Dataskydd.NET 3.1

Dataskydd.NET 3.1

Dataskydd.NET

Vol. 3, nr. 1, 18 januari 2016

https://dataskydd.net - info@dataskydd.net

Information om EU:s dataskyddspaket och skydd av den personliga integriteten, både juridiskt och tekniskt, i den digitala världen.

Detta nyhetsbrev finns även på [node:url]

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

I detta nummer:

1. Nytt år, mer dataskydd!
2. Dataskydd.net får stöd av Internetfonden
3. Ny FTC-rapport med rekommendationer om big data för företag
4. Brittiskt lagförslag om övervakning får kritik från FN
5. Övervakning i arbetslivet – inget skydd för arbetstagaren kvar?
6. Nej till krypto-bakdörrar i Frankrike, stöd till kryptering i Nederländerna
7. Barnens rätt i EU:s nya dataskyddsförordning
8. Dataskydd.net kommenterar på Proposition 2015/16:65 om en ny utlänningsdatalag
9. Kommande

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

1. Nytt år, mer dataskydd!

Det är början av 2016. EU:s dataskyddsförordning är klar. EU-domstolens praxis kring dataskydd utvecklas långsamt. Europeiska domstolen för mänskliga rättigheter har i ett avgörande mot en ungersk övervakningslag sagt att de ämnar förstärka sin praxisutveckling kring kartläggning av individers privata förhållanden genom storskalig datainsamling.

Dataskydd.net har också hunnit börja trappa upp sina aktiviteter. Vårt första fokus är enkla, billiga och snabba åtgärder som kan vidtas i offentlig sektor, på lokal nivå (till exempel i kommuner), för att stärka individers rättigheter och avlasta individer från implicita skyldigheter. Under årets första åtta månader vill vi etablera att det minsann inte är svårt att kombinera teknikanvändning med respekt för demokratins spelregler.

Vi kommer göra det lättare att bli medlem i föreningen Dataskydd.net, och vill man aktivt bidra till vår verksamhet är det bara att höra av sig (egna idéer mottas!).

Läs mer:

ECHR, Case of Szabó and Vissy v Hungary (Application no. 37138/14) (12.01.2016):

http://hudoc.echr.coe.int/eng?i=001-160020

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

2. Dataskydd.net får stöd av Internetfonden

Dataskydd.net:s "Dataskydd på webben för offentlig sektor" är ett av elva projekt som får stöd från Internetfondens höstutlysning. Projektet handlar om att hjälpa olika aktörer i samhället att bygga webbplatser på ett sådant sätt att individers rätt till dataskydd upprätthålls. Målet är att göra webbplatser inom svensk offentlig sektor bättre ur dataskyddssynvinkel, och i förlängningen främja den allmänna medvetenheten om dataskydd inom webbutveckling.

Vi ska under 2016 skapa och tillhandahålla ett verktyg som kan användas för att enkelt utvärdera webbplatser ur dataskyddssynvinkel och föreslå åtgärder. Med hjälp av verktyget ska vi sedan även skapa en interaktiv karta där tjänstemän och medborgare kan undersöka läget i sin egen kommun eller hitta andra kommuner att inspireras av.

Läs mer:

Internetfondens pressmeddelande, "Tre miljoner till nya internetprojekt" (16.12.2015):

https://www.iis.se/press/pressmeddelanden/tre-miljoner-till-nya-internet...

Projektbeskrivning:

https://www.internetfonden.se/dataskydd-pa-webben-for-offentlig-sektor/

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

3.  Ny FTC-rapport med rekommendationer om big data för företag

Den amerikanska konsumentmyndigheten FTC har utfärdat en rekommendationsskrift för företag om hur man ska förhålla sig till ”big data”. Där redogör man för tidigare praxis, och vilka frågeställningar företag kan behöva tänka på inför användningen av en big data-metod. Särskild emfas läggs på kreditprövningar och diskriminering.

Processen för att ta fram rekommendationer på myndighetsnivå i USA är långsam. I det här fallet har FTC jobbat med sitt ställningstagande i två år. Att FTC inte själv kan göra bedömningar som riskerar att vara politiska reflekteras i att rapporten samtidigt menar att big data kan innebära arbetstillfällen för lågutbildade och etniska minoriteter, och att det kan innebära en risk för dessa grupper att uteslutas ur arbetsmarknaden. Den först nämnda hypotesen kan antas komma från näringslivet, och till stöd för den senare hypotesen hänvisas till olika forskare. FTC lyfter också att profilering och prisdiskriminering antingen kan vara skadligt för, eller bra för, konkurrensen på en marknad, men att svaga konsumentgrupper sannolikt drabbas negativt.

