Sammanfattningar regeringens invändningar i ministerrådet

En av ministerrådets arbetsgrupper träffades i juni 2013 för att förhandla om den nya dataskyddsförordningen. Dessa förhandlingar är alltid hemliga, men protokoll skrivs. Ett sådant protokoll har nu läckt ut och här kommenterar vi svenska regeringens olika invändningar och åsikter.

Detta är en sammanfattning av våra kommentarer. Totalt finns det 68 invändningar från svenska regeringen. Läs samtliga kommentarer på https://dataskydd.net/kommentarer-pa-regeringens-asikter/

Det läckta protokoll finns här.

Kommissionens förslag på ny dataskyddsförordning finns här.

Direktivet från 1995 återfinns här.

Innehållsförteckning

• Syfte med förordningen
• Definitioner
• Grunder
• Särskilt om barns rättigheter
• Särskilt känsliga uppgifter
• Privatpersoners rätt att veta
• Information till privatpersonen
• Rätten att bli bortglömd och till borttagning
• Dataportabilitet
• Profilering (automatisk diskriminering)
• Registerförare
• Information till den registrerade om ett personuppgiftsbrott
• Föregående rådgivning och tillstånd av datainspektionen
• Krav på dataskyddsmyndigheten
• Mer om dataskyddsmyndigheterna
• Harmoniserad tillämpning av förordningens regler

Syfte med förordningen

Svenska regeringen invänder att privatliv och personuppgiftsskydd måste stå i relation till andra rättigheter, som offentlighetsprincipen och pressfriheten.

Detta kan vid första anblick tyckas vara rimligt, men då Sveriges myndigheter idag säljer våra personuppgifter till reklamföretag - i offentlighetsprincipens namn - bör man fundera på om dataskyddet inte ska ha en starkare lydelse om sitt syfte. Genom att regeringen reserverar sig och vill ha in "i relation till andra rättigheter" försvagas skyddet för personuppgifter.

I kommissionens förslag ska kommissionen ha rätt att sammanställa medlemsstaternas olika förståelse av begreppen "journalistisk verksamhet". Detta vill regeringen ta bort, trots att vi vet att normalt icke-journalistiska företag (exempelvis reklamföretag) försöker att ingå i detta begrepp. Det behövs därmed en europeisk koordinering om vad "journalistisk verksamhet" innebär.

Läs en mer utförlig kommentar på https://dataskydd.net/kommentarer-pa-regeringens-asikter/#sec-1

Definitioner

Grundtanken med en dataskyddsförordning är att du som individ ska ha kontroll på vem som behandlar dina uppgifter. Regeringen vill i definitionen av "mottagare" även införa "tredjepart", vilket får konsekvensen att du som individ inte vet vem som behandlar dina uppgifter. Regeringen visar i och med detta att man inte har förstått de grundläggande fundamenten med ett dataskydd. Du som individ - hur ska du känna till vilka i tredjepart som använder dina uppgifter?

Regeringen gör tolkningen att "genetiska data" kan innebära fotografier, vilket inte stämmer. Juristerna hos regeringen behöver bättra på sin kunskap.

Regeringen försvagar skyddet mot profilering som innebär att bland annat reklamföretag kan ta in uppgifter och analysera dig och din omgivning, trots att du inte har gett ditt samtycke till det.

Rätten till samtycke är en grundpelare i förordningen - den kodifierar en filosofi och ett liberalt, rättighetsbaserat tankesätt, som Sveriges regering för närvarande inte sällar sig till.

Läs en mer utförlig kommentar på https://dataskydd.net/kommentarer-pa-regeringens-asikter/#sec-2

Grunder

Artikel 6(1)(f) är en av förordningens sämsta delar, den bör tas bort helt och hållet. "Intresseavvägningen" är den juridiska bas i dataskyddsförordningen som tillåter ett företag eller en myndighet att bestämma sig för om de upplever att deras egna intressen väger tyngre än privatpersonens grundläggande rätt till privatliv. Regeringen gör istället tvärtom och vill utöka företags rätt till "intresseavvägning". Regeringens vill även att alla de aktörer som kan tänkas stå i relation till någon av de aktörer som står i relation till privatpersonen, ska få möjlighet att behandla din data. Som privatperson blir det därmed extremt svårt att veta var ens personuppgifter behandlas och varför.

