onsdag, november 19, 2008

Förenkling av PUL och terrorismbekämpning

Jag är fortfarande på Nordiska konferensen i rättsinformatik. Sören Öman utreder för regeringen hur PUL kan omarbetas. Hans utgångspunkt är att regelverket till skydd av personuppgifter ska förenklas och göras mer enhetlighet vilket konkret innebär färre specialregleringar till PUL, allt eller nästan allt ska samlas i en lag. Under frågestunden väckte jag frågan om en sådan förenklad lag kan försvåra för oss medborgare att förutse när vi kan hamna i ett myndighetsregister. Det var en tråd jag plockade upp från Markus Bylund som förklarade att rätten till privatliv handlar om att vi medborgare ska kunna förutse när information om oss kan hamna hos en myndighet. Genom att personuppgiftsbehandling av olika myndigheter har specialregleringar kan man se vilken typ av information myndigheterna samlar på. Detta är ganska uppenbafrt med FRAs speciaalreglering i förhållande till PUL, se SFS 2007:259.

Lee A. Bygrave talar om hur kriget mot terrorismer saknar begränsningar och slut i tid, vilket kan rättfärdiga kontinuerlig utbyggnad av övervakningssamhället. Han kan acceptera inskränkningar i rätten till privatliv, men det ska vara proportionellt. Jag ser ett möjligt problem eftersom när rätten till privatliv ställs mot terroristbekämpningen läggs i en vågskål väger terrorismbekämpning nästan alltid tyngre. Lee A. Bygrave talade även om olika vägval, bl.a. om myndigheter ska få tillgång till krypteringsnycklar. Han menar också att europeiska myndigheter har rätt att reglera hur personuppgifter behandlas av företag som Facebook, även om detta och andra företag har sina juridiska säten i USA.

5 kommentarer:

Anonym sa...

Jag hoppas att Sören Öman och hans nätverk kan analysera telekompaketets ändringar i direktivet om integritet och elektronisk kommunikation (2002/58/EG). Och att han gör det nu.

På fredag minskar nämligen Torstenssons handlingsutrymme rejält. Och den 27:e sjunker det till noll.

Jag antar att Sören Öman inte är intresserad av att forska i hur Magnus Erikssons allmänna landslag från 1350 skulle ha kunnat förenklas och gjorts mer enhetlig.

Finns det fler svenska akademiker än Mark som håller kunskapnivån uppe i regeringens europeiska lagstiftningsarbete? Jag tycker det känns tråkigt att länka till utlandet hela tiden: "French privacy commission slams 3-strikes law", "German data protection chiefs reject Amendment 181", "Data protection chief warns of 'slippery slope"'.

Anonym sa...

Jag såg på delar av filmen "V för vendetta" häromveckan ... många intressanta politisk-filosofiska spårsmål. Rekommenderas!

Tar bland annat upp det här med rädsla som styrmedel - terrorism kallas det visst i dagsläget.

Anonym sa...

När tillsattes den PUL-utredningen? Jag skulle vilja läsa direktiven, men hittar dem inte på regeringens webbplats. Den senaste utredning jag känner till är från 2004 (den resulterade i 5 a § som gör lagen än mer svårtolkad, och 8 a § som ger regeringen mandat att utfärda undantag från den).

Det är en intressant invändning mot "enhetlighet" som Markus Bylund framför, och vi hade faktiskt en liknande diskussion i samband med införandet av PUL för tio år sedan, men då med avseende på problemet att i en och samma lag reglera all behandling av personuppgifter, inte bara all behandling som myndigheter utför. Regeringen har sedan gång efter annan vädrat tanken på en "missbrukslag" där man endast reglerar förbjuden behandling, men jag har inte sett något konkret och övertygande förslag (och jag anser inte att den modellen skulle innebära någon avgörande förbättring).

