Dataskydd.NET 2.12

Dataskydd.NET 2.12

Dataskydd.NET

Vol. 2, nr. 12, 1 juli 2015

https://dataskydd.net - info@dataskydd.net

Information om EU:s dataskyddspaket och skydd av den personliga integriteten, både juridiskt och tekniskt, i den digitala världen.

Detta nyhetsbrev finns även på [node:url]

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

I detta nummer:

1. Dataskydd.NET på WordCamp Europe: stort intresse för dataskydd inom webbutveckling
2. Dataskyddstrialoger i Bryssel: snart är ny lagstiftning klar
3. #SafeHarbor: EU-domstolen försenad, Sveriges regering panikslagen
4. Tele2 vs PTS: kammarrättens fråga om datalagring nu tillgänglig på EU-domstolens hemsida
5. Sverige sticker ut i ny europeisk attitydundersökning om dataskydd
6. Datainspektionen öppnar för privatlivsvänliga telefonstandarder
7. Wikileaks-avslöjanden om USA-spioneri mot franska ministrar skakar om

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

1. Dataskydd.NET på WordCamp Europe: stort intresse för dataskydd inom webbutveckling

Mellan 26 och 28 juni deltog Dataskydd.NET på WordCamp Europe 2015, en kongress med WordPress-utvecklare från hela världen. WordPress är ett publiceringsverktyg som enligt vissa uppskattningar driver 20-25% av alla sajter i världen. Dataskydd.NET presenterade sitt nuvarande arbete kring privatlivsskydd på svenska kommuners hemsidor, och vad man bör hålla i åtanke om man utvecklar hemsidor.

Svaret var starkt och positivt. Många letar efter allmänna principer, snarare än detaljerad lagstiftning, att förhålla sig till. Dataskydd.NET framställde dels tekniska råd, dels ideologiska principer. De kan sammanfattas: lämna inte ut information till tredjeparter, se till att privatpersonerns på botten av näringskedjan vet vad som händer och kan ta ställning till det, och samla inte in mer information än nödvändigt.

Använd SSL, läck inte referrers, använd inte tredjepartstracking och fundera noggrannt över vilka tredjepartstjänster som stoppas in på hemsidan.

Om svenska kommuner har Dataskydd.NET funnit att bara två kommuner av 290 i hela landet inte lämnar vidare information om vem som besökt deras hemsidor till kommersiella tredjeparter, ofta i utlandet. Invånare på orterna Sävsjö och Storfors kan alltså stoltsera med bäst genomtänkta kommunhemsidor ur privatlivsperspektiv. I Sävsjö är detta resultatet av en deltidsanställning och två års arbete med en genomtänkt strategi för bättre privatlivsskydd. Ytterligare kommuner Dataskydd.NET varit i kontakt med har haft problem att få tillräcklig information från statliga myndigheter. Varken Post- och telestyrelsen eller Datainspektionen lämnar tydliga råd om vad lagen säger, och ideologiska råd saknas på uppenbar grund ännu mer. Medan myndigheter och kommuner trasslar in sig i lagstiftningens detaljer blir teknikutveckling både principlös och dataskyddsfientlig. Dataskydd.NET kommer från och med nu arbeta ännu hårdare för att snabbt få till en handledning för hur man gör privatlivsskyddande hemsidor.

Vi uppmuntrar också alla medborgare i kommuner utanför Storfors och Sävsjö att ta kontakt med sin kommunledning för att efterfråga bättre privatlivsskydd!

Läs mer:

Slides från WCEU mm:

https://dataskydd.net/wceu2015

Snart tillgänglig som video på http://wordpress.tv/

WordCamp Europe Speaker Highlights, intervju med Amelia Andersdotter (20.05.2015):

https://europe.wordcamp.org/2015/speaker-highlights-amelia-andersdotter/

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

2. Dataskyddstrialoger i Bryssel: snart är ny lagstiftning klar

Den 15 juni började de så kallade trepartsförhandlingarna i Bryssel. Då ska EU-kommissionen, EU-parlamentet och ministerrådet komma överens om ett gemensamt förslag för framtidens europeiska dataskydd. Trepartsförhandlingarna har mycket låg insyn för utomstående och Dataskydd.NET förväntar sig att det kommer att bli svårare för oss att följa hur förhandlingarna fortskrider i detalj.

