Dataskydd.NET

Vol. 4, nr. 4, 12 juni 2017

https://dataskydd.net - info@dataskydd.net

Information om EU:s dataskyddspaket och skydd av den personliga integriteten, både juridiskt och tekniskt, i den digitala världen.

Detta nyhetsbrev finns även på https://dataskydd.net/nyhetsbrev/dataskyddnet-44

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

I detta nummer:

1. Internet är vilda västern - för scheriffen?
2. Ingen upprättelse om man är offer för polisens felsteg
3. Två år senare: rikspolischefens kakor är utlämnade
4. Slutbetänkande från Integritetskommittén - vägar framåt?
5. Dataskydd.net lanserar konsekvensbedömning avseende dataskydd!
6. Patientjournal som allmän handling intressant utmaning för forskningsdatautredningen
7. Mejl, webbtrafik och sms: teleoperatörerna får gärna övervaka, enligt EU-parlamentet
8. $280 miljoner dollar i böter för oönskade telemarketing-samtal
9. På gång

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

1. Internet är vilda västern - för scheriffen?

Åklagarmyndigheten behandlar just nu en viktig utredning om de brottsbekämpande myndigheternas rättigheter att hacka sig in i privatpersoners IT-system.

Lagligheten i utredningsmetoder som bygger på att man försöker få tillgång till någons dator eller server över ett elektroniskt nätverk har diskuterats sedan mitten av 1990-talet, men sedan 2005 finns ett konsensus att det vore olagligt att skicka in en trojan eller andra distansadministrationsverktyg i en datorägares system utan att först ha dennes tillstånd. Enligt en utredning från 2005 gäller det även om man har husrannsakansbeslut. Två pågående utredningar, om modernisering av husrannsakansregler och om hemlig dataavläsning, har fått i uppdrag att se över huruvida det bör bli lagligt att hacka privatpersoner med stöd av husrannsakansbeslut eller tvångsmedelsbeslut.

Trots att utredningsmetoden har uppfattats vara olaglig, skedde en IT-attack mot en eller flera svensk(a) privatperson(er) 2012, som beordrats av en åklagare i ett husrannsakansbeslut. Beslutet var länge dolt från allmänheten, eftersom Åklagarmyndigheten åberopade utredningssekretess för beslutet. Sedan sekretessklassningen prövats i domstol under hösten 2016 kunde dock handlingen offentliggöras och brottet anmälas. Nu arbetar åklagarmyndigheten mot klockan: brottet preskriberas i oktober 2017, och ytterligare komplikationer uppdagades sista veckan i maj 2017.

Eftersom utredningen implicerar att en högt uppsatt tjänsteman i åklagarmyndigheten gjort sig skyldig till en brottslig handling mot en medborgare, är fallet känsligt. Riksåklagaren har ombetts skriva ett överprövningsbeslut. Men Riksåklagarens yttrande visar att åklagarmyndigheten är både förvirrad och dålig på att sätta gränser för sig själva:

- för det första är det tacksamt att utredningen ändå tillåts fortsätta.

- för det andra, förklarar riksåklagaren att Åklagarmyndigheten trots att utredningsmetoden sannolikt är olaglig nyligen har utfärdat en "FAQ" (ofta frågade frågor, på engelska) där utredare av IT-brott ombeds använda metoden "sparsamt".

- för det tredje, skriver riksåklagaren att själva existensen av en FAQ, och trots utredningen från 2005, kan innebära att åklagaren som beordrat det brottsliga tilltaget inte kan hållas ansvarig för sitt brott, eftersom han inte nödvändigtvis förstod att han agerade kriminellt.

Om riksåklagarens tredje hävd ska tas ordagrant, innebär det att den ansvariga åklagaren kan slippa åtal på grund av okunskap om lagens lydelse. Och det är inte första gången detta händer i Sverige - åklagarmyndigheten har tidigare lagt ned åtal mot högt uppsatta polischefer inom Säkerhetspolisen med hänvisning till att de varit outbildade och därför okunniga. Särskilt för rättsvårdande myndigheter ser det ut att gälla att okunskap om vad man får och inte får göra mot medborgare är ett säkert kort att slippa ansvar.

