Femte juli Nätet till folket!

Nätet till folket!

EU-domstolen

EU-domstolen: Sökmotorer behöver inte radera information som är korrekt

av Lämna en kommentar

EU-domstolen har idag kommit fram till att sökmotorer bara behöver radera information om juridiska personer, om den klagande kan visa att denna information är felaktig.

”Rätten att bli glömd” är ett begrepp inom EU-lingo som handlar om rätten att få sina uppgifter raderade av sökmotorer och andra som indexerar nätet. Vilket bland annat är till för att skydda enskildas privatliv. Men den är inte självklar.

Ur EU-domstolens pressmeddelande:

»Rätt till radering (rätten att bli bortglömd): en sökmotorleverantör måste ta bort uppgifter som förekommer i indexerat innehåll om den som framställt begäran om borttagande kan bevisa att uppgifterna är uppenbart felaktiga.«

Två företagsledare i ett tyskt investmentbolag ogillade att Google visar länkar till siter som beskriver deras investmentmodell som ofördelaktig. Därför vill de att dessa sökresultat skall tas bort, vilket Google vägrar. Det är detta som nu prövas.

Google vägrade att efterkomma denna begäran, med motiveringen att dessa artiklar och fotografier ingick i ett yrkesmässigt sammanhang, och hävdade att man inte hade kännedom om huruvida uppgifterna i artiklarna var felaktiga eller ej.

Domstolen utvecklar sitt resonemang:

I dagens dom erinrar domstolen om att rätten till skydd av personuppgifter inte är en absolut rättighet, utan måste förstås utifrån sin funktion i samhället och vägas mot andra grundläggande rättigheter i enlighet med proportionalitetsprincipen. Således föreskrivs uttryckligen i dataskyddsförordningen att det inte föreligger någon rätt till radering när behandlingen av uppgifterna är nödvändig, bland annat för utövandet av informationsfriheten.

I allmänhet väger den berörda personens rätt till skydd för sitt privatliv och sina personuppgifter tyngre än det berättigade intresset hos de internetanvändare som eventuellt önskar få tillgång till den aktuella informationen. Denna avvägning kan emellertid vara beroende av de relevanta omständigheterna i det enskilda fallet, bland annat vad gäller typen av information och dess känslighet för den registrerades privatliv samt allmänhetens intresse av informationen, vilket kan variera bland annat beroende på den roll som denna person spelar i det offentliga livet.

Yttrande- och informationsfriheten ska dock inte tas i beaktande om åtminstone mer än en obetydlig del av de uppgifter som förekommer i det indexerade innehållet visar sig vara felaktiga.

Enkelt uttryckt gäller ”rätten att bli glömd” privatpersoner i sin privata kapacitet – men inte om det finns ett allmänintresse, till exempel om personen ifråga till exempel är beslutsfattare eller företagare. Uppenbart felaktig information kan dock raderas.

Regeln kan inte användas om till exempel ett företag, en organisation eller en politiker vill dölja dålig publicitet. Dock kan även de kräva att information som är felaktig raderas.

• EU-domstolens pressmeddelande »

EU-stater registrerar användares IP-adresser

av 2 kommentarer

EU:s medlemsstater tycks samla på sig kataloger över enskilda nätanvändares IP-adresser. Vilket EU-domstolen accepterar, trots att den säger nej till generell datalagring.

Gårdagens goda nyhet var att EU-domstolen åter säger tydligt nej till urskiljningslös datalagring. Men djävulen finns i detaljerna.

Bortom huvudnyheten, i det finstilta, läser vi följande i EU-domstolens dom:

»Unionsrätten utgör däremot inte hinder för en nationell lagstiftning (…) som, för att skydda nationell säkerhet, bekämpa brottslighet och skydda allmän säkerhet, föreskriver en generell och odifferentierad lagring av uppgifter om identiteten beträffande användare av elektroniska kommunikationsmedel…«

Ledamoten av Europaparlamentet Patrick Breyer (PP, DE) kommenterar:

»Unfortunately, the greatest consensus among governments currently seems to exist on mandating indiscriminate IP data retention throughout Europe, which the judges in Luxembourg green-lighted under massive pressure.

