Umeå universitet Institutionen för Datatavetenskap Integritet och privathet Markus Johansson Jan Rudzki
Introduktion Denna del av projektrapporten kommer ta upp den nödvändiga informationen som krävs för att belysa problematiken med integritet och privathet i ett projekt såsom Hultsfredsprojektet. Innehållet kommer till största delen bestå av regler och bestämmelser inom dess områden, men även hur de påverkar vissa beslut inom projektet och hur vi valt att lösa dessa. Definitioner För att få en grundläggande förståelse över ämnet behövs kunskap om vad uttrycken egentligen innebär, varvid en kort definition utav uttrycken följer. Integritet Svenska Akademiens ordbok definierar integritet på följande: Privathet förhållande(t) att icke vara utsatt (l. mottaglig) för obehörig påvärkan l. inblandning, frihet från inblandning, självständighet, oberoende; i sht i fråga om makt l. inflytande o. d. Ordet privathet är inte ett svenskt ord enligt SAOB, utan har sitt ursprung i det engelska ordet privacy som definieras enligt: The quality or condition of being secluded from the presence or view of others. The state of being free from unsanctioned intrusion: a person's right to privacy. Konventioner och internationella regler Ämnet integritet och privathet regleras även av olika internationella organisationer. Dessa organisationer beskriver begreppen mer flyktigt och upptar dem i olika konventioner och överenskommelser. De mest kända konventionerna som behandlar dessa områden är Förenta Nationernas allmänna förklaring om de mänskliga rättigheterna och Europeiska Unionens rättighetsstadga. FN:s allmänna förklaring om de mänskliga rättigheterna: Ingen må utsättas för godtyckliga ingripanden i fråga om privatliv, familj, hem eller korrespondens, ej heller angrepp på heder och anseende. Envar har rätt till lagens skydd mot sådana ingripanden eller angrepp. I EU:s rättighetsstadga beskrivs de fri- och rättigheter som EU erkänner att varje människa har. Vi har till exempel tanke-, religions-, yttrande- och mötesfrihet, vi har rätt till ett skyddat privatliv och barn har rätt till skydd och omvårdnad. Stadgan gör de grundläggande rättigheterna tydligare. Rättighetsstadgan innehåller sex avsnitt som handlar om: värdighet, frihet, jämlikhet, solidaritet, medborgarnas rättigheter och rättsskipning.
Bestämmelser i Sverige I Sverige finns förutom dessa internationella konventioner och stadgar även en lag som behandlar integritet och privathet. Lagen heter personuppgiftslagen, PUL, och reglerar bestämmelser kring personuppgifter samt registrering av dessa. Personuppgiftslagen tillkom 1998. Med bestämmelser kring personuppgifter följer även frågan om vad som registreras med eller utan samtycke, vilket är centralt för behandling av personuppgifter. PUL definierar termerna personuppgifter och samtycke enligt följande: Personuppgifter: All slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Samtycke: Varje slag av frivillig, särskild och otvetydig viljeyttring genom vilken den registrerade, efter att ha fått information, godtar behandling av personuppgifter som rör honom eller henne. För att personuppgiftslagen ska vara tillämpbar finns vissa kriterier som måste uppfyllas för att en tillsynsmyndighet ska kunna åklaga och i förlängningen utdela straff för händelser som bryter mot personuppgiftslagen. Hur dessa begrepp är utformade och hänger ihop förstås lätt efter en snabb genomgång av de mest centrala paragraferna ur personuppgiftslagen. Första paragrafen fastslår lagens berättigande 1 Syftet med denna lag är att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter. Femte paragrafen beskriver för vilket område lagen tillämpas. 5 Denna lag gäller för sådan behandling av personuppgifter som helt eller delvis är automatiserad. Lagen gäller även för annan behandling av personuppgifter, om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Fyrtiotredje paragrafen behandlar tillsynsmyndighetens förfoganden. 43 Tillsynsmyndigheten har rätt att för sin tillsyn på begäran få a) tillgång till de personuppgifter som behandlas, b) upplysningar om och dokumentation av behandlingen av personuppgifter och säkerheten vid denna, och c) tillträde till sådana lokaler som har anknytning till behandlingen av personuppgifter. Fyrtioåttonde och fyrtionionde paragraferna behandlar straff. 48 Den personuppgiftsansvarige skall ersätta den registrerade för skada och kränkning av den personliga integriteten som en behandling av personuppgifter i strid med denna lag har orsakat. 49 Till böter eller fängelse i högst sex månader eller, om brottet är grovt, till fängelse i högst två år döms den som uppsåtligen eller av oaktsamhet [bryter mot någon av dessa lagar... ]
