Datalagring och åtkomst till elektronisk information

2021 års datalagringsutredning

Stockholm 2023

SOU 2023:22

1.7Förslag till lag om ändring i lagen (2022:482)

1.8Förslag till förordning om ändring i förordningen

1.9Förslag till förordning om ändring i förordningen

4.2Integritetsskydd och tystnadsplikt

6

5.3Tillgången till uppgifter om elektronisk

5.3.2Tillgången till trafik- och lokaliseringsuppgifter

5.3.3Tillgången till trafik- och lokaliseringsuppgifter

5.5Nyttan och behovet av uppgifter om elektronisk

7

6.4.1Domen (2021-05-25) i målet Big Brother

6.4.2Domen (2021-05-25) i målet Centrum

6.6.1Lagring av uppgifter om abonnemang

6.6.3Behov av anpassningar till EU-rätten

7.2.1Uttrycket nationell säkerhet i EU-rätten

7.3.1Den behöriga myndigheten och bedömningen

7.3.8Personuppgiftsbehandling vid lagring

8

SOU 2023:22Innehåll

8.3.3Lagringsskyldighetens omfattning vid

8.3.5Tillgången till lagrade uppgifter vid riktad

8.3.6Personuppgiftsbehandling vid riktad lagring

9.2OTT-tjänster och nummeroberoende interpersonella

9.3.6Vilka uppgifter har tillhandahållare av Noik

9

9.4.1Förslaget till förordning om tillgång

9.4.2Särskild teknik för att bekämpa sexuella

9.4.3Nya förordningar om digitala tjänster

9.5Lagringsskyldighet för tillhandahållare

9.6.1En lagringsskyldighet för tillhandahållare

9.6.3Åtkomsten till lagrade uppgifter

9.6.4Krav på säkerhet och villkor för behandlingen

av uppgifter m.m. för tillhandahållare av Noik ... 382

10

SOU 2023:22Innehåll

11.9.4Omfattningen av exekutiv jurisdiktion

11

14.3Förslaget till lag (2025:000) om lagring av uppgifter om elektronisk kommunikation i syfte att bekämpa

12

14.6Förslaget till lag om ändring i lagen (2012:278) om inhämtning av uppgifter om elektronisk kommunikation i de brottsbekämpande

13

16

SOU 2023:22Förkortningar

17

18

SOU 2023:22Förkortningar

19

munikation kan exempelvis vara vem som kommunicerade med vem, när kommunikationen skedde och var de parter som kommunice- rade med varandra befann sig.

I Sverige har datalagring för brottsbekämpande ändamål funnits sedan 1990-talet. I dag spelar EU-rätten en stor roll för lagstiftningen om datalagring för brottsbekämpande ändamål.

Europaparlamentets och rådets direktiv 2002/58/EG om behand- ling av personuppgifter och integritetsskydd inom sektorn för elektro- nisk kommunikation (e-dataskyddsdirektivet) anger bl.a. att medlems- staterna ska säkerställa konfidentialitet vid elektronisk kommunikation och därmed förbundna trafikuppgifter. Uppgifter som inte längre be- hövs ska enligt direktivet utplånas eller avidentifieras. Medlemssta- terna får dock göra undantag från dessa skyldigheter om det behövs för bl.a. brottsbekämpande verksamhet. Direktivet är genomfört i svensk rätt främst genom bestämmelser i lagen (2022:482) om elektro- nisk kommunikation (LEK).

De svenska bestämmelserna om datalagring prövades av EU-dom- stolen i de förenade målen C-203/15 och C-698/15 (Tele2-domen). Lagringsskyldigheten vid tiden för domen var generell och obegrän- sad i den meningen att den omfattade alla telefoni-, meddelande- och bredbandstjänster som tillhandahölls av de traditionella teleoperatö- rerna. I Tele2-domen slog EU-domstolen fast att sådan lagringsskyl- dighet överskred gränserna för vad som är strängt nödvändigt och att den inte, i enlighet med e-dataskyddsdirektivet, kunde anses moti- verad i ett demokratiskt samhälle.

Den svenska lagstiftningen sågs därför över och den 1 oktober 2019 trädde nya regler om datalagring i kraft (prop. 2018/19:86). Anpass- ningarna till EU-rätten innebar bl.a. att lagringsskyldigheten begrän- sades och lagringstiderna differentierades.

Efter Tele2-domen har ny praxis kommit från EU-domstolen i flera mål som rör datalagring. Till följd av domarna har bl.a. Tyskland, Frankrike, Belgien och Danmark anpassat sina regler om datalagring till EU-rätten.

Vår analys visar att det kan finnas anledning att ändra den svenska regleringen med anledning av EU-domstolens praxis från senare tid. Vi har gjort bedömningen att förslag bör lämnas om datalagring för att skydda den nationella säkerheten. Vi har även kommit till slut- satsen att det finns anledning att lämna förslag om s.k. riktad lagring för att bekämpa grov brottslighet. Med begreppet riktad lagring avses

22

normalt en lagring av uppgifter som är avgränsad, antingen till ett visst geografiskt område, till en viss personkrets eller med hjälp av något annat särskiljande kriterium, exempelvis tekniska kriterier.

Nationell säkerhetslagring

Vi har föreslagit regler om nationell säkerhetslagring. En sådan ska vara tillåten, om den bedöms vara absolut nödvändig för att bekämpa ett allvarligt hot mot nationell säkerhet som är verkligt och aktuellt eller förutsebart. Säkerhetspolisen ska bedöma hotet mot den natio- nella säkerheten och får, om ett säkerhetshot finns, besluta om en generell och odifferentierad lagringsskyldighet.

Ett beslut om nationell säkerhetslagring ska kunna bli föremål för en effektiv kontroll. Ett offentligt ombud ska bevaka enskildas intres- sen och kunna överklaga Säkerhetspolisens beslut till ett kontroll- organ. Kontrollorganet ska pröva om förutsättningarna för lagrings- skyldigheten är uppfyllda och om lagringsskyldigheten är proportionell. Kontrollorganet ska kunna fastställa eller upphäva Säkerhetspolisens beslut om lagring. Vi föreslår att ett nytt särskilt beslutsorgan inom Säkerhets- och integritetsskyddsnämnden (SIN), Datalagringsdele- gationen, ska vara kontrollorgan.

Lagringsskyldigheten, vid nationell säkerhetslagring, är mer om- fattande än dagens lagringsskyldighet, både vad gäller vilka slags upp- gifter som kan lagras och själva lagringstiden. Exempelvis ska lokaliser- ingsuppgifter som inte är trafikuppgifter kunna omfattas av nationell säkerhetslagring. Med lokaliseringsuppgifter som inte är trafikupp- gifter avses exempelvis gps-positioner som genereras i en mobiltele- fon. Lagringstiden ska vara två år och som huvudregel räknas från den dag kommunikationen avslutades.

Tillgången genom straffprocessuella tvångsmedel till uppgifter som har lagrats för att skydda den nationella säkerheten ska vara be- gränsad till bekämpning av brott och brottslighet som kan innebära ett allvarligt hot mot Sveriges säkerhet. De lagringsskyldiga, dvs. till- handahållarna, måste därför kunna särskilja uppgifter som lagras på denna grund från andra lagrade uppgifter.

Beslut om nationell säkerhetslagring ska omfattas av sekretess och tystnadsplikt ska gälla för tillhandahållarna.

23

Lagring för att bekämpa grov brottslighet som inte utgör ett hot mot den nationella säkerheten

Vi har vidare lämnat förslag på två former av riktad lagring i syfte att bekämpa grov brottslighet, geografiskt riktad lagring och utökad rik- tad lagring. Dessa förslag skulle kunna ersätta dagens lagringsregler rörande uppgifter om elektronisk kommunikation i brottsbekäm- pande syfte.

Geografiskt riktad lagring

Geografiskt riktad lagring ska ske i områden där det utifrån objek- tiva kriterier går att konstatera att det finns en jämförelsevis större sannolikhet för förekomst av grov brottslighet än i andra områden. Geografiskt riktad lagring ska grunda sig på den officiella statistiken över anmälda brott som redovisas av Brottsförebyggande rådet (Brå) och med kommunerna som geografiska enheter. Post- och telesty- relsen (PTS) ska årligen föreskriva vilka kommuner som ska omfattas av den geografiskt riktade lagringen.

Utökad riktad lagring

Utökad riktad lagring ska komplettera den geografiskt riktade lag- ringen. Utökad riktad lagring kan avse

1.ett begränsat geografiskt område där grov brottslighet har före- kommit eller där det är sannolikt att grov brottslighet kommer att äga rum,

2.en skyddsvärd plats,

3.en person som dömts för grova brott,

4.en person som har varit föremål för hemliga tvångsmedel, eller

5.en utrustnings- eller abonnemangsidentitet som använts vid eller skäligen kan antas komma till användning vid ett grovt brott eller vid grov brottslig verksamhet.

24

Polismyndigheten, Säkerhetspolisen och Tullverket ska få besluta om utökad riktad lagring och SIN ska utöva tillsyn över tillämpningen.

Geografiskt riktad lagring ska omfatta fler uppgiftstyper än den lagringsskyldighet som gäller i dag. Lagringsskyldigheten omfattar samma typer av uppgifter som får lagras vid nationell säkerhetslag- ring. Även ett beslut om utökad riktad lagring får omfatta samma uppgiftstyper. Lagringstiden för såväl geografiskt riktad lagring som utökad riktad lagring ska vara ett år, som huvudregel räknat från den dag kommunikationen avslutades.

Beslut om utökad riktad lagring ska omfattas av sekretess och för tillhandahållarna gäller tystnadsplikt.

Tillhandahållare av OTT-tjänster

De s.k. OTT-tjänsterna har i hög grad påverkat enskildas kommuni- kationsvanor. Det är i dag mycket vanligt att kommunikation sker genom internetbaserade tjänster som vissa e-posttjänster eller tjäns- ter som Apple Imessage, Apple Facetime, Discord, Snapchat, Google Messages, Google Meet, Kik Messenger, Line, Messenger from Meta, Skype, Slack, Telegram, Viber och Whatsapp, för att nämna några bland många. Inom den EU-rättsliga regleringen används begreppet allmänt tillgängliga nummeroberoende interpersonella kommunika- tionstjänster (Noik) som ett samlingsbegrepp för dessa tjänster.

Tillhandahållare av Noik har i dag inte någon lagringsskyldighet motsvarande den som de traditionella teleoperatörerna har. Det sker således ingen datalagring för brottsbekämpande ändamål vid använd- ning av Noik-tjänsterna. Vår analys visar att den tekniska utveck- lingen och ändrade kommunikationsvanor har inneburit försämrade möjligheter för de brottsbekämpande myndigheternas arbete. De brottsbekämpande myndigheterna har stor nytta och ett påtagligt be- hov av uppgifter om elektronisk kommunikation, även när kommu- nikationen sker i andra kanaler än via de traditionella teleoperatörerna. Vi har gjort bedömningen att nyttan och behovet av tillgång till upp- gifter om elektronisk kommunikation från tillhandahållare av Noik väger tyngre än de motstående intressen som talar emot en sådan tillgång.

25

Skyldigheter för tillhandahållare av Noik

Vi har föreslagit att lagringsskyldighet ska gälla även för den som till- handahåller allmänt tillgängliga nummeroberoende interpersonella kommunikationstjänster (Noik) i Sverige.

Lagringsskyldigheten ska omfatta kommunikation som till någon del sker i Sverige. Detta kan exempelvis fastställas genom att kom- munikation skickas från eller mottas via en ip-adress i Sverige.

Lagringsskyldigheten och lagringstiden ska som huvudregel mot- svara det vi föreslår för övriga lagringsskyldiga, dvs. enligt våra förslag om nationell säkerhetslagring, geografiskt riktad lagring och utökad riktad lagring.

Tillhandahållare av Noik ska omfattas av sådan tystnadsplikt som gäller för tillhandahållare av andra elektroniska kommunikationstjänster.

Uppdraget att modernisera anpassningsskyldigheten

De som tillhandahåller allmänna elektroniska kommunikationsnät eller allmänt tillgängliga elektroniska kommunikationstjänster enligt LEK spelar en viktig roll när brottsbekämpande myndigheter hämtar in elektronisk kommunikation och uppgifter om sådan. För att under- lätta för de brottsbekämpande myndigheterna har tillhandahållarna ålagts en viss anpassningsskyldighet. Skyldigheten innebär att verk- samheten ska bedrivas så att hemliga tvångsmedel kan verkställas och att det ska kunna ske utan att verkställandet röjs.

Den teknikutveckling som skett och fortfarande pågår har dock medfört att regleringen av anpassningsskyldighet har blivit oklar och ålderdomlig. Med hänsyn till våra förslag om lagringsskyldighet för tillhandahållare av Noik finns ytterligare behov av förändring av anpass- ningsskyldigheten. Vi föreslår därför en modernisering av bestämmel- serna om anpassningsskyldighet för att åstadkomma en reglering som är tydlig, enhetlig och teknikneutral.

En modernisering av anpassningsskyldigheten

Vi har förslagit att anpassningsskyldigheten ska omfatta samma aktö- rer som enligt våra förslag ska omfattas av lagringsskyldighet enligt LEK. Ett undantag ska dock gälla för tillhandahållare av s.k. maskin-

26

till-maskin-tjänster. Med maskin-till-maskin-tjänster avses tjänster som omfattar automatisk överföring av data mellan enheter eller mjuk- varubaserade tillämpningar, med liten eller ingen mänsklig medver- kan. Tjänsterna kan exempelvis användas för övervakning, mätning, styrning, transport och logistik i bl.a. bilar, tåg, elmätare, hemlarm och gräsklippare.

Även tillhandahållare av Noik ska alltså vara skyldiga att bedriva sin verksamhet så att beslut om hemliga tvångsmedel kan verkställas och så att verkställandet inte röjs. Det omfattar även de fall en till- handahållare för sina kunder möjliggör totalsträckskryptering, dvs. när bara sändare och mottagare har tillgång till meddelandena i läsbar form. I dessa fall innebär anpassningsskyldigheten att tillhandahållaren ska kunna göra uppgifterna tillgängliga för brottsbekämpande myn- digheter i läsbar form.

Vid ett utlämnande av uppgifter ska tillhandahållare av Noik även omfattas av rätten till ersättning.

Exekutiv jurisdiktion

Rätten för en stat att vidta åtgärder och verkställa beslut som har fattats inom ramen för lagstiftning och rättskipning kallas exekutiv jurisdiktion. Utgångspunkten i folkrätten är att det råder ett förbud för stater att vidta verkställighetsåtgärder, t.ex. att använda hemliga tvångsmedel, inom andra staters territorier. Detta baseras på den s.k. territorialitetsprincipen, som är en grundläggande folkrättslig prin- cip om staters suveränitet.

Elektroniskt lagrade uppgifter kan finnas i flera stater samtidigt eller ständigt förflyttas mellan olika stater. I många fall är det inte ens för den som tillhandahåller tjänsten möjligt att klargöra var upp- gifterna finns i varje givet ögonblick. Även när detta är möjligt kan förhållandena ändras på bråkdelen av en sekund.

För en effektiv brottsbekämpning är det viktigt att reglerna om tillgång till elektronisk kommunikation och annan elektronisk be- visning också kan tillämpas i praktiken, även när informationen finns utanför Sverige eller när det är okänt var den finns.

Vi har sett över förutsättningarna, inklusive de folkrättsliga aspek- terna, för att införa en särskild lagreglering för exekutiv jurisdiktion

27

i förhållande till elektronisk information som finns utanför Sverige vid användning av straffprocessuella tvångsmedel.

Vi har gjort bedömningen att det under vissa förutsättningar inte finns några folkrättsliga hinder mot att de brottsbekämpande myn- digheterna inhämtar elektronisk information som är eller kan vara lagrad utanför Sverige. Högsta domstolen har den 30 mars 2023 avse- ende exekutiv jurisdiktion meddelat beslut om att genomsökning på distans får ske även om den eftersökta informationen kan vara lagrad i utlandet.1

Mot bakgrund av det har vi föreslagit en lagreglering som förtyd- ligar vad som gäller för viss inhämtning av elektronisk information som lagras utanför Sverige.

Inhämtning av elektronisk information som lagras utanför Sverige

Vi har föreslagit en lagreglering avseende möjligheten för brottsbe- kämpande myndigheter att inhämta elektronisk information som lag- ras eller kan vara lagrad utanför Sverige, t.ex. information på användar- konton till olika molntjänster.

För detta ska krävas

–att de brottsbekämpande myndigheterna utan bistånd kan skaffa sig tillgång till uppgifterna,

–att inhämtningen inte bedöms innebära mer än ett obetydligt in- trång i en annan stats suveränitet, och

–att inhämtningen inte bedöms kunna orsaka någon skada på det avläsningsbara informationssystem som tvångsmedlet avser.

Konsekvenser och genomförande

Förslagen om nationell säkerhetslagring, lagringsskyldighet också för tillhandahållare av Noik, modernisering av anpassningsskyldig- heten och om exekutiv jurisdiktion kommer att vara klart positiva för brottsbekämpningen. Förslagen om riktad lagring kan ibland komma

1Se Högsta domstolens beslut den 30 mars 2023 i mål Ö 5686-22.

28

att försvåra det brottsbekämpande arbetet. Sammantaget kommer dock förslagen att vara till fördel för brottsbekämpningen.

Våra förslag om nationell säkerhetslagring kan öka risken för in- trång i den personliga integriteten jämfört med i dag. Det gör inte för- slagen om en modernisering av anpassningsskyldigheten. Inte heller förslaget till reglering om exekutiv jurisdiktion kan sägas öka risken för intrång i den personliga integriteten. Förslagen om riktad lagring kan leda till en minskad risk för intrång i den personliga integriteten.

De tekniska anpassningar som behövs för en förändrad lagrings- skyldighet leder till kostnadsökningar för tillhandahållarna och för- slagen kan ha en viss påverkan på konkurrensen mellan företag. Polis- myndigheten, Säkerhetspolisen, Tullverket och SIN kommer att behöva ytterligare resurser.

De föreslagna reglerna om inhämtning av elektronisk informa- tion som är lagrad utanför Sverige föreslås träda i kraft den 1 juli 2024. Övriga författningsförslag föreslås träda i kraft den 1 juli 2025.

29

whom, when the communication took place and the location of the parties communicating with each other.

In Sweden, data retention for law enforcement purposes has existed since the 1990s. Today, EU law plays a major role in legislation on data retention for law enforcement purposes.

Directive 2002/58/EC of the European Parliament and of the Council concerning the processing of personal data and the protec- tion of privacy in the electronic communications sector (Directive on privacy and electronic communications) states, among other things, that Member States must ensure the confidentiality of electronic communications and related traffic data. Data that is no longer needed must, under the Directive, be erased or made anonymous. However, the Member States may make exceptions to these obligations if they are necessary for purposes such as law enforcement activities. The Directive has been implemented in Swedish law mainly through pro- visions in the Electronic Communications Act (2022:482).

The Swedish provisions on data retention were examined by the Court of Justice of the European Union in Joined Cases C-203/15 and C-698/15 (the Tele2 judgment). The retention obligation at the time of the judgment was general and unlimited in the sense that it covered all telephony, messaging and broadband services provided by the traditional telecoms operators. In the Tele2 judgment, the Court of Justice of the European Union ruled that such retention obligations exceeded the limits of strict necessity and could not, in accordance with the Directive on privacy and electronic communi- cations, be considered justified in a democratic society.

The Swedish legislation was therefore reviewed and, on 1 Octo- ber 2019, new rules on data retention entered into force (Govt. Bill 2018/19:86). The adaptations to EU law included limiting the reten- tion obligation and differentiating between the retention periods.

Following the Tele2 judgment, the Court of Justice of the Euro- pean Union has issued new case law in several cases related to data retention. As a result of the judgments, Member States including Germany, France, Belgium and Denmark have adapted their data reten- tion rules to EU law.

Our analysis shows that there may be reason to amend the Swedish rules in the light of recent case law from the Court of Justice of the European Union. We have concluded that proposals on data reten- tion should be submitted to protect national security. We have also

32

come to the conclusion that there is reason to submit proposals on targeted retention to combat serious crime. The term targeted reten- tion normally refers to retention of data that is limited to a specific geographical area, to a specific group of people or by some other dis- tinguishing criterion, such as technical criteria.

National security retention

We have proposed rules on national security retention. This should be permitted if it is deemed strictly necessary to combat a serious threat to national security that is real and present or foreseeable. The Swedish Security Service must assess the threat to national security and may, if a security threat exists, decide to introduce a general, un- differentiated retention obligation.

A decision on national security retention must be subject to effec- tive supervision. A public representative must protect the interests of individuals and be able to appeal against the decisions of the Swedish Security Service to a supervisory body. The supervisory body must examine whether the conditions for the retention obligation are met and whether the retention obligation is proportionate. The super- visory body must be able to confirm or revoke the decision by the Swedish Security Service on retention. We propose that a new spe- cialist decision-making body within the Swedish Commission on Secu- rity and Integrity Protection (SIN), the Data Retention Delegation, be the supervisory body.

The retention obligation, in the case of national security reten- tion, is more extensive than the current retention obligation, both in terms of the types of data that can be retained and the duration of the retention. For example, it must be possible for location data that is not traffic data to be subject to national security retention. Loca- tion data that is not traffic data means, for example, GPS positions generated on a mobile phone. The retention period should be two years and, as a general rule, be counted from the date on which the communication ended.

