Dataskydd.NET 2.9
Dataskydd.NET
Vol. 2, nr. 9, 13 maj 2015
https://dataskydd.net - info@dataskydd.net
Information om EU:s dataskyddspaket och skydd av den personliga integriteten, både juridiskt och tekniskt, i den digitala världen.
Detta nyhetsbrev finns även på [node:url]
* ** *** **** ***** ****** ******* ****** ***** **** *** ** *
I detta nummer:
1. Är massövervakning smittsamt på stora myndigheter?
2. Rätten att bli bortglömd: ett år senare
3. EU-domstolen kan ta ställning om plikt att införa dataskyddsombudsmän
4. Sverige i EU: gruppdiskrimineringens beskyddare
* ** *** **** ***** ****** ******* ****** ***** **** *** ** *
1. Är massövervakning smittsamt på stora myndigheter?
Den 4 maj publicerade Tele2 en debattartikel i DN där de oroade sig för en skenande mängd förfrågningar om användaruppgifter från Sveriges polismyndigheter. Debattartikeln bringar klarhet i en situation som Datalagringsutredningen från 30 mars 2015 inte lyckats göra, nämligen i vilken utsträckning polismyndigheternas befogenheter under inhämtningslagen och lagen om elektronisk kommunikation används. I Datalagringsutredningen kartläggs explicit 62 fall: 60 fall från SÄPO, i kapitel 9.2, och ytterligare två narkotikautredningar där Tullverket och polisen samarbetat som nämns i förbifarten i samma kapitel.
Sedan dess har DN hunnit med att publicera Skatteverkets planer på att utöka sin övervakning av svenskar för att komma åt skattefuskare. Den planerade övervakningen finns beskriven, men inte utredd, i Datalagringsutredningen. Utredningen publicerar däremot ett brev från Ekobrottsmyndigheten där den senare spekulerar om att positionsdata skulle kunna vara användbar. Detta är det enda underlag för förslaget utredningen presterar.
Samtidigt som fler myndigheter gör anspråk på hemliga tvångsmedel mot svenskar är missbruket av befogenheterna hos de myndigheter som redan åtnjuter rättigheterna stort. Dagens Juridik ordnade för ett par veckor sedan ett videofilmat seminarium där man bland annat tar upp problemet att det inte får några konsekvenser att göra fel. Statlige utredaren Sten Heckscher är med i programmet och citeras som att uppleva det beklagligt att så är fallet. Hans utredning ratar dock samtliga förslag på bättre översyn.
Man måste fråga sig, som Rasmus Fleischer har gjort i Expressen, om det är så att övervakningen saknar logisk slutpunkt. Kanske smittar övervakningslustan? Om en myndighet får använda många hemliga tvångsmedel som kräver ny, fräsch och häftig utrustning, kanske andra myndigheter också vill göra det. I avhandlingen "För din och andras säkerhet : Konstitutionella proportionalitetskrav och Säkerhetspolisens preventiva tvångsmedel" lyfter Markus Naarttijärvi på Umeå universitet fram att lagstiftarna frångått synen på privatliv som en grund i det demokratiska samhället, som därför angår alla medborgare, för att istället se det som en privat angelägenhet där enstaka enskildas egna intressen oftast får stå tillbaka för det starkare förvaltningsväsendets intressen.
Oavsett om man är överens med tanken på privatliv som demokratisk rättighet och förutsättning, om man ser en förvaltning för folket eller ett folk för förvaltning, eller om man tror att privatlivet är dött, är den nuvarande beslutsordningen dock otillfredsställande. Som det är nu är nämligen inte bara tvångsmedlen hemliga, utan också vem som fattar beslut om dem och på vilka grunder.
Läs mer:
DN, ”Myndigheters frågor om sök i våra register skenar”, Tele2 (04.05.2015):
www.dn.se/debatt/myndigheters-fragor-om-sok-i-vara-register-skenar/
DN, Skattefuskare sätts dit med hjälp av mobiltrafiken (04.05.2015):
http://www.dn.se/ekonomi/skattefuskare-satts-dit-med-hjalp-av-mobiltrafi...
DN, ”Myndigheter begär oftare slentrianmässigt ut uppgifter” (04.05.2015):
http://www.dn.se/nyheter/sverige/myndigheter-begar-oftare-slentrianmassi...
Dagens juridik, "Fel att åklagare och poliser som bryter mot avlyssningslagarna aldrig åtalas" (23.04.2015):
http://www.dagensjuridik.se/2015/04/fel-att-aklagare-och-poliser-som-bry...
