Efter bombattentaten i Madrid den 25 mars 2004 fick rådet i uppdrag av Europeiska rådet att undersöka förslag för att fastställa regler för lagring av trafikuppgifter från kommunikation hos tjänsteoperatörer. Ett sådant förslag till rambeslut presenterades senare under 2004 av fyra medlemsstater gemensamt (Sverige, Frankrike, Förenade kungariket och Irland; se faktapromemoria 2004/05:PFM23). Kommissionen anser emellertid att korrekt rättslig grund för en rättsakt om lagring av trafikdata är artikel 95 i EG-fördraget och har därför i september 2005 presenterat aktuellt förslag till direktiv. Förslaget är avsett att harmonisera en skyldighet för leverantörer av allmänt tillgängliga elektroniska kommunikationstjänster eller allmänna kommunikationsnät att lagra vissa trafikuppgifter, så att behöriga myndigheter i medlemsstaterna kan få tillgång till dessa för att förebygga, utreda, avslöja och åtala allvarliga brott såsom terrorism och organiserad brottslighet. Förslaget till direktiv har, med vissa undantag, likheter med innehållet i det utkast till rambeslut som förelåg vid tidpunkten för framläggandet av direktivet. Till de viktigare skillnaderna hör bl.a. att direktivet innebär en absolut harmonisering av lagringskravet och lagringstiderna, vilket innebär att medlemsstaterna inte kan gå längre i sin nationella lagstiftning, och att lagringstiderna är olika för olika delar av lagringskravet (1 år för fast och mobil telefoni samt 6 månader för Internetåtkomst, e-post och IP-telefoni). Dessutom regleras kostnadsfrågan i direktivet på så sätt att medlemsstaterna måste ersätta leverantörerna för alla kostnader som uppkommer till följd av direktivet.
Sverige har varit pådrivande för en rättsakt på EU-nivå som innehåller en skyldighet för operatörer att lagra trafikuppgifter.
Bakgrund
Trafikuppgifter har stor betydelse i brottsutredningar och med hänsyn till den tekniska utvecklingen och den ökade användningen av elektroniska tjänster kommer dessa uppgifter att få allt större betydelse. Mot bakgrund av att operatörerna ser ett allt mindre behov av att lagra trafikuppgifter för den egna verksamheten (t.ex. fakturering) och därför är skyldiga att radera uppgifterna enligt direktiv 2002/58/EG (direktivet om integritet och elektronisk kommunikation) har kommissionen, i likhet med de fyra medlemsstaterna som tog initiativ till rambeslutet, ansett det angeläget att snarast anta enhetliga EU-bestämmelser på detta område. Kommissionen har dock ansett att korrekt rättslig grund för en rättsakt är artikel 95 i EG-fördraget, eftersom rättsakten kommer att inverka på gemenskapens regelverk i enlighet med direktivet om integritet och elektronisk kommunikation och direktiv 95/46/EG (dataskyddsdirektivet), vilka har första pelaren som rättslig grund. Gemenskapens behörighet påverkas enligt kommissionen av harmoniseringen av de uppgifter som operatörerna skall bevara under en viss period samt av fastställandet av periodens längd. Kommissionen har gjort en konsekvensanalys av förslaget (se annexet till förslaget till direktiv).
I direktivet om integritet och elektronisk kommunikation stadgas som huvudregel att trafikuppgifter om abonnenter och användare som behandlas och lagras av den som levererar ett allmänt kommunikationsnät eller en allmänt tillgänglig elektronisk kommunikationstjänst skall utplånas eller avidentifieras när de inte längre behövs för sitt syfte att överföra kommunikationen. Det finns några undantag från denna huvudregel, t.ex. får operatörer lagra data som de behöver i faktureringssyfte. I direktivet ges även en möjlighet till undantag från huvudregeln i syfte att förebygga, undersöka, avslöja och åtala för brott. Detta måste i så fall föreskrivas i lag och vara nödvändigt, lämpligt och proportionellt i ett demokratiskt samhälle i förhållande till syftet. EU:s medlemsstater har i olika mån valt att använda sig av möjligheten att lagstifta om obligatorisk lagring av trafikuppgifter för brottsbekämpningsändamål. I vissa medlemsstater finns därför krav på lagring under en viss period, medan sådant krav saknas i andra medlemsstater, såsom i Sverige.
Allmänt om förslaget
Kommissionen anser att skillnaderna i de rättsliga och tekniska bestämmelserna i medlemsstaterna avseende lagring av trafikuppgifter utgör hinder för den inre marknaden för elektronisk kommunikation, eftersom operatörer ställs inför mycket olika krav avseende typen av uppgifter som skall lagras och villkoren för detta. Bestämmelserna på detta område bör därför harmoniseras ytterligare i enlighet med artikel 14 i EG-fördraget.
