FRÅN DATAINSPEKTIONEN #4/2004 Phishing : Fula fiskare lurar av dig koden SÅ GÖR MAN I FRANKRIKE ANMÄLNINGAR OCH TILLSTÅND DOMINERAR. VARJE DAG KOMMER 300 NYA BUNTAR. SID 4 EU VILL SPARA TRAFIKDATA NU UTREDS ETT SVENSKT FÖRSLAG OM ATT SPARA UPP- GIFTER OM VART DU RINGER OCH VAR DU SURFAR. SID 6 PRIVACY HAR MÅNGA ANSIKTEN VISSA NYA DATASKYDDSMYNDIGHETER HAR EN NY HUVUDUPPGIFT: ATT MAGAZIN ÖPPNA DIREKT GAMLA #4/2004 REGIMERS ARKIV. SID 8 1
Se upp för tjuvfi skare på nätet! Phishing är en ovanligt lömsk metod att lura till sig kontonummer, koder och lösenord. Betet är en falsk webbplats. Phishing : Fula fiskare lurar av dig koden NATTEN TILL DEN 23 NOVEMBER kommer ett mejl: Någon med utländsk ip-adress har försökt logga in sig på ditt Eurocardkonto. Av säkerhetsskäl har vi fryst kontot och ber dig att byta lösenord, helst till ett svårare. Klicka på länken. Mejlet är undertecknat: Säkerhetsavdelningen, Eurobank. Länken heter www.eurocard.com, men den leder inte till företaget, utan direkt in i rövarnas håla. Den som klickar på länken får upp en falsk startsida som är en exakt kopia av Eurocards. Där uppmanas man att fylla i ett formulär: namn, kontonummer, pin-kod och kortets giltighetstid. Om du gör det, har du gått i fällan. Phishing, det nya gisslet på nätet hade nått Sverige. Men vad är det?? 2
PHISHING HAR FÖRSTÅS SITT URSPRUNG i USA där det har förekommit ett par år. Man uppskattar att var tionde e-shoppare i USA har varit utsatt för phishing och många har blivit lurade. Phishing är massutskick med e-post, s.k. spam, som har till syfte att lura till sig information som kan användas för bedrägerier. FALLET HÄR OVAN ÄR TYPISKT. Avsändaren har på något sätt kommit över en mängd svenska e-postadresser både till Eurocards kunder och andra och gör ett massutskick med falsk avsändaradress. Det är skrivet på svenska, vilket gör det ännu mer förtroendeingivande. En länk i mejlet går till en falsk webbplats, det lär inte vara svårt att kopiera den äkta, eller också ber bedragarna att man ska svara direkt och lämna uppgifter. Men det kan vara värre EN ÄNNU LÖMSKARE form av phishing är när du får ett mejl med ett lockande erbjudande. I mejlet finns en länk till en webbsida där det finns mer information. Men när du klickar på länken och kopplas till webbplatsen laddas ett program ner i din dator utan att du märker det. Det programmet samlar sedan automatiskt in information dina koder, användarnamn, lösenord osv. och skickar den till bedragarna. Hur skyddar man sig mot phishing? Post och telestyrelsen, PTS, har gjort en bra sammanställning av hur du skyddar dig på Internet. Gå in på www.pts.se, Säkerhet på Internet. Några av råden: Svara inte på mejl som ber dig att lämna ut personlig eller ekonomisk information. Använd inte länkar till webbsidor i mejl från avsändare du inte känner till, eller om du misstänker att avsändaradressen är falsk. Om du ska lämna personlig information på en webbplats, till exempel när du e-handlar, måste uppkopplingen mot webbservern vara säker. Titta om det finns en symbol med ett låst hänglås i kanten av webbläsaren eller om det står https först i adressen. Observera att detta inte garanterar att den som äger webbplatsen har ärliga avsikter. Om du är det minsta osäker, ring ett telefonnummer som du säkert vet går till företaget. Kontrollera dina kontoutdrag. Om du hittar något underligt bör du kontakta banken eller företaget. Spärra betal- eller kreditkort snarast och skaffa ett nytt med annat nummer. Varför skriver dom phishing? Bedragarna fiskar, de kastar ut sitt bete på Internet och försöker lura till sig hemliga koder (engelska lure betyder f.ö. lockbete eller fiskedrag). Att phishing stavas med ph I stället f får man antagligen tillskriva teknologhumorn. I alla tider har ju studenter på Chalmers och KTH använt cool stavning som gasque, quarneval och pheusare (fösarna är de som tar hand om nybörjarna, nollorna ). Tydligen är företeelsen internationell, ett exempel är phreaking, som betyder att man ska få ett telefonsystem att göra saker som det inte bör göra, t.ex. låta dig ringa gratis. Kortfattat Röstanalys som lögndetektor regleras det av PuL? Vad gäller när ny teknik ska användas för att behandla personuppgifter? Datainspektionens svar på en förfrågan kan användas som checklista. Datainspektionen fick en förfrågan från ett företag som tillverkar ett datasystem som analyserar röster. Det sades att systemet kan användas för att avgöra om en person ljuger eller är stressad. Frågan gällde om sådan röstanalys är behandling av personuppgifter som regleras av PuL och vad som i så fall gäller. Eftersom systemet kan användas för många ändamål inom en mängd områden, finns inget generellt svar på frågan. Men Datainspektionen gav ett skriftligt svar som ger vägledning i ett antal nyckelfrågor. Den första frågan gällde om PuL är tillämplig i det aktuella fallet. Om rösten kan knytas till en person är det behandling av personuppgifter, men det är inte alltid säkert att PuL gäller. Om till exempel polisen skulle använda systemet, kan polisdatalagen ta över. Datainspektionens skrivelse