OBS! Föreningen Dataskydd.net upplöstes i maj 2024. Sidorna kan innehålla brutna länkar och information som är inaktuell.

Dataskydd.NET 3.11

Dataskydd.NET 3.11

Dataskydd.NET

Vol. 3, nr. 11, 13 juni 2016

https://dataskydd.net - info@dataskydd.net

Information om EU:s dataskyddspaket och skydd av den personliga integriteten, både juridiskt och tekniskt, i den digitala världen.

Detta nyhetsbrev finns även på [node:url]

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

I detta nummer:

1. Hur bra är din kommun på dataskydd? Se vår kommunundersökning!
2. Lagförslag i Storbritannien och USA medför teknisk osäkerhet för privatpersoner i Sverige
3. Ny integritetsutredning: SOU 2016:41
4. Upprörande diskussion om ny biobanksutredning: polisen och försäkringsbolagen vill ha tillgång till DNA-register
5. Regeringen förnyar sina ansatser för ett nationellt e-legitimationssystem
6. Hamburgs datainspektion bötfäller företag för olagliga dataöverföringar till tredje land
7. Dataskydd.net, DFRI, SICS och FORES skickar gemensam protest till riksdagen om Justitiedepartementets nya förslag om inhämtningslagen
8. Sammanställning av möjligheterna för svenska regeringen att försämra enskildas rättigheter under EU:s dataskyddsförordning
9. Dataskydd.net besöker Friposts integritetsdag i Göteborg
10. Kommande

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

1. Hur bra är din kommun på dataskydd? Se vår kommunundersökning!

Dataskydd.net har undersökt de 290 svenska kommunala webbplatserna med avseende på dataskydd för att se hur bra de tar hand om våra rättigheter att inte bli spårade i digitala miljöer.

Vårt mål är att skapa transparens kring dataskyddspraktik i kommunernas webbnärvaro, och kunskap kring hur vi får en bättre dataskyddspraktik i offentlig sektor. Det visar sig nämligen att de flesta inskränkningar av rätten till privatliv som görs på kommunernas webbplatser är både billiga och enkla att åtgärda - om man vill!

Kommuner och andra offentliga organ har en särställning i dataekologin eftersom de saknar ekonomiska incitament att kartlägga. Skattefinansierade verksamheter  finansieras via skattsedeln, inte genom dolda avgifter i form av handel med identitet och dataskydd. Det borde alltså inte finnas en risk att webbesökaren är produkten på offentliga webbplatser. 

Verkligheten ser annorlunda ut.

Vi har funnit att det är vanligt att kommuner läcker information om webbplatsbesökarnas surfvanor till både reklamföretag och internetleverantörer. Dessutom genomförs kartläggningar med stor precision och över långa tider trots att det inte rimligen kan finnas anledning till det. Det är inte ovanligt att besökarna  inte informeras om hur mycket de kartläggs eller varför.

Med utgångspunkt i dataskyddsförordningens principer om individens rätt att ställas i centrum har vi kollat efter dataminimering, transparens, förutsägbarhet  och medföljande säkerhet och trygghet för webbesökare. För den här undersökningen har vi använt ett lite kraftigare verktyg än vad vi använder i vanliga Webbkollen. Med hjälp av OpenWPM har vi även kollat på djuplänkar, för att få en tydligare bild av hur kommunerna kartlägger sina invånare på webbplatsens olika informationssidor.

För att göra vår undersökning mer konkret har vi betygsatt kommuner på en skala A-E. Högst betyg är A och delas ut ifall en kommun inte spårar och kartlägger   sina besökare, samtidigt som kommunen inte läcker uppgifter till tredjeparter (till exempel reklamföretag), och använder säker anslutning (HTTPS) som standard. Lägst betyg, E, får kommuner som använder osäker anslutning (HTTP), läcker information till tredjeparter, samt spårar och kartlägger besökare.

Några siffror i korthet:

* Ingen kommun fick högsta eller näst högsta betyg. 16 fick C, 56 fick D, 217 fick E.
* Av 290 kommuner använde endast 14 HTTPS som standard, och endast en av dem (Lidköping) använde HSTS.
* 225 kommuner satte bestående tredjepartskakor. 286 kontaktade en eller flera tredjeparter.
* Endast tre kommuner – Degerfors, Essunga och Stenungsund – satte inga bestående tredjepartskakor.
* Det var också bara tre kommuner – Falköping, Stenungsund och Sävsjö – som inte kontaktade tredjeparter alls.

