OBS! Föreningen Dataskydd.net upplöstes i maj 2024. Sidorna kan innehålla brutna länkar och information som är inaktuell.

Dataskydd.NET 3.8

Dataskydd.NET 3.8

Dataskydd.NET

Vol. 3, nr. 8, 2 maj 2016

https://dataskydd.net - info@dataskydd.net

Information om EU:s dataskyddspaket och skydd av den personliga integriteten, både juridiskt och tekniskt, i den digitala världen.

Detta nyhetsbrev finns även på [node:url]

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

I detta nummer:

1. Storbritannien tar ett steg bort från Europeiska konventionen för mänskliga rättigheter
2. Samma regler för operatörer och appar i Tyskland
3. Kritik mot polisens datahantering från två myndigheter
4. SPF Seniorerna säljer personuppgifter, enligt upprörda medlemmar
5. Kommande

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

1. Storbritannien tar ett steg bort från Europeiska konventionen för mänskliga rättigheter

Under Storbritanniens pågående diskussion om EU-medlemskapet vänder båda sidor av debatten på alla stenar. Inrikesminister Theresa May valde i veckan att lyfta problemen inte med Storbritanniens medlemskap i EU, utan landets medlemskap i Europeiska konventionen för mänskliga rättigheter.

Europeiska konventionen för mänskliga rättigheter är en förteckning av rättigheter som alla individer som befinner sig på någon av konventionsstaternas territorium ska åtnjuta. Rätten till privatliv och rätten till rättssäkerhet tillfaller alltså inte personer med särskilda medborgarskap, utan alla individer som befinner sig inom ett lands gränser. Hur konventionen ska tolkas bestäms av Europadomstolen, och i viss utsträckning av Europarådet. Europarådet har också möjlighet att förhandla fram nya konventioner och dokument på områden som berör konventionens område. Till exempel skapade man en dataskyddskonvention 1981, och sedan 2001 finns en konvention om IT-brottslighet.

När Europadomstolen har dömt, kan den bestämma att ett land som skrivit under konventionen ska betala ersättning till den som fått sina rättigheter kränkta. Även om domsluten formellt gäller det enskilda fall i vilket domstolen uttalat sig, väntas domsluten få prejudicerande effekt. Det är alltså effektivt en sorts konstitutionsdomstol för alla länder som skrivit under konventionen. Och denna roll är den som Theresa May ifrågasätter.

Theresa May har lyft att Storbritannien har stor behållning av sitt medlemskap i EU, på grund av de polisiära samarbeten och informationsutbyten som sker genom EU. Passuppgifter, transaktionsuppgifter, visumuppgifter och uppgifter från pågående brottsutredningar menar May kan hjälpa polisen utreda pengatvätt, terrorfinansiering, smuggling, och olaglig invandring. Bara nu i vår har verktygslådan på EU-nivå utökats med passageraruppgifter från flygningar, och enligt ett förslag ska man också öppna en "one-stop-shop" för personuppgifter åt polismyndigheter i unionens olika delar.

Förhållandet mellan övervakning i Storbritannien och Europadomstolen är däremot mer ansträngt.

Storbritannien tillämpar en "missbruksregel" för övervakning. I stort sett kan man använda vilken övervakning man vill, men det måste dokumenteras och ansvar kan utkrävas om det kan påvisas ett missbruk. Vid två tillfällen har Storbritannien fällts av Europadomstolen för att inte ha gjort tillräckligt tydlig lagstiftning om övervakning av enskilda. Organisationen Privacy International med flera har ett pågående rättsfall inför Europadomstolen om transparens för övervakningsmyndigheter. Vid andra tillfällen har Storbritannien fällts för lagstiftning som begränsar fängelsekunders rätt att rösta.

Men Europadomstolens rättspraxis täcker alla stater som skrivit under Europakonventionen, och principiellt är Storbritannien bundna även av de principer som framgår i fallen Zakharov mot Ryssland och Szabo och Vissy mot Ungern. Så kommer Storbritannien vara också av Europadomstolens avgörande i Centrum för Rättvisa mot Sverige, en rättsprocess som utmanar premisserna för FRA-lagen om som väntas få sitt avslut i år.

