Personuppgiftslagen (PUL)
Den Svenska personuppgiftslagen upphör att gälla 25 Maj 2018 i samband med att den nya Europeiska dataskyddsförordningen (GDPR) börjar gälla. PUL reglerar bland annat hur vi får publicera andras personuppgifter. Nu när internet blivit en del av verkligheten blir flera av våra lagar otidsenliga, som PUL. Det går att ta sig förbi PUL med hjälp av olika trix men också helt lagligt utan trix om man har “utguvningsbevis”. Utgivningsbevis kan man ansöka om till en skrift eller en webbplats. Det medför en del krav för exempelvis en webbplats, som att ansvarige utgivaren måste förhandsgranska allt som publiceras, så också kommentarer i kommentarsfält. Denna nättidning har utgivningsbevis det är orsaken till att vi inte låter kommentarer visas när de postats. En annan viktigt faktor med utgivningsbeviset är att PUL inte gäller för de med detta bevis. Vi kan alltså helt lagligt presentera personuppgifter om vem vi vill om vi vill.
General data protection regulation (GDPR)
Den nya Europeiska dataskyddsförordningen, General data protection regulation (GDPR), ersätter alla nationella lagar för personuppgifter med mera. Den införs alltså 25 Maj 2018 och kommer att innebära ett stort merarbete för företag, organisationer och liknande. De måste vara klara och tillse att GDPR efterlevs det datum det införs. Syftet med lagen är att stärka den personliga integriteten vid behandling av personuppgifter. Skyddet innebär att man ställer större krav på innehavare av personuppgifter och ger kraftigare påföljder vid brott mot lagen. Ett sådan påföljd kan vara att betala 4% av omsättningen och på det ytterligare skadestånd. Dessutom kommer omvänd bevisbörda att gälla, dvs den som är åtalad måste själv bevisa att de gjort allt rätt.
Vad gäller med GDPR
Personuppgifter, som exempel en kunddatabas, kommer inte att tillhöra den som upprättat det. All sådan registrering får upprättaren använda som ett lån, ägare till uppgifterna om en individ är den registreade individen själv. Fokus kommer att ligga på skydd av den personliga integriteten, medborgarnas rättigheter kommer också att stärkas. Företagen måste med den nya lagen bättre informera personerna som registreras om vad som registreras och hur de använder informationen. Dunkla användningsområden eller insamlandet av för syftet onödiga uppgifter får inte ske. Under vissa omständigheter skall den enskilde kunna säga nej till att vara registrerad i olika databaser. Enligt “privacy by default”, som är en del av GDPR, måste databasinnehavaren känna till vad som ingår i databasen och hur uppgifterna samlats in och vem som har tillgång till dem. Riskbedömningar och konsekvensbeskrivningar måste också arbetas fram. Det viktigaste är dock att man inte får lämna ut detta arbete till en It-entreprenör.
Rätten att bli glömd
I denna nya lagstiftning utökas också rätten att bli glömd. Det innebär i princip att den registrerade ska kunna bli glömd och få sin information raderad ur dataregister förutom viss information som krävs för att exempelvis sjukvården skall fungera. Den registrerade ska även kunna få veta vilken information som finns om sig själv i olika register och det ska även vara möjligt för den registrerade att få ut den informationen. Som tidigare domar, men nu med utökning, finns rätten att inte omnämnas eller länkas till sådant omnämnande. Kravet för att länkar till sådana platser skall raderas är att informationen skall vara oriktig, irrelevant, gammalt eller överflödig. De flesta uppgifter om personer på exempelvis nätet faller under någon av dessa fyra kategorier. Följaktligen kommer en mycket stor del av personuppgifter på nätet behövas tas bort och länkar till dem raderas. Det är viktigt att man kan få länkar raderade på exempelvis Google eftersom flera webbsidor är dunkla och tycks leva sitt liv utan ansvariga, men som naturligtvis har ansvariga, som exempelvis forumet Flashback. Utan länkar till dessa mörka hål på nätet betyder de inget.
