TL;DR: IFAU-registret öppnar för ändamålsglidning och tillåter medborgarrättskränkande behandling av mycket känsliga personuppgifter om etnisk härkomst genom att undantag ges från Personuppgiftslagen. Stoppa lagen nu – riv upp, gör om, gör rätt! Skriv på namninsamlingen hos Avaaz! Blogga! Twittra (#IFAU)! Facebooka! Mejla riksdagen! Ring regeringskansliet! Skriv insändare! Kontakta partierna! Visa att Piratpartiet och andra integritetsvänner fortfarande är en demokratisk kraft att räkna med – att vi gemensamt kan försvara våra rättigheter!
Dystra tidender om det nya förslaget om IFAU-register sprids över landet – nu handlar det inte om att försvara friheten på Internet, utan om att försvara medborgarna från statlig registrering av medlemskap i fackföreningar och etnicitet. Men invändningar väcks. Är det verkligen så illa som alla tror? Finns reell grund för våra påståenden om massövervakning och medborgarrättskränkning, våra liknelser med FRA?
Det är det jag nu ska undersöka, genom att läsa vad som faktiskt står i regeringens lagrådsremiss. Jag granskar kapitel 2, ”Förslag till lag om behandling av personuppgifter vid Institutet för arbetsmarknads- och utbildningspolitisk utvärdering”, det mest intressanta – för det är här den eventuella blivande lagtexten finns. Så here we go!
Analys av lagtexten
Efter ett par inledande stycken som fastställer rätt självklara saker juridiskt, kommer den första intressanta biten här:
Förhållandet till personuppgiftslagen
3 § Personuppgiftslagen (1998:204) gäller vid behandling av personuppgifter vid Institutet för arbetsmarknads- och utbildningspolitisk utvärdering, om inte annat följer av denna lag eller av föreskrifter som har meddelats i anslutning till denna lag.
I klartext: Personuppgiftslagen ska inte komma här och hindra vår fina nya lag med eventuella integritetsinvändningar. De kör vi över!
Och inte nog med det: regeringen får utan att rådfråga riksdagen frångå personuppgiftslagen gällande IFAU-registret ännu mer genom att skriva förordningar, om man nu skulle ha glömt att ta med någon integritetsvidrig sak i själva lagen. Nå, förordningar får inte se ut hur som helst; det ska i princip vara förtydliganden av riksdagsbeslutad lag. Men som vi vet från ACTA: ”förtydlinganden” kan ofta göra saken värre för medborgerliga rättigheter.
4 § fastställer att IFAU är ansvariga för hur de behandlar sina personuppgifter. Jodu. Men någon oberoende kontrollinstans – inte ens en sådan extremt urvattnad och verkningslös som FRA fick – ser man inte röken av.
I 5 § anges vad uppgifterna får användas för, alltså vilka ändamål de får finnas till för. Ändamålen är kort och gott forskning på arbetsmarknaden. Ett enligt mig inte särskilt viktigt ändamål – och inte alls i stil med den ”terrorism” FRA skulle kunna undanröja. Först var det terrorism, sedan Säpo, sedan allmän brottslighet och nu är vi framme vid forskning som motiv för ingrepp i medborgarnas grundläggande rätt till privatliv.
Sedan börjar det riktigt intressanta för oss:
6 § Personuppgifter som behandlas för de ändamål som anges i 5 § får också behandlas för att fullgöra ett utlämnande av uppgifter som sker i överensstämmelse med lag eller förordning. I övrigt gäller 9 § första stycket och andra stycket personuppgiftslagen (1998:204).
Detta öppnar upp för att uppgifterna ska kunna lämnas ut till andra och alltså inte enbart användas för forskning. Ett slags ändamålsglidning, med andra ord. Särskilt allvarligt är det där lilla ”eller förordning”, som innebär att regeringen – utan att behöva ens rådfråga riksdagen – genom att skriva nya förordningar kan besluta om hur utlämningar av information från IFAU ska gå till.
Skräckscenario: ett något mer extremt Sverigedemokraterna blir regeringspartner och får igenom en förordning som tvingar IFAU att lämna ut uppgifter om arbetslösa människor av arabiskt ursprung, för att dessa ska kunna kastas ut ur landet.
