Dataskydd.NET 2.8
Dataskydd.NET
Vol. 2, nr. 8, 29 april 2015
https://dataskydd.net - info@dataskydd.net
Information om EU:s dataskyddspaket och skydd av den personliga integriteten, både juridiskt och tekniskt, i den digitala världen.
Detta nyhetsbrev finns även på [node:url]
* ** *** **** ***** ****** ******* ****** ***** **** *** ** *
I detta nummer:
1. Att begära PUL-utdrag: mänskliga rättigheter gäller inte om inget annat föreskrivits?
2. Dataskydd i Bryssel: lagars tydlighet mäts inte i spaltmeter
3. Belgiens dataskyddsmyndighet publicerar råd om cookies
4. Cookies i registret? Vidare till City-åklagarna i Stockholm
5. Tråkigt tamt från Datainspektionen om molnavtal
* ** *** **** ***** ****** ******* ****** ***** **** *** ** *
1. Att begära PUL-utdrag: mänskliga rättigheter gäller inte om inget annat föreskrivits?
För att testa några olika företags hantering av PUL-ansökningar och se vad för information de har om Anders Jensen-Urstad begärde han ut information från Bredbandsbolaget, Com Hem, ICA Banken, Klarna, Tele2, Telenor och TeliaSonera. Samtliga följebrev finns länkade längst ned i artikeln.
26 § personuppgiftslagen (PUL) ger dig rätt att en gång per kalenderår gratis få veta vilka personuppgifter ett företag, en organisation eller en myndighet har om dig. Du har också rätt att få veta varifrån uppgifterna kommer, ändamålen med uppgifterna, och till vilka mottagare eller kategorier av mottagare som uppgifterna lämnas ut till.
Informationen ska lämnas inom en månad från det att ansökan gjordes, såvida inte "särskilda skäl" föreligger, i vilket fall informationen får lämnas senast fyra månader efter ansökan.
Bredbandsbolaget, hans internetoperatör, svarade aldrig på Anders PUL-ansökan och inte heller på en påminnelse som skickades fyra månader senare.
Com Hem var snabbast och svarade nästan med vändande post. Anders fick ett följebrev som förklarade användningen av personuppgifter och en kopia på personuppgifter (namn, personnummer, kundnummer, adress, e-postadress), avtal han haft, information om betalda fakturor 2011-2013 och information om stängning/öppning av kundutrustning/accesskonto 2007-2012. Det kan noteras att han inte varit kund hos Com Hem sedan februari 2013.
ICA Banken – där Anders har bankkonto och kort – svarade inom en månad med ett rekommenderat brev. Förutom de sedvanliga kunduppgifterna fick han en lista över sina bankkonton och de bankkort han har eller har haft. Det noteras i följebrevet att när något av ICAs kort används i ICA-butik så “samlas personuppgifter in i samband med köp, exempelvis kassakvittosinformation (d v s information om vilka varor som inhandlats, pris, tidpunkt etc.” Dessa uppgifter fick han dock inte, trots att han i ansökan specificerat att han ville ha samtliga uppgifter. Det bifogades också ett förseglat kuvert med registerutdrag från “Cura apoteket”.
Klarna svarade efter tio dagar med de vanliga personuppgifterna och ett brev som förklarade ändamålen. De specificerade också vilka företag de gett hans personuppgifter till (tre nätbutiker där han handlat, och ett kreditupplysningsföretag). Fakturorna från de aktuella köpen bifogades.
Tele2 (som Anders inte varit kund hos sedan 2011) svarade efter drygt en månad. Det enda de hade (eller åtminstone det enda han fick) var ett utdrag med en notering om uppsägning och en notering då PUL-ansökan gjordes, samt ett följebrev som beskrev ändamålen med personuppgiftsbehandlingen.
Telenor svarade inom en vecka - men skrev “du behöver återkomma med mer specifik information gällande vilken period du önskar eller bekräfta om det gäller alla uppgifter vi har på dig som kund”. Anders svarade att han ville ha alla uppgifter. Sedan hörde han inget mer. Lite drygt fyra månader senare skickade han en påminnelse, varpå han snabbt fick en ursäkt och materialet skickat till sig. Detta innehöll hans korta supporthistorik och två skärmdumpar från ett kundhanteringsprogram som innehöll namn, personnummer, kundnummer, adress, information om när han tecknat och avslutat abonnemanget och vad han betalat i snitt per månad under 2011-2014. Följebrevet sade inget om varifrån uppgifterna kom, vad ändamålet var eller till vilka andra som uppgifterna lämnas ut till. När PUL-utdraget gjordes var Anders inte längre kund hos Telenor.