Facebook och barn
Behandling av barns uppgifter kommer att kräva samtycke från vårdnadshavare för exempelvis Facebook och andra sociala mötespunkter.
Ett starkare PUL
Egentligen blir den nya lagen samma som PUL men innefattar fler områden och framför allt den måste användas. Idag är PUL fullständigt verkningslöst. Datainspektionen, som är tillsynsmyndighet för PUL och blir det för den nya lagen också, har varit fullständigt tandlös. Som exempel pågår det ofantligt mycket PUL-brott på bla forumet Flashback och enligt Datainspektionen har de fått väldigt mycket anmälningar mot just Flashback. Vid våra diskussioner med Datainspektionen säger de att det inte går att åtala Flashbacks ägare för de vet inte vem som är ägaren. Vi har skickat mycket tydliga bevis på att det är Jan Axelsson som äger Flashback men får bara svaret ungefär:
Det är polisens sak att utreda vem som äger Flashback och det kan bara de drabbade anmäla till dem för utredning.
De som hörsammar datainspektionen och anmäler brotten på Flashback till polisen får dock svaret:
Utredning inleds inte
Där blir det alltså stopp efter ett “moment 22”. Men med den nya lagen skall det inte stoppas så här, de tvingas att utreda PUL-brott och det innebär att de tvingas utreda vem som äger Flashback. Egentligen behövs det inte utredas för det har sagts tämligen öppet att det är Jan Axelsson som äger forumet. Därför ter sig myndigheternas agerande mycket märkligt. Man börjar så smått undra vad för hållhake Jan Axelsson har på dem?
PUL har egentligen inneburit en lagstiftning med mycket gummi som går att sträcka ut till lagliga handlingar i stort sett hur som helst. Om man exempelvis har behandlat personuppgifter i löpande text och listor har det kunnat göras med stöd i missbruksregeln. Det betyder praktiskt att så länge ingen kränkts kommer ingen att bry sig om att hantera saken. Det har till och med författats ett sub-regelverk för vad datainspektionen kan tillåta för brott mot PUL utan att ingripa, dvs de har kapitulerat inför alla som utnyttjar kryphål och gjort dessa kryphål lagliga. Den möjligheten försvinner helt och hållet i och med den nya lagen som pekar med hela handen att lagen skall följas exakt så som den ser ut. PUL tillåter idag så kallat “ostrukturerade” register men också det kommer att falla lika hårt som allt annat under den nya lagen. Ostrukturerade register kan vara sportorganisationers medlemslistor eller andra liknande listor där några få personuppgifter finns med. Det kan också vara mejl, foton, ljudfiler och liknande. Man kan alltså inte offentliggöra andras mejl eller fotona efter den nya lagen utan godkännande.
Skriva om andra på bloggar och forum
Enligt GDPR skall också ostrukturerad text om personuppgifter ingå i den nya lagen. Som tidigare nämnts kan man inte publicera andras mejl, foton på andra, ljud- och bildfiler där andra medverkar och liknande. Omsatt till klartext kan man överhuvudtaget inte alls skriva om andra utan deras samtycke. Det innebär att mängder av bloggar och forum har ett digert arbete framför sig att redigera om bland sina texter. Vi vet ett antal bloggar, förutom Flashback, där vi omnämns med personuppgifter på ett kränkande sätt och vi vet flera platser där de lagt ut bilder. Allt detta måste tas bort från och med 25 Maj 2018.
En glädjande nyhet
Ett dataskyddsombud skall införas. Det är vad vi i vår grupp lobbat mycket för och nu blir det verklighet, förmodligen utan att det var vi som gjorde det. Dataskyddsombudet skall ha särskilt ansvar för att regler efterföljs och skall bevaka dessa frågor. Bland annat skall detta ombud undersöka om olika dataregister innebär en kartläggning av personers beteenden.
