Dataskydd.NET

Vol. 3, nr. 14, 15 augusti 2016

https://dataskydd.net - info@dataskydd.net

Information om EU:s dataskyddspaket och skydd av den personliga integriteten, både juridiskt och tekniskt, i den digitala världen.

Detta nyhetsbrev finns även på https://dataskydd.net/nyhetsbrev/dataskyddnet-314

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

I detta nummer:

1. PrivacyShield-avtalet antaget av mystisk mellanstatlig kommitté
2. Två nya utredningsdirektiv om dataskydd och svensk förvaltning
3. Förhandsutlåtande från EU-domstolen om datalagring 19 juli
4. Ny EU-studie om faktiska ekonomiska kostnader för IT-brottslighet
5. Kommande

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

1. PrivacyShield-beslutet antaget av mystisk mellanstatlig kommitté

Dataöverföringar mellan EU och USA är en politisk soppa och en fallstudie i hur arrogans inför och ovillighet att upprätthålla privatpersoners rättigheter leder till stora kostnader för domstolar, företag och privatpersoner. Som ofta är fallet i EU-politiken är det inte tydligt exakt var ansvar ska utkrävas, men det förefaller vara på medlemslandsnivå, någonstans i Sveriges regering och inte nödvändigtvis bland de politiker vi hoppas ska förvalta ett ledarskap som är bra för oss.

Händelseförvecklingen kring Privacy Shield är lång, och började med att den österrikiske studenten Max Schrems tog frågan om rättssäkerhet vid uppgiftsinsamling hos Facebook till EU-domstolen. EU-domstolen konstaterade att USA inte har ett tillräckligt bra regelverk för att garantera EU-medborgarnas rättighet till förutsägbarhet och schyst databehandling. Det fanns inget fullgott skydd mot godtycklig övervakning.

EU-kommissionen började därför förhandla fram ett nytt beslut om att USA är ett bra land att överföra data till. De kallade det nya beslutet Privacy Shield och offentliggjorde i våras ett utkast som då fick stark kritik från EU:s datainspektioner.

Medlemsländerna valde att inte säga ja till det nya beslutet på en gång, men efter obefintliga förändringar i avtalstexten och utan att rådfråga datainspektionerna igen, har nu godkännandet ändå ägt rum.

I EU måste vissa av EU-kommissionens beslut godkännas av "komitologin" innan de blir formella beslut. Privacy Shield-beslutet är ett sådant beslut, och undersöktes i mitten av juli av den så kallade Artikel 31-kommittén.

Kommittén är en del av komitologin och etableras av artikel 31 i det gamla dataskyddsdirektivet. Den kommer leva kvar som en Artikel 93-kommitté under den nya förordningen, och består av representanter från medlemsländernas regering.

Sverige representeras i Artikel 31-kommittén av grundlagsenheten på Justitiedepartementet. Företrädaren är fortfarande på semester.

Om den svenska representanten i kommittén har fört upp möjligheten att låta Artikel 29-gruppen, en samarbetsgrupp för europeiska datainspektioner,  granska även EU-kommissionens nya förslag till Privacy Shield-beslut är i dagsläget oklart.

Säkrare är i sådana fall att många är missnöjda med EU-kommissionens förslag till nytt beslut. Det är allt annat än uppenbart att det nya beslutet uppfyller europeiska medborgares förväntan på grundläggande rättigheter, eller respekterar den rättsordning vi har i EU. Väldigt snabbt stod det klart att skillnaderna mellan den nya texten och den gamla texten var små, och att den innevarande amerikanska administrationen skulle kunna tillgodose de europeiska kraven på rättssäkerhet med fler förtroendeingivande brev är osannolikt.

Datainspektionen i Hamburg har gjort det klart att de kommer försöka få beslutet prövat i domstol. Artikel 29-gruppens ordförande, som kommer ifrån franska datainspektionen CNIL, har sagt att gruppen kommer acceptera beslutet men att de vill genomföra många granskningar av hur det upprätthålls. På svenska juridik-nyhetssidan Dagens juridik har bedömare förhållit sig avvaktande till Privacy Shield-beslutet.

Det är mycket formalia i beslutets certifieringsprocess för liten uppenbar nytta - både för företagen och för privatpersoner.

För allas skull hade det varit bättre om EU-kommissionen hade satsat på ett gott politiskt ledarskap och ett vattentätt beslut, istället för att sätta igång hela processen med nya domstolsprövningar. Det hade varit ärofyllt om svenska regeringen genom sin representant i Artikel 31-kommittén hade stått upp för bättre ledarskap.