Till skillnad från i EU, där big data framför allt har hamnat i dataskyddsfacket, vilar FTC på antidiskrimineringslagstiftning. Behovet av att komplettera dataskyddslagstiftning med lagstiftning mot diskriminering av olika kategorier av människor (till exempel de som bor i ett visst område, tillhör ett visst kön, har en särskild ekonomisk eller etnisk bakgrund, eller har vissa sorters bekanta) har lyfts av nederländska juridikforskaren Frederik Z. Borgesius i en avhandling om integritet och diskriminering.

Dataskydd kan, vilket också Europeiska dataskyddstillsynsmannen påtalat, fungera som ett verktyg för att skapa transparens och någon nivå av valfrihet kring vad som händer när personuppgifter samlas in och behandlas. Som i många fall är det dock inte uppenbart att bara ett verktyg räcker.

Läs mer:

FTC, Big Data: A Tool for Inclusion or Exclusion? (januari 2016):

https://www.ftc.gov/system/files/documents/reports/big-data-tool-inclusi...

EDPS Pleading before the General Court in Case C-615/13P Client Earth
and Pan Europe v EFSA, Luxembourg (22.01.2015):

https://secure.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Document...

Frederik Zuiderveen Borgesius, Consent to Behavioural Targeting in European Law - What are the Policy Implications of Insights from Behavioural Economics? (2013)

http://dare.uva.nl/record/1/407923

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

4. Brittiskt lagförslag om övervakning får kritik från FN

Förra hösten presenterade brittiska inrikesministern Theresa May ett lagförslag med nya polisiära utredningsmetoder. Lagförslaget kom efter att David Cameron uttryckt att det är oönskvärt att företag krypterar kommunikation på ett sådant sätt att polisen inte kan avkoda kommunikationen. Förslaget, dubbat ”Snooper's charter” [Snokarstadgan] av flera brittiska organisationen som jobbar med mänskliga rättigheter, verkar ge polisen möjlighet att kartlägga samtliga medborgares samtliga webbplatsbesök och göra det olagligt med sådan kryptering som användare till kommunikationstjänster själva har kontroll över (end-to-end-kryptering).

Enligt information till Dataskydd.net finns rörande politisk enighet över partigränserna om att förslaget är bra. Tre av FN:s särskilde utsända har dock lyft hård kritik mot förslaget. Särskilt menar de att nödvändighets- och proportionalitetskraven för övervakningsåtgärder inte är tillfredsställda i det brittiska lagförslaget på flera punkter. De lyfter att lagens generösa regler för massövervakning, tillståndsinhämtning och granskning kan utgöra risker för journalister, människorättsförsvarare och forskare. Dessutom kan förslaget, enligt FN-rapportörerna, inverka negativt på allmänhetens tillgång till end-to-end-kryptering.

Även stora amerikanska IT-företag och europeiska telekomoperatörer har tagit ställning mot förslaget, som de menar inskränker deras relationer med kunder och försätter dem i en omöjlig situation där de i stort sett alltid måste bryta mot åtminstone något lands regler om dataskydd eller övervakning. Ett möjligt alternativ är ett internationellt avtal som skapar tydlighet i många länder samtidigt.

Läs mer:

UN Special Rapporteurs—written evidence (IPB0102) (21.12.2015):

http://data.parliament.uk/writtenevidence/committeeevidence.svc/evidence...

The Guardian, Snooper's charter would be out of date in five years, says defence industry (07.01.2016):

http://www.theguardian.com/technology/2016/jan/07/snoopers-charter-out-o...

Privacy International, Snooper's Charter: Are we about to enter a world of suspicionless surveillance - regulated by politicians? (06.11.2015):

https://privacyinternational.org/node/665

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

5. Övervakning i arbetslivet – inget skydd för arbetstagaren kvar?

I ett helt nytt fall från Europeiska domstolen för mänskliga rättigheter verkar det dataskydd och privatlivsskydd som tidigare byggts upp för anställda på arbetsplatsen ha fått sig en törn. Detta har beskrivits av flera medier som att det nu är fritt fram att övervaka anställda på arbetsplatsen.

