Femte juli

Nätet till folket!

Datainspektionen

Så växer övervakningsstaten snabbare än lagstiftningen

av

Företaget Clearview har en enkel men obehaglig affärsidé: Man dammsuger internet och sociala media på bilder av identifierbara personer. Sedan tillhandahåller man en tjänst för automatiserad ansiktsigenkänning.

För en tid sedan drabbades Clearview av en läcka – där deras kunder exponeras i varierande omfattning.

Av denna läcka framgår det att Clearview har gjort affärer med svenska myndigheter. Datainspektionen försöker nu utreda vilka myndigheter det handlar om – och i vilken mån något olagligt förekommit. (Värt att notera är dock att Datainspektionen redan i höstas gav polisen rätt att använda automatiserad ansiktsigenkänning, i vart fall på försök.)

Medan vi väntar på vad som kommer ut ur detta, så pekar fallet på en oroväckande trend. I allt större utsträckning använder sig myndigheter runt om i världen av privata företag och tjänster – vad gäller sådant som de själva inte kan eller får syssla med, eller som befinner sig i gråzonen.

Det behöver inte vara automatiserad ansiktsigenkänning. Det kan lika gärna handla om persondata, som samlas in och sedan säljs av nätjättarna, Big Data och data brokers.

Förr talades mycket om risken med samkörning av olika register. Detta är fortfarande en risk – som ökar i takt med att allt fler nya register och datakällor kan kopplas till systemen. Det gäller så väl data och tjänster från privata aktörer som EU:s allt mer långtgående krav på informationsdelning mellan medlemsstaternas olika register.

Detta är problematiskt på många sätt. Bland annat genom att myndigheterna får tillgång till en infrastruktur för kontroll och övervakning som varken kräver demokratiskt godkännande eller demokratisk kontroll.

Sveriges statstrojan

Datainspektionen säger nej till statstrojanen

av

Nu har Datainspektionen sagt sitt om den utredning om ”hemlig dataavläsning” som presenterades i november 2017.

Datainspektionen är bland annat kritisk till att den så kallade statstrojanen ska få användas för mindre brott, och menar att utredningen ”väsentligt underskattat integritetsriskerna”.

Så här vackert inleder myndigheten sitt yttrande, som publicerades i dag:

Användningen av det föreslagna tvångsmedlet hemlig dataavläsning kan komma att innebära ett i den personliga integriteten synnerligen ingripande intrång. För att införa ett sådant tvångsmedel i ett demokratiskt samhälle måste det föreligga mycket starka skäl.

Mellan raderna säger alltså Datainspektionen att utredningens förslag är odemokratiskt. Och kritiken fortsätter i den andan:

Eftersom varje tvångsmedel och övervakning av enskilda personer innefattar ett integritetsintrång måste nödvändigheten av dessa metoder alltid vägas mot integritetsskyddsintresset. Vid dessa bedömningar måste hänsyn tas till kraven i regeringsformen, Europakonventionen och EU:s rättighetsstadga. Enskildas rätt till skydd för sitt privat- och familjeliv och sitt hem och sin korrespondens är en grundläggande rättighet i ett demokratiskt samhälle. Varje inskränkning i denna rätt måste bygga på ett angeläget samhälleligt behov av inskränkning och den måste stå i rimlig proportion till det syfte som ska tillgodoses genom ingreppet. Vidare måste undantagen vara utformade med sådan precision att inskränkningen av rättigheten är förutsägbar i rimlig utsträckning.

Datainspektionen går så långt som att använda ordet ”totalövervakning”:

Det skulle, vid ett införande i enlighet med utredningens förslag, kunna vara möjligt för den brottsbekämpande myndigheten som använder metoden att närmast fullständigt kunna kartlägga och övervaka den person som utsätts för åtgärden. En sådan totalövervakning av en person innebär naturligtvis synnerligen stora risker för den personliga integriteten för den som utsätts för åtgärden, och ibland även för andra.

Mot den bakgrunden anser myndigheten inte att en statstrojan är ett proportionerligt tvångsmedel:

Nödvändigheten av den föreslagna utformningen och användningen av tvångsmedlet måste anses väsentligt understiga integritetsskyddsintresset. Mot denna bakgrund avstyrker Datainspektionen förslaget.

Det sammantagna intrycket är att Datainspektionen står upp för det demokratiska samhället och sätter ner foten när regeringen avser bryta mot Sveriges grundlag, Europakonventionen och EU:s rättighetsstadga – ja, mot själva idén om den västerländska demokratin så som den var tänkt att fungera.