TeliaSonera svarade efter drygt en månad och konstaterade att de inte behandlade några personuppgifter om Anders. Detta stämmer knappast.
Men trafikdatalagrad data då?
Något han inte fick från tele- och internet-operatörerna ovan är sådana personuppgifter som tillkommit till följd av den trafikdatalagring som operatörerna måste göra enligt 6 kap. 16 a § lagen om elektronisk kommunikation (LEK). De är tvungna att i sex månader spara information om alla hans telefonsamtal, sms, epost, mobilpositioner och nätuppkopplingar. Givetvis är detta personuppgifter - dessutom oerhört känsliga sådana - som han borde ha rätt att ta del av, och även om han inte är kund hos till exempel TeliaSonera har de säkerligen personuppgifter om honom på grund av datalagringen.
Tyvärr är rättsläget oklart.
Han frågade Datainspektionen. De svarade att PUL:s bestämmelse om rätt att få information inte gäller och hänvisade till 6 kap. 16 f § LEK.
Han frågade Post- och telestyrelsen (PTS). De hänvisade istället till 6 kap 16 c § LEK men skrev att det fortfarande är oklart hur 26 § PUL förhåller sig till detta.
Oaktat vad PUL och LEK säger har vi artikel 8(2) i Europeiska unionens stadga om de grundläggande rättigheterna: "Var och en har rätt att få tillgång till insamlade uppgifter som rör honom eller henne och att få rättelse av dem." Stadgan utgör en del av primärrätten och står således normalt över all annan lagstiftning. Anders påpekade detta för Datainspektionen och PTS. Datainspektionen svarade att det förvisso stämmer - men:
“Rättigheterna i stadgan kan dock begränsas. Enligt artikel 52 Europeiska Unionens stadga om de grundläggande rättigheterna får begränsning i utövandet av de rättigheter och friheter som erkänns i stadgan föreskrivas i lag och de ska vara förenliga med det väsentliga innehållet i dessa rättigheter och friheter. Begränsningar får, med beaktande av proportionalitetsprincipen, endast göras om de är nödvändiga och faktiskt svarar mot mål av allmänt samhällsintresse som erkänns av unionen eller behovet av skydd för andra människors rättigheter och friheter.”
Man kan fråga sig om Datainspektionen verkligen anser att LEK föreskriver en begränsning av rättigheterna i artikel 8(2) genom att inte specifikt nämna att de är tillämpliga.
PTS svarade aldrig.
Om du är intresserad av att driva ett rättsfall för att få ut dina trafikdatalagrade uppgifter, kontakta oss!
För att själv skicka PUL-ansökningar kan du använda vårt enkla verktyg på stoppaspionerna.eu, eller följa Datainspektionens mall.
Läs mer:
§ 26 personuppgiftslagen (PUL): https://lagen.nu/1998:204#P26S1
6 kap 16-16f §§ lagen om elektronisk kommunikation (LEK): https://lagen.nu/2003:389#K6P16fS1
Europeiska unionens stadga om de grundläggande rättigheterna: http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:C:2010:083:0389...
StoppaSpionerna.EU:s verktyg för att skapa PUL-ansökningar: https://stoppaspionerna.eu/#utdrag
Datainspektionens mall: http://www.datainspektionen.se/fragor-och-svar/personuppgiftslagen/hur-g...
Anders följebrev från de olika företagen:
Com Hem: https://dataskydd.net/sites/default/files/pul_comhem.png
ICA Banken: https://dataskydd.net/sites/default/files/pul_ica.png
Klarna: https://dataskydd.net/sites/default/files/pul_klarna.png
Tele2: https://dataskydd.net/sites/default/files/pul_tele2.png
Telenor: https://dataskydd.net/sites/default/files/pul_telenor.png
TeliaSonera: https://dataskydd.net/sites/default/files/pul_teliasonera.png
* ** *** **** ***** ****** ******* ****** ***** **** *** ** *
2. Dataskydd i Bryssel: lagars tydlighet mäts inte i spaltmeter
Förhandlingarna om EU:s dataskyddspaket fortsätter i förhållandevis rask takt i Bryssel. Medlemsländernas regeringar arbetar fram nya, spännande, långa och kluriga ändringar till kommissionens dataskyddsförslag.