Men riksåklagarens yttrande är också problematiskt för att det verkar antyda att åklagare i Sverige kan skapa sina egna tvångsmedel när de är missnöjda med de tvångsmedel de fått av lagstiftaren. Eftersom riksdagen valde att inte skapa ny lagstiftning år 2005, borde åklagarmyndigheten ha funnit sig i att de inte får hacka människor. Istället har de producerat en "FAQ" där det står att de visst får hacka privatpersoner, om de gör det sparsamt.

Samma yttrande sätter också ett likamed-tecken mellan åtgärder mot IT-system som kanske juridiskt kan vara besläktade, men som tekniskt har mycket annorlunda konsekvenser för systemägaren. Till exempel går det redan idag, inom ramen för en intrångsundersökning, att begära åtkomst över ett elektroniskt kommunikationsnät till ett IT-system, så som en molnserver. Då sker åtkomsten på det anklagade företagets premisser, och det anklagade företaget kan skapa särskilda  inloggningsuppgifter till den som ska söka igenom systemet och sedan avaktivera dessa så fortintrångsundersökningen är över.

När åklagarmyndigheten begär en installation av en trojan eller distansadministrationsverktyg i ett IT-system utan att systemägaren är närvarande eller har givit tillåtelse, då kan systemägaren inte återställa systemet efteråt. Det är inte ens säkert att systemägaren märker att åklagarmyndigheten försökt ta över datorn.

Sammanfattningsvis är det här ett bekymrande fall som illustrerar två viktiga tillkortakommanden i de svenska brottsbekämpande myndigheternas verksamhet. Det ena är att de inte förstår vilka tekniska skador de kan orsaka på IT-system genom att vidta olika sorters åtgärder, och varför det är viktigt att de inte gör mer skada än de måste och hur de kan åtgärda det. Men det andra, och allvarligare, är att de också övertygat sig själva om att de är sina egna lagstiftare.

Talesättet att internet är vilda västern verkar det tyvärr ligga mycket i, om man ser till scherifferna.

Dataskydd.net framförde tillsammans med Föreningen för digitala rättigheter synpunkter och förslag till den pågående utredningen om modernisering av beslags- och husrannsakanslagstiftningen med avsikten att få ett regelverk som tar tillvara på konsumenters och privatpersoners intresse av dataskydd och informationssäkerhet, även vid användning av hacking som utredningsmetod.

Läs mer:

Det omtvistade husrannsakansbeslutet (17.10.2012):

https://dataskydd.net/sites/default/files/am_52124_12_284_maskad.pdf

Beslutet om att återuppta förundersökning om dataintrånget/tjänstefelet (22.03.2017):

https://dataskydd.net/sites/default/files/1381_001.pdf

Riksåklagarens överprövningsbeslut av förundersökningen (29.05.2017):

https://dataskydd.net/sites/default/files/3040_001-1.pdf

Dataskydd.net:s och DFRI:s inlaga till utredningen om modernisering av beslag och husrannsakan (25.05.2016):

https://dataskydd.net/sites/default/files/dir201620_dfri_dataskydd_slutg...

Dagens juridik, Husrannsakan "på distans" eller dataintrång? Förundersökning mot åklagare ska fortsätta (09.06.2017):

http://www.dagensjuridik.se/2017/06/husrannsakan-pa-distans-eller-datain...

Ds 2005:6, Brott och brottsutredning i IT-miljö. Europarådets konvention om IT-relaterad brottslighet med tilläggsprotokoll:

http://www.regeringen.se/rattsdokument/departementsserien-och-promemorio...

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

2. Ingen upprättelse om man är offer för polisens felsteg

Åklagarmyndighetens pågående utredning om ett husrannsakansbeslut från 2012 visar på brister i den svenska rättssäkerheten på fler än ett sätt.

Uppenbart är att det inte finns någon förutsebarhet för privatpersoner kring när de kan utsättas för hemliga tvångsmedel, vilket krävs enligt Europakonventionens artikel 8. Eftersom Sverige varit bunden av konventionen sedan 1952 borde insikten om vikten av förutsebarhet redan arbetats in i samtliga svenska förvaltningar och lagstiftningar för många årtionden sedan.

Mindre uppenbart är att både åklagarmyndigheten, polisen och domstolar länge dragits med problemet att de inte förmår avgöra när de improviserar tvångsåtgärder som egentligen inte är lagliga.

