Dataskydd.NET

Vol. 4, nr. 6, 12 september 2017

https://dataskydd.net - info@dataskydd.net

Information om EU:s dataskyddspaket och skydd av den personliga integriteten, både juridiskt och tekniskt, i den digitala världen.

Detta nyhetsbrev finns även på https://dataskydd.net/nyhetsbrev/dataskyddnet-46

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

I detta nummer:

1. Dataskydd.net under hösten 2017
2. Ny dataskyddslag? Intressekonflikter blottas
3. Datalagring: privatpersoner fortfarande i baksätet
4. Recension: Informationssäkerhet och organisationskultur (SECURIT)
5. Dataskydd.net, remissyttrande över SOU 2017:29 förslag till ny brottsdatalag
6. Dataskydd.net lämnar remissyttrande på SOU 2017:36 om informationssäkerhet
7. Dataskydd.net lämnar in skrivelse till utredningen om dataskydd på Försvarets radioanstalt
8. Dataskydd.net lämnar in remissvar till SOU 2017:30 om en ny spellag
9. Dataskydd.net lämnar remissyttrande över SOU 2017:39 om en ny dataskyddslag
10. Remissyttrande över Fi2017/02899/S3 om dataskydd inom skatt, tull och exekution
11. Remissyttrande över Ds 2017:33 om dataskydd och arbetsmarknad
12. Remissyttrande över Ds 2017:26 om kreditupplysning och fastighetsmäkleri
13. På gång (inkl. remisser, kommittédirektiv, event, nytt hos Datainspektionen)

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

1. Dataskydd.net under hösten 2017

De som ofta läser våra nyhetsbrev vet att detta är lite försenat. Det händer mycket på dataskyddsområdet i hela världen, men just i Sverige går särskilt lagstiftningsarbetet på högtryck.

Sverige har mer än hundra registerförfattningar, och ytterligare lagstiftningar som hänvisar till eller begränsar privatpersoners rättigheter enligt den nu gällande personuppgiftslagen. Regeringskansliets ambition är att bevara alla svagheter och begränsningar som redan finns, och det innebär att vår tid läggs på remissarbete och inlagor istället för på nyhetsbrev.

Regeringskansliet verkar illa förberett att hantera intressekonflikterna mellan privatpersoner och näringsliv, relationen mellan lagstiftning och teknik, och relationen mellan svensk lagstiftning och de internationella regelverk som styr vad regeringen får och inte får göra med eller mot sina medborgare. I vissa delar beror det på kunskapsluckor från utredarna: en hög nivå av kunskap på juridikområdet motsvarar eller garanterar inte starka insikter om andra relevanta områden, så som ekonomi och ingenjörskonst. I andra delar beror det på outtalade intressekonflikter i hela det digitala samhället, där stridigheten mellan privatpersoners och företags intressen inte erkänns eller blottas, eller oförenligheten mellan statliga och individuella säkerhetsintressen inte erkänns eller blottas.

Vi kommer fortsätta arbeta på det här sättet under hösten. Utöver det besöker vår ordförande Amelia Andersdotter olika konferenser och representerar privatpersoners och konsumenters intressen, med fokus på den insyn och transparens som behövs för att privatpersoner alls ska kunna utöva sina rättigheter.

Det är inte i alla lägen klart att regeringskansliet och deras utredare förstår och accepterar den riktning som EU:s lagstiftare målat upp för dataskydd, och det är övertydligt att många starka affärs- och myndighetsrepresentanter fortsätter att lobba mot privatpersoners effektiva skydd för grundläggande rättigheter i Sverige.

Dataskyddsförordningen var en av de mest lobbade lagstiftningarna i Bryssel, och det verkar tyvärr inte bättre på den lokala nivån.

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

2. Ny dataskyddslag? Intressekonflikter blottas

Dataskyddsförordningen var en av de mest lobbade lagstiftningarna i Bryssel någonsin. Konflikterna kring EU-kommissionens ursprungliga förslag från 2012 var många, och särskilt märktes helt olika visioner för vilken roll privatpersoners rätt till dataskydd och privatliv alls ska få spela i ett digitaliserat samhälle.

Om listan över remissyttranden på utredningen om en ny svensk dataskyddslag är något att gå efter, har många av konflikterna släntrat efter in i den nationella implementationen. I grunden är det ett problem skapat av medlemsländerna under lagstiftningsprocessen, men det innebär att dataskydd inte ännu klart kommer att bekräftas av regeringen som en förbättring medborgares möjligheter att utöva sina rättigheter.

Bland icke-kommersiella, icke-myndighetsaktörer har de flesta fokuserat på åldersgränsen för barns samtycke. Det är synd, eftersom privatpersoners intressen är kroniskt underrepresenterade. Bara Internetstiftelsen ser ut att ha tagit fasta på Integritetskommitténs arbete på integritetsområdet, som uppdagat en rad större och allvarliga brister med skyddet för integriteten så som det ser ut idag.

