Dataskydd.NET

Vol. 4, nr. 2, 3 april 2017

https://dataskydd.net - info@dataskydd.net

Information om EU:s dataskyddspaket och skydd av den personliga integriteten, både juridiskt och tekniskt, i den digitala världen.

Detta nyhetsbrev finns även på https://dataskydd.net/nyhetsbrev/dataskyddnet-42

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

I detta nummer:

1. Datalagringsutredningen - dåligt med tid, olycklig förvirring
2. Ny anti-dataskyddslag för telekunder i USA medför oro om ny EU-förordning
3. Polisen kritiserar säkra appar för slutkonsument
4. Kommande

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

1. Datalagringsutredningen - dåligt med tid, olycklig förvirring

En ny datalagringsutredning har tillsatts. På blotta sex månader ska den anpassa svensk rätt till EU-domstolens nya prejudikat om de mänskliga rättigheterna i EU, ett drag som av etablerade medier uppfattats som ett "tecken på att regeringen tar frågan på allvar", men som av oss på Dataskydd.net upplevs djupt problematiskt med avseende på de många frågetecken som fortfarande finns kring datalagringens tillämpning och nytta. Vi har sammanställt våra frågor om utredningens uppdrag, på ett sätt som vi hoppas klargör varför vi anser det olyckligt att regeringen inte vågar ta sig tiden att genomlysa området ordentligt.

Del 1. Rättsordningsfrågor

Utredningen skulle göra klokt i att försöka observera att det i och med EU-domstolens datalagringsbeslut ser ut att ha manifesterat sig en rättsordningsförvirring. EU-domstolen har agerat normerande, jag vill säga rättsbildande, i enlighet med de grundläggande rättigheter som domstolen menar utsträcks till samtliga europeiska medborgare. Svenska rättsvårdande instanser, som normalt ska vårda och upprätthålla bildad rätt, har gjort väldigt häftigt, medialt motstånd mot denna normbildning.

I telekombranschen har EU-domstolen accepterats som normerande kraft under lång tid. Domslut från EU-domstolen kan åberopas i propositioner om svensk telekommunikationsrätt och konsumenträttigheter i digitala miljöer, eller direkt av Post- och telestyrelsen i deras tillsynsverksamhet. Denna praktik saknas hos de rättsvårdande instanserna och i utredningar rörandes dessa instanser. De tre senaste
månadernas tuffa mediadebatter i Sverige har lett till att svenska medborgare i princip tvingats välja mellan att vara på de rättsbildande, normerande, instansernas sida eller på de rättsvårdande, normupprätthållande, instansernas sida. Det kan inte vara tillfredsställande att medborgare ställs inför detta val, och det skadar rimligen rättsmedvetandet att det finns ett upplevt fiendeskap mellan de som skapar rätten och de som upprätthåller rätten.

Utredningen bör, i den utsträckning den inte känner för att uttrycka något specifikt om detta område, i alla fall ta upp att regeringen borde titta på detta område. Egentligen är det fråga om det alls går att utreda: antingen accepterar våra politiker och myndigheter rättsordningen så som den är, eller så gör de inte det. Om de inte gör det borde vi antas ha ett stort problem. I den utsträckning detta är en konflikt mellan den historiskt svenska parlamentarismen, och de starkare inslag av maktdelning som infördes i grundlagen 2011 (och genom EU-medlemskapet) bör detta påtalas, också i kontext av att bägge rådande regeringspartier faktiskt röstade för grundlagsändringarna 2011.

Rättsordningsfrågan uppstår inte bara inom polisiära tvångsmedel, utan också i andra frågor. Till exempel Datainspektionens tillsynsområde (Weltimmo, C-230/14) eller Konsumentverkets befogenheter (VfKI, C-191/15). Det som är atypiskt för datalagringsfrågan är att de rättsvårdande instanserna genom starka mediala insatser polariserat debatten mot en rättsbildande instans, EU-domstolen. Förutsättningarna för sådan hätsk polarisering saknas i de andra exempel vi för fram: ingen av de berörda parterna har samma intresse av trubbel. Därför det märks extra tydligt i datalagringsdiskussionen att något sannolikt inte är som det ska.

