Sammanfattning 2013 Konferens Persondataskydd – ännu en gång

Här följer en kort sammanfattning av några presentationer vid konferensen Persondataskydd – ännu en gång, Rättsläget i avvaktan på resultatet av EU:s reformarbete, 19 november 2013. Hela programmet finns här (pdf) och presentationer är publicerade här.

Cecilia Magnusson Sjöberg öppnade konferensen.

Staffan Wikell, SKL, presenterade EU:s reformarbete. Efter en kort genomgång av nuvarande lagstiftning diskuteras Kommissionen:s förslag. De grundläggande principerna i förslaget är samma som tidigare. Förslaget var resultatet av ett samarbetet mellan Kommissionen, näringslivet, forskare och medlemsstaterna som hade pågått under 2 år. Anledningen varför förslaget avser en förordning i stället för ett direktiv var den bestående fragmentering av regelverket som bygger på dataskyddsdirektivet från 1995. Med 91 artiklar har förslaget dubbel så många bestämmelse som dagens dataskyddsdirektiv.

När förslaget behandlades i LIBE utskottet (Utskottet för medborgerliga fri- och rättigheter samt rättsliga och inrikes frågor) las ursprungligen ca 3000 ändringsförslag fram. LIBE ville stärka individernas rättigheter, vilket ledde till många diskussioner både inom utskottet och i medierna. Den 21 oktober 2013 beslutade LIBE om sitt betänkande som innehåller 104 ändringar till KOM förslaget.

De viktigaste ändringar i förslaget gäller bl.a. den registrerades rättigheter genom att rätt till information ökas, dataportabilitet införs och rätt till radering utvidgas. Genom förordningen kommer både dataskyddsdirektivet och den svenska personuppgiftslagen upphöra att gälla. Förslaget innehåller en blandning av allmänna bestämmelser och detaljreglering. Delegerade akter infördes som ger Kommissionen rätt att lagstifta i viss mån. Dessa har kritiserats och i LIBE betänkandet minskas antalet från 26 till runt 7.

En annan nyhet i förslaget är den territoriella räckvidden; förordningen kommer även gälla för registeransvariga som inte är etablerade inom EU, men som erbjuder produkter eller tjänster som rikas till konsumenter inom EU.

Konferensen fortsatte med en paneldiskussion där Karl-Fredrik Björklund, Staffan Malmgren, Jane Reichel, Daniel Westman och Staffan Wikell diskuterade vad som är bäst respektive sämst med EU:s reformarbete.

Daniel Westman tyckte att fokus på frågorna om personlig integritet ökas pga förslaget vilket är en bra effekt som kan leda till större praktiskt genomslag av regelverket. En nackdel med förslaget är dock att den innebär en one-size-fits-all lösning; dataskydd ses som en rättighet i sig inte som en instrument vilket påverkar effektiviteten i lagstiftningen negativt. Lagstiftning borde i stället tar sikte på vissa beteenden och omfattar en blandning av allmänna bestämmelser och specifika regleringar för vissa verksamheter, t.ex. registerlagar för privata aktörers verksamheter.

Jane Reichel såg som fördel med förslaget en större enhetlighet inom EU och större harmonisering vilket leder till bättre rörlighet. En nackdel är dock den starka myndighetsstruktur som föreslås genom utökade kompetenser och möjligheter för dataskyddsmyndigheter. Tillsammans med en ny mekanism för enhetlighet (consistency mechanism) där frågor kan ställas till Kommissionen hur regelverket ska tolkas, blir perspektivet mycket snävt endast på dataskydd och ta inte hänsyn till andra relaterade områden. Detta leder till en annan typ av fragmentisering. På så sätt kan det talas om “administrative activism” i stället för “judicial activism”.

Karl-Fredrik Björklund ansåg det bästa med förslaget är harmonisering, en förstärkt roll av personuppgiftsombud som en slags internrevisor med ökade kompetenskrav. Dessa krav behöver inte vara juridiska eller tekniska, men något som visar att personuppgiftsombudet har förståelse för hanteringen av personuppgifterna i verksamheten. Det som är sämst med förslaget är mindre flexibilitet, t.ex. ingen möjlighet för missbruksprinciper som finns i dag enligt svensk lag.

