt att offentliga myndigheter berikar sig på försäljning av personuppgifter som medborgare tvingats lämna till de offentliga institutionerna?

Regeringen upplever uppenbarligen att så är fallet, även fast det strider alldeles mot de flesta svenskars, och de flesta svenska politikers, intuitiva förståelse av vad som är rätt och rimligt för offentliga myndigheter att göra. Hela artikel 80(a) bör således skrotas, och det är skamligt att regeringen i Bryssel försvarar en svår brist i svenska offentliga institutioners ansvar gentemot mot de medborgare de har ansvar att skydda och i vars intressen de ska verka.

Svenska regeringen gör inga särskilda kommentarer på, men urholkar passivt, artikel 80 genom att skriva om den. Man upplever inte att det kommer behövas koordinering av sådana undantag på europeisk nivå i framtiden och har därför fråntagit kommissionen rätten att sammanställa medlemsstaternas olika förståelse av begreppen “journalistisk verksamhet”. Tidigare erfarenheter visar att registerförare som Facebook, och reklamföretag, försökt lansera sig som journalister. Direktreklamassociationer hänvisar ofta i sin extremt omfattande personuppgiftsbehandling, som enligt branschegna studier skapar obehag hos slutkonsumenter, hänvisar till journalism. Också register som hitta.se och eniro.se hänvisar till svenska tryckfrihetsförordningen när svenska medborgare begär att inte stå med i deras offentliga register. Datainspektionen tar emot tillräckligt mycket förfrågningar från oroliga medborgare om detta för att ha en FAQ om frågan på sin sajt. De klargör också att det inte under nuvarande lagstiftning finns några medel för medborgare att åtgärda det problemet. Länk

Den av Sveriges regering förespråkade artikel 80 kodifierar och cementerar det problemet. Dessutom blir det omöjligt för kommissionen och andra kontrollinstanser att vidta åtgärder mot tjänster och personuppgiftsbehandling som medborgare i praktiken har visat sig uppleva som obehagliga.

	Kommissionens text	Ministerrådets text
Artikel 4(7)	‘recipient’ means a natural or legal person, public authority, agency or any other body to which the personal data are disclosed;	‘recipient’ means a natural or legal person, public authority, agency or any other body other than the data subject, the data controller or the data processor to which the personal data are disclosed; however regulatory bodies and authorities which may receive personal data in the exercise of their official functions shall not be regarded as recipients;

Svenska regeringen menar att man behöver definiera tredjeparter som juridiska mottagare av personuppgifter.

Kommissionen har invänt att det inte är nödvändigt att i definitionen inkludera andra än registerförare, registerhållare och offentliga myndigheter.

Det här tyder på ett grundläggande filosofiskt problem i hur regeringen närmar sig förordningen: tanken är att varje medborgare ska ges rätt att själv få bestämma vem som har tillgång till dennes personuppgifter, och hur de används. Eftersom man ska lämna samtycke till, och ges kännedom om, insamling och användning av de egna personuppgifterna, är det rimligtvis bara privatpersonen själv och de som står i direkt kontakt med privatpersonen, som räknas som mottagare.

Om man godtar att varje aktör som rimligen kan betrakta sig som “tredjepart”, det vill säga utomstående de relationer privatpersonen själv har kännedom eller inblandning i, undergrävs hela poängen med att ha en lagstiftning som skyddar privatlivet på ett privatpersonsfokuserat sätt.

Här behöver man alltså välja: upplever man att personuppgifter är någonting som privatpersonen själv ska förfoga över, är regeringens förslag väldigt dumt. Om man inte upplever att privatpersoner själva ska ges rätt att ha kontroll över sitt eget privatliv och sina egna personuppgifter, behöver man förstås (precis som regeringen) inte vara så nogräknad. Det är i slutändan ett moraliskt, och ett politiskt, val.

	Kommissionens text	Ministerrådets text
Artikel 4(10)	‘genetic data’ means all data, of whatever type, concerning the characteristics of an individual which are inherited or acquired during early prenatal development;	‘genetic data’ means all personal data relating to the genetic characteristics of an individual that have been inherited or acquired, resulting from an analysis of a biological sample from the individual in question;
Artikel 9(1)	The processing of personal data, revealing race or ethnic origin, political opinions, religion or beliefs, trade-union membership, and the processing of genetic data or data concerning health or sex life or criminal convictions or related security measures shall be prohibited.	The processing of personal data, revealing racial or ethnic origin, political opinions, religion or philosophical beliefs, trade-union membership, and the processing of genetic data or data concerning health or sex life (…) shall be prohibited.

Svenska regeringen menar att definitionen på “genetiska data” i artikel 4.10 är för bred. Så bred att den till och med kan innefatta fotografier. Bortsett ifrån att denna tolkning är felaktig, eftersom biometriska data (som innefattar fotografier) definieras i nästa lagparagraf (artikel 4.11) har regeringens tankebanor en annan allvarlig konsekvens om man läser invändning i kombination med artikel 9 i förordningen.

Artikel 9 definierar olika former av särskilt känsliga data och hur de får behandlas av aktörer i samhället. Genetiska data inkluderas som en särskilt känslig form av data, medan biometriska data inte anses vara särskilt känslig.

Automatisk diskriminering är i sig ett stort problem: vi omgärdas av automatisk diskriminering på nätet och i våra offentliga miljöer. Det är ett kraftfullt verktyg som förstärker ibland negativa föreställningar om andra människor, och ibland orsakar särbehandling eller specifika omständigheter kring vissa grupper som är obehaglig. Om en förälder på en lågstadieskola har automatiskt filmats när denna köper lusmedel, kan det vara olustigt för andra föräldrar till barn vid samma lågstadieskola att motta reklam för lusmedel. Trots att syftet är gott med att avlusa barn. Det skapar social otrygghet och instabilitet när föräldrar eller ungdomar inte kan känna sig väl till mods med information de mottar. Den typiske svensken vill inte heller att deras tonårsdotters försök att beställa klamydiatest på nätet ska resultera i att alla andra tonårsföräldrar på skolan, eller skolans lärare, plötsligt får uppmaningar om att ta upp könssjukdomar med resten av eleverna på skolan. Vi vill att våra kollektiva system, skolan, vården och omsorgen, hanterar dessa samhällsproblem på ett transparent och öppet sätt. Inte genom att profilera och diskriminera baserat på enskilda individers handlingar. Det skapar otrygghet att inte veta om ens handlingar kommer att få utbredda kollektiva konsekvenser, och det skapar otrygghet att inte veta om man utsätts för information för att en skolkamrats föräldrar handlat på något särskilt sätt.

Vad svenska regeringen och andra ministrar faktiskt föreslagit som ändring på definitionen av genetiska data utesluter all information som inte är utplockad ur analys av biologiska prover och som inte relaterar till ärtliga drag. De har i praktiken begränsat genetisk data till analys av DNA via bioprover. I kombination med insnävningen av artikel 4.11 till att bara omfatta biometriska data som genomgått “specifik teknisk behandling” innebär det att man öppnar för frikostiga tolkningar av vad analys av blodprover, cellprover, fostervattensdiagnostik, information hämtad ur sjukjournaler om privatpersoner eller information om privatpersoner som framtagits via DNA-analys men vid ett senare tillfälle tillgängliggjorts i något annat format, t ex text eller bild, innbär.

Det här lämnar öppet för tolkningen att en uppgift varken är genetisk eller biometrisk om den har plockats från en databas utan att den som använder databasen själv har genomfört analysen av bioprovet. Vidareanvändning av genetiska uppgifter från privatpersoner innebär alltså ett totalt avhändande av makt från privatpersonen. Frågan är också om t ex någon får föra register över samtliga romer eller Downspatienter inom ett visst geografiskt område och sprida denna information via en webbsida. Under kommissionens version av artikel 4(10) är det svårt att se hur detta kan göras annat än statistiskt (“det bor 100 Downspatienter här”), men i ministerrådets formuleringar kan det också göras individuellt (“Elsa Abrahamsson kan finnas på denna adress”).

Även om sådana register inte behöver vara ett problem, är det uppenbart att vissa typer av registerförande skapar större spänningar och större oro i samhället än andra. Som lagstiftare behöver man ta ställning till om man tycker att den åtföljande oron och sociala problemen uppvägs av den större nyttan i att kunna föra sådana register utan laglig kontroll.

Det är tydligt att kommissionens formulering tar ett mycket starkare avstamp i stabila sociala miljöer och ett starkt privatliv.

	Kommissionens text	Ministerrådets text
Artikel 4(11)	‘biometric data’ means any data relating to the physical, physiological or behavioural characteristics of an individual which allow their unique identification, such as facial images, or dactyloscopic data;	‘biometric data’ means any personal data resulting from specific technical processing relating to the physical, physiological or behavioural characteristics of an individual which allows or confirms the unique identification of that individual, such as facial images, or dactyloscopic data;
Artikel 9(1)	The processing of personal data, revealing race or ethnic origin, political opinions, religion or beliefs, trade-union membership, and the processing of genetic data or data concerning health or sex life or criminal convictions or related security measures shall be prohibited.	The processing of personal data, revealing racial or ethnic origin, political opinions, religion or philosophical beliefs, trade-union membership, and the processing of genetic data or data concerning health or sex life (…) shall be prohibited.

Som nämnts i kommentarerna till Artikel 4(10), fotnot 28 innebär det tillagda kravet att bara data framtaget med “specifika tekniska processer” en stor begränsning av definitionens räckvidd jämfört med kommissionens ursprungliga förlag.

I det vidare är ministerrådets formulering att biometriska data bara kan utgöras av persondata lurig: persondata definieras i artikel 4.2 av kommissionens förslag som information som relaterar till en privatperson. Tanken är att definitionen i artikel 4.11 ska precisera under vilka omständigheter vilka data som helst kan börja antas vara biometriska data, som i sin tur är persondata. Genom att formulera sig så som ministerrådet föreslår har man rimligtvis uteslutit all data från “biometribegreppet” man inte redan på förhand kan säga relaterar till en privatperson. Det verkar onödigt att lägga in en sådan risk, och kommissionens ursprungsformulering tycks mer robust ur ett dataskyddsperspektiv.

Man önskar också begränsa identifieringsbegreppet bara till den typen av identifiering som berör enskilda personer - man anser alltså inte att automatisk igenkänning av människor som i stadsmiljöer svänger på armarna på ett särskilt sätt, och därför särbehandlas av t ex säkerhetsvakter, som en rimlig grupp att erbjuda lagskydd. Den grupp människor som rör sig genom stadsmiljöer, eller är i samma viktklass, eller som har samma skostorlek, räknas inte heller som en grupp som kan behöva ett starkare skydd mot diskriminerande behandling.

Återkoppling till artikel 4(10) i artikel 9 om särskilt känsliga uppgifter saknas. Det gör att automatiska bildigenkänningsverktyg i regeringens version av dataskyddsförordningen inte är ålagda med någon särskild form av begränsning mot automatisk diskriminering av enskilda privatpersoner eller grupper av privatpersoner som enskilda privatpersoner sällar sig till.

Det verkar som att ett problem med hur regeringen och andra regeringar vill formulera om förordningen är att de inte har klart för sig vad lagstiftningen ska uppnå och vilka målsättningar de vill ha.

Det är oerhört olyckligt att man inte förstår att grupper av människor, precis som enskilda privatpersoner, kan särbehandlas negativt. Detta trots att vi i Sverige har en mycket omfattande debatt om hur grupper med särskilda drag (övervikt, sjukdomar, invandrarbakgrund, vad det nu kan vara) utsätts för negativ särbehandling på grund av grupptillhörighet.

Det är tydligt att kommissionens formulering tar ett mycket starkare avstamp i stabila sociala miljöer och ett starkt privatliv.

	Kommissionens text	Ministerrådets text
Artikel 4(12a) (ny)	-	‘profiling’ means any form of automated processing of personal data intended to create or use a personal profile by evaluating personal aspects relating to a natural person, in particular the analysis and prediction of aspects concerning performance at work, economic situation, health, personal preferences, or interests, reliability or behaviour, location or movements;
Artikel 20(1)	very natural person shall have the right not to be subject to a measure which produces legal effects concerning this natural person or significantly affects this natural person, and which is based solely on automated processing intended to evaluate certain personal aspects relating to this natural person or to analyse or predict in particular the natural person’s performance at work, economic situation, location, health, personal preferences, reliability or behaviour.	Every data subject shall have the right not to be subject to a decision based solely on profiling which produces legal effects concerning him or her or severely affects him or her unless such processing:
		(a) is carried out in the course of the entering into, or performance of, a contract between the data subject and a data controller and suitable measures to safeguard the data subject’s legitimate interests have been adduced, such as the rights of the data subject to obtain human intervention on the part of the controller, to express his or her point of view, and to contest the decision; or
		(b) is (…) authorized by Union or Member State law to which the controller is subject and which also lays down suitable measures to safeguard the data subject’s legitimate interests; or
		© is based on the data subject’s explicit consent (…).

Regeringen invänder här mot en definition av “profilering” som ministerrådet föreslår att lägga till i artikel 4, istället för att behålla den tydligare text och formulering som kommissionen framställt i sitt ursprungliga förslag till artikel 20. Ministerrådet och svenska regeringen föreslår också stora förändringar av artikel 20 gentemot kommissionens förslag som huvudsakligen försvagar privatpersoners rättigheter att inte utsättas för diskriminerande åtgärder baserade på automatisk behandling av personuppgifter.

Profileringsdebatterna är en av de svåraste i dataskyddsförordningen eftersom direktreklamindustrin förlitar sig på beteendeinriktad och beteendeanpassad reklam. De är inte framgångsrika med konceptet, och många konsumenter finner det obehagligt att utsättas för profilering och riktad reklam utan sin vetskap. Direktreklamindustrin är arga för att dataskyddsförordningen i kommissionens tappning kräver att de först får godkännande från privatpersonen att behandla personuppgifterna med avseende på direktreklam. De vill inte behöva inhämta samtycke, och upplever inte heller att de ska behöva informera privatpersoner om att de samlar in och behandlar deras personuppgifter med det syftet.

Det enklaste sättet att förstå hur medborgares relation till direktreklam ser ut är att tänka över sin egen relation till NIX-registret eller titta på antalet “ej reklam”-skyltar som återfinns i ens eget grannskaps brevlådor. De flesta medborgare vill inte utsättas för ofrivillig reklam, varken i den fysiska världen eller på nätet. Det är därför orimligt genom lagstiftning tillåta reklamföretag att ändå göra stora databaser över väldigt integritetskränkande drag hos privatpersoner utan deras föregående samtycke. Dessa databaser kan hamna i fel händer, och de kan leda till diskriminering utan att privatpersonen eller personer i dennes närhet får veta. Nuvarande praxis i reklambranschen är att upprätta stora register över befolkningsgrupper och deras karaktäristika (man, över femtio, två tonårsbarn, sitter i rullstol, sjukledig, liberal, t ex) och sedan antingen använda eller låta bli att använda denna information. Frågan är om just reklamindustrin behöver den stödåtgärd i dataskyddsförordningen som de har lobbat våra regeringar att ge dem.

Den här informationen kan vidare leta sig till försäkringsbolag, som var fallet när mödravårdskliniken Mama Mia (länk) sålde uppgifter till försäkringsbolaget If. Men via vidare kartläggningar av enskildas bekantskapskretsar kan juridiska konsekvenser och andra konsekvenser uppstå även för privatpersoners bekantskapskretsar. Ett exempel från mobiltelefonbranschen är att man ger fördelaktiga erbjudanden om abonnemang till privatpersoner som är sådana att en av deras vänner precis bytt operatör: statistiskt är det sannolikt att om en person i en bekantskapskrets byter abonnemang, kommer andra också att göra det. Därför ger man fördelaktigare villkor till de i bekantskapskretsen som trots allt stannar kvar, samtidigt som privatpersonerna själva är omedvetna om att erbjudandena sker för att deras vänner betett sig på ett särskilt sätt. Forskningsprojekten EMSOC och SPION, samt EU:s flaggskeppsprogram FIDIS under ledning av den vid Vrije Universiteit van Brussel verksamma Mireille Hildebrandt, har gjort mycket forskning på detta område. Länk

Behandling av offentlig information från skolor och läroinstanser är en annan källa till oro för många: kommer vi att utsättas för automatiska typer av riskbedömningar från försäkringsbolag eller framtida anställare på grund av misstag vi begått under skoltiden? Vi har sällan varit så registrerade och kartlagda i minutiösa statistiska detaljer som nu, och varje statistisk prick riskerar att leda till juridiska, avtalsmässiga eller sociala konsekvenser till följd av automatisk behandling av datan. I Frankrike har denna profilerande utveckling gått särskilt långt, och skapat extra mycket oro. Länk

Regeringens omformulering, och ministerrådets behandling, av artikel 4.12a(ny) och artikel 20 visar att man inte inhämtat problemformuleringar från andra än reklamindustrin, och att man heller varken brytt sig om problemformulering eller målsättning. Precis som reklamindustrin verkar man skydda sig mot att medborgarna inte skulle samtycka till behandlingen: när privatpersoner inte frivilligt säger ja, träder tydligen Sveriges regering in och bestämmer att man säger ja i varje fall.

En olustig observation är att ministerrådet genomgående tar bort samtliga referenser till explicit samtycke, och rätten att informeras om vad som händer med ens personuppgifter, utom i just artikel 20 om profilering. Rätten till samtycke är en grundpelare i förordningen - den kodifierar en filosofi och ett liberalt, rättighetsbaserat tankesätt, som Sveriges regering för närvarande inte sällar sig till.

	Kommissionens text	Ministerrådets text
Artikel 6(1)(f)	processing is necessary for the purposes of the legitimate interests pursued by a controller, except where such interest s are overridden by the interests or fundamental rights and freedoms of the data subject which require protection of personal data, in particular where the data subject is a child. This shall not apply to processing carried out by public authorities in the performance of their tasks.	processing is necessary for the purposes of the legitimate interests pursued by the controller or by a controller to which the data are disclosed except where such interests are overridden by the interests or fundamental rights and freedoms of the data subject which require protection of personal data, in particular where the data subject is a child. This subparagraph shall not apply to processing carried out by public authorities in the exercise of their public duties.

I sin invändning till artikel 6(1)(f) menar regeringen att den så kallade “intresseavvägningen” behöver göras bredare. Intresseavvägningen är den juridiska bas i dataskyddsförordningen som tillåter ett företag eller en myndighet att bestämma sig för om de upplever att deras egna intressen väger tyngre än privatpersonens grundläggande rätt till privatliv. Om företaget eller myndigheter finner att de har egna intressen som är viktigare än grundläggande rättigheter får de sedan samla in och behandla data utan att informera privatpersonen om att de gör detta, på vilket sätt de gör detta, vilka konsekvenser det har eller hur det kommer sig att de drog slutsatsen att grundläggande rättigheter inte var lika viktiga som deras självuppfattade intressen.

Det regeringen framför allt menar är att den grupp aktörer som ska få utföra sådana intresseavvägningar ska utökas: det är inte bara de som står i direkt relation till privatpersonen som utan granskning eller informeringsplikt ska få uppleva sig som viktigare än grundläggande rättigheter, utan även alla de aktörer som kan tänkas stå i relation till någon av de aktörer som står i relation till privatpersonen. Resultatet blir en mycket dålig kontroll över personuppgifternas spridning och användning för privatpersonen. Möjlighet att överklaga intresseavvägningar är också mycket låg eftersom hela den juridiska basen förutsätter att den som gjort avvägningen inte behöver berätta att den gjort avvägningen eller hur.

Artikel 6(1)(f) har alltid i vår mening varit en underlig juridisk bas eftersom den hänvisar till ett “berättigat intresse”. Dataskyddslagstiftningen är den lagstiftning som definierar vilka intressen som ska vägas mot varandra och hur, och det är underligt att i samma lagstiftning som ska göra intresseavvägning inkludera en skrivelse som helt lämnar över avvägningen till någon annan än lagstiftaren.

	Kommissionens text	Ministerrådets text
Artikel 6(3a)	-	In order to ascertain whether a purpose of further processing is compatible with the one for which the data are initially collected, the controller shall take into account, inter alia:
		(a) any link between the purposes for which the data have been collected and the purposes of the intended further processing;
		(b) the context in which the data have been collected;
		© the nature of the personal data;
		(d) the possible consequences of the intended further processing for data subjects;
		(e) the existence of appropriate safeguards.

Den här invändningen rör något så underligt som en lista med saker som bestämmer vad som är ett överensstämmande syfte. Personuppgifter som har samlats in och behandlats av någon aktör får återanvändas för andra, överensstämmande syften utan att man inhämtar ett nytt samtycke för den nya behandlingen av personuppgifterna.

Det är ett helt brott med kommissionens ursprungliga formulering som klargjorde att när vidare behandling av personuppgifter inte ingick i den sortens behandling man fått samtycke för, så måste man ha en juridisk bas i någon av underparagraferna a-e av artikel 6(1). Kommissionen har alltså definierat vidare behandling negativt i enlighet med tanken om att man har rätt att få veta när ens personuppgifter samlas in, med vilket syfte och vad det innebär (hur behandlingen går till), medan Sveriges regering och ministerrådet i princip vill att vidarebehandling ska vara tillåtet.

