Dataskydd.NET 2.18

Dataskydd.NET

Vol. 2, nr. 18, 4 november 2015

https://dataskydd.net - info@dataskydd.net

Information om EU:s dataskyddspaket och skydd av den personliga integriteten, både juridiskt och tekniskt, i den digitala världen.

Detta nyhetsbrev finns även på [node:url]

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

I detta nummer:

1. Riksdagsmotion om domstolsdatalagen plockar upp IT-säkerhetsproblem

2. Högsta förvaltningsdomstolen skapar flodvåg av hemlig datadelning

3. Europarådets kommissionär för mänskliga rättigheter: övervakning är inte lösningen

4. Anmälningar av SPAR-registret plockas inte upp av Datainspektionen

5. Dataskydd.net kommenterar på Prop 2015:16/28 om id-kortsregister

6. Eurojust publicerar analys av datalagring i EU:s medlemsländer

7. USA:s konsumentkommissionär kritiserar EU:s dataskydd

8. Kommande

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

1. Riksdagsmotion om domstolsdatalagen plockar upp IT-säkerhetsproblem

Flera moderata ledamöter i Justitieutskottet har tillsammans lagt en motion om regeringens förslag till ny domstolsdatalag. I motionen kan man bland annat läsa

"Eftersom det trots allt blir möjligt att göra integritetskänsliga sökningar är det angeläget att den it-tekniska miljön också innefattar sådana lösningar som innebär att det eftersträvade skyddet för känsliga personuppgifter kan upprätthållas i praktiken."

Dataskydd.net är överens med denna formulering. Ett skydd för den personliga integriteten som inte har någon praktisk innebör är i själva verket inget skydd för den personliga integriteten.

Motionen innebär att domstolsdatalagen ska följas upp noggrannt efter förhållandevis kort tid. Förslaget lämnar ett utrymme för att omedelbart börja åtgärda de mer graverande bristerna i lagstiftningen. Tyvärr förhindrar inte motionen att riksdagen sannolikt kommer att godkänna en lagstiftning som mer tydligt än tidigare lagstiftning åsidosätter individuella rättigheter, och individers möjligheter att se efter dessa rättigheter.

Läs mer:

Riksdagen, Motion 2015/16:253 med anledning av prop. 2014/15:148 Domstolsdatalag (30.09.2015):

http://www.riksdagen.se/sv/Dokument-Lagar/Forslag/Motioner/med-anledning...

Dataskydd.net, Kommentarer till riksdagen om Prop. 2014/15:148 om en ny domstolsdatalag (15.09.2015):

https://dataskydd.net/nyheter/2015/09/15/kommentarer-till-riksdagen-om-p...

Amelia Andersdotter, "Omöjligt se efter sina rättigheter - juridisk snårighet och hemlig teknik i nya domstolsdatalagen" (21.09.2015):

http://www.dagensjuridik.se/2015/09/omojligt-se-efter-sina-rattigheter2

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

2. Högsta förvaltningsdomstolen skapar flodvåg av hemlig datadelning

Torsdagen 29 oktober beslutade Högsta förvaltningsdomstolen att begreppet "direktåtkomst" i specialregisterlagstiftning bara täcker åtkomst till sådan information om privatpersoner som skulle täckas av offentlighetsprincipen (2 kap 3§ 2 st tryckfrihetsförordningen). Det innebär att all datadelning mellan myndigheter som inte lika gärna skulle kunna vara datadelning mellan myndigheter och privatpersoner nu skyddas av 31§ Personuppgiftslagen snarare än knepig specialreglering.

31§ PUL kräver att lämpliga tekniska och organisatoriska säkerhetsåtgärder vidtas för att skydda de personuppgifter som behandlas. "Lämpligheten" behöver rimligen bedömas i förhållande till det skydd som i övrigt är gällande i personuppgiftslagen och i EU:s stadga för grundläggande rättigheter - det vill säga ett ganska starkt krav.