Diskussioner om privatpersoners rätt till insyn, deltagande och kunskap är fortfarande relevanta. Företagsrepresentanter som Bankföreningen och Svenskt näringsliv anser att konsumenter har en lägre rätt till insyn, eller i vilket fall inte bör få en högre rätt till insyn, än vad som är fallet idag. Oroväckande nog har de vunnit gehör för denna ståndpunkt hos Datainspektionen.

Bland myndigheterna är det få aktörer som klagar på att privatpersoners rättigheter i utredningens förslag begränsas. Utredningens allmänna systematik för dataskyddsarbetet ger stor frihet för myndigheterna att utgå ifrån att de själva gör rätt. Datainspektionen ser ut att ha missförstått förhållandet myndigheter och anställda, som regleras av användaravtal och därför inte behöver ske utan den anställdes vetskap och insyn. Och arbetsgivare vill givetvis ha fler rättigheter att utan anställdas vetskap, insyn och samtycke behandla känsliga uppgifter om hälsa och brottshistorik.

Ett av orosmolnen som uppenbarar sig vid genomläsning av olika intressenters tankar om den nya svenska lagen som kompletterar EU-förordningen är att Datainspektionen redan innan dataskyddsförordningen trätt i kraft blivit fångat av näringslivsintressen. Datainspektionen åker inte på möten som de inte får betalt för att delta på, och är därmed otillgängliga för många konferenser och sammanslutningar av grupper av medborgare som har stor kännedom och kunskap om dataskydd men färre ekonomiska resurser att ordna konferenser med betalda talare.

Läs mer:

Remissyttranden över SOU 2017:39 om ny dataskyddslag:

http://www.regeringen.se/remisser/2017/05/remiss-av-sou-201739-ny-datask...

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

3. Datalagring: privatpersoner fortfarande i baksätet

Genom operatören Bahnhof har ett flertal dokument från den pågående utredningen om anpassning av den svenska datalagringslagstiftningen till europeisk rätt blottats. Dokumenten är kommentarer på vad som antas vara ett utkast till den utredning som ska presenteras i oktober, och kommer i dyningarna av att flera europeiska justitieministrar i somras klart markerade att de ville fortsätta med datalagring oavsett vad EU-domstolen säger.

Två av dokumenten rör påverkansförsök från Polismyndigheten och Säkerhetspolisen riktade mot utredningen. Precis som många tidigare skrifter till stöd för datalagring är de närmast kliniskt befriade från konkreta exempel på att datalagring är ett outbytbart och ovärderligt verktyg för brottsbekämpning. Det är synd, eftersom EU-domstolens domslut ska ses mot ljuset av en mycket låg evidensnivå för att datalagring varit effektivare och användbarare än andra metoder vid brottsbekämpning.

Det tredje dokumentet är en promemoria från regeringskansliet som innehåller detaljerade kommentarer på det som antas vara ett utkast. Om kommentarerna rör faktiska textförslag, finns det skäl att oroa sig för att utredningen är på väg åt helt felt håll.

Bland begrepp som utredaren i sådana fall har fått om bakfoten finns "åtskillnader" (som i yttrandet benämns "differentiering") och "oberoende" (i förhållande till regeringen och den exekutiva makten). Men yttrandet ger också skäl att oroa sig för att utredaren inte velat ta i de svåraste konsekvenserna av EU-domstolens domslut från förra året, som ju är att datalagring strider mot de mänskliga rättigheterna och därför mot de skyldigheter svenska staten har gentemot sina medborgare och andra.

Naturligtvis ligger det politiska ansvaret för att svenska staten inte förmår skydda de egna medborgarnas rättigheter ytterst på regeringen. Men deras arbete görs så mycket svårare av att statliga utredare inte ger regeringen ett gott stöd i uppdraget.

Läs mer:

Bahnhof, Bahnhof offentliggör källmaterialet till datalagringsläckan (04.09.17):

https://www.bahnhof.se/press/press-releases/2017/09/04/bahnhof-offentlig...

PM från regeringskansliet angående förmodat utkast på datalagringsutredning:

https://www.bahnhof.se/filestorage/userfiles/nyheter2017/PM_Datalagring.pdf

EU-domstolen, dom i mål nr C-203/15, Tele2 mot Post- och telestyrelsen (21.12.16):

http://curia.europa.eu/juris/liste.jsf?num=C-203/15

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

4. Recension: Informationssäkerhet och organisationskultur (SECURIT)

Forskningsprojektet SECURIT har under de senaste åren samlat svenska forskare från flera svenska högskolor och universitet kring gemensamma teman på ämnet informationssäkerhet och organisationskultur. Boken Informationssäkerhet och organisationskultur, utgiven vid Studentlitteratur i september 2017 är en populärvetenskaplig framställning av resultaten. Dataskydd.net:s ordförande Amelia Andersdotter har läst boken.

