Granskning
Tappat grepp om GDPR
28 February 2020 | Åsa Larsson |
Den högerextrema sajten Fria tider har i ett par artiklar tagit ett grepp kring EU:s dataskyddsförordning GDPR. Men sajten har fått en del saker om bakfoten och citerar experter som känner sig feluppfattade när de får se Fria tiders artiklar.
Medicinsk forskning stoppas av EU, skriver man till exempel i en artikel.
– Nej, så är det inte, det kan man inte säga, säger Karin Wadell, professor i fysioterapi vid Umeå universitet.
Hon intervjuades av SVT i höstas om att det blivit svårare att hitta patienter till forskning och hon finns namngiven i Fria tiders artikel med flera citat som är tagna från SVT:s publicering.
– Det de citerar är så som jag sa, det kan jag inte säga något om.
Men Wadell är kritisk till Fria tiders beskrivning av sakfrågan. Sajten skriver till exempel: “Vårdpersonal får inte längre fråga personer med rätt typ av vårdbehov om de vill delta i studier”.
– Jo, det får de, men nu måste vi förlita oss på att vårdpersonal som redan har väldigt mycket att göra ska hitta lämpliga patienter och fråga dem.
Om vårdpersonal har tid så får de absolut ställa frågan och de får informera att det pågår studier, säger Karin Wadell. Patienter kan också själva kontakta forskare, men det förutsätter att de vet att det pågår forskning.
Sedan Källkritikbyrån pratade med Karin Wadell första gången har Fria tider bytt rubrik på artikeln till: “Risk för GDPR-dödsfall när byråkrati förhalar forskning inom svensk vård”.
– Den nya titeln är ju lika felaktig. Att det skulle föreligga någon sådan risk finns inget underlag för, kommenterar Wadell.
Enligt flera myndigheter och expertinstanser, däribland Datainspektionen, Karolinska universitetssjukhuset, Sahlgrenska universitetssjukhuset och Medicinska fakulteten i Lund, som Källkritikbyrån pratat med så har Fria tider fått saker om bakfoten.
Sajten beskriver problemet med samtycke enligt GDPR, det vill säga att det vanligen finns en ojämställdhet i relationen mellan vårdpersonal och patienter, men verkar ha dragit den felaktiga slutsatsen att vårdpersonal inte skulle få fråga patienter om de vill delta i kliniska studier, att forskare inte skulle få lov att behandla de här uppgifterna och att det hindrar forskning.
Det finns nämligen fler rättsliga grunder än bara samtycke. Den som används vid forskning är vanligen allmänt intresse. Eftersom det rör sig om känsliga uppgifter, alltså någons hälsa, så måste forskningen också etikprövas.
Hur går det till? Jo, forskare beskriver precis hur de ska göra, från datainsamling och rekrytering till arkivering, och sedan får man det prövat av Etikprövningsmyndigheten. I det kan det finnas samtyckesfrågor men de har inte att göra med den rättsliga grunden för forskningen enligt GDPR.
Syftet med integritetsskydd inom medicinsk forskning är bland annat att ingen ska kunna säga att den är forskare och sedan ha fri tillgång till journaler.
Fria tider har också skrivit om GDPR när det gäller företag som vill använda foton från sina firmafester. “Olagligt fotografera på firmafester enligt GDPR”, är en rubrik på sajten. Men det stämmer inte, säger juristen Josefin Karlström som jobbar med webbverktyget GDPR Hero. Hon är citerad i artikeln eftersom GDPR Hero-bloggen gjort ett inlägg om just vad som gäller vid fotografering på firmafester och Fria tider länkar dit. Men har de uppfattat saker rätt?
– Inte helt, nej, säger Josefin Karlström.
Datainspektionen svarar i ett mejl att GDPR inte innehåller några uttryckliga förbud mot olika typer av personuppgiftsbehandling. Undantag är känsliga uppgifter som endast får behandlas i vissa särskilda situationer. (Känsliga uppgifter kan vara till exempel politiska åsikter, hälsotillstånd eller sexualliv.) Samma sak gäller för uppgifter som rör lagöverträdelser.
Men, all personuppgiftsbehandling behöver enligt dataskyddsförordningen ha stöd i en så kallad rättslig grund. Om det saknas en tillämplig rättslig grund är personuppgiftsbehandlingen inte tillåten, skriver Datainspektionen.