May menar att Europadomstolen utgör ett hot mot Storbritanniens rätt att försvara sig.

Ett annat av Mays argument för att träda ur Europeiska konventionen för mänskliga rättigheter är att konventionen ändå inte lyckas få sina undertecknande stater att följa de mänskliga rättigheterna. Till exempel Ryssland införde dagarna efter att de blev fällda i Zakharov-fallet en ny lag som ger duman och ryska konstitutionsdomstolen suveränitet i Ryssland.

Det är en stark politisk signal. Symbolismen är att Storbritannien inte längre vill underordna sig ett internationellt regelverk för mänskliga rättigheter. Även om många av de politiker som de senaste 20 åren bedyrat sitt stöd för de mänskliga rättigheterna, också påkallat frågan om de med dessa rättigheter verkligen kan mena samma rättigheter som finns i Europakonventionen, FN-konventionerna och i EU:s stadga, är det få som uttalat ifrågasatt att de nuvarande rättighetskatalogerna är de rätta. Kanske bara Viktor Órban, som i egenskap av ungersk statschef redan 2014 förutspådde den illiberala demokratins (det vill säga, en demokrati som inte bygger på mänskliga rättigheter) framfart.

Men det är inte första gången som konflikten mellan Europakonventionen och Storbritanniens suveränitet lyfts. Redan när Storbritannien omförhandlade sitt EU-medlemskap var det vissa politiker i Storbritannien som klagade att tyska domstolar minsann inte måste underordna sig Europakonventionen, trots att brittiska domstolar måste göra det. EU:s förhållande till Europakonventionen är inte heller lika klart som kritiker av May har antytt - EU-domstolen vägrade för bara något år sedan godkänna att EU skrev under Europakonventionen med hänvisning till att EU-domstolen då skulle tappa suverän jurisdiktion över EU-området.

Läs mer:

The Register, Remain in the EU and help me snoop on the world, says Theresa May (25.04.2016):

http://www.theregister.co.uk/2016/04/25/stay_in_the_eu_its_our_platform_...

The Register, Lessons from history for UK Home Sec Theresa May's Investigatory Powers Bill (17.03.2016):

http://www.theregister.co.uk/2016/03/17/snoopers_charters_a_history/?page=1

Privacy International v United Kingdom (december 2014):

https://privacyinternational.org/node/83

Dataskydd.net, Europadomstolen gör vad politikerna borde göra (med vidare rättshänvisningar) (02.02.2016):

https://dataskydd.net/nyheter/2016/02/02/europadomstolen-gor-vad-politik...

Moscow Times, Russia to Rule on European Court of Human Rights Decisions (10.12.2015):

http://www.themoscowtimes.com/news/article/russia-to-rule-on-european-co...

The Guardian, Tory bid to liken human rights plan to German legal system backfires (03.10.2014):

http://www.theguardian.com/law/2014/oct/03/tory-human-rights-convention-...

EU Law Analysis, The CJEU and the EU’s accession to the ECHR: a clear and present danger to human rights protection (18.12.2014):

http://eulawanalysis.blogspot.se/2014/12/the-cjeu-and-eus-accession-to-e...

Ezster Zalan at EUObserver, How to build an illiberal democracy in the EU (08.01.2016):

https://euobserver.com/political/131723

Council of Europe, Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data, CETS No 108:

http://www.coe.int/en/web/conventions/full-list/-/conventions/treaty/108

Council of Europe, Convention on Cybercrime, CETS No. 185:

http://www.coe.int/en/web/conventions/full-list/-/conventions/treaty/185

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

2. Samma regler för operatörer och appar i Tyskland

I tyska federala överkammaren (Bundesrat) diskuteras att utsträcka regler om skydd för konfidentiell kommunikation som i dagsläget gäller för internetoperatörer och mobiloperatörer till appar och sociala medier.

Anledningen är att båda sortens tjänster kommer i kontakt med ungefär samma sorts data. Denna information kan utgöras av användarens geografiska position, innehållet i användarens kommunikation och vem den har kontakt med.

