Nyhet

När personuppgifter ses som farliga

2019-07-01

Drygt ett år har förflutit sedan GDPR infördes. Än är det för tidigt att uttala sig om vilken effekt förordningen kommer att få, men en sak är säker: Svenska myndigheter har börjat hantera personuppgifter annorlunda än förr.

Den som det senaste året gått in på en sajt som använder så kallade cookies, det vill säga sparar viss information om användaren, har inte kunnat undgå att märka kraven på samtycke.

Reglerna har skärpts i och med EU:s dataskyddsförordning GDPR, vilket bland annat fått till följd att vissa amerikanska sajter för att vara på den säkra sidan börjat låta europeiska besökare samtycka till långa sjok av juridisk text, eller helt enkelt blockerar dem.

GDPR har tagits fram eftersom det gamla dataskyddsdirektivet, det som gav oss personuppgiftslagen PUL, har ansetts föråldrad i och med den snabba utvecklingen på IT-området.

En rad svenska lagar har fått skrivas om för att harmoniseras med GDPR, myndigheter har fått ändra praxis för hur personuppgifter behandlas. På ett område råder i dag en viss osäkerhet: Hur ska offentlighetsprincipen tolkas i förhållande till GDPR?

Den svenska lag som förra året ersatte PUL, 2018:218, slår fast omfattande undantag från GDPR för ”journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande”. Sådana undantag får medlemsstater göra enligt GDPR. Dock är det långt ifrån klart om just de undantag som den svenska lagen anger skulle godkännas i högre instans inom EU.

Staffan Dahllöf är journalist med lång erfarenhet av offentlighetsprincipen och att få ut handlingar från EU. Han frågar sig hur länge 2018:218 kommer att ha kvar undantaget om journalistiska ändamål.

– Jag tror att jag rätt enkelt skulle kunna ifrågasätta den paragrafen om jag befann mig på ”andra sidan”, säger han på telefon från Köpenhamn där han bor.

– Jag skulle hävda att 2018:218 inte har stöd i förordningen och att Sverige har tolkat EU-rätten väl självsvåldigt. Det är jag i och för sig glad för att man gör men är tveksam om det håller på sikt.

Enligt Staffan Dahllöf är det tunt med vägledande rättsfall där nationell lag ställts direkt mot EU-lagstiftning.

– Det finns ett par utslag i tyska förvaltningsdomstolen som slår fast att respektive lands grundlag gäller gentemot EU. Och Danmarks Højsterett har ett par domar om tillämpningen av Maastrichtfördraget som lägger sig rätt nära de tyska.

Dock har inte EU-domstolen prövat de domarna.

I höstas avgjorde EU-domstolen däremot ett fall Staffan Dahllöf som drivit tillsammans med europeiska journalistkollegor. Det gällde rätten att få se kvitton för de utgifter för representation i hemlandet som alla EU-parlamentariker får cirka 45 000 kronor i månaden för. Få hade gått med på att visa dem frivilligt.

Journalisterna förlorade. Domstolen anger bland annat följande skäl:

Att lämna ut de begärda uppgifterna skulle kunna ”undergräva skyddet för den enskildes privatliv och integritet”. Och ”med uttrycket ’personuppgifter’ avses varje upplysning som avser en identifierad eller identifierbar fysisk person”, vilket man konstaterar att samtliga begärda handlingar gör.

I det oklara rättsläge som råder har journalister börjat märka av en glidning i praxis hos svenska myndigheter när det gäller synen på vad som egentligen är känsliga personuppgifter och under vilka omständigheter de kan lämnas ut. Någon hänvisning till GDPR görs aldrig uttryckligen i myndigheternas motiveringar – däremot tolkas existerande svenska lagar annorlunda än tidigare.

Ett tydligt exempel hittar vi hos Transportstyrelsen. Myndighetens informationssystem Swedish Traffic Accident Data Acquisition, eller Strada, innehåller information om trafikolyckor, bland annat känsliga personuppgifter som detaljerad information om skador.

På senare tid har Transportstyrelsen blivit mer restriktiv med att lämna ut även mindre känsliga uppgifter ur Strada, som tid, plats, fordonsmodell och så vidare, med motiveringen att uppgifterna kan användas för att identifiera personer.