Staffan Malmgren tyckte att det bästa med förslaget är att det tar hänsyn till den tekniska utvecklingen, bl.a. genom dataportabilitet och juridiska krav på det vilket betyder att datamodellerna måste anpassas och uppfyller en viss standard. Det som är sämst är osäkerheten kring undantagen speciellt med tanke på yttrandefriheten. I dag är regelverket väl utvecklat och speglar en balans som funnits mellan personlig integritet och yttrandefrihet. Hur förslaget påverkar denna balans är oklart i dags läget. Staffan förslår även en “agil lagstiftningsteknik” som tar hänsyn till beteenden som regleras just nu i förslaget kanske är föråldrade när förordningen väl antagits.

Staffan Wikell ansåg en utmaning med förslaget är att regelverket egentligen tar sikte på företag, även om de gäller också inom den offentliga sektorn. Yttranderiheten kommer finnas kvar, men oklart hur, eftersom den svenska personuppgiftslagen kommer upphöra att gälla försvinna, så en ny svensk lagstiftning behövs i detta avseende.

Efter panelen diskuterade lagstiftaren, forskare, Tillsynsmyndigheten, praktikern, journalisten och domaren vad som står högst på agendan.

Mats G. Hansson, Centre for Research ethics and Bioethics (CRB) framhävde vikten av identifikation och värdering av riskfaktorer, t.ex. genetisk risk, livsstil, miljö, socioekonomi, för preventiv förebyggande av sjukdomar. Medicinsk forskning har alltid byggt på frivillig riskexponering, men kräver användning av register, enkäter, osv. Statistik möjliggör att vissa idéer angående samband mellan orsaker och sjukdom prövas. Därför behövs sjukdomsspecifika register, populationsbaserade register och persondata i medicinska journaler. Utmaningen med dataskyddsreglering är att ändamålen inte alltid är specifierbara eftersom nya ändamål kan dyka upp i framtid forskning. Samtycke och förtroende är mycket viktiga för användning av registrerna. Ska dock i så fall ett nytt samtycke inhämtas varje gång forskningen leder till nya ändamål? Ju mer specifika ändamålsangivelse behövs enligt lag desto sämre nytta kan registren ha för forskningen. Med andra ord, möjligheterna försämras trots att integritetsskyddet är inte optimalt heller. Ett brett ändamål är inte nödvändigtvis lika med ett vagt ändamål.
Det behövs standarder för datasäkerhet, transparans och öppenhet för vilka syften och metoder forskningen bedrivs på.

Magnus Stenbeck, Karolinska Institutet, talade om registerforskning. Landskapet med register är komplicerad i dag; bortsett från hälsodataregistret från Socialstyrelsen, har SCB ca 40 nationella register och surveys. Utöver det finns i dag ca 12 andra statliga centrala register samt ca 100 nationella kvalitetsregister inom hälso- och sjukvården. För att tydliggöra landskapet har en portal skapats, registerforskning.se, där etiska principler och regler samt resurser tillgängliggörs.

I samband med förslaget undrar Magnus hur Artikel 6.2 ska tolkas. Artikel 6.2 hänvisar till Artikel 83:

Personuppgifter ska få behandlas om detta är nödvändigt för historiska, statistiska eller vetenskapliga forskningsändamål med förbehåll för de villkor och skyddsåtgärder som avses i artikel 83.

Betyder det att Artikeln 6 inte behöver tillämpas inom forskning? Artikel 83 saknar dock en reglering av etikprövning, vilket Sverige föreslog som tillägg men som togs bort i slutgiltiga förslaget.

Utöver det saknas en motsvarighet till 9 § 2 st personuppgiftslag i LIBE förslaget, men finns i Ministerrådets förslag:

I fråga om första stycket d gäller dock att en behandling av personuppgifter för historiska, statistiska eller vetenskapliga ändamål inte skall anses som oförenlig med de ändamål för vilka uppgifterna samlades in.

Samtidigt pågår en svensk utredning om Registerbaserad forskning med stärkt integritetsskydd som förväntas lämna sitt förslag under sommaren 2014.

Efter forskningen hade tillsysnsmyndigheten ordet. Kristina Svahn Starrsjö, Datainspektionens (DI) generaldirektör, presenterar det som står högst i agendan för DI. Enligtverksamhetsplanen för 2013 är det bl.a. BYOD (bring your own device), smarta elnät, kameraövervakning, molntjänster och e-förvaltning. DI:s beslut angående Salem kommun:s användning av Google Apps har överklagats och förhandlingarna pågår. En ny kamerövervakningslag har trätt i kraft och lett till nya uppgifter för DI (som har tagits över från JK).

