2 år efter att GDPR trädde i kraft - lagen upprätthålls inte

Efter två år med GDPR står det klart att medlemsstaterna i EU – framför allt Irland – genom sina tillsynsmyndigheter sett till att lagen inte upprätthålls i praktiken. Två tydliga exempel är Apples avlyssning genom Siri och Facebooks undvikande av samtycke, där den irländska dataskyddsmyndigheten valt att inte agera.

För att skydda vårt privatliv behöver GDPR bli mer än en papperstiger. EU:s dataskyddsmyndigheter behöver få adekvata resurser och tydliga uppdrag att faktiskt utfärda sanktioner och inte bara slå företag på fingrarna. EU-kommissionen behöver agera mot länder som använder under-implementering av GDPR som konkurrensfördel (Irland).


Bristande tillsyn hindrar GDPR från att skydda vårt privatliv

Det är nu två år sedan GDPR (allmänna dataskyddsförordningen) trädde i kraft. Lagen är en viktig pusselbit i kampen för att skydda ditt privatliv på nätet, och därför lade piraterna i parlamentet mycket arbete på att se till att lagen blev så bra som möjligt.

Men trots att det nu är två år sedan GDPR trädde i kraft har lagen inte till fullo implementerats än. Om inte tillsynsmyndigheterna (i Sverige: Datainspektionen) och domstolarna genomdriver lagen är den inte mycket värd. Tyvärr brister detta genomdrivande kraftigt vad gäller GDPR. Vi kan inte ha en dataskyddslag som bara finns på papper, utan den måste också implementeras i verkligheten!

“The GDPR has proven to be a global gold standard in protecting our privacy. However, this protection should not only exist on paper, but must also be enforced.”

Patrick Breyer, tysk EU-parlamentariker för Piratpartiet

Ifall medlemsstaterna i EU vägrar ge tillsynsmyndigheter de resurser som behövs för att upprätthålla GDPR bör också EU-kommissionen ta till åtgärder för att se till att lagen faktiskt efterlevs i verkligheten. Dessutom bör full transparens i tillsynsprocessen råda.

The GDPR was designed to address information and power asymmetries between individuals and entities that process their data, and to empower people to control it. Two years since it was introduced, this is unfortunately still not the case. Effectiveness and enforcement are two pillars of the EU data protection legislation where national data protection authorities (DPAs) have a crucial role to play.

European Digital Rights

Exempel ett på bristande tillsyn – Apples Siri

Redan förra året larmades det om att både anställda och konsulter på Apple systematiskt avlyssnade känsliga inspelningar som görs via röstassistenten Siri på iPhones, även när telefonägaren inte aktiverat Siri. Som exempel nämndes att man regelbundet avlyssnade par som hade sex och möten med läkare.

“There’s not much vetting of who works there, and the amount of data that we’re free to look through seems quite broad. It wouldn’t be difficult to identify the person that you’re listening to, especially with accidental triggers – addresses, names and so on.

Apple is subcontracting out, there’s a high turnover. It’s not like people are being encouraged to have consideration for people’s privacy, or even consider it. If there were someone with nefarious intentions, it wouldn’t be hard to identify [people on the recordings].”

Förra årets visselblåsare från Apple

Den irländska tillsynsmyndigheten DPC ska då ha haft möten med Apple som lett till ”some changes”. Apple annonserade att kvalitetsgranskning – som tidigare omnämnd avlyssning var en del av – numera bara skulle göras av inspelningar från användare som explicit bett om det. Inga sanktioner utfärdades mot Apple, utan det räckte med att man bad om ursäkt, trots att deras program för kvalitetsgranskning uppenbarligen stred mot lagkraven på samtycke och transparens.

En visselblåsare på Apple har nu larmat om att anställda på Apple fortfarande systematiskt avlyssnar känsliga inspelningar som görs via röstassistenten Siri, även när användaren inte bett om det. För tydlighetens skull: Apple avlyssnar ibland din iPhone även när du inte aktiverat Siri. Hundratals Apple-anställda lyssnar igenom, analyserar och transkriberar vad de hör. De katalogiserar alltså intim information, politiska åsikter, sexuell läggning, privata samtal med mera, utan att de som avlyssnas informerats. Till själva inspelningen tillfogas platsinformation, kontaktuppgifter, med mera.

