2017-07-02

Dataskydd.NET 4.5

Dataskydd.NET

Vol. 4, nr. 5, 3 juli 2017

https://dataskydd.net - info@dataskydd.net

Information om EU:s dataskyddspaket och skydd av den personliga integriteten, både juridiskt och tekniskt, i den digitala världen.

Detta nyhetsbrev finns även på [node:url]

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

I detta nummer:

1. Datalagring: rättighetskränkningen som vägrar dö
2. Regler mot näthat i Tyskland går åt fel håll
3. Ny informations- och cybersäkerhetsstrategi: vilken plats för dataskydd?
4. FN:s särkilde utsände för yttrandefrihetsfrågor vill ha mänskliga rättigheter i tekniska standarder
5. Förslag om övervakning av flygpassagerare går över gränsen
6. Utskottsförslag om ny eDataskyddsförordning i EU-parlamentet vill ha mer kryptering
7. På gång (inkl. remisser, kommittédirektiv, event, nytt hos Datainspektionen)

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

1. Datalagring: inte nationellt säkert att kränka grundläggande rättigheter

Under två veckor har svensk media belamrats med en återförnyad kampanj för bättre datalagring. Rikspolischefen Dan Eliasson och en chef från Nationella operativa avdelning, en underavdelning på Polismyndigheten, krävde i en debattartikel i Dagens nyheter att datalagring skulle återinrättas. Trots att allmän datalagring förklarats olagligt i Europeiska unionen av unionens högsta domstol, EU-domstolen.

Inrikesminister Anders Ygeman var snabb att svara. Blotta dagarna efter polischefernas utspel förtydligade han för Sveriges television att Sverige begärt att EU-kommissionen ska skriva riktlinjer som möjliggör fortsatt datalagring. Och att Sverige kommer försöka åberopa ett undantag för nationell säkerhet för att få fortsätta datalagra, trots att datalagring under normala omständigheter alltså inte är lagligt i Europeiska unionen.

I samma veva varnade teleoperatören Bahnhof för att förslag hade lyfts under ett möte med den pågående statliga utredningen om datalagring, att förlänga lagringstiden för uppgifter från sex till tio månader, men i gengäld bara lagra abonnentuppgifter - som man då tänker sig ska anses mindre integritetskänsliga än de uppgifter som lagras idag.

Hänvisningen till nationell säkerhet är en politiskt väntad manöver, men har inte nödvändigtvis starka förutsättningar till framgång. Dels finns redan en vaksamhet hos de institutioner som bevakar grundläggande rättigheter mot hänvisningar till nationell säkerhet bland stater. I takt med att allt fler stater (Frankrike, Storbritannien, Turkiet och Ryssland) vill ha allt mer svepande undantag från sina förpliktelser från Europeiska konventionen för mänskliga rättigheter har Europeiska rådet (COE), har COE tydliggjort att länder bara kan hänvisa till undantagstillstånd i undantag. Den europeiska Artikel 29-gruppen har också mobiliserat mot svepande hänvisningar till nationell säkerhet.

Dels träder ny EU-lagstiftning i kraft nästa år - i form av EU:s dataskyddsdirektiv - som gör det tydligt att undantag från de mänskliga rättigheter som åberopar nationell säkerhet som stöd ska vara tydligt och trovärdigt motiverade, samt att undantagen ska vara proportionerliga och nödvändiga. Datalagring har inte befunnits vara proportionerligt eller nödvändigt.

Men det är nu datalagringsutredningens Sigurd Heuman, tillika ordförande i Säkerhets- och integritetsskyddsnämnden, att förtydliga sådana omständigheter för politikerna när han släpper sitt första delbetänkande i augusti i år.

Dataskydd.net vidhåller att det bästa vore om både regeringens utredare och regeringen själva, och inte minst polisen, markerade en villighet att hålla sig inom ramarna för de mänskliga rättigheterna så som etablerade i EU-området.

Läs mer:

DN Debatt, Dan Eliasson och Mats Löfwing, ”5 000 kriminella och 200 nätverk i utsatta områden” (20.06.2017):

https://www.dn.se/debatt/5-000-kriminella-och-200-natverk-i-utsatta-omra...

Sveriges radio, EU-länder vill lagra datatrafik trots dom (22.06.2017):

https://sverigesradio.se/sida/artikel.aspx?programid=83&artikel=6719667

Bahnhof, Nya uppgifter: Svenska staten planerar utökad datalagring (27.06.2017):

https://www.bahnhof.se/press/press-releases/2017/06/27/nya-uppgifter-sve...

