Svenska utredningar om dataskydd

Det är inte så lätt att kartlägga allt som skrivits och tänkts om privatpersoners grundläggande rätt till integritet i Sverige. Dels för att det sedan 1960-talet är väldigt mycket, men också för att det är väldigt spritt. Den här sidan täcker de utredningarna som omnämns i högermarginalen. För senare utredningar och kommentarer till dessa hänvisar vi till vår sida med remissvar, inlagor och skrivelser.

Ambitionen borde vara att rätten till dataskydd och till privatliv ska genomsyra all offentlig och privat verksamhet, men i praktiken avhandlar utredningarna oftare vilka undantag som måste göras från integriteten för att myndigheters, företags eller andras liv ska bli mer enkelt. Utredningarna uppmuntrar helt enkelt till en princip om att varje privatpersons egen rätt till privatlivet inte är det som är mest intressant, utan vilken användning andra kan ha av att inte respektera eller bry sig om denna.

Utredningen om inbyggd integritet i socialförsäkringen från september 2014 är ett exempel på detta. Enligt Datainspektionen är inbyggd integritet “inbyggda mekanismer i IT-system för skydd av den personliga integriteten”. Trots det har utredningen landat i att man behöver utöka möjligheten för socialförsäkringen att få tag på fler uppgifter från fler andra myndigheter, och om det blir olägligt för privatpersoners integritetsskydd så får man ändra lagen om offentlighet- och sekretess på ett sådant sätt att myndigheten istället slipper prata om att den kränker integriteten. Att det skulle kunna vara fel på den tekniska infrastrukturen - föremålet för utredningen - hos myndigheter över lag nämns inte. Jämför utredningen om överskottsinformation vid direktåtkomst från 2009, som på samma sätt undviker att ifrågasätta både den tekniska infrastrukturen och huruvida verksamheten som är föremål för utredningen som sådan är organiserad på ett sätt som inte går att jämka med varesig informationssäkerhet eller dataskydd.

De här problemen är svåra att åtgärda så länge det inte finns intressegrupper som ständigt gör sig påminda i utredningarna. Det är ett heltidsjobb att stå emot floden av särintressen som drabbar varje utredare. Dessutom gäller också för statens utredare att de relaterar allra bäst till sitt eget privatliv, och denna relation kanske skiljer sig från andras relation till sina privatliv. Mycket äldre teknisk infrastruktur har byggts med avsikt att göra det enkelt att koppla ihop, samköra och registrera i stor skala, och någon utredning borde någon gång kunna drista sig till slutsatsen att vi faktiskt har ett infrastrukturproblem. Bland annat SOU 2007:47 tar faktiskt upp detta, och föreslår bättre samordning i EU för att få bättre grund för vettig IT-standardisering.

I stället för att ändra lagarna på ett integritetskränkande sätt för att bygga runt problem med nuvarande IT-standarder, kan vi verka för bättre IT-standarder som faktiskt bekräftar de värderingar vi har i samhället!

Statliga offentliga utredningar

SOU 1972:47 Data och integritet

Utredningen Data och integritet (SOU 1972:47) utfördes efter oro uppstått om allt större automatiska databehandlingssystem. Bland annat utlämning av personuppgifter till reklamföretag hanteras, men avfärdades av utredningen då reklam är någonting annat än privatliv. Utredningen inspireras av utveckling i tysk lagstiftning men lyckas på något sätt lägga emfas vid just institutioners möjligheter och enkelhet att eftersträva sina egna målsättningar. Resultatet blev den första svenska personuppgiftslagen, som antogs i stort sett på det sätt utredningen föreslog. Utredningen föreslår också en ny sorts brott: dataintrång, som innebär att man hanterat information på ett sätt som en statlig myndighet inte förutsett eller uttryckligen önskat.

