Lagen om vilka uppgifter som får registreras och hur detta ska motiveras är rätt detaljerad, med både villkor och undantag. Tydligt är dock att den som vill upprätthålla ett register kommer rätt långt med individens samtycke. Att användaren samtycker till det mesta, oftast utan att ha satt sig in i vad det är hen samtycker till, är ett juridiskt problem.
Text & Foto: Nicklas Hägen
DET ÄR INTE tillåtet att samla vilken information som helst om människor via nätet. Den finländska lagstiftningen gör en skillnad mellan ”normala” personuppgifter och känsliga uppgifter. De senare är sådana som beskriver till exempel etniskt ursprung, politisk eller religiös övertygelse, medlemskap i fackförbund, brottslig gärning eller straff, hälsotillstånd, handikapp, sexuell inriktning och behov av socialvård.
– Med ”normala” personuppgifter avses uppgifter som kan hänföras till en person; hit hör till exempel IP-adresser. Det krävs samtycke för att behandla personuppgifter, dit även profilering hör. För behandling av känsliga uppgifter krävs enligt personuppgiftslagen uttryckligt samtycke, säger Joachim Enkvist, universitetslärare i rättsvetenskap vid Åbo Akademi, som har specialiserat sig på bland annat dataskydd.
Den som upprätthåller ett register måste enligt lagen ”skydda personuppgifterna mot obehörig åtkomst och mot förstöring, ändring, utlämnande och översändande som sker av misstag eller i strid med lag eller mot annan olaglig behandling”, men i skyddet beaktar lagen tekniska möjligheter, kostnader och uppgifternas art.
Även om insamling av känsliga uppgifter kräver samtycke finns det rätt många undantag, bland annat när det kommer till behandling av uppgifter för historisk eller vetenskaplig forskning eller för statistikföring. Det finns egentligen ingen begränsning i hur heltäckande profiler man kan skapa.
– Men ändamålet med insamlingen meddelas innan insamlingen börjar, och uppgifterna får inte användas för något annat ändamål, säger Enkvist.
Finns det andra vanliga lagliga vägar att samla information om användare via internet, än via cookies och IP-adresser?
– Det finns säkert andra medel att samla in information, men cookies är nog det vanligaste sättet. Enligt 205 § i Informationssamhällsbalken krävs i dag att webbsurfaren samtycker till att cookies används.
Hur vanligt är det med övertramp och hur osäkert lever vi på nätet idag? Har en laglydig medborgare något att vara orolig över?
– Man kan endast spekulera i hur mycket övertramp det sker i fråga om insamling och bearbetning av personuppgifter. Enligt mig är det största problemet att de flesta tjänster – i synnerhet appar till telefoner – kräver samtycke till att det samlas in uppgifter. Eftersom nästan alla tjänster kräver detta, så finns det tecken på att den yngre generationen inte längre bryr sig om skyddet av personuppgifter.
En enhetlig reglering löser inte problemet
Efter flera års arbete har nu EU antagit en förordning om dataskydd. Förordningen kommer att ersätta alla medlemsländers nationella personuppgiftslagar, och det blir en enhetlig reglering. Förordningen kommer att träda i kraft i maj 2018.
Trots förordningen är Enkvist inte helt nöjd med dataskyddslagstiftningen.
– Problemet med gällande lagstiftning och den kommande förordningen är att den stannat ”halvvägs”. Det är naturligtvis bra att det krävs samtycke, men när vi givit samtycke tappar vi kontrollen över uppgifterna. Jag anser att det borde utformas något sorts system där de som samlar in uppgifter med jämna mellanrum skulle rapportera vilka uppgifter de samlat in och till vilka ändamål de använts, säger Enkvist.
– Att det är fråga om stora mängder uppgifter som samlas in och sprids kan belysas med ett test som gjordes för några år sedan: Man installerade sammanlagt 2 146 applikationer på en Androidtelefon och applikationerna tog automatiskt kontakt med 250 000 unika webbadresser.
Personuppgiftslagen finns i sin helhet på webben: www.finlex.fi/sv/laki/ajantasa/1999/19990523#L3P11