Generellt kan sägas att många kommuner enkelt kan förbättra sig och hoppa upp ett snäpp eller två.

För att på ett kostnadseffektivt sätt åtgärda bristerna har vi gjort tips till både invånare och kommuner om hur man kan ställa krav för bättre dataskydd. Se sidorna om betygssättningen och begrepp & tips.

Undersökningen är genomförd som del av ett projekt med finansiering från Internetfonden / IIS. Webbplatserna kontrollerades 30-31 maj.

Kolla in din kommun:

https://dataskydd.net/kommuner/

Läs mer:

Dataskydd.net:s webbkoll: kontrollera hur bra en hemsida är på dataskyddsåtgärder:

https://webbkoll.dataskydd.net/

OpenWPM, ett verktyg för att göra undersökningar av hemsidor med avseende på dataskydd och privatliv:

https://github.com/citp/OpenWPM

Mer information om hur vi gjort betygsättningen av kommuner:

https://dataskydd.net/kommuner/metodologi.html

Vilka tips och råd du kan ge till din kommun för att den ska bli bättre:

https://dataskydd.net/kommuner/begrepp.html

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

2. Lagförslag i Storbritannien och USA medför teknisk osäkerhet för privatpersoner i Sverige

De senaste två veckorna har både brittiska underhuset och amerikanska senaten behandlat förslag med långtgående konsekvenser för enskildas möjligheter att uppnå teknisk säkerhet i elektroniska miljöer. Bland annat har ett kontroversiellt tilläggsyrkande i senaten innebörden att amerikanska myndigheter får hacka datorer i alla delar av världen - utan att vara säker på att de har befogenhet att hacka datorn. Även i Storbritannien innebär den nya lagen om utredningsbefogenheter för brottsbekämpande myndigheter att brittiska myndigheter får ställa till med tekniskt trassel för enskilda.

Privatpersoner som använder sig av elektroniska verktyg som datorer, mobiltelefoner eller surfplattor i Sverige drabbas tyvärr också av de utländska myndigheternas föreslagna verksamhet. Eftersom internets huvudsakliga funktionalitet är att koppla samman elektroniska apparater över hela världen, är osäkerhet i en del av nätet automatiskt en osäkerhet i en annan del av nätet. Utan krav på brottsbekämpande myndigheter i andra länder att säkerställa sig om att de inte skadar utländska elektronikanvändare, blir möjligheterna för säker skolgång, myndighetskontakter, e-handel och sociala kontakter sämre i Sverige.

I Storbritannien finns fortfarande möjligheter för överhuset att öka kontrollerna av de brottsbekämpande myndigheternas nya befogenheter, eller helt enkelt be brittiska regeringen ta fram ett nytt förslag. De brittiska förslagen har redan i mars i år fått skarp kritik från bland annat FN:s särskilde utsände i frågor om respekten för mänskliga rättigheter i terroristbekämpning.

I USA orsakade tilläggsyrkandet ett bordläggande av lagstiftningen: flera senatorer har uttalat att de inte kommer gå vidare med behandlingen av lagen där de nya befogenheterna lagts till om inte tilläggsyrkandet dras tillbaka.

Läs mer:

Washington Examiner, Senate set for another surveillance showdown (06.06.2016):

http://www.washingtonexaminer.com/senate-set-for-another-surveillance-sh...

Center for Democracy and Technology, Expansion of Secret National Security Letters – A Poison Pill for Email Privacy (02.06.2016):

https://cdt.org/blog/expansion-of-secret-national-security-letters-a-poi...

The Register, Crafty plan to give FBI warrantless access to browser histories axed (11.06.2016):

http://www.theregister.co.uk/2016/06/11/poison_pill_amendment_email_priv...

Privacy International, PRESS STATEMENT: The Commons have failed to hold the Government to account on sweeping new surveillance powers (08.06.2016):

https://privacyinternational.org/node/874

The Guardian (John Naughton), Theresa May’s surveillance plans should worry us all (12.06.2016):

http://www.theguardian.com/commentisfree/2016/jun/12/theresa-may-surveil...