Dataskydd.net har läst en annan tolkning av domen, som snarare indikerar att övervakning av anställda på arbetsplatsen även fortsättningsvis bara är tillåtet om den anställde givits tydlig – och upprepad – information om att den står under övervakning. I det innevarande fallet har arbetsgivaren först förbjudit att anställda ägnade sig åt privata angelägenheter på arbetsliv. Arbetsgivaren hade sedan fört fram misstanken till en anställd om att denne trots förbudet ägnade sig åt privata angelägenheter och för den anställde nämnt att övervakning kunde äga rum. Först därefter hade det uppstått konflikt om huruvida övervakningen var legitim.

Det här är så klart en fråga som berör många anställda, särskilt kontorsarbetare som använder telefoner, internetuppkopplad utrustning eller nätverkstillgång från arbetsgivaren i sin vardag. En möjlig och önskvärd utveckling är att fallet plockas upp av Europadomstolens storkammare – det vill säga överklagas. Från det innevarande beslutet är det inte tydligt om det är mängden upprepade varningar till den anställde som gjort övervakningen okej, eller om det till exempel är tillräckligt att i ett anställningsavtal förbjuda privat användning av utrustning.

I Sverige finns det sedan tidigare en passiv diskussion om integritet i arbetslivet. En statlig utredning från 2009 ledde fram till förslag om minskade möjligheter för arbetsgivare att begära utdrag ur straffregistret för arbetssökande, och trots att allt fler känner sig allt mer övervakade på jobbet saknas bland annat utvecklade fackliga strategier för att stärka arbetstagarnas rätt till privatliv. Utspridda råd till implementatörer av teknisk utrustning som genomför övervakning räcker inte nödvändigtvis heller, så länge framställningen av alternativa metoder att genomföra legitima kontroller, med mindre skrymmande effekter på privatlivet, inte prioriteras.

Läs mer:

EU Law Analysis, Is Workplace Privacy Dead? Comments on the Barbulescu judgment (14.01.2016):

http://eulawanalysis.blogspot.be/2016/01/is-workplace-privacy-dead-comme...

EDfMR, Case of Bărbulescu v. Romania (Application no. 61496/08) (12.01.2016):

http://hudoc.echr.coe.int/eng?i=001-159906

SvD, Ny dom: Företag får övervaka anställda (14.01.2016):

http://www.svd.se/ny-dom-foretag-far-overvaka-anstallda/om/naringsliv:di...

Aftonbladet, Ny dom: Privat chatt kan få dig sparkad (14.01.2016):

http://www.aftonbladet.se/nyheter/article22082702.ab

Skydd och säkerhet, Övervakning i arbetslivet – vad är egentligen tillåtet? (05.12.2013):

http://skyddosakerhet.se/fraga-advokaten/overvakning-i-arbetslivet-vad-a...

SvD Brännpunkt, Godtycklig övervakning av anställda (18.10.2009):

http://www.svd.se/godtycklig-overvakning-av-anstallda

SOU 2009:44, Integritet i arbetslivet:

http://www.regeringen.se/rattsdokument/statens-offentliga-utredningar/20...

LO, Övervakning och kontroll på arbetsplatserna – förslag till en facklig strategi:

https://www.lo.se/home/lo/res.nsf/vres/lo_fakta_1366027492914_overvaknin...$file/Overvakning_kontroll_arb.pl.pdf

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

6. Nej till krypto-bakdörrar i Frankrike, stöd till kryptering i Nederländerna

Efter flera omgångars utökade övervakningslagar i Frankrike till följd av terroristdåd under 2015 har det nu skett en vändning. Franska regeringen säger nej till bakdörrar i kryptering, och kallar förslaget från nationalförsamlingen ”olämplig, inbyggd sårbarhet”.

Tidigare i år har även nederländska regeringen sagt att de inte planerar att försvaga kryptering på något sätt just nu. Båda regeringarna arbetar för närvarande med förslag liknande det svenska förslaget till polistrojaner som Dataskydd.net tidigare uttryckt sig kritiskt mot.

I Nederländerna har regeringen dessutom skjutit till över en halv miljon euro till utveckling av bättre underhåll för ett av standardbiblioteken för kryptering, närmare bestämt OpenSSL. ”Bibliotek” innebär i det här fallet en samling av ganska mycket programmeringskod som kan återanvändas i projekt som behöver krypteringsstöd. Vad gäller OpenSSL kan detta röra allt från små apparater som behöver inloggningsstöd, till chattklienter, webbläsare, och stora databassystem. Budgetposten uppstod efter att nederländska riksdagens underkammare kört över regeringens första budgetförslag, och lagt till stöd av kryptounderhåll som en viktig budgetprioritering.