Vi traskar vidare genom juridikens djungel:
Känsliga personuppgifter
7 § Institutet för arbetsmarknads- och utbildningspolitisk utvärdering får för de ändamål som anges i 5 § endast behandla sådana känsliga personuppgifter enligt 13 § personuppgiftslagen (1998:204) som avslöjar etniskt ursprung eller medlemskap i fackförening eller som rör hälsa.
Av lagen (2003:460) om etikprövning av forskning som avser människor följer att forskning som innefattar behandling av känsliga personuppgifter enligt 13 § personuppgiftslagen eller sådana uppgifter som avses i 21 § samma lag måste etikprövas.
Eftersom det är av vikt för att förstå lagtexten tar vi en titt i 13 § personuppgiftslagen:
Förbud mot behandling av känsliga personuppgifter
13 § Det är förbjudet att behandla personuppgifter som avslöjar
a) ras eller etniskt ursprung,
b) politiska åsikter,
c) religiös eller filosofisk övertygelse, eller
d) medlemskap i fackförening.
Det är också förbjudet att behandla sådana personuppgifter som rör hälsa eller sexualliv.
Uppgifter av den art som anges i första och andra styckena betecknas i denna lag som känsliga personuppgifter.
Förbudet i personuppgiftslagen innebär alltså att myndigheter inte tillåts behandla personuppgifter som avslöjar etniskt ursprung och hälsa. Det är detta förbud som nu ska upphävas för IFAU.
Tanken må vara att uppgifter överlag ska vara anonymiserade – men lagändringen innebär att IFAU likväl får behandla icke-anonymiserade och därmed integritetskränkande uppgifter.
(Etikprövningen ger jag föga för. Den måste rimligen innebära att en ”avvägning” ska göras mellan grundläggande rättigheter och forskningsintresse. Och att göra avvägningar mellan grundläggande rättigheter och något annat fungerar inte; de ska vara absoluta.)
Men vad sägs mer specifikt om själva registren hos IFAU? Kan det var så att det där krävs anonymisering? Vi ska kolla:
Samlingar av personuppgifter
8 § Om det behövs för de ändamål som anges i 5 §, får det hos Institutet för arbetsmarknads- och utbildningspolitisk utvärdering finnas samlingar av personuppgifter som behandlas automatiserat, under förutsättning att uppgifterna inte direkt kan hänföras till en person. Uppgifterna får dock vara försedda med en beteckning som den myndighet uppgifterna kommer från kan hänföra till ett personnummer eller motsvarande identitetsbeteckning.
9 § Om det behövs för de ändamål som anges i 5 §, får det hos Institutet för arbetsmarknads- och utbildningspolitisk utvärdering även finnas samlingar av personuppgifter som behandlas automatiserat, som inte är sådana personuppgifter som avses i 8 §, om uppgifterna är nödvändiga för en viss avgränsad studie, uppföljning eller utvärdering.
Djävulen ligger i detaljerna! 8:an ser ju rätt fin och bra ut initialt – den kräver att uppgifterna måste vara anonymiserade vad gäller IFAU:s kännedom – även om man kan ifrågasätta att koder som gör att uppgifterna kan av-anonymiseras och alltså faktiskt kopplas till en viss person om man har tillgång till andra myndigheters information får finnas där.
Men det är i 9:an det blir riktigt illa: det får hos IFAU ”även finnas samlingar av personuppgifter som behandlas automatiserat, som inte är sådana personuppgifter som avses i 8 §”. I 8:an avses anonymiserade uppgifter (som dock kan ha kod från annan myndighet); 9:an innebär att även känsliga uppgifter som inte anonymiserats får lagras. Visst, det vanliga svepskälet om begränsningar (i form av att uppgifterna bara får finnas där för särskilda specifika studier eller liknande) finns – men det spelar ingen roll. Det är själva lagringen av uppgifterna som är integritetskränkande i första hand, inte hur länge lagringen sker.
Jag antar att det är dessa stycken som ligger bakom medias påståenden om att de flesta uppgifter skulle vara anonymiserade. Förvisso sant. Men om en enda känslig uppgift angående en oskyldig människa lagras utan att den personen är misstänkt för något brott innebär det ett godtyckligt ingripande i människans privatliv.