Under no circumstances should all internet users be placed under general suspicion and online anonymity be abolished!

IP addresses are our digital fingerprints on the internet. Bulk collection would endanger crime prevention in the form of anonymous counselling and pastoral care, victim support through anonymous self-help forums and also the free press, which depends on anonymous informants.

Incidentally, there is no evidence that IP data retention significantly increases the crime clearance rate. In the absence of data retention Germany today has a higher cybercrime clearance rate than with IP data retention in place.«

Det tycks alltså som om vissa av EU:s medlemsstater samlar IP-adresser för något slags egen katalog. Detta sker även i Sverige.

Här pågår en dragkamp i frågan mellan den svenska Post- och Telestyrelsen (PTS) och Bahnhof. Ur vår tidigare rapportering:

»PTS skriver i sitt pressmeddelande ”Vid misstanke om internetrelaterade brott måste Polismyndigheten kunna begära ut uppgifter om abonnemang från den bredbandsoperatör som tillhandahåller aktuell IP-adress för att kunna identifiera en person. Bahnhof har vid flera tillfällen vägrat lämna ut uppgifter när information om portnummer saknats i Polismyndighetens begäran.”

Nyckelformuleringen här är ”när information om portnummer saknas”. Det innebär att inte bara uppgifter om den misstänkte utan även en stor mängd andra kunder som använt samma IP-adress skulle komma att lämnas ut. Vilket Bahnhof inte vill gå med på.«

PTS hotar Bahnhof med vite om man inte lämnar ut dessa användaruppgifter. Vilket överklagats till Förvaltningsrätten.

Vi träffade nyligen Bahnhofs VD Jon Karlung, som kunde berätta att om PTS får som de vill – då kan det handla om att lämna ut identiteten på hundratals användare som inte är misstänkta för något brottsligt.

Skälet är att det börjar bli slut på IPv4-adresser och att många kunder därför måste dela på samma IP-adress (NATade adresser) i väntan på IPv6.

Det blir allt tydligare att myndigheterna vill ha en egen katalog över enskilda individers IP-adresser, vilket bland annat tyder på att de inte riktigt förstår hur internet fungerar.

Vi återkommer inom kort med en podcast / intervju med Jon Karlung.

EU-domstolen säger än en gång nej till datalagring

av 1 kommentar

I det senaste av en lång rad beslut om datalagring säger EU-domstolen åter nej till generell lagring av kommunikationsdata utan misstanke om brott.

I ett förhandsutlåtande för den tyska författningsdomstolen säger EU-domstolen än en gång nej till generell, svepande lagring av data om alla människors alla telekommunikationer m.m.

Till skillnad från andra länder som fått en åthutning av domstolen har den tyska regeringen dock redan beslutat att sluta med allmän datalagring.

Ur domstolens beslut (PDF):

»EU-domstolen bekräftar att en generell och odifferentierad lagring av trafik- och lokaliseringsuppgifter strider mot unionsrätten, förutom om det föreligger ett allvarligt hot mot nationell säkerhet.«

Vill man data lagra måste det finnas en inriktning mot till exempel personer som är misstänkta för brott.

Samma beslut skulle kunna fattas om den svenska datalagringen, där den nya lagen inte heller lever upp till de krav domstolen ställer upp.

EU-kommissionen och medlemsstaterna funderar just nu på om det går att besluta om ett nytt datalagringsdirektiv, som kringgår domstolens beslut. (EU-domstolen upphävde 2014 datalagringsdirektivet, då det strider mot de mänskliga rättigheterna och vad dessa har att säga om rätten till privatliv och privat korrespondens.)

• EU-domstolens pressmeddelande (PDF) »

(Domen verkar dock tillåta lagring av IP-adresser, vilket vi återkommer till inom kort.)