SOU 1973:6 Data och näringspolitik I / SOU 1974:10 Data och näringspolitik II

Utredningarna Data och näringspolitik (SOU 1973:6 samt SOU 1974:10) konstaterar att konsumtionen av datorer och utvecklingen av program styrs väldigt mycket av upphandlingar i offentlig sektor. Man pratar om “användare” (offentlig sektor, företag) och “tillverkare” (de som säljer datorutrustning eller tillhörande). Medborgare och privatpersoner är “mottagare”. Integritetsutredningen från 1972 ses som ett steg i rätt riktning. Standardisering efterfrågas - “en svår men nödvändig uppgift”. Samtidigt är kompetensbristen i offentlig sektor ett problem. Offentliga myndigheter utan tillräcklig förståelse för vad de efterfrågar kommer ha svårt att efterfråga rätt sorts tjänster och produktutveckling. Jämför den i dessa bemärkelser identiska utredningen Den osynliga infrastrukturen - om förbättrad samordning av offentlig IT-standardisering (SOU 2007:47) som fastslår samma sak, men föreslår bredare samarbete med europeiska partners för att få tillgång till en större kompetenspool. De svenska utredningarna från början av 1970-talet tar dock inte sikte så mycket på integritetsskydd som de tar sikte på mer storskalig och harmoniserad upphandling av IT-tjänster för att stärka den svenska industrin. Innehåller också utförliga anteckningar över industriläget vid tillfället.

SOU 1974:85 Fotografering och integritet / SOU 1976:48 Reklam och integritet

Både utredningen Fotografering och integritet (SOU 1974:85) och Reklam och integritet (SOU 1976:48) handlar om personlighetsrätter. Hur kan man förhindra att ens bild blir tagen när man inte vill, och hur kan man förhindra användningen av en bild på sig själv för kommersiella syften? Lagen föreslås ändras så att det blir svårare att utnyttja avbildningen av ens person för kommersiella syften. Jämför utveckling de senaste åren med kriminalisering av olovlig fotografering.

SOU 1975:5 Telefonavlyssning / SOU 1976:46 Anonymitet och tvångsmedel

Utredningarna Telefonavlyssning (SOU 1975:95) och Anonymitet och tvångsmedel (SOU 1976:36) handlar om uppdaterade regler för telefonavlyssning och bedömningar när anonymitetsskydd förvisso gäller (meddelarskyddet för fri press t ex). Medan “tvångsmedel egentligen är främmande för demokratier” och “telefonavlyssning innebär ett allvarligt övergrepp i den personliga integriteten” tillsattes den första utredningen med mål att föra samman telefonavlyssningsreglerna under en och samma grund av villkor. Den andra utredningen har i uppdrag att se till att polisens arbete inte borde förhindras bara av att en redaktionsmedlem är inblandad i brottslig verksamhet. Den behandlar beslag och husrannsakan mot tidningsredaktioner och medier. Utredningen tar upp krav på föregående domstolsprövning innan tillslag sker mot en tidningsredaktion, men landar i slutändan i avvägningen att man istället ska utse särskilda anonymitetsombud som representerar den redaktion eller journalist man vill göra husrannsakan eller beslag på. Man påtalar att tingsrätten i Stockholm faktiskt tidigare underkände beslagen mot Folket i bild i IB-affären.

SOU 1976:58 ADB och samordning

Utredningen ADB och samordning (SOU 1976:58) handlar om befintliga datamaskiner i svensk förvaltning och hur man ska samordna investeringar i datamaskiner och utveckling av programvara. Den tråkiga titeln till trots, är dess 17 kapitel en hyfsat gedigen översikt av ideologiska och materiella problem. Frågeställningar om standardisering, upphandlingar, privatliv, effektivitet i förvaltningen, arbetssituation för de anställda och maktrelationer mellan olika förvaltningar känns igen. Utredningen är en bra läsning för den som vill ha en kortare överblick av den stora mängd utredningar som gjorts i Sverige efter 2005 om e-förvaltning. Man hade i stort sett samma problem med upphandlingar och standardisering som beskrivs i SOU 2007:47. Samma funderingar kring koordinering av olika förvaltningsverksamheter som går igen i E-delegationens numera 13 utredningar. Privatliv och integritet behandlas ytligt, eftersom det inte anses vara en strikt del av själva användningen och utvecklingen av datasystem - ett synsätt som bevarats i svensk statsförvaltning till och med i utredningen Inbyggd integritet inom Inspektionen för socialförsäkring (SOU 2014:67), som specifikt borde ha handlat om att utformningen, utvecklingen och användningen av ett system i sig påverkar den personliga integriteten.

