Dataskydd.NET 3.5

Dataskydd.NET 3.5

Dataskydd.NET

Vol. 3, nr. 5, 14 mars 2016

https://dataskydd.net - info@dataskydd.net

Information om EU:s dataskyddspaket och skydd av den personliga integriteten, både juridiskt och tekniskt, i den digitala världen.

Detta nyhetsbrev finns även på [node:url]

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

I detta nummer:

1. Ängslig journalistkår till attack mot integritetsstärkande åtgärder
2. Utredning inför dataskyddsförordningen får en man, ett år
3. Rättspolitik och näringspolitik: Obama väger in om kryptering
4. Dataskydd.net årsmöte 2016
5. Dataskydd.net kommenterar på regeringens förslag om informationsutbyte med USA
6. Dataskydd.net har skickat inlaga till integritetsutredningen Ju 2014:09
7. Dataskydd.net anmäler polismyndigheten till Justitieombudsmannen
8. Kommande

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

1. Ängslig journalistkår till attack mot integritetsstärkande åtgärder

Under våren har det kommit två förslag i Sverige som de senaste två veckorna har rönt journalistkårens uppmärksamhet. Det ena är ett förslag om att begränsa tillgängligheten för privata uppgifter om offentliganställda, till exempel hemadress, telefonnummer och personnummer. Det andra är förslag att införa brottsrubriceringen olovligt integritetsintrång samt göra webbsidor mer ansvariga för innehåll som kan hota enskilda eller uppviglar till hat mot enskilda och grupper av enskilda.

Båda förslagen innebär i princip en begränsning av offentlighetsprincipen. Undantag görs från tryckfrihetsförordningen bara i de fall då det som publicerats är brottsligt. Utan uttryckliga bestämmelser att offentliganställdas privata uppgifter inte ska lämnas ut, måste de lämnas ut.

Journalister menar att det blir svårare att samköra register om man inte har de offentliganställdas personnummer. Denna sorts samkörning är bra ifall man vill undersöka stora grupper tjänstemäns gemensamma egenskaper: till exempel att de bor på en viss ort, har ett visst geografiskt ursprung eller ägnar sig åt någon särskild form av fritidsaktivitet.

Dataskydd.net har förklarat i ett remissyttrande på promemorian att inskränkningen av offentlighetsprincipen måste misstänkas ha begränsad effekt för målsättningen att motarbeta hot mot offentliganställda. Tillräckligt med identitetsinformation om enskilda sprids redan från statens verksamheter till privata företag för att nätstalking och trakasserier ska vara möjliga baserat på information som även fortsatt är offentlig av insynsskäl.

Det är emellertid oroande att svenska journalister reagerar på promemorians förslag att begränsa insyn i offentliganställdas privatliv, när den maktutövning som sker i offentlig sektor framför allt utförs av offentliganställda på arbetstid. Journalistkårens prioritering verkar vara att granska enskilda och deras livsbetingelser, inte att skapa insyn i maktutövande.

Att journalister värnar möjligheterna till kartläggning av enskilda har också visat sig i journalisters reaktioner på den så kallade näthatsutredningens förslag på hur man ska komma till bukt med hot och trakasserier i nätmiljöer.

Näthatsutredningens främsta förtjänst är att den etablerar att det inte bara är de som gjort något fel som har något att dölja. Föreställningen att privatliv och dataskydd bara är att kunna hålla saker hemliga kommer från slutet av 1800-talet och har på de flesta håll, särskilt i Europa, utvecklats sedan dess. Däremot inte i Sverige. I svenska medier har utredningens förslag att skapa utrymme i tryckfrihetsförordningen för att hjälpa dem som utsatts för integritetsintrång avfärdats, samtidigt som utredningens andra förslag  att utöka ansvaret för webbsidor som Facebook och Twitter välkomnas.

Tanken att framgångsrika internetföretag från USA ska få ett större ansvar att reglera sina användare är inte ny. Den europeiska organisationen EDRi har påtalat sedan 2010 att plattformarna i princip inte efterfrågas ta ett ansvar för sig själva, utan att ta ett ansvar för sina användare. Ofta förutsätts att webbsidorna ska överta funktioner från rättsstaten - till exempel bedöma vad som är lagligt och olagligt, och när en användare ska straffas.

