Download   Report
  1. No category

Mötesanteckningar, Integritetsforum 23 april 2015 kl. 9-12

PROMEMORIA
Datum
Vår referens
Sida
2015-11-12
Dnr:
1(7)
Nätsäkerhetsavdelningen
Gustav Linder
Mötesanteckningar, Integritetsforum 23 april
2015 kl. 9-12
Inledning
Jeanette hälsar välkomna. Introduktionsrunda.
Säkerhets- och integritetsskyddsnämnden, SIN, och dess arbete
Anna Backman, tf enhetschef (Säkerhets- och integritetsnämnden) presenterade
sin myndighets arbete med tillsyn över de brottsbekämpande myndigheternas
användning av hemliga tvångsmedel enligt rättegångsbalken och inhämtning av
uppgifter enligt lagen om inhämtning av uppgifter om elektronisk
kommunikation (IHL) i de brottsbekämpande myndigheternas
underrättelseverksamet.
Bakgrund till polisens utökade möjligheter att använda hemliga tvångsmedel
presenterades. 2008 fick Sverige kritik efter en fällande dom från EUdomstolen i målet Segerstedt-Wiberg eftersom det saknas effektiva rättsmedel
för enskilda som utsatts för användning av hemliga tvångsmedel. SIN tillsätts
som tillsynsorgan med uppgift att värna rättsäkerheten och skyddet för den
personliga integriteten inom den brottsbekämpade verksamheten. Myndigheten
utövar tillsyn över Polismyndigheten, Åklagarmyndigheten,
Ekobrottsmyndigheten, Tullverket och Säkerhetspolisens kvalificerade
skyddsidentiteter, personuppgiftsbehandling, hemliga tvångsmedel och därmed
sammanhängande verksamhet.
Därefter presenterades närmare nämndens organisation och hur tillsättning till
går till. Efter detta följde en genomgång av nämndens huvudsakliga
arbetsmetoder.
Post- och telestyrelsen
Postadress:
Besöksadress:
Telefon: 08-678 55 00
Box 5398
Valhallavägen 117A
Telefax: 08-678 55 05
102 49 Stockholm
www.pts.se
pts@pts.se
Sida
2(7)
Kontroll på begäran av enskild
Kontroll på begäran om den enskilde i strid med lag utsatts för hemliga
tvångsmedel eller varit föremål för polisens personuppgiftsbehandling.
Förekomstförfrågan ställs till Åklagarmyndigheten (ärenden enligt RB),
Polismyndigheten, Säkerhetspolisen och Tullverket (ärenden enligt IHL).
Fördjupad kontroll utförs om personen förekommer. Remiss vid
oklarheter/felaktigheter. Underrättelse lämnas till den enskilde när kontrollen är
klar om det förekommit några olagligheter eller ej, men denne får inte veta om
den varit utsatt för hemliga tvångsmedel eller ej. SIN har däremot skyldighet att
anmäla eventuella felaktigheter till JK och åklagare.
Initiativärenden
Nämnden upprättar fokusområden och tillsynsplaner enligt regeringsuppdrag,
riskanalys, spridning av tillsynen, media och enskilda ärenden. Metoderna som
används är skrivbordsgranskning (vanligast), inspektioner, stickprov, intervjuer
(ingår i inspektion) och enkäter (nästan upphört). Efter avslutat ärende fattas
beslut om uttalanden. Nämnden har inga skarpa sanktionsverktyg utan arbetar
med uppföljande granskningar och sina anmälningsskyldigheter.
Därefter följde en genomgång av de specifika lagrum som reglerar de
brottsbekämpande myndigheternas möjligheter att inhämta uppgifter från
telekomoperatörer.
Hemlig avlyssning av elektronisk kommunikation (HAK)
Hemlig avlyssning får endast användas vid förundersökning. Tvångsmedlet
regleras i rättegångsbalkens 27 kap 18 §. Tvångsmedlet innebär att myndigheten
får tillstånd att tillgodogöra sig både ett elektroniskt meddelandes innehåll och
trafikdata. För att få använda hemlig avlyssning krävs som huvudregel att
brottet som förundersökningen avser har två års fängelse som lägsta straff i
straffskalan. Om det kan antas att ett brotts straffvärde kommer att överstiga
två års fängelse kan tillstånd också meddelas.
Hemlig övervakning av elektronisk kommunikation (HÖK)
Hemlig övervakning får också endast användas vid förundersökning.
Tvångsmedlet regleras i rättegångsbalkens 27 kap 19 §. Tvångsmedlet innebär
att myndigheten får tillgodogöra sig ett elektroniskt meddelandes trafikdata.
Lägsta straffvärde för att få använda hemlig övervakning är lägre, endast 6
månader.
Post- och telestyrelsen
2
Sida
3(7)
Beslut om användning av HAK och HÖK meddelas av rätten på åklagarens
begäran eller, om ärendet är brådskande, av åklagaren själv.
Inhämtning enligt IHL
Lagen reglerar inhämtning av uppgifter i de brottsbekämpande myndigheternas
underrättelseverksamhet. Enligt IHL kan de brottsbekämpande myndigheterna
själva besluta om inhämtande av vissa trafikuppgifter om det behövs för att
förebygga, beivra eller upptäcka brottslig verksamhet. Med undantag för att
bestämma en viss terminalutrustnings positionering får inhämtningen endast
avse historiska uppgifter. Även här gäller ett krav på minst två års fängelse i
straffskalan, med undantag för systemhotande brottslighet. Åtgärden ska vara
av särskild vikt för utredningen och grundas på faktiska omständigheter (ej
antaganden o. dyl.). Myndigheten måste underräta SIN senast en månad efter
att inhämtningsärendet avslutats.
SIN har noterat följande vanliga brister i IHL-ärenden:




Formkrav ej uppfyllda
2 års-gränsen ej uppnådd
Otillåten realtidsinhämtning
Sena eller uteblivna underrättelser
Nämndens arbete med kvalificerad skyddsidentitet presenterades: Särskilt
beslutad skyddsidentitet för polis/säpo-anställda. En person får oriktiga
personuppgifter som kan införas i statliga register och användas i
identitetshandlingar (t.ex. pass.)
Frågor från åhörarna.
Dataskyddsförordningen (GDPR) och Safe Harbor
Eva Maria Broberg, jurist vid Datainspektionen. General Data Protection
Regulation. Dataskyddsförordning och nytt direktiv om dataskydd i
brottsbekämpande verksamhet.
Förordningen
Förordningen har varit ett projekt sedan ett förslag från EU-kommissionen
mars 2012. Därefter lämnade Europaparlamentet sitt yttrande mars 2014.
Rådets ståndpunkt kom i juni 2015. Därefter har man förhandlat genom
trialoger. Gemensamt beslut av Europaparlamentet och rådet väntas i dec 2015.
Ikraftträdande 1 jan/1 juli 2018? Framställningen av förordningens sakinnehåll
baserades på rådets generella ståndpunkt från juni 2015.
Post- och telestyrelsen
3
Sida
4(7)
Förordningen ersätter direktivet och PUL. Visst utrymme för nationella regler
vad gäller myndigheters personuppgiftsbehandling. Huvudanledningarna för
förordningen anges vara harmonisering, stärkta rättigheter för enskilda samt
stärkt samarbete mellan dataskyddsmyndigheter i EU.
Det materiella tillämpningsområdet kvarstår i stort sett oförändrat. Det
territoriella tillämpningsområdet utökas till att omfatta etablerade biträden i EU
samt etablerade aktörer utanför EU men som erbjuder varor och tjänster inom
EU eller övervakar enskildas beteenden inom EU.
Nya definitioner: Pseudonymisering, huvudsakligt etableringsställe, profiling
osv. Grundläggande principer, regler om tillåten behandling, känsliga uppgifter
(inkl. genetiska uppgifter) finns kvar. Förtydligande regler om registrerades
rättigheter. Rätt till information (inkl. profilering), åtkomst, rättelse, radering
(”rätten att bli bortglömd”), dataportabilitet (t.ex. vid byte av leverantör) och
rätt att motsätta sig behandling.
Data protection by design: Inbyggda mekanismer i systemet som skyddar den
enskildes integritet.
Data protection by default: Systemet ska vara utformat på så vis att så få
personuppgifter som möjligt behöver behandlas som utgångspunkt. Krav på
biträden. Anmälningsskyldighet, DPIA. Förhandskontroll av
dataskyddsmyndigheten.
Tredjelandsöverföring: Krav på grund, adekvat skyddsnivå,
standardavtalsklausuler eller särskilda undantagssituationer. Binding Corporate
Rules. Kommissionen ska kunna besluta om Safe Harbor enligt nya direktivet.
Dataskyddsmyndigheter kommer även i framtiden att kunna granska enskilda
överföringar till tredje land.
Krav på oberoende nationell tillsynsmyndighet. Nya regler om ”lead authority”.
Nya samarbetsformer: Mutual assistance, joint operations, standardiserat
informationsutbyte. Utökad klaganderätt, rätt till rättsmedel, skadestånd osv.
Frågor från åhörarna.
PTS – Avslutade och pågående tillsyner