Det är inte respektingivande att ha en minimalistisk inställning till EU-medborgarnas rättigheter och förväntan på rättssäkerhet, och det kommer bli ett svårt nederlag för EU-kommissionen om EU-domstolen tvingas gå in och riva upp ännu ett beslut.

Ett stort ansvar måste läggas på Artikel 31-kommittén, som hade kunnat men inte ville se till att beslutet faktiskt blev det rätta. Dataskydd.net undersöker för närvarande vem som fattat beslutet i Sverige att svenska regeringen ställer sig bakom beslutet, och under vilka omständigheter. Här finns ett politiskt ansvar att utkräva även på den nationella nivån. Frågan är bara var.

Läs mer:

EU-kommissionen, Statement by Vice-President Ansip and Commissioner Jourová on the occasion of the adoption by Member States of the EU-U.S. Privacy Shield (08.07.2016):

http://europa.eu/rapid/press-release_STATEMENT-16-2443_en.htm

IAPP, Hamburg's DPA aiming to challenge Privacy Shield (04.08.2016):

https://iapp.org/news/a/hamburgs-dpa-aiming-to-challenge-privacy-shield/

Dagens juridik, (Advokatfirman Lindahl:) "De nya reglerna om överföring av personuppgifter till USA gäller - tills EU-domstolen sagt sitt..." (25.07.2016):

http://www.dagensjuridik.se/2016/07/analys-debatt-frydlinger-rehbinder

Dataskydd.net, PrivacyShield klart att godkännas efter att USA berättat att de vill väl (30.06.2016):

https://dataskydd.net/nyheter/2016/06/30/privacyshield-klart-att-godkann...

Mer information om "lämplighetsbeslut" på EU-kommissionens hemsida:

http://ec.europa.eu/justice/data-protection/international-transfers/adeq...

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

2. Två nya utredningsdirektiv om dataskydd och svensk förvaltning

I sommar har det kommit två nya utredningsdirektiv: Personuppgiftsbehandling på utbildningsområdet och Personuppgiftsbehandling för forskningsändamål.

Den förstnämnda handlar om personuppgifter vid studiestöd, i kommunernas skolverksamhet och andra platser där vi idag har särskilda statliga förordningar som reglerar utbildningsverksamhet. Även studiecirklar och studielånsmyndigheterna omfattas.

Den senare nämnda rör området registerforskning (till exempel biobanker) och andra personuppgifter som lagras i forskningssyfte. Forskare kan vara intresserade av ett väldigt stort antal register och behöver idag bara genomgå etikprövningar om man kan anta att forskarna kommer att hantera känsliga uppgifter (en juridiskt definierad kategori uppgifter som innefattar sexualitet, etnicitet, religion, och dylika uppgifter om en enskild). Utredningen ska bedöma om det behövs fler undantag, om privatpersoner behöver mindre rätt till information än förordningen föreslår och hur man ska ha kvar den nuvarande registerforskningen i Sverige.

Det är oklart hur utredningen om Personuppgiftsbehandling för forskningsändamål ska förhålla sig till den mer kontroversiella utredningen om att öppna PKU-registret för polisiära och försäkringsmedicinska ändamål (folkhälsoministern har nyligen satt ned foten mot att tillgängliggöra registret för polisen).

Lika oklart är det varför studiecirklar och kommuner inte kan förhålla sig till den allmänna dataskyddsförordningen istället för till en statlig förordning. Överreglering kan vara ett recept på sämre möjligheter för enskilda att förstå sina rättigheter och utöva sina rättigheter.

Läs mer:

Kommittédirektiv 2016:63, Personuppgiftsbehandling inom utbildningsområdet (05.07.2016):

http://www.regeringen.se/rattsdokument/kommittedirektiv/2016/07/dir.201663/

Kommittédirektiv 2016:65, Personuppgiftsbehandling för forskningsändamål (07.07.2016):

http://www.regeringen.se/rattsdokument/kommittedirektiv/2016/07/dir.201665/

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

3. Förhandsutlåtande från EU-domstolen om datalagring 19 juli

Idag släppte EU-domstolen ett förhandsutlåtande om datalagring. Frågorna skickades till EU-domstolen av Kammarrätten i Stockholm på uppmaning av Post- och telestyrelsen och Tele2, då Tele2 ifrågasatt Post- och telestyrelsens bedömning att den svenska datalagringslagen fortfarande var giltig efter EU-domstolens tidigare avgörande i frågan 8 april 2014.