Access to data retained by means of coercive measures for the pur- pose of protecting national security must be limited to combating offences and crime that may pose a serious threat to Sweden’s secu- rity. The persons responsible for retention, i.e. the providers, must

33

therefore be able to distinguish between data retained on this basis and other data retained.

Decisions on national security retention must be subject to con- fidentiality, and professional secrecy must apply to the providers.

Retention to combat serious crime that does not constitute a threat to national security

We have also proposed two forms of targeted retention to combat serious crime: geographically targeted retention and extended tar- geted retention. These proposals could replace the current retention rules for electronic communications data for law enforcement pur- poses.

Geographically targeted retention

Geographically targeted retention must take place in areas in which objective criteria indicate that there is a comparatively higher proba- bility of serious crime than in other areas. Geographically targeted retention must be based on the official statistics on reported crimes presented by the Swedish National Council for Crime Prevention (Brå) and with the municipalities as geographical units. The Swedish Post and Telecom Authority (PTS) must annually prescribe the munic- ipalities that are to be subject to geographically targeted retention.

Extended targeted retention

Extended targeted retention is designed to complement geographically targeted retention. Extended targeted retention may concern

1.a limited geographical area in which serious crime has occurred or in which it is probable that serious crime will occur,

2.a site worthy of protection,

3.a person convicted of serious offences,

4.a person that has been subject to secret coercive measures, or

34

5.an equipment or subscription identity that has been used in a seri- ous crime or serious criminal activity or that it may reasonably be assumed may be used in a serious crime or serious criminal activity.

The Swedish Police Authority, the Swedish Security Service and Swedish Customs will be able to decide on extended targeted reten- tion, and SIN will supervise its application.

Geographically targeted retention will cover more types of data than the current retention obligation. The retention obligation cov- ers the same types of data as those that may be stored in national secu- rity retention. A decision on extended targeted retention may also cover the same types of data. The retention period for both geo- graphically targeted retention and extended targeted retention should be one year, as a general rule from the date on which the communi- cation ended.

Decisions on extended targeted retention must be subject to con- fidentiality, and professional secrecy must apply to the providers.

Providers of OTT services

OTT services have greatly influenced the communication habits of individuals. It is now very common for communication to take place through internet-based services such as certain email services or ser- vices like Apple iMessage, Apple FaceTime, Discord, Snapchat, Google Messages, Google Meet, Kik Messenger, Line, Messenger from Meta, Skype, Slack, Telegram, Viber and Whatsapp, to name just a few. The EU regulatory framework uses the concept of publicly available num- ber-independent interpersonal communications services (NI-ICS) as an umbrella term for these services.

NI-ICS providers do not currently have a retention obligation equivalent to that of traditional telecoms operators. Consequently, there is no data retention for law enforcement purposes when using NI-ICS services. Our analysis shows that technological develop- ments and changing communication habits have had a negative impact on the possibilities for law enforcement authorities to do their work. Law enforcement authorities benefit greatly from and have a great need for electronic communications data, even when the communica- tion takes place via channels other than the traditional telecoms oper-

35

ators. We have concluded that the benefit from and need for access to electronic communications data from NI-ICS providers outweighs the opposing interests against such access.

Obligations of NI-ICS providers

We have proposed that a retention obligation should also apply to pro- viders of publicly available number-independent interpersonal commu- nications services (NI-ICS) in Sweden.

The retention obligation must cover communications that take place to some extent in Sweden. This can be established, for example, by ver- ifying that communications are sent from or received via an IP address in Sweden.

As a general rule, the retention obligation and the duration of re- tention should correspond to what we propose for other parties obli- ged to retain data, i.e. according to our proposals for national security retention, geographically targeted retention and extended targeted retention.

Providers of NI-ICS must be subject to the same professional secrecy obligation as providers of other electronic communications services.

Mandate to modernise the adaptation obligation

Providers of public electronic communications networks or publicly available electronic communications services as defined in the Elec- tronic Communications Act play an important role when law en- forcement authorities obtain electronic communications and related data. To facilitate the work of law enforcement authorities, a certain adaptation obligation has been imposed on providers. The obligation means that activities must be conducted in such a way that secret coercive measures can be implemented, and that it must be possible to do so without such implementation being disclosed.

However, the technological developments that have taken place and are still ongoing have meant that the rules on the adaptation obligation have become unclear and outdated. In view of our proposals on the retention obligation for NI-ICS providers, there is a further need to change the adaptation obligation. We therefore propose to

36

modernise the provisions on the adaptation obligation to provide clear, consistent and technology-neutral regulation.

Modernisation of the adaptation obligation

We have proposed that the adaptation obligation should cover the same actors as those who, according to our proposals, should be subject to the retention obligation under the Electronic Communi- cations Act. However, an exemption should apply to providers of machine-to-machine services. Machine-to-machine services are ser- vices involving the automatic transfer of data between devices or soft- ware-based applications, with little or no human intervention. The services can be used, for example, for monitoring, measurement, con- trol, transport and logistics in cars, trains, electricity meters, home alarms and lawnmowers.

Consequently, providers of NI-ICS should also be obliged to conduct their activities in such a way that decisions on secret coer- cive measures can be implemented and such implementation is not disclosed. This also covers cases in which a provider enables its cus- tomers to use end-to-end encryption, i.e. where only the sender and the recipient have access to the messages in readable form. In these cases, the adaptation obligation means that the provider must be able to make the data available to law enforcement authorities in readable form.

If data is made available, NI-ICS providers should also be entitled to compensation.

Executive jurisdiction

The right of a state to take action and enforce decisions made in the context of legislation and the administration of justice is called exec- utive jurisdiction. The basic premise of international law is that states are prohibited from implementing enforcement measures, such as the use of secret coercive measures, in the territory of other states. This is based on the principle of territoriality, which is a fundamental prin- ciple of international law on state sovereignty.

Electronically stored data may exist in several states at the same time or be constantly moving between different states. In many cases,

37

it is not even possible for the service provider to establish where the data is at any given moment. Even when this is possible, conditions may change in a fraction of a second.

For effective law enforcement, it is important that the rules on access to electronic communications and other electronic evidence can also be applied in practice, even when the information is located outside Sweden or when its location is unknown.

We have reviewed the conditions, including the aspects of inter- national law, for introducing a special legal regulation for executive jurisdiction in relation to electronic information located outside Sweden when using coercive measures.

We have concluded that, under certain conditions, there are no obstacles under international law to the law enforcement authorities obtaining electronic information that is or may be stored outside Sweden. On 30 March 2023, regarding executive jurisdiction, the Swedish Supreme Court ruled that remote searches may be carried out even if the information sought may be stored abroad.1

Against this background, we have proposed legislation that clari- fies what applies to obtaining electronic information stored outside Sweden in certain cases.

Obtaining electronic information stored outside Sweden

We have proposed a legal regulation regarding the possibility for law enforcement authorities to obtain electronic information that is stored or may be stored outside Sweden, such as information in user accounts for various cloud services.

This presupposes:

–that law enforcement authorities can access the data without assis- tance,

–that obtaining the data is judged to involve no more than insig- nificant infringement of the sovereignty of another state, and

–that obtaining the data is not expected to cause any damage to the scannable information system to which the coercive measure relates.

1See the Supreme Court decision of 30 March 2023 in case Ö 5686-22.

38

Impact and implementation

The proposals on national security retention, a retention obligation that also applies to NI-ICS providers, modernisation of the adap- tation obligation and executive jurisdiction will clearly have a posi- tive impact on law enforcement. The proposals on targeted retention may sometimes complicate the work of law enforcement. Overall, however, the proposals will be beneficial to law enforcement.

Our proposals on national security retention may increase the risk of invasion of privacy compared to today. The proposals on mod- ernisation of the adaptation obligation do not. Nor can the proposed regulation on executive jurisdiction be said to increase the risk of invasion of privacy. The proposals on targeted retention may lead to a lower risk of invasion of privacy.

The technical adaptations needed for a change in the retention obligation entail cost increases for providers, and the proposals may have some impact on competition between companies. The Swedish Police Authority, the Swedish Security Service, Swedish Customs and SIN will need additional resources.

The proposed rules on obtaining electronic information that is stored outside Sweden are proposed to enter into force on 1 July 2024. It is proposed that other statutory proposals enter into force on 1 July 2025.

39

1.2Förslag till lag (2025:000) om lagring

av och åtkomst till uppgifter om elektronisk kommunikation i syfte att skydda Sveriges säkerhet

Härigenom föreskrivs följande.

1 § Denna lag innehåller bestämmelser om när uppgifter om elektro- nisk kommunikation får lagras och lämnas ut för att skydda Sveriges säkerhet.

Föreläggande om nationell säkerhetslagring

2 § Säkerhetspolisen får, om det föreligger ett allvarligt hot mot Sveriges säkerhet som är verkligt och aktuellt eller förutsebart, före- lägga den som är skyldig att lagra uppgifter enligt 9 kap. 19 § lagen (2022:482) om elektronisk kommunikation att lagra uppgifter om elektronisk kommunikation i enlighet med vad som följer av denna lag (nationell säkerhetslagring). Säkerhetspolisen ska inför sin bedöm- ning av hotet mot Sveriges säkerhet samråda med Försvarsmakten.

Ett föreläggande enligt första stycket får gälla i högst ett år. Säker- hetspolisen får genom ett nytt föreläggande förlänga lagringsskyl- digheten om hotet mot Sveriges säkerhet består. Om det inte längre finns skäl för nationell säkerhetslagring, ska Säkerhetspolisen upp- häva föreläggandet.

Av 9 kap. 19 b och 22 §§ lagen om elektronisk kommunikation framgår vilka uppgifter som får omfattas av ett föreläggande enligt första stycket respektive hur länge uppgifterna ska lagras.

3 § Ett föreläggande enligt 2 § får meddelas endast när det är abso- lut nödvändigt för att skydda Sveriges säkerhet. Föreläggandet ska begränsas till vad som är absolut nödvändigt för syftet med lagringen i fråga om

1.vilka tillhandahållare som ska omfattas av lagringsskyldigheten,

2.beslutets giltighetstid, och

3.vilka typer av uppgifter som ska omfattas av lagringsskyldig- heten.

42

Offentligt ombud

4 § Ett offentligt ombud ska bevaka enskildas intressen i ärenden om nationell säkerhetslagring.

5 § Regeringen förordnar för en period om högst tre år en person som ska tjänstgöra som ordinarie offentligt ombud samt en person som i första hand ska vara det ordinarie ombudets ställföreträdare och en annan person som i andra hand ska vara det ordinarie ombudets ställföreträdare.

Ett offentligt ombud ska vara svensk medborgare och ska ha varit ordinarie domare, vara eller ha varit advokat eller ha motsvarande juridisk erfarenhet. Ett offentligt ombud får inte vara i konkurstill- stånd eller ha förvaltare enligt 11 kap. 7 § föräldrabalken.

Regeringen ska inhämta förslag på lämpliga personer från Domar- nämnden och Sveriges advokatsamfund.

Ett offentligt ombud får trots att regeringens förordnande har upp- hört slutföra uppdraget i ett specifikt ärende om nationell säkerhets- lagring.

6 § I fråga om ersättning till ett offentligt ombud tillämpas bestäm- melserna i 21 kap. 10 § första och andra styckena rättegångsbalken. Säkerhetspolisen beslutar om ersättning till det offentliga ombudet. Om Säkerhetspolisens beslut om nationell säkerhetslagring överklagas, ska Säkerhets- och integritetsskyddsnämnden besluta om ersättning till det offentliga ombudet. Om beslutet om nationell säkerhetslag- ring inte överklagas, får det offentliga ombudet överklaga Säkerhets- polisens beslut om ersättning till Säkerhets- och integritetsskydds- nämnden.

7 § Den som förordnats som offentligt ombud får inte obehörigen röja vad han eller hon har fått kännedom om i ett ärende om nationell säkerhetslagring.

Beslut och överklagande

8 § När Säkerhetspolisen avser att fatta ett beslut om nationell säkerhetslagring ska myndigheten så snart som möjligt hålla ett sam- manträde till vilket det offentliga ombudet ska kallas. Det offentliga

43

ombudet har vid sammanträdet rätt att ta del av det tilltänkta beslutet om nationell säkerhetslagring och de omständigheter som ligger till grund för detta. Vid sammanträdet ska Säkerhetspolisen redogöra för beslutet och det offentliga ombudet har rätt att ställa frågor. Säker- hetspolisen får därefter besluta om nationell säkerhetslagring.

Det offentliga ombudet har rätt att inom en vecka från beslutet om nationell säkerhetslagring överklaga detta till Säkerhets- och integ- ritetsskyddsnämnden. Det offentliga ombudet får avge en skriftlig för- klaring om att beslutet inte kommer att överklagas.

9 § Säkerhetspolisen ska underrätta Säkerhets- och integritetsskydds- nämnden om att ett beslut om nationell säkerhetslagring har över- klagats. Säkerhets- och integritetsskyddsnämnden ska så snart som möjligt därefter hålla ett sammanträde. Vid sammanträdet ska Säker- hetspolisen och det offentliga ombudet närvara. Säkerhets- och in- tegritetsskyddsnämnden har vid sammanträdet rätt att ta del av de omständigheter som ligger till grund för beslutet om nationell säker- hetslagring. Vid sammanträdet ska Säkerhetspolisen redogöra för be- slutet och det offentliga ombudet har rätt att yttra sig.

10 § Säkerhets- och integritetsskyddsnämnden ska pröva om Säker- hetspolisens beslut om nationell säkerhetslagring ska fastställas eller upphävas. Säkerhets- och integritetsskyddsnämndens beslut får inte överklagas.

Säkerhetspolisens beslut om nationell säkerhetslagring får verk- ställas om det inte har överklagats inom föreskriven tid, om det offent- liga ombudet har avgett en förklaring enligt 8 § andra stycket eller om det har fastställts av Säkerhets- och integritetsskyddsnämnden.

Tillgång till lagrade uppgifter

11 § Uppgifter som har lagrats med stöd av ett föreläggande enligt 2 § får endast inhämtas efter ett tillstånd till hemlig avlyssning av elektronisk kommunikation eller till hemlig övervakning av elektro- nisk kommunikation enligt 27 kap. 18 § eller 19 § rättegångsbalken eller ett tillstånd till inhämtning enligt lagen (2012:278) om inhämt- ning av uppgifter om elektronisk kommunikation i de brottsbekäm- pande myndigheternas underrättelseverksamhet.

44

Inhämtning enligt första stycket får ske endast om det i tillstån- det har angetts att inhämtningen får avse uppgifter som har lagrats med stöd av denna lag.

12 § Inhämtning av uppgifter enligt 11 § får endast ske i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet som inne- fattar brott som anges i andra stycket eller för att utreda och beivra sådana brott.

De brott som ger rätt till inhämtning av uppgifter som lagrats med stöd av ett föreläggande enligt 2 § är:

1.sabotage eller grovt sabotage enligt 13 kap. 4 eller 5 § brotts- balken,

2.mordbrand, grov mordbrand, allmänfarlig ödeläggelse, kapning, sjö- eller luftfartssabotage eller flygplatssabotage enligt 13 kap. 1, 2, 3, 5 a eller 5 b § brottsbalken, om brottet innefattar sabotage enligt 4 § samma kapitel,

3.uppror, väpnat hot mot laglig ordning eller brott mot medbor- gerlig frihet enligt 18 kap. 1, 3 eller 5 § brottsbalken,

4.högförräderi, krigsanstiftan, spioneri, grovt spioneri, obehörig befattning med hemlig uppgift, grov obehörig befattning med hem- lig uppgift eller olovlig underrättelseverksamhet mot Sverige, mot främmande makt eller mot person enligt 19 kap. 1, 2, 5, 6, 7, 8, 10, 10 a eller 10 b § brottsbalken,

5.företagsspioneri enligt 26 § lagen (2018:558) om företagshem- ligheter, om det finns anledning att anta att gärningen har begåtts på uppdrag av eller har understötts av en främmande makt eller av någon som har agerat för en främmande makts räkning,

6.terroristbrott, samröre med en terroristorganisation, finansier- ing av terrorism eller särskilt allvarlig brottslighet, offentlig uppma- ning till terrorism eller särskilt allvarlig brottslighet, rekrytering till terrorism eller särskilt allvarlig brottslighet, utbildning för terrorism eller särskilt allvarlig brottslighet eller resa för terrorism eller särskilt allvarlig brottslighet enligt 4, 5, 6, 7, 8, 9 eller 10 § terroristbrotts- lagen (2022:666),

7.andra brott än de som anges i 1–6 och som på grund av sin om- fattning eller karaktär utgör ett allvarligt hot mot Sveriges säkerhet, om det för brottet inte är föreskrivet lindrigare straff än fängelse i två år, eller

45

8.försök, förberedelse eller stämpling till brott som avses i 1–7, om en sådan gärning är belagd med straff.

Denna lag träder i kraft den 1 juli 2025.

46

1.3Förslag till lag (2025:000) om lagring

av uppgifter om elektronisk kommunikation i syfte att bekämpa grov brottslighet

Härigenom föreskrivs följande.

1 § Denna lag innehåller bestämmelser om när uppgifter om elek- tronisk kommunikation får lagras för att bekämpa grov brottslighet.

Geografiskt riktad lagring

2 § Uppgifter om elektronisk kommunikation får lagras i vissa kom- muner för att bekämpa grov brottslighet (geografiskt riktad lagring). Bestämmelser om sådan lagringsskyldighet finns, förutom i denna lag, i 9 kap. 19 c § lagen (2022:482) om elektronisk kommunikation.

3 § Lagring enligt 2 § ska avse de kommuner där antalet brotts- anmälningar är samma eller högre än genomsnittet i landet.

Beräkningen enligt första stycket ska grunda sig på den slutliga årsstatistiken över anmälda brott som tas fram enligt lagen (2001:99) om den officiella statistiken och ska göras utifrån ett genomsnitt av anmälda brott delat med befolkningsmängden under den treårs- period som föregår lagringsskyldigheten.

4 § Post- och telestyrelsen ska årligen, senast den 1 juni, föreskriva vilka kommuner som omfattas av geografiskt riktad lagring enligt 3 §.

Utökad riktad lagring

5 § Geografiskt riktad lagring får kompletteras med utökad riktad lagring enligt 9 kap. 19 d § lagen (2022:482) om elektronisk kommu- nikation avseende

1.ett begränsat geografiskt område där brott som avses i 27 kap. 19 § tredje stycket rättegångsbalken har förekommit eller där det är sannolikt att sådant brott kommer att äga rum,

2.en skyddsvärd plats,

3.en person som är eller har varit föremål för

–hemliga tvångsmedel som avses i rättegångsbalken,

47

–hemlig dataavläsning enligt lagen (2020:62) om hemlig data- avläsning, eller

–beslut enligt lagen (2012:278) om inhämtning av uppgifter om elektronisk kommunikation i de brottsbekämpande myndigheternas underrättelseverksamhet,

4. en person som genom lagakraftvunnen dom eller godkänt straff- föreläggande ålagts påföljd för brott som avses i 1, eller

5. sådan utrustnings- eller abonnemangsidentitet som använts vid eller skäligen kan antas komma till användning vid brott som avses i 1 eller vid brottslig verksamhet som innefattar sådana brott.

Ett beslut om lagring enligt första stycket 3 får inte grunda sig på ett tvångsmedelsbeslut som är äldre än tre år. Ett beslut om lagring enligt första stycket 4 får inte grunda sig på en dom eller ett godkänt strafföreläggande senare än tre år efter det att den ålagda påföljden till fullo har verkställts.

6 § Vid bedömningen av vad som är en skyddsvärd plats enligt 5 § första stycket 2 ska särskilt beaktas om

1.platsen är ett skyddsobjekt enligt skyddslagen (2010:305),

2.det bedrivs säkerhetskänslig verksamhet enligt säkerhetsskydds- lagen (2018:585) på platsen, eller

3.platsen annars bedöms vara särskilt betydelsefull från brotts- bekämpningssynpunkt.

7 § Polismyndigheten, Säkerhetspolisen och Tullverket får besluta om utökad riktad lagring enligt 5 §. Ett sådant beslut ska innehålla de skäl som beslutet grundas på. Innan beslut fattas ska myndig- heterna samråda med varandra om behovet av utökad riktad lagring. I brådskande fall, eller om samråd är olämpligt av sekretesskäl, får beslut fattas utan samråd. Om det behövs, ska samråd äga rum även med andra myndigheter.

Den beslutande myndigheten ska underrätta Säkerhets- och integ- ritetsskyddsnämnden om beslutet och skälen för detta senast en vecka efter det att beslutet fattades.

48

8 § Ett beslut om utökad riktad lagring får gälla

1.högst ett år om beslutet avser ett område enligt 5 § första stycket 1,

2.högst tre år om beslutet avser en skyddsvärd plats enligt 5 § första stycket 2,

3.högst ett år om beslutet avser en person enligt 5 § första stycket 3 och 4, och

4.högst ett år om beslutet avser utrustnings- eller abonnemangs- identitet enligt 5 § första stycket 5.

Om det föreligger ett fortsatt behov av lagring, får lagringsskyl- digheten förlängas genom ett nytt beslut. Beslut om lagring enligt 5 § första stycket 3 och 4, får inte fattas senare än tre år efter det tvångsmedelsbeslutet meddelades eller den ålagda påföljden till fullo har verkställts.

