Europaparlamentet klubbar igenom ny dataskyddsförordning

För amerikanska (eller andra företag från utanför EU) gäller nationell lagstiftning och då de facto EU-lag, var ett uppmärksammat fall där Frankrike drog Facebook tror jag det var inför rätta, och fastslog i domstol att det ska vara nationell rätt som gäller.

Skickades från m.sweclockers.com

Flytta data innebär då personlig information, medan spel via Steam är produkter du köper och använder i deras infrastruktur. Du är fri att använda spelen offline t.ex, och får tillgång till dem genom att du köper dem via Steam. Det är alltså inte särskilt mycket personlig information som lagras där, istället är det produkter, och rent tekniskt lagras de produkterna på din dator, så var skulle du flytta dem?

Sedan när det gäller monopol (mer en monopolliknande ställning) så upprätthåller inte Steam vad jag vet sin ställning genom konkurrenshämmande åtgärder mot konkurrenterna. Det är alltså inte monopol, snarare avsaknad av konkurrens. Skulle t.ex Steam hota användare som också använder Origin med att de blir spärrade eller att de får betala mer för spel på Steam om de har Origin, då kan vi nog prata missbruk av dominerande ställning.
Som det är nu är det knappast Steams ansvar att alternativen upplevs som sämre av användare.

Mycket intressant, det fallet har jag missat! Kan få betydelse för studierna också, så väldigt tacksam att du pekade ut det.
Och utfallet för mig är helt logiskt, även om jag kan förstå att Oracle försökte få igenom den amerikanska tillämpningen. Kul att höra att utsläckningen även gäller digitala köp. Utöver det så innebär det att samma kommer gälla för amerikanska företag då som säljer sina produkter inom EU, eftersom det då den rättstillämpningen som ska gälla.

Lite svårt att greppa vad det innebär i relation till Steam däremot i förlängningen. En licensnyckel kan alltså inte knytas till en specifik användare mer än att endast en specifik användare kan inneha den. Steam får inte heller hindra att ägaren/innehavaren säljer den. Men om det praktiskt i Steamprogrammet saknas möjligheter att utföra försäljningen, så måste det väl ändå i så fall ses som att Steam hindrar det?

Aja, ska läsa vidare i artikeln du länkade nu i alla fall.

Nu kanske jag missminner gången helt, men har för mig att direktivet hamnade på EU-domstolens bord så som du beskriver, genom ett lands tillämpning, men att domstolen sågade själva direktivet och fann det inte förenligt med de grundläggande rättigheter som medborgare ska ha enligt EU. I och med det så blev i praktiken alla länders tillämpning av lagstiftning i enlighet med direktivet ogiltigt. I Sverige utreddes då det om den lag som utformats enligt infosec-direktivet fortfarande kunde tillämpas, vilket den ansågs kunna göra, medan PTS då var väldigt försiktig till hur de skulle förhålla sig till det fram tills nyligen då de drämde till med vite mot Bahnhof för att inte lämnat ut uppgifter i enlighet med det.

Summan blir väl ändå att om svensk lag står i strid mot medborgarnas rättigheter enligt EU-lag, att det är EU-lag som gäller.
Nu är det möjligt att jag missat något led eller någon info, men det här är hur jag minns det i alla fall.

Uppenbart att du inte satt med Valves tidiga tjänster och steam betan eller steam 2003. Konstanta disconnects, tog år att uppdatera om man ens kunde göra det överhuvudtaget. Kommer ihåg det lilla roliga jag hade när jag installera HL2 för första gången, kunde inte lira ordentligt och pålitligt förrns 3 dagar efter releasen. Steam var otroligt opålitligt på den tiden, inte direkt som det är superstabilt nu heller.

4% av sin globala omsättning, oj!

Okej, så vi ger då 4-5 miljoner svenskar, miljonbelopps böter, år i fängelse osv, För dom begick ju ''brott'' när lagen gällde.
Jaaa, good luck.