Ur ett konstitutionellt perspektiv ter sig uppdragsformuleringen att ni ska hålla reda på eDataskyddsförordningen (COM (2017) 10)[1] underlig, eftersom EU:s stadga till följd av direktiv 680/2016 om dataskydd i de brottsbekämpande myndigheterna[2] ändå kommer gälla för informationsinsamling som poliser och åklagare företar sig. Dataskydd.net har noterat att EU-kommissionen ser ut att ha föreslagit större "carve-outs" för brottsbekämpande verksamhet i artikel 2 i eDataskyddsförordningen så som föreslagen i vintras, men jag tror inte att regeringen kan ha någon förhoppning om att EU-domstolen av den anledningen skulle uppfatta de brottsbekämpande myndigheternas förmåga att uppfylla förpliktelser enligt artikel 8, EU-stadga, som mindre gällandes. Det är viktigt att regeringen bereds möjlighet att förstå den fullständiga omfattningen av Sveriges deltagande i det europeiska samarbetet, så att inte regeringen bara genom att slarvigt skriva ett för snävt utredningsuppdrag missar att informera sig om att polisens datahantering ju faktiskt inte bara påverkas av bedömningar enligt art. 15 direktiv 2002/58/EC. Med hänvisning till nedanstående kommentarer (del 2) om den hitintills icke-fungerande strategin att skarva med, eller önska bort, de mänskliga rättigheterna i EU när man tror sig se en möjlighet att göra, vore det olyckligt om utredningen tolkade denna del av uppdraget allt för nitiskt.

Del 2: Tidigare utredningar -- bortfall och brister

Redan i SOU 2006:98 om förstärkt rättssäkerhet vid tillämpningen av hemliga tvångsmedel observerades att det förmodligen krävs både förhands- och efterhandsgranskningar av hemliga tvångsmedel för att Sverige ska uppfylla sina förpliktelser enligt Europakonventionen. Trots att denna kunskap officiellt sett kan anses ha funnits inom staten i tio år, lyckades samtliga brottsbekämpande myndigheter och Justitiedepartementet låta sig överrumplas av EU-domstolens bekräftelse av denna teori. Det har sannolikt inte varit hjälpsamt för varesig de brottsbekämpande myndigheterna eller för regeringen att regeringen under lång tid vägrat ta sina förpliktelser enligt EKMR och numera även EU-stadgan på allvar.

Att Sverige nu har ett problem med geografisk plats för lagrade data har att göra med att utredningen om datalagring och integritet (SOU 2015:31) valde att tolka EU-domstolens uttalande att den "i stadgan uttryckligen föreskrivna oberoende myndighetskontrollen" ska vara "fullt ut garanterad" som ekvivalent med uttrycket "vissa möjligheter att bedriva en aktiv och ändamålsenlig tillsynsverksamhet".

"Fullt ut garanterad[e möjligheter]" och "vissa möjligheter" betyder, på den svenska som de flesta som bor i Sverige talar, inte samma sak. Om den tidigare utredningen inte varit slapp, hade den innevarande utredningen, teleoperatörer, och de brottsbekämpande myndigheterna haft färre problem idag. "Genväg är senväg" som någon snusförnuftig dryg person skulle kunna säga.

Men Sverige har också, och ansvaret för detta måste främst anses ligga på politikerna, ägnat sig åt andra fantasifulla tolkningar av domstolens ord. Det som i EU-domstolens första domslut, Digital Ireland C-293/12, för varje läskunnig europeisk person som inte specialiserat sig på att tolka domstolstexter flexibelt såg ut som tre strikta kriterier för datalagring och därtill följande rättssäkerhet, trollade man i Sverige bort genom att införa konstruktionen "sammantaget tillräckligt bra". Innebörden av "sammantaget" är att Sverige förvisso inte uppfyller de tre kriterierna, men antar att man är tillräckligt bra ändå. Idag ser det tydligt ut att det var ett felaktigt antagande, men det har ändå orsakat onödig förargelse och rättsförvirring -- eller hos de brottsbekämpande myndigheterna konsolidering av dåliga  arbetsmetoder och vanor -- som man hade kunnat undvika om man inte från början insisterat på att skarva.