Kommissionen har enligt förslaget beaktat subsidiaritetsprincipen och proportionalitetsprincipen. Harmonisering av tiden för lagring av trafikuppgifter är enligt kommissionen inget som medlemsstaterna själva kan åstadkomma, utan endast insatser på EU-nivå kan säkerställa att trafikuppgifter lagras inom hela EU och att de görs tillgängliga för de brottsbekämpande myndigheterna. Principen om kostnadsersättning (förslaget innehåller en sådan bestämmelse) gör det möjligt att skapa lika förutsättningar för operatörerna på den inre marknaden. Dataskyddslagstiftningen kommer att gälla för de lagrade uppgifterna, medan inverkan på personers grundläggande fri- och rättigheter och operatörernas ekonomi begränsas genom att det endast är vissa typer av uppgifter som skall lagras.
Förslaget har 15 artiklar samt en bilaga med angivande av de trafikuppgifter som skall lagras.
Syftet med direktivet (artikel 1) är att harmonisera medlemsstaternas bestämmelser om skyldigheten för leverantörer av allmänt tillgängliga elektroniska kommunikationstjänster eller allmänna kommunikationsnät att behandla och lagra uppgifter så att dessa finns tillgängliga för förebyggande, utredning, avslöjande och åtal av allvarliga brott såsom terrorism och organiserad brottslighet. Förslaget gäller trafik- och lokaliseringsuppgifter för såväl fysiska som juridiska personer och de uppgifter som behövs för att kunna identifiera abonnenten och den registrerade användaren. Lagringskravet omfattar inte innehållet i kommunikationen.
De definitioner som finns i dataskyddsdirektivet, direktiv 2002/21/EG (direktivet om elektronisk kommunikation) och direktivet om integritet och elektronisk kommunikation skall gälla även för detta direktiv. Vidare definieras begreppen uppgifter och användare.
En medlemsstat skall säkerställa lagring av trafikuppgifter som genereras eller behandlas av ovan nämnda leverantörer inom dess territorium samt säkerställa att uppgifterna endast får göras tillgängliga för behöriga nationella myndigheter i särskilda fall och i enlighet med nationell lagstiftning, samt med ovan nämnt syfte (artikel 3).
Lagringskravet syftar till att säkerställa uppgifter som är nödvändiga för att spåra och identifiera
- en kommunikationskälla,
- slutmålet för en kommunikation,
- datum, tidpunkt och varaktighet för en kommunikation,
- typen av kommunikation,
- den utrustning som har använts (eller tros ha använts) för kommunikationen, samt
- var mobil kommunikationsutrustning är belägen.
De typer av uppgifter som skall lagras specificeras i en bilaga till förslaget. Bilagan anger för varje kategori av uppgift en uppdelning i 1) fast telefoni, 2) mobil telefoni samt 3) Internetåtkomst, Internetbaserad e-post och Internettelefoni (artikel 4 samt bilagan). Bilagan skall regelbundet ses över och kommissionen skall i detta arbete biträdas av en kommitté (artiklarna 5 och 6).
Tiden för hur länge uppgifterna skall lagras varierar beroende på vilken typ av uppgift det är fråga om (artikel 7). Uppgifter som rör fast och mobil telefoni skall lagras under ett år från det datum kommunikationen ägde rum, medan uppgifter som gäller Internetkommunikation skall lagras under 6 månader. Båda tiderna är s.k. fasta tider, dvs. utan möjlighet att gå under eller över dessa. Medlemsstaterna skall säkerställa att de behöriga myndigheterna får tillgång till uppgifterna och annan nödvändig relaterad information utan dröjsmål när de begär det (artikel 8). Vidare skall medlemsstaterna säkerställa att kommissionen varje år får statistik om 1) de fall där uppgifter har skickats till behöriga myndigheter, 2) hur gamla uppgifterna var, samt 3) de fall där en begäran om utfående av uppgifterna inte kunde tillgodoses. Statistiken skall inte omfatta personuppgifter (artikel 9). Slutligen skall medlemsstaterna säkerställa att leverantörerna ersätts för de kostnader som de kan visa att de har haft till följd av lagringskravet enligt direktivet (artikel 10).