Dataskydd.net välkomnar att Högsta förvaltningsdomstolen markerar mot konstig speciallagstiftning som är svår för både myndigheter och privatpersoner att förstå. Svensk lagstiftning innehåller idag flera hundra specialregler om direktåtkomst för myndigheter till andra myndigheters register. I teorin ska dessa ge ett extra starkt skydd för privatpersonens integritet (se bland annat kapitel 7.15 i SOU 2015:73 om personuppgiftsbehandling på utlännings- och medborgarskapsområdet). I praktiken skapar de ett virrvarr av lagar och bestämmelser som är svåra att följa upp (se Dataskydd.net om SOU 2015:73).

Högsta förvaltningsdomstolen synliggör dock en påtaglig brist med reglerna i personuppgiftslagen, vilket är det effektivt inte finns några sätt att säkerställa att 31§ PUL faktiskt följs. Datainspektionens praxis är mycket knapphändig (historiskt inte fler än fyra fall, med bara ett domstolsavgörande) och privatpersoner har, utöver tillsyn som sker på Datainspektionens nåder, inga möjligheter alls att säkerställa att varken "lämpliga" eller "olämpliga" tekniska och organisatoriska säkerhetsåtgärder vidtagits vid behandling av deras uppgifter.

Faktum är att Justitiedepartementet snarare rör sig mot att begränsa privatpersoners insyn i myndigheternas IT-system ännu mer. I SOU 2015:25 om en ny säkerhetsskyddsförordning görs det direkt felaktiga påståendet att öppenhet kring säkerhetsåtgärder inte medför någon nytta - praxis från både näringsliv och forskning visar på motsatsen (se Dataskydd.net om SOU 2015:25 för en utförlig katalog av exempel på och forskning kring att öppenhet ger bättre säkerhet). I SOU 2015:39 om en ny myndighetsdatalag och Proposition 2014/15:148 om en ny domstolsdatalag verkar Justitiedepartementet snarare vilja ålägga myndigheterna att inte delge information om sina säkerhetsåtgärder - även detta verkar mot säkerhet, transparens och individuella rättigheter (se föreslagen §23 i myndighetsdatalag, och föreslagen §12 i ny domstolsdatalag - den senare med ett uttryckligt förbud mot att delge allmänheten och registrerade information om säkerhetsåtgärder).

Om det nya rättsläget är att all datadelning mellan myndigheter ska skyddas genom det ramverk som ges av 31§ PUL, menar Dataskydd.net att regeringen och myndigheterna också har en skyldighet att säkerställa att individer har effektiva möjligheter att säkerställa sig om att kraven i 31§ PUL faktiskt följs.

Regeringen och myndigheterna behöver införa individcentrisk sårbarhets- och incidentrapportering, samt delgivande till individer eller organisationer som representerar individer av information om de logiska processer med vilka personuppgifter behandlas. Förutom sårbarhetsrapportering ingår dessa förslag redan i EU-kommissionens förslag till dataskyddsförordning från 2012. Sårbarhetsrapporteringen har istället förordats av svensk Post- och telestyrelsen så tidigt som 2006. Dataskydd.net har förordat dessa åtgärder upprepade gånger under det senaste året.

Om man misslyckas ge individer effektiva sätt att säkerställa att individernas egna rättigheter respekteras av myndigheter finns en klar risk att man är i konflikt med EU:s stadga om grundläggande mänskliga rättigheter, och det finns inga hemliga, statliga IT-projekt som är tillräckligt viktiga för att svenska staten ska ådra sig den lasten.

Läs mer:

Högsta förvaltningsdomstolen, dom i mål nr 1356-14 (29.10.2015):

http://www.hogstaforvaltningsdomstolen.se/Om-Hogsta-forvaltningsdomstole...

Dataskydd.net:s remissyttranden (innehåller kommentarer och anvisningar till samtliga förslag som nämns i den ovanstående texten):

https://dataskydd.net/vara-remissvar

Dataskydd.net, Kommenterar om HFD:s avgörande till riksdagen (04.11.2015):

https://dataskydd.net/nyheter/2015/11/04/dataskyddnet-kommenterar-hfds-a...

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

3. Europarådets kommissionär för mänskliga rättigheter: övervakning är inte lösningen

Den 28 oktober publicerade New York Times en läsvärd opinionsartikel av Europarådets människorättskommissionär Nils Muiznieks.

