Femte juli

Nätet till folket!

GDPR

2025 – Nätpolitik och övervakning året som gick

av

2025 var ett intensivt år för internet- och övervakningsfrågorna. Här är vår sammanställning över några av de viktigaste händelserna, i ungefärlig kronologisk ordning.

2025 års första stora snackis blev den amerikanske vicepresidenten JD Vances kritik mot den bristande yttrandefriheten i EU. I stora delar är kritiken relevant. Men den framfördes på ett sätt som fick politiker på såväl EU- som nationell nivå att gå i försvarsställning. Sedan dess har frågan eskalerat och nu även blivit en del av förhandlingarna om handelstullar.

I början av året meddelade även Meta att man skall sluta med externa faktagranskare i USA. Istället vill man gå över till »community notes« där användarna står för faktakollen, som på X.

Under året som gick sände regeringen även ut en skiss till en lagrådsremiss om datalagring på allmän remiss. Förslaget är att även meddelandetjänster skall tvingas lagra data som sina användares kommunikationer – samt att innehåll i dessa meddelanden skall kunna överlämnas till myndigheterna i läsbar (icke-krypterad) form.

Tunga remissinstanser, inklusive Försvarsmakten sågade förslaget och meddelande-appen Signal hotade att lämna den svenska marknaden. Kritiken tycks ha fått fäste, då det verkar som att det inte blir något skarpt förslag från regeringen innan valet.

Under våren började EU-kommissionen rulla tillbaka delar av dataskyddsförordningen GDPR och EU:s nya AI Act. Skälet är att man kom fram till att man reglerat för mycket och för hårt. Här finns möjligen också en insikt om att företag i den digitala ekonomin väljer andra delar av världen att etablera sig i, där regleringen är mindre omfattande.

Inom ramen för projektet »Protect EU« krattar EU-kommissionen manegen för ny datalagring. Målet är att kringgå EU-domstolens förbud mot svepande, generell övervakning utan brottsmisstanke. EU:s ministerråd vill datalagra allt, till och med dina Fodora-beställningar.

Under året har riksdagen givit regeringen rätt att ge sig själv makt att utfärda förordningar vid allvarliga fredstida kriser. Vilket kringgår hela principen om maktdelning.

I Storbritannien har den nya Online Safety Act lett till åldersgränser och ID-krav på all slags web-platser i hela världen som kan tänkas innehålla något som är olämpligt för brittiska barn och unga.

Vilket lett till oförutsedda och oönskade konsekvenser, protester och ålderskontroller utförda av tredje part som samlar in och potentiellt kan missbruka aktuell persondata.

VPN-användningen har skjutit i höjden sedan lagen infördes, vilket fått brittiska politiker att överväga VPN-förbud eller åldersgränser för VPN.

Även i EU diskuteras åldersgränser för sociala media. EU har redan tagit fram en app för ålderskontroll, i väntan på EU:s digitala plånbok. Europaparlamentet har uttalat sig för åldersgränser. Även EU:s ministerråd driver frågan. Det irländska EU-ordförandeskapet (andra halvåret 2026) har sagt sig vilja göra åldersgränser till en prioriterad fråga.

I Sverige är det främst Socialdemokraterna som kräver åldersgränser och ID-krav på sociala media. De vill även se särskilda »nätpoliser«. Samt ID-krav för spelplattformar med chattar – och fler statligt godkända nätcensorer (Trusted Flaggers).

Under hösten har det flammat upp en debatt i Storbritannien om ett statligt digital ID-kort. Motståndet är omfattande och högljutt.

I Sverige finns nu ett skarpt förslag om att svensk polis skall få använda kamerabevakning med AI-stödd automatisk ansiktsigenkänning i realtid. Vilket är att pressa undantagen från förbudet mot sådan övervakning i EU:s AI Act till sitt yttersta.

Slutligen – en viktig delseger: Chat Control 2 har i allt väsentligt fallit. EU:s ministerråd säger nu nej till obligatorisk skanning av innehållet i medborgarnas elektroniska meddelanden. Detta efter att Tyskland efter viss vånda landade i ett nej.