The Register, UN rapporteur: 'Bad example' UK should bin the Snoopers' Charter (09.03.2016):

http://www.theregister.co.uk/2016/03/09/un_bad_example_uk_should_outlaw_...

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

3. Ny integritetsutredning: SOU 2016:41

Den 10 juni kom, efter flera års arbete, en kartläggning av risker mot den personliga integriteten. Dataskydd.net har läst den.

Utredningens skriver, för vad Dataskydd.net tror är första gången någonsin i utredningsväsendets historia, att sanktionssystemet i svensk lagstiftning inte fungerar. Få exempel finns på när skadestånd har utdömts, och skadeståndens storlek är inte tillräckligt stora för att antas ha den effekt som eftersträvas (kapitel 6.8). Utredningen behandlar också den dåliga representationen för enskilda i statens arbete med informationssäkerhet (kapitel 22). Trots politiska ambitioner att sätta enskilda i centrum har ansvaret för informationssäkerhet framför allt hamnat hos myndigheter som har ett annat fokus än enskildas rättigheter. Det finns en viss språkförbistring mellan svenska och engelska som förvirrar statens hantering av informationssäkerhet, på ett för enskilda missgynsamt sätt.

För Dataskydd.net är det här utredningens viktigaste observationer, eftersom de har direkt inverkan på enskildas möjligheter att utöva sina rättigheter aktivt och effektivt.

Utvecklingen av e-förvaltningssystem och IT-användning i flera bärande samhällsfunktioner (skola, statlig förvaltning, vård, försäkring, brottsbekämpning) konstateras vara huvudsakligen bortkopplad från integritetsfrågor (kapitel 11). Det är en viktig observation, och som utredningen poängterar finns en risk att man bygger IT-system som efteråt visar sig vara dåliga för dataskydd men som är mycket svåra eller dyra att förbättra. Det är ett litet steg bort från antagandet i utredningen om en myndighetsdatalag (SOU 2015:39) att dataskydd står i motsats till effektivitet. Utredningen har emellertid känt sig nödgad att försvara den svenska utvecklingen genom att stoppa in ett stycke om "potentialen" med inskränkningar av dataskyddet efter varje verksamhetsbeskrivning. Som i många andra utredningar undviker man dock att bedöma i vilken utsträckning "potentialen" faktiskt givit konkreta resultat (till exempel genom kostnadsminskningar, produktivitetsökningar eller ökat förtroende för myndigheterna från allmänheten).

Tyvärr har utredningen i de flesta fall där information saknas dragit slutsatsen att en brist på information innebär att enskildas rättigheter är förhållandevis starka. Underrättelseverksamhet (kapitel 19) och statistikframställning (kapitel 10) är exempel på verksamheter där det inte funnits eller varit möjligt att få information om hur enskilda påverkas, och där utredningen därför antagit att det inte finns några betydande problem.

Den tekniska utredningen av integritetsskyddande teknologier i bilaga 3 får inget genomslag i behandlingen av den tekniska infrastrukturen i de förvaltningar som utredningen undersökt. Det är därför inte uppenbart att utredningen tillgodogjort sig kunskapen att Skolfederationen som beskrivs i kapitel 7.5 är samma tekniska system som upphöjs som särskilt integritetsskyddande i bilaga 3. Enligt Dataskydd.net är det denna sorts brist på sammankoppling av teknisk kunskap och juridiska avvägningar som kan antas ligga bakom många av de genomgående problem som drabbar enskilda i svenska myndighets-IT-system. I kapitel 11 pratar man om Privacy-Enhancing Technologies (PET:s), återigen utan att återkoppla till den tekniska utredning av integritetsskyddande teknologier som man får anta beställts av utredningen specifikt för att få kunskap om PET:s.