9 § Ett beslut om utökad riktad lagring får fattas endast när det är absolut nödvändigt för att bekämpa grov brottslighet. Beslutet ska begränsas till vad som är absolut nödvändigt för syftet med lagringen i fråga om

1.vilka tillhandahållare som ska omfattas av lagringsskyldigheten,

2.beslutets giltighetstid, och

3.vilka typer av uppgifter som ska omfattas av lagringsskyldig- heten.

10 § Om det inte längre finns skäl för utökad riktad lagring, ska beslutet upphävas av den myndighet som har fattat beslutet.

11 § Polismyndighetens, Säkerhetspolisens och Tullverkets beslut enligt denna lag får inte överklagas.

Denna lag träder i kraft den 1 juli 2025.

49

1.4Förslag till lag om ändring i lagen (2007:980) om tillsyn över viss brottsbekämpande verksamhet

Härigenom föreskrivs i fråga om lagen (2007:980) om tillsyn över viss brottsbekämpande verksamhet att 1 § ska ha följande lydelse.

1 §1

Säkerhets- och integritetsskyddsnämnden (nämnden) ska utöva tillsyn över

1.brottsbekämpande myndigheters användning av hemliga tvångs- medel och kvalificerade skyddsidentiteter,

2.Säkerhetspolisens användning av hemliga tvångsmedel vid sär- skild kontroll av vissa utlänningar, och

3.därmed sammanhängande verksamhet.

Nämnden ska även utöva tillsyn över den behandling av person- uppgifter som utförs av Polismyndigheten, Säkerhetspolisen och Eko- brottsmyndigheten enligt brottsdatalagen (2018:1177) och lagen (2018:1693) om polisens behandling av personuppgifter inom brotts- datalagens område för de syften som anges i 1 kap. 1 § i den sistnämnda lagen, och lagen (2019:1182) om Säkerhetspolisens behandling av personuppgifter. Tillsynen ska särskilt avse behandling enligt 2 kap. 11 § brottsdatalagen och 2 kap. 9 § lagen om Säkerhetspolisens behand- ling av personuppgifter.

Nämnden ska också utöva till- syn över Polismyndighetens och Säkerhetspolisens tillämpning av lagen (2019:547) om förbud mot användning av vissa uppgifter för att utreda brott.

1Senaste lydelse 2022:707.

50

munikation i syfte att bekämpa grov brottslighet.

Tillsynen ska särskilt syfta till att säkerställa att verksamhet enligt första-tredje styckena bedrivs i enlighet med lag eller annan för- fattning.

Denna lag träder i kraft den 1 juli 2025.

51

1.5Förslag till lag om ändring i offentlighets- och sekretesslagen (2009:400)

Härigenom föreskrivs i fråga om offentlighets- och sekretesslagen (2009:400) att 10 kap. 10 §, 18 kap. 19 §, 29 kap. 2 §, 35 kap. 1 och 24 §§, och 44 kap. 4 och 5 §§ ska ha följande lydelse.

10 kap.

10 §1

Sekretess hindrar inte att den som är knuten till en myndighet på det sätt som anges i 2 kap. 1 § andra stycket och som är misstänkt för brott eller mot vilken rättegång eller annat jämförbart rättsligt förfarande har inletts, lämnar uppgift till sitt ombud eller biträde i saken eller till någon annan enskild, om det behövs för att han eller hon ska kunna ta till vara sin rätt.

Sekretess hindrar inte att uppgift i ett ärende hos domstol eller i ett beslut i ett sådant ärende lämnas till ett offentligt ombud enligt rättegångsbalken eller till ett integritetsskyddsombud enligt lagen (2009:966) om Försvarsunderrättelsedomstol.

Sekretess hindrar inte att upp- gift i ett ärende om nationell säker- hetslagring lämnas till ett offentligt ombud enligt lagen (2025:000) om lagring av och åtkomst till uppgifter om elektronisk kommunikation i syfte att skydda Sveriges säkerhet.

18 kap.

19 §2

Den tystnadsplikt som följer av 5–8, 9 och 10 §§, 11 § första stycket och 12 och 13 §§ inskränker rätten enligt 1 kap. 1 och 7 §§ tryckfrihetsförordningen och 1 kap. 1 och 10 §§ yttrandefrihetsgrund- lagen att meddela och offentliggöra uppgifter.

1Senaste lydelse 2009:1020.

2Senaste lydelse 2020:66.

52

SOU 2023:22Författningsförslag

tronisk kommunikation i syfte att skydda Sveriges säkerhet, eller ut- ökad riktad lagring enligt lagen (2025:000) om lagring av uppgifter om elektronisk kommunikation i syfte att bekämpa grov brottslighet.

Den tystnadsplikt som följer av 17 § inskränker rätten att med- dela och offentliggöra uppgifter, när det är fråga om uppgift om kvar- hållande av försändelse på befordringsföretag, hemlig avlyssning av elektronisk kommunikation, hemlig övervakning av elektronisk kom- munikation, hemlig kameraövervakning, hemlig rumsavlyssning eller hemlig dataavläsning på grund av beslut av domstol eller åklagare.

Att den tystnadsplikt som följer av 1–3 §§ i vissa fall inskränker rätten att meddela och offentliggöra uppgifter utöver det som anges i andra stycket följer av 7 kap. 10 §, 12–18 §§, 20 § 3 och 22 § första stycket 1 och andra stycket tryckfrihetsförordningen samt 5 kap. 1 § och 4 § första stycket 1 och andra stycket yttrandefrihetsgrundlagen.

53

FörfattningsförslagSOU 2023:22

29 kap.

2 §3

35 kap.

1 §4

Sekretess gäller för uppgift om en enskilds personliga och ekono- miska förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till honom eller henne lider skada eller men och uppgiften förekommer i

1.utredning enligt bestämmelserna om förundersökning i brott-

mål,

2.angelägenhet som avser användning av tvångsmedel i brottmål eller i annan verksamhet för att förebygga brott,

3.angelägenhet som avser säkerhetsprövning enligt säkerhets- skyddslagen (2018:585),

3Senaste lydelse 2012:288.

4Senaste lydelse 2019:1184.

54

4.annan verksamhet som syftar till att förebygga, uppdaga, ut- reda eller beivra brott eller verkställa uppbörd och som bedrivs av en åklagarmyndighet, Polismyndigheten, Säkerhetspolisen, Skatteverket, Tullverket eller Kustbevakningen,

5.register som förs av Polismyndigheten enligt 5 kap. lagen (2018:1693) om polisens behandling av personuppgifter inom brotts- datalagens område eller som annars behandlas med stöd av de bestäm- melserna, eller uppgifter som behandlas av Säkerhetspolisen eller Polismyndigheten med stöd av lagen (2019:1182) om Säkerhetspolisens behandling av personuppgifter,

6.register som förs enligt lagen (1998:621) om misstankeregister,

7.register som förs av Skatteverket enligt lagen (2018:1696) om Skatteverkets behandling av personuppgifter inom brottsdatalagens område eller som annars behandlas där med stöd av samma lag,

55

Sekretessen enligt första stycket 2 gäller hos domstol i dess rätts- kipande eller rättsvårdande verksamhet endast om det kan antas att den enskilde eller någon närstående till honom eller henne lider skada eller men om uppgiften röjs. Vid förhandling om användning av tvångs- medel gäller sekretess för uppgift om vem som är misstänkt endast om det kan antas att fara uppkommer för att den misstänkte eller någon närstående till honom eller henne utsätts för våld eller lider annat allvarligt men om uppgiften röjs.

Första stycket gäller inte om annat följer av 2, 6 eller 7 §.

För uppgift i en allmän handling gäller sekretessen i högst sjuttio år.

24 §5

Den tystnadsplikt som följer av 15 och 16 §§ inskränker rätten att meddela och offentliggöra uppgifter, när det är fråga om uppgift vars röjande kan antas medföra fara för att någon utsätts för våld eller lider annat allvarligt men.

44 kap.

4 §6

Rätten enligt 1 kap. 1 och 7 §§ tryckfrihetsförordningen och

1kap. 1 och 10 §§ yttrandefrihetsgrundlagen att meddela och offent- liggöra uppgifter inskränks av den tystnadsplikt som följer av

1.2 kap. 14 § första stycket 1 och 3–5 postlagen (2010:1045),

2.9 kap. 31 § lagen (2022:482) om elektronisk kommunikation, när det är fråga om uppgift om innehållet i ett elektroniskt medde- lande eller som annars rör ett särskilt sådant meddelande, och

5Senaste lydelse 2018:1919.

6Senaste lydelse 2022:1495.

56

5 §7

Rätten enligt 1 kap. 1 och 7 §§ tryckfrihetsförordningen och

1kap. 1 och 10 §§ yttrandefrihetsgrundlagen att meddela och offent- liggöra uppgifter inskränks av den tystnadsplikt som följer

1.av beslut som har meddelats med stöd av 7 § lagen (1999:988) om förhör m.m. hos kommissionen för granskning av de svenska säkerhetstjänsternas författningsskyddande verksamhet,

2.av 7 kap. 1 § 1 lagen (2006:544) om kommuners och regioners åtgärder inför och vid extraordinära händelser i fredstid och höjd beredskap,

3.av 4 kap. 16 § försäkringsrörelselagen (2010:2043),

7Senaste lydelse 2022:1495.

57

4.av 5 kap. 15 § lagen (1998:293) om utländska försäkrings- givares och tjänstepensionsinstituts verksamhet i Sverige,

5.av 32 § lagen (2020:62) om hemlig dataavläsning,

Denna lag träder i kraft den 1 juli 2025.

58

1.6Förslag till lag om ändring i lagen (2012:278) om inhämtning av uppgifter om elektronisk kommunikation i de brottsbekämpande myndigheternas underrättelseverksamhet

Härigenom föreskrivs att 1 § lagen (2012:278) om inhämtning av uppgifter om elektronisk kommunikation i de brottsbekämpande myn- digheternas underrättelseverksamhet ska ha följande lydelse.

1.meddelanden som i ett elektroniskt kommunikationsnät har överförts till eller från ett telefonnummer eller annan adress,

2.vilka elektroniska kommunikationsutrustningar som har funnits inom ett visst geografiskt område, eller

3.i vilket geografiskt område en viss elektronisk kommunika- tionsutrustning finns eller har funnits.

Denna lag träder i kraft den 1 juli 2025.

1Senaste lydelse 2022:501.

59

1.7Förslag till lag om ändring i lagen (2022:482) om elektronisk kommunikation

Härigenom föreskrivs i fråga om lagen (2022:482) om elektronisk kommunikation

dels att 9 kap. 20 §1 ska upphöra att gälla,

dels att 8 kap. 5 §, 9 kap. 1, 10, 19, 21–23, 29–29 b, 31–33 §§ och

12 kap. 1 § ska ha följande lydelse,

dels att det ska införas fem nya paragrafer, 9 kap. 19 a–e §§ och närmast före 9 kap. 19–23 §§ nya rubriker av följande lydelse.

Nuvarande lydelseFöreslagen lydelse

8 kap.

5 §2

Den som enligt 9 kap. 19 § är skyldig att lagra uppgifter ska vidta de särskilda tekniska och organisatoriska åtgärder som behövs för att skydda de lagrade uppgifterna vid behandling.

Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om sådana skyddsåtgärder.

9 kap.

1 §3

Den som tillhandahåller ett allmänt elektroniskt kommunikations- nät eller en allmänt tillgänglig elektronisk kommunikationstjänst ska utplåna eller avidentifiera trafikuppgifter som har lagrats eller be- handlats på något annat sätt när de inte längre behövs för överföring av ett elektroniskt meddelande. Detta gäller under förutsättning att uppgifterna avser användare som är fysiska personer eller abonnenter.

1Senaste lydelse av 20 § 2022:482.

2Senaste lydelse 2022:1086.

3Senaste lydelse 2022:482.

60

10 §4

Lokaliseringsuppgifter som ska lagras enligt 19 b–19 d §§ får be- handlas trots 7–9 §§.

Lokaliseringsuppgifter som omfattas av ett beslut om inhämtning av uppgifter enligt 27 kap. rättegångsbalken, eller lagen (2012:278) om inhämtning av uppgifter om elektronisk kommunikation i de brottsbekämpande myndigheternas underrättelseverksamhet får be- handlas trots 7–9 §§.

4Senaste lydelse 2022:482.

61

19 §5

Den som bedriver verksamhet som ska anmälas enligt 2 kap. 1 § ska lagra sådana uppgifter som avses i 31 § första stycket 1 och 3 som är nödvändiga för att spåra och identifiera kommunikations- källan, slutmålet för kommunika- tionen, datum, tidpunkt och var- aktighet för kommunikationen, typ av kommunikation, kommunika- tionsutrustning samt lokalisering av mobil kommunikationsutrust- ning vid kommunikationens början och slut.

Lagringsskyldigheten omfattar uppgifter som genereras eller be- handlas vid

1. telefonitjänst eller medde- landehantering via mobil nätan- slutningspunkt, eller

2. internetåtkomst.

Även vid misslyckad uppring- ning gäller skyldigheten att lagra uppgifter som genereras eller be- handlas. För telefonitjänst gäller lagringsskyldigheten inte uppgift om nummer som ett samtal styrts till.

5Senaste lydelse 2022:482.

62

Lagring av uppgift om abonnemang

19 a §

Den som är skyldig att lagra uppgifter enligt 19 § ska lagra så- dana uppgifter som avses i 31 § första stycket 1 som kan användas för att identifiera en abonnent och registrerad användare.

Regeringen eller den myndig- het som regeringen bestämmer får meddela föreskrifter om vilka upp- gifter som ska lagras enligt första stycket.

Nationell säkerhetslagring

19 b §

Den som är skyldig att lagra uppgifter enligt 19 § ska lagra de uppgifter som framgår av ett före- läggande enligt 2 § lagen (2025:000) om lagring av och åtkomst till uppgifter om elektronisk kommu- nikation i syfte att skydda Sveriges säkerhet. Ett sådant föreläggande får omfatta sådana uppgifter som avses i 31 § första stycket 1, 3 och 4 som är nödvändiga för att spåra och identifiera kommunikations- källan och slutmålet för kommu- nikationen, datum, tidpunkt och varaktighet för kommunikationen,

63

typ av kommunikation, kommu- nikationsutrustning, lokalisering av kommunikationsutrustning vid kommunikationen samt lokaliser- ingsuppgifter som inte är trafikupp- gifter.

Geografiskt riktad lagring

19 c §

Den som är skyldig att lagra uppgifter enligt 19 § ska i de kom- muner som föreskrivs enligt 4 § lagen (2025:000) om lagring av upp- gifter om elektronisk kommunika- tion i syfte att bekämpa grov brotts- lighet lagra sådana uppgifter som anges i 19 b §.

Utökad riktad lagring

19 d §

Den som är skyldig att lagra uppgifter enligt 19 § ska lagra de uppgifter som framgår av ett beslut enligt 5 § lagen (2025:000) om lag- ring av uppgifter om elektronisk kommunikation i syfte att bekämpa grov brottslighet. Ett sådant beslut får omfatta sådana uppgifter som anges i 19 b §.

Lagringsskyldighet vid misslyckad uppringning

19 e §

Lagringsskyldigheten enligt 19 c § ska även omfatta uppgifter som genereras eller behandlas vid miss-

64

SOU 2023:22Författningsförslag

1.33 § första stycket 2 eller 5,

2.27 kap. 19 § rättegångsbalken, eller

3.lagen (2012:278) om inhämtning av uppgifter om elektronisk kommunikation i de brottsbekämpande myndigheternas underrättelse- verksamhet.

Uppgifter som har lagrats enligt

19 b § får behandlas enbart för att lämnas ut enligt 11 § lagen (2025:000) om lagring av och åtkomst till uppgifter om elektro- nisk kommunikation i syfte att skydda Sveriges säkerhet.

22§7

Lagringstider

6Senaste lydelse 2022:482.

7Senaste lydelse 2022:482.

65

– Uppgifter som avses i 19 c och

19 d §§ ska lagras i ett år.

Lagringstiden räknas från den dag kommunikationen avslutades. Om uppgift saknas om när kom- munikationen avslutades, ska lag- ringstiden räknas från den dag då uppgifterna genererades. Beträffande lokaliseringsuppgift som inte är tra- fikuppgift räknas lagringstiden från den dag då uppgiften genererades.

Vid meddelandehantering via en allmänt tillgänglig nummer- oberoende interpersonell kommu- nikationstjänst räknas lagringstiden från den dag meddelandet skickades.

När lagringstiden har löpt ut ska den lagringsskyldige genast ut- plåna uppgifterna. Om en begäran om utlämnande i fall som avses i 21 § har kommit in eller ett föreläggande enligt 27 kap. 16 § rätte- gångsbalken att bevara en viss lagrad uppgift har meddelats innan lagringstiden löpt ut, ska den lagringsskyldige dock fortsätta lagra upp- gifterna till dess att de har lämnats ut eller tiden för bevarande har löpt ut. Därefter ska uppgifterna genast utplånas.

23 §8

Upplysning om verkställighetsföreskrifter

Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om

8Senaste lydelse 2022:1086.

66

SOU 2023:22Författningsförslag

29 §9

Första stycket gäller inte vid tillhandahållande av maskin-till- maskin-tjänster.

Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrif- ter om frågor som avses i första stycket samt får i enskilda fall besluta om undantag från kravet i första stycket.

9Senaste lydelse 2022:1086.

67

Regeringen eller den myndighet som regeringen bestämmer får meddela ytterligare föreskrifter om ersättningen och schablonberäk- ningen.

29 b §11

10Senaste lydelse 2022:1086.

11Senaste lydelse 2022:1086.

68

FörfattningsförslagSOU 2023:22

Tystnadsplikt som följer av första stycket gäller inte i förhållande till den som har tagit del i utväxlingen av ett elektroniskt meddelande eller som på något annat sätt har sänt eller tagit emot ett sådant

32 §13

Tystnadsplikt som följer av 31 § första stycket gäller även för en uppgift som hänför sig till

1.en åtgärd att med stöd av 27 kap. 9 § rättegångsbalken hålla kvar försändelser,

2.en angelägenhet som avser användning av hemlig avlyssning av elektronisk kommunikation eller hemlig övervakning av elektronisk kommunikation enligt 27 kap. 18 eller 19 § rättegångsbalken eller som gäller tekniskt bistånd med hemlig avlyssning av elektronisk kom- munikation eller med hemlig övervakning av elektronisk kommuni- kation enligt 4 kap. 25 b § lagen (2000:562) om internationell rättslig hjälp i brottmål,

3.en angelägenhet som avser inhämtning av signaler i elektronisk form enligt lagen (2008:717) om signalspaning i försvarsunderrät- telseverksamhet,

4.inhämtning av uppgifter enligt lagen (2012:278) om inhämt- ning av uppgifter om elektronisk kommunikation i de brottsbekäm- pande myndigheternas underrättelseverksamhet,

5.en begäran enligt 33 § första stycket 2 om att en uppgift om abonnemang ska lämnas,

13Senaste lydelse 2022:482.

70

SOU 2023:22Författningsförslag

33§14

1. en uppgift som avses i 31 § första stycket 1 till

a)en myndighet som i ett särskilt fall behöver en sådan uppgift för delgivning enligt delgivningslagen (2010:1932), om myndigheten bedömer att det kan antas att den som söks för delgivning håller sig undan eller att det annars finns synnerliga skäl,

b)Finansinspektionen, om inspektionen bedömer att uppgiften är av väsentlig betydelse för utredningen av en misstänkt överträdelse av Europaparlamentets och rådets förordning (EU) nr 596/2014 av den 16 april 2014 om marknadsmissbruk (marknadsmissbruksförordning) och om upphävande av Europaparlamentets och rådets direktiv 2003/6/EG och kommissionens direktiv 2003/124/EG, 2003/125/EG och 2004/72/EG,

14Senaste lydelse 2022:1086.

