Sverige i EU: Slutgiltigt dataskyddsförlag en skymf mot mänskliga rättigheter
EU:s ministrar för rättsliga och inrikesfrågor sammanträder bara ett fåtal gånger per år. De senaste gångerna har varit december 2014 och mars 2015. Dataskydd.NET har vid båda tillfällena skrivit om regeringen och dataskydd.
Nästa möte är 15 juni 2015, det vill säga om ett fåtal dagar. Förberedande dokument, så kallade rådspromemorior, har bara varit tillgängliga sedan i tisdags. Nästa veckas möte är dock extra viktigt eftersom EU:s medlemsländer förväntas känna sig tillräckligt klara med sina egna förhandlingar för att kunna gå in i trialoger med parlamentet och kommissionen.
Det innebär i klartext att dataskyddsförhandlingarna nu är inne i sitt slutskede.
Målsättningen från både kommissionen och ministerrådet har varit att de nya reglerna ska kunna komma på plats innan 2015 är över.
Tyvärr har svenska regeringens bidrag till EU:s nya dataskyddspaket varit negativt. Man har försämrat kommissionens förslag genom att urholka privatpersoners rättigheter i förvaltningsväsendet, vården, gentemot företag, varje privatpersons rätt att ha makt över sig själv, och genom att förespråka utökning av undantag för säkerhet, allmän säkerhet, nationell säkerhet, försvar och polisiär verksamhet (som av någon anledning samtliga upplevs vara separata och distinkta begrepp). Man har agerat mot egna utredningar av det svenska dataskyddsregelverket (t ex SOU 2012:90 som drar slutsatsen att den svenska särregleringen av dataskydd inom varje förvaltning är "splittrande och föråldrad") och istället nogsamt verkat för att EU:s regelverk ska bevara dessa dåligt fungerande egenskaper i den svenska lagen. Man har också gjort motstånd mot tillräckliga sanktioner för de som inte vill följa lagstiftningen.
Mellan ministerrådet och EU-parlamentet finns fortfarande ett antal större punkter där man inte är överens: EU-parlamentets EPP-grupp har understrukit att det är fortsatt viktigt för parlamentet att man förhandlar både dataskyddsförordningen (för dataskydd i all verksamhet utom den polisiära) och dataskyddsdirektivet (för dataskydd i polisiär verksamhet) som ett paket - dataskyddspaketet. Ministerrådet har inte velat gå vidare med båda lagstiftningarna samtidigt, och Sveriges regering har varit bland dem som redan från början ansett att ett dataskyddsdirektiv kränker suveränitetsprincipen1
Det återstår att se hur parlamentet kommer att reagera på den situation att ministerrådet bara tar ett av förslagen vidare till förhandlingar med parlamentet.
Nedan följer Dataskydd.NET:s kommentarer på regeringens rådspromemoria inför måndagens möte (se också dp3 här):
Svensk ståndpunkt
Övergripande ståndpunkt
Regeringen bedömer att Sverige kan ställa sig bakom förslaget till generell allmän inriktning när det gäller den allmänna dataskyddsförordningen.
Detta är en stark indikation på att ministerrådet faktiskt kommer lyckas komma överens om ett eget förslag till dataskyddsförordning på måndag.
Förhållande till grundlagarna
En grundläggande förutsättning för regeringens arbete i förhandlingarna om förslaget har hela tiden varit att det är av yttersta vikt att den kommande regleringen inte kommer i konflikt med våra grundlagar. Det handlar framförallt om att säkerställa att offentlighetsprincipen och tryck- och yttrandefriheten inte inskränks. Det förslag som nu förhandlats fram innehåller en uttrycklig bestämmelse om offentlighetsprincipen och om information- och yttrandefrihet. Den senare bestämmelsen ser i allt väsentligt ut som den gör enligt dataskyddsdirektivet. Sveriges har varit drivande i båda dessa frågor.