EU-domstolen: Sluta med urskiljningslös lagring av data om våra resor inom EU

av Lämna en kommentar

EU-domstolen kräver misstanke om brott och säger nej till urskiljningslös lagring och analys av data om våra flygresor inom EU.

EU:s PNR-direktiv (Passenger Name Record) föreskriver att persondata skall samlas in och behandlas vad gäller flygresor till och från EU. Syftet är att bekämpa terrorism och grov brottslighet.

Direktivet gör det även möjligt (men inte obligatoriskt) för medlemsstater att samla in PNR-data för resor inom EU. Det är detta som nu prövats.

Ur EU-domstolens pressmeddelande (PDF):

»The Ligue des droits humains (LDH) is a not-for-profit association which filed an action for annulment with the Cour constitutionnelle (Constitutional Court, Belgium) in July 2017 against the Law of 25 December 2016 which transposed into domestic law the PNR Directive, the API Directive and also Directive 2010/65. According to LDH, that law infringes the right to respect for private life and the right to the protection of personal data guaranteed under Belgian and EU law. It criticises, first, the very broad nature of the PNR data and, secondly, the general nature of the collection, transfer and processing of those data. In its view, the law also infringes the free movement of persons in that it indirectly re-establishes border controls by extending the PNR system to intra-EU flights, as well as to transport by other means within the European Union.«

Och idag meddelar EU-domstolen sin dom. PNR-direktivet som sådant får grönt ljus, men enkelt uttryckt med följande begränsningar för resor inom EU:

  • Det måste finnas en misstanke om brott och/eller en eller flera misstänkta.
  • PNR-direktivet får endast användas för att bekämpa terrorism och allvarlig brottslighet.
  • PNR-registrering vad gäller resor inom EU skall begränsas till vad som är strikt nödvändigt.
  • Endast vid konkreta hot får PNR-data för alla flyg samlas in och analyseras.
  • Om det inte föreligger ett överhängande terrorhot får PNR endast användas för vissa resemönster eller flyglinjer där det finns indikationer på allvarlig brottslighet.
  • PNR-data får endast samköras mot register över personer som är misstänkta, efterlysta eller under utredning.
  • För att undvika falska flaggningar måste alla positiva träffar verifieras manuellt.
  • PNR-data får lagras högst sex månader, om ingen ny relevant information tillkommer.

EU-domstolen lutar sig alltså mot samma princip som vad gäller datalagringen: Det är inte tillåtet med svepande, urskiljningslös insamling av data utan misstanke om brott.

Läs mer i EU-domstolens pressmeddelande:
• The Court considers that respect for fundamental rights requires that the powers provided for by the PNR Directive be limited to what is strictly necessary (PDF) »

Den ständiga striden om datalagring

av 4 kommentarer

Under ett par årtionden har datalagring varit en het stridsfråga i EU. Ständigt presenterar medlemsstaterna ny lagstiftning på området – som gång på gång slås ner av EU-domstolen och/eller av nationella författningsdomstolar.

2014 upphävde EU-domstolen EU:s datalagringsdirektiv. Den menat att urskiljningslös lagring av data om alla medborgares alla telekommunikationer strider mot de mänskliga rättigheterna och vad dessa har att säga om rätten till privat korrespondens.

Det hindrar dock inte medlemsstaterna från att vilja datalagra ändå. Till exempel försöker Belgien komma runt EU-domstolens beslut genom att lagstifta om datalagring som inriktas på vissa platser och individer. Men i praktiken innebär även detta förslag att alla människor som rör sig ute i samhället kommer att drabbas.

När Frankrike försökte gå fram med ny lagstiftning sa landets konstitutionella råd nej – med hänvisning till den franska Deklarationen om om mänskliga och medborgerliga rättigheter från 1789.

Danmark, Irland, Portugal och Tjeckien är andra exempel på länder som obstruerar mot EU-domstolens beslut.

Även Sverige har stiftat en lag om datalagring som försöker kringgå EU-domstolens beslut, men som av allt att döma ändå strider mot det.