“I am extremely concerned that big tech companies are basically wiretapping entire populations despite European citizens being told the EU has one of the strongest data protection laws in the world. Passing a law is not good enough: it needs to be enforced upon privacy offenders.”

Thomas le Bonniec, visselblåsare från Apple

Såvitt vi kan avgöra inledde DPC ingen faktisk tillsynsundersökning efter förra årets avslöjanden. Vi vet inte ifall man kommer göra det nu heller. Även om man väljer att göra det kan det, som nästa exempel ska visa, ta flera år innan man kommer någon vart med utredningen. Den irländska dataskyddsmyndigheten suger luften ur GDPR genom att välja att inte agera mot flagranta brott mot lagen.

Exempel två på bristande tillsyn – noyb, Facebook och Twitter

Redan timmar efter att GDPR trädde i kraft skickade föreningen noyb (None Of Your Business) in flertalet klagomål till den irländska dataskyddsmyndigheten.

Klagomålen rör att Facebook inte inhämtar ett frivilligt samtycke för att utnyttja användarnas personliga information. Sådant samtycke måste inhämtas separat och vara explicit frivilligt, eftersom personligt riktade annonser inte är nödvändigt för tjänsten – kontextuella annonser fungerar bra som ersättning.

Facebook har svarat på detta genom att argumentera att man inte använder samtycke som laglig grund, utan att man sluter ett kontrakt med användarna som tvingar Facebook att övervaka och rikta annonser mot användarna. Facebook hävdar alltså att alla som använder tjänsten slutit ett kontrakt med Facebook där man ber dem att övervaka en.

Facebook now says that they do not need consent for the use of the data because users ordered this advertising. Advertising on Facebook is now supposed to be an important part of the ‘service promise’. It’s as if users join Facebook only to see ads.”

Katharina Raabe-Stuppnig, Max Schrems advokat

Facebook har menat att alla använder vet precis vad för övervakning de utsätter sig själva för, eftersom de skrivit kontrakt där de bett om att bli övervakade. Trots detta kunde inte Cecilia Álvarez, privacy policy director vid Facebook, i domstol svara på hur Facebook faktiskt hanterar personlig information. Företrädare för Facebook har till och med argumenterat för att användare som skadats av Facebooks datahantering inte har rätt till ersättning, eftersom skadan var självåsamkad som en typ av digitalt självskadebeteende.

Facebook argues that every user knows what they are getting into – but not even the top Facebook privacy expert can explain exactly what the company does with our data. That’s particularly absurd.”

Max Schrems

För att motbevisa Facebook om att användarna medvetet bett om att övervakas beställde noyb en undersökning bland 1000 Facebook-användare. 64% av dem trodde att de samtyckt till att övervakas, vilket Facebook hävdar att de inte gjort. Bara 1,6 – 2,5% trodde att de skrivit under ett sådant övervakningskontrakt som Facebook hävdar.

Den irländska dataskyddsmyndigheten har även här varit tröga. På två år har man knappt lyckats presentera en första undersökning i ärendet. Troligen kommer det ta åtminstone tre år innan besluten når domstolsprocess. Under tiden tillåter man Facebook att göra intrång i miljontals människors privatliv, mer eller mindre obehindrat.

Overview over procedures two yeary after filing
noyb’s tre ursprungliga klagomål under GDPR och hur de hanterats av den irländska dataskyddsmyndigheten. Källa: https://noyb.eu/en/open-letter

Tusentals företag förtjänar att granskas i ljuset av GDPR

Det är lätt att fokusera på de allra största teknikföretagen – Apple, Facebook, Google, Amazon, Netflix, med flera – när man diskuterar GDPR. Men lagen är ett lika viktigt skydd mot tusentals andra aktörer som missbrukar personuppgifter hela tiden.

Facebook är till exempel långt ifrån ensamma om att bryta mot kraven på samtycke – det ska vara frivilligt, entydigt, informerat, återkalleligt och kan inte ges i ett ojämlik maktförhållande. Många nätaktörer inskaffar samtycke genom olika typer av bedräglig design (så kallade dark patterns”), genom att kräva det för tillgång till tjänster, klumpa ihop samtycket med användaravtal eller andra sätt som inte uppfyller kraven på ett samtycke.

