Fyra vågor i debatten om data och integritet

Av den aktuella debatten är det lätt att få intrycket att integritetsdiskussionen kom med FRA-lagen. Men i själva verket är det en diskussion som i olika former pågått sedan 1970-talet. Man kan tala om fyra vågrörelser i den svenska integritetsdebatten. Utgångspunkten är att frågor som rör personlig integritet vid digital behandling av personuppgifter historiskt sett vuxit sig starka successivt, därefter mattats av något för att i ett senare skede återkomma med förnyad energi. Motivet för vågornas metafor bottnar i möjligheten att urskilja olika strömningar i en hel ocean av frågeställningar som sköljer över medborgarna i ett samhälle som i allt större utsträckning präglas av informations- och kommunikationsteknik.

En första vågrörelse förorsakades av myndigheternas arbete under 1970-talet med att bygga upp statliga personregister. Kulmen i den anknytande debatten kom i mitten av 1980-talet när den dåvarande generaldirektören för Datainspektionen, Jan Freese, satt i TV-soffan och debatterade George Orwells bild av samhället där ”Storebror ser dig”. Med i studion var också personer födda 1953 som ingått i det s.k. Metropolitprojektets longitudinella undersökningar där de ansvariga forskarna inte hade beredskap för de intervjuades legitima rätt till registerutdrag. Magnetband försvann(!) på universitetet i takt med att kvällstidningarna tryckte upp talonger för ”§10-utdrag” (enligt den gamla datalagen från 1973) med uppmaningar till medborgarna att själva kontrollera ”Storebror”. Denna vågrörelse med uppenbar förankring i den offentliga förvaltningen kan mycket väl tänkas få förnyad energi genom aktuella forskningsansatser att profilera Sverige internationellt inom registerforskningens område; just baserat på kombinationen av våra personnummer, begränsade folkmängd och registertradition.

En andra vågrörelse har sin energikälla i näringslivets kommersiella intresse för personuppgifter. Detta visar sig bl.a. i att företag med stöd i offentlighetsprincipen begär ut uppgiftssammanställningar ur myndigheters informationssystem i syfte att få underlag för direktreklam. Ett exempel på detta är det s.k. Mecenatfallet[1] där ett företag begärde att hos Centrala Studiestödsnämnden CSN få ut registeruppgifter om studielåntagare. Efter en sekretessprövning baserad på bestämmelserna i personuppgiftslagen[2], fann Regeringsrätten att det rörde sig om en begränsad icke integritetskränkande marknadsföring (ett utskick per termin). Domstolen beaktade även att personuppgifterna inte var känsliga och konstaterade sammantaget att bolagets kommersiella intresse vägde tyngre än studenternas motstående integritetsintresse.

Något som i debatten närmast kommit att framstå som en exploatering av personuppgifter avser kreditupplysningar på nätet. Trots att det rör sig om principiellt sett offentliga uppgifter naggas den personliga integriteten i kanten av att myndigheter haft ett legalt utrymme att elektroniskt lämna ut informationen till kreditupplysningsföretag som i senare affärsled med grundlagsskydd[3] kunna erbjuda tjänster till bl.a. ”Lillasyster grannen” som är nyfiken på hur det står till med ekonomin i huset bredvid. Nu finns i och för sig skäl att anta att just denna vågrörelse håller på att ebba ut beroende på självsanering inom branschen men framförallt genom riksdagens beslut den 17 juni 2010 att ändra kreditupplysningslagen[4] så att integritetsskyddet stärks[5]. Från och med årsskiftet måste nämligen beställaren av en kreditupplysning ha ett legitimt behov av informationen, kreditupplysningskopia ska sändas till den som avses med upplysningen. Genom lagändringen införs också nya rättelse- och kompletteringsskyldigheter.

En tredje vågrörelse är förstås FRA-debatten i kölvattnat av förslaget till ”En anpassad försvarsunderrättelseverksamhet”[6]. Här rörde det sig om förstärkt statlig övervakning i samhället manifesterad genom ett antal författningsändringar och införandet av den nya s.k. signalspaningslagen (2008:717). Vi var drygt tio forskare som på Mark Klambergs initiativ den 3 september 2008 på DN Debatt lyfte fram den potential för massiv kartläggning som fanns inbakad i det komplex av förslag till lagstiftning som gick under beteckningen ”FRA-lagen”[7]. Utvecklingen att i allt större utsträckning göra användningen av IT legitim i statens kontrollverksamhet kan inte bara knytas till Försvarets radioanstalt (FRA) utan kommer även till uttryck i polismetodutredningens betänkande ”En mer rättssäker inhämtning av elektronisk kommunikation i brottsbekämpningen”[8]. Till bilden hör även Trafikdatalagringsdirektivet[9] som Sverige efter mycket diskussion fortfarande har kvar att införa i sin nationella lagstiftning. Helt kort går direktivet ut på att teleoperatörer tvingas lagra information minst sex månader och högst två år om utväxling av bl.a. e-post och SMS samt även internetuppkopplingar