Istället fortsätter den frivilliga skanning i jakt på övergrepp mot minderåriga som bedrivs redan idag (Chat Control 1). Men även detta är problematisk massövervakning utan misstanke om brott.

Med detta skrotas även ministerrådets förslag på client-side-scanning – det vill säga spionprogram på applikations- eller systemnivå i alla telefoner och datorer som granskar innehållet i alla meddelanden innan de krypteras och sänds.

Nu börjar trilogförhandlingar mellan ministerrådet, Europaparlamentet och EU-kommissionen. De är planerade till 26 februari, 4 maj och 29 juni. Däremellan kommer det att hållas en mängd tekniska möten. Här är en länk till själva förhandlingsdokumentet (PDF 491 sidor).

Man kan även notera att två av tre svenska regeringspartier (KD+L) nu har stämmobeslut på att säga nej till Chat Control 2. Det tredje (M) drev ett nej i EU-valrörelsen. Trots detta har regeringen konsekvent sagt ja till Chat Control 2 i EU:s ministerråd.

Detta var ett axplock av vad som hänt under 2025. Vi återkommer inom kort med en bloggpost om vad som är på gång 2026.

Åldersgräns för sociala media rullas ut i EU

av

Stegvis rullar EU nu ut en ny app för att kontrollera åldern på användare av sociala media.

Trots oredan kring ålderskontroll för sociala media som uppstått i Storbritannien, är EU i färd med att rulla ut något liknande. För att skydda barn och unga mot olämpligt innehåll. Vilket leder till knepiga gränsdragningsproblem.

Den legala bakgrunden är dels EU:s dataskyddsförordning (GDPR), som ger medlemsstater rätt att sätta gränsen för barns samtycke till behandling av personuppgifter från 13 till 16 års ålder.

Dessutom säger EU:s Digital Services ACT (DSA) att plattformar skall vidta »lämpliga och proportionella åtgärder« för att säkerställa en hög skyddsnivå för minderåriga. DSA kräver även riskbedömningar och transparens kring »systemiska risker«, inklusive påverkan på minderårigas psykiska hälsa och rättigheter.

Flera medlemsstater sätter nu upp egna åldersgränser men i Europaparlamentet argumenterar vissa för en gemensam åldersgräns i hela EU.

Till skillnad från britterna vill EU inte använda olika tredjepartsleverantörer av system för ålderskontroll. Istället introduceras en EU-gemensam app som du identifierar dig i och som sedan sänder en klarsignal till respektive plattform om du har åldern inne.

Detta prövas redan på försök i Frankrike, Spanien, Italien, Danmark och Grekland. Den app för åldersverifiering som används är tänkt att så småningom gå upp i EU:s nya allmänna digitala plånbok.

EU är alltså på väg mot ålderskontroll för sociala media. Vilket innebär att man måste kontrollera åldern på alla användare. Även om verktyget för detta innebär att du bara behöver identifiera dig en gång, på ett ställe – så kan nämnda verktyg fortfarande hackas, läcka, missbrukas och användas för att hålla koll på folk i en bredare mening.

Samtidigt har kommissionen, inom ramen för DSA inlett en barnskyddsgranskning av stora plattformar som YouTube, Snapchat, Apple och Google. De skall redogöra för hur de hindrar minderåriga från att komma åt skadligt eller vuxet innehåll.

Det skall bli intressant att se hur man tänkt sig tvinga amerikanska plattformar att införa EU:s åldersverifiering. Brittiska tillsynsmyndigheten har redan inlett ett förfarande mot 4chan, som inte bryr sig om UK Online Safety Acts krav på ålderskontroll. Vilket lett till att 4chan svarat att britterna inte har jurisdiktion över en amerikansk site. Det kan bli spännande att följa. Speciellt om EU (eller någon medlemsstat) ställer samma krav och får samma svar.