Riksdagens ombudsmän (JO) kritiserar åklagarmyndigheten och polisen minst en gång per år för olaglig användning av husrannsakan och andra tvångsmedel. År 2015 prickade JO till och med en domstol, som godkänt ett olagligt tvångsmedel vid en förhandsprövning. JO-prickningar är dock inget hårt straff för myndigheterna, som varken drabbas av ekonomiska eller politiska konsekvenser till följd av JO:s kritik.

Presumtionen att medborgare inte egentligen kan bli offer för myndigheters felsteg genomsyrar statliga åtgärder för både dataskydd och övervakning. I utredningen om en myndighetsdatalag från 2015 uttrycktes att det kunde finnas en presumtion att myndigheter inte kränker privatpersoners integritet - vilket Dataskydd.net kritiserade eftersom skyddet för integritet och privatliv i internationella och europeiska konventioner om mänskliga rättigheter uppenbarligen vore poänglöst om en sådan presumtion var giltig.

I utredningen om en ny brottsdatalag från i maj uttrycks att myndigheter inte behöver åläggas med särskilt höga straff för integritetsintrång eftersom myndigheterna kan presumeras inte göra misstag av ondska utan av slarv. Något resonemang kring om den som drabbas av misstaget eventuellt blir lika kränkt och har lika stort behov av upprättelse oavsett om tjänstemannen vid den brottsbekämpande myndigheten upplevde sig göra rätt eller fel har utredningen inte fört.

Att bli offer för brottslighet borde antas alltid vara traumatiskt. Särskilt då det inneboende styrkeförhållandet mellan offer och förövare är ojämnt. Privatpersoner är typiskt svaga, både ekonomiskt och institutionellt, i förhållande till myndigheter. Därför behövs en starkare respekt för brottsoffrenas upprättelse, även då myndigheter gör felsteg och särskilt vid användningen av tvångsmedel.

Dataskydd.net framförde tillsammans med Föreningen för digitala rättigheter synpunkter och förslag till de pågående utredningarna om modernisering av beslags- och husrannsakanslagstiftningen och införande av ett nytt hemligt tvångsmedel, hemlig dataavläsning, med avsikten att få ett regelverk som tar tillvara på konsumenters och privatpersoners intresse av dataskydd och informationssäkerhet, även vid användning av hacking som utredningsmetod.

Läs mer:

Dataskydd.net, Internet är vilda västern - för scheriffen? (09.06.2016):

https://dataskydd.net/nyheter/2017/06/09/internet-ar-vilda-vastern-scher...

JO kritiserar Blekinge tingsrätt för att ha godkänt olagligt tvångsmedel (20.05.2015):

http://www.jo.se/PageFiles/6505/387-2015.pdf

Dataskydd.net lämnar remissyttrande på SOU 2015:39 om en ny myndighetsdatalag (23.11.2015):

https://dataskydd.net/nyheter/2015/11/23/dataskyddnet-lamnar-remissyttra...

Dataskydd.net, Brottsdatalag: allmänt bra men många frågetecken (30.05.2017):

https://dataskydd.net/nyheter/2017/05/30/brottsdatalag-allmant-bra-men-m...

Olika exempel på tillfällen då husrannsakan genomförts olagligt eller tvångsmedel använts olagligt utan att någon annan repressalie utdömts än ett argt brev från JO:

http://www.jo.se/PageFiles/3639/5388-2005.pdf

http://www.jo.se/PageFiles/1150/5834-2010.pdf

http://www.jo.se/PageFiles/2442/2816-2012.pdf

Dataskydd.net och Föreningen för digitala fri- och rättigheter (DFRI) skickar en skrivelse till den pågående utredningen om modernisering av beslag och husrannsakan (25.05.2016):

https://dataskydd.net/nyheter/2016/05/26/dataskyddnet-och-dfri-lamnar-en...

Dataskydd.net och Föreningen för digitala fri- och rättigheter (DFRI) skickar en skrivelse till den pågående utredningen om hemlig dataavläsning (30.06.2016):

https://dataskydd.net/nyheter/2016/07/01/dataskyddnet-och-dfri-lamnar-en...

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

3. Två år senare: rikspolischefens kakor är utlämnade

Efter tre vändor i kammarrätten och två JO-anmälningar har rikspolischefen till sist lämnat ut sina webbkakor, som Dataskydd.net:s Amelia Andersdotter efterfrågade redan sommaren 2015. Kammarrätten har givit Amelia rätt vid i princip varje prövning, med undantag för ett fåtal webblänkar som i och för sig lämnats ut till Google, men där kammarrätten bedömde skadan vara stor av att de även lämnas ut till en medborgare i Sverige.