Nils Muiznieks är representant för det försvar av mänskliga rättigheter som sker under Europeiska konventionen för mänskliga rättigheter. Europarådet, som förvaltar konventionen, har de senaste åren vidtagit ett stort arbete för att bena ut vilka rättigheter vi har i den digitala miljön, och vad rättssäkerhet i den digitala miljön ska vara. Ett av resultaten är 22 rekommendationer till de länder som skrivit under Europakonventionen. Dataskydd.net uppmärksammade dessa när de släpptes i december 2014.

Muiznieks artikel kommer i kölvattnet av EU-domstolens hävning av Safe Harbor-avtalen den 6 oktober, och berör den övervakning som europeiska länder ägnar sig åt.

"Terrorism är ett verkligt hot och det kräver ett effektivt svar. Men övervakningsåtgärder som undergräver de mänskliga rättigheterna och rättssäkerheten är inte lösningen," skriver Muiznieks, efter att ha redogjort för ett stort antal övervakningsåtgärder som införts eller planeras att införas i olika europeiska länder för säkerhets skull.

Det är en läsvärd artikel, som Dataskydd.net hoppas att fler kommer ta del av.

Läs mer:

Nils Muiznieks, Europe is Spying on You (28.10.2015):

http://www.nytimes.com/2015/10/28/opinion/europe-is-spying-on-you-mass-s...

Council of Europe, CommDH/IssuePaper(2014)1. "The rule of law on the Internet and in the wider digital world. Issue Paper published by the Council of Europe Commissioner for Human Rights" (08.12.2014):

https://wcd.coe.int/ViewDoc.jsp?id=2268589&Site=COE

Dataskydd.net, Sveriges uppfyller inga av Europarådets rekommendationer för mänskliga rättigheter på internet (11.12.2014):

https://dataskydd.net/nyheter/2012/12/11/sveriges-uppfyller-inga-av-euro...

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

4. Anmälningar av SPAR-registret plockas inte upp av Datainspektionen

Datainspektionen har beslutat att inte gå vidare med de anmälningar Dataskydd.net gjort av Skatteverkets SPAR-register. Dataskydd.net har anmält SPAR-registret dels för att det inte uppfyller de krav på möjligheter för individer att tillgodose sina rättigheter enligt dataskyddsreglerna som EU-domstolen har ställt upp i mål C-201/14 Smaranda Bara m.fl. Dataskydd.net har också anmält SPAR-registret som oförenligt med bestämmelserna om lämpliga tekniska och organisatoriska säkerhetsåtgärder som återfinns i 31§ Personuppgiftslagen till följd av att en granskning av liknande system i Danmark föranlett stark kritik mot de tekniska och organisatoriska lösningar som valts av den myndighet som förvaltade befolkningsregistret.

Datainspektionens ärendenummer för anmälningarna är 1756-2015 och 1873-2015. Dataskydd.net har överklagat båda besluten till allmän förvaltningsdomstol i enlighet med Personuppgiftslagens §51. Datainspektionen har i skrivande stund inte bekräftat att de vidtagit nödvändiga åtgärder för att överklagan ska hanteras.

Läs mer:

Dataskydd.net anmäler SPAR-registret till Datainspektionen (07.10.2015):

https://dataskydd.net/nyheter/2015/10/07/dataskyddnet-anmaler-spar-regis...

Dataskydd.net anmäler SPAR-registret till Datainspektionen - igen (16.10.2015):

https://dataskydd.net/nyheter/2015/10/16/dataskyddnet-anmaler-spar-regis...

Datainspektionens beslut i ärende dnr 1756-2015 samt Dataskydd.net:s överklagan:

https://dataskydd.net/sites/default/files/1756-2015_svar_pa_klagomal.pdf

https://dataskydd.net/sites/default/files/overklagan_spar_bara_mfl_datas...

Datainspektionens beslut i ärende dnr 1873-2015 samt Dataskydd.net:s överklagan:

https://dataskydd.net/sites/default/files/1873-2015.pdf

https://dataskydd.net/sites/default/files/overklagan_spar_pul31_dataskyd...