Utredningen observerar att amerikanska nättjänster infört bättre skydd för enskilda i svallvågorna av Snowden-avgörandena, men gör inga ansatser till att kartlägga tillfällen då myndigheters handlingar påverkat elektronisk tjänsteutveckling åt andra hållet (kapitel 13). Då myndigheternas och lagstiftarnas prioriteringar påverkar hur näringslivet utformar sina produkter och standardiserar teknologier är det en förhållandevis allvarlig miss. Dataskydd.net har tillsammans med Föreningen för digitala fri- och rättigheter (DFRI) lyft problemet i förhållande till modernisering av husrannsakansregler, men ytterligare behandlingar av ämnet finns till exempel i Datainspektionens och Post- och telestyrelsens gemensamma utredning av mobiloperatörer och dataskydd från 2010. Även då utredningen går igenom teknologier som wifi-tracking och RFID är det uppenbart att en teknisk återkoppling saknas (kapitel 12). Utredningen undviker helt de frågeställningar om kryptering, bakdörrar, tjänster som inte långtidslagrar kommunikation mellan användare och direktåtkomststandarder som präglat diskussionerna om enskildas kommunikation de senaste åren.

I många fall tvingas utredningen falla tillbaka på att tidigare utredningar (till exempel Integritetsutredningen 2007) redan observerat att skyddet för enskilda är svagt, dåligt koordinerat och oöverskådligt även för utredarna. Vilka slutsatser utredningen drar av att många påtalade brister (till exempel att myndigheter inte följer lagen, kapitel 9 och kapitel 18) redan varit kända, och vilka åtgärder som kan vidtas mot de brister som nu upprepas, kommer att visa sig i uppföljningsbetänkandet som kommer nästa år.

För Dataskydd.net är det inte uppenbart varför så mycket energi har lagts på att beskriva varför och vilka hemliga tvångsmedel polisen har tillgång till. Som utredningen konstaterar utreds dessa befogenheter ofta, och lagstiftningen förändras ständigt. Man återupprepar det obefogade påståendet att abonnentuppgifter inte kan vara känsliga: formellt är det sant att de inte faller under dataskyddsförordningens artikel 9 (ras, etnicitet, religion, politiska åsikter, DNA), men det finns inget fog för att de skulle vara mindre känsliga än personnummer, IP-adresser, eller den sorts profileringsdata som Försäkringskassan använder sig av (kapitel 11.1.9). Att de brottsbekämpande myndigheterna kan ha effekt på näringslivets prioriteringar observeras inte alls.

Resultatet blir en svårgenomtränglig textmassa som bara tar upp tid för läsaren. De delar av kartläggningen som för upp ny information - till exempel om den dåliga regleringen av polisens insamling av uppgifter på internet - är i stället korta, begripliga och koncisa, så som man hoppas att utredningen ska vara i sin helhet. Dataskydd.net efterlyser ett högre fokus på korta, begripliga sammanställningar av relevant information, i stället för långrandiga och onödiga hänvisningar till andra utredningar.

Utredningen ger sig på sisyfos-uppdraget att definiera "privacy" men misslyckas med hänvisning till att även andra utredningar misslyckats med detta. Frågan om vad rätten till privatliv är blandas ihop med varför en rätt till privatliv är viktig. Man saknar den enklare uppdelning mellan rätten till privatliv (ett koncept) och rätten till dataskydd (en metod) som finns i den europeiska rätten. Källmaterialet i teoridelen (kapitel 5) kommer från den amerikanska doktrinen, vilket kan antas ge sämre förutsättningar att förstå den svenska lagstiftningstraditionen och även det nya europeiska dataskyddsregelverk som kommer börja gälla i Sverige från och med 2018.

Den allvarligaste bristen är att enskilda fortfarande mest sätts i baksätet för utredningens ansats. Utredningens riskgradering verkar till exempel inte vara kopplad till enskildas möjligheter att själva utöva makt och inflytande över sin identitetsutveckling, utan vilken möjlighet myndigheterna har att skydda enskilda från att otillbörligen påverkas utifrån. Det är en passiv enskild - ett offer för omständigheterna - som förutsätts utgöra skyddsobjektet, vilket får till följd att det man kallar "risk" blir mindre av att ett fåtal passiva enskilda kan påverkas, eller upplevs mindre allvarlig för att myndigheterna själva kan göra något åt "risken".

Det viktigaste med utredningen är dock inte hur deras innevarande kartläggning tagit form, utan vilka åtgärder som utredningen kommer att föreslå i sitt uppföljande betänkande.