Samtycke
Karin Lodin, PTS, berättar om inhämtning av samtycke enligt LEK. 10
avslutade tillsyner. Tillsynen var avgränsad till marknadsförings-,
abonnentupplysnings- och trafikhanteringsändamål. Form och innehåll.
Post- och telestyrelsen
4
Sida
5(7)
Resultatet ska bli en vägledning för hur samtycke ska inhämtas, tillämplig på
samtliga behandlingar som kräver samtycke enligt LEK.
Samtycke tolkas enligt PUL. Samtycket ska vara frivilligt, särskilt, otvetydigt
och individuellt. Man ska också ha fått del av viss obligatorisk information,
nämligen vilka uppgifter, ändamålet med behandlingen, vilken sorts
behandling och (om trafikuppgifter) hur länge.
Samtycke krävs för behandling av trafikuppgifter, lokaliseringsuppgifter,
innehåll och trafikuppgifter, portering av nummer, behandling i
abonnentförteckning och användning av kakor.
Tillsynen har kommit fram till att det föreligger brister i formerna för
inhämtande av samtycke och den information som ska delges abonnenten.
Samtycket ska inte kunna tolkas som ett avtalsvillkor. Informationen ska
vidare vara lättförståelig, tydlig och fixerad. Operatören har bevisbördan för
att ett giltigt samtycke föreligger. Informationen måste anpassas därefter.
Det är inte heller tillräckligt att hänvisa till information på en webbplats.
Om stödet för behandling är samtycke så måste det tydligt framgå. Det är
olämpligt att inhämta samtycke för behandlingar som inte kräver det.
Förändrad behandling kräver nytt samtycke enligt samma regler som det
första samtycket.
Det måste vara tydligt vilka uppgifter som ska behandlas och generella
skrivningar bör undvikas. Man ska också undvika skrivningar som hänvisar
till ändamålet för behandlingen. Beskrivningen av ändamålen måste
anpassas efter en genomsnittlig abonnent. Vida beskrivningar t.ex. ”för att
kunna uppfylla avtalet”, bör undvikas. Man bör också ange vad för sorts
behandling som avses. Tidsangivelsen för trafikuppgifter måste vara
specifik (ej ”så länge det behövs”).
Samtycket kan alltid återkallas. Vilseledande att ange att ”vissa” samtycken
kan återkallas. Om samtycket är nödvändigt för tjänsten kan man villkora
tillhandahållet med att samtycke föreligger. Mer information kommer i
vägledningen.
Frågor från åhörarna.

Kundplacerad utrustning (CPE)
Anders Lindell, PTS, redogör kort för denna tillsyn som inleddes förra året
efter att sårbarheter i kundplacerad utrustning (modem etc)
Post- och telestyrelsen
5
Sida
6(7)
uppmärksammats. Tillsynen är i slutfasen och beslut kommer om några
veckor.

Ersättning vid trafikdatalagring
Anders Lindell, PTS, redogör även för denna tillsyn om efterlevnaden av
PTS föreskrifter om ersättning för trafikdatalagring. Beslut kommer om
några veckor.
Information från PTS om aktuella frågor