71

c)Finansinspektionen, om inspektionen bedömer att uppgiften är av väsentlig betydelse i ett ärende om tillsyn när det gäller någon av bestämmelserna i 4 a kap. 1–8 §§ lagen (2010:751) om betaltjänster eller 1 kap. 5 § eller 4 kap. 7, 8, 9, 10, 11 eller 14 § lagen (2016:1024) om verksamhet med bostadskrediter,

d)Konsumentombudsmannen, om ombudsmannen bedömer att uppgiften är av väsentlig betydelse i ett ärende om tillsyn enligt lagen (1994:1512) om avtalsvillkor i konsumentförhållanden eller mark- nadsföringslagen (2008:486), när det är fråga om en misstänkt över- trädelse av unionslagstiftning som skyddar konsumenternas intres- sen enligt bilagan till Europaparlamentets och rådets förordning (EU) 2017/2394 av den 12 december 2017 om samarbete mellan de natio- nella myndigheter som har tillsynsansvar för konsumentskyddslag- stiftningen och om upphävande av förordning (EG) nr 2006/2004,

e)Konsumentverket, om verket bedömer att uppgiften är av väsentlig betydelse i ett ärende om tillsyn enligt lagen (2019:59) med kompletterande bestämmelser till EU:s geoblockeringsförordning,

f)Kronofogdemyndigheten, om myndigheten behöver uppgiften

iexekutiv verksamhet och myndigheten bedömer att uppgiften är av väsentlig betydelse för handläggningen av ett ärende,

g)Läkemedelsverket, om verket bedömer att uppgiften är av väsentlig betydelse i ett ärende om tillsyn när det gäller bestämmel- serna om marknadsföring i 12 kap. läkemedelslagen (2015:315),

h)Polismyndigheten, om myndigheten bedömer att uppgiften be- hövs i samband med underrättelse, efterforskning eller identifiering vid olyckor eller dödsfall eller för att myndigheten ska kunna full- göra en uppgift som avses i 12 § polislagen (1984:387),

i)Polismyndigheten eller en åklagarmyndighet, om myndigheten bedömer att uppgiften behövs i ett särskilt fall för att myndigheten ska kunna fullgöra en underrättelseskyldighet enligt 33 § lagen (1964:167) med särskilda bestämmelser om unga lagöverträdare, och

j)Skatteverket, om verket bedömer att uppgiften är av väsentlig betydelse för handläggningen av ett ärende som avser kontroll av skatt eller avgift eller rätt folkbokföringsort enligt folkbokförings- lagen (1991:481),

2. en uppgift som avses i 31 § första stycket 1 och som gäller brottslig verksamhet eller misstanke om brott till Ekobrottsmyndig- heten, Polismyndigheten, Säkerhetspolisen, Tullverket, Åklagarmyn-

72

digheten eller någon annan myndighet som ska ingripa mot brottet eller den brottsliga verksamheten,

3.en uppgift som avses i 31 § första stycket 1 eller 3 till en regio- nal alarmeringscentral som avses i lagen (1981:1104) om verksam- heten hos vissa regionala alarmeringscentraler,

4.en uppgift som avses i 31 § första stycket 1 eller 3 samt uppgift om i vilket geografiskt område en viss elektronisk kommunikations- utrustning finns eller har funnits till Polismyndigheten, om myn- digheten bedömer att uppgiften behövs i samband med efterforsk- ning av personer som har försvunnit under sådana omständigheter att det kan antas att det då fanns eller fortfarande finns fara för deras liv eller allvarlig risk för deras hälsa, och

5.en uppgift som avses i 31 § första stycket 3 om vilka övriga till- handahållare av elektroniska kommunikationsnät eller elektroniska kommunikationstjänster som har deltagit vid överföringen av ett meddelande som omfattas av ett föreläggande enligt 27 kap. 16 § rätte- gångsbalken att bevara en viss lagrad uppgift till den myndighet som meddelat föreläggandet.

Ersättning för att lämna ut andra uppgifter enligt första stycket 3 än lokaliseringsuppgifter ska vara skälig med hänsyn till kostnaderna för utlämnandet.

12kap.

1 §15

Tillsynsmyndigheten ska ta ut en sanktionsavgift av den som

1.inte tillhandahåller en sammanfattning av avtalet i enlighet med 7 kap. 1 §, föreskrifter som har meddelats med stöd av den para- grafen och genomförandeakter som Europeiska kommissionen har meddelat med stöd av artikel 102.3 i direktiv (EU) 2018/1972, i den ursprungliga lydelsen,

2.inte tillämpar villkor om bindningstid och uppsägningstid i enlighet med 7 kap. 8, 13 eller 14 §,

3.inte uppfyller kraven på nummerportabilitet i enlighet med 7 kap. 19 och 20 §§ och föreskrifter om nummerportabilitet som har meddelats med stöd av 7 kap. 21 § första stycket,

4.inte vidtar åtgärder för att hantera risker som hotar säkerheten

inät och tjänster i enlighet med 8 kap. 1 §, föreskrifter som har med- delats med stöd av den paragrafen och genomförandeakter som

15Senaste lydelse 2022:1086.

73

Europeiska kommissionen har meddelat med stöd av artikel 40.5 i direktiv (EU) 2018/1972, i den ursprungliga lydelsen,

5.inte rapporterar om säkerhetsincidenter i enlighet med 8 kap. 3 §, föreskrifter som har meddelats med stöd av den paragrafen och genomförandeakter som Europeiska kommissionen har meddelat med stöd av artikel 40.5 i direktiv (EU) 2018/1972, i den ursprungliga lydelsen,

6.inte informerar om hot om säkerhetsincidenter i enlighet med 8 kap. 4 §, föreskrifter som har meddelats med stöd av den paragrafen och genomförandeakter som Europeiska kommissionen har med- delat med stöd av artikel 40.5 i direktiv (EU) 2018/1972, i den ur- sprungliga lydelsen,

7.inte vidtar skyddsåtgärder enligt 8 kap. 5 § och föreskrifter som har meddelats med stöd av den paragrafen,

8.inte vidtar åtgärder för att säkerställa skydd av uppgifter som behandlas i samband med tillhandahållandet av en tjänst i enlighet med 8 kap. 6 § och föreskrifter som har meddelats med stöd av den paragrafen,

9.inte informerar abonnenten om särskilda risker för bristande skydd av behandlade uppgifter i enlighet med 8 kap. 7 §,

10.inte underrättar om integritetsincidenter i enlighet med 8 kap. 8 § och föreskrifter som har meddelats med stöd av den paragrafen,

11.inte behandlar uppgifter i ett elektroniskt meddelande eller trafikuppgifter som hör till detta meddelande i enlighet med 9 kap.

74

ter som har meddelats i anslut- ning till det stycket,

13.inte ordnar uppgifter och gör dem tillgängliga i ett format som gör att de enkelt kan tas om hand i enlighet med 9 kap. 29 b § andra stycket och föreskrifter som har meddelats i anslutning till det stycket,

En sanktionsavgift enligt första stycket 2 ska, när det är fråga om ett paket enligt 7 kap. 26 §, tas ut endast om överträdelsen avser en allmänt tillgänglig elektronisk kommunikationstjänst som inte är en nummeroberoende interpersonell kommunikationstjänst eller en överföringstjänst som används för tillhandahållande av maskin-till- maskin-tjänster.

1.Denna lag träder i kraft den 1 juli 2025.

2.Uppgifter som lagrats enligt 9 kap. 19 § ska lagras enligt 9 kap. 22 § efter ikraftträdandet av denna lag.

75

1.8Förslag till förordning om ändring i förordningen (2007:951) med instruktion för Post- och telestyrelsen

Härigenom föreskrivs i fråga om förordning om ändring i förord- ningen (2007:951) med instruktion för Post- och telestyrelsen att 4 § ska ha följande lydelse

4 §1

Post- och telestyrelsen har till uppgift att

1.främja tillgången till säkra och effektiva elektroniska kommu- nikationer, inbegripet att se till att samhällsomfattande tjänster finns tillgängliga, och att främja tillgången till ett brett urval av elektroniska kommunikationstjänster,

2.främja utbyggnaden av och följa tillgången till bredband och mobiltäckning i alla delar av landet, inbegripet att skapa förutsättningar för samverkan mellan myndigheter som kan bidra till utbyggnaden av bredband,

3.svara för att möjligheterna till radiokommunikation och andra användningar av radiovågor utnyttjas effektivt,

4.svara för att nummer ur nationella nummerplaner utnyttjas på ett effektivt sätt,

5.främja en effektiv konkurrens,

6.övervaka pris- och tjänsteutvecklingen,

7.bedriva informationsverksamhet riktad till konsumenter,

8.följa utvecklingen när det gäller säkerhet vid elektronisk kom- munikation och uppkomsten av eventuella miljö- och hälsorisker,

9.pröva frågor om tillstånd och skyldigheter, fastställa och analy- sera marknader samt utöva tillsyn och pröva tvister enligt lagen (2022:482) om elektronisk kommunikation,

10.meddela föreskrifter enligt förordningen (2022:511) om elek- tronisk kommunikation,

11.upprätta och offentliggöra planer för frekvensfördelning till ledning för radioanvändningen samt offentliggöra information av all-

1Senaste lydelse 2022:515.

76

mänt intresse om rättigheter, villkor, förfaranden och avgifter som rör radiospektrumanvändningen,

12.tillhandahålla information om frekvensanvändning till Euro- peiska radiokommunikationskontorets frekvensinformationssystem (EFIS),

13.vara marknadskontrollmyndighet enligt radioutrustningslagen (2016:392),

14.vara tillsynsmyndighet enligt lagen (2016:561) med komplet- terande bestämmelser till EU:s förordning om elektronisk identi- fiering och ge stöd och information till myndigheter och enskilda när det gäller betrodda tjänster,

15.följa utvecklingen när det gäller toppdomäner med geografiska namn som har anknytning till Sverige,

16.vara tillsynsmyndighet enligt lagen (2006:24) om nationella toppdomäner för Sverige på internet samt meddela föreskrifter en- ligt förordningen (2006:25) om nationella toppdomäner för Sverige på internet,

17.verka för robusta elektroniska kommunikationer och minska risken för störningar, inbegripet att upphandla förstärkningsåtgär- der, och verka för ökad krishanteringsförmåga,

18.verka för ökad nät- och informationssäkerhet i fråga om elek- tronisk kommunikation, genom samverkan med myndigheter som har särskilda uppgifter inom informationssäkerhets-, säkerhetsskydds- och integritetsskyddsområdet samt med andra berörda aktörer,

19.lämna råd och stöd till myndigheter, kommuner och regioner och till företag, organisationer och andra enskilda i frågor om nät- säkerhet,

77

22. meddela föreskrifter om vilka kommuner som omfattas av geo- grafiskt riktad lagring enligt 4 § lagen (2025:000) om lagring av uppgifter om elektronisk kommu- nikation i syfte att bekämpa grov brottslighet.

Denna förordning träder i kraft den 1 juli 2025.

78

1.9Förslag till förordning om ändring i förordningen (2007:1141) med instruktion för Säkerhets- och integritetsskyddsnämnden

Härigenom föreskrivs i fråga om förordningen (2007:1141) med in- struktion för Säkerhets- och integritetsskyddsnämnden

dels att 1, 8, och 13 §§ ska ha följande lydelse,

dels att det ska införas tre nya paragrafer, 3 a §, 26 a och 26 b §§, och närmast före 26 a § en ny rubrik av följande lydelse.

3 a §

Myndigheten har till uppgift att överpröva Säkerhetspolisens beslut om nationell säkerhetslagring en- ligt lagen (2025:000) om lagring av och åtkomst till uppgifter om elektronisk kommunikation i syfte att skydda Sveriges säkerhet.

8 §2

1Senaste lydelse 2007:1141.

2Senaste lydelse 2009:1516.

79

Registerkontrolldelegationen har till uppgift att besluta i frågor som avses i 2 §.

Skyddsregistreringsdelegationen har till uppgift att besluta i frågor som avses i 3 §.

Datalagringsdelegationen har till uppgift att besluta i frågor som av- ses i 3 a.

Varje delegation består av en ordförande, en vice ordförande samt högst tre andra ledamöter.

Av de övriga ledamöterna i Skyddsregistreringsdelegationen ska en av dem ha särskild erfarenhet av verksamhet som avser folkbok- föring.

Bland de övriga ledamöterna i Datalagringsdelegationen ska det finnas personer med särskild erfa- renhet av integritetsskyddsfrågor, frågor som avser elektronisk kom- munikation och verksamhet som rör nationell säkerhet.

3Senaste lydelse 2009:1516.

80

Handläggning av ärenden i Datalagringsdelegationen

26 a §

När Säkerhetspolisens beslut om nationell säkerhetslagring har över- klagats ska Datalagringsdelegatio- nen sammanträda så snart som möjligt.

26 b § Datalagringsdelegationen är be-

slutför när ordföranden och minst två andra ledamöter är närvarande.

Om både ordföranden och vice ordföranden i delegationen har för- hinder får nämndens ordförande träda in som delegationens ord- förande.

Denna förordning träder i kraft den 1 juli 2025.

81

1.10Förslag till förordning om ändring i förordningen (2022:511) om elektronisk kommunikation

Härigenom föreskrivs i fråga om förordningen (2022:511) om elek- tronisk kommunikation

dels att 9 kap. 10 §1 ska upphöra att gälla,

dels att 9 kap. 6, 7 och 8 § ska ha följande lydelse,

dels att det ska införas tre nya paragrafer, 9 kap. 6 a–c §§ och närmast före 6, 7–9 §§ nya rubriker av följande lydelse.

9kap.

6 §2

Lagring av uppgift om abonnemang

Post- och telestyrelsen får med- dela ytterligare föreskrifter om vilka uppgifter som ska lagras enligt första stycket.

1Senaste lydelse av 10 § 2022:511.

2Senaste lydelse 2022:511.

82

Nationell säkerhetslagring

6 a §

Lagringsskyldigheten i 9 kap.

19 b § lagen (2022:482) om elek- tronisk kommunikation får om- fatta de uppgifter som anges i 6 b och 6 c §§.

6 b §

När det gäller telefonitjänst, samtal och meddelandehantering får följande lagras:

1.i fråga om telefonitjänst och samtal, uppringande och uppringt nummer, ip-adress eller annan meddelandeadress, abonnemangs- och utrustningsidentitet,

2.i fråga om meddelanden, avsändares och mottagares

nummer, ip-adress eller annan meddelandeadress,

abonnemangs-, konto- eller utrustningsidentitet,

3.nummer, ip-adress eller andra meddelandeadresser som kommunikationen styrts till vid överflyttning, vidareförmedling eller transport av 1 och 2,

4.uppgifter om abonnent och registrerad användare som upp- gifterna i 1–3 kan hänföras till,

5.kopplingen mellan tillfäl- liga och permanenta identifierare för utrustning eller abonnemang,

6.uppgifter om den eller de tjänster som använts,

7.datum och spårbar tid för då kommunikationen påbörjades

83

och avslutades eller ett medde- lande skickades och togs emot,

8.lokaliseringsuppgifter vid kommunikationen,

9.lokaliseringsuppgifter som inte är trafikuppgifter samt loka- liseringsuppgifter som genererats

ianvändares utrustning, och

10.uppgifter som identifierar den utrustning där kommunika- tionen slutligt avskiljs från den lagringsskyldige till den enskilda abonnenten.

Om den som slutligt avskiljer kommunikationen till den en- skilda abonnenten inte omfattas av lagringsskyldighet, ska första stycket 10 gälla för den som av- skiljer kommunikationen till den som slutligt avskiljer kommuni- kationen till den enskilda abon- nenten.

6 c §

När det gäller internetåtkomst får följande lagras:

1.användares ip-adress och andra uppgifter som är nödvän- diga för att identifiera abonnent och registrerad användare,

2.uppgifter om abonnent och registrerad användare,

3.användares abonnemangs- och utrustningsidentiteter,

4.koppling mellan tillfälliga och permanenta identifierare för utrustning och abonnemang,

5.den typ av kapacitet för över- föring som har använts,

84

6.datum och spårbar tid för åtkomsten,

7.lokaliseringsuppgifter vid åt- komsten,

8.lokaliseringsuppgifter som inte är trafikuppgifter samt lokaliser- ingsuppgifter som genererats i an- vändares utrustning,

9.uppgifter som identifierar den utrustning där kommunikationen slutligt avskiljs från den lagrings- skyldige till den enskilda abon- nenten.

Om den som slutligt avskiljer kommunikationen till den enskilda abonnenten inte omfattas av lag- ringsskyldighet, ska första stycket 9 gälla för den som avskiljer kom- munikationen till den som slutligt avskiljer kommunikationen till den enskilda abonnenten.

7 §3

Geografiskt riktad lagring

3Senaste lydelse 2022:511.

85

3.uppgifter om abonnent och registrerad användare som upp- gifterna i 1 och 2 kan hänföras till,

4.datum och spårbar tid då kommunikationen påbörjades och avslutades eller ett meddelande skickades och togs emot,

5.lokaliseringsuppgifter då kom- munikationen påbörjades och av- slutades eller ett meddelade skicka- des och togs emot, och

6.datum, spårbar tid och loka- liseringsuppgifter för den första akti- veringen av en förbetald anonym tjänst.

8 §4

4Senaste lydelse 2022:511.

86

19 § lagen (2022:482) om elektro- nisk kommunikation, ska första stycket 4 gälla för den som avskiljer kommunikationen till den som slut- ligt avskiljer kommunikationen till den enskilda abonnenten.

9§5

Föreskriftsrätt

Denna förordning träder i kraft den 1 juli 2025.

5Senaste lydelse 2022:511.

87

skyddet för privat- och familjelivet respektive den personliga integ- riteten bör stärkas, och se till att de förslag som lämnas uppfyller högt ställda krav på rättssäkerhet.

Uppdraget innefattar också att säkerställa att en välfungerande systematik i regelverket kring hemliga tvångsmedel upprätthålls. Det innebär att vi även ska bedöma behovet av följdändringar i rättegångs- balken, lagen (2012:278) om inhämtning av uppgifter om elektronisk kommunikation i de brottsbekämpande myndigheternas underrät- telseverksamhet (inhämtningslagen), lagen (2007:979) om åtgärder för att förhindra vissa särskilt allvarliga brott (preventivlagen), lagen (2022:700) om särskild kontroll av vissa utlänningar (LSU), lagen (2020:62) om hemlig dataavläsning (HDA) och lagen (2022:482) om elektronisk kommunikation (nya LEK). Vi ska även bedöma behovet av följdändringar i lagen (2000:562) om internationell rättslig hjälp i brottmål (LIRB) och lagen (2017:1000) om en europeisk utrednings- order.

2.2Utredningsarbetet

Uppdraget har inrymt överväganden inom ett mycket komplext om- råde, både juridiskt och tekniskt. Utredningen har haft elva expert- gruppssammanträden. Därutöver har företrädare för utredningen haft flera separata möten med experter från Polismyndigheten, Säker- hetspolisen och Post- och telestyrelsen (PTS). Företrädare har även även haft sammanträden med branchorganisationen TechSverige (tidi- gare IT & Telekomföretagen) tillsammans med företrädare för Meta (tidigare Facebook), Microsoft, Google, Internetstiftelsen, Hi3G, Tele2, Telenor och Telia. Utredningen har också haft separata möten med Apple, Meta, Microsoft, Hi3G, Tele2, Telenor och Telia. Före- trädare för utredningen har också haft separata möten med Apple, Meta, Microsoft, Hi3G, Tele2, Telenor och Telia.

Företrädare har haft underhandskontakter med bl.a. Brottsföre- byggande rådet (Brå), Säkerhets- och integritetsskyddsnämnden (SIN), Internetstiftelsen, Netnod och ISOC-SE. Utredningen har haft kon- takt med personer som arbetar med motsvarande frågor i andra länder. Därtill har utredningen samrått med bl.a. Utredningen om utökade möjligheter att använda hemliga tvångsmedel (Ju 2020:20) och Utred- ningen om preventiva tvångsmedel (Ju 2021:15).

90

Vi har inte kunnat beakta material som tillkommit efter den 31 mars 2023.

2.3Betänkandets disposition

Fortsättningen av betänkandet inleds med avsnitt 3, om enskildas grundläggande rättigheter. Därefter beskrivs i avsnitt 4 relevant gällande rätt kring elektronisk kommunikation. Avsnitt 5 utgör en översikt- lig beskrivning av de brottsbekämpande myndigheternas utredande verksamhet och underrättelseverksamhet. I avsnitt 6 gör vi en över- syn av reglerna om lagring och tillgång till uppgifter om elektronisk kommunikation. I samma avsnitt finns våra överväganden och för- slag om lagring av abonnemangsuppgifter och behovet av anpassning av den svenska datalagringsregleringen. I avsnitt 7–9 finns våra över- väganden och förslag om nationell säkerhetslagring, riktad lagring och om lagring av och tillgång till elektroniska uppgifter om elek- tronisk kommunikation från tillhandahållare av Noik. I avsnitt 10 och 11 finns överväganden och förslag om modernisering av anpass- ningsskyldigheten och frågor om exekutiv jurisdiktion. Den sista delen av betänkandet utgörs av förslag på ikraftträdande, avsnitt 12, en beskrivning av förslagens konsekvenser, avsnitt 13 och en författ- ningskommentar, avsnitt 14. Våra författningsförslag finns i avsnitt 1.

91

3.2Skyddet för privatlivet

3.2.1FN:s konventioner

Förenta nationernas (FN) allmänna förklaring om de mänskliga rättig- heterna antogs 1948. Ingen får utsättas för godtyckligt ingripande i fråga om privatliv, familj, hem eller korrespondens (artikel 12). En person får endast underkastas sådana inskränkningar som har fast- ställts i lag och enbart i syfte att trygga tillbörlig hänsyn till och respekt för andras fri- och rättigheter samt för att tillgodose ett demokra- tiskt samhälles berättigade krav på moral, allmän ordning och allmän välfärd (artikel 29). Motsvarande skydd för den personliga integri- teten finns i FN:s konvention om medborgerliga och politiska rättig- heter, som antogs 1966. Även FN:s konvention om ekonomiska, sociala och kulturella rättigheter, som antogs 1966, innehåller regler om skydd för bl.a. privat- och familjelivet.

