DFRI håller ett öppet styrelsemöte torsdag 2025-01-09 kl 18:00 på internet. Vi beräknas hålla på i ungefär en timme. Alla medlemmar och andra intresserade är välkomna.
Dagordning finns här (kan ändras ända fram till att mötet börjar).
Anmäl dig per mejl till dfri@dfri.se om du vill delta. Då får du också information om länk till anslutning för deltagande.
Föreningen för Digitala Fri- och Rättigheter (:DFRI), en förening som värnar digitala fri- och rättigheter, lämnar härmed sina synpunkter på SOU 2024:59. Utredningens förslag innehåller omfattande förändringar av lagstiftningen om signalspaning som, om de genomförs, kan innebära långtgående konsekvenser för enskildas rätt till integritet, rättssäkerhet och förtroendet för myndigheterna. DFRI noterar allvarliga brister i hur förslagen hanterar proportionalitetsprincipen, hur rättssäkerhetsgarantier ställs upp, och hur grundläggande rättigheter som skyddas enligt regeringsformen och Europakonventionen värnas.
Rätten till integritet är en grundläggande mänsklig rättighet som skyddas av såväl regeringsformen (2 kap. 6 §) som artikel 8 i Europakonventionen. Utredningen föreslår en utvidgning av Försvarets radioanstalts (FRA) befogenheter, bland annat genom att möjliggöra inhämtning av lagrad information och inhemsk kommunikation under vissa förutsättningar (sid. 12, 53 och 174).
Förslaget innebär en betydande inskränkning av den personliga integriteten genom att omfattande mängder känsliga uppgifter kan inhämtas utan tillräckliga rättssäkerhetsgarantier. Denna inskränkning riskerar att undergräva förtroendet mellan allmänheten och staten samt skapa en känsla av ständig övervakning. Utredningen har inte presenterat en tillräckligt grundlig analys av hur dessa inskränkningar kan balanseras mot de säkerhetsmässiga fördelar som signalspaning påstås ge (sid. 13 och 206).
En av de mest problematiska aspekterna av förslaget är bristen på en tydlig proportionalitetsanalys. För att intrång i enskildas fri- och rättigheter ska vara godtagbara krävs att dessa är nödvändiga och proportionerliga i förhållande till de syften som eftersträvas (sid. 110 och 117). Utredningen har inte tillräckligt belyst vilka specifika hot som förslagen syftar till att bemöta, hur effektiva de föreslagna åtgärderna förväntas vara, eller vilka alternativa åtgärder som kan tillämpas med mindre integritetsintrång.
Att FRA föreslås kunna ge sig självt tillstånd att bedriva signalspaning och hantera signalbärare utan oberoende granskning är särskilt oroväckande (sid. 13 och 110). Detta strider mot grundläggande rättsstatliga principer och riskerar att leda till godtycke och missbruk av signalspaningsbefogenheterna. För att säkerställa rättssäkerheten krävs en oberoende förhandsprövning av alla beslut om signalspaning.
Förslaget föreslår att Försvarets radioanstalt undantas från skyldigheten att informera enskilda om personuppgiftsbehandling. Detta kan bryta mot rätten till insyn och transparens enligt dataskyddsförordningen och påverka enskildas möjlighet att hävda och försvara sina rättigheter (sid. 13 och 206). Att undanta FRA från denna skyldighet riskerar att ytterligare underminera allmänhetens förtroende för myndigheterna och rättssystemet.
Utredningens förslag innebär att tillsynsmyndigheter som Integritetsskyddsmyndigheten inte ska kunna utföra sin tillsyn under krig eller krigsfara (sid. 124). Detta innebär att viktiga kontrollfunktioner sätts ur spel just när behovet av rättssäkerhetsgarantier är som störst. Efterhandskontrollen beskrivs som ett alternativ, men det framgår inte hur denna ska genomföras effektivt eller vilka resurser som krävs för att säkerställa att kontrollen är mer än en formalitet (sid. 117).
Förslaget tillåter behandling av personuppgifter i övningsverksamhet, vilket kan innebära att uppgifter kan komma att användas i icke-operativa syften utan tillräcklig reglering för att skydda de registrerade (sid. 16 och 155). Det är inte acceptabelt, och heller inte nödvändigt om övningar kan utföras med anonymiserade uppgifter eller syntetisk data. Att använda riktiga personuppgifter i övningssyfte skapar onödiga integritetsrisker som inte kan motiveras i relation till behovet.
