Dataskydd.NET

Vol. 3, nr. 13, 11 juli 2016

https://dataskydd.net - info@dataskydd.net

Information om EU:s dataskyddspaket och skydd av den personliga integriteten, både juridiskt och tekniskt, i den digitala världen.

Detta nyhetsbrev finns även på https://dataskydd.net/nyhetsbrev/dataskyddnet-313

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

I detta nummer:

1. Dataskydd i början av sommaren
2. Är Dataskydd.net farligare än Google? Webbkakor, webbhistorik och försvarssekretess
3. Tillsynsmyndigheter och mänskliga rättigheter: ett testfall med PTS
4. När måste Skatteverket berätta att den sålt personuppgifter: SPAR-registret och Datainspektionen
5. Kommande

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

1. Dataskydd i början av sommaren

Det här nyhetsbrevet kommer inte att handla om nyheter från de senaste två veckorna (till exempel har två nya kommittédirektiv släppts från regeringen om hur dataskyddsförordningen kan inverka på olika statliga verksamheter, att Privacy Shield har börjat gälla för dataöverföringar mellan EU och USA, att vi förväntar oss ett förhandsutlåtande från EU-domstolen om datalagring 19 juli och både EU-parlamentet och polska regeringen har antagit ny och skrämmande anti-terroristlagstiftning) utan istället om några av de pågående rättsprocesser som Dataskydd.net har arbetat med under det senaste året. Vanligtvis har vi löpande publicerat information om hur de olika rättsprocesserna fortgår, men nu finns för första gången dokumentbibliotek med mer utförlig dokumentation av olika domstolars och myndigheters utlåtanden.

Vi har gjort en tidslinje över den mest omfattande processen. Det är en process mot polismyndigheten som har som mål att etablera att privatpersoner inte är farligare för rikets säkerhet än Google. Genom att begära ut webbkakor och webbhistorik har vi försökt få rättspraxis på att myndigheter inte först kan lämna ut sina surf- och resevanor till en multinationell reklamindustri, och sedan hävda att medborgare kan utgöra ett hot mot myndigheterna om de får tillgång till samma information.

I en annan process försöker vi lyfta komplikationer med statens person- och adressregister med Datainspektionen. Deras juridiska analys av nya rättigheter EU-medborgare förvärvat genom EU-domstolen förra året hänvisar till rättigheter som enligt svensk lagstiftning inte finns eller är mycket kostsamma att utöva. Datainspektionen bortser ifrån att det kan finnas även östeuropeiska länder som publicerar sin lagstiftning på internet utan att man för den delen kan anta att samtliga invånare i ett land kan informera sig om vad lagstiftningen innebär. Bror Duktig-syndromet i den svenska statsapparaten kan misstänkas ha lett till förutfattade meningar om vad "information till privatpersoner" innebär.

Till sist har vi också försökt hjälpa en kund till företaget Bahnhof att säkerställa att även tillsynsmyndigheter som Post- och telestyrelsen aktivt måste arbeta med att upprätthålla de grundläggande rättigheterna som alla privatpersoner i Sverige åtnjuter enligt Europeiska konventionen för mänskliga rättigheter. Det här är givetvis av yttersta principiell vikt: om vissa delar av statens exekutiva grenar kan motarbeta de mänskliga rättigheterna, samtidigt som medborgare inte har någon möjlighet att direkt överklaga varken regeringens eller riksdagens beslut om vissa sorters lagstiftning, kan lagstiftning som inte är förenlig med de mänskliga rättigheterna fortsätta gälla oavsett vad domstolarna i Luxembourg (EU-domstolen) och Strasbourg (Europadomstolen) säger. Det kan inte vara tanken med det människorättsliga regelverk som svenska staten underordnat sig.