behandlar också frågor om vem som är ansvarig, när behandlingen är tillåten, krav på information till de registrerade, säkerhet m.m. Dokumentet finns på www.datainspektionen.se, nyhetsnotis den 22 oktober. Det kan ses som en checklista som kan användas även i andra fall när ny teknik används för att behandla data som kan vara personuppgifter. (dnr 1579-2004) Motionärer vill att Datainspektionen ska övervaka övervakningskamerorna Två motioner till riksdagen föreslår att Datainspektionen ska överta tillsynsansvaret för övervakningskamerorna. Idag delar 21 länsstyrelser på ansvaret. Övervakningskamerorna i Sverige regleras i lagen om allmän kameraövervakning. Enligt lagen ska de 21 länsstyrelserna svara för tillstånd och tillsyn inom var sitt län. Lagen har nyligen setts över och i betänkandet konstateras att länsstyrelserna tillämpar lagen mycket olika. Det finns också problem med gränsdragningen. Länsstyrelserna har tillsynen över kameror som riktas mot allmän plats. Om allmänheten inte har tillträde ska Datainspektionen sköta tillsynen. Och om utrustningen är digital, vilket blir allt vanligare, kan det vara behandling av personuppgifter som regleras av PuL. Det är också problematiskt att låta 21 myndigheter bevaka teknikutvecklingen. De flesta EU-länderna har ingen särskild lag för kameraövervakning. Man anser att det är behandling av personuppgifter som regleras av landets personuppgiftslag och då är dataskyddsmyndigheten tillsynsmyndighet. Erfarenheter utbyts på konferenser och i arbetsgrupper där Datainspektionen deltar. Trots detta föreslår utredningen att tillsynen ska ligga kvar hos länsstyrelserna. Nu invänder (s) och (v) mot detta i två motioner. Man anser att om ansvaret samlas på Datainspektionen skulle vi få en enhetlig tillämpning av lagen i hela landet, samma inspektionsmetoder, en samlad teknisk kompetens och möjligheter till ett internationellt samarbete kring dessa frågor. Länkar till motionerna finns på www.datainspektionen.se, nyhetsnotis den 11 november. 3
Nej, den här bilden är inte tagen hos Cnil, Datainspektionens systermyndighet i Paris, men som symbol passar den bra. Den helt dominerande verksamheten hos Cnil är nämligen att hantera blanketter med anmälningar och tillståndsansökningar. Varje dag kommer det 300 nya buntar, sedan starten 1978 har man fått in över en miljon. Så gör man i Frankrike Papperen på bordet! MAN KAN TRYGGT PÅSTÅ att anmälningarna sätter sin prägel på Cnils kansli. Sedan starten 1978 har man fått in mer än en miljon anmälningar om behandling av personuppgifter, och flödet blir allt stridare. Förra året kom det 65 921 stycken, det är 300 varje arbetsdag. Kansliet är inrymt i en stilig gammal paradvilla i Paris, på förnäm adress vid les Invalides, nära Nationalförsamlingen och departementen. Men inuti finner vi en bedagad skönhet. Slitet, mörkt och rörigt. Många rum är helt belamrade med pappersbuntar, ja torn av papper. Ett svenskt skyddsombud skulle gråta blod. Anmälningar och tillstånd är vårt sätt att sprida information, säger Nathalie Metallinos, handläggare. Om en anmälning är felaktig eller bristfällig, kontaktar vi den ansvarige och hoppas att våra förklaringar ska ge kunskaper och medvetenhet. Nu finns en förenklad anmälan som man kan sända över Internet, men vi kollar fortfarande allt som kommer in. Om det kommer en förenklad anmälan som rör känsliga uppgifter blir det backning, och den ansvarige måste fylla i en diger lunta ansökningshandlingar som går till kommissionen. Den nya lagen (loi informatique et libertés se separat notis) ska lätta lite på trycket. Det ska komma förordningar som reglerar vissa områden, ungefär som våra svenska registerlagar, men det lär inte bli klart förrän tidigast sommaren 2005 och fram till dess fortsätter allt ungefär som vanligt. Och därefter kommer man fortfarande att ha mer byråkrati än vi hade i Sverige före PuL. Idag råder uppbrottsstämning på kansliet, man ska delta i en utställning som riktar sig till Frankrikes borgmästare. Nathalie förklarar: Frankrike är organiserat i fyra nivåer: staten är överst, under den kommer 20 regioner, därunder departement och slutligen städerna. 4
Det finns 36 000 städer, de allra minsta har kanske 200 invånare, men alla har en borgmästare och ett stadshus och de är egna myndigheter. Det är förstås svårt att nå ut till alla dessa och få dem att förstå att de ska tillämpa la loi. Ett sätt är att delta i en årlig mässa vid Porte Versailles här i Paris, vi har hyrt en monter och hoppas kunna nå många borgmästare. Men det kostar mycket pengar och detta är den enda utställning som vi deltar i. Resurserna räcker inte heller till särskilt mycket tillsyn. I år blir det 60 inspektioner, hälften så många som vi gör i Sverige på en befolkning som är mindre än en sjättedel. Informationen har också legat för fäfot. Den första informatören anställdes för ett par månader sedan, men det finns en avdelning, Plaintes som tar hand om klagomål, det kommer in ca 4 000 om året. Där svarar man också på telefonfrågor, men Cnil har bara en telefonist som ska ta emot 8 000 samtal i månaden, så det blir