Dataskydd.NET

Vol. 3, nr. 15, 7 november 2016

https://dataskydd.net - info@dataskydd.net

Information om EU:s dataskyddspaket och skydd av den personliga integriteten, både juridiskt och tekniskt, i den digitala världen.

Detta nyhetsbrev finns även på https://dataskydd.net/nyhetsbrev/dataskyddnet-315

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

I detta nummer:

1. Stor vinst om kartläggning på nätet: rikspolischefen måste lämna ut kakor
2. Pågående prövning av sekretessklassning av incidentrapporter på MSB
3. EU:s justitieministrar initierar (kanske inte) diskussion om EU-regler för kryptering
4. Dataskydd.net lämnar remissyttrande för SOU 2016:41 Hur står det till med den personliga integriteten?
5. Dataskydd.net lämnar inlagor till fyra av de pågående dataskyddsutredningarna
6. EU-domstolen: id-kontroller kan uppfattas som hotfulla
7. EU-domstolen: dynamiska IP-adresser är personuppgifter, och det berättigade intresset i privat sektor brett
8. Kommande

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

1. Stor vinst om kartläggning på nätet: rikspolischefen måste lämna ut kakor

Dataskydd.net fick rätt i Kammarrätten om rikspolischefens webbkakor, en sorts liten textfil som gör det möjligt att återidentifiera webbesökare när de besöker en webbplats för andra gången.

I vårt sommar-nyhetsbrev i juli rapporterade vi redan bakgrunden till våra försök att begära ut webbkakorna, som redan 1999 konstaterades vara allmänna handlingar i dåvarande regeringsrätten (nuvarande Högsta förvaltningsdomstolen). Justitieministern och inrikesministerns representanter fick nämligen för sig att uppgifter som delats ut till reklamföretag kunde vara så pass känsliga för rikets säkerhet att medborgare i riket inte kunde få samma tillgång som reklamföretag.

Under 2015 och 2016 har Kammarrätten hållit med Dataskydd.net i två viktiga frågor: en myndighet kan inte undvika sin förpliktelse att vara transparent genom att välja en ny teknisk lösning som myndigheten inte känner sig tekniskt kompetent med. Rikspolischefen kan alltså inte hänvisa till att hans iPad gör det omöjligt för honom att lämna ut allmänna handlingar.

Rikspolischefen måste också genomföra sekretessbedömningar av webbkakor mot bakgrund av att han redan delat med sig av informationen till andra.

Ärendet knyter an till Föreningen för digitala fri- och rättigheters kampanj för att få till stånd en tillsyn av lagen om elektronisk kommunikation 6 kap. 18§ (ofta kallad "kaklagen"). Paragrafen tar sikte på att ge webbesökare ett modikum av kontroll över vem som spårar dem på nätet och under vilka villkor. Post- och telestyrelsen påbörjade en tillsyn redan 2014, men ännu har inga resultat publicerats. Tillsynen är också begränsad till webbkakor, och tar inte andra sorters spårningsmekanismer (till exempel exekverbar kod eller spyware) i beaktande, enligt uppgift från myndigheten till Dataskydd.net.

Kammarrätten gjorde i somras bedömningen att webblänkar som lämnats ut till reklamföretag inte behöver lämnas ut till privatpersoner. Spårning och beteendekartläggning på webben är en tekniskt komplicerad historia, och nya metoder att spåra och kartlägga utan att webbesökaren får veta, förstå eller ta ställning utvecklas hela tiden. Uppenbarligen finns fortfarande ett behov hos både myndigheter och domstolar att utveckla sin förståelse för hur spårning och kartläggning på internet går till - annars hamnar vi i situationen att vissa företag i reklamsektorn kan skaffa sig en väldigt god bild av hur man effektivt påverkar makthavare genom riktad information, medan medborgarna lämnas utanför och efter.

Läs mer:

Kammarrättens dom av den 13 oktober 2015 i mål nr 6701-15:

https://dataskydd.net/kammarrattens-beslut-om-kakor-13-oktober-2015

Kammarrättens dom av den 20 juni 2016 i mål nr 1599-16:

https://dataskydd.net/kammarrattens-kakdom-20-juni-2016

Kammarrättens dom av den 5 oktober 2016 i mål nr 5502-16:

https://dataskydd.net/kammarrattens-dom-om-utlamning-av-webbkakor-fran-p...

Amelia Andersdotter i Dagens samhälle, "Även rikspolischefens nätsurf kartläggs" (27.10.2016):

https://www.dagenssamhalle.se/debatt/aeven-rikspolischefens-naetsurf-kar...