Sveriges regering tycker inte att man behöver en uttömmande lista över överensstämmande syften. En öppen positiv formulering av begreppet “vidare behandling” ger ett sämre integritetsskydd än en sluten, uttömmande definition av “vidare behandling”. Att över huvud taget tillåta vidare behandling utan att privatpersonen ges en rimlig möjlighet att få reda på detta, invända och ge sitt samtycke är att försvaga privatpersonens rätt att få veta, och rätt att utöva kontroll över sitt eget liv och sina personuppgifter.

Det är tydligt att det starkaste integritetsskyddet och den bästa möjligheten till översikt och kontroll för alla privatpersoner ges av kommissionens ursprungliga formulering.

	Kommissionens text	Ministerrådets text
Artikel 8 (titel)	Processing of personal data of a child	Conditions applicable to child’s consent in relation to information society services

Sveriges regering har valt att göra en specifik reservation mot den artikel som ger extra starkt skydd för personuppgifter som tillhör barn.

Den här invändningen skulle ha kunnat vara vettig. Helst vill vi ju att alla i samhället ska få ett starkt privatlivsskydd. Kommissionens ursprungliga formulering gör gällande att personuppgifter från barn under 13 år inte ska samlas in och användas eller behandlas i en informationssamhällestjänst (en EU-term som innebär tjänster som utvecklats för plattformen internet men som inte inkluderar t ex enbart mjukvara, enbart hårdvara, eller internetuppkopplingar: tänk Skype, Facebook, Twitter, osv) utan målsmans föregående tillstånd.

Fotnötterna 64-67 är överlag intressanta: de flesta medlemsländer, inklusive svenska regeringen, verkar göra invändningar som utgår ifrån att barn ska ha ett starkt skydd för sitt privatliv, trots att det av uppenbara skäl är så att barnens privatliv inte kommer att bli starkare skyddat än någon annans. En av tankarna bakom artikel 20 är t ex att se till att vi inte påverkas negativt av behandlingen av personuppgifter som tillhör folk i vår omgivning (för barns räkning typiskt föräldrar, föräldrar till skolkamrater/dagiskamrater, skollärare, fritidsledare, osv), och där har man inte tänkt sig något starkt skydd. Vad det handlar om är istället att medlemsländernas regeringar finner det väldigt lätt att begränsa barns utrymme att ge samtycke, samtidigt som de vill frånta vuxna alla som helst möjligheter att ge samtycke.

	Kommissionens text	Ministerrådets text
Artikel 8(3)	The Commission shall be empowered to adopt delegated acts in accordance with Article 86 for the purpose of further specifying the criteria and requirements for the methods to obtain verifiable consent referred to in paragraph 1. In doing so, the Commission shall consider specific measures for micro, small and medium-sized enterprises.	The Commission shall be empowered to adopt delegated acts in accordance with Article 86 for the purpose of further specifying the criteria and requirements for the methods to obtain verifiable consent referred to in paragraph 1(…)

Här har svenska regeringen valt att göra en reservation mot en så kallad “delegerad akt”, ett beslut som kommissionen vill förbehålla sig rätten att förtydliga vid ett senare tillfälle.

Det behöver inte vara dåligt att begränsa kommissionens möjlighet att fatta juridiskt bindande beslut efter det att lagstiftarna tagit det beslut lagstiftarna vill ta.

	Kommissionens text	Ministerrådets text
Artikel 8(4)	The Commission may lay down standard forms for specific methods to obtain verifiable consent referred to in paragraph 1. Those implementing acts shall be adopted in accordance with the examination procedure referred to in Article 87(2).	The Commission may lay down standard forms for specific methods to obtain verifiable consent referred to in paragraph 1. Those implementing acts shall be adopted in accordance with the examination procedure referred to in Article 87(2)]

Här har svenska regeringen valt att göra en reservation mot en så kallad “delegerad akt”, ett beslut som kommissionen vill förbehålla sig rätten att förtydliga vid ett senare tillfälle.

Det behöver inte vara dåligt att begränsa kommissionens möjlighet att fatta juridiskt bindande beslut efter det att lagstiftarna tagit det beslut lagstiftarna vill ta.

	Kommissionens text	Ministerrådets text
Artikel 9(1)	The processing of personal data, revealing race or ethnic origin, political opinions, religion or beliefs, trade-union membership, and the processing of genetic data or data concerning health or sex life or criminal convictions or related security measures shall be prohibited.	The processing of personal data, revealing racial or ethnic origin, political opinions, religion or philosophical beliefs, trade-union membership, and the processing of genetic data or data concerning health or sex life (…) shall be prohibited.

Här invänder svenska regeringen mot definitionen av särskilt känsliga kategorier av data.

Medlemsländernas regeringar och svenska regeringen tycker inte att uppgifter om rättegångar, domar eller människor som är misstänkta för att ha begått brott är känsliga.

Sverige har invänt att listan är både för uttömmande och för exkluderande samtidigt. Det är konstigt, för man behöver inte gå längre tillbaka än 1960-talet för att kontrollera på vilka grunder Uppsalas rasbiologiska institut sorterade människor, eller vilka som utsattes för tvångssterilisering. Många av de dataskyddslagar och personuppgiftslagar vi har idag finns där av historiska anledningar som det kan vara vettigt att vi fortsätter ta lärdom av även idag.

I definitionen återkommer den från fotnot 28 ovan kända inkludering av genetisk data i området särskilt känsliga data. Anledningen till att man klassar genetisk data som särskilt känslig är för att den inte går att ändra: du kan aldrig förändra ett fingeravtryck, ditt DNA eller din iris på hela ditt liv. Många andra karaktärsdrag (ögonfärg, hårfärg, vikt, längd, namn) är föränderliga, men inte de genetiska datan.

	Kommissionens text	Ministerrådets text
Artikel 9(2)(e)	Paragraph 1 shall not apply where:	Paragraph 1 shall not apply where:
	(e) the processing relates to personal data which are manifestly made public by the data subject; or	(e) the processing relates to personal data which are manifestly made public by the data subject; or

Här ifrågasätter Sveriges regering vad det innebär att ha offentliggjort datan som ifrågasätts i fotnot 72. En privatperson behöver nämligen ha “manifestly made public” särskilt känslig information innan den får automatiskt samlas in och behandlas.

En gissning är att kommissionen har gjort denna ansats för att skydda privatpersoner från den situation att de omedvetet gör uppgifter tillgängliga för andra. Det är ett känt problem på nätet att användaravtal förändras ofta, och lite åt gången, och att information en användare av ett socialt nätverk till en början trodde skulle vara privat i slutändan ändå blir offentliggjord. Vår tolkning är att man inte automatiskt får samla in och behandla särskilt känsliga personuppgifter i de fall där det finns anledning att tro att privatpersonen inte avsiktligen gjorde personuppgifterna tillgängliga med syftet att de skulle spridas vind för våg. Att lista partitillhörighet på Facebook skulle kunna vara ett sånt exempel: vi förutsätter att våra Facebook-vänner kan se detta, men har egentligen inte lagt datan på facebook i syfte att få hem reklam i brevlådan som passar vår partitillhörighet. Vi kanske också berättar att vi har känningar av en gammal ledskada på Google+, men utgår inte ifrån att detta ska få negativa konsekvenser för vår sjukförsäkring.

För mer om den omöjliga situation slutanvändare på internet befinner sig i angående avtalsvillkoren för offentliggörande av deras personuppgifter och insamlandet/användandet av deras personuppgifter kan man läsa “The Cost of Reading Privacy Policies” av Aleecia M McDonald och Lorrie Faith Cranor. (Länk).

	Kommissionens text	Ministerrådets text
Artikel 9(2a)	-	Processing of data relating to criminal convictions and offences or related security measures may only be carried out either under the control of official authority or when the processing is necessary for compliance with an (…) obligation to which a controller is subject, or for the performance of a task carried out for important reasons of public interest (…), and in so far as authorised by Union law or Member State law providing for adequate safeguards for the rights and freedoms of data subjects . A complete register of criminal convictions may be kept only under the control of official authority.

Här ifrågasätter Sverige att man inte inkluderar civilrättsliga mål i det allmänna förbudet mot behandling av data som rör domslut och domar. Kommissionen har begränsat förbudet till straffrättsliga “mål och fall”, vilket föranleder tron att även fall där bara misstanke uppstått inkluderas.

Det borde vara ett känt problem i Sverige att det är väldigt lätt att automatiskt samla in stora mängder data om dömda brottslingar. Dessa kan sedan i olika sammanhang hängas ut på ett sätt som är mindre önskvärt för dem själva, deras familjer, grannar, tidigare grannar eller andra i deras närhet. En enkel problemformulering vore den att en tidigare dömd medborgare som nu har återanpassat sig till samhället flyttar till en ny ort, men att ett företag då upplyser grannarna om att det är dags att börja grannsamverkan eller skaffa nya inbrottslarm. Trots att påverkan är subtil, blir konsekvensen att hela bostadsområden får en större känsla av otrygghet bara av att en person flyttar dit. Det ännu lurigare är att varken personen som sådan, eller grannarna, behöver förstå vad som är orsaken till att man plötsligt utsätts för mycket information om varför man lever i en osäker miljö. En statlig offentlig utredning från 2009 påvisade också att det finns ett stort problem i arbetslivet för arbetssökanden, som ofta tvingas lämna ut uppgifter om sig själva från belastningsregistret som egentligen är konfidentiella. Detta hål i den svenska lagstiftningen har inte täppts till, och det är tydligt att regeringen inte heller täpper till hålet här. SOU 2009:44

Värt att notera är att man får samla in och sammanställa databaser över straffrättsliga domar och fall enligt den föreslagna artikeln från ministerrådet. Man får bara inte behandla datan. Det gör att det svenska arbetsrättsliga problemet med arbetssökandens svaga ställning gentemot arbetsgivare identifierat i SOU 2009:44 kvarstår.

	Kommissionens text	Ministerrådets text
Artikel 10	If the data processed by a controller do not permit the controller to identify a natural person, the controller shall not be obliged to acquire additional information in order to identify the data subject for the sole purpose of complying with any provision of this Regulation.	(1) If the purposes for which a controller processes personal data do not require the identification of a data subject by the controller, the controller shall not be obliged to acquire (…) additional information nor to engage in additional processing in order to identify the data subject for the sole purpose of complying with (…) this Regulation.
	-	(2) Where, in such cases the controller is not in a position to identify the data subject, articles 15, 16, 17, 17a, 17b and 18 (…) do not apply except where the data subject, for the purpose of exercising his or her rights under these articles, provides additional information enabling his or her identification

Här har ministerrådet föreslagit ett finurligt tillägg, som gör att de allmänna principerna i dataskyddsförordningen om hur man ska hantera personuppgifter fortfarande blir tillämpliga även när en specifik privatperson inte går att identifiera. Det är väldigt vettigt om man vill bygga robusta datahanteringssystem. Tanken är att bara de rättigheter som gäller handlingar en privatperson kan utföra gentemot en registerförare inte ska gälla i dessa fall, annat än om privatpersonen explicit ber om det. Kommissionens ursprungliga förslag till text innebär istället att man tappar alla sina rättigheter, och att registerföraren likaledes blir av med alla sina skyldigheter, så fort det inte går att unikt identifiera en privatperson utifrån ett specifikt set med information.

Anledningen till att förmodligen är vettigt att i allmänhet tillämpa dataskyddsförordningens principer på all insamlad data är att det är osannolikt att det kommer utvecklas lika många typer av databaser som databaser som sådana. Vi vill av säkerhetsskäl, privatlivsskäl och kontinuitetsskäl för IT-tjänster att så många databaser som möjligt ska vara så säkra, robusta och tillförlitliga som möjligt, även när de inte innehåller personuppgifter som identifierar privatpersoner.

I ett större perspektiv kan förstås också många små, osäkra databaser med vilje eller via databasläckor (i stort sett oundvikliga - om man har upprättat en databas ska man utgå ifrån att den läcker) samköras vilket gör att man med hjälp av någon av de luddigare juridiska baserna i artikel 6 eller någon annan av undantagsformuleringarna i andra artiklar bara skulle kunna kringgå förordningens andemening genom att samla ihop information från flera källor och sedan profilera, diskriminera eller orsaka andra negativa och obehagliga konsekvenser för privatpersoner, som dessa inte gillar.

Sveriges regering har föga förvånande gjort invändningar mot det här integritetsskyddande tillägget. Grundtanken i regeringens arbete med dataskyddsförordningen är fel: man har missat att själva poängen är att privatpersoner själva ska ges möjlighet till inflytande och kontroll över vad som händer med det egna privatlivet. Där kommissionen satt självbestämmanderätten i centrum, har regeringen istället fokuserat på att ta bort självbestämmandet.

	Kommissionens text	Ministerrådets text
Artikel 11	(1) The controller shall have transparent and easily accessible policies with regard to the processing of personal data and for the exercise of data subjects’ rights.	(…)
	(2) The controller shall provide any information and any communication relating to the processing of personal data to the data subject in an intelligible form, using clear and plain language, adapted to the data subject, in particular for any information addressed specifically to a child.	(…)
Artikel 12	(1) The controller shall establish procedures for providing the information referred to in Article 14 and for the exercise of the rights of data subjects referred to in Article 13 and Articles 15 to 19. The controller shall provide in particular mechanisms for facilitating the request for the actions referred to in Article 13 and Articles 15 to 19. Where personal data are processed by automated means, the controller shall also provide means for requests to be made electronically.	The controller shall take appropriate measures to provide any information referred to in Articles 14 and 14a and any communication under Articles 15 to 19 and 32 relating to the processing of personal data to the data subject in an intelligible and easily accessible form, using clear and plain language . The information shall be provided in writing, or where appropriate, electronically or by other means.
	-	(1a) The controller shall facilitate the exercise of data subject rights under Articles 15 to 19.
	(2) The controller shall inform the data subject without delay and, at the latest within one month of receipt of the request, whether or not any action has been taken pursuant to Article 13 and Articles 15 to 19 and shall provide the requested information. This period may be prolonged for a further month, if several data subjects exercise their rights and their cooperation is necessary to a reasonable extent to prevent an unnecessary and disproportionate effort on the part of the controller. The information shall be given in writing. Where the data subject makes the request in electronic form, the information shall be provided in electronic form, unless otherwise requested by the data subject.	(2) The controller shall provide the information referred to in Articles 14a and 15 and information on action taken on a request under Articles 16 to 19 to the data subject without undue delay and at the latest within one month of receipt of the request (…). This period may be extended for a further two months when necessary, taking into account the complexity of the request and the number of requests. Where the extended period applies, the data subject shall be informed within one month of receipt of the request of the reasons for the delay
	(3) If the controller refuses to take action on the request of the data subject, the controller shall inform the data subject of the reasons for the refusal and on the possibilities of lodging a complaint to the supervisory authority and seeking a judicial remedy.	(3) If the controller does not take action on the request of the data subject, the controller shall inform the data subject without delay and at the latest within one month of receipt of the request of the reasons for not taking action and on the possibility of lodging a complaint to a supervisory authority (…).
	(4) The information and the actions taken on requests referred to in paragraph 1 shall be free of charge. Where requests are manifestly excessive, in particular because of their repetitive character, the controller may charge a fee for providing the information or taking the action requested, or the controller may not take the action requested. In that case, the controller shall bear the burden of proving the manifestly excessive character of the request.	(4) Information provided under Articles 14 and 14a (…) and any communication under Articles 16 to 19 and 32 shall be provided free of charge. Where requests from a data subject are (…)manifestly unfounded or excessive, in particular because of their repetitive character, the controller (…) may refuse to act on the request. In that case, the controller shall bear the burden of demonstrating the manifestly unfounded or excessive character of the request.
	-	(4a) Without prejudice to Article 10 , where the controller has reasonable doubts concerning the identity of the individual making the request referred to in Articles 15 to 19, the controller may request the provision of additional information necessary to confirm the identity of 94the data subject .
	(5) The Commission shall be empowered to a dopt delegated acts in accordance with Article 86 for the purpose of further specifying the criteria and conditions for the manifestly excessive requests and the fees referred to in paragraph 4.	(…)
	(6) The Commission may lay down standard forms and specifying standard procedures for the communication referred to in paragraph 2, including the electronic format. In doing so, the Commission shall take the appropriate measures for micro, small and medium-sized enterprises. Those implementing acts shall be adopted in accordance with the examination procedure referred to in Article 87(2).	(…)

Sveriges regering har gjort en invändning mot den nya artikel 12.

Ministerrådet har inte lyckats med något större konststycke när de försökt slå ihop artikel 11 (krav att det ska finhnas tillgänglig, lättbegriplig information om databehandling och datainsamling) i artikel 12.

Artikel 12 har i ministerrådets version urvattnats rejält. Många krav på att information ska tillhandahållas, har bytts ut mot att information får eller bör tillhandahållas i den utsträckning detta är möjligt. Man har tagit bort kraven på att information ska tillhandahållas i elektronisk form när behandlingen utförs automatiskt.

Ministerrådet föreslår också att registerförare ska ges mycket bättre möjligheter att vägra tillhandahålla information. Detta kan enkelt ses genom det utökade antal bivillkor och förmildrande omständigheter under vilka registerförare kan vägra uppge information till privatpersoner. Att delges information utan kostnad ska till exempel vara förbehållet vissa specifika fall i ministerrådets text, samtidigt som registerföraren själv får avgöra när en privatpersons förfrågan är “ogrundad”.

Det framgår inte av läckan om Sverige tycker att detta är bra eller dåligt.

	Kommissionens text	Ministerrådets text
Artikel 14	Information to the data subject	Information to be provided where the data are collected from the data subject
	(1) Where personal data relating to a data subject are collected, the controller shall provide the data subject with at least the following information:	(1) Where personal data relating to a data subject are collected from the data subject, the controller shall (…), at the time when personal data are obtained, provide the data subject with the following information:
	(a) the identity and the contact details of the controller and, if any, of the controller’s representative and of the data protection officer;	(a) the identity and the contact details of the controller and, if any, of the controller’s representative; the controller may also include the contact details of the data protection officer, if any;
	(b) the purposes of the processing for which the personal data are intended, including the contract terms and general conditions where the processing is based on point (b) of Article 6(1) and the legitimate interests pursued by the controller where the processing is based on point (f) of Article 6(1);	(b) the purposes of the processing for which the personal data are intended (…);
	© the period for which the personal data will be stored;	Borttaget
	(d) the existence of the right to request from the controller access to and rectification or erasure of the personal data concerning the data subject or to object to the processing of such personal data;	-
	(e) the right to lodge a complaint to the supervisory authority and the contact details of the supervisory authority;
	(f) the recipients or categories of recipients of the personal data;	-
	(g) where applicable, that the controller intends to transfer to a third country or international organisation a nd on the level of protection afforded by that third country or international organisation by reference to an adequacy decision by the Commission;	-
	(h) any further information necessary to guarantee fair processing in respect of the data subject, having regard to the specific circumstances in which the personal data are collected.	-
	-	(1a) In addition to the information referred to in paragraph 1, the controller shall provide the data subject with such further information necessary to ensure fair and transparent processing in respect of the data subject , having regard to the specific circumstances and context in which the personal data are processed :
	-	(a) (…);
	-	(b) where the processing is based on point (f) of Article 6(1), the legitimate interests pursued by the controller:
	-	© the recipients or categories of recipients of the personal data;
	-	(d) where applicable, that the controller intends to transfer personal data to a recipient in a third country or international organisation;
	-	(e) the existence of the right to request from the controller access to and rectification or erasure of the personal data or restriction of processing of personal data concerning the data subject and to object to the processing of such personal data (…) ;
	-	(f) the right to lodge a complaint to a supervisory authority (…);
	-	(g) whether the provision of personal data is a statutory or contractual requirement, or a requirement necessary to enter into a contract, as well as the possible consequences of failure to provide such data; and
	-	(h) the existence of profiling referred to in Article 20(1) and (3) and information concerning (…) the profiling, as well as the significance and the envisaged consequences of such profiling of the data subject.
	(2) Where the personal data are collected from the data subject, the controller shall inform the data subject, in addition to the information referred to in paragraph 1, whether the provision of personal data is obligatory or voluntary, as well as the possible consequences of failure to provide such data.	(…)
	(3) Where the personal data are not collected from the data subject, the controller shall inform the data subject, in addition to the information referred to in paragraph 1, from which source the personal data originate.	(…)
	(4) The controller shall provide the information referred to in paragraphs 1, 2 and 3: (a) at the time when the personal data are obtained from the data subject; or (b) where the personal data are not collected from the data subject, at the time of the recording or with in a reasonable period after the collection, having regard to the specific circumstances in which the data are collected or otherwise processed, or, if a disclosure to another recipient is envisaged, and at the latest when the data are first disclosed.	(…)
	(5) Paragraphs 1 to 4 shall not apply, where: (a) the data subject has already the information referred to in paragraphs 1, 2 and 3; or (b) the data are not collected from the data subject and the provision of such information proves impossible or would involve a disproportionate effort; or © the data are not collected from the data subject and recording or disclosure is expressly laid down by law; or (d) the data are not collected from the data subject and the provision of such information will impair the rights and freedoms of others, as defined in Union law or Member State law in accordance with Article 21.	(5) Paragraphs 1 and 1a shall not apply where and insofar as the data subject already has the information.
	(6) In the case referred to in point (b) of paragraph 5, the controller shall provide appropriate measures to protect the data subject’s legitimate interests.	(…)
	Delegated act	(…)
	Implemented act	(…)
Artikel 14a	-	(1) Where personal data have not been obtained from the data subject, the controller shall provide the data subject with the following information: (a) the identity and the contact details of the controller and, if any, of the controller’s representative; the controller may also include the contact details of the data protection officer, if any; (b) the purposes of the processing for which the personal data are intended.
	-	(2) In addition to the information referred to in paragraph 1, the controller shall provide the data subject with such further information necessary to ensure fair and transparent processing in respect of the data subject, having regard to the specific circumstances and context in which the personal data are processed (…):
	-	(a) the categories of personal data concerned;
	-	(b) (…)
	-	© where the processing is based on point (f) of Article 6(1), the legitimate interests pursued by the controller;
	-	(d) the recipients or categories of recipients of the personal data;
	-	(e) the existence of the right to request from the controller access to and rectification or erasure of the personal data concerning the data subject and to object to the processing of such personal data (…);
	-	(f) the right to lodge a complaint to a supervisory authority (…);
	-	(g) the origin of the personal data, unless the data originate from publicly accessible sources ;
	-	(h) the existence of profiling referred to in Article 20(1) and (3) and information concerning (…) the profiling, as well as the significance and the envisaged consequences of such profiling of the data subject.
	-	(3) The controller shall provide the information referred to in paragraphs 1 and 21:
	-	(a) within a reasonable period after obtaining the data, having regard to the specific circumstances in which the data are processed, or
	-	(b) if a disclosure to another recipient is envisaged, at the latest when the data are first disclosed.
	-	(4) Paragraphs 1 to 3 shall not apply where and insofar as:
	-	(a) the data subject already has the information; or
	-	(b) the provision of such information in particular when processing personal data for historical, statistical or scientific purposesproves impossible or would involve a disproportionate effort or is likely to render impossible or to seriously impair the achievement of such purposes; in such cases the controller shall take appropriate measures to protect the data subject’s legitimate interests, for example by using pseudonymous data; or
	-	© obtaining or disclosure is expressly laid down by Union or Member State law to which the controller is subject, which provides appropriate measures to protect the data subject’s legitimate interests ; or
	-	(d) where the data originate from publicly available sources; or
	-	(e) where the data must remain confidential in accordance with a legal provision in Union or Member State law or because of the overriding legitimate interests of another person.

