Dataskydd.NET 2.20

Dataskydd.NET 2.20

Dataskydd.NET

Vol. 2, nr. 20, 16 december 2015

https://dataskydd.net - info@dataskydd.net

Information om EU:s dataskyddspaket och skydd av den personliga integriteten, både juridiskt och tekniskt, i den digitala världen.

Detta nyhetsbrev finns även på [node:url]

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

I detta nummer:

1. Dataskyddsförhandlingarna i EU: de är klara!
2. Svenskt förslag om ny utlänningsdatalag
3. EU:s justitieministrar överens: vill ha ny lag om datalagring
4. Norska Datatilsynet ryter till: specialrapport om riktad reklam+Belgien/Facebook
5. Dataskydd.net lämnar remissyttrande på SOU 2015:66 - En förvaltning som håller ihop
6. Kommande

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

1. Dataskyddsförhandlingarna i EU: de är klara!

Sent på kvällen den 15 december skrev representanter för EU-parlamentet och kommissionen på Twitter att dataskyddsförhandlingarna i EU är klara. Både dataskyddsförordningen, som rör alla utom polisen, och dataskyddsdirektivet, som inte rör någon förutom polisen, är färdigförhandlade och behöver nu bara formellt godkännas av EU-parlamentet och ministerrådet för att bli europeisk lag.

Dataskydd.net har haft tillgång till den version av lagtexten som producerades efter trepartsförhandlingarna den 14 december. En kort sammanfattning:

* De höga böterna är kvar. (Effektiva rättsmedel)

* EU-parlamentet har framgångsrikt försvarat namngivna principer (dataminimering, effektiva rättsmedel, ändamålsbegränsning, transparens).

* Offentlig sektor täcks fortfarande av dataskyddsförordningens principer.

* Ett gemensamt ansvar för personuppgiftsansvariga och personuppgiftsbiträden är kvar.

* Incidentrapportering riktad till individer är kvar. Det här bör glädja Post- och telestyrelsen, som arbetat på liknande förslag sedan de utformade sin strategi om ett säkrare internet 2006.

* Rätten till dataportabilitet och att få reda på logiken bakom automatiserade beslut är kvar. Prioriteringsordningen att immaterialrätter, företagshemligheter och upphovsrätt alltid ska väga tyngre än individens rätt att få information är borta i den nya texten.

* Rätten att bli bortglömd finns kvar, om än i förändrad form. Krav på information till individer vid insamling av personuppgifter har utökats.

De slutgiltiga texterna är fulla av undantag och kryphål. Det har också riktats kritik mot att vissa av bestämmelserna, som att personer under 16 års ålder inte kan godkänna att deras uppgifter behandlas, inte går att upprätthålla.

Den juridiska osäkerheten kring texten är alltså fortfarande hög. Domstolsprövningar, rättsprocesser och tillsyn kommer att behövas för att klargöra effekterna av förordningen. Därför är det bra att texten innehåller utökade befogenheter för tillsynsmyndigheten, som i Sverige sannolikt kommer att vara Datainspektionen. Dataskyddsrevisioner och andra befogenheter liknande sådana som också Konkurrensverken har, kommer i framtiden att tillfalla Datainspektionen. Individer kommer också att ha utökade möjligheter att driva gemensam klagan vid brott mot dataskyddslagarnas regler.

Överenskommelsens texter kommer att behöva granskas av "jurist-lingvister" (som går igenom texten för lingvistisk stringens på EU:s alla 23 officiella språk) och det är just nu okänt när den kommer att finnas tillgänglig för allmänheten.

Läs mer:

EU-kommissionens pressmeddelande, "Agreement on Commission's EU data protection reform will boost Digital Single Market" (15.12.2015):

http://europa.eu/rapid/press-release_IP-15-6321_en.htm

EU-parlamentets pressmeddelande, "Data protection package: Parliament and Council now close to a deal" (15.12.2015):

http://www.europarl.europa.eu/news/en/news-room/20151215IPR07597/Data-pr...

Ministerrådets ordförandelands pressmeddelande, "'Data Protection' Package: a historic agreement" (15.12.2015):

http://www.eu2015lu.eu/en/actualites/communiques/2015/12/15-accord-prote...