ofta långa väntetider. Den franska lagen har mycket stränga straffbestämmelser. Upp till fem års fängelse kan den få som bryter mot lagen. Hur tilllämpas den i praktiken? Lagen har funnits i över 25 år, men ännu har ingen dömts till en enda dags fängelse. Hur följer Cnil den tekniska utvecklingen? Vi har två kvalificerade tekniker som enbart sysslar med att följa den tekniska utvecklingen. Men det är problem med att föra ut kunskapen inom kansliet. Vi har också ett par f.d. poliser som är experter på dataanläggningar. De är med på inspektionerna, kör datorerna som ska undersökas och kontrollerar säkerheten. Vem övervakar övervakningskamerorna? Digitala inspelningar som behandlas, t.ex. sparas, ska anmälas till Cnil. Men det här är inget stort problem i Frankrike, här finns inte så många kameror. Vi är inte mycket för sånt, man kan ju bli fotograferad när man är ute med någon annans fru! Leif Stenström En kommission av Guds nåde Cnil, Commission Nationale de l Informatique et des Libertés, är en mycket speciell, mycket fransk företeelse. Den består av 17 personer: fyra parlamentsledamöter (två från Nationalförsamlingen och två senatorer), två tjänstemän från finansdepartementet, sex domare från de högsta domstolarna, och ytterligare fem av samhällets stöttepelare som är utsedda av parlamentet och ministerrådet. Ledamöterna väljs på fem år och kommissionen är helt oberoende. När jag frågar under vilket departement Cnil sorterar, höjs frågande ögonbryn. Så Cnil ligger alltså direkt under presidenten? Nej, nej, om Cnil frågar, måste även presidenten svara! Slutsats: Cnil är en kommission direkt under Gud. Vad gör då dessa 17 gubbar (ja nästan, två av ledamöterna är faktiskt kvinnor). Varje år avgör man 100 200 ärenden om behandling av känsliga personuppgifter. Sett med svenska ögon verkar det ju overkill att en så stor grupp så kvalificerat folk sitter och prövar tillståndsärenden på Datainspektionen skötte ju enskilda handläggare de flesta tillståndsärendena, fram till 1998 när PuL kom och tillstånden avskaffades helt. Men då ska man komma ihåg att det inte finns några särskilda registerlagar i Frankrike. Cnil detaljreglerar all behandling av personuppgifter hos polisen, skatteförvaltningen, socialförsäkringen osv. Den nya lagen ska minska byråkratin är det tänkt. En mindre grupp med bara sex av delegaterna ska kunna fatta beslut i enklare ärenden. Cnil behandlar också klagomål och ger varningar till verksamheter som missköter sig. Varningarna publiceras officiellt, vilket är något oerhört i Frankrike har man inte samma syn på offentlighet som vi har i Sverige. Nu har det inte blivit så många varningar, sedan 1978 har 20 stycken publicerats, men man kan se ett trendbrott: i fjol delade man ut åtta varningar. Kommissionen har möten varannan vecka, oftare om det finns något brådskande ärende. För att markera sin självständighet håller man alla möten i Cnils egna lokaler. Datainspektionen förlägger ju många styrelsemöten till riksdagshuset, men för Cnil skulle något sådant vara otänkbart. Då skulle oberoendet kunna ifrågasättas. Till sin hjälp har Cnil ett kansli på 85 personer. Chefen presidenten är också senator och finns på kontoret bara två dagar i veckan, den löpande verksamheten leds av en generalsekreterare. Född sex år för sent: En ny fransk datalag Nästan sex år för sent har Frankrike nu fört in EU:s dataskyddsdirektiv i sin lagstiftning. Alla EU-länder skulle ju ha genomfört direktivet redan 1998, många var försenade, men Frankrike dröjde så länge att EU-kommissionen till sist anmälde saken till EG-domstolen. Ett maktskifte i Nationalförsamlingen (parlamentets ena kammare) ledde till att ett första förslag till ny lag förkastades 1997. Den nya regeringen beslutade om en ny utredning, som utmynnade i ett detaljerat lagförslag, Braibantrapporten, 1998. Lagstiftningsproceduren hade precis inletts när det blev maktskifte på nytt. Andra frågor ansågs viktigare än dataskydd och först i år kunde lagförslaget om dataskydd röstas igenom. Att frågan äntligen togs upp berodde troligen på att Alex Türk hade utsetts till ordförande för Cnil. Han är senator och ansvarar för arbetet kring lagförslaget i parlamentet. Den nya loi informatique et libertés trädde i kraft i augusti efter att ha granskats av det franska författningsrådet, Conseil Constitutionnel (en motsvarighet till svenska lagrådet). Granskningen ledde till att en mycket kritiserad bestämmelse ogiltigförklarades. Enligt den skulle privaträttsliga personer i vissa fall ha fått behandla uppgifter om lagöverträdelser, brottmålsdomar och säkerhetsåtgärder. Den nya lagen har fått kritik. Både medierna och föreningar som arbetar för att värna den personliga integriteten har anklagat lagstiftaren för att ha minskat skyddet för privatlivet. Kritiken gäller särskilt två punkter: Cnil har förlorat kontrollen över registren inom den offentliga sektorn. Tidigare kunde man stoppa sådana register, nu får man enbart en rådgivande funktion. Ytterligare kritik gäller att genetiska och biometriska uppgifter inte anses vara känsliga. Den nya franska lagen och vår svenska PuL baseras ju på samma EG-direktiv, men det finns skillnader. Främst gäller det kraven på tillstånd/anmälningar som kvarstår i Frankrike, om än i mindre omfattning än förut. Andra skillnader gäller personnummer och behandling av personuppgifter för journalistiska ändamål. Där är PuL mycket mer liberal. La loi ger möjlighet att utse personuppgiftsombud, en Monsieur Cnil (ja, man uttrycker sig så!). I Sverige slipper ju den som har utsett ett ombud anmäla sina behandlingar av personuppgifter till Datainspektionen. Den som har en Monsieur Cnil ska också slippa göra vissa anmälningar, exakt vilka är inte klart, man väntar på en förordning som preciserar. 5
