måndag 30 maj 2011

Om vad och på vilken grund ska vi låta EU bestämma?

Denna bloggpost blir den längsta sedan start. Men då den är viktig för att höja kunskapsnivån om det som är på gång i EU, räknar jag med att de läsare som följer vad jag skriver gör sig tid att ta del. Efter att själv ha läst och begrundat ser jag behovet av att vi handlar – i första hand genom kontakt med de svenska ministrar som ingår i Ministerrådet och i andra hand med berörda EU-kommissionärer samt EU-nämnden i Sverige och EU-parlamentets ledamöter.


De viktigaste frågorna vid mötet med rådet för Rättsliga och Inrikes frågor den 9 – 10 juni är förslaget till förordning om Europaparlamentets och rådets förordning om ändring av 562/2006 om kodexen om Schengengränserna, förslaget om direktivet för att bekämpa sexuell exploatering av barn och förslaget om direktivet om angrepp mot informationssystem.


När det gäller bekämpandet av sexuellt utnyttjande av barn är det märkligt hur mycket som det oreras utan att någon tillförlitlig forskning presenteras både vad gäller omfattningen och hur människor med denna sexuella läggning borde behandlas för att reducera riskerna. Med den makt som EU har borde besluten kunna styras mer av forskning och fakta än den lättantändliga moralpanik som blossar upp med jämna mellanrum.


För övrigt handlar diskussionen om ett avtal mellan EU och USA om att dela med sig av PNR Data – varför vi även måste klara ut vad detta är. Innehållet här nedan har jag hämtat från Papers Please.org som förklarat innebörden i hela dess vidd. Även om jag bara orkat översätta drygt fyra sidor av ett tio-sidigt dokument talar detta sitt tydliga språk. I folkbildningens namn vill jag dela med mig, eftersom EU-kommissionen och EU.s Ministerråd är på väg att godkänna ett utbyte av personuppgifter, utan att ha bry sig ett dugg om ifall mottagande land har ett lagligt skydd mot missbruk. Det är deprimerande. Därför behöver jag – innan jag går över till att berätta om PNR – peppa mig själv och andra med att det finns en och annan modig person i universitetsvärlden som kämpar för en ordning där även företag och banker måste värna våra medborgerliga rättigheter.


Sedan till frågan: - Vad är en PNR? PNR ("Passenger Name Record") är en post i en databas med resebokningar som innehåller information om resan. En enda PNR kan innehålla data om en person eller om en grupp upp till 100 personer reser tillsammans. Det kan omfatta personlig information om resenärer och andra personer, och om tjänster som tillhandahålls av flygbolag, järnvägar, hotell, researrangörer etc.

Varifrån kommer uppgifterna i PNR? PNR s skapas av reseföretag såsom flygbolag, resebyråer och researrangörer. En PNR kan innehålla uppgifter som införts av flera reseföretag i separata poster från olika platser vid olika tidpunkter.

Har alla uppgifter i PNR ursprungligen samlats in från resande? Nej PNR's kan innehålla information som anges av reseföretag utan kunskap om den resande. Till exempel kan en PNR innehålla fritext med kommentarer från kundservice på en biljett, från en disk eller ett callcenter eller anteckningar från ett hotell eller resebyrå om vilka särskilda tjänster eller faciliteter som krävdes.

Vet resenärer vilka personuppgifter som tas upp i PNR? Nej, den innehåller ofta till exempel en resebyrås hela "profil" om kunden. Den kan inkludera information som inte rör enbart denna resa, som t ex alternativ kontaktinformation, medlemskap i andra flygbolags frequent flyer-program, eller uppgifter om andra kreditkort.

Är resenärer de enda registrerade i PNR's? Nej PNR innehåller information om andra registrerade. Dessa omfattar arbetstagare i resebranschen, människor som betalar för andras biljetter, kontaktinformation av familj eller vänner eller affärsbekanta, adresser för biljettleverans, bekräftelser, telefonnummer etc.