Del 3: Dålig statistik

Vi saknar idag formella och offentligt sammanställda redogörelser för hur datalagring och inhämtning har använts. Diskrepansen mellan de exempel och den statistik som förs fram i SOU 2015:31 Datalagring och integritet och de berättelser som många medarbetare i polisen och på åklagarmyndigheter kommunicerat i medier sedan december 2016 är stor. Medan datalagringsutredningen bara flyktigt nämner att datalagring kan vara bra i brottsutredningar (kap 3) lägger den stor energi på att
kartlägga tillfällen då datalagring och inhämtning använts i underrättelsesyfte eller ibland mot icke misstänkta (kap. 9, se särskilt s. 277). Utifrån datalagringsutredningen skulle man kunna misstänka att de här uppgifterna i princip bara, eller i alla fall mestadels, används under olika former av narkotikautredningar.

Teleoperatörerna Tele2 och Bahnhof har publicerat information om förfrågningar de fått in: 10000 förfrågningar från Skatteverket på en månad i det första fallet (DN 4 maj 2014)[3], och i det andra fallet redogörs att majoriteten av alla förfrågningar från polisen rör fildelningsbrott (Bahnhof 19 maj 2016)[4]. Teleoperatörernas uppgifter,
som visserligen inte bär en myndighets tyngd, kan inte presumeras vara påhittade eller lögnaktiga men de behöver också en trovärdig genomlysning. Uppgifterna ger till exempel inte samma intryck som datalagringsutredningen ger.

Polisen ser ut att ha utnyttjat sin förtroendeställning gentemot medierna, genom att låta publicera information om att det skett en granskning av 200 fall där  teleoperatörerna efter datalagringsdomen försvårat utredningar (TT 20/02/2017))[5] bara för att senare förklara att granskningen bara är ett arbetsmaterial som därför inte kan delges allmänheten.[6]

Den här förvirringen kring vad datalagringen leder till och hur inhämtningslagen faktiskt används leder till konstigheter, så som att åklagare på allvar kan tro att man alltid måste ha domstolstillstånd för att få ut datalagrad data - trots att SOU 2015:31 tydligt beskriver att så inte är fallet, förarbetena anger att så inte är fallet, och lagtexten i LEK säger att så inte är fallet. Teleoperatörerna ger också uttryck för en väldigt annorlunda upplevelse. Rimligen är det här inte bara en fråga om vem man har mest förtroende för: det bör gå att kvantitativt visa i vilken utsträckning åklagare och poliser använt sig av de befogenheter som gör det möjligt för dessa myndigheter att efterfråga data utan föregående oberoende prövning, och i vilken utsträckning de använt sig av datalagrade data med föregående oberoende prövning, och i vilka fall polisen inte fått ut uppgifter från teleoperatörer trots att de efterfrågat sådana uppgifter.

Del 4: Avslutande observationer

Ovanstående frågeställningar har redan lyfts av Föreningen för digitala fri- och rättigheter i deras remissyttrande på SOU 2015:31 Datalagring och integritet. Remissyttrandet fick stöd av fyra andra organisationer, däribland Dataskydd.net. Det är särskilt olyckligt att snabbutredningen inte kommer leda till bättre statistiska uppgifter, då alla instanser som kan framställa statistiska uppgifter om datalagring verkar få helt olika resultat av sådan dataframställning.

Läs mer:

[1] http://eur-lex.europa.eu/legal-content/EN/ALL/?uri=COM:2017:0010:FIN

[2] http://eur-lex.europa.eu/legal-content/EN/TXT/?qid=1463250287527&uri=CEL...

[3] http://www.dn.se/debatt/myndigheters-fragor-om-sok-i-vara-register-skenar/

[4] https://www.bahnhof.se/press/press-releases/2016/05/19/fildelning-i-topp...

[5] T ex här: https://www.svd.se/polisen-nekas-datatrafik-i-halften-av-fallen

[6] Polisens diarienummer A083.084/2017. Avslag på begäran om utlämnande av allmän handling.

Kommittédirektiv 2017:16, Datalagring och EU-rätten

http://www.regeringen.se/rattsdokument/kommittedirektiv/2017/02/dir.-201...