Jo, men när det kommer till direktiv är det alltid så, de får "implementeras lite som varje stat vill", så länge kraven i direktivet uppfylls. Däri ligger skillnaden mot förordning, som blir gällande lag inom hela EU, samt att ett direktiv som inte blivit implementerat när implementeringstiden gått ut fortfarande gäller vertikalt i ett land.

Här ville jag minnas att vad EU-domstolen sköt in sig på var just direktivet eftersom det gick emot EUs grundläggande rättigheter för sina medborgare, och i och med det blir direktivet ogiltigt, vilket i sin tur innebär att lagstiftning gjord utifrån direktivet också är, eller åtminstone löper stor risk, att vara ogiltig.

Vad som spelar in är lagarnas hierarki. Förordning står över direktiv, samtidigt som EU-rätt står över nationell rätt.
Om EU-domstolen finner att en förordning och ett direktiv står i strid med varandra, så gäller förordningen. Det innebär alltså att nationell lagstiftning inte kommer bedömas i jämförelse med direktivet, utan med förordningen.

Hittade pressmeddelandet nu i alla fall, och utifrån det så har nog PTS fel, eftersom den stora pucken är brott mot proportionalitetsprincipen, så frågan i fallet med PTS och Bahnhof blir "är det proportionerligt att lämna ut uppgifter om användare oavsett vad för brott det är misstanke om?", och där kan svaret inte bli annat än nej. Eftersom det ändå är ett intrång i integriteten så kommer kravet enligt principen bli att det ska vara brott som har en viss allvarlighetsgrad.

Ja, visserligen, men:
Lagen i det här fallet ger PTS möjlighet att ålägga Bahnhof vite om de inte lämnar ut uppgifterna. Om de vägrar så kan de ta det till domstol, som då ska beakta gällande lag. När det kommer till direktivet som lagen bygger på så blev det upphävt, och det blev upphävt från det datum det implementerades, med andra ord har det aldrig varit giltigt. Det innebär således att lagen kommer prövas mot just det som EU-domstolen gjorde sin prövning mot, nämligen EU's stadga och i prövningen utgå från proportionalitetsprincipen, det blir nämligen vad som var gällande lag vid tillfället då, eftersom direktivet ogiltigförklarades från dagen då det trädde i kraft.

edit: lite förtydligande också. Det i sin tur innebär att det lagstöd utifrån vilket PTS utdömde vite för att Bahnhof inte följer, faller. Med andra ord saknas då underlag för att utdöma vite, och förvaltningsrätten kommer då häva beslutet.

Ändrar detta någon för Datalagringsinitiativet? tycker det är lite konstigt det som står i artickeln då det inte tar upp riktigt vad det innebär.

Dessutom står det:

Så lite som möjligt? det borde ju betyda att ISP's nu INTE ska lagra användaruppgifter, tycker det verkar lite konstigt, eller är kryphålet att man menar på att ISP'ns uppgifter är Företagets uppgifter och inte användarens uppgifter?

@Captain_Spock:

Det kan påverka företag som residerar utanför jurisdiktionen OM.

Det förutsätter att lagen skrivs utifrån användarens perspektiv i sin roll som EU-medborgare. Medlemsstaterna själva skulle även kunna skriva samma typer av lagar, i likhet med skatteavtalen.

Ett exempel

1§ Företag som riktar sig till statens medborgare skall säkerställa
att användaren tydligt informeras om sina rättigheter innan medlemsansökan
att företaget har en filial eller skaffar sig en tydlig anknytning till de länder denne beräknar erbjuda sina tjänster i
bla
bla

Efter en massa paragrafer med valfritt innehåll kommer konsekvensparagraferna i sedvanlig ordning