En central princip i ett demokratiskt samhälle är att det ska fungera så likt som möjligt även under kris och krigsfara. Detta gäller även skyddet för enskildas fri- och rättigheter och rätten till integritet och skydd för familjeliv. Utredningens förslag avviker från denna princip genom att införa långtgående undantag från tillsyn och insyn i signalspaningsverksamheten under krig och krigsfara (sid. 12 och 174). Detta riskerar att leda till en urholkning av rättsstatens principer och undergräva de demokratiska värden som förslaget påstås skydda.
Det saknas också en jämförande analys med andra EU-länder. Utan harmoniserad lagstiftning och synsätt riskerar Sverige att bli en udda fågel i integritetshänseende, vilket försvårar det fria utbytet av information och därmed hindrar innovation och samarbeten över gränser. En sådan avvikelse skulle kunna få negativa konsekvenser för Sveriges internationella samarbeten och trovärdighet.
Förslaget att tillåta inhämtning av lagrad information, inklusive data som lagras i utländska molntjänster, innebär en utvidgning av FRA:s befogenheter som inte motiveras av en tillräckligt grundlig integritetsanalys (sid. 53 och 155). Utan tydliga begränsningar av vilken information som får inhämtas och hur den får användas riskerar dessa åtgärder att leda till oproportionerliga intrång i enskildas privatliv.
Förslaget att tillåta inhämtning av lagrad information, inklusive data som lagras i utländska molntjänster, innebär en utvidgning av FRA:s befogenheter som inte motiveras av en tillräckligt grundlig integritetsanalys (sid. 53 och 155). Utan tydliga begränsningar av vilken information som får inhämtas och hur den får användas riskerar dessa åtgärder att leda till oproportionerliga intrång i enskildas privatliv. En omfattande utredning av förslagets konsekvenser måste därför genomföras innan några beslut fattas.
Detta innefattar dessa särskilt viktiga punkter:
Slutligen anser DFRI att det är anmärkningsvärt att remissinstanserna främst utgörs av aktörer med koppling till försvars- och underrättelseverksamhet, vilket bär en risk att skapa en allt för ensidig bedömning. Centrala aktörer som saknas är fler aktörer med uppdrag att bevaka mänskliga rättigheter, aktörer som företräder yrken som verkar inom och är beroende av rättssäkerhet och demokratiska instrument som Journalistförbundet, forskare inom mänskliga rättigheter, dataskydd och informationssäkerhet. Vidare hade representanter från teknikföretag och internationella dataskyddsmyndigheter kunnat bidra med viktiga perspektiv kring såväl tekniska och praktiska risker med förslaget. Vi efterfrågar en förklaring till denna snäva urvalsfördelning och efterlyser en kompletterande remissomgång för en mer balanserad utvärdering.
DFRI anser att utredningens förslag i dess nuvarande form inte tillräckligt beaktar de risker som signalspaning medför för enskildas fri- och rättigheter. Förslaget i dess nuvarande form bör därför inte läggas till grund för lagstiftning. Vi uppmanar regeringen att stoppa den fortsatta beredningen av förslaget tills en omfattande och grundlig utredning av dess konsekvenser och alternativ har genomförts.
DFRI håller ett öppet styrelsemöte måndag 2024-12-16 kl 18:00 på internet. Vi beräknas hålla på i ungefär en timme. Alla medlemmar och andra intresserade är välkomna.
Dagordning finns här (kan ändras ända fram till att mötet börjar).
Anmäl dig per mejl till dfri@dfri.se om du vill delta. Då får du också information om länk till anslutning för deltagande.
This guide describes how to take control of your personal data and remove or hide it from open websites such as Ratsit.se, MrKoll.se, Eniro.se and Hitta.se.
Many of the sites that publish personal data have a so-called ‘certificate of publication’, which means that they are covered by exemptions from the GDPR’s provision on the right to erasure. For this reason, the GDPR cannot be fully applied. However, it is generally possible to remove or hide your data from public disclosure. In some cases, after a certain period of time, you may need to repeat the process.