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

2. Pågående prövning av sekretessklassning av incidentrapporter på MSB

Sedan 1 april 2016 måste statliga myndigheter rapportera in IT-incidenter till CERT-SE under Myndigheten för samhällsskydd och beredskap. Dataskydd.net försökte begära ut samtliga IT-incidentrapporter som inkommit under vecka 41, men MSB lämnade bara ut incidentrapporterna med tung maskering. Varje informationsruta är maskerad utom uppgifter om huruvida händelsen är polisanmäld. MSB hänvisar till offentlighets- och sekretesslagens 18 kap. 8 § 3 st, nämligen att säkerhets- och bevakningsåtgärder kan medföra sekretess om det kan antas att syftet med åtgärden motverkas om uppgiften röjs.

Dataskydd.net har överklagat MSB:s sekretessklassning till Kammarrätten i Göteborg.

Syftet med incidentrapporten är att samhället ska få bättre kunskap om incidenter och bättre möjligheter att åtgärda IT-säkerhetsproblem (i alla fall om man får tro MSB:s webbplats). Vi menar att nuvarande kunskaper om incidentrapporter från flertalet jurisdiktioner världen över och alla rimliga incitamentsteorier, inte rimligen kan innebära att offentliggörande av incidentrapporterna kan motverka syftet.

Till exempel är det obligatoriskt att skicka incidentrapporter direkt till berörda privatpersoner i hela 47 amerikanska delstater. Det kommer också bli obligatoriskt att skicka incidentrapporter till privatpersoner i EU under vissa omständigheter så fort dataskyddsförordningen träder i kraft i maj 2018. Det finns alltså anledning att tro att det som bedömts vara en rimlig ansträngning för att ge privatpersoner eget inflytande att bedöma hur mycket förtroende de ska ha för olika myndigheter och företag i andra länder, inte på något mystiskt sätt skulle få särskilt säkerhetsminskande effekter just i Sverige.

Men det viktigaste är att myndigheterna som lämnat in incidentrapporterna konsekvent indikerat att de inte tycker att det finns något sekretessbehov. Om myndigheternas egen bedömning är att sekretessbehovet är mycket lågt eller obefintligt, är det konstigt att MSB tar det på sig själva att istället bedöma att sekretessbehovet är väldigt högt.

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

3. EU:s justitieministrar initierar (kanske inte) diskussion om EU-regler för kryptering

I september publicerade organisationen Statewatch ett frågeformulär som EU:s ministerråd skickat till alla justitie- och/eller inrikesministrar i EU om kryptering. Flera europeiska civilsamhällesgrupper försökte ta reda på vad enskilda medlemsstater rapporter - och Dataskydd.net bidrog med en begäran om utlämning av offentlig handling i Sverige.

Svenska regeringen vill inte ha vidare aktioner på EU-nivå. Kryptonycklar (till exempel lösenord) kan överlämnas till polisen, men bara efter domstolsbeslut. Däremot är det tydligt att polisen upplever att det är ett ökande problem.

Under tiden enkäten cirkulerade bland medlemsländerna utdelade en belgisk domstol 30'000 euro i böter till Skype för att de vägrade ge avlyssningsmöjligheter till polisen. Krypteringsdiskussioner är alltså något som pågår i medlemsländerna och där både domstolar, polismyndigheter och åklagare aktivt bidrar till att forma vilka affärsmodeller som ska vara möjliga att marknadsföra mot användare. Dataskydd.net har tillsammans med Föreningen för digitala fri- och rättigheter försökt föra upp konsument- och medborgarfrågor med de två motsvarande utredningarna i Sverige som tillsattes i våras.

Ministerrådets analys av samtliga enkätsvar indikerar dock inte någon pan-europeisk ansats till problemet för tillfället. I de flesta medlemsländer krävs domstolsbeslut för att begära avkryptering av data, men inte i samtliga länder. Vissa medlemsländer begränsar avkrypteringskravet till teleoperatörer, medan andra medlemsländer (som belgien) tillämpar samma regelverk även på tjänster som inte är kopplade till nätverksinfrastruktur. Det är osannolikt att frågan fallit av agendan, även i frånvaro av direkta direktiv till EU-kommissionen att utarbeta ett harmoniserande förslag. Vi kan förvänta oss att behöva täcka den här frågan aktivt framöver.