Europeiska domstolen för mänskliga rättigheter, Guide on Article 15 of the European Convention on Human Rights - Derogation in time of emergency (30.04.2017):

http://www.echr.coe.int/Documents/Guide_Art_15_ENG.pdf

Artikel 29-gruppen, Opinion 04/2014 on surveillance of electronic communications for
intelligence and national security purposes (10.04.2014):

http://ec.europa.eu/justice/data-protection/article-29/documentation/opi...

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

2. Regler mot näthat i Tyskland går åt fel håll

Den 30 juni godkände det tyska parlamentet nya regler om mellanhandsansvar för sociala medier avseende näthat. I sin första iteration föreslog den tyske justitieministern Heiko Maas höga böter för företag som inte gjorde tillräckligt för att filtrera bort terroristpropaganda och hatiska budskap. I den version som röstades igenom Bundestag är den obligatoriska filtreringen borttagen.

Den tyska avdelningena av Reportrar utan gränser har riktat skarp kritik mot förslaget, och den europeiska organisationen för digitala rättigheter EDRi har varnat för att Tyskland sätter ett dåligt exempel.

Netzpolitik, en tysk organisation för digitala rättigheter, skriver att lagen kräver mycket snabba åtgärder mot olagligt material (borttagande inom 24 timmar) och samtidigt möjliggör mycket höga böter mot den som inte tar bort material tillräckligt snabbt. Eftersom företag inte kan få hjälp att bedöma vad som är olagligt, måste de själva hitta lösningar att kunna agera snabbt mot miljontals postningar, uttalanden och inlägg.

Det är en uppmaning till företag att "självreglera" sina kunder, konsumenter och användare, som dels gör det svårt att lansera tjänster som konkurrerar med de allra största (vem ska ha råd med så omfattande övervakning utom redan etablerade tjänster?) och dels förefaller omöjlig att lösa för företagen utan omfattande investeringar i automatisk övervakning av användare.

Läs mer:

Netzpolitik, Bundestag beschließt Netzwerkdurchsetzungsgesetz (30.09.2017):

https://netzpolitik.org/2017/bundestag-beschliesst-netzwerkdurchsetzungs...

Reporter ohne grenzen, NetzDG-Verabschiedung ein Schnellschuss (29.06.2017):

https://www.reporter-ohne-grenzen.de/presse/pressemitteilungen/meldung/n...

EDRi, Germany: Will 30 June be the day populism killed free speech? (29.06.2017):

https://edri.org/germany-will-30-june-be-the-day-populism-killed-free-sp...

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

3. Ny informations- och cybersäkerhetsstrategi: vilken plats för dataskydd?

Den 29 juni 2017 presenterade regeringen sin nationella strategi för samhällets informations- och cybersäkerhet. Det är inga direkta nyheter som tas upp i strategin. Konkreta målsättningar och handlingsplaner saknas, och mycket av innehållet kunde lika gärna vara direkt hämtat från 2001.

Det bör kritiseras att strategin är fastlåst i ett resonemang kring informationssäkerhet som inte tar hänsyn till ekonomiska förutsättningar, trots att samma strategi observerar att det framför allt är företag, konsumenter och civila myndighetsaktörer som använder informationsteknologier. Att utforma säkerhetsstrategin efter militära förutsättningar, när mottagarna av strategin inte är militärer, kan antas försvåra dess implementation.

Många av de strategiska målsättningarna regeringen valt ut är inte heller meningsfullt mätbara. Till exempel har regeringen som målsättning att aktörer som inte är regeringen ska ta ansvar, att det ska finnas ändamålsenlig tillsyn, och att svensk forskning ska vara på en hög nivå. Kan man ha som målsättning att man ska ha målsättningar med verksamheten (till exempel på området tillsyn)? Skrivelsen indikerar att man kan det.

Men det finns också ljuspunkter. Till exempel observerar regeringen att informationssäkerhet är en viktig del av dataskyddet. Det tänker vi på Dataskydd.net tills vidare anta innebär att regeringen tänker på privatpersoner och konsumenter som berättigade intressenter i informationssäkerhetsfrågor, även om vi är besvikna över att regeringen fortfarande inte ser fullvärdig implementation av dataskyddslagarna från EU som ett viktigt steg mot bättre skydd för privatpersoner och konsumenter i IT-miljöer.

Läs mer:

Regeringen, Skrivelse 2016/17:213 Nationell strategi för samhällets informations- och cybersäkerhet:

http://www.regeringen.se/rattsdokument/skrivelse/2017/06/skr.-201617213/

SOU 2001:41, kap. 7. Strategi för ökad IT-säkerhet och skydd mot informationsoperationer:

http://www.regeringen.se/49bb49/contentassets/e50157a1db3941b88087267eeb...