Use the following links to remove your personal data from some of the most commonly used proof of publication sites:
Ratsit.se
Via Mobile BankID
https://www.ratsit.se/redigera/dolj
Merinfo.se
Via Mobile BankID
https://www.merinfo.se/ta-bort-uppgifter
Hitta.se
Via Mobile BankID
https://www.hitta.se/kontakta-oss/ta-bort-kontaktsida
Eniro.se
Via Mobile BankID
https://uppdatera.eniro.se/person
MrKoll.se
Via web form
https://mrkoll.se/om/kundservice-kundkontakt/
Upplysning.se
Via web form
https://www.upplysning.se/kontakta-oss
Birthday.se
Via e-mail
E-mail address: info@birthday.se
Biluppgifter.se
Via e-mail
E-mail address: info@biluppgifter.se
You only need to delete your data from the following sites if you have been convicted of an offence:
Krimfup.se
Via e-mail
E-mail address: support@krimfup.se
Lexbase.se
Via web form
https://www.lexbase.se/sida/kontakt?
For those pages that only delete or hide your data via email or web form, you can use the following template:
——————–
Subject:
Deletion of personal data
——————–
Body text:
Hello!
My social security number is: XXXXXX-XXXX
I would like to delete my personal data.
I request that all personal data linked to me be removed from your databases and websites. This means that no person will be able to see information about me, including legal documents and other data linked to my name and social security number, in your service. I also want you, as far as possible, to minimise and delete the data you hold about me internally.
You can find information on your obligations on the website of the Data Protection Authority(https://www.imy.se).
I look forward to receiving confirmation of my erasure request as soon as possible. Please feel free to contact me if you have any questions.
Yours sincerely
First name Last name
——————–
How do I remove my personal data from websites that are fully subject to the GDPR?
For organisations and pages that are not covered by the publication certificate, there are two options:
1. you can use the MyDataDoneRight website which helps you to use the GDPR in a simple way: https://mydatadoneright.eu/
2. you can use the email template below to exercise your right to erasure and thus delete your personal data. This also applies to information held internally within the organisation without being published. Please note that there may be legal obligations in the form of laws that prevent the organisation from completely deleting your data.
The template can be used for those pages where you are asked to email or fill in a message to the recipient. Be sure to change the parts in YELLOW to match your personal data.
You can open the email template directly in your email program by clicking here, or use the text below to copy, paste and customise it yourself.
——————–
Subject:
Erasure of personal data under Article 17 of the General Data Protection Regulation (GDPR)
——————–
Body text:
Hello!
My social security number is: XXXXXX-XXXX
I hereby wish to exercise my right to erasure under Article 17 of the General Data Protection Regulation (GDPR).
I request that all personal data linked to me be removed from your databases and websites. This means that no person will be able to see any information about me, including legal documents and other data linked to my name and social security number, in your service. I also want you, as far as possible, to minimise and delete the data you hold about me internally.
You can find information on your obligations on the website of the The Swedish Authority for Privacy Protection’s (IMY).
I look forward to receiving confirmation of my erasure request as soon as possible. Please feel free to contact me if you have any questions.
Yours sincerely
First name Last name
——————–
Tip 1:
The Police Union’s article on how to reduce your online visibility:
Tip 2:
The Right to Be Forgotten – a form for removing personalised content from Google Search. Use the following template as ‘Reason for removal’:
https://reportcontent.google.com/forms/rtbf
——————–
1) This page is about me because it includes specific personal details such as my name and address. The content directly identifies me, and these details are private and sensitive.
(2) The continued presence of this information violates my rights under the General Data Protection Regulation (GDPR). Specifically, it infringes on my right to privacy and data protection as outlined in Article 17 (Right to Erasure) of the GDPR. The information is no longer necessary for the purposes for which it was originally collected or processed, and its continued publication is not justified by any overriding legitimate interest, thus requiring its removal to comply with EU data protection laws.
——————–
Tip 3:
Block your address from unauthorised change of address and mail forwarding with ”the address lock”:
https://www.adressandring.se/vara-tjanster/adresslaset
Tip 4:
Prevent others from changing your registered address with the Swedish Tax Agency:
https://www.skatteverket.se/privat/folkbokforing/flyttanmalan/sparraobehorigadressandring.4.361dc8c15312eff6fd2ca7c.html
The IMY can initiate enforcement against services with proof of publication. Therefore, it is a good idea to notify them if the service does not remove the data. Read more on the IMY website:
https://www.imy.se/privatperson/dataskydd/vi-guidar-dig/utgivningsbevis/
Do you want to check, move, delete or retrieve your personal data from a company or organisation and their services? Then you can use the GDPR-safe platform MyDataDoneRight.eu. It helps you find, add and formulate your use of the GDPR. The platform does not store any personal data about you but does so if all organisations using contribute to add. Do you want to help in the project? See the DFRI project page here.
