Andra avtal och direktiv

Förutom dataskyddslagen och dataskyddsförordningen finns det flera andra avtal och direktiv som styr hur datalagring, dataskydd och dataöverföring ska gå till inom EU. Dessa bestämmelser är ett slags ramverk och de olika medlemsländerna är skyldiga att se till så att deras egna lagar inte innebär överträdelser mot detta.

Dataöverföringsbeslut och avtal med andra länder

Dataskyddsförordningen reglerar hur data får röra sig mellan olika länder inom EU. Datatrafiken är dock ofta global, den rör sig över gränser mellan alla nationer och inte bara mellan EU-länder. Det har därför tagits fram beslut som styr hur data, framförallt personuppgifter, får skickas till länder utanför EU. Den europeiska datakyddsrätten är stark och ingen medborgare i ett EU-land ska behöva riskera att känsliga personuppgifter skickas till ett land som inte anses vara helt rättssäkert. Avtalen som reglerar överföring av personuppgifter till länder som anses säkra kallas safe harbor-avtal och det finns sådan mellan EU och ett flertal andra länder.

Några av de mest uppmärksammade dataöverföringsbesluten som tagits på senare år har gällt utlämning av personuppgifter till USA. USA anses vara rättssäkert av EU-kommissionen. Detta är dock något kontroversiellt eftersom stora delar av det amerikanska rättsskyddet bara omfattar amerikanska medborgare. EU har ett så kallat safe harbor-avtal med USA men hur säkert det är råder det alltså delade meningar om. USA kan enligt sin konstitution övervaka medborgare i andra länder utan att det föreligger någon brottsmisstanke överhuvudtaget. Enligt det europeiska rättssystemet har alla samma rättigheter, var de än är medborgare. Det är ett bra exempel på varför det är både viktigt och svårt att ta de rätta dataöverföringsbesluten.

eDataskyddsdirektivet

Idag finns det stora möjligheter för polis och andra myndigheter att övervaka kommunikation i elektroniska kommunikationsnät. Redan 2002 togs det fram ett direktiv som gällde telekomsektorn och som berörde dessa frågor. Detta direktiv har sedan omformulerats och uppdaterats för att fortsätta vara aktuellt. Alla bestämmelser som rör dataskydd måste överses och uppdateras i takt med att ny teknik skapar nya möjligheter. I Sverige har vi LEK, lagen om elektronisk kommunikation där eDataskyddsdirektivet har implementerats. Telekomoperatörer berörs i stor utsträckning av detta direktiv. De har ju tillgång till all kommunikation som går genom deras nät och kan både avlyssna och spara den.

En del av eDataskyddsdirektivet reglerar hur länge telekomoperatörer får spara information av privat natur. Grundregeln är att informationen inte får sparas under längre perioder än vad som är nödvändigt för att kunder ska kunna faktureras. Om en telekomoperatör kartlägger privatpersoners beteende krävs det att alla informerats om kartläggningen och har haft möjlighet att godkänna den i förväg. Att webbläsare och hemsidor har olika spårningsfunktioner som används för att ge oss riktad reklam eller för att förbättra olika tjänster online har blivit mycket vanligt. eDataskyddsdirektivet är mycket viktigt när det handlar om skydd av vår personliga integritet när vi är online eller bara använder våra mobiltelefoner.

Juridik och lagar
Håll koll på alla lagar som rör personuppgifter och dataskydd

Direktiv om radioutrustningsstandardisering

2014 togs det ett beslut om att all radioutrustning måste ha “skyddsmekanismer för att säkerställa att användarens och abonnentens personuppgifter och personliga integritet skyddas”. Därefter har vi fått en EU-lag som gäller standardisering av radioutrustning. 

En situation som denna lag förväntas motverka är anklagelser om att europeiska företag bistår regeringar som begår brott mot mänskliga rättigheter genom att telekominfrastrukturen i landet inte är säker för användaren. Det finns exempel på att journalister förföljs, fängslas och till och med torterats på grund av att deras trafik kunnat avlyssnas. Detta har hänt i länder som Iran, Turkmenistan och Vitryssland, som inte är rättssäkra.

Datalagringsdirektivet (VIF)

Datalagringsdirektivet är namnet på ett EU-direktiv som tidigare satte förutsättningarna för telekomoperatörers verksamhet. Man kan säga att direktivet på sätt och vis gick tvärtemot nuvarande lagar och förordningar. Enligt datalagringsdirektivet var telekomoperatörer tvungna att lagra personuppgifter och annan information om sina användare för att kunna dela dem med polismyndigheter.

Ett av syftena med datalagringsdirektivet var att skapa samstämmighet i lagar om datalagring mellan medlemsländerna i EU. Man ville också att kostnaderna för telekomoperatörerna skulle hamna på samma nivå, oavsett land. Tidigare fick telekomoperatörerna själva bekosta datalagringen i vissa länder. I andra länder var det staten som täckte dessa utgifter. Detta innebar att telekomoperatörerna inte kunde konkurrera på samma villkor.

Datalagringen och domstolarna

EU-domstolen arbetar med att bedöma om medlemsländerna i EU har lagar om datalagring som är förenliga med EU:s stadgar. Till exempel stadgarna om grundläggande rättigheter. I Sverige vill vi gärna se det som att vi har lagar som väl tar till vara på individens fri- och rättigheter. 2016 avgjorde dock EU-domstolen att våra lagar för datalagring inte uppfyllde kraven om grundläggande rättigheter som gäller inom EU. Det svenska datalagringsdirektivet förklarades vara ogiltigt och som en följd av det har vi haft en pågående diskussion om datalagring och datasäkerhet.

Ett område i förändring

Juridiken kring dataskydd är ett rättsområde i ständig förändring. Detta är viktigt att vara medveten om. På dataskydd.org har vi samlat några delar av GDPR som kan komma att ändras under 2020.

Vi försöker även fylla på med nya insikter och nyheter i vår blogg!