I slutet av 2015 upprättade EU ett särskilt "internetforum" där stora IT-företag kan samlas för att diskutera hur de kan reglera användare som uttrycker sig hatiskt, hotfullt eller extremistiskt, utan inblandning från det civilsamhälle och de användare som företagen tänker sig reglera, och utan att åtgärderna får det stöd i lag som medborgare behöver för att kunna överklaga åtgärder som vidtas mot dem själva.

Söktjänsten Google, som självreglerar bort 76 miljoner länkar ur sitt sökindex av upphovsrättsskäl varje månad, har också börjat manipulera sökresultat för individer som söker på extremistiskt material. En individ som via Google söker efter webbsidor om till exempel jihad, får nu information om hur man tar sig ur extremism och exitrörelser. Till skillnad från den uppmärksammade rätten att bli bortglömd finns ingen överklagansmekanism för de individer som drabbas negativt.

Utan översyn och med starka politiska och mediala påtryckningar mot internetföretag att göra ännu mer, finns en klar risk för överblockering. Att företaget gör för mycket och därmed skadar mänskliga rättigheter. Men företagen behöver också anpassa sina affärsmodeller efter verktygen de använder för filtrering och sortering. Ett företag som vidtar allt för många åtgärder som det inte samtidigt kan tjäna pengar på går omkull. Sammanblandningen av statens och kapitalets intressen av övervakning beskrev av Shoshana Zuboff i tyska tidningen FAZ 5 mars. Men att företag i allmänhet anpassar sina tekniska infrastrukturer efter vad som är politiskt och ekonomiskt gångbart uppmärksammades redan i slutet av 1990-talet, av James Boyle.

Med otur väljer journalistkåren att återuppta diskussionen om sociala mediers ansvar att reglera sina användare under våren 2016 för att undvika diskussionen om näthatsutredningens förslag att skapa större utrymme för respekt för privatlivet i tryckfrihetsförordningen.

Det är synd, för om företagen uppmanas kontrollera sina användare och deras uttryck utan inblandning från rättsväsendet är det sannolikt mer övervakning och profilering som kommer att riktas mot användarna av plattformarna.

Samtidigt saknas insyn i polisens verksamhet för att utreda hot och trakasserier på internet. Sedan 2013 har Facebook samarbetsregler för nationella polismyndigheter, som också svenska polismyndigheten använder sig av. Eftersom det är Facebook och inte den svenska lagstiftaren som dikterat under vilka villkor polisen kan begära hjälp av Facebook, är det inte myndighetsutövning när polisen efterfrågar hjälpen.

Till skillnad från hemliga tvångsmedel, som genomförs med lagstöd, finns ingen officiell statistik över hur ofta polisen begär hjälp av Facebook. Framför allt har ingen reagerat på att polisen, trots att den har fler verktyg till hands än vad lagstiftaren har ansett att de bör ha, ändå inte lyckas utreda hot- och hatbrott i sociala medier. Om det inte är mängden verktyg polisen har till hands som spelar roll för i vilken utsträckning polisen utreder hot och hat i nätmiljöer, så måste problemet med polisens passivitet antas ligga någon annanstans.

I Jack Werners artikel i Svenska dagbladet är Mona Sahlin besviken på att kränkande kommentarer i hennes Facebook-flöde inte åtgärdas av Facebook, men vi får inte veta om hon har polisanmält. Och om hon inte har gjort det, varför förväntar hon sig att Facebook ska reagera på och ta bort material som inte ens hon själv bedömer vara tillräckligt grovt för att vara olagligt?

Samma energi borde läggas på att diskutera plattformars reglering av sina användare i näthatsrelaterade frågor, som vi har lagt på debatter om användarnas makt över plattformar i och med rätten att bli bortglömd. Ansvarsdiskussionen följer ett tråkigt mönster där individers maktmedel ses som skrämmande och dåliga, medan uppfostrande åtgärder mot individer ses som önskvärda och bra.

Det är tråkigt att svenska journalister graviterar mot att skydda tryckfrihetsregler som är till enskilda privatpersoners nackdel samtidigt som man förespråkar en regleringsmodell för privat sektor som också riskerar att vara till enskildas nackdel. 

Läs mer:

Ds 2016:2, Några frågor om offentlighet och sekretess (05.02.2016):

http://www.regeringen.se/rattsdokument/departementsserien-och-promemorio...

SOU 2016:7, Integritet och straffskydd (03.02.2016):

http://www.regeringen.se/rattsdokument/statens-offentliga-utredningar/20...

