Dataskydd.NET 2.7
Dataskydd.NET
Vol. 2, nr. 7, 8 april 2015
https://dataskydd.net - info@dataskydd.net
Information om EU:s dataskyddspaket och skydd av den personliga integriteten, både juridiskt och tekniskt, i den digitala världen.
Detta nyhetsbrev finns även på [node:url]
* ** *** **** ***** ****** ******* ****** ***** **** *** ** *
I detta nummer:
1. Analys: Nya dokument från EU:s ministerråd visar att Sveriges regering lika dåliga på dataskydd som för två år sedan
2. Datalagringsutredningen utreder inte datalagring och lägger inte förslag som utretts
3. Analys: Sveriges politiska tillsättningar på Datainspektionen medför östeuropeisk korruption
4. Är du offer för dataintrång-by-cookie? Anmäl till polisen - vi har instruktioner
5. Citatet
* ** *** **** ***** ****** ******* ****** ***** **** *** ** *
1. Analys: Nya dokument från EU:s ministerråd visar att Sveriges regering lika dåliga på dataskydd som för två år sedan
Den 26 mars och den 27 mars 2015 släppte ministerrådet sin nuvarande formulering av dataskyddsförordningens kapitel 2, 3, 4, 7 och 8. Med denna nya textmassa kan man tro att det blivit dags för Dataskydd.NET att uppdatera sin tidigare genomgång av svenska regeringens ställningstaganden från 2013. Då fanns mycket lite i regeringens linje i Bryssel som gick att förena med respekt för privatliv och rätten till dataskydd. Tyvärr är regeringen fortfarande lika mycket emot starkare dataskydd, och av samma anledningar som 2013. Det verkar istället vara ett kraftigt försvagat integritetsskydd som gäller, om Sveriges regering får bestämma.
Som Dataskydd.NET tidigare rapporterat har ministerrådet mottagit hård kritik för sin hantering av de principiella bestämmelserna i dataskyddsförordningens kapitel 2. Svenska regeringen intar en föga smickrande femte-sämsta-plats i österrikiska gruppen Lobbyplags genomgång av medlemsländernas ställningstaganden i kapitel 1, 2 och 3.
Ministerrådet vill bereda väg för företag och alla som företag kan tänkas ha kontakt med ("tredjeparter") ska få bestämma på måfå när deras egna intressen överskrider varje privatpersons grundläggande rättigheter (artikel 6(1)(f)) men tänker sig också att myndigheter ska kunna beredas denna möjlighet (artikel 1(2)). Sverige stödjer båda dessa kraftiga försvaganden av privatpersoners rättigheter, vilket framgår av en rådspromemoria från 21 november 2014.
Utöver detta nämns direkt i ministerrådets dokument att svenska regeringen specifikt:
- vill omintetgöra dataminimeringsprincipen, en princip om att man inte ska samla in och behandla mer data än vad som är nödvändigt. Detta försämrar datasäkerheten, förutsägbarhet för privatpersoner och överskådlighet (artikel 5(1)(c)).
- vill att data som lagras av vetenskapliga, historiska eller statistiska skäl inte ska behöva omfattas av säkerhetsåtgärder. (artikel 5(1)(e)).
- inte vill kräva någon som helst sorts förutsägbarhet i hur personuppgifter överlämnas mellan olika aktörer. Den så kallade "syftesbegränsningen", som ska göra det enkelt och tydligt för privatpersoner att förstå vad syftet med insamling och behandling av personuppgifter är, blir förkrossande mager under regeringens förslag. En stor försämring i jämförelse med dagens dataskydd. (artikel 6(3)(a))
- inte vill att Datainspektionens chef ska behöva utses på ettt transparent sätt (artikel 48(1)) eller att Datainspektionen ska ha tillräckliga befogenheter för att utreda dataskyddsfrågor (artikel 53).
- inte vill att man ska ha möjlighet att få ett beslut av en dataskyddsmyndighet försvarat i domstol (artikel 74(1)).
Det är beklämmande att se hur Stefan Löfvens löfte i regeringsförklaringen om en tydligare privatlivspolitik och dataskyddspolitik resulterar i ett så uppenbart dåligt resultat: femte sämst, okynnesinvändningar och kraftiga försvaganden av privatpersoners rättigheter och möjligheter till dataskydd, privatliv och datasäkerhet. Det här duger inte.