Här återkommer skillnaden mellan Sveriges regerings mening och den grundläggande filosofin i förordningen: i kommissionens text utgår textförfattaren ifrån att privatpersonen har en direkt relation till den som samlar in och behandlar personuppgifter. Det är privatpersonens rätt och möjlighet att bestämma över sina personuppgifter som står i centrum.

Sveriges regering har gjort en invändning mot den nya artikelrubriken. Ministerrådet har stuvat om rejält i texterna så att man får en extra artikel som bara hanterar de fall där privatperson inte står i relation till den som samlat in och behandlat personuppgifterna.

Resultatet är en mycket svagare och sämre rätt för privatpersoner att informeras om hur deras personuppgifter samlas in, av vem, under vilka omständigheter och för vilka syften insamlingen sker. Det här är ingen liten skitsak utan ett tecken på att medlemsländernas regeringar inte ställer privatpersoners grundläggande fri- och rättigheter i centrum för lagen.

Omskrivningarna innebär heller inga förtydliganden av texten. Den ursprungliga formuleringen från kommissionen etablerar att artikeln täcker information som ska tillhandahållas en privatperson. Den nya formuleringen föreslår istället att informationen ska tillhandahållas privatpersonen där personuppgifterna samlas från privatpersonen.

Texten i artikeln har vidare bearbetats av ministerrådet så att information om registerföraren ska tillhandahållas när personuppgifter samlas in. Särskilt i nätbaserade miljöer kan det förstås vara svårt att precisera både “var” och “när”, och det är svårt att överblicka om den nya texten innebär att det gäller att både “var” och “när” är känt för att informationen om registerföraren ska komma privatpersonen till godo. Det är också otydligt om privatpersonen kommer att ha möjlighet att finna information efter eller från en annan plats än den där personuppgifterna samlades in.

I det vidare har i stort sett samtliga informationskrav gjorts svagare, oavsett om privatpersonen själv har haft möjlighet att bestämma att uppgifterna ska samlas in och av vem eller inte.

Artikelns första paragraf har alltså gjorts obegriplig i omfattning, och vad den sedermera omfattar har gjorts svagare. Vi har inte regeringar som värdesätter vår rätt att hållas underrättade om vad som händer med oss och våra anhöriga.

	Kommissionens text	Ministerrådets text
Artikel 14	Information to the data subject	Information to be provided where the data are collected from the data subject
	(1) Where personal data relating to a data subject are collected, the controller shall provide the data subject with at least the following information:	(1) Where personal data relating to a data subject are collected from the data subject, the controller shall (…), at the time when personal data are obtained, provide the data subject with the following information:
	(h) any further information necessary to guarantee fair processing in respect of the data subject, having regard to the specific circumstances in which the personal data are collected.	-
	-	(1a) In addition to the information referred to in paragraph 1, the controller shall provide the data subject with such further information necessary to ensure fair and transparent processing in respect of the data subject , having regard to the specific circumstances and context in which the personal data are processed :
	-	(h) the existence of profiling referred to in Article 20(1) and (3) and information concerning (…) the profiling, as well as the significance and the envisaged consequences of such profiling of the data subject.

Sveriges regering invänder mot att man ska ha en rätt att veta huruvida man profileras i artikel 14(1a)(h).

Man kan tänka sig att Sveriges regering tänker sig att artikel 4(12a)(NY) och artikel 20 på egen hand tar hand om informationskraven. Det är tydligt att ministerrådets förändringar och försämringar av privatpersoners rättigheter i förordningen är så omfattande och många att det blir svårt att hålla reda på vilka politiska och ideologiska mål regeringarna, inklusive den svenska, har med texten.

	Kommissionens text	Ministerrådets text
Artikel 14a	-	(1) Where personal data have not been obtained from the data subject, the controller shall provide the data subject with the following information: (a) the identity and the contact details of the controller and, if any, of the controller’s representative; the controller may also include the contact details of the data protection officer, if any; (b) the purposes of the processing for which the personal data are intended.
	-	(4) Paragraphs 1 to 3 shall not apply where and insofar as:
	-	(d) where the data originate from publicly available sources; or

Den här invändningen har gjorts till en av ministerrådet föreslagen ny artikel som bara rör personuppgifter som inte hämtats direkt från privatpersonen.

Sveriges regeringen understryker att det är mycket viktigt att man inte behöver informera privatpersoner om att man behandlar deras personuppgifter när personuppgifterna har inhämtats från öppna källor. Jämför kommentarer till artikel 9(2)(e) (fotnot 75), artikel 17 (fotnot 138) och artikel 23(2) (fotnot 195).

Det är av olika skäl olyckligt att man inte bättre definierar “offentliggjort”, eftersom det på nätet är väldigt svårt att avgöra vad som är offentliggjort. Flera civilrättsliga problem, som diskriminering, näthat, förföljelse på nätet och mobbning, skulle dessutom kunna lösas ganska enkelt och utanför straffrättsliga komplikationer (som i lagen om kränkande fotografering) om man var mer noggrann med hur man formulerade undantaget för personuppgifter inhämtade från öppna källor. (Föreslagen länk till publikt.se artikeln om kränkande fotografering)

Man bör tänka på att slutanvändare av särskilt informationsbaserade tjänster har väldigt dåliga möjligheter att kontrollera vad stora och starkt centraliserade tjänster gör med deras personuppgifter. Vi har inte möjlighet att över tid förutsätta att saker vi inte gjort offentliga, förblir ej offentliggjorda. Många av de sociologiska och samhälleliga effekter vi försöker undvika - diskriminering, profilering, förföljelse - är dessutom sådana att det enkelt kan utföras också med av misstag offentliggjord information.

De fall vi istället vill bevara - journalistisk verksamhet, artistisk och konstnärlig verksamhet, och annat, är istället sådana att de enkelt formuleras som undantag i artikel 80. Vilket kommissionen också har gjort.

Att ministerrådet och Sveriges regering valt att skriva en helt ny artikel för de fall där personuppgifter inhämtas från andra än privatpersonen själv är en stark indikation på att man inte ser privatpersonens egna kontroll över hur personuppgifter sprids som centralt för lagstiftningen.

	Kommissionens text	Ministerrådets text
Artikel 15	Right of access for the data subject	Right of access for the data subject
	(1) The data subject shall have the right to obtain from the controller at any time, on request, confirmation as to whether or not personal data relating to the data subject are being processed. Where such personal data are being processed, the controller shall provide the following information:	(1) The data subject shall have the right to obtain from the controller at reasonable intervals and free of charge (…) confirmation as to whether or not personal data concerning him or her are being processed and where such personal data are being processed access to the data and the following information:
	(a) the purposes of the processing;	(a) the purposes of the processing;
	(b) the categories of personal data concerned;	(…)
	© the recipients or categories of recipients to whom the personal data are to be or have been disclosed, in particular to recipients in third countries;	© the recipients or categories of recipients to whom the personal data are to be or have been or will be disclosed, in particular to recipients in third countries;
	(d) the period for which the personal data will be stored;	(d) where possible, the envisaged period for which the personal data will be stored;
	(e) the existence of the right to request from the controller rectification or erasure of personal data concerning the data subject or to object to the processing of such personal data;	(e) the existence of the right to request from the controller rectification or erasure of personal data concerning the data subject or to object to the processing of such personal data;
	(f) the right to lodge a complaint to the supervisory authority and the contact details of the supervisory authority;	(f) the right to lodge a complaint to a supervisory authority (…);
	(g) communication of the personal data undergoing processing and of any available information as to their source;	(g) where the personal data are not collected from the data subject, any available information as to their source;
	(h) the significance and envisaged consequences of such processing, at least in the case of measures referred to in Article 20.	(h) in the case of decisions referred to in Article 20, knowledge of the logic involved in any automated data processing as well as the significance and envisaged consequences of such processing.
	-	(1a) Where personal data are transferred to a third country or to an international organisation, the data subject shall have the right to be informed of the appropriate safeguards pursuant to Article 42 relating to the transfer .
	-	(1b) On request and without an excessive charge, the controller shall provide a copy of the personal data undergoing processing to the data subject.
	(2) The data subject shall have the right to obtain from the controller communication of the personal data undergoing processing. Where the data subject makes the request in electronic form, the information shall be provided in electronic form, unless otherwise requested by the data subject.	(2) Where personal data supplied by the data subject are processed by automated means and in a structured and commonly used format, the controller shall, on request and without an excessive charge, provide a copy of the data concerning the data subject in that format to the data subject .
	-	(2a) The right to obtain a copy referred to in paragraphs 1b and 2 shall not apply where such copy cannot be provided without disclosing personal data of other data subjects.
	Delegated act	(…)
	Implemented act	(…)
	-	(5) [The rights provided for in this Article do not apply when data are processed only for historical, statistical, or scientific purposes and the conditions in Article 83(1a) are met].

Sveriges regering har gjort en invändning.

Artikeln rör information som privatpersoner har rätt att få om hur personuppgifter behandlas och på sin egen begäran.

Det är inte tydligt varför Sveriges regering har gjort invändningar. Ministerrådets omarbetning innebär dels försvagningar av rättigheter för privatpersoner (registerföraren behöver bara tala om hur länge man upplever sig vilja spara datan, om detta är möjligt) och dels förstärkande (man har rätt att få veta de logiska processerna) jämfört med dagens lagstiftning.

Tillägget i artikel 15(5) innebär att man inte har någon rätt att få reda på om man står med i en medicinsk databas och databas som används till statistik, historik eller vetenskap. Den mesta databehandlingen som sker överallt i hela samhället är statistisk - den här formuleringen innebär till exempel att man inte automatiskt har rätt att få reda på om man ingår i en databas som utgör grund för någon typ av marknadsundersökning som är statistisk. I EU har vi stor erfarenhet av undantag som i specifika medlemsländer och av specifika skäl tolkas orimligt brett, på ett oförutsägbart sätt för alla medborgare och andra medlemsländer. Det finns många goda skäl, som är fastställda genom nästan 20 års utredningar på medlemslandsnivå och på europeisk nivå, att inte formulera undantag brett och lättvindigt.

Detta har ministerrådet inte tagit fasta på i sin behandling av förordningen.

	Kommissionens text	Ministerrådets text
Artikel 15(1)	Right of access for the data subject	Right of access for the data subject
	The data subject shall have the right to obtain from the controller at any time, on request, confirmation as to whether or not personal data relating to the data subject are being processed. Where such personal data are being processed, the controller shall provide the following information:	(1) The data subject shall have the right to obtain from the controller at reasonable intervals and free of charge (…) confirmation as to whether or not personal data concerning him or her are being processed and where such personal data are being processed access to the data and the following information:

Sveriges regering har gjort invändningen att den information man har rätt att få tillgång till enligt artikel 15 bara ska vara gratis i ett år.

Det är värt att nämna att informationen i artikel 15 mestadels rör information om registerföraren (vart den är, vem den är, vilken data den samlar in, osv). Emellertid har ministerrådet också föreslagit att man i artikel 15 ska ha den rättighet som annars kodifierades av kommissionen i artikel 18 - rätten att få tillbaka sin data i ett vanligt använt format. Detta återkommer vi till i behandling av artikel 18 (fotnot 159 och fotnot 182).

	Kommissionens text	Ministerrådets text
Artikel 17	Right to be forgotten and to erasure	Right to be forgotten and to erasure
	(1) The data subject shall have the right to obtain from the controller the erasure of personal data relating to them and the abstention from further dissemination of such data, especially in relation to personal data which are made available by the data subject while he or she was a child, where one of the following grounds applies:	(1) The (…) controller shall have the obligation to erase personal data without undue delay and the data subject shall have the right to obtain the erasure of personal data without undue delay where one of the following grounds applies:
	(a) the data are no longer necessary in relation to the purposes for which they were collected or otherwise processed;	(a) the data are no longer necessary in relation to the purposes for which they were collected or otherwise processed;
	(b) the data subject withdraws consent on which the processing is based according to point (a) of Article 6(1), or when the storage period consented to has expired, and where there is no other legal ground for the processing of the data;	(b) the data subject withdraws consent on which the processing is based according to point (a) of Article 6(1) or point (a) of Article 9(2) and (…) there is no other legal ground for the processing of the data;
	© the data subject objects to the processing of personal data pursuant to Article 19;	© the data subject objects to the processing of personal data pursuant to Article 19(1) and there are no overriding legitimate grounds for the processing or the data subject objects to the processing of personal data pursuant to Article 19(2);
	(d) the processing of the data does not comply with this Regulation for other reasons.	(d) the data have been unlawfully processed;
	-	(e) the data have to be erased for compliance with a legal obligation to which the controller is subject.
	(2) Where the controller referred to in paragraph 1 has made the personal data public, it shall take all reasonable steps, including technical measures, in relation to data for the publication of which the controller is responsible, to inform third parties which are processing such data, that a data subject requests them to erase any links to, or copy or replication of that personal data. Where the controller has authorised a third party publication of personal data, the controller shall be consider ed responsible for that publication.	(…)
	-	(2a) Where the controller (…) has made the personal data public and is obliged pursuant to paragraph 1 to erase the data, the controller, taking account of available technology and the cost of implementation , shall take (…) reasonable steps , including technical measures, (…) to inform controllers which are processing the data, that a data subject requests them to erase any links to, or copy or replication of that personal data.
	(3) The controller shall carry out the erasure without delay, except to the extent that the retention of the personal data is necessary:	(3) Paragraphs 1 and 2a shall not apply to the extent that (…) processing of the personal data is necessary:
	(a) for exercising the right of freedom of expression in accordance with Article 80	(a) for exercising the right of freedom of expression in accordance with Article 80
	-	(b) for compliance with a legal obligation to process the personal data by Union or Member State law to which the controller is subject or for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller;
	(b) for reasons of public interest in the area of public health in accordance with Article 81;	© for reasons of public interest in the area of public health in accordance with Article 81;
	© for historical, statistical and scientific research purposes in accordance with Article 83;	(d) for historical, statistical and scientific (…) purposes in accordance with Article 83;
	(d) for compliance with a legal obligation to retain the personal data by Union or Member State law to which the controller is subject; Member State laws shall meet an objective of public interest, respect the essence of the right to the protection of personal data and be proportionate to the legitimate aim pursued;	(…)
	(e) in the cases referred to in paragraph 4.	(…)
	-	(g) for the establishment, exercise or defence of legal claims.
	(4) Instead of erasure, the controller shall restrict processing of personal data where:	(…)
	(a) their accuracy is contested by the data subject, for a period enabling the controller to verify the accuracy of the data;	(…)
	(b) the controller no longer needs the personal data for the accomplishment of its task but they have to be maintained for purposes of proof;	(…)
	© the processing is unlawful and the data subject opposes their erasure and requests the restriction of their use instead;	(…)
	(d) the data subject requests to transmit the personal data into another automated processing system in accordance with Article 18(2).	(…)
	(5) Personal data referred to in paragraph 4 may, with the exception of storage, only be processed for purposes of proof, or with the data subject’s consent, or for the protection of the rights of another natural or legal person or for an objective of public interest.	(…)
	(6) Where processing of personal data is restricted pursuant to paragraph 4, the controller shall inform the data subject before lifting the restriction on processing.	(…)
	(7) The controller shall implement mechanisms to ensure that the time limits established for the erasure of personal data and/or for a periodic review of the need for the storage of the data are observed.	(…)
	(8) Where the erasure is carried out, the controller shall not otherwise process such personal data.	(…)
	Delegated act	(…)

Sveriges regering har gjort två huvudsakliga invändningar: rätten att få sin data borttagen går inte att applicera i offentlig sektor (vi som medborgare har ingen principiell rätt att få vår data borttagen, t ex medicinska journaler), samt en oro för att europeiska företags konkurrenskraft ska minska om de tvingas ta bort personuppgifter när privatpersoner ber om det.

Invändningarna har lagts till den mycket omdiskuterade artikel 17, om rätten att bli bortglömd. Rätten att få sin data borttagen ur en registerförares register har vi visserligen redan haft i EU sedan dataskyddsdirektivet 1995/46/EG (länk), och Personuppgiftslagen (PUL) 1998 (länk), men det har inte hindrat väldigt stark kritik mot rätten att bli bortglömd.

Den mest kontroversiella delen av kommissionens artikel 17 torde vara artikel 17(2) där det efterfrågas att registerförare söker få borttaget också personuppgifter som spritts vidare till tredjeparter i den mån detta är rimligt och möjligt. Särskilt i fall där registerföraren själv har godkänt offentliggörande av en privatpersons personuppgifter via en tredjepart ska registerföraren själv ses som juridiskt ansvarig för den vidarespridningen och offentliggörandet.

I tekniska termer går detta inte att uppnå - data som är spridd förblir sprid (se bland annat European Network and Information Security Agency, länk). Därför innehåller kommissionens text den förmildrande omständigheten “alla rimliga åtgärder”.

Ett av mardrömsscenarierna som målats upp är tanken att en stor plattform för auktioner på nätet ska tvingas söka upp alla forum där information om auktionen har spridits. Egentligen är det säkert ingen fara, eftersom det knappast är varken rimligt eller möjligt att förvänta sig, ens med tekniska hjälpmedel.

Ett annat mardrömsscenarium är all pressfriheten kommer att självdö, när kritiska texter plötsligt måste avlägsnas så fort en granskad offentlig person ber om det. Inte heller detta verkar vara någon större fara i kommissionens grundtext, eftersom man har en tydlig återkoppling till undantagen för journaistisk, konstnärlig och litterär verksamhet i artikel 80.

Det är viktigt att förstå att det man gör när man invänder mot artikel 17(2), vilket många stora tunga amerikanska industrier har gjort, invänder man mot domstolars förmåga att göra rimliga avvägningar. Vi har ingen allmän anledning i EU att tro att våra utbildade domare och rättsliga experter är så puckade eller lågutbildade att de inte själva kan avgöra vad som är rimligt och möjligt. Tvärtom säger erfarenheten av rättsliga system att det är dåligt att inte lämna ett visst tolkningsutrymme för domstolar, eftersom de då inte kan anpassa sig efter vad som är just rimligt och möjligt i specifika fall. Det här är en alldeles synnerligt skadlig del av amerikansk lobbying som nästlat sig in i den europeiska politiken och på sikt kan skada mycket av den juridiska sammanhållning vi har i germanska och napoleonska rättstraditioner.

En annan viktig restriktion på artikel 17(2) är att den gäller personuppgifter som offentliggjorts av registerföraren. Egentligen skulle alltså artikel 17(2) kunna utgöra ett ganska effektivt skydd mot de ständigt förändrande slutanvändaravtal som tidigare problematiserats ovan i anslutning till fotnot 75 och fotnot 117.

För mer om den omöjliga situation slutanvändare på internet befinner sig i angående avtalsvillkoren för offentliggörande av deras personuppgifter och insamlandet/användandet av deras personuppgifter kan man läsa “The Cost of Reading Privacy Policies” av Aleecia M McDonald och Lorrie Faith Cranor. (Länk).

	Kommissionens text	Ministerrådets text
Artikel 17(2a)	-	(2a) Where the controller (…) has made the personal data public and is obliged pursuant to paragraph 1 to erase the data, the controller, taking account of available technology and the cost of implementation , shall take (…) reasonable steps , including technical measures, (…) to inform controllers which are processing the data, that a data subject requests them to erase any links to, or copy or replication of that personal data.