Om ni har kommentarer eller tips, eller vill hjälpa till med framtida processer, bli gärna medlemmar i Dataskydd.net eller kontakta oss på info@dataskydd.net.

vänliga hälsningar --

Amelia Andersdotter och Anders Jensen-Urstad

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

2. Är Dataskydd.net farligare än Google? Webbkakor, webbhistorik och försvarssekretess

                                
Sommaren 2015 företog sig Amelia Andersdotter att å Dataskydd.net:s vägnar begära ut webbkakor och webbhistorik från Anders Ygeman och Morgan Johansson. Både kakor och webbhistorik är digitala tekniker som företag kan använda för att kunna skicka reklam till privatpersoner på internet. De ger en inblick i vad en person läser, hur länge, hur ofta och vilka intressen de har. Anledningen till begäran var att se i vilken utsträckning makthavare kan granskas av medborgare på samma sätt som medborgare och enskilda i Sverige kan granskas av makthavare.

Ministrarnas IT-säkerhetsansvarige nekade utlämningarna med hänvisning till rikets säkerhet. 

Rikets säkerhet är dock en dålig grund att vägra utlämning av uppgifterna, eftersom reklamföretag regelbundet använder sig av både kakor och webbhistorik för att anpassa reklamerbjudanden och nyhetsinnehåll till ministrarna. Om en viss handling är tillräckligt offentlig för att en minister ska få rätt erbjudanden om skor, eller tillhandahållas rätt sorts nyhetsartikel av ett mediaföretag, då är den tillräckligt offentlig för att en medborgare ska tillåtas granska den.

Det är emellertid inte möjligt att överklaga regeringsbeslut i Sverige, så enda möjligheten att få en domstolsprövning var att göra en liknande förfrågan till en myndighet. Därför skickade Amelia Andersdotter en begäran till polismyndigheten om att få rikspolischefens webbkakor och webbhistorik utlämnade.

Den 16 juni 2015 skickades den första begäran in. Polismyndigheten började med att hänvisa till att det var för tekniskt komplicerat för dem att lämna ut handlingarna, då rikspolischefen inte använder en PC utan en iPad. Kammarrätten dömde i oktober 2015 till Dataskydd.net:s fördel att polismyndigheten inte med hänvisning till komplicerad teknisk apparatur kan undvika att uppfylla sina lagliga skyldigheter.

Den 8 februari 2016 lämnade polismyndigheten ut kraftigt maskat material, med hänvisning till att det var för svårt att göra sekretessbedömningar av kakornas värde (den textsträng som reklamindustrin använder för att återidentifiera och kartlägga enskilda webbesökare) i varje enskilt fall.

För vissa webblänkar (lejonparten av webbhistoriken är tyvärr kontinuerligt borttagen av rikspolischefen under tiden för prövningen) hade polismyndigheten även åberopat försvarssekretess och personaladministrativ sekretess.

Den 20 juni 2016 beslutade kammarrätten mestadels till Dataskydd.net:s fördel. Bland annat får polisen inte åberopa sekretess bara för att inte de orkar bedöma om handlingen kan lämnas ut, och personaladministrativ sekretess går inte heller att åberopa för uppgifter som inte rör hantering av personaladministration. Det gör att vissa tidigare maskerade länkar och de flesta maskerade kakvärden måste lämnas ut.

På en punkt gick dock kammarrätten inte Dataskydd.net till mötes. Denna punkt är den viktigaste och den kring vilken Amelia Andersdotter från början riktade invändningar till Justitiedepartementet:

Vid ett antal tillfällen har rikspolischefen gjort sökningar efter resor på Waxholmsbolagets hemsida. Waxholmsbolaget har ett reklamsamarbete med företaget Google, som därmed delges all information om varje sökning som görs på Waxholmsbolagets hemsida. Resenärer som inte vill berätta för Google vad de söker efter för resor kan inte använda hemsidan (sökfunktionen fungerar inte om man som besökare inte vill berätta för Google vad man gör).

 
Kammarrätten menar att polisens roll i totalförsvaret motiverar en sekretessklassning av sökningarna på Waxholmsbolaget. De antar att reklamföretagens kartläggningar av sökningar på Waxholmsbolaget är hypotetisk  trots att hemsidan är obrukbar utan att man underkastar sig kartläggningen.

Det här leder till två problem: det ena är att enskilda medborgare anses vara ett större hot mot riket än vad ett utländskt reklamföretag är, det andra är att Kammarrätten godtar att rikspolischefen av lättja kan använda bekvämliga resebokningstjänster som i och för sig läcker uppgifter som borde försvarssekretessklassas.