Informationssäkerhet för med sig många utmaningar för samhället. Dels finns inneboende intressekonflikter mellan medborgare och stat, företag och stat, och stater och företag. Dels finns kostnadsfrågor och avvägningar mellan snabbhet och följsamhet med processer. Bokens tolv studier går förtjänstfullt igenom olika aspekter av dessa intressekonflikter och hur de påverkar individuell informationssäkerhet (personlig integritet och dataskydd), och institutionell informationssäkerhet (följsamhet med processer i offentlig sektor och företag).

Artiklarna har använt huvudsakligen tre metodologier: enkätundersökningar, intervjuer och metaanalyser. Som en av metaanalyserna påtalar, kan enkätundersökningar vara vanskliga då de bygger på besvararnas självskattning. När tjänstemän i en byråkratisk organisation uppfattar att de är bättre på att följa informationssäkerhetspolicies, betyder det att de har en högre nivå av informationssäkerhet, eller att de i högre utsträckning följer regler? Och motsvarande: har en marknadsorienterad organisation sämre informationssäkerhet för att de inte uppskattar sig prioritera policies, eller finns det omständigheter då informationssäkerhet är ett resultat bland andra önskvärda? En annan av metaanalyserna för fram att överdriven respekt för en policy kan få motsatt effekt på informationssäkerheten än den önskvärda, bland annat för att organisationen inte kan lära sig.

Bokens sista kapitel handlar om definitionen av informationssäkerhet från ett filosofiskt och logiskt perspektiv, och borde egentligen ha presenterats tidigare. Den föreslår en definition på informationssäkerhet som tar olika intressenters behov och intressen i beaktande. Målkonflikter mellan tjänstemän, organisationer, företag, konsumenter och privatpersoner går igen i de flesta av bokens kapitel, utan att artikelförfattarna reflekterar över vad det är för något de egentligen mätt eller studerat.

Den etnografiska studien i kapitel 12 går förtjänstfullt igenom gapet mellan små aktörers intressen och stora aktörers intressen, även det ett tema som tas upp i flera artiklar i bokens första del. Och kapitlet om improviserade IT-lösningar under krishantering väcker många relevanta tankar om vilka sorters infrastrukturer vi önskar att offentliga organ kunde tillhandahålla, vilka de får tillhandahålla i enlighet med gällande informationssäkerhetsregler och när det skapar problem.

Ur ett dataskyddsperspektiv är behandlingen av eHälsomyndighetens integritetsarbete intressant. Studien menar att regeringskansliet har dumpat frågorna på eHälsomyndigheten, utan att ha givit eHälsomyndigheten i uppdrag att utreda frågan. Genom att först avfärda integritet som en teknisk fråga, och frånse organisatoriska effekter på möjligheten att realisera både informationssäkerhet och integritet, har regeringskansliet försatt projektet Hälsa för mig i sitsen att problem främst introduceras i ett sent skede av projektet, genom läkare och patienter.

Boken är kanske inte så populärvetenskaplig som forskarna alltid har tänkt sig. Chi-kvadratanalyserna i behandlingen av enkätsvar har inte ett så uppenbart syfte som man skulle önska sig, och det är inte alltid klart vad man faktiskt försökt mäta. De artiklar som förlitar sig på intervjumetoder, etnografi och filosofi är i sådana fall lättare att ta till sig. Bland metaanalyserna är det i stället källorna som är intressanta: FOI har i hög grad förlitat sig på föregående studier inom försvarsorienterad informationssäkerhet, medan organisationsvetarna har förlitat sig på studier från civila kontexter och ur ett organisatoriskt perspektiv. Ingen av metaanalyserna förlitar sig på statliga utredningar eller myndighetsrapporter, inte heller från presumtiva expertgrupper så som Justitiedepartementets krisenhet eller MSB.

Som helhet är dock boken läsvärd, inte minst för de många individer som följt utvecklingen av flera medialt uppmärksammade IT-upphandlingar på myndigheter under sommaren. Ska man utgå från bokens resultat är det en lång väg kvar att gå för både regeringskansliet och statliga verksamheter med ansvar för informationssäkerhet innan de närmar sig framkanten av forskningen.

Läs mer:

Studentlitteratur, Informationssäkerhet och organisationskultur (345 kronor):

https://www.studentlitteratur.se/#39400

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

5. Dataskydd.net, remissyttrande över SOU 2017:29 förslag till ny brottsdatalag

Igår lämnade Dataskydd.net in sitt remissyttrande över utredningen SOU 2017:29 om förslag till ny brottsdatalag. Utredaren har behandlat hur Sverige kan implementera EU:s nya dataskyddsdirektiv, alltså den del av dataskyddspaketet som inte gäller någon utom polisen.

