torsdag, september 04, 2008

Anmälan till datainspektionen

Anmälan skickad den 4 september 2008 till datainspektionens handläggare för tillsyn mot FRA, Elisabeth Wallin

Hej Elisabeth,
Jag läste idag att ni ska påbörja er tillsyn mot FRA. Den 3 september 2008 framförde jag, 12 forskare och experter på signalspaning nya uppgifter om FRA:s verksamhet på DN Debatt "FRA-lagen medför massiv kartläggning av oskyldiga" . En av våra slutsatser är att analysresultat beträffande vanliga, oskyldiga, människors kommunikation och elektroniska transaktioner sparas av FRA i analysdatabasen. I 3 § förordningen (2007:261) om behandling av personuppgifter i Försvarets radioanstalts försvarsunderrättelse- och utvecklingsverksamhet är ”analysdatabasen” benämnd som ”uppgiftssamlingar för analyser”. FRA:s uppdrag att kartlägga yttre hot medför att även vanliga människors sociala nätverk (sociogram) kartläggs. Det tycker jag är djupt olämpligt. Därför vill jag anmäla FRA till datainspektionen så att ni kan undersöka i vilken omfattning detta hittills gjorts och om FRA haft positivt lagstöd för denna verksamhet.

Vänligen Mark Klamberg

15 kommentarer:

Anonym sa...

Några förtydliganden kan var på sin plats:

Insamlingen av trafikdata sker av allt att döma inom ramen för FRA:s utvecklingsverksamhet, se propositionen s. 72. Detta framgår också av Ingvar Åkessons uttalanden och det interna FRA-dokumentet, som SVT publicerat.

Det är bl.a. detta förhållande som Datainspektionen bör undersöka, dvs om syftet med inhämtningen överensstämmer med den faktiska användningen. Verksamhetens omfattning är också högintressant.

Man kan tänka sig att FRA har legitima behov som handlar om att identifiera nya signaler, kryptosystem etc. Då är kanske breda, genrella sökbegrepp nödvändiga.

Men frågan är hur rimligt eller proportionerligt det är, att enskildas trafikuppgifter fångas in på samma sätt inom ramen för detta metod- eller utvecklingsmandat.

/JJ

Mikael Nilsson sa...

JJ: det verkar inte finnas något i lagen eller tillhörande förordningar som hindrar FRA från att använda data insamlat i ett visst syfte för ett annat syfte senare.

Det står ju i klartext i det läckta dokumentet att trafikdatat används till att följa tex om personer bytt kontantkort i mobilen, och därmed ger nya sökbegrepp till spaningsdelen av verksamheten.

Detta ryms troligen inom ramen för att "följa förändringar i signalmiljön".

På så sätt innebär ju att följa folks kommunikationsmönster definitivt inom detta. Oroväckande. MEN tillåtet enligt FRAs nuvarande lagar. Dock är det ytterst tveksamt om FRA verkligt fick detta innan 2007 - därav Marks formulering om "positivt lagstöd", gissar jag.

Om FRA ska ha en metodutvecklingsverksamhet bör denna ligga i ett eget organ, med HELT TÄTA SKOTT till spaningsdelen. Annars blir ju åtskillnaden meningslös.

Anonym sa...

@Mikael Nilsson:

Jo, du har en poäng. Men kom också ihåg att formuleringen "att följa förändringar i signalmiljön" fanns redan i den gamla lagen om försvarsunderrättelseverksamhet. Därmed skulle ett "positivt lagstöd" kunna påvisas.

Jag är dock övertygad om att när FRA beskrivit sin metodverksamhet för Försvarsutskottet eller FUN, så är det inte massinhämtning av enskildas trafikuppgifter man talat om. Detta styrks också av att FUN:s ledamöter enligt egen utsago (Tone Tingsgård) saknat kännedom om trafikdatalagringen. Se Rapports inslag från 17 juni i år.