FN:s konvention om barns rättigheter (barnkonventionen) antogs 1989 och artiklarna 1–42 är sedan den 1 januari 2020 inkorporerad i svensk lag.5 Inget barn får utsättas för godtyckliga eller olagliga in- gripanden i sitt privat- eller familjeliv, sitt hem eller sin korrespon- dens och inte heller för olagliga angrepp på sin heder och sitt anse- ende (artikel 16). I artikel 40 (b) (vii) nämns särskilt att ett barn som misstänks eller åtalas för brott ska få sitt privatliv till fullo respek- terat under alla stadier av förfarandet. Vid samtliga åtgärder som rör barn ska i första hand beaktas vad som bedöms vara barnets bästa (artikel 3). Barn ska skyddas från alla former av fysiskt eller psykiskt våld, narkotika, sexuella övergrepp och annat utnyttjande. Det ska finnas effektiva medel för bl.a. förebyggande, identifiering, undersök- ning och uppföljning samt förfaranden för rättsligt ingripande om barn farit illa (se artiklarna 19 och 32–36).

3.2.2Europakonventionen

Europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna (Europakonventionen) är inkorpo- rerad i svensk rätt och gäller som svensk lag.6 Enligt 2 kap. 19 § RF

5Se lagen (2018:1197) om Förenta nationernas konvention om barnets rättigheter.

6Se lagen (1994:1219) om den europeiska konventionen angående skydd för de mänskliga rättigheterna och de grundläggande friheterna.

94

får lag eller annan föreskrift inte meddelas i strid med Sveriges åtagan- den på grund av Europakonventionen. Genom att underteckna Europa- konventionen har staten garanterat var och en, som befinner sig under dess jurisdiktion, de fri- och rättigheter som anges i konventionen. Var och en har rätt till respekt för sitt privat- och familjeliv, sitt hem och sin korrespondens (artikel 8). Rätten till respekt för privat- och familjeliv omfattar bl.a. kommunikation via telefon. Rätten innefattar även skyddet av personuppgifter. Offentlig myndighet får inte in- skränka dessa rättigheter annat än med stöd av lag och om det i ett demokratiskt samhälle är nödvändigt med hänsyn till statens säker- het, den allmänna säkerheten, landets ekonomiska välstånd eller till förebyggande av oordning eller brott eller till skydd för hälsa eller moral eller för andra personers fri- och rättigheter. Det innebär att en inskränkning måste ha stöd i inhemsk lag som i sin tur måste upp- fylla rimliga anspråk på rättssäkerhet, såsom att skydda mot godtycke, vara tillgänglig för allmänheten och vara förutsebar. Att inskränk- ningen måste vara nödvändig i ett demokratiskt samhälle för något av de i artikeln skyddade intressena innebär i huvudsak att det ska finnas ett angeläget samhälleligt behov av åtgärden och att den måste stå i rimlig proportion till det syfte som ska tillgodoses.7 Konven- tionsstaterna har ett visst handlingsutrymme att själva avgöra om be- gränsningarna är nödvändiga för ett givet syfte. Europadomstolen för- behåller sig dock rätten att överpröva denna bedömning inom ramen för prövningen av någons enskilda klagomål hos domstolen.

Europadomstolen har utarbetat en minimistandard som ställer föl- jande krav på lagstiftning om hemliga övervakningsåtgärder.8

•Arten av de brott som skulle kunna leda till en begäran om åt- gärden måste framgå.

•Det ska finnas en definition av de personkategorier som skulle kunna riskera att bli föremål för åtgärden.

•Åtgärdens varaktighet ska vara begränsad.

•Det måste finnas förfaranderegler för undersökning, användning och lagring av de uppgifter som inhämtas.

7Se Danelius, Mänskliga rättigheter i europeisk praxis, 5 uppl. 2015, s. 369 f.

8Se t.ex. Roman Zakharov mot Ryssland (nr 47143/06), 4 december 2015, § 231 med hän- visningar.

95

•Försiktighetsåtgärder vid överföring av information till andra par- ter ska vidtas.

•De omständigheter under vilka inhämtade uppgifter (t.ex. inspel- ningar) kan eller måste raderas ska anges.

De viktigaste punkterna har bedömts vara de två förstnämnda. Det kan konstateras att den grad av förutsebarhet som krävs varierar bero- ende på vilken typ av åtgärd som lagstiftningen avser och hur ingri- pande åtgärden är. Europadomstolen har också slagit fast att nationell lagstiftning om dolda spaningsåtgärder måste innehålla kontrollmeka- nismer för att skydda mot missbruk. Vad som krävs i det avseendet beror på omständigheter som åtgärdernas karaktär, räckvidd och var- aktighet, vilka motiv som krävs för att besluta, utföra och övervaka dem samt vilken typ av rättsmedel som finns i den nationella lag- stiftningen.

Artikel 8 i Europakonventionen ger enligt praxis inte bara upp- hov till en negativ förpliktelse för det allmänna att avhålla sig från omotiverade inskränkningar i denna rättighet utan även en positiv skyldighet för det allmänna att se till att enskilda tillförsäkras en rätt till skydd för privat- och familjeliv. Ett sådant skydd tillförsäkras bl.a. genom kriminalisering av olika åtgärder som innefattar intrång i den personliga integriteten. En förutsättning för att staten ska kunna leva upp till kraven på att upprätthålla rättstryggheten för enskilda är att staten har en väl fungerande och effektiv brottsbekämpning.9 Att ha en väl fungerande brottsbekämpning innebär t.ex. att myndig- heterna ska ha tillgång till effektiva utredningsverktyg, även i den elektroniska miljön. När så inte varit fallet har staten ansetts kränka de rättigheter som följer av Europakonventionen. Ett exempel på detta var när en person som gjort sig skyldig till förtal eller möjligen sexu- ellt ofredande av ett 12-årigt barn i Finland inte kunde identifieras på grund av att den nationella lagstiftningen inte möjliggjorde att upp- gift om vem som använt en ip-adress kunde hämtas in från operatören. I det aktuella fallet uttalade Europadomstolen att konfidentialitet för kommunikation och yttrandefrihet ibland måste få ge vika för brotts- bekämpande ändamål.10

9Se t.ex. SOU 2015:31 s. 52 f. och SOU 2017:75 s. 60 f.

10Se Europadomstolens dom den 2 december 2008 i mål K.U. mot Finland, mål nr 2872/02.

96

3.2.3EU:s rättighetsstadga

En bestämmelse om rätt till respekt för bl.a. privatlivet finns också i artikel 7 i Europeiska unionens stadga om de grundläggande rättig- heterna. Av artikel 52.3 i stadgan följer att i den mån stadgan omfattar rättigheter som motsvarar sådana som garanteras av Europakonven- tionen, ska de ha samma innebörd och räckvidd som enligt konven- tionen eller ett mer långtgående skydd. Varje begränsning i utövandet av de fri- och rättigheter som erkänns i stadgan måste vara föreskri- ven i lag och förenlig med det väsentliga innehållet i dessa fri- och rättigheter. Begränsningar får, med beaktande av proportionalitets- principen, göras endast om de är nödvändiga och faktiskt svarar mot mål av allmänt samhällsintresse som erkänns av unionen eller behovet av skydd för andra människors fri- och rättigheter (artikel 52.1). Rättig- hetsstadgan riktar sig till medlemsstaterna endast när de tillämpar unionsrätten (artikel 51.1). Av EU-domstolens praxis framgår att detta innebär att rättigheterna i stadgan måste iakttas inte bara vid tillämpningen av nationell lagstiftning som genomför EU-rätt utan så snart nationell lagstiftning omfattas av unionens tillämpnings- område.11 Ingen bestämmelse i stadgan får tolkas som att den inskränker eller inkräktar på de mänskliga rättigheter och grundläggande friheter som inom respektive tillämpningsområde erkänns i unionsrätten, inter- nationell rätt och de internationella konventioner i vilka unionen eller samtliga medlemsstater är parter, särskilt europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande fri- heterna, samt i medlemsstaternas författningar (artikel 53).

3.2.4Regeringsformen

Grundläggande bestämmelser som har betydelse för det allmännas ansvar att skydda enskildas privatliv och integritet finns bl.a. i reger- ingsformen (RF). Av 1 kap. 2 § RF framgår att den offentliga makten ska utövas med respekt bl.a. för den enskilda människans frihet och värdighet samt att det allmänna ska värna den enskildes privatliv och familjeliv. Enligt 2 kap. 6 § första stycket RF är var och en gentemot det allmänna skyddad mot bl.a. husrannsakan och liknande intrång, undersökning av brev eller annan förtrolig försändelse samt hemlig avlyssning eller upptagning av telefonsamtal eller annat förtroligt

11Se t.ex. Åkerberg Fransson, mål C-617/10.

97

meddelande. Vidare gäller enligt paragrafens andra stycke ett skydd mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Dessa grundläggande fri- och rättigheter får begränsas endast genom lag och endast för att tillgodose ändamål som är godtagbara i ett demokratiskt samhälle. Begränsningarna får aldrig gå utöver vad som är nödvändigt eller utgöra ett hot mot den fria åsiktsbildningen (2 kap. 20 och 21 §§ RF). För utländska med- borgare som är bofasta i riket gäller att särskilda begränsningar i dessa rättigheter får göras genom lag (2 kap. 25 § RF).

3.3Skyddet för personuppgifter

3.3.1Dataskyddskonventionen

De dataskyddsregler som har antagits inom ramen för Europarådet finns i första hand i Europarådets konvention till skydd för enskilda vid automatisk behandling av personuppgifter (den s.k. dataskydds- konventionen). Konventionen trädde i kraft i oktober 1985. Sverige har, liksom övriga EU-medlemsstater, anslutit sig till konventionen. Dataskyddskonventionen innehåller principer för dataskydd som de konventionsanslutna staterna måste iaktta i sin nationella lagstift- ning. Syftet med konventionen är att säkerställa respekten för grund- läggande fri- och rättigheter, särskilt den enskildes rätt till personlig integritet i samband med automatiserad behandling av personupp- gifter. Konventionen kompletteras av ett antal icke-bindande rekom- mendationer om hur personuppgifter bör behandlas inom olika om- råden. I syfte att modernisera konventionen antogs i maj 2018 ett ändringsprotokoll till konventionen. Sverige har undertecknat men inte ratificerat protokollet. Ändringarna träder i kraft när alla parter till dataskyddskonventionen har ratificerat ändringsprotokollet eller den 11 oktober 2023 om 38 parter då har ratificerat protokollet.

3.3.2EU-rättslig reglering

Bestämmelser om behandling av personuppgifter finns i unionsrättens primärrätt och sekundärrätt. I artikel 8 i rättighetsstadgan föreskrivs att var och en har rätt till skydd av de personuppgifter som rör honom

98

eller henne. Sådana uppgifter ska behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund. Var och en har rätt att få till- gång till insamlade uppgifter som rör honom eller henne och att få rättelse av dem.

Den allmänna regleringen om behandling av personuppgifter inom EU fanns tidigare i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avse- ende på behandling av personuppgifter och om det fria flödet av sådana uppgifter. Direktivet genomfördes i Sverige i huvudsak genom per- sonuppgiftslagen (1998:204).

Den 27 april 2016 antog Europaparlamentet och rådet förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana upp- gifter och om upphävande av direktiv 95/46/EG (allmän dataskydds- förordning), i det följande EU:s dataskyddsförordning. EU:s data- skyddsförordning är tillämplig i medlemsstaterna sedan den 25 maj 2018. Det huvudsakliga syftet med EU:s dataskyddsförordning är att ytterligare harmonisera och effektivisera skyddet för personuppgifter för att förbättra den inre marknadens funktion och öka enskildas kontroll över sina personuppgifter. EU:s dataskyddsförordning utgör numera den generella regleringen för personuppgiftsbehandling inom EU. Den gäller dock inte för behandlingen av personuppgifter i myn- digheters brottsförebyggande eller brottsutredande verksamhet. För den brottsbekämpande sektorn har i stället Europaparlamentet och rådet antagit direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF, i det följande dataskyddsdirektivet. Viss behandling av personuppgifter undantas från både EU:s dataskyddsförordning och dataskyddsdirektivets tillämpningsområden. Det gäller person- uppgiftsbehandling i verksamhet som inte omfattas av unionsrätten, däribland området nationell säkerhet.

För att säkerställa rätten till skydd för uppgifter inom sektorn för elektronisk kommunikation har EU antagit Europaparlamentets och rådets direktiv 2002/58/EG av den 12 juli 2002 om behandling av

99

personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation (e-dataskyddsdirektivet, se också avsnitt 4.2).

3.3.3Nationell lagstiftning

EU:s dataskyddsförordning började tillämpas den 25 maj 2018. Samma dag trädde lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, (nedan kallad dataskyddslagen) i kraft. I dataskyddslagen finns kompletterande bestämmelser till EU:s data- skyddsförordning. Lagen är subsidiär i förhållande till andra lagar och förordningar och ska inte heller tillämpas i den utsträckning det skulle strida mot grundlagsbestämmelserna om tryck- och yttrandefrihet. Genom dataskyddslagen upphävdes den tidigare gällande personupp- giftslagen.

Dataskyddsdirektivet har i huvudsak genomförts genom en ny ramlag, brottsdatalagen (2018:1177), som trädde i kraft den 1 augusti 2018. Brottsdatalagen är generellt tillämplig inom det område som direktivet reglerar. Lagen är subsidiär i förhållande till annan lag eller förordning, vilket möjliggör avvikande bestämmelser i s.k. register- författningar. Brottsdatalagen gäller vid behandling av personupp- gifter som utförs av myndigheter som har till uppgift att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller verkställa straffrättsliga påföljder. Lagen gäller också för behand- ling av personuppgifter vid upprätthållande av allmän ordning och säkerhet.

I särskilda registerförfattningar finns bestämmelser som innebär preciseringar, undantag eller avvikelser från bestämmelserna i brotts- datalagen. Som exempel kan nämnas lagen (2018:1693) om polisens behandling av personuppgifter inom brottsdatalagens område, lagen (2018:1697) om åklagarväsendets behandling av personuppgifter inom brottsdatalagens område och lagen (2018:1694) om Tullverkets be- handling av personuppgifter inom brottsdatalagens område. För Säker- hetspolisen gäller lagen (2019:1182) om Säkerhetspolisens behandling av personuppgifter vid sådan behandling av personuppgifter som rör nationell säkerhet i Säkerhetspolisens brottsbekämpande och lag- förande verksamhet.

100

Registerförfattningar förekommer också inom andra områden. Författningarna har till sitt huvudsakliga syfte att reglera hanteringen av register eller andra samlingar av personuppgifter.

Särskilda bestämmelser om behandling i personuppgifter finns även i 9 kap. nya LEK.

3.4Yttrandefrihet

EU:s rättighetsstadga skyddar yttrandefriheten (artikel 11). I arti- keln föreskrivs att var och en har rätt till yttrandefrihet. Denna rätt innefattar åsiktsfrihet samt frihet att ta emot och sprida uppgifter och tankar utan någon offentlig myndighets inblandning och obero- ende av territoriella gränser. Motsvarande skydd finns i artikel 10 i Europakonventionen, artikel 19 i FN:s konvention om medborger- liga och politiska rättigheter och artikel 13 i barnkonventionen. FN:s råd för mänskliga rättigheter (UNHCR) antog i juni 2012 en reso- lution om yttrandefrihet på Internet (HRC44). I resolutionen anges bl.a. att ”samma rättigheter som folk har offline måste även skyddas online, i synnerhet yttrandefriheten”.

I regeringsformen föreskrivs att var och en är gentemot det all- männa tillförsäkrad yttrandefrihet, dvs. frihet att i tal, skrift eller bild eller på annat sätt meddela upplysningar samt uttrycka tankar, åsikter och känslor (2 kap. 1 § RF).

Tryckfriheten innebär en frihet för var och en att i tryckt skrift uttrycka tankar, åsikter och känslor samt att offentliggöra allmänna handlingar och i övrigt lämna uppgifter i vilket ämne som helst samt en rätt att ge ut skrifter utan att en myndighet eller ett annat allmänt organ hindrar detta i förväg (1 kap. 1 § TF).

Vidare är var och en gentemot det allmänna tillförsäkrad rätt att i ljudradio, tv och vissa liknande överföringar, offentliga uppspelningar ur en databas samt filmer, videogram, ljudupptagningar och andra tekniska upptagningar offentligen uttrycka tankar, åsikter och käns- lor och i övrigt lämna uppgifter i vilket ämne som helst (1 kap. 1 § Yttrandefrihetsgrundlagen, YGL).

101

uppgifter om IMEI-nummer är att anse som uppgift om abonnemang, när det tydligt framgår av begäran att syftet är att identifiera ett abonnemang eller en abonnent.1

Uppgifter om abonnemang anses typiskt sett vara mindre integ- ritetskänsliga än trafik- och lokaliseringsuppgifter. Regeringen har anfört att det kan ifrågasättas om det är lämpligt eller ens möjligt att definiera uppgifter om abonnemang endast utifrån vilken uppgift det är fråga om. Det har i stället ansetts mer relevant att som utgångs- punkt definiera uppgifter om abonnemang som uppgifter som iden- tifierar abonnenten eller den registrerade användaren bakom ett visst nummer eller en viss adress, i motsats till uppgifter som redogör för hur numret eller adressen har använts.2

En trafikuppgift definieras i 1 kap. 7 § nya LEK som en uppgift som behandlas i syfte att befordra ett elektroniskt meddelande via ett elektroniskt kommunikationsnät eller för att fakturera detta med- delande. De trafikuppgifter som genereras vid elektronisk kommu- nikation kan avslöja t.ex. vilken typ av kommunikation som före- kommit (telefoni, sms, etc.), vilken utrustning som använts, vilka nummer eller adresser som kommunicerat med varandra samt när och hur länge kommunikationen har pågått. Utanför begreppet trafik- uppgifter faller information som avslöjar meddelandets innehåll. Vi återkommer till begreppet trafikuppgift i avsnitt 6.6.2.

En lokaliseringsuppgift definieras i nya LEK som en uppgift som behandlas i ett allmänt mobilt elektroniskt kommunikationsnät och som anger den geografiska positionen för en slutanvändares terminal- utrustning eller en uppgift i ett allmänt fast elektroniskt kommunika- tionsnät om nätanslutningspunktens fysiska adress (1 kap. 7 §). Det kan t.ex. vara fråga om vilken cell (antenn på basstation) som utrust- ningen kopplat upp sig mot, eller en gps-position.3

1Se PTS beslut den 17 mars 2021 i ärende dnr 20-3144 m.fl. Jfr SOU 2017:75 s. 98 och prop. 2018/19:86 s. 93.

2Se prop. 2018/19:86 s. 93.

3Se vidare om dessa begrepp exempelvis SOU 2017:75, avsnitt 6.2.

104

4.2Integritetsskydd och tystnadsplikt vid elektronisk kommunikation

Som anförs ovan skyddas mellanmänsklig kommunikation av EU:s rättighetsstadga, som föreskriver att var och en har rätt till respekt för sitt privatliv och familjeliv, sin bostad och sina kommunikationer (artikel 7). Rättighetsstadgan föreskriver även ett skydd för person- uppgifter (artikel 8). I syfte att säkerställa full respekt för de rättig- heter som följer av artikel 7 och 8 har EU antagit Europaparlamentets och rådets direktiv 2002/58/EG av den 12 juli 2002 om behandling av personuppgifter och integritetsskydd inom sektorn för elektro- nisk kommunikation (direktiv om integritet och elektronisk kom- munikation), det s.k. e-dataskyddsdirektivet. E-dataskyddsdirektivet syftar även till att säkerställa fri rörlighet för sådana uppgifter samt för utrustning och tjänster avseende elektronisk kommunikation inom unionen.

E-dataskyddsdirektivet definierar trafikuppgifter och lokaliserings- uppgifter (artikel 2) men inte abonnemangsuppgifter.

Bestämmelser om säkerhet vid behandlingen av uppgifter finns i artikel 4 i direktivet. Enligt artikel 4.1 ska leverantören av en allmänt tillgänglig elektronisk kommunikationstjänst vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa säkerheten i sina tjäns- ter, om nödvändigt tillsammans med leverantören av det allmänna kommunikationsnätet när det gäller nätsäkerhet. Dessa åtgärder ska säkerställa en säkerhetsnivå som är anpassad till den risk som före- ligger, med beaktande av dagens tillgängliga teknik och kostnaderna för att genomföra åtgärderna. Enligt artikel 4.1 a i e-dataskyddsdirek- tivet ska, utan att det påverkar tillämpningen av dataskyddsförord- ningen, de åtgärder som avses i punkt 1 minst

•säkerställa att endast auktoriserad personal, och endast i lagligen tillåtna syften, får tillgång till personuppgifter,

•skydda personuppgifter som lagrats eller överförts mot oavsiktlig eller olaglig förstörelse, oavsiktlig förlust eller ändring samt mot icke auktoriserad eller olaglig lagring och behandling eller icke auktoriserat eller olagligt tillträde eller offentliggörande, och

•säkerställa införandet av en strategi för behandling av personupp- gifter.

105

De behöriga nationella myndigheterna ska kunna granska de åt- gärder som vidtas av leverantörer av allmänt tillgängliga elektroniska kommunikationstjänster och utfärda rekommendationer om bästa praxis beträffande den säkerhetsnivå som bör uppnås med hjälp av dessa åtgärder.

Enligt artikel 5 ska medlemsstaterna genom nationell lagstiftning säkerställa konfidentialitet vid kommunikation och därmed förbundna trafikuppgifter via allmänna kommunikationsnät och allmänt tillgäng- liga elektroniska kommunikationstjänster. Medlemsstaterna ska sär- skilt förbjuda avlyssning, uppfångande med tekniskt hjälpmedel, lagring eller andra metoder som innebär att kommunikationen och de därmed förbundna trafikuppgifterna kan fångas upp eller övervakas av andra personer än användarna utan de berörda användarnas sam- tycke, utom när de har laglig rätt att göra så i enlighet med direktivet.

