Viktiga pusselbitar saknas när GDPR införs

Det finns olika krav vad gäller behandling av olika kategorier av personuppgifter. Enligt dataskyddsförordningens, GDPRs, artikel 10 får personuppgifter som rör domar i brottmål eller lagöverträdelser endast behandlas under kontroll av myndigheter eller då nationell rätt tillåter behandling. Företagen måste ha stöd i nationell lag, förordning, föreskrift eller erhållit tillstånd för att få behandla personuppgifter om lagöverträdelser.

Enligt den svenska kompletterande dataskyddslagen 3 kapitlet 9 § får regeringen eller tillsynsmyndighet meddela föreskrifter om när företag får behandla personuppgifter som rör lagöverträdelser. Tillsynsmyndigheten får därutöver i enskilda fall bevilja behandling i ett tillstånd som kan förenas med villkor. Ett villkor kan till exempel innebära att tillsyn ska genomföras innan en behandling får påbörjas.

Regeringen kommer att besluta om en förordning som reglerar att Datainspektionen är tillsynsmyndighet, får meddela föreskrifter och får besluta om tillstånd om behandling av uppgifter om lagöverträdelser i enskilda fall (artikel 3 och 5). Regeringsförordningen ger andra än myndigheter rätt att behandla uppgifter om lagöverträdelser i tre fall (artikel 4), om behandlingen

1. 1.
   är nödvändig för att rättsliga anspråk ska kunna fastställas, göras gällande eller försvaras i ett enskilt fall, (ersätter DIFS 2010:1, 1§ d))
2. 2.
   avser enstaka uppgifter och är nödvändig för att till polisen anmäla misstanke om brott, eller
3. 3.
   avser enstaka uppgifter och är nödvändig för att
4. 4.
   en rättslig förpliktelse enligt lag eller förordning ska kunna fullgöras.

Det förbud som den svenska personuppgiftslagen, PUL, utgått ifrån kan ses som en överimplementering av EU:s dataskyddsdirektiv från 1995. De nya reglerna ligger mer i linje med EU regelverket och utgår inte ifrån att behandlingen är förbjuden.

Trots detta skriver Datainspektionen i sin konsekvensutredning till DIFS 2018:2 att artikel 10 i dataskyddsförordningen innehåller bestämmelser som i princip motsvarar det förbud som idag gäller enligt personuppgiftslagen. Men den synen delar inte regeringen. I förarbetena skriver regeringen att utrymmet för att tillåta behandling genom föreskrifter och beslut i enskilda fall blir större än enligt personuppgiftslagen, eftersom den utgår ifrån att behandling är förbjuden. Därför är det svårt att förstå varför Datainspektionens formulerar som mål att bevara status quo genom att se till att behandling kan ske i den utsträckning som tidigare varit möjlig enligt föreskrifter enligt personuppgiftslagen (konsekvensutredningen, sidan 3).

Den problembeskrivning som både näringslivet, regeringen och Datainspektionen ger uttryck för pekar på att tillstånd i enskilda fall är betungande för företagen. De måste lägga ner tid och resurser på att upprätta och ansöka om tillstånd. Därtill kommer den osäkerhet som utgången av ett enskilt beslut innebär. Problembeskrivningen tillsammans med de nya dataskyddsreglerna talar för att Datainspektionens föreskrifter borde öppna upp för mer behandling jämfört med tidigare föreskrifter enligt personuppgiftslagen.

Screening av personuppgifter mot spärr och sanktionslistor

Screeningen är ett led vid exporttillståndansökan hos amerikanska myndigheter. Det kan gälla export till USA, men även till tredje land om amerikanska komponenter ingår i exportvaran. I Sverige har det hittills ansetts mycket svårt att få tillstånd av Datainspektionen för att kunna genomföra så kallad screening av personuppgifter mot utländska sanktions- och spärrlistor. Eftersom ett eventuellt avslag på tillståndsansökan inneburit en hög risk för företag att själv hamna på framförallt amerikanska spärrlistor har ansökningarna varit få. För att svenska företag ska kunna delta i internationell handel behövs tydliga regler som tillåter screening i syfte att förhindra grov brottslighet som till exempel terrorism. EU-medlemsstaterna måste ha nationellt regelverk som möjliggör denna personuppgiftsbehandling. De formuleringar och förslag på lösning som finns i propositionen är mycket välkomnade av näringslivet. Regeringens uppfattning är att tillåten behandling av lagöverträdelser ska överstämma med vad som är tillåtet i andra länder. Behandling av personuppgifter i samband med exporttillstånd till tredje land bör typiskt sett vara möjlig. Regeringen poängterar att det för tillsynsmyndigheten finns anledning att meddela föreskrifter i fråga om screening av personuppgifter mot de viktigare spärr- och sanktionslistorna (prop. 2017/18, s 100–101). Men trots dessa till synes tydliga skrivningar lägger varken regeringen eller Datainspektionen fram några konkreta regelförslag.

Behandling av uppgifter i visselblåsarsystem om missförhållanden

Föreskriften DIFS 2018:02 har exakt samma lydelse som DIFS 2010:1 vad gäller företagens rätt att behandla visselblåsaruppgifter. Föreskriften begränsar rätten att behandla inkomna uppgifter till de som avser personer i nyckelpositioner eller ledande ställning inom det egna bolaget eller koncernen.
Här behövs en svensk reglering likt den franska. I Frankrike har man inte begränsat företagens rätt till behandling till uppgifter om personer med högre ställning inom företaget. Alla som företräder företaget kan visselblåsas om felaktigheter, även anställda utan speciellt angiven position (NOR: CNIL1721434Z). Men tillämpningsområdet skulle behöva vidgas ytterligare, bortom det egna bolaget och koncernen. Det är känt att svenska företag kan hamna i situationer där deras samarbetspartner eller underleverantörer ertappas med allvarliga oegentligheter som korruption och mutor. Det förekommer att sådana uppgifter inkommer via de särskilt upprättade rapporteringskanalerna för visselblåsare. För företagens möjlighet att bedriva verksamhet på ett korrekt sätt och med bibehållet anseende är det mycket viktigt att även dessa uppgifter får behandlas, även om det rör personer i ett externt företag.

Även regeringen tycker att företagens behandling av dessa uppgifter är viktiga eftersom man anslutit sig till FN:s och OECD:s riktlinjer och standarder för CSR. I dessa riktlinjer ställs höga krav på företags konsekvensanalyser, due diligence, för att bland annat hindra korruption och möjliggöra visselblåsning. Detta innebär att företag förväntas kunna ha en sådan överblick och kunskap om sina samarbetspartners att man inte riskerar vara en del av eller sammankopplas med oegentligheter (Regeringens skrift Hållbart företagande, maj 2016). Det är anmärkningsvärt att regeringen varken i direktiv till dataskyddsutredning, proposition, regeringsförordning eller i instruktion till tillståndsmyndigheten verkat för CSR-efterlevnad.

Många företag har inväntat de nya föreskrifterna, men förgäves. Efter skrivningarna i förarbetena fanns förväntan att regeringen och Datainspektionen skulle komma med nya regler för personuppgiftsbehandling av lagöverträdelser. Med tanke på Sveriges exportberoende vore det i högsta grad rimligt. Nu återstår för företagen att skyndsamt ansöka om enskilda tillstånd. En onödigt tung arbetsbörda väntar både företag och Datainspektionen.