Dataskydd.net har lämnat in en begäran om prövningstillstånd från Högsta förvaltningsdomstolen. De flesta mål tas inte upp till prövning av domstolen, utan bara mål som är av exceptionellt intresse.

En nackdel med att gå Dataskydd.net till mötes i frågan om utlämning av webbadresser är att myndighetschefer och ministrar då med nödvändighet begränsas i sin möjlighet att delge reklamföretag information på internet, vilket också skulle kunna begränsa deras möjligheter att använda internet utan att använda särskilda webbläsarplugin. Myndighetschefer och ministrar skulle i praktiken hamna i samma ställning gentemot medborgare och journalister som medborgare har hamnat i gentemot underrättelsetjänster, reklamföretag och internetleverantörer. Särskilt kan det innebära att det blir svårare för rikspolischefen att snabbt och smidigt boka båtresor.

En fördel med att gå Dataskydd.net till mötes är att systemet med offentlighet kring maktutövning inte hamnar i den ologiska situationen att det är okej med försvarssekretessbrott om man vill sälja saker till makthavare, men inte om man vill granska dem. Vi avvaktar fortfarande meddelande om prövningstillstånd.

Då polismyndigheten gjort utlämningarna av uppgifter på utprintat A3-papper har Dataskydd.net inte skannat in de hittills utlämnade uppgifterna eftersom prövning fortfarande pågår.

Läs mer:

Ursprunglig korrespondens med Justitiedepartementet om inrikesministerns och justitieministerns webbhistorik:

https://dataskydd.net/korrespondens-med-justitiedepartementet-om-inrikes...

Tidslinje över Dataskydd.net:s förfrågan till polismyndigheten med rättsprövningar och resultat:

https://dataskydd.net/utlamnande-av-handlingar-polismyndigheten

Polisen vill inte lämna ut kakor och webbhistorik (29 juni 2015):

https://dataskydd.net/sites/default/files/kakor_polisen_nekande_svar_ins...

Dataskydd.net överklagar polismyndighetens första nekande till utlämning (19 juli 2015):

https://dataskydd.net/overklagan-till-kammarratten-av-polisens-kakbeslut...

Kammarrättens första dom (13 oktober 2015):

https://dataskydd.net/kammarrattens-beslut-om-kakor-13-oktober-2015

Kammarrättens andra dom (20 juni 2016):

https://dataskydd.net/kammarrattens-kakdom-20-juni-2016

Dataskydd.net begär överprövning i Högsta förvaltningsdomstolen (27 juni 2016):

https://dataskydd.net/nyheter/2016/07/11/begaran-om-provning-i-hogsta-fo...

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

3. Tillsynsmyndigheter och mänskliga rättigheter: ett testfall med PTS

Den 31 mars 2016 utfärdade Post- och telestyrelsen ett föreläggande mot internetleverantören Bahnhof om utlämning av datalagrade uppgifter till polisen. Bahnhof hade vägrat lämna ut uppgifterna med hänvisning till att förfrågan inte gällde allvarlig brottslighet och har också kämpat mot föreläggandet i förvaltningsrätten och kammarrätten med hänvisning till proportionalitetsprincipen. Bahnhof har förlorat båda sina överklaganden och föreläggande träder därför laga kraft.

Dataskydd.net letade upp en Bahnhof-kund för att testa ett annat angreppsätt.

Den svenska lagstiftningen om inhämtning av elektroniska abonnentuppgifterna, men även bestämmelserna i lagen om elektronisk kommunikation, är utformade för att vara operativ lägliga för polisen. Ofta kan polisen utan föregående prövning i oberoende instans begära ut uppgifter från teleoperatörer (polismyndigheten kan själva bedöma om de borde få övervaka medborgare eller inte). Det saknas även proportionalitetsbedömningar i regeringens förarbeten till lagstiftningen (utredningar, promemorior och propositioner).