Massor av appar läcker information som såll. Reklambranschen utnyttjar detta. Telekomföretag, kreditvärderingsföretag, försäkringsbolag, leverantörer av teknik för ansiktsigenkänning, dejtingappar – listan kan göras lång med företag vars praktiker förtjänar granskning i ljuset av GDPR.

Den irländska dataskyddsmyndigheten har fått in runt 10 000 klagomål på två år och har inte utfärdat några sanktioner alls. Att Irland upphäver gällande EU-förordning för alla européer på det sättet kan inte tolereras.

GDPR behöver kompletteras – framför allt med ePrivacy-förordningen

GDPR behöver andra starka lagar runt sig för att fungera som ett effektivt skydd för ditt privatliv. Framför allt behövs ePrivacy-förordningen, som förhalats av regeringarna i EU i flera år efter massiv lobbyism från olika företag som är beroende av att missbruka personuppgifter. ePrivacy-förordningen var tänkt att reglera användningen av cookies, som komplement till GDPR.

”Officials from the EU28’s permanent representations in Brussels report that they cannot recall a legislative proposal that has attracted so much lobbying – with corporate interests absolutely dominating. And some member states have proved all too happy to help the industry.”

https://corporateeurope.org/en/power-lobbies/2018/06/shutting-down-eprivacy-lobby-bandwagon-targets-council

Tyvärr har ministerrådets nuvarande ordförande – Kroatien – föreslagit att tillåta övervakning av t.ex. mobiltelefoner över internet på grundval av ”balance of interests”. Det skulle öppna svängdörrarna på vid gavel för bred övervakning av väldigt personlig information, som till exempel platsdata. Vi vill istället se tydliga och restriktiva regler som kräver explicit samtycke för övervakning, precis som i GDPR.

“There is also an urgent need to strengthen the ePrivacy Regulation as it complements the GDPR, e.g. in the areas of smartphone use and online services, and was originally foreseen to come into force together with the GDPR. The delaying tactics of governments and the tug-of-war with industry behind the scenes are irresponsible here, because the protection of people’s privacy must be the focus of attention in the digital age – rather than the advertising interests of industry. Companies should once again focus on providing the benefits of their products to customers, not spying on them. The ‘transparent customer’ and the so-called surveillance capitalism on the Internet should be abolished as a historical aberration!”

Patrick Breyer, tysk EU-parlamentariker för Piratpartiet

Det kommande lagstiftningspaketet Digital Services Act (DSA) utgör också en möjlighet att komplettera GDPR för att bättre skydda våra digitala rättigheter. Till exempel vad gäller tillgång till så kallade behavioral profiles och de facto kontroll över vår data. Patrick Breyer, tysk EU-parlamentariker för Piratpartiet har nyligen presenterat ett antal sådana förslag. Tyvärr verkar kommissionen luta åt att vilja gå åt andra hållet med DSA, och bland annat gå ännu längre med krav på censurfilter.

Andra röster om GDPR, med anledning av två-årsjubileumet

The GDPR was designed to address information and power asymmetries between individuals and entities that process their data, and to empower people to control it. Two years since it was introduced, this is unfortunately still not the case. Effectiveness and enforcement are two pillars of the EU data protection legislation where national data protection authorities (DPAs) have a crucial role to play.

European Digital Rights

“Thanks to the EU’s data protection law, consumers have a defence against companies that hoover up their data and watch their every step online. But they rely on enforcement authorities to investigate breaches and force companies to adhere to the law. If this is not guaranteed, consumers’ trust in their rights and the institutions which are expected to guard them will melt away. 

Monique Goyens, Director General of The European Consumer Organisation

We are deeply concerned that GDPR protections are being undermined by the way that Member States have implemented derogations (the parts of GDPR which could be changed at national level).

Collective redress, the majority of Member States decided not to implement the derogation in Article 80(2) of GDPR, with hugely damaging consequences for the protection of personal data. Many of the infringements we see are systemic, vast in scale and complex and thus impossible for an individual to challenge. Yet without Article 80.2 there is no effective redress in place.

Privacy International