Replik: GDPR hävdar den enskildes rätt mot organisationerna



Dataskyddsförordningen, en lag som förstärker och stöttar en grundläggande rättighet som erkänts i Sverige och i Europa sedan mitten av 1970-talet, är inte någon katastrof. I själva verket är den kulminationen av en vision för vad som utgör ett rättvist samhälle som även svenska liberal-konservativa förespråkat i mer än ett halvt sekel, skriver Amelia Andersdotter.

Peter J Olssons instick i diskussionen är historielöst, både i det långa perspektivet och kanske ännu tråkigare ur samtidsperspektiv.

Olsson ger uttryck för många riktiga problem i implementationsprocessen för dataskyddsförordningen (GDPR: General Data Protection Regulation). Till exempel myndigheter och företag som stoppar huvudet i sanden i ett försök att låtsas som att det svenska och det europeiska samhället och dess värderingar inte angår dem. Två på varandra följande regeringar som likaledes uppmuntrat detta beteende genom dåliga förberedelser, otydliga riktlinjer eller direkt avståndstagande från de egna besluten förbättrar inte läget.

För verksamheter ute i landet som försöker förstå vad som förväntas av dem har det inte varit lätt: man måste inte bara kunna navigera själva lagtexten, utan även de till synes motstridiga politiska budskapen.

I substans har Olsson i alla fall delvis fel. Bötesbeloppen i dataskyddsförordningen, som är antingen 4% av en verksamhets globala årsomsättning eller 20 miljoner euro, har till skillnad från vitesbeloppen under personuppgiftslagen ett maxtak. Redan idag är det alltså i Sverige möjligt för Datainspektionen att döma ut hur höga sanktionsavgifter som helst (mot aktörer som inte är myndigheter). Datainspektionen har bara sällan gjort det, vilket observerats i exempelvis SOU 2016:7 om straffrättsliga sanktioner vid integritetsintång, SOU 2016:41 från riksdagens integritetskommitté, och SOU 2016:65 om tillsyn av den personliga integriteten.

Under EU:s konkurrensrättsliga lagstiftning är maxtaket för administrativa sanktionsavgifter 10% av ett företags globala årsomsättning – hela två och en halv gånger högre. Vi skulle aldrig föreställa oss att europeisk konkurrensrätt är en sorts anti-amerikansk konspiration, och det är dumt att antyda att dataskyddslagstiftningen skulle vara det.

Inte heller är det korrekt att dataskyddslagstiftningen avviker i stark mening från andra sorters lagstiftning som skyddar enskilda mot organisationer. Konsumenträtten är liknande i sin struktur, liksom marknadsföringslagstiftningen. Dataskydd har inte uppstått i ett vakuum, utan har utvecklats under närmare 50 år. Sverige var det första europeiska landet med en datalag 1973, mycket tack vare dåvarande Moderaternas ledarskap.

För en moderat strateg som Olsson borde det vara helt främmande att förklara dataskyddsförordningen en produkt av anonyma lagstiftare och byråkrater. Dåvarande moderata EU-parlamentsledamöter som var närvarande röstade enligt parlamentets protokoll för förordningen den 12 mars 2014, och finns namngivna i på internet sökbara dokument. Justitieminister Beatrice Ask och sedermera även Morgan Johansson har fört Sveriges talan i ministerrådet, och har vid flera tillfällen presenterat sin strategi och sina sakfrågor i riksdagen. Särskilt Beatrice Ask initierade starkare kriminalisering av olovlig integritetskränkning, först i form av en särskild lag mot kränkande fotografering, och senare som egen, fristående brottsrubricering i svenska brottsbalken.

Här är frågan snarare varför moderaternas strateger misslyckats kontextualisera moderaternas strategi i den europeiska dataskyddspolitiken på svensk nivå. Varför tog det enda fram till våren 2017 innan Sverige började förbereda sig? Många större amerikanska IT-företag började förbereda sig redan våren 2012, men de större svenska översyner av datalagar (tidigare benämnda ”registerförfattningar”) som påbörjades av moderaterna innan 2014 förbisåg riktningen på den europeiska politiken. Varför var man inte tydligare, tidigare?

Av synbar brist på förståelse för den egna politiska hållningen till individen, förefaller moderaterna nu under valkampanjen, precis som socialdemokraterna, göra dataskydd till en fråga om EU mot Sverige. Men dataskydd handlar inte om det, utan om enskildas relationer till organisationer.

Dataskydd och IT-säkerhet är de mest intressanta tekniska, sociologiska och juridiska områdena just nu. Viktiga frågor om nationers makt över individer, ägarskapet över människors identiteter och personligheter, samt hur vi enskilda relaterar till varandra lyfts inte bara i kontexten av europeisk dataskyddslagstiftning. De lyfts också inom diskussioner så skiftande som fake news, extremism och identitetspolitik, informationssäkerhet, digitalisering av offentlig (eller för den delen privat) verksamhet och inom ramen för globalisering, företagande och ekonomisk utveckling. Här finns gott om utrymme att visa ledarskap, i stället för att gnälla över ett fait accompli.

Gränsdragningarna kan vara knepiga. För att ta ett anekdotiskt exempel: bara för att det är praktiskt för en stolt förälder att kunna fotografera elever på en skolavslutning utan att be om lov, är det inte säkert att ungdomarna tycker det är bäst för dem. Dataskyddsförordningen menar då att man i första hand ska bry sig om vad ungdomarna tycker.

Olssons exempel på gränsdragningar faller samtliga inom denna kategori. Får man föra ett register över människor av judisk härkomst som arbetar i svenska medier? Enligt dataskyddslagstiftningen får man inte det, om inte människorna i fråga har godkänt att registreras som judar på det sättet. Får man skicka återvärvningsbrev? Inte om den utgångna medlemmen inte sagt sig vara intresserad av att återvärvas vid senare tillfälle. Vi har frihet att välja: vi får stå med i juderegister, men vi måste inte. Den som vill föra juderegister har att respektera det. Vi får öppna oss för återvärvning, men vi måste inte. Den som har en förening har att respektera det.

Som den moderata politikern Gunnar Hökmark uttryckte det redan i SOU 1986:24, är förutsättningarna för ett starkt dataskydd inte bara avhängiga byråkratiska manövrar inom ett företag eller en myndighet, utan de är ”framförallt beroende på systemets uppbyggnad och utveckling i dess helhet.” Det är denna insikt som dataskyddsförordningen har internaliserat, bland annat genom krav på inbyggt dataskydd. Som det är idag ljuder partiernas många plattityder om vikten av frihet, mänskliga rättigheter och individens värde ihåligt. Olsson framför förslag som tar bort valfrihet, lägger ägandet av individen hos någon annan än denne själv, och nedvärderar resultatet av den moderna europeiska rättsordning hans eget parti mödosamt fört Sverige in i. Han borde inte låta kortsiktiga klagomål definiera samhällsvisionen, utan i stället ta till vara på det starka arv som trots allt finns i hans parti. För den enskilde och dennes möjligheter att hävda sig och utvecklas i en värld som allt mer domineras av de stora organisationerna.

Amelia Andersdotter är ordförande för Dataskydd.net