EDRi, EU Internet Forum against terrorist content and hate speech online: Document pool (10.03.2016):

https://edri.org/eu-internet-forum-document-pool/

EDRi papers, Human rights and privatised law enforcement (22.12.2013):

https://edri.org/papers/human-rights-privatised-law-enforcement/

CNET, Google copyright takedown requests jump to 76 million in past month (08.03.2016):

http://www.cnet.com/au/news/google-copyright-takedown-requests-jump-to-7...

The Guardian, Google to point extremist searches towards anti-radicalisation websites (02.02.2016):

http://www.theguardian.com/uk-news/2016/feb/02/google-pilot-extremist-an...

FAZ, The Secrets of Surveillance Capitalism (05.03.2016):

http://www.faz.net/aktuell/feuilleton/debatten/the-digital-debate/shosha...

James Boyle, Foucault in Cyberspace: Surveillance, Sovereignty, and Hardwired Censors (1997):

http://scholarship.law.duke.edu/faculty_scholarship/619/

Tillämpliga regler om polismyndighetens relationer till Facebook enligt polismyndigheten (29.10.2015):

https://dataskydd.net/sites/default/files/polismyndigheten_beslut_i_aren...

Dataskydd.net, Dataskydd.net lämnar remissyttrande på Ds 2016:2 om förändringar i offentlighets- och sekretesslagen (02.03.2016):

https://dataskydd.net/nyheter/2016/03/02/dataskyddnet-lamnar-remissyttra...

DN, ”Lagförslag vill begränsa offentlighetsprincipen” (05.03.2016):

http://www.dn.se/debatt/lagforslag-vill-begransa-offentlighetsprincipen/

ETC, Hemligstämpeln skyddar cheferna – inga andra (06.03.2016):

http://sundsvall.etc.se/kronika/hemligstampeln-skyddar-cheferna-inga-andra

Journalisten, Funcke kritisk mot utredning om hot och kränkningar (16.02.2016):

http://www.journalisten.se/nyheter/funcke-kritisk-mot-utredning-om-hot-o...

SvD, Facebooks ansvar synas (13.02.2013):

http://www.svd.se/facebooks-ansvar-synas

SvD, Grova hatet som Facebook vägrar att ta bort (28.02.2016):

http://www.svd.se/hatkommenterarna-som-facebook-later-ligga-kvar

SvD, Kritisk reporter var inte välkommen hos Facebook (28.02.2016):

http://www.svd.se/kritisk-reporter-var-inte-valkommen-hos-facebook

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

2. Utredning inför dataskyddsförordningen får en man, ett år

Sedan några år tillbaka har regeringen tillsatt alla utredningar om dataskydd och privatliv med det förbehållet att utredningen ska begrunda hur svensk rätt kan komma att behöva utvecklas mot bakgrund av EU:s dataskyddsförslag. Dessa uppmaningar har givit litet utslag i utredningarnas resultat, och senast förra året framlades ett förslag till ny myndighetsdatalag som ligger så långt ifrån den europeiska dataskyddsrättens principer att Datainspektionen kände sig nödgade att göra "principiella invändningar" (det vill säga, grundföreställningen i utredningen är fel).

Den 25 februari beslutade regeringen att tillsätta en utredning särskilt om hur dataskyddsförordningen kan komma att påverka svensk rätt. Det är tänkt att bli en enmansutredning som på ett år ska ta ställning till i vilken utsträckning det kan behövas justeringar av svensk lag. Det är långt ifrån den större utredning om offentlighet, integritet och informationsteknik som tillsattes för att utreda förordningens föregångar, dataskyddsdirektivet från 1995. Att utredningen får små resurser och begränsat med tid kan tänkas inverka negativt på resultatet.

Samtidigt som Dataskydd.net naturligtvis anser att dataskydd bör införlivas i statens samtliga verksamheter och inte förpassas till särskilda utredningar som tvingas slutleda att läget ser mörkt ut (jämför integritetsutredningen 2007), är det inte heller önskvärt att regeringen jäktar sig igenom varje avgränsad beröring med frågan om dataskydd.

Dataskyddsförordningen ökar sanktionerna mot företag som inte beter sig i enlighet med lagen. Även myndigheter berörs av förordningens bestämmelser om transparens gentemot privatpersoner och utökade möjligheter för privatpersoner att utkräva ansvar från myndigheter och företag som inte behandlar personuppgifter i enlighet med förordningens bestämmelser.