Trots kritik från dataskyddschefer: EU vill spara uppgifter om vart du ringer och var du surfar EU vill att teleoperatörerna ska tvingas spara uppgifter om vart du ringer, mejlar, SMS:ar och surfar på nätet. Polisen ska använda trafi kdata för att lösa och förebygga brott, är det meningen. EU:s dataskyddschefer är mycket kritiska, man anser att förslaget strider mot Europarådets konvention om de mänskliga rättigheterna. DIN TELEOPERATÖR noterar uppgifter om ditt telefonerande, surfande, SMS:ande eller mejlande. Han sparar enbart data om själva trafiken, inte innehållet i meddelandena. Ändamålet med att lagra dessa s.k. trafikdata är att operatören behöver dem för att kunna ta betalt. När räkningen väl är betald ska uppgifterna raderas. MEN NU ÄR DET SÅ, att polisen kan ha stor nytta av trafikdata. Spårade telefonsamtal har varit avgörande bevis i flera brottmål, särskilt bra är mobilsamtal där man också kan se var telefonen befann sig under samtalet. Polisen har länge önskat att trafikdata ska sparas under längre tid. Dataskyddsmyndigheterna har bemött kraven med att påpeka att ett fundament för integritetsskyddet är att uppgifter enbart får användas för det ändamål som de ursprungligen har samlats in för. TRYCKET HAR ÖKAT efter den 11 september 2001 och ännu mer efter terrorattacken i Spanien i mars, där sprängladdningarna utlöstes med mobiltelefoner. Frågan har väckts i EU flera gånger och varje gång har 29-gruppen EU:s dataskyddschefer bildar en grupp som ska se till att reglerna för integritetsskydd efterlevs skrivit starkt kritiska yttranden. Några länder har redan infört regler som tvingar operatörerna att spara trafikdata i upp till 10 år. SAKEN STÄLLDES PÅ SIN SPETS i början av december, när EU:s justitieministrar möttes i Bryssel. På dagordningen fanns ett förslag till rambeslut som Frankrike, Irland, Sverige och UK hade tagit fram. Där föreslogs att EU skulle införa en gemensam regel som säger att data från allmänt tillgängliga kommunikationstjänster ska sparas i 12 36 månader för förebyggande, utredning, upptäckt och lagföring av brott och straffbara gärningar, inklusive terrorism. Förslaget inskränker sig alltså inte till telefoni, 6
Kortfattat Ska gamla konkurser få sparas i evighet? Det händer att folk nekas krediter för att de har suttit i styrelsen hos ett bolag som gick i konkurs för många år sedan. Uppgifterna är offentliga och Riksarkivet vill att de ska sparas för all framtid. Datainspektionen tycker att det är integritetskränkande och ska skriva till regeringen att det behövs gallringsföreskrifter. Styrelseledamöter i bolag som har gått i konkurs finns registrerade hos Bolagsverket (tidigare Patent- och registreringsverket). Uppgifterna är allmänna handlingar som lämnas ut och används, bland annat för kreditbedömningar. Datainspektionen har fått in flera klagomål på att uppgifterna inte gallras, något som kan ställa till problem för f.d. styrelseledamöter när de söker krediter många år efter konkursen. Uppgifter om den som har gått i personlig konkurs gallras däremot efter fem år. Datainspektionen gjorde tillsyn hos Bolagsverket och fann, att när det gäller uppgifter om juridiska personers konkurser i aktiebolagsregistret och handels- och föreningsregistret, finns det inte några föreskrifter om gallring. Det finns inte heller några gallringsföreskrifter i lag eller förordning, och det innebär att Bolagsverket för all framtid måste spara uppgifter om vilka personer som företrädde ett företag eller en förening vid ett konkursbeslut. Däremot ska Bolagsverket gallra uppgifter om fysiska personers och dödsbons konkurser, eftersom det finns gallringsbestämmelser i konkurslagen. Riksarkivet kan införa gallringsföreskrifter för registren. Bolagsverket kontaktade Riksarkivet för att diskutera frågan och fick beskedet att inga nya föreskrifter om gallring kommer att införas. Det skulle göra det svårare att återsöka information och allmänhetens nytta av registren skulle försämras avsevärt. Bolagsverket har alltså agerat helt enligt regelboken. Men Datainspektionen anser att regelboken är behöver ändras: det är otillfredsställande från integritetssynpunkt att bevara vissa av uppgifterna. Alltså behövs gallringsföreskrifter för Bolagsverkets register. Inspektionen kommer att skriva till regeringen och peka på problemet. (dnr 85-2004) även datatrafik ingår, dvs. uppgifter om vilka sajter du har besökt och till vilka adresser du har skickat