Men sen så kommer ett par stycken med en minst sagt lovande rubrik – om begränsningar i registret (och därefter om tillgången). Vilka fantastiska skydd mot integritetskränkningar kommer nu? Ska bara t.ex. misstänkta brottslingar, eller människor som aktivt givit sitt tillstånd, få inkluderas i register enligt 9:an?
Begränsningar i behandlingen av personuppgifter
10 § Personuppgifter som inte direkt kan hänföras till en person och som ingår i samlingar av personuppgifter som behandlas automatiserat får inte behandlas i syfte att röja en persons identitet.
11 § Personuppgifter som endast får behandlas under de förutsättningar som anges i 9 § och som har samlats in för att behandlas inom olika avgränsade studier, uppföljningar eller utvärderingar får inte sambearbetas med varandra.
Första stycket gäller inte för sambearbetning av personuppgifter som är nödvändig för att återupprepa eller följa upp en tidigare genomförd studie, uppföljning eller utvärdering.
Tillgång till personuppgifter
12 § Tillgången till personuppgifter ska begränsas till vad var och en
behöver för att kunna fullgöra sina arbetsuppgifter.
Nejdå. Det hela gäller alltså begränsningar efter att uppgifterna samlats in. Och då spelar det föga roll vilka regler som gäller – privatlivet kränks när uppgifterna väl samlas in. Vad som händer därpå är sekundärt. Så begränsningarna är som förskönande ”läppstift på en ful gris” (där grisen är IFAU-registret och läppstiftet är ”begränsningar” som är meningslösa) – läppstiftet må göra att det avlägset påminner mer om något vackert, men det hindrar inte att det fortfarande är en ful gris.
Sedan, efter en rätt vettig 13 (som bara berör anonymiserade=ej integritetskränkande personuppgifter), kommer ännu ett angrepp på de medborgerliga rättigheterna:
Gallring
14 § Personuppgifter ska gallras så snart uppgifterna inte längre behövs för det ändamål som de behandlas för, om inte regeringen eller den myndighet som regeringen bestämmer har meddelat föreskrifter eller i ett enskilt fall beslutat att gallring ska ske senast vid en viss tidpunkt eller att uppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål.
”regeringen eller den myndighet som regeringen bestämmer” kan alltså besluta att vissa ”uppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål”. Detta kan gälla de allra värsta av uppgifterna, alltså känsliga uppgifter (etnicitet, hälsa) gällande identifierbara oskyldiga människor. Och lagringen ska kunna ske på obestämd tid. En enkel fråga: Är detta något vi verkligen vill att regeringen ska kunna göra?
Skräckscenario: Något högerextremt parti (det behövs bara en liten, liten radikalisering av SD) blir regeringspartner och får igenom att uppgifter om etnicitet ska lagras för all framtid, så att etniska ”släktträd” kan byggas ännu mer avancerat. Verkligen behändigt att ha om vissa etniska gruppers rättigheter ska kringskäras steg för steg – och SD vill redan idag inleda detta, genom att kriminella utrikes födda (men inte inrikesfödda!) ska kunna utvisas.
*
I sitt svar till något som verkar vara en tidigare text har Datainspektionen en del vettiga synpunkter, men är lite för tillbakadragna i sin ändå tämligen skarpa kritik. Justitiekanslerns utlåtanden har jag inte hittat på nätet – har ni? Lagrådet ska nu få kolla på förslaget och potentiellt granska det mot grundlagen; där hoppas jag givetvis att integritetsaspekterna prövas mot Europakonventionens krav på respekt för privatlivet, som är en del av Sveriges grundlagar och som liknar FN:s deklarations. Och så vill jag helst ha en second opinion av den kunniga folkrättsdoktorn Mark Klamberg (FP) också, angående lagtexten överhuvudtaget; han är jurist, inte jag. Andra människor jag gärna ser input ifrån är Beelzebjörn, Joshen, Jens Holm (V), Mary X Jensen (M), Maria Ferm (MP)och Anna Troberg (PP).
Uppdatering: har nu hittat ett annat yttrande av Datainspektionen… men det verkar inte röra IFAU. Vad är detta? Någon som vet?