• EU-kommissionen: Commission releases enhanced second version of the age-verification blueprint »
• EU updates age verification blueprint app amid debate on social media restrictions »
• EU Launches New Push For Digital ID Age Checks and Big Tech Probe Under Digital Services Act »
• EU inför ID-krav på nätplattformar (maj 2025) »

CC0

Ålderskontroll online – UK vs. EU

av

Hur kommer det sig att det blivit bråk om ålderskontroller online i Storbritannien men inte i EU – trots att även vi har åldersgränser? Och vad är på gång i EU?

Britternas Online Safety Act har väckt stor uppståndelse och protester. Bland annat är det åldersgränser för innehåll som är olämpligt för barn, med åldersverifiering som stött på patrull.

EU har också åldersgränser för »informationssamhällets tjänster« (t.ex. sociala medier) sedan flera år tillbaka, i dataskyddsförordningen GDPR. Gränsen är 16 år, men medlemsstater kan sätta en lägre ålder ner till 13 år (som i Sverige). Hur kommer det sig då att det inte blir samma reaktion här som i Storbritannien?

Skillnaden är att i EU har man en »mjuk« åldersgräns. Det vill säga att användare får ange sin ålder vid registrering. Britternas nya regler kräver dock »hård« ålderskontroll – till exempel med foto-ID, biometrisk eller AI-analys (baserad på historik). Ofta utförd av tredjeparts-leverantörer som inte nödvändigtvis behandlar persondata med den försiktighet som krävs.

Men i EU är det inte bara GDPR som föreskriver åldersgränser, även om det bara är i den som man anger en konkret ålder. EU:s Digital Services Act föreskriver att plattformar måste identifiera och hantera risker för barns säkerhet, hälsa och utveckling. Tekniskt är EU:s pågående arbete med en egen »mini-wallet« för ålderskontroll och den kommande EU Digital Identity Wallet (EUDI) tänkt att stödja detta.

Även EU:s Audiovisuella medietjänstdirektiv kräver att medlemsstaterna inför skyddsmekanismer för minderåriga mot innehåll som kan skada deras fysiska, mentala eller moraliska utveckling. Och EU:s AI Act föreskriver särskilt skydd för barn i samband med användning av algoritmer, men inga fasta åldersgränser.

Läget i EU är alltså att man redan nu rullar ut en egen »mini-plånbok«, som de medlemsstater som vill kan använda för åldersverifikation. (Testas i Danmark, Grekland, Spanien, Frankrike och Italien.) Den kommer sedan att ersättas med en digital plånbok för alla. I vilken mån den senare kommer att leda till ett allmänt ID-krav för alla på sociala media och online-tjänster är en fråga som ligger i framtiden. Men givet tonläget är det troligt att så blir fallet.

Relaterat:
• Rörigt när EU inför åldersgräns för sociala media »
• Åldersgräns för sociala media är en usel idé »
• Ålderskontroll online – hur tänker EU då? »

CC0

Ryktet om GDPR:s död är överdrivet

av

EU-kommissionen förenklar GDPR för att minska byråkratin. Men i praktiken är det rätt lite som ändras.

EU:s dataskyddsförordning – GDPR – håller på att omarbetas som ett led i EU-kommissionens regelförenklingar för företag.

Här står olika värden mot varandra. Å ena sidan den enskildes makt över sina persondata. Å andra sidan har näringslivet klagat på att GDPR orsakar en omfattande och kostsam byråkrati.

Vad är det då som ändras?

  • Tröskeln för krav på att dokumentera databehandling av personuppgifter (registerkravet) höjs från företag (och andra) med minst 250 anställda till 750.
  • Det nuvarande undantaget från dokumentationsplikt vid tillfällig databehandling tas bort.
  • Istället skall endast databehandling som bedöms medföra hög risk för de registrerades rättigheter och friheter omfattas av registerkravet.
  • Behandling av personuppgifter som sker med stöd i lag undantas från registerkravet.

I praktiken innebär detta att endast en liten del av EU:s företag (<0,05%) kommer att omfattas av registerkravet.