I artikel 6 finns bestämmelser om för vilka ändamål trafikupp- gifter får behandlas och krav på begränsningar i fråga om tillgången till uppgifter för dem som behöver det för att utföra vissa närmare angivna arbetsuppgifter. Som huvudregel ska trafikuppgifter om abon- nenter och användare som behandlas och lagras av en leverantör ut- plånas eller avidentifieras när de inte längre behövs för sitt syfte att överföra kommunikation. Trafikuppgifter som krävs för abonnent- fakturering och betalning av samtrafikavgifter får dock behandlas. Om abonnenten har samtyckt till det, får uppgifter också behandlas för vissa marknadsföringsändamål.

I artikel 9 finns bestämmelser om andra lokaliseringsuppgifter än trafikuppgifter. Om sådana uppgifter kan behandlas, får dessa upp- gifter endast behandlas sedan de har avidentifierats eller om använ- darna eller abonnenterna gett sitt samtycke.

Vidare finns i artikel 15 ett stöd för medlemsstaterna att – för vissa närmare specificerade ändamål – föreskriva undantag från de skydds- regler som finns i bl.a. artiklarna 5, 6 och 9. Undantag får bl.a. göras om det i ett demokratiskt samhälle är nödvändigt, lämpligt och pro- portionerligt för att skydda nationell säkerhet, försvaret och allmän säkerhet samt för förebyggande, undersökning, avslöjande av och åtal för brott.

E-dataskyddsdirektivet genomfördes i svensk rätt främst genom bestämmelser som togs in i lagen (2003:389) om elektronisk kom- munikation (gamla LEK), se nedan.

106

Europeiska kommissionen har lämnat ett förslag till en ny för- ordning om respekt för privatlivet och skydd för personuppgifter i samband med elektronisk kommunikation (förordning om integ- ritet och elektronisk kommunikation (COM(2017) 10 final)). För- ordningen ska ersätta e-dataskyddsdirektivet och utgöra en special- reglering i förhållande till dataskyddsförordningen. Det är i dagsläget oklart när förordningen kan antas och vilket innehåll den kommer att få.

4.3Nya lagen om elektronisk kommunikation

Gamla LEK trädde i kraft i juli 2003. Genom den lagen genomfördes i huvudsak den EU-rättsliga regleringen på området för elektronisk kommunikation.

Den 11 december 2018 antogs Europaparlamentets och rådets direktiv (EU) 2018/1972 om inrättande av en europeisk kodex för elek- tronisk kommunikation (e-kodexen). E-kodexen utgör en omarbet- ning av och ersätter

•Europaparlamentets och rådets direktiv 2002/21/EG om ett gemen- samt regelverk för elektroniska kommunikationsnät och kommu- nikationstjänster (ramdirektivet),

•Europaparlamentets och rådets direktiv 2002/19/EG om tillträde till och samtrafik mellan elektroniska kommunikationsnät och till- hörande faciliteter (tillträdesdirektivet),

•Europaparlamentets och rådets direktiv 2002/20/EG om auktori- sation för elektroniska kommunikationsnät och kommunikations- tjänster (auktorisationsdirektivet), och

•Europaparlamentets och rådets direktiv 2002/22/EG om samhälls- omfattande tjänster och användares rättigheter (USO-direktivet).

Medlemsstaterna skulle senast den 21 december 2020 anta och offent- liggöra de lagar och andra författningar som är nödvändiga för att genomföra kodexen.

Den 3 juni 2022 trädde nya LEK i kraft. Nya LEK, som ersatte gamla LEK, genomförde e-kodexen. I sak motsvarar nya LEK i stora delar gamla LEK, med de ändringar och tillägg som är föranledda av

107

e-kodexen. Bland förändringarna kan noteras att definitionen av elek- tronisk kommunikationstjänst har fått en delvis annan utformning. Definitionen har ändrats så att den är funktionellt baserad snarare än baserad på enbart tekniska parametrar. Överföringen av signaler är fortfarande det centrala momentet för att fastställa vilka tjänster som omfattas av definitionen, men den omfattar även andra tjänster som möjliggör kommunikation. Vidare har sanktionsavgifter införts för vissa överträdelser av lagen.

Nya LEK syftar dels till att enskilda och myndigheter ska få till- gång till säkra och effektiva elektroniska kommunikationer, dels till största möjliga utbyte för alla av elektroniska kommunikationstjäns- ter sett till urvalet samt till deras pris, kvalitet och kapacitet. Syftet ska uppnås främst genom att konkurrens, innovation, internationell harmonisering samt säkerhet i nät och tjänster främjas. Samhällsom- fattande tjänster ska därutöver alltid finnas tillgängliga på för alla likvärdiga villkor i hela landet till överkomliga priser. Vid tillämp- ningen av lagen ska särskilt Sveriges säkerhet liksom elektroniska kom- munikationers betydelse för yttrandefrihet och informationsfrihet beaktas (1 kap. 1 §).

Lagen gäller elektroniska kommunikationsnät och elektroniska kom- munikationstjänster med tillhörande faciliteter och tjänster samt annan radioanvändning (1 kap. 2 §).

I 1 kap. 7 § nya LEK definieras bl.a. följande begrepp.

Ett elektroniskt kommunikationsnät definieras som ett system för överföring och i tillämpliga fall utrustning för koppling eller diriger- ing samt passiva nätdelar och andra resurser som medger överföring av signaler, via tråd eller radiovågor, på optisk väg eller via andra elek- tromagnetiska överföringsmedier oberoende av vilken typ av infor- mation som överförs.

Med en elektronisk kommunikationstjänst avses en tjänst som van- ligen tillhandahålls mot ersättning via elektroniska kommunikations- nät och som – med undantag för dels tjänster i form av tillhandahållande av innehåll som överförs med hjälp av elektroniska kommunikations- nät och elektroniska kommunikationstjänster, dels tjänster som inne- bär utövande av redaktionellt ansvar över sådant innehåll – är en

1.internetanslutningstjänst enligt artikel 2.2 i Europaparlamentets och rådets förordning (EU) 2015/2120 av den 25 november 2015 om åtgärder rörande en öppen internetanslutning och slutkunds-

108

avgifter för reglerad kommunikation inom EU och om ändring av direktiv 2002/22/EG och förordning (EU) nr 531/2012,

2.interpersonell kommunikationstjänst, eller

3.tjänst som utgörs helt eller huvudsakligen av överföring av signa- ler, såsom överföringstjänster som används för tillhandahållande av maskin-till-maskin-tjänster eller för rundradio.

En interpersonell kommunikationstjänst definieras som en tjänst som vanligen tillhandahålls mot ersättning och som möjliggör ett direkt interpersonellt och interaktivt informationsutbyte via elektroniska kommunikationsnät mellan ett begränsat antal personer, varigenom de personer som inleder eller deltar i kommunikationen bestämmer vem eller vilka som ska vara mottagare av denna, dock inte en tjänst som möjliggör interpersonell och interaktiv kommunikation enbart som en extrafunktion av mindre betydelse som är direkt kopplad till en annan tjänst.

Det finns alltså inget krav på att interpersonella kommunikations- tjänster helt eller huvudsakligen ska utgöras av överföring av signaler.

De interpersonella kommunikationstjänsterna kan vara antingen nummerbaserade eller nummeroberoende. En nummerbaserad inter- personell kommunikationstjänst etablerar en förbindelse till nummer i nationella eller internationella nummerplaner eller möjliggör kom- munikation med sådana nummer. En nummeroberoende interperso- nell kommunikationstjänst etablerar inte en förbindelse till nummer i nationella eller internationella nummerplaner och möjliggör inte heller kommunikation med sådana nummer. En sådan tjänst använder alltså inte telefonnummer för att ställa upp kommunikationen utan andra identifierare som normalt bara fungerar mellan den aktörens kunder.

Bestämmelser om säkerhet i nät och tjänster finns i 8 kap. 1–4 §§ nya LEK. Här anges bl.a. att den som tillhandahåller ett allmänt elek- troniskt kommunikationsnät eller en allmänt tillgänglig elektronisk kommunikationstjänst ska vidta ändamålsenliga och proportionella tekniska och organisatoriska åtgärder för att på lämpligt sätt hantera risker som hotar säkerheten i nät och tjänster. Det kan i detta sam- manhang noteras att en revidering av det s.k. NIS-direktivet har an- tagits i november 2022 genom det s.k. NIS2-direktivet. NIS2-direk- tivet, som syftar till att ytterligare harmonisera medlemsstaternas arbete med informationssäkerhet, omfattar även tillhandahållare av allmänna

109

elektroniska kommunikationsnät eller allmänt tillgängliga elektroniska kommunikationstjänster.

Vidare finns bestämmelser om skydd av uppgifter vid tillhanda- hållande av tjänster i 8 kap. 6–9 §§ nya LEK. Den som tillhandahåller en allmänt tillgänglig elektronisk kommunikationstjänst ska bl.a. vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa att uppgifter som behandlas i samband med tillhandahållandet av tjäns- ten skyddas.

Nya LEK innehåller vidare bestämmelser om under vilka för- utsättningar trafikuppgifter och lokaliseringsuppgifter får behandlas (9 kap. 1–10 §§). Generellt gäller att trafikuppgifter, och däribland uppgifter som behandlas för att fakturera elektroniska meddelanden, ska utplånas eller avidentifieras så snart de inte längre behövs. En leve- rantör får dock lagra sådana uppgifter för vissa specifika ändamål. Så är fallet t.ex. för abonnentfakturering och – om den som uppgifterna gäller har samtyckt till det – för marknadsföring.

Den centrala bestämmelsen om lagringsskyldighet finns i 9 kap.

19 § nya LEK. Lagringsskyldiga enligt den bestämmelsen är de som bedriver verksamhet som ska anmälas enligt 2 kap. 1 § samma lag. Allmänna elektroniska kommunikationsnät som vanligen tillhanda- hålls mot ersättning eller allmänt tillgängliga elektroniska kommu- nikationstjänster får tillhandahållas endast efter anmälan till tillsyns- myndigheten. Någon skyldighet att anmäla verksamheten gäller dock inte för nummeroberoende interpersonella kommunikationstjänster eller för verksamhet som består enbart i överföring av signaler via tråd för utsändning till allmänheten av program som avses i 1 kap. 2 § YGL.

Som en följd av EU-domstolens praxis ändrades de svenska reglerna om datalagring. Ändringarna, som trädde i kraft den 1 oktober 2019, innebär bl.a. att lagringens omfattning har begränsats och att lag- ringstiderna har differentierats. Lagringens omfattning är nu begrän- sad till uppgifter som genereras eller behandlas vid telefonitjänst och meddelandehantering via mobil nätanslutningspunkt samt vid inter- netåtkomst. Det betyder att det inte ska lagras några uppgifter om telefonitjänster eller meddelandehantering som sker inom det fasta telefonnätet eller genom fasta internetanslutningar. Med nätanslut- ningspunkt avses den fysiska punkt vid vilken en slutanvändare an- sluts till ett allmänt elektroniskt kommunikationsnät (1 kap. 7 § nya LEK). En mobil nätanslutningspunkt är t.ex. där en mobiltelefon

110

kopplar upp sig mot en mast eller mot ett trådlöst lokalt nätverk (wifi) som tillhandahålls av någon som omfattas av lagringsskyldigheten.

Lagringsskyldigheten omfattar uppgifter som anges som nödvän- diga för vissa preciserade syften. Dessa är formulerade som uppgifter som är nödvändiga för att spåra och identifiera kommunikationskällan, slutmålet för kommunikationen, datum, tidpunkt och varaktighet för kommunikationen, typ av kommunikation, kommunikationsutrust- ning samt lokalisering av mobil kommunikationsutrustning vid kom- munikationens början och slut.

Skyldigheten att lagra uppgifter omfattar uppgifter som genere- ras eller behandlas i leverantörens verksamhet. Det innebär att leve- rantören inte har någon skyldighet att införskaffa uppgifter som inte genereras eller behandlas i verksamheten. Däremot ska en uppgift lagras så fort den har funnits hos leverantören, även om det bara rör sig om en ytterst kort tid.4

Lagringsskyldighetens längd regleras i 9 kap. 22 § nya LEK och varierar från två månader upp till tio månader beroende på uppgifts- slag. Lagringstiden räknas från den dag kommunikationen avslutades.

I 9 kap. 7 och 8 §§ förordningen (2022:511) om elektronisk kom- munikation (nya FEK) anges på en mer detaljerad nivå vilka upp- gifter som ska lagras när det gäller telefonitjänst och meddelande- hantering via mobil nätanslutningspunkt respektive när det gäller internetåtkomst.

Uppgifter som har lagrats enligt 9 kap. 19 § nya LEK får behand- las endast för att lämnas ut för brottsbekämpande ändamål enligt 9 kap. 33 § nya LEK, 27 kap. 19 § RB (hemlig övervakning av elektro- nisk kommunikation) eller inhämtningslagen (9 kap. 21 § nya LEK).

När lagringstiden har löpt ut ska uppgifterna omedelbart utplånas. Om en begäran om utlämnande har kommit in eller ett föreläggande att bevara en viss lagrad uppgift enligt 27 kap. 16 § RB har meddelats innan lagringstiden löpt ut, ska den lagringsskyldige fortsätta att lagra uppgifterna till dess de har lämnats ut respektive när tiden för be- varande har löpt ut. Därefter ska uppgifterna genast utplånas (9 kap. 22 § tredje stycket nya LEK).

I 9 kap. 29 och 29 b §§ nya LEK regleras den s.k. anpassnings- skyldigheten. Den innebär att vissa verksamheter ska bedrivas så att beslut om hemlig avlyssning av elektronisk kommunikation och hem- lig övervakning av elektronisk kommunikation kan verkställas under

4Se prop. 2010/11 :46 s. 77.

111

sådana former att verkställandet inte röjs (9 kap. 29 § nya LEK). Anpassningsskyldigheten innebär också ett krav på skyndsamhet och format vid utlämnandet av uppgifter (9 kap. 29 b § nya LEK).

Den som bedriver verksamhet som ska anmälas enligt 2 kap. 1 § har rätt till ersättning för kostnader som uppstår när uppgifter läm- nas ut till brottsbekämpande myndigheter. I de fall det är särskilt föreskrivet ska ersättningen beräknas enligt schablon. Ersättningen ska betalas av den myndighet som har begärt uppgifterna (9 kap. 29 a § nya LEK).

I 9 kap. 31 § nya LEK föreskrivs att den som i samband med till- handahållande av ett elektroniskt kommunikationsnät eller en elek- tronisk kommunikationstjänst som inte är en nummeroberoende interpersonell kommunikationstjänst (Noik) har fått del av eller till- gång till vissa närmare angivna uppgifter inte obehörigen får föra vidare eller utnyttja det han eller hon har fått del av eller tillgång till. Tystnadsplikten omfattar uppgift om abonnemang, innehållet i ett elektroniskt meddelande eller annan uppgift som angår ett särskilt elektroniskt meddelande (dvs. en trafikuppgift, se avsnitt 6.6.2).

Dessutom finns för nyss nämnda tillhandahållare en tystnadsplikt för uppgift som hänför sig till användning av vissa hemliga tvångs- medel. Tystnadsplikt gäller även bl.a. för uppgift som hänför sig till en begäran om utlämnande av uppgifter för brottsbekämpande verk- samhet enligt 9 kap. 31 § första stycket 2 och 5 (se 9 kap. 32 § nya LEK). Ett obehörigt röjande eller utnyttjande av sådana uppgifter i strid med aktuella bestämmelser är straffsanktionerat som brott mot tystnadsplikten enligt 20 kap. 3 § brottsbalken.

I lagen finns dessutom bestämmelser som föreskriver en skyldig- het för nämnda tillhandahållare att i vissa fall på begäran lämna ut bl.a. uppgift om abonnemang (9 kap. 33 § första stycket nya LEK).

Regeringen bestämmer vilken myndighet som ska vara reglerings- myndighet respektive tillsynsmyndighet (1 kap. 6 § nya LEK). Regler- ingsmyndigheten ska pröva ansökningar, besluta om skyldigheter och i övrigt pröva frågor och handlägga ärenden enligt nya LEK och enligt föreskrifter meddelade i anslutning till den lagen. Tillsynsmyn- digheten ska ta emot anmälningar och utöva tillsyn enligt vad som fram- går av nya LEK. PTS är regleringsmyndighet och tillsynsmyndighet enligt nya LEK (1 kap. 5 § nya FEK).

112

eller kan komma att utövas, och som inte utgör förundersökning enligt 23 kap. rättegångsbalken.1

Underrättelseverksamheten är alltså i huvudsak inriktad på att upp- täcka om en viss, inte närmare specificerad brottslighet har ägt rum, pågår eller kan antas komma att begås. Ett övergripande mål är att förse de brottsutredande myndigheterna med kunskap som kan om- sättas i operativ verksamhet.

Polismyndigheten och Säkerhetspolisen bedriver underrättelse- verksamhet. Sådan verksamhet bedrivs också vid vissa andra myndig- heter, såsom Ekobrottsmyndigheten, Skatteverket och Tullverket.

Underrättelseverksamhet bedrivs enligt en viss process. Det första ledet i processen är planeringsfasen. I planeringsfasen tar man ställ- ning till t.ex. vilka områden som är prioriterade och vilka uppgifter som ska hämtas in. Nästa steg är inhämtningen, som kan ske på flera olika sätt. Trots att det ännu inte är fråga om verksamhet för att ut- reda brott finns det vissa möjligheter att använda tvångsmedel. När information har hämtats in bearbetas den genom att struktureras, systematiseras och värderas, t.ex. genom jämförelser med sedan tidi- gare kända uppgifter. Därefter vidtar analysen, som är den avgörande fasen i underrättelseprocessen. Det kan handla om t.ex. hot- och riskanalys, analys av brottsmönster och kartläggning av kriminella nätverk och grupperingar. Efter inhämtning, bearbetning och analys är ambitionen att det framtagna underrättelsematerialet ska kunna användas i operativt arbete. Det framtagna underrättelsematerialet kan t.ex. läggas till grund för beslut om att inleda förundersökning eller beslut om att vidta särskilda åtgärder för att förebygga, för- hindra eller upptäcka brott. Det kan också användas för att gå ut i media för att förebygga ett visst brottsligt tillvägagångssätt. En annan form av förebyggande verksamhet innebär att berörda personer kon- taktas och därigenom blir medvetna om den brottsbekämpande myn- dighetens intresse, vilket många gånger leder till att den planerade brottsliga verksamheten aldrig kommer till stånd.2

1Se prop. 2017/18:232 s. 430 och jämför med legaldefinitionen i 1 kap. 3 § i den numera upp- hävda Polisdatalagen (1998:622)

2Se SOU 2017:75 s. 84 f., Ds 2018:35 s. 34, prop. 2018/19:96 s. 14 och Ds 2020:12 s. 38.

114

5.2Allmänt om straffprocessuella tvångsmedel

Straffprocessuella tvångsmedel är åtgärder som företas i myndighets- utövning och innebär intrång i en persons rättssfär utan att personen har lämnat sitt samtycke.3 Exempel på tvångsmedel är husrannsakan, kroppsvisitation, kroppsbesiktning, beslag, gripande, anhållande och häktning. En grundläggande förutsättning för att använda straffpro- cessuella tvångsmedel är normalt att en förundersökning har inletts. Användningen ska då ytterst ha till syfte att utreda eller lagföra ett visst brott. Regleringen ger dock stöd även för att i vissa fall använda hemliga tvångsmedel för att förebygga, förhindra eller upptäcka brotts- lig verksamhet utan att förundersökning har inletts, dvs. i under- rättelseverksamhet.

Bland de straffprocessuella tvångsmedlen intar de hemliga tvångs- medlen en särställning. Dessa är hemlig avlyssning av elektronisk kom- munikation, hemlig övervakning av elektronisk kommunikation, hem- lig kameraövervakning, kvarhållande (och kontroll) av försändelse, hemlig rumsavlyssning och hemlig dataavläsning. Till dessa kommer de s.k. osjälvständiga tvångsmedlen, dvs. tvångsmedlen enligt LSU och preventivlagen, som har sin tillämpning utanför en förundersök- ning. Även inhämtning av uppgifter enligt inhämtningslagen anses vara ett hemligt tvångsmedel.4 Den berörde är inte medveten om dessa åtgärder, men det antas att de äger rum mot hans eller hennes vilja. Inhämtning av uppgifter om abonnemang enligt nya LEK anses inte som ett hemligt tvångsmedel.5

De hemliga tvångsmedlen omgärdas av särskilda garantier och mekanismer som ska säkerställa att reglerna och tillämpningen av dem lever upp till högt ställda krav på rättssäkerhet och att intrånget i den personliga integriteten minimeras. För tillstånd till hemliga tvångsmedel krävs normalt prövning i domstol. Vid domstolspröv- ningen av flertalet av tvångsmedlen ska ett offentligt ombud närvara för att bevaka enskildas integritetsintressen. Det offentliga ombudet ska ha tillgång till allt material som ligger till grund för domstolens prövning och rätt att överklaga domstolens beslut. Till rättssäker- hetsgarantierna räknas också bl.a. en skyldighet att i efterhand under- rätta vissa personer om att hemliga tvångsmedel har använts samt

3Lindberg, Straffprocessuella tvångsmedel, 5:e uppl., 2022, s. 47.