Dataskydd.NET har fått tag på en praktisk jämförelse mellan EU:s tre institutioners privatlivsförslag i tabellformat. Dokumentet är mer än 600 sidor långt, men jämförelser mellan institutionerna är ändå förhållandevis enkla. Särskilt medlemsländernas regeringar har lagt till mycket ny text. Men längre och fler lagparagrafer ökar inte nödvändigtvis - kanske inte ens sannolikt - lagstiftningens tydlighet. Snarare har de ökat otydligheten, och försvårat bedömningen av lagtextens målsättning och innehåll.
Det är framför allt profilering och formella krav som ministerrådet verkar vilja relativisera. På de platser där kommissionen föreslagit skärpning av reglerna från 1995 har ministerrådet antingen ändrat tillbaka till tidigare formuleringar, eller helt enkelt försvagat skyddet från 1995. Relativiseringen innebär fler bivillkor, fler villkorade konsumenträttigheter och mindre tydliga ansvarskedjor.
Den nya jämförelsen mellan institutionernas ståndpunkter tillför ingen tidigare okänd information, men är hjälpsam eftersom den underlättar jämförelser mellan texternas klarhet och innebörd.
Lagstiftningsmetoder som bygger på otydlighet och relativisering ger störst makt åt de som har bäst resurser att dra nytta av osäkerheten i lagtexten. Dessa är typiskt starka myndigheter och stora företag med många jurister. Alla andra - oavsett om de är småföretag eller privatpersoner - missgynnas.
Läs mer:
Kommissionens, parlamentets och ministerrådets förslag till dataskyddspaketet i praktiskt kolumnformat för jämförelser:
https://dataskydd.net/sites/default/files/4columns_dpr_march_2015.pdf
Dataskydd.NET, Stor läcka från EU:s dataskyddsförhandlingar eller minst 20 sätt som svenska regeringen hatar ditt privatliv (10.03.2015):
https://dataskydd.net/nyheter/2015/03/10/stor-lacka-fran-eus-dataskyddsf...
* ** *** **** ***** ****** ******* ****** ***** **** *** ** *
4. Belgiens dataskyddsmyndighet publicerar råd om cookies
Belgiens dataskyddsmyndighet har publicerat råd om hur man efterlever de europeiska bestämmelserna om cookies, som filer som internetsidor lägger i sina besökares datorer för att kunna återidentifiera dem vid ett senare tillfälle.
Belgiska datainspektionen gör för det första en skillnad mellan funktionella och icke-funktionella cookies och andra "metauppgifter". Sådana cookies och meta-uppgifter som ska användas för att spåra slutanvändare och hemsidebesökare kräver särskilt, och avgränsat, tillstånd från användarna. De föreskriver att hemsideägaren är ansvarig för sin egen hemsida. Denne har ett ansvar att sluta rätt avtal med underleverantörer (till exempel webbyråer och reklamplattformar) för hantering av personuppgifter. Man har också ett ansvar att tydligt informera om vilka spårningsmetoder som används. Dessutom rekommenderas att hemsideägare inte aktiverar spårningsmetoder annat än om uttryckligt godkännande givits av hemsidebesökaren.
Med uttryckligt godkännande menas syftesbegränsat och aktivt godkännande. Att bara besöka webbplatsen är inte tillräckligt, utan någon sorts aktiv handling krävs från besökaren för att spårningen ska aktiveras.
Regelverket verkar liknande det som genomfördes i Nederländerna för några år sedan, och är i sin struktur och avsikt väsenskilt från det system med passiva godkännanden man godtagit i Storbritannien. Post- och telestyrelsen gör för närvarande en utredning om hur cookies ska hanteras i Sverige. Den har dock blivit försenad, och utredningens slutsatser förväntas till sommaren 2015.