ALDE-gruppens pressmeddelande, "EU to remain frontrunner on privacy protection - ALDE welcomes agreement on the data protection package" (15.12.2015):

http://www.alde.eu/nc/press/press-and-release-news/press-release/article...

Greens-EFA pressmeddelande, "Major step forward for consumer protection and competition" (15.12.2015):

http://www.greens-efa.eu/eu-data-protection-rules-15003.html

Politico, "EU strikes deal on data protection rules" (15.12.2015):

http://www.politico.eu/article/deal-data-protection-laws-parliament-priv...

Reuters, "EU set to agree new data privacy law with stiff penalties" (14.12.2015):

http://www.reuters.com/article/us-eu-dataprotection-idUSKBN0TX29020151215

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

2. Svenskt förslag om ny utlänningsdatalag

Den 7 december lade regeringen ett förslag om en ny utlänningsdatalag. Dataskydd.net har inte gått igenom förslaget i detalj, men preliminärt verkar regeringen ha föredragit en mindre flexibel lagstiftning över bättre transparens mot privatpersoner (till exempel mer preskriptiva regler för sökbegränsningar, men avsaknad av möjligheter för privatpersoner att granska efterlevnaden av densamma i kombination med bättre datadelningsmöjligheter utan föregående information till privatpersonen).

Dataskydd.net ifrågasatte metoden att detaljreglera för att uppnå ett bättre dataskydd i sitt remissyttrande, som lämnades in i september 2015.

I övrigt verkar regeringen inte i samma utsträckning som inför propositionen om den nya domstolsdatalagen ha åsidosatt Datainspektionens kommentarer (se Dataskydd.net:s skrivelse till riksdagen om förslaget om en ny domstolsdatalag). Detta är välkommet.

Det är också uppenbart att regeringen fortsätter eftersträva produktivitet på myndigheterna genom att låta dem genomföra större dataspridning med mindre inblandning av individen. Dataskydd.net har ifrågasatt detta: förvaltningens organisation och verksamhet fungerar  inte nödvändigtvis bättre av att individer får sämre insyn i den, och mer datadelning riskerar att bli ett substitut för mer övergripande reformer i verksamheten som kanske vore mer behjälpliga för att höja produktiviteten. Se våra kommentarer på E-delegationens slutrapport.

Dataskydd.net återkommer efter julledigheten med en mer djuplodande läsning av förslaget.

Läs mer:

Regeringens proposition 2015/16:65: Utlänningsdatalag (07.12.2015):

http://www.riksdagen.se/sv/Dokument-Lagar/Forslag/Propositioner-och-skri...

Dataskydd.net, våra remissvar:

https://dataskydd.net/vara-remissvar

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

3. EU:s justitieministrar överens: vill ha ny lag om datalagring

Trots ganska stora motgångar för europeiska justitiedepartment har EU:s justitieministrar (bland vilka Morgan Johansson och Anders Ygeman ingår) dragit slutsatsen att massövervakning, trots EU-domstolens beslut, fortfarande ska anses tillåtet.

Ministrarnas bedömning kommer efter Eurojusts, europeiska åklagarmyndighetens, granskning av vilka effekter EU-domstolens beslut om upprivning av datalagringsdirektivet har haft. De vill ha en ny, harmoniserande lagstiftning på europeisk nivå så snart som möjligt, för att lagringskraven inte ska bli olika medlemsländerna emellan.

Dataskydd.net har till ära av förslaget uppdaterat sin tidslinje om datalagring, som nu återfinns i nytt utseende här: https://dataskydd.net/datalagringen-och-domstolarna

Läs mer:

Justice and Home Affairs Council, Main results (03-04.12.2015):

http://www.consilium.europa.eu/en/meetings/jha/2015/12/03-04

Dataskydd.net, Eurojust publicerar analys av datalagring i EU:s medlemsländer (06.11.2015):

https://dataskydd.net/nyheter/2015/11/06/eurojust-publicerar-analys-av-d...

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

4. Norska Datatilsynet ryter till: specialrapport om riktad reklam+Belgien/Facebook

Norska Datatilsynet, en motsvarighet till Datainspektionen, har skrivit en omfattande rapport om databehandling i reklamindustrin. De har särskilt tittat på profilering och kartläggning av individer som sker bakom kulisserna, när individer rör sig i olika nätmiljöer.