För information om vad svenska regeringen och svenska politiker gjort hittills i dataskyddsförhandlingarna hänvisar vi till vår tidslinje om dataskyddsförordningen. Där finns också länkar till det material som regeringen och riksdagen hittills släppt, samt länkar till kommentarer på regeringens linje.

För information om vad som händer i Bryssel kommer vi förlita oss på organisationerna AccessNow och EDRi, samt EU-parlamentets ansvarige förhandlare Jan-Philipp Albrecht (Die Grünen) och EU-kommissionens ansvariga tjänstemän. Det kan man själv också göra.

Inför trepartsförhandlingarna har EU-kommissionen och EU-parlamentet verkat för en starkare, tydligare dataskyddslinje. Ministerrådets förslag har å sin sida fått stark kritik. EU-ländernas regeringar är heller inte överens med varandra om vilken linje de vill driva. Detta försvårar sannolikt ministerrådets förhandlingsposition.

Även om förhandlingarna sannolikt kommer att ta längre tid än de utfästa sex månaderna (det vill säga innan 2015 är slut) kommer EPP-gruppens offentliggjorda utkast över förhandlingsschemat sannolikt utgöra en god indikation på när vilka saker tas upp. Dataskydd.NET har tidigare skrivit om detta.

Läs mer:

Dataskydd.NET, Tidslinje över svenska politiker och dataskydd:

https://dataskydd.net/dataskyddsforordningen-tidslinje

Dataskydd.NET, Tidsplanen för de slutgiltiga dataskyddsförhandlingarna (02.06.2015):

https://dataskydd.net/nyheter/2015/06/02/tidsplanen-de-slutgiltiga-datas...

EDRi, General Data Protection Document Pool (25.06.2015):

https://edri.org/gdpr-document-pool/

ITPro, Privacy groups attack latest EU data protection proposals (15.06.2015):

http://www.itpro.co.uk/data-protection/24805/privacy-groups-attack-lates...

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

3. #SafeHarbor: EU-domstolen försenad, Sveriges regering panikslagen

Safe Harbor-avtalen är särskilda avtal mellan USA och EU som etablerar USA som ett "säkert land" att överföra data till. Att detta förhållande är verkligt har dock ifrågasatts av österrikaren Max Schrems, som menar att Facebook i strid mot europeisk lag eventuellt delgivit amerikanska underrättelsetjänsten information om honom själv. Max Schrems har drivit rättsprocess mot irländska Datainspektionen, som vägrade utföra ytterligare tillsyn på Facebook. I den irländska domstolen uppstod oklarhet om Safe Harbor-avtalen till exempel ska stå över den irländska konstitutionen. Irländska högsta domstolen skickade alltså frågan till EU-domstolen om en tillsynsmyndighet i ett medlemsland är skyldig att agera och utreda på ett tvivelaktigt förfarande, trots Safe Harbor-avtalen.

Enligt en studie från 2008 uppfyller bara 54 av fler än 1500 företag som påstått att de självcertifierar sig under avtalen ens de grundläggande minimikraven för dataskydd. Amerikanska myndigheter har börjat jobba mer med tillsyn av självcertifieringen, men det går långt och åtgärderna är ineffektiva.

Under de muntliga förhandlingarna i mars var domstolen mycket kritisk mot EU-kommissionens hävd att avtalen av diplomatiska skäl inte är något problem. Domstolen ifrågasatte att grundläggande rättigheter ska eftersättas kommissionens förmåga att förhandla bra avtal.