Artikel 6(3a) är en helt ny artikel jämfört med kommissionens förslag till dataskyddsförordning. I kommissionens förslag är utgångspunkten att det inte är tillåtet att behandla uppgifter, såvida individen ger ett samtycke till behandling eller att behandlingen ryms inom paragraferna 6(1)a-e. Denna nya paragraf, som regeringen vill se, innebär att personuppgifter som har samlats in och behandlats av någon aktör får återanvändas för andra, överensstämmande syften utan att man inhämtar ett nytt samtycke för den nya behandlingen av personuppgifterna.

Detta är två extremt dåliga förändringar som regeringen vill se. Det vore ärligare av regeringen att säga att personuppgiftslagen kan tas bort, det får nämligen ungefär samma konsekvenser.

Läs en mer utförlig kommentar på https://dataskydd.net/kommentarer-pa-regeringens-asikter/#sec-6

Särskilt om barns rättigheter

De flesta länder, inklusive Sverige, vill skydda barn extra mycket. Men man har inte funderat på att barn påverkas av sina föräldrar, förskolelärare och fritidsledare vars personuppgifter kan behandlas av leksaks- och reklamföretag. Vad som istället har hänt är att man begränsar barns möjligheter att ge samtycke, samtidigt som man vill frånta vuxna alla som helst möjligheter att ge samtycke.

Läs en mer utförlig kommentar på https://dataskydd.net/kommentarer-pa-regeringens-asikter/#sec-8

Särskilt känsliga uppgifter

Artikel nio nämner typer av data som är särskilt känsliga, som exempelvis uppgifter om hälsa eller sexualliv, politisk övertygelse, fällande domar och genetisk data med mera.

Regeringen har missat att även biometrisk data är minst lika känslig data som för genetisk.

Regeringen tycker inte att uppgifter om rättegångar, domar eller människor som är misstänkta för att ha begått brott är känsliga.

Vi på datakydd.net tycker att detta är extremt skrämmande. Man behöver inte gå längre tillbaka än 1960-talet för att kontrollera på vilka grunder Uppsalas rasbiologiska institut sorterade människor, eller vilka som utsattes för tvångssterilisering. Många av de dataskyddslagar och personuppgiftslagar vi har idag finns där av historiska anledningar som det kan vara vettigt att vi fortsätter dra lärdom av.

Läs en mer utförlig kommentar på https://dataskydd.net/kommentarer-pa-regeringens-asikter/#sec-11

Privatpersoners rätt att veta

Många krav i artikel 12 om att information ska tillhandahållas till den enskilda individen har bytts ut mot att information får eller bör tillhandahållas i den utsträckning detta är möjligt. Man har tagit bort kraven på att information ska tillhandahållas i elektronisk form när behandlingen utförs automatiskt.

Ministerrådet föreslår också att registerförare ska ges mycket bättre möjligheter att vägra tillhandahålla information.

Regeringen borde ha kritiserat detta.

Läs en mer utförlig kommentar på https://dataskydd.net/kommentarer-pa-regeringens-asikter/#sec-15

Information till privatpersonen

I personuppgiftslagen och i kommissionens förslag till förordning ska du som individ ha rätt att få information från organisationen som behandlar din data. Bland annat rätt att veta varför och hur länge dina uppgifter ska sparas.

Kommissionens förslag utgår från filosofin att som privatpersonen har du en direkt relation till den som samlar in och behandlar personuppgifter. Det är privatpersonens rätt och möjlighet att bestämma över sina personuppgifter som står i centrum.

Regeringen ser inte detta som en grundläggande princip utan vill få in en extra artikel som bara hanterar de fall där privatperson inte står i relation till den som samlat in och behandlat personuppgifterna.

Det här är ingen liten skitsak utan ett tecken på att regeringen inte ställer privatpersoners grundläggande fri- och rättigheter i centrum för lagen.

Sveriges regeringen understryker även att det är mycket viktigt att man inte behöver informera individen om uppgifterna har inhämtats från öppna källor, så som exempelvis svenska myndigheter.

Likaså att information man har rätt att få tillgång bara ska vara gratis i ett år.

Detta är riktigt uselt av regeringen!

Läs en mer utförlig kommentar på https://dataskydd.net/kommentarer-pa-regeringens-asikter/#sec-16

Rätten att bli bortglömd och till borttagning

I kommissionens förslag ska du som individ ha rätt att få din data borttagen. Organisationen ska "vidta alla rimliga åtgärder," att på begäran ta bort dina uppgifter. Men mot detta har regeringen invändning med hänvisning till att företags konkurrenskraft minskar.