Läs mer:

Numerama, Chiffrement : le gouvernement rejette les backdoors (14.01.2016):

http://www.numerama.com/politique/138689-chiffrement-le-gouvernement-rej...

Matthijs R. Koots notebook, Inofficiell översättning av nederländska regeringens uttalande om kryptering (05.01.2016):

https://blog.cyberwar.nl/2016/01/full-translation-of-the-dutch-governmen...

AccessNow, Access Now testifies on mass surveillance at European Parliament (08.12.2015):

https://www.accessnow.org/access-now-testifies-on-mass-surveillance-in-t...

Tweakers, D66 wil half miljoen euro vrijmaken voor steun aan OpenSSL (12.10.2015):

http://tweakers.net/nieuws/105739/d66-wil-half-miljoen-euro-vrijmaken-vo...

Tweakers, Wetsvoorstel computercriminaliteit III is ingediend bij Tweede Kamer (22.12.2015):

http://tweakers.net/nieuws/106991/wetsvoorstel-computercriminaliteit-iii...

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

7. Barnens rätt i EU:s nya dataskyddsförordning

Under ett fåtal dagar efter att EU:s nya dataskyddsförordning förhandlats färdigt spred sig kritiska kommentarer om att EU försöker införa striktare åldersgränser på sociala nätverk, till barnens nackdel. Till grunden för oron ligger att åldergränsen för när barn anses kunna godkänna avtal om personuppgiftsbehandling är 16 år i EU, i stället för 13 år som i USA.

Påståendena har ingen direkt grund i den överenskomna lagtexten, utan kan antas vara en villfarelse från den starka big data-lobby som sedan 2012 motverkat ett konsekvent skydd för europeiska medborgares rättigheter. Möjligheten för olika länder att ha olika åldersgränser kan vara juridiskt förvirrande för företag som är verksamma i många olika länder. EU-lagen reglerar dock exempelvis inte alls sådana tjänster som inte lagrar eller behandlar personuppgifter.

Det är värdefullt att ungdomar kan ha privata ytor där de inte övervakas av vare sig myndigheter, företag eller föräldrar. Ungdomars internetvanor indikerar också att ungdomar söker sig till tjänster som inte lagrar personuppgifter, och därför inte nödvändigtvis omfattas av EU:s lagstiftning. Exempel på detta är Snapchat och Kik, båda tjänster som till en början lovat att de inte ska lagra data och att man kan använda dem anonymt.

De som blev upprörda över EU:s dataskyddsförordning borde välkoma dessa tjänster som skyddar barnens autonomi. I stället har båda tjänsterna föranlett försök till förbud mot anonymitet på nätet. Kik och Snapchat har i vissa fall använts för mobbning.

EU:s dataskyddsförordning ger anonyma tjänster ett tydligare spelutrymme och ger ungdomar bättre möjligheter att ställa sociala medier till svars för deras avtalsvillkor. Den nya dataskyddslagen innebär bättre transparens från leverantörer mot användare, oavsett vilken ålder dessa användare har.

Att man skulle behöva föräldrarnas medgivande för att få använda internettjänster i framtiden är en obefogad oro. Men det kan så klart bero på vad internettjänsten tänker sig leverera för tjänster till barnen, och vilka tjänster internettjänsten tänker sig extrahera från barn i form av riktad reklam, beteendestyrning eller påverkan. Barns rätt att sluta avtal är begränsad, men inte obefintlig, i de flesta medlemsländer och det är rimlighet som avgör specifikt vid vilka åldrar och för vilka syften begränsningarna träder in. Problemet för sociala medieplattformar är att de ofta inte åtar sig att göra någonting specifikt för användaren, men ger sig själva rätten att utsätta användaren för saker. Sådana avtalskonstruktioner kommer att begränsas av dataskyddsförordningen.

I den mån barns möjligheter till självständig personlighetsutveckling hotas, är det av personer som begränsar ungas (och gamlas) individuella rättigheter till ett teoretiskt konstitutionellt rum, bortanför all tänkvärd praktisk tillämpning. De unga kan inte få bättre rättigheter till privata rum än befolkningen i övrigt. Dataskyddsförordningen ger dock en starkare grundnivå för alla.

Läs mer:

Mediamocracy, About the new EU age limit (16.12.2015):

http://mediamocracy.org/2015/12/16/new-eu-age-limit-paving-the-way-for-d...

