PROMEMORIA Datum Vår referens Sida 2015-11-12 Dnr: 1(7) Nätsäkerhetsavdelningen Gustav Linder Mötesanteckningar, Integritetsforum 23 april 2015 kl. 9-12 Inledning Jeanette hälsar välkomna. Introduktionsrunda. Säkerhets- och integritetsskyddsnämnden, SIN, och dess arbete Anna Backman, tf enhetschef (Säkerhets- och integritetsnämnden) presenterade sin myndighets arbete med tillsyn över de brottsbekämpande myndigheternas användning av hemliga tvångsmedel enligt rättegångsbalken och inhämtning av uppgifter enligt lagen om inhämtning av uppgifter om elektronisk kommunikation (IHL) i de brottsbekämpande myndigheternas underrättelseverksamet. Bakgrund till polisens utökade möjligheter att använda hemliga tvångsmedel presenterades. 2008 fick Sverige kritik efter en fällande dom från EUdomstolen i målet Segerstedt-Wiberg eftersom det saknas effektiva rättsmedel för enskilda som utsatts för användning av hemliga tvångsmedel. SIN tillsätts som tillsynsorgan med uppgift att värna rättsäkerheten och skyddet för den personliga integriteten inom den brottsbekämpade verksamheten. Myndigheten utövar tillsyn över Polismyndigheten, Åklagarmyndigheten, Ekobrottsmyndigheten, Tullverket och Säkerhetspolisens kvalificerade skyddsidentiteter, personuppgiftsbehandling, hemliga tvångsmedel och därmed sammanhängande verksamhet. Därefter presenterades närmare nämndens organisation och hur tillsättning till går till. Efter detta följde en genomgång av nämndens huvudsakliga arbetsmetoder. Post- och telestyrelsen Postadress: Besöksadress: Telefon: 08-678 55 00 Box 5398 Valhallavägen 117A Telefax: 08-678 55 05 102 49 Stockholm www.pts.se [email protected] Sida 2(7) Kontroll på begäran av enskild Kontroll på begäran om den enskilde i strid med lag utsatts för hemliga tvångsmedel eller varit föremål för polisens personuppgiftsbehandling. Förekomstförfrågan ställs till Åklagarmyndigheten (ärenden enligt RB), Polismyndigheten, Säkerhetspolisen och Tullverket (ärenden enligt IHL). Fördjupad kontroll utförs om personen förekommer. Remiss vid oklarheter/felaktigheter. Underrättelse lämnas till den enskilde när kontrollen är klar om det förekommit några olagligheter eller ej, men denne får inte veta om den varit utsatt för hemliga tvångsmedel eller ej. SIN har däremot skyldighet att anmäla eventuella felaktigheter till JK och åklagare. Initiativärenden Nämnden upprättar fokusområden och tillsynsplaner enligt regeringsuppdrag, riskanalys, spridning av tillsynen, media och enskilda ärenden. Metoderna som används är skrivbordsgranskning (vanligast), inspektioner, stickprov, intervjuer (ingår i inspektion) och enkäter (nästan upphört). Efter avslutat ärende fattas beslut om uttalanden. Nämnden har inga skarpa sanktionsverktyg utan arbetar med uppföljande granskningar och sina anmälningsskyldigheter. Därefter följde en genomgång av de specifika lagrum som reglerar de brottsbekämpande myndigheternas möjligheter att inhämta uppgifter från telekomoperatörer. Hemlig avlyssning av elektronisk kommunikation (HAK) Hemlig avlyssning får endast användas vid förundersökning. Tvångsmedlet regleras i rättegångsbalkens 27 kap 18 §. Tvångsmedlet innebär att myndigheten får tillstånd att tillgodogöra sig både ett elektroniskt meddelandes innehåll och trafikdata. För att få använda hemlig avlyssning krävs som huvudregel att brottet som förundersökningen avser har två års fängelse som lägsta straff i straffskalan. Om det kan antas att ett brotts straffvärde kommer att överstiga två års fängelse kan tillstånd också meddelas. Hemlig övervakning av elektronisk kommunikation (HÖK) Hemlig övervakning får också endast användas vid förundersökning. Tvångsmedlet regleras i rättegångsbalkens 27 kap 19 §. Tvångsmedlet innebär att myndigheten får tillgodogöra sig ett elektroniskt meddelandes trafikdata. Lägsta straffvärde för att få använda hemlig övervakning är lägre, endast 6 månader. Post- och telestyrelsen 2 Sida 3(7) Beslut om användning av HAK och HÖK meddelas av rätten på åklagarens begäran eller, om ärendet är brådskande, av åklagaren själv. Inhämtning enligt IHL Lagen reglerar inhämtning av uppgifter i de brottsbekämpande myndigheternas underrättelseverksamhet. Enligt IHL kan de brottsbekämpande myndigheterna själva besluta om inhämtande av vissa trafikuppgifter om det behövs för att förebygga, beivra eller upptäcka brottslig verksamhet. Med undantag för att bestämma en viss terminalutrustnings positionering får inhämtningen endast avse historiska uppgifter. Även