Vi är besvärade över ett fortsatt starkt fokus på ogenomskinlighet gentemot medborgare vid datasäkerhetsproblem. Utredaren framställer saker som klara och tydliga som inte är klara och tydliga, och på ett sätt som bara kan vara privatpersoner till nackdel. Privatpersoner som inte får information om datasäkerhet kan heller inte göra informerade val, skydda sig mot dåliga konsekvenser eller hålla någon till svars.

Vi har också riktat kritik mot att utredaren specifikt valt att avfärda flera av de principiella nymodigheterna i direktivet. Till dessa räknas starkare dataskydd genom ökad användning av pseudonymisering, starkare rättigheter att få reda på hur myndigheter profilerar och fattar automatiska beslut och ett starkare skydd för biometriska data - uppgifter om hur vi ser ut eller beter oss.

Varför utredaren gått så hårt åt tillsynsmyndigheten är svårt att förstå. Vid både första och andra anblicken ser det ut som om att utredaren skapat en tankebild av Datainspektionen som ett vildsint rovdjur, i stånd att utsätta varje stackars intet ont anande brottsbekämpande myndighet med IT-problem för de mest fasansfulla av övergrepp. Vi tror inte att det finns någon risk för att Datainspektionen kommer att spetsa till sig i sådan utsträckning, och föreslår istället att Datainspektionen ska slippa åläggas tråkiga, långdragna byråkratiska processer som bidrar föga till privatpersoners och myndigheters rättssäkerhet.

Dessutom har vi lagt ett förslag att personuppgifter som samlas in medelst hemliga tvångsmedel i lika hög utsträckning som andra personuppgifter som samlas in av brottsbekämpande myndigheter ska täckas av Brottsdatalag.

Läs mer:

SOU 2017:29, Brottsdatalag:

http://www.regeringen.se/rattsdokument/statens-offentliga-utredningar/20...

Dataskydd.net, remissyttrande över SOU 2017:29 Brottsdatalag (11.07.2017):

https://dataskydd.net/sites/default/files/sou201729_remissyttrande_datas...

Dataskydd.net, Brottsdatalag: allmänt bra men många frågetecken (30.05.2017):

https://dataskydd.net/nyheter/2017/05/30/brottsdatalag-allmant-bra-men-m...

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

6. Dataskydd.net lämnar remissyttrande på SOU 2017:36 om informationssäkerhet

I runt ett år har Justitiedepartementet haft som högsta prioritet att införliva EU:s direktiv om nätverks- och informationssäkerhet i svensk lagstiftning. Det så kallade NIS-direktivet fick en framträdande plats i både regeringens digitaliseringsstrategi och i regeringens cybersäkerhetsstrategi. Därför är utredningen SOU 2017:36 om direktivets införlivande i svensk lagstiftning ett underligt anti-klimax.

Utredningen är slarvigt gjord, förutsätter unilateral samverkan och gör ingen analys av bristerna i de nuvarande lednings- och styrsystemen för svensk informationssäkerhet.

Till skillnad från vad som vore bra för medborgare och konsumenter, försöker utredningen också föra Sverige ännu längre in på vägen med sekretess och hemlighetsmakeri. Trots att det största problem med informationssäkerhet är att varken medborgare eller konsumenter har några bra verktyg att utkräva ansvar idag.

Våra förslag är att

Det behövs tydliga krav på o fentliggörande av sårbarheter och incidenter i informationssystem och tjänster, samt om tillsyn, för att skapa incitament till e fektiv styrning och uppföljning för såväl myndigheter som företag.

Det behövs tydliga krav på oberoende tillsyn av behöriga myndigheters informations- och incidenthantering för att försäkra marknaden och medborgare att gällande regelverk och rekommendationer för dataskydd även gäller säkerhetsmyndigheter.

Post-och telestyrelsen (PTS), inte Myndigheten för samhällsskydd och beredskap (MSB), bör ansvara för incidentrapporter från näringslivet. PTS har bättre kompetens och är bättre rustad att hantera behovet av informationsdelning samt samordna med Datainspektionen.

Läs mer:

Dataskydd.net, Remissyttrande över SOU 2017:36 Informationssäkerhet för samhällsviktiga och digitala tjänster:

https://dataskydd.net/sites/default/files/sou201736_remissyttrande_datas...

SOU 2017:36 Informationssäkerhet för samhällsviktiga och digitala tjänster:

http://www.regeringen.se/rattsdokument/statens-offentliga-utredningar/20...