Läs mer:

SOU 2016:41. Hur står det till med den personliga integriteten? – En kartläggning av Integritetskommittén

http://www.regeringen.se/rattsdokument/statens-offentliga-utredningar/20...

Dataskydd.net och DFRI lämnar in en skrivelse till utredningen om modernisering av regler för husrannsakan och beslag (26.05.2016):

https://dataskydd.net/nyheter/2016/05/26/dataskyddnet-och-dfri-lamnar-en...

Dataskydd.net, Inlaga till integritetsutredningen Ju 2014:09 från Dataskydd.net (01.03.2016):

https://dataskydd.net/nyheter/2016/03/07/dataskyddnet-har-skickat-inlaga...

Remissyttrande över SOU 2015:39 om en ny myndighetsdatalag (23.11.2015):

https://dataskydd.net/sites/default/files/sou201539_remissyttrande_datas...

SOU 2007:22, Skyddet för den personliga integriteten - kartläggning och analys

http://www.regeringen.se/rattsdokument/statens-offentliga-utredningar/20...

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

4. Upprörande diskussion om ny biobanksutredning: polisen och försäkringsbolagen vill ha tillgång till DNA-register

I samband med publikationen av utredningsuppdraget direktiv 2016:41 har det uppstått en häftig debatt om registerforskning. Flera medier uppmärksammade att regeringen har efterfrågat en bedömning av lämpligheten att tillgängliggöra DNA-register och andra biobanker för polisen och försäkringsmedicinsk forskning.

Det är enligt Dataskydd.net redan olämpligt att skriva in patienter i biobanker utan deras vetskap eller möjlighet att protestera. Ofta är informationen till patienter bristfällig och de ges inga alternativ att ställa sig utanför databaserna även om de skulle vilja. Information om långsiktiga konsekvenser och informationssäkerhet saknas, och i landstingen kan det till och med vara förbjudet att dela ut information till patienter som motsäger landstingets egna upplevelser av registreringsverksamheten.

Om regeringen sedan vill ändra syftet med biobankerna, sprida dem och göra tillgängligheten större än vad patienterna från början fått information om, är det naturligtvis dåligt. Som Integritetskommittén i SOU 2016:41 är patienters och tidigare patienters makt och information om hur deras uppgifter används inom forskningen redan väldigt svag, och regeringens nya ambitioner för registrena borde ytterligare undergräva förtroendet för makthavarnas vilja att skydda enskildas rätt till makt över sin egen genetiska och biometriska information.

Läs mer:

Kommittédirektiv 2016:41, En ändamålsenlig reglering för biobanker:

http://www.regeringen.se/rattsdokument/kommittedirektiv/2016/05/dir.-201...

Dagens Nyheter, PKU-register kan öppnas för polisen (03.06.2016):

http://www.dn.se/nyheter/sverige/pku-register-kan-oppnas-for-polisen/

Dagens Juridik, Blodprov från forskningsregister kan öppnas för brottsutredningar - och försäkringsbolag (03.06.2016):

http://www.dagensjuridik.se/2016/06/blodprov-fran-forskningsregister-kan...

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

5. Regeringen förnyar sina ansatser för ett nationellt e-legitimationssystem

Legitimationer och rätten till privatliv är ett ständigt återkommande tema i både näringslivet och förvaltningen. Legitimation är i vissa avseenden motsatsen till anonymitet, och anonymitet (rätten att vara hemlig och bli lämnad i fred) har länge utgjort en grundpelare för i alla fall svensk doktrin om rätten till privatliv.

Dataskydd, privatliv och legitimation behöver dock inte vara ses som polära motsatser, och kring detta har det funnits en aktiv diskussion i vissa delar av förvaltningen sedan 2010.

I grunden för projektet med en svensk e-legitimation som kapsejsade 2015 låg tanken att det är orimligt att ett relativt fåtal privata aktörer (banker) ska kontrollera hur svenska privatpersoner får tillgång till en offentlig identitet, det vill säga ett bevis för att de är den de säger att de är. Svensk e-legitimation syftade till att skapa ett nationellt system som liknar Skolfederationen beskriven i Integritetskommitténs utredning SOU 2016:41 kapitel 7.5. Detta visade sig rimma illa med stora statliga myndigheternas förväntningar på legitimation och identitet, och något politiskt ledarskap i motstånd till myndigheternas konservatism kunde inte uppbringas.