4000§ Den organisation som ej efterlevt 1§ bötar xxx eller åläggs skadeståndsplikt i enlighet med yyy.
4001§ I enlighet med statens terrorlagstiftning förväntas organisationen har extra kontroll av statens företrädare som även är medlemmar i denna organisations nätverk för att säkerställa statens funktion
4002§ Individer som företräder staten, kommunerna eller landstingen eller är politiker och som efter datalagringsdirektivets datamining funnits ha samarbetat med obskyra organisationer fängslas på livstid
4003§ Individer som arbetar inom säkerhetstjänsten och som samarbetat med terrorister avrättas i enlighet med krigets lagar.
4004§ Utländska agenter från andra staters säkerhetstjänster som samarbetat med terrorister som residerar inom rikets gränser, eller som residerat inom rikets gränser och som den andra staten visste var en terrorist eller utbildades av den staten att bli en terrorist, avrättas i enlighet med krigets lagar.

8888§ Ulla Bella-paragrafen:
Vad är en terrorist? Vem skapade ISIS. Spekulationerna är många. Vem skapade Al Qaida? Vilka är egentliga orsaker till nuvarande konsekvenser.
"Jaaaa, det är jag Ulla Bella som kan allt och lite till. Jag fixar och donar med det ena och det andra. Bara jag får jobba, så gör jag vad som helst. Jag vill bara ha ett jobb, med vilket innehåll som helst. Jag ifrågasätter inte utan endast utför, sådana är mina direktiv. Låt mig gräva en grop och åter fylla den i. Sisyfos hade det inte roligare än Ulla Bella. Bara vi gör gropgrävandet tillsammans och lyfter stora lönen för gropgrävandet. Det är ansvar det, för vi måste ta ansvaret för jobben."

Lägg till en jurisdiktionslag som omsveper alla andra lagar av internationell karaktär
1§ Staten lagstiftar härmed att internationella företag och organisationer med användare som är medborgare i staten omfattas av statens jurisdiktion, per consent.

2§ Organisationer som riktar sig till medborgare i staten förpliktas att tydligt informera om jurisdiktionsreglerna på sin hemsida för att säkerställa att medborgarna vet om sina rättigheter i förhållandet individ-företag samt företag-stat och stat-individ.

3§ Staten kommer att marknadsföra denna lagstiftning genom att delta på konferenser för dyra pengar i Silicon Valley, så ingen kan undgå att veta att staten som vet allt och vet bäst skyddar sina medborgare.

Slutligen en lag om datamining
1§ Organisationerna skall sända in sina databaser där dessa berör medborgare i staten för att staten skall kunna datamina dessa efter terrorister, fiender mot staten bla bla bla. Data är jättekul och vi som rättskaffens människor, eftersom vi som statens företrädare per definition är ofelbara, förbehåller oss rätten att undersöka all data, om alla människor, i alla tider, under hela dygnet. För att vi kan!
2§ Får vi inte datamina som stat överlåter vi denna rätt till EU istället eller mellanstatliga underättelseorgan i gränstrakterna mellan staternas underättelsetjänster och de upparbetade informationsutbyteskanaler som existerar.

Jag tror att mycket av nuvarande lagstiftning skulle kunna sammanfattas av dessa kortar lagar som får plats på en halv A4. Resten kan bakas in i praxis och know how som endast juristprofessorer på avdelning VII på Riksenheten för lagarnas efterlevnad har egentlig kunskap om. Vem sade att lagar var en angelägenhet för medel-Svensson?

Hur dataminar staterna eller överstatliga organ bäst? Skapa ett hackaton, likt DARPAs olika tävlingar där begåvningarna får hitta på bästa algoritmerna i utbyte mot en trofé och lite pengar.

Upphäv även banksekretessen genom att lägga till en paragraf där varje bank eller finansinstitut med en kund som är medborgare förpliktas att sända in all information om dessa banktransaktioner till staten. Marknadsför man dessa bestämmelser på FB, Linkedin och andra sociala nätverk så kan ingen uppkopplad och universitetsutbildad banktjänsteman undgå att veta reglerna. De vet ju redan reglerna så detaljerat att de kan runda reglerna som nu existerar.