Regeringen, Skrivelse 2016/17:213 Nationell strategi för samhällets informations- och cybersäkerhet:

http://www.regeringen.se/rattsdokument/skrivelse/2017/06/skr.-201617213/

Dataskydd.net, Nätverks- och informationssäkerhet: utan privatpersoner i centrum (05.06.2017):

https://dataskydd.net/nyheter/2017/06/05/natverks-och-informationssakerh...

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

7. Dataskydd.net lämnar in skrivelse till utredningen om dataskydd på Försvarets radioanstalt

Idag lämnade Dataskydd.net in en skrivelse till utredaren av dataskydd inom Försvarsmakten och på Försvarets radioanstalt, Ingvar Åkesson. Utredningen har nummer Fö 2017:03 och kommittédirektiv 2017:42, och är en av inte mindre än fem fortfarande pågående dataskyddsutredningar (nio har redan publicerats under våren) vars direktiv är offentliggjorda.

Huvudsakligen är Dataskydd.net frustrerade över att regeringens utredningsverksamhet inte sköts på ett strukturerat och genomtänkt sätt. Övervakningsmetoderna som tillämpas av Försvarets radioanstalt är till exempel redan föremål för prövning i Europadomstolen i Strasbourg, den som säkerställer efterlevnaden av Europeiska konventionen för mänskliga rättigheter. Genom att inte invänta Europadomstolens domslut, bidrar den nu pågående utredningen till onödiga textmassor som försvårar insyn och begriplighet i lagstiftningen.

Dataskydd.net vill också gärna se en genomlysning av de svenska underrättelseverksamheterna, inte bara inom Försvarsmakten och Försvarets radioanstalt, utifrån Venedigkommissionens nyligen antagna checklista för rättsstater. Ett av kraven i checklistan är att det ska vara tydliga avgränsningar mellan olika myndigheters verksamhet, vilket i Sverige allt mindre varit fallet de senaste tio åren.

Till listan över internationella institutioner som upprättats för att skydda och bevara de mänskliga rättigheterna, och som reagerat kraftigt mot massövervakning de senaste åren, har vi lagt ytterligare resolutioner, rekommendationer och varningar. Gapet mellan den makt som nationalstater upplever att de vill utöva över sina medborgare medelst övervakning, och den makt som det internationella regelverket säger att de bör utöva över sina medborgare medelst övervakning, är mycket stort.

Vi har också givit 12 rekommendationer till utredaren, som vi givetvis hoppas kommer tas i beaktande under utarbetandet av hans slutrapport nästa år i maj.

Läs mer:

Dataskydd.net, skrivelse till utredningen om dataskydd inom Försvarsmakten och på Försvarets radioantalt:

https://dataskydd.net/sites/default/files/dir201742_fra_inlaga_dataskydd...

Kommittédirektiv 2017:42, Behandlingen av personuppgifter inom Försvarsmakten och Försvarets radioanstalt:

http://www.regeringen.se/rattsdokument/kommittedirektiv/2017/04/dir.-201...

Europarådets Venedigkommission, Rule of Law Checklist (CDL AD(2016)007), Study No. 711 / 2013:

http://www.venice.coe.int/webforms/documents/default.aspx?pdffile=CDL-AD(2016)007-e

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

8. Dataskydd.net lämnar in remissvar till SOU 2017:30 om en ny spellag

Torsdagen 27 juli lämnade Dataskydd.net in sitt remissyttrande till utredningen om en omreglerad spelmarknad, SOU 2017:30. Vi är kritiska både mot de föreslagna åtgärderna som ska varna konsumenter som stöter på olicensierade spelsajter och de föreslagna personuppgiftsreglerna.

Varningssignalerna som utredningen föreslår hamnar i konflikt med den snabba utvecklingen av webbsäkerhet för slutkonsument. Vi misstänker att konflikten har uppstått för att utredaren uppger sig ha haft kontakt bara med teleoperatörer och norska kulturdepartementet vid utarbetandet av förslaget. Varken teleoperatörer eller kulturdepartement jobbar med konsumentsäkerhet för webben, men regeringen kan ju alltid ta sitt förnuft till fånga under remissrundan.

Personuppgiftsreglerna är häpnadsväckande dåliga. Även inom ramen för en rättsordning där varje sorts behandling av en personuppgift detaljregleras av riksdagen är förslaget nedslående. Utredaren har varken gjort konsekvensbedömningar för eller lyckats förklara resonemanget bakom sina förslag.

Dataskydd.net hade däremot föredragit att utredaren var tydlig med vilka regler den vill ställa upp för verksamheten på Spelmyndigheten och hos spelföretagen. Utifrån personuppgiftsförslagen ser det ut som att utredaren vill förbjuda spelföretagen från att göra (demografiskt) riktad reklam utifrån sina kunders spelvanor - då är det bättre att man skriver det i lagen eller i förarbetena, istället för att dölja sina intentioner i en personuppgiftsreglering.

