Femte juli Nätet till folket!

Nätet till folket!

GDPR

GDPR fyller fyra år – men hur blev det egentligen?

av Lämna en kommentar

Idag fyller GDPR fyra år. Men blev det som man tänkt sig?

EU:s dataskyddsförordning – GDPR – fyller fyra år. Tanken var att ge användarna större kontroll över sin persondata, samt att skapa ett enhetligt regelverk för företag och andra som hanterar persondata.

I teorin har vi faktiskt fått mer makt över vår egen persondata. Men i praktiken fortsätter nästan alla att slentrianmässigt klicka på godkänn när dialogrutan för samtycke kommer upp.

Och reglerna för företag som hanterar persondata har skärpts upp. Men de har även orsakat omfattande och kostsam byråkrati. Vilket vi användare i slutändan får betala för, på ett eller annat sätt.

Man kan notera att EU och de nationella myndigheterna samtidigt utökar sin egen registrering av persondata, utan tillräcklig kontroll.

Till exempel kan nämnas att Europol nu får rätt att registrera persondata om personer som inte är misstänkta för något brottsligt. Samt att myndigheten med sitt utökade mandat även får tillgång till persondata hos privata operatörer.

Eller ta förslaget om »ChatControl« som uttryckligen beordrar Big Data att öppna våra privata meddelanden och att granska innehållet i dessa. Vilket är samma företag som annars brukar kritiseras för sin allt för omfattande tillgång till information om sina användare.

Sammanfattningsvis kan man notera att de flesta användare inte bryr sig, att företag avskyr byråkratin kring GDPR – samt att EU inte lever upp till samma höga krav som man ställer på alla andra.

GDPR bygger på en vacker tanke om att människor skall ha makten över sin egen persondata. Frågan är om förordningen når detta mål eller om den bara blev ett slag i luften, till priset av mer byråkrati.

Bakgrund: Dragkampen om överföring av persondata mellan EU och USA

av 1 kommentar

Facebooks hotar att lämna EU. Domstolar förklarar Google Analytics olagligt. Detta är konsekvensen av en dragkamp om överföring av persondata från EU till USA som pågått i årtionden.

EU-domstolen menar att sociala medias överföring av persondata från EU till USA strider mot dataskyddsförordningen (GDPR). Domstolar i Frankrike, Nederländerna och Österrike har förklarat Google Analytics olagligt. Och Meta / Facebook / Instagram har hotat att helt dra sig ur den europeiska marknaden om de inte får fortsätta överföra persondata till USA.

Även om dessa frågor är aktuella just nu är frågan långt ifrån ny. I EU har det pågått en dragkamp om dataöverföring till USA i årtionden.

Det började med det så kallade SWIFT-avtalet. Efter terrorangreppen 9-11 skärpte USA sin kamp mot terrorismen. Ett steg i detta var att analysera banktransaktioner i jakt på terror-finansiering. Detta gällde även europeiska banktransaktioner. Därför överfördes bankdata i bulk från EU till USA.

Formerna för detta var under all kritik. Dokumentationen var ibland så dålig att någon verklig granskning av metod och innehåll i princip blev omöjlig. Gång på gång krävde Europaparlamentet att detta skulle skärpas upp.

Den övergripande principfrågan var enkel: Europaparlamentet ville ha garantier för att europeisk persondata inte föll i händerna på den amerikanska säkerhetsbyråkratin.

Och gång på gång ingick EU-kommissionen avtal med USA som inte levde upp till denna princip. Av skäl man bara kan spekulera kring.

Sedan kom GDPR, som i princip kräver att data som överförs från EU till annat land skall åtnjuta samma persondataskydd som i EU. Vilket var början på senare års processer. Två gånger har EU-domstolen kommit fram till att den överföring som sker till USA (inom ramen för Safe Harbour respektive EU-US Privacy Shield) inte lever upp till dessa krav.

Ungefär samtidigt avslöjade NSA-wisselblåsaren Edward Snowden hur USA (och dess partners) dammsuger allt de kan snappa upp inom ramen för sin globala massövervakning. Vilket gjorde frågan än mer brännande.

Så vad kommer att ske nu?

En första möjlighet är att USA faktiskt ger med sig och lämnar garantier för att europeisk persondata som överförs inte sugs upp av NSA och Homeland Security. Detta vill USA inte göra.

Ett alternativ är att nätplattformarna sätter upp separat databehandling för EU, i EU. Vilket tydligen Google, TikTok och Microsoft överväger att göra. Bolagen är trots allt beroende av att analysera användardata för att kunna upprätthålla sin affärsmodell.

En tredje möjlighet är atombombs-alternativet, där de aktuella företagen stänger ner i EU. Vilket känns väldigt osannolikt.

Tills vidare hänger frågan i luften. Vilket inte är bra då det innebär stor osäkerhet för europeiska företag som är beroende av de olika plattformarna och deras analysverktyg.

EU vill göra Europols olagliga registrering av icke misstänkta laglig

av 1 kommentar

Europol samlar på sig information om människor som inte är misstänkta för brott. Nu vill EU ändra reglerna för att göra denna olagliga verksamhet laglig – trots att den strider mot EU:s fördrag och förordningen om dataskydd.

I åratal har Europol samlat på sig mer data än vad lagen tillåter. Det handlar om personuppgifter där det inte kan påvisas att de registrerade personerna ägnar sig åt något olagligt eller har brottsligt samröre.

Nu har EU:s datatillsynsmyndighet EDPS beordrat Europol att radera denna information. Computer Sweden skriver:

»EDPS ger Europol ett år på sig att ta reda på vad som lagras på ett lagligt sätt, och de ska även radera nyligen insamlade uppgifter som inte kategoriserats inom sex månader.«

Europol anser sig dock inte ha gjort något fel. Och EU:s inrikeskommissionär Ylva Johansson säger till The Guardian:

»De brottsbekämpande myndigheterna behöver verktygen, resurserna och tiden för att analysera data som lagligen överförts till dem. (…) I Europa är Europol plattformen som stödjer de nationella polismyndigheterna i denna gigantiska uppgift.»

Slovenien ställde sig under sitt EU-ordförandeskap förra halvåret på Europols sida. Statewatch rapporterar:

»There has been ”significant progress” in negotiations on new powers for EU police agency Europol, according to a document circulated by the Slovenian Presidency of the Council in December. The police agency was recently ordered to delete vast amounts of personal data that it was processing illegally – but the new rules would allow those practices to continue. Member states may be hoping to approve the new rules before the agency has to implement the deletion order.«

EDRi noterar samma sak:

»The indiscriminate bulk data collection and algorithmic analyses of the “uncategorised” data by Europol violates EU data protection law, the EU Charter of Fundamental Rights and the Treaties. However, these activities not only continue in spite of the EDPS strong criticism – the EU institutions try to legalise them under the revised Europol Regulation.«

I sammanhanget är det värt att notera att det snart kommer en dom i EU-domstolen om PNR, det vill säga Passenger Name Record som handlar om att samla in persondata om alla flygresenärer. Detta kan komma att bli en signal om hur man får eller inte får samla in information. Om domstolen går på samma linje som när det gäller datalagringen lär domen bli att man inte får ägna sig åt urskiljningslös övervakning och datainsamling, speciellt inte utan misstanke om brott.

Det är dock inget det nuvarande franska EU-ordförandeskapet tänker vänta på. Åter till Statewatch:

»The French Presidency of the Council wants to enter secret ”trilogue” negotiations with the European Parliament and European Commission on new rules governing Europol, the EU policing agency, with a text including a ”workaround” to allow Europol to hold on to vast quantities of personal data that it is currently processing illegally.«

»The Presidency’s proposal seeks to allow agencies and states that illegally provided data to Europol to be able to give their consent for its ongoing processing under the new rules, which would legalise existing practices…«

EU tänker alltså göra olaglig övervakning och registrering – som strider mot EU:s fördrag och dataskyddsförordning – laglig genom hemliga förhandlingar.

EU-kommissionen och ministerrådet är redan ombord. Sedan får vi se vad som händer när Europaparlamentet skall behandla den nya regleringen för Europol.

Skulle de föreslagna förändringarna bli verklighet är det uppenbart att frågan kommer att gå vidare till EU-domstolen.

Länkar, i tidsordning:
• MEP Patrick Breyer (PP, DE): Stop Europol’s illegal bulk data collection! »
• Computer Sweden: Europol tvingas radera stora mängder personuppgifter »
• The Guardian: A data ‘black hole’: Europol ordered to delete vast store of personal data »
EDPS Decision on the retention by Europol of datasets lacking Data Subject Categorisation (PDF) »
• Statewatch: EU: Europol: ”Significant progress” on legalising illegal data practices »
• EDRi: The EU’s own ‘Snowden Scandal’: Europol’s Data Mining »
• Statewatch: Europol: Council Presidency proposes workaround for illegal data processing »

Är Facebooks samtycke samma sak som ett kontrakt?

av Lämna en kommentar

Österrikes högsta domstol sänder nu en intressant fråga till EU-domstolen: Är samtycke (till användarvillkor) samma sak som ett kontrakt mellan Facebook och användarna?

Det är Facebooks fiende nummer ett, Max Schrems, som driver ärendet. Tidigare har han bland annat stoppat dataöverföring från Facebook i Europa till USA, där det inte finns samma skydd för persondata som i EU.

Reuters rapporterar:

»The civil case revolves around Schrems’ assertion that Facebook deprives users of the rights and protections they enjoy under the EU’s privacy law, the General Data Protection Regulation (GDPR), by treating consent as a contract that empowers it to use their data to deliver targeted ads.«

Kärnfrågan tycks vara om ett samtycke till Facebooks användarvillkor underminerar GDPR.

Detta är en knivig fråga där användarvillkor, rätten att ingå kontrakt och EU-lag möjligen kolliderar.

Länkar:
• Reuters: Austrian activist Schrems’ Facebook complaint referred to EU court »
• Noyb: Austrian Supreme Court asks CJEU if Facebook ”undermines” the GDPR by confusing ’consent’ with an alleged ’contract’ »

Kommer krav på skydd av persondata att leda till ett balkaniserat internet?

av Lämna en kommentar

Som vi berättat i en tidigare bloggpost har EU-domstolen upphävt det så kallade EU-US Privacy Shield-avtalet, som reglerar överföring av persondata mellan EU och USA. Skälet är att domstolen anser att sådan data inte har tillräckligt starkt skydd mot amerikanska underrättlseorgan, som NSA.

Detta har utlöst en intensiv juridisk aktivitet hos många av de berörda företagen. Politico skriver:

»While it remains to be seen exactly how EU watchdogs will interpret the Privacy Shield ruling, a growing number of companies are not waiting to find out — and proactively taking the decision to keep their data in the bloc.« (…)

»A lawyer who represents large tech companies — and who asked to speak on condition of anonymity to discuss confidential matters — said they now advise some clients to consider compartmentalizing data in different regions.« (…)

»Calls for data localization — especially from privacy-conscious Germany — are not new, but this time could be different. Digital sovereignty has emerged as a top priority for Europe’s top policymakers, who have thrown their weight behind projects like Gaia-X, an initiative aimed at boosting the bloc’s ability to store data on the continent.«

Plötsligt tycks alla kort finnas på bordet. En möjlighet – som inte är speciellt trolig – är att USA ger utländska medborgare samma skydd mot massövervakning som amerikanska, eller ett USA inför en ny lagstiftning som ligger i linje med EU:s GDPR. En annan möjlighet är att dela upp data mellan EU och USA. Ett tredje alternativ är att endast överföra hårt krypterad persondata mellan EU och USA. Man skulle även teoretiskt kunna tänka sig att amerikanska nätjättar lagrar all sin information i Europa, även om inte heller det är troligt.

Oavsett vilket är risken att vi går mot en ökad balkanisering av internet – vilket i så fall strider mot hela principen om ett fritt, öppet och globalt nät. Det är också möjligt att vissa internationella företag och plattformar kan välja att sluta acceptera och serva kunder i EU. Vilket för övrigt är något Youtube redan överväger, efter att EU klubbat sitt nya upphovsrättsdirektiv.

Man kan även konstatera att företagsklimatet för nättjänster och -plattformar är sådant i EU att startups och riskkapital hellre söker sig till andra delar av världen. Vilket kommer att leda till att EU hamnar ännu mer på efterkälken. Trots de bästa intentioner håller vi på att reglera denna marknad till döds. Det är problematiskt, eftersom internet är ett centralt verktyg för mänsklighetens kollektiva utveckling.

Politico: The demise of Privacy Shield may be the end of US-Europe data transfers »

Europa hopplöst efter i plattformsekonomin

av 2 kommentarer

Gång på gång har EU fattat beslut om att bli ledande inom IT och digital ekonomi.

Det går som synes inte så bra. (Infographic från Dr. Holger Schmidt.)

Detta är kanske inte att förvånas över – då EU ständigt överreglerar och reglerar sönder marknaden.

Ta dataskyddsförordningen, GDPR, som exempel. Intentionen att användare skall ha makt över sin egen data är vällovlig. Men blev det så? För den vanlige användaren har denna lagstiftning inte märkts på annat sätt än att vi slentrianmässigt måste godkänna cookies oftare. Och för företagen har det inneburit påtagligt ökad administration och ökade kostnader. Då är det enklare för entreprenörer och riskkapitalister att söka sig utanför EU.

Eller EU:s nya upphovsrättslagstiftning. Regler som kräver uppladdningsfilter och idiotiska idéer som den så kallade länkskatten skrämmer företagen bort från Europa. Till exempel överväger Youtube om det överhuvudtaget går att verka inom EU när direktivet blir lag i medlemsstaterna. Vem vill starta något nytt i detta politiska klimat? Och även om nätjättarna – med alla sina resurser – klarar av att hantera kostsamma och komplicerade krav på till exempel uppladdningsfilter – så stängs dörren i ansiktet på alla små och nya aktörer. Därför kommer vi inte att få se nya nätplattformar, morgondagens nätjättar växa fram i Europa.

Exemplen är fler och nya krav på uppladdningsfilter och kontroll av innehåll är på väg i bland annat den nya förordningen om terror-relaterat innehåll online och med EU:s nya Digital Services Act.

EU håller helt enkelt på att hamna i digitalt bakvatten – som en direkt konsekvens av medvetet fattade politiska beslut.

GDPR – för dyrt även för staten?

av Lämna en kommentar

EU:s dataskyddsförordning – GDPR – har ett mycket vällovligt syfte: Att skydda medborgarnas persondata.

Men för många förtag har GDPR medfört kostnader och krångel. Samtidigt tycks de flesta användare slentrianmässigt klicka OK på alla relaterade dialogrutor som kommer upp, ofta utan att läsa vad det handlar om.

Och nu visar det sig att även EU:s medlemsstater tycker att GDPR håller på att bli för dyrt. Irish Times skriver:

»Digital privacy regulations introduced in Europe nearly two years ago are in danger of failing because regulators have not been properly resourced, a new report claims.

As the second anniversary of the introduction of General Data Protection Regulation (GDPR) nears, the study claims regulators are not being given the tools they need to enforce it.«

Och de natioinella dataskyddsmyndigheterna lär knappast få mer pengar nu, efter den ekonomiska kraschen till följd av corona-krisen.

Irish Times: GDPR at risk of failing due to underfunding of regulators, study finds »

Fransk dom mot automatiserad ansiktsigenkänning i skolan

av Lämna en kommentar

Frankrike har fått sitt första domstolsutslag om automatiserad ansiktsigenkänning.

Earlier this month, the Administrative Court of Marseille heard our case against facial recognition systems controlling access to two high schools in Nice and Marseille. These systems were authorised in December by the PACA Region as “experimental”. Yesterday, the Court annulled this decision.

The Court found that the Region had no power to take this decision – schools only have such powers. Furthermore, the Court found that it breached the GDPR: these systems were based on “consent”, but students’ consent cannot be “freely given” because of the authority relationship that binds them to the school’s administration.

Läs mer hos La Quadrature de Net »

Video: Senaste nätnyheterna

av Lämna en kommentar

De senaste nätnyheterna från denna blogg: Hemlig dataavläsning, EU:s uppladdningsfilter. Britterna kliver av GDPR. Sverige och massövervakningen & Assange – mystiken tätnar.

Se videon på Youtube »

Eftersom denna site är rensad från kakor och andra integritetskränkande tillägg bäddar vi inte in filmen för automatisk uppspelning här – utan ber dig att istället följa länken till Youtube ovan.

Efter Brexit: Storbritannien överger GDPR?

av Lämna en kommentar

Det kommer signaler från Storbritannien om att landet kan komma att överge EU:s modell för persondataskydd.

Euractiv:

In a written statement to the House of Commons published yesterday [3 Feb.], the Prime Minister said that the United Kingdom will “develop separate and independent policies” in a range of fields, including data protection, adding that the government would seek to maintain high standards in so doing.

Moreover, speaking to reporters on Monday, Johnson said that the UK has no need to bind itself to an agreement with the EU. “We will restore full sovereign controls over our borders, immigration, competition, subsidy rules, procurement, data protection,” he said.

Meanwhile in Brussels, the European Commission released a recommendation for opening trade negotiations with the UK, highlighting previous commitments that both parties had made to maintain consistency in data protection standards.

Lite motstridiga uppgifter, således. Men det blir rätt intressant om man sätter in frågan i ett större perspektiv.

  1. Britterna har meddelat att de för närvarande inte tänker implementera EU:s upphovsrättsdirektiv – och inte införa det kritiserade uppladdningsfiltret.
  2. Nätjättarna diskuterar möjligheten att lämna EU och eventuellt blockera användare från EU– som följd av det nya upphovsrättsdirektivet.
  3. Många företag anser EU:s dataskyddsdirektiv – GDPR – vara allt för krångligt, omfattande och kostsamt.

Det är svårt att säga om det finns någon sådan plan – men pusselbitarna finns i vart fall på plats för att Storbritannien skulle kunna bli ett »IT-paradis« i Europa, men utanför EU.

Det är ju så det blir när EU reglerar sönder den digitala marknaden. Då flyttar företagen. Och man kan knappast lasta britterna om de griper tillfället i flykten.

Euractiv: UK to diverge from EU data protection rules, Johnson confirms »