Läs mer:
Council of the European Union, Proposal for a Regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation) - Chapters II, VI and VII (26.03.2015):
http://statewatch.org/news/2015/mar/eu-council-2015-03-07466-dp-regulati...
Council of the European Union, Proposal for a Regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation) - Chapters III and VIII (27.03.2015):
http://statewatch.org/news/2015/mar/eu-council-dp-reg-chap-III-VIII-7526...
Rådspromemoria "Rådets möte för rättsliga och inrikes frågor (RIF) den 4–5 december 2014" (21.11.2014):
http://www.regeringen.se/download/dce46cb6.pdf?major=1&minor=250884&cn=a...
Dataskydd.NET:s tidigare genomgång av svenska regeringens förhållning till dataskyddsförordningen den 21 juni 2013 (framställd i augusti 2013):
https://dataskydd.net/kommentarer-pa-regeringens-asikter
Lobbyplag rankar regeringar i EU baserat på förslag (09.03.2015):
http://lobbyplag.eu/governments
Lobbyplags infografik om ändringsförslag på dataskyddsförordningen (09.03.2015):
http://lobbyplag.eu/governments/gdpr
Dataskydd.NET om Lobbyplags granskning (10.03.2015):
https://dataskydd.net/nyheter/2015/03/10/stor-lacka-fran-eus-dataskyddsf...
* ** *** **** ***** ****** ******* ****** ***** **** *** ** *
2. Datalagringsutredningen utreder inte datalagring och lägger inte förslag som utretts
Under föregående vecka har Dataskydd.NET läst igenom "Datalagring och integritet", en utredning från Justitiedepartementet. Den utreder inte datalagring, utan inhämtningslagen, och förslagen om utökat verkningsområde för inhämtningslagen har inte stöd i eller koppling till utredningen som gjorts. Tillsammans med andra utredningar om integritetskränkande, hemliga tvångsmedel utgör "Datalagring och integritet" ett tillägg i en växande mängd spam från Justitiedepartementet, som verkar ha till syfte att dölja den dåliga faktagrunden på vilka beslut fattas kring vårt polisväsende.
Den nya utredningen är runt 340 sidor lång. Dessa läggs till 60 sidor från förra sommaren. Men i det som rör datalagring är utredningen i stort sett identisk med föregående utredning - några meningar har utbroderats, stycken utan nämnvärd substans har lagts till.
Den substantiella delen av utredningen, som handlar om underrättelseverksamhet i polisväsendet genom inhämtningslagen, är runt 120 sidor lång och återfinns i utredningens kapitel 9 och 10. Inhämtningslagen föreslås utökas till fler myndigheter. Trots att man kartlägger bristande granskning av lagens användning, samt bristande respekt för lagen hos landets polismyndigheter (Säkerhetspolisen, Tullverket, Polisen), föreslås inte skarpare granskning. Trots att man inte visar att någon av de tre myndigheterna i något fall använt inhämtningslagens befogenheter på ett sätt att föregående domstolsprövning skulle verkat negativt på utredningen föreslår man att lagen fortsatt ska lida av brist på rättssäkerhet, genom utebliven domstolsprövning.
De främsta meriterna med inhämtningslagen enligt den faktiska utredningen verkar vara att olika utredare på Säkerhetspolisen kan konkurrera med varandra om myndighetens resurser. Utredningen skriver att "handläggarna [ger] prov på ett stort engagemang [varför det inte är] förvånande att de vill mer än vad de kan få." Hemliga tvångsmedel bör inte upprättas för att tillfredsställa engagerade handläggares tävlingslysta.
Datalagringsutredningen är ett typexempel på en statlig utredning som inte utreder det den borde, föreslår saker den inte utrett och döljer detta bakom hundratals sidor irrelevant text.
Dessa 400 sidor läggs till tusentals andra om hemliga tvångsmedel som lider av samma brister. T ex SOU 2012:44 (844 sidor - fler tvångsmedel, utan exempel på när tidigare tvångsmedel varit effektiva), SOU 2012:95 (358 sidor - två exempel på när föremålet för utredningen varit relevant, ett från 1963 och det andra från 2002, där det sistnämnda redan tilldelats en egen 386-sidig utredning i form av SOU 2008:63), SOU 2013:39 (439 sidor - inga exempel på när tidigare lagstiftning varit olämplig eller inadekvat, men förslag på kraftigt utökade tvångsmedel).
