Dataskydd.NET 3.7

Dataskydd.NET 3.7

Dataskydd.NET

Vol. 3, nr. 7, 18 april 2016

https://dataskydd.net - info@dataskydd.net

Information om EU:s dataskyddspaket och skydd av den personliga integriteten, både juridiskt och tekniskt, i den digitala världen.

Detta nyhetsbrev finns även på [node:url]

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

I detta nummer:

1. Dataskyddspaketet och passagerarregistrering seglar genom EU-parlamentet
2. EU-domstolen håller förhör om datalagring
3. Artikel 29-gruppen är inte övertygade av Privacy Shield
4. Riksrevisionen: Säkerhets- och integritetsnämndens raison d'etre är ett problem för dem
5. Workshop om "ePrivacy"-direktivet: ytterligare lagändringar i dataskyddspaketets svallvågor
6. Kommande

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

1. Dataskyddspaketet och passagerarregistrering seglar genom EU-parlamentet

Torsdagen 14 april har EU-parlamentet formellt antagit det nya dataskyddsdirektivet och dataskyddsförordningen. Då EU:s ministerråd, som samlar alla EU-ländernas regeringar, godkänt lagändringarna redan den 8 april i år betyder det att lagstiftningen nu är klar.

Samtidigt har EU-parlamentet röstat igenom ett direktiv om europeisk passagerarregistrering, modellerat efter det avtal om passagerarregistrering som EU haft med USA under flera år.

Enligt organisationen Access Now, med verksamhet i Bryssel, är det tveksamt om direktivet är lagligt. Det kräver nämligen registrering av alla passagerare som åker flyg inuti Europeiska unionen, och den fria rörligheten kräver att individer får röra sig fritt innanför unionens gränser.

EU:s nya dataskyddslagar kommer att börja gälla två år efter att de förts in i EU:s officiella tidskrift för författningar. Som Dataskydd.net redan rapporterat i föregående nyhetsbrev har svenska regeringen redan tillsatt utredningar som ser över både de lagstiftningar som gäller brottsbekämpande och kriminalvårdande myndigheter, den svenska lagstiftningen i allmänhet samt möjligheterna att genomföra passagerarregistrering i enlighet med EU:s direktiv. Effekterna av de nya lagstiftningarna kan alltså komma att bli synliga tidigare.

Läs mer:

Europaparlamentet, EU:s dataskyddslagar ändras - parlamentet antar regler i fas med digitala eran (14.04.2016):

http://www.europarl.europa.eu/news/sv/news-room/20160407IPR21776/EUs-dat...

Europaparlamentet, Parlamentet antar EU:s direktiv om passageraruppgifter (14.04.2016):

http://www.europarl.europa.eu/news/sv/news-room/20160407IPR21775/Parlame...

Ministerrådet, Data protection reform: Council adopts position at first reading (08.04.2016):

http://www.consilium.europa.eu/sv/press/press-releases/2016/04/08-data-p...

Access Now, The stormy seas of privacy in Europe (14.04.2016):

https://www.accessnow.org/stormy-seas-privacy-europe/

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

2. EU-domstolen håller förhör om datalagring

Tisdagen 12 april höll EU-domstolen förhör i de förenade målen C-203/15 och C-698/15. Dataskydd.net har begärt ut svenska regeringens anförande. Det är grundat på regeringens tidigare utredningar om datalagring och framhåller att den svenska lagstiftningen "sammantaget" är tillräckligt bra, även om den inte i alla aspekter uppfyller domstolens alla krav.

Alla medlemsländer utom Spanien anförde att de upplevde att utlämning av datalagrade uppgifter inte föll inom EU-rätten, även om lagring gör det. Spanien menade istället att även utlämning av datalagrade uppgifter faller inom EU-rätten på grund av de kostnader det orsakar för operatörerna och de marknadsförvridande effekter det kan få om kostnaderna är mycket olika i olika länder.

Svenska Post- och telestyrelsen live-twittrare var "imponerad av hur bra talare de engelska [klagandenas] ombu[d] är." Via EU-ledamoten Jan Philip Albrechts juridiska praktikant, som var på plats i domstolssalen, har vi till exempel följande uttalande: "Artikel 15(1) i [direktivet om skydd av personuppgifter i elektroniska kommunikationsnät] är lex specialias: det kan inte tolkas så att alla individuella rättigheter försvinner i och med artikeln," med hänvisning till att lagtexten i fråga ger medlemsländerna möjlighet att anta nationella datalagringsbestämmelser.

Generaladvokatens utlåtande ska vara färdigt 19 juli.