Här har Sveriges regering arbetat vidare på rätten att få sina personuppgifter borttagna.

Den rätt att få sin data borttagen, att bli bortglömd, som återfinns i artikel 17(1) och 17(2) i kommissionens grundtext omvandlas i fotnot 145 till en rätt att få sina personuppgifter borttagna ur registerförares databaser medelst registerförarens rimliga ansträngning.

Den kommentar som gavs till fotnot 138 (artikel 17) är väldigt viktig så den upprepas här:

Det är viktigt att förstå att det man gör när man invänder mot artikel 17(2), vilket många stora tunga amerikanska industrier har gjort, invänder man mot domstolars förmåga att göra rimliga avvägningar. Vi har ingen allmän anledning i EU att tro att våra utbildade domare och rättsliga experter är så puckade eller lågutbildade att de inte själva kan avgöra vad som är rimligt och möjligt. Tvärtom säger erfarenheten av rättsliga system att det är dåligt att inte lämna ett visst tolkningsutrymme för domstolar, eftersom de då inte kan anpassa sig efter vad som är just rimligt och möjligt i specifika fall. Det här är en alldeles synnerligt skadlig del av amerikansk lobbying som nästlat sig in i den europeiska politiken och på sikt kan skada mycket av den juridiska sammanhållning vi har i germanska och napoleonska rättstraditioner.

	Kommissionens text	Ministerrådets text
Artikel 17(2a)	-	(2a) Where the controller (…) has made the personal data public and is obliged pursuant to paragraph 1 to erase the data, the controller, taking account of available technology and the cost of implementation , shall take (…) reasonable steps , including technical measures, (…) to inform controllers which are processing the data, that a data subject requests them to erase any links to, or copy or replication of that personal data.

Sveriges regeringen ifrågasätter om det är rimligt att begära att registerförare genomgår en rimlig ansträngning för att ta bort personuppgifter de själva har spridit.

I alla fall är det så det ser ut i ministerrådets text.

Det kan nämnas att rätten att bli bortglömd har ifrågasatts också på tekniska grunder: det är svårt att helt bli av med information som har spridits i det offentliga rummet på nätet, om inte omöjligt (se t ex länk). Men att kommissionens förslag faktiskt innebär ett sådant krav är en onödigt teknisk tolkning av texten: den mesta lagstiftning är inte skriven för att den följs i hundra procent av alla tänkbara fall, utan just för att den inte följs. Vi behöver inga gemensamma sätt att lösa konflikter som inte uppstår. I det här fallet är det tämligen uppenbart att också kommissionen har avsett det som är rimligt, och det som är möjligt, att förvänta sig. Att många debattörer misstänkliggjort artikel 17(2) väldigt högljutt har förmodligen snarare att göra med ett mycket lågt förtroende för europeiska dataskyddsmyndigheter att utöva gott omdöme i sitt tillsynsarbete, eller ett likaledes lågt förtroende för domstolar att göra rimliga avvägningar - ett lågt förtroende vi har anledning att ifrågasätta.

Samtidigt är den kommentar som gavs till fotnot 138 och fotnot 145 väldigt viktig så den upprepas här:

Det är viktigt att förstå att det man gör när man invänder mot artikel 17(2), vilket många stora tunga amerikanska industrier har gjort, invänder man mot domstolars förmåga att göra rimliga avvägningar. Vi har ingen allmän anledning i EU att tro att våra utbildade domare och rättsliga experter är så puckade eller lågutbildade att de inte själva kan avgöra vad som är rimligt och möjligt. Tvärtom säger erfarenheten av rättsliga system att det är dåligt att inte lämna ett visst tolkningsutrymme för domstolar, eftersom de då inte kan anpassa sig efter vad som är just rimligt och möjligt i specifika fall. Det här är en alldeles synnerligt skadlig del av amerikansk lobbying som nästlat sig in i den europeiska politiken och på sikt kan skada mycket av den juridiska sammanhållning vi har i germanska och napoleonska rättstraditioner.

	Kommissionens text	Ministerrådets text
Artikel 18	Right to data portability	Right to data portability
	(1) The data subject shall have the right, where personal data are processed by electronic means and in a structured and commonly used format, to obtain from the controller a copy of data undergoing processing in an electronic and structured format which is commonly used and allows for further use by the data subject.	(…)
	(2) Where the data subject has provided the personal data and the processing is based on consent or on a contract, the data subject shall have the right to transmit those personal data and any other information provided by the data subject and retained by an automated processing system, into another one, in an electronic format which is commonly used, without hindrance from the controller from whom the personal data are withdrawn.	(2) Where the data subject has provided personal data and the processing, (…) based on consent or on a contract, is carried on in an automated processing system provided by an information society service, the data subject shall have the right to withdraw these data in a form which permits the data subject to transmit them into another automated processing system without hindrance from the controller from whom the personal data are withdrawn .
	-	(2a) The right referred to in paragraph 2 shall be without prejudice to intellectual property rights.
	(3) The Commission may specify the electronic format referred to in paragraph 1 and the technical standards, modalities and procedures for the transmission of personal data pursuant to paragraph 2. Those implementing acts shall be adopted in accordance with the examination procedure referred to in Article 87(2).	The Commission may specify (…) the technical standards, modalities and procedures for the transmission of personal data pursuant to paragraph 2. Those implementing acts shall be adopted in accordance with the examination procedure referred to in Article 87(2).]
	-	(4) [The rights provided for in this Article do not apply when data are processed only for historical, statistical, or scientific purposes and the conditions in Article 83(1a) are met .]

Kommissionen definierade i sitt förslag till dataskyddsförordning en artikel 18 om rätt till dataportabilitet.

Denna rättighet grundar sig i tanken att en samling av personuppgifter om en privatperson utgör en identitet. Den information din bank har om dig är alltså din “bankidentitet” - den personlighet du antar när du utför bankärenden. Du kan ha en annan typ av identitet eller personlighet när du umgås med vänner på ett socialt nätverk, eller loggar in på ett slutet forum för bokfantaster. Rätten till dataportabilitet innebär din rätt att kontrollera din identitet, och överföra den mellan olika tjänster. Den etablerar en möjlighet för dig att byta tjänsteleverantör, men behålla din identitet, så länge din identitet är upprättad och bevarad i ett vanligt filformat.

Sveriges regering har ifrågasatt om rätten till dataportabilitet inte snarare ska ses som en konkurrensfråga eller en immaterialrättslig fråga. Dessa frågor har uppstått för att särskilt banker inte tycker det är kul när människor byter bank, så de vill gärna att privatpersoners bankidentiteter ska ses som deras immateriella egendom. De har nått framgång med den här retoriken, till synes även hos svenska regeringen.

I slutändan handlar det om hur man ser på människors rätt att kontrollera sina identiteter. Om man ser “bankidentiteten” varje medborgare intar gentemot sin bank som en konkurrensfråga, har privatpersonens “bankidentitet” reducerats till en fråga om relationen mellan två banker, snarare om förhållandet mellan kunden och banken. Det handlar inte om privatpersoners relation med sin tjänsteleverantör utan tjänsteleverantörens förhållande med en annan tjänsteleverantör.

Om man väljer ett immaterialrättsligt perspektiv har man gjort “bankidentiteten” till en egendomsrätt som tillfaller banken. Det vill säga, man låter tjänsteleverantören äga den identitet konsumenten antar gentemot tjänsteleverantören.

Kommissionen väljer att se privatpersonens egna identitet som någonting som tillfaller privatpersonen, oavsett i vilket sammanhang denna identitet uppstår. Detta är förmodligen den intuitivt mest lockande framställning för de flesta.

Sveriges regering utforskar om privatpersonens identitet i själva verket inte bara är ett marknadsinstrument som bör hanteras utan privatpersonens egna inblandning. Man har plockat bort privatpersonen ur betänkligheterna kring hur syftesspecifika identiteter ska hanteras. Eventuellt kan det också tolkas som att man i högre utsträckning ser privatpersoners identiteter som köpesobjekt mellan parter frikopplade från privatpersonen. De flesta individer vill nog inte uppfatta sig själva, eller någon av sina identiteter, på det sättet, men av den anledningen är det förstås viktigt att märka att Sveriges regering också verkar ha ställt sig bakom andra formuleringar som gör det väldigt svårt för privatpersoner att få veta om man behandlas så av en eller flera tjänsteleverantörer man har kontakt med.

Sveriges regering har också framställt att dataportabilitet kommer att utgöra en administrativ börda. Detta grundar sig i framför allt brittiska studier som menar att det kostar mycket att tillgängliggöra information och skapa datasystem och databaser som fungerar med varandra. Kommissionens ursprungliga formulering i artikel 18 tar hand om det problemet på ett elegant sätt: portabiliteten ska bara gälla om att uppgifterna finns i ett vanligt format. Att formatet ska vara just vanligt (“commonly used”) måste tolkas som att det krävs att många ska använda samma format för att några förpliktelser ska åläggas tjänsteleverantören. Om uppgifterna bara finns i ett format som inte är använt av särskilt många har artikel 18 ingen verkan. Artikel 18 tvingar alltså inte fram några investeringar host företag, och innebär inget tvång att övergå på ett vanligt filformat om man inte redan använder ett vanligt filformat.

Med det sagt finns det många anledningar för företag att vilja använda vanliga, öppna filformat. Då är det en konkurrensfråga, och en standardiseringsfråga. Dataskyddsförordningen är dock varken konkurrensrätt eller standardiseringsrätt, och därför bör ansträngningar och insatser för att hjälpa industrin med sådana investeringar inte ske i den här lagstiftningen.

	Kommissionens text	Ministerrådets text
Artikel 18(3)	(3) The Commission may specify the electronic format referred to in paragraph 1 and the technical standards, modalities and procedures for the transmission of personal data pursuant to paragraph 2. Those implementing acts shall be adopted in accordance with the examination procedure referred to in Article 87(2).	The Commission may specify (…) the technical standards, modalities and procedures for the transmission of personal data pursuant to paragraph 2. Those implementing acts shall be adopted in accordance with the examination procedure referred to in Article 87(2).]

Sveriges regering gör en invändning mot att kommissionen förbehåller sig rätten att definiera vidare tekniska specifikationer och processer för att åstadkomma målen i artikel 18(1).

	Kommissionens text	Ministerrådets text
Artikel 19(1)	(1) The data subject shall have the right to object, on grounds relating to their particular situation, at any time to the processing of personal data which is based on points (d), (e) and (f) of Article 6(1), unless the controller demonstrates compelling legitimate grounds for the processing which override the interests or fundamental rights and freedoms of the data subject.	(1) The data subject shall have the right to object, on reasoned grounds relating to his or her particular situation, at any time to the processing of personal data concerning him or her which is based on point (…) (f) of Article 6(1) ; the personal data shall no longer be processed unless the controller demonstrates (…) legitimate grounds for the processing which override the interests or (…) rights and freedoms of the data subject

Sveriges regering invänder mot att en registerförare ska ha bevisbördan för att vidare behandling av personuppgifter är nödvändig trots att privatpersonen invänder mot vidare behandling av personuppgifterna.

Sveriges regering frågar kommissionen om huruvida privatpersoner också ska ges möjligheten att begära att behandling utförd av tredjeparter upphör. Lägg märke till att ministerrådets funderingar kring artikel 19 måste ses i förhållande till förändringar de gjort i andra artiklar: Sveriges regering ställer egentligen en icke-fråga, eftersom ministerrådet har fråntagit privatpersonen att ta reda på vilka eventuella tredjeparter som faktiskt samlar in och behandlar personuppgifter.

En av de stora problem vi har med personuppgiftshantering idag är att vi får reda på när saker vi instinktivt upplever är fel bara vid olyckshändelser, läckor, visselblåsning och av misstag. När vi får reda på saker som vi upplever är fel, visar det sig ofta att den instinktivt kränkande handlingen visst varit laglig, men dold i en avtalsrättslig lösning som vi inte haft möjlighet att överblicka. Det gör att vi dels inte får begriplig information om vad som händer, och bara av misstag får reda på om vi tycker det är fel, och när vi väl får veta har vi varken resurser eller lagstöd för att upprättelse. Det här skapar otrygghet och ovisshet, och det rimliga är egentligen att regeringen försöker förhindra allt för stor insamling och behandling av tredjeparter. Det bästa är att människor får veta vad som händer, för det är tråkigt och jobbigt för alla att behöva hantera chockartiklar om privatlivskriser var och varannan vecka.

	Kommissionens text	Ministerrådets text
Artikel 19(1a)	-	(1a) (…) Where an objection is upheld pursuant to paragraph 1 (…), the controller shall no longer (…) process the personal data concerned except for the establishment, exercise or defence of legal claims

Sveriges regering invänder att man måste få fortsätta behandla personuppgifter även efter att en privatperson begärt att personuppgifterna inte längre ska behandlas eller hållas kvar, i de fall där registerföraren behöver göra detta för att visa att de agerar i enlighet med förordningen.

Rätten att inte bli profilerad av direktreklamföretag har blivit mycket svagare i artikel 19 gentemot kommissionens ursprungsförslag.

	Kommissionens text	Ministerrådets text
Artikel 20	(1) Every natural person shall have the right not to be subject to a measure which produces legal effects concerning this natural person or significantly affects this natural person, and which is based solely on automated processing intended to evaluate certain personal aspects relating to this natural person or to analyse or predict in particular the natural person’s performance at work, economic situation, location, health, personal preferences, reliability or behaviour.	Every data subject shall have the right not to be subject to a decision based solely on profiling which produces legal effects concerning him or her or severely affects him or her unless such processing:
		(a) is carried out in the course of the entering into, or performance of, a contract between the data subject and a data controller and suitable measures to safeguard the data subject’s legitimate interests have been adduced, such as the rights of the data subject to obtain human intervention on the part of the controller, to express his or her point of view, and to contest the decision; or
		(b) is (…) authorized by Union or Member State law to which the controller is subject and which also lays down suitable measures to safeguard the data subject’s legitimate interests; or
		© is based on the data subject’s explicit consent (…).
	(2) Subject to the other provisions of this Regulation, a person may be subjected to a measure of the kind referred to in paragraph 1 only if the processing:	(…)
	(a) is carried out in the course of the entering into, or performance of, a contract, where the request for the entering into or the performance of the contract, lodged by the data subject, has been satisfied or where suitable measures to safeguard the data subject’s legitimate interests have been adduced, such as the right to obtain human intervention; or	(…)
	(b) is expressly authorized by a Union or Member State law which also lays down suitable measures to safeguard the data subject’s legitimate interests; or	(…)
	© is based on the data subject’s consent, subject to the conditions laid down in Article 7 and to suitable safeguards.	(…)
	(3) Automated processing of personal data intended to evaluate certain personal aspects relating to a natural person shall not be based solely on the special categories of personal data referred to in Article 9.	Profiling shall not (…) be based on special categories of personal data referred to in Article 9(1), unless Article 9(2) applies and suitable measures to safeguard the data subject’s legitimate interests are in place.
	(4) In the cases referred to in paragraph 2, the information to be provided by the controller under Article 14 shall include information as to the existence of processing for a measure of the kind referred to in paragraph 1 and the envisaged effects of such processing on the data subject.	(…)
	Delegated act	(…)

Sveriges regering invänder mot artikel 20 om profilering. Se en längre utläggning i kommentaren till artikel 4(12a)(NY) (fotnot 32).

Artikel 20 som särskilt hanterar profilering är en nyformulering av en tidigare rättighet från Dataskyddsdirektivet 1995/46/EG mot att man utsätts för juridiska konsekvenser av att ens personuppgifter automatiskt behandlats. De utredningar som har gjorts i flertalet europeiska länder, inklusive via europeiska flaggskepsprogram (FIDIS-projektet och studier vid VUB, Bryssel), visar att det skydd man ämnade ge privatpersoner via direktivet från 1995 till stor del inte realiserats. Kommissionens föreslagna nya formulering i förordningen är utformad med dessa forskningsresultat i beaktande, och har också stort stöd i Europaparlamentets tidigare resolutioner.

Artikel 20 är dock mycket försvagad i ministerrådets version av förordningen gentemot kommissionens förslag.

Som behandlats ovan handlar ens inställning till profilering mycket om hur man upplever risken för automatisk diskriminering. Diskriminering är någonting som privatpersoner och privatpersoner som tillhör vissa diskriminerade grupper har väldigt lite kontroll över. Vi kan diskrimineras i våra roller som konsument, besökare hos myndigheter, medborgare eller människor i vissa lägen. Vi har ofta dålig eller ingen kontroll över hur diskrimineringen går till. Profilering är ett utomordentligt bra verktyg att diskriminera människor, med eller utan deras vetskap eller tillåtelse. Artikel 20 handlar i mångt om mycket om huruvida vi hoppas att en metod (profilering) som i stort sett bara är bra för att uppmuntra och åstadkomma diskriminering mellan folk och folk ska användas bara på positiva sätt, eller om vi försöker skapa ett tydligt regelverk som bygger på privatpersoners medbestämmande och självbestämmande för att minska konsekvenserna av att det används på negativa sätt.

	Kommissionens text	Ministerrådets text
Artikel 20(3)	(3) Automated processing of personal data intended to evaluate certain personal aspects relating to a natural person shall not be based solely on the special categories of personal data referred to in Article 9.	Profiling shall not (…) be based on special categories of personal data referred to in Article 9(1), unless Article 9(2) applies and suitable measures to safeguard the data subject’s legitimate interests are in place.

Sveriges regering har invändningen att man inte vill begränsa profilering baserat på de särskilt känsliga kategorier av uppgifter som definieras i artikel 9.

Det här är obegripligt med avseende på bakgrunden till den lista av känsliga kategorier av uppgifter som artikel 9(1) definierar: en av de största anledningarna till att personuppgifter skyddas väldigt starkt i lag i Europa, till skillnad från i USA, är för att tidigare uteblivna skydd för personuppgifter i EU har lett till brutala folkmord. Kanske vill regeringen anlita någon som läst igenom en historiabok för årskurs 5 i grundskolan innan man ivrar sig vidare längst denna väg.

	Kommissionens text	Ministerrådets text
Artikel 21	Restrictions	Restrictions
	(1) Union or Member State law may restrict by way of a legislative measure the scope of the obligations and rights provide d for in points (a) to (e) of Article 5 and Articles 11 to 20 and Article 32, when such a restriction constitutes a necessary and proportionate measure in a democratic society to safeguard:	(1) Union or Member State law to which the data controller or processorsubject may restrict by way of a legislative measure the scope of the obligations and rights provided for in points (a) to (e) of Article 5and Articles 12 to 20 and Article 32, when such a restriction constitutes a necessary and proportionate measure in a democratic society to safeguard:
	-	(aa) national security;
	-	(ab) defence;
	(a) public security;	(a) public security;
	(b) the prevention, investigation, detection and prosecution of criminal offences;	the prevention, investigation, detection and prosecution of criminal offences and, for these purposes, the maintenance of public order, or the execution of criminal penalties;
	© other public interests of the Union or of a Member State, in particular an important economic or financial interest of the Union or of a Member State, including monetary, budgetary and taxation matters and the protection of market stability and integrity;	other important objectives of general public interests of the Union or of a Member State, in particular an important economic or financial interest of the Union or of a Member State, including , monetary, budgetary and taxation matters and the protection of market stability and integrity;
	(d) the prevention, investigation, detection and prosecution of breaches of ethics for regulated professions;	(d) the prevention, investigation, detection and prosecution of breaches of ethics for regulated professions;
	(e) a monitoring, inspection or regulatory function connected, even occasionally, with the exercise of official authority in cases referred to in (a), (b), © and (d);	(e) a monitoring, inspection or regulatory function connected, even occasionally, with the exercise of official authority in cases referred to in (a), (b), © and (d);
	(f) the protection of the data subject or the rights and freedoms of others.	(f) the protection of the data subject or the rights and freedoms of others.
	(2) In particular, any legislative measure referred to in paragraph 1 shall contain specific provisions at least as to the objectives to be pursued by the processing and the determination of the controller.	Any legislative measure referred to in paragraph 1 shall contain specific provisions at least as to the purposes of the processing or categories of processing, the categories of personal data, the scope of the restrictions introduced, the specification of the controller or categories of controllers and the applicable safeguards taking into account of the nature, scope and purposes of the processing and the risks for the rights and freedoms of data subjects.

Sveriges regering undrar varför man inte inkluderat samma typ av undantag som i Dataskyddsdirektivet 1995/46/EG artikel 13. Det undantaget gjorde det möjligt för regeringar att fritt skapa undantag i personuppgiftsskyddsreglerna för vissa, vitt definierade samhälleliga mål (brottsförebyggande arbete, offentlig säkerhet, ekonomiska intressen - pengatvätt t ex, osv).

Den text som föreslås av kommissionen i dataskyddsförordningen gör istället tydligt att alla sådana undantag ska vara tydligt formulerade. Undantagen ska ange specifikt vad de omfattar och varför, samt vem som är ansvarig för personuppgifter som samlas in och behandlas under det begränsade personuppgiftsskyddet.

Det är i den här artikeln viktigt att komma ihåg att Dataskyddsförordningen inte är tillämpbar på polismyndigheter. De undantag som medlemsstaterna ges möjlighet att införa i artikel 21 kommer alltså bara att bli gällande för alla aktörer i samhället som inte har ansvar för att bekämpa, utreda eller förebygga brottslighet.