När regeringen gör denna invändning, vilket många stora tunga amerikanska industrier också har gjort, invänder man också mot domstolars förmåga att göra rimliga avvägningar. Vi har ingen allmän anledning i EU att tro att våra utbildade domare och rättsliga experter är så puckade eller lågutbildade att de inte själva kan avgöra vad som är rimligt och möjligt. Tvärtom säger erfarenheten av rättsliga system att det är dåligt att inte lämna ett visst tolkningsutrymme. I detta fall vad "rimliga åtgärder" innebär för företagen. Det här är en alldeles synnerligt skadlig del av amerikansk lobbying som nästlat sig in i den europeiska politiken och på sikt kan skada mycket av den juridiska sammanhållning vi har i germanska och napolitanska rättstraditioner.

Läs en mer utförlig kommentar på https://dataskydd.net/kommentarer-pa-regeringens-asikter/#sec-21

Dataportabilitet

Dataportabilitet grundar sig i tanken att en samling av personuppgifter om en privatperson utgör en identitet. Den information din bank har om dig är alltså din "bankidentitet" - den personlighet du har när du utför bankärenden. Rätten till dataportabilitet innebär din rätt att kontrollera din identitet, och överföra den mellan olika tjänster vilka ökar konkurrensen.

Sveriges regering har ifrågasatt om rätten till dataportabilitet inte snarare ska ses som en konkurrensfråga eller en immaterialrättslig fråga vilket får följdfrågorna:

Om det är en konkurrensfråga handlar din identitet istället om en tävlan mellan två banker om vem som har störst konkurrensfördel, när det egentligen handlar om din personliga data.

Är det en immaterialrätt, i så fall vilken?

Följderna blir oavsett att med regeringens tolkning så tappar du makten över dina identitet och dina personuppgifter.

Läs en mer utförlig kommentar på https://dataskydd.net/kommentarer-pa-regeringens-asikter/#sec-24

Profilering (automatisk diskriminering)

Profilering är ett utomordentligt bra verktyg att diskriminera människor, med eller utan deras vetskap och tillåtelse.

Sveriges regering har invändningen att man inte vill begränsa profilering som baseras på de särskilt känsliga kategorier av uppgifter som definieras i artikel 9, alltså exempelvis hälsa eller sexualliv, politisk övertygelse och genetisk data. Man anser att en sådan begränsning krockar med direktiv om integritet och elektronisk kommunikation, som bland annat har gett oss kaklagen.

Det här är obegripligt med avseende på bakgrunden till den lista av känsliga kategorier av uppgifter som artikel 9(1) definierar. En av de största anledningarna till att personuppgifter skyddas väldigt starkt i lag i Europa, till skillnad från i USA, är för att tidigare uteblivna skydd för personuppgifter i EU har lett till brutala folkmord. Kanske vill regeringen anlita någon som läst igenom en historiebok för årskurs 5 i grundskolan innan man ivrar sig vidare längst denna väg. </rage>

Läs en mer utförlig kommentar på https://dataskydd.net/kommentarer-pa-regeringens-asikter/#sec-28

Registerförare

Registerförare är sådana aktörer som samlar in och behandlar personuppgifter på någon annans uppdrag - en outsourcad IT-tjänst. Exempelvis den som hanterar databaser åt Skatteverket eller ett vanligt småföretag.

Ministerrådet vill att det ska räcka med att man som registerförare utfärdar ett dokument, en "code of conduct", där man säger att man är förenlig med lagstiftningen.

Ministerrådet önskar också begränsa registerförarens krav på sig till att bara gälla de situationer där det är möjligt och rimligt att uppfylla förpliktelserna. Att i lagtext skriva "möjligt och rimligt" försvagar personuppgiftsskyddet då det är först när vi har fått en domstolspraxis som vi vet hur bra skyddet för privatpersoner är.

En sista allvarlig försämring av rätten till privatliv som ministerrådet föreslår är att registerförare, utan att utsättas för registeransvarige allmänna förpliktelser, ska få behandla och genomföra åtgärder med hjälp av personuppgifter som de fått tag på via ett samarbete med en registerförarare. Det innebär att stora registerhanterare, till exempel molntjänster, i stort sett aldrig kommer behöva ta några personuppgiftsskyddsregler i beaktande - de kan bara gräva fram datan ur de källor de ändå har tillgång till via sina kunder, som ju inte är privatpersoner utan troligare företag eller offentliga institutioner.

En sista försvagning i denna artikel är att någon utomstående aldrig ska kunna kontrollera att registerföraren följer förordningen.

Svenska regeringen försvarade inte dessa tydliga försvagningar.