En av dem som försökt och misslyckats få ut information från Strada är Peter Jonriksson, adjunkt och programansvarig på Mittuniversitetets journalistutbildning.

– Jag gjorde ett datajournalistprojekt på Mittmedia 2013, säger han till Scoop. Jag gjorde en interaktiv datavisualisering, så man kunde titta var i kommunen det skedde flest allvarliga olyckor.

– Nu när jag försöker begära ut information om trafikolyckor i Västernorrland som allmän handling hävdar man plötsligt att det råder statistiksekretess enligt offentlighets- och sekretesslagen, OSL. Man hävdar att man är en särskild verksamhet för statistik-samling, trots att Strada en gång skapades som faktaunderlag för alla aktörer som har intresse för trafiksäkerhetsfrågor, som försäkringsbolag och motororganisationer.

För varje variabel som tas med ökar risken att en enskilds personuppgifter kommer ut, anser myndigheten.

– Och det resonemanget kommer från GDPR – men lagen man hänvisar till är OSL.

Peter Jonriksson överklagade beslutet, men Kammarrätten gick på Transportstyrelsens linje.
–Rätten menar att det faktum att studenter ska få ta del av den här databasen innebär att uppgifterna sprids. Trots att Transportstyrelsen själva publicerat riktlinjer om att universitet kan få ut de flesta uppgifterna.

Resonemanget om personuppgifter i GDPR har smittat av sig på andra delar av offentlighetsprincipen, anser Peter Jonriksson.

– Detta att varje variabel man släpper ökar risken för att enskilda identifieras. Trots att alla människor förstår att det är omöjligt att identifiera individer i den här databasen.

Det Peter Jonriksson är mest orolig för är hur det kommer att gå när reglerna för myndigheternas register ska harmoniseras med GDPR.

– Risken är att vi kommer att ha en stor mängd handlingar som är offentliga, men som blir omöjliga att hitta när vi inte kan fråga på personnamn eller personnummer. Då måste vi ha diarienumret, och hur får man tag på det?

– Dels är det problematiskt när man vet vad man letar efter, men ännu mer för en kommunreporter som läser igenom diarielistorna från förvaltningarna i jakt på sådant som är intressant, om myndigheten anser sig förhindrad att ange vem som skickat in handlingen, eller om den anser sig förhindrad att ens tala om vad det handlar om, för att det kan innebära att en personuppgift röjs.

Även domstolsdatalagen genomgår en översyn. Något som oroar Peter Jonriksson kanske mest av allt.

– Vi reportrar är ju vana vid att hos domstolen får vi säkert faktaunderlag, och vi kan söka fram faktaunderlag. Om någon påstår att en person är dömd för våldtäkt så tar det mig fem minuter att kolla om det är sant eller lögn. Men om man inte längre får fråga på namn och personnummer, då kan man ljuga ihop vad som helst om vem som helst när det gäller så allvarliga saker som påstådd brottslighet.

Ett konkret exempel på rådande praxis i dag är hur det blivit svårare att göra den för nyhetsreportrar rutinmässiga förfrågningen hos polisen om aktuella händelser.

– När jag var kriminalreporter fick jag varje morgon en dygnslista från polisen, säger Peter Jonriksson. Numera lämnar Polismyndigheten ut en lista där man på inrådan från Datainspektionen har tagit bort diarienumren. Det går alltså inte att se om det saknas en anmälan. Det går inte att se om en anmälan är borttagen ur materialet. Datainspektionen har ansett att diarienumret kan leda till att personuppgifter om människor kommer ut.

– Det är ett direkt brott mot vad OSL säger om hur ett diarium ska hållas.

Staffan Dahllöf tror att svenska journalister kan komma att behöva arbeta mer som kollegor söderut i Europa om utvecklingen mot mindre offentlighet fortsätter.

– Tendensen blir att vi journalister blir mer och mer beroende av läckor och anonyma tips. Det är ju så väldigt många arbetar runtom i Europa, säger han. Man är beroende av att någon kommer och viskar något i örat eller sticker åt en en liten handling eller USB-sticka.

– Det finns en massa exempel inte minst från vad vi tidigare kallade östländer. Många av dem fick väldigt bra offentlighetslagar på 1990-talet. Sedan har de svårt att tillämpa dem. Men det görs jättebra jobb i Slovenien, Bosnien och Ungern till exempel.