Det ökar behovet av rättssäkerhet och effektivitet vid tillämpningen av lagen. En dåligt understödd utredning som utfärdar felaktiga rekommendationer kan skapa stora extra kostnader för både myndigheter och privat sektor, om EU-domstolen väljer att göra en mer rigorös tolkning av förordningens principer.

Det allra tydligaste exemplet på hur dålig politisk efterlevnad av grundläggande rättigheter skapar stora problem för privat sektor är EU-domstolens beslut att häva Safe Harbor-avtalen hösten 2015: juridiskt fanns få val annat än att göra så som EU-domstolen gjorde, och politiskt hade man ignorerat frågan i åtminstone ett decennium så att inverkan på privat sektor, när EU:s stadga väl upprätthölls, blev maximalt negativ.

Innan utredningen upptar sitt uppdrag i maj 2016 hoppas därför Dataskydd.net att regeringen kan tänka om. Utredningen behöver tillgång till dedicerad teknisk expertis, som utöver att sitta med på eftermiddagsmöten en gång under utredningens uppdrag får ett löpande uppdrag att bistå utredningen. Utredningen bör också utrustas med löpande tillgänglig expertis i organisationsvetenskap, då vissa av bestämmelserna i dataskyddsförordningen kan tänkas ha organisatoriska konsekvenser för myndigheter och företag. Dataskyddsförordningen kommer heller inte träda i kraft förrän tidigast våren 2018, så det finns ingen anledning att inte ge utredningen mer tid.

Läs mer:

Direktiv 2016:15, Dataskyddsförordningen (29.02.2016):

http://www.regeringen.se/rattsdokument/kommittedirektiv/2016/02/dir.-201...

SOU 2007:22, Skyddet för den personliga integriteten - kartläggning och analys (29.03.2007):

http://www.regeringen.se/rattsdokument/statens-offentliga-utredningar/20...

SOU 1997:39, Integritet ´ Offentlighet ´ Informationsteknik (01.01.1997):

http://www.regeringen.se/rattsdokument/statens-offentliga-utredningar/19...

Datainspektionen, Principiella invändningar mot ny myndighetsdatalag (26.11.2015):

http://www.datainspektionen.se/press/nyheter/2015/principiella-invandnin...

Dataskydd.net, Dagens industri: EU:s högsta domstol har inte "kidnappat EU" i dataskyddsfrågor (24.10.2015):

https://dataskydd.net/nyheter/2015/10/24/dagens-industri-eus-hogsta-doms...

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

3. Rättspolitik och näringspolitik: Obama väger in om kryptering

Dataskydd.net har tidigare skrivit om en rättskonflikt mellan amerikanska staten och företaget Apple angående kryptering av mobiltelefoner. Nu har USA:s president Obama vägt in i diskussionen, med åsikten att Apple givetvis ska följa domstolsbeslut. Han har också sagt att det är orimligt att det inte finns några sätt för polisen att avkryptera information i telefoner, och att vi inte kan leva i ett samhälle där företag har en absolut rätt att skydda sina kunders och användares information från staten.

I amerikansk lagstiftning, och i europeisk, finns en stark rätt för enskilda att inte frivilligt lämna över bevisning till polisen som kan ligga dem till last. "You have the right to remain silent" är den ikoniska fras som de flesta av oss känner igen från TV. Bara Storbritannien har idag bestämmelser som uttryckligen går emot detta, då brittisk lag anger att det kan vara straffbart att inte kunna uppge krypteringsnycklar.

Konflikten i det här fallet beskrivs på ett annat sätt av Ars technica, i en artikel om den enda kvarvarande bakdörren i Apples samtliga produkter: automatiska uppdateringsfunktioner. Det är nämligen inte sant att Apple inte förbehållit sig rätten att manipulera och förändra innehållet på sina användares telefoner.

Frågan i det här fallet rör inte den enskildes rätt mot staten så mycket som det rör företagens rätt att fritt utveckla vilka produkter de omsätter på en marknad riktad mot slutkonsumenter. Beroende på hur utvecklingen fortsätter i USA kan vi få möjlighet att studera konsumenters verkliga preferenser för säkerhet vid val av slutkonsumentelektronik.