Direktivet skall genomföras inom 15 månader från det att det har antagits (artikel 13) och inom 3 år efter införlivandet i nationell lagstiftning skall kommissionen till Europaparlamentet och rådet översända en utvärdering av tillämpningen av direktivet. Utvärderingen skall beröra direktivets inverkan på de ekonomiska aktörerna och konsumenterna samt beakta ovan nämnda statistik, allt i syfte att avgöra om det är nödvändigt att ändra direktivet, särskilt lagringstiderna. Kommissionen skall i sin utvärdering beakta synpunkter från medlemsstaterna och den s.k. artikel 29-kommittén (artikel 12). Rambeslutet träder i kraft den tjugonde dagen efter dess publicering i Europeiska unionens officiella tidning (artikel 14).
Slutligen anges att artikel 15 punkten 1 i direktivet om integritet och elektronisk kommunikation inte skall gälla för lagring av uppgifter som sker enligt nu aktuellt direktiv, varför en ny punkt 1a skall införas i artikel 15 i nämnda direktiv (artikel 11), och att nu aktuellt direktiv riktar sig till medlemsstaterna (artikel 15).
Enligt lagen (2003:389) om elektronisk kommunikation skall trafikuppgifter omedelbart raderas när kommunikationen har avslutats om inte uppgifterna behövs för operatörernas fakturering eller för att avslöja obehörig användning av näten. I svensk lagstiftning uppställs alltså inga krav på att operatörer skall lagra trafikuppgifter för brottsbekämpningsändamål. Om emellertid trafikuppgifter finns tillgängliga hos operatörerna har polisen en rätt att få tillgång till uppgifterna enligt de förutsättningar som anges i 27 kap. 19 § rättegångsbalken eller 6 kap. 22 § lagen om elektronisk kommunikation.
27 kap. 19 § rättegångsbalken innehåller regler om hemlig teleövervakning och innebär bl.a. att uppgifter i hemlighet hämtas in om telemeddelanden som befordras eller har befordrats till eller från en viss teleadress. Hemlig teleövervakning får användas vid förundersökning angående brott för vilket inte är föreskrivet lindrigare straff än fängelse i 6 månader, samt för brottet dataintrång, barnpornografibrott som inte är ringa, narkotikabrott och narkotikasmuggling eller försök, förberedelse eller stämpling till sådana brott. Beslut om hemlig teleövervakning fattas av domstol på ansökan av åklagare.
6 kap. 22 § lagen om elektronisk kommunikation anger i punkten 2 att operatören skall på begäran av åklagarmyndighet, polismyndighet eller någon annan myndighet som skall ingripa mot ett brott för vilket fängelse är föreskrivet och som enligt myndigheten kan föranleda annan påföljd än böter, lämna ut uppgift om abonnemang och enligt punkten 3 lämna ut annan uppgift som anger ett särskilt elektroniskt meddelande om det gäller ett brott som inte föreskriver lindrigare straff än fängelse i 2 år.
Direktivet innebär att Sverige måste införa en obligatorisk lagring av vissa trafikuppgifter för brottsbekämpningsändamål under viss bestämd tid vilket medför ändringar i lag.
Det är svårt att i dagsläget överblicka de budgetära konsekvenserna av direktivet. För närvarande bekostar operatörerna själva lagringen av trafikuppgifter som sker för den egna verksamhetens behov medan polisen i de flesta fall betalar operatörerna för att få tillgång till uppgifterna. De ersättningar som operatörerna begär idag varierar kraftigt och kan uppgå till stora summor för en enda trafikuppgift. Direktivet föreslår att medlemsstaterna skall ersätta operatörerna för de kostnader som dessa kan visa beror på lagringsskyldigheten enligt direktivet. Det står därför klart att förslaget till direktiv medför ekonomiska konsekvenser för medlemsstaterna (se nedan om svensk ståndpunkt). Vid ett eventuellt genomförande av direktivet får ställning tas till hur kostnaderna skall fördelas. I den mån kostnaderna för myndigheterna ökar, skall dessa finansieras inom myndigheternas befintliga anslag.
Sverige stödjer att en rättsakt på EU-nivå innehåller en skyldighet för operatörer att lagra trafikuppgifter. Den prioriterade frågan för Sverige är att nå en överenskommelse med den målsättningen i enlighet med uttalandet av Europeiska rådet i mars 2005 efter attentatet i Madrid och i dess uttalande i juli 2005 efter attentatet i London. Sverige har varit pådrivande i frågan, bl.a. genom att vara medförslagsställare till det förslag till rambeslut som lades fram efter händelsen i Madrid och som i stort hann förhandlas färdigt innan kommissionen lade fram sitt förslag till direktiv. Innehållet i detta utkast till rambeslut har påverkat innehållet i kommissionens förslag till direktiv.