De förändringar i signalmiljön som åsyftas är rimligen inte huruvida jag bytt telefonnummer eller skaffat nytt kontantkort. Det vore intressant att gå tillbaka till förarbetena, men jag tror att formuleringen avser nya transmissionssystem, frekvensbyten, krypto- och radarsignaler m.m.

När så FRA alltmer börjat spana på enskildas trafik, har en ändamålsglidning skett. Denna har sedan fullbordats i och med att detta "metodmaterial" också kunnat användas för rapportering till uppdragsgivarna.

En annan aspekt på detta är Europakonventionen. På vilket sätt har det varit förutsägbart för enskilda i Sverige att deras trafikuppgifter kunnat inhämtas och lagras hos FRA? För att de någonstans gått i etern? Clarence Craaford har också tagit upp trafikdatalagringen i sin anmälan till Europadomstolen.

/JJ

Rikard sa...

Mark!

Vilka juridiska befogenheter har DI för att tillgodogöra sig material som hemligstämplats av FRA? Eller material som FRA pga sekretess inte ens berättar att de har?

Kan du kontrastera lagar och förordningar kring DIs befogenheter mot sekretesslagen, exempelvis?

Mark Klamberg sa...

Rikard,
Det är bra frågor. Jag har tyvärr inte svaren, men jag förutsätter att de har full tillgång.

Jens O sa...

Mark:
Enligt Ny teknik lär Datainspektionen inte få ut ett dyft, vilket framkom i 'Balt' ärendet.

Det är upp till FRA, vad de "känner" för att lämna ut.

Olof Bjarnason sa...

Jag vill tipsa om att jag ritat ett exempel på ett sociogram för att förtydliga och förenkla pedagogiken:

http://olofb.wordpress.com/2008/09/04/sa-har-ser-ett-sociogram-ut/

Olof Bjarnason sa...

Och här kommer klickbar version: Så ser ett sociogram ut

Anonym sa...

Hej

Jag läste följande, som jag ej har verifierat. Om det inte stämmer, ta bort denna kommentar, annars kan det definitivt vara intressant:

Göran Gräslund, högste chef på Datainspektionen, och alltså ansvarig för "granskningen" av FRA, var tidigare chef för FRA. Han ska med andra ord granska sina fd kollegor...

Anonym sa...

Nej, Göran Gräslund har aldrig varit FRA-chef.

Men det bör nämnas att Elisabeth Wallin arbetade nära FRA:s verksjurist i underrättelsedatautredningen 2003 (SOU 2003:34). Utredningens syn på FRA:s personuppgiftsbhandling är också intressant:

Att beakta i sammanhanget är också att de aktuella verksamheterna är av sådan art att
det inte är möjligt att i lagform reglera dem i detalj. Vi föreslår
därför att de grundläggande principerna för behandling av
personuppgifter i Försvarsmaktens försvarsunderrättelseverksamhet
och den militära säkerhetstjänsten samt i Försvarets radioanstalts underrättelseverksamhet skall regleras särskilt i lag, medan kompletterande bestämmelser skall meddelas av regeringen eller den myndighet regeringen bestämmer.


Jakob

Anders Andersson sa...

Rikard, enligt 43 § personuppgiftslagen gäller följande:

Tillsynsmyndigheten har rätt att för sin tillsyn på begäran få
a) tillgång till de personuppgifter som behandlas,
b) upplysningar om och dokumentation av behandlingen av personuppgifter och säkerheten vid denna, och
c) tillträde till sådana lokaler som har anknytning till behandlingen av personuppgifter.


Datainspektionen är alltså den tillsynsmyndighet som avses ovan. Jag tolkar bestämmelsen som användbar främst gentemot enskild (fysisk eller juridisk person) som är personuppgiftsansvarig. Den ger bara Datainspektionen rätt att få tillgång till personuppgifterna och upplysningar om behandlingen, men inte några befogenheter att göra husrannsakan eller liknande hos den personuppgiftsansvarige. Ytterst kan Datainspektionen utfärda förbud mot fortsatt behandling av personuppgifterna, föreskriva om vite vid överträdelse av förbudet samt ansöka hos länsrätten i Stockholms län om att behandlade personuppgifter skall utplånas.

