EU:s dataskyddsförordning kan ställa till problem för Expo

EU-kommissionen i Bryssel. Foto: Pixabay.

I maj 2018 kommer EU:s nya dataskyddsförordning att träda i kraft. Förordningen syftar till att stärka skyddet för fysiska personer vid behandling av personuppgifter inom Europeiska Unionen. Dessa nya hårda regler kan ställa till problem för organisationer som Expo, Researchgruppen och Piscatus som hanterar personuppgifter utan formella medgivanden.

Den formella titeln för förordningen är ”Europaparlamentets och rådets förordning EU 2016/679”, men kallas allmänt för GDPR efter engelskans General Data Protection Regulation. Dataskyddsförordningen antogs 27 april 2016 och kommer att träda i kraft 25 maj 2018; på EU-nivå ersätter den då Dataskyddsdirektivet (95/46/EG) från 1995. Till skillnad från Dataskyddsdirektivet, som utgjorde EU:s riktlinjer för hur dataskydd ska implementeras i medlemsstaternas lagar, är GDPR en förordning som ersätter tidigare nationella bestämmelser.

I Sverige kommer Dataskyddsförordningen att ersätta Personuppgiftslagen (PUL). Varje enskild medlemsstat har dock rätten att komplettera förordningen med nationella regler i viss omfattning, till exempel gällande yttrandefrihet, journalistik och hur myndighetsbeslut kan överklagas. I varje land kommer en tillsynsmyndighet att övervaka att Dataskyddsförordningen efterlevs; i Sverige är det Datainspektionen som kommer att ha detta ansvar. På Datainspektionens hemsida finns det riktlinjer för hur Dataskyddsförordningen kommer att införas i Sverige.

Dataskyddsförordningen består av nästan hundra sidor och innehåller ett stort antal regler och föreskrifter för hantering av personuppgifter. Några av de viktigaste punkterna i Dataskyddsförordningen är:

  • Samtycke för hantering av personuppgifter måste inhämtas från alla berörda individer som registreras. I GDPR §32 står det: ”Samtycke bör lämnas genom en entydig bekräftande handling som innebär ett frivilligt, specifikt, informerat och otvetydigt medgivande från den registrerades sida om att denne godkänner behandling av personuppgifter rörande honom eller henne, som t.ex. genom en skriftlig, inklusive elektronisk, eller muntlig förklaring.”
  • Varje behandling av personuppgifter måste vara laglig och rättvis. I GDPR §39 står det: ”Det bör vara klart och tydligt för fysiska personer hur personuppgifter som rör dem insamlas, används, konsulteras eller på annat sätt behandlas samt i vilken utsträckning personuppgifterna behandlas eller kommer att behandlas.”
  • Innan en organisation ska utföra en personuppgiftsbehandling som innebär särskilda risker för de registrerade, måste man göra en bedömning av vilka konsekvenser behandlingen kan få och vilka åtgärder som behövs för att minska riskerna. I GDPR §75 står det följande om dylika risker: ”Risken för fysiska personers rättigheter och friheter […] kan uppkomma till följd av personuppgiftsbehandling som skulle kunna medföra fysiska, materiella eller immateriella skador, i synnerhet om behandlingen kan leda till […] förlust av konfidentialitet när det gäller personuppgifter som omfattas av tystnadsplikt, obehörigt hävande av pseudonymisering eller annan betydande ekonomisk eller social nackdel, […] om personuppgifter behandlas som avslöjar ras eller etniskt ursprung, politiska åsikter, religion eller övertygelse eller medlemskap i fackförening […].”
  • Vissa organisationer som behandlar känsliga uppgifter, eller uppgifter som innebär en kartläggning av enskildas beteende, måste utse en person i organisationen som har till särskild uppgift att bevaka dataskyddsfrågor, ett så kallat dataskyddsombud.
  • Varje medborgare har rätt att få sina personuppgifter raderade ur ett register.
  • Personuppgifterna ska i största möjliga utsträckning anonymiseras eller pseudonymiseras för att skydda de registrerade individernas identitet.
  • Om det inträffar en säkerhetsincident, till exempel ett dataintrång eller en oavsiktlig förlust av personuppgifter, måste detta anmälas till Datainspektionen inom 72 timmar. Organisationen kan också behöva informera de registrerade, det vill säga upprätta en anmälan om personuppgiftsincident.

Straffen för de organisationer som bryter mot dessa regler kommer att bli kännbara. De organisationer som fälls kommer att få böta upp till 20 miljoner euro eller 4% av omsättningen för en större överträdelse, och upp till 10 miljoner euro eller 2% av omsättningen för en mindre. Inte nog med det: företagets ledning kan dessutom hållas personligen ansvariga för allvarliga incidenter och därmed riskera stränga straff.

