Replik: Fromma GDPR-förhoppningar



Snabbare än en Lexbasesökning fick jag svarmin artikel om riskerna med den nya europeiska dataskyddslagstiftningen GDPR. Men aldrig så goda föresatser räddar inte undermåligt formulerad lagtext – inte ens om den kommer från Bryssel, skriver Peter J Olsson.

Detta av tidigare Europaparlamentarikern för Piratpartiet Amalia Andersdotter, numera ordförande i den ideella föreningen dataskydd.net. Parlamentarikertiden har uppenbarligen påverkat på minst två sätt, dels till en något byråkratiskt diffus prosa, dels till en övertro på möjligheten att via EU-lagstiftning rätta till problem i verkligheten.

I Andersdotters värld är allt nu ordnat till det bästa och den enskildes möjlighet att hävda sina rättigheter har stärkts.

I själva verket fungerar sällan EU-rätten så, och inte så i fallen med den aktuella förordningen (och direktivet). Den ger inte makt till individen att förhandla och föra processer, utan företag och organisationer kan genom att följa förordningens formella regler köpa sig fria från kritik. Sker brott mot förordningen så ska de hanteras byråkratiskt och undersökas och beivras av i vårt fall datainspektionen. Några skadestånd till privatpersoner handlar det inte om. Kanske rimligt eftersom det i många fall blir svårt att identifiera någon skada, än mindre värdera den.

För de stora och etablerade företagen och organisationerna är detta sällan något problem. De klarar att implementera de byråkratiska reglerna och har en kassa som räcker att ta de extra kostnaderna. Det kan till och med vara så att de gärna tar dem, för det innebär ju också att de köper sig skydd mot mindre, nya och hungrigare konkurrenter – som saknar kompetens och kapital att undvika att falla i lagstiftningens fällor och varggropar.

Därmed kanske effekten skenbart stöder Andersdotters upprördhet över att jag tror att lagstiftning i Bryssel ofta påverkas av en vilja att knyta upp svansen på amerikanska storföretag. Men jag anser fortfarande att denna vilja är tydlig när man hör EU-debatten och ser utformningen, låt vara att lagstiftningen misslyckas eftersom de företag man siktat in sig på klarar utmaningen. Medan svagare aktörer drabbas.

Vilken effekt får då detta för medborgarna, ja man får en hantering av personuppgifter som sker efter ett antal kriterier. I många fall kommer de att få information, kanske bättre än i dag, om hur deras personuppgifter hanteras – och kunna säga ja eller nej till att fortsätta en relation till företaget. En del kommer att bli krångligare, nekande svar ska vara förstahandsval, normala avtalsslutande processer, konklusivt handlande med mera kanske inte uppfyller förordningens krav.

Men medborgare är inte bara subjekt för databehandling. De arbetar i organisationer som använder personuppgifter, de brukar dem kanske själva också. I båda fallen kanske man inte har de resurser storföretag har för att garantera regeluppfyllelse.

Och riskerar man att hamna i en byråkratisk process som hindrar, straffar och kanske krossar en liten aktör. Säkert kommer en del med tiden att hamna i domstol, men till stor del kommer praxis och bötesbelopp att fastställas administrativt, i Sverige alltså av datainspektionen.

Har vi inte sett nog av ”lagstiftning” via statlig administration? Skattetilläggen är ingen stolt och rättssäker del av vårt rättsväsende. Polisens hantering av vapenlagstiftningen är avskräckande. Skogslagstiftningen har genom administrativa beslut gjort oacceptabla ingrepp i äganderätten. Fler exempel finns.

Det går att anta att övertrampen kommer att vara många fler än som kan beivras. Därmed blir förordningen något som godtyckligt kan användas för att slå ner på vissa. Vet vi att detta kommer att ske på ett oväldigt och rättssäkert sätt?

Vem minns inte Datainspektionens avslag enligt PUL på ansökan från journalisten Anders R Olsson att skriva en debattbok som innehöll personuppgifter. Det avslaget var enligt gamla datalagen, men PUL och GDPR går egentligen längre.

I vågskålen finns också att gamla inarbetade rättigheter, bland annat upphovsrätt blir mindre värd. Andersdotter anför och menar att det är ett självklart och positivt resultat att man inte ens privat får fotografera andra människor. Jag ser det som ett stelt och hårt samhälle.

De beskrivningarna vi gör av andra människor, de fotografier vi tar, de konstverk vi utför är upphovsmännens, inte de beskrivnas eller avbildades. Upphovsmännen har inte alltid rätt att offentliggöra fakta och bilder, men de har rätt att skapa dem och bevara dem i ett ”register”. Det hävdar jag fortfarande är en i grunden naturrättslig mänsklig rättighet i klass med övrig äganderätt.

Självfallet hävdar jag inte att användningen av personuppgifter ska vara helt oreglerad. Men den aktuella allmänna dataskyddsförordningen från EU riskerar att skapa större problem än de man försöker lösa. Vägen till helvetet är som så ofta stenlagd med goda föresatser.

Peter J Olsson är borgerlig skribent och chefsstrateg (M) i Region Skåne