Rapporteringskrav vid intrång
Den nya lagen anger mycket tydligt att alla med personuppgifter i databaser eller andra register måste anmäla intrång eller misstag som gjorts i skyddet av personuppgifterna till Datainspektionen. Syftet är att alla med sådana databaser tvingas göra allt som står i deras makt för att skydda personliga uppgifter. Detta måste ske inom 72 timmar från att händelsen uppdagades.
Tredje parter
Parter som ingår i arbete, som tjänsteleverantör, webbhotell och molnleverantörer, där uppgifter från någons dataregister hanteras kan också bötfällas vid uppdagat missbruk eller misstag av personuppgifter.
Registreringar och databaser i utlandet
Hämtat från datainspektionens hemsida:
En nyhet i förordningen är att enskilda ska kunna vända sig till “sin egen” dataskyddsmyndighet med klagomål som rör uppgifter som hanteras i ett annat land. En svensk ska alltså kunna vända sig till Datainspektionen med ett klagomål som rör ett företag i Tyskland. Dataskyddsmyndigheterna i EU:s medlemsstater kommer att behöva samarbeta ännu mer än tidigare enligt den nya förordningen.
För vilka kommer GDPR att gälla
Hämtat från datainspektionens hemsida:
Förordningen omfattar i princip all behandling av personuppgifter, det vill säga sådan behandling som sker i företag, i föreningar, inom myndigheter och av privatpersoner. Det finns dock undantag:
- personuppgiftsbehandling som sker av en privatperson för rent personligt bruk,
- personuppgiftsbehandling som sker i verksamhet som inte omfattas av EU-rätten (till exempel försvar och nationell säkerhet)
- personuppgiftsbehandling som sker i brottsbekämpande verksamhet, som exempelvis polisen
Förordningen gäller för de personuppgiftsansvariga som är etablerade i EU. Den gäller också för personuppgiftsansvariga som är etablerade utanför EU i vissa fall, nämligen om de behandlar personuppgifter i samband med att de erbjuder varor och tjänster till personer i EU eller behandlar personuppgifter i samband med övervakning av människors beteende i EU. Med det sistnämnda avses till exempel att man spårar enskilda personers beteende på internet för att skapa kundprofiler eller liknande.
Yttrandefrihet och offentlighetsprincipen
I Sveriges har vi till skillnad från andra länder i Europa offentlighetsprincipen och grundlagsskyddet för medier. Det kvarstår att integrera dessa två mycket viktiga principer och lagar med GDPR. Det kommer att bli ett drygt arbete för de ansvariga.
Till sist, hur drabbas vi
Det vill säga hur drabbas media med utgivningsbevis? Måste vi nu sluta presentera anonyma på nätet?
Datainspektionen:
“Nej, förordningen påverkar inte verksamheter med utgivningsbevis. /../. Ett utgivningsbevis innebär att reglerna om personuppgiftsbehandling inte gäller i den mån det skulle inkräkta på den grundlagsskyddade rätten till yttrandefrihet. Detta kommer alltså att fortsätta gälla.”
Jepp, bra, då kan vi fortsätta dra slöjan av de anonyma på nätet!
Nu börjar det
Nu börjar alltså våra folkvalda förstå att en dator inte är en maskin som står i ett hörn och samlar dam. Nu när de börjat förstå detta börjar det också hända saker. Vi har bland annat de nya lagarna som det diskuteras om i här i Sverige och vi har GDPR. Det som är den springande punkten i de kommande åtgärderna är att lägger större vikt vid att de olika plattformarnas innehavare eller skötare tar sitt ansvar och raderar olagligheter. Det är exakt det vi lobbat för sedan vintern 2012/2013 med vår största seger då vårt lagförslag med en ändring av BBS-lagen lästes upp i KU inför sittande församling.
Källor:
Granskande Perspektiv
Datainspektionen.se
IDG.se
Scentigo.se
24Solutions.com