När den personuppgiftsansvarige är en myndighet, så skall denna dock tillämpa bestämmelserna i sekretesslagen, som trots sin förhållandevis systematiska uppställning med åren har blivit både lång och snårig. Jag citerar nedan några relevanta bestämmelser (det kan finnas fler som är av intresse).

1 kap. 3 § första stycket:
Gäller enligt denna lag sekretess för uppgift som förekommer hos viss myndighet, får uppgiften inte röjas för annan myndighet i andra fall än som anges i denna lag eller i lag eller förordning till vilken denna lag hänvisar.

2 kap. 2 § första stycket:
Sekretess gäller för uppgift som angår verksamhet för att försvara landet eller planläggning eller annan förberedelse av sådan verksamhet eller som i övrigt rör totalförsvaret, om det kan antas att det skadar landets försvar eller på annat sätt vållar fara för rikets säkerhet om uppgiften röjs. I mål eller ärende enligt särskild lag om försvarsuppfinningar gäller dock sekretess för uppgift om sådana uppfinningar enligt föreskrifter i den lagen.

4 kap. 1 §:
Sekretess gäller för uppgift angående planläggning eller annan förberedelse för inspektion, revision eller annan granskning, som myndighet har att företa, om det kan antas att syftet med granskningsverksamheten motverkas om uppgiften röjs.

9 kap. 6 § första stycket:
Sekretess gäller hos Datainspektionen i ärende om tillstånd eller tillsyn, som enligt lag eller annan författning ankommer på inspektionen, och i ärende om sådant bistånd som avses i Europarådets konvention om skydd för enskilda vid automatisk databehandling av personuppgifter, för uppgift om enskilds personliga eller ekonomiska förhållanden, om det kan antas att den enskilde eller någon honom närstående lider skada eller men om uppgiften röjs. Har uppgift, för vilken gäller sekretess enligt vad nu har sagts, lämnats till Justitiekanslern, gäller sekretessen också där.

9 kap. 32 § första stycket:
Sekretess gäller hos Försvarsmakten i försvarsunderrättelseverksamheten och den militära säkerhetstjänsten samt hos Försvarets radioanstalt i underrättelse- och säkerhetsverksamheten för uppgift om enskilds personliga eller ekonomiska förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till den enskilde lider skada eller men.

13 kap. 1 §:
Erhåller myndighet i verksamhet, som avser tillsyn eller revision, från annan myndighet uppgift som är sekretessbelagd där, gäller sekretessen också hos den mottagande myndigheten.

14 kap. 1 §:
Sekretess hindrar inte att uppgift lämnas till regeringen eller riksdagen. Sekretess hindrar inte heller att uppgift lämnas till annan myndighet, om uppgiftsskyldighet följer av lag eller förordning.

14 kap. 2 § första stycket:
Sekretess hindrar inte att uppgift i annat fall än som avses i 1 § lämnas till myndighet, om uppgiften behövs där för
1. förundersökning, rättegång, ärende om disciplinansvar eller skiljande från anställning eller annat jämförbart rättsligt förfarande vid myndigheten mot någon rörande hans deltagande i verksamheten vid den myndighet där uppgiften förekommer,
2. omprövning av beslut eller åtgärd av den myndighet där uppgiften förekommer, eller
3. tillsyn över eller revision hos den myndighet där uppgiften förekommer.


Det är särskilt punkt 3 i den sistnämnda bestämmelsen ovan som jag tror undanröjer eventuella hinder för FRA att lämna ut sekretessbelagda uppgifter till Datainspektionen, även om uppgifterna skulle anses röra rikets säkerhet. Observera att Datainspektionen tack vare 13 kap. 1 § sedan måste iaktta samma sekretess som den som gäller hos FRA.