Läs mer:

Ministerrådets frågeenkät om kryptering (20.09.2016):

http://statewatch.org/news/2016/sep/eu-usa-encryption-quest-12368-16.pdf

Svenska regeringens svar på enkäten:

https://dataskydd.net/sites/default/files/questionnaire_med_svar.pdf

Danska regeringens svar på enkäten:

https://itpol.dk/sites/itpol.dk/files/Encryption-of-data-Questionnaire-1...

Ministerrådets analys av samtliga svar på enkäten (21.10.2016):

http://www.statewatch.org/news/2016/oct/eu-encryption-orientation-debate...

Tweakers, Skype krijgt boete in Belgie voor weigeren tap (27.10.2016):

https://tweakers.net/nieuws/117239/skype-krijgt-boete-in-belgie-voor-wei...

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

4. Dataskydd.net lämnar remissyttrande för SOU 2016:41 Hur står det till med den personliga integriteten?

Integritetskommitténs delbetänkande om risker för den personliga integriteten och utvecklingen av dessa risker i samtiden kom i somras. Nu har Dataskydd.net färdigställt sitt remissyttrande.

Vi har lagt 13 förslag för åtgärder som kommittén kan beakta för att höja privatpersoners informationssäkerhet och dataskydd. Dessutom anser vi att kommitténs förslag om en årlig integritetsrapport är bra. Norge har redan en årlig integritetsrapport, och resultatet kan antas ha varit omedelbart önskvärt i det att de norska myndigheterna för konsumentskydd och dataskydd både utreder och agerar på samtidsfenomen.

Viktiga förslag från vår sida rör incidentrapportering (privatpersoner som inte får veta när myndigheter och företag gör någonting dåligt eller oförutsett, har ingen möjlighet att ställa krav), sårbarhetsrapportering (ett gammalt förslag från Post- och telestyrelsen som vi menar har tillräckliga föregångare i näringslivet för att det ska vara värt att undersöka), utbildning av åklagare och domare (eftersom utredningen om näthat, SOU 2016:7, i våras konstaterade att dessa ofta tycker dataskydd helt enkelt är för tråkigt att arbeta med) samt högre skadestånd för enskilda vid integritetskränkningar.

En av kommitténs mest uppseendeväckande observationer är att privatpersoner som utsatts för dataskyddsintrång av en myndighet kan gå över 1,3 miljoner kronor i back även om de får rätt i domstol. Detta är för att de, trots att de vinner skadeståndstalan, riskerar att få stå för myndighetens rättegångskostnader. Detta skapar ett starkt incitament för privatpersoner att inte hävda sin rätt, samtidigt som det skapar ett effektivt skydd för myndigheter och företag att slippa väga för- och nackdelar med att investera i bättre dataskydd och informationssäkerhet.

Vi har även kommenterat på effektivitet, potential och ekonomiska omständigheter, samt lärdomar vi tror att det offentliga behöver dra av tidigare och pågående standardiseringsprocesser.

Läs mer:

SOU 2016:41 Hur står det till med den personliga integriteten?

www.regeringen.se/rattsdokument/statens-offentliga-utredningar/2016/06/s...

Dataskydd.net, Remissyttrande för SOU 2016:41 Hur står det till med den personliga integriteten? (05.11.2016):

https://dataskydd.net/sites/default/files/sou201641_remissyttrande_datas...

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

5. Dataskydd.net lämnar inlagor till fyra av de pågående dataskyddsutredningarna

Sedan det stod klart att EU:s nya dataskyddsförordning och EU:s nya dataskyddsdirektiv träder i kraft i maj 2018, har regeringen tillsatt ett stort antal utredningar och översyner av den befintliga personuppgiftslagstiftningen i Sverige. Eftersom det redan finns över 100 så kallade registerförfattningar, som skapar särskilda regler för i stort sett varje enskild databas (eller register) som används av offentlig verksamhet samt för verksamheter inom det offentliga, blir arbetet för regeringen omfattande.

Dataskydd.net har fokuserat på fyra av de offentliga utredningar som tillsatts. Vi vill påminna om att det säkerligen även pågår ett stort antal interna översyner på departementet, som så småningom kommer att resultera i departementsseriedokument (Ds 20XX:XX-numrerade). För dessa har vi bara möjlighet att delta via remissförfarandet.

De fyra inlagorna är i sak ganska lika: vi understryker vikten av att uppmuntra tekniska lösningar när dessa är möjliga, utan att försöka skapa tekniska specifikationer i lagstiftningen. Privatpersoners rättigheter ska vara enkla för privatpersonerna att förstå och utöva - då krävs det att lagstiftningen är allmänt och principiellt hållen, och att tekniken utformas på ett sådant sätt att principerna kan upprätthållas och den insyn som krävs för ansvarsutkrävande också upprätthålls.

