Vikten av personligt dataskydd enar EU-politiker

EU-lagen handlar om hur företag och myndigheter får behandla de uppgifter om dig och mig som de samlar in.

– Genom att se till att människor får större kontroll över sina uppgifter kommer mina lagförslag att bidra till att öka förtroendet för onlinetjänster, sade EU:s justitiekommissionär Viviane Reding när hon lanserade förslaget 2012.

Dataskyddsförordningen ska ersätta EU:s tidigare regler från 1995, då internet ännu låg i sin linda. Principerna är desamma men fokus ligger mer på den personliga integriteten än tidigare. Och att även företag utanför EU ska tvingas följa reglerna, vilket inte tidigare varit fallet. Det gäller alltså även sociala medier som Twitter, Facebook och Instagram, som är amerikanska.

– Man försöker stärka den enskildes rättigheter och i viss mån göra det enklare för företag. I dag är det svårt att följa lagar även om man vill. När det gäller internet är det krångligt att veta vilken lagstiftning som gäller, säger Christine Kirchberger, doktorand i juridik på Stockholms universitet som har specialiserat sig på dataskyddsförordningen.

När EU:s dataskyddsförordning håller på att hamras ut går konfliktlinjerna snarare mellan länderna, som har olika rättstraditioner, än mellan höger och vänster. Det märks inte minst i att EU-parlamentet kunde enas om en ståndpunkt redan i mars i år med en förkrossande majoritet: 621 parlamentariker röstade för, 10 mot och 22 lade ned sina röster.

Det som EU-parlamentet enats om är att ge dryga böter till företag som missbrukar persondata och att det gäller alla företag på den europeiska marknaden. Företag måste få tillstånd från en nationell dataskyddsmyndighet innan de lämnar ut persondata till ett land utanför EU, samt informera personen vars uppgifter företaget vill lämna ut.

Vad är nytt i EU-parlamentets ståndpunkt gentemot kommissionens förslag?

– Man framhäver den enskildes rättigheter. Det är både ett juridiskt och framför allt politiskt ställningstagande. Sedan finns en massa detaljregleringar men parlamentet går verkligen ut med att personlig integritet är viktigt, säger Christine Kirchberger.

Men redan i dag har folk fler rättigheter gentemot företag än de vet om och använder, säger Christine Kirchberger. Till exempel kan man kräva av Facebook att de uppger vilken information de har och kräva att den raderas om man lämnat nätverket. Men det behövs lite tryck på företagen för att de ska respektera reglerna, säger Kirchberger.

Alla svenska EU-parlamentarikerna röstade för parlamentets ståndpunkt förutom socialdemokraterna som lade ned sina röster. Socialdemokraterna tyckte att ståndpunkten inte i tillräckligt stor utsträckning garanterade fackliga rättigheter. För att kunna kontrollera om ett företag följer kollektivavtal behöver facken kunna begära ut de anställdas löner utan de anställdas samtycke, något som Socialdemokraterna inte tyckte var glasklart i texten.

En invändning som både Moderaterna och Socialdemokraterna hade under behandlingen i EU-parlamentet är att uppgifter om hälsa ingår i ”känsliga uppgifter” där skyddet för personuppgifter är starkt. Det är oklart om detta riskerar medicinsk forskning som bygger på registerdata, vilket är vanligt i Sverige. Det är också en knäckfråga för den svenska regeringen i förhandlingarna i ministerrådet.

Svenska förbehåll mot förordningen handlar inte så mycket om inriktningen utan om det faktum att det just är en förordning. En förordning är en EU-lag som gäller på samma sätt i alla EU-länder. Direktiv däremot, som det nu gällande dataskyddsdirektivet, får tolkas på lite olika sätt i EU-länderna och lämnar utrymme för egen lagstiftning.

För svensk del finns det en specialregel som kan bli ett problem, säger Christine Kirchberger.

– Direktivet från 1995 har lämnat utrymme för länderna att lagstifta själva. Om du skriver mitt namn på en webbsida så skulle de vanliga reglerna [dataskyddsdirektivet] gälla: att du måste fråga mig för att skriva mitt namn. Men svenska PUL [personuppgiftslagen] säger att du inte behöver ha mitt samtycke för det som är löpande text. Där får du skriva nästan vad som helst om mig så länge du inte kränker mig, säger hon.

Både EU-kommissionen och EU-parlamentet är överens om att människor ska kunna få sina uppgifter raderade från nätet om det inte finns någon rättslig grund att behålla dem. Denna princip, om ”rätten att bli glömd” befästes av EU-domstolen i en prejudicerande dom i förra veckan, då domstolen slog fast att en spansk medborgare kunde kräva att Google skulle ta bort en tidningsartikel om honom som dök upp om man googlade hans namn.

Domstolen dömde att människor har rätt att kräva att uppgifter om dem tas bort om informationen är ”inadekvat, irrelevant eller inte längre relevant”.

Hur påverkar domen dataskyddsförordningen?

– Enligt dataskyddsdirektivet från 1995 har Google bara varit ansvariga för personuppgifter från sina egna tjänster, alltså Gmail-konton och den data de samlar in när du surfar. Det nya med domen är att [Google] även är ansvariga för de uppgifter som de själva bara förmedlar, som går igenom systemet. [Deras ansvar] har utvidgats. I den mån påverkar domen dataskyddsförordningen.