Sådana register skall bland annat innehålla uppgifter om den personuppgiftsansvarige, ändamålet med behandlingen, kategorier av registrerade och mottagare.

Man kan dock fråga sig om den risk som föreligger främst har med företagens stolek att göra. Men det gällde även tidigare, med 250-gränsen (c:a 0,2% av EU:s företag).

Dock gäller fortfarande följande för alla (även småföretag, föreningar med flera):

  • Personuppgiftsbehandling måste ha rättslig grund (till exempel samtycke, avtal eller rättsliga krav), vara korrekt och transparent.
  • Ändamålet måste vara begränsat.
  • Man får inte samla in eller lagra mer uppgifter än nödvändigt.
  • Man måste respektera den enskildes integritet, uppgifterna skall vara konfidentiella och skyddade (till exempel krypterade).
  • Alla registrerade skall ha rätt till information om den databehandling som sker och kunna få tillgång till sina uppgifter.
  • Registrerade skall även kunna begära rättelse eller radering av insamlad data.
  • Allvarliga personuppgifts-incidenter skall anmälas till dataskyddsmyndigheten (i Sverige IMY) inom 72 timmar.

Sammantaget gäller alltså de flesta regler fortfarande. Det som ändras är att dokumentationsskyldigheten minskar – både i omfattning och i hur många företag (c:a -0,15%) den gäller.

I vilken mån detta kommer att bidra till kommissionens mål att minska regelbördan för europeiska företag med 25% kan diskuteras.

Nu går frågan över till EU:s ministerråd och Europaparlamentet. Speciellt parlamentet lär ha invändningar.

• IMY: EU-kommissionen vill införa nya lättnader i GDPR för små och medelstora företag »

CC0

EU ångrar GDPR och sin nya AI Act

av

EU-kommissionen ångrar nu delar av GDPR och sin nya AI-lagstiftning: Satsar 20 miljarder euro på att kompensera med AI Gigafactories och nya datacenter.

När jag arbetade i Europaparlamentet brukade vi säga att först beslutar EU, sedan debatterar man saken och därefter tar man reda på fakta. It’s funny because it’s true.

Man kan också notera att dåliga EU-förslag nästan aldrig går i papperskorgen. Istället kompromissar man tills man kommer fram till något otympligt som alla kan bli missnöjda med. Mycket talar för att Chat Control 2 kommer att bli ett exempel på detta.

Med de bästa och vackraste ambitioner ger man sig in i projekt, skriver omfattande och detaljerad lagstiftning och hinner som regel ställa till problem ute i verkligheten och näringslivet innan man inser att man kanske gått för långt. Då backar man. När skadan redan är skedd.

EU:s dataskyddsförordning, GDPR, är ett exempel. Grundprincipen att människor skall ha makten över sin egen persondata är vacker och bra på så många sätt. Men lagstiftningen har lett till tunga regelbördor och kostsam byråkrati (10-20 miljarder euro/år enligt Accenture), i delar till liten eller ingen nytta i sak. Och till en väldig massa cookie-banners.

Så nu backar EU-kommissionen. Politico rapporterar:

»The European Commission plans to present a proposal to cut back the General Data Protection Regulation, or GDPR for short, in the next couple of weeks. Slashing regulation is a key focus for Commission President Ursula von der Leyen, as part of an attempt to make businesses in Europe more competitive with rivals in the United States, China and elsewhere.«

Jag såg på nära håll när GDPR förhandlades fram och kunde redan då säga att man skapade ett byråkratiskt monster – som ständigt växte under processens gång. Utan att nödvändigtvis tillföra mer substans i kärnfrågan, persondataskyddet.

(En paradox i sammanhanget är att EU med ena handen försökt stärka persondataskyddet i kommersiella sammanhang – och med andra handen ständigt försöker försvaga medborgarnas konventionsskyddade rätt till privatliv och privat korrespondens gentemot staten.)

