radera data

EU-parlamentet har antagit dataskyddsförordningen för att ersätta direktivet från 1995. Den slutliga utformningen avgörs i kompromiss med ministerrådet det närmaste året. Avsikten med förordningen är att ge modernare typ av kontroll och säkerhet på nätet för användarna, med nya regler för företag och myndigheter.

Eftersom det är en EU-förordning är utrymmet för svenska tolkningar litet. I Sverige har ostrukturerad behandling av persondata, som i mejl eller inlägg på sociala medier, varit undantagna PUL. Nu kan databehandling och analys av personliga uppgifter bara ske efter samtycke och avtal, och inte underförstått som hittills. Är det en betydande obalans mellan parterna, till exempel som mellan arbetsgivare och anställd, gäller inget samtycke.

Företag med över 250 anställda eller som arbetar med persondata måste ha ett dataskyddsombud, som ska vara anställd på minst två år och inte stå i beroendeställning. Ombudet måste redogöra för hur uppgifter används och sparas, vilka som får ta del av dem och om hur rättelser kan göras. Sker ett säkerhetsbrott ska ombudet meddela händelsen till dataskyddsmyndigheten inom 24 timmar. Straffet för brott mot dataskyddet kan bli böter på 900 miljoner kronor eller 5 procent av årsomsättningen.

Han fick rätt mot Google

Ett rättsfall har drivit på förordningen. EU-domstolen skakade om webben när den 13 maj i år dömde till förmån för Mario Costeja Gonzalez i ett mål mot Google. Google tar in och lagrar personuppgifter från nätet i databaser för att ta fram sökresultat, vilket ses som en personuppgiftsbehandling.

År 1998 tvingades Costeja sälja en fastighet på exekutiv auktion för att betala sina skatteskulder, vilket dagstidningen La Vanguardia tog upp i två artiklar som kom högt upp i sökningar på hans namn. Uppgifterna var sanna men Costeja ansåg dem inte längre relevanta för allmänheten.

Domen kopplas till förordningens ”rätt att bli glömd”, där uppgifter om en privatperson ska raderas från nätet om de anses vara opassande, irrelevanta eller föråldrade och det inte finns någon rättslig grund att behålla dem. Det kan vara tekniskt omöjligt att radera alla kopior av uppgifterna, så domen medger att informationen lämnas på sajten men sökmotorn får inte länka till den.

Efter domen har Google lagt upp ett formulär där privatpersoner kan begära att länkar till sajter där information om personen finns ska tas bort ur sökningar. Den 2 juni uppgav Google att 41 000 ansökningar inkommit. Jämfört med de mer än 24 miljoner anmälningar i månaden bolaget får in om länkar till upphovsrättsskyddat material kan antalet tyckas lågt, men bedömningen om persondata är fel eller föråldrad är svårare att göra.

DI avgör för svenskar

Martin Brinnen är jurist på Datainspektionen (DI) med inriktning på yttrandefrihet och integritet, och anser att domen är i linje med europeiskt dataskydd. I nuläget är det företagen som bearbetar personuppgifter som avgör om informationen är relevant och om länkarna tas bort. Först därefter kan ärendet föras till dataskyddsmyndigheten.

– För svenskar är det DI som utvärderar vilka fall som ska granskas. I september ska dataskyddsmyndigheterna i EU tala ihop sig om gemensamma riktlinjer.

Daniel Westman, expert på rättsinformatik vid Stockholms universitet anser att de praktiska lösningarna kan vara svåra att bedöma. Kritiken mot domen handlar om att yttrandefriheten inte getts tillräckligt stor vikt.

– Det behövs tillstånd från en person för att behandla personuppgifter, påpekar han, men Big Data kan inte vänta på att någon säger nej. Google kan behöva upprätta en central lösning för Europa, som med ett call center.

Kan ge motsatt effekt

Risken finns att borttagna länkar kan ge mer uppmärksamhet. När Google tar bort länkar till upphovsrättsskyddat material anger man det i sökningen, och hänvisar till webbplatsen Chillingeffects.org som uppmärksammar fall där upphovsrättslagarna används för att minska yttrandefriheten. Därifrån går det att leta bland url:erna.

För it-avdelningar innebär förordningen mer arbete med regelstyrning och rutiner för innehållshantering. Innehåll måste hållas aktuellt, och inte ligga kvar för att ge bättre sökordsoptimering. Direktivet gäller alla företag som verkar på den europeiska marknaden, oavsett var deras servrar står, så många funktioner kan behöva centraliseras.

Dagens webb, bloggar, e-handel, it-företags affärsmodeller och kreditupplysning är uppbyggda på att data kan utvinnas och delas fritt. Sökmotorers länkar driver trafik och reklamintäkter. Dataskyddsförordningen påverkar alla, för persondata är nätets viktigaste råvara.

Fakta

Googles formulär för anmälningar:
https://support.google.com/legal/contact/lr_eudpa?product=websearch
Europeiska kommissionens samling av faktablad om dataskydd
http://ec.europa.eu/justice/data-protection/document/index_en.htm
Frågor och svar om personuppgifter hos DI
http://www.datainspektionen.se/fragor-och-svar/personuppgiftslagen/