Webbkakorna har lämnats ut i pappersformat, utskrivna på runt 100 A4-ark som skickats hem till Amelia med rekommenderat brev. Utlämningen kommer i samband med att JO kontaktat Amelia om att de eventuellt kommer att inleda en utredning mot polisen för deras saktfärdighet vid utlämnandet. Då det utskrivna materialet är mycket omfattande kommer vi inte att kunna publicera det på webbplatsen särskilt snabbt, eller eventuellt alls.

Till utskriften har inte bifogats något beslut om grunderna för utlämningen, eller för sekretessklassningen av ett kakvärde tillhörandes en webbkaka från webbplatsen apple.com. Trots formfelet bör detta vara slutet på denna lång kamp för tillämpning av offentlighetsprincipen i enlighet med etablerad praxis, men den som önskar upprepa projektet mot en annan myndighet kan få vara beredd på långa utlämningstider.

Läs mer:

Historik över domar, anmälningar, och brevväxlingar med polismyndigheten sedan 2015 (05.10.2016):

https://dataskydd.net/kammarrattens-dom-om-utlamning-av-webbkakor-fran-p...

Amelia Andersdotter i Dagens samhälle, ”Även rikspolischefens nätsurf kartläggs” (27.10.2016):

https://www.dagenssamhalle.se/debatt/aeven-rikspolischefens-naetsurf-kar...

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

4. Slutbetänkande från Integritetskommittén - vägar framåt?

Förra veckan publicerades ett starkt förslag från Integritetskommittén som på många sätt kan föra integritetsskyddet i Sverige framåt.

Bland annat föreslår kommittén att åtgärda en av de huvudsakliga bristerna de själva identifierat i sitt delbetänkande 2016: att det inte finns något sätt för privatpersoner att få upprättelse när de utsatts för dataskyddsintrång.

Datainspektionen föreslås kunna agera som dataskyddsombud, och kommittén observerar även att skadeståndsnivåerna kan behöva höjas. Kommittén fortsätter understryka årliga sammanfattningar av integritetsläget, som de föreslog redan förra året.

Kommittén har inte hunnit reflektera över förslagen från utredningarna om en ny dataskyddslag och en ny brottsdatalag att inte alls förenkla möjligheterna för civilsamhällesorganisationer att processa i domstol å enskildas vägnar. En viktig anledning till att det bara finns ett fåtal föreningar i Sverige (Centrum för rättvisa och Institutet för internetjuridik) som kan göra detta idag är nämligen sannolikt att det är kostnadsineffektivt och svårt. Kommittén hade kunnat titta på den liknande möjligheten för organisationer att representera enskilda som finns i den svenska diskrimineringslagen - så vitt Dataskydd.net vet är det framför allt ombudsmannafunktionen hos DO som gjort skillnad i diskrimineringsärenden, inte att det finns en specifik rättslig möjlighet för en demokratisk organisation att företräda enskildas intressen.

Det är emellertid en fortsatt myndighetscentrisk informationssäkerhetsstrategi som kommittén föreslår. Informationssäkerhet ska till exempel stärkas genom att ge större befogenheter till Myndigheten för samhällsskydd och beredskap, vars uppdrag explicit exkluderar informationssäkerhet för privatpersoner. Eftersom säkerhetsåtgärder i allra högsta grad är beroende av perspektiv (vem ska skyddas från vad, och vad är ett skydd) riskerar det att återigen sätta privatpersoners intressen i baksätet. Dataskydd.net har inte gjort den noggranna genomläsning av kommitténs utredning som kommittén förtjänar än, men kan i varje fall i kommitténs förslag inte se att det blivit uppenbart för kommittén att säkerhetsintressen kan kollidera och att det då krävs att politiken uttrycker en preferens för vilken riktning som ska realiseras.

Kommittén vill även öka fokuset på integritetsskydd hos myndigheter utanför Datainspektionen: Vetenskapsrådet och Vinnova bör, enligt kommittén, satsa på integritetsstärkande forskning, Konsumentverket och Datainspektionen bör samarbeta kring integritetsfrågor, och även digitaliseringen ska genomföras med dataskyddsperspektiv. Den framtida digitaliseringsmyndigheten som föreslogs i våras ska, enligt kommittén, ges ett folkbildande uppdrag i dataskyddsfrågor.