Den nya utredningen ska bland annat titta på förutsättningar för e-legitimation i förhållande till Mina meddelanden, en statlig tjänst för elektronisk korrespondens till myndigheter.

Även om det inte uttryckligen framgår av direktiven, är det tydligt att uppdraget kommit till med anledningen av förra höstens beslut att utesluta Sveriges gemensamma nät för forskning och utbildning (SUNET) ur tjänsten.

Utredningens huvudsakliga syfte är att öka användningen av e-legitimation. Varför detta är önskvärt framgår inte. I Danmark har man uppnått större användning med hjälp av tvång (man förhindrar enskilda från att kontakta myndigheterna med andra medel än genom e-legitimation), vilket enligt Dataskydd.net vore en olycklig väg framåt i Sverige.

Dataskydd och privatlivsfrågor ingår inte i utredningsuppdraget alls, utom som bihang till uppdraget att utreda konsekvenser för "integriteten" (det är otydligt om "integriteten" är integriteten i statens egna dataregister, eller enskildas konceptuella rätt till en makt över sin egen identitetsutveckling). Utredningen kan förväntas ytterligare bidra till eftersättandet av dataskydd och privatliv som observerats av Datainspektionen i ett remissyttrande på Digitaliseringskommissionens slutbetänkande, och i Integritetskommittéens delbetänkande SOU 2016:41.

Dataskydd.net är av uppfattningen att det krävs en bredare ansats till e-legitimationsfrågor än små, bitvisa utredningar. De stora frågorna rör om ett enhetligt identitetssystem alls är nödvändigt, på vilket sätt de statliga myndigheterna knyter näringslivet till sina egna identitetshanteringssystem, när och hur det är befogat att autentisera enskilda samt i vilken utsträckning man behöver extern spårbarhet av enskildas kontakter med myndigheter (det vill säga - är kontakten med en myndighet någonting mellan enskilda och myndigheter, eller är det befogat att tredjeparter såsom banker eller andra företag kan kartlägga och profilera enskilda baserat på deras myndighetskontakter) och vad skillnaden mellan identitet, roller och autentisering är. 

Läs mer:

Kommittédirektiv 2016:39, Effektiv styrning av nationella digitala tjänster i en samverkande förvaltning

http://www.regeringen.se/rattsdokument/kommittedirektiv/2016/05/dir.-201...

Datainspektionen, Integritetsskydd kan inte vara en särfråga när Sverige satsar på digitalisering (16.05.2016):

http://www.datainspektionen.se/press/nyheter/2016/integritetsskydd-kan-i...

SOU 2016:41. Hur står det till med den personliga integriteten? – En kartläggning av Integritetskommittén

http://www.regeringen.se/rattsdokument/statens-offentliga-utredningar/20...

Ny Teknik, Fiasko för regeringens e-leg (14.12.2015):

http://www.nyteknik.se/nyheter/fiasko-for-regeringens-e-leg-6343129

Publikt, "Nämnden har misslyckats med uppdraget" (04.02.2016):

http://www.publikt.se/artikel/namnden-har-misslyckats-med-uppdraget-18513

SUNET, Sunet stängs av från Skatteverkets tjänst Mina Meddelanden (27.11.2015):

https://www.sunet.se/sunet-mina-meddelanden/

E-legitimationsnämnden, Frågor och svar om eID 2016:

http://www.elegnamnden.se/fragorsvar/fragorochsvaromeid2016overgangstjan...

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

6. Hamburgs datainspektion bötfäller företag för olagliga dataöverföringar till tredje land

Ute i Europa pågår arbetet med att upprätthålla det nya rättsläget för överföringar av personuppgifter till tredje land. Tre företag har bötfällts av datainspektionen i Hamburg för att inte ha vidtagit åtgärder för att korrigera sina dataöverföringar till det nya rättsläge som råder efter Schrems-beslutet i oktober 2015. Schrems-beslutet från EU-domstolen innebär att EU-kommissionens så kallade Safe Harbor-beslut är ogiltigt, och att företag inte kan utgå ifrån att de får flytta personuppgifter till USA utan att ha samtycke eller annan avtalsrättslig grund för förflyttningen. EU-domstolen fattade beslutet mot bakgrund av att amerikanska myndigheter kräver åtkomst till personuppgifter på sätt som inte är rättssäkra ur europeiska privatpersoners perspektiv.