I 9 kapitlet finns det bestämmelser som specifikt rör Datainspektionen respektive Försvarets radioanstalt. Dessa två bestämmelser erbjuder dock ett generellt sett svagare skydd än vad som erhålls via 2 kap. 2 §, som FRA brukar vilja hänvisa till. Skulle någon av bestämmelserna åberopas, så kan man notera att Datainspektionen skall tillämpa rakt skaderekvisit (normalt offentligt, ibland sekretessbelagt), vilket är en lägre skyddsnivå än det omvända skaderekvisit (normalt sekretessbelagt, ibland offentligt) som FRA skall tillämpa. Dock gäller även här att Datainspektionen skall tillämpa samma sekretess som FRA, om uppgiften kommer därifrån.

Anonym sa...

@Anders Andersson:
För att återknyta till diskussionen om sekretess fick jag följande svar från en jurist på FRA på en fråga om sekretesskydd. Det gällde då inte granskningsmyndigheter specifikt utan allmänt skydd av överskottsinformation, men det kanske ändå kan vara av intresse att se hur FRA resonerar:

1. Information som har inhämtats inom försvarsunderrättelseverksamheten är behäftad med sekretess enligt bestämmelser i sekretesslagen (1980:100). Även om de sekretessbelagda uppgifterna förstörts gäller ändå tystnadsplikten. Bestämmelserna gäller förbud att röja uppgift oberoende av om det sker muntligt, genom att allmän handling lämnas ut eller på annat sätt (1 kap. 1 §).

2. De bestämmelser som vanligen åberopas är utrikessekretess (2 kap. 1 §), försvarssekretess (2 kap. 2 §), sekretess enligt 5 kap.1 § och 9 kap. 32 §. Eftersom försvarssekretess gäller för så gott som hela underrättelsematerialet kompletterar endast de andra sekretessgrunderna. Försvarssekretessen gäller bl.a. därför att om inhämtad information (oberoende av vad det är för information) röjs avslöjas samtidigt FRA:s förmåga, inriktning och ibland metoder, vilket inte får ske. Det möter inget hinder att åberopa fler sekretessgrunder samtidigt, vilket betyder att om det finns en tillämplig sekretessregel så kan den användas i sammanhanget. Om tystnadsplikt för företagshemligheter erinras t.ex. i 1 kap. 12 §.

Mark Klamberg sa...

Tack anonym för sekretssreglerna! Jag lägger in det i fliken "försvarsunderrättelserätt" Du får gärna skicka FRA:s svar direkt till mig på mark.klamberg@juridicum.su.se

Jag arbetar efter principen att man ska inte uppfinna hjulet på nytt om det redan finns.

Erik Josefsson sa...

Anonym skriver: Försvarssekretessen gäller bl.a. därför att om inhämtad information (oberoende av vad det är för information) röjs avslöjas samtidigt FRA:s förmåga, inriktning och ibland metoder, vilket inte får ske.

Det är nästan ordagrannt amerikanska regeringens argument för att lägga ner fallet Hepting v. AT&T.

Anonym sa...

Tyvärr kommer vi nog aldrig få veta hur mycket sociogram som FRA har lagrat. Åtminstonde lär inte Datainspektionen få höra något uppseendeväckande när de granskar FRA.

Datainspektionen kommer nämligen inte ställa några frågor själva till databasen Titan, utan bara “begära ut handlingar”.

http://www.nyteknik.se/nyheter/it_telekom/internet/article401396.ece

http://www.nyteknik.se/nyheter/it_telekom/allmant/article397790.ece

Jag frågar mig: När blev det ok att låta brottslingen vara den som tar fram bevisen?

Varför anställer inte Datainspektionen någon SQL-kunnig människa som kan nosa ordentligt i vad FRA har registrerat om oss?

Men ack, datainspektionen är ju ingen polismyndighet, och därför bryr de sig inte om att göra en utredning värd namnet.

/Blubb