SOU och Ds kan köpas från Fritzes kundtjänst. För remissutsändningar av SOU och Ds svarar Fritzes Offentliga Publikationer på uppdrag av Regeringskansliets förvaltningsavdelning.

Beställningsadress: Fritzes kundtjänst 106 47 Stockholm Orderfax: 08-690 91 91 Ordertel: 08-690 91 90

E-post: order.fritzes@nj.se Internet: www.fritzes.se

Svara på remiss. Hur och varför. Statsrådsberedningen, 2003.

– En liten broschyr som underlättar arbetet för den som skall svara på remiss. Broschyren är gratis och kan laddas ner eller beställas på http://www.regeringen.se/remiss

Grafisk formgivning: Susan Nilsson, Jupiter Reklam AB

Tryckt av Edita Sverige AB

Stockholm 2007

ISBN 978-91-38-22818-0

ISSN 0375-250X

Till statsrådet och chefen för

Justitiedepartementet

Genom beslut den 18 maj 2006 bemyndigade regeringen chefen för Justitiedepartementet att tillkalla en särskild utredare med uppdrag att lämna förslag till hur EG:s direktiv (2006/24/EG) om lagring av trafikuppgifter ska genomföras i svensk rätt.

Särskild utredare har varit generaldirektören vid Ekobrottsmyn- digheten Gudrun Antemar.

Sakkunniga i arbetet har varit juristen Per Bergstrand (Post- och telestyrelsen), ämnesrådet Per Lagerud (Justitiedepartementet), datarådet Hans-Olof Lindblom (Datainspektionen) och numera kammarrättspresidenten Margareta Åberg (Kammarrätten i Sunds- vall).

Experter i arbetet har varit kriminalinspektören Carina Axelsson Palmer (Rikskriminalpolisen), rättssakkunniga Helene Bergström (Justitiedepartementet) från mars 2007, kanslirådet Carina Bring Sjögren (Justitiedepartementet) till mars 2007, kanslirådet Mattias Broman (Försvarsdepartementet), projektledaren Fredrik von Es- sen (IT & Telekomföretagen, Svenskt Näringsliv) från juni 2007, advokaten Per Furberg (Sveriges Advokatsamfund), departements- sekreteraren Martin Gynnerstedt (Näringsdepartementet) till sep- tember 2006, verkställande direktören Ylva Hambraeus Björling (IT-företagen, Svenskt Näringsliv) till juni 2007, ämnessakkunniga Maria Häll (Näringsdepartementet) från augusti 2007, chefsjuris- ten Lars-Åke Johansson (Säkerhetspolisen), numera vice chefsåkla- garen Katarina Ringertz (Ekobrottsmyndigheten), kammaråklaga- ren Chatrine Rudström (Åklagarmyndigheten) och kanslirådet Hans Öjemark (Näringsdepartementet) till augusti 2007.

Till utredningen har det funnits referensgrupper knutna med fö- reträdare för myndigheter, branscher och näringsliv. Följande per- soner har ingått i grupperna. Kurt Alavaara (Säkerhetspolisen), Fredrik von Essen (IT & Telekomföretagen) till juni 2007 därefter expert, Patrik Fältström (den tidigare IT-politiska strategigruppen,

Näringsdepartementet), Mikael Grape (Tele 2 AB), Kajsa Hedberg (Svenska Stadsnätsföreningen), Fredrik Helgesson (B2 Bredband Holding AB), Håkan Hjelmestam (TeliaSonera AB), Annkatrin Hübinette (Tullverket), Mikael Ingemarsson (Konkurrensverket) från januari 2007, Adrienne de Jounge (Konkurrensverket) till ja- nuari 2007, Kurt Erik Lindqvist (Sveriges Operatörers Forum), Ri- chard Rebhan (TDC Song) och Staffan Wikell (Sveriges Kommu- ner och Landsting).

Det har också funnits en referensgrupp med representanter för riksdagspartierna. I den gruppen har ingått Bodil Ceballos (mp), Kenneth G Forslund (s), Björn Hamilton (m), Johan Linander (c), Inger Lundgren (v) från juni 2007, Rolf Olsson (v) till maj 2007, Olle Sandahl (kd) och Cecilia Wigström (fp).