Kommissionen har här alltså minska möjligheterna för medlemsstaterna att urholka personuppgiftsskyddet på luddiga grunder. Regeringen ställer sig frågande till om det är bra att inte låta regeringen luckra upp personuppgiftsskyddet när de själva känner för det.

Det är också tydligt att medlemsstaternas regeringar på andra sätt önskar skapa väldigt breda och vidlyftiga undantag till förpliktelserna i förordningen i stort med hjälp av artikel 21.

Man kan ifrågasätta nyttan av att göra en tydlig distinktion mellan “rikets säkerhet” (21(1)(aa)) och “försvarssyften” (21(1)(ab)). Rimligtvis kan båda motiveras på grund av “public security” (21(1)(a)), om man ser allmänheten som en del av det rike försvaret ska försvara och räknar medborgarna till den nation vars säkerhet man vill upprätthålla. Det är också extremt viktigt att komma ihåg att förordningen inte rör verksamhet ämnad att upprätthålla lagar och nationell säkerhet. Förordningen täcker allt som inte utgör polisiär verksamhet, varför det är underligt att medlemsstaterna på det här sättet försöker blanda ihop lagrummen och skapa osäkerhet för den privata sektorn. Personuppgiftsbehandling för polisiära myndigheter regleras i ett för syftet särskilt direktiv, dataskyddsdirektivet 2012, som kommissionen föreslog samtidigt som de föreslog den allmänna dataskyddsförordningen i januari 2012.

Kommissionen föreslår alltså att det ska finnas ett tydligt och angivet syfte med att begränsa personuppgiftsskyddet enligt artikel 21. Ministerrådet och Sveriges regering upplever att det behövs redovisning av eventuella säkerhetsåtgärder kring syftet. Exempel på skillnaden, för den som inte är van vid att läsa lagstiftning är: antingen skriver man att vissa typer av data om den som utför en transaktion via en bank ska sparas i syfte att retroaktivt kunna begära att denna specifika person betalar sådan skatt som den specifika personen skall betala, eller så säger man att datan ska sparas och att detta ska ske medelst en databas som på ett säkert sätt ska hanteras. Den senare specifikationen är helt värdelös, eftersom hela resten av förordningen handlar om just detta: hela förordningen är alltså en typ av specifikation kring säkerhetsåtgärder och skyddsåtgärder som ska omge personuppgifter.

Särskilt skapande av statistik och forskning ses av regeringen som väldigt viktigt. Här är det värt att ha i åtanke att mycket statistisk behandling av data ligger till grund för automatiserad diskriminering och integritetskränkning. Begreppet forskning är också ambivalent och kan innebära allt från marknadsundersökningar till möjligheter att bedriva populationskontroll. Uppsalas rasbiologiska centrum var till exempel ett forskningsinstitut, och det kan finnas goda anledningar att inte urholka personuppgiftsskyddet i forskningssyfte i artikel 21, utan istället hålla sig till de allmänna principer för forskning som finns utstaplade i förordningens artikel 81.

Det är en allmänt spridd men väldigt felaktig uppfattning att statistisk behandling av många personers personuppgifter samtidigt inte kan kränka en enskild individs integritet eller påverka den enskilda individen negativt. Det är också historiskt motbevisat att det förhåller sig på det sättet, bland annat i den svenska eugenetiken.

	Kommissionens text	Ministerrådets text
Artikel 21(1)©	© other public interests of the Union or of a Member State, in particular an important economic or financial interest of the Union or of a Member State, including monetary, budgetary and taxation matters and the protection of market stability and integrity;	other important objectives of general public interests of the Union or of a Member State, in particular an important economic or financial interest of the Union or of a Member State, including , monetary, budgetary and taxation matters and the protection of market stability and integrity;

Sveriges regering tycker att man bör särskilja allmänintresset i en medlemsstat från medlemstatens skattemässiga, ekonomiska och finansiella intressen.

Det kan finnas goda anledningar att vilja göra en sådan distinktion, men i det här fallet handlar det om att man vill skaffa sig ett större svängutrymme att skapa fler lagar som är dåliga för den enskilda individens privatliv.

Det ligger alltså i allmänintresset att ha en bra och stark personuppgiftslag som ger ett adekvat skydd för den personliga integritet och privatlivets helgd, som regeringen trots allt förbundit sig om att upprätthålla i och med undertecknandet och ratificerandet av Europeiska konventionen för mänskliga rättigheter. I den utsträckning regeringen har slutat uppleva upprätthållandet av konventionen som ett allmänintresse, är det möjligt att man först vill diskutera ett utträde ur konventionen, innan man sabbar implementerande lagstiftning.

	Kommissionens text	Ministerrådets text
Artikel 21(1)©	© other public interests of the Union or of a Member State, in particular an important economic or financial interest of the Union or of a Member State, including monetary, budgetary and taxation matters and the protection of market stability and integrity;	other important objectives of general public interests of the Union or of a Member State, in particular an important economic or financial interest of the Union or of a Member State, including , monetary, budgetary and taxation matters and the protection of market stability and integrity;

Sveriges regering invänder mot att man inte definierat vad som utgör en “liten risk”. Artikel 22 påbjuder att registerförare ska utvärdera “risken” med datainsamling och behandling, men det saknas juridiskt definierade risknivåer i den här artikeln.

Läser man andra delar av direktivet verkar det som att artikel 9, artikel 20 och artikel 33 (kommissionens texter) hanterar specifika risker. I ministerrådets texter har de specifika riskerna i artikel 9 och artikel 33 mestadels plockats bort. Regeringen upplever alltså att det finns särskilda behov att definiera icke-riskfyllda situationer, men inte att det finns behov av att definiera särskilt riskfyllda situationer. Artikel 80-83 hanterar allmänna riskförminskande omständigheter (t ex: undantag för journalism, konst, osv, forskning, fack, et c).

De risker man försöker hantera i dataskyddsförordningen är alltså främst de som leder till negativa konsekvenser för privatpersoner. Till exempel när tidigare erfarenheter visat att vissa typer av katalogisering av medborgare lett till folkmord, våld i något mindre skala än folkmord eller över huvud taget social instabilitet.

Den mindre risken som regeringen söker definiera är antagligen den där de menar att privatpersoner inte ska ges rätten att få veta vad som händer med deras personuppgifter och varför. Här kan man filosofiskt invända mot privatpersonens rätt att veta: varför har vi en rätt att veta? Ett problem är delvis att vi definierar personuppgifterna utifrån ett äganderättsperspektiv, och det är det inte säkert att vi vill göra. Är personuppgifter någonting som vi privatpersoner förfogar över på samma sätt som en upphovsperson förfogar över sin upphovsrätt? De flesta upplever sig ha en självbestämmanderätt som de själva bör få förfoga över, och det är en grundläggande liberal föreställning att det ska vara så. Europeiska domstolen för mänskliga rättigheter ger majoriteten rätt i det fallet, i ett mål från 1997 där man fastslår att rätten till privatliv också innefattar rätten till en egen identitet. Det betyder uppenbarligen inte att den svenska regeringen måste hålla med om det.

	Kommissionens text	Ministerrådets text
Artikel 23(2)	The controller shall implement mechanisms for ensuring that, by default, only those personal data are processed which are necessary for each specific purpose of the processing and are especially not collected or retained beyond the minimum necessary for those purposes, both in terms of the amount of the data and the time of their storage. In particular, those mechanisms shall ensure that by default personal data are not made accessible to an indefinite number of individuals.	The controller shall implement appropriate measures for ensuring that, by default, only (…) personal data (…) which are not excessive for each specific purpose of the processing are processed; this applies to the amount of (…) data collected, the period of their storage and their accessibility. Where the purpose of the processing is not intended to provide the public with information, those mechanisms shall ensure that by default personal data are not made accessible without human intervention to an indefinite number of individuals .

Det här är precis samma diskussion som Artikel 9(2)(e) (fotnot 75), Artikel 20(3) (fotnot 117) och Artikel 17 (fotnot 138).

Svenska regeringen ifrågasätter en begränsning av möjligheterna att göra tidigare otillgänglig information tillgänglig för ett obegränsat antal människor, till exempel genom att utan förvarning ändra ett användaravtal.

Att användaravtal på nätet ständigt förändras, och att de är väldigt komplicerade och omöjliga för slutanvändare att hålla koll på, är ett känt problem. Standardavtalsrätt behandlas på landets samtliga juristutbildningar, och det har också pågått en rättslig utveckling i både domstolspraxis och lagstiftning de senaste 40 åren där man tar i beaktande att många avtal sluts mellan ojämlikt starka parter. Hela konsumenträtten är ett tecken på att man försöker ta de svagare parterna i avtalssituationer i beaktande och ge dem bättre medel gentemot den starke kontrahenten.

Amerikanska studier visar att vi skulle behöva lägga upp till 73 timmar per år på att hålla oss ens någorlunda underrättade om hur användaravtalen ser ut för tjänster som vi ansluter oss till om vi läste dem vid anslutningstillfället. Forskningen bortser från att avtalen ofta förändras över tid, och dessutom förändras ofta. För mer om den omöjliga situation slutanvändare på internet befinner sig i angående avtalsvillkoren för offentliggörande av deras personuppgifter och insamlandet/användandet av deras personuppgifter kan man läsa “The Cost of Reading Privacy Policies” av Aleecia M McDonald och Lorrie Faith Cranor. (Länk).

Sveriges regering tycker inte att det ska vara en bindande förpliktelse att inte plötsligt ändra slutanvändaravtal på ett sådant sätt att slutanvändare drabbas av oförutsedda konsekvenser och föreslår att texten flyttas till ett “skäl” (motsvarande svenska förarbeten) istället för att vara en artikel (bindande lag).

Det inbyggda integritetsskyddet har emellertid andra implikationer: Sveriges regering har varit företrädelsevis usel på att genomföra privatlivsbedömningar av teknologier man implementeras i så väl skolor som vård, elnät, e-legitimationssystem och andra digitaliserade system som medborgare i dagsläget måste använda för att fungera ihop med sin stat. I kombinationen med att många myndigheter förbehåller sig rätten att sälja vidare medborgares privata information till tredjeparter kan det här bli ett väldigt stort övergrepp på deras integritet som befinner sig i Sverige.

Allt eftersom större delar av offentlig sektor digitaliseras och läggs på nätet kommer alltså artikel 23 om inbyggt integritetsskydd alltså innebära större förpliktelser för regeringen att veta vad sjutton den gör, och det är ett stort och jobbigt ansvar för vilken offentlig institution som helst att acceptera.

	Kommissionens text	Ministerrådets text
Artikel 24	Where a controller determines the purposes, conditions and means of the processing of personal data jointly with others, the joint controllers shall determine their respective responsibilities for compliance with the obligations under this Regulation, in particular as regards the procedures and mechanisms for exercising the rights of the data subject, by means of an arrangement between them.	(1) (…) Joint controllers shall in a transparent manner determine their respective responsibilities for compliance with the obligations under this Regulation, in particular as regards the (…) exercising of the rights of the data subject and their respective duties to provide the information referred to in Articles 14 and 14a, by means of an arrangement between them unless, and in so far as, the respective responsibilities of the controllers are determined by Union or Member State law to which the controllers are subject.
	-	Irrespective of the terms of the arrangement referred to in paragraph 1, the data subject may exercise his or her rights under this Regulation in respect of and against each of the (…) controllers unless the data subject has been informed in a transparent manner which of the joint controllers is responsible.

Här gör Sveriges regering invändningen att det kan vara omöjligt för två registerförare att komma överens om hur de ska dela upp juridiskt ansvar för datahanteringen mellan sig via avtalsrätt.

Kommissionens grundtext gör det tydligt att det är registerförarna som har ett ansvar att komma överens särskilt om hur privatpersoner ska kunna utnyttja sina rättigheter, samt hur olika typer av ansvar ska fördelas.

Det går visserligen att föreställa sig fall då en av registerförarna är en ekonomiskt mycket svagare part än den andra, vilket kan leda till orättvisa avtalsvillkor vid en sådan överenskommelse. Det är dock svårt att se hur det kan vara särskilt problematiskt för privata aktörer eller privata aktörer och myndigheter som ingår avtal med varandra. Om inte annat så har man i kommissionens ursprungliga textförslag väldigt tydliga risker och förpliktelser som ska fördelas - eventuellt uppstår svenska regeringens tvivel just för att man gjort förpliktelserna kring personuppgiftsskyddet så otydliga i ministerrådets text.

Sveriges regeringen har också funderat på om myndigheters ansvar inte bör regleras i lag. Det som är väldigt besvärligt med den här invändning är att myndigheters personuppgiftsansvar regleras i dataskyddsförordningen, som är en lag. Vad Sveriges regering menar är att den gärna vill ha kvar de över 200 särskilda registerlagar vi har i Sverige idag. Det svenska systemet är dock enormt komplext och skapar också stora svårigheter för medborgare och andra personer i Sverige att förutsäga hur de behandlas av varje myndighet. Kontroverserna kring personuppgiftsförsäljning från myndigheter är ett exempel på detta.

	Kommissionens text	Ministerrådets text
Artikel 25 (titel)	Representatives of controllers not established in the Union	Representatives of controllers not established in the Union

Sveriges regering ifrågasätter om det är ett effektivt sätt att upprätthålla europeisk lagstiftning att se till att företag som hanterar personuppgifter i EU har en representant i EU.

Det är för att Sverige har en annorlunda bolagsrätt än andra medlemsländer, och problemet går igen bland annat i konkurslagstiftning. I vissa europeiska länder kan man bara stämma företag inför domstol om det finns ett huvudkvarter i landet i fråga. I Sverige, Storbritannien, Irland gäller inte detta. I Tyskland har man ett blandat system. I Spanien och Italien förhåller det sig inte som i Sverige.

Det här handlar alltså om huruvida man vill ha en dataskyddsförordning som är tillämplig och går att efterleva i alla medlemsländer eller hur man nu tänker sig. Det hade svenska regeringen enkelt kunnat begripa genom att titta på de senaste 15 årens diskussioner om europeisk bolagsrätt.

	Kommissionens text	Ministerrådets text
Artikel 26	Processor	Processor
	Where a processing operation is to be carried out on behalf of a controller, the controller shall choose a processor providing sufficient guarantees to implement appropriate technical and organisational measures and procedures in such a way that the processing will meet the requirements of this Regulation and ensure the protection of the rights of the data subject, in particular in respect of the technical security measures and organizational measures governing the processing to be carried out and shall ensure compliance with those measures.	(1) (…) The controller shall use only processors providing sufficient guarantees to implement appropriate technical and organisational measures (…) in such a way that the processing will meet the requirements of this Regulation (…)
	-	(1a) The provision of sufficient guarantees referred to in paragraph 1 may be demonstrated by means of adherence to codes of conduct pursuant to Article 38 or a certification mechanism pursuant to Article 39.
	(2) The carrying out of processing by a processor shall be governed by a contract or other legal act binding the processor to the controller and stipulating in particular that the processor shall:	(2) The carrying out of processing by a processor shall be governed by a contract setting out the subject-matter and duration of the contract, the nature and purpose of the processing, the type of personal data and categories of data subjects or other legal act binding the processor to the controller and stipulating in particular that the processor shall:
	(a) act only on instructions from the controller, in particular, where the transfer of the personal data used is prohibited;	(a) process the personal data only on instructions from the controller (…) , unless required to do so by Union or Member State law to which the processor is subject and in such a case, the processor shall notify the controller unless the law prohibits such notification;
	(b) employ only staff who have committed themselves to confidentiality or areunder a statutory obligation of confidentiality;	(…)
	© take all required measures pursuant to Article 30;	© take all (…) measures required persuant to Article 30;
	(d) enlist another processor only with the prior permission of the controller;	(d) determine the conditions for enlisting another processor (…);
	(e) insofar as this is possible given the nature of the processing, create in agreement with the controller the necessary technical and organisational requirements for the fulfilment of the controller’s obligation to respond to requests for exercising the data subject’s rights laid down in Chapter III;	(e) as far as (…) possible, taking into account the nature of the processing , assist the controller in responding to requests for exercising the data subject’s rights laid down in Chapter III;
	(f) assist the controller in ensuring compliance with the obligations pursuant to Articles 30 to 34;	(f) determine the extent to which the controller is to be assisted in ensuring compliance with the obligations pursuant to Articles 30 to 34;
	(g) hand over all results to the controller after the end of the processing and not process the personal data otherwise;	(g) return the personal data after the completion of the processing specified in the contract or other legal act, unless there is a requirement to store the data under Union or Member State law to which the processor is subject;
	(h) make available to the controller and the supervisory authority all information necessary to control compliance with the obligations laid down in this Article.	(h) make available to the controller (…) all information necessary to demonstrate compliance with the obligations laid down in this Article.
	(3) The controller and the processor shall document in writing the controller’s instructions and the processor’s obligations referred to in paragraph 2.	(2) The contract referred to in paragraph 2 shall be in writing or in an electronic or other non-legible form which is capable of being converted into a legible form.
	(4) If a processor processes personal data other than as instructed by the controller, the processor shall be considered to be a controller in respect of that processing and shall be subject to the rules on joint controllers laid down in Article 24.	(…)
	Delegated act	(…)

Sveriges regering gör en svag invändning mot att man tar bort en precisering av registerhanterares förpliktelser. Registerhanterare är sådana aktörer som samlar in och behandlar personuppgifter på någon annans uppdrag - en outsource’ad IT-tjänst ligger nära till hand att exemplifiera. Den som hanterar databaser åt Skatteverket, den som hanterar IT-tjänster åt ett småföretag, den som hanterar kundregister åt ICA eller Coop, osv.

Artikel 26 har blivit hård lidande under ministerrådets framfart. Att registerhanterare vidtar åtgärder för att upprätthålla dataskyddsförordningens regler föreslås demonstreras genom att man utfärdar ett dokument, en “code of conduct”, där man säger att man är förenlig med lagstiftningen.

Ministerrådet sparar möjligheterna för enskilda regeringar i EU att tvinga registerhanterare att agera på ett sätt som inte nödvändigtvis är förenligt med registerförarens lands lagstiftning. Typexempel vore om en svensk kommun outsource’ar IT-tjänster till ett företag i Tyskland - företaget i Tyskland kan då få tyska krav på sig som går emot de svenska kraven. Detta vill ministerrådet säkerställa är möjligt, trots att det av uppenbara skäl skulle innebära svårigheter för privatpersoner i Sverige att efter sådana omständigheter förutse vilka regler som gäller för just deras personuppgifter.

Ministerrådet önskar också begränsa registerhanterares förpliktelser till att bara gälla de situationer där det är möjligt och rimligt att uppfylla förpliktelserna. Det leder om inte annat till onödiga stämningar - i normala fall utgår vi i lagstiftning ifrån att det rimliga och möjliga är att följa lagen. Det här är samma problem som beskrivs i samband med kommentarerna till artikel 17: genom att luddifiera förordningens skrivelser undergräver man domstolarnas handlingsutrymme och inkompetensförklarar dessutom domare. Ju fler frågetecken man sätter kring vad som egentligen är rimligt och möjligt enligt lag, desto svagare blir de parter i en rättslig konflikt som även i normala fall är svaga i en rättslig konflikt. I det här fallet rör det sig om privatpersoner och konsumenter vars rättigheter att ens få veta att deras personuppgifter samlats in systematiskt undergrävts av medlemstaternas regeringar - och Sveriges! - i förordningens samtliga andra artiklar.

En sista allvarlig försämring av rätten till privatliv ministerrådet föreslår är att registerhanterare, utan att utsättas för registerförares allmänna förpliktelser, ska få behandla och genomföra åtgärder med hjälp av personuppgifter som de fått tag på via ett samarbete med en registerförarare. Det innebär att stora registerhanterare, till exempel molntjänster, i stort sett aldrig kommer behöva ta några personuppgiftsskyddsregler i beaktande - de kan bara gräva fram datan ur de källor de ändå har tillgång till via sina kunder, som ju inte är privatpersoner utan troligare företag eller offentliga institutioner.

En annan intressant grej ministerrådet har gjort i artikel 26 är att de vill att registerhanterare själva ska kunna visa att de följer lagen, men inte att ska gå för någon utomstående att kontrollera att det de påstår är sant. Det är väldigt indikativt för hur medlemsstaterna egentligen ser på fusk med implementationen av dataskyddsförordningen. Deras resonemang verkar vara att vi alla mår bäst av att inte veta när myndigheter och företag inte följer lagen.