mejl. Dessutom handlar det inte bara om att utreda brott utan även att förebygga, i någon mening behandlas alltså alla som misstänkta. NATURLIGTVIS HAR 29-GRUPPEN, där Datainspektionen ingår, riktat skarp kritik även mot detta förslag. I ett yttrande skriver man att man anser att hela förslaget strider mot artikel 8 i Europakonventionen om mänskliga rättigheter: Alla har rätt till skydd för sitt privat- och familjeliv, sitt hem och sin korrespondens. BESLUTET I MINISTERRÅDET blev att en arbetsgrupp ska ta fram ett förslag om vilka uppgifter som ska få sparas och hur länge. Länkar till yttrandet och förslaget finns på www.datainspektionen.se, notis 2004-12-07. Det samnordiska inspektionsprojektet (se DIrekt 3/2004) är avslutat. Ämnet var behandling av uppgifter i samband med anställning: vilka uppgifter som samlas in, vad som händer med uppgifter om personer som inte anställs och vilken information de arbetssökande får. Varje land inspekterade tre objekt. Danmark fann inga brister alls, Datatilsynet där hade nyligen givit vägledning till arbetslivet genom utskick till branscher och organisationer. Övriga länder fann brister i informationen till de registrerade, att det samlades in mer information än tillåtet och att viss information sparades för länge. Man kunde se skillnader mellan hur länderna bedömer om ett samtycke är giltigt. Det fanns också problem med rapporteringen: Finland kunde av sekretesskäl nästan inte lämna ut någon information alls, vissa av de inspekterade verksamheterna var svåra att jämföra och det fanns en del språkproblem. Trots detta var deltagarna i projektet mycket positiva till ett fortsatt nordiskt samarbete. 7
Wroclaw, Polen. Den som de senaste åren har följt dataskyddschefernas världskonferenser, har kunnat se att Privacy är ett begrepp med många ansikten. Årets konferens visade på ytterligare en innebörd: en viktig uppgift för dataskyddsmyndigheten, the Privacy Commissioner, är att se till att arkiven blir tillgängliga så att man kan göra upp med sitt förfl utna. One world, many privacies FÖR FYRA ÅR SEDAN höll dataskyddscheferna sin tjugoandra världskonferens, den gången i Venedig. Rubriken var One World, One Privacy och där och då var nog det en korrekt beskrivning av sakernas tillstånd. Privacy var något för de rika nationerna, något som Västeuropa, Kanada, Australien, Hongkong och några till sysslade med sedan ett par decennier tillbaka. Problemen som ventilerades var hämtade från i-ländernas vardag: direktreklam, kundregister, bankregister, uppgifter hos arbetsgivare, flygbolag, telebolag och liknande (se DIrekt 4/00). MEN REDAN ÅRET DÄRPÅ, det var 2001, kunde man se att italienarna hade tagit gruvligt miste. Privacy visade sig vara en företeelse som kunde ha många ansikten. Händelserna den 11 september det året hade satt djupa spår i synen på skyddet för privatlivet och två veckor senare hölls den 23:e världskonferensen i Paris. Där var rubriken Privacy a Human Right och referatet i DIrekt 3/01 hade rubriken Nu kommer världen!, Bland de grå kostymerna lyste kaftaner i starka färger och i deltagarlistan fanns länder som Sénégal, Mali, Burkina Faso och Macau. Ett skäl som fick fattiga afrikanska länder med en dator per tusen invånare att införa en personuppgiftslag var att man ville införa identitetskort och bygga upp centrala befolkningsdatabaser som kunde användas för att planera samhället och bekämpa brottslighet. Det var en helt ny syn på vad Privacy Commissioners ska syssla med. I FJOL HÖLLS KONFERENSEN i Sydney; en mängd representanter för asiatiska länder hade kommit till Australien och de hade med sig sin egen filosofi: individen har liten betydelse, vi satsar på kollektivet, men dataskydd behövs för att sätta snurr på e-handeln. Just nu samarbetar 21 länder i Asien och Stillahavsregionen för att ta fram gemensamma regler för Privacy. De har inte en tanke på att kopiera den europeiska modellen; arbetet handlar inte om integritetsskydd som en rättighet för alla människor, utan huvudmålet är bättre affärer. De 21 länderna behärskar hälften av världshandeln... I ÅR VAR DET den ganska nya polska dataskyddsmyndigheten som stod värd för den 26:e konferensen i den gamla universitetsstaden Wroclaw (Breslau på tyska) nära gränsen mot Tjeckien. Det var första gången en gammal öststat arrangerade konferensen, rubriken var A Right to Privacy, a Right to Dignity, och mycket kom att handla om ytterligare en aspekt på begreppet Privacy : tillgången till arkiv från gamla förtryckarregimer i bland annat Polen, DDR och Argentina. I de länderna är det många som anser att dataskyddsmyndighetens främsta uppgift är att se till att arkiven blir tillgängliga så att man kan göra upp med sitt förflutna. DATASKYDDSMYNDIGHETERNA i de gamla öststaterna har bildat ett samarbetsorgan, CEEC, Cooperation of the Central and Eastern Europe Countries, där Estland, Lettland, Litauen, Polen, Tjeckien, Slovakien, Ungern och Bulgarien ingår. För att få vara med ska landet ha en oberoende dataskyddsmyndighet och ha ratificerat Europarådets dataskyddskonvention. Bland mycket annat ägnar 8