Vi har försökt putta utredningarna i riktningen att de redan från början går igenom Datainspektionens riktlinjer för inbyggt integritetsskydd. Istället för att bara titta på lagstiftningen och befintliga tekniska lösningar, kan myndigheternas framtida verksamhet hjälpas av att man även tar in organisatoriska perspektiv. Dessutom menar vi att skyldigheten att incidentrapportera som införlivats i den europeiska förordningen bör ges en vidare tolkning för offentlig sektor: privatpersoner bör alltid ha en rätt att veta om deras myndigheter på något sätt agerat gentemot privatpersonen på ett oförutsett eller godtyckligt sätt.

Läs mer:

Dataskydd.net, Dataskydd.net skickar en skrivelse till utredningen om integritetsskydd på Rättsmedicinalverket (23.09.2016):

https://dataskydd.net/nyheter/2016/09/23/dataskyddnet-skickar-en-skrivel...

Dataskydd.net, Dataskydd.net skickar en skrivelse till utredningen om dataskyddsdirektivet om brottsbekämpande myndigheter (21.09.2016):

https://dataskydd.net/nyheter/2016/09/21/dataskyddnet-skickar-en-skrivel...

Dataskydd.net,  Dataskydd.net skickar en skrivelse till utredningen om personuppgiftsbehandling på utbildningsområdet (21.09.2016):

https://dataskydd.net/nyheter/2016/09/21/dataskyddnet-skickar-en-skrivel...

Dataskydd.net, Dataskydd.net lämnar in skrivelse till utredningen om personuppgiftsbehandling hos Socialdepartementets verksamheter (21.09.2016):

https://dataskydd.net/nyheter/2016/09/21/dataskyddnet-lamnar-skrivelse-t...

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

6. EU-domstolen: id-kontroller kan uppfattas som hotfulla

EU-domstolen beslutade i början av september att ett rimligt föreläggande mot en tillhandahållare av trådlösa nätverk i till exempel en klubblokal, på ett kafé eller i en butik, är att tillhandahållaren ska lösenordsskydda sitt nätverk och göra tillgången till lösenordet avhängigt att den som vill använda nätverket visar foto-legitimation. Dessa förelägganden kan utdömas ifall en upphovsrättsinnehavare inför en domstol kan påvisa att det är sannolikt att ett upphovsrättsintrång begåtts genom nätverket.

I princip har EU-domstolen också sagt att en hotspot-leverantör inte kan hållas ansvarig för upphovsrättsintrången. Dataskydd.net är ändå oroade för den rättsliga utvecklingen av ett huvudsakligt skäl:

EU-domstolens avvägning mellan olika intressen förutsätter att alla inblandade parter har en lika möjlighet och villighet att försvara sig själva eller sina kunder i domstol. I själva verket kan man anta att hotspot-ägare i de flesta fall inte är intresserade av rättsstrider. Istället för att gynna en utveckling mot inbyggt integritetsskydd och integritetsskydd som standard, är domen en uppmuntran till hotspot-leverantörer att införa obligatoriska identitetskontroller för de som vill surfa i förebyggande syfte.

Å andra sidan erkänner EU-domstolen i samma domslut att identifieringstvång sannolikt uppfattas som ett hot av de som vill använda nätverket på en hotspot. Om hotspot-leverantörer i hög utsträckning skulle stå på sig, och inte standardisera mot legitimationskontroller i frånvaro av föregående rättsligt föreläggande, kan det tjäna som en illustration av legitimationens inneboende makt.

Läs mer:

EU-domstolens pressrelease (15.09.2016):

http://curia.europa.eu/jcms/jcms/p1_226397

EU-domstolens domslut i Mc Fadden, C-484/14 (15.09.2016):

http://curia.europa.eu/juris/document/document.jsf?text=&docid=183363&pa...

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

7. EU-domstolen: dynamiska IP-adresser är personuppgifter, och det berättigade intresset i privat sektor brett

Patrick Breyer, jurist och piratpartistisk politiker i tyska delstaten Schleswig-Holstein, har använt det befintliga europeiska regelverket för att förstärka det tekniska och juridiska dataskyddet i ett flertal fall. 19 oktober gjorde EU-domstolen ett slutgiltigt avgörande i hans fråga om dynamiska IP-adresser som lagras efter besök av privatpersoner hos offentliga myndigheter kan utgöra personuppgifter på samma sätt som andra personuppgifter.