Ämnesrådet Per Lagerud och numera rådmannen Annacarin Rathsman har varit utredningens sekreterare.

Utredningen, som tagit namnet Trafikuppgiftsutredningen, överlämnar härmed betänkandet Lagring av trafikuppgifter för brottsbekämpning (SOU 2007:76).

Arbetet har bedrivits i nära samråd med de sakkunniga och ex- perterna och är därför skrivet i ”vi-form”.

Hans-Olof Lindblom och Per Furberg har avgivit särskilda ytt- randen.

Uppdraget är härmed avslutat.

Stockholm i november 2007

Gudrun Antemar

/Per Lagerud

Annacarin Rathsman

Innehåll

5

5.4Balans mellan brottsbekämpning och integritetsskydd

5.5Integritetsskydd enligt artikel-29 gruppen och

5.6Grundläggande regler i svensk rätt om skyddet för den

6.8Vilka ytterligare uppgifter ska lagras vid mobil telefoni?.... 148

6.9Vilka ytterligare uppgifter ska lagras vid

8.4Lagregleringen av säkerheten för lagrade trafikuppgifter

9.3Skyddet i de straff- och skadeståndsrättsliga

Förkortningar

15

Sammanfattning

Bakgrund

Bombattentaten i Madrid den 25 mars 2004 initierade det arbete som så småningom ledde till att Europaparlamentet och rådet den 15 mars 2006 antog direktivet (2006/24/EG) om lagring av trafik- uppgifter. Direktivet syftar till att säkerställa att uppgifter om kommunikation med fast och mobil telefoni, Internetåtkomst, e- post och Internettelefoni lagras så att de brottsbekämpande myn- digheterna kan få tillgång till uppgifterna för utredning, avslöjande och åtal som avser allvarlig brottslighet. Till skillnad mot vad som gäller i dag när varje leverantör själv har att bedöma vilka uppgifter som behöver lagras för den egna verksamheten ska samtliga de tra- fikuppgifter som anges i direktivet lagras under en viss bestämd tid för brottsbekämpande syften. Enkelt uttryckt rör det sig om upp- gifter som svarar på frågorna vem kommunicerade med vem, när skedde det, var befann sig de som kommunicerade och vilken typ av kommunikation användes. Uppgifterna får dock inte avslöja in- nehållet i en kommunikation, t.ex. telefonsamtalet, sms- meddelandet, telefaxmeddelandet eller e-postmeddelandet.

Bestämmelser om lagring av trafikuppgifter håller på att genom- föras eller har genomförts i alla länder i EU. Det följer av Sveriges medlemskap i unionen att direktivet om lagring av trafikuppgifter ska genomföras även här. Utredningens uppgift är att föreslå en reglering för genomförandet som tillgodoser både behovet av att bekämpa allvarlig brottslighet och skyddet för medborgarnas integ- ritet. En utgångspunkt ska vara att lagringsskyldigheten ska omfat- ta de trafikuppgifter som myndigheterna kan ha tillgång till i dag och som avser fast och mobil telefoni, Internetåtkomst, e-post och Internettelefoni. Direktivet ålägger medlemsstaterna att genomföra bestämmelserna i nationell rätt senast den 15 september 2007. När det gäller Internetåtkomst, e-post och Internettelefoni finns en

17

möjlighet att skjuta upp genomförandet av direktivet till och med den 15 mars 2009. Den möjligheten har Sverige utnyttjat.

Utredningen drog tidigt den slutsatsen att det inte var menings- fullt att först föreslå regler om lagring av trafikuppgifter som en- bart rörde fast och mobil telefoni för att senare återkomma med förslag rörande övriga delar. I stället behövde förslagen presenteras i ett sammanhang. Utredningen har därför fått förlängd tid till den 1 november 2007 för uppdraget.

Genomförandet i andra länder

Vi har inhämtat uppgifter om genomförandet eller förslag till ge- nomförande av direktivet i Danmark, Finland och Norge, de bal- tiska staterna, Irland, Spanien, Storbritannien, Tjeckien och Tysk- land.

Genomförandeproceduren skiljer sig