man sig åt att leta efter register med uppgifter om tidigare hemliga agenter. ETT TEMA som har återkommit de senaste åren är konflikten mellan säkerhet och integritet. En som inte skräder orden är Marc Rotenberg, chef för den amerikanska medborgarrättsorganisationen Epic som just hade släppt årets upplaga av den stora rapporten Privacy & Human Rights (se notis nedan). Där fanns så många nya hot mot integriteten dokumenterade, att Rotenberg lade sitt ursprungliga manuskript åt sidan för att i stället hålla ett brandtal. Visserligen, sa han, stoppade opinionstrycket det heltäckande övervakningssystemet Capps, Computer-assisted Passenger Prescreening System, som planerades av DHS, Department of Homeland Security, USA:s mäktiga organ för bland annat gränskontroll. Men nu jobbar man i stället på ett nytt system som har hämtat flera ingredienser ur Capps. Och det är bara ett av många exempel. Vem övervakar övervakarna?? Gör något nu! var Rotenbergs uppmaning till de församlade dataskyddscheferna. Det är nu som institutionerna som ska skydda privatlivet testas. Nu är folk räddare än någonsin och det är nu som myndigheterna flyttar fram sina positioner! Läs Orwells 1984! Inte för att se vad som ska hända utan vad som kan hända om ni inte agerar. Den som byter bort sin integritet mot säkerhet, förtjänar varken integritet eller säkerhet! DET VAR JU ORD OCH INGA VISOR. Men det var ett undantag. Övriga inlägg i ämnet och de var många innehöll allmänt hållna varningar för att säkerhetsåtgärderna på många håll riskerar att skada den frihet man vill skydda. Uttryck i stil med It s a complicated issue, perhaps it could be worthwhile to have a broader discussion about it var vanliga. En representant för DHS var på plats och bedyrade att man väger in integritetshänsyn i alla sina aktiviteter. STEFANO RODOTÁ, Italiens dataskyddschef, sammanfattade konferensen: We think we are dealing with privacy, but we are dealing with the destiny of our society! Men om Rodotá som vanligt uttryckte sig både pampigt och elegant, var det allmänna intrycket av konferensen att föreläsarna höll sämre kvalitet än vanligt. Det var mycket innantilläsning och få illustrationer; vi i publiken hade ofta väldigt tråkigt. Nästa år hålls konferensen i Schweiz. Kan begreppet Privacy visa upp ytterligare ett nytt ansikte där? Ett ansikte som bättre (och mer engagerande) gör rättvisa åt dessa viktiga frågor. Leif Stenström Resolutioner Under en världskonferens drar sig dataskyddschefer i olika konstellationer tillbaka i slutna sessioner för särskilda överläggningar. Det resulterar ofta i resolutioner, från Wroclaw kan två nämnas särskilt: Alla de 46 närvarande dataskyddscheferna enades om att be ISO, the International Organisation for Standardisation, att ta fram internationella standarder för privacy och privacy technologies. Man vill också att ett liggande förslag om dataskydd arbetas om. EU:s dataskyddschefer träffades i ett eget möte och beslöt då att överlämna en resolution till EU-kommissionen där man begär resurser sekretariat, lokaler och översättning för arbetet med tillsynen av dataskydd under den tredje pelaren, vilket i det här fallet främst innebär tillsynsmyndigheterna för Schengen, Europol, tullen och Eurojust. Arbetet är viktigt, skriver man, men det går inte att hålla tider och kvalitet utan basresurser liknande dem som 29-gruppen (första pelaren) har fått av kommissionen. Privacy & Human Rights 2004 Marc Rotenberg är chef för Epic, the Electronic Privacy Information Center i Washington DC, som arbetar med mänskliga rättigheter och integritetsfrågor. Sedan 1997 publicerar man i samarbete med sin brittiska motsvarighet Privacy International rapporten Privacy & Human Rights, en mäktig översikt där man tar pulsen på integritetsskyddet och övervakningen i världen. I årets upplaga granskas 60 länder på 775 sidor (och 4 000 fotnoter med källhänvisningar!). Särskild uppmärksamhet har ägnats åt vad som har hänt i spåren efter den 11 september 2001, hur lagar har ändrats och hur nya tekniker kommer till användning. Efter kraven från USA att alla besökare ska ha pass med biometriska data har de flesta av de 60 länderna börjat förbereda sådana dokument med fingeravtryck, ansiktsform eller irismönster. Vissa länder planerar t.o.m. RFID i passen så att de kan avläsas på avstånd. Flera länder samordnar de nya passen med nationella id-kort, exempelvis UK och Kanada, där tidigare planer på id-kort har stoppats av folkliga protester. USA har också inrättat ett väldigt register, US-Visit, med fingeravtryck från alla som reser in i landet. USA, Kanada, Australien och flera andra länder arbetar också på system som gör profiler på flygpassagerare för att identifiera tänkbara terrorister. Där är ett bland flera problem att man lätt förlorar kontrollen över vart passagerardata tar vägen när de sänds mellan länderna. Många länder har ändrat lagar och fört in nya lagar för att underlätta terroristjakten. Några, däribland Sverige, pekas ut för att terroristlagar också kan användas för andra ändamål. I Sveriges fall gäller det lagen 2003:148 om straff för terroristbrott där definitionen på terroristbrott anses vara svår att skilja från vanliga brott. Bland andra ämnen som rapporten tar upp kan nämnas kameraövervakning, DNA-register, smarta kort och spam. Hela texten finns på www. privacyinternational.org. Boken kan beställas på www.epic.org. 9
