GDPR kom — men övervakningslagstiftningen har bara blivit mer komplex
2011 debatterades det om Sverige borde införa EU:s datalagringsdirektiv. Sedan kom GDPR. Men parallellt med integritetsskyddet har övervakningslagstiftningen skärpts dramatiskt. Vad har vi egentligen valt?
Detta är en opinionstext. Åsikterna som framförs är skribentens egna och speglar inte SVTdebatts redaktionella ståndpunkt.
Hösten 2011 stod Sverige inför ett val: implementera EU:s datalagringsdirektiv och tvinga teleoperatörer att lagra alla medborgares trafikdata i sex månader, eller ta EU-böter för att ha undvikit att genomföra direktivet i tid. Argumentet mot direktivet var starkt — det var dyrt, integriteten var kränkt och det var tveksamt om det faktiskt hjälpte polisen att lösa brott.
Den debatten avgjordes av EU-domstolen 2014. Datalagringsdirektivet ogiltigförklarades som stridande mot grundläggande rättigheter. Sverige slapp trotsigt genomförande — och slapp böterna.
Men berättelsen slutade inte där. Och om man bara ser på 2014 års seger missar man vad som faktiskt hände i decenniet som följde.
Det parallella spåret: skärpning av inhemsk övervakningslagstiftning
Medan GDPR — dataskyddsförordningen som trädde i kraft 2018 — skapade ett starkare skydd för européers personuppgifter i förhållande till företag, gick den inhemska säkerhetslagstiftningen i motsatt riktning.
FRA-lagen, signalspaningslagstiftningen som 2008 gav Försvarets radioanstalt rätt att avlyssna all kabelbunden trafik som passerar Sveriges gränser, utökades successivt. Lagen om inhämtning av uppgifter om elektronisk kommunikation i de brottsbekämpande myndigheternas underrättelseverksamhet — den s.k. inhämtningslagen — utvidgades vid upprepade tillfällen. Polisens befogenheter att använda hemlig dataavläsning (hackad avlyssning) utökades kraftigt 2020.
Sverige fick alltså inte EU:s datalagringsdirektiv — men fick istället en uppsättning nationella övervakningslagar som i vissa avseenden är mer långtgående.
GDPR: ett genombrott med begränsningar
GDPR är genuint viktig lagstiftning. Den skapade ett enhetligt regelverk för hur företag och myndigheter hanterar personuppgifter, gav individer reella rättigheter — rätt till tillgång, rättelse, radering och invändning — och satte tänder i form av sanktioner som faktiskt sticker.
Men GDPR har blinda fläckar som är lika viktiga som dess genombrott.
Den gäller i begränsad utsträckning för nationella säkerhets- och brottsbekämpningsmyndigheter. Det är ett medvetet och logiskt undantag — men det innebär att de delar av datainsamlingen som är mest integritetskänsliga och minst transparenta till stora delar faller utanför det starkaste skyddets räckvidd.
Implementeringen har dessutom variert kraftigt. Tillsynsmyndigheternas kapacitet och vilja att faktiskt driva ärenden mot stora aktörer — inklusive plattformsjättar som Meta och Google — har skiljt sig dramatiskt. Irlands dataskyddsmyndighet, ansvarig för att granska många av de stora amerikanska plattformarna vars europeiska huvudkontor finns i Dublin, har kritiserats för att vara systematiskt för långsam och för sällan komma till böteshantering.
Massövervakning i demokratins namn
Det finns en djup spänning i hur demokratier hanterar frågan om massövervakning. Det är inte en lätt fråga. Terroristattacker har inträffat. Organiserad brottslighet är ett reellt problem. Underrättelsetjänsterna pekar med rätta på att deras möjligheter att förebygga brott kräver tillgång till kommunikationsdata.
Men de avvägningar som görs är inte transparenta. Den parlamentariska granskningen av de hemliga tjänsternas verksamhet är systematiskt begränsad — av goda skäl, men med en reell demokratisk kostnad. Riksdagen röstar om befogenhetsutökningar utan att ha tillgång till information om hur de befintliga befogenheterna faktiskt används.
Det är ett demokratiskt problem. Inte av den anledningen att säkerhetstjänsterna per automatik missbrukar sina befogenheter — utan för att det demokratiska systemets legitimitet vilar på möjligheten till ansvarsutkrävande. Och ansvarsutkrävande förutsätter insyn.
Vad en trovärdig integritetspolitik kräver
GDPR var ett genombrott för integritetsskyddet i förhållande till privata aktörer. Det räcker inte.
Sverige behöver en sammanhållen integritetspolitik som också adresserar statens datainsamling. Det kräver en stärkt parlamentarisk granskning av underrättelsetjänsternas befogenheter — inte i syfte att undergräva deras verksamhet, utan i syfte att säkerställa att befogenheterna används proportionerligt.
Det kräver en öppen debatt om vad som är proportionerligt. Hur många år av masslagring av alla medborgares trafikdata motiveras av den faktiska brottsbekämpande nyttan? Det är en empirisk fråga — och svaret bör vara offentligt och granskat.
Och det kräver en erkänd intressemotsättning: säkerhet och integritet är båda legitima samhälleliga intressen, men de är inte alltid förenliga. Att agera som om de alltid är det är inte en lösning — det är ett sätt att undvika de svåra avvägningarna.
Datalagring eller EU-böter var en falsk dikotomi 2011. Det verkliga valet var alltid bredare: vilken stat vill vi bo i? Det valet fattas fortfarande, år för år, beslut för beslut — men utan att det ställs som den fråga det faktiskt är.
Om skribenten
Johan Persson
Integritetsjurist och digitalrättsaktivist
Johan Persson är jurist specialiserad på integritet, dataskydd och digital rättigheter. Han har tidigare arbetat vid Datainspektionen (nu IMY) och driver i dag advokatbyrån Digital Rätt. Han är styrelseledamot i Swedish Internet Foundation och anlitas som expert av riksdagens konstitutionsutskott.