Ett annat exempel är EU:s nya AI Act, som i delar också är ett exempel på överreglering, detaljstyrning och byråkrati. Även där inser man nu att man skapat något som kommer att skada europeisk AI-industri, i den mån någon sådan existerar. Politico rapporterar:

»The EU executive will launch a new ”AI Continent” plan on Wednesday. According to an undated draft of the plan obtained by POLITICO, the executive wants to ”streamline” rules and get rid of ”obstacles” that it feels are slowing companies in Europe down in competing with the U.S. and China.«

Vilket är så dags nu när man redan etablerat ett omfattande regelverk – som företagen tvingats anpassa sig till. Eller som drivit nyetableringar till andra delar av världen.

Så nu överkompenserar man. EU-kommissionen vill inte bara förenkla de regler som man ägnat sju år av sammanträden åt ta ta fram. Enligt uppgifter i media lovar ordförande von der Leyen att satsa 20 miljarder euro av skattebetalarnas pengar på fem nya »AI Gigafactories« och att tredubbla kapaciteten i EU:s datacenter till år 2032. Om elen räcker och om man kan säkra tillgången till halvledare.

Om detta är vad som krävs för att stimulera europeiskt kreativt, innovativt entreprenörskap på AI-området är oklart. Vi vill inte vara onödigt EU-kritiska på denna blogg – men vi måste ändå ställa frågan om EU:s beslutsfattare begriper vad de sysslar med.

En inte allt för vågad gissning är att även delar av EU:s nya Digital Services Act kan komma att revideras. Detta då den utestänger nya aktörer (som inte har en rejäl kassakista, bra advokater och en kår av compliance officers) från att etablera sig och på allvar ta upp konkurrensen med Meta, Google, X och ByteDance på den europeiska marknaden för sociala media.

Länkar:
• Europe’s GDPR privacy law is headed for red tape bonfire within ‘weeks’ »
• Europe prepares AI charm offensive as industry trembles from tariff shocks »

CC0

EU:s digitala järnridå

av

EU:s digitala isolationism hotar vår utveckling, vårt välstånd och vår yttrandefrihet.

Ett slags digital järnridå – byggd av byråkrati – håller på att sänka sig runt EU.

Till exempel finns AI-tjänster som är blockerade i EU, på grund av EU:s nya AI Act. Om Chat Control 2 blir verklighet kommer meddelandetjänster som Signal att lämna EU. Och EU:s Digital Services Act (DSA) skapar en massiv byråkrati som driver IT-entreprenörer till andra delar av världen. För att inte nämna konsekvenserna av dataskyddsförordningen GDPR.

EU har en AI Act, men inga egna AI-företag i frontlinjen.

EU reglerar sociala media, men har inga egna stora sociala medieplattformar.

EU har ett mycket långtgående persondataskydd – samtidigt som politiken rullar ut en allt mer allomfattande massövervakning av folket.

Det är ingen naturlag att det skall vara så här. Allt är konsekvenser av medvetet fattade politiska beslut.

Samtidigt byggs en konflikt upp om censur och innehållsgranskning mellan de stora sociala medieplattformarna och EU. Resultatet kan bli att dessa måste skapa någon form av »walled gardens« för användare i EU, där informationen begränsas. Eller ytterst att vissa av företagen lämnar EU och blockerar oss användare här. (Youtube har flera gånger flaggat för att det kan ske.)

Om nu inte EU försöker stoppa dem först… Vilket landar i den debatt om yttrandefrihet och DSA vi nu ser.

På samma sätt har EU:s dataskyddsförordning (GDPR) fått många utländska medier och siter att hellre blockera användare i EU än underkasta sig förordningens massiva, byråkratiska krav. (Det är tur att det finns VPN.)

En beräkning uppskattar den totala kostnaden för GDPR i EU till drygt 200 miljarder euro. Och ytterligare 100 miljarder euro för företag utanför EU.

Kostnaderna för DSA är ännu i stort sett okända.