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

4. FN:s särkilde utsände för yttrandefrihetsfrågor vill ha mänskliga rättigheter i tekniska standarder

FN:s särskilt utsände för yttrandefrihetsfrågor, David A Kaye, har i sin rapport till FN:s människorättsråd i juni 2017 framhållit vikten av att tekniska lösningar byggs med avseende att upprätthålla människorättsproblem. Det är ett stort steg framåt för den växande grupp akademiker, ingenjörer och aktivister som argumenterat att teknologier som lånar sig till inskränkningar av de mänskliga rättigheterna, sannolikt också kommer att användas för att inskränka de mänskliga rättigheterna. Denna grupp, till vilken Dataskydd.net har tillhört i Sverige, menar också att teknologier bör byggas på ett sätt att de istället lånar sig till respekt för de mänskliga rättigheterna.

Den särskilt utsände fokuserar i ett annex till sin rapport på standardorganisationer för telekommunikationsteknologier och webbkommunikation. Standardorganisationerna utformar de gemensamma principer enligt vilka företag i sektorerna som träffas av standarderna (till exempel webbläsare, mobiltelefoni, eller internetprotokoll) bygger sina tekniska lösningar.

Läs mer:

Freedex, On the Human Rights Impact of Standards Developing Organizations:

https://freedex.org/on-the-human-rights-impact-of-standards-developing-o...

UN, A/HRC/35/22/Add.4, Annex to the June 2017 report to the Human Rights Council of the Special Rapporteur on the protection and promotion of the right to freedom of opinion and expression (A/HRC/35/22):

http://freedex.org/wp-content/blogs.dir/2015/files/2017/05/SDOs-1.pdf

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

5. Utredning om övervakning av flygpassagerare går över gränsen

Regeringens utredare har lagt sitt förslag om hur EU:s direktiv om registrering och utbyte av flygpassagerardata i EU-området ska implementeras i svensk lag. Trots att EU-direktivet är tydligt med att passagerardata bara får behandlas av brottsbekämpande myndigheter i syfte att förebygga, förhindra eller utreda allvarlig brottslighet, som terrorism och grova brott, vill utredaren att behöriga myndigheter ska få använda datan för att utreda eller förhindra alla olika sorters brott (kap. 16.2.3).

Eftersom lagring av flygpassagerardata i EU-området redan är en sorts generell datalagring, fast av uppgifter som rör var man reser, när man reser, vad man tar med sig på resan och vad man äter under resans gång, är det svårt att inte tänka sig att de principer som EU ställt för upp allmän datalagring i det avgörande som gällde generell datalagring i telekommunikationssektorn, inte också skulle gälla här.

I ett förhandsutlåtande om överlämnande av flygpassagerardata till Kanada som EU-domstolen framställde förra året i september framgår också att EU-domstolen är vaksam mot den inskränkning av rätten till privatliv och dataskydd som lagringen innebär. I utlåtandet varnar domstolen för de särskilt allvarliga effekterna av profilering (p. 222 i utlåtandet), som domstolen menar kan vara oförutsägbart i sin negativa verkan för resenärer. Profilering omnämns av den svenska utredaren istället som någonting positivt.

Utredaren har observerat utlåtandet från EU-domstolen, och bedyrat att de utifrån direktivets lydelse haft som utgångspunkt att de ska välja sådana regler för den svenska lagstiftningen som är minst ingripande ur integritetssynpunkt (kap. 8.4). Utifrån EU-domstolens upprepade praxis (första datalagringsmålet 2014, och andra datalagringsmålet 2016) är det svårt att se hur de har lyckats.

Registrering av flygpassagerardata har sin historiska bakgrund i elfte-september-attackerna i New York 2001. Eftersom attackerna begicks av passagerar på ett flygplan, har en stark tankeströmning fått fäste om att denna sorts attacker kan förebyggas om man registrerar och lagrar uppgifter om flygpassagerare. Att resenärerna som var ombord på flygplanen som användes i elfte-september-attackerna redan var identifierade och kända när flygplanen lyfte från sina respektive flygplatser har inte avskräckt sådana tjänstemän som gärna vill ha fler polisregister. I Sverige fick registrering av flygpassagerardata ett uppsving i den politiska debatten i samband med att tillströmning av ISIS-krigare till Syrien från Sverige blev känd. Att denna tillströmning sedermera minskat, alldeles oavsett registrering av flygpassagerardata, och att personer som flyger till Syrien har gått att identifiera även utan sådan registrering, har inte avskräckt regeringens entusiasm för den nya övervakningsåtgärden.

Läs mer:

SOU 2017:57, Lag om flygpassageraruppgifter i brottsbekämpningen:

http://www.regeringen.se/49e3a2/contentassets/eeec83caccdd4e8dba80894a27...