Kan PNR innehålla känsliga uppgifter? Ja. PNR innehåller särskilda måltidsönskemål, som kan indikera religion och speciella önskemål d v s service som kan indikera sjukdomstillstånd och funktionshinder. De kan omfatta fakturering, kontakt, PNR medlemskap, och särskild biljettprisinformation som tyder på facklig eller politisk partitillhörighet.

Kan känsliga uppgifter filtreras bort? Nej. Varje flygbolag eller resebyrå har sin egen affärsverksamhet. Till exempel kan en förhandlad rabattkod för deltagare i ett fackligt konvent tas upp i påskrifter, biljettbeteckning, eller "IT"-rutan på biljetten, i form av betalningsbalansstatistisk information, fria eller textbaserade anmärkningar eller " SSI "(särskild service information) eller" SSR "(special serviceärenden). På grund av alla möjliga variationer av känsliga uppgifter, språk och format som kan förekomma, är det omöjligt att tillförlitligt filtrera bort känsliga uppgifter i PNR.

Kommer ett "push"-system skydda känsliga uppgifter? Nej. Känsliga uppgifter skulle kunna ingå i "push" fälten. I synnerhet om fri-text anmärkningar, SSI, eller SSR-fält ingår i "push", kommer känsliga uppgifter att ingå i push.

Var finns PNR lagrade? De flesta PNR's är ett datoriserat bokningssystem (CRS's) hos en värd. Men, de flesta flygbolag är inte värd för sina egna PNR-data. Istället hyr de en "partition" i databasen till ett datoriserat bokningssystem för att lagra sina PNR-poster. I praktiken har de outsourcat lagringen av PNR till ett datoriserat bokningssystem. Varje CRS har kopior av alla PNR för flygningar på de flygbolag som använder det datoriserade bokningssystemet som sin systemleverantör, och alla de PNR har skapats av någon av de resebyråer som ansluter sig till det datoriserade systemet för flygningar på något flygbolag eller för några andra resetjänster. CRS's är också känd som "Global Distribution Systems" (GDS s), även om termen "CRS" används i EG "uppförandekod för datoriserade bokningssystem".

Var finns dessa datoriserade bokningssystem belägna? Det finns fyra stora datoriserade bokningssystem som tjänar de flesta av världens flygbolag och resebyråer. Tre (Sabre, Galileo och Worldspan) ägs av företag baserade i USA One (Amadeus) ägs av ett företag baserat i EU. Alla datoriserade bokningssystem har redundanta servrar på flera platser ("cloud computing").

Måste alla europeiska flygbolag och resebyråer använda ett europeisk datoriserat bokningssystem? Nej, alla i USA baserade datoriserade bokningssystem har betydande marknadsandelar bland europeiska flygbolag och resebyråer. Majoriteten av PNR s skapade av resebyråer i EU finns i datoriserade bokningssystem i USA. Vad händer om resebyrån eller researrangören använder en CRS, och flygbolagets värd en annan? Separata PNR s skapas då i båda bokningssystemen.

Men, är inte ett datoriserat bokningssystem bara ett löpande band för meddelanden mellan resebyråer och flygbolag? Nej. Om till exempel, en europeisk resebyrå använder Sabre är ett PNR skapat i Sabre för varje bokning som resebyrån gör, även om det är en bokning för ett flygbolag med värd i Amadeus (för vilka ett PNR också skapas av flygbolaget i Amadeus). Vad händer om det är en "codeshare" flygning märkta med linjenummer av två eller fler flygbolag? Normalt är att PNR, som skapats i det datoriserade bokningssystemet, används av varje flygbolag. Så även om flygningen opereras av flygbolag med värd i Amadeus i EU, kan en ”codeshare” innebära att ett flygbolag gör en PNR för samma reservation i ett datoriserat bokningssystem i USA? Ja.