Läs mer:
Belgian Privacy Commission provides guidance on the use of cookies and compliance with the Data Protection Act (27.04.2015):
http://www.lexology.com/library/detail.aspx?g=729a115d-821f-4947-85d5-02...
Commissie voor de bescherming van de persoonlijke levensfeer. Aanbeveling nr 01/2015 van 4 februari 2015. (04.02.2015):
http://www.privacycommission.be/sites/privacycommission/files/documents/...
Post- och telestyrelsens rapport om effekter av reglerna om kakor (20.12.2014):
http://www.pts.se/sv/Dokument/Rapporter/Internet/20122/Effekter-av-regle...
PTS granskar webbplatsers kakhantering (11.02.2014):
http://www.pts.se/sv/Nyheter/Internet/2014/PTS-granskar-webbplatsers-kak...
Dataskydd.NET, Rätten att inte bli förföljd lämpar sig inte för "självreglering" (14.01.2015):
https://dataskydd.net/nyheter/2015/01/14/ratten-att-inte-bli-forfoljd-la...
* ** *** **** ***** ****** ******* ****** ***** **** *** ** *
4. Cookies i registret? Vidare till City-åklagarna i Stockholm
Amelia Andersdotter har överklagat polisens nedläggning av anmälan mot DN.se torsdagen 22 april 2015. Samma datum har också riksåklagaren skickat fallet vidare för behandling av Cityåklagarna i Stockholm. Gällande praxis innebär att kakor inte "uppstår" på användarens dator av sig själva. Att kakor skulle uppstå av sig själva i slutanvändarens dator verkar inte heller DN.se:s information göra gällande, eftersom de upplever att det är de själva som "använder" kakorna. Det gör att kakorna måste uppfattas som skickade av DN till Amelias dator.
Återstår gör också att utreda om en sqlite-databas utgör ett register (det vill säga en strukturerad datamängd) i lagens mening.
Kort historik:
Dataintrångslagstiftningen uppstod på 1970-talet som en del av datalagen, alltså dataskyddslagstiftningens föregångare. Dataintrångsbestämmelsen kom till i syfte att skydda staten från att IT-tekniker som ansvarade för driften av statens datorer skulle manipulera folkbokföringsregister och andra register, och bestraffade sådana otillåtna ändringar, införanden, åtkomster och manipulationer med fängelse.
I samband med att datalagen skrevs om 1997 och blev personuppgiftslagen flyttades dock dataintrångslagstiftningen till brottsbalken. Den används i dag för att straffa otillåten access till journaler, otillåtna sökningar i statens databaser, utnyttjanden eller påvisanden av säkerhetsbrister i offentliga datorer samt otillåtna skriverier på annans sociala media-konto.
I januari 2015 friade hovrätten en man som installerat Google Talk på sin arbetsdator. Enligt anställningsavtalet fick man inte installera egna programvaror på arbetsgivarens datorer, och Google Talk-installationen hade ändrat en .dat-fil, vilket åklagaren upplevde var i strid med lagstiftningen. Hovrätten resonerade dock att dataintrångslagstiftningen bara skyddar "datalagrade uppgifter". Överåklagaren Thomas Häggström och riksåklagaren Anders Perklev motsatte sig denna tolkning i Dnr ÅM 2015/0306, och menar att praxis är tydlig: dataintrångsbestämmelsen täcker samtliga manipulationer av register.
Dataintrångslagstiftningen har alltså inte och har aldrig haft något att göra med dataskydd och personlig integritet. Intressen som bevakas av lagstiftningen är främst statens och myndigheters intressen av att deras datasystem beter sig förutsägbart. I andra hand - och efter internationella påtryckningar från bland annat Europarådet - utsträcks samma hänsyn även till företags och framför allt bankers datasystem. Om detta kan man läsa mer i SOU 2013:39, s. 330 och framåt.
Läs mer:
Nyheter24, "Lagar ska gälla alla – därför polisanmäler jag DN för dataintrång" (05.04.2015):
http://nyheter24.se/debatt/794040-lagar-ska-galla-alla-darfor-polisanmal...