Om verksamheten är välreglerad, kommer de vanliga personuppgiftsreglerna från EU:s allmänna dataskyddsförordning redan att ge ett bra skydd för slutkonsumenter. Dessutom kommer Datainspektionens roll inte kompliceras av att de behöver utfärda olika föreskrifter för samma saker under olika lagar, utan inspektionen kan istället fokusera på övergripande saker som gäller alla (till exempel rekommendationer för inbyggt integritetsskydd eller språkrekommendationer för konsumentavtal) och specifika saker som gäller vissa (vilken sorts uppgifter som kan behöva behandlas för att anses vara tillräcklig bidragare till spelforskning i lagens mening). Det blir tydligare för både konsumenter, spelföretagen och Spelmyndigheten.

Läs mer:

Dataskydd.net, remissyttrande över SOU 2017:30 om en omreglerad spelmarknad (27.07.2017):

https://dataskydd.net/sites/default/files/fi201701644ou_sou201730_datask...

SOU 2017:30, En omreglerad spelmarknad:

http://www.regeringen.se/rattsdokument/statens-offentliga-utredningar/20...

Datainspektionen, remissyttrande över SOU 2017:30 (21.07.2017):

www.datainspektionen.se/Documents/remissvar/2017-06-21-yttrande-spelregl...

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

9. Dataskydd.net lämnar remissyttrande över SOU 2017:39 om en ny dataskyddslag

Idag har Dataskydd.net skickat in ett remissyttrande till Justitiedepartementets grundlagsenhet angående SOU 2017:39 om förslag till en ny dataskyddslag.

Dataskydd.net:s remissyttrande föreslår huvudsakligen ett antal förändringar i bestämmelserna i dataskyddslag och dataskyddsförordning, två svenska lagstiftningar som är tänkta att komplettera den europeiska allmänna dataskyddsförordningen. Ingen av den svenska lagarna kommer att åsidosätta den europeiska allmänna förordningen, utan den europeiska förordningen gäller fortfarande. Förändringarna ska göra det lättare för myndigheter och medborgare att förstå vilka skyldigheter myndigheterna har, och hur privatpersoner ska utöva sina rättigheter.

Dataskydd.net lägger stor tonvikt vid enskildas rättigheter och enskildas möjligheter att utöva sina rättigheter. Vi fortsätter lyfta frågor om transparens kring IT-säkerhetsproblem, skadeståndsproblemen som även lyfts av Integritetskommittén, och skillnaden mellan ändamål och rättsliga grunder (en till synes teoretisk invändning som dock i hög utsträckning påverkar vilka skyldigheter en myndigheter uppfattar sig ha att tillämpa dataskyddets grundläggande principer).

Läs mer:

Dataskydd.net:s remissyttrande över SOU 2017:39:

https://dataskydd.net/sites/default/files/sou201739_remissyttrande_datas...

SOU 2017:39, Ny dataskyddslag:

http://www.regeringen.se/rattsdokument/statens-offentliga-utredningar/20...

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

10. Remissyttrande över Fi2017/02899/S3 om dataskydd inom skatt, tull och exekution

Dataskydd.net har lämnat in ett remissyttrande över Finansdepartementets promemoria om förändringar av registerförfattningar inom området skatt, tull och exekution.

Promemorian återbekräftar en äldre insikt att myndigheter och departement blandar samman ändamål och rättsliga grunder. Är det Skatteverkets uppdrag som myndighet att tillhandahålla urvalsslagningar till direktreklam och opinionsmätningar? Om inte, på vilken rättslig grund sker behandlingen av uppgifter i Statens personadressregister? Frågan är mer än teoretiskt intressant, eftersom försäljningen av personuppgifter i syfte att finansiera statlig informationsförsörjning har direkt negativa konsekvenser för privatpersoners informationssäkerhet.

Utgångspunkten är att så lite som möjligt ska förändras, snarare än att registerförfattningarna ska anpassas efter de nya proportionalitetsbedömningar och det starkare skydd för integriteten som dataskyddsförordningen är avsedd att åstadkomma.

Precis som utredningen om en ny dataskyddslag är det inte uppenbart att utredaren gör åtskillnad mellan information om databehandling och registerutdrag. Ett antal bestämmelser som föreslås kvarstå i registerförfattningarna riskerar att lura myndigheterna att de inte behöver bry sig om proportionalitetsbedömningar, efterlevnad av dataskyddets principer eller tillräcklig informationssäkerhet, eftersom lagtexterna ger intrycket av att regeringen redan gjort de avvägningar som behövs. Så är inte fallet, och dataskyddsförordningens direkta tillämplighet skadar på så sätt både enskilda privatpersoners rättigheter och myndigheternas möjligheter att förutse konsekvenserna av sina åtgärder.