SOU 1978:54 Personregister - Datorer - Integritet

Utredningen Personregister - Datorer - Integritet (SOU 1978:54) är utförd av en helt igenom politisk kommittée bestående bara av riksdagsledamöter. Man går igenom ett antal bekymmer för integriteten som också täckts av annan lagstiftning: direktreklam, SPAR-registret, datalagen, information till registrerade (typiskt sett medborgare), integritet i arbetslivet och forskning, bland annat. Trots omfattande material, inklusive en stor mängd förarbeten och mångtaliga motioner från riksdagen, landar inte utredningen i särskilt mycket.

Det är den enda utredningen som någonsin gjorts i Sverige där man på allvar tar upp hur systemdesign i databehandlingssystem påverkar den personliga integriteten.

Trots att man upplever de nuvarande systemen som mindre bra för integriteten, ser man inte tillräckliga effektivitetsvinster i en annan systemdesign. Även om man förordar decentralisering och regionalisering (med fördelar ur både privatlivs-, säkerhets- och sårbarhetshänseende) väljer man att istället backa upp det då nya centralregistret SPAR. Man föreställer sig att den centraliserade databehandlingen kommer att ge bättre möjligheter att hålla koll på vilka uppgifter som lämnas ut.

Man tar upp frågan om en dataombudsman som kan hjälpa medborgare driva klagomål, men tycker inte att lagstiftningen är tillräckligt gammal för att motivera en ny instans.

Utredningen föreslår dock att datalagen från 1973 görs teknikneutral.

SOU 1984:54 Tvångsmedel - Anonymitet - Integritet

Utredningen Tvångsmedel - Anonymitet - Integritet (SOU 1984:54) är ett positivt inslag. Man bygger vidare på erfarenheterna från utredningen Anonymitet och tvångsmedel (SOU 1976:36) (ovan) och föreslår flera skärpningar. Den som utsatts för tvångsmedel ska till exempel ges en rätt att få veta detta (om tvångsmedlen inte insatts av säkerhetspolisen). Tvångsmedel ska användas så lite som möjligt så sällan som möjligt, är utredningens övertygelse. Överskottsinformation från avlyssning, alltså sådan information man inte egentligen letade efter men fick ändå, ska i regel inte kunna användas för att driva nya utredningar och rättsfall. Undantaget är om sådan information kan fria någon som är anklagad för brott. Man inför också obligatoriska domstolsprövningar av tvångsmedel mot tidningar och andra som täcks av tryckfrihetsförordningen, enligt devisen att polisen inte ska behöva gissa sig till vad en domstol skulle ha tänkt om en domstol fått möjligheten att göra bedömningen. Anmärkningsvärt är dock att man klassar metadata - information om kommunikation (vem, var, hur, osv) - som mindre skyddsvärd än kommunikationen. I dagens uppkopplade värld förstår vi att också metadata är viktigt att skydda, vilket speglas i dataskyddspaketet från EU.

SOU 1986:24 Integritetsskyddet i informationssamhället 1 / SOU 1986:46 Integritetsskyddet i informationssamhället 2 / SOU 1987:31 Integritetsskyddet i informationssamhället 4 / SOU 1988:64 Integritetsskyddet i informationssamhället 5

Utredningarna Integritetsskyddet i samhället (SOU 1986:24, SOU 1986:46, SOU 1987:31, SOU 1988:64) går igenom statens datoriserade verksamhet och befolkningens rätt till integritetsskydd. Man gör också utvärderingar av de IT-projekt som redan ägt rum, effekten av den datalagen som infördes 1972, och effekterna för integriteten av den expanderade försäljningen av statistiska data om befolkningen från landets myndigheter. Utredningarna har framställts av kommittéer med riksdagsledamöter och har inte gjort något avtryck i den svenska lagstiftningen om integritet och privatlivsskydd. Även om försäljning av persondata från myndigheter kritiseras i utredningarna föreslås alla myndigheter som för närvarande ägnar sig åt sådan försäljning låtas fortsätta med detta. “Privacy by bureaucracy” skulle man kunna kalla den modell där folkvalda organ, så som riksdagen, i och för sig godkänner varje form av integritetskränkning men kräver att någon först skriver ett papper åt dem som de kan lägga till handlingarna.