Undantaget är Tyskland, där landets nya koalitionsregering säger att man tänker sluta med datalagring.

Nyligen hölls ett panelsamtal om frågan med experter och aktivister från olika EU-länder. Bland annat påpekades att EU-kommissionen måste sluta stå på ministerrådets sida i frågan. Istället måste kommissionen leva upp till sin roll som fördragens väktare (i vilka de mänskliga rättigheterna ingår) och stå upp för EU-domstolens beslut.

Ledamoten av Europaparlamentet Patrick Breyer (PP, DE) säger:

»The bulk collection of information on non-suspects everyday communications and movements constitutes an unprecedented attack on our right to privacy and is the most invasive method of mass surveillance directed against the state’s own citizens. (…) The anecdotal results are nowhere close to the damage this surveillance weapon inflicts on our societies, as a recent survey found. The persistent violation of fundamental rights, circumvention of case-law, pressuring of judges and ignorance of facts is an attack on the rule of law we need to stop!«

• Läs mer och se en video från panelsamtalet »

EU-domstolen ger grönt ljus till uppladdningsfilter

av Lämna en kommentar

Som väntat meddelade EU-domstolen idag att uppladdningsfilter i EU:s upphovsrättsdirektiv är tillåtna – om man respekterar de åtgärder mot överfiltrering som finns i direktivet.

Uppladdningsfilter var en av de stora stridsfrågorna i EU:s upphovsrättsdirektiv. Det blev verklighet efter att ett antal ledamöter (varav flera svenska) enligt egen uppgift röstade fel i Europaparlamentet.

Polen utmanade dock denna del av direktivet (artikel 17, tidigare 13) och tog frågan till EU-domstolen. Idag kom domen, som i stort sett följer generaladvokatens rekommendation.

Ur domstolens pressmeddelande (PDF):

The obligation, on online content-sharing service providers, to review, prior to its dissemination to the public, the content that users wish to upload to their platforms, is accompanied by the necessary safeguards to ensure that that obligation is compatible with freedom of expression and information.

The Court of Justice dismisses the action brought by Poland against Article 17 of the directive on copyright and related rights in the Digital Single Market.

Uppdatering: Ledamoten av Europaparlamentet Patrick Breyer (PP, DE) har funnit i vart fall några positiva saker i domen. Till exempel kan den leda till starkare skydd för laglig användning av upphovsrättsskyddat innehåll (”fair use”). Han menar också att dagens uppladdningsfilter inte klarar av att möta de krav som ställs upp i domen. Läs mer: Partial success against Internet censorship: Top EU Court severely restricts upload filters »

EU-domstolen upprepar: Det är förbjudet att använda allmän datalagring

av 4 kommentarer

EU-domstolen har idag – återigen – slagit fast att medlemsstater inte kan använda sig av olaglig datalagring i rättsfall.

Med anledning av ett uppmärksammat rättsfall på Irland upprepar EU-domstolen att medlemsstater inte får använda den datalagring som redan ogiltigförklarats av densamma i sina nationella domstolar.

2014 upphävde domstolen EU:s datalagringsdirektiv. Den slog fast att allmän, urskiljningslös lagring av data om medborgarnas tele- och datakommunikationer inte får förekomma utan konkret misstanke om brott. Sådan lagring strider mot de mänskliga rättigheterna och vad dessa har att säga om rätten till privatliv och privat korrespondens.

Om datalagring alls skall förekomma måste den begränsas i omfattning och tid samt avse ett specifikt hot eller brott.

Vilket många medlemsstater i stort sett har struntat i. Domstolen skriver i ett pressmeddelande:

»The Court confirms that EU law precludes the general and indiscriminate retention of traffic and location data relating to electronic communications for the purposes of combating serious crime.

The national court may not impose a temporal limitation on the effects of a declaration of invalidity of a national law that provides for such retention.«

Dagens dom kan bli vägledande för domstolar i hela EU.