I Tyskland finns sedan 2008 en konstitutionell rätt för företag att inte implementera bakdörrar i sina produkter. Denna rätt sträcker sig dock inte ännu till unionens övriga medlemsländer, och har sitt stöd i Tysklands konstitution snarare än i EU-rätten. Det betyder också att amerikanska diskussionen som Obama lagt sig i inte uppstå i Tyskland, och företag har större frihet att införa extra skyddsåtgärder för sina kunder och användare i Tyskland än någon annanstans.

Läs mer:

The Register, Obama puts down his encrypted phone long enough to tell us: Knock it off with the encryption (11.03.2016):

http://www.theregister.co.uk/2016/03/11/president_barack_obama_encryptio...

Dataskydd.net, Apple och FBI i kryptokrigen 2.0: det hettar till! (02.03.2016):

https://dataskydd.net/nyheter/2016/03/02/apple-och-fbi-i-kryptokrigen-20...

Deutsche Welle, Germany's Highest Court Restricts Internet Surveillance (27.02.2008):

http://www.dw.com/en/germanys-highest-court-restricts-internet-surveilla...

Ars Technica, Most software already has a “golden key” backdoor: the system update (27.02.2016):

http://arstechnica.com/security/2016/02/most-software-already-has-a-gold...

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

4. Dataskydd.net årsmöte 2016

Den 13 mars 2016 höll Dataskydd.net sitt årsmöte. De största förändringarna inför 2016 är att medlemsavgiften höjts till 200 kronor per medlem och år, samt att en ny styrelse valts. I den nya styrelsen sitter Amelia Andersdotter, Anders Jensen-Urstad och Anne Jensen-Urstad.

Läs mer:

Årsmötesprotokoll (13.03.2016):

https://dataskydd.net/sites/default/files/arsmotesprotokoll_dataskyddnet...

Verksamhetsberättelse för 2015:

https://dataskydd.net/sites/default/files/verksamhetsberattelse_2015.pdf

Ekonomisk berättelse för 2015:

https://dataskydd.net/sites/default/files/resultatrakning_2015.pdf

Revisorsberättelse för 2015:

https://dataskydd.net/sites/default/files/revisionsberattelse_2015.pdf

Verksamhetsplan för 2016:

https://dataskydd.net/sites/default/files/verksamhetsplan_2016.pdf

Förslag från styrelsen 2016:

https://dataskydd.net/sites/default/files/stadgeandringar_2016.pdf

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

5. Dataskydd.net kommenterar på regeringens förslag om informationsutbyte med USA

Den 7 mars 2016 har regeringen bett riksdagen godkänna ett avtal om
informationsutbyte med USA.

Förberedelserna av avtalet har däremot inte tagit i beaktande Europaparlamentets och rådets nya direktiv om skydd för enskilda personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter, som förhandlades färdigt i december 2015.

Det har inte heller tagit i beaktande EU-kommissionens paraplyavtal för transatlantiska samarbeten mellan brottsbekämpande myndigheter, som ännu inte fått godkännande av EU-parlamentet.

Det är förhastat av regeringen och riksdagen att godkänna detta avtal utan en analys av dess relation till dessa båda ovanstående lagar. Vårt fortsatta medlemskap i Europeiska unionen borde anses innebära en skyldighet för Sverige att förhålla våra internationella avtal med EU:s, särskilt på områden där vi redan medgivit en kompetensförflyttning till Bryssel så som är fallet med personuppgiftsskydd vid brottsbekämpande verksamhet.

Dataskydd.net har redan tidigare uppmärksammat riksdagen på att vidlyftiga bestämmelser om direktåtkomst inte lånar sig till en systemarkitektur med hög informationssäkerhet. Denna anmärkning aktualiseras för det innevarande avtalet.

Vidare har regeringen inte tagit i beaktande att svenska medborgare och privatpersoner i Sverige i dagsläget inte tillmäts några juridiska rättigheter i USA. Bristen på europeiska medborgares möjligheter att effektivt tillse och utöva sina rättigheter i USA var emellertid den huvudsakliga anledningen till att EU-domstolens i sitt avgörande i Max Schrems-målet hävde det så kallade Safe Harbor-beslutet. Det vore oklokt av Sverige att omedelbart göra avsteg från EU-domstolens riktlinjer för vad som är acceptabelt givet de grundläggande rättigheter som medborgare åtnjuter i Europa.

Läs mer:

Dataskydd.net:s kommentarer till riksdagen angående Proposition 2015/16:96 om informationsutbyte med USA:

https://dataskydd.net/sites/default/files/informationsutbyte_med_usa_dat...