Anledningen till att EU skärper reglerna och straffen är att det gamla Dataskyddsdirektivet inte efterlevdes som det skulle; förhållandevis små straff utdömdes vilket gjorde direktivet urvattnat och uddlöst. Som en konsekvens av denna slapphänta attityd från myndigheternas sida var det ganska få organisationer som brydde sig om att hantera personuppgifter på ett korrekt sätt.

Men nu kommer det att bli ändring på det. Alla EU-medborgare kommer att kunna lämna in klagomål mot vilken organisation som helst inom EU; varje klagomål kommer att resultera i en utredning. Datainspektionen kan därmed få många fler ärenden att hantera – och kan komma att döma ut betydligt flera straff och böter än tidigare. Den organisation som straffas måste dessutom betala böterna först och överklaga sedan.

Den nya Dataskyddsförordningen kan medföra stora kostnader för de organisationer som hanterar personuppgifter. För de företag och organisationer som redan följer PUL och Dataskyddsdirektivet till punkt och pricka kommer det i de flesta fall att gå relativt smidigt att införa tilläggen för Dataskyddsförordningen. Däremot kan det bli dyrt för de företag som tidigare har slarvat med personuppgiftshanteringen och med kort varsel måste implementera nya brandväggar, behörighetssystem, anonymiseringsprotokoll, databaskryptering, personalkontroller och så vidare. Och då talar vi om företag som har rent mjöl i påsen och som lagrar personuppgifter för sina kunders bästa.

Sedan finns det ytterligare en kategori organisationer som inhämtar, lagrar, analyserar och sprider personuppgifter mot individernas uttryckliga vilja. I denna kategori återfinns primärt de vänsterextrema organisationerna Expo, Researchgruppen och Piscatus.

En av de mest tongivande aktörerna i denna kategori är Researchgruppen som kallar sig för ”Sveriges Stasi”. Researchgruppen kallades tidigare AFA Dokumentation, och flera av deras medlemmar har ett förflutet i det våldsbejakande AFA (Antifascistisk Aktion). Researchgruppen kartlägger i första hand politiker och privatpersoner som har kopplingar till Sverigedemokraterna. Det gör de genom att hacka exempelvis kommentarsfälten på Avpixlat och stjäla Flashbacks databas. På så vis har de byggt upp en stor databas med vanliga medborgares åsikter, vilket påminner om ett åsiktsregister. Sedan säljer de informationen till tabloidtidningar som Expressen och Aftonbladet som hänger ut dessa personer med namn och bild.

Piscatus är ytterligare en viktig spelare för inhämtning av personuppgifter. Företaget har samtliga svenskar registrerade i en databas. Företaget inhämtar dokument och offentliga handlingar från domstolar, regeringsdepartement, kommuner, kyrkostift, landsting, högskolor och myndigheter. I praktiken drivs Piscatus av medlemmar i Expo och Researchgruppen som använder uppgifterna från de insamlade handlingarna för att samköra dem mot hackade webbsajter och diskussionsforum som Disqus. De identifierade privatpersonerna hängs sedan återigen ut i tidningar som Aftonbladet och Expressen.

Den mest dominerande aktören är stiftelsen Expo. Bland annat har Expo köpt Sverigedemokraternas medlemsregister från en avhoppad medlem och har med denna som grund byggt upp Sveriges största databas av personer med högerextrema åsikter. Registret var dock inte helt lagligt när det upprättades, vilket framgår av ett email från Expos ansvarige utgivare när stiftelsen grundades:

”Det är riktigt att Expo Research sedan flera år bygger det största forskararkivet i norra Europa om högerextrema och antidemokratiska företeelser. Material för arkivet är idag tillgängligt för enskilda forskare, myndighetspersoner och viss massmedia med behov av information i dessa ämnen, och ska – när det så småningom är färdigställt – i viss mån även vara öppet för allmänheten. […] Det är riktigt att Hillstiftelsen/Expo aldrig ansökt om tillstånd att upprätta personregister för forskningsändamål. Den enkla orsaken är att detta aldrig varit aktuellt i Stiftelsens verksamhet.”

Som synes bryter Expo, Researchgruppen och Piscatus mot mängder av regler i EU:s kommande Dataskyddsförordning. Det kan komma att straffa sig hårt: från och med maj 2018 kan alla som har fått sina personuppgifter missbrukade av dessa organisationer anmäla det till Datainspektionen. Om man misstänker att man har fått sina uppgifter sparade mot sin vilja kan man dessutom begära ut en rapport om dessa uppgifter och begära att få dem raderade.