Från perspektivet från näringslivet berättade Caroline Olstedt Carlström, Klarna och Forum för dataskydd, om utmaningarna som finns på tapeten just nu. Transparans är mycket viktigt från ett praktiskt perspektiv, det ska vara tydligt vad man gör med personuppgifter. Privacy by design utgör en extra utmaning, speciellt vid upphandlingar. Gallring och anonymisering är en ytterligare utmaning eftersom persondatahantering kan vara komplext, inte minst med tanke på loggar. En fråga i samband med gallring är också om man ska loggar när man gallrar.

Det är viktigt att finna lämpliga modellösningar. Juridiska lösningar ibland enklare än praktiska implementering, t.ex. följer alla anställda de interna reglerna. Caroline nämner Neelie Kroes tweet “Want to stop your house getting burgled? You need a lock, not a lawyer.” En spännande utveckling i samband med EU förslaget är LIBE kommitteen:s förslag på visualisering.

Per Furberg talade om myndigheters utmaningar just nu. En viktig punkt när det gäller dataskydd är infrastruktur: Hur ska en helt elektronisk värld sorteras in under reglerna för persondataskydd? När virtuella rum skapas, kan PUL tillämpas rakt av i dessa?

En viktig fråga är vart finns datat? Vem är personuppgiftsansvarig för vilket data? Per tar upp examplet med e-legitimationer och visar vart data kan finnas när någon använder en eID tjänst. Per ser behovet av ett “tredimensionellt persondataskydd”.

Henrik Jermsten påpekade vissa frågor från domarens perspektiv. Dataskyddsreglering är speciellt på så sätt att den gäller både för enskild och offentlig verksamhet; inte många andra rättsområden där det finns samma lagstiftning. Dataskyddsdirektivet från 1995 var en av de första direktiven som Sverige genomförde efter landet biträdde EU. Detta ledde till bl.a. att förarbetena är fattiga på exempel. Henrik nämner flera intressanta rättsfall, t.ex. HFD fallet där försäkringskassan var ansvarig för personuppgifter i sms-tjänsten som gäller sjukskrivningar, även om FK faktiskt inte hade tillgång till uppgifterna. Ett annat fall rörde Tingsrätten på gotland som la ut uppropslistor på sin webbplats. Syftet var insyn och information till allmännheten, men DI tyckte annorlunda. Beslutet av Kammarrätten är nu överklagad till HFD.

Om dataskyddsförordningen antas blir det mindre utrymme för svenska domstolar att tolka. Flera utredningar just nu handlar om dataskydd, t.ex. informationshanteringsutredningen som ska se över registerlagstiftnigen.

Dag Wiese Schartum avslutade dagen med ett både teoretiskt och praktiskt perspektiv. Dataskydd har olika problemområden.

Materiella problem utgörs av starka motstridiga intressen, dynamisk utveckling av teknik och samhället, ett globalt behov for normer och faktumet att integritet gäller alla delar av samhället.

De regulatoriska problem handlar om rollen de nationella parlamenten ska ha, om vi talar om rättsenhet eller “juridisk interoperabilitet”, abstrakta regler eller särregulering. Implementeringsproblemen visar på skillnaden mellan law in books vs law in action. Abstrakta regler är för jurister och experter, konkreta regler kan å andra sidan förstås av alla.

I enlighet med Charles Clark uttalande “the answer to the machine is in the machine” finns flera tekniska lösningarförslag: privacy by design (PbD) och privacy enchancing technologies (PET) borde vara integrerad i systemlösningar. Lagreglering räcker inte här, det krävs IKT verktyg för systemutveckling av PET (risikoutvärdering) och gemensamma IKT komponenter för PbD (samtycke, insyn).

Handhevingsproblemer omfattar bl.a. att manuell kontroll aldrigkan blir tillfredställande och att en effektiv automatiserad kontroll kräver rättslig regulering. Läringsproblemen innebär samtidigt att ställa frågan om persondataskyddslagstiftning har den önskade effekten. I detta sammanhang ska man fundera över vilka kriterierna är för success och hur kan de mätas?

Persondataskydd är en omfattande uppgift. Effektiv regulering är omöjlig utan

- mer konrete regler
- evaluering av aktiv förberedning av lagstiftning och implementering
- aktivt användning av IKT

Utvecklingen inom persondataskydd är väldigt högt på agendan just nu. I samarbete med mig har Advokatfirman Delphi nyligen lanserat en blogg om personlig integritet och den pågående lagstiftningsprocessen inom EU.