Då, i mars, förväntades domstolen komma med ett förhandsavgörande den 24 juni. Något sådant har dock inte kommit. Att notera är dock att svenska regeringen i SOU 2015:39 om en ny myndighetsdatalag föreslagit att svenska myndigheter som använder IT-tjänster ska undantas från bestämmelsen att dataöverföringar bara ska få göras till länder som har en bra nivå av dataskydd för individer. Max Schrems-fallet har alltså stora inverkningar på svensk lagstiftning även innan avgörandet har fallit, och på fel sätt.

Man kan följa den vidare utvecklingen på twitter via @maxschrems eller @EUcourtpress.

Läs mer:

Dataskydd.NET om Safe Harbor:

https://dataskydd.net/safe-harbour-avtalen

Dataskydd.NET, #SafeHarbour-avtalen i EU-domstolen denna vecka! (26.03.2015):

https://dataskydd.net/nyheter/2015/03/26/safeharbour-avtalen-i-eu-domsto...

Dataskydd.NET, Svenskt förslag på myndighetsdatalag lämnar mycket att önska (30.06.2015):

https://dataskydd.net/nyheter/2015/06/30/svenskt-forslag-pa-myndighetsda...

Galexia-studien om Safe Harbour från 2008:

http://www.galexia.com/public/research/articles/research_articles-pa08.html

Curia Mål C-362/14, Begäran om förhandsavgörande framställd av
High Court of Ireland (Irland) den 25 juli 2014 – Maximillian Schrems
mot n Data Protection Commissioner:

http://curia.europa.eu/juris/document/document.jsf?text=&docid=157862&pa...

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

4. Tele2 vs PTS: kammarrättens fråga om datalagring nu tillgänglig på EU-domstolens hemsida

Efter en längre tids väntan har EU-domstolen nu publicerat de frågor som Kammarrätten i Stockholm skickade vidare till Luxembourg för förhandsavgörande. Frågorna lyder:

"Är en generell skyldighet att lagra trafikuppgifter som omfattar samtliga personer, samtliga elektroniska kommunikationsmedel och samtliga trafikuppgifter utan att det görs några åtskillnader, begränsningar eller undantag utifrån syftet att bekämpa brott (så som beskrivs [i begäran om förhandsavgörande…]) förenlig med artikel 15.1 i direktiv 2002/58/EG med beaktande av artiklarna 7, 8 och 52.1 i stadgan?

Om svaret på fråga 1 är nej, kan lagringen ändå vara tillåten

a)    om de nationella myndigheternas tillgång till de uppgifter som lagras är fastställd så som […beskrivs i begäran om förhandsavgörande], och

b)    om kraven på säkerhet regleras så som […beskrivs i begäran om förhandsavgörande], samt då

c)    samtliga aktuella uppgifter ska lagras i sex månader räknat från den dag kommunikationen avslutades och därefter utplånas så som […beskrivs i begäran om förhandsavgörande]?"

Kammarrätten verkar ha bifogat åtminstone 31 punkters förtydligande av sin förfrågan, som dock inte är publicerade i EU-domstolens databas Curia (än). Tyvärr verkar det utifrån frågeställningarna som att varken Tele2 eller Post- och telestyrelsen ha lyft frågan om utlämning av trafikuppgifter utan föregående domstolsbeslut så som krävs i inhämtningslagen. Eventuellt ryms dock problemet med inhämtningslagen (som föreslogs utökas i omfång kraftigt senast 31 mars i år, av regeringens särskilda utredare Sten Heckscher) under fråga 1(a).

Förhoppningsvis kommer flera regeringar att hjälpa EU-domstolen förtydliga frågeställningarna under domstolens arbete med frågorna.

Läs mer:

Mål C-203/15: Begäran om förhandsavgörande framställd av Kammarrätten i Stockholm (Sverige) den 4 maj 2015 – Tele2 Sverige AB mot Post- och telestyrelsen

http://curia.europa.eu/juris/document/document.jsf?text=&docid=165124&pa...