Läs en mer utförlig kommentar på https://dataskydd.net/kommentarer-pa-regeringens-asikter/#sec-36

Information till den registrerade om ett personuppgiftsbrott

Artikel 32 medger att en privatperson ska få information när ett företag har läckt dennes personuppgifter. Som exempel skulle då Skatteverket ha varit tvingat att informera alla berörda privatpersoner efter det så kallade dataintrångsmålet. Rimligt tycker vi på dataskydd.net

Svenska regeringen gör här en bra invändning om att det finns inga skäl till varför att en privatperson ska informeras först efter att datainspektionen i landet har informerats.

Läs en mer utförlig kommentar på https://dataskydd.net/kommentarer-pa-regeringens-asikter/#sec-39

Föregående rådgivning och tillstånd av datainspektionen

Artikel 34 rör särskilt känsliga databehandlingar som kan kräva tillstånd på förhand eller rådgivning från en dataskyddsmyndighet. Ett exempel gällande detta var när Antipiratbyrån var tvungen att ha ett tillstånd att jaga fildelare i Sverige eftersom en ip-adress och tidsstämpel kunde kopplas till ett misstänkt brott. Idag har man ett permanent tillstånd i och med IPRED-lagen.

Sveriges regering vill begränsa kravet till att datainspektionen enbart ska behöva ge ut rådgivning och inte tillstånd. Man invänder också att det kan ta tid att göra riskbedömningar om riskerna upplevs som extra stora. När en risk enbart är stor ska ingen riskbedömning av datainspektionen behöva göras.

Sveriges regering vill heller inte att det ska vara möjligt för dataskyddsmyndigheter att sätta stopp för vissa typer av databehandling som upplevs som särskilt känsliga, farliga eller riskfyllda för privatpersoner. Ett exempel på en sådan framtida situation skulle kunna vara att förundersökningsprotokoll publiceras via sajten Ratsit. Det är troligen en gångbar affärsmodell för Ratsit, men det betyder inte att vi som samhälle vill ha den. Svenska regeringen verkar dock inte se något problem med den.

Läs en mer utförlig kommentar på https://dataskydd.net/kommentarer-pa-regeringens-asikter/#sec-41

Krav på dataskyddsmyndigheten

Sverige invänder mot att kommissionen ställer vissa krav på de resurser som varje land måste tilldela sin datainspektion. Det kan tyckas rimligt, men med tanke på att Irlands datainspektion har följande lokaler så finns det rimliga skäl att kräva mer än så. Notering: Det är alltså inte enbart de låga skatterna på Irland som lockar nätföretag som Google och Facebook...

Man invänder också mot att personalen ska vara kompetent och kunnig. Rådets förslag på artikel 48(2) har istället råka sluta i den dåliga kompromissen att datainspektionen enbart behöver bestå av en person...

Läs en mer utförlig kommentar på https://dataskydd.net/kommentarer-pa-regeringens-asikter/#sec-49

Mer om dataskyddsmyndigheterna

Om du som individ vill klaga på ett företag eller myndighet ska du idag vända dig till datainspektionen i det land där företaget är baserat. Det är en väldigt komplicerad process, inte minst på grund av att du måste tala ett främmande språk. Istället borde man vända på steken och låta den datainspektion där den enskilda individen bor vara den ansvariga myndigheten. Detta har svenska regeringen dock inte tagit upp.

Ett krav i både kommissionens och rådets förslag är att datainspektionen måste besvara en fråga inom en månads tid. Detta anser regeringen kan vara orealistisk kort tid i vissa fall. Spanska regeringen ville minska tidsgränsen till 15 dagar.

Kommissionens förslag säger att olika länders datainspektioner inte ska kunna vägra samarbeta när samarbetet behövs. Svenska regeringen vill tvärtom, alltså att svenska datainspektionen ska kunna vägra samarbete med en annan datainspektion.

Läs en mer utförlig kommentar på https://dataskydd.net/kommentarer-pa-regeringens-asikter/#sec-50

Harmoniserad tillämpning av förordningens regler

Ett problem inom EU har varit att ländernas datainspektion jobbar och tolkar lagstiftningen så olika. Kommissionen har därför föreslagit att samarbetsorganet European Data Protection Board ska få större inflytande vilket samtidigt får konsekvensen att företag vet vilken praxis som gäller inom alla eu-länder. Regeringen vill däremot att länders datainspektion ska uppmuntras komma överens på egen hand och att så få fall som möjligt ska avgöras via European Data Protection Board.

Läs en mer utförlig kommentar på https://dataskydd.net/kommentarer-pa-regeringens-asikter/#sec-64

Se även https://dataskydd.net/kommentarer-pa-regeringens-asikter/ för våra utförligare kommentarer. Detta var enbart en sammanfattning.