Kommissionens artikel 4-möte om incidentrapportering och diskussion
om underrättelser till abonnenter och användare gällande
integritetsincidenter
Staffan Lindmark, PTS, går igenom specialreglerna på telekom-området för
personuppgiftsbrott som kommer att fortsätta gälla i förhållande till den nya
dataskyddsförordningen. Begrepp som ska tolkas enligt PUL kommer dock
istället tolkas enligt dataskyddsförordningen. Kommissionen har dock
indikerat att man vill se över e-privacydirektivet i en ”open-ended process”.
Individer ska underrättas om en integritetsincident har inträffat och den har
upptäckts av operatören. Incidenten ska kunna antas inverka menligt på
abonnentens eller enskild persons personuppgifter eller integritet. Det gäller
inte bara de egna abonnenterna utan även andra enskilda individer.
Underrättelse ska vidare lämnas om tjänstetillhandahållaren inte kunnat
påvisa att man vidtagit lämpliga tekniska skyddsåtgärder så att uppgifterna
är oläsbara av obehöriga (kryptering).
Underrättelse ska lämnas utan onödigt dröjsmål efter att upptäckten skett.
Tidpunkten för underrättelse ska vara oberoende av när incidenten anmäls
till PTS. PTS kan godkänna uppskov med underrättelsen i exceptionella fall
om underrättelsen skulle kunna äventyra en korrekt utredning av incidenten
(intern eller rättslig/brottslig). Samma tidsfrist gäller oavsett på vilket sätt
underrättelse sker.
Underrättelsen ska alltid innehålla samtliga uppgifter som anges i bilaga II
till förordning 611/2013. Man får även lägga till ytterligare information
gällande incidenten. Underrättelsen får inte innehålla annan information
och särskilt inte marknadsföring eller information om nya eller
kompletterande tjänster. Det är också olämpligt att foga informationen till
Post- och telestyrelsen
6
Sida
7(7)
en faktura. Innehållet ska vara tydligt och lättbegripligt i förhållande till den
genomsnittlige abonnenten.
Kommunikationssättet ska säkerställa att informationen snabbt kan tas
emot. Kommunikationen ska också vara säkrad på ett lämpligt sätt enligt
den senaste tekniken.
Det finns möjlighet att lämna underrättelse via annonsering. Detta får ske
om tjänstetillhandahållaren har vidtagit rimliga ansträngningar för att
identifiera alla individer som kan påverkas menligt av incidenten. Om alla
dessa inte kan kontaktas så får man i andra hand använda sig av
annonsering för att nå ut till individerna. Annonsering får ske i större
regionala eller nationella medier inom den normala tidsfristen för
underrättelse. Eventuellt kan man bli tvungen att använda annonsering om
man inte lyckas identifiera samtliga berörda individer inom den normala
tidsfristen, men detta har inte prövats i ett enskilt fall.
Denna sista punkt gav upphov till en livlig diskussion och frågor.
Övrigt
Nästa möte föreslås till torsdag 14 april 2016.
Post- och telestyrelsen
7
Deltagarlista 3 februari

Deltagarlista 3 februari

PTS Innovationskontor

PTS Innovationskontor

Presentationer - och Telestyrelsen

Presentationer - och Telestyrelsen

Samtycke till donation av prov till forskning samt till behandling av

Samtycke till donation av prov till forskning samt till behandling av

Teleinfo - dnr 14-7929

Teleinfo - dnr 14-7929

Minnesanteckningar - och Telestyrelsen

Minnesanteckningar - och Telestyrelsen

Samtyckesblankett, publicering av bilder, pdf

Samtyckesblankett, publicering av bilder, pdf

Se samtliga krav i detta dokument.

Se samtliga krav i detta dokument.

Intyg/samtycke - Fagersta kommun

Intyg/samtycke - Fagersta kommun

Nämnden söker två eller flera föredragande till kansliet (vikariat).

Nämnden söker två eller flera föredragande till kansliet (vikariat).

Mötesanteckningar, Integritetsforum 23 april 2015 kl. 9-12

Mötesanteckningar, Integritetsforum 23 april 2015 kl. 9-12

Missiv - och Telestyrelsen

Missiv - och Telestyrelsen

PTS översikt - Radiobolagets Veteranklubb

PTS översikt - Radiobolagets Veteranklubb

Underrättelse om misstanke att Bredband2 inte

Underrättelse om misstanke att Bredband2 inte

Avskrivningsbeslut Telenor

Avskrivningsbeslut Telenor

Vilka olika typer av telefonnummer finns det?

Vilka olika typer av telefonnummer finns det?

Post- och telestyrelsen (PTS) avskriver ärendet från vidare

Post- och telestyrelsen (PTS) avskriver ärendet från vidare

Välkommen till uppstartsmöte inför krisövning

Välkommen till uppstartsmöte inför krisövning

Malmö Stadsnät - och Telestyrelsen

Malmö Stadsnät - och Telestyrelsen

Arbetsterapeuten och välfärdsteknologi

Arbetsterapeuten och välfärdsteknologi

Årlig tillsyn rörande incidentrapportering och

Årlig tillsyn rörande incidentrapportering och

• Marknaden för samtalsterminering i individuella

• Marknaden för samtalsterminering i individuella

abcdocz.com

© Copyright 2025