här gäller ett krav på minst två års fängelse i straffskalan, med undantag för systemhotande brottslighet. Åtgärden ska vara av särskild vikt för utredningen och grundas på faktiska omständigheter (ej antaganden o. dyl.). Myndigheten måste underräta SIN senast en månad efter att inhämtningsärendet avslutats. SIN har noterat följande vanliga brister i IHL-ärenden:     Formkrav ej uppfyllda 2 års-gränsen ej uppnådd Otillåten realtidsinhämtning Sena eller uteblivna underrättelser Nämndens arbete med kvalificerad skyddsidentitet presenterades: Särskilt beslutad skyddsidentitet för polis/säpo-anställda. En person får oriktiga personuppgifter som kan införas i statliga register och användas i identitetshandlingar (t.ex. pass.) Frågor från åhörarna. Dataskyddsförordningen (GDPR) och Safe Harbor Eva Maria Broberg, jurist vid Datainspektionen. General Data Protection Regulation. Dataskyddsförordning och nytt direktiv om dataskydd i brottsbekämpande verksamhet. Förordningen Förordningen har varit ett projekt sedan ett förslag från EU-kommissionen mars 2012. Därefter lämnade Europaparlamentet sitt yttrande mars 2014. Rådets ståndpunkt kom i juni 2015. Därefter har man förhandlat genom trialoger. Gemensamt beslut av Europaparlamentet och rådet väntas i dec 2015. Ikraftträdande 1 jan/1 juli 2018? Framställningen av förordningens sakinnehåll baserades på rådets generella ståndpunkt från juni 2015. Post- och telestyrelsen 3 Sida 4(7) Förordningen ersätter direktivet och PUL. Visst utrymme för nationella regler vad gäller myndigheters personuppgiftsbehandling. Huvudanledningarna för förordningen anges vara harmonisering, stärkta rättigheter för enskilda samt stärkt samarbete mellan dataskyddsmyndigheter i EU. Det materiella tillämpningsområdet kvarstår i stort sett oförändrat. Det territoriella tillämpningsområdet utökas till att omfatta etablerade biträden i EU samt etablerade aktörer utanför EU men som erbjuder varor och tjänster inom EU eller övervakar enskildas beteenden inom EU. Nya definitioner: Pseudonymisering, huvudsakligt etableringsställe, profiling osv. Grundläggande principer, regler om tillåten behandling, känsliga uppgifter (inkl. genetiska uppgifter) finns kvar. Förtydligande regler om registrerades rättigheter. Rätt till information (inkl. profilering), åtkomst, rättelse, radering (”rätten att bli bortglömd”), dataportabilitet (t.ex. vid byte av leverantör) och rätt att motsätta sig behandling. Data protection by design: Inbyggda mekanismer i systemet som skyddar den enskildes integritet. Data protection by default: Systemet ska vara utformat på så vis att så få personuppgifter som möjligt behöver behandlas som utgångspunkt. Krav på biträden. Anmälningsskyldighet, DPIA. Förhandskontroll av dataskyddsmyndigheten. Tredjelandsöverföring: Krav på grund, adekvat skyddsnivå, standardavtalsklausuler eller särskilda undantagssituationer. Binding Corporate Rules. Kommissionen ska kunna besluta om Safe Harbor enligt nya direktivet. Dataskyddsmyndigheter kommer även i framtiden att kunna granska enskilda överföringar till tredje land. Krav på oberoende nationell tillsynsmyndighet. Nya regler om ”lead authority”. Nya samarbetsformer: Mutual assistance, joint operations, standardiserat informationsutbyte. Utökad klaganderätt, rätt till rättsmedel, skadestånd osv. Frågor från åhörarna. PTS – Avslutade och pågående tillsyner  Samtycke Karin Lodin, PTS, berättar om inhämtning av samtycke enligt LEK. 10 avslutade tillsyner. Tillsynen var avgränsad till marknadsförings-, abonnentupplysnings- och trafikhanteringsändamål. Form och innehåll. Post- och telestyrelsen 4 Sida 5(7) Resultatet ska bli en vägledning för hur samtycke ska inhämtas, tillämplig på samtliga behandlingar som kräver samtycke enligt LEK. Samtycke tolkas enligt PUL. Samtycket ska vara frivilligt, särskilt, otvetydigt och individuellt. Man ska också ha fått del av viss obligatorisk information, nämligen vilka uppgifter, ändamålet med behandlingen, vilken sorts behandling och (om trafikuppgifter) hur länge. Samtycke krävs för behandling av trafikuppgifter, lokaliseringsuppgifter, innehåll och trafikuppgifter, portering av nummer, behandling i abonnentförteckning och användning av kakor. Tillsynen har kommit fram till att det föreligger brister i formerna för inhämtande av samtycke och den information som ska delges abonnenten. Samtycket ska inte kunna tolkas som ett avtalsvillkor. Informationen ska vidare vara lättförståelig, tydlig och fixerad. Operatören