Både avsaknaden av proportionalitetsbedömningar och det faktum att lagstiftningen är skriven för att vara operativt läglig snarare än strikt nödvändig strider mot privatpersoners rättmätiga förväntan på rättssäkerhet. Det finns en gedigen praxis från den Europeiska domstolen för mänskliga rättigheter om behovet av föregående granskning inför användningen av hemliga tvångsmedel, och senast i januari 2016 indikerade domstolen att de skulle skärpa sin praxis kring metadata. Vi kan anta att metadata innefattar sådana abonnentuppgifter som flertalet utredningar i Sverige de senaste åren försökt hävda är mindre integritetskänsliga än andra personuppgifter.

En klurig del av överklagandet har varit att etablera Bahnhof-kundens rätt att överklaga Post- och telestyrelsens beslut. Enligt lagen om elektronisk kommunikation kan "annan som påverkats negativt" av ett föreläggande eller beslut överklaga föreläggandet eller beslutet. Bahnhof-kunden påverkas negativt eftersom hans rättigheter inte respekteras, och är också "annan" eftersom föreläggandet inte riktar sig mot honom utan mot hans internetleverantör.

De viktigaste sakerna Dataskydd.net vill se prövade är om den svenska lagstiftningen är förenlig med Europadomstolens avgörande i Zakharov mot Ryssland (december 2015) och Szabo och Vissy mot Ungern (januari 2016). Vi har hittat tidigare exempel på när Europadomstolens praxis slår över den svenska lagstiftningen (NJA 2013 s 746) och även på när regeringens egna proportionalitetsbedömningar inte överensstämmer med Europadomstolens praxis (Mark och miljööverdomstolen, P 7514-15).

I första instans, förvaltningsrätten, har dock domstolen uteslutande fokuserat på att undergräva Bahnhof-kundens rätt att överklaga föreläggandet. Någon behandling av proportionalitet och strikt nödvändighet av den svenska lagstiftningen görs inte av domstolen.

Om en domstol skulle komma fram till att Post- och telestyrelsen har gjort fel som upprätthåller lagstiftningen innebär det betydande problem. Effektivt har Sverige idag ett system där alla domstolar kan vara konstitutionsdomstolar, men vi har inget system för att ogiltigförklara lagstiftning. Det domstolen kan göra är att besluta att en exekutiv myndighet, så som Skatteverket i NJA 2013 s. 746 eller Post- och telestyrelsen som i innevarande fall, ska förhindras från att upprätthålla en gällande lagstiftning. Det är inte tänkt att myndigheterna själva ska behöva hålla koll på hur den människorättsliga praxisen utvecklar sig, utan detta ska regeringen göra. Samtidigt är det orimligt att myndigheter inte behöver hjälpa regeringen med dess viktiga uppdrag att säkerställa efterlevnaden av de mänskliga rättigheterna.

Överklagandet lämnades in till Kammarrätten 4 juli och kräver prövningstillstånd. Det kan knappas väntas förrän efter sommaren.

Läs mer:

Överklagan av Post- och telestyrelsens föreläggande (ODT) (20 april 2016):

https://dataskydd.net/sites/default/files/overklagan_pts.odt

Yttrande till förvaltningsrätten angående Post- och telestyrelsens invändningar mot överklagandet (ODT) (maj 2016):

https://dataskydd.net/sites/default/files/yttrande_forvaltningsratten_ov...

Förvaltningsrätten dom i mål nr 8242-16 av den 13 juni 2016:

https://dataskydd.net/forvaltningsratten-dom-13-juni-2016-overklagande-b...

Överklagande av förvaltningsrättens dom mot överklagandet (ODT) (4 juli 2016):

https://dataskydd.net/sites/default/files/overklagan_pts_forelaggande_ek...

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

4. När måste Skatteverket berätta att den sålt personuppgifter: SPAR-registret och Datainspektionen

Sedan slutet av 1980-talet har Skatteverket möjlighet att mot ersättning lämna ut detaljerad information om identiteten på alla som befinner sig i Sverige, så som kunskap om deras släktskap, boende och inkomster. Statens person- och adressregister en guldgruva för bland annat reklamindustrin och registret finansierar sig helt själv genom att försäljningen av uppgifter kontrakteras ut på en privat underleverantören som utan ytterligare ersättning underhåller registret.