“Men om deltagarna faktiskt vill bli fotograferade då? Det hjälper inte”, skriver Fria tider. “Förbudet gäller nämligen även om de som deltar på festen godkänner fotografering, enligt juristen Josefin Karlström på Sällberg & Co, en juristfirma som specialiserar sig på GDPR. Enligt GDPR kan anställda nämligen inte lämna samtycke till personuppgiftsbehandling på det företag de jobbar på, även om de är vuxna, eftersom EU anser att anställda är “i beroendeställning” till sin arbetsgivare och räknas i dessa sammanhang därför som omyndiga i förordningens mening.”
– Nej, man blir inte omyndig, säger Josefin Karlström på GDPR Hero om formuleringen som återkommer i flera av Fria tiders artiklar.
Det finns här sex olika rättsliga grunder i GDPR och man behöver ha minst en för att en behandling av personuppgifter ska vara laglig. Det GDPR Hero försökte visa i sitt blogginlägg var att ett av de sex valen, samtycke, kanske inte är vägen att gå om det rör sig om ett större företag som ska ha firmafest. Det kan finnas en obalans i maktförhållandet mellan anställda och arbetsgivaren och man måste säkerställa att ett samtycke är frivilligt, att den anställda har ett val. Det är alltså inte omöjligt, men som GDPR Hero skriver i sitt blogginlägg, kanske inte den enklaste vägen.
Datainspektionen konstaterar samma sak: Mellan en arbetsgivare och arbetstagare är maktförhållandet ofta ojämlikt. En arbetsgivare kan i stället behöva stödja personuppgiftsbehandling på en annan rättslig grund än samtycke. “En vanlig missuppfattning är att det alltid krävs samtycke för att få behandla någons personuppgifter, men i många fall är det inte lämpligt eller kanske inte ens möjligt att stödja sig på den registrerades samtycke”, skriver de på sin hemsida.
Åsikterna om GDPR i allmänhet går isär: en del upplever det som överdrivet byråkratiska förfaranden, andra menar att förordningen främjar ett ansvarsfullt sätt att hantera personuppgifter och att det är viktigt i dessa dagar. En aning om vad Fria tider anser går att hitta i deras beskrivning av GDPR-förordningen som en “bisarr lag” och de läsare som kommenterar på Fria tiders publicering är ganska enigt EU-kritiska.
GDPR-experten Daniel Westman tycker att sajten snurrat till det i sina publiceringar, men att man också valt områden där det mycket riktigt kan vara snårigt för företag att följa GDPR. Han är jurist som är specialiserad på it- och medierätt.
– Vissa saker i artiklarna är rätt, vissa saker är inte rätt och vissa är tillspetsade, säger Westman.
Fria tider trycker på sanktionsavgifterna som är kopplade till GDPR och skriver: “Den som bryter mot GDPR riskerar böter på 200 miljoner kronor per överträdelse. Den som fotograferas utan att det nödvändiga GDPR-förfarandet har genomgåtts har även rätt till skadestånd, som ofta blir dyrare än de böter som faktiskt döms ut.”
Men det tycker Daniel Westman är missvisande.
– Visst, du kan bli dömd till upp till 20 miljoner euro men det är absolut inte realistiskt i sådana här fall. Att till exempel på ett felaktigt sätt ha sparat bilder för internt bruk kan leda till sanktionsavgift, men knappast någon hög sådan. Det skulle snarare bli ett påpekande eller så. Och skulle någon begära skadestånd för en kränkning här så är ju den kränkningen väldigt begränsad också.
I Sverige rör det sig hittills inte om några miljonbelopp i något fall. En skola i Skellefteå, som testade att använda ansiktsigenkänning för närvarokontroll av elever, har dömts till 200 000 kronor i böter och sajten MrKoll, som lägger ut personuppgifter om svenska medborgare över 16 år, har dömts till att betala drygt 370 000 kronor.
Dataskyddsförordningen GDPR antogs 2016 och började gälla fullt ut 2018. EU-förordningar gäller direkt i alla stater och ersätter tidigare nationella regler, i Sverige till exempel personuppgiftslagen (PUL). “Mycket i dataskyddsförordningen liknar de regler som fanns i personuppgiftslagen”, konstaterar Dataskyddsinspektionen på sin hemsida.
Vad tycker du som jobbar med GDPR-frågor om att felaktiga påståenden sprids?
– Ja, det gör ju vårt jobb lite svårare. Det blir lite uppförsbacke när någon läst en massa artiklar där det står felaktiga saker och så får man börja med att försöka förklara att det inte stämmer, säger Josefin Karlström på GDPR Hero.
Hon tycker att det är bra att Fria tider åtminstone länkat till blogginlägget på GDPR Hero så att läsare som klickar sig vidare får korrekt information.