Att digitaliseringsåtgärder ska följa lagen även när lagen är en europeisk dataskyddslag borde i och för sig vara självskrivet, och det finns inget som direkt hindrat varken Vetenskapsrådet eller Vinnova från att satsa forskningspengar på integritet redan idag. En utmaning är hur framsteg ska realiseras i enlighet med den gällande lagstiftningen i praktiken, men fokuset på att bättre samordning mellan Datainspektionen och andra myndigheter är välkommet.

Till sist har kommittén undvikit den problematiska frågan med ägandeskap för personuppgifter som aktualiserats genom Motormännens kampanj för bilisters rätt att äga uppgifter från sina egna bilar (#MyCarMyData), och den nyligen avlagda domen vid Kammarrätten i Göteborg att journaler är allmänna handlingar (se artikel i detta nyhetsbrev).

Dataskydd.net återkommer med noggrannare analys.

Läs mer:

SOU 2017:52, Så stärker vi den personliga integriteten:

http://www.regeringen.se/rattsdokument/statens-offentliga-utredningar/20...

SOU 2016:41, Hur står det till med den personliga integriteten? – En kartläggning av Integritetskommittén:

http://www.regeringen.se/rattsdokument/statens-offentliga-utredningar/20...

Dataskydd.net, Remissyttrande för SOU 2016:41 Hur står det till med den personliga integriteten? (05.11.2016):

https://dataskydd.net/nyheter/2016/11/07/dataskyddnet-lamnar-remissyttra...

Dataskydd.net, Inlaga till integritetsutredningen Ju 2014:09 från Dataskydd.net (01.03.2016):

https://dataskydd.net/nyheter/2016/03/07/dataskyddnet-har-skickat-inlaga...

Dataskydd.net, remissyttrande över SOU 2016:65 Tillsyn av den personliga integriteten (25.01.2017):

https://dataskydd.net/sites/default/files/sou201665_remissyttrande_datas...

WoltersKluwer,  Property Rights in Personal Data. A European Perspective (13.12.2011):

https://lrus.wolterskluwer.com/store/products/property-rights-personal-d...

Motormännens riksförbund, #MyCarMyData:

http://mycarmydata.se/

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

5. Dataskydd.net lanserar konsekvensbedömning avseende dataskydd!

Den sjätte juni lanserade vi Dataskydd.net:s konsekvensbedömning för dataskydd! Det är en genomgång av vår IT-infrastruktur, vår personuppgiftsbehandling och olika sätt som vi samlar in eller behandlar, alternativt låter bli att samla in och behandla, personuppgifter från både medlemmar och icke-medlemmar.

Här kan du som besökare på dataskydd.net:s webbplats eller prenumerant på vårt nyhetsbrev få veta hur vi hanterar uppgifter vi tar del av, och du som vill bli eller redan är medlem kan få veta hur vi hanterar medlemskapsuppgifter, årsmötesprotokoll, samt utträde ur föreningen.

Under arbetets gång har vi hittat en del förbättringsmöjligheter. Tidigare var det inte uppenbart hur vi hanterade inlägg från medlemmar på vårt interna kommunikationsverktyg Mattermost. Nu har vi etablerat en process för detta.

Vi har gjort det enklare att betala medlemskapsavgiften på ett dataminimerande sätt, eftersom vårt tidigare huvudsakliga alternativ med bankgirobetalning kräver presentation av medlemmens förvaltnings-namn till i alla fall delar av vår föreningen.

Vi har också identifierat ett behov av bättre guider för dataskyddsinställningar på vanliga webbplatsplattformar, liknande denna guide från DFRI om Wordpress. Och vi vill göra det enklare för alla att hjälpa föreningar och företag med dataminimering och informationssäkerhet, genom att använda alternativa e-postadresser.

Läs mer:

Dataskydd.net:s konsekvensbedömning avseende dataskydd med anledning av Dataskyddsförordningens artikel 35 (05.06.2017):

https://dataskydd.net/sites/default/files/konsekvensbedomning_dataskyddn...

