Sveriges nya dataskyddsreform är ett misslyckande
Tusentals sidor utredningar, en ny EU-lagstiftning och ett gediget grundarbete från Integritetskommittén har inte varit tillräckliga. Statsförvaltningen arbetar fortfarande mot möjligheten att utöva rätten till privatliv och dataskydd, i vissa fall av okunskap och i andra av ren cynism.
Sommaren har bjudit på tiotals dataskyddsutredningar om flera hundra sidor var. Och de har samtliga med närmast klinisk precision hållit sig borta både från Integritetskommitténs (nedslående) utvärdering av dataskyddsläget i Sverige (tips: det är rätt dåligt) och Europeiska unionens försök att staka ut riktningen mot bättre möjligheter för privatpersoner att utöva sina rättigheter genom en ny dataskyddsförordning.
Grundproblemet är att svenska departementsjurister utgår ifrån att privatpersoner ska vara passiva, maktlösa mottagare av sin rätt till privatliv. Det skapar många dissonanser mellan de föreslagna nya svenska lagarna, och det europeiska regelverket. Men vissa missförstånd i promemoriorna är hårresande.
Myndigheter ska inte hitta på uppgifter åt sig själva som kan hamna i konflikt med medborgarnas rättigheter.
EU:s lagstiftning kräver att databehandling ska ha en rättslig grund. För myndigheter innebär det lagstöd. De ska inte hitta på uppgifter åt sig själva som kan hamna i konflikt med medborgarnas rättigheter.
Därför har exempelvis Skatteverket inte i uppgift att stödja reklamindustrin, samhällsinformerare och opinionsbildare. Blotta tanken är uppenbart befängd.
Ändå är Skatteverket ansvarigt för Svenska personadressregister, SPAR, vars ändamål enligt lagstiftningen är att hjälpa reklamindustrin genom så kallade urvalsdragningar. Företag av kan köpa ut adresser till grupper av svenskar som delar liknande karaktärsdrag, till exempel att de är medelålders, frånskilda, har en viss utbildning, eller barn i vissa åldrar.
Genomgående är det lätt att få intrycket att juristerna som utreder den största svenska dataskyddsreformen på tjugo år inte hänger med.
I EU:s dataskyddslagstiftning ska databehandling i och för sig ha ett begränsat ändamål. Men ändamålet ska fastspikas av Skatteverket utifrån Skatteverkets uppdrag. Skatteverket kan ha ett person- och adressregister för ändamålet att uppfylla sin skyldighet att hantera folkbokföring, till exempel. Skatteverket kan dock inte tolka skyldigheten att hantera folkbokföringen som en ursäkt att sälja urvalsdragna personuppgifter till reklamindustrin.
Vad Finansdepartementet föreslår ger upphov till ett cirkelresonemang: eftersom Skatteverkets register enligt lag har ändamålet att hjälpa reklamindustrin, får Skatteverket skyldigheten att hjälpa reklamindustrin, trots att Skatteverket uppenbarligen inte har något uppdrag som innebär en sådan skyldighet. Utöver att det är intellektuellt otillfredställande, stör det den rimliga förväntan på vad ett skatteverk ska göra (konkurrera med Google?).
Integritetskommitténs kunskapsöversikt och gör det inte ens tydligt vad en av våra mest centrala myndigheter egentligen har för uppdrag.
Urvalsdragning är ett äldre svenskt ord för ”profilering”, en företeelse som i europeisk rätt har setts som extra integritetskränkande och därför fått en helt egen artikel i EU:s dataskyddsförordning (artikel 22). Profilering berörs däremot inte av någon statlig dataskyddsutredning från 2017.
Genomgående är det lätt att få intrycket att juristerna som utreder den största svenska dataskyddsreformen på tjugo år inte hänger med. De varken vill eller har kunskapen. Regeringen sitter nu fast med tusentals sidor statliga utredningar som ska förbereda inför dataskyddsförordningens ikraftträdande i maj nästa år. Men de följer inte EU-rätten, respekterar inte medborgarna, struntar i Integritetskommitténs kunskapsöversikt och gör det inte ens tydligt vad en av våra mest centrala myndigheter egentligen har för uppdrag.