Center for Data Innovation uppskattar att EU:s AI Act kommer att kosta den europeiska ekonomin 31 miljarder euro under de närmaste fem åren och förväntas minska AI-investeringarna med nästan 20 procent.

EU har blivit en del av världen där det är onödigt krångligt och dyrt att driva IT-företag.

Dessutom håller vi på att skärma av oss från ett fritt och öppet flöde av in formation från övriga världen. (Det är lite som när man diskuterade att förbjuda parabolantenner i Sverige.)

På så sätt hamnar EU på efterkälken – på många områden.

Om vi till exempel inte får tillgång till samma AI-verktyg som i andra länder, då kommer det att bromsa utvecklingen på många andra områden.

Om vi inte får fri tillgång till information, då försämras vår förmåga att fatta genomtänkta beslut.

Vilket i slutändan drabbar vår tillväxt, vår utveckling och vårt välstånd. Det behöver man inte vara raketforskare för att inse.

Alla regelverk ovan är skrivna med goda intentioner och går som sådana att argumentera för. Men det betyder inte att de är bra, nödvändiga eller lämpliga. I stort sett vad som helst kan motiveras på ett eller annat sätt.

Men man kan inte bara se till ett förslags intentioner utan bör även göra en realistisk bedömning av dess konsekvenser. Vilket politiker i allmänhet och EU-politiker i synnerhet är dåliga på.

För att citera Metas Mark Zuckerberg:

»Europe has an ever-increasing number of laws, institutionalizing censorship, and making it difficult to build anything innovative there.«

EU ägnar sig enkelt uttryckt åt digital isolationism. Den tveksamma ambitionen var att bli världsledande på IT-reglering. Resultatet blev att EU nu hamnat på efterkälken både vad gäller digitala plattformar och AI. Samt att yttrandefriheten hotas.

Kusligt nog sker detta i relativt stor politisk enighet. Kampen för ett fritt och öppet internet är därför viktigare nu än någonsin tidigare.

GDPR fyller fyra år – men hur blev det egentligen?

av

Idag fyller GDPR fyra år. Men blev det som man tänkt sig?

EU:s dataskyddsförordning – GDPR – fyller fyra år. Tanken var att ge användarna större kontroll över sin persondata, samt att skapa ett enhetligt regelverk för företag och andra som hanterar persondata.

I teorin har vi faktiskt fått mer makt över vår egen persondata. Men i praktiken fortsätter nästan alla att slentrianmässigt klicka på godkänn när dialogrutan för samtycke kommer upp.

Och reglerna för företag som hanterar persondata har skärpts upp. Men de har även orsakat omfattande och kostsam byråkrati. Vilket vi användare i slutändan får betala för, på ett eller annat sätt.

Man kan notera att EU och de nationella myndigheterna samtidigt utökar sin egen registrering av persondata, utan tillräcklig kontroll.

Till exempel kan nämnas att Europol nu får rätt att registrera persondata om personer som inte är misstänkta för något brottsligt. Samt att myndigheten med sitt utökade mandat även får tillgång till persondata hos privata operatörer.

Eller ta förslaget om »ChatControl« som uttryckligen beordrar Big Data att öppna våra privata meddelanden och att granska innehållet i dessa. Vilket är samma företag som annars brukar kritiseras för sin allt för omfattande tillgång till information om sina användare.

Sammanfattningsvis kan man notera att de flesta användare inte bryr sig, att företag avskyr byråkratin kring GDPR – samt att EU inte lever upp till samma höga krav som man ställer på alla andra.

GDPR bygger på en vacker tanke om att människor skall ha makten över sin egen persondata. Frågan är om förordningen når detta mål eller om den bara blev ett slag i luften, till priset av mer byråkrati.

Bakgrund: Dragkampen om överföring av persondata mellan EU och USA

av

Facebooks hotar att lämna EU. Domstolar förklarar Google Analytics olagligt. Detta är konsekvensen av en dragkamp om överföring av persondata från EU till USA som pågått i årtionden.

