j

skriven av joakim

}

01.10.2021

Datainspektionen eller IMY?

En ny? myndighet

Datainspektionen finns inte längre, sedan årsskiftet har Integritetsskyddsmyndigheten, förkortat IMY, tagit den tidigare myndighetens plats. Trots det något otympliga namnet finns det en poäng med namnbytet, kortfattat är det ett sätt att visa vad Myndighetens huvudsakliga syfte är. Integritetsskyddsmyndigheten ska som namnet visar skydda medborgarnas integritet. Detta var även Datainspektionens syfte, men med ett namn som Datainspektionen får en annan lätt intrycket av att syftet är att inspektera. Inspektion har semantiskt gått från syfte till medel, vilket överensstämmer bättre med lagstiftningen och den mänskliga rättighet som Dataskyddsförordningen bygger på.

Privatlivet som mänsklig rättighet

Rättigheten jag talar om är såklart rätten till privatliv. Att rätten till privatliv är en mänsklig rättighet förkunnades för första gången i Sverige genom FN:s allmänna förklaring om de mänskliga rättigheterna, klubbad år 1948 av en internationell skara ledd av Eleanor Roosevelt. Fokus då var på det allmännas intrång i den enskildes liv. Förklarligt eftersom det bara tre år tidigare klarlagts för världen vilka otroliga människorättsövergrepp som det allmänna är kapabelt till.

Eleanor Roosevelt gillade inte tanken på att det allmänna kunde läsa hennes brev.

Att det internationella samfundet tillsammans deklarerade att din regering inte har att göra med vad du säger och vem du är privat ser vi idag i Europa och Sverige som en självklarhet. Trots det är det inte så länge sedan Stasi övervakade misstänkta meningsmotståndare. På andra sidan viken kom det så sent som 2013 fram att USA har åtminstone två storskaliga övervakningsprogram där de samlar in information från i princip hela världen. Två av dessa (PRISM och Upstream) är den huvudsakliga anledningen till att det sen i somras ställs mycket hårdare krav på dataöverföring till USA än tidigare (Schrems II).

Europa kör sitt eget race

Det tål att nämnas att splittringen mellan Europa och resten av världen gällande rätten till privatliv kom redan 1950. Rätten till privatliv i FN:s förklaring stadgar ett skydd mot godtyckligt ingripande, är ens avlyssning ett ingripande? Om avlyssningen ger fog för ingripande inom landets lagar, då är väl heller inte ingripandet godtyckligt. Det här står i stark kontrast mot rätten till privatliv som stadgad i Europakonventionen till skydd för de Mänskliga Rättigheterna (EKMR). Där stadgas nämligen att huvudregeln är respekt för privatliv, och att de enda undantagen när staten får inskränka respekten för privatliv är när det i ett demokratiskt samhälle är nödvändigt med hänsyn till följande:

  1. statens säkerhet,
  2. den allmänna säkerheten,
  3. landets ekonomiska välstånd, eller
  4. till förebyggande av oordning eller brott, eller
  5. till skydd för hälsa eller moral eller för andra personers fri- och rättigheter.

I princip finns alltså även i den europeiska rätten till respekt för privatlivet möjligheten för en stat att skriva lagar och använda sig av undantagen för att på så vis utarma rättigheten. Trots det är den inledande ordalydelsen avseende respekt för privatlivet i EKMR jämfört med skyddet mot ingripande i FN:s förklaring av central vikt för vad rätten faktiskt omfattar. Respekt för mitt privatliv innebär att staten inte har insyn, skydd mot ingripande innebär att staten inte gör något men utesluter inte insyn.

Ny kommunikation kräver ny lag

När rätten till privatliv blev nedskriven i text, efter några av de värsta folkmorden någonsin, kommunicerade människor på andra sätt, man skickade brev eller pratade i telefon. Möjligheten att övervaka var således begränsad till att läsa brev och att bugga telefoner och hem. Det här reflekteras även i Svensk lag i form av skydd från det allmänna gällande undersökning av brev och hemlig avlyssning.

På 90-talet ändrades det här. Sociala medier började komma igång på riktigt med olika chattrum och nya plattformar, snart var mobiltelefonen och sms-skrivandet inte bara en möjlighet utan en norm. EU:s svar på de nya sätten att kommunicera och därmed de nya sätten att övervaka var att reglera och 1995 kom dataskyddsdirektivet. I Sverige implementerades dataskyddsdirektivet i lagen genom klubbandet av Personuppgiftslagen (PUL) 1998.

Myndighetens uppdrag ändras

Det stora skiftet mellan PUL och tidigare reglering på området var att PUL (och dataskyddsdirektivet) utvidgade rätten till privatliv att gälla mot andra än staten, samt att rätten till privatliv ändrades från en passiv rätt till integritet till en rätt som kunde krävas genom att begära insyn hos de som behandlade uppgifter om en. Rent formellt ändrades spelplanen, myndigheter och företag behövde nu kunna förklara för den enskilde vad de gjorde, till skillnad från tidigare när myndigheter enbart behövde förklara vad de hade. Datainspektionens roll gick från att vara en myndighet som i första hand utfärdade tillstånd till att vara en myndighet som i första hand idkade tillsyn. Ansvaret för behandling kom att ändras från att vara personligt till att bli organisatoriskt. Sanktionen för att bryta mot lagen var dock ganska tam, nämligen rättelse i första hand och vite om rättelse inte företogs.

Myndigheten idag

Som bekant har sanktioner för brott mot Dataskyddsförordningen börjat bli ganska höga, men samtidigt har Dataskyddsmyndigheternas uppdrag utvecklats och breddats. Övervakning och verkställighet är den främsta uppgiften myndigheterna har, men utöver denna uppgift ska myndigheten arbeta för att öka medvetenheten hos det allmänna, hos politiken och hos behandlare; upprätta åtskilliga olika föreskrifter som ska underlätta följsamhet med lagen; så ska de vara experter inte bara på lagen utan också på den tekniska och samhälleliga utvecklingen som kan påverka skyddet av personuppgifter; etc. Kort sagt har myndigheten växt ur namnet Datainspektion. Integritetsskyddsmyndigheten må vara lite jobbigare att säga, och IMY är i min högst personliga uppfattning inte det mest intuitiva sättet att förkorta namnet, men istället för att vara döpt efter ett verktyg så är myndigheten nu döpt efter syftet med lagen. Eleanor Roosevelt skulle varit stolt.

Källor
Bilden tagen från: https://commons.wikimedia.org/wiki/File:Eleanor_Roosevelt_UDHR.jpg (18:16 2021-01-12)
Schrems II: https://eur-lex.europa.eu/legal-content/SV/TXT/HTML/?uri=CELEX:62018CJ0311&from=FR (18:29 2021-01-12)

Relaterade blogginlägg

Incidentmall

Incident-tillbudsrapportLadda ner Incidentrapportering är något som finns i massa branscher, men av någon anledning tror folk att det ska gå till på ett särskilt sätt inom dataskydd. Så är det inte....

läs mer

Mall för Konsekvensbedömning

Konsekvensbedomning-mallLadda ner När jag satt och letade efter mallar för konsekvensbedömningar insåg jag att det inte fanns några bra. De flesta är antingen någon form av checkboxövning (vilket...

läs mer
IMY lyssnar inte första gången

IMY lyssnar inte första gången

Inledning Kommer ni ihåg när ni såg Star Wars för första gången? Alltså a New Hope. När Darth Vader kommer in fattar man: "han den där ska man inte leka med, det kan stå en dyrt". Det här...

läs mer