Norrbottenskuriren, Demokratiska problem med datalagringen (05.05.2015):
http://img3.kuriren.nu/nyheter/demokratiska-problem-med-datalagringen-82...
Datainspektionen: Nej till utökad användning av beskattningsdatabas (05.05.2015):
http://www.datainspektionen.se/press/nyheter/2015/nej-till-utokad-anvand...
Expressen, Övervakningsmaskinen som aldrig stannar, Rasmus Fleischer (06.05.2015):
http://www.expressen.se/kultur/overvakningsmaskin-som-aldrig-stannar/
För din och andras säkerhet : Konstitutionella proportionalitetskrav och Säkerhetspolisens preventiva tvångsmedel, Markus Naarttijärvi (2013):
http://umu.diva-portal.org/smash/record.jsf?pid=diva2%3A664052&dswid=-2665
Dataskydd.NET, Datalagringsutredningen utreder inte datalagring och lägger inte förslag som utretts (06.04.2015):
https://dataskydd.net/nyheter/2015/04/06/datalagringsutredningen-utreder...
* ** *** **** ***** ****** ******* ****** ***** **** *** ** *
2. Rätten att bli bortglömd: ett år senare
För exakt ett år sedan kom EU-domstolens dom i Google Spanien-målet, där man konsoliderade en europeisk rätt att bli bortglömd. Fallet fick stor internationell uppmärksamhet, eftersom den ger företaget Google en förpliktelse att hjälpa individer komma vidare från tidigare snedsteg och misstag. Det väckte också stor internationell debatt, med pressfrihet, förlåtelse och dataåldern i fokus. The Guardian och The New Yorker har publicerat flera bra artiklar som är läsvärda (länkade nedan).
Finska dataskyddsinspektionen har dock nyligen friat Google från förpliktelsen att ta bort länkar som hänvisar till en enskild finsk persons nuvarande yrkesverksamhet. Personen argumenterade att det kunde spegla negativt på hans karaktär om det spreds att han arbetat med inkassoföretag. Finska datainspektionen ger Google rätt som inte godkände mannens förfrågan. Finnarna är inte ensamma om att hantera många överklagade nedtagningsförfrågningar. Var gränsen ska gå för vad som ska tas ned, och vad som ska bli kvar, kommer att utvecklas som praxis under de kommande åren. De europeiska dataskyddsmyndigheterna är måna om att utfallen blir liknande i alla medlemsländer, så det blir mycket koordinering.
En konsekvens av Google Spanien-målet är att EU-medborgare kan vända sig till sin egen dataskyddsmyndighet med förfrågningar. Detta skiljer sig från till exempel Max Schrems (österrikare) rättsfall mot Facebook, som hamnat hos irländska datainspektionen, efter att Österrikes datainspektion inte upplevt sig ha jurisdiktion över ett företag registrerat på Irland (se om #SafeHarbor nedan).
Denna "närhetsprincip" har varit en av de mest kontroversiella delarna i EU:s dataskyddspaket för ministerrådet. För ett företag med många kunder i många medlemsländer är det bekvämt att kunna vända sig till en och bara en dataskyddsmyndighet. För en privatperson är det svårare att interagera med en dataskyddsmyndighet som befinner sig i ett annat land. Stora medlemsländer, som Frankrike och Tyskland, har oroat sig för att mindre medlemsländer, med sämre organiserade dataskyddsmyndigheter, inte ska skydda individer på det sätt som lagen kräver. Svenska regeringen har bland annat ifrågasatt kommissionens krav på att Datainspektionerna faktiskt kontaktar och svarar på varandras förfrågningar.
Ministerrådets nya förslag på samarbetsmekanism för dataskyddsmyndigheter har anklagats för att vara överbyråkratiserad och riskerar att förhindra alla privatpersoners möjlighet att upprätthålla sina rättigheter mot pan-europeiska företag. Det är ett svårt uppdrag som ligger framför EU:s lagstiftande institutioner under hösten 2015, då olika förslag från EU:s institutioner förhoppningsvis ska bli en enda sammanhållen lag.
Läs mer:
YLE, Google wins first "right to be forgotten" case (12.05.2015):
http://yle.fi/uutiset/google_wins_first_right_to_be_forgotten_case_in_fi...
Out-Law.com om ministerrådets överenskommelse: Plans for regulation of EU data protection 'a mess', says expert (12.03.2015):
http://www.out-law.com/en/articles/2015/march/plans-for-regulation-of-eu...