För elektroniska kommunikationstjänster, det vill säga mobiloperatörer, internetoperatörer eller telefonitjänster, finns redan starka regler på EU-nivån. De gäller inte för informationssamhällets tjänster.

Hur reglerna för nya, IP-burna tjänster som inte täcks av den gamla lagstiftningen ska se ut diskuteras inte bara i Tyskland, utan även i Bryssel. I fokus för den pågående ändringen av det så kallade ePrivacy-direktivet är om säkerhetskrav gentemot användare, och skydd för konfidentiell kommunikation, ska gälla fler än bara operatörer. Idag kan skyddet för en användares kommunikation ändras beroende på var den befinner sig och var den kopplar upp sig: medan en mobiloperatör täcks av skyldigheterna under direktivet, täcks inte en wifi-hotspot-tjänst som inte tillhandahålls av en aktör som formellt är en operatör (jämför till exempel det företag som tillhandahåller wifi på bussar och tåg i Sverige).

Om samma regler skulle tillämpas på både informationssamhällets tjänster och operatörer skulle det också innebära en risk för mer datalagring. Tyskland saknar i dagsläget datalagringslagstiftning, men har diskuterat att införa ett lagringskrav på tio veckor. Bundesrat diskuterar också om huruvida lagringskrav ska utsträckas till tjänster som Whatsapp och Skype.

Läs mer:

Zeit, Bundesrat: WhatsApp-Daten könnten Vorratsdaten werden (22.04.2016):

http://www.zeit.de/digital/datenschutz/2016-04/bundesrat-whatsapp-skype-...

Dataskydd.net, Workshop om "ePrivacy"-direktivet: ytterligare lagändringar i dataskyddspaketets svallvågor (21.04.2016):

https://dataskydd.net/nyheter/2016/04/21/workshop-om-eprivacy-direktivet...

EU-kommissionens pågående samråd om ePrivacy-direktivet:

https://ec.europa.eu/digital-single-market/en/news/public-consultation-e...

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

3. Kritik mot polisens datahantering från två myndigheter

I mars och april har både Säkerhets- och integritetsnämnden (SIN) samt Datainspektionen riktat kritik mot polisens datahantering. Det är inte första gången SIN och Datainspektionen finner att polisen inte följer lagen.

En genomgång av Föreningen för digitala fri- och rättigheter (DFRI) från 2015 visar att SIN i 13 av 18 granskningsärenden under perioden våren 2014-våren 2015 fann att polisen på olika sätt inte följde de regler som polisen borde följa. Dataskydd.net har läst igenom ytterligare 27 tillsynsärenden från SIN från och med 2 september 2016 fram till 27 april 2016, varav 18 innehåller kritik och minst två lett till polisanmälningar på grund av de allvarliga bristerna. I flera fall är kritiken en upprepning av tidigare kritik, i ett fall avskriver SIN kritiken för att cheferna underrättats om tidigare kritik, och samtliga brottsbekämpande verksamheter verkar ha störst problem med ändamålsbegränsning, gallring och, något förvånande, laglig bas för övervakningsbeslut. Samtliga fall av olaglig övervakning har inte polisanmälts.

Vid denna tillsyn är det underrättelseverksamheten som kritiken riktas mot. OBS-portalen är ett nationellt informationssystem. Systemet används för utbyte av underrättelseinformation, i teorin bara i sammanhang som rör brottsbekämpning men enligt Datainspektionen även i en rad andra sammanhang. Systemet saknar  tillräckliga accesskontroller och gör inte skillnad mellan särskilt integritetskänsliga uppgifter och andra uppgifter (till exempel sekretessklassade uppgifter så som skyddad identitet och ej sekretessklassade uppgifter så som identiteter som inte är skyddade). Det är heller inte tydligt att uppgifterna som förekommer i systemet är riktiga, eller i vilken utsträckning man gör uppgifterna tillgängliga för andra genom att publicera dem i systemet.

På dataskyddsspråk skulle vi säga att polisen är dåliga på ändamålsbegränsning, och att polisen missat att införa tillräckliga organisatoriska och tekniska säkerhetsåtgärder.

