Tidigare i veckan fick jag frågan vad är det som gäller för eniro.se, hitta.se, ratsit.se, etc? Där finns massor av personuppgifter helt öppet. Går inte dessa under GDPR också? Och får man sprida dessa uppgifter på sociala medier t.ex. facebook som privatperson?
Fantastiskt bra frågor, och frågor som jag fått relativt ofta under tiden jag var på Åland.
Det enkla svaret på vad som gäller för webbsidorna är att de har ansökt och fått beviljat utgivningsbevis från myndigheten för press, radio och tv. Det kan de få för att de har en databas vars innehåll de tillhandahåller allmänheten. Utgivningsbeviset ger sidorna ett grundlagsskydd under yttrandefrihetsgrundlagen.
Men följdfrågan ”går inte dessa under GDPR också?” blir synnerligen intressant i sammanhanget. GDPR ger nämligen varje land mandat att skriva så kallad tilläggslagstiftning för att fylla ut bestämmelserna i förordningen. Eller som det står i GDPR:
”Medlemsstaterna ska i lag förena rätten till integritet i enlighet med denna förordning med yttrande- och informationsfriheten, inbegripet behandling som sker för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande.”
Det handlar alltså om fyra olika undantag som kan vara aktuella för att GDPR ska sättas åt sidan, journalistiska ändamål, akademiska ändamål, samt konstnärligt eller litterärt skapande. Jag tror att vi alla kan hålla med om att telefonkatalogen inte är Aftonbladet. Ingen av sidorna gör heller anspråk på att syssla med journalistik, och de andra ändamålen i förordningen är såklart inte relevanta.
Hur kan eniro och gänget få fortsätta om undantagen i GDPR inte omfattar den verksamhet de sysslar med? Jo, det är för att Sverige krasst lagstiftat att Dataskyddsförordningen och Dataskyddslagen inte ska tillämpas om det skulle uppstå en konflikt mellan dem och Tryckfrihetsförordningen eller Yttrandefrihetsgrundlagen.
Datainspektionen och Kammarkollegiet påpekade för regeringen att man inte får göra såhär i propositionen till Dataskyddslagen, särskilt med hänvisning till just utgivningsbevis. Men nu när det blivit lag har Datainspektionen tyvärr bytt inställning.
Datainspektionen har trots detta dömt ut en sanktionsavgift om 35 000€ till mrkoll.se eftersom de informerar om att personer är dömda för brott, vilket de inte får göra enligt kreditupplysningslagen eller GDPR, konstigt nog är informationen kvar. Priset för att veta vilket brott grannen begått har gått upp från 99kr till 129kr sen sanktionen, kanske för att täcka de extra utgifterna.
Kort och gott får inte eniro.se, hitta.se, ratsit.se och mrkoll.se dela personuppgifter som de gör enligt GDPR, men de får det enligt svensk lag. Det är troligen meningslöst att klaga på det här till Datainspektionen förutom om publiceringen bryter mot annan svensk lag. Det enda sättet att få ändring som privatperson är att försöka sig på att stämma sidorna och hoppas att det kan gå hela vägen till EU-domstolen. Jag har inte hört att det skulle ha hänt ännu.
Så svaret på den sista frågan om man som privatperson får dela uppgifterna på sociala medier t.ex facebook blir: har du köpt ett utgivningsbevis?
Om du som privatperson vill få hjälp med hur du får bort dina uppgifter från sidorna föreslår jag att du kollar in den här länken.
Källor, samtliga hämtade den 17 december 2020 klockan 18:20:
Dataskyddsförordningen (GDPR) artikel 85
Lag (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning 1:7
Prop. 2017/18:105 Ny Dataskyddslag sida 40-41
https://nathatshjalpen.se/a/adress-telefonnummer-online/
https://www.datainspektionen.se/nyheter/2019/sanktionsavgift-pa-35-000-euro-mot-sajten-mrkoll/
https://www.datainspektionen.se/vagledningar/for-dig-som-privatperson/utgivningsbevis/
https://mrkoll.se/
https://www.eniro.se/hjalp/utgivaransvar