Kommentarer till riksdagen om Prop. 2014/15:143 om vägtrafikregister (28.08.2015):

https://dataskydd.net/nyheter/2015/08/28/kommentarer-till-riksdagen-om-p...

Kommenterar på Proposition 2015/16:65 om en ny utlänningsdatalag (18.01.2016):

https://dataskydd.net/nyheter/2016/01/18/dataskyddnet-kommenterar-pa-pro...

Europaparlamentets och rådets förslag till direktiv om skydd för enskilda personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter (17.12.2015):

http://data.consilium.europa.eu/doc/document/ST-5463-2016-INIT/sv/pdf

Agreement between The United States of America and The European Union on the protection of personal information relating to the prevention, investigation, detection, and prosecution of criminal offenses (08.09.2015):

http://ec.europa.eu/justice/data-protection/files/dp-umbrella-agreement_...

Curia (EU-domstolen) C-364/14. Maximillian Schrems v Data Protection Commissioner (06.10.2015):

http://curia.europa.eu/juris/liste.jsf?num=C-362/14

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

6. Dataskydd.net har skickat inlaga till integritetsutredningen Ju 2014:09

Integritet är ett stort ämne som rör många av de frågor dataskydd.net intresserar sig för, inlagan till utredningen är av naturliga skäl ganska omfattande men här följer en mindre sammanfattning. För att läsa inlagan i sin helhet, se länk i slutet av dokumentet.

Frågan om integritetsombud

Samtidigt som den här utredningen ska undersöka om ett integritetsombud vore lämpligt så prövar en annan utredning om det behövs en samordnande myndighet för integritetsfrågor. Föregående är en bra illustration av varför Dataskydd.net förhåller sig skeptiska till ett integritetsombud, faktum är att vi redan har flera myndigheter som är ansvariga för dessa frågor och det vi behöver är att stärka t ex Datainspektionen eller Post- och telestyrelsen så att de kan utföra hela sitt uppdrag snarare än att skapa ytterligare en myndighet som riskerar att konkurrera med de befintliga om begränsade resurser. Dataskydd.net föreslår att man ger ombudsmannafunktionen till Datainspektionen.

Frågan om riskbedömning

Idag är riskbedömning centralt vid hantering av integritetskränkningar, offret för en kränkning förtjänar att informeras om detta om och endast om det föreligger en ”hög risk” för personen. Dataskydd.net anser att hellre än att bedöma hur stor risk en individ är utsatt för så ska man se över användarvillkoren. Idag är "små" intregritetskränkningar standarden och något som utförs rutinmässigt, det är sannolikt förklaringen till formuleringen "hög risk" då arbetsbördan annars skulle bli oöverskådlig. Ett exempel på vad som avses med det senare är att vid ett testbesök på DN:s webbsida sattes användaren i kontakt med över 400 domäner, det rör sig sannolikt om färre än 400 unika företag men tveklöst om fler än de enstaka företag som användaren förväntar sig komma i kontakt med (dvs DN, eventuellt Bonniers). Det behöver inte vara så här, en principiell lagstiftning där integritet respekteras är att föredra framför att en myndighet ska avgöra om en kränking är tillräckligt allvarlig för att beivras. 

Datasäkerhet eller dataskydd

Dataskydd.net noterar att en tydlig distinktion mellan begreppen dataskydd och datasäkerhet saknas, vi föreslår därför följande definitioner: datasäkerhet är när ett system fungerar som det är tänkt medan dataskydd är när ett system fungerar på ett sådant sätt att individens integritet respekteras. Sålunda är det möjligt för ett system att vara datasäkert men samtidigt kränka individens rättigheter. Däremot för att ett system ska kunna vara dataskyddande måste det av nödvändighet samtidigt vara datasäkert.

Frågan om profilering

Profilering är konsten att använda den information som olika spårverktyg med mera kan ge om en individ för att skapa en profil, därav namnet, som används för sånt som att förutsäga shoppingvanor, vilken typ av reklam personen är bäst mottaglig för och liknande. Profilering är ett väldigt kraftfullt verktyg, inte bara för att skapa bättre konsumenter utan man kan också i viss mån påverka beteenden, genom så kallad "nudging".  Profilering är ett stort och komplicerat ämne, det behövs ytterligare studier innan man gör en förhastad bedömning. 