STASI-sverige eller -USA eller -Ryssland eller -EU är då ett faktum. Ingenstans att gömma sig. Men du är väldigt skyddad av alla statens företrädare i form av grå tjänstemän i svarta kostymer som reglerar din minsta rörelse i realtid via deras control dash board. Varje handling du kan genomföra finns det en manual för. Toalettbesök? Vi har skrivit ett EU-direktiv. Dating? Vi har en uppsjö avhandlingar som leder till bästa datingupplevelsen från endorfinproduktion till elektrontransport. Vem behöver dating? Nu existerar det inseminationslagar så hermafroditism är en giltig lösning. Försörjningsansvaret för barnen? Vi skattar 100 % så kan vi kvinnor lösgöra oss från männens förtryck. Vi i Liberalerna vill ha kvinnans frihet i första rummet.

Det var mer än ett svar på din fråga om utländska företag inte kan komma runt EU-direktivet. Det beror på. Samt många lagar har nu stiftats som sammantaget målar en helt annorlunda bild än för 10 år sedan. Låt oss kalla det en äkta revolution i det tysta.

Nej. Svensk lag är inte underställd den i EU. Ett exempel är ju det faktum att Sverige förbjuder vissa miljögifter som EU godkänt. EU kan eventuellt tvinga sina medlemsländer att införa sanktioner mot Sverige och lägga påtryckningar men de kan inte tvinga igenom ett beslut i Sverige. Att sedan politiker faller för påtryckningar är ju en helt annan femma. Ett annat exempel är datalagrinslagen som EU domstolen ansett bröt mot rättigheter men Sverige ändå har kvar.

Nej det är en svensk regering som bestämt det fast efter påtryckningar från EU.

Både ja och nej. Sverige har officiellt varit "neutrala" vilket i sig aldrig skulle ha hänt om vi vore "en satellitstat". Att sedan Sverige (på grund av rädsla för Sovjet.. som både härstammar från Historisk konflikt med Ryssland, Geopolitik och det faktum att Sovjet gillade att expandera på andras bekostad) valde att tumma ganska rejält på detta är ju en helt annan femma. Oberoende så har USA mindre inflytande på nationen i sig än vad folk tror däremot har man fortfarande ett enormt grepp om världspolitiken och det är självfallet en påtryckning.

Det är ett problem som existerat i alla liknande organisationer någonsin. EU/FN/Nato etc. har ingen "Polis" som kan påtvinga nationerna rådets (eller vad det nu är) beslut utan det är upp till var och en att införa. Alternativet vore ett extremcentraliserat styre i Bryssel men då skulle ju de flesta nationer dra sig ur. EU är en union. Inte någon centralregering och därför får man acceptera att de saknar den direkta makt som krävs för att vara något annat än en plattform för diplomati.

Jo, svensk lag är underställd EU-lag utifrån hierarkin. Förordningar i EU gäller som lag i Sverige, och direktiv som EU utfärdar ska implementeras i medlemsstaternas lagstiftning, direktiv är nog vad du refererar till som "påtryckning". Saken är den att om en stat inte inför lagstiftning i enlighet med direktivet inom tidsramen, så blir direktivet gällande vertikalt, mao medborgarna kan hålla staten ansvarig, men det går inte att använda lagen gentemot varandra, enkelt uttryckt.
Att sedan ha hårdare lagstiftning om miljögifter är något helt annat än att ha slappare lagar om medborgerliga rättigheter. Hade det istället handlat om att Sverige hade haft ett starkare medborgarrättsligt skydd, då hade det varit en annan femma.

Att Sverige har kvar datalagringslagen (LEK) är inget bevis på att Sverige kan göra som de vill, istället får de som de gjort begära in ett förhandsavgörande från EU-domstolen för att få klarhet i hur den ska tolkas. Om EU-domstolen fastslår att lagen då inte är giltig så är den inte giltig, eftersom EU-rätt står över Svensk rätt.