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

2. Ny anti-dataskyddslag för telekunder i USA medför oro om ny EU-förordning

Amerikanska kongressen har antagit en ny lagstiftning som gör det möjligt för teleoperatörer att med kundernas godkännande sälja personuppgifter. Den nya amerikanska lagstiftningen träder i kraft samtidigt som EU påbörjat förhandlingarna om en ny eDataskyddsförordning - som även den föreslår större möjlighet för teleoperatörer att dra nytta av data och innehåll i kommunikation i kommersiella sammanhang.

Den nya amerikanska lagstiftningen väcker frågor om lämplighetsbeslutet Privacy Shield, som fattades av EU-kommissionen förra året. Den första granskningen av beslutet ska påbörjas i september 2017, men bara under de första tre månaderna 2017 har det blivit mindre och mindre sannolikt att garantierna från Obama-administrationen verkligen kommer att innebära det effektiva skydd för europeiska medborgares grundläggande rättigheter i USA som EU-kommissionen rimligen kan ha förväntat sig. I Sverige finns få förutsättningar att ta reda på hur regeringen ställer sig till dataöverföringsavtalen. Dataskydd.net möttes förra året av undfallenhet och obenägenhet från ansvarig statssekreterare vid frågor om de politiska och rättsliga aspekterna av dataskydd kring vilka Sverige borde visa ledarskap. I Sverige, mer än i EU, är frågan helt underställd ett politiskt tjänstemannavälde, inte på grund av tjänstemännen själva utan på grund av aktivt ointresse från ansvariga politiker.

Vad gäller det europeiska förslaget har Dataskydd.net redan uttryckt till Näringsdepartementet sina synpunkter på EU-kommissionens förslag. Förslaget är en kraftigt nedtonad version av ett preliminärt förslag som läcktes i december 2016. De stora skillnaderna är att fokuset på dataskydd som standard tagits bort, samtidigt som reklamindustrin och teleoperatörerna tillskansat sig fördelar.

Men det finns också positiva delar. De europeiska teleoperatörerna har redan under lång tid haft en förpliktelse att  sprida information om sina abonnenter till reklamindustrin. De ska redan tillhandahålla abonnentförteckningar vid förfrågan, ett arv från Gula sidornas tid. EU:s nya eDataskyddsförslag föreslår att begränsa möjligheten för operatörerna och deras samarbetspartners att sprida sådana uppgifter på webben utan abonnentens samtycke. Minskad spridning av identitetsuppgifter på webben innebär bättre informationssäkerhet för privatpersoner, som i mindre utsträckning behöver oroa sig för olovlig identitetsanvändning, fakturabedrägerier eller falska köp. Vi har länge framhållit att det inte går att å ena sidan aktivt motarbeta privatpersoners informationssäkerhet genom att vara oförsiktig med deras identitetsuppgifter, och å andra sidan försöka införa straffrättsliga skydd som dumpar problemet med den låga informationssäkerheten på polisen. För att rädda polisen från tusentals ouppklarliga brottsanmälningar per år, borde regeringen ta detta kommissionens förslag på allvar.

Läs mer:

Dataskydd.net, kommentarer på EU-kommissionens eDataskyddsförordning (COM (2017) 10):

https://dataskydd.net/sites/default/files/edataskydd_dataskyddnet_201703...

Dataskydd.net, Nytt EU-förslag om dataskydd på Internet - det goda och det dåliga (16.03.2017):

https://dataskydd.net/nyheter/2017/03/16/nytt-eu-forslag-om-dataskydd-pa...

FastCompany, House just votes to allow ISPSs to sell your browsing history and data without notifying you (28.03.2017):

https://news.fastcompany.com/house-just-voted-to-allow-isps-to-sell-your...

EU-kommissionen, eDataskyddsförordningen COM (2017) 10, med förarbeten (19.01.2017):

https://ec.europa.eu/digital-single-market/en/proposal-eprivacy-regulation

EU-kommissionen, EU-U.S. data flows and data protection: opportunities and challenges in the digital era -- Speech at the Center for Strategic and International Studies by Věra Jourová, Commissioner for Justice, Consumers and Gender Equality (31.03.2017):

http://europa.eu/rapid/press-release_SPEECH-17-826_en.htm

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

3. Polisen kritiserar säkra appar för slutkonsument

Polismyndigheten har gjort förnyade ansträngningar mot slutkonsumenters informationssäkerhet genom en mediaoffensiv mot krypterade appar. Telegram, Whatsapp, Kik, Snapchat, Wire och Signal är krypterade kommunikationsverktyg för säker text-, bild- och video-chat, samt för filöverföringar, som dragit nytta av de senaste årens starka fokus på användbar säkerhet. Genom intuitiva användargränssnitt och en hög säkerhetsnivå som standard har de spridit krypteringsfunktionaliteter till allmänheten som tidigare var begränsade till de riktigt kunniga datoranvändarna.