Tele2, Tele2 på DN Debatt: Myndigheters frågor om sök i våra system skenar – stoppa massövervakningen (04.05.2015):

http://om.tele2.se/nyheter/tele2-pa-dn-debatt-myndigheters-fragor-om-sok...

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

5. Sverige sticker ut i ny europeisk attitydundersökning om dataskydd

Eurobarometern om dataskydd 2015, en europeisk enkätundersökning där 28000 privatpersoner från hela EU har fått frågor om olika aspekter av dataskydd, visar att europeiska privatpersoner bryr sig om dataskydd, men känner sig maktlösa.

80% av alla svaranden känner att de har ingen eller delvis kontroll över hur deras personuppgifter samlas in och används. Mer än 50% av alla svaranden tycker att regeringen efterfrågar mer och mer information. Mer än 50% av svaranden tycker också att det inte finns några alternativ annat än att ge bort sina personuppgifter, och tycker det är obehagligt att dela med sig av information i utbyte mot gratis tjänster.

Precis som den nyss publicerade Annenbergsstudien från USA bekräftar Eurobarometern bilden av att "trade off"-beskrivningen inte fungerar: de flesta tycker inte att data-mot-tjänster-istället-för-pengar är en bra modell. Vad 70% av de svaranden i Eurobarometern uppger är att de känner att det är så här det är nu. Uppgivenheten är större än acceptansen.

Svenskar står ut i undersökning som den europeiska befolkning som oroar sig minst för övervakning av deras dagliga vanor i olika situationer. Färre än hälften av svenskarna har uppgivit att de är bekymrade över att de inte har något inflytande över hur information om dem samlas in, används och sprids av andra. Denna information finns i den fullständiga rapporten.

Resultatet från Eurobarometern kan också sättas i kontext med den svenska rapporten Delade meningar om svenskars attityder till integritetsfrågor som släpptes tidigare i år. Från den första frågan i enkätundersökning framgår att uppemot 80% av alla svenskar har en felaktig bild av vad kartläggning på internet innebär.

Läs mer:

Special Eurobarometer 431 on Data Protection (juni 2015):

http://ec.europa.eu/public_opinion/archives/ebs/ebs_431_en.pdf

Fact Sheet on Data Protection Eurobarometer (juni 2015):

http://ec.europa.eu/justice/data-protection/files/factsheets/factsheet_d...

The Trade Off Fallacy, Joseph Turow, Michael Hennessy & Nora Draper/UPenn (08.06.2015):

https://www.asc.upenn.edu/sites/default/files/TradeoffFallacy_1.pdf

Rapporten Delade meningar – Svenska folkets syn på digital integritet 2015 (03.03.2015):

http://www.internetstatistik.se/rapporter/delade-meningar/

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

6. Datainspektionen öppnar för privatlivsvänliga telefonstandarder

Utvecklare av svenska stads-wifi har fått vägledning genom ett nyss fattat beslut från Datainspektionen, som anger att insamling av information om privatpersoners telefoner och plattor är personuppgiftsbehandling. Ärendet rör ett trådlöst nätverk i Västerås som samlar in identifikationsnummer från apparater och lägger dem i en databas. Eftersom varje telefon ofta bara används av en och samma person, och information om hur en enskild telefon rör sig i en stadsmiljö därför blir information om hur denna person rör sig, har Datainspektionen sagt att insamlingen måste upphöra.

Det är positivt att Datainspektionen understryker vikten av att man talar om för privatpersoner när de blir kartlagda. Det är också positivt att Datainspektionen understryker vikten av att alla privatpersoner själva får välja att ta ställning till hur de ska bli kartlagda, och när.