Vad regeringen menar är att man har lagt till artiklarna 80a och 80aa i förordningen som garanterar statliga myndigheters rättigheter att fortsätta sälja personuppgifter. Försäljning av personuppgifter från statliga myndigheter har varit en kontroversiell fråga sedan 1980-talet, och har på senare tid också kritiserats av bland annat Kristdemokraterna2. Med kommissionens ursprungliga förslag hade det varit mycket tveksam om sådan försäljning hade kunnat fortsätta utan samtliga svenska privatpersoners föregående samtycke till varje enskild försäljning. Det är mycket oärligt av regeringen att framställa sin politiska linje som varandes journalistisk eller transparensdriven omtanke. Läs Dataskydd.NET:s analys från augusti 2013 om artikel 80a, men se även artiklarna 80a och 80aa i senaste konsoliderade versionen av förordningen från ministerrådet (återfinns på sidan 254 i dokumentet).
Regeringen bedömer att den föreslagna förordningen inte kommer i konflikt med våra grundlagar.
Tar regeringen inte sitt uppdrag i grundlagen att skydda privatliv, eller sina förpliktelser enligt Europeiska konventionen för mänskliga rättigheter, eller sina förpliktelser enligt EU-stadgan för grundläggande mänskliga rättigheter, på allvar, kan regeringen givetvis ha rätt i den bedömningen.
Regleringen av berättigade behov till personuppgiftsbehandling
Regeringen har vidare verkat för att hänsyn tas till de berättigade behov
som myndigheter, företag, privatpersoner, föreningar och
forskarsamhället har av att behandla personuppgifter.
På vardagsspråk betyder detta att regeringen verkat för att samtliga listade intressegrupper ska givas rätten att bedöma sig själva som viktigare än privatpersoners grundläggande rättigheter i allmänhet. Den bedömningen görs fristående, och privatpersonen vars rättigheter kränks behöver varken få reda på eller givas rätt att själv bedömma om den håller med. Avsnitten återfinns i artikel 6(1)(f) i förordningen, och är intuitivt helt motsatt den ambition vi borde ha med dataskydd och privatliv, nämligen att privatpersoner själva ges makten att bestämma över sig själv.
För regeringen har det t.ex. varit viktigt att den nuvarande regleringen om otvetydigt samtycke som rättslig grund för behandling behålls och att regleringens tillämpningsområde tydligare avgränsas mot privatpersoners helt privata behandling av personuppgifter. Dessa önskemål har tillgodosetts.
"Otvetydigt samtycke" är en legacy-fras från dataskyddsdirektivet från 1995. Frågan man bör ställa sig är hur en privatperson kan ge "tvetydigt samtycke"? På vilket sätt kan man säga ja, eller nej, på ett sätt sådant att den kan missförstås?
I syfte att främja fortsatt digitalisering och utveckling av handel på internet har regeringen strävat efter att den nya dataskyddsregleringen inte ska ålägga företag ökade administrativa och ekonomiska bördor, om inte dessa kan anses motiverade utifrån ett integritetsskyddsperspektiv. Regeringen har vidare med stor kraft verkat för att regleringen ska förbättra forskningens förutsättningar att behandla personuppgifter. Regeringens bedömning är sammanfattningsvis att den föreslagna förordningen skapar en god balans mellan berörda motstående intressen.
Regeringen har bland annat verkat för att det ska bli svårare för privatpersoner att få tag på information om vem som behandlar uppgifter om privatpersonerna, under vilka villkor uppgifterna behandlas och på vilket sätt det påverkar privatpersonerna (artikel 1, 6, 14a, och 19-20, se här eller läs fortfarande relevanta kommentarer från 2013 här). Regeringen har också verkat för att biometriska och genetiska uppgifter inte ska omfattas av dataskyddsregleringen (artikel 4, se här). Genom att genomgående verka för att införa fler vidlyftiga, breda och otydliga undantag från dataskyddsförordningen grundprinciper och faktiska text skapas ett svårmanövrerat juridiskt dokument som skadar allas intressen som inte har råd att hålla sig med juristarméer (se kommentar 5 juni 2015).