Det är inte första gången Schrems-beslutet används som grund för beslut av datainspektioner på kontinenten. Även franska datainspektionen CNIL har i februari mot bakgrund av Schrems-beslutet riktat krav mot Facebook. I Sverige har Datainspektionen inte haft intresse eller möjlighet att granska dataöverföringar.

Hamburgs datainspektion förtydligar att de även vill ha en granskning av de så kallade standardavtalsklausulerna som nu ersätter Safe Harbor-beslutet. Inget av företagen har ändrat på någonting annat än de juridiska omständigheterna kring dataöverföringarna. Rent praktiskt är företagens dataöverföring fortfarande tekniskt upplagd på ett sådant sätt att de amerikanska myndigheterna kan beröva europeiska enskilda sådana rättssäkerhetsåtgärder som EU-domstolen menar är grundläggande för vår demokrati.

De lege data, Hamburg Data Protection Watchdog Fines International Companies For Illegal Data Transfers (06.06.2016):

https://www.delegedata.de/2016/06/hamburg-data-protection-watchdog-fines...

Dataskydd.net, Franska datainspektionen framför dataskyddskrav till Facebook (11.02.2016):

https://dataskydd.net/nyheter/2016/02/11/franska-datainspektionen-framfo...

Dataskydd.net, Artikel 29-gruppen är inte övertygade av Privacy Shield (18.04.2016):

https://dataskydd.net/nyheter/2016/04/18/artikel-29-gruppen-ar-inte-over...

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

7. Dataskydd.net, DFRI, SICS och FORES skickar gemensam protest till riksdagen om Justitiedepartementets nya förslag om inhämtningslagen

Tillsammans med DFRI, FORES och SICS har Dataskydd.net i veckan skickat in en ett skarpt formulerat brev till riksdagen där vi tillsammans protesterar mot Justitiedepartementets förslag om ändringar i lagen om inhämtning av elektroniska abonnentuppgifter. Trots den starka kritik som riktades mot utredningen av lagen i remissförfarandet för utredningen SOU 2015:31 har Justitiedepartementet valt att ha kvar lagen under ytterligare en period med hänvisning till EU-domstolens pågående prövning av datalagring i fallet PTS mot Tele2.

Läs mer:

DFRI, Regeringen kör över kritik mot inhämtningslagen (03.05.2016):

https://www.dfri.se/regeringen-kor-over-kritik-mot-inhamtningslagen/

Skrivelse till riksdagen från DFRI, FORES, SICS och Dataskydd.net:

https://www.dfri.se/wp-content/uploads/2016/06/skrivelse_om_inhamtningsl...

Dataskydd.net, Tråkiga politiska manövrar på Justitiedepartementet kring inhämtningslagen (03.06.2016):

https://dataskydd.net/nyheter/2016/06/03/trakiga-politiska-manovrar-pa-j...

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

8. Sammanställning av möjligheterna för svenska regeringen att försämra enskildas rättigheter under EU:s dataskyddsförordning

Arbetet med att bena ut vad Dataskyddsförordningen innebär är i full fart hos fler aktörer än Dataskydd.net. Efter en fråga från riksdagen har vi dock sammanställt information om de 61 möjligheter medlemsstaterna petat in i dataskyddsförordningen för att ändra dess substans i efterhand.

Av dessa rör 11 registerforskning och statistik, 26 rör möjligheter för medlemsländer att ändra enskildas rättigheter enligt förordningen, 10 rör ansvarsfördelning mellan de aktörer som påverkar enskilda och därför enskildas rätt att utöva sina rättigheter enligt förordningen och 15 rör administrativa förhållande rörandes tillsyn. Anledningen till att detta blir 62 undantag är för att artikel 14(5)(b) innebär både ett undantag för registerforskning och statistik, samt ett undantag för tillfällen då så kallade intresseavvägningar måste redovisas för enskilda.