Enligt Skatteverkets årsredovisning 2013 är det så många som 1100 företag som gynnas av företaget EVRY AB:s försäljningsverksamhet. Skatteverket har också satt upp en hemsida där de informerar om sin försäljning till köpare (företag) och produkter (medborgare). Man kan anmäla att man inte vill ta emot reklam - men det går inte att skydda sig mot profilering eller mot utlämning av uppgifter för andra syften än reklam.

Med stöd i danska Datatilsynets rapport om säkerhetsproblemen i system med många korsberoenden från juli 2015 och EU-domstolens beslut i målet C-201/14 om utlämning av uppgifter (målet rörde utlämning av uppgifter mellan två myndigheter, och privatpersonens rätt att bli informerad om detta) lämnade Dataskydd.net in två klagomål till Datainspektionen under hösten 2015. 

Det första klagomålet rörde att Skatteverkets affärsmodell inte från början garanterar en bra säkerhet för privatpersoner i Sverige. Det andra klagomålet rörde att det i dagsläget inte finns några effektiva möjligheter att utöva sina rättigheter gentemot underleverantören EVRY AB:s affärspartners, eftersom privatpersoner inte får information när deras uppgifter lämnas vidare. Skatteverket loggar inte vilka företag som begärt ut specifika privatpersoners uppgifter vid specifika tidpunkter, vilket medför att enskilda inte kan ta reda på mot vilka företag det kan vara intressant att utöva sina rättigheter om man skulle vilja göra det.

Datainspektionen har vid alla inlämnade klagomål informerat Dataskydd.net om att de inte tänker agera för tillfället, men att de sparar klagomålen för framtida bruk. Det finns inga sätt för Dataskydd.net att överklaga Datainspektionens passivitet eftersom myndigheter själva får bestämma hur och när de inleder tillsyn, samt av vilken anledning. I juni 2016 har dock Datainspektionen gjort ett informellt utlåtande, som inte har status av beslut och därför inte går att få rättsligt prövat. I utlåtandet anger de att EU-domstolens avgörande i fallet Bara m.fl. C-201/14 inte är tillämpligt på Skatteverkets utlämning av uppgifter.

Dataskydd.net är inte beredda att släppa Datainspektionens informella svar och har förnyat sina klagomål.

Dataskydd.net har vid några tillfällen tagit emot frågor från enskilda om utlämning av uppgifter från SPAR-registret och hur dessa kan förebyggas. Frågorna rör tillfällen då en enskild uppmärksammats på utlämningen genom att personuppgifterna publicerats på internet. Även Datainspektionen har en informationssida för enskilda som inte vill att deras uppgifter ska publiceras fritt på internet. Datainspektionens informationssida medger att privatpersoner inte har några rättigheter att förhindra spridningen av uppgifter som genomförs av dem som köper uppgifter från Skatteverket eller andra myndigheter, om spridningen omfattas av tryckfriheten.

Datainspektionens hänvisning till Personuppgiftslagens 24-26§§ håller inte, eftersom de i praktiken inte ger enskilda några möjligheter att utöva sina rättigheter gentemot Skatteverket. Bestämmelserna är inte "korrekta" i EU-rättens bemärkelse, eftersom informationskraven antingen åsidosätts av att SPAR-registret omfattas av en egen lagstiftning (24§), eller av att en enskild behöver åsamka sig betydande kostnader innan den enskilda har möjlighet att förstå vilka rättigheter den har (26§).

    - För att en individ i Sverige ska kunna ta reda på hur de 1100 affärspartnerna till EVRY AB (och i förlängningen Skatteverket) hanterar uppgifterna måste man skicka informationsförfrågningar till vart och ett av företagen, underskrivet för hand och med vanlig post. Detta kostar 7150 kronor i avgifter till postleverantörer så som Postnord eller motsvarande. Det är orimligt att man ska behöva betala för att få reda på om man har en rättighet att utöva, och särskilt orimligt blir det i en svensk kontext där skadestånden för felaktig insamling, behandling eller vidarelämning av personuppgifter är lägre än kostnaden för portot att ta reda på om det ens kan finnas en möjlighet till felaktigheter.

