tisdag, november 10, 2009

Övervakning i en rättsstat och förändringar i FRAs regelverk

Universitetet i Oslo står den 12-13 november 2009 värd för den 24:e nordiska konferensen i rättsinformatik på temat "Overvåking i en rettsstat". Programmet hittar du här. Jag talar den 12 november om FRA-lagen och dess förhållande till Europakonventionen om de mänskliga rättigheterna. Nedan finns min presentation som är en uppdatering av tidigare presentationer.

För att få en intressant diskussion med mina nordiska kollegor kommer jag även ta upp information som pekar på att FRAs danska och norska motsvarigheter sysslar med samma sak, dvs kabelspaning. Se sid. 5-7 i presentationen eller tidigare inlägg om Danmark respektive Norge. Detta sker i så fall under betydligt mindre lagreglerade former.

Till en annan sak. Som en konsekvens av de lagändringar som riksdagen antog den 14 oktober 2009 har regeringen ändrad i anslutande förordningar. Den nya lagen om försvarsunderrättelsedomstolen finns nu som SFS 2009:966. Det handlar om:
1. Ändringar i förordningen (2008:923) om signalspaning i försvarsunderrättelseverksamhet,
2. Ändringar i förordningen (2007:261) om behandling av personuppgifter i Försvarets radioanstalts försvarsunderrättelse- och utvecklingsverksamhet,
3. Ny förordning (2009:969) med instruktion för Statens inspektion för försvarsunderrättelseverksamheten.

Bland ändringarna i förordningarna är det mest substantiella att lagringen av rådata begränsas till ett år med få möjligheter att kringgå, se 2 § andra stycket och 12 § förordningen (2007:261) om behandling av personuppgifter i Försvarets radioanstalts försvarsunderrättelse- och utvecklingsverksamhet. Detta är i enlighet med alliansöverenskommelsen från den 25 september 2008, punkt 14. Förutom att riksdagen den 14 oktober 2009 i lag specificerade ändamålen för FRAs spaning anser jag att begränsningen i lagringstid är den mest substantiella (och positiva) förändringen som följer av alliansöverenskommelsen.

15 kommentarer:

Mr Profit sa...

Begränsas rådatalagringen även om den har samlats in som ett led i "metodutveckling"?

Lars sa...

Några funderingar om förordningen 2007:261. Nyckelorden här är väl behandling och personuppgifter. Dessa begrepp är definierade i lagen 2007:259. Är det inte en förutsättning att FRA själva först har konstaterat att det verkligen rör sig om personuppgifter för att regelverket ska kunna tillämpas?

Låt säga att insamlingen av rådata ibland sker mer i blindo, utan att materialet taggas och i stället läggs på hög för framtida bruk. När sker i så fall behandlingen av personuppgifterna? Vid insamlingen av de anonyma datasträngarna eller vid den senare dataanalysen, då det konstateras att det rör sig om personuppgifter? Från vilken tidpunkt ska alltså lagringstiden räknas?

Mark Klamberg sa...

Lars,
Lagstiftaren har tänkt även på detta. Om FRA ännu inte fastställt om rådata innehåller personuppgifter så får FRA ändå behandla datan. Se 1 kap. 13 § i FRA PUL:

"Behandling som innebär inhämtning av uppgifter genom signalspaning, lagring av uppgifter som sker omedelbart därefter samt bearbetning av information i form av kryptoforcering och språklig översättning skall inte anses som oförenlig med bestämmelserna i 6 och 8-12 §§ i det skede av behandlingen då det ännu inte kunnat fastställas om informationen innehåller personuppgifter."

Mark Klamberg sa...

M Profit,
Begränsningen av rådatalagringen omfattar även data som inhämtas i "metodutvecklingen".

Jag skulle vilja säga att det särskilt omfattar "metodutvecklingen" eftersom den övervägande delen av rådata inhämtas i denna verksamhet.

Lars sa...

Tack för klargörandet, Mark. Det hade jag missat.

Jag tycker för övrigt att den följande paragrafen är intressant:

"14 § Endast enstaka personuppgifter får lämnas ut på medium för automatiserad behandling, om inte regeringen har meddelat föreskrifter eller i ett enskilt fall beslutat om att uppgifter får lämnas ut på sådant medium även i andra fall."

När sådana ventiler finns i en lag har jag svårt att tro att de inte utnyttjas. Och jag antar att eventuella föreskrifter från regeringen är hemliga i detta fall?

Mark Klamberg sa...

Lars,
Regeringens föreskrifter är hemliga. Det står dock i förarbetena att andra länder inte ska ha direktillgång till någon av FRAs databaser. Det känns lite betryggande.

Werner sa...

Mark/Lars,

Kan någon av er förklara vad er diskussion kom fram till på Svenska? :-)

Betyder det att FRA får lagra precis vad de vill, hur länge de vill, så länge de inte "tittar" på det?

Som tekniker, låter det i sådana fall att de kan bygga en databas av all kommunikation och lagra "tillsvidare". Kanske tom göra sökningar i det.