Utformning av hanteringsregler enligt en riskbaserad ansats
Regeringen har vidare under lång tid verkat för att den nya dataskyddsregleringen ska utformas enligt en missbruksmodell. Syftet med en sådan modell är att begränsa hanteringsreglernas tillämpning vid sådan ”vardaglig” behandling av personuppgifter som kan bedömas som riskfri från integritetssynpunkt (t.ex. e-post och ordbehandling). Det har dock visat sig svårt att på ett tydligt och rättssäkert sätt definiera och avgränsa sådan vardaglig behandling som typiskt sett kan bedömas som riskfri. Den föreslagna förordningen har därför istället utformats så att hanteringsreglerna ska tillämpas med utgångspunkt i en riskbaserad ansats. Den riskbaserade ansatsen innebär att regleringen ställer olika krav beroende på vilka integritetsrisker som behandlingen medför. Ju mer riskfylld behandlingen bedöms vara för den enskilde utifrån ett integritetsperspektiv, desto högre krav ställs på behandlingen. Regeringen bedömer därmed att det grundläggande syftet med att skapa en reglering utifrån en missbruksmodell i mångt och mycket har tillgodosetts genom den riskbaserade ansatsen, som går som en röd tråd genom den föreslagna förordningen.
Regeringens linje utgår alltså ifrån att regeringen är mycket klokare än varje svensk privatperson, och därför kan ges rätten att bedöma när privatpersonerna är utsatta för integritetsrisker och när privatpersonerna är nojiga och paranoida. Den riskbaserade modellen måste med nödvändighet tolkas som att staten och företagen upplever sig bättre bemedlade att fatta beslut som angår andra, privatpersoner och individer, åt dessa. En sådan nedvärderande attityd mot kapabla och självständiga individer i en liberal demokrati borde i sig ifrågasättas, men går som en röd tråd genom hela regeringens dataskyddsarbete sedan 1970-talet.
Utrymme för nationella registerförfattningar
Regeringen har vidare ansett att det är angeläget att den EU-rättsliga dataskyddsregleringen inte medför att utrymmet blir för snävt för att på nationell nivå ha sådan preciserad reglering av förutsättningarna för behandling av personuppgifter hos framförallt olika myndigheter som finns i de svenska registerförfattningarna. Utrymmet för att på nationell nivå precisera dessa förutsättningar har generellt bedömts vara större om dataskyddsregleringen ges formen av ett direktiv i stället för en förordning. Sverige har därför under större delen av förhandlingarna verkat för att regleringen ges formen av ett direktiv, även om stödet för den svenska ståndpunkten har varit svagt. Efter den partiella allmänna inriktningen i december 2014, som bl.a. tydliggör att medlemstaterna får anta specifika regler för den offentliga sektorn, minskade stödet för ett direktiv ytterligare. Regeringen bedömer att den flexibilitet som skapats genom preciseringar av medlemsstaternas normgivningsbefogenheter för främst myndigheternas behandling av personuppgifter ger ett sådant utrymme för nationella registerförfattningar att förordningsformen kan godtas. Vid överläggningar med regeringen har konstitutionsutskottet i mars 2015 ställt sig bakom denna bedömning.
Enligt uppskattning från erfarne jurister och domaren Sören Öman 2006 har Sverige uppemot 200 olika särskilda författningar för dataskydd i olika offentliga verksamheter. En helhetlig sammanställning av det totala antalet särskilda dataskyddsförfattningar i Sverige saknas år 2015, eftersom en utredning tillsatt 2011 efter fyra år ännu inte kommit till sitt slutskede. En delrapport från utredningen utfärdad år 2012 (SOU 2012:90 om överskottsinformation) kom fram till att det nuvarande särregleringsförfarandet är "splittrande och föråldrat" (s. 165, SOU 2012:90).
