Högsta förvaltningsdomstolen skapar flodvåg av hemlig datadelning

Torsdagen 29 oktober beslutade Högsta förvaltningsdomstolen att begreppet "direktåtkomst" i specialregisterlagstiftning bara täcker åtkomst till sådan information om privatpersoner som skulle täckas av offentlighetsprincipen (2 kap 3§ 2 st tryckfrihetsförordningen). Det innebär att all datadelning mellan myndigheter som inte lika gärna skulle kunna vara datadelning mellan myndigheter och privatpersoner nu skyddas av 31§ Personuppgiftslagen snarare än knepig specialreglering.

31§ PUL kräver att lämpliga tekniska och organisatoriska säkerhetsåtgärder vidtas för att skydda de personuppgifter som behandlas. "Lämpligheten" behöver rimligen bedömas i förhållande till det skydd som i övrigt är gällande i personuppgiftslagen och i EU:s stadga för grundläggande rättigheter - det vill säga ett ganska starkt krav.

Dataskydd.net välkomnar att Högsta förvaltningsdomstolen markerar mot konstig speciallagstiftning som är svår för både myndigheter och privatpersoner att förstå. Svensk lagstiftning innehåller idag flera hundra specialregler om direktåtkomst för myndigheter till andra myndigheters register. I teorin ska dessa ge ett extra starkt skydd för privatpersonens integritet (se bland annat kapitel 7.15 i SOU 2015:73 om personuppgiftsbehandling på utlännings- och medborgarskapsområdet). I praktiken skapar de ett virrvarr av lagar och bestämmelser som är svåra att följa upp (se Dataskydd.net om SOU 2015:73).

Högsta förvaltningsdomstolen synliggör dock en påtaglig brist med reglerna i personuppgiftslagen, vilket är det effektivt inte finns några sätt att säkerställa att 31§ PUL faktiskt följs. Datainspektionens praxis är mycket knapphändig (historiskt inte fler än fyra fall, med bara ett domstolsavgörande) och privatpersoner har, utöver tillsyn som sker på Datainspektionens nåder, inga möjligheter alls att säkerställa att varken "lämpliga" eller "olämpliga" tekniska och organisatoriska säkerhetsåtgärder vidtagits vid behandling av deras uppgifter.

Faktum är att Justitiedepartementet snarare rör sig mot att begränsa privatpersoners insyn i myndigheternas IT-system ännu mer. I SOU 2015:25 om en ny säkerhetsskyddsförordning görs det direkt felaktiga påståendet att öppenhet kring säkerhetsåtgärder inte medför någon nytta - praxis från både näringsliv och forskning visar på motsatsen (se Dataskydd.net om SOU 2015:25 för en utförlig katalog av exempel på och forskning kring att öppenhet ger bättre säkerhet). I SOU 2015:39 om en ny myndighetsdatalag och Proposition 2014/15:148 om en ny domstolsdatalag verkar Justitiedepartementet snarare vilja ålägga myndigheterna att inte delge information om sina säkerhetsåtgärder - även detta verkar mot säkerhet, transparens och individuella rättigheter (se föreslagen §23 i myndighetsdatalag, och föreslagen §12 i ny domstolsdatalag - den senare med ett uttryckligt förbud mot att delge allmänheten och registrerade information om säkerhetsåtgärder).

Om det nya rättsläget är att all datadelning mellan myndigheter ska skyddas genom det ramverk som ges av 31§ PUL, menar Dataskydd.net att regeringen och myndigheterna också har en skyldighet att säkerställa att individer har effektiva möjligheter att säkerställa sig om att kraven i 31§ PUL faktiskt följs.

Regeringen och myndigheterna behöver införa individcentrisk sårbarhets- och incidentrapportering, samt delgivande till individer eller organisationer som representerar individer av information om de logiska processer med vilka personuppgifter behandlas. Förutom sårbarhetsrapportering ingår dessa förslag redan i EU-kommissionens förslag till dataskyddsförordning från 2012. Sårbarhetsrapporteringen har istället förordats av svensk Post- och telestyrelsen så tidigt som 2006. Dataskydd.net har förordat dessa åtgärder upprepade gånger under det senaste året.

Om man misslyckas ge individer effektiva sätt att säkerställa att individernas egna rättigheter respekteras av myndigheter finns en klar risk att man är i konflikt med EU:s stadga om grundläggande mänskliga rättigheter, och det finns inga hemliga, statliga IT-projekt som är tillräckligt viktiga för att svenska staten ska ådra sig den lasten.