Vad händer om jag gör mina reservationer på internet? De flesta online resebyråer
anlitar datoriserade bokningssystem för att ansluta bokningarna till flygbolagen. De hänger samman precis som tegel och murbruk. Det betyder PNR s skapas i online byråns datoriserade bokningssystem samt flygbolagets datoriserade bokningssystem. Så större delen av tiden, när jag gör en bokning med en resebyrå i EU, på ett flygbolag baserat i EU, skickar resebyrån eller researrangören mina uppgifter till ett datoriserat bokningssystem i USA, där ett PNR skapas och lagras innan informationen kommer tillbaka till flygbolaget i Europa? Ja. Och det händer oavsett om flygningen sker till, från eller via USA? Ja.

Är det bara överföring av passageraruppgifter till ett datoriserat bokningssystem i USA som omfattas av PNR-avtalet? Nej, avtalet gäller enbart för överföringar av PNR-uppgifter från ett flygbolag till DHS (Department of Homeland Security). Det skall inte tillämpas på överföringar av PNR eller andra personuppgifter till ett datoriserat bokningssystem eller andra kommersiella enheter i USA, eller indirekt överföring till DHS genom en mellanhand, såsom ett datoriserat bokningssystem.


Om DHS får PNR-uppgifter från ett datoriserat bokningssystem i USA, omfattas detta av PNR-avtalet? Nej. Om FBI eller någon annan i amerikanska regeringen inhämtar PNR-uppgifter från ett datoriserat bokningssystem i USA, utan att involvera DHS, omfattas detta av PNR-avtalet? Nej. Kan något som ett datoriserat bokningssystem i USA gör med PNR-uppgifter, när det väl fått detta från en resebyrå, researrangör, eller flygbolagskontor i EU omfattas av PNR-avtalet? Nej. När PNR-uppgifter överförs till ett datoriserat bokningssystem i USA, finns det några kontroller i den amerikanska lagstiftningen om hur detta används, t ex vidareöverföring? Nej. Så överföring av passageraruppgifter till datoriserade bokningssystem i USA förbigår helt PNR-avtalet? Ja.


Vem kan få tillgång till PNR-uppgifter som innehas av datoriserade bokningssystem? Det är helt efter gottfinnande i det datoriserade bokningssystemet. Varje kontor för ett flygbolag, överallt i världen, kan få tillgång till alla PNR för alla detta flygbolagets flygningar

över hela världen. I de flesta fall, om inte PNR har "hävdade" av en viss resebyrå kan alla resebyråer överallt i världen få tillgång till alla PNR som görs direkt med ett flygbolag, om de vet att Record Locator eller namn och detaljer för flygningen.


Är tillgången begränsad till resebyrån eller det flygbolagskontor som bokat? I allmänhet, nej. Alla kontor som resebyrå eller flygbolag kan komma åt alla sina PNR-data. Finns det någon restriktion vad gäller syfte för tillgång till PNR-uppgifter som innehas av datoriserade bokningssystem? Nej en resebyrå eller en anställd i flygbolaget behöver inte ange ett syfte för att få tillgång till en PNR-post. Finns det några geografiska restriktioner för gränsöverskridande tillgång till PNR-uppgifter som innehas av datoriserade bokningssystem? Nej. CRS infrastruktur är avsedda att säkerställa att alla PNR-uppgifter är smidigt tillgänglig för alla abonnenter över hela världen, i realtid. Inga särskilda åtgärder behövs för tillgång till PNR s uppgifter inlagda av andra jurisdiktioner. Finns det några begränsningar om tillgång till känsliga uppgifter i PNR s som finns i datoriserade bokningssystem? Nej. I allmänhet kan vilket flygbolagskontor eller resebyrå som helst i världen få tillgång till hela PNR, inklusive känsliga uppgifter.