The New Yorker, The Solace of Oblivion (29.09.2014):
http://www.newyorker.com/magazine/2014/09/29/solace-oblivion
The Guardian, How Google determined our right to be forgotten (18.02.2015):
http://www.theguardian.com/technology/2015/feb/18/the-right-be-forgotten...
The Guardian, A manifesto for the future of the 'right to be forgotten' debate (14.07.2014):
http://www.theguardian.com/technology/2014/jul/22/a-manifesto-for-the-fu...
Dataskydd.NET, #SafeHarbour-avtalen i EU-domstolen denna vecka! (26.03.2015):
https://dataskydd.net/nyheter/2015/03/26/safeharbour-avtalen-i-eu-domsto...
* ** *** **** ***** ****** ******* ****** ***** **** *** ** *
3. EU-domstolen kan ta ställning om plikt att införa dataskyddsombudsmän
EU-domstolen kan inom kort behöva ta ställning till om dataskyddsmyndigheter i själva verket behöver kunna inta en roll som dataombudsman, liknande den rollen som konsumentombudsmannen eller diskrimineringsombudsmannen har. Dataskydd.NET har tidigare varit positiva för en sådan utveckling, och hoppas att domstolen kommer se relevansen av en sådan funktion. Fallet kommer från nederländska högsta förvaltningsdomstolen och kan förväntas avgöras inom ett år.
I Nederländerna utsattes ett par för hemlig övervakning av ett amerikanskt försäkringsföretag via en brittisk mellanhand. Övervakningen innefattade bland annat hemliga filminspelningar. En nederländsk läkare som en i paret besökte lämnade också ut sjukvårdsuppgifter till den brittiske mellanhanden.
När paret överklagade till Nederländernas datainspektion meddelade myndigheten att de inte hade jurisdiktion över de utländska företagen och att de heller inte tänkte agera mot den läkare de hade jurisdiktion över, trots att läkarens agerande var tvivelaktigt. Vad paret reagerade på var dock att datainspektionens anledning att inte gå vidare med fallet skulle innebära att ingen enskild privatperson någonsin skulle kunna erhålla något skydd eller någon hjälp från datainspektionen.
Efter en längre rättsstrid har Nederländernas högsta förvaltningsdomstol ställt frågan till EU-domstolen om en datainspektion i ett medlemsland är fri att på egen hand avfärda klagomål som inkommit från bara en enskild eller ett fåtal enskilda privatpersoner, givet datainspektionens begränsade resurser. Frågeställningen är intressant, och borde göras gällande även i Sverige. Datainspektionen i Sverige har sällan eller aldrig granskat något privat företag, utan ägnat sig mest åt kommentarer på författningar och upphandlingsavtal i kommuner. Deras resurser är mycket begränsade i förhållande till myndigheter och företag som kan tänkas inskränka privatpersoners rättigheter.
Då den europeiska lagstiftningen sätter individers möjligheter att ta tillvara på sina intressen i centrum för lagstiftningen är frågan alltså befogad i vilken utsträckning dataskyddsmyndigheter kan avsäga sig uppdraget att representera även enskilda.
Läs mer:
EULawRadar, Case C-192/15, Rease – secretly spied on, medical data leaked, and left unprotected by the Dutch regulator (01.05.2015):
http://eulawradar.com/case-c-19215-rease-secretly-spied-on-medical-data-...
Dataskydd.NET om dataskyddsombudsmän i ORGCon14: "Revenge porn" och rätten att bli bortglömd (18.11.2014):
https://dataskydd.net/nyheter/2014/11/18/orgcon14-revenge-porn-och-ratte...
Dataskydd.NET om dataskyddsombudsmän i Tyskland inför möjlighet till grupptalan i privatlivsfrågor (12.02.2015):
https://dataskydd.net/nyheter/2015/02/12/tyskland-infor-mojlighet-till-g...
* ** *** **** ***** ****** ******* ****** ***** **** *** ** *
4. Sverige i EU: diskrimineringens beskyddare
För två veckor sedan publicerade Dataskydd.NET en ny sammanställning av de olika EU-institutionernas förhållningssätt till EU:s dataskyddspaket. Det vi hoppas kommer att bli EU:s nya integritetsstärkande lagstiftning.
Svenska regeringen har utmärkt sig som motståndare mot starkare dataskydd i EU, och stödjer de flesta förslag som gör det svårare, mindre transparent och mindre säkert för privatpersoner. Ett av de områden där ministerrådet misslyckats allra mest är "profilering", en dataanalysaktivitet som går ut på att man extrapolerar en persons förväntade framtida beteende mot personens tidigare beteende. Profilering används för att förutsäga hur individer kommer att bete sig, konsumera och utvecklas. Man jämför en persons handlingar och val med andra personers handlingar och val och försöker, likt en schackmästare, därifrån dra slutsatser om hur man på bästa sätt kan påverka eller interagera med personen. Typiska användningsområden är marknadsföring (reklamindustrin lobbade Europaparlamentet mycket hårt om profilering) och prisdiskriminering men profilering kan också aktualiseras i försäkringsindustrin eller förvaltningsväsendet.