    - Enligt de informationsbestämmelser som finns i personuppgiftslagen behöver information inte överlämnas om det finns en särskild lag om personuppgiftsförsäljningen, vilket är fallet för Skatteverkets personuppgiftsförsäljning. Därmed faller möjligheterna för privatpersoner att få tillräcklig och begriplig information om hur de som köper uppgifterna behandlar dem. Detta är särskilt bekymrande i de fall där uppgifterna inte publiceras öppet på internet, eftersom konsekvenserna av behandlingen då inte är uppenbar för den enskilda.

    - EU-domstolen kan inte antas att menat att det är tillräckligt att det någonstans på internet finns en hemsida med information att Skatteverket säljer personuppgifter. Om det vore så skulle nämligen inte de rumänska myndigheterna heller ha fällts av EU-domstolen, eftersom rumänsk lagstiftning publiceras på internet. 
    
Datainspektionen verkar hänvisa Dataskydd.net till möjligheter som är orimligt kostsamma för en enskild, rättigheter som inte finns på grund av bestämmelser i personuppgiftslagen samt omständigheter som, på det sätt Datainspektionen antagit, inte bör antas innebära att svenska staten egentligen är mer transparent än den rumänska.

Med det sagt är det så klart en uppförsbacke för Datainspektionen. Att ta sig an ett viktigt statligt register som är integrerat i de flesta offentliga verksamheters arbetsflöde och som blivit ett likaledes viktigt ekonomiskt instrument för många företag är politiskt svårt. Flertalet utredningar, inklusive arbete i riksdagen särskilt under 1980-talets senare hälft, har också landat i att de praktiska svårigheterna i att avbryta systemet överväger de människorättsliga nyttorna som skulle uppstå av att organisera den statliga identitetsutgivningen på något annat sätt.

Frågan är om det operativt lägliga ska överväga den enskildas rättigheter vid statliga person- och adressregister. Dataskydd.net är inte beredda att sätta enskildas rättigheter åt sidan ännu.

Läs mer:

Datainspektionens svar på klagomål om SPAR-registret (23.06.2016):

https://dataskydd.net/sites/default/files/svar_p_klagoml_om_sparregistre...

Dataskydd.net anmäler SPAR-registret till Datainspektionen (07.10.2015):

https://dataskydd.net/nyheter/2015/10/07/dataskyddnet-anmaler-spar-regis...

EU-domstolen Curia, Avgörande i fallet C-201/14 Smaranda Bara m. fl. (01.10.2015):

http://curia.europa.eu/juris/documents.jsf?num=C-201/14

Dataskydd.net:s anmälan:

https://dataskydd.net/sites/default/files/c20114spar_dataskydd.pdf

Lag (1998:527) om det statliga personadressregistret:

https://lagen.nu/1998:527

Förordning (1998:1234) om det statliga personadressregistret

https://lagen.nu/1998:1234

Statens person- och adressregister på internet:

https://www.statenspersonadressregister.se/

Rumänsk lagstiftning på internet:

http://www.lege-online.ro/legislatie-romaneasca

Skatteverkets årsredovisningar:

http://www.skatteverket.se/privat/sjalvservice/blanketterbroschyrer/bros...

Fundamental Rights Agency, Access to Data Protection Remedies in EU Member States (januari 2014):

http://fra.europa.eu/sites/default/files/fra-2014-access-data-protection...

Korrespondens mellan Dataskydd.net och Datainspektionen (11.07.2016):

https://dataskydd.net/korrespondens-med-datainspektionen-om-c-20114-bara...

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

5. Kommande

Event:

Dataskydd.net är med på IFIP i Karlstad 22 augusti:

http://www.ifip-summerschool.org/programme/

Dataskydd.net är med på Bornhack.dk på Bornholm:

https://bornhack.dk

Dataskydd.net är med på NightlyBuild, Köln 2 september:

https://nightlybuild.io/

Remisser:

Inget på (den officiella) agendan just nu. Inofficiellt kan man börja förbereda sig för remissen på SOU 2016:41.

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

Saknas det något dataskyddsrelaterat vi borde ha med? Är du intresserad av att hjälpa till? Kontakta oss på info@dataskydd.net!