Finns det några amerikanska lagar som skyddar PNR-uppgifter som innehas av datoriserade bokningssystem? Nej. USA har ingen allmän lag om dataskydd för kommersiella uppgifter och inga särskilda dataskyddsbestämmelser för datoriserade bokningssystem eller PNR-poster. I USA anses kommersiella uppgifter, såsom PNR s vara exklusiv informativ egendom hos bolagen, där den registrerade inte har några rättigheter. Enligt amerikansk lag kan datoriserade bokningssystem juridiskt behålla PNR-uppgifter för alltid, använda dem, sälja dem, eller överföra dem till någon eller någonstans i världen, bland annat till den amerikanska regeringen eller andra regeringar, utan förvarning eller samtycke från den registrerade. De är inte skyldiga att föra register över tillträde eller överföring. De är inte skyldiga att lämna ut PNR-uppgifter eller tillhandahålla en redovisning av upplysningar, i svar på direkt begäran av den registrerade.


När det gäller vinstdrivande företag, har de ett förvaltningsansvar enligt amerikansk lag med skyldighet till sina aktieägare att tjäna pengar på dessa data, som vilken annan av deras egendom, om de kan hitta ett sätt att göra det.

- - -
Texten ovan är som sagt bara drygt fyra av tio sidor om PNR och visar hur bristen på skydd mot att uppgifter om enskilda individer sprids länder emellan, gör uppgifter om våra liv till staters egendom och en handelsvara. Vad säger Datainspektionen? Nog är det tragiskt att rädslan för terrorism leder till att den stat, som ska skydda sina medborgare, skapar övervakningssystem, som terrorgrupper bara kan drömma om. Vi kan inte acceptera att våra folkvalda bara traskar patrull efter vad aktörer inom det växande säkerhetsindustriella komplexet hittar på. Vi behöver verkligen mer forskning inom detta område utifrån ett folkrättsligt perspektiv. Till detta kommer rädslan för pedofiler, som skapar ett otroligt spinn hos fantasifulla själar. Här behövs också forskning om denna sexuella minoritets reella inverkan ur såväl berörda barns och föräldrars som samhällets perspektiv och vad som kan göras för att dämpa deras sexualdrift samt den skadliga moralpanik som samhället ofta drabbas av.


Samtidigt verkar i pedofilskräckens kölvatten de s k kulturskaparna som lobbar för att internetleverantörerna ska göras ansvariga för innehållet i internets kablar och därmed hålla koll på upphovsrättsskyddat material. I det perspektivet är det svårt att föreställa sig Informations- och Kommunikationstekniken (ICT) som en blomstrande bransch och verktyg för en demokratisk utveckling. Mitt i allt detta känns det gott att inte vara ensam om att informera om det som pågår. Tvärtom har jag en känsla av att det blir allt fler som inser att de måste engagera sig. Jag gör det i Piratpartiet som består av många engagerade kämpar för alla individers rätt till fri information, kultur och kunskap.


3 kommentarer:

Beelzebjörn sa...

Tack för ett väldigt genomarbetat och informativt inlägg. Har känt att jag borde fördjupa mig mer i det där, och nu lär du ha besparat mig ÅTSKILLIGA timmar.

:)

Gun Svensson sa...

@Beelzebjörn Sharing is caring :) Tack vare Google Översätt gick det rätt bra och vartefter som jag fick klart för mig hur dessa PNR-data hanteras och av vilka, desto viktigare blev det att jobba på tills FAQ-frågorna om vad som ingick i PNR-avtalet och om där fanns något skydd mot missbruk av uppgifterna i systemen. Men som sagt det fanns uppemot sex sidor till som jag inte orkade gå i clinch med :(

Beelzebjörn sa...

Haha :D

Bara bra att du sparade ett par sidor till svärmen, så vi inte blir bortskämda/får komplex.

Vi får se om jag hinner ge mig i kast med det mellan inläggen som trängs i huvudet just nu, annars finns det säkert fler som kan tänkas nappa.