Slutsatser
Registreringen av oskyldiga människor grundar sig inte på någon konkret och individuell nytta med att registrera just den människan, och registreringen innebär också (ibland) att känsliga uppgifter (om etnicitet och hälsotillstånd) får lagras – något som tidigare inte tillåtits hos en vanlig, ej brottsbekämpande myndighet. Således innebär registreringen ett godtyckligt ingripande i många människors privatliv. Låt oss kolla på vad en mycket trevligare text, FN:s deklaration om de mänskliga rättigheterna från 1948, säger om detta:
Artikel 12
Ingen får utsättas för godtyckligt ingripande i fråga om privatliv, familj, hem eller korrespondens och inte heller för angrepp på sin heder eller sitt anseende. Var och en har rätt till lagens skydd mot sådana ingripanden och angrepp.
Således kan konstateras följande:
- IFAU-registret öppnar upp för ändamålsglidning då regeringen får rätt fria händer att bestämma vilka IFAU får lämna ut personuppgifter till.
- IFAU-registret inskränker den mänskliga rätten till ett privatliv skyddat från godtyckligt ingripande genom att samla in identifierbara personuppgifter om helt oskyldiga medborgare.
- IFAU-registret innebär att uppgifter om etnicitet blir tillgängliga för staten, något som – ur ett historiskt perspektiv – är helt vansinnigt.
- IFAU-registret riskerar (enligt Datainspektionen och Justitiekanslern) att öppna upp för situationer där det blir praxis att myndigheter ska få egna register, vilket givetvis vore än mer olyckligt för integriteten – ju fler register, desto större intrång.
Med denna juridiska bakgrund uppmanar jag nu er alla:
skriv på mot IFAU-registret hos Avaaz! Och bygg opinion: blogga, blogga,
mejla riksdagen (mitt eget mejl publiceras i ett nytt inlägg inom ett par dagar), twittra, Facebooka och skriv insändare (en egenskriven insändare kommer inom några dagar på denna blogg). Alliansen ska inte få komma undan med ytterligare ett svek i frågan om medborgares rätt till privatliv!
Förresten är IFAU-registret inte det enda tveksamma ur integritetssynpunkt nuförtiden. Suck…
Pusha gärna Avaaz-kampanjen!
Detta inlägg finns på http://intressant.se/intressant. Du kan läsa andra bloggares tankar rörande samhälle, politik, pirat, frihet, lagstiftning,demokrati, teknik, teknologi, lagstiftning, informationspolitik, medborgarrätt,mänskliga rättigheter, medborgerliga rättigheter, personlig integritet, privatliv,integritet, övervakning, avlyssning, massavlyssning, anonymitet, storebror,godtycke, storebrorssamhälle, storebrorssamhället, övervakningssamhälle,övervakningssamhället, 1984, registrering, lag, lagar, lagstiftning, riksdagen,nyhet, nyheter, datalagring, register, regeringen, IFAU, arbetsmarknad,arbetsmarknadspolitik, forskningspolitik, forskning, databas, databaser, Hillevi Engström, Engström, Moderaterna, M, Avaaz, kampanj, kampanjer, lagstiftning, medborgarinflytande, protest, protester, lag, lagrådsremiss, lagrådsremisser, lagar, remiss, lagar, remisser, juridik, lag, ändamålsglidning, lag, sluttande plan, fack, facket, fackförening, facket, fackföreningar, hälsa, känsliga uppgifter, etnicitet, härkomst, ursprung, folkgrupp, FN:s deklaration om mänskliga rättigheter, FN:s deklaration om de mänskliga rättigheterna, Europakonventionen, den europeiska konventionen angående skydd för de mänskliga rättigheterna och de grundläggande friheterna
VARNING!
E-post och ALL Internettrafik till och från Sverige, eller som passerar servrar i Sverige, avlyssnas av Försvarets Radioanstalt, FRA. (Text från Journalistförbundet)
WARNING!
E-mail and ALL Internet Communications to and from Sweden, or via servers in Sweden, is monitored by the National Defence Radio Establishment. (Text from Journalistförbundet)
Read Full Post »
Calandrellas blogg 