Men om allmänheten kan använda säker kommunikation, kan också brottslingar göra det. Det oroar polisen.

Polismyndighetens mediakampanj hade varit mindre förbryllande om inte regeringen samtidigt släppt en promemoria om bristen på säkra mobila kommunikationsverktyg för samhällets kritiska verksamheter, så som ambulanser, poliser och annan krishanteringspersonal. Promemorian föreslår dels att staten ska lansera ett helt eget mobilnät, dels att staten ska utveckla egna säkra kommunikationsmetoder.

Dataskydd.net har svårt att förstå, mot bakgrund av att Sverige redan har en av de bäst täckande kommersiella mobilnäten med högst överföringskapacitet i EU, varför de här investeringarna krävs. Det ser inte ut att ha slagit regeringen att man kan dra nytta av synergier mellan den privata markanden och samhällets behov.

Inte heller är det begripligt varför en större krishanterande myndighet å ena sidan vill ha lagstiftning mot säkra appar, och å andra sidan har ett behov av sådana appar. Risken är påtaglig att ett egen-utvecklat verktyg för blåljustjänsterna kommer ha lägra användbarhet än de redan befintliga kommersiella apparna, och det blir också dyrare för staten att försöka dubblera ansträngningar som redan är gjorda.

Läs mer:

Ny Teknik, Krypterade appar försvårar för polisen (28.03.2017):

http://www.nyteknik.se/stories/article6836085.ece

Promemoria, Kommunikations för vår gemensamma säkerhet:

http://www.regeringen.se/rattsdokument/departementsserien-och-promemorio...

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

4. Kommande

Event

8 mars: Dataskydd.net deltar i möte på Näringsdepartementet om eDataskydd (nytt EU-förslag)

3 april 2017: Flygkameradebatt på Tekniska muséet, Stockholm.

24 april: Debatt i Lund. Will digital destroy or develop democracy? Medv. Lawrence Lessig, Marina Svensson, Amelia Andersdotter, Carl Bildt. http://www.lu.se/forskning/mot-vara-forskare/debatt-i-lund/will-digital-...

24-25 april 2017: Digital Symposium på Lunds universitet. http://www.lu.se/event/the-digital-society-symposium

2 maj 2017: Integritet för alla - mingel. https://www.dfri.se/integritet-for-alla-dfri-mingel-2-maj/

Remisser

SOU 2016:81 Ett modernare utsökningsförfarande har dödslinjen 21 april. Utredningen behandlar inte överlåtelse av kundregister och andra personuppgifter vid konkurs. http://www.regeringen.se/remisser/2016/12/remiss-av-sou-201681-ett-moder...

Ds 2016:46 En ny organisation för etikprövning av forskning har dödslinjen 7 april. Etikprövning av forskning är det viktigaste skyddet enskilda privatpersoner har för sin rätt till dataskydd i forskningssammanhang. http://www.regeringen.se/remisser/2017/01/remiss-av-ds-201646-en-ny-orga...

Promemorian Tillhandahållande av tekniska sensorsystem – ett sätt att förbättra samhällets informationssäkerhet har dödslinjen 28 april. MSB vill ha ett tekniskt intrångsdetekteringssystem på myndigheterna. http://www.regeringen.se/remisser/2017/02/remiss-av-promemorian-tillhand...

Promemorian Ds 2017:7 Kommunikation för vår gemensamma säkerhet. Dödslinje 15 maj. Regeringen vill bygga ett eget GSM-nät. http://www.regeringen.se/remisser/2017/03/remiss-ds-20177-kommunikation-...

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

Saknas det något dataskyddsrelaterat vi borde ha med? Är du intresserad av att hjälpa till? Kontakta oss på info@dataskydd.net!