	Kommissionens text	Ministerrådets text
Artikel 28	1. Each controller and processor and, if any the controller’s representative, shall maintain documentation of all processing operations under its responsibility.	(…)
	2. The documentation shall contain at least the following information:	(1) Each controller (…) and, if any, the controller’s representative, shall maintain a record of all categories of personal data processing activities under its responsibility . This record shall contain (…) the following information:
	(a) the name and contact details of the controller, or any joint controller or processor, and of the representative, if any;	(a) the name and contact details of the controller and any joint controller (…), controller’s representative and data protection officer, if any;
	(b) the name and contact details of the data protection officer, if any;	(…)
	© the purposes of the processing, including the legitimate interests pursued by the controller where the processing is based on point (f) of Article 6(1);	© the purposes of the processing, including the legitimate interest when the processing is based on Article 6(1)(f);
	(d) a description of categories of data subjects and of the categories of personal data relating to them;	(d) a description of categories of data subjects and of the categories of personal data relating to them;
	(e) the recipients or categories of recipients of the personal data, including the controllers to whom personal data are disclosed for the legitimate interest pursued by them;	(e) the (…) categories of recipients to whom the personal data have been or will be disclosed, in particular recipients in third countries;
	(f) where applicable, transfers of data to a third country or an international organisation, including the identification of that third country or international organisation and, in case of transfers referred to in point (h) of Article 44(1), the documentation of appropriate safeguards;	(f) where applicable, the categories of transfers of personal data to a third country or an international organisation (…).
	(g) a general indication of the time limits for erasure of the different categories of data;	(g) where possible, the envisaged time limits for erasure of different categories of data.
	(h) the description of the mechanisms referred to in Article 22(3).	(…)
	-	(2a) Each processor shall maintain a record of all categories of personal data processing activities carried out on behalf of a controller, containing:
	-	(a) the name and contact details of the processor or processors and of each controller on behalf of which the processor is acting, and of the controller’s representative, if any;
	-	(b) the name and contact details of the data protection officer, if any;
	-	© the categories of processing carried out on behalf of each controller;
	-	(d) where applicable, the categories of transfers of personal data to a third country or an international organisation.
	-	(3a) The records referred to in paragraphs 1 and 2a shall be in writing or in an electronic or other non-legible form which is capable of being converted into a legible form.
	(3) The controller and the processor and, if any, the controller’s representative, shall make the documentation available, on request, to the supervisory authority.	(3) On request, the controller and the processor and, if any, the controller’s representative, shall make the record available (…) to the supervisory authority.
	(4) The obligations referred to in paragraphs 1 and 2 shall not apply to the following controllers and processors:	(4) The obligations referred to in paragraphs 1 and 2a shall not apply to:
	(a) a natural person processing personal data without a commercial interest; or	(…)
	(b) an enterprise or an organisation employing fewer than 250 persons that is processing personal data only as an activity ancillary to its main activities.	(b) an enterprise or a body employing fewer than 250 persons, unless the processing it carries out involves specific risks for the rights and freedoms of data subjects, having regard to the nature, scope and purposes of the processing ; or
	-	© categories of processing activities which by virtue of the nature, scope or purposes of the processing are unlikely to represent specific risks for the rights and freedoms of data subjects.
	Delegated act	(…)
	Implemented act	(…)

Sveriges regering är bekymrade för att det blir för svårt för företag och myndigheter att hålla koll på vilka personuppgifter de samlar in och behandlar. Att hålla sådana register kommer förvisso att orsaka administration för de som vill behandla personuppgifter, men det finns goda anledningar också för de som behandlar personuppgifter att hålla koll på hur, när och i vilken omfattning de behandlar personuppgifter. Annars kan det bli svårare också för företag att uppfylla lagstiftningens krav på information till privatpersoner. I allmänhet bör det också ses som god praxis att faktiskt veta vad man gör.

En borttagen förpliktelse att hålla reda på vad man gör gör det också svårare för myndigheter att säkerställa sig om lagen efterlevs vid tillsyn. Problemet känns igen från artikel 26 (fotnot 210).

Ett av målen med lagstiftningen är att antalet databaser som skapar om varje medborgare, och antalet personuppgifter som samlas in om varje medborgare, begränsas. Det finns goda anledningar att ha en sådan dataminimeringsprincip - data som inte samlas in kan inte användas mot en privatperson och kan inte läcka. Den kan inte utgöra en säkerhetsrisk och den kan inte få negativa konsekvenser. Mycket data kommer att samlas in i vilket fall, och många databaser kommer att skapas, men ett mål med den här lagstiftningen är alltså att begränsa omfattningen av det problemet i syfte att stärka privatlivet, säkerheten och förtroendet för informationssamhället.

Det är ett mål som det är allt annat än uppenbart att Sveriges regering stödjer.

	Kommissionens text	Ministerrådets text
Artikel 28(4)(b)	(4) The obligations referred to in paragraphs 1 and 2 shall not apply to the following controllers and processors:	(4) The obligations referred to in paragraphs 1 and 2a shall not apply to:
	(b) an enterprise or an organisation employing fewer than 250 persons that is processing personal data only as an activity ancillary to its main activities.	(b) an enterprise or a body employing fewer than 250 persons, unless the processing it carries out involves specific risks for the rights and freedoms of data subjects, having regard to the nature, scope and purposes of the processing ; or

Sveriges regering invänder mot att små- och medelstora företag ska undantas från kravet på dokumentation som visar att personuppgiftslagen efterföljs. Eftersom svenska regeringen verkar invända mot alla typer av dokumentation kanske detta i och för sig är begripligt.

Artikel 28(4)(b) har varit mycket omstridd. Det bästa vore att istället ha ett krav på antalet personer som omfattas av datainsamlingen och behandlingen. I parlamentet föreslogs att man undantas från dokumentationskrav när man behandlar fler än 500 personers uppgifter per år.

Den ursprungliga formuleringen är hämtad från en definition av små- och medelstora företag som tagits fram i ett EU-dokument från 2003. Den är så klart godtyckligt uppställd, och också för det här fallet olämplig. Små och medelstora företag har den nackdelen att de i stort sett alltid blir otympliga för lagstiftare att hantera, vilket vi i Sverige också har märkt i bokföringslagstiftningen (3:12-reglerna, t ex).

	Kommissionens text	Ministerrådets text
Artikel 32(1)	When the personal data breach is likely to adversely affect the protection of the personal data or privacy of the data subject, the controller shall, after the notification referred to in Article 31, communicate the personal data breach to the data subject without undue delay.	When the personal data breach is likely to severely affect the rights and freedoms of the data subject , the controller shall (…)244communicate the personal data breach to the data subject without undue delay.

Den här invändningen rör artikel 32 som beskriver processen för incidentrapportering. Sveriges regering menar att privatpersoner inte bör informeras först efter att dataskyddsmyndigheten (i Sverige Datainspektionen) har informerats om personuppgiftsläckor.

Ministerrådets diskussioner och parlamentets kräver dock intressanta principfrågor: om någon har samlat in ens personuppgifter, sparat dem och behandlat dem och sedan läckt uppgifterna, eller fråntagits uppgifterna av misstag eller av någon som hade avsikt att ta uppgifterna, har man som privatperson rätt att få reda på att det har hänt? När svenska Skatteverket förlorade många personuppgifter, inklusive skyddade personuppgifter, i ett spektakulärt hack fick privatpersonerna inte reda på detta. Det kan ses som en allvarlig brist i ett system att människor som givits skyddade personuppgifter av sin stat, kanske för att de hjälp staten genom att vittna mot brottslingar, inte får veta att det skydd de givits upphört eller försämrats. Om ett företag tappar bort kreditkortsuppgifter, eller ett nätföretag tappar bort inloggningsuppgifter, kan det av flera skäl vara lämpligt att de berörda personerna får veta att de bör spärra sina kreditkort eller byta lösenord.

Industrilobbyn har menat att sådana olyckor är så vanliga att privatpersoner snabbt skulle drabbas av rapportutmattning om så vore fallet: vi som medborgare lämnar alltså våra personuppgifter regelbundet till registerförare och registerhanterare som är så slarviga med hanteringen att om de tvingades berätta för oss samtliga tillfällen de tappar bort uppgifterna skulle vi bli trötta på att det berättar det för oss! Många gånger finns det ju heller inte så mycket man kan göra. Om landstinget tappar bort en sjukjournal - vad ska man göra som privatperson? Man kan bli upprörd och arg, men inte mer än så. Frågan är alltså om vi som privatpersoner har rätt att veta när vi kränkts, och när ett förtroende vi givit någon annan brutits. Enligt normala avtalsprinciper borde det vara förhållandevis självklart att vi har en rätt att veta när en av avtalsparterna som inte är oss själva inte uppfyllt sin del av förpliktelsen.

Den andra viktiga aspekten av personuppgiftsläckor är snarare ett ekonomiskt argument än ett rättighetsargument. Det normalt är ganska svårt och dyrt för företag att rapportera om dataläckor: man måste ta reda på vilka som drabbats, skriva ett meddelande och finna ett sätt att kontakta dessa personer. Som kostnadsincitament mot system som läcker data är alltså notifieringar av dataläckor väldigt effektivt. Det här är en aspekt som bland annat Myndigheten för samhällsskydd och beredskap helt har missat i sina utredningar om incidentrapporteringar och säkerhetsbrister i offentlig sektor, men som utretts länge och med framgång i Kalifornien. Kalifornsk incidentrapportering är sådan att data som läckts som inte är krypterad ska notifieras till samtliga drabbade. Det har skapat mycket krypterade tjänster - den som funderade på varför Facebook, Google och andra gick över på https kan alltså eventuellt finna svaret i en delstatslag från 2002.

Olyckligtvis är både rätten att få veta, och kostnadsincitamentsaspekten, väldigt illa diskuterade i Bryssel och det kommer med största sannolikhet inte att bli någon större diskussion om några av dessa aspekter när förordningen färdigställs. Det är väldigt tydligt att de flesta europeiska medlemsstater, precis som Myndigheten för samhällsskydd och beredskap, istället utgått ifrån att det stora problemet är att myndigheter inte får rapporter och inte får veta. I många fall har det till och med främst setts som en försvarsfråga: någonting som i så stor utsträckning som möjligt ska undanhållas medborgare.

	Kommissionens text	Ministerrådets text
Artikel 33(1)	Where processing operations present specific risks to the rights and freedoms of data subjects by virtue of their nature, their scope or their purposes, the controller or the processor acting on the controller’s behalf shall carry out an assessment of the impact of the envisaged processing operation s on the protection of personal data.	Where the processing, taking into account the nature, scope or purposes of the processing, is likely to present specific risks for the rights and freedoms of data subjects , the controller (…) shall, prior to the processing, carry out an assessment of the impact of the envisaged processing operations on the protection of personal data. (…)

Svenska regeringen invänder oklokt mot att man förväntar sig att även registerhanterare ska utföra en bedömning av sina egna processers och åtgärders inverkan på personuppgiftsskydd.

I en värld där vi allt mer centraliserar databehandlingstjänster via molntjänster, andra företag, outsourcing och så vidare är det viktigt att minnas att de flesta registerförare inte kommer att vara experter på databehandling eller IT-system. Denna expertis kommer med stor sannolikhet istället att finnas hos registerhanterarna. Det gör att om man fråntar registerhanterare allt ansvar från att utvärdera datainsamlings och -hanteringsprocesser så fråntar man också ansvar från den part som objektivt sett har bäst möjligheter att utöva och agera på ansvaret.

En viktig princip i lagstiftning och annars också är att den som kan och har kapacitet att utöva ett ansvar också bör ges det ansvaret. Om man misslyckas med att fördela ansvar och risk på rätt sätt får man ett system där ingen har ansvar för att saker går fel, och där den som drabbas av fel inte har någonstans att vända sig för att få upprättelse. Även i de fall där det finns någon att vända sig till kan denna inte hjälpa till, och kan inte åtgärda problemet. Det skapar onödig frustration hos de som drabbas av fel, och leder också till att allmänhetens förtroende för både systemet som sådant och lagstiftningen kring systemet försämras.

Det är konstigt att svenska regeringen inte har definierat det problemet utan istället invänder mot vad som vore en bättre ansvarsfördelning.

	Kommissionens text	Ministerrådets text
Artikel 34(2)	The controller or processor acting on the controller’s behalf shall consult the supervisory authority prior to the processing of personal data in order to ensure the compliance of the intended processing with this Regulation and in particular to mitigate the risks involved for the data subjects where:	The controller (…)271 shall consult the supervisory authority prior to the processing of personal data where a data protection impact assessment as provided for in Article 33 indicates that the processinglikely to present a high degree of specific risks
	(a) data protection impact assessment as provided for in Article 33 indicates that processing operations are by virtue of their nature, their scope or their purposes, likely to present a high degree of specific risks; or	(…)
	(b) the supervisory authority deems it necessary to carry out a prior consultation on processing operations that are likely to present specific risks to the rights and freedoms of data subjects by virtue of their nature, their scope and/or their purposes, and specified according to paragraph 4.	(…)

Artikel 34 rör särskilt känsliga databehandlingar som kan kräva tidigare tillstånd eller rådgivning från en dataskyddsmyndighet. Ministerrådet och Sveriges regering har begränsat detta till att bara omfatta rådgivning - anything goes until it doesn’t.

Se annars kommentarerna till Artikel 33(1) (fotnot 254) samt Artikel 34(3) (fotnot 274).

	Kommissionens text	Ministerrådets text
Artikel 34(2)	he controller or processor acting on the controller’s behalf shall consult the supervisory authority prior to the processing of personal data in order to ensure the compliance of the intended processing with this Regulation and in particular to mitigate the risks involved for the data subjects where:	The controller (…)271 shall consult the supervisory authority prior to the processing of personal data where a data protection impact assessment as provided for in Article 33 indicates that the processinglikely to present a high degree of specific risks
	(a) data protection impact assessment as provided for in Article 33 indicates that processing operations are by virtue of their nature, their scope or their purposes, likely to present a high degree of specific risks; or	(…)
	(b) the supervisory authority deems it necessary to carry out a prior consultation on processing operations that are likely to present specific risks to the rights and freedoms of data subjects by virtue of their nature, their scope and/or their purposes, and specified according to paragraph 4.	(…)

Sveriges regering invänder att det kan ta tid att göra riskbedömningar om riskerna upplevs som extra stora. Man föreslår att det inte ska behövas göra särskilda riskbedömningar vid stora risker.

Se också kommentarer till Artikel 21(1)© (fotnot 181).

	Kommissionens text	Ministerrådets text
Artikel 34(3)	Where the supervisory authority is of the opinion that the intended processing does not comply with this Regulation, in particular where risks are insufficiently identified or mitigated, it shall prohibit the intended processing and make appropriate proposals to remedy such incompliance.	Where the supervisory authority is of the opinion that the intended processing referred to in paragraph 2 would not comply with this Regulation, in particular where risks are insufficiently identified or mitigated, it shall within a maximum period of 6 weeks following the request for consultation give advice to the data controller (…) . This period may be extended for a further month, taking into account the complexity of the intended processing. Where the extended period applies, the controller or processor shall be informed within one month of receipt of the request of the reasons for the delay.

Här föreslår Sveriges regering tillsammans med europeiska kollegor att det inte ska vara möjligt för dataskyddsmyndigheter att sätta stopp för vissa typer av databehandling som upplevs som särskilt känsliga, farliga eller riskfyllda för privatpersoner.

Eftersom ministerrådet helt avviker från kommissionens ursprungsformulering är det svårt att förstå svenska regeringens invändningar att rådgivning kan komma att stå i konflikt med dataskyddsmyndigheternas möjlighet att bötfälla företag som inte uppfyller dataskyddsförordningens personuppgiftsskyddskrav.

Ett typexempel på svensk historia kan vara publicering av förundersökningsmaterial på nätet på en betaltjänst, strukturerade framställningar av tidigare dömda sexbrottslingar som tjänat av det straff samhället givit dem i en betaltjänst eller gratis, eller ihopsamlade och strukturerade presentationer av bilder på lättklädda flickor i högstadieåldern inhämtade från Facebook som affärsidé.

I Sverige har vi också hemsidorna ratsit.se och eniro.se som stundtals orsakar oro och bekymmer för svenska medborgare.

Till syvende og sist är det en politisk fråga om man tycker att Datainspektionen ska ha rätten att förbjuda den typen av näringsverksamhet. Å ena sidan kan man framställa det som journalistiskt relevant att ha materialet offentliggjort och sammanställt, eller som en bra tjänst för jurister att konsultera om de behöver veta vilka som tidigare dömts för sexbrott i Sverige. Man kan också tänka sig att det inte är bra att sammanställningar av information på nätet blir ett ytterligare straff över den normala straffet som rättssystemet delar ut för brottslighet (man försvårar för tidigare dömda att gå vidare med sitt liv). Man kan se det som ett bättre sätt att hantera den sociala konflikt som annars uppstår när man strukturerat påbörjar en massa framställningar av unga lättklädda flickor, trots att det säkert är kommersiellt väldigt gångbart.

Får man eller bör man få outsource’a information om svensk-kurdiska familjers inköpsvanor till turkiska företag? Är det okej att bygga en databas över alla medborgare som rört sig mot en testklinik för könssjukdomar? Det finns säkert många databaser som vi kan tänka oss att vi inte vill ska upprättas, och den här artikeln handlar om Datainspektionens möjligheter att säga att det faktiskt är så: vi vill inte ha viss statistik, och vi vill inte att våra identiteter ska säljas. Vi vill inte företag ska veta mer om oss än vi själva vet, och vi vill inte att myndigheter och utrikiska säkerhetstjänster ska kunna upphandla sådan information. “Curiosity killed the cat”, säger man på engelska, och det finns goda anledningar att damma av det uttrycket här.

	Kommissionens text	Ministerrådets text
Artikel 34(7a)	-	Notwithstanding paragraph 2, Member States’ law may require controllers to consult with, and obtain prior authorisation from, the supervisory authority in relation to the processing of personal data by a controller for the performance of a task carried out by the controller in the public interest, including the processing of such data in relation to social protection and public health.

Här har ministerrådet försökt återinföra några av kraven från kommissionens ursprungliga text om förbud mot vissa databaser, till exempel som upprättas av sociala eller hälsoskäl.

Sveriges regering har invänt mot att man kan tänkas behöva föregående godkännande innan särskilt känsliga databaser om människors hälsa och sociala skydd upprättas. Det här har sin botten i den utbredda registerforskning som finns i Sverige. Registerforskningen täcks annars av artikel 83, som rör databaser med personuppgifter upprättade i syfte att bedriva forskning. Det verkar som att både svenska regeringen och andra regeringar resonerar så att ju mer och oftare man ger en viss specifik aktivitet breda undantag desto bättre. Problemet är förstås att man får dålig och otydlig lagstiftning, där det också blir svårare för registerforskare att faktiskt veta vad som gäller eftersom man inte på ett enkelt sätt kan identifiera det tillämpliga lagrummet.

	Kommissionens text	Ministerrådets text
	(1) The Member States, the supervisory authorities and the Commission shall encourage the drawing up of codes of conduct intended to contribute to the proper application of this Regulation, taking account of the specific features of the various data processing sectors, in particular in relation to:	(1) The Member States, the supervisory authorities, the European Data Protection Board and the Commission shall encourage the drawing up of codes of conduct intended to contribute to the proper application of this Regulation, taking account of the specific features of the various data processing sectors and the specific needs of micro, small and medium-sized enterprises.
	(a) fair and transparent data processing;	(…)
	(b) the collection of data;	(…)
	© the information of the public and of data subjects;	(…)
	(d) requests of data subjects in exercise of their rights;	(…)
	(e) information and protection of children;	(…)
	(f) transfer of data to third countries or international organisations;	(…)
	(g) mechanisms for monitoring and ensuring compliance with the code by the controllers adherent to it;	(…)
	(h) out-of-court proceedings and other dispute resolution procedures for resolving disputes between controllers and data subjects with respect to the processing of personal data, without prejudice to the rights of the data subjects pursuant to Articles 73 and 75.	(…)
	-	(1a) Associations and other bodies representing categories of controllers or processors may prepare codes of conduct, or amend or extend such codes, for the purpose of specifying the application of provisions of this Regulation, such as:
	-	(a) fair and transparent data processing;
	-	(aa) the legitimate interests pursued by controllers in specific contexts;
	-	(b) the collection of data;
	-	(bb) the use of pseudonymous data;
	-	© the information of the public and of data subjects;
	-	(d) the exercise of the rights of the data subjects;
	-	(e) information and protection of children and the way to collect the parent’s and the guardian’s consent;
	-	(ee) measures and procedures referred to in Articles 22 and 23 and measures to ensure security (…) of processing referred to in Article 30;
	-	(ef) notification of personal data breaches to supervisory authorities and communication of such breaches to data subjects;
	-	(f) transfer of data to third countries or international organisations.
	-	(1b) Such a code of conduct shall contain mechanisms for monitoring and ensuring compliance with it by the controllers or processors which undertake to apply it, without prejudice to the duties and powers of the supervisory authority which is competent pursuant to Article 51.
	(2) Associations and other bodies representing categories of controllers or processors in one Member State which intend to draw up codes of conduct or to amend or extend existing codes of conduct may submit them to an opinion of the supervisory authority in that Member State. The supervisory authority may give an opinion whether the draft code of conduct or the amendment is in compliance with this Regulation. The supervisory authority shall seek the views of data subjects or their representatives on these drafts.	Associations and other bodies referred to in paragraph 1a which intend to prepare a code of conduct, or to amend or extend an existing code, shall submit the draft code to the supervisory authority which is competent pursuant to Article 51. The supervisory authority shall give an opinion on whether the draft code, or amended or extended code, is in compliance with this Regulation.
	-	(2a) Where the opinion referred to in paragraph 2 confirms that the code of conduct, or amended or extended code, is in compliance with this Regulation and the code of conduct does not relate to processing activities in several Member States, the supervisory authority shall register the code and publish the details thereof.
	-	(2b) Where the code of conduct relates to processing activities in several Member States, the supervisory authority shall submit it in the procedure referred to in Article 57 to the European Data Protection Board which may give an opinion on whether the draft code, or amended or extended code, is in compliance with this Regulation.
	(3) Associations and other bodies representing categories of controllers in several Member States may submit draft codes of conduct and amendments or extensions to existing codes of conduct to the Commission.	(3) Where the opinion referred to in paragraph 2b confirms that the code of conduct, or amended or extended code, is in compliance with this Regulation, the European Data Protection Board shall submit its opinion to the Commission (…).
	(4) The Commission may adopt implementing acts for deciding that the codes of conduct and amendments or extensions to existing codes of conduct submitted to it pursuant to paragraph 3 have general valid ity within the Union. Those implementing acts shall be adopted in accordance with the examination procedure set out in Article 87(2).	(4) The Commission may adopt implementing acts for deciding that the codes of conduct and amendments or extensions to existing codes of conduct submitted to it pursuant to paragraph 3 have general validity within the Union . Those implementing acts shall be adopted in accordance with the examination procedure set out in Article 87(2).
	(5) The Commission shall ensure appropriate publicity for the codes which have been decided as having general validity in accordance with paragraph 4.	(5) The Commission shall ensure appropriate publicity for the codes which have been decided as having general validity in accordance with paragraph 4.

