Brottsdatalag: allmänt bra men många frågetecken
Utredningen om en ny brottsdatalag (SOU 2017:29) är resultatet av det svenska utredningsväsendets försök att greppa EU:s direktiv om personuppgiftsbehandling hos de brottsbekämpande myndigheterna.
Vid en första genomläsning ser Brottsdatalag, till skillnad från sin äldre kusin Myndighetsdatalag (SOU 2015:39), ut att inte bli allt för detaljerad i sina bestämmelser och heller inte beskära sådana rättigheter som privatpersoner redan haft idag. Flexibiliteten i EU:s lagstiftning har inte varit stor, annat än i möjligheten att göra breda undantag för nationell säkerhet, men detta har utredningen mestadels ansett att polisiär verksamhet inte berörs av. Dataskydd.net är positiva till det.
En allmänt hållen lagstiftning ger bättre förutsättningar för både Datainspektionen och Polismyndigheten att planera sin infrastruktur och sina IT-system efter vad som är tekniskt rimligt och möjligt. Detaljbeskrivningar i lag riskerar att låsa in den tekniska utvecklingen vid något särskilt, inte nödvändigtvis effektivt, skydd och blir även svåra att ändra.
Men det finns underliga hål i utredningen: behandling av personuppgifter som samlats in via tvångsmedel ges ingen uppmärksamhet alls. Förhoppningsvis kommer utredaren tillbaka till detta i ett senare betänkande. Begreppet "biometri" verkar utredaren helt enkelt ha missförstått. Sammansättning "bio" och "metri" implicerar att det innefattar varje form av data som gör att man kan mäta en biologisk egenskap hos någon, inklusive fotografier, inte att "biometriska data" ska tolkas som att de bara utgörs av resultatet av en behandling av biometriska data.
Att underleverantörer som polisen hyr in för särskilda utredningar inte ska täckas av brottsdatalag är underligt. Under den allmänna dataskyddslagstiftningen har dessa aktörer möjlighet att åberopa berättigat intresse eller instruktioner från myndighet (juridisk förpliktelse) för att behandla uppgifter i strid mot privatpersoners kunskap och rättigheter, utan att privatpersoner nödvändigtvis får reda på det. En risk finns alltså att utkontraktering av vissa tveksamma etiska praktiker tillåter polisen att kringgå det annars höga skydd de är tänkta att behöva garantera för privatpersoner.
Inte heller är det piggt att Datainspektionen begränsas i sitt tillsynsarbete på det sätt utredningen föreslår. Dels ska Datainspektionen hinna avsluta tillsyner på fem år, men för att kunna gå hela vägen till en ekonomisk sanktion måste de påtala, påpeka, varna, och klaga: alla dessa steg i tillsynsprocessen tar åtskilliga år att fullfölja, vilket visas inte minst av Datainspektionens nio år långa interaktioner med Gävleborgs landsting - som fortfarande inte följer patientdatalagen trots påpekanden och varningar.
Dataskydd.net saknar referenser tillbaka till Integritetskommitténs delbetänkande SOU 2016:41.
Om utredningen om Brottsdatalag hade itererat över redan befintlig statlig kunskap på integritetsområdet hade den insett att privatpersoner redan idag har mycket dåliga förutsättningar att utkräva ansvar av myndigheter genom till exempel skadestånd. Inte heller hade utredningen då definierat "oberoendet" i tillsynen som ett oberoende från medborgaren - vid rättsprövningar i EU (Schrems-målet, Kommissionen mot Ungern) har oberoendet istället handlat om oberoende från de politiska makthavarna.
Dessutom finns en aspekt incitamentslära som gått utredningen helt förbi: sanktioner behöver inte utdömas mot myndigheter för att de per se skulle vara elaka, utan för att det är dyrt och tråkigt att förändra bristfälliga dataskyddsrutiner. Sanktionerna är där för att det ska bli ännu dyrare och tråkigare att låta bli.
Dataskydd.net är remissinstans och kommer återkomma till utredningen.
Läs mer:
SOU 2017:29, Brottsdatalag:
http://www.regeringen.se/rattsdokument/statens-offentliga-utredningar/20...
SOU 2016:41, Hur står det till med den personliga integriteten? – En kartläggning av Integritetskommittén:
http://www.regeringen.se/rattsdokument/statens-offentliga-utredningar/20...
SOU 2015:39, Myndighetsdatalag:
http://www.regeringen.se/rattsdokument/statens-offentliga-utredningar/20...
Datainspektionen, Skarp kritik mot hanteringen av patientuppgifter i Gävle (2017.04.25):
http://www.datainspektionen.se/press/nyheter/2017/skarp-kritik-mot-hante...
Kommissionen mot Ungern (2014.05.16):
http://curia.europa.eu/juris/documents.jsf?num=C-288/12
Schems mot Datainspektionen på Irland (2015.10.06):