PUL gäller när bestämmelser i annan lag eller förordning inte säger annorlunda (2 §). På så vis räcker det med att införa FRAPUL för att vad FRA anbelangar i praktiken upphäva PUL. Det kanske leder till bättre inblick i hur den ena eller andra myndigheten behandlar personuppgifter, men samtidigt befrias sagda myndighet från en lag som fortsätter att gälla för all annan verksamhet, särskilt inom den privata sektorn. Det gör att domstolarna får allt färre tillfällen att pröva PUL, och det påverkar enskildas rättstrygghet negativt.

Kort uttryckt: Är det tillräckligt viktigt för mig som enskild att få veta att FRA behandlar uppgifter om min etniska bakgrund, för att jag som släktforskare skall acceptera att inte få behandla motsvarande uppgifter om mina egna släktingar?

Om utgångspunkten är att varje myndighet skall få sitt eget specialskrivna regelverk, kan vi därmed summariskt förbjuda all verksamhet som inte utförs av myndigheter?

Mark Klamberg sa...

Anders,
För att undvika missförstånd. Markus Bylund talade om vikten av förutsägbarhet. Det var jag som talade om att intresset av att kunna förutse vilken typ av information myndigheterna samlar på, genom att vi har möjlighet att studera myndigheternas specialregleringar.

Ett potentiellt problem med Ömans tanke om förenkling och enhetlighet är att skyddet i PUL sänks så att alla myndigheter klarar sig. Han talade om att minska antalet detaljregler i PUL och att PUL istället ska tala om ändamål som myndigheter ska förverkliga. Det vill säga målstyrning istället för regelstyrning. Jag vet inte om det är bra.

Anonym sa...

Att kunna se vilken information myndigheter samlar på sig innebär ju också ett mått av förutsägbarhet, så jag tror att jag kan sympatisera med Bylunds tankar utan att ha hört dem med hans egna ord.

Jag reagerar som du, att man inte utan vidare kan ersätta regelstyrning med målstyrning. Reglerna har sin funktion, och målen har sin. De är inte inbördes utbytbara, vare sig för en myndighet eller inom den privata sektorn.

Problemet här är att PUL är en lag som skall tillämpas inom såväl offentlig som privat sektor. Statsmakterna (riksdag och regering) har att anvisa både regler och mål för myndigheterna, men för den privata sektorn kan riksdagen endast utfärda regler (lagar), inte mål.

Man måste fråga sig vad syftet med lagen är innan man bestämmer vad som skall stå i den. Syftet med PUL är att uppfylla EG-direktivet om personuppgifter; så hette det åtminstone när lagen tillkom (den gamla datalagen var då erkänt ur takt med tiden, med eller utan EG-direktiv).

EG-direktivet syftar i sin tur till att medlemsstaterna emellan harmonisera regelverken för behandling av personuppgifter. Där finns ingenting om att sätta upp "mål" för staternas myndigheter att sträva efter. Det finns ett antal "skall" och "bör" i direktivet, men mig veterligen inga "vill" (eller så är det jag som är dålig på att tolka EG-juristsvenska). Om Öman vill ta bort något ur PUL som direktivet säger skall stå där, då väntar prövning i EG-domstolen, och vill han lägga till något som EG-rätten inte kräver, då verkar PUL vara fel lag att peta i. Vi kan putsa på lagen i detaljerna, ja, men inte byta ut själva syftet med den utan att ifrågasätta dess blotta existens.

Jag ser alltså nackdelar med såväl en "förenklad" PUL som ett bibehållande av särregleringen, och det tror jag kommer sig av att många i PUL ser den berömda universalhammaren som kan lösa alla problem, bara man först modifierar lagen en aning på femtioelva olika punkter. Något är fel när samma lag används dels för att hävda konsumenters rättigheter gentemot telefonförsäljare, dels för att stävja nynazistisk verksamhet.

Och om lagen nu skall användas för att sätta upp mål för förvaltningsmyndigheter, när var senaste gången en myndighet befanns ha brutit mot PUL? Vad är det för problem utredaren förväntas lösa? Det menar jag bör framgå av utredningsdirektiven.