Ett förhandsutlåtande är inget domslut, och är inte bindande för varken domstolen eller medlemsländerna. Det är en indikation på hur domstolen kan komma att resonera, och ofta är förhandsutlåtanden tydligare än de slutgiltiga domsluten (som alltid kompromissas fram mellan domstolens fulla uppsättning domare).

Vissa av poängerna från förhandsutlåtandet är dock viktiga för den svenska situationen:

Punkt 122: En allmän datalagringsplikt, som den vi har i Sverige, omfattas av EU:s direktiv om integritet i elektroniska kommunikationsnät. Därför faller en sådan allmän datalagringsplikt under EU:s stadga för grundläggande rättigheter. Det innebär att lagringen måste genomföras för att uppnå ett allmänt intresse, vara lämplig för att uppnå detta intresse, absolut nödvändig för intresset samt proportionerlig i ett demokratiskt samhälle. Lagringen måste vara föreskriven i lag, vilket generaladvokaten föreslår ska innebära att plikten är begränsad och att det finns medel mot missbruk.

Punkt 226: Generaladvokaten understryker att listan med tekniska säkerhetskriterier och rättssäkerhetskriterier i EU-domstolens tidigare dom mot datalagring i april 2014 inte ska tolkas som en buffé utan som en kumulativ lista. Ett land som Sverige behöver alltså reglera både lagring, tillgång, utlämning och användning av datalagrade uppgifter. Det räcker inte att ha reglerat antingen lagring, tillgång, utlämning eller användning.

I punkt 226 omintetgör alltså generaladvokaten den svenska utredaren Sten Heckschers resonemang från utredningen om Datalagring och integritet (SOU 2015:31), där Heckscher menade att en "sammantagen bedömning" var tillräcklig. Punkt 226 borde också innebära att Förvaltningsrätten i Stockholms domslut från förra året - som helt stödde sig på Heckschers sammantagna bedömning från Departementsserien 2014:23 - inte längre kan antas giltig.

I punkt 122 bekräftar generaladvokaten att vi i egenskap av europeiska medborgare har ett konstitutionellt skydd från EU:s stadga för grundläggande rättigheter, i alla fall vad gäller integritet i elektroniska kommunikationsnät. En följd av detta borde vara att all personuppgiftsbehandling i polisväsendet också framöver kommer att täckas av EU:s stadga för grundläggande rättigheter, då EU:s nya direktiv för personuppgiftsbehandling i brottsbekämpande verksamheter träder i kraft i maj 2018.

I punkt 209 understryker generaladvokaten att medlemsländernas domstolar mot bakgrund av att EU:s stadga ska tillämpas på datalagring (enligt punkt 122) noggrannt måste överväga om regeringen verkligen utvärderat ifall andra, mindre inskränkande åtgärder inte varit tillräckliga - eventuellt i kombination med ytterligare åtgärder.

Generaladvokaten föreslår riktad övervakning (att man ber en teleoperatör bevara en enskild individs uppgifter under en begränsad tidsperiod) som alternativ. I Sverige bör en sådan genomgång inte ha gjorts sedan SOU 2007:76 om trafikdatalagring, eftersom propositionen från 2009 berörde tvånget från EU och Heckschers utredning från 2015 bara berörde frågan om det nuvarande svenska regelverkets påstådda förenlighet med EU-domstolens tidigare dom.

Även om EU-domstolens slutgiltiga domslut inte kommer att följa generaladvokatens råd till punkt och pricka, räcker det med att de inspireras av generaladvokaten för att följderna i Sverige ska bli att domstolar får ett utökat mandat att granska regeringens och riksdagens arbete med att säkerställa proportionalitet och rimlighet i användningen av tvångsmedel. Det här är en bra dag för dataskyddsvänner och leder förhoppningsvis även till att regeringen tar större ansvar för enskildas rättigheter.

Uppdatering: Generaladvokaten har sagt att datalagring bara kan motiveras med hänvisning till allvarlig brottslighet. I målet Bonniers Audio m.fl. mot Perfect Communications AB C-461/10 bestämde dock EU-domstolen att datalagrad data kan användas för att bekämpa även mindre allvarlig brottslighet, så som upphovsrättsintrång. Om datan redan är lagrad med hänvisning till allvarlig brottslighet, finns det alltså inte idag några begränsningar för hur datan kan användas också för mindre allvarlig brottslighet (i alla fall inte självklart i EU-rätten).