Användaruppgifter måste de lagra, annars kan de inte skicka ut räkningar. Men som tidigare så har det varit en del tjafs om att trafik ska sparas, hur länge den ska sparas osv. Här kommer det nu bli enklare för ISP's att faktiskt bara sluta lagra sådant som inte är absolut väsentligt. I praktiken så verkar det mer vara ett steg mot att "avlyssning" av digital trafik kan ske först efter att ett beslut om sådant kommit, inte på trafik som förekommit innan. Men det ska till prejudikat på det här innan det är helt klart hur det kommer fungera.

Låter som ett rätt tandlöst regelverk. Precis som man nu bara kan acceptera kakor eller avstå från tjänsten kommer man bara kunna läsa om vad som lagras och godkänna eller avstå från tjänsten. Eftersom vi redan kan förutsätta att allt som fylls i ett formulär o.dyl lagras, så förstår jag inte poängen med detta.

Det borde snarare tillkomma en lagstiftning som gör det självklara alldeles glasklart. Jag äger mig själv och uppgifterna om mig och ska närsomhelst kunna tillse att alla mina uppgifter raderas med secure wipe. Dessutom borde inga företag eller organisationer få lagra någonting någonstans utöver det som är absolut nödvändigt för servicen att fungera. Många länder har faktiskt inte personnummer alls, ändå kan medborgare i dessa köpa och sälja, ha bankkonton, osv.

Det borde vara fullkomligt självklart att man ska kunna säga nej till exempelvis kakor och webbtjänsterna ska fungera ändå. För det handlar inte alls om att kunna ge "en bättre användarupplevelse" (det är dessutom irrelevant. Webben är inte primärt till för "upplevelser", speciellt inte seriösa portaler som nyhetssidor o.dyl), utan bara om slentrianmässig inhämtning. En statisk sida behöver aldrig någonsin lagra någonting om någon, någonstans.

En sida ska inte kunna neka funktion om användaren nekar till att lagra någon uppgift som användaren begriper inte har med funktionen att göra (inklusive fakturering, etc). Personnummer, t.ex., liksom adresser och telefonnummer, bör aldrig lagras privat. Vi behöver ett helt nytt anonymiseringslager på need-to-know-basis där en sida som säljer en produkt bara vet att den sålt X till en hashsumma eller liknande och posten vet bara att ett paket från okänd avsändare med okänt innehåll ska sändas till person på adress, osv, och när allting är klart ska det inte finnas några som helst spår av transaktionen. Missbruken av information är nämligen större än missbruket av tjänster, det vet vi empiriskt. Och bra implementerad anonymitet här öppnar inte upp för missbruk alls. Tvärt om, det försvårar för id-kapning, för köp i någon annans namn, för bedrägeri osv.

Dessutom är webbläsare korkade som inte låter användaren bestämma vilka kakor som ska gå till /dev/null (speciellt statiska kakor kan fabriceras och anonymiseras). Korsspårning på sidor med gilla-knappar o.dyl borde förbjudas. Vi vet ju att fuckface, google, etc, även spårar folk som saknar konto och inte vill ha med dessa mörkermän att göra.

Edit: En annan sak som bara är vagt relaterat men som gäller datalagring är plausible deniability. Jag vet att Banhof och ibland andra ISPer gör mycket för integriteten, åtminstone i debatten. Men de kunde med lätthet göra mer. Det är bara att prompt sluta datalagra och vid påtryckningar generera helt påhittade loggar. Dessa loggar ska vara rimliga, dvs uppvisa plausible deniability, varpå brott mot lagringsdirektiv o.dyl inte kan styrkas, ens i teorin. Ska det vara så jävla svårt. Det är ju jag som kund som bestämmer och ingen annan, eller hur? Data som jag genererar = mina data. Helt enligt vad copyright-maffian tycker, eller hur? Så, de faller på eget grepp. De som loggar piratkopierar alltså mina data (enligt min tolkning, och jag vet att jag har tolkningsföreträdet här)!