En fjärde vågrörelse som drabbar allt fler av de digitala medborgarna är kränkningar privatpersoner emellan på bloggar och i sociala nätverk som t.ex. Facebook. Här är det alltså individen som många gånger står sig slätt gentemot (o)vänner, före detta pojk- och flickvänner, m.fl. Den bloggare som väljer att moderera besökares inlägg kan genom ett frivilligt utgivningsbevis få grundlagsskydd[10] och på så vis bl.a. undgå Datainspektionens tillsyn. I andra sammanhang kan påhopp i webbmiljön utgöra kränkande personuppgiftsbehandling i strid med personuppgiftslagen (PuL) men ändå inte vara straffbelagda om det formellt sett inte är fråga om känsliga personuppgifter. Enligt 13 § PuL förstås med känsliga personuppgifter sådana personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening. Detsamma gäller personuppgifter som rör hälsa eller sexualliv, vilket dock inte är detsamma som en renodlad nakenbild[11]. Vid elektronisk spridning av nakenbilder blir det därför upp till den enskilde att själv driva en eventuell skadeståndsprocess (48 § PuL) utan stöd från det allmänna med den risk det innebär att i slutänden få bära rättegångskostnaderna.

Läget förändras ytterligare genom utveckling av s k molntjänster (Cloud Computing) som kan sägas beteckna skalbar tillgång till hårdvara, mjukvara och applikationer via Internet[12]. Att framväxten av denna infrastruktur ger upphov till tolknings- och tillämpningsproblem avseende PuL råder det ingen tvekan om. Vem är t.ex. att anse som personuppgiftsansvarig respektive personuppgiftsbiträde i en affärsmodell som bygger på dynamisk icke på förhand preciserad tillgång till leverantörer och deras tjänster? Hur bestämmer man rent praktiskt vilket lands lag som ska tillämpas när affärsnyttan bygger på att behandlingen av personuppgifter är flexibel oberoende av etablerade jurisdiktionsgränser?

Vilka molnbildningar kan skönjas i det framväxande kunskapssamhället? Helt klart rustar nationalbiblioteken för att mäkta med förväntningar och krav på digitalisering och tillgängliggörande av kommande elektroniska pliktleveranser liksom befintligt innehav. Det krävs inte särskilt mycket fantasi för att föreställa sig att digitala bibliotek kan lämpa sig för molnbaserade lösningar med tanke på de gigantiska volymer det är frågan om[13]. Att molnens potential vad gäller rationalisering och effektivisering också börjar attrahera myndigheter i utvecklingen av e-förvaltningen är inte heller det något att höja ögonbrynen åt. Den som värnar om integritetsskyddet har dock all anledning att vara observant på vem som kan komma att göra ”Storebror staten” och ”Lillasyster grannen” sällskap i molnlandskapet. Hotet lär i och för sig knappast komma från ”Gubben i månen” som fortfarande efter årtusenden blickar ned på jorden.

Cecilia Magnusson Sjöberg
Professor och föreståndare för Institutet för rättsinformatik (IRI), Juridiska fakulteten, Stockholms universietet

[1] RÅ 2002 ref. 54
[2] PuL (1998:204)
[3] 1 kap 9 § yttrandefrihetsgrundlagen, YGL
[4] Kreditupplysningslagen (1973:1173)
[5] Prop. 2009/10:151
[6] Prop. 2006/07:63
[7] se vidare http://klamberg.blogspot.com/
[8] SOU 2009:1
[9] 2006/24/EG
[10] 1 kap. 9 § 2 st. YGL
[11] se Svea hovrätts dom 2009-10-19 i mål nr 6821-09 och NJA 2008 s. 946
[12] se vidare t.ex. http://cloudsweden.wordpress.com/
[13] se vidare www.digitalknowledge2010.se/

0

Kommentarer

Kommentera artikeln