I jämförelse med 1970- och 80-talens utredningar om samma ämnesområden kommer det idag floder av text som inte ger någon grund eller förståelse för vad som faktiskt beslutas. Heckschers utredning kan till exempel lätteligen jämföras med Tvångsmedel - Anonymitet från 1984 (355 sidor), SÄPO:s arbetmetoder 1989 (163 sidor) och Polislag 1982 (183 sidor) - dessa är de tre utredningar som ligger inom ungefär samma utredningsområde under hela 1980-talet. Alla tre är dock bredare än de utredningar som gjorts sedan 2012.
Totalt har regeringen sedan 2012 släppt 2434 sidor om hemliga tvångsmedel allena - och då räknas inte utredningar om till exempel polislagen, överskottsinformation vid samkörning av register, och så vidare, där tvångsmedel från polisiära myndigheter kommer med "i förbifarten". Det är helt otänkbart att en vanlig svensk privatperson - eller ens en yrkesverksam journalist - ska ha tid och möjlighet att läsa och följa upp denna textmängd. Informella känningar från berörda myndigheter verkar konsekvent ligga till grund för varje förslag som till sist läggs, istället för att utredningen som sådan används för att motivera eller undersöka de förslag man önskat lägga.
Trots mångordigheten utelämnar utredningen information. Det finns ingen sammanställning hur datalagring har använts, hur ofta den varit avgörande för utredningar, respektive när resultat (eller brist på resultat) kunnat härledas till tvångsmedlet. Det finns ingen sammanställning över europeiska datalagringsdomar. Detta är förvånande då datalagring prövats i 12 EU-länder och Heckschers slutsats strider mot vad nästan alla kommit fram till. I bara en av domstolsprövningarna, i franska Conseil d'Etat 2007, har utfallet varit att datalagring är förenligt med rättssäkerhet. I elva länder har datalagring förklarats bryta mot konstitutionella principer - senast i Bulgarien 12 mars 2015.
Det saknas sammanställningar av rapporter från Datainspektionen och granskningsorganet för polisens datainsamling, SIN. Utredningen gör ingen utvärdering av hur datalagringen påverkar näringslivet, trots att detta varit omdiskuterat. Man förbiser att FN och Europarådet uttalat sig emot datalagring under 2014.
Det synes vara en del av ett pågående och systematiskt försök från Justitiedepartementet att dölja sina beslut i dimmor. Det går inte att genomföra relevanta granskningar av sånt här utredningsmaterial, eftersom tidsåtgången blir för stor och sambanden för komplexa. Istället för att på ett enkelt sätt motivera varför en lag är bra eller inte bra och utifrån sådan information skapa bättre möjligheter för samhället att uppnå sina övergripande mål bidrar utredningen till växande otydlighet, osäkerhet och minskande respekt för både privatpersoner och företag.
Även om problemet inte är begränsat till Justitiedepartementet, vore det bra om det departement som ansvarar för grunden i vår rättsstat kunde avhålla sig från att spamma.