Rätt implementerat så har vi som sagt plausible deniability (skulle verkligen vilja ha en svensk term här, men ingen har vågat sig på att översätta vad jag vet och "plausibel/rimlig förnekningsbarhet/förnekelsebarhet" klingar illa), varpå ingenting kan bevisas. En kodssnutt eller skript som skapar slumpmässiga loggar är inte bara lagligt, det är också fullt rimligt att "inneha" ett sådant för testning. Generering av dummydata är väldigt vanligt och tämligen oproblematiskt. Denna kodsnutt kan slås av eller på, inte heller något orimligt och detta i sig behöver inte loggas. Så allting kan finnas infrastrukturmässigt utan att det är det minsta konstigt.

Man skulle också kunna filtrera webbresurser som myndigheter kan vara intresserade av. Existensen av ett sådant filter kan påstås vara laborering i myndigheternas tjänst, men kan lika gärna göra att just dylika URLs eller sökord, etc, aldrig lagras.

Dessutom är det ju knappast förvanskning av bevis. Det kan väl bara ske när något redan har nått någon sorts status som bevis. Jag får ju givetvis fullt lagligt "kontaminera" mitt egna blodprov jag tar på mig själv bäst jag vill, men det betyder inte att jag får kladda runt med ett blodprov (från mig) hos NFC.

Återigen tror jag inte att kommuniceringen av detta egentligen skulle vara något problem, men om så vore, så behöver man inte kommunicera. Det räcker med att "alla gör så" och att det liksom blir allmänt känt och underförstått i branschen att loggning är fiktiv.

Det räcker med att någon företrädare för en ISP citerar mig och skriver "ah, intressant tanke", så vet vi. Då kan vi andra riskfritt sprida uppgiften vidare utan att den kan beläggas. Dessutom nullifierar man ett farligare och trubbigare instrument som myndighetsivrarnas aktiverat mot bättre vetande, nämligen möjligheten för trafikanalys.

Om inte fejkloggning faller på läpp, kan man givetvis ha IT-attacker, intrång eller hårdvarufel att skylla på. Ett bitfel händer så lätt.

Förutom att detta skyddar mot intrång i privatliv och slentrianövervakning så skyddar detta som sagt även mot trafikanalys. Och en viktig sak till faktiskt: att någon på en ISP vill sätta dit någon genom att falsifiera loggar och sedan ringa polisen. Denna risk talas det väldigt lite om, trots att den borde vara väldigt hög och kan orsaka väldig skada. Vi vet av erfarenheter att personer inom myndigheter missbrukar access för egna syften, så vad kan då inte någon som är privatanställd och inte alls behöver svära trohet till en myndighets moral eller regelverk ställa till med?

Metoden är inte så intressant egentligen. Precis som ISPer kan verka för att använda VPN eller "lökroutning" borde de kunna nullifiera värdet av loggar genom att ta bort bevisvärdet av dem. Ja, i själva verket är blotta möjligheten skäl nog att dessa loggar aldrig bör användas som "bevis" för någonting någonsin. Ytterligare en sak som skulle kunna göras är att ISPn helt enkelt saknar förmågan att koppla IP till person/hushåll på ungefär samma sätt som elbolag inte kan koppla elektroner till förbrukare eller mätarställning till enskilda apparater eller vägguttag. Det sista vet jag inte om det är principiellt möjligt, men det borde vara det. En sak som däremot är möjlig, är att ha en ISP som inte har personuppgifter och därmed inte kan göra dessa kopplingar. Det finns fortfarande en och annan modempool man kan ringa för nätaccess och uppgifterna här blir väldigt utspridda. Telebolaget vet vilken abonnent som ringt vilket nummer, men vet givetvis inget om IP eller trafiktyp. Modempoolen har assignat ett tillfälligt IP, men vet ingenting om personen, telebolaget eller liknande. Vem avkrävs loggning här?