Därför anser Dataskydd.net att generaladvokatens observation i punkt 209, att domstolarna behöver ta ställning till om regeringen har uttömt alla andra alternativ, förmodligen tjänar enskildas intresse av dataskydd och rätt till privatliv bättre (se ovan).

Uppdatering 2: Digital Rights Ireland har nyligen fått upp en ny fråga till EU-domstolen i målet C-207/16 om förfrågningar om utlämningar av data för bekämpning av mindre allvarlig brottslighet i Spanien. EU-domstolen kommer alltså inom sinom tid kunna uttala sig om ogiltigförklarandet av datalagringsdirektivet under 2014 också har påverkat möjligheten att använda data i för lagringen ovidkommande fall så som EU-domstolen fastslog i Bonnier Audio-fallet.

Läs mer:

Curia, Förslag till avgörande av generaladvokat Henrik Saugmandsgaard Øe av den 19 juli 2016(1) i förenade målen C‑203/15 och C‑698/15:

http://curia.europa.eu/juris/document/document.jsf?text=&docid=181841&pa...

Curia, sammanställning av dokument för de förenade målen C‑203/15 och C‑698/15 (Tele2 mot Post- och telestyrelsen samt Secretary of State for the Home Department mot Tom Watson, Peter Brice, Geoffrey Lewis (C‑698/15), i närvaro av Open Rights Group, Privacy International, Law Society of England and Wales):

http://curia.europa.eu/juris/liste.jsf?num=C-203/15

Ny Teknik, EU-dom kan leda till fortsatt datalagring (19.07.2016):

http://www.nyteknik.se/stories/article6591137.ece

EDRi, European Court confirms: Strict safeguards essential for data retention (19.07.2016):

https://edri.org/european-court-confirms-strict-safeguards-essential-dat...

Dataskydd.net, Datalagringen och domstolarna: en tidslinje över viktiga datalagringsfall sedan 1997:

https://dataskydd.net/datalagringen-och-domstolarna

Dataskydd.net, EU-domstolen håller förhör om datalagring (18.04.2016):

https://dataskydd.net/nyheter/2016/04/18/eu-domstolen-haller-forhor-om-d...

Curia, Case C-461/10. Bonnier Audio AB and Others v Perfect Communication Sweden AB. Judgment of the Court (Third Chamber) of 19 April 2012:

http://curia.europa.eu/juris/liste.jsf?num=c-461/10

EU Law Radar, Case C-207/16, Ministerio Fiscal – Digital Rights Ireland robs Spanish police of telephone data request (12.07.2016):

http://eulawradar.com/case-c-20716-ministerio-fiscal-digital-rights-irel...

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

4. Ny EU-studie om faktiska ekonomiska kostnader för IT-brottslighet

Den Europeiska byrån för nätverks- och informationssäkerhet (ENISA) har släppt en rapport om kostnaderna för IT-säkerhetsproblem i kritisk informationsinfrastruktur.

Det visar sig att det saknas bra metodologier för att beräkna de faktiska ekonomiska skador som uppstår för företag vid IT-säkerhetsproblem. Måttstockarna är ojämna, även inom samma undersökningsföretag, och uppskattningarna av skadorna varierar vilt utan synbar anledning.

Rapporten har den lite trötta och marginellt sarkastiska ton som man förväntar sig i säkerhetsekonomiska studier.

Läs mer:

ENISA, Determining the real economic impact of cyber-incidents: A mission (almost) impossible (10.08.2016):

https://www.enisa.europa.eu/news/enisa-news/determining-the-real-economi...

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

5. Kommande

Event:

Dataskydd.net är med på IFIP i Karlstad 22 augusti:

http://www.ifip-summerschool.org/programme/

Dataskydd.net är med på Bornhack.dk på Bornholm:

https://bornhack.dk

Dataskydd.net är med på NightlyBuild, Köln 2 september:

https://nightlybuild.io/

Remisser:

Inget på (den officiella) agendan just nu. Inofficiellt kan man börja förbereda sig för remissen på SOU 2016:41.

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

Saknas det något dataskyddsrelaterat vi borde ha med? Är du intresserad av att hjälpa till? Kontakta oss på info@dataskydd.net!