DN polisanmält för dataintrång, Ny Teknik (07.04.2015):
http://www.nyteknik.se/nyheter/it_telekom/internet/article3898564.ece
SOU 1972:47, Data och integritet:
http://weburn.kb.se/sou/279/urn-nbn-se-kb-digark-2787489.pdf
SOU 2013:39, Europarådets konvention om it-relaterad brottslighet (03.06.2013):
* ** *** **** ***** ****** ******* ****** ***** **** *** ** *
5. Tråkigt tamt från Datainspektionen om molnavtal
Datainspektionen har stämt Malmö kommun för brott mot personuppgiftslagen vid införandet av Googles molntjänster i skolan. Det har lätt till smärre avtalsförändringar i relationerna mellan Malmö kommun och Google, och kommunen kör numera på som om ingenting har hänt trots att kommunen samtidigt förlorat en stämning i tingsrätten om avtalen. Datainspektionen har dock granskat även andra molnupphandlingar: Ale kommun, Sollentuna, Salem och även Simrishamn har fått kritik för bristande privatlivsskydd i molnupphandlingar.
Sveriges Kommuner och Landstings rekommendationer för IT-upphandlingar klassar personuppgiftsläckor som relativt ofarliga säkerhetsproblem med få konsekvenser (se Dataskydd.NET:s sammanställning av svenska utredningar). Datainspektionen verkar också snabbt lägga sig för papperstigrar - lite utförligare avtalsvillkor var allt som behövdes för att Simrishamn skulle få okej att köra på.
Man har nosat på begreppet som inbyggt integritetsskydd, men den enda politiska återverkningen är en statlig utredning från 2014 som föreslår att anpassa offentlighets- och sekretesslagen efter IT-systemen socialförsäkringen köpt in. Att istället köpa in IT-system som hjälper socialförsäkringen följa lagen verkar inte ha varit aktuellt för utredningen - som sköttes av 14 jurister utan teknisk bakgrund. Datainspektionen saknar också resurser att utreda där det som mest behövs: istället för att granska flera hundra kommuner som alla vill köpa samma tjänst, vore det bättre för Datainspektionen att kunna granska Googles tekniska lösningar direkt. Hur väl håller de för användning i offentlig sektor?
Vissa jurister har påtalat att de inte nödvändigtvis håller särskilt väl. Sekretessbestämmelser, som utöver PUL-bestämmelserna också är tänkta att skydda just individers rättigheter och privatliv, påverkar vilka val myndigheter kan göra.
Det är dags att regeringen och riksdagen börjar verka för att EU:s dataskyddspaket antas, utan att urholkas och försvagas. Datainspektionen måste få frigöra resurser från att bråka om enskilda avtalsklausuler, och istället ägna sig åt viktigare och mer omfattande verksamhet som kan göra riktig skillnad. Detta är också för kommunernas skull - ingen vill sitta fast i paragrafträsket i evigheter. En tydligare ansvarsfördelning där Google automatiskt övertar samma ansvar som de som köper Googles tjänster (kommunerna och skolor) är att önska - då slipper enstaka IT-chefer svetta sig olyckliga över vad som händer i Mountain View.
Läs mer:
Datainspektionens kritik ger bättre molnavtal (18.03.2015):
http://www.datainspektionen.se/press/nyheter/2015/datainspektionens-krit...
Datainspektionen om inbyggt integritetsskydd:
http://www.datainspektionen.se/lagar-och-regler/personuppgiftslagen/inby...
Dataskydd.NET, Skolor, moln och EU:s dataskyddspaket (26.02.2015):
https://dataskydd.net/nyheter/2015/02/26/skolor-moln-och-eus-dataskyddsp...
Dataskydd.NET om kommuner och molnupphandlingar:
https://dataskydd.net/kommuner-och-molnupphandlingar
Dagens juridik, "Sekretess utgör därmed ett generellt hinder för myndigheter att använda 'molntjänster' inom IT" (02.10.2014):
http://www.dagensjuridik.se/2014/10/sekretess-utgor-darmed-ett-generellt...
Dagens juridik, "Jodå, doktoranden - sekretess utgör visst ett generellt hinder för molntjänster hos myndigheter" (12.12.2014):
http://www.dagensjuridik.se/2014/12/joda-doktoranden-sekretess-utgor-vis...
* ** *** **** ***** ****** ******* ****** ***** **** *** ** *
Saknas det något dataskyddsrelaterat vi borde ha med? Kontakta oss på info@dataskydd.net!