har bevisbördan för att ett giltigt samtycke föreligger. Informationen måste anpassas därefter. Det är inte heller tillräckligt att hänvisa till information på en webbplats. Om stödet för behandling är samtycke så måste det tydligt framgå. Det är olämpligt att inhämta samtycke för behandlingar som inte kräver det. Förändrad behandling kräver nytt samtycke enligt samma regler som det första samtycket. Det måste vara tydligt vilka uppgifter som ska behandlas och generella skrivningar bör undvikas. Man ska också undvika skrivningar som hänvisar till ändamålet för behandlingen. Beskrivningen av ändamålen måste anpassas efter en genomsnittlig abonnent. Vida beskrivningar t.ex. ”för att kunna uppfylla avtalet”, bör undvikas. Man bör också ange vad för sorts behandling som avses. Tidsangivelsen för trafikuppgifter måste vara specifik (ej ”så länge det behövs”). Samtycket kan alltid återkallas. Vilseledande att ange att ”vissa” samtycken kan återkallas. Om samtycket är nödvändigt för tjänsten kan man villkora tillhandahållet med att samtycke föreligger. Mer information kommer i vägledningen. Frågor från åhörarna.  Kundplacerad utrustning (CPE) Anders Lindell, PTS, redogör kort för denna tillsyn som inleddes förra året efter att sårbarheter i kundplacerad utrustning (modem etc) Post- och telestyrelsen 5 Sida 6(7) uppmärksammats. Tillsynen är i slutfasen och beslut kommer om några veckor.  Ersättning vid trafikdatalagring Anders Lindell, PTS, redogör även för denna tillsyn om efterlevnaden av PTS föreskrifter om ersättning för trafikdatalagring. Beslut kommer om några veckor. Information från PTS om aktuella frågor  Kommissionens artikel 4-möte om incidentrapportering och diskussion om underrättelser till abonnenter och användare gällande integritetsincidenter Staffan Lindmark, PTS, går igenom specialreglerna på telekom-området för personuppgiftsbrott som kommer att fortsätta gälla i förhållande till den nya dataskyddsförordningen. Begrepp som ska tolkas enligt PUL kommer dock istället tolkas enligt dataskyddsförordningen. Kommissionen har dock indikerat att man vill se över e-privacydirektivet i en ”open-ended process”. Individer ska underrättas om en integritetsincident har inträffat och den har upptäckts av operatören. Incidenten ska kunna antas inverka menligt på abonnentens eller enskild persons personuppgifter eller integritet. Det gäller inte bara de egna abonnenterna utan även andra enskilda individer. Underrättelse ska vidare lämnas om tjänstetillhandahållaren inte kunnat påvisa att man vidtagit lämpliga tekniska skyddsåtgärder så att uppgifterna är oläsbara av obehöriga (kryptering). Underrättelse ska lämnas utan onödigt dröjsmål efter att upptäckten skett. Tidpunkten för underrättelse ska vara oberoende av när incidenten anmäls till PTS. PTS kan godkänna uppskov med underrättelsen i exceptionella fall om underrättelsen skulle kunna äventyra en korrekt utredning av incidenten (intern eller rättslig/brottslig). Samma tidsfrist gäller oavsett på vilket sätt underrättelse sker. Underrättelsen ska alltid innehålla samtliga uppgifter som anges i bilaga II till förordning 611/2013. Man får även lägga till ytterligare information gällande incidenten. Underrättelsen får inte innehålla annan information och särskilt inte marknadsföring eller information om nya eller kompletterande tjänster. Det är också olämpligt att foga informationen till Post- och telestyrelsen 6 Sida 7(7) en faktura. Innehållet ska vara tydligt och lättbegripligt i förhållande till den genomsnittlige abonnenten. Kommunikationssättet ska säkerställa att informationen snabbt kan tas emot. Kommunikationen ska också vara säkrad på ett lämpligt sätt enligt den senaste tekniken. Det finns möjlighet att lämna underrättelse via annonsering. Detta får ske om tjänstetillhandahållaren har vidtagit rimliga ansträngningar för att identifiera alla individer som kan påverkas menligt av incidenten. Om alla dessa inte kan kontaktas så får man i andra hand använda sig av annonsering för att nå ut till individerna. Annonsering får ske i större regionala eller nationella medier inom den normala tidsfristen för underrättelse. Eventuellt kan man bli tvungen att använda annonsering om man inte lyckas identifiera samtliga berörda individer inom den normala tidsfristen, men detta har inte prövats i ett enskilt fall. Denna sista punkt gav upphov till en livlig diskussion och frågor. Övrigt Nästa möte föreslås till torsdag 14 april 2016. Post- och telestyrelsen 7