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

5. Dataskydd.net kommenterar på Prop 2015:16/28 om id-kortsregister

Riksdagen har genom regeringens proposition 2015/16:28 om behandling av personuppgifter och regleringen av id-kortsverksamheten hos Skatteverkets ombetts ta ställning till vissa lagändringar rörandes direktåtkomst och sökbegränsningar till centrala personregister. Dataskydd.net rekommenderar Skatteutskottet, Civilutskottet, Justitieutskottet och Konstitutionsutskottet att inte godkänna förslaget.

Justitiedepartementet har avfärdat Datainspektionens invändningar om säkerhets- och integritetsproblem, trots att Datainspektionen har starkt stöd i forskning om IT-säkerhet och dataskydd för sina synpunkter. Riksdagen riskerar att förvärra redan befintliga IT-säkerhetsproblem - och åtföljande hot mot privatpersoners integritet och privatliv - om man godkänner förslaget.

Dataskydd.net påminner riksdagen om att danska Datatilsynet vid en tillsyn av statliga IT-system fann att omfattande direktåtkomst till centrala register försämrar möjligheten att skydda system mot IT-attacker och andra säkerhetsproblem. Trots att vi i dagsläget saknar inhemska utredningar, finns ingen anledning att IT-säkerhet fungerar annorlunda i Danmark än i Sverige. Den danska utredningen borde föranleda eftertanke även i Sverige.

Dataskydd.net vill också påminna riksdagen om att detaljerade bestämmelser för ändamål, känsliga uppgifter, tillgång och sökbegrepp, inte ändrar omständigheten att möjligheter för individer att granska hur myndigheterna följer dessa bestämmelser saknas. Det finns inte heller möjlighet för individer att utkräva ansvar av myndigheter som misstänkts och/eller visas hantera uppgifter fel. Överdriven detaljreglering av myndigheternas verksamhet är onödig, byråkratisk och gör mycket lite för att skydda individer. Tyvärr utgör överflödig detaljreglering som inte går ett uppfölja på ett effektivt sätt ett tråkigt mönster i Justitiedepartementets utredningar om register och datahantering det senaste halvdecenniet. Riksdagen borde visa ledarskap och bryta den tendensen.

Dataskydd.net föreslår att riksdagen gör ansatser för att hjälpa individer hävda sina rättigheter gentemot myndigheter när dessa agerar fel. Individcentrisk incident - och sårbarhetsrapportering och samtycke är bevisligen bra metoder för att uppnå bättre nivåer av transparens och ansvarsutkrävande. Dataminimering innebär att mer information inte samlas in än vad som är absolut nödvändigt. Att införa en dataminimeringsprincip skulle öka säkerheten i statens register, eftersom det inte går att läcka information eller felaktigt hantera information man inte samlat in. Vidare bör ansvars- och riskfördelning omvärderas - den som kan bestämma hur ett system fungerar bör också göras ansvarig för att systemet fungerar på ett sådant sätt att individer kan skydda sig själva och sina rättigheter. Dessa fyra förslag ligger i linje med utvecklingen på europeisk nivå.

Läs mer:

Proposition 2015/16:28 om behandling av personuppgifter och regleringen av id-kortsverksamheten hos Skatteverket (13.10.2015):

http://data.riksdagen.se/dokument/H30328

Dataskydd.net, kommentarer:

https://dataskydd.net/nyheter/2015/10/20/dataskyddnet-kommenterar-pa-pro...

Dataskydd.net, Remissyttrande över SOU 2015:73 om personuppgiftsbehandling på utlännings- och medborgarskapsområdet:

https://dataskydd.net/sites/default/files/sou201573_remissyttrande_datas...

Dataskydd.net, Remissyttrande över SOU 2015:23 – Informations- och cybersäkerhet i Sverige. Strategi och åtgärder för säker information i staten:

https://dataskydd.net/sites/default/files/sou201523_remissyttrande_datas...

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

6. Eurojust publicerar analys av datalagring i EU:s medlemsländer

Den europeiska samarbetsorganisationen för åklagarmyndigheter, Eurojust, har sammanställt en rapport till medlemsländernas regeringar om datalagring. Rapporten kommer efter EU-domstolens beslut att datalagringsdirektivet inte var förenligt med EU:s stadga för grundläggande mänskliga rättigheter. Rapporten är kritisk mot att lagstiftningen kring datalagring nu ser olika ut i olika medlemsländer och hävdar att detta skapar problem när brottsbekämpande myndigheter vill samarbeta över gränserna. Sverige listas som ett av fyra EU-länder som upplevt problem att samarbeta över gränserna till följd av olika lagstiftningar om datalagring. 19 andra EU-länder har dock inte upplevt sådana problem.