Would you like to support the activities of the Danish Digital Rights and Freedoms Association to make similar guides and advocate for the right to privacy and protection of your personal data?
Welcome to become a member, get involved or donate.
Den europeiska organisationen för dataintegritet, noyb, har överklagat ett beslut från Förvaltningsrätten i Stockholm. Detta i ett försök att stärka den svenska tillämpningen av GDPR (General Data Protection Regulation). Organisationen menar på att Sveriges Integritetsskyddsmyndighet (IMY) inte uppfyller sina skyldigheter enligt EU-lagstiftningen, och hanterar klagomål från privatpersoner på ett sätt som underminerar deras rättigheter.
Joakim Söderberg, dataskyddsjurist på noyb, beskriver det rättsliga steget som nödvändigt för att stärka individens rättigheter under GDPR.
– Det vi vill uppnå med överklagandet är att säkerställa att privatpersoners rättigheter faktiskt skyddas. I dagsläget verkar det nästan vara konsekvensfritt för företag och myndigheter att kränka individers rättigheter, och det måste förändras.
Enligt Joakim handlar mycket av kritiken om att IMY inte gör tillräckligt för att utreda de klagomål som kommer in. Trots ett domstolsbeslut från Högsta förvaltningsdomstolen som tvingade myndigheten att fatta beslut i alla ärenden, fortsätter IMY att vidarebefordra klagomål till de berörda företagen utan någon vidare uppföljning.
Joakim Söderberg riktar skarp kritik mot hur inkommande ärenden hanteras inom IMY.
– Ett stort problem är att IMY själva bestämmer vilka klagomål som är värda att utreda, istället för att ta varje klagomål på allvar. På så sätt fråntas privatpersoner möjligheten att få sina rättigheter skyddade. Jag har svårt att se hur IMY skulle veta bättre än vi medborgare vad som är viktigt för oss.
Problemet med bristande klagomålshantering är inte unikt för Sverige. Flera andra europeiska dataskyddsmyndigheter har också blivit kritiserade för sin hantering av GDPR-frågor. Söderberg nämner att både Irland och Grekland har liknande utmaningar, medan länder som Spanien och Italien ibland anses ha bättre strukturer, även om statistiken över faktiska åtgärder är osäker.
– Tyvärr ser vi att detta inte är ett isolerat problem för Sverige. Det är ett strukturellt problem i flera europeiska länder där myndigheterna inte tar individens rättigheter på allvar.
“Fler samtal om vikten av att skydda sina personuppgifter”
GDPR är i mångt och mycket en fråga om olika intressen och prioriteringar. Svenskt Näringslivs rapport, “Vad är fortfarande fel med GDPR?” tyder på en ovilja från företag när det kommer till att skydda individers personuppgifter. Joakim Söderberg tror att det krävs en ökad medvetenhet och större opinion för att åstadkomma förändring.
– IMY ska värna individens rättigheter, särskilt rätten till skydd av personuppgifter, vilket ofta går stick i stäv med företagens intressen. Inom politiken tenderar individens rättigheter tyvärr att nedprioriteras till förmån för sådant som genererar klirr i statskassan. Om fler människor börjar prata om vikten av kontroll över sina personuppgifter, så kan detta förhoppningsvis skapa ett politiskt tryck som leder till att IMY får de resurser och mandat som krävs för att faktiskt uppfylla sitt uppdrag.
I väntan på att Kammarrätten ska besluta om prövningstillstånd för överklagandet, fortsätter noyb sin kamp för att få IMY att uppfylla sina skyldigheter enligt GDPR.
Föreningen DFRI (Digitala Fri- och Rättigheter) samarbetar med noyb (none of your business), genom nätverket EDRi (European Digital Rights), som verkar för digitala friheter och rättigheter inom Europa.
Bli medlem i DFRI
Bli medlem i noyb
Text på engelska: https://noyb.eu/en/noyb-takes-swedish-dpa-court-refusing-properly-deal-complaints