---------------------------------

En fråga till, det ryktas ju om att USA och Storbritannien haft ett informationssamarbete där Britterna lagrar information om Amerikaner och vice versa, och att information byts vid behov (detta för att kringgå lagar). Tillåter FRA-lagen att tex Sverige och Danmark gör likadant?

/Werner

Mark Klamberg sa...

Werner,
FRA får lagra trafikdata i sin(a) databas(er) utan att det finns koppling till yttre hot i ett år. I princip kan de lagra data rörande all kommunikation som korsar Sveriges gränser.

De får därefter söka i databasen efter information som kan ha att göra med yttre hot.

Inhämtningen och lagringen av meddelandes innehåll är mer begränsad, sådan inhämtning/lagring måste vara kopplad till yttre hot.

Om rent inhemsk kommunikation mellan två personer i Sverige råkar korsa landets gränser ska detta inte inhämtas om FRA vet att det rör sig om sådan kommunikation. De kan FRA exempelvis göra genom att granska om telefonnumren är svenska, det är svårare med e-post. Om FRA inte vet om det är rent inhemsk kommunikation så får myndigheten inhämta, bearbeta och lagra.

FRA kan och får själv inhämta och lagra information om svenskars kommunikation förutsatt att den korsar Sveriges gränser enligt ovan. De kan därtill byta uppgifter med andra stater rörande svenskars kommunikation.

Werner sa...

Mark,

tack! Om jag nu förstår ditt svar rätt, så har FRA inte rätt att lagra ens rådata som inte bearbetats/dekrypterats längre än ett år.

Blev rädd att det fanns ett kryphål: att de skulle kunna rikta den fiberoptiska slangen och dess stråle av ettor och nollor rätt in på en hårddisk, och lagra det datat hur länge som helst. Så länge de väljer att inte titta på det på noggrannare. (Eller bara tittar på det på ett sätt som avsiktligt inte tar reda på avsändare/destination, personuppgifter etc.)

/Werner, misstänksam mot FRA

Mark Klamberg sa...

Werner,
Du har uppfattat mitt svar korrekt.

Per sa...

Tror att jag precis som Werner behöver hjälp med att tolka lagen.

Jag kan inte se att formuleringen "skall inte anses som oförenlig med bestämmelserna i 6 och 8-12 §§" utgör någon begränsning. Jag uppfattar det tvärtom som en öppning. Man FÅR lagra data som ännu inte har klassificerats. Det är inte heller närmare preciserat för hur lång tid.

Så var finns hindren för att Werners befarade scenario kan bli verklighet?

Mark Klamberg sa...

Per,
Det är flera olika frågor som diskuteras i denna tråd.

En fråga är om information får behandlas utan att man vet om den innehåller personuppgifter, svaret ä ja vilket följer av 1 kap. 13 § FRA PUL. Det är alltså som du skriver en tillåtande, inte en begränansde bestämmelse.

En annan fråga rör lagringstid. Begränsningen av lagringstid beträffande rådata ges av 2 § andra stycket samma förordning:

"Personuppgifter i en uppgiftssamling för råmaterial ska gallras senast ett år efter det att behandlingen av uppgifterna påbörjades"

Behandling definieras som "Varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter, vare sig det sker på automatisk väg eller inte, t.ex. insamling, registrering, organisering, lagring, bearbetning eller ändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering, utplåning eller förstöring." (4 § FRA PUL)

Per sa...

OK, Mark. Vad jag kan se är det specifikt behandling av personuppgifter som definieras i 4 § (FRA-PUL).

Behandling av okända rådata jämställs dock inte med behandling av personupppgifter. Därmed äger definitionen ingen tillämplighet för behandling av okända rådata.

Det är först när informationen klassats som personuppgifter som behandlingen kan anses påbörjad. Från den tidpunkten räknas följaktligen lagringstiden.

Alltså: Hanteringen av råmaterialet kan bara definieras som behandling av personuppgifter, om FRA fastställt att det rör sig om sådan information.

Så tolkar jag lagen. Rätt eller fel?

Mark Klamberg sa...

Per,
Jag håller inte med.

"Behandling" börjar enligt texten i 4 § FRA PUL redan vid "inhämtning". I all övrig lagtext som avser FRAs signalspaning avser "inhämtning" den aktivitet där information överförs från samverkanspunkterna till FRAs system, vilket inkluderar myndighetens databaser. Din föreslagna tolkning skulle inte bara strida mot texten i författningen utan även dess ändamål.

Det är möjligt att FRA tänjer på bestämmelserna i sin lagtolkning men detta vore alltför kreativt även för dem och de organ som granskar FRA.

Per sa...

Hoppas du har rätt, Mark, men jag befarar det värsta. Den springande punkten är just att det är "behandling (av personuppgifter)" som definieras och ingenting annat. Frågan är om FRA skulle göra en lagtolkning till sin egen nackdel och retroaktivt betrakta inhämtningstillfället som startpunkt för behandlingen. Jag är inte så säker på det.