– I den meningen är det ju inte svartvitt. Det har aldrig funnits så många offentlighetslagar runtom i världen som i dag. Det är ju inte entydigt mörkläggning, men det är en ständig intressemotsättning.

Fakta/EU:s dataskyddsförordning GDPR

Den 25 maj 2018 trädde EU:s dataskyddsförordning The General Data Protection Regulation, eller GDPR, i kraft. Syftet med förordningen är med Datainspektionens formulering att ”skapa en enhetlig och likvärdig nivå för skyddet av personuppgifter så att det fria flödet av uppgifter inom Europa inte hindras.”

Förordningen bygger vidare på det dataskyddsdirektiv som i Sverige infördes i form av Personuppgiftslagen, PUL, 24 oktober 1998. I och med GDPR har också PUL skrotats och ersatts av Lag med kompletterande bestämmelser till EU:s dataskyddsförordning 2018:218.

GDPR innehåller många skrivningar som uppenbarligen riskerar att försvåra journalistiskt arbete, både vad gäller möjligheten att ta del av offentliga handlingar och i och med privatpersoners rätt enligt förordningen, exempelvis att ta del av vilken information som lagras om dem och att begära att informationen raderas när den inte längre är nödvändig ”för de ändamål för vilka de samlats in eller på annat sätt behandlats” (GDPR artikel 17:1).

Den svenska lagen 2018:218 innehåller uttryckliga undantag från GDPR för journalistisk verksamhet, som bland annat sätter ovan citerade artikel 17 ur spel. I 1 kap 7 § står:

”EU:s dataskyddsförordning och denna lag ska inte tillämpas i den utsträckning det skulle strida mot tryckfrihetsförordningen eller yttrandefrihetsgrundlagen. Artiklarna 5–30 och 35–50 i EU:s dataskyddsförordning samt 2–5 kap denna lag ska inte tillämpas vid behandling av personuppgifter som sker för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande.”

Stödet för att skriva in den sortens undantag återfinns i GDPR:s artikel 85, som bland annat slår fast att:

”Medlemsstaterna ska, för behandling som sker för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande, fastställa undantag eller avvikelser från [kapitel II–VII] och kapitel IX … om dessa är nödvändiga för att förena rätten till integritet med yttrande- och informationsfriheten.”

Det finns dock i dag ingenting som garanterar att just den skrivning riksdagen beslutat om i 2018:18 1 kap 7 § skulle klara en prövning i högre instans på EU-nivå beträffande denna nödvändighet.

Daniel Wiklander

Detta är en artikel ur Scoop nr 2/2019. Beställ ditt nummer här!

Nyhetsarkivet

Nya bränder kräver nya metoder

2019-10-29

Förra året drabbades Sverige av omfattande skogsbränder, något som varit återkommande i Kalifornien sedan ett antal år. Torrare och varmare somrar är en viktig faktor. Scoop ... Läs mer

Tobias Andersson Åkerblom fick Grävfondens stora stipendium 2020

2019-10-24

Stiftelsen Grävfonden har idag tilldelat journalisten Tobias Andersson Åkerblom stiftelsens utbildningsstipendium på 50 000 kronor för tre månaders utbildningspraktik vid det prisbelönta journalistnätverket Organized  Crime and ... Läs mer

”Journalistik stavas källkritik”

2019-10-02

Stiftelsen Grävfonden delar inom kort ut sitt andra stipendium. Scoop träffade ordförande Kerstin Brunnberg för ett samtal om betydelsen av oberoende medier. För tre år sedan ... Läs mer

Äldre artiklar

Videoarkivet

GRÄV 2014 – David Leigh

2014-08-15

New Forms of Global Data investigation – Wikileaks, Offshore Company Secrets, Snowden (ENG)The European answer to journalist Bob Woodward. David Leigh was recently rewarded with the ... Läs mer

GRÄV 2014 – Anfall, bakhåll eller tålamod?

2014-08-15

Anfall, bakhåll eller tålamod? (Sophia Djiobaridis, Helena Gissén, Daniel Velasco, Björn Häger) Läs mer

GRÄV 2014 – Invignings debatt

2014-08-15

INVIGNING. Debatt: Efter mordet på Nils Horner – hur kan korrespondenternas riskfyllda arbete Läs mer

Äldre videoklipp