Förhandlingar om direktivet har pågått i rådsstrukturen sedan hösten 2005 och är i det närmaste slutförda. Vid Rådets för rättsliga och inrikes frågor möte den 12 december 2005 tog ministrarna ställning till ett kompromissförslag från ordförandeskapet gällande ett antal ändringsförslag till kommissionens direktiv. Bl.a. diskuterades ändringsförslag gällande lagringskravets omfattning och lagringstiderna samt möjligheten att gå längre i den nationella lagstiftningen, en eventuell reglering av tillgången till trafikuppgifterna, avlämnande av statistik och genomförandefrågor. När det gällde kostnadsfrågan var utgångspunkten, som Sverige stödjer, att det måste vara upp till varje medlemsstat att avgöra hur och i vilken omfattning operatörerna skall ersättas för uppkomna kostnader. Vid mötet uppnåddes en politisk överenskommelse om vissa ändringar i utkastet till direktiv och dessa ändringsförslag förelades Europaparlamentet för ställningstagande. Europaparlamentet godtog förslagen till ändringar i plenum den 14 december 2005. Rådets målsättning att uppnå en överenskommelse med Europaparlamentet tycks därför bli uppfyllt genom att direktivet kan antas vid kommande ministerrådsmöte under början av 2006.
Vid behandling inom rådet har framkommit att medlemsstaterna överlag är positiva till en EU-reglering av lagring av trafikuppgifter men att flera medlemsstater har varit tvekande till om detta skall ske i ett direktiv eller i ett rambeslut. Vidare har diskussionerna rört vilken typ av uppgifter som skall lagras, vilka tider för lagringen som skall gälla, om kostnadsfrågan skall regleras samt om det skall vara fråga om en s.k. minimiharmonisering eller maximiharmonisering av lagringskravet och lagringstiderna.
Europaparlamentet godtog den 14 december 2005 de kompromissförslag som medlemsstaterna hade kommit överens om vid Rådet för rättsliga och inrikes frågor den 12 december 2005. Kommissionens kollegium skall godkänna kompromissen, och därefter återstår en del administrativa åtgärder inom rådsstrukturen innan rådet kan rösta för ett antagande av en rättsakt inom EU som gäller lagring av trafikuppgifter. Mycket tyder på att ett antagande kan ske i början av 2006.
Någon formell remissbehandling av det föreslagna direktivet har inte skett nationellt. Information om ställningstaganden från olika intressenter har dock inkommit till Justitiedepartementet.
Polisen har under flera år såväl nationellt som internationellt betonat vikten av tillgång till trafikuppgifter i brottsutredningar. Det har även framhållits att möjligheten att utreda de brott som harmoniserats med anledning av rambeslutet om angrepp mot informationssystem är avhängig tillgången till trafikuppgifter.
Artikel 29-kommittén är inrättad inom EU för att ge råd i frågor om skyddet av den personliga integriteten vid elektronisk kommunikation och består av representanter från medlemsstaternas dataskyddsmyndigheter. Kommittén har vid tidigare tillfällen kommenterat lagring av trafikuppgifter. Kommittén har granskat föreliggande förslag till direktiv och publicerat ett yttrande den 21 oktober 2005, vari ett flertal begränsningar föreslås.
Kommissionen har vid flera tillfällen anordnat möten där flera stora operatörer varit representerade. Bl.a. har vid dessa möten framkommit att dessa oroar sig över tillkommande kostnader i samband med obligatorisk lagring. Polisens behov av lagrade trafikuppgifter och effektiviteten av sådan lagring har också ifrågasatts. Operatörerna har ansett att staten bör stå för tillkommande kostnader för att kunna lagra och förse polisen med trafikuppgifter, eftersom brottsbekämpning är en statlig angelägenhet och kostnaderna bör synliggöras och bäras av den som efterfrågar åtgärderna. Lagringskravet riskerar annars att hämma marknadens utveckling och hota företagens globala konkurrenskraft. Frågan om skyddet av den personliga integriteten är också viktig ur ett företagsperspektiv då frågan om hur trafikuppgifter hanteras påverkar kundernas tillit till operatörerna.
Förhandlingar har förts i rådsstrukturen och är i det närmaste avklarade. Rådet avvaktar nu ett antal åtgärder som måste företas innan man kan rösta för ett antagande av ett direktiv gällande lagring av trafikuppgifter.
Om de förväntade åtgärderna görs enligt plan kommer direktivet att kunna antas under våren 2006.
Artikel 95 i EG-fördraget är rättslig grund. Rådet fattar beslut med kvalificerad majoritet och Europaparlamentet är medbeslutande enligt artikel 251 i EG-fördraget.
-