Kartläggningen av kartläggarna är förhållandevis genomgående, och Datatilsynet producerar också flera rekommendationer och åtar sig att genomföra vidare handlingar för att öka transparensen i de nätbaserade reklamnätverken:

  • Förläggare (till exempel tidningar) måste ta ansvar för de tredjeparter som de tillåter verka på sina hemsidor.
  • Företag som samlar in personuppgifter för profilering och reklam måste grunda denna insamling på aktivt samtycke från användaren.
  • Förläggare måste ge alla användare tillgång till sina tjänster, också de som avsäger viss eller all kartläggning av deras surfbeteende.
  • Policies om dataskydd måste förbättras. De ska vara korta och enkla att förstå, men ska också vara tydliga om vilken information som samlas in, hur den behandlas och huruvida den delas med andra och i sådana fall vilka.
  • Medie- och reklamföretag måste gå ihop och göra riktlinjer som leder till högre öppenhet och transparens kring hur riktad reklam fungerar.

Datatilsynets rapport om riktad reklam kommer samtidigt som Post- och telestyrelsen i Sverige blivit ett år försenade med slutförandet av sin tillsyn av "kakparagrafen" i lagen om elektronisk kommunikation. Till skillnad från svenska Post- och telestyrelsen har Datatilsynet hela personuppgiftslagen till sitt förfogande, och alla dess underliggande principer. Post- och telestyrelsen är i stället fast på regeringens uttalande från 2011, att viss innovation i medieindustrin kan tänkas tillåtas stå över användarens intresse av förutsägbar databehandling (Proposition 2010/11:115, s. 136).

Datatilsynets innevarande rapport, och belgiska Datainspektionens nyliga rättsfall mot Facebook (som också har med icke-legitim spårning medelst kakor att göra) kan vara ett tecken på att Post- och telestyrelsen bör be Datainspektionen om hjälp med den vidare tillsynen - det är uppenbart att både personuppgiftslagen och lagen om elektronisk kommunikation kan ha bäring på individuella rättigheter, och det är inte säkert lämpligt att Post- och telestyrelsen avgör fallet helt på egen hand.

Dataskydd.net påminner sig tidigare samarbeten mellan myndigheterna kring mobila tjänster, som visserligen inte lett till märkbara och direkta resultat för slutanvändare, men som ändå presenterat goda rekommendationer till lagstiftare att agera på.

Dataskydd.net välkomnar rapporten och hoppas att fler Datainspektioner i Europa kommer ställa upp och hjälpa Datatilsynet med deras framtida företag.

Läs mer:

Datatilsynet. THE GREAT DATA RACE: How commercial utilisation of personal data challenges privacy. Report, november 2015:

http://www.datatilsynet.no/Global/04_analyser_utredninger/2015/engelsk-k...

Privacycommission. The judgment in the Facebook case (10.11.2015):

https://www.privacycommission.be/en/news/judgment-facebook-case

Post- och telestyrelsen/Datainspektionen. Användning av trafikuppgifter i mobila innehållstjänster. Rapport efter avslutad tillsyn. PTS-ER-2010:01/Datainspektionen 2010:1:

https://www.pts.se/upload/Rapporter/Tele/2010/2010-1-mobila-innehallstja...

Regeringens proposition 2010/11:115, Bättre regler för elektroniska kommunikationer (23.03.2011):

http://www.riksdagen.se/sv/Dokument-Lagar/Forslag/Propositioner-och-skri...

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

5. Dataskydd.net lämnar remissyttrande på SOU 2015:66 - En förvaltning som håller ihop

Dataskydd.net reagerar kraftigast på "[d]en svenska förvaltningspolitiken identifierade tidigt att det inte ska vara medborgares och företagares uppgift att veta hur den offentliga sektorn är organiserad." (SOU 2015:66, s. 113)

De som fattar beslut om och arbetar inom förvaltningen är lika mycket medborgare och privatpersoner som de som vänder sig till förvaltningen. Om organisationen för den offentliga sektorn därför inte är begriplig och transparent för privatpersoner, så är den alltså sannolikt inte heller begriplig eller transparent för de som jobbar inom och fattar beslut om förvaltningen. Informationsteknologi och e-förvaltning kan inte lösa problemet att den offentliga förvaltningen har en ogenomskådlig och obegriplig organisation.