För framtiden kan vi hoppas att radioutrustning börjar utvecklas på ett sådant sätt att apparater inte har något enskilt unikt identifikationsnummer, utan att detta automatiskt byts med regelbundna intervall. En sådan utveckling stöds av EU:s direktiv om standardisering av radioutrustning, där "skyddsmekanismer för att säkerställa att användarens och abonnentens personuppgifter och personliga integritet skyddas" ses som ett "väsenligt krav" på radioutrustning. Direktivet borde för närvarande hålla på att implementeras i Sverige, men för att EU-bestämmelserna ska få avsedd verkan kommer både departementen och myndigheterna behöva påminnas om att dessa väsentliga krav faktiskt finns.

Läs mer:

Datainspektionen pressmeddelande, Besöksflödena i Västerås mäts för noggrant (23.06.2015):

http://www.datainspektionen.se/press/nyheter/2015/besoksflodena-i-vaster...

Direktlänk till Datainspektionens beslut:

http://www.datainspektionen.se/Documents/beslut/2015-06-23-vasteras.pdf

Dataskydd.NET om EU:s direktiv för standardisering av radioutrustning:

https://dataskydd.net/direktiv-om-radioutrustningsstandardisering

2014/53/EC, Direktlänk till EU:s direktiv om standardisering av radioutrustning (se artikel 3(3)(e)):

http://eur-lex.europa.eu/legal-content/SV/TXT/?uri=CELEX:32014L0053

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

7. Wikileaks-avslöjanden om USA-spioneri mot franska ministrar skakar om

Den senaste veckan har de transatlantiska relationer drabbats av nya mörka moln. Wikileaks har avslöjat dokument som indikerar att USA har spionerat på tre på varandra följande franska presidenter. Dessutom har amerikanerna spionerat på franska finansministrar för att få upplysningar om exportavtal, franska företag och den franska ekonomin.

USA har tidigare hävdat att de inte använt någon avlyssningskapacitet för att bedriva industrispionage, men de nya uppgifterna talar emot detta. Franska politiker har yppat en möjlighet att ge både Snowden och Assange asyl i landet.

Samtidigt har Frankrike antagit en bred underrättelselagstiftning som ger mycket breda befogenheter till landets egna myndigheter att övervaka, spionera och begå dataintrång. Efter att samtliga politiska institutioner misslyckats med att skydda individers rättigheter återstår ingen annan väg för franska medborgarrättsgrupper att ta sin kamp för mänskliga rättigheter till domstolar. Det är således osannolikt att Frankrikes erbjudande till Snowden och Assange har att göra med nyvunna insikter om de mänskliga rättigheternas värde för mänskligheten.

Snarare är hela världen på väg mot ytterligare en period av intensiv styrkemätning nationalstater emellan, där individer riskerar att tillmätas en obetydlig roll i det stora hela.

Läs mer:

La Quadrature, French Surveillance Bill: LQDN Files an Amicus Brief to the Constitutional Court (25.06.2015):

http://www.laquadrature.net/en/french-surveillance-bill-lqdn-files-an-am...

Reuters, NSA wiretapped two French finance ministers: Wikileaks (29.06.2015):

http://www.reuters.com/article/2015/06/29/cnews-us-france-wikileaks-econ...

CNN, French minister: It's possible asylum will be offered to Snowden, Assange (25.06.2015):

http://edition.cnn.com/2015/06/25/europe/france-assange-snowden-asylum/i...

Mediapart.fr, Revealed: how US tapped phones of three French presidents (23.06.2015):

http://www.mediapart.fr/journal/france/230615/revealed-how-us-tapped-pho...

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

Saknas det något dataskyddsrelaterat vi borde ha med? Kontakta oss på info@dataskydd.net!

Vi använder varken kakor eller analysverktyg och vår webbserver loggar inte ditt besök.

Problem med sajten? Frågor? Kontakta oss! Vi finns också på Mastodon/Fediverse. Nyheterna finns som RSS-flöde.

All text, förutom citat, är tillgänglig under CC0 (ingen upphovsrätt).