DFRI, How to wordpress (in a privacy-friendly way) (26.03.2015):

https://www.dfri.se/projekt/how-to-wordpress/?lang=en

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

6. Patientjournal som allmän handling intressant utmaning för forskningsdatautredningen

En dom från kammarrätten i Göteborg har etablerat att patientjournaler är allmänna handlingar och därför kan lämnas ut efter att personuppgifter har maskerats. Västra götalandsregionen har i flera medier oroat sig för det tidskrävande uppdraget att gå igenom handlingarna och sekretessklassa personuppgifter, men i specialisttidskriften Dagens medicin har förslaget även dykt upp att privatpersoner bör få äga sin egen journal.

Äganderätten för personuppgifter aktualiseras i flera olika parallella diskussioner just nu, men är i praktiken svårt att genomföra. Inom vården skulle en sådan äganderätt ändra premisserna för kvalitetssäkringen, utdelningen av ekonomiska medel till vårdcentraler, läkare och specialistavdelningar, samt kollidera med de generösa regelverk för registerforskning som idag är möjliga för att det allmänna kan fatta egna beslut om patientjournaler som tillhör det allmänna.

Om patienter själva äger sina journaler skulle man, i alla fall presumtivt, i mycket högre utsträckning behöva fråga patienter om lov innan man lämnade ut journaler, använder dem som grund för statistik eller använder dem som förvaltningsrättsliga styrmedel.

Göteborgs-domen kommer bli en intressant utmaning för forskningsdatautredningen, som nyligen fick ett förlängt och utökat uppdrag. Den kan också tänkas påverka några av de avvägningar som gjorts i utredningen om en ny dataskyddslag, eftersom integriteten och dataskyddet inte rimligen kan bevaras på det sätt utredningen har föreställt sig om kartläggningar av privatpersoners mest privata angelägenheter i egenskap av allmän egendom måste lämnas ut.

Läs mer:

SVT, Regionen tvingas lämna ut 200 journaler (08.06.2017):

https://www.svt.se/nyheter/lokalt/vast/kritik-mot-utlamnande-av-200-jour...

Dagens medicin, Region döms att lämna ut 200 patientjournaler (30.05.2017):

https://www.dagensmedicin.se/artiklar/2017/05/30/region-doms-att-lamna-u...

Dataskydd.net, Ny dataskyddslag - med obetydligt upprätthållande (29.05.2017):

https://dataskydd.net/nyheter/2017/05/29/ny-dataskyddslag-med-obetydligt...

Sydsvenskan, "Du kan hamna i ett sökbart register" (31.10.2013):

https://www.sydsvenskan.se/2013-10-31/du-kan-hamna-i-ett-sokbart-register

Kommittédirektiv 2017:29, Tilläggsdirektiv till Forskningsdatautredningen (U 2016:04):

https://www.riksdagen.se/sv/dokument-lagar/dokument/kommittedirektiv/til...

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

7. Mejl, webbtrafik och sms: teleoperatörerna får gärna övervaka, enligt EU-parlamentet

I januari 2017 föreslog EU-kommissionen en ny e-Dataskyddsförordning, det vill säga en EU-täckande lagstiftning som ska ersätta det som idag kallas "ePrivacy-direktivet" och är implementerat i svenska lagen om elektronisk kommunikation.

Den nya e-Dataskyddsförordningen var tänkt att vidare bekräfta EU:s åtagande att stödja inbyggt integritetsskydd och dataskydd som standard, men kompromisser i sista sekund gjorde att de ambitiösa ursprungsambitionerna i stort fallit bort.

EU-kommissionen har också gjort stora koncessioner mot teleoperatörer och webbföretag, genom att godkänna omfattande och hemlig kartläggning inte bara av slutanvändares metadata (information om när, hur och var de kommunicerat) utan även av själva kommunikationen som sådan. Medlemsländerna och teleoperatörerna hoppas att bättre möjligheter för teleoperatörer att kartlägga sina abonnenters rörelsemönster kommer att omintetgöra EU-domstolens beslut i datalagringsfrågan från 21 december 2016.

Enligt teleoperatörerna kan detta hjälpa dem att, i smyg, tillhandahålla tjänster som skyddar mot spam och malware, och detta verkar ha bitit på EU-parlamentets industriutskott som i sitt förslag till yttrande inte åtgärdar det försvagade skyddet från kommissionens utkast.

Om teleoperatörer och webbtjänster till följd av en svagare lagstiftning på EU-nivån får allt högre möjligheter att välja när konsumenter vill ha tjänster "för säkerhets skull" och vilka dessa tjänster i sådana fall skulle vara, störs inte bara dataskydd och förutsägbarhet för privatpersoner utan även konkurrensen. Principen om en fri och konkurrensutsatt marknad förutsätter att konsumenter själva kan avgöra när och om de behöver en viss tjänst, och att ges kontroll över den egna informationen är i ökad utsträckning det enklaste sättet att göra det.