4Se prop. 2011/12:55 s. 111.

5Se a. prop. s. 110–111.

115

SIN:s tillsyn över de brottsbekämpande myndigheternas användning av tvångsmedlen.

När lagstiftaren har preciserat i vilka fall en viss myndighet ska ha rätt att få tillgång till en viss typ av uppgifter kan regleringen inte kringgås genom att myndigheten väljer att tillämpa andra tvångs- medel. Exempelvis regleras de brottsbekämpande myndigheternas tillgång till innehållet i ett särskilt elektroniskt meddelande som finns hos en teleoperatör6 exklusivt av reglerna om hemlig avlyssning av elektronisk kommunikation. Beslag, husrannsakan och edition får där- för inte användas för att få fram sådana uppgifter. När ett meddelande har nått fram till mottagaren är det däremot åtkomligt med stöd av reglerna om husrannsakan och beslag.7

Principerna om ändamål, behov och proportionalitet

För all användning av tvångsmedel gäller tre allmänna principer: ända- målsprincipen, behovsprincipen och proportionalitetsprincipen.

Enligt ändamålsprincipen får ett tvångsmedel användas endast för det ändamål som framgår av lagstiftningen. En ändamålsprövning bör ske före behovs- och proportionalitetsprövningen. Om tvångsmed- let inte ska användas för det ändamål det är till för, spelar det ingen roll om det finns ett påtagligt behov och åtgärden framstår som pro- portionerlig. I reglerna om hemliga tvångsmedel anges dock inte ut- tryckligen för vilket specifikt ändamål tvångsmedlen får användas. Ändamålet får i stället sökas i de allmänna ändamålen med förunder- sökning.8

Behovsprincipen innebär att ett tvångsmedel får användas endast om det finns ett påtagligt behov och en mindre ingripande åtgärd inte är tillräcklig. När det inte längre finns skäl för åtgärden ska den upphävas. Åtgärder som huvudsakligen har till syfte att underlätta för myndigheten anses strida mot principen.

Enligt proportionalitetsprincipen ska en tvångsåtgärd i fråga om art, styrka, räckvidd och varaktighet stå i rimlig proportion till vad som står att vinna med åtgärden. Proportionalitetsprincipen finns

6Med teleoperatör menar vi i detta betänkande sådana tillhandahållare som omfattas av skyl- digheten att anmäla sin verksamhet enligt 2 kap. 1 § nya LEK.

7Se prop. 2002/03:74 s. 45 och 46 och Lindberg, Straffprocessuella tvångsmedel, 5:e uppl. 2022, s. 600 och 601.

8Se Lindberg, Straffprocessuella tvångsmedel, 5:e uppl. 2022, s. 569 och SOU 2017:75 s. 90–92.

116

lagstadgad i t.ex. 27 kap. 1 § RB och 2 § inhämtningslagen, men anses gälla vid all tvångsanvändning även utan lagstöd. Vid bedömningen om åtgärden är proportionerlig ska det intrång eller annat men som tvångsmedlet innebär för den misstänkte eller för något annat mot- stående intresse beaktas. Härmed inbegrips, förutom direkta följder för den som utsätts för tvångsmedlet, även indirekta verkningar av tvångsmedelsanvändningen. Det kan t.ex. röra sig om intrång i tredje mans rättsligt skyddade intressen. Det ska alltid ske en prövning huruvida tvångsmedlet över huvud taget är påkallat med hänsyn till förhållandena i det enskilda fallet och om syftet kan tillgodoses genom någon mindre ingripande åtgärd. Utgångspunkten bör vara att pröva om alternativa spaningsåtgärder kan användas och om det kan räcka med att exempelvis tillgripa hemlig övervakning av elektronisk kom- munikation i stället för hemlig avlyssning. Personlig frihet och integ- ritet ska också beaktas. Ingrepp i dessa intressen är till sin art allvar- ligare än ingrepp mot egendom eller andra ekonomiska intressen.9 Det är särskilt viktigt att proportionalitet iakttas vid långtgående in- trång i den privata sfären.

När begränsningar görs i rättigheter som följer av Europakon- ventionen eller EU-stadgan ska alltid proportionalitetsprincipen be- aktas. Endast om det finns ett rimligt förhållande mellan behovet av det som ska tillgodoses och ingreppet i den enskildes rätt kan in- greppet vara proportionerligt och därmed nödvändigt i ett demokra- tiskt samhälle.10

5.3Tillgången till uppgifter om elektronisk kommunikation

5.3.1Tillgången till uppgift om abonnemang, m.m.

Som nämnts i avsnitt 4.3 har den som tillhandahåller ett elektroniskt kommunikationsnät eller en elektronisk kommunikationstjänst som inte är en nummeroberoende interpersonell kommunikationstjänst (Noik) en tystnadsplikt för bl.a. uppgifter om abonnemang (9 kap.

31§ förstastycket 1 nya LEK). Trots tystnadsplikten har Ekobrotts- myndigheten, Polismyndigheten, Säkerhetspolisen, Tullverket, Åklagar- myndigheten eller någon annan myndighet som ska ingripa mot brottet

9Se SOU 1979:6 s. 294 och SOU 1984:54 s. 78.

10Se Hans Danelius, Mänskliga rättigheter i europeisk praxis, 5:e uppl., 2015, s. 57 och 58.

117

eller den brottsliga verksamheten rätt att få tillgång till abonnemangs- uppgifter från dessa tillhandahållare, om uppgiften gäller brottslig verksamhet eller misstanke om brott som myndigheten ska ingripa mot (9 kap. 33 § förstastycket 2 nya LEK). Regleringen innebär att de brottsbekämpande myndigheterna i princip har rätt att hämta in abon- nemangsuppgifter för att beivra alla typer av brott utom sådana som åtalas enbart av målsäganden.11 Uppgifter om abonnemang får häm- tas in även i underrättelseverksamhet.12 Det saknas närmare regler om vem inom de brottsbekämpande myndigheterna som har rätt att hämta in abonnemangsuppgifterna och formen för hur uppgifterna ska hämtas in. Det kan noteras att Utredningen om utökade möjligheter att använda hemliga tvångsmedel (Ju 2020:20) i sitt slutbetänkande Bättre möjligheter att verkställa frihetsberövanden (SOU 2022:50) bl.a. har föreslagit en skyldighet för nämnda tillhandahållare att på begäran lämna ut uppgifter om abonnemang dels till Polismyndigheten om myndigheten bedömer att uppgiften behövs för att den ska kunna lokalisera personer i syfte att möjliggöra verkställighet av frihets- berövande påföljder, dels till Säkerhetspolisen om myndigheten be- dömer att uppgiften behövs för att myndigheten ska kunna lokali- sera en utlänning som inte har fullgjort sin anmälningsskyldighet enligt LSU.

Uppgifter om abonnemang anses typiskt sett vara mindre integ- ritetskänsliga än t.ex. trafik- och lokaliseringsuppgifter eftersom de endast ger uppgift om att personen är abonnent eller användare av en viss tjänst eller av en ip-adress vid en viss tidpunkt. Som nämnts ovan anses tillgången till abonnemangsuppgifter inte heller utgöra ett hemligt tvångsmedel.

Bestämmelserna om uppgiftsskyldighet i gamla LEK ändrades den 1 juli 2012. Tidigare gällde att tystnadsplikten för uppgifter om abonnemang bara bröts om fängelse var föreskrivet för brottet och det enligt myndighetens bedömning kunde föranleda annan påföljd än böter. I förarbetena till 2012 års ändring i gamla LEK konstate- rade regeringen att det skett en betydande teknisk utveckling och förändring av i vilken omfattning enskilda använder bl.a. datorer och mobiltelefoner.13 Trakasserier över internet och vuxnas kontakter med barn i sexuellt syfte bedömdes ha blivit ett allt vanligare feno-

11Se SOU 2015:31 s. 198 f. och SOU 2017:75 s. 101.

12Se prop. 2021/22 :183 s. 61.

13Se prop. 2011/12 :55 s. 102.

118

men. Regeringen fann att intresset av att lämna ut abonnemangs- uppgifter för att bekämpa brott vägde tyngre än det motstående in- tresset av att skydda enskildas integritet och föreslog därför att kravet på fängelse i straffskalan och det särskilda kravet i fråga om brottets straffvärde togs bort.14

Vidare finns det en skyldighet i 9 kap. 33 § förstastycket 5 nya LEK för den som tillhandahåller ett elektroniskt kommunikations- nät eller en elektronisk kommunikationstjänst som inte är en Noik att lämna ut uppgifter som angår ett särskilt elektroniskt meddelande om vilka övriga tillhandahållare av elektroniska kommunikationsnät eller elektroniska kommunikationstjänster som har deltagit vid över- föringen av ett meddelande som omfattas av ett föreläggande enligt 27 kap. 16 § RB till den myndighet som meddelat föreläggandet. Denna skyldighet och möjligheten i rättegångsbalken att meddela ett sådant s.k. bevarandeföreläggande infördes i maj 2021 i samband med att Sverige skulle tillträda Europarådets konvention om it-relaterad brottslighet (den s.k. Budapestkonventionen).15 Budapestkonventionen ställer nämligen krav på att lagrade datorbehandlingsbara uppgifter ska kunna säkras oavsett om en eller flera tjänsteleverantörer har deltagit i överföringen. Konventionsstaterna ska därför garantera att en till- räcklig mängd sådana trafikuppgifter ska kunna röjas för myndig- heterna så att tjänsteleverantörerna, och den väg meddelandet över- förts, ska kunna identifieras (artikel 17). Det är genom bestämmelsen i 9 kap. 33 § förstastycket 5 nya LEK möjligt att ta reda på från vilken tillhandahållare som meddelandet sändes och, för det fall det har vidaresänts, till vilken tillhandahållare det vidaresändes. Det ankom- mer på tillhandahållaren att ta fram de uppgifter som begärs. Om leve- rantören inte har någon uppgift om vilka de övriga aktörerna är kan någon information inte lämnas ut. Bestämmelsen innebär inte heller något krav på att spara eller lagra uppgifter.16

Bestämmelserna i 9 kap. 33 § första stycket nya LEK omfattar även skyldigheter för tillhandahållarna att lämna ut uppgifter såväl till brottsbekämpande som till vissa andra myndigheter och till regio- nala alarmeringscentraler i annat än brottsbekämpande syfte.

För att uppgifter om en fysisk person ska tas in i en allmänt till- gänglig abonnentförteckning krävs att personen har samtyckt till det

14Se a. prop. s. 103.

15Se prop. 2020/21:72.

16Se a. prop. s. 38 f.

119

(se 9 kap. 17 och 18 §§ nya LEK). I den utsträckning uppgifter finns tillgängliga i sådana allmänt tillgängliga förteckningar omfattas de, på grund av abonnentens samtycke, i praktiken inte av tystnadsplik- ten. Bestämmelserna om skyldighet att lämna ut uppgifter om abon- nenter får därför betydelse i första hand i fråga om uppgifter som rör abonnenter som inte har lämnat sitt samtycke till att uppgifterna offentliggörs och när det gäller sådana uppgifter som normalt inte offentliggörs, såsom t.ex. ip-adresser.17

5.3.2Tillgången till trafik- och lokaliseringsuppgifter inom en förundersökning

Hemlig avlyssning av elektronisk kommunikation

Hemlig avlyssning av elektronisk kommunikation (HAK) innebär att meddelanden, som i ett elektroniskt kommunikationsnät över- förs eller har överförts till eller från ett telefonnummer eller annan adress, i hemlighet avlyssnas eller tas upp genom ett tekniskt hjälp- medel för återgivning av innehållet i meddelandet (27 kap. 18 § första stycket RB). Definitionen omfattar alla former av kommunikation genom elektroniska kommunikationsnät, såväl muntlig som skrift- lig, och avser t.ex. telefontrafik, e-posttrafik och överföring av data- filer. Avlyssning kan, med vissa begränsningar, ske även utanför all- mänt tillgängliga telenät, t.ex. inom större företagsnät.

HAK får användas vid förundersökning om brott för vilket det inte är föreskrivet lindrigare straff än fängelse i två år. Därutöver får HAK användas vid förundersökning om vissa samhällsfarliga brott som bekämpas av Säkerhetspolisen, t.ex. sabotage, spioneri och vissa brott enligt terroristbrottslagen (2022:666). HAK får också använ- das vid förundersökning om försök, förberedelse eller stämpling till nu nämnd brottslighet i den mån sådana förstadier till brott är straff- belagda. Tvångsmedlet får också användas vid förundersökning i fråga om annat brott om det med hänsyn till omständigheterna kan antas att brottets straffvärde skulle överstiga fängelse i två år. Ett tillstånd till HAK ger också rätt att vidta åtgärder som avses i 27 kap. 19 § RB, dvs. att inhämta sådana uppgifter som omfattas av hemlig övervakning av elektronisk kommunikation.

17Se prop. 2018/19:86 s. 94.

120

En förutsättning för att HAK ska få användas vid förundersök- ning är att någon är skäligen misstänkt för brottet. Åtgärden ska vidare vara av synnerlig vikt för utredningen (27 kap. 20 § första stycket RB). Avlyssning får avse ett telefonnummer eller annan adress eller en viss elektronisk kommunikationsutrustning som under den tid som tillståndet avser innehas eller har innehafts av den misstänkte eller annars kan antas ha använts eller komma att användas av den misstänkte. Avlyssningen får också avse ett telefonnummer eller annan adress eller en viss elektronisk kommunikationsutrustning som det finns synnerlig anledning att anta att den misstänkte under den tid som tillståndet avser har kontaktat eller kommer att kontakta.

Hemlig övervakning av elektronisk kommunikation

Hemlig övervakning av elektronisk kommunikation (HÖK) innebär att uppgifter i hemlighet hämtas in om meddelanden (både samtal och skriftliga meddelanden) som i ett elektroniskt kommunikations- nät överförs eller har överförts till eller från ett telefonnummer eller annan adress. Även uppgifter om vilka elektroniska kommunika- tionsutrustningar som har funnits inom ett visst geografiskt område (s.k. basstationstömning) eller i vilket geografiskt område en viss elektronisk kommunikationsutrustning finns eller har funnits kan hämtas in med stöd av hemlig övervakning av elektronisk kommu- nikation (27 kap. 19 § första stycket RB). Tvångsmedlet kan även användas för att hindra meddelanden som överförs i ett elektroniskt kommunikationsnät från att nå fram (27 kap. 19 § andra stycket RB).

Tvångsmedlet ger inte tillgång till innehållet i utväxlade meddelan- den. Det som kan hämtas in är trafikuppgifter och lokaliseringsupp- gifter. HÖK omfattar såväl inhämtning av uppgifter från teleoperatörer som inhämtning genom egna tekniska medel som de brottsbekäm- pande myndigheterna förfogar över.

HÖK får användas vid förundersökning om brott för vilket det inte är föreskrivet lindrigare straff än fängelse i sex månader, vid för- undersökning som avser dataintrång, barnpornografibrott som inte är att anse som ringa eller narkotikabrott och narkotikasmuggling av normalgraden. Därutöver får tvångsmedlet användas vid förunder- sökning om vissa samhällsfarliga brott som bekämpas av Säkerhets- polisen, t.ex. sabotage, spioneri och brott enligt terroristbrottslagen.

121

HÖK får också användas vid förundersökning om försök, förbere- delse eller stämpling till nu nämnd brottslighet i den mån sådana förstadier till brott är straffbelagda (27 kap. 19 § andra stycket RB). HÖK får användas när någon är skäligen misstänkt för brottet eller, med vissa begränsningar, för att utreda vem som skäligen kan miss- tänkas för brottet (27 kap. 20 § andra stycket RB).

Utredningen om utökade möjligheter att använda hemliga tvångsmedel

Utredningen om utökade möjligheter att använda hemliga tvångs- medel (Ju 2020:20) har i delbetänkandet Utökade möjligheter att an- vända hemliga tvångsmedel (SOU 2022:19) föreslagit vissa ändringar i reglerna om hemliga tvångsmedel. Bl.a. föreslås att straffvärde- ventiler ska införas som gör det möjligt att i vissa situationer beakta en flerfaldig brottslighets samlade straffvärde vid bedömningen av om hemliga tvångsmedel ska få användas. Vidare föreslås att bl.a. HAK och HÖK ska få användas vid förundersökningar om grovt data- intrång, sexualbrott mot barn och barnpornografibrott, utpressning och grov utpressning, mened, övergrepp i rättssak, grovt jaktbrott och grovt insiderbrott. Dessutom föreslås att HAK i vissa fall ska få användas för att utreda vem som skäligen kan misstänkas för brottet.

I slutbetänkandet Bättre möjligheter att verkställa frihetsberövanden (SOU 2022:50) har utredningen bl.a. förslagit att det ska införas en möjlighet att använda HÖK i syfte att eftersöka en person som är anhållen eller häktad men inte frihetsberövad. Vidare föreslås att det ska införas en ny lag med tillhörande förordning med bestämmelser som möjliggör användning av bl.a. HÖK i syfte att lokalisera per- soner som håller sig undan från en frihetsberövande påföljd.

5.3.3Tillgången till trafik- och lokaliseringsuppgifter utanför en förundersökning

Lagen om åtgärder för att förhindra vissa särskilt allvarliga brott

Lagen om åtgärder för att förhindra vissa särskilt allvarliga brott (preventivlagen) ger myndigheterna en möjlighet att använda hem- liga tvångsmedel för att förhindra brott. Tillstånd till bl.a. HAK och

122

HÖK får meddelas om det med hänsyn till omständigheterna finns en påtaglig risk för att en person kommer att utöva brottslig verk- samhet som innefattar bl.a. sabotage, spioneri och terroristbrott (1 § första stycket). Tillstånd får också meddelas om det finns en påtaglig risk för att det inom en organisation eller grupp kommer att utövas sådan brottslig verksamhet och det kan befaras att en person som tillhör eller verkar för organisationen eller gruppen medvetet kom- mer att främja denna verksamhet. HAK och HÖK får enligt lagen enbart avse

•ett telefonnummer eller annan adress eller en viss elektronisk kommunikationsutrustning som under den tid tillståndet avser innehas eller har innehafts av den för tvångsmedlet aktuella per- sonen, eller som annars kan antas ha använts eller komma att an- vändas av honom eller henne, eller

•ett telefonnummer eller annan adress eller en viss elektronisk kommunikationsutrustning som det finns synnerlig anledning att anta att personen under den tid tillståndet avser har kontaktat eller kommer att kontakta.

Även om lagen främst rör brottslig verksamhet inom Säkerhetspolisens område kan också Polismyndigheten använda lagen. Frågan om till- stånd till tvångsmedel enligt lagen prövas av Stockholms tingsrätt efter ansökan av åklagare. Tillstånd får meddelas endast om åtgärden är proportionerlig och av synnerlig vikt för att förhindra brottslig verk- samhet.

Den 2 november 2021 tillsatte regeringen en utredning om preven- tiva tvångsmedel för att förhindra allvarlig brottslighet (dir. 2021:102). Utredningen om preventiva tvångsmedel (Ju 2021:15) har i delbetän- kandet Utökande möjligheter att använda preventiva tvångsmedel (SOU 2022:52) övervägt i vilken utsträckning det ska införas utökade möjligheter att använda preventiva tvångsmedel för att förhindra all- varlig brottslighet som förekommer inom ramen för kriminella nät- verk. Utredningen har föreslagit ett utökat tillämpningsområde som avgränsas till brottslig verksamhet som utövas inom en organisation eller grupp och att tvångsmedelsanvändningen endast får riktas mot en person som tillhör eller verkar för organisationen eller gruppen och kan befaras medvetet främja den brottsliga verksamheten. Det utökade tillämpningsområdet föreslås omfatta brottslig verksamhet

123

innefattande bl.a. mord, människorov, narkotikabrott, vapenbrott, sprängningsbrott och olovlig hantering av explosiva varor.

Genom tilläggsdirektiv den 7 juli 2022 (dir. 2022:104) ska utred- ningen även ta ställning till om, och i så fall vilka, ytterligare tvångs- medel och verkställighetsåtgärder som bör få användas av de brotts- bekämpande myndigheterna för att förhindra allvarlig brottslighet, till exempel hemlig rumsavlyssning, hemlig dataavläsning avseende rumsavlyssningsuppgifter, genomsökning på distans, biometrisk auten- tisering och kopiering. Utredaren ska dessutom ta ställning till om tillstånd till hemlig kameraövervakning och hemlig dataavläsning av- seende kameraövervakningsuppgifter utanför en förundersökning bör kunna knytas till en person. Uppdraget ska i denna del redovisas senast den 31 maj 2023.

Lagen om särskild kontroll av vissa utlänningar

Den 1 juli 2022 trädde lagen (2022:700) om särskild kontroll av vissa utlänningar (LSU) i kraft.18 Enligt 2 kap. 1 § LSU får en utlänning utvisas ur Sverige om utlänningen

1.med hänsyn till vad som är känt om hans eller hennes tidigare verksamhet och övriga omständigheter kan antas komma att begå eller på annat sätt medverka till ett brott enligt terroristbrotts- lagen (2022:666), eller

2.kan utgöra ett allvarligt hot mot Sveriges säkerhet.