Läs mer:
SOU 2015:31, Datalagring och integritet (30.03.2015):
http://www.regeringen.se/sb/d/19838/a/256624
Dataskydd.NET:s sammanställning av domstolsavgöranden om datalagring i EU:
https://dataskydd.net/datalagringen-och-domstolarna
Dataskydd.NET:s sammanställning av äldre statliga offentliga utredningar om dataskydd och tvångsmedel:
https://dataskydd.net/svenska-utredningar-om-dataskydd
SOU 2012:44, Hemliga tvångsmedel mot allvarliga brott (28.06.2012):
http://www.regeringen.se/sb/d/108/a/195995
SOU 2012:95, Spioneri och annan olovlig underrättelseverksamhet (06.02.2013):
http://www.regeringen.se/sb/d/108/a/208622
SOU 2013:39, Europarådets konvention om it-relaterad brottslighet (03.06.2013):
http://www.regeringen.se/sb/d/108/a/218101
SOU 2008:63, Förstärkt skydd för företagshemligheter, (10.06.2008):
http://www.regeringen.se/sb/d/10025/a/106952
SOU 1982:63, Polislag:
http://weburn.kb.se/metadata/316/SOU_7261316.htm
SOU 1989:18, SÄPO - Säkerhetspolisens arbetsmetoder:
http://weburn.kb.se/metadata/350/SOU_7263350.htm
* ** *** **** ***** ****** ******* ****** ***** **** *** ** *
3. Analys: Sveriges politiska tillsättningar på Datainspektionen medför östeuropeisk korruption
Den 5 april skrev Dataskydd.NET om nya uppgifter kring hur svenska regeringen förhandlar dataskydd i Bryssel. Särskilt anmärkningsvärt är svenska regeringens motstånd mot transparenta och oberoende tillsättningar av myndighetschefer på Datainspektionen. Sverige är inte det enda väst- och nordeuropeiska land där politiker klamrar sig fast vid makten att utse myndighetschefer för att tillfredsställa de egna politiska ändamålen. I Central- och Östeuropa leder dock denna sorts europeiska lagstiftning till fördjupade korruptionsproblem och starkare nepotism i förvaltningsväsendet än vad som hade varit nödvändigt.
Sveriges regeringspolitiker tänker kortsiktigt och egoistiskt. Oberoende tillsynsmyndigheter är bra, inte bara för att de har ett starkare mandat att jobba åt folket snarare än politikerna. De säkerställer nämligen också att tillsyn och maktutövning i samhället sker enligt det regelverk politikerna tagit fram, snarare än det regelverk politikerna önskar sig. Det ökar transparensen och förutsägbarheten i demokratier.
Det tydligaste exemplet på när västeuropeiskt utformad lagstiftning skapat mycket svåra omständigheter i Central- och Östeuropeiska länder är hur direktivet om audiovisuella tjänster (film och TV) införts i ungersk lagstiftning. Formellt kan Ungern hävda att de uppfyller alla direktivets krav, men att man lämnat det öppet för politiska tillsättningar i mediagranskningsmyndigheter har skapat situationen att staten kontrollerar media i Ungern.
Det svenska regeringen borde inse, och även agera på, är att de i EU inte bara skriver lagar som ska ge dem själva så få förpliktelser mot andra och medborgare som möjligt, utan att de faktiskt också skriver lagar som utgör det gemensamma regelverk vi alla i Europa måste lyda under. Det gör att de har ett ansvar inte bara att tillfredsställa sin egen lättja, utan också tänka på vad som är bra för de egna medborgarna på hemmaplan, och för andra medborgare i andra länder.
I fallet med Datainspektionen är lyckligtvis valet enkelt: politiska utnämningar till myndigheter och förhalning fungerar dåligt i Sverige. De fungerar ännu sämre på andra platser. Alltså bör regeringen ändra ståndpunkt.
Läs mer:
Dataskydd.NET, Analys: Nya dokument från EU:s ministerråd 26-27 mars visar att Sveriges regering fortfarande vill försvaga integritetsskyddet (05.04.2015):
https://dataskydd.net/nyheter/2015/04/05/analys-nya-dokument-fran-eus-mi...
Center for Media, Data and Society, Central European University, Hungarian Media Law Research:
http://cmds.ceu.edu/hungarian-media
* ** *** **** ***** ****** ******* ****** ***** **** *** ** *
4. Är du offer för dataintrång-by-cookie? Anmäl till polisen - vi har instruktioner
På skärtorsdagen anmälde Amelia Andersdotter Dagens Nyheter för brott mot dataintrångslagen, 4 kap. 9 c § brottsbalken och medhjälp till dataintrång, 23 kap. 2 § brottsbalken. Redan onsdagen 7 april hade polisen lagt ned utredningen, trots att det finns goda skäl att titta närmare på problemet. Ett utlåtande från överåklagaren och riksåklagaren från februari 2015 gör nämligen gällande att alla ändringar av register, eller "strukturerade data", som sker olovligen bör täckas av bestämmelsen i brottsbalken.
