Nyhet

Vem ska egentligen granska Datainspektionen?

2019-07-01

Under 2018 registrerade Datainspektionen uppåt tusen fall, där olika myndigheter felaktigt lämnat ut personuppgifter. Men ett fall valde Datainspektionen att inte registrera alls. Det gällde hur just Datainspektionen spridit en känslig personuppgift. Journalisten Christoph Andersson undrar varför inspektionen ger sig själv en gräddfil.

På senhösten 2018 lämnade Datainspektionen ut en känslig personuppgift. Det gällde en namngiven person som klagat på Google – och på hur Datainspektionen skött dennes ärende gentemot sökmotorjätten.
Mottagare var journaliststudenterna Karl Barrsjö och Amanda Zälle, som inom ramen för en radiokurs på Södertörns högskola producerade ett program om EU:s nya dataskyddsförordning GDPR, General Data Protection Regulation.

Med hänvisning till Tryckfrihetsförordningen och offentlighetsprincipen hade studenterna hos Datainspektionen begärt ut en förteckning över cirka 950 klagomål. Alla avsåg personer som klagat på hur myndigheter och företag hanterat deras personuppgifter.

I november skickade Datainspektionen hela förteckningen som en pdf-fil till Karl och Amanda via e-post, inklusive namnuppgiften på Google-klaganden.
Några månader senare valde dock inspektionen att sekretessbelägga exakt samma uppgift, med hänvisning till 32:1 i Offentlighets- och sekretesslagen, OSL (skyddet för enskilds personliga eller ekonomiska förhållanden).

Men med tanke på att uppgiften knappast skulle ha lämnats ut från början, så borde Datainspektionen ha klassat sitt agerande som en personuppgiftsincident. En dylik incident måste registreras inom 72 timmar och även utredas, i särskilda fall bötfällas. Dels framgår det av GDPR, dels av vad Datainspektionen skriver på sin egen sajt.

Kort sagt: Datainspektionen borde ha anmält sig själv. Men så skedde aldrig.

I ett mejl till Scoop förklarar överraskande verksjuristen Sigrid Granath att inspektionen inte tänker registrera ärendet som en incident. Vad som bedöms vara sekretess i enlighet med OSL 32:1 kan nämligen variera mellan olika tillfällen:

”Det är därför fullt rimligt att en lista över exempelvis dagens eller veckans inkomna ärenden lämnas ut med namn på ingivare. Om handlingarna i ett visst ärende vid ett senare tillfälle begärs ut kan läget ha förändrats och det kan ha inkommit uppgifter till myndigheten som gör att man kan anta att den som exempelvis lämnat in ett klagomål skulle kunna lida skada eller men av att dennes namn lämnas ut. Vid ett senare tillfälle kan alltså sekretessbedömningen vara en annan än den var ett halvår tidigare”, heter det i mejlet. 
”Det är därför inte fråga om en personuppgiftsincident och har följaktligen inte hanterats som en personuppgiftsincident”, fortsätter Sigrid Granath.

Argumentationen låter kanske övertygande, men faller på att Datainspektionen själv bedömer när den gjort fel eller inte. Dessutom handlar fallet om långt mer än en namngiven person som klagat på Google. Via nätet har ju Datainspektionen lämnat ut cirka 950 personrelaterade uppgifter – och det via e-post, i princip lika synligt på nätet som ett vanligt vykort i snigelposten. 
Men det stannar inte där. 
Under 2018 har Datainspektionen registrerat uppåt ettusen fall av just personuppgiftsincidenter, som olika myndigheter anses ha gjort sig skyldiga till. Allt från Arbetsförmedlingen och Eskilstuna kommun till Länsstyrelsen i Dalarna och Malmö universitet.

I ett av alla dessa fall har emellertid Datainspektionen anmält sig själv, helt i enlighet med GDPR och regelverket. Däremot har inspektionen snabbt sekretessbelagt vad det ärendet handlar om – och när incidenten inträffade. Denna gång åberopade myndigheten dock inte OSL 32:1, utan en helt annan paragraf.

Närmare bestämt OSL:s 18 kapitel, paragraf 8, stycke tre. Där står att sekretess ska gälla ”för uppgift som lämnar eller kan bidra till upplysning om säkerhets- eller bevakningsåtgärd” om ”telekommunikation eller system för automatiserad behandling av information”.

Fallet visade sig handla om att Datainspektionen av misstag låtit sprida namn och personuppgifter över sina egna anställda, inklusive löneuppgifter. Det ska ha skett genom en dataläcka, varför just OSL 18:8, punkt 3, tillämpas. 
Med hjälp av samma paragraf hemligstämplade inspektionen inte bara sitt eget ärende, utan också cirka 870 stycken av de uppåt tusen incidentrapporterna, inklusive vad rapporterna gällde – och när dessa registrerades (!).

Även denna gång valde myndigheten att hitta en bortförklaring. Inte oväntat kom Datainspektionen snabbt fram till att läckaget av den egna personalens personuppgifter inte var så allvarligt. 
Oavsett om OSL 32:1, OSL 18:8:3 eller någon annan paragraf ska gälla, så är det orimligt att Datainspektionen beslutar om eller utreder sig själv.
Dessvärre har det knappast slagit EU-politikerna som röstat fram GDPR, att även dataskyddsmyndigheter kan göra fel.

Visserligen stadgar GDPR att dataskyddsmyndigheternas beslut i princip ska kunna prövas i nationell domstol, men i så fall behöver EU-domstolen kopplas in, med följd att rättsprocesserna bli långdragna och kostsamma. Alternativt skulle det gå att anmäla Datainspektionen till den nyinrättade Europeiska dataskyddsstyrelsen, högsta organet för EU:s dataskydd, men även det skulle bli en långdragen process med oviss utgång.

Datainspektionen kommer sålunda att fortsätta handlägga sina egna missar – och klassa fall som Karls och Amandas som en icke-incident. Eller som i fallet med den egna personalens personuppgifter – att å ena sidan registrera incidenten, men att å den andra bagatellisera densamma. 
Det gör inspektionen i högsta grad jävig, med följd att förtroendet inte bara skadas för Datainspektionen, utan för hela myndighetssverige.

Men även för alla politiker som på EU- och nationell nivå ställt sig bakom GDPR, utan att ha tänkt igenom följderna. Ska verkligen Datainspektionen tillåtas att ha en alldeles egen juridisk gräddfil?

Christoph Andersson
Författare, journalist och lärare i journalistik vid Södertörns högskola

Läs mer i Scoop nr 2/2019. Beställ ditt nummer här!