Frågan om konsumenträtt

Enligt en amerikansk studie skulle det ta ungefär 244 timmar per år för den genomsnittlige användaren att läsa igenom alla användaravtal som användaren godkänner under samma period. Då är det kanske föga förvånande att en annan studie, vid Stockholms handelshögskola, visar att konsumenterna blir besvikna på företag som inte motsvarar deras förväntningar på dataskydd, även när företagen har underrättat konsumenterna om allt de har tänkt göra genom sina användaravtal. Utformningen av avtalen i sig är ett problem, det är inte förenligt med konsumenträtt att ett standardavtal är så långt och så komplicerat att det endast i undantagsfall läses igenom och än mindre förstås. Samtidigt är innehållet ett problem i sig, det typiska standardavtalet innebär många förpliktelser för konsumenten och få om några för tjänsteleverantören. Då avtalen är mer eller mindre identiska för liknande tjänsteleverantörer finns heller ingen möjlighet för konsumenten att påverka sin situation genom att välja en annan tjänst. Vidare riskerar fortsatt användande av standardavtalen att leda till att de normaliseras, att villkor som tidigare hade setts som oskäliga accepteras och bedöms som lagenliga.

Ofta är rådande lagstiftning fullt tillräcklig men av oklar anledning tillämpas den ej på internet.

Läs mer:

Inlaga till integritetsutredningen Ju 2014:09, (01.03.2016):

https://dataskydd.net/sites/default/files/inlaga_integritetsutredning_da...

Utredningsdirektiv 2015:65. Den personliga integriteten:

http://www.regeringen.se/rattsdokument/kommittedirektiv/2014/05/dir.-201...

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

7. Dataskydd.net anmäler polismyndigheten till Justitieombudsmannen

Sommaren 2015 begärde Dataskydd.net ut allmänna handlingar från polismyndigheten i form av webbkakor och webbhistorik. Efter en vända i kammarrätten, som i oktober etablerade att handlingarna var allmänna och skulle lämnas ut, har polismyndigheten nu skickat över webbkakor och webbhistorik från rikspolischefens iPad. Det ursprungliga beslutet om webbkakor och webbhistorik är från 1999. Därför har Dataskydd.net anmält till JO att polismyndigheten fortfarande efter 17 år inte anpassat sin IT-infrastruktur efter de krav på offentlighet som gäller enligt lag.

En liknande begäran lämnades in till justitiedepartement och den avslogs med samma skäl som polismyndigheten först hänvisade till, att det hade krävts ”icke-rutinbetonade åtgärder” för att efterfölja begäran. Departementsbeslut överklagas emellertid inte till domstol. Vid överklagan till regeringen erhölls istället beslutet att informationen ej ska vara offentlig med hänvisning till rikets säkerhet. Man menar att informationen skulle kunna användas för att kartlägga statsråds kommunikationsvanor och beredskap vilket... kan hota rikets säkerhet.

Läs mer:

Tidslinje över Dataskydd.net:s förfrågningar om att få ta del av kakor och webbhistorik:

https://dataskydd.net/utlamnande-av-handlingar-polismyndigheten

Dataskydd.net:s JO-anmälan mot polismyndigheten (07.03.2016):

https://dataskydd.net/sites/default/files/jo_anmalan_7_mars_2016.pdf

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

8. Kommande

Event:

Dataskydd.net är med på EU-kommissionens workshop om ePrivacy, 12 april:

https://ec.europa.eu/digital-single-market/en/news/stakeholder-workshop-...

Dataskydd.net är med på WordCamp Nüremberg, 16 april:

https://2016.nuremberg.wordcamp.org/

Remisser:

Ds 2016:2, Några frågor om offentlighet och sekretess. Dödslinje: 10 maj 2016.

SOU 2016:7, Integritet och straffskydd. Dödslinje: 26 maj 2016:

http://www.regeringen.se/remisser/2016/03/remiss-sou-20167-integritet-oc...

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

Saknas det något dataskyddsrelaterat vi borde ha med? Är du intresserad av att hjälpa till? Kontakta oss på info@dataskydd.net!

Vi använder varken kakor eller analysverktyg och vår webbserver loggar inte ditt besök.

Problem med sajten? Frågor? Kontakta oss! Vi finns också på Mastodon/Fediverse. Nyheterna finns som RSS-flöde.

All text, förutom citat, är tillgänglig under CC0 (ingen upphovsrätt).