Bland de mer allvarliga riskerna för enskildas dataskydd och datasäkerhet är möjligheten att ha en fortsatt spretig lagstiftning med hundratals registerförfattningar. Sverige har idag ett mycket frikostigt regelverk för forskning och statistikframställningen som de med stöd av förordningen, och till enskildas nackdel, kan bevara. Dessutom finns möjligheten att undantag myndigheter från förordningens sanktionsavgifter, vilket Dataskydd.net redan i sitt remissyttrande till utredningen om en ny myndighetsdatalag (SOU 2015:39) påtalade kan ge mycket dåliga effekter på myndigheternas incitament och möjligheter att skapa ekonomiskt utrymme för dataskyddsstärkande och informationssäkerhetsgrundande åtgärder.

En av de viktigaste verktygen som riksdagen bör eftersträva är att regeringen i varje proposition om undantag från förordningens bestämmelser tydligt anger vilka undantag de stödjer sig på. Transparens är ett viktigt verktyg för både riksdagen och allmänheten att bedöma lämpligheten och rimligheten i regeringens förslag.

Läs Dataskydd.net:s sammanställning här:

https://dataskydd.net/sites/default/files/undantag_i_dataskyddsforordnin...

Läs Dataskydd.net:s remissyttrande över SOU 2015:39 om en ny myndighetsdatalag här:

https://dataskydd.net/sites/default/files/sou201539_remissyttrande_datas...

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

9. Dataskydd.net besöker Friposts integritetsdag i Göteborg

Den 11 juni var Dataskydd.net på besök hos föreningen Fripost i Göteborg för att prata om våra projekt https://webbkoll.dataskydd.net och kommunundersökningen. Dagen inleddes med EU:s nya dataskyddsregler och hur man enkelt och billigt kan göra sin webbplats bäst på dataskydd, och efteråt ordnades en workshop i Tor och anonymisering.

Det tog mindre än 15 minuter att se till att Friposts hemsida inte läcker referrer-information (vilket inte var fallet innan Dataskydd.net:s besök). En klar indikation på att det är både enkelt och går jättesnabbt att stärka enskildas rättigheter på internet! (Även om Fripost redan tidigare hade ett bra skydd mot informationsläckage till både tredjeparter som Google, och mot internetleverantörer, genom HTTPS.)

Andra frågor som dök upp rörde EU:s dataskyddsregler i förhållande till nya regler i handelsavtal, samt molntjänster i skolor. Till skillnad från företag, som i och med dataskyddsförordningen kommer att hamna under ett ökat tryck att lägga beslut om personuppgiftshantering på ledningsnivå, har många kommuner gått vidare med snabba upphandlingar av molntjänster för olika verksamheter. Ansvarskedjan är otydlig, och Datainspektionens uppmärksamhet på området har begränsats till påpekanden om avtalsklausuler som inte egentligen ger några starka garantier för varken föräldrar eller elever om de framtida konsekvenserna av upphandlingarna.

Läs mer om föreningen Fripost och uppkommande aktiviteter i Göteborg på föreningens hemsida:

https://fripost.org/

Se också:

Presentation från Friposts integritetsdag:

https://dataskydd.net/sites/default/files/20160611_fripost_dataskyddnet.pdf

Dataskydd.net, Hur bra är din kommun på dataskydd? Se vår kommunundersökning! (31.05.2016):

https://dataskydd.net/nyheter/2016/05/31/hur-bra-ar-din-kommun-pa-datask...

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

10. Kommande

Event:

Dataskydd.net är med på WordCamp Europe, Wien 24-26 juni:

https://2016.europe.wordcamp.org/

Remisser:

Ds 2016:13, Nya möjligheter till operativt polissamarbete med andra stater. Dödslinje: 1 september 2016.

http://www.regeringen.se/rattsdokument/departementsserien-och-promemorio...

Övrigt:

EU-kommissionens öppna samråd om direktivet om personuppgiftsskydd i elektroniska miljöer. Dödslinje: 5 juli 2016.

https://ec.europa.eu/digital-single-market/en/news/public-consultation-e...

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

Saknas det något dataskyddsrelaterat vi borde ha med? Är du intresserad av att hjälpa till? Kontakta oss på info@dataskydd.net!

All text, förutom citat, är tillgänglig under CC0 (ingen upphovsrätt).