Profilering är den huvudsakliga anledningen att många stora företag och förvaltningar är positivt inställda till Big Data. Men beteendeanalyser har också en baksida: personer från socialt, etniskt eller ekonomiskt sårbara grupper kommer att utmärkas och behandlas som sådana. Det finns en risk att man förstärker snarare än avhjälper en känsla av utsatthet. Även ickemarginaliserade grupper, som kvinnor och män, kan uppmuntras att bete sig mer stereotypt än vad vi som samhälle egentligen tycker är önskvärt. Den australiensiske journalisten Stilgherrian har beskrivit Big Data som en hype mot de senaste 200 årens avancemang för lika rättigheter - nu ska vi istället särbehandlas i så hög utsträckning som möjligt i enlighet med våra, eller våra bekantas, tidigare förehavanden.
"Gruppdiskriminering" är den term som använts av olika personer som forskar på profilering och övervakning i Europa för att beskriva när man särbehandlar stora (eller små) grupper baserat på deras förväntade beteendemönster. Det finns ingenting som säger att någon enskild individ ur var och en av de diskriminerade grupperna inte kommer att kunna resa sig ur särbehandlingen, men den kringliggande miljön och dess aktörer kommer inte att förvänta sig det. Man får ett maktstrukturproblem där inget, i och för sig, är skrivet i sten, men där den fria viljan blir begränsad av vad som av andra anser vara relevant med ens person.
EU-kommissionens förslag från 2012 tog spjärn mot gruppdiskriminering, bland annat genom att ställa tydliga krav på information till privatpersoner och möjligheter att samtycka till profilering. Utan information, och utan rätt att säga nej, kan offer för diskriminerande affärs- och myndighetsmetoder inte få upprättelse. Ministerrådet försöker nu i möjligaste mån göra gruppdiskriminering oförutsägbart och hemligt från de som utsätts. Tidigare försök att forska på och åskådliggöra konsekvenser och omfattning av gruppdiskriminering har misslyckats, eftersom lagstiftaren redan 1995 bestämde att företagshemligheter är viktigare än privatpersoners möjlighet att förstå sina sammanhang.
Om Sverige vill vara en ledstjärna i arbetet för mänskliga och demokratiska rättigheter, bör Sverige göra om i frågan om profilering och verka för att skala bort de onödiga, otydliga försämringarna av EU-kommissionens förslag som ministrarna för närvarande arbetat fram. Det är uppenbart att svaga samhällsgrupper drabbas mer av hemligt maktutövande med mål att diskriminera, och det är ovärdigt en svensk regering i allmänhet att skriva under på det.
Läs mer:
ZDNet, Why big data evangelists need to be reprogrammed (30.09.2014):
http://www.zdnet.com/article/why-big-data-evangelists-need-to-be-reprogr...
Mireille Hildebrandt, Profiling and the rule of law (öppen access) (19.12.2008):
http://link.springer.com/article/10.1007/s12394-008-0003-1
Stanford Law Review, Privacy and Big Data: Making Ends Meet (03.09.2013):
http://www.stanfordlawreview.org/online/privacy-and-big-data/privacy-and...
NESTA, Our price or your price? (16.04.2014):
http://www.nesta.org.uk/blog/our-price-or-your-price
MarketingMagazine, Does dynamic pricing risk turning personalisation into discrimination? (22.10.2014):
http://www.marketingmagazine.co.uk/article/1317995/does-dynamic-pricing-...
Dataskydd.NET, Dataskydd i Bryssel: lagars tydlighet mäts inte i spaltmeter (05.05.2015):
https://dataskydd.net/nyheter/2015/05/05/dataskydd-i-bryssel-lagars-tydl...
Dataskydd.NET, Stor läcka från EU:s dataskyddsförhandlingar eller minst 20 sätt som svenska regeringen hatar ditt privatliv (10.03.2015):
https://dataskydd.net/nyheter/2015/03/10/stor-lacka-fran-eus-dataskyddsf...
* ** *** **** ***** ****** ******* ****** ***** **** *** ** *
Saknas det något dataskyddsrelaterat vi borde ha med? Kontakta oss på info@dataskydd.net!