Mac Users to Pay More?

The era of “Big Data” and predictive analytics has resulted in the ability to scan large amounts of data in order to extract knowledge and predictive meaning. Price discrimination has been described as the charging of different prices to various customers for the same goods or services (see Andrew Odlyzko, Privacy, Economics and Price Discrimination on the Internethttp://online.wsj.com/news/articles/SB10001424052702304458604577488822667325882, page 2, last accessed 2013-10-08).  Orbitz Worldwide Inc. is a travel company that provides an on-line service for the booking of hotel rooms and other travel arrangements. An article in the Wall Street Journal has highlighted the fact that in Orbitz has analysed its customer data and identified the fact that Apple Mac users generally spend approximately 30% more a night on hotels and other travel options than Windows users (see further http://online.wsj.com/news/articles/SB10001424052702304458604577488822667325882).

This has resulted in Orbitz showing different hotel offers to Mac and PC visitors, the former usually being offered a costlier alternative. While Orbitz mentioned that it is not showing the same room to different users for different prices, thereby highlighting that classic price discrimination is not being practiced, this is a technological advance that could be put to practice as the knowledge gained from the practice of predictive analytics becomed more and more valuable.

Utmaningar vid värdering av elektroniska bevis

Det danska nyhetsorganet Version2 ställer aktuella frågor om svårigheter med och utmaningar vid rättslig värdering av elektroniska bevis. I en nyligen genomförd intervju med Er förtrolige om ämnet ventilerades några tankar: http://www.version2.dk/artikel/cyberkriminalitet-udfrodrer-retssystemet-paa-begge-sider-55209

Debate Article by Carl Bildt

Recently the Swedish Minister of Foreign Affairs Carl Bildt published a debate article in the New York Times. In the article entitled “The Internet and the Rule of Law” he set out some core principles that should be taken into account when state surveillance occurs on the Internet. The article can be found in its entirety on the following link:

www.regeringen.se/sb/d/17012/a/227782

Report from Transnational Commercial Law – 5th Teaching Conference, Fukuoka

This post has been written by Marcelo Corrales, Research Associate, Institute for Legal Informatics (IRI), Leibniz University of Hannover, who can also be found at his blog and on twitter @MarcelloCorComThe post is based on the Transnational Commercial Law – 5th Teaching Conference held at Kyushu University, Fukuoka, Japan on 21-22 October 2013.

I am sitting in the last day of the 5th Teaching Conference about Transnational Commercial Law held at Kyushu University in Fukuoka, Japan. The course “Transnational Commercial Law”, which is part of the curricula of the LL.M. program in International Business and Commercial Law at Kyushu University, was first introduced at the University of Oxford (UK) and is now spread throughout the globe. Today there are about 16 law schools in Asia, Europe, the Americas and the Middle East which have implemented this subject into their curricula. (See: http://www.law.kyushu-u.ac.jp/programsinenglish/tcl-conference2013/programme.html)

As commercial transactions become increasingly international and due to the expansion of the Internet and the upsurge of new technologies, the curricula of this course is designed, in particular, to discuss issues of modernisation of commercial law in cross-border transactions among other topics.

Therefore, this event aims to discuss the legal principles that govern relationships between companies and consumers in the global arena and to promote ideas and potential solutions to current problems related to inter alia the choice of law in commercial transactions, harmonisation of domestic laws and relevant issues of dispute resolution and arbitration.

During the conference there were several issues discussed including the UNIDROIT principles for international commercial contracts which are intended to provide a system of rules especially tailored to the needs of international commercial transactions; international business transactions in Japan such as the types of contracts, the boundaries between domestic and international transactions and their focus on private international law; IPRs in transnational secured transactions as these assets are increasingly getting more important in the global transactions; the recent developments of the UNCITRAL Supplement (2010) and the Geneva Securities Convention.

This is certainly a new field of law which cries out for harmonisation and coining the words of Professor Kronke, “The law reform must be designed for several countries because the objectives have changed”. How might this develop into the future? How might this influence traditional subjects such as Private International Law and Commercial Law? Our ability to combine this exotic field of law is certainly going to be a challenge for the future.

Upcoming Conference: The proof is in the digital pudding!