Checklistor För att på ett enkelt sätt kunna se till att inga lagar överskrids finns checklistor vilka gör det enklare att följa lagarna. Några av de mest kända och använda checklistorna är Pär Ströms, OECD:s och Esther Dysons checklistor. Pär Ström är en it-konsult som arbetat med integritet och privathets frågor i 20 år. OECD, Organisation for Economic Cooperation and Development är en organisation som sedan 1947 arbetar för ekonomisk och social utveckling. Esther Dyson är en it-konsult som sedan 1997 specialiserat sig på frågor rörande Internet intrång i vardagslivet och hur det påverkar individens integritet. De checklistor dessa organisationer och personer har utvecklat liknar varandra och tar i princip upp samma punkter. Gemensamt för dessa är att det även går att finna lagtext vilka bra stämmer överens med de punkter som finns i dessa checklistor. De grundläggande punkterna dessa checklistor tar upp följer nedan, med en referens till var i den svenska lagtexten det går att finna. Samtliga checklistor säger att insamlingen av personuppgifter enbart ska ske om fördelarna väger väsentligt tyngre än nackdelar och risker. I PUL 22 uttrycks det som att: Uppgifter om personnummer får utan samtycke behandlas bara när det är klart motiverat med hänsyn till a) ändamålet med behandlingen, b) vikten av en säker identifiering, eller c) någon annat beaktansvärt skäl. Att datamängden som registreras ska begränsas till det nödvändigaste, anses viktig. I PUL 9 e beskrivs detta: [Den personuppgiftsansvarige skall se till att]de personuppgifter som behandlas är adekvata och relevanta i förhållande till ändamålen med behandlingen. Det är betydelsefullt att människor kan ta del av de uppgifter som lagrats om dem. Hur detta ska gå till väga beskrivs utförligt i PUL 23-26. Det är vidare väsentligt att informationen som lagras är korrekt, fullständig och uppdaterad samt att människor ges möjlighet att få felaktigheter korrigerade. PUL 9 g-h: [Den personuppgiftsansvarige skall se till att] de personuppgifter som behandlas är adekvata och relevanta i förhållande till ändamålen med behandlingen, [att] alla rimliga åtgärder vidtas för att rätta, blockera eller utplåna sådana personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålen med behandlingen Ytterligare en gemensam punkt i checklistorna är att informationen som registrerats inte ska användas för andra syften än vad som låg till grund för insamlingen av den. I PUL 9 d förklaras detta genom: [Den personuppgiftsansvarige skall se till att] personuppgifter inte behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in. Checklistorna tar även upp de fall då registren baseras på information som strider mot de föregående punkterna. I dessa fall rekommenderas att registren byggs med de enskilda människornas samtycke. PUL 10: Personuppgifter får behandlas bara om den registrerade har lämnat sitt samtycke till behandlingen eller om behandlingen är nödvändig /.../
Dysons princip Esther Dyson har visat på problematiken med registrering av personuppgifter, och hur integriteten inskränks när detta sker. Det som denna process i slutändan handlar om är problematiken mellan den kortsiktig förtjänst som genereras vid registreringen av personuppgifter och den långsiktiga relationen med de enskilda individerna. Dyson säger att fokus borde ligga på att ha individerna i centrum och att utveckla systemen på individernas villkor och att det är individerna som ska ha kontrollen. Anknytning till projektet I Hultsfredsprojekt har integritet och privathet varit centralt i utformandet utav systemet. I ett led att bibehålla goda relationer med festivalbesökarna och deras önskemål att nödvändigtvis inte vara med i registret har de givits frågan om hur till vida de önskar vara med i registret eller inte. På så sätt sker ingen registrering utan samtycke och alla som väljer att vara med har full kontroll över de uppgifter de lämnar då de själva fyller i informationen om sig själva. Om några oklarheter trots allt skulle uppkomma kan besökarna, närhelst de vill, lämna registret. Ingen unik identifierare som personnummer lagras i databasen vilket gör att registerdata från Hultsfredsprojektet är tämligen svår att samköra med andra register. Genom dessa förfaranden och metoder anser vi att projektet, även trots att en del information lagras om besökarna, skyddar besökarnas personliga integritet och privathet.
Källförteckning [] Böcker Garfinkel, Simson (2000), Database Nation, O Reilly, Sebastopol Ström, Pär (2003), Övervakad, Liber, Malmö Swire, Peter & Litan, Robert (1998), None of you business, The Brookings institution, Washington D.C. [] Publikationer Sveriges Lagar (2004), Personuppgiftslagen, Thomson Fakta AB, Stockholm [] Webbsidor OECD, http://www.oecd.org, 2005-03-23 Svenska Akademiens Ordbok, http://g3.spraakdata.gu.se/saob/, 2005-03-23 Dictionary.com, http://dictionary.reference.com/search?q=privacy, 2005-03-23