Nya skrifter Bankerna måste informera om inspelade telefonsamtal Den som spelar in kundsamtal digitalt måste informera om det när man lämnar registerutdrag enligt PuL. Om kunden kräver det ska inspelningen lämnas ut. När Datainspektionen undersökte bankernas rutiner visade det sig att bara varannan bank som spelade in samtal nämnde det i sina registerutdrag. Enligt PuL (26 ) har du rätt att få veta om en myndighet eller ett företag behandlar uppgifter om dig och vad som i så fall finns registrerat. Om du skriver och begär det, ska du få ett registerutdrag. Datainspektionen har inventerat hur bankerna hanterar de ansökningar om registerutdrag som kommer in. Ett frågeformulär sändes ut till 30 banker och resultatet redovisas i rapporten 2004:3 Hur hanterar banker en ansökan om registerutdrag? Det visade sig att det är ganska ovanligt att bankkunder utnyttjar rätten till utdrag. Mindre än hälften av de 30 bankerna hade över huvud taget fått in någon ansökan under det senaste året, bara fem banker hade fått i mer än 20 stycken. Hälften av bankerna gjorde digitala inspelningar av samtal med sina kunder. En sådan inspelning kan vara behandling av personuppgifter. Själva inspelningen behöver inte ingå i registerutdraget, men banken ska informera om att man spelar in kundsamtal. Om kunden återkommer med en uttrycklig begäran om utdrag av en inspelning, ska banken tillgodose begäran om det är möjligt med befintlig teknik. I övrigt fick bankerna i stort sett godkänt. De flesta hade riktlinjer för hur ansökan om registerutdrag ska hanteras. En fjärdedel av bankerna lämnade ingen information om varifrån uppgifterna hade samlats in. Några lämnade ut uppgifter om andra personer än den som hade begärt utdraget familjemedlemmar, medlåntagare, juridiska biträden m.fl. och det får man inte göra. Rapporten kan hämtas på www.datainspektionen.se. En tryckt utgåva kostar 50 kr + moms och kan beställas på webbplatsen eller per telefon 08-657 61 42. Personuppgiftsombud Ombuden blir stadigt fler Antalet verksamheter med personuppgiftsombud ökar stadigt. I dagsläget är 3 600 personer anmälda som ombud för totalt 5 600 företag, myndigheter, föreningar och organisationer, en ökning med 5 procent under 2004. Ett ombud kan representera flera verksamheter, det är till exempel vanligt att flera kommunala myndigheter har samma ombud. Vart tredje ombud är kommunalt För att kunna skicka riktad information till personuppgiftsombuden har vi sorterat upp ombudsregistret i ett antal kategorier. Då visade det sig att vart tredje ombud finns i kommuner eller kommunala bolag. En annan stor grupp är aktiebolag, där finns också en tredjedel av ombuden. Övriga grupper är mindre, ideella organisationer står för sju procent, finansbolag och religiösa samfund är ungefär jämnstora, cirka fyra procent vardera. Vårens utbildningar I vår anordnar Datainspektionen åtta seminarier för personuppgiftsombuden: fyra grundseminarier (Steg 1) och fyra fördjupningsseminarier (Steg 2). Steg 2-seminarierna i Stockholm är särskilt inriktade på privat resp. offentlig verksamhet. Så här ser planerna för våren ut. Program och mer information på www.datainspektionen.se, där du också kan anmäla dig. 16 februari Stockholm Steg 1 17 februari Stockholm Steg 2, offentlig verksamhet 14 mars Stockholm Steg 1 15 mars Stockholm Steg 2, privat verksamhet 11 april Stockholm Steg 1 12 april Stockholm Steg 2, offentlig verksamhet 24 maj Göteborg Steg 1 25 maj Göteborg, Steg 2, offentlig + privat verksamhet 10
Kortfattat Bandat samtal bevisar avtal En kvinna fick en faktura från teleoperatören Optimal Telecom Sverige AB (Optimal) som hon hävdade att hon inte hade tecknat avtal med. Men företaget hade spelat in ett telefonsamtal då en av företagets säljare avtalade med kvinnan om att hon skulle ha Optimal som förval. Fallet anmäldes till Datainspektionen, som granskade företagets rutiner för inspelning av samtal. Optimal spelar in samtalen digitalt, vilket innebär att PuL gäller. Man berättade att så kallad muntlig accept ofta ersätter skriftliga avtal när telekombolag träffar avtal med sina kunder. För att bolaget ska kunna fullgöra sina förpliktelser måste den del av samtalet som innehåller själva avtalet spelas in och sparas. Enligt en samtalsmall som används ska kunden tydligt informeras om att uppgifter kommer att spelas in. Under inspelningen går säljaren genom erbjudandet, villkoren, ångerrätten samt konsumentens personuppgifter för att bekräfta beställningen. Inspelningen påbörjas endast om kunden önskar bli kund. Om personuppgifter samlas in från personen själv, säger PuL (25 ) att hon ska få information om vem som är personuppgiftsansvarig, ändamålen med behandlingen, och övrig information som hon behöver för att kunna ta till vara sina rättigheter i samband med att uppgifterna behandlas, t.ex. rätten