Läs mer:

Jan Philip Albrechts juridiska praktikants twitter-ström (12.04.2016):

https://twitter.com/AntoniaLatsch

Post- och telestyrelsens live-twittrare:

https://twitter.com/stafbulp

Regeringens muntliga anförande till EU-domstolen (.doc-format) (12.04.2016):

https://dataskydd.net/sites/default/files/muntligt_anforande_c-203-15_sl...

De lege data, European Court of Justice hears arguments in two procedures on national data retention laws (12.04.2016):

https://www.delegedata.de/2016/04/european-court-of-justice-hears-argume...

Curia, Begäran om förhandsavgörande framställd av Kammarrätten i Stockholm (Sverige) den 4 maj 2015 – Tele2 Sverige AB mot Post- och telestyrelsen (Mål C-203/15):

http://curia.europa.eu/juris/document/document.jsf?text=&docid=165124&do...

Curia, Begäran om förhandsavgörande framställd av Court of Appeal (England & Wales) (Civil Division) den 28 december 2015 – Secretary of State for the Home Department mot David Davis, Tom Watson, Peter Brice, Geoffrey Lewis  (Mål C-698/15):

http://curia.europa.eu/juris/document/document.jsf?text=&docid=175038&do...

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

3. Artikel 29-gruppen är inte övertygade av Privacy Shield

Den 13 april offentliggjorde EU:s Artikel 29-grupp, ett samlingsorgan för dataskyddsmyndigheter liknande Datainspektionen från EU:s alla medlemsländer, sin ståndpunkt om EU-kommissionens nya Safe Harbor-beslut: Privacy Shield.

Privacy Shield har tidigare fått kritik för att det inte tillräckligt adresserar de problem som EU-domstolen anförde i sitt uppsägande av det tidigare beslutet i oktober 2015. Artikel 29-gruppen verkar överens med den bedömningen:

Viktiga formuleringar av principer i den europeiska dataskyddsrätten har omformulerats (t ex begreppet "tillgång") eller utelämnats (t ex begreppet "ändamålsbegränsning), menar expertgruppen. Den oklara terminologin säkerställer inte ett "huvudsakligen likadant skydd". Beslutstexten är otydlig, vilket försvårar tolkningsmöjligheterna för medborgare, företag och dataskyddsmyndigheter, och tillräckliga förarbeten saknas för att expertgruppen ska kunna utvärdera beslutets innebörd.

Trots sina invändningar välkomnar gruppen att EU-kommissionens utkast är ett stort steg framåt gentemot Safe Harbor-beslutet.

För de företag som otåligt väntar på juridisk säkerhet för dataöverföringar ser det inte ljust ut. EU-kommissionen kan anta Privacy Shield-beslutet oavsett vad Artikel 29-gruppen har för invändningar, och av politiska skäl är detta det enklaste för EU-kommissionen att göra. Men då finns risken att beslutet åter hamnar inför EU-domstolen och att domstolen underkänner beslutet av lagliga skäl.

Industriorganisationer har  fortsatt driva på för att beslutet ska träda i kraft, och juristfirman Hogan Lovells menar att det nya beslutet i allt väsentligt uppfyller EU-domstolens krav. Den svenska advokatbyrån MAQS uppmanar istället till försiktighet.

Man kan föreställa sig att alla i längden tjänar på att beslutet håller för en juridisk prövning. EU-domstolens hävande av Safe Harbor-beslutet hade kunnat undvikats, om europeiska toppolitiker tidigare reagerat på de brister i beslutet som varit uppenbara under mer än ett decennium innan Max Schrems påbörjade sin stämning mot Facebook. På liknande sätt kan ett hävande av Privacy Shield undvikas, om europeiska toppolitiker bara ser till att det blir rätt från början.

Läs mer:

WP 238, Opinion 01/2016 on the EU – U.S. Privacy Shield draft adequacy decision (13.04.2016):

http://ec.europa.eu/justice/data-protection/article-29/documentation/opi...

Hogan Lovells, Legal Analysis of the EU-U.S. Privacy Shield An adequacy assessment by reference to the jurisprudence of the Court of Justice of the European Union (31.03.2016):

http://www.hoganlovells.com/files/Uploads/Documents/Privacy%20Shield%20L...(2016-03-31).pdf

De lege data, German DPAs „leak“ EU-US Privacy Shield assessment by European Authorities (08.04.2016):

https://www.delegedata.de/2016/04/german-dpas-leak-eu-us-privacy-shield-...

Ars Technica, Privacy Shield doesn’t do enough to curtail US surveillance, say EU data watchdogs (13.04.2016):

http://arstechnica.co.uk/tech-policy/2016/04/privacy-shield-us-surveilla...

Dagens juridik, "Privacy Shield-rapporten är här - var fortsatt försiktig med överföring av personuppgifter till USA" (15.04.2016):

http://www.dagensjuridik.se/2016/04/analys-debatt-johan-engdahl-privacy-...