Domslutet har flera implikationer. Den första är att dynamiska IP-adresser, precis som statiska IP-adresser, utgör personuppgifter. Detta följer av att det är förhållandevis lätt att begära ut information från en internetleverantör om vilken specifik kund som tildelats ett visst IP-nummer vid ett visst tillfälle.

Den andra implikationen är en vidare tolkning av begreppet "berättigat intresse", alltså när företag får bestämma att deras eget intresse är viktigare än deras konsumenters, eller deras affärspartners konsumenters, grundläggande rättigheter.

Den tyska lagen begränsade det berättigade intresset till ett antal specifika fall. Domstolen tycker däremot att intresseavvägningar ska göras hela tiden, och att det är EU-domstolen som bestämmer inom vilka gränser intresseavvägningarna ska ligga. Lagstiftarna i medlemsländerna får inte förekomma EU-domstolens bedömningar om när det är lämpligt att företag får fria händer att bestämma att de själva är viktigare än privatpersoner.

Dataskyddslagstiftningens bestämmelser om berättigat intresse är över huvud taget luriga, och Dataskydd.net hade föredragit att dessa regler helt tagits bort ur den europeiska lagstiftningen. Normalt ska rätten bestämma vad är berättigat, och rätten är - i kontinentaleuropeisk lagstiftning och även i svensk - bestämd av vad lagstiftningen säger. Att i lagen hänvisa till att det finns en annan rätt, utanför lagen, blir alltså kontraintuitivt.

Eftersom både de företag och myndigheter som har direkt kontakt med privatpersoner och sådana företag och myndigheter som har affärsrelationer med dem som har direkt kontakt med privatpersoner får göra intresseavvägningar, samtidigt som de inte behöver informera privatpersoner om vilken avvägning de har gjort, står privatpersoner i väldigt svag ställning. Teoretiskt finns den möjlighet att använda, men praktiskt är det svårt att se hur denna möjlighet ska kunna utnyttjas. I Sverige används till exempel det berättigade intresset för att CSN ska få sälja studentuppgifter till reklamföretag utan att berätta för studenterna. Det åberopas också av fackliga organisationer som vill kartlägga även sådana privatpersoners lönesättning som inte velat vara medlemmar i en facklig organisation.

Med lagstiftningen som den är, och domstolens prejudikat fastlagt, återstår dock bara att invänta vad EU-domstolen kommer finna vara lämpliga avvägningar i olika situationer. Synd bara att rättsfallen troligtvis behöver vänta på sig: det är så svårt för privatpersoner att ta reda på när de har ett intresse att försvara, att vi inte kan vänta oss några omedelbara klargöranden.

Läs mer:

CJEU Curia, C-582/14, Breyer mot Bundesrepublik Deutschland (19.10.2016):

http://curia.europa.eu/juris/documents.jsf?num=C-582/14

Delegedata, Important ruling by the European Court of Justice: More data usage possibilities for website and app operators in Germany (19.10.2016):

https://www.delegedata.de/2016/10/important-ruling-by-the-european-court...

Dataskydd.net, Europeiska domstolen för mänskliga rättigheter ska pröva registreringstvång för SIM-kort (13.02.2016):

https://dataskydd.net/nyheter/2016/02/13/europeiska-domstolen-manskliga-...

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

8. Kommande

Event:

Dataskydd.net är med på Internetdagarna 22 november:

https://internetdagarna.se/program/engaging-privacy-offentlig-sektor/

Remisser:

SOU 2016:41 Hur står det till med den personliga integriteten? Dödslinje: 15 november 2016.

SOU 2016:65 Ett samlat ansvar för tillsyn över den personliga integriteten. Dödslinje: 25 januari 2017.

OBS: Ingen av remisserna förefaller vara publicerade på regeringens hemsida. Skicka svar till justitiedepartementet.registrator@regeringskansliet.se

Ds 2016:22 Remiss Ds 2016:22 Polisens tillgång till information om vissa it-incidenter. Dödslinje: 5 december 2016.

http://www.regeringen.se/remisser/2016/09/remiss-ds-201622-polisens-till...

Ds 2016:31 Remiss av departementspromemorian Behandling av personuppgifter inom Nationellt centrum för terrorhotbedömning (Ds 2016:31). Dödslinje: 16 december 2016.

http://www.regeringen.se/remisser/2016/09/remiss-ds-201631/

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

Saknas det något dataskyddsrelaterat vi borde ha med? Är du intresserad av att hjälpa till? Kontakta oss på info@dataskydd.net!