The Nordic Conference in ICT Law 2013 will be held in Oslo, organised by the Norwegian Research Centre for Computers and Law (SERI) at Oslo University and entitled “The proof is in the digital pudding“.

We have long discussed “digital footprint” and understand that the use of digital devices involves the automatic generation of data that is capable of revealing personal information. Our digital footprints are now everywhere. In addition to the automatically generated data, we also make our personal information available on social media. The combination of digital footprints and information provided on social media can be used to create a comprehensive and detailed picture of each person.

The conference will focus on the aggregation, storage, discovery, and use of information from people’s daily lives. The emphasis will primarily be use of such information by the state, namely police and other government authorities. Conference presentations will focus primarily on legal issues, with some discussion of the essential technologies.

Date: 14-15 November 2013
Location: The Bristol Hotel, Oslo, Norway
Websitefor programme and further information
Registration Deadline: 1 November 2013

Upcoming Conference! ICT 2013 – Create, Connect, Grow

As part of the Lithuanian Presidency of the Council of the European Union, the conference ICT 2013 - Create, Connect, Grow will be held in Vilnius. The conference will feature ICT professionals from industry, academia and research. Issues to be addressed include cloud computing, ICT infrastructures, ICT skills, cyber security, and visions for the future.

See the website for further information, the full program, and for registration.

Date: 6-8 November 2013
Location: Lithuanian Exhibition and Conference Centre, Vilnius
Websitehttps://ec.europa.eu/digital-agenda/en/ict-2013

Security & Crisis Management – Internetdagarna

This year’s Internetdagarna will have a larger focus on crisis management and security, guided in part by Anne-Marie Eklund Löwinder (a member of the IRI board).

Read more about the schedule for 26 Nov, and read an interview (in Swedish) with Anne-Marie here.

ECCWS (aka ECIW) 2014 Call for Papers

Call for: Papers, Case Studies, Work in Progress/Posters, PhD Research, Round Table Proposals, non-academic Contributions and Product Demonstrations

“The 13th European Conference on Cyber Warfare and Security (ECCWS*) is an opportunity for academics, practitioners and consultants from Europe and elsewhere who are involved in the study, management, development and implementation of systems and concepts to combat cyber warfare or to improve information systems security to come together and exchange ideas.”

Abstract deadline: 12 December 2013.

Read more here.

 

*formerly the European Conference on Information Warfare and Security (ECIW)

“Computer surveillance in Canada needs oversight”: organisers of International Privacy Day symposium

In an Op-Ed in the Globe and Mail on September 16, Ann Cavoukian[1], Ron Deibert[2], Andrew Clement[3] and Nathalie Des Rosiers[4] plead that to effectuate the right to privacy in Canada oversight of the “Communications Security Establishment Canada” (CSEC) [5] is necessary.

Even though Canada received a ranking of 2.9 out of 5 in the National Privacy Ranking 2007 by Privacy International – the highest score outside of the EU beating Germany by 0.1 point (and scoring a whopping 0.8 points above Sweden and the Netherlands) – Cavoukian et al appeal for more oversight of the CSEC.

In their words [the] CSEC’s only meaningful accountability rests on a single annual review undertaken by a single individual – woefully inadequate.

It is obvious that (network-)surveillance by its nature is a global issue, and as such personal data will (need to) cross national borders.

Does this however mean that – seeing that the various intelligence agencies mutually exchange information to better perform their duties – there is a need for an international minimum standard of privacy protection (and a minimum standard of oversight?)

And if not, should we fear the rise of a form of forum shopping by intelligence agencies whereby one intelligence agency contacts an other agency to perform investigations which it is not allowed to perform themselves (and to obtain the results of the investigation afterwards)?

[1] Ann Cavoukian is Ontario’s information and privacy commissioner.
[2] Ron Deibert is director of the Canada Centre for Global Security Studies
[3] Andrew Clement is a professor in the faculty of information at the University of Toronto.
[4] Nathalie Des Rosiers is dean of the law faculty, common law section, at the University of Ottawa.
[5]”[The CSEC] is the Canadian government’s national cryptologic agency. Administered under the Department of National Defence (DND), it is responsible for foreign signals intelligence (SIGINT) and protecting Canadian government electronic information and communication networks.” SOURCE: Wikipedia

Copyright © blawblaw
Nyheter om, från och kring institutet för rättsinformatik

Byggt på Notes Blog Core
Powered by WordPress