Sveriges regering invänder att man behöver skapa starkare incitament att använda en Code of Conduct (som detaljerar hur man föreställer sig efterfölja förordningens bestämmelser).

Den absolut viktigaste förändringen som ministerrådet vill åstadkomma genom att förändra artikel 39 på det här sättet är att man fråntar dataskyddsmyndigheterna (i Sverige Datainspektionen) rätten att granska huruvida den föreslagna Code of Conduct faktiskt uppfyller lagstiftningens krav. Man förutsätter i ministerrådets formuleringar att företagsassociationer på egen hand ska författa koderna och säkerställa deras efterlevnad.

Bara den dataskyddsmyndighet som har kompetens inom det geografiska territorium där företagsassociationen är baserat ska enligt ministerrådets formulering ha rätt att yttra sig om koden. I kommissionens version har man istället gjort den eller de dataskyddsmyndigheter kompetenta som har ansvar för det geografiska territorium där koden ska tillämpas. Den här till synes subtila förändringar är faktiskt väldigt avgörande för hur effektiv den här uppmaningen till självreglering kan bli. De länder som varit absolut sämst på dataskyddslagtiftning i EU är Storbritannien och Irland. Vill man ha en medgörlig dataskyddsmyndighet som inte klagar eller ställer krav lägger man alltså sin företagsförening i någon av de länderna, med resultat att ingen annan dataskyddsmyndighet i något annat land kan invända. Resultatet blir ett sämre fungerande system för alla, vilket är raka motsatsen mot det man försöker uppnå med lagstiftningen.

Uppmärksamma läsare märker också att en Code of Conduct i ministerrådets version plötsligt får innehålla av företagsföreningen själv definierade intresseavvägningar. Det är galenskap: intresseavvägningen har alltid varit tänkt att vara, och till exempel i Sverige alltid tolkats som, ett smalt undantag för situationer som inte annars kan förutses. Det har aldrig varit tänkt att bli den främsta juridiska basen för databehandling, och det är den juridiska bas som rör sig allra längst från grundidén, nämligen att vi som medborgare har rätt till vårt privatliv och vårt eget självbestämmande.

Det är svårt att hitta någonting positivt med ministerrådets förändringar, och det är vemodigt att Sveriges regering inte invänder mot att de nya formuleringarna är så dåliga för svenska medborgares grundläggande rättigheter istället för att uppmuntra bredare användning av ett instrument som är så uselt formulerat.

	Kommissionens text	Ministerrådets text
Artikel 40	Any transfer of personal data which are undergoing processing or are intended for processing after transfer to a third country or to an international organisation may only take place if, subject to the other provisions of this Regulation, the conditions laid down in this Chapter are complied with by the controller and processor, including for onward transfers of personal data from the third country or an international organisation to another third country or to another international organisation.	(…)

Svenska regeringen upplevde inte att etableringen av en allmän princip för villkoren vid överföring av personuppgifter till tredje land var särskilt värdefull. Istället menar man att de åtföljande reglerna är tillräckliga.

Den allmänna principen var att överföringar inte ska ske annat än om villkoren uppställda i det åtföljande kapitlet är uppfyllda. Denna princip gäller även då överföringen sker i flera led, dvs från ett tredje land till ett annat.

Här kan man ha olika ståndpunkter: å ena sidan kanske det är lättare för medborgare att tolka texten om det finns en sammanfattande inledande artikel. Å andra sidan har svenska regeringen rätt i att texten inte tillför någon juridisk säkerhet eller osäkerhet.

	Kommissionens text	Ministerrådets text
Artikel 43(3)	The Commission shall be empowered to adopt delegated acts in accordance with Article 86 for the purpose of further specifying the criteria and requirements for binding corporate rules within the meaning of this Article, in particular as regards the criteria for their approval, the application of points (b), (d), (e) and (f) of paragraph 2 to binding corporate rules adhered to by processors and on further necessary requirements to ensure the protection of personal data of the data subjects concerned.	The Commission shall be empowered to adopt delegated acts in accordance with Article 86 for the purpose of further specifying the criteria and requirements for binding corporate rules within the meaning of this Article, in particular as regards the criteria for their approval, the application of points (b), (d), (e) and (f) of paragraph 2 to binding corporate rules adhered to by processors and on further necessary requirements to ensure the protection of personal data of the data subjects concerned.

Svenska regeringen invänder mot att kommissionen ger sig rätt att utarbeta vidare regler i efterhand. Inte i sig dåligt, om man bortser ifrån att kommissionen värderar våra grundläggande rättigheter högre än vad Sveriges regering och andra aktörer i ministerrådet till synes gör.

	Kommissionens text	Ministerrådets text
Artikel 44(7)	Delegated act	(…)

Svenska regeringen invänder mot at kommissionen ger sig rätt att utarbeta vidare regler i efterhand. Inte i sig dåligt, om man bortser ifrån att kommissionen värderar våra grundläggande rättigheter högre än vad Sveriges regering och andra aktörer i ministerrådet till synes gör.

	Kommissionens text	Ministerrådets text
Artikel 47(5)	Each Member State shall ensure that the supervisory authority is provided with the adequate human, technical and financial resources, premises and infrastructure necessary for the effective performance of its duties and powers, including those to be carried out in the context of mutual as sistance, co-operation and participation in the European Data Protection Board.	Each Member State shall ensure that each supervisory authority is provided with the (…) human, technical and financial resources, premises and infrastructure necessary for the effective performance of its duties and exercise of its powers, including those to be carried out in the context of mutual assistance, co-operation and participation in the European Data Protection Board.

Svenska regeringen invänder mot att kommissionen ställer för höga krav på de resurser som ska tilldelas dataskyddsmyndigheten, i Sverige Datainspektionen.

För att man ska förstå den kravlista som kommissionen ställer upp (det ska finnas kvalificerad personal, lokaler, utrymmen, resurser och verktyg att utföra tillsynsuppdraget) behöver man förstå två grundläggande grejer om EU:s medlemsstater: vissa medlemsstater tycker inte att det är viktigt med grundläggande rättigheter och bryr sig inte om att ge tillräckliga resurser till myndigheter som ska upprätthålla EU-lagar eller andra lagar om personuppgiftsskydd. De flesta medlemsländer är också intensivt misstänksamma mot att behöva samarbeta med varandra och därför är man särskilt obenägen att tilldela myndigheter resurser som gör det möjligt att samarbeta över landsgränserna.

Det här är ingenting som kommissionen eller någon europeisk institution kommit på i samband med att man vill stifta förtryckande lagstiftning mot medlemsländerna i EU. Det här är väl utredda fenomen där människor i vissa medlemsländer plötsligt funnit att de inte har några juridiska medel att upprätthålla sina konstitutionella rättigheter eftersom ett annat medlemsland inte brytt sig om att skapa rätt system. Ett av de mest talande exemplena är Max Schramms, en österrikisk juridikstudent som försökt kartlägga Facebooks personuppgiftsanvändning och funnit att han måste skaffa irländskt juridiskt ombud som dessutom har svårigheter att interagera med den irländska dataskyddsmyndigheten.

Både att medlemsstaterna inte upprätthåller överenskomna regler samt att de vägrar samarbeta med varandra kan verka barnsligt, och det är barnsligt.

Anledningen till att vi har EU till att börja med är att de nuvarande medlemsländerna betett sig illa mot varandra i ett antal hundratals år innan EU (Sverige inkluderat), och det är också viktigt att förstå att Sverige inte särskilt sticker ut som extra duktig medlem av unionen i det här avseendet. Artiklarna om särskilt hur dataskyddsmyndigheter ska samarbeta kommer att visa att Sverige är en mycket motsträvig elev i klassen som helst vill allra själv, och när den inte kan det, inte vill alls.

Det är helt enkelt svårt att komma överens, även när det handlar om helt behjärtansvärda saker som vi alla borde kunna vara överens om: grundläggande fri- och rättigheter för människor är viktiga, och det är bra att samarbeta för att uppnå ett sådant behjärtansvärt mål.

	Kommissionens text	Ministerrådets text
Artikel 48(1)	Member States shall provide that the members of the supervisory authority must be appointed either by the parliament or the government of the Member State concerned.	Member States shall provide that the member or members of each supervisory authority must be appointed either by the parliament or the government or the head of State of the Member State concerned

Sveriges regering invänder mot processen genom vilken direktören för en dataskyddsmyndighet ska utses. En helt relevant invändning som också skulle kunna skydda flera medlemsländer med svagare institutionella ramverk från korruption i dataskyddsmyndigheten. Ett känt problem från vissa medlemsstater har varit att parlament och regeringar har utsett lojala dataskyddsdirektörer som sedan explicit låtit bli att kritisera offentliga institutioner när dessa brister i sin personuppgiftshantering. Det är ett problem man eventuellt vill fokusera på att undvika.

Centraleuropeiska universitetet i Budapest har särskilt belyst när detta har varit ett problem i Ungern de senaste åren, men också i Sverige har vi till och från hätska debatter om politiska tillsättningar för granskningsorgan för medier.

	Kommissionens text	Ministerrådets text
Artikel 48(2)	The members shall be chosen from persons whose independence is beyond doubt and whose experience and skills required to perform their duties notably in the area of protection of personal data are demonstrated.	The member or members shall have the qualifications, experience and skills required to perform their duties and exercise their powers (…).

Sveriges regering har gjort en obegriplig invändning mot antingen rådets, kommissionens eller bådas texter: invändningen är att personalen måste vara kompetent och kunnig, medan båda texterna understryker att man ska vara kompetent och skicklig inom personuppgiftsskydd för att vara med i dataskyddsmyndighetens stab. Det är oklart på vilket sätt Sverige är otillfredsställda, även om kommissionens ursprungliga formulering givetvis är tydligare än den ministerrådet försökt formulera.

Underligare är att ministerrådet föreslår att dataskyddsmyndigheten ska få bestå av så lite som en endaste medlem.

	Kommissionens text	Ministerrådets text
Artikel 48(3)	The duties of a member shall end in the event of the expiry of the term of office, resignation or compulsory retirement in accordance with paragraph 5.	(…)
Artikel 48(4)	A member may be dismissed or deprived of the right to a pension or other benefits in its stead by the competent national court, if the member no longer fulfils the conditions required for the performance of the duties or is guilty of serious misconduct.	(…)
Artikel 48(5)	Where the term of office expires or the member resigns, the member shall continue to exercise the duties until a new member is appointed.	(…)

Svenska regeringen tillsammans med många västerländska regeringar, Tjeckien och Slovakien invänder mot att man bestämmer sanktioner mot dataskyddsmyndighetspersoner som beter sig illa eller upphör att besitta rätt kvalifikationer.

Det är ett typiskt västeuropeiskt problem att man vill förbehålla sig rätten att fatta sådana här beslut på nationell nivå. En “kan själv”-mentalitet som för det första sällan stämmer, men som i många delar av Central- och östeuropa definitivt inte stämmer och leder till stora problem i offentliga institutioner där. Detta finns dokumenterat i material från Centraleuropeiska universitetet i Budapest.

	Kommissionens text	Ministerrådets text
Artikel 49	Each Member State shall provide by law within the limits of this Regulation:	(1) Each member state shall provide by law for:
	(a) the establishment and status of the supervisory authority;	(a) the establishment (…) of each supervisory authority;
	(b) the qualifications, experience and skills required to perform the duties of the members of the supervisory authority;	(…)
	© the rules and procedures for the appointment of the members of the supervisory authority, as well the rules on actions or occupations incompatible with the duties of the office;	© the rules and procedures for the appointment of the member or members of each supervisory authority (…);
	(d) the duration of the term of the members of the supervisory authority which shall be no less than four years, except for the first appointment after entry into force of this Regulation, part of which may take place for a shorter period where this is necessary to protect the independence of the supervisory authority by means of a staggered appointment procedure;	(d) the duration of the term of the member or members of each supervisory authority which shall not be (…) less than four years, except for the first appointment after entry into force of this Regulation, part of which may take place for a shorter period where this is necessary to protect the independence of the supervisory authority by means of a staggered appointment procedure;
	(e) whether the members of the supervisory authority shall be eligible for reappointment;	(e) whether and, if so, for how many terms the member or members of each supervisory authority shall be eligible for reappointment;
	(f) the regulations and common conditions governing the duties of the members and staff of the supervisory authority;	(f) the (…) conditions governing the employment of the member or members and staff of each supervisory authority and rules governing the cessation of employment;
	(g) the rules and procedures on the termination of the duties of the members of the supervisory authority, including in case that they no longer fulfil the conditions required for the performance of their duties or if they are guilty of serious misconduct.	(…)
	-	(2) The member or members and the staff of each supervisory authority shall, in accordance with Union or Member State law, be subject to a duty of professional secrecy with regard to any confidential information which has come to their knowledge in the course of the performance of their (…) duties or exercise of their powers, both during and after their term of office.

Sveriges regerings invändningar på den här artikeln går i stort sett att beskriva på samma sätt som i kommentaren till Artikel 48(3)-48(5) (fotnot 395).

Ministerrådets läckta dokument talar inte om detta, men av ministerrådets text går det också att utläsa att visa medlemsländer tänker sig att det ska finnas flera myndigheter med ansvar för implementation och tolkning av förordningen.

Med vetskapen om att det är ju dåligt definierade och upprättade dataskyddsmyndigheter i flertalet medlemsländer som tidigare lett till stora implementationsproblem är det inte konstigt att kommissionen varit noggranna i sina formuleringar av kraven på upprättande av dataskyddsmyndigheter. Det kan man naturligtvis i Sverige tycka vad man vill om.

	Kommissionens text	Ministerrådets text
Artikel 49(2)	-	The member or members and the staff of each supervisory authority shall, in accordance with Union or Member State law, be subject to a duty of professional secrecy with regard to any confidential information which has come to their knowledge in the course of the performance of their (…) duties or exercise of their powers, both during and after their term of office.

Se kommentarer till Artikel 49 och Artikel 49(2) (fotnot 395 och 396).

	Kommissionens text	Ministerrådets text
Artikel 50	The members and the staff of the supervisory authority shall be subject, both during and after their term of office, to a duty of profession al secrecy with regard to any confidential information which has come to their knowledge in the course of the performance of their official duties.	(…)

Sveriges regering invänder tillsammans med andra regeringar mot att kommissionen försökt etablera tystnadsplikt för dataskyddsmyndigheternas anställda.

Att man vill ge tystnadsplikt till sådana anställda kan ha olika skäl: många företag är oerhört rädda för att deras datainsamlingsmetoder och databehandlingsmetoder är företagshemligheter, och yrkessekretess skulle ge dataskyddsmyndigheten ett sätt att utreda och samtidigt garantera företaget konfidentialitet.

Å andra sidan är det också viktigt att dataskyddsmyndigheterna är transparenta i sin verksamhet och det är möjligt att man vill precisera att det är ju konfidentiell företagsinformation man menar.

Tystnadsplikt är annars något som jag antar att de flesta medlemsländer har definierat för specifika yrkesgrupper, även i det offentliga. Läkare, socialsekreterare, präster, är exempel på grupper som omfattas i Sverige.

En riktigt underlig detalj är att ministerrådet lagt texten i artikel 50 i artikel 49(2) istället - man undrar varför tystnadsplikt inte har uppfattats som kontroversiell i artikel 49(2) samtidigt som flera stora delegationer drabbats av ramaskri när tystnadsplikten tydliggörs i en egen artikel. Antingen är regeringens förhandlare slapphänta i sin granskning av texten i övrigt, eller så kan det vara bra att faktiskt ha tystnadsplikt. Det är i vilket fall tydligt att man måste bestämma sig.

	Kommissionens text	Ministerrådets text
Artikel 51(1)	Each supervisory authority shall exercise, on the territory of its own Member State, the powers conferred on it in accordance with this Regulation.	Each supervisory authority shall be competent to perform theand to exercise the powers conferred on it in accordance withRegulation on the territory of its own Member State.

Sveriges regering efterfrågar tydligare fördelning av ansvar mellan medlemsländerna olika dataskyddsmyndigheter.

Kommissionen har föreslagit att vid gränsöverskridande databehandlingar, ska det medlemsland där företaget är baserat vara det land som tar ansvar för att företaget uppfyller villkoren i förordningen. Det är väldigt bekvämt för företag, och framför allt multinationella företag, som då bara behöver förhålla sig till en enda myndighet.

Den franska dataskyddsmyndigheten CNIL upplever att det rimligaste tillvägagångssättet för att skydda medborgerliga rättigheter är att huvudsakligen fördela ansvar för utredningar och upprätthållande av förordningen till privatpersonernas medlemsland. Alltså till dataskyddsmyndigheten i det land där privatpersonen befinner sig. Det är mycket enklare för ett företag att justera sig till ett annat medlemslands juridiska processer än vad det är för en privatperson att sätta sig in i hur det institutionella systemet i en främmande medlemsland med ett främmande språk fungerar.

Artikel 51(1) bör läsas samtidigt som artikel 56 om gemensamma utredningar. Ministerrådet har tyvärr gått hårt åt den senare artikeln, varför kommissionens ansvarsfördelning mellan dataskyddsmyndigheter i ministerrådets tappning knappast längre innehåller några fördelar för slutkonsumenter och medborgare.

I parlamentets version av förordningen från januari 2013 finns ett system som bättre låter medborgare ta kontakt med sina egna dataskyddsmyndigheter och få dem ansvariga, samtidigt som samarbetsmekanismen i Artikel 56 inte störs. Samarbetsmekanismerna är dock mycket känsliga för medlemsstaterna, som egentligen inte har någon lust att samarbeta.

Samarbetsmekanismer för dataskyddsmyndigheter etableras via t ex European Data Protection Board, och det finns ingen allmän anledning att misstänka dataskyddsmyndigheterna för att vägra samarbeta om pågående utredningar. Se kommentar till Artikel 55 (fotnot 437).

	Kommissionens text	Ministerrådets text
Artikel 54	Each supervisory authority must draw up an annual report on its activities. The report shall be presented to the national parliament and shall be made be available to the public, the Commission and the European Data Protection Board.	Each supervisory authority shall draw up an annual report on its activities. The report shall be transmitted to the government and the national parliament and shall be made available to the public, the Commission and the European Data Protection Board.

Sveriges regering säkerställer sig om att också regeringar ska motta verksamhetsrapporter från dataskyddsmyndigheter (istället för bara nationella parlament/riksdagar).