Men hos europeiska konsumentskyddsmyndigheter undersöker om personuppgifter i själva verket ska anses vara ett alternativt betalmedel. Bland andra svenska Konsumentverket har gjort steg i den riktningen. I avsaknad av andra juridiska skyddsmekanismer, kan en regel om att vi själva ska få välja hur vi ska betala med personuppgifter och för vilka tjänster bli det enda meningsfulla sättet att uttrycka preferenser när vi agerar på marknaden för digitala tjänster.

Läs mer:

EU-parlamentets industriutskott, utkast till yttrande om EU-kommissionens förslag till e-Dataskyddsförordning [ENG] (22.05.2017):

http://www.europarl.europa.eu/sides/getDoc.do?type=COMPARL&reference=PE-...

Konsumentverkets rapport 2017:4, Rapport 2017:4 Personuppgifter som betalningsmedel (maj, 2017):

http://publikationer.konsumentverket.se/produkter-och-tjanster/gemensamt...

Dataskydd.net, Kommentarer till Näringsdepartementet på EU-kommissionens förslag till ny eDataskyddsförordning (03.03.2017):

https://dataskydd.net/sites/default/files/edataskydd_dataskyddnet_201703...

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

8. $280 miljoner dollar i böter för oönskade telemarketing-samtal

En amerikansk federal domstol har beordrat ett kabelföretag att betala $280 miljoner dollar i böter för överträdelser av Federala handelskommissionens (FTC) regler för telemarketing. Enligt FTC visar det här att det kostar företag dyrt att bryta mot dataskydds- och integritetsregler som bestämts på den federala nivån.

Företaget har, enligt domslutet, gjort det möjligt för telefonspammare att kringgå regler för att skydda konsumenter mot oinbjudna samtal vid 66 miljoner tillfällen.

Domslutet visar att man även i USA rör sig mot högre ekonomiska sanktioner vid dataskyddsövertrång och skarpare offentliga insatser mot företag som inte tar sina konsumenters rätt till informationssäkerhet och dataskydd på allvar.

Läs mer:

Huntington Privacy Blog, Federal Court Imposes Record Fine on TV Provider for Do Not Call Violations (06.06.2017):

https://www.huntonprivacyblog.com/2017/06/08/federal-court-imposes-recor...

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

9. På gång

9.1 Event

19-20 juni på Kista bibliotek i Stockholm, Welcome Refugee Days, en utställning om Data Detox (hur man kartlägger vem som kartlägger en på webben):

https://biblioteket.stockholm.se/kalender/welcome-refugee-days-17-20-jun...

21 juni, Tankesmedjan Digital utmanings sjätte rådslag om filterbubblor, digitala stuprör, det gemensamma samtalet och demokratin, också i Stockholm:

http://digitalutmaning.se/radslag/filterbubblor-digitala-stupror-det-gem...

9.2 Remisser

SOU 2017:23, digitalforvaltning.nu

SOU 2017:29, Brottsdatalag

SOU 2017:30, En omreglerad spelmarknad

SOU 2017:36, Informationssäkerhet

SOU 2017:37, Kvalificerat bidragsfusk

SOU 2017:39, Ny dataskyddslag

SOU 2017:45, Företagshemligheter

SOU 2017:52, Integritetskommittén

9.3 Nytt från Datainspektionen sedan senaste nyhetsbrevet

Inget.

9.4 Kommittédirektiv

Tilläggsdirektiv till Forskningsdatautredningen (U 2016:04)

http://www.regeringen.se/rattsdokument/kommittedirektiv/2017/06/dir.-201...

Behandlingen av personuppgifter inom Försvarsmakten och Försvarets radioanstalt

http://www.regeringen.se/rattsdokument/kommittedirektiv/2017/04/dir.-201...

Tilläggsdirektiv till Utredningen om utvärdering av bidragsbrottslagen, dir. 2017:40

http://www.regeringen.se/rattsdokument/kommittedirektiv/2017/04/dir.-201...

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

Saknas det något dataskyddsrelaterat vi borde ha med? Är du intresserad av att hjälpa till? Kontakta oss på info@dataskydd.net!