Eurojust-rapporten behandlar också tillförlitligheten i bevis som säkerställts med datalagring. I många EU-länder går bevis inte att åberopa i domstol om de inte är tillförlitliga. Anonymiseringstjänster uppges vara ett problem i detta avseende, eftersom tjänsteleverantörer och brottsbekämpande myndigheter inte kan säkerställa att den datalagrade datan ger relevant information.

Läs mer:

Eurojust’s analysis of EU Member States’ legal framework and current challenges on data retention (26.10.2015):

http://statewatch.org/news/2015/oct/eu-eurojust-analysis-ms-data-retenti...

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

7. USA:s konsumentkommission kritiserar EU:s ärlighet om dataskydd

USA:s konsumentskyddsmyndighet, FTC, har vid ett antal tillfällen efter EU-domstolens beslut om Safe Harbor kritiserat europeiska myndigheter för att själva orsaka problemen med dataskydd vid dataöverföringar över Atlanten.

Under de 15 år som Safe Harbor-avtalen var på plats rapporterade inte europeiska dataskyddsmyndigheter fler än fyra fall till FTC. Det gav FTC ett dåligt urval att testa reglernas tillämpning och inte förrän FTC själva initierade granskningar mot amerikanska företag fick de resultat. Bland annat Google ska ha bötfällts med 22 miljoner dollar för att inte ha följt sina åtaganden enligt Safe Harbor-avtalen.

Myndighetens högsta chef, Julie Brill, instämde under en konferens i Amsterdam med denna bild. Hon påtalade behovet av att ha en levande debatt om övervakning inte bara i USA, utan också i Europa. I Europa har lagstiftningen om underrättelseverksamhet och polisiära befogenheter ofta har färre bestämmelser om rättsäkerhet för medborgare och andra privatpersoner, än de amerikanska motsvarigheterna.

Kritiken är inte obefogad.

Samtidigt har vissa dataskyddsmyndigheter blivit mer aktiva under de senaste två åren. Nederländernas dataskyddsmyndighet fick nyligen nya befogenheter att döma ut kraftfulla böter vid brott mot dataskyddsbestämmelser. Möjlighet att utdöma avskräckande böter har tidigare saknats. Belgiska och tyska dataskyddsmyndigheter har börjat processa mer. Irlands datakommission har också rustats med fler personal och löften om mer aktiv tillsyn i framtiden.

Läs mer:

EUObserver, EU data chiefs failed to report US privacy complaints (22.10.2015):

https://euobserver.com/justice/130792

Snowden, Schrems, safe harbor ... it's time to rethink privacy policies, says FTC commish (Said while poking Europe in the ribs about honesty) (23.10.2015):

http://www.theregister.co.uk/2015/10/23/ftc_eu_safe_harbor/

Dataskydd.net, Europarådets kommissionär för mänskliga rättigheter: övervakning är inte lösningen (28.10.2015):

https://dataskydd.net/nyheter/2015/10/28/europaradets-kommissionar-mansk...

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

8. Kommande

Dataskydd.net kommer under hösten att finnas på:

FSCONS, 7-8 november: https://fscons.org/2015/

Kommande remissmöjligheter:

SOU 2015:39 om en ny myndighetsdatalag. Deadline: 24 november 2015.

http://www.sou.gov.se/wp-content/uploads/2015/04/NY-SOU_2015_39_webb.pdf

SOU 2015:66 "En förvaltning som håller ihop" (E-delegationen). Dödslinje: 15 december 2015.

http://www.regeringen.se/rattsdokument/statens-offentliga-utredningar/20...

Ds 2015:44 om en ny passdatalag. Deadline: 11 januari 2016.

http://www.regeringen.se/remisser/2015/09/remiss-av-ds-201544-passdatalag/

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

Saknas det något dataskyddsrelaterat vi borde ha med? Kontakta oss på info@dataskydd.net!