Välmenat upprörd Christoffer Fjellner (16.12.2015):

https://twitter.com/Fjellner/status/677098781339475968

Ystads allehanda, Johanna Nylander: Tonåringar behöver egna rum på nätet (21.12.2015):

http://www.ystadsallehanda.se/ledare/johanna-nylander-tonaringar-behover...

IDG, Så når du ut till kunderna i meddelande-appar (När unga överger Facebook gäller det att lägga krutet på meddelande-appar som Snapchat, Kik och Whatsapp.) (19.02.2015):

http://internetworld.idg.se/2.1006/1.609484/sa-nar-du-ut-till-kunderna-i...

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

8. Dataskydd.net kommenterar på Proposition 2015/16:65 om en ny utlänningsdatalag

Regeringen har genom proposition 2015/16:65 lagt ett förslag till riksdagen om ny utlänningsdatalag. Dataskydd.net kommenterade kort på förslaget inför julledigheterna.

På grund av svårigheterna vid Öresund med migrationen har lagstiftningen gått på "fast track" genom riksdagen: regeringen vill att lagen ska träda i kraft redan i februari. Det huvudsakliga syftet är att snabbt kunna utveckla ett ännu trassligare applikationssystem kring Migrationsverkets databaser, som kommer försvåra transparens och flexibilitet över överskådlig framtid.

Dataskydd.net har nu skickat sina kommentarer till riksdagens Socialförsäkringsutskott. Motionstiden är redan ute, och Moderaterna fortsätter understryka att det behövs snabba utvärderingar. Vänsterpartiet har motionerat om begränsad direktåtkomst för polisen - vilket är bra - men har missat att propositionen också utsträcker direktåtkomst till utlandsmyndigheterna, Försäkringskassan, Pensionsmyndigheten och Skatteverket. Direktåtkomsten för dessa myndigheter är inte mindre dålig för datasäkerhet, dataskydd och transparens i myndighetsutövandet än vad direktåtkomst för polisen är.

Huvudsakligen vänder Dataskydd.net oss emot rigid och stelbent lagstiftning som kodifierar vissa arkitekturella val eller gränssnitt. Vi tror inte att riksdagen är bäst på att skydda privatpersoners privatliv, utan att riksdagen måste skapa ett gott dataskydd som individer själva kan använda för att skydda sitt privatliv. Då behöver emfasen i lagstiftningen ligga på transparens och ansvarsutkrävande, snarare än på detaljerade beskrivningar av sökrutor och omfattande möjligheter för myndigheterna att prata med varandra om privatpersoners angelägenheter utan att privatpersonen informeras. Dataskydd.net understryker också att effektivitet inte är det enda, eller ens bästa, måttet på rättssäkerhet: rättssäkerhet har också att göra med att vi som privatpersoner kan känna att myndigheterna gjort så mogna överväganden som möjligt, och mogna överväganden tar ofta längre tid än vad det tar att till exempel trycka på en knapp på en datorskärm med en datormus. Långsamhet vid dataöverföringar är i vissa lägen en garant för rättssäkerhet, och detta perspektiv saknas i regeringens och riksdagens beslut.

Läs mer:

Proposition 2015/16:65: http://data.riksdagen.se/dokument/H30365

http://www.riksdagen.se/sv/Dokument-Lagar/Forslag/Propositioner-och-skri...

Dataskydd.net:s kommentarer till riksdagens socialförsäkringsutskott:

https://dataskydd.net/sites/default/files/utlanningsdatalag_sfu_dataskyd...

Dataskydd.net, Svenskt förslag om ny utlänningsdatalag (17.12.2015):

https://dataskydd.net/nyheter/2015/12/17/svenskt-forslag-om-ny-utlanning...

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

9. Kommande

Event:

25 januari, 18:00: FOSS-Sthlm gästas av Richard Stallman

http://www.foss-sthlm.se/rms2016.html

4 februari, 19:00: Studentafton i Lund gästas av Edward Snowden.

http://www.studentafton.se/2016/01/studentafton-gastas-av-edward-snowden...

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

Saknas det något dataskyddsrelaterat vi borde ha med? Är du intresserad av att hjälpa till? Kontakta oss på info@dataskydd.net!

Vi använder varken kakor eller analysverktyg och vår webbserver loggar inte ditt besök.

Problem med sajten? Frågor? Kontakta oss! Vi finns också på Twitter. Nyheterna finns som RSS-flöde.

All text, förutom citat, är tillgänglig under CC0 (ingen upphovsrätt).