EU-domstolen menar att sociala medias överföring av persondata från EU till USA strider mot dataskyddsförordningen (GDPR). Domstolar i Frankrike, Nederländerna och Österrike har förklarat Google Analytics olagligt. Och Meta / Facebook / Instagram har hotat att helt dra sig ur den europeiska marknaden om de inte får fortsätta överföra persondata till USA.

Även om dessa frågor är aktuella just nu är frågan långt ifrån ny. I EU har det pågått en dragkamp om dataöverföring till USA i årtionden.

Det började med det så kallade SWIFT-avtalet. Efter terrorangreppen 9-11 skärpte USA sin kamp mot terrorismen. Ett steg i detta var att analysera banktransaktioner i jakt på terror-finansiering. Detta gällde även europeiska banktransaktioner. Därför överfördes bankdata i bulk från EU till USA.

Formerna för detta var under all kritik. Dokumentationen var ibland så dålig att någon verklig granskning av metod och innehåll i princip blev omöjlig. Gång på gång krävde Europaparlamentet att detta skulle skärpas upp.

Den övergripande principfrågan var enkel: Europaparlamentet ville ha garantier för att europeisk persondata inte föll i händerna på den amerikanska säkerhetsbyråkratin.

Och gång på gång ingick EU-kommissionen avtal med USA som inte levde upp till denna princip. Av skäl man bara kan spekulera kring.

Sedan kom GDPR, som i princip kräver att data som överförs från EU till annat land skall åtnjuta samma persondataskydd som i EU. Vilket var början på senare års processer. Två gånger har EU-domstolen kommit fram till att den överföring som sker till USA (inom ramen för Safe Harbour respektive EU-US Privacy Shield) inte lever upp till dessa krav.

Ungefär samtidigt avslöjade NSA-wisselblåsaren Edward Snowden hur USA (och dess partners) dammsuger allt de kan snappa upp inom ramen för sin globala massövervakning. Vilket gjorde frågan än mer brännande.

Så vad kommer att ske nu?

En första möjlighet är att USA faktiskt ger med sig och lämnar garantier för att europeisk persondata som överförs inte sugs upp av NSA och Homeland Security. Detta vill USA inte göra.

Ett alternativ är att nätplattformarna sätter upp separat databehandling för EU, i EU. Vilket tydligen Google, TikTok och Microsoft överväger att göra. Bolagen är trots allt beroende av att analysera användardata för att kunna upprätthålla sin affärsmodell.

En tredje möjlighet är atombombs-alternativet, där de aktuella företagen stänger ner i EU. Vilket känns väldigt osannolikt.

Tills vidare hänger frågan i luften. Vilket inte är bra då det innebär stor osäkerhet för europeiska företag som är beroende av de olika plattformarna och deras analysverktyg.

EU vill göra Europols olagliga registrering av icke misstänkta laglig

av

Europol samlar på sig information om människor som inte är misstänkta för brott. Nu vill EU ändra reglerna för att göra denna olagliga verksamhet laglig – trots att den strider mot EU:s fördrag och förordningen om dataskydd.

I åratal har Europol samlat på sig mer data än vad lagen tillåter. Det handlar om personuppgifter där det inte kan påvisas att de registrerade personerna ägnar sig åt något olagligt eller har brottsligt samröre.

Nu har EU:s datatillsynsmyndighet EDPS beordrat Europol att radera denna information. Computer Sweden skriver:

»EDPS ger Europol ett år på sig att ta reda på vad som lagras på ett lagligt sätt, och de ska även radera nyligen insamlade uppgifter som inte kategoriserats inom sex månader.«

Europol anser sig dock inte ha gjort något fel. Och EU:s inrikeskommissionär Ylva Johansson säger till The Guardian:

»De brottsbekämpande myndigheterna behöver verktygen, resurserna och tiden för att analysera data som lagligen överförts till dem. (…) I Europa är Europol plattformen som stödjer de nationella polismyndigheterna i denna gigantiska uppgift.»