till registerutdrag och att felaktiga uppgifter ska rättas. Optimal informerar om avtalsvillkoren och att samtalet spelas in, men däremot lämnar man inte information enligt PuL. I sitt beslut (dnr 521-2004) konstaterar Datainspektionen att Optimal har behandlat personuppgifter i strid med PuL:s bestämmelser om information och förutsätter att man i fortsättningen kommer att lämna sådan information. När det gäller samtycke gäller följande: Ett samtycke enligt PuL är varje slag av frivillig, särskild och otvetydig viljeyttring genom vilken den registrerade, efter att ha fått information, godtar att uppgifter som rör henne behandlas. Vid telekomförsäljning sluts avtal per telefon, något alternativ erbjuds inte. Om en konsument först får fullständig information enligt PuL och därefter önskar bli kund anses hon ha lämnat sitt samtycke till den behandling av personuppgifter som den digitala inspelningen innebär. Hur vill du ha i fortsättningen? På www.datainspektionen.se Magazinen kan laddas hem i PDF-format från vår webbplats. Prenumerera på vårt nyhetsbrev så får du ett e-brev när något nytt publiceras på vår webbplats, t.ex. ett nytt nummer av magazin DIrekt. Anmäl dig som prenumerant på www.datainspektionen.se. Med post Vi kan också sända dig en tryckt utgåva av magazin DIrekt. Fyll i uppgifterna på kupongen här nedanför och skicka eller faxa den till oss. Du kan också e-posta uppgifterna eller anmäla dig på vår webbplats. Det är gratis! magazin DIrekt produceras av Datainspektionen, Box 8114, 10420 Stockholm Tel: 08-657 61 00 (växel), 08-657 61 42 (beställningar) Fax: 08-6528652 E-post: datainspektionen@datainspektionen.se Webbplats: www.datainspektionen.se Layout: Datainspektionen Foto och illustration: Comstock Images s. 1-2, Stone/Jana Leon s. 4, Otto Dickmeiss s. 6-7. Ansvarig utgivare: Göran Gräslund Redaktör: Leif Stenström. ISSN 1404-7832 JA! JAG VILL HA MAGAZIN DIREKT MED POST Brevporto SKRIV TYDLIGT! (Du behöver inte svara om du tidigare har skickat in kupongen eller om du hämtar DIrekt via Internet) Företag/myndighet/organisation... Personnamn... Postadress... DATAINSPEKTIONEN BOX 8114 104 20 STOCKHOLM Jag medger att uppgifterna dataregistreras för administration av prenumerationen 11
B PORTO BETALT Anmälningar, till vilken nytta? Datainspektionen Box 8114 10420 Stockholm JAG HAR BESÖKT några av våra systermyndigheter och förundrats över att samma basdokument EU:s dataskyddsdirektiv kan leda till så olika arbetssätt. Den största skillnaden är synen på tillstånd och anmälningar. NÄR PUL INFÖRDES var vi i Sverige helt klara över vad som var den stora revolutionen. I 25 år hade Datainspektionen suttit där i sin himmel och i tusen och åter tusen tillstånd detaljreglerat vad som fick och inte fick finnas i olika register. Men nu skulle ansvaret flyttas ut dit det hörde hemma: till dem som registrerade, till de personuppgiftsansvariga. De skulle se till att följa lagen, Datainspektionen skulle ge råd och kontrollera. DET VAR VACKERT TÄNKT. Och rätt, tycker jag. En myndighet ska inte sitta och detaljstyra. Det var också realistiskt. Det finns så ohyggligt många register, det finns inte resurser att kontrollera alla papper och samtidigt informera och inspektera. Dessutom: de som hörde av sig var De Snälla, de som vill göra rätt. Varför ägna all kraft åt dem, bättre då att satsa de knappa resurserna på missbruket. EFTER DE PRINCIPERNA HAR VI ARBETAT sedan 1998. Och det har gått fint. Man glömmer ofta bort att PuL faktiskt fungerar utmärkt när det gäller det som direktivet egentligen handlar om traditionella personregister. Visst har PuL kritiserats, men det har oftast gällt problem med att hantera allt möjligt annat som lagen egentligen inte är gjord för, men som med tiden har sorterats in under begreppet behandling av personuppgifter : Internetpublicering, digital bildbehandling, digitala röstinspelningar, fingeravtryck, ja t.o.m. lögndetektorer. ANMÄLNINGARNA som föreskrivs i PuL har vi begränsat så mycket det bara går. Det allra känsligaste ska förhandskontrolleras, men registret som Inga Jansson för över sina kunder i skoaffären blir inte bättre av att hon anmäler det till Datainspektionen. Anmälningar kan förvisso användas som underlag för inspektioner, men som sagt: varför ska De Snälla kontrolleras särskilt? DÄRFÖR BLIR MAN FÖRUNDRAD när man kommer till Frankrike. Där kretsar allt kring anmälningar. En miljon har man lyckats samla in. Till vilken nytta? De lär sig reglerna när de fyller i blanketten. Fan trot! Men detta tillåts ta massor av tid som skulle kunna användas till information och tillsyn. I Danmark ser det ut på samma sätt. Deras lag hindrar undantag från anmälningsplikten och tvingar Datatilsynet att kontrollera alla blanketter. Det blir inte ens resurser över till att anställa en enda informatör! MED VISS ORO ser jag nu att en arbetsgrupp inom EU arbetar med att harmonisera dataskyddsmyndigheternas sätt att hantera anmälningar. Bevare oss för nya dekret som tvingar oss att börja sortera blanketter igen! Leif Stenström DATAINSPEKTIONENS INFORMATIONSCHEF NÄSTA NUMMER KOMMER I MARS.