	Kommissionens text	Ministerrådets text
Artikel 55	(1) Supervisory authorities shall provide each other relevant information and mutual assistance in order to implement and apply this Regulation in a consistent manner, and shall put in place measures for effective co-operation with one another. Mutual assistance shall cover, in particular, information requests and supervisory measures, such as requests to carry out prior authorisations and consultations, inspections and prompt information on the opening of cases and ensuing developments where data subjects in several Member States are likely to be affected by processing operations.	(1) Supervisory authorities shall provide each other with relevant information and mutual assistance in order to implement and apply this Regulation in a consistent manner, and shall put in place measures for effective co-operation with one another. Mutual assistance shall cover, in particular, information requests and supervisory measures, such as requests to carry out prior authorisations and consultations, inspections and investigations. This shall apply in particular where the supervisory authority to which the complaint has been lodged is not the authority of the main establishment of the controller or processor. Mutual assistance shall also cover the provision of information on the conduct of investigations where data subjects in several Member States are likely to be affected by processing operations by the controller or processor.
	(2) Each supervisory authority shall take all appropriate measures required to reply to the request of another supervisory authority without delay and no later than one month after having received the request. Such measures may include, in particular, the transmission of relevant information on the course of an investigation or enforcement measures to bring about the cessation or prohibition of processing operations contrary to this Regulation.	(2) Each supervisory authority shall take all appropriate measures required to reply to the request of another supervisory authority without undue delay and no later than one month after having received the request. Such measures may include, in particular, the transmission of relevant information on the conduct of an investigation or enforcement measures to bring about the suspension or prohibition of processing operations which infringe this Regulation.
	(3) The request for assistance shall contain all the necessary information, including the purpose of the request and reasons for the request. Information exchanged shall be used only in respect of the matter for which it was requested.	(3) The request for assistance shall contain all the necessary information, including the purpose of the request and reasons for the request. Information exchanged shall be used only for the purpose for which it was requested.
	(4) A supervisory authority to which a request for assistance is addressed may not refuse to comply with it unless:	(4) A supervisory authority to which a request for assistance is addressed may not refuse to comply with it unless:
	(a) it is not competent for the request; or	(a) it is not competent for the subject-matter of the request; or
	(b) compliance with the request would be in compatible with the provisions of this Regulation.	(b) compliance with the request would be incompatible with the provisions of this Regulation or with Union or Member State law to which the supervisory authority receiving the request is subject.
	(5) The requested supervisory authority shall inform the requesting supervisory authority of the results or, as the case may be, of the progress or the measures taken in order to meet the request by the requesting supervisory authority.	(5) The requested supervisory authority shall inform the requesting supervisory authority of the results or, as the case may be, of the progress or the measures taken in order to respond to the request. In cases of a refusal under paragraph 4, it shall explain its reasons for refusing the request .
	(6) Supervisory authorities shall supply the information requested by other supervisory authorities by electronic means and within the shortest possible period of time, using a standardised format.	(6) Supervisory authorities shall supply the information requested by other supervisory authorities by electronic means (…), using a standardised format.
	(7) No fee shall be charged for any action taken following a request for mutual assistance.	(7) No fee shall be charged for any action taken following a request for mutual assistance. Supervisory authorities may agree with other supervisory authorites rules for indemnification by other supervisory authorities for specific expenditure arising from the provision of mutual assistance in exceptional circumstances.
	(8) Where a supervisory authority does not act within one month on request of another supervisory authority, the requesting supervisory authorities shall be competent to take a provisional measure on the territory of its Member State in accordance with Article 51(1) and shall submit the matter to the European Data Protection Board in accordance with the procedure referred to in Article 57.	(8) Where a supervisory authority does not provide the information referred to in paragraph 5 within one month of receiving the request of another suervisory authority, the requesting supervisory authority may adopt a provisional measure on the territory of its Member State in accordance with Article 51(1) and shall submit the matter to the European Data Protection Board and the Commission in accordance with the consistency mechanism referred to in Article 57.
	(9) The supervisory authority shall specify the period of validity of such provisional measure. This period shall not exceed three months. The supervisory authority shall, without delay, communicate those measures, with full reasons, to the European Data Protection Board and to the Commission.	(9) The supervisory authority shall specify the period of validity of such a provisional measure which shall not exceed three months. The supervisory authority shall, without delay, communicate such a measure, together with its reasons for adopting it, to the European Data Protection Board and to the Commission in accordance with the consistency mechanism referred to in Article 57.
	(10) The Commission may specify the format and procedures for mutual assistance referred to in this article and the arrange ments for the exchange of information by electronic means between supervisory authorities, and between supervisory authorities and the European Data Protection Board, in particular the standardised format referred to in paragraph 6. Those implementing acts shall be adopted in accordance with the examination procedure referred to in Article 87(2).	(10) The Commission may specify the format and procedures for mutual assistance referred to in this article and the arrangements for the exchange of information by electronic means between supervisory authorities, and between supervisory authorities and the European Data Protection Board, in particular the standardised format referred to in paragraph 6. Those implementing acts shall be adopted in accordance with the examination procedure referred to in Article 87(2).

Sveriges regering önskar tydligare ramverk för samarbete mellan dataskyddsmyndigheter.

I många medlemsländer som har särskilt traumatiska minnen av missbruk av personuppgiftsbehandling har dataskyddsmyndigheter ett konstitutionellt skydd. Det gäller inte i Sverige. Inte heller i Storbritannien eller Irland och vissa andra medlemsländer.

När dataskyddsmyndigheternas självständighet och vikt för samhället är konstitutionellt skyddat måste man i EU-rätten tassa väldigt försiktigt för att samarbetsmekanismer inte oavsiktligen ska komma att gå emot nationell konstitutionell rätt. Det är en inte helt enkel uppgift för kommissionen, och säkerligen inte heller för de flesta medlemsstater. Det är svårt att leva sig in i andra nationers konstitutionella ramverk.

Det som är tydligt är att medlemsländerna via olika vagare formuleringar beskär sina egna dataskyddsmyndigheters förpliktelser att assistera andra dataskyddsmyndigheter. Man har också skurit ned varje dataskyddsmyndighets befogenheter att vidta egna åtgärder mot brott mot personuppgiftslagstiftningen. Småsaker som att förlänga svarstid, och ställa lägre krav på svarskvaliteten, gör att förutsättningarna för samarbete försämras.

	Kommissionens text	Ministerrådets text
Artikel 55(2)	Each supervisory authority shall take all appropriate measures required to reply to the request of another supervisory authority without delay and no later than one month after having received the request. Such measures may include, in particular, the transmission of relevant information on the course of an investigation or enforcement measures to bring about the cessation or prohibition of processing operations contrary to this Regulation.	(2) Each supervisory authority shall take all appropriate measures required to reply to the request of another supervisory authority without undue delay and no later than one month after having received the request. Such measures may include, in particular, the transmission of relevant information on the conduct of an investigation or enforcement measures to bring about the suspension or prohibition of processing operations which infringe this Regulation.

Sveriges regering invänder att det inte är rimligt att myndigheter ska ge varandra svar på en månad eller mindre.

Sådana här små grejer gör det svårare för medlemsstaterna att samarbeta med varandra. Det kan vara ett helt godtagbart mål för den europeiska politiken, men är inte så bra inom ett område där två decenniers utredningar visat att större samarbete är nödvändigt.

	Kommissionens text	Ministerrådets text
Artikel 55(4)	(4) A supervisory authority to which a request for assistance is addressed may not refuse to comply with it unless:	(4) A supervisory authority to which a request for assistance is addressed may not refuse to comply with it unless:

Sveriges regering invänder att myndigheter borde få vägra samarbeta med andra myndigheter utan att vara begränsade i vilka specifika fall man anger för att vägra samarbetet.

Tanken bakom lär vara att ingen myndighet någonsin kommer att vägra samarbeta bara för att jävlas, men det är frågan om det är en särskilt vettig hållning givet vad vi vet om svårigheten att få medlemsstater att samarbeta med varandra på ett konstruktivt sätt. Ett av unionens stora problem är att medlemsstaternas regeringar till syvende og sist inte gillar att behöva samarbeta särskilt mycket. Det är därför många kompromisser från EU blir väldigt svårbegripliga för medborgare.

Den irländska dataskyddsmyndigheten, som är erkänt dåligt utrustad personalmässigt och kompetensmässigt, är också ansvarig för nästan samtliga stora amerikanska IT-företag med verksamhet i EU (Google, Facebook, Microsoft, et c). Vid ett tillfälle vägrade de hjälpa en österrikisk student med hans frågor om huruvida Facebook uppfyllde vissa kriterier i den irländska dataskyddslagstiftningen (som gäller på Irland). Deras svar indikerade inte en anledning till varför de inte ville vara hjälpsamma, och när den österrikiske studenten försökte överklaga beslutet fick han veta att man på Irland bara kan överklaga myndigheters beslut om man har fast bostad på Irland.

När kraven som ställs på medborgare och anställda vid myndigheter för att de ska se till att lagar efterföljs och upprätthålls på bäst sätt är att de ska expatriera sig, är kraven för högt ställda, men i många av de ovanstående kommentarerna ser man också att detta inte är en övervägning som Sveriges regering har haft i åtanke.

Sådana här små grejer gör det svårare för medlemsstaterna att samarbeta med varandra. Det kan vara ett helt godtagbart mål för den europeiska politiken, men är inte så bra inom ett område där två decenniers utredningar visat att större samarbete är nödvändigt.

	Kommissionens text	Ministerrådets text
Artikel 55(4)(a)	(4) A supervisory authority to which a request for assistance is addressed may not refuse to comply with it unless:	(4) A supervisory authority to which a request for assistance is addressed may not refuse to comply with it unless:
	(a) it is not competent for the request; or	(a) it is not competent for the subject-matter of the request; or

Se kommentarer till Artikel 55, Artikel 55(1), Artikel 55(2) och Artikel 55(4) (fotnot 436, 437, 437 och 440).

Sådana här små grejer gör det svårare för medlemsstaterna att samarbeta med varandra. Det kan vara ett helt godtagbart mål för den europeiska politiken, men är inte så bra inom ett område där två decenniers utredningar visat att större samarbete är nödvändigt.

	Kommissionens text	Ministerrådets text
Artikel 55(8)	(8) Where a supervisory authority does not act within one month on request of another supervisory authority, the requesting supervisory authorities shall be competent to take a provisional measure on the territory of its Member State in accordance with Article 51(1) and shall submit the matter to the European Data Protection Board in accordance with the procedure referred to in Article 57.	(8) Where a supervisory authority does not provide the information referred to in paragraph 5 within one month of receiving the request of another suervisory authority, the requesting supervisory authority may adopt a provisional measure on the territory of its Member State in accordance with Article 51(1) and shall submit the matter to the European Data Protection Board and the Commission in accordance with the consistency mechanism referred to in Article 57.

Svenska regeringen föreslår att den frågande myndigheten ska begränsas i sitt handlingsutrymme. Bland annat specificerar man vilken typ av information som ska ha uteblivit för att den frågande myndigheten ska få kompetensen att självständigt agera.

I kommissionens förslag behöver den svarande myndigheten påbörja handling inom en månad. I Sveriges formulering ska man ha skickat information specificerad i artikel 55(5) inom en månad. Om handling eller svar uteblir från den frågande myndigheten vidta egna åtgärder.

Sådana här små grejer gör det svårare för medlemsstaterna att samarbeta med varandra. Det kan vara ett helt godtagbart mål för den europeiska politiken, men är inte så bra inom ett område där två decenniers utredningar visat att större samarbete är nödvändigt.

	Kommissionens text	Ministerrådets text
Artikel 56	(1) In order to step up co-operation and mutual assistance, the supervisory authorities shall carry out joint investigative tasks, joint enforcement measures and other joint operations, in which designated members or staff from other Member States’ supervisory authorities are involved.	(1) (…) The supervisory authorities may , where appropriate, conduct joint operations, including joint investigatons and joint enforcement measures (…) in which (…) members or staff from other Member States’ supervisory authorities are involved.
	(2) In cases where data subjects in several Member States are likely to be affected by processing operations, a supervisory authority of each of those Member States shall have the right to participate in the joint investigative tasks or joint operations, as appropriate. The competent supervisory authority shall invite the supervisory authority of each of those Member States to take part in the respective joint investigative tasks or joint operations and respond to the request of a supervisory authority to participate in the operations without delay.	(2) In cases where a significant number of data subjects in several Member States are likely to be adversely affected by processing operations, a supervisory authority of each of those Member States shall have the right to participate in the (…) joint operations, as appropriate. The competent supervisory authority shall invite the supervisory authority of each of those Member States to take part in the (…) joint operations concerned and respond to the request of a supervisory authority to participate (…) without delay.
	(3) Each supervisory authority may, as a host supervisory authority, in compliance with its own national law, and with the seconding supervisory authority’s authorisation, confer executive powers, including investigative tasks on the seconding supervisory authority’s members or staff involved in joint operations or, in so far as the host supervisory authority’s law permits, allow the seconding supervisory authority’s members or staff to exercise their executive powers in accordance with the seconding supervisory authority’s law. Such executive powers may be exercised only under the guidance and, as a rule, in the presence of members or staff from the host supervisory authority. The seconding supervisory authority’s members or staff shall be subject to the host supervisory authority’s national law. The host supervisory authority shall assume responsibility for their actions.	(3) A supervisory authority may, (…) in compliance with its own Member State law, and with the seconding supervisory authority’s authorisation, confer (…) powers, including investigative powers on the seconding supervisory authority’s members or staff involved in joint operations or, in so far as the host supervisory authority’s law permits, allow the seconding supervisory authority’s members or staff to exercise their investigative powers in accordance with the seconding supervisory authority’s law. Such investigative powers may be exercised only under the guidance and (…) in the presence of members or staff from the host supervisory authority. The seconding supervisory authority’s members or staff shall be subject to the host supervisory authority’s national law. (…)
	(4) Supervisory authorities shall lay down the practical aspects of specific co-operation actions.	(…)
	(5) Where a supervisory authority does not comply within one month with the obligation laid down in paragraph 2, the other supervisory authorities shall be competent to take a provisional measure on the territory of its Member State in accordance with Article 51(1).	(5) Where a joint operation is intended and a supervisory authority does not comply within one month with the obligation laid down in the second sentence of paragraph 2, the other supervisory authorities may adopt a provisional measure on the territory of its Member State in accordance with Article 51(1).
	(6) The supervisory authority shall specify the period of validity of a provisional measure referred to in paragraph 5. This period shall not exceed three months. The supervisory authority shall, without delay, communicate those measures, with full reasons, to the European Data Protection Board and to the Commission and shall submit the matter in the mechanism referred to in Article 57.	(6) The supervisory authority shall specify the period of validity of a provisional measure referred to in paragraph 5, which shall not exceed three months. The supervisory authority shall, without delay, communicate such a measure, together with its reasons for adopting it, to the European Data Protection Board and to the Commission (…) in accordance with the consistency mechanism referred to in Article 57.

Sveriges regering vill ha mer detaljer kring hur gemensamma utredningar om dataskyddsöverträdelser kan gå till.

Det är emellertid inte svårt att förstå hur svenska regeringen kan bli förvirrad när ministerrådet föreslår att ta bort Artikel 56(4) som lämnar det på dataskyddsmyndigheterna att utarbeta en modell för gemensamma utredningar sinsemellan. Antingen litar inte svenska regeringen på Datainspektionen, eller så litar inte regeringen på dataskyddsmyndigheter i andra länder.

Ministerrådet har höjt ribban för när utredningar får utföras gemensamt. Istället för att varje dataskyddsmyndighet får delta i arbetet med att skydda personer som befinner sig inom deras verksamhetsområde (för Datainspektionen typiskt “Sverige”) måste ett “betydande antal” medborgare från andra länder vara involverade. Även i dessa fall, ska enligt ministerrådets artikel 56(1), gemensamma utredningar genomföras bara “när det är lämpligt”. Det är osäkert vem som har befogenhet att avgöra vad som är “lämpligt”.

Den som leder arbetet med de gemensamma utredningarna är den dataskyddsmyndighet som angivits i Artikel 51. I kommissionens version av förordningen den dataskyddsmyndighet som har befogenhet över det territorium där företaget eller myndigheten är baserade.

	Kommissionens text	Ministerrådets text
Artikel 5X	A58(1) Before a supervisory authority adopts a measure referred to in paragraph 2, this supervisory authority shall communicate the draft measure to the European Data Protection Board and the Commission.	A57(2). Before the competent supervisory authority adopts a measure referred to in paragraph 3, it shall communicate the draft measure to the European Data Protection Board and the Commission.
	A58(2) The obligation set out in paragraph 1 shall apply to a measure intended to produce legal effects and which:	A57(3) The obligation set out in paragraph 2 shall apply to a draft measure (…) which:
	A58(2)(a) relates to processing activities which are related to the offering of goods or services to data subjects in several Member States, or to the monitoring of their behaviour; or	A57(2)(a) is intended to exercise the powers of the supervisory authority referred to in points (b), ©, (eb), (f), (g) and (h) of paragraph 1 of Article 53 or to impose an administrative fine pursuant to Articles 79 and 79a and relates to processing activities which substantially affect a significant number of data subjects in several Member States; or

Sveriges regering vill inte lämna över kompetenser till European Data Protection Board (EDPB), ett europeiskt samarbetsorgan för dataskyddsmyndigheter som får träda i kraft och agera i situationer som av kommissionen radas upp i Artikel 58, och av ministerrådet i Artikel 57. Sverige föreslår att dataskyddsmyndigheterna i så stor utsträckning som möjligt ska uppmuntras komma överens på egen hand.

Ett dilemma med dataskyddsförordningen som beskrivits ovan är att många dataskyddsmyndigheter åtnjuter konstitutionellt skydd. Det gör att man inte kan överträda deras kompetenser hur som helst.

Men mycket databehandling och många inblandade företag är också multinationella eller verkar i hela unionen, särskilt nätföretag. För att dessa företag ska få juridisk säkerhet har man försökt skapa mekanismer som skapar snabb och omedelbar förutsägbarhet i hela unionen kring hur lagstiftningen ska appliceras.

Det finns naturligtvis andra metoder att skapa juridisk säkerhet. Den metod ministerrådet verkar välja är att göra all lagstiftning så luddig och otydlig att den bara med svårighet kan tolkas och efterlevas, samtidigt som man gör alla metoder att alls ta sig an uppdraget att tolka och tillse lagens implementation omöjligt. Det är naturligtvis ett sätt att komma till bukt med samarbetssvårigheterna medlemsländerna emellan, men inte det sätt som människor i EU tjänar mest på.

Att centralisera information om vissa typer av beslut hos EDPB gör det möjligt för samtliga dataskyddsmyndigheter att följa samtliga beslut. Det kan vara rimligt. Ministerrådet verkar också föreslå att rapporteringskrav bara ska gälla i fall när ett särskilt stort antal privatpersoner i olika medlemsländer påverkas av beslutet (kommissionens ursprungstext ger bara kravet att privatpersoner i många medlemsländer ska påverkas utan att specificera vilket antal personer som gäller). Det är inte säkert att det är bra.

	Kommissionens text	Ministerrådets text
Artikel 5X	A58(4) In order to ensure correct and consistent application of this Regulation, the Commission may request that any matter shall be dealt with in the consistency mechanism.	A57(4) 461Any supervisory authority concerned or the European Data Protection Board may request that any matter referred to in paragraph 3 shall be dealt with in the consistency mechanism, in particular where a supervisory authority does not submit a draft measure referred to in paragraph 3 or does not comply with the obligations for mutual assistance in accordance with Article 55 or for joint operations in accordance with Article 56.

Sveriges regering vill att så få fall som möjligt ska avgöras via samarbete om harmoniserad tillämpning av förordningen.

Det är alldeles säkert dålig strategi om man vill ha en harmoniserad och effektiv tillämpning av lagstiftningen gentemot stora nätföretag. Man kan också tänka sig att IT-företag som levererar tjänster till offentlig sektor i flera medlemsländer vore intresserade att få samma regelverk och tillämpning i flera medlemsländer.

Det synes mestadels vara en invändning emot att skjuta mer makt till unionen, som inte har sikte på något särskilt mål (exempelmål: bättre tillämpbar lagstiftning, förutsägbar lagstiftning, osv). Ännu ett uttryck för “kan själv”, men med det inte sagt att det inte kan vara bra att vara på sin vakt mot att svenska offentliga institutioners rutiner påverkas av att företag vill att våra rutiner ska tillnärmas en europeisk standard gällandes IT-säkerhet.

Svenska politiker bör dock ha i åtanke att en avsaknad av institutionella metoder att upprätthålla europeisk och svensk personuppgiftslag på EU-nivå medför att våra offentliga institutioner istället köper tjänster som följer amerikansk rättstillämpning (eftersom den är enkel att förutse i sin tolkning och inte divergerande över hela det amerikanska territoriet). Eftersom USA inte har några federala lagar för privatlivsskydd, och inget konstitutionellt privatlivsskydd som sträcker sig till sådana personer som inte är amerikanska invånare, är det mycket tveksamt om det här alls är en bra strategi för europeiska människor och offentliga institutioner. Vi vill kunna förutse att våra egna lagar upprätthålls när vi brukar tjänster i våra egna länder.

	Kommissionens text	Ministerrådets text
Artikel 59 (titel)	Opinion by the Commission	(…)

Svenska regeringen tar bort kommissionens yttranderätt om European Data Protection Boards åtgärder.

Det är tveksamt om kommissionen bör ha kompetensen att bestrida tillsynsmyndighetens (EDPBs) åtgärder, eftersom det inskränker EDPBs självständighet.

Samtidigt kan man tänka sig att det är relevant att kommissionen i alla fall informeras om processen.

	Kommissionens text	Ministerrådets text
Artikel 60 (titel)	Suspension of a draft measure	(…)

Svenska regeringen föreslår tillsammans med andra medlemsstater att kommissionen inte ska få invända mot beslut från European Data Protection Board.

Det är tveksamt om kommissionen bör ha kompetensen att bestrida tillsynsmyndighetens (EDPBs) åtgärder, eftersom det inskränker EDPBs självständighet.

Däremot kan man tänka sig att det är bra om det finns en möjlighet att överklaga EDPBs beslut, t ex till EG-domstolen.

	Kommissionens text	Ministerrådets text
Artikel 72	(1) The discussions of the European Data Protection Board shall be confidential.	(1) The discussions of the European Data Protection Board shall be confidential.
	(2) Documents submitted to members of the European Data Protection Board, experts and representatives of third parties shall be confidential, unless access is granted to those documents in accordance with Regulation (EC) No 1049/2001 or the European Data Protection Board otherwise makes them public.	(2) Access to documents submitted to members of the European Data Protection Board, experts and representatives of third parties shall be governed by Regulation (EC) No 1049/2001.
	(3) The members of the European Data Protection Board, as well as experts and representatives of third parties, shall be required to respect the confidentiality obligations set out in this Article. The chair shall ensure that experts and representatives of third parties are made aware of the confidentiality requirements imposed upon them.	(3) The members of the European Data Protection Board, as well as experts and representatives of third parties, shall be required to respect the confidentiality obligations set out in this Article. The chair shall ensure that experts and representatives of third parties are made aware of the confidentiality requirements imposed upon them.

Sveriges regering invänder att European Data Protection Board inte bör agera under konfidentialitet (stängda möten).

Förmodligen en riktig invändning. Slutna överläggningar bör alltid behöva motiveras om myndigheten vill föra sådana.