Fallet är knepigt: kakor är kriminella på två platser i svensk lagstiftning. I lagen om elektronisk kommunikation finns en bestämmelse som skyddar internetanvändare mot otillbörliga ingrepp i deras privatliv och spårning utan föregående samtycke. Denna lag tillåter dock "funktionella kakor", alltså sådana kakor som behövs för att komma ihåg inloggningsuppgifter, språkinställningar, med mera. Brottsbalken är mindre förlåtande. Samtliga kakor täcks av bestämmelsen, som förbjuder olovligt införande av automatiskt behandlade uppgifter i register.
Den här sortens dataintrång måste vara ett av de vanligaste idag. Organisationerna som genomför dessa brott har ofta stora resurser, ägnar sig åt verksamheten för att tjäna pengar och tar ofta hjälp av hantlangare för att utföra brottet mer effektivt och i större skala. Mörkertalen måste förmodas vara enorma. Det är till och med sannolikt att de flesta svenska är offer för denna organiserade kriminalitet.
Vill du veta hur du kan bekräfta och framta material att använda som stöd för en egen anmälan? Läs mer här:
https://dataskydd.net/offer-dataintrang-cookie-anmal-till-polisen-instru...
Kort historik:
Dataintrångslagstiftningen uppstod på 1970-talet som en del av datalagen, alltså dataskyddslagstiftningens föregångare. Dataintrångsbestämmelsen kom till i syfte att skydda staten från att IT-tekniker som ansvarade för driften av statens datorer skulle manipulera folkbokföringsregister och andra register, och bestraffade sådana otillåtna ändringar, införanden, åtkomster och manipulationer med fängelse. I samband med att datalagen skrevs om 1997 och blev personuppgiftslagen flyttades dock dataintrångslagstiftningen till brottsbalken. Den används i dag för att straffa otillåten access till journaler, otillåtna sökningar i statens databaser, utnyttjanden eller påvisanden av säkerhetsbrister i offentliga datorer samt otillåtna skriverier på annans sociala media-konto. I januari 2015 friade hovrätten en man som installerat Google Talk på sin arbetsdator. Enligt anställningsavtalet fick man inte installera egna programvaror på arbetsgivarens datorer, och Google Talk-installationen hade ändrat en .dat-fil, vilket åklagaren upplevde var i strid med lagstiftningen. Hovrätten resonerade dock att dataintrångslagstiftningen bara skyddar "datalagrade uppgifter". Överåklagaren Thomas Häggström och riksåklagaren Anders Perklev motsatte sig denna tolkning i Dnr ÅM 2015/0306, och menar att praxis är tydlig: dataintrångsbestämmelsen täcker samtliga manipulationer av register.
Dataintrångslagstiftningen har alltså inte och har aldrig haft något att göra med dataskydd och personlig integritet. Intressen som bevakas av lagstiftningen är främst statens och myndigheters intressen av att deras datasystem beter sig förutsägbart. I andra hand - och efter internationella påtryckningar från bland annat Europarådet - utsträcks samma hänsyn även till företags och framför allt bankers datasystem. Om detta kan man läsa mer i SOU 2013:39, s. 330 och framåt.
Läs mer:
Nyheter24, "Lagar ska gälla alla – därför polisanmäler jag DN för dataintrång" (05.04.2015):
http://nyheter24.se/debatt/794040-lagar-ska-galla-alla-darfor-polisanmal...
DN polisanmält för dataintrång, Ny Teknik (07.04.2015):
http://www.nyteknik.se/nyheter/it_telekom/internet/article3898564.ece
SOU 1972:47, Data och integritet:
http://weburn.kb.se/sou/279/urn-nbn-se-kb-digark-2787489.pdf
SOU 2013:39, Europarådets konvention om it-relaterad brottslighet (03.06.2013):
* ** *** **** ***** ****** ******* ****** ***** **** *** ** *
5. Citatet
"De goda nyheterna är att det inte finns något dickpic-program."
- Edward Snowden till John Oliver i en intervju om amerikanska statens tillgång till penisbilder i underrättelseverksamheten.
Läs mer:
https://www.youtube.com/watch?v=XEVlyP4_11M (mot slutet)
* ** *** **** ***** ****** ******* ****** ***** **** *** ** *
Saknas det något dataskyddsrelaterat vi borde ha med? Kontakta oss på info@dataskydd.net!