Delegationens återkommande tema är att ”förenkla för privatpersoner”, men privatpersoner är frånvarande i utredningens grundmaterial. Delegationen gör från och med sitt första betänkande från 2010 många påståenden om vad medborgare önskar sig (”kundorientering, enkelhet, tidsbesparing och tillgänglighet i sina kontakter med förvaltningen”) men dessa önskemål är inte uppbackade av någon undersökning. Det är orimligt att tro att någon vill ha kundfientlig, svår, tidsödande och otillgänglig e-förvaltning. Om påståenden om inte överlever ett motsatsperspektiv är de sannolikt plattityder.

Delegationens ledamöter har i stort sett uteslutande varit myndighetschefer. E-delegationen redovisar att den konsulterat med projektledare och experter från befintliga e-förvaltningsprojekt. Representationen för det näringsliv som för närvarande står i kontakt med förvaltningen, och förvaltningen, dominerar i delegationen. Ingen organisation som jobbar för individens eget intresse (till exempel människorättsgrupper, intressegrupper för digitala rättigheter, konsumentskyddsgrupper, och så vidare) har ingått i expertgrupperna. Partipolitisk och parlamentarisk representation av medborgarnas intressen har också utgått.

I kommittédirektiven står att läsa att ”[m]edborgare ska kunna utöva sina rättigheter och fullgöra sina skyldigheter samt ta del av förvaltningens service på ett enkelt sätt.” Dataskydd.net har av slutrapporten och av E-delegationens verk i övrigt fått intrycket av att ”rättigheten” som ska ”utövas” är rättigheten att få vara kund hos en e-tjänstleverantör. I de flesta fall är dock medborgarens kundrelation till myndigheter och förvaltningen en plikt snarare än ett val. Därför behöver dessa relationer tilldelas en annan sorts uppmärksamhet än vad man tilldelar vanliga konsumentrelationer. Med ”annan sort” menar Dataskydd.net inte bara ”mer”, utan ”av ett annat slag”.

De rättigheter till privatliv och dataskydd som kodifieras i Europeiska konventionen för mänskliga rättigheter, Europarådets konvention om dataskydd från 1981 och EU:s stadga för grundläggande mänskliga rättigheter har tillkommit för att skydda individens rätt att utöva inflytande och förstå inflytande över individens egna identitet. De är abstrakta rättigheter som tar sikte på att skydda inte bara den som individen för närvarande är, utan också den som individen kan tänkas vilja eller komma att bli. De är alltså tänkta att garantera individens möjlighet att delta på ett fullgott sätt i det demokratiska samhället genom att ge individen självbestämmande.

För att medborgare ska kunna utöva en abstrakt rättighet, och respektera andras abstrakta rättigheter, behöver de kunna förstå och utöva dels den egna rättigheten, dels ges ramverk inom vilken de kan hjälpa andra att göra detta.

Dataskydd.net anser att möjligheterna att tillgodose ett starkt skydd för de grundläggande mänskliga rättigheterna i förvaltningens arbete bör styra förvaltningspolitiken.

Dataskydd.net vill också särskilt tacka Anders Lindbäck för hjälp med yttrandets disposition, och Marcus Fridholm för den fantastiska illustrationen av en obegriplig och ogenomskådlig förvaltning.

Läs mer:

E-delegationens betänkanden:

http://www.edelegationen.se/Publikationer/Betankanden/

Dataskydd.NET:s remissyttrande:

https://dataskydd.net/sites/default/files/n2015_5090_ef_dataskydd_net_re...

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

6. Kommande

Kommande remissmöjligheter:

Ds 2015:44 om en ny passdatalag. Deadline: 11 januari 2016.

http://www.regeringen.se/remisser/2015/09/remiss-av-ds-201544-passdatalag/

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

Saknas det något dataskyddsrelaterat vi borde ha med? Kontakta oss på info@dataskydd.net!

Vi använder varken kakor eller analysverktyg och vår webbserver loggar inte ditt besök.

Problem med sajten? Frågor? Kontakta oss! Vi finns också på Twitter. Nyheterna finns som RSS-flöde.

All text, förutom citat, är tillgänglig under CC0 (ingen upphovsrätt).