Slovenien ställde sig under sitt EU-ordförandeskap förra halvåret på Europols sida. Statewatch rapporterar:

»There has been ”significant progress” in negotiations on new powers for EU police agency Europol, according to a document circulated by the Slovenian Presidency of the Council in December. The police agency was recently ordered to delete vast amounts of personal data that it was processing illegally – but the new rules would allow those practices to continue. Member states may be hoping to approve the new rules before the agency has to implement the deletion order.«

EDRi noterar samma sak:

»The indiscriminate bulk data collection and algorithmic analyses of the “uncategorised” data by Europol violates EU data protection law, the EU Charter of Fundamental Rights and the Treaties. However, these activities not only continue in spite of the EDPS strong criticism – the EU institutions try to legalise them under the revised Europol Regulation.«

I sammanhanget är det värt att notera att det snart kommer en dom i EU-domstolen om PNR, det vill säga Passenger Name Record som handlar om att samla in persondata om alla flygresenärer. Detta kan komma att bli en signal om hur man får eller inte får samla in information. Om domstolen går på samma linje som när det gäller datalagringen lär domen bli att man inte får ägna sig åt urskiljningslös övervakning och datainsamling, speciellt inte utan misstanke om brott.

Det är dock inget det nuvarande franska EU-ordförandeskapet tänker vänta på. Åter till Statewatch:

»The French Presidency of the Council wants to enter secret ”trilogue” negotiations with the European Parliament and European Commission on new rules governing Europol, the EU policing agency, with a text including a ”workaround” to allow Europol to hold on to vast quantities of personal data that it is currently processing illegally.«

»The Presidency’s proposal seeks to allow agencies and states that illegally provided data to Europol to be able to give their consent for its ongoing processing under the new rules, which would legalise existing practices…«

EU tänker alltså göra olaglig övervakning och registrering – som strider mot EU:s fördrag och dataskyddsförordning – laglig genom hemliga förhandlingar.

EU-kommissionen och ministerrådet är redan ombord. Sedan får vi se vad som händer när Europaparlamentet skall behandla den nya regleringen för Europol.

Skulle de föreslagna förändringarna bli verklighet är det uppenbart att frågan kommer att gå vidare till EU-domstolen.

Länkar, i tidsordning:
• MEP Patrick Breyer (PP, DE): Stop Europol’s illegal bulk data collection! »
• Computer Sweden: Europol tvingas radera stora mängder personuppgifter »
• The Guardian: A data ‘black hole’: Europol ordered to delete vast store of personal data »
EDPS Decision on the retention by Europol of datasets lacking Data Subject Categorisation (PDF) »
• Statewatch: EU: Europol: ”Significant progress” on legalising illegal data practices »
• EDRi: The EU’s own ‘Snowden Scandal’: Europol’s Data Mining »
• Statewatch: Europol: Council Presidency proposes workaround for illegal data processing »

Är Facebooks samtycke samma sak som ett kontrakt?

av

Österrikes högsta domstol sänder nu en intressant fråga till EU-domstolen: Är samtycke (till användarvillkor) samma sak som ett kontrakt mellan Facebook och användarna?

Det är Facebooks fiende nummer ett, Max Schrems, som driver ärendet. Tidigare har han bland annat stoppat dataöverföring från Facebook i Europa till USA, där det inte finns samma skydd för persondata som i EU.

Reuters rapporterar:

»The civil case revolves around Schrems’ assertion that Facebook deprives users of the rights and protections they enjoy under the EU’s privacy law, the General Data Protection Regulation (GDPR), by treating consent as a contract that empowers it to use their data to deliver targeted ads.«

Kärnfrågan tycks vara om ett samtycke till Facebooks användarvillkor underminerar GDPR.

Detta är en knivig fråga där användarvillkor, rätten att ingå kontrakt och EU-lag möjligen kolliderar.

Länkar:
• Reuters: Austrian activist Schrems’ Facebook complaint referred to EU court »
• Noyb: Austrian Supreme Court asks CJEU if Facebook ”undermines” the GDPR by confusing ’consent’ with an alleged ’contract’ »