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

4. Riksrevisionen: Säkerhets- och integritetsnämndens raison d'etre är ett problem för dem

Riksrevisionens granskning av Säkerhets- och integritetsnämndens (SIN) tillsynsverksamhet släpptes 17 mars 2016. SIN är den myndighet som har till uppdrag att granska Säkerhetspolisens, polisens och åklagarmyndighetens användning av hemliga tvångsmedel. De har också till uppgift att granska enskildas krav på kontroll av tvångsmedel som använts mot dem själva.

SIN har haft problem med hög tjänsteledighet bland personalen (upp till 65% av personalstyrkan befanns vid ett tillfälle vara tjänstelediga), rekrytering och utbildning. De har inte någonsin sedan myndigheten grundades 2008 använt hela sitt anslag, på grund av personalproblem.

Myndigheterna som granskas av SIN rättar sig efter SIN:s beslut när de agerat i strid med lagen. När SIN ger rekommendationer för hur myndigheterna kan förbättra sina rutiner har det inte lika stor effekt, till exempel för att SIN och de brottsbekämpande myndigheterna tolkar lagen olika. Riksrevisionen menar att SIN oftare bör ta sådana tolkningsfrågor till regeringen.

Eftersom SIN inte kan välja att inte granska enskildas krav på kontroll av hemliga tvångsmedel, finner Riksrevisionen att dessa granskningar tar mycket tid. På grund av det, menar Riksrevisionen, blir tillsynsverksamheten lidande.

SIN måste konkurrera med Datainspektionen om vissa tillsynsuppgifter. Riksrevisionen påtalar att det är omständligt och ökar risken för dubbeltydig tolkning av lagstiftningen, men att myndigheterna ändå försökt utarbeta metoder för att ta sig runt de problemen.

Riksrevisionen lyckas, något stötande, formulera det som ett problem att enskilda tar upp mycket av myndighetens resurser. Då Riksrevisionen är tydlig med att SIN grundades specifikt för att ge enskilda en sådan möjlighet till överprövning av hemliga tvångsmedel, kan det tyckas underligt att man sedan ser mängden sådana efterfrågade prövningar som betungande för myndigheten.

Förhoppningsvis kommer beslutsfattarna att se igenom Riksrevisionens mångtydiga formuleringar.

Om SIN:s ursprungliga syfte drar undan resurser från SIN:s senare tillkomna syfte, att utöva tillsyn som krockar med Datainspektionens tillsyn, kan man tänka sig att en striktare separation mellan tillsynsansvaret och hjälpen till enskilda vore rimligare än att utmåla de enskilda som söker rättvisa som problematiska. Hur effektiv och framgångsrik man vill att tillsynen av och rättssäkerheten hos de brottsbekämpande myndigheterna ska vara kan utmålas en politisk fråga, men utgångspunkten i en fungerande rättsstat måste ändå vara att även regeringen har ett intresse av att lagarna upprätthålls - för både myndigheter och enskilda - på bästa möjliga sätt.

Läs mer:

RiR 2016:2, Tillsyn över brottsbekämpande myndigheter – En granskning av Säkerhets- och integritetsskyddsnämnden (17.03.2016):

http://www.riksrevisionen.se/sv/rapporter/Rapporter/EFF/2016/Tillsyn-ove...

Dagens juridik, Enskildas krav på granskning tär på resurserna för tillsyn av hemliga tvångsmedel (04.04.2016):

http://www.dagensjuridik.se/2016/04/enskildas-krav-pa-granskning-tar-pa-...

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

5. Workshop om "ePrivacy"-direktivet: ytterligare lagändringar i dataskyddspaketets svallvågor

Tisdagen 12 april ordnade EU-kommissionen en workshop för civilsamhällesorganisationer och näringsliv om den pågående utvärderingen av direktivet om skydd för personuppgifter i elektroniska kommunikationsnät (2002/58/EC). Direktivet innehåller regler om konfidentiell kommunikation, direktreklam, säkerhetskrav för elektroniska nätverk och i vissa fall andra tekniska lösningar som kan finnas hos konsument. Samtidigt lanserade EU-kommissionen ett samråd om ePrivacy-direktivets nuvarande funktion.

Bland frågorna märks:

- Hur ska slutanvändares säkerhet garanteras i förhållande till brottsbekämpande myndigheters intressen (fråga 20)?

- Borde flexibiliteten för medlemsländerna att välja om direktreklam ska vara "opt-in" eller "opt-out" minskas?

- Vem ska vara tillsynsmyndighet? Ska medlemsländerna fortsatt få välja?

Direktivet har blivit mest känt för sin "kakbestämmelse": man får inte mot en slutanvändares kunskap och vilja placera utrustning på slutanvändares terminaler som kan användas för att övervaka deras beteenden. Svårigheten att skilja mellan användning av kakor som innebär en teknisk funktionalitet (att en viss hemsida kommer ihåg att man skrivit in sitt lösenord) och kakor som har en spårande funktionalitet (att en viss tjänst håller koll på användarens beteende) har gjort det svårt att upprätthålla lagen. Post- och telestyrelsen har en pågående tillsyn kring kakor, vars slutsats nu är snart två år försenad.

Anledningen till EU-kommissionens pågående arbete med direktivet lär dock inte vara kakbestämmelserna, som i de flesta medlemsländer helt enkelt inte följts.

Istället finns det problem med vilka myndigheter som tillser direktivet i olika medlemsländer. I Sverige och runt tio andra medlemsländer har Post- och telestyrelsen tillsynsansvar, men i de flesta medlemsländer faller direktivet under datainspektionernas kompetensområde. Förenat med tillsynen finns andra problem: det är vanligt att medlemsländerna finansierar tillsynen av telekomoperatörer genom särskilda avgifter för operatörerna. Eftersom Post- och telestyrelsens tillsynsansvar under ePrivacy-direktivet delvis går utanför telekomsektorn hamnar vissa sektorer i ställningen att de betalar extra för en tillsyn som inte angår dem.

Direktivet innebär också efter dataskyddsförordningen en risk för dubbelbestämmelser om incidentrapportering och geolokationsuppgifter. Eftersom det tillämpas bara på telekomoperatörer, faller vissa tjänster (trådlösa uppkopplingsmöjligheter på hotspots eller Skype-samtal) utanför direktivets tillämpningsområde.

ePrivacy-direktivet har ett bredare och i vissa fall mer säkerhetsorienterat tillämpningsområde, som till skillnad från dataskyddsförordningen även täcker juridiska personer (föreningar och företag). Det rör inte bara uppgifter utan även konfidentiell kommunikation.

Att direktivet har ett fortsatt existensberättigande är ifrågasatt, särskilt från telekomindustrin och den växande internet-of-things-industrin. En hel del aktörer, särskilt från mjukvaraindustrin, ifrågasätter att man kan göra en bra uppdatering av ePrivacy-direktivet utan att först veta hur dataskyddsförordningen kommer tillämpas.

Sverige har tillämpat många av flexibiliteterna i direktivet. Till exempel har Sverige opt-out för direktreklam (jämför NIX-registret), och bestämmelser om datalagring och inhämtning av abonnentuppgifter.

Vi kan vänta oss svarsguider för samrådet från den europeiska organisationen EDRi innan dödslinjen går ut 5 juli 2016.

Läs mer:

EU-kommissionens samråd:

https://ec.europa.eu/digital-single-market/en/news/public-consultation-e...

Föreningen för digitala fri- och rättigheter, projekt kring kaklagen:

https://www.dfri.se/projekt/pts-knappen/

Post- och telestyrelsens hemsida för lagen om elektronisk kommunikation, se särskilt Proposition 2010/11:115:

http://www.pts.se/sv/Bransch/Regler/Lagar/Lag-om-elektronisk-kommunikation/

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

6. Kommande

Event:

Dataskydd.net är med på Biblioteksdagarna, 10-11 maj:

http://digibib.se/cryptoparty-bibldag16/

Remisser:

SOU 2015:91, Digitaliseringens transformerande kraft. Dödslinje: 23 maj 2016.

http://www.regeringen.se/remisser/2016/02/remiss-av-delbetankandet-digit...

Ds 2016:2, Några frågor om offentlighet och sekretess. Dödslinje: 10 maj 2016.

http://www.regeringen.se/remisser/2016/02/remiss-ds-20162-nagra-fragor-o...

SOU 2016:7, Integritet och straffskydd. Dödslinje: 26 maj 2016.

http://www.regeringen.se/remisser/2016/03/remiss-sou-20167-integritet-oc...

Övrigt:

EU-kommissionens öppna samråd om direktivet om personuppgiftsskydd i elektroniska miljöer. Dödslinje: 5 juli 2016.

https://ec.europa.eu/digital-single-market/en/news/public-consultation-e...

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

Saknas det något dataskyddsrelaterat vi borde ha med? Är du intresserad av att hjälpa till? Kontakta oss på info@dataskydd.net!

Vi använder varken kakor eller analysverktyg och vår webbserver loggar inte ditt besök.

Problem med sajten? Frågor? Kontakta oss! Vi finns också på Mastodon/Fediverse. Nyheterna finns som RSS-flöde.

All text, förutom citat, är tillgänglig under CC0 (ingen upphovsrätt).