Länkar:
• EU-domstolens pressmeddelande (PDF) »
• Reuters: Top EU court says phone data cannot be held ’indiscriminately’ »

Dags att ta svensk datalagring till EU-domstolen – igen?

av 7 kommentarer

PTS hotar internetoperatören Bahnhof med miljonvite – för att inte följa den svenska lagen om datalagring, vilken i sin tur strider mot EU-domstolens upprepade domar om datalagringen.

Post och telestyrelsen (PTS) hotar internetoperatören Bahnhof med fem miljoner kronor i vite för att inte följa den svenska lagstiftningen om datalagring.

Detta trots att EU-domstolen upphävt EU:s datalagringsdirektiv och flera gånger återkommit med domar som säger att medlemsstaterna inte får ägna sig åt svepande lagring av data om allas alla tele- och datakommunikationer utan misstanke om brott.

Just nu väntar vi på ännu en dom där domstolen med all sannolikhet kommer att upprepa sitt tidigare nej till datalagringen. Generaladvokaten skriver:

»Advocate General Manuel Campos Sánchez Bordona considers that the answers to all the questions referred are already in the Court’s case-law or can be inferred from them without difficulty.«

Nu är frågan om det aktuella fallet kan komma att leda till ännu en prövning av den svenska datalagringen i EU-domstolen. I så fall tyder allt på att domstolen kommer att döma till Bahnhofs fördel.

PTS skriver i sitt pressmeddelande:

»Vid misstanke om internetrelaterade brott måste Polismyndigheten kunna begära ut uppgifter om abonnemang från den bredbandsoperatör som tillhandahåller aktuell IP-adress för att kunna identifiera en person. Bahnhof har vid flera tillfällen vägrat lämna ut uppgifter när information om portnummer saknats i Polismyndighetens begäran.«

Nyckelformuleringen här är ”när information om portnummer saknas”. Det innebär att inte bara uppgifter om den misstänkte utan även en stor mängd andra kunder som använt samma IP-adress skulle komma att lämnas ut. Vilket Bahnhof inte vill gå med på.

Och Bahnhofs ståndpunkt stöds alltså av ett flertal domar i EU-domstolen.

Detta kan bli intressant. Fortsättning följer.

Sverige vill ha nytt datalagringsdirektiv – utan begränsningar

av Lämna en kommentar

EU försöker komma runt EU-domstolens förbud mot svepande datalagring. Sveriges position är att man vill fortsätta som vanligt.

I somras frågade EU-kommissionen medlemsstaterna hur de vill hantera frågan om datalagring i framtiden. Detta då EU-domstolen gång på gång tillrättavisat de länder som envisas med att fortsätta den olagliga lagringen av data om allas alla tele- och datakommunikationer utan brottsmisstanke.

Några medlemsstater har gått med på att tillgängliggöra sina svar, däribland Sverige. Statewatch rapporterar:

»Sweden underlines that national security should remain a national competence. They believe targeted retention may not be effective or technically possible, and could be discriminatory. They do not put forward a position on quick freeze, however they do stress the need for retention of IP data, and subscriber data.«

Av de sex länder som offentliggjort sina svar vill Sverige, Nederländerna, Luxemburg, Ungern och Tyskland se ett nytt datalagringsdirektiv. Vad gäller Tyskland kommer dock signaler om att den nya regeringen tänker säga nej till svepande datalagring. Övriga länder som svarat vill inte se sina svar allmänt tillgängliga.

Man kan även notera att Belgien lagt fram ett nytt förslag om datalagring. De har valt en viss begränsning. (Flygplatser, järnvägsstationer, tunnelbanestationer, gränser, sjukhus, motorvägar, forskningscenter, domstolar, polisstationer och kritisk infrastruktur. Plus platser med hög kriminalitet och individer som misstänks för brott.) Vilket i praktiken ändå kommer att leda till datalagring som drabbar helt oskyldiga, hederliga människor.

Så sent som den 18 november kom EU-domstolens generaladvokat med sin rekommendation till ytterligare en dom om datalagringen. Det kan sammanfattas: Vad är det som är så svårt att fatta? Sluta datalagra!