Det kommer att bli intressant att se hur Expo, Researchgruppen och Piscatus kommer att agera när Dataskyddsförordningen träder i kraft. Eftersom de har samlat in personuppgifterna mot de registrerade personernas vilja är det i princip omöjligt att anpassa systemen och rutinerna till Dataskyddsförordningens regler. Vill det sig illa kan de dra på sig tusentals anmälningar och dömas till miljontals kronor i böter. Dataskyddsombuden (om de nu ens har några) och ledningarna på dessa organisationer kan få bråda dagar i maj 2018. Alternativet är att de lägger ner sina verksamheter innan maj 2018 i förhoppning om att inte bli anmälda och bötfällda av Datainspektionen.

Hur kommer den nya Dataskyddsförordningen att påverka press och media? Journalisterna i Sverige omfattas för närvarande inte av Personuppgiftslagen utan ska istället förhålla sig till det pressetiska regelverket. En liknande paragraf finns i Dataskyddsförordningen, för i GDPR §153 står det följande:

”Behandling av personuppgifter enbart för journalistiska, akademiska, konstnärliga eller litterära ändamål bör undantas från vissa av kraven i denna förordning, så att rätten till skydd av personuppgifter vid behov kan förenas med rätten till yttrandefrihet och informationsfrihet […]”

Dataskyddsförordningen ska alltså vid behov förenas med de nationella lagarna för tryckfrihet. I Sveriges fall kan detta bli mer komplicerat än i övriga EU, för Sveriges yttrandefrihetsgrundlag och tryckfrihetsförordning är nämligen mer långtgående än i de flesta andra EU-länder; så i jämförelse med många andra länder kan Dataskyddsförordningen kollidera med Sveriges nuvarande lagar för tryckfrihet. Dessutom är Dataskyddsförordningen till stor del baserad på den tyska personuppgiftslagen, Bundesdatenschutzgesetz (BDSG), som är betydligt mer restriktiv än svenska PUL. Det kan mycket väl bli ett antal rättsliga processer för juridiskt pröva Dataskyddsförordningen i förhållande till den svenska tryckfrihetsförordningen – men det finns alltså indikationer på att det kan införas restriktioner i de svenska lagarna för publicering av personuppgifter.

Kommer Dataskyddsförordningen då att kunna stoppa kvällspressens uthängningar av politiska dissidenter i Sverige? Dessa uthängningar ett i mångt och mycket ett svenskt fenomen, vilket beror på en slapphänt hantering av PUL, osedvanligt starka grundlagar för tryckfrihet, ett utbrett åsiktsförtryck (bland annat enligt den amerikanske journalisten Tim Pool) samt kartläggande organisationer som Expo, Researchgruppen och Piscatus. Liknande uthängningar är ovanliga i de västerländska demokratierna i EU, utan återfanns mest i de forna kommunistiska diktaturerna.

Eftersom de dissidenter som hängs ut i Sverige är ostraffade och explicit har begärt att få vara anonyma kan framtida uthängningar mycket väl komma att stå i strid med Dataskyddsförordningen. Framförallt kan Expo, Researchgruppen och Piscatus komma att drabbas av sanktioner, så att de inte längre vill eller kan förse kvällstidningar som Expressen och Aftonbladet med personuppgifter om politiska dissidenter som föredrar att vara anonyma. Om kvällstidningarna dristar sig till att fortsätta med de kontroversiella uthängningarna kan det mycket väl leda till rättegångar i de fall Dataskyddsförordningen inte är kompatibel med tryckfrihetsgrundlagen. Aftonbladets omsättning 2015 var 1935 miljoner kronor och Expressens omsättning samma år var 1291 miljoner kronor; om dessa tidningar skulle bötfällas av Datainspektionen skulle det teoretiskt kunna leda till böter på 77 respektive 52 miljoner kronor. Det är stora summor pengar – så det klokaste för kvällstidningarna är förmodligen att avhålla sig från tveksamma exponeringar av ostraffade människors identiteter.

Tiderna och lagarna håller på att förändras; för ovanlighetens skull kan EU gynna de regimkritiska medborgarna. I mars 2014 fick Expressen och Researchgruppen utmärkelsen Guldspaden för sina uthängningar. Om ett år riskerar de istället att dömas till dryga böter av Datainspektionen för brott mot Dataskyddsförordningen.

2 reaktioner på ”EU:s dataskyddsförordning kan ställa till problem för Expo”

  1. Bra. Då ser vi fram emot att Expo upphör med sin verksamhet och att medlemmarna ställs inför rätta.

Kommentera

E-postadressen publiceras inte. Obligatoriska fält är märkta *