Vissa tvångsmedel får användas om ett beslut om sådan utvisning tills vidare inte ska verkställas på grund av ett beslut om inhibition eller ett tidsbegränsat uppehållstillstånd. Detsamma gäller om ett beslut om utvisning enligt 8 eller 8 a kap. utlänningslagen (2005:716) inte kan verkställas och utlänningen skulle kunna utvisas enligt 2 kap. 1 § LSU (5 kap. 1 § LSU).

Om det finns särskilda skäl får tillstånd till vissa hemliga tvångs- medel meddelas om det är av betydelse för att klarlägga om

18Genom lagen upphävdes lagen (1991:572) om särskild utlänningskontroll.

124

1.utlänningen tillhör eller verkar för en organisation eller grupp som planlägger eller förbereder brott enligt terroristbrottslagen (2022:666) eller om det finns en risk för att utlänningen kan komma att engagera sig i en sådan organisation eller grupp,

2.det finns risk för att utlänningen själv planlägger eller förbereder brott som avses i 1, eller

3.det finns risk för att utlänningen själv eller tillsammans med andra medverkar i eller på annat sätt främjar ett allvarligt brott som rör Sveriges säkerhet.

Säkerhetspolisen får hos Migrationsverket ansöka om godkännande att ansöka om tillstånd de hemliga tvångsmedlen (5 kap. 8 § andra- stycket 2 LSU). I samband med att regeringen beslutar om inhibition eller tidsbegränsat uppehållstillstånd får regeringen godkänna att Säkerhetspolisen får ansöka om tillstånd till de hemliga tvångsmed- len (5 kap. 9 § förstastycket 2 LSU).

Säkerhetspolisen får, efter godkännande enligt ovan, hos Stockholms tingsrätt ansöka om ett tillstånd till HAK, HÖK, hemlig kameraöver- vakning eller postkontroll (5 kap. 11 § LSU).

Det kan slutligen nämnas att det i slutbetänkandet Bättre möjlig- heter att verkställa frihetsberövanden (SOU 2022:50) har förslagits att det ska införas en möjlighet att använda HÖK i syfte att kunna loka- lisera en utlänning som inte har fullgjort sin anmälningsskyldighet.

Inhämtningslagen

Enligt lagen om inhämtning av uppgifter om elektronisk kommuni- kation i de brottsbekämpande myndigheternas underrättelseverk- samhet (inhämtningslagen) får Polismyndigheten, Säkerhetspolisen eller Tullverket i sin underrättelseverksamhet i hemlighet hämta in uppgifter om meddelanden som i ett elektroniskt kommunikations- nät har överförts till eller från ett telefonnummer eller annan adress, om vilka elektroniska kommunikationsutrustningar som har funnits inom ett visst geografiskt område eller uppgifter om inom vilket geografiskt område en viss elektronisk kommunikationsutrustning finns eller har funnits (1 §). Lagen reglerar enbart inhämtning från den som enligt lagen om elektronisk kommunikation tillhandahåller ett elektroniskt kommunikationsnät eller en elektronisk kommuni-

125

kationstjänst som inte är en nummeroberoende interpersonell kom- munikationstjänst. Lagen ger alltså inte stöd för de brottsbekämpande myndigheterna att hämta in uppgifter med hjälp av egna tekniska hjälpmedel.

Uppgifter får enligt lagen hämtas in om omständigheterna är så- dana att åtgärden är av särskild vikt för att förebygga, förhindra eller upptäcka brottslig verksamhet som innefattar brott som har minst två års fängelse i straffskalan. Inhämtning av uppgifter är också möjlig vid brottslig verksamhet som innefattar vissa särskilt angivna sam- hällsfarliga brott inom Säkerhetspolisens ansvarsområde med lägre straffminimum, t.ex. sabotage och spioneri (2 §). Genom rekvisitet ”brottslig verksamhet” framgår att det inte ställs krav på att det ska finnas en misstanke om ett specifikt brott.19

Beslut om inhämtning av uppgifter fattas av åklagare vid Åklagar- myndigheten efter ansökan av Polismyndigheten, Säkerhetspolisen eller Tullverket.

Enligt tilläggsdirektiv den 28 april 2022 (dir. 2022:32) ska Utred- ningen om preventiva tvångsmedel ta ställning till om, och i så fall på vilket sätt, tillämpningsområdet för inhämtningslagen bör utvid- gas och till hur beslutsordningen bör se ut vid en eventuell utvidg- ning av inhämtningslagens tillämpningsområde. Uppdraget i denna del ska redovisas senast den 31 maj 2023.

5.3.4Hemlig dataavläsning

Hemlig dataavläsning (HDA) är ett relativt nytt tvångsmedel som innebär att uppgifter, som är avsedda för automatiserad behandling, i hemlighet och med ett tekniskt hjälpmedel läses av eller tas upp i ett avläsningsbart informationssystem (1 § lagen om hemlig dataav- läsning). Tvångsmedlet ger Polismyndigheten, Säkerhetspolisen, Tull- verket och Ekobrottsmyndigheten möjligheter att avlyssna och över- vaka personer som är misstänkta för eller förväntas begå allvarliga brott.

HDA kan användas såväl under en förundersökning som utanför. Med stöd av tvångsmedlet kan myndigheterna i hemlighet installera mjuk- eller hårdvara i en teknisk utrustning (till exempel en dator, mobiltelefon eller läsplatta) och med hjälp av mjuk- eller hårdvaran

19Se prop. 2011/12:55 s. 121.

126

läsa av uppgifter som finns i utrustningen. Det kan till exempel handla om att installera en trojan för att läsa av meddelanden och avlyssna samtal i krypterade program och appar eller skaffa sig tillgång till ett konto i sociala medier. Det kan också handla om att aktivera mikro- fonen eller kameran i en utrustning och på så sätt hämta in tal och rörliga bilder. Det kan också handla om att myndigheterna, med till- gång till inloggningsuppgifter, kan logga in från sina egna datorer på ett användarkonto för att t.ex. ta del av e-postmeddelanden.

Om hårdvara behöver installeras i t.ex. någons dator, kan myn- digheterna få tillstånd att i hemlighet ta sig in i utrymmet där utrust- ningen finns för att installera hårdvaran.

Frågor om hemlig dataavläsning prövas av domstol. Lagen om hemlig dataavläsning är tidsbegränsad och upphör att gälla vid utgången av mars 2025. En särskild utredare har fått i uppdrag att utvärdera lagen inför ett ställningstagande till om den bör permanentas och om den i så fall bör ändras i något avseende (dir. 2022:82). Uppdraget ska redovisas senast den 1 december 2023.

I delbetänkandet Utökade möjligheter att använda hemliga tvångs- medel (SOU 2022:19) föreslås vissa ändringar i lagen om hemlig data- avläsning. Bl.a. föreslås en straffvärdeventil som gör det möjligt att i vissa situationer beakta en flerfaldig brottslighets samlade straffvärde vid bedömning av om hemlig dataavläsning ska få användas.

Som nämnts ovan ska Utredningen om preventiva tvångsmedel ta ställning till om hemlig dataavläsning avseende rumsavlyssnings- uppgifter bör få användas av de brottsbekämpande myndigheterna för att förhindra allvarlig brottslighet.

5.3.5Genomsökning på distans

Den 1 juni 2022 infördes tvångsmedlet genomsökning på distans. Tvångsmedlet innebär en möjlighet för de brottsbekämpande myn- digheterna att söka efter handlingar som finns lagrade i ett avläsnings- bart informationssystem utanför den elektroniska kommunikations- utrustning som används för att utföra genomsökningen (28 kap. 10 a § RB). Genomsökning på distans får ske endast i syfte att söka efter handlingar som kan ha betydelse för utredning av brott eller om förverkande av utbyte av brottslig verksamhet enligt 36 kap. 1 b § brottsbalken. För att genomsökning på distans ska få utföras krävs

127

att det finns anledning att anta att brott har begåtts på vilket fängelse kan följa. Vidare krävs att det informationssystem som genomsök- ningen ska utföras i kan ha använts av den som skäligen kan miss- tänkas för brottet eller, i annat fall, om det finns synnerlig anledning att anta att det går att påträffa handlingar som kan vara av betydelse för utredning av brottet eller om förverkande av utbyte av brottslig verksamhet. Till skillnad mot HDA får genomsökningen endast ut- föras genom autentisering i det informationssystem som åtgärden avser (28 kap. 10 b § RB).

Om det finns anledning att anta att någon har möjlighet att öppna informationssystemet genom biometrisk autentisering, är han eller hon skyldig att på tillsägelse av en polisman medverka till detta under förutsättning att genomsökningen annars försvåras. Vid vägran att medverka vid sådan autentisering får en polisman genomföra auten- tiseringen (27 kap. 17 f § RB). Vad som nu sagts gäller även för tjänste- män vid Tullverket och kustbevakningstjänstemän i fråga om vissa brott (se 26 och 29 a §§ lagen [2000:1225] om straff för smuggling).

Genomsökning på distans får beslutas av undersökningsledaren, åklagaren eller rätten. En polisman får dock vidta åtgärden utan ett sådant beslut om det är fara i dröjsmål och genomsökningen inte kan antas bli av stor omfattning eller medföra synnerlig olägenhet för den som drabbas av åtgärden (28 kap. 10 d § RB). Den misstänktes sam- tycke får inte åberopas som stöd för genomsökningen, om inte den misstänkte själv har begärt att åtgärden ska utföras (28 kap. 1 § tredje stycket RB). Genomsökning på distans får beslutas endast om skälen för åtgärden uppväger det intrång eller men i övrigt som åtgärden innebär för den misstänkte eller något annat motstående intresse (28 kap. 3 a och 10 i §§ RB).

5.4Svensk jurisdiktion och internationell rättslig hjälp

5.4.1Svensk jurisdiktion

Ordet jurisdiktion används främst för att hänvisa till en stats makt- utövning över personer och egendom inom dess eget territorium. En stats jurisdiktion kan utövas genom rätten att stifta lagar och andra regler (legislativ jurisdiktion), rätten att tillämpa lagstiftningen eller skipa rätt (judiciell jurisdiktion) och rätten att verkställa åtgärder

128

eller förverkliga beslut som fattats inom ramen för lagstiftning och rättskipning (exekutiv jurisdiktion).

I det s.k. Lotus-målet från år 1927 (som avgjordes av den Fasta mellanfolkliga domstolen, Permanent Court of International Justice, PCIJ, Ser. A, no. 10) slog domstolen fast att den viktigaste inskränk- ningen som folkrätten ålägger en stat är att inte utöva makt inom en annan stats territorium. Samtidigt konstaterade domstolen att det inte finns något hinder för en stat att utöva jurisdiktion inom sitt eget territorium över något som har inträffat utomlands om det inte finns ett uttryckligt folkrättsligt förbud mot det. Domstolen menade att en stat kan utöva lagstiftande och dömande makt över personer och egen- dom som befinner sig utomlands och över händelser som äger rum utanför statens territorium, så länge det handlar om egna medbor- gare eller egendom som har en länk till staten och förutsatt att det inte råder något folkrättsligt förbud mot ett sådant utövande av juris- diktion. Verkställigheten av nationella lagar och domar (t.ex. gripande eller beslag) kan dock äga rum endast inom det egna territoriet.

Domstolens avgörande i Lotus-målet har gett upphov till den s.k. Lotus-principen, som innebär att det som inte uttryckligen är för- bjudet i folkrätten är tillåtet. Principen handlar både om rätten att stifta nationella lagar och om rätten att verkställa nationella lagar.

En stats maktmonopol inom det egna territoriet vad gäller verk- ställande åtgärder har ett undantag. Sådana åtgärder får inte tillämpas på andra länders diplomatiska eller politiska företrädare, vilka åt- njuter immunitet.

När det gäller utövande av lagstiftande eller dömande straffrätts- lig jurisdiktion har en stat rätt att lagföra brott inom sitt eget terri- torium samt över egna medborgare, även om brottet i fråga begåtts i en annan stat. När det gäller utövningen av en stats straffrättsliga jurisdiktion mot en annan stats medborgare är folkrättsliga regler om jurisdiktion relevanta. Nationella domstolars behörighet att till- lämpa sina egna strafflagar bygger på ett antal principer som har stöd i statspraxis och i folkrättsdoktrinen, och som kan hänföras till ett antal anknytningspunkter, t.ex. om territoriet, nationalitet, skyddet av statens vitala intressen samt det universella intresset.20

I avsnitt 11 avhandlas vissa frågor om exekutiv jurisdiktion.

20Se Bring m.fl., Sverige och folkrätten, JUNO, version 6, s. 107 ff.

129

5.4.2Internationell rättslig hjälp

Eftersom svenska brottsbekämpande myndigheter saknar exekutiv jurisdiktion för att verkställa beslut om utredningsåtgärder i en annan stat, får de i stället begära hjälp från den aktuella staten för att få åt- gärden utförd. Svenska brottsbekämpande myndigheters möjlighet till rättslig hjälp när det gäller straffprocessuella tvångsmedel regle- ras främst i lagen (2000:562) om internationell rättslig hjälp i brott- mål och i lagen (2017:1000) om en europeisk utredningsorder. Nedan redogörs för dessa lagar (se även avsnitt 11.4).

Lagen om internationell rättslig hjälp i brottmål

Lagen om internationell rättslig hjälp i brottmål (LIRB) är tillämplig på samarbete som tar sikte på rättsliga förfaranden som gäller utred- ning om och lagföring för brott. Lagen gäller inte om lagen om en europeisk utredningsorder är tillämplig (se nedan). Enligt 1 kap. 2 § LIRB kan rättslig hjälp omfatta bl.a. HAK, HÖK och hemlig data- avläsning (HDA).

Tillstånd till nämnda tvångsmedel lämnas under samma förutsätt- ningar som gäller för motsvarande åtgärder under en svensk för- undersökning, enligt rättegångsbalken eller annan lag eller författ- ning, med beaktande av de särskilda bestämmelser som finns i LIRB (2 kap. 1 §). Vid prövningen om åtgärden kan vidtas i Sverige ska gärningen bedömas enligt svensk rätt och de svenska strafftrösklarna gäller. Det föreligger ett krav på dubbel straffbarhet (2 kap. 2 § LIRB).

Det finns vissa allmänna regler som gäller för samtliga prövningar av ansökningar från andra länder. En ansökan ska enligt dessa be- stämmelser avslås om ett bifall till ansökan skulle kränka Sveriges suveränitet, medföra fara för rikets säkerhet eller strida mot svenska allmänna rättsprinciper eller andra väsentliga intressen. Ansökan får vidare avslås bl.a. om gärningen har karaktär av ett politiskt eller militärt brott, eller omständigheterna annars är sådana att ansökan inte bör bifallas. Om åklagaren eller domstolen finner att ansökan bör avslås på någon av de nu angivna grunderna ska ansökan över- lämnas till regeringen som beslutar i frågan (2 kap. 14 och 15 §§ LIRB).

Svenska åklagares möjligheter att begära rättslig hjälp utomlands är i huvudsak oreglerad, eftersom möjligheterna att få rättslig hjälp

130

av andra stater främst styrs av dessa staters internationella åtaganden och nationella lagstiftning.

Lagen om en europeisk utredningsorder

Med en europeisk utredningsorder avses antingen

1.ett beslut i Sverige som innebär att en utredningsåtgärd ska vidtas i en annan medlemsstat i syfte att inhämta bevisning och som har meddelats av en åklagare eller domstol under en förundersökning eller rättegång i brottmål, eller

2.ett beslut i en annan medlemsstat som innebär att en utrednings- åtgärd ska vidtas i Sverige i syfte att inhämta bevisning och som har meddelats eller godkänts av en domare, domstol, undersök- ningsdomare eller allmän åklagare i ett straffrättsligt förfarande eller i ett annat förfarande avseende straffbara gärningar som in- leds vid en administrativ eller rättslig myndighet, när ett beslut i ett sådant annat förfarande kan leda till ett förfarande inför en domstol som är behörig att handlägga brottmål (1 kap. 3 § lagen om en europeisk utredningsorder).

I 1 kap. 4 § lagen om en europeisk utredningsorder anges vad en ut- redningsåtgärd enligt lagen ska avse eller motsvara. Där framgår att bl.a. HAK, HÖK och HDA är utredningsåtgärder som avses i lagen.

En europeisk utredningsorder får utfärdas i Sverige av åklagare om de förutsättningar som gäller för att vidta utredningsåtgärden under en svensk förundersökning är uppfyllda och åtgärden är nöd- vändig och proportionerlig. Dessutom krävs, när det är fråga om hem- liga tvångsmedel, att domstol har lämnat tillstånd till att utfärda ordern (se 2 kap. samma lag).

När det gäller erkännande och verkställighet i Sverige av en euro- peisk utredningsorder gäller att en utredningsorder som sänds över från en annan medlemsstat ska erkännas och verkställas i Sverige om vissa särskilda förutsättningar enligt lagen är uppfyllda och inte annat följer av lagen (3 kap. 1 § lagen om en europeisk utredningsorder). För hemliga tvångsmedel ställs som en särskild förutsättning upp att en utredningsorder får erkännas och verkställas endast om den gärning som avses i utredningsordern motsvarar ett brott enligt svensk lag

131

och om övriga förutsättningar som gäller för en motsvarande åtgärd i en svensk förundersökning är uppfyllda (3 kap. 4 § samma lag).

Bland de obligatoriska vägransgrunderna nämns att utrednings- ordern skulle medföra fara för Sveriges säkerhet. Även att utrednings- åtgärden inte motsvarar en åtgärd som anges i 1 kap. 4 § lagen om en europeisk utredningsorder utgör en obligatorisk vägransgrund, dock inte om en annan utredningsåtgärd kan vidtas som ger motsvarande resultat som den åtgärd som utredningsordern avser (3 kap. 5 § samma lag).

5.5Nyttan och behovet av uppgifter om elektronisk kommunikation

För att de brottsbekämpande myndigheterna ska kunna fullgöra sina uppgifter att förebygga, förhindra, upptäcka, utreda och lagföra brott har myndigheterna behov av information. Detta behov kan vara olika stort beroende på vilken brottslighet och vilken sorts aktörer det är fråga om. Myndigheterna kan använda olika metoder för att skaffa relevant information, t.ex. spaning, förhör och kontakter med an- mälare och tipsare. Behovet av information i såväl utrednings- som underrättelseverksamhet innefattar också ett behov av uppgifter om elektronisk kommunikation.

I utredningar om allvarlig brottslighet är tillgången till uppgifter om elektronisk kommunikation ofta avgörande för att utredningarna ska kunna föras framåt. Trafik- och lokaliseringsuppgifter har med tiden blivit ett allt viktigare verktyg i brottsbekämpningen och an- vänds i princip i varje utredning rörande grova brott. Uppgifterna är ofta den första och enda ingången i ärenden som rör grov brotts- lighet. I många fall är uppgifterna också helt avgörande för att utred- ningarna ska nå det stadium där andra insatser kan sättas in.21 Upp- gifter om elektronisk kommunikation kan svara på frågor bl.a. om vilka nummer som har haft kontakt med varandra, när kommuni- kationen skett, hur intensiv kommunikationen har varit och var an- vändare av t.ex. mobiltelefoner har befunnit sig. Inhämtade uppgifter kan i många fall också få till följd att personer avförs från en utred- ning, eftersom misstankarna mot dem visar sig sakna substans.

21Se t.ex. SOU 2017:75 s. 120 f.

132

Genom tillgången till historiska trafik- och lokaliseringsuppgifter kan de brottsbekämpande myndigheterna kartlägga händelser som anknyter såväl till själva brottstillfället som till planläggning och flykt. Det är inte möjligt att ersätta sådan inhämtning med t.ex. fysisk spa- ning, eftersom inhämtningen avser historiska uppgifter. Uppgifter om användning av kommunikationstjänster går inte heller att in- hämta på annat sätt då det sker i en miljö som de brottsbekämpande myndigheterna inte har tillgång till. De brottsbekämpande myndig- heterna är därför beroende av att tillhandahållaren lagrar uppgifter och att dessa uppgifter kan hämtas in när sådana behov uppstår i den brottsbekämpande verksamheten. Vid utredning av internetrelaterad brottslighet är uppgifter om elektronisk kommunikation ofta helt avgörande för att identifiera en misstänkt gärningsman och för att i övrigt driva utredningen framåt. Trafikuppgifternas betydelse i brotts- utredningar hänger också samman med att den information som kom- mer fram vid HÖK och HAK ofta bedöms ha ett betydande bevis- värde i rättegångar som rör grov och organiserad brottslighet.22

Uppgifter om elektronisk kommunikation kan även vara av största vikt för att i underrättelseverksamhet förebygga, förhindra och upp- täcka brottslig verksamhet. Tillgången till uppgifter om elektronisk kommunikation på underrättelsestadiet kan vara avgörande för att aktörer, platser och tidpunkter ska kunna kopplas samman och ge ett tillräckligt underlag för att inleda förundersökning. Uppgifterna är också väsentliga för en effektiv planering av fysisk spaning, som är resurskrävande och därför viktig att använda på rätt plats och vid rätt tillfälle.23

Lagringsskyldigheten i 9 kap. 19 § nya LEK syftar till att säker- ställa tillgången till vissa uppgifter om elektronisk kommunikation för brottsbekämpande ändamål.

22Se a.a. s. 121 f.

23Se skr. 2020/21:59 s. 39.

133