Tyvärr har Integritetskommittén inte gjort något avtryck i promemorian. Dataskydd.net fortsätter mena att integritesskyddet i Sverige fungerar dåligt just eftersom olika utredningar inte tar intryck av varandra.

Läs mer:

Dataskydd.net:s remissyttrande över Fi2017/02899/S3:

https://dataskydd.net/sites/default/files/fi201702899s3_dataskyddnet_rem...

Promemoria: EU:s dataskyddsförordning: Anpassade regler om personuppgiftsbehandling inom skatt, tull och exekution

http://www.regeringen.se/rattsdokument/departementsserien-och-promemorio...

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

11. Remissyttrande över Ds 2017:33 om dataskydd och arbetsmarknad

Dataskydd.net lämnade in sitt remissyttrande över Ds 2017:33 om dataskydd i författningar under Arbetsmarknadsdepartementets ansvarsområde.

Som i våra tidigare kommentarer på en omarbetning av vissa registerförfattningar under Finansdepartementets ansvarsområde ifrågasätter vi sammanblandningen mellan ändamål och rättslig grund. Dataskyddets principer fastställs separat från rättsliga grunder för behandling av uppgifter precis eftersom principerna för behandlingen inte är samma sak som de rättsliga grunderna för behandlingen. Det tydligaste exemplet är Skatteverkets personadressregister, som om ändamål och rättslig grund vore samma sak skulle göra det till ett myndighetsuppdrag för Skatteverket att gynna reklamindustrin, eller innebära att Skatteverkets gynnande av direktreklam är ett allmänintresse, eller resultera i ett cirkelresonemang där själva existensen av ett ändamål att gynna direktreklam i en författning ger Skatteverket en rättslig grund för att uppfylla det ändamålet.

Dataskydd.net motsätter sig fler registerförfattningar för särskilda ändamål eftersom de fördunklar och försvårar privatpersoners förståelse av vilka rättigheter de har, och hur dessa ska utövas. Därför avstyrker vi både lagen om personuppgiftsbehandling hos IFAU, och den nya föreslagna lagen om personuppgiftsbehandling i databasen för arbetsskador.

Utredaren borde ha tittat med på pseudonymisering och andra säkerhetsåtgärder som explicit krävs enligt dataskyddsförordningen. Det saknas också en metod för att anpassa registerförfattningarna efter ny praxis från EU-domstolen, trots att EU-domstolens tolkningar av dataskyddsförordningen mot bakgrund av EU:s stadga för grundläggande rättigheter kommer innebära omedelbara förpliktelser gentemot de myndigheter och andra aktörer som ska tillämpa författningarna.

Läs mer:

Dataskydd.net, remissyttrande över Ds 2017:33:

https://dataskydd.net/sites/default/files/ds201733_remissyttrande_datask...

Ds 2017:33, Anpassningar till dataskyddsförordningen av registerförfattningar inom Arbetsmarknadsdepartementets ansvarsområde:

http://www.regeringen.se/rattsdokument/departementsserien-och-promemorio...

Dataskydd.net, remissyttrande över Fi2017/02899/S3:

https://dataskydd.net/sites/default/files/fi201702899s3_dataskyddnet_rem...

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

12. Remissyttrande över Ds 2017:26 om kreditupplysning och fastighetsmäkleri

Dataskydd.net lämnade in remissyttrande över Ds 2017:26 om anpassningar av regelverk på familjerättens och förmögenhetsrätten område till dataskyddsförordningen. Till dessa regelverk hör Kreditupplysningslagen och andra bestämmelser om till exempel fastighetsmäkleri.

Vi invänder skarpt mot utredarens förslag att klassa kreditupplysningar som ett allmänt intresse. Det saknas stöd i EU-rätten för att klassa kreditupplysningar som ett allmänt intresse, och är en kontraintuitiv tolkning av vad som är "allmänt". Tanken med dataskyddsförordningen är att privatpersoner lättare ska kunna förstå sina rättigheter och utöva dem, och detta ändamål med lagstiftningen går inte att uppnå ifall regeringen använder allmänintresset som en slasktratt för personuppgiftsbehandlingar de inte på annat sätt orkar motivera.