Även Säkerhets- och integritetsskyddsnämnden säger nej

Även den statliga myndigheten Säkerhets- och integritetsskyddsnämnden underkänner utredningens förslag. Deras yttrande är längre och mer byråkratiskt formulerat. Ett utdrag:

Den föreslagna tillämpningen av hemlig dataavläsning vid hemlig kameraövervakning och hemlig rumsavlyssning kommer däremot att innebära en väsentlig utökning av myndigheternas möjlighet att i hemlighet kartlägga enskildas liv. Dessa tvångsmedel tillhör de mest integritetskränkande och bör som utgångspunkt användas restriktivt. I denna del har utredningen enligt nämnden dels inte förmått påvisa ett tydligt behov av det nya tvångsmedlet, dels inte analyserat de tekniska problemen och gränsen mellan domstolens och den verkställande myndighetens roller tillräckligt. Enligt förslaget ska hemlig dataavläsning kunna verkställas t.ex. i en mobiltelefon genom att kamera- och mikrofonfunktionerna aktiveras. För att säkerställa verkställighet enbart på den plats som anges i tillståndet är det nödvändigt att den brottsbekämpande myndigheten känner till exakt var telefonen finns under hela verkställighetstiden. Likaså får verkställigheten inte komma i konflikt med bestämmelserna om avlyssningsförbud. Utredningen har inte redovisat någon närmare analys av hur detta ska gå till.

Nämnden ser dessutom ”särskilda svårigheter när det gäller tillämpningen av proportionalitetsprincipen vid hemlig dataavläsning”, vilket även är Datainspektionens huvudargument.

Nu återstår att se om regeringen tar till sig kritiken. Nästa steg i lagstiftningskedjan är en lagrådsremiss som innehåller samtliga remissyttranden och som Lagrådet ska ta ställning till. Lagen föreslås träda i kraft den 1 januari 2019.

Bild: Remix av ett foto av Richard Fisher (CC BY 2.0).

Amelia Andersdotter granskar Bahnhofläckan

av

Före detta EU-parlamentarikern för Piratpartiet Amelia Andersdotter har i dag publicerat två inlägg på Dataskydd.net.

Bahnhofläckan

Det första handlar om Bahnhofläckan och regeringens utredning Datalagring och EU-rätten, som vi rapporterat om tidigare.

Andersdotter har läst de läckta dokumenten och konstaterar att två av dem handlar om ”påverkansförsök från Polismyndigheten och Säkerhetspolisen riktade mot utredningen”:

Precis som många tidigare skrifter till stöd för datalagring är de närmast kliniskt befriade från konkreta exempel på att datalagring är ett outbytbart och ovärderligt verktyg för brottsbekämpning. Det är synd, eftersom EU-domstolens domslut ska ses mot ljuset av en mycket låg evidensnivå för att datalagring varit effektivare och användbarare än andra metoder vid brottsbekämpning.

Ett av de läckta dokumenten avslöjar att utredaren ”inte velat ta i de svåraste konsekvenserna av EU-domstolens domslut från förra året”.

EU-domstolen kom som bekant fram till att generell datalagring strider mot de mänskliga rättigheterna. Utredningens syfte är därför att ge regeringen underlag för hur Sverige ska förhålla sig till domen.

Andersdotter sammanfattar:

Naturligtvis ligger det politiska ansvaret för att svenska staten inte förmår skydda de egna medborgarnas rättigheter ytterst på regeringen. Men deras arbete görs så mycket svårare av att statliga utredare inte ger regeringen ett gott stöd i uppdraget.

Utredningen ska presenteras den 9 oktober 2017.

Dataskyddsutredningen

Det andra inlägget gäller regeringens utredning Ny dataskyddslag, som handlar om hur Sverige ska implementera EUs dataskyddsförordning.

Andersdotter har tittat närmare på några av remissvaren, och konstaterar att den livliga diskussionen på EU-nivå inte följt med till nationell nivå. I stället har vi fått påtryckningar från näringslivet:

Företagsrepresentanter som Bankföreningen och Svenskt näringsliv anser att konsumenter har en lägre rätt till insyn, eller i vilket fall inte bör få en högre rätt till insyn, än vad som är fallet idag. Oroväckande nog har de vunnit gehör för denna ståndpunkt hos Datainspektionen.

Andersdotter tar också upp problemet med att en myndighet som Datainspektionen, som är en av remissinstanserna, inte deltar i sammanhang som de inte får betalt för. Detta gör att de är mer mottagliga för uppvaktning från näringslivet, medan mer ideell input riskerar att gå dem förbi:

Datainspektionen åker inte på möten som de inte får betalt för att delta på, och är därmed otillgängliga för många konferenser och sammanslutningar av grupper av medborgare som har stor kännedom och kunskap om dataskydd men färre ekonomiska resurser att ordna konferenser med betalda talare.

EUs dataskyddsförordning ska börja tillämpas i Sverige den 25 maj 2018.