Datainspektionens rekommenderationer stannar oftast vid att polismyndigheten bör se över sina rutiner till följd av de konstaterade bristerna. Även SIN använder sig av rekommendationer, men som Dataskydd.net tidigare rapporterar lyssnar de brottsbekämpande myndigheterna på rekommendationer som inte påvisar uppenbar lagstridighet om rekommendationen inte skulle följas.

För privatpersoner och enskilda i Sverige finns få möjligheter att utöva sina rättigheter. Till exempel behöver polisen inte redovisa i vilken utsträckning eller hur de har publicerat någon särskild individs uppgifter i OBS-portalen. Justitiedepartementet har även tidigare tolkat polismyndighetens insamling och utbyte av underrättelseinformation i fall som inte behövs för myndighetens verksamhet som en anledning att ytterligare försvåra insyn (se Dataskydd.net:s kommentarer på Ds 2016:2).

Den enda möjlighet till granskning man har som enskild är att vända sig till SIN. Dataskydd.net:s och DFRI:s genomgång av sådana granskningar föranleder känslan av att de brottsbekämpande myndigheter inte tar dessa granskningar på tillräckligt stort allvar. Om man som enskild inte ens har rätt att veta hur uppgifter har behandlats och spritts, så som verkar vara fallet med OBS-portalen, har man givetvis mycket sämre möjligheter att utöva sina rättigheter.

De senaste lagändringarna i polisedatalagen genomfördes i februari 2016, och fler är att vänta, bland annat på grund av EU:s nya dataskyddsdirektiv. Direktivet kan komma att åtgärda vissa av de insynsproblem som idag finns för enskilda. Till skillnad från den svenska lagstiftaren, har den europeiska lagstiftaren lagt större emfas på transparens.

Läs mer:

Dagens juridik, '"Anmärkningsvärt" att polisen bryter mot samma lag om och om igen - trots återkommande kritik' (20.04.2016):

http://www.dagensjuridik.se/2016/04/anmarkningsvart-att-polisen-bryter-m...

Datainspektionen, Kritik mot polisens it-system för brotts-, spanings- och kriminalunderrättelseinformation (21.04.2016):

http://www.datainspektionen.se/press/nyheter/2016/kritik-mot-polisens-it...

Säkerhets- och integritetsnämnden, Uttalande om inhämtning av uppgifter om elektronisk kommunikation vid Polismyndigheten (region Väst, polisområde Göteborg) (16.03.2016):

http://www.sakint.se/dokument/rapporter-och-uttalanden/Uttalande-IHL-PM-...(dnr-206-2015).pdf

Datainspektionen, Polisen bör anpassa sig till nya polisdatalagen (28.01.2014):

http://www.datainspektionen.se/press/nyheter/2014/polisen-bor-anpassa-si...

Riksdagen, Polisdatalag (2010:361) t.om. SFS 2016:29:

http://www.riksdagen.se/sv/dokument-lagar/dokument/svensk-forfattningssa...

DFRI, DFRI:s remissyttrande SOU 2015:31 Datalagring och integritet (26.08.2015):

https://www.dfri.se/dfris-remissyttrande-sou-201531-datalagring-och-inte...

Dataskydd.net, Dataskydd.net lämnar remissyttrande på Ds 2016:2 om förändringar i offentlighets- och sekretesslagen (02.03.2016):

https://dataskydd.net/nyheter/2016/03/02/dataskyddnet-lamnar-remissyttra...

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *
4. SPF Seniorerna säljer personuppgifter, enligt upprörda medlemmar

Flera medlemmar i SPF Seniorerna i Uppsala har upprörts över att föreningen säljer medlemmarnas personuppgifter till företagssponsorer, enligt uppgifter till Sveriges radio. Föreningen är därför anmäld till Datainspektionen.

Personuppgifter får inte säljas vidare till eller delas med tredjeparter utan att en enskild har godkänt detta. Forskningsresultat från Handelshögskolan i Stockholm som Dataskydd.net skrivit om tidigare i år indikerar dock att även formellt godkänd försäljning av personuppgifter (till exempel att man skrivit under konsumentavtal eller medlemsavtal) kan leda till att individer känner sig lurade och kränkta.

Konsumentavtal och medlemsvillkor med brett formulerade privilegier till den som samlar in personuppgifter har på ett olyckligt sätt normaliserats, trots att lagstiftningen påbjuder tydlig ändamålsbegränsning.

I gråzonen för vad som är tillåtet finns försäljning av "profiler", det vill säga när en organisation inte direkt säljer personuppgifterna som den samlat in utan resultat som bygger på databehandling. Studentföreningen Studentkortet, som hjälper studenter i Sverige att få tillträde till studentaktiviteter på nationer och kårer genom att utfärda plastkort, hjälper till exempel företag att "tidigt skapa en relation med sin målgrupp [då den] skapar eget hushåll och sätter konsumtionsmönster och preferensföretag." För detta krävs inte direkt utlämning av personuppgifter, utan försäljning kan istället äga rum så att man köper tillträde till "studenter som bor i eget hushåll", "studenter som bor i kollektiv", "studenter som ännu inte fyllt 23 år" eller "studenter som förväntas närma sig slutet på sin studieperiod". Upplysningskraven kring denna sorts verksamhet, som utgör grunden för reklamindustrin på internet, är idag svaga.

Regeringen indikerade under diskussionerna om dataskyddsförordningen i Bryssel att de kunde tillerkänna företag som säljer profiler till andra företag industriella rättigheter till profilerna. Med detta hade de inte framgång, och förordningens regler har lyckligtvis lagt industriella rättigheter och personlighetsrättigheter på samma prioritetsnivå. De slutgiltiga reglerna om profiler är urvattnade i förhållande till EU-kommissionens förslag från 2012, men de är befintliga och borde innebära en liten förstärkning av individers rättigheter att få reda på hur deras profiler säljs. Dataskyddsförordningen informationskrav ser vid första anblick ut att vara starka, men mycket kommer att hänga på hur tillsynsmyndigheterna väljer att tolka regelverket.

Det vore bra om Datainspektionen hade resurser att plocka upp anmälan och förtydliga reglerna för personuppgiftsförsäljning. Även profilförsäljning bör ingå i en översyn. Dataskyddsförordningen håller för närvarande på att utredas i förhållande till svensk rätt, och tidiga klargöranden kommer att minska både kostnader och osäkerhet för de företag som berörs av förordningens bestämmelser.

Läs mer:

Sveriges radio, Pensionärsförening anmäls för att ha sålt personuppgifter (28.04.2016):

http://sverigesradio.se/sida/artikel.aspx?programid=114&artikel=6421638

Dataskydd.net, Recension: Anseenderisker och dataskydd (04.02.2016):

https://dataskydd.net/nyheter/2016/02/04/recension-anseenderisker-och-da...

Studentkortet, För företag:

http://www.studentkortet.se/for-foretag/

Regeringens åsikter om dataskyddsförordningen 2013:

https://dataskydd.net/kommentarer-pa-regeringens-asikter

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

5. Kommande

Event:

Dataskydd.net är med på Biblioteksdagarna, 10-11 maj:

http://digibib.se/cryptoparty-bibldag16/

Remisser:

SOU 2015:91, Digitaliseringens transformerande kraft. Dödslinje: 23 maj 2016.

http://www.regeringen.se/remisser/2016/02/remiss-av-delbetankandet-digit...

Ds 2016:2, Några frågor om offentlighet och sekretess. Dödslinje: 10 maj 2016.

http://www.regeringen.se/remisser/2016/02/remiss-ds-20162-nagra-fragor-o...

SOU 2016:7, Integritet och straffskydd. Dödslinje: 26 maj 2016.

http://www.regeringen.se/remisser/2016/03/remiss-sou-20167-integritet-oc...

Övrigt:

EU-kommissionens öppna samråd om direktivet om personuppgiftsskydd i elektroniska miljöer. Dödslinje: 5 juli 2016.

https://ec.europa.eu/digital-single-market/en/news/public-consultation-e...

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

Saknas det något dataskyddsrelaterat vi borde ha med? Är du intresserad av att hjälpa till? Kontakta oss på info@dataskydd.net!

All text, förutom citat, är tillgänglig under CC0 (ingen upphovsrätt).