Vi invänder också mot att utredaren föreslå att helt ta bort privatpersoners rättigheter att göra invändningar mot behandling som sker i kreditupplysningssyfte. Dels har Integritetskommittén redan etablerat att dataskyddet i kreditupplysningslagen inte fungerar tillfredsställande, och att starkare rättigheter för privatpersoner att göra just invändningar är ett sätt att åtgärda bristerna. För att inte kasta det mångåriga arbetet från den riksdagsledda kommittén i sjön kan det var smakligt av regeringskansliet att i alla fall motivera varför de inte tillgodogjort sig kommitténs resultat. Men dels innebär borttagandet av rätten att invända att dataskyddsförordningen inte kan gynna framväxten av en dataskyddsorienterad marknad, eftersom konsumenter (privatpersoner) måste kunna välja bort dåliga tjänster för att marknaden ska fungera.

Som i våra tidigare kommentarer på en omarbetning av vissa registerförfattningar under Finansdepartementets ansvarsområde ifrågasätter vi sammanblandningen mellan ändamål och rättslig grund. Dataskyddets principer fastställs separat från rättsliga grunder för behandling av uppgifter precis eftersom principerna för behandlingen inte är samma sak som de rättsliga grunderna för behandlingen. Det tydligaste exemplet är Skatteverkets personadressregister, som om ändamål och rättslig grund vore samma sak skulle göra det till ett myndighetsuppdrag för Skatteverket att gynna reklamindustrin, eller innebära att Skatteverkets gynnande av direktreklam är ett allmänintresse, eller resultera i ett cirkelresonemang där själva existensen av ett ändamål att gynna direktreklam i en författning ger Skatteverket en rättslig grund för att uppfylla det ändamålet.

Läs mer:

Dataskydd.net, remissyttrande över 2017:26 om kreditupplysning och fastighetsmäkleri:

https://dataskydd.net/sites/default/files/ds201726_remissyttrande_datask...

Ds 2017:26, En anpassning till dataskyddsförordningen – kreditupplysningslagen och några andra författningar:

http://www.regeringen.se/rattsdokument/departementsserien-och-promemorio...

Dataskydd.net, remissyttrande över Fi2017/02899/S3:

https://dataskydd.net/sites/default/files/fi201702899s3_dataskyddnet_rem...

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

13. På gång

--- 13.1 Remisser

SOU 2017:45, Företagshemligheter, dödslinje: 15 september.

http://www.regeringen.se/remisser/2017/06/remiss-av-sou-201745-ny-lag-om...

SOU 2017:49, Dataskydd och utbildning, dödslinje: 15 september.

http://www.regeringen.se/remisser/2017/06/remiss-av-sou-201749-eus-datas...

SOU 2017:50, Dataskydd och forskning, dödslinje: 15 september.

http://www.regeringen.se/remisser/2017/06/remiss-av-sou-201750-personupp...

SOU 2017:52, Integritetskommittén, dödslinje: oklart.

SOU 2017:57, Lag om registrering av flygpassagerare, dödslinje: 1 oktober.

http://www.regeringen.se/remisser/2017/06/remiss-av-sou-201757-lag-om-fl...

Fi2017/02899/S3, Dataskydd i tull, skatt och exekution, dödslinje: 15 september.

http://www.regeringen.se/remisser/2017/06/remiss-av-promemorian-eus-data...

Ds 2017:26, En anpassning till dataskyddsförordningen – kreditupplysningslagen och några andra författningar, dödslinje: 15 september.

http://www.regeringen.se/remisser/2017/06/remiss-ds-201726/

--- 13.2 Event

Dataskydd.net på Koha-dagarna i Kristianstad. 5 oktober.

http://koha.se/koha-i-sverige/anvandarmote-i-kristianstad/

Dataskydd.net på Sundsvall 42! 17-19 oktober.

http://www.sundsvall42.se/

Dataskydd.net på Internetdagarna. 21 november.

https://internetdagarna.se/program/gdpr-och-foretagens-skyldigheter-mot-...

--- 13.3 Kommittédirektiv

Tilläggsdirektiv till Forskningsdatautredningen (U 2016:04)

http://www.regeringen.se/rattsdokument/kommittedirektiv/2017/06/dir.-201...

Behandlingen av personuppgifter inom Försvarsmakten och Försvarets radioanstalt

http://www.regeringen.se/rattsdokument/kommittedirektiv/2017/04/dir.-201...

Tilläggsdirektiv till Utredningen om utvärdering av bidragsbrottslagen, dir. 2017:40

http://www.regeringen.se/rattsdokument/kommittedirektiv/2017/04/dir.-201...

Tilläggsdirektiv till Socialdataskyddsutredningen, dir 2017:67

http://www.regeringen.se/rattsdokument/kommittedirektiv/2017/06/tillaggs...

Ett effektivt och rättssäkert informationsutbyte vid samverkan mot terrorism

http://www.regeringen.se/rattsdokument/kommittedirektiv/2017/06/dir.-201...

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

Saknas det något dataskyddsrelaterat vi borde ha med? Är du intresserad av att hjälpa till? Kontakta oss på info@dataskydd.net!