Access Now, EU Passanger Name Records Archive:

https://www.accessnow.org/tag/eu-passenger-name-records-pnr/

Aftonbladet, Säpo-chefen: Över 150 jihadister har återvänt till Sverige (09.01.2017):

http://www.aftonbladet.se/nyheter/samhalle/a/g9PWJ/sapo-chefen-over-150-... (läsare varnas för audiovisuella annonser som inte fångas av vanliga reklam- och trackerblockerare vid klickning på länk)

Curia, dom i de förenade målen C‑203/15 och C‑698/15 (Tele2 mot Post- och telestyrelsen samt Secretary of State for the Home Department mot Tom Watson, Peter Brice, Geoffrey Lewis, i närvaro av Open Rights Group, Privacy International, Law Society of England and Wales) (21.12.2016):

http://curia.europa.eu/juris/liste.jsf?num=C-203/15

Curia, dom i de förenade målen C‑293/12 och C‑594/12 (Digital Rights Ireland mot Irlands regering och Kärntner Landsregierung, Michael Seitlinger, Christof Tschohl, med flera) (08.04.2014):

http://curia.europa.eu/juris/documents.jsf?num=C-293/12

Curia, förslag till yttrande av generaladvokat Paolo Mengozzi (Yttrande 1/15), begäran om förhandsutlåtande framställd av EU-parlamentet med anledning av förslaget till avtal mellan Europeiska unionen och Kanada om överföring och behandling av passageraruppgifter (08.09.2016):

http://curia.europa.eu/juris/document/document.jsf?docid=183140&doclang=SV

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

6. Utskottsförslag om ny e-Dataskyddsförordning i EU-parlamentet vill ha mer kryptering

I EU-parlamentet fortsätter arbetet med EU-kommissionens förslag till en ny e-Dataskyddsförordning i utskottet för mänskliga rättigheter och inrikesfrågor. Förordningen ska komplettera dataskyddsförordningen och dataskyddsdirektivet genom att säkerställa ett starkt skydd för data och kommunikation hos kommunikationsleverantörer, och utsträcka det skyddet inte bara till privatpersoner utan även till de företag som begagnar sig av kommunikationsleverantörernas tjänster.

Den finska ledamoten Marju Lauristin från den socialdemokratiska gruppen, har föreslagit obligatorisk nod-till-nod-kryptering för kommunikation. Det ger ett starkt skydd för konfidentialitet för både avsändare och mottagare av telekommunikationsmeddelanden. Hon föreslår också att metadata ska ges ett starkt skydd. Men den kristdemokratiska gruppen, där svenska Moderaterna är med, är skeptiska: deras huvudansvarige ledamot, Axel Voss från Tyskland, som arbetar i EU-parlamentets juridiska utskott med samma förslag ser inte behovet av att ha en lag som kompletterar dataskyddsförordningen alls.

Den svenska regeringen har inte tillkännagivit några särskilda ståndpunkter kring EU-kommissionens förslag. Förra sommaren gav regeringen intrycket av att, likt Axel Voss, inte vara särskilt entusiastiska över att ha en särskild lag om konfidentiell kommunikation alls. Under våren har de givit datalagringsutredningen ett särskilt mandat att bevaka förhandlingarna om e-Dataskydd, förmodligen med det i åtanke att det är det tidigare e-Dataskyddsdirektivet som EU-domstolen åberopade för att förbjuda datalagring i EU-området.

I ministerrådet har de nya förslagen om webbkakor (artikel 8), och rätten för privatpersoner att inte inkluderas i abonnentsammanställningar mot sin vilja rönt uppmärksamhet, samtidigt som en del länder, enligt rådet, oroat sig för implikationerna av att utsträcka direktivets regler även till aktörer som inte är traditionella telekommunikationsoperatörer (till exempel WhatsApp, Skype och dylika tjänster).

Läs mer:

Draft Report on the e-Privacy Regulation of the Committee on Civil Liberties, Justice and Home Affairs (LIBE) (09.06.2017):

http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-%2f%2fEP%2f%2fNONS...

Consilium Progress Report 9324/17, ePrivacy-förordningen (08.06.2017):

http://data.consilium.europa.eu/doc/document/ST-9324-2017-INIT/en/pdf

Dataskydd.net, Kommentarer till Näringsdepartementet på EU-kommissionens förslag till ny eDataskyddsförordning (03.03.2017):

https://dataskydd.net/sites/default/files/edataskydd_dataskyddnet_201703...

Dataskydd.net, Mejl, webbtrafik och sms: teleoperatörerna får gärna övervaka, enligt EU-parlamentet (17.06.2017):

https://dataskydd.net/nyheter/2017/06/17/mejl-webbtrafik-och-sms-teleope...

Kommittédirektiv 2017:16, Datalagring och EU-rätten:

http://www.regeringen.se/rattsdokument/kommittedirektiv/2017/02/dir.-201...

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *