Välkomna! Integritetsforum torsdagen den 12 november 2015

Transkript

1 Välkomna! Integritetsforum torsdagen den 12 november 2015

2 Inledning Agenda Säkerhets- och integritetsskyddsnämnden, SIN, och dess arbete, Anna Backman, tf enhetschef Datainspektionen berättar om den nya förordningen (GDPR) och Safe Harbor-avgörandet, Eva Maria Broberg, jurist Paus, ca min

3 Forts. agenda PTS avslutade och pågående tillsyner Samtycke beslut och vägledning på området Kundplacerad utrustning (CPE) Ersättning vid trafikdatalagring Aktuella frågor Art 4 - incidentrapportering och underrättelser Övrigt Avslutning och nästa möte torsdagen den 14 april 2016

4 Säkerhets- och integritetsskyddsnämnden, SIN, och dess arbete Anna Backman, tf enhetschef

5 Säkerhets- och integritetsskyddsnämndens arbete Integritetsforum den 12 november 2015 Säkerhets- och integritetsskyddsnämnden

6 Bakgrund Utökade möjligheter att använda hemliga tvångsmedel (2007/2008) Europadomstolens praxis (2006) Sverige fälls i målet Segerstedt-Wiberg m.fl. mot Sverige (Säkerhetspolisens register) Säkerhets- och integritetsskyddsnämnden

7 Bakgrund forts. Skyldighet för åklagaren att underrätta enskild om hemlig tvångsmedelsanvändning införs Säkerhets- och integritetsskyddsnämnden (SIN) inrättades (2008) Syfte - att skapa ett fristående och självständigt tillsynsorgan med uppgift att värna rättssäkerheten och skyddet för den personliga integriteten inom den brottsbekämpande verksamheten Säkerhets- och integritetsskyddsnämnden

8 SIN:s tillsynsområden Polismyndighetens och Säkerhetspolisens personuppgiftsbehandling (känsliga personuppgifter) Polismyndighetens och Säkerhetspolisens användning av kvalificerade skyddsidentiteter Brottsbekämpande myndigheters användning av hemliga tvångsmedel och därmed sammanhängande verksamhet Säkerhets- och integritetsskyddsnämnden

9 SINS:s tillsynsområden forts. Brottsbekämpande myndigheter som omfattas av tillsynen Åklagarmyndigheten Ekobrottsmyndigheten Tullverket Säkerhetspolisen Polismyndigheten Säkerhets- och integritetsskyddsnämnden

10 Myndighetens organisation Säkerhets- och integritetsskyddsnämnden (10 ledamöter) Registerkontrolldelegationen (5 ledamöter) 2012 Skyddsregistreringsdelegationen (5 ledamöter) Kansli (Säkerhetspolisen) Kansli - Hemliga tvångsmedel/ skyddsidentiteter - Personuppgiftsbehandling Säkerhets- och integritetsskyddsnämnden

11 Ärendeslag Kontroll på begäran av enskild ärenden som inleds på begäran av enskild Initiativärenden ärenden som inleds på nämndens eget initiativ Säkerhets- och integritetsskyddsnämnden

12 Kontroll på begäran av enskild Enskild kan begära att SIN ska kontrollera om han eller hon i strid med lag har utsatts för brottsbekämpande myndigheters användning av hemliga tvångsmedel eller varit föremål för polisens personuppgiftsbehandling Förekomstförfrågan görs hos åklagarkammare (RB) samt Polismyndigheten, Säkerhetspolisen och Tullverket (IHLärenden) Säkerhets- och integritetsskyddsnämnden

13 Kontroll på begäran av enskild forts. Kontroll av underrättelser om IHL-beslut som inkommit till SIN Vid träff företas en fördjupad kontroll Remiss vid oklarheter eller felaktigheter Nämnden ska underrätta den enskilde när kontrollen har utförts Den enskilde får normalt inte veta om denne har utsatts för hemliga tvångsmedel Säkerhets- och integritetsskyddsnämnden

14 Kontroll på begäran av enskild forts. Sanktionsmöjligheter - Anmälan till behörig myndighet (Justitiekanslern och Åklagarmyndigheten) Säkerhets- och integritetsskyddsnämnden

15 Initiativärenden Tillsynens inriktning Fokusområden och tillsynsplaner: Uppdrag från regeringen, riskanalys, spridning av tillsynen, media, enskilda ärenden Metoder - skrivbordsgranskningar, inspektioner, stickprov, intervjuer, enkäter Säkerhets- och integritetsskyddsnämnden

16 Initiativärenden och sanktionsmöjligheter SIN beslutar om uttalanden - behov av förändringar i verksamheten, brister i regleringen Sanktionsmöjligheter - inga skarpa verktyg - uppföljande granskning och skyldighet/möjlighet anmäla till Åklagarmyndigheten och Justitiekanslern Säkerhets- och integritetsskyddsnämnden

17 Hemliga tvångsmedel på teleområdet Underrättelseverksamhet = Verksamhet inriktad på att avslöja om en viss, inte närmare specificerad, brottslighet har ägt rum, pågår eller kan antas komma att begås Lagen (2012:278) om inhämtning av uppgifter om elektronisk kommunikation i de brottsbekämpande myndigheternas underrättelseverksamhet (IHL) Förundersökning 27 kapitlet rättegångsbalken (RB) Säkerhets- och integritetsskyddsnämnden

18 Hemliga tvångsmedel enligt RB Hemlig avlyssning av elektronisk kommunikation (27 kap. 18 RB (HAK) Innebär att meddelanden, som i ett elektroniskt kommunikationsnät överförs eller har överförts till eller från ett telefonnummer, eller annan adress, i hemlighet avlyssnas eller tas upp genom ett tekniskt hjälpmedel för återvinning av innehållet i meddelandet Ett tillstånd till HAK ger också rätt att vidta sådana åtgärder som kan vidtas inom ramen för ett tillstånd till hemlig övervakning Huvudregel: Minimum fängelse i två år, försök, förberedelse eller stämpling till sådant brott Finns även en straffvärdesventil Säkerhets- och integritetsskyddsnämnden

19 Hemliga tvångsmedel enligt RB forts. Hemlig övervakning av elektronisk kommunikation (27 kap. 19 RB) (HÖK) Innebär att uppgifter i hemlighet hämtas in om meddelanden som i ett elektroniskt kommunikationsnät överförs eller har överförts till eller från ett telefonnummer eller annan adress, vilka elektroniska kommunikationsutrustningar som har funnits inom ett visst geografiskt område eller i vilket geografiskt område en viss elektronisk utrustning finns eller har funnits HÖK ger inte tillgång till uppgifter om innehållet i meddelanden utan de uppgifter som kan hämtas in är i stället trafikuppgifter och lokaliseringsuppgifter Huvudregel: Minimum fängelse i sex månader, försök, förberedelse eller stämpling till sådant brott Säkerhets- och integritetsskyddsnämnden

20 Hemliga tvångsmedel enligt RB forts. Tillstånd till HAK och HÖK prövas av rätten på ansökan av åklagaren (27 kap. 21 första stycket RB) I brådskande fall kan dock åklagaren meddela tillfälliga tillstånd till HÖK och HAK (27 kap. 21 a första stycket RB) Utan dröjsmål anmälas till rätten Om beslutet inte har hunnit verkställas kan rätten upphäva beslutet Om beslutet hunnit verkställas och rätten vid sin prövning finner att det saknats skäl för åtgärden får de inhämtade uppgifterna inte användas till nackdel för den som avlyssnats/övervakats Säkerhets- och integritetsskyddsnämnden

21 Hemliga tvångsmedel enligt RB forts. Ett tillstånd till HAK och HÖK får inte bestämmas längre än nödvändigt och får, när det gäller tid som infaller efter beslutet, inte överstiga en månad från dagen för beslutet (27 kap 21 andra stycket) Tiden kan förlängas genom förnyade beslut Huvudregeln är att en enskild som har varit utsatt för hemliga tvångsmedel enligt RB ska underrättas om det. Om viss sekretess gäller har åklagaren dock möjlighet att först skjuta upp och senare underlåta att lämna en sådan underrättelse Åklagaren är skyldig att underrätta Säkerhets- och integritetsskyddsnämnden om sitt beslut att underlåta underrättelse Säkerhets- och integritetsskyddsnämnden

22 Tillsyn hanteringen av hemliga tvångsmedel enligt RB Kontinuerlig granskning av underrättelser om underlåtna underrättelser Inspektioner m.m. vid åklagarkammare Säkerhets- och integritetsskyddsnämnden

23 Hemliga tvångsmedel enligt IHL Vilka uppgifter som får hämtas in regleras i 1 IHL Uppgifter om meddelanden som har överförts till eller från ett telefonnummer eller annan adress (första punkten). Får endast avse historiska uppgifter (historisk HÖK) Uppgifter om vilka elektroniska kommunikationsutrustningar som har funnits inom ett visst geografiskt område (andra punkten). Får endast avse historiska uppgifter (basstationstömning) Uppgifter om i vilket geografiskt område en viss elektronisk kommunikationsutrustning finns eller har funnits (tredje punkten). Får avse såväl historiska uppgifter som realtidsuppgifter (positionering) Säkerhets- och integritetsskyddsnämnden

24 Hemliga tvångsmedel enligt IHL forts. 5 IHL Tiden får inte bestämmas längre än nödvändigt och får, när det gäller tid som infaller efter beslutet, inte överstiga en månad från dagen för beslutet. 1 lagen (1930:173) om beräkning av lagstadgad tid Då enligt lag eller särskild författning tid skall räknas efter vecka, månad eller år, varde den dag för slutdag ansedd, som genom sitt namn i veckan eller sitt tal i månaden motsvarar den, från vilken tidräkningen börjas. Finnes ej motsvarande dag i slutmånaden, varde den månadens sista dag ansedd för slutdag. Säkerhets- och integritetsskyddsnämnden

25 Förutsättningar för inhämtning av uppgifter enligt IHL Åtgärden ska vara av särskild vikt för att förebygga, förhindra eller upptäcka brottslig verksamhet som innefattar brott för vilket inte är föreskrivet lindrigare straff än fängelse i två år (2 första punkten). Kravet på att åtgärden ska vara av särskild vikt innefattar, enligt förarbetena, både ett kvalitetskrav på de upplysningar som åtgärden kan ge och ett krav på behovet av inhämtningen i det enskilda fallet (Prop. 2011/12:55 s. 121) Bedömningen får inte bygga enbart på spekulationer eller allmänna antaganden utan måste grundas på faktiska omständigheter Nämndens uttalande den 16 oktober 2015 (dnr ) Säkerhets- och integritetsskyddsnämnden

26 Förutsättningar för inhämtning av uppgifter enligt IHL forts. Skälen för åtgärden måste uppväga det intrång eller men i övrigt som åtgärden innebär för den som åtgärden riktar sig mot eller för något annat motstående intresse (2 andra punkten) För vissa särskilt angivna brott som t.ex. sabotage och spioneri finns undantag från kravet på straffminimum (3 ) Säkerhets- och integritetsskyddsnämnden

27 Vem får fatta beslut? Beslut fattas av myndigheten myndighetschefen kan delegera till anställd som har den särskilda kompetens, utbildning och erfarenhet som behövs (4 första stycket IHL) Ej fatta beslut i sådan operativ verksamhet som han eller hon deltar i (4 andra stycket IHL) Säkerhets- och integritetsskyddsnämnden

28 Beslutets utformning Formkrav (5 IHL) Brottslig verksamhet och vilket eller vilka brott som innefattas i den brottsliga verksamheten Vilken tid beslutet avser Den adress, den elektronisk kommunikationsutrustning eller det geografiskt område som beslutet avser Säkerhets- och integritetsskyddsnämnden

29 Underrättelse om beslut SIN ska underrättas om ett beslut om inhämtning senast en månad efter det att ärendet om inhämtning avslutades Ett beslut om inhämtning bör enligt förarbetena handläggas inom ett särskilt inhämtningsärende som avslutas när inhämtning skett (prop. 2011/12:55 s. 124) Ett ärende om inhämtning får anses avslutat senast när begärda uppgifter kommer den beslutande myndigheten till handa (se bl.a. nämndens uttalande den 13 februari 2014 i ärende med dnr ) Nämndens uttalande den 2 september 2015 (dnr ) Säkerhets- och integritetsskyddsnämnden

30 SIN:s granskning av IHL-ärenden Alla underrättelser om beslut granskas Om brister uppmärksammas eller om det finns omständigheter som talar för att inhämtningen skett i strid med lag kontakt med den beslutande myndigheten eller initiativärende Även om en underrättelse om beslut inte uppvisar brister föremål för stickprovskontroll Inspektioner Säkerhets- och integritetsskyddsnämnden

31 Iakttagna brister Formkraven i 5 IHL ej uppfyllda Nämndens uttalande den 2 september 2015 (dnr ) Den brottsliga verksamheten innefattar inte brott för vilket är föreskrivet fängelse i lägst två år (2 IHL) Nämndens uttalande den 6 maj 2015 (dnr ) Otillåten realtidsinhämtning Nämndens uttalande den 16 oktober 2015 (dnr ) Sena eller uteblivna underrättelser om beslut om inhämtning Nämndens uttalande den 25 mars 2015 (dnr ) Säkerhets- och integritetsskyddsnämnden

32 Säkerhets- och integritetsskyddsnämnden

33 Datainspektionen Eva Maria Broberg

34 EU:s dataskyddsreform Integritetsforum 12 november 2015 Eva Maria Broberg Jurist

35 Vad handlar det om och när? Generell EU-förordning om dataskydd EU-direktiv om dataskydd i brottsbekämpande verksamhet Tidslinje: Förslag från EU-kommissionen, mars 2012 Parlamentets yttrande mars 2014 Rådets ståndpunkt 15 juni 2015 Trepartsförhandlingar (EP, rådet, COM) hösten 2015 Gemensamt beslut av EP och rådet 31 december 2015? Ikraft 1 januari / 1 juli 2018???

36 Vad händer 2018? Den allmänna dataskyddsförordningen ersätter direktivet och nationell lagstiftning (PuL) gäller direkt Visst utrymme för nationella regler finns kvar för myndigheters personuppgiftsbehandling t.ex. Direktivet för dataskydd i brottsbekämpningen ersätter tidigare rambeslut från Nationell lagstiftning som genomför direktivet måste antas.

37 Dataskyddsförordningen - tillämpningsområde Materiellt: helt eller delvis automatiserad personuppgiftsbehandling (ej för privata ändamål, ej f brottsbekämpande myndigheter) Territoriellt: Personuppgiftsansvariga eller biträden som är etablerade i EU Etablerade utanför EU men som erbjuder varor och

38 Dataskyddsförordningen allmänna best Nya definitioner pseudonymisering, huvudsakligt etableringsställe, profiling t.ex. Grundläggande principer, regler om tillåten behandling, känsliga uppgifter finns kvar Särskild bestämmelse om samtycke från minderåriga Genetiska uppgifter nämns uttryckligen som känsliga uppgifter (el särskilda kategorier av uppgifter )

39 Dataskyddsförordningen registrerades rättigheter Rätt till information Rätt till åtkomst Rätt till rättelse Rätt att bli bortglömd/radering Rätt till dataportabilitet Rätt att motsätta sig behandling

40 Dataskyddsförordningen ansvariga/biträden Data protection by design and by default Krav på biträden (bl.a. dokumentation) Säkerhetsåtgärder (bl.a. pseudonymisering) Anmälan av dataskyddsincidenter Data Protection Impact Assessment Förhandskontroll i vissa fall Personuppgiftsombud (frivilligt om inte nat lag kräver det)

41 Dataskyddsförordningen tredjelandsöverföring Liksom förut - krav på adekvat skyddsnivå, standardavtalsklausuler eller särskilda undantagssituationer Uttryckliga regler om Binding Corporate Rules

42 Dataskyddsförordningen - tillsyn Varje MS ska utse en oberoende nationell tillsynsmyndighet Uttrycklig bestämmelse om nödvändiga resurser f denna Medlemmar ska utses av parlament eller regering Regler om inrättande av tillsynsmyndighet ska finnas i nationell lag Behörig på sitt territorium ibland lead authority

43 Dataskyddsreformen EU samarbete Mutual assistance Joint operations Consistency mechanism European Data Protection Board Standardiserat informationsutbyte

44 Dataskyddsförordningen böter, straff m.m. Rätt att ge in klagomål till tillsynsmyndighet och klaga på om det inte tas hand om Rätt för personuppgiftsansvarig/biträde att klaga på beslut Rätt till rättsmedel om registrerades rättigheter kränks Organisationer kan representera klagande Skadestånd solidariskt mellan ansvarig och biträde?

45 Nothing is agreed until everything is agreed

46 Paus ca 15 minuter

47 PTS avslutade och pågående tillsyner Karin Lodin och Anders Lindell

48 Att inhämta samtycke enligt LEK Post- och telestyrelsen

49 Bakgrund Tillsyn över tio tillhandahållare av olika storlek och verksamheter. Granskning av behandlingar för marknadsförings-, abonnentupplysnings- och trafikhanteringsändamål. Huvudsyfte: granska att lagens krav efterlevs vad gäller formerna för inhämtande av samtycke, och innehållet i information som ska delges abonnent inför inhämtande.

50 Resultat Tillsynens ställningstaganden vägledning om inhämtande av samtycke. Avsedd att kunna tillämpas på samtliga behandlingar som kräver samtycke enligt LEK.

51 Tolkas enligt PUL. Samtycke Varje slag av frivillig, särskild och otvetydig viljeyttring genom vilken den registrerade, efter att ha fått information, godtar behandling av (person)uppgifter som rör honom eller henne. FRIVILLIGT, SÄRSKILT, OTVETYDIGT, INDIVIDUELLT och man ska ha fått del av viss OBLIGATORISK INFORMATION först.

52 Vilken information? 1. Vilka uppgifter som omfattas av behandlingen 2. Ändamålet med behandlingen 3. Vilken sorts behanding som ska göras, och (om behandlingen avser trafikuppgifter) 4. Hur länge trafikuppgifterna ska behandlas

53 Regler i LEK som kräver samtycke Behandling av trafikuppgifter (6 kap. 5-7 ) Lokaliseringsuppgifter som inte är trafikuppgifter (6 kap. 9 ) Innehåll och trafikuppgifter (6 kap. 17 ) Portering av nummer (5 kap. 11 ) Behandling i abonnentförteckning (6 kap. 16) Kakor (6 kap. 18 )

54 Tillsynens slutsatser Vad kom PTS fram till? Brister i formerna för inhämtande av samtycke Brister i informationen som ska delges abonnenten

55 Krav på formerna för inhämtande Samtycke är inte ett avtalsvillkor Det är en ensidig viljeyttring Uppmärksamma abonnenten på detta

56 Krav på formerna för inhämtande Informationen ska vara lättförståelig, tydlig och fixerad Operatören har bevisbördan Anpassa informationen efter en genomsnittlig abonnents kunskaper och behov Inte tillräckligt att endast hänvisa till information på en webbplats

57 Krav på formerna för inhämtande Om stödet för behandlingen är samtycke så ska det tydligt framgå Undvik använda begrepp som operatören får eller kan behandla uppgifter Olämpligt att inhämta samtycke för behandlingar som inte kräver det

58 Krav på formerna för inhämtande Förändrad behandling kräver nytt samtycke Glöm inte att ge förnyad information

59 Beskrivning av uppgifter Krav på informationen Tydlig angivelse av vilka uppgifter som ska behandlas, undvik uppgifter som genereras vid användning eller annan uppgift om kunden Undvik uppgiftsbeskrivningar som hänvisar till ändamål, t.ex. de uppgifter som behövs för marknadsföring Kategorisering ok om man även har en tydlig definition och exempel på uppgifter som faller inom kategorin.

60 Krav på informationen Beskrivning av ändamålen Anpassa efter en genomsnittlig abonnent, hur vedertaget är begreppet? Undvik alltför vida beskrivningar, såsom för att kunna uppfylla avtalet

61 Krav på informationen Beskrivning av vilken behandling som ska vidtas Undvik begreppet behandla om det inte för den genomsnittlige abonnenten är helt klart vad som avses Använd beskrivande termer såsom registrera, lagra, sammanställa, filtrera, blockera eller lämna ut

62 Krav på informationen Tidsangivelse för trafikuppgiftsbehandling Tillräckligt specifik för att en genomsnittlig abonnent ska förstå hur länge som avses Undvik så länge de behövs etc.

63 Återkallelse Samtycke kan alltid återkallas Vilseledande att ange att endast vissa samtycken kan återkallas Om samtycket är nödvändigt för tjänsten överväg att villkora tillhandahållandet med att samtycke finns

64 Och nu? Mer information i vägledningen Troligen kommer ytterligare tillsyner att genomföras för att granska att vägledningens ställningstaganden följs Frågor? Tack! karin.lodin@pts.se

65 Kort om pågående tillsyner Kundplacerad utrustning (CPE) Ersättning vid trafikdatalagring

66 Information från PTS om aktuella frågor Staffan Lindmark

67 Underrätta berörda individer om integritetsincidenter Integritetsforum 12 november 2015 Post- och telestyrelsen

68 I vilka fall ska individer underrättas? 1. En integritetsincident har inträffat och upptäckts av tjänstetillhandahållaren. 2. Incidenten kan antas inverka menligt på abonnents eller enskild persons personuppgifter eller integritet. 3. Tjänstetillhandahållaren har inte påvisat att lämpliga tekniska skyddsåtgärder har tillämpats på berörda uppgifter, så att uppgifterna är oläsbara för alla personer som inte är behöriga att få tillgång till uppgifterna.

69 När ska individerna underrättas? Underrättelse ska lämnas utan onödigt dröjsmål efter att incidenten upptäckts. Tidpunkten för underrättelse ska vara oberoende av när incidenten anmäls till PTS. Efter godkännande av PTS får underrättelsen skjutas upp, i exceptionella fall om underrättelse till individen kan äventyra en korrekt utredning av incidenten. Samma tidsfrist gäller oavsett hur underrättelse sker.

70 Vad ska underrättelsen innehålla? Underrättelsen ska alltid innehålla samtliga de uppgifter som anges i bilaga II till förordning 611/2013. Underrättelsen får innehålla ytterligare uppgifter om incidenten. Underrättelsen får inte innehålla information om något annat, såsom marknadsföring eller information om nya eller kompletterande tjänster. Innehållet ska formuleras tydligt och lättbegripligt.

71 Hur ska individernas underrättas? 1. Kommunikationssättet ska säkerställa att informationen snabbt kan tas emot av individerna. 2. Kommunikationen ska vara säkrad på lämpligt sätt, enligt den senaste tekniken.

72 Underrättelse via annonsering? Tjänstetillhandahållaren ska alltid först vidta rimliga ansträngningar för att identifiera alla enskilda individer som kan påverkas menligt av incidenten. I andra hand får annonsering ske för att nå ut till individerna med underrättelse. Annonseringen ska ske i större regionala eller nationella medier, inom den normala tidsfrist som gäller för underrättelse, dvs. utan onödigt dröjsmål.

73 När och hur måste annonsering ske? OBS! Nedanstående bedömningar bygger på ett preliminärt ställningstagande, efter samråd med bl.a. andra behöriga myndigheter inom EU. Frågan har dock inte prövats i något enskilt fall. Annonsering måste ske om individuella underrättelser inte kan lämnas inom den tidsfrist som följer av vad som objektivt sett kan anses utgöra ett icke onödigt dröjsmål. Det faktum att det är svårt att identifiera eller hitta kontaktuppgifter till enskilda individer påverkar normalt inte bedömningen av vad som utgör onödigt dröjsmål. Annonsering ska ske i de medier som kan bedömas mest lämpliga för att nå ut till den berörda gruppen av individer. Annonsernas storlek ska anpassas till omständigheterna i den enskilda fallet, t.ex. hur allvarlig incidenten är, hur många som berörs etc.

74 Övrigt Ev. anmälda frågor inledningsvis

75 Nästa möte Förslagsvis torsdagen den 14 april 2016 Tack för idag!