Om fler än två dussin jurister (som listas som konsulterade experter i början av SOU 2012:90) inte på snart fem år kan ta reda på hur privatpersoner gynnas av det nuvarande dataskyddsregelverket i Sverige - eller för den delen ens kan kartlägga vilket regelverket är! - hur förväntar man sig då att privatpersoner ska förstå och veta vilket deras skydd är?
Ett skydd för den personliga integriteten och för personuppgifter kan av uppenbara skäl inte bli bättre än det är möjligt för varje individ som berörs att själv begripa. Det man skapar genom att kämpa med näbbar och klor för detta föråldade, splittrande regelverk är situationen att varje myndighet som berörs ges goda verktyg att påverka lagstiftaren i en önskad, tillåtande inriktning, medan varje privatperson istället måste förhålla sig till ett otransparent, okänt regelverk som varje individ bara eventuellt någon gång kommer komma i kontakt med. Maktbalansen och rättighetsförsvarandet är till individens nackdel redan från början - det här är ett system där privatpersoner inte kan försvara sig. Det är alldeles oerhört att regeringen framhåller det som en framgång att man lyckats försvara detta otidsenliga, individfientliga och rättighetsdestruktiva system.
Begränsad behörighet för kommissionen att meddela delegerade akter och
genomförandeakter
Regeringen har även, i linje med konstitutionsutskottets påpekande, verkat för att kommissionens möjlighet att meddela s.k. delegerade akter och genomförandeakter ska begränsas i så stor utsträckning som möjligt. I stort sett alla medlemsstater har haft samma utgångspunkt när det gäller denna fråga. Resultatet av detta arbete är att huvuddelen av de bemyndiganden som kommissionen ursprungligen föreslagit har tagits bort i det lettiska ordförandeskapets kompromissförslag. Regeringen bedömer att det fåtal delegationer som finns kvar kan godtas. Det handlar t.ex. om att kommissionen ges behörighet att utfärda tekniska standarder för, och närmare specificera processen för, informationsutbyte mellan myndigheter och företag inom Europa i syfte att underlätta informationsutbyte som är sanktionerat av förordningen.
Om regeringen inte varit direkt fientliga mot mänskliga rättigheter och privatliv i hela övriga förordningen hade det här kunnat vara ett bra förslag. Tyvärr är EU-kommissionen privatlivets och de mänskliga rättigheternas bästa vän i den här historian, och det kommer inte gynna privatpersoner att regeringen på detta sätt urholkar deras möjligheter att förbättra dataskydd.
Med lite tur sitter det någon på Justitiedepartementet eller i riksdagen och skäms just nu. Sannolikare är förstås att de inte skäms - men en sak torde vara fullständigt säker nu när Sverige åker till Bryssel för att prata dataskydd: Regeringsförklaringen 2014 var en lögn. Regeringen har inte verkat för bättre dataskydd. Det är en skymf mot internationella rättsinstrument och individuella rättigheter att resonera så som regeringen gjort ovan, och som svenska medborgare borde vi ha en rättighet att förvänta oss att regeringen agerar i vårt intresse, inte emot det.
- 1. Nota bene på underliga grunder. Sveriges regering har bland annat varit med och tagit fram ett ramverksbeslut för dataskydd i polisiär verksamhet 2008, som i princip bara skiljer sig från dataskyddsdirektivet i det att EU-parlamentet inte får bidra med förbättringar. Eftersom EU-parlamentet normalt skyddar individuella rättigheter mycket bättre än medlemsländernas justitiedepartement - som drivs i sin politiska verksamhet av önskemål från polismyndigheterna själva - är det mycket bättre för medborgarnas rättigheter att EU-parlamentet får en möjlighet att yttra sig.
- 2. Se kristdemokraternas kritik från augusti 2013. Men lägg också märke till åklagarmyndighetens sammankoppling mellan personuppgiftsförsäljning och det ökande problemet med identitetsstöld i Dagens industris artikel Den stora blåsningen, om e-legitimationskapningar