SOU 1997:39 Integritet * Offentlighet * Informationsteknik

Utredningen Integritet * Offentlighet * Informationsteknik (SOU 1997:39) genomfördes efter antagandet av EU:s dataskyddsdirektiv. Man börjar i denna utredning se ett ifrågasättande från svenska staten kring om dataskyddslagstiftningen egentligen är så bra. Man diskuterar en amerikansk modell där ansvaret för privatliv läggs över på avtal mellan företag och konsumenter, eventuellt med särreglering i fall man tycker det är nödvändigt. I slutändan följer man den europeiska lagstiftningens struktur ganska nära, också för att EU-medlemskapet innebär en sådan förpliktelse. Resultatet blir den nya svenska personuppgiftslagen från 1998. SOU 1997:39 kom att följas upp med särskilda utredningar om särskilda register, som med tiden fått egen lagstiftning (se ny skatteregisterlag, ny misstankeregisterlag och ny domstolsregisterlag, t.ex). Sören Öman, domare och akademisk jurist, uppskattar att man som hastigast kan ha utfärdat närmare 200 särskilda författningar. Man kopplar också bort brottsrubriceringen dataintrång från integritetslagstiftningen och myndigheternas intresse av att kunna förutsäga hur personuppgiftshantering går till. Det blir en allmän straffrättslig bestämmelse som alla vars datorer beter sig oförutsägbart kan åberopa istället. I praktiken verkar dataintrång fortfarande mest hamna i domstol när anställda i offentlig sektor använder en dator på ett sätt som inte var tänkt (jfr rättsfall i Uppsala tingsrätt under perioden 2008-2014).

SOU 2009:44 Integritet i arbetslivet

Utredningen Integritet i arbetslivet (SOU 2009:44) kartlägger problem som uppstår för arbetstagare och arbetssökanden. Det främsta problemet utredningen uppmärksammar är att arbetssökanden har väldigt få rättigheter i förhållande till arbetsgivaren. Eftersom det inte finns någon avtalssituation mellan arbetssökanden och arbetsgivanden, och inga arbetsskyddslagar gäller mellan de båda parterna kan inte arbetssökanden åberopa sin svagare ställning gentemot arbetsgivaren. Vid tidpunkten hade det i ökad omfattning påtalats att många arbetsgivare kräver utdrag ur straffregistret från tilltänkta anställda. Även om arbetsgivaren inte själv får begära ut straffregister, kan man begära att arbetssökanden begär ut sitt eget straffregister och öppnar brevet i arbetsgivarens närvaro. Det här går tvärtemot principen att man har en rätt att gå vidare efter att ha sonat sitt brott.

Lagen kring arbetssökandens rättigheter har förstärkts 2014. Anställda i offentlig sektor sägs ha större skydd än anställda i privat sektor. Hur detta påverkar den ökande mängden offentliga tjänster som läggs ut på entreprenad vidrörs inte utan utredningen föreslår istället att ge båda grupperna ett allmänt skydd mot kontrollåtgärder och övervakning. Lagstiftaren valde att inte reagera på detta. Sveriges oförmåga att agera på sina utredningar om integritet i arbetslivet har uppmärksammats i EU-parlamentets utredning om dataskydd i anställningsförhållanden.

SOU 2012:90 Överskottsinformation vid direktåtkomst

Utredningen Överskottsinformation vid direktåtkomst (SOU 2012:90) handlar om sådan information som myndigheter får ta del av när de gräver i andra myndigheters register, men som de kanske inte egentligen borde ta del av eller behöver för sin verksamhet. Det är inte tänkt att myndigheter ska få överskottsinformation, men strukturen på de tekniska systemen gör det omöjligt att undvika. Detta kräver i sin tur en mängd speciallagar och sekretessbestämmelser så att den mottagande myndigheten inte missbrukar sin information. I ännu senare utredningar (t.ex. SOU 2014:39) föreslås ytterligare ändringar av sekretessbestämmelserna så att dessa också kan omfatta inte bara datauttag utan andra tjänsteleveranser. En grundlig genomgång likt de mångtaliga utredningar som genomfördes innan datasystem infördes i offentlig sektor har ännu inte gjorts, trots att det för integriteten kan vara av stort intresse. Utredningen är en delrapport i ett större arbete att kartlägga de hundratals särskilda författningar kring register som skapats i Sverige.

SOU 2014:23 Rätt information på rätt plats vid rätt tid

Rätt information på rätt plats i rätt tid (SOU 2014:23)

SOU 2014:67 Inbyggd integritet inom Inspektionen för socialförsäkringen

Inbyggd integritet inom Inspektionen för socialförsäkringen (SOU 2014:67)

SOU 2015:23 Informations- och cybersäkerhet i Sverige. Strategi och åtgärder för säker information i staten

Informations- och cybersäkerhet i Sverige. Strategi och åtgärder för säker information i staten (SOU 2015:23)

SOU 2015:73 om personuppgiftsbehandling på utlännings- och medborgarskapsområdet

Personuppgiftsbehandling på utlännings- och medborgarskapsområdet (SOU 2015:73)

Senare utredningar

För senare utredningar hänvisas till vår sida med remissvar och yttranden.

Sveriges kommuner och landsting

Sverige kommuner och landsting har sammanställt mycket material om digitalisering. Eftersom personuppgiftslagen gäller många kommunala aktiviteter blir den föremål för en del granskning. Sveriges kommuner och landsting riktar sig mycket åt formkraven kommuner behöver uppfylla enligt lagen när de investerar i digitala tjänster.

Stöd till skolverksamheter som vill använda molntjänster (5 september 2014)

Utredningen består av en genomgång av vad en molntjänst är, vilka lagkrav som gäller och en “case study” om vilka problem man kan komma att konfronteras med. Personuppgiftslagen, informationssäkerhet och lock-in (hur enkelt det är att flytta uppgifter mellan olika tjänster) tas upp. Utredningen är gjord innan Datainspektionen gick emot Salems kommuns molnupphandling i förvaltningsrätten och vann - molnupphandlingar ligger i gränslandet för vad som är lagligt enligt Europeiska unionens (och Sveriges) principer om dataskydd (Datainspektionen, 21 juli 2014). Också Malmö kommuns molnavtal har ifrågasatts av Datainspektionen.

Kommunal IT i samverkan : juridiska förutsättningar för olika samverkansformer (2007) / IT i kommunal vård och omsorg : strategi, handlingsplan och organisation för nationell samordning (2008)

I utredningarna Kommunal IT i samverkan : juridiska förutsättningar för olika samverkansformer (2007) och IT i kommunal vård och omsorg : strategi, handlingsplan och organisation för nationell samordning (2008) går man snabbt igenom att personuppgiftslagen kräver juridiska avvägningar. Personuppgiftslagen ses som ett led i en juridisk behandling av personuppgifterna, utan vidare koppling till teknisk infrastruktur. I vårdsystemen har emfasen lagts inte på privatlivsskydd som sådan, utan på säkerheten i de system som identifierar vårdgivare. På Dataskydd.net gör vi normalt åtskillnad mellan “privatliv” och “integritet” som är värderingar - vi önskar att dessa upprätthålls för att demokratin blir bättre då, samt “säkerhet” som är mer objektivt mått på hur väl systemet uppnår sitt syfte. Om ett system är menat att övervaka och kränka privatpersoners integritet i vissa omständigheter, och på ett förutsägbart sett gör detta, är det inom någon definition säkert för den är ansvarig för integritetskränkningen.

E-förvaltning och informationshantering: att hantera, bevara eller gallra elektroniska handlingar (2011)

Utredningen E-förvaltning och informationshantering: att hantera, bevara eller gallra elektroniska handlingar (2011) anknyter till utredningen om överskottsinformation vid direktåtkomst (SOU 2012:90) och går igenom kommuners och landstings olika förpliktelser med avseende på personuppgiftsskydd, gallring, arkivering och offentlighet. Utmaningerna som beskrivs gäller kravställning, hur länge någonting ska bevaras, vilka tekniska system man behöver fokusera på samt att de tekniska systemen behöver uppfylla särskilt möjligheten att privatpersoner ska kunna utplåna och rätta sina uppgifter. Mindre uppmärksamhet ägnas åt hur man i teknisk kravspecifikation - särskilt då man bygger e-arkiv - behöver fundera på hur integritetsskyddet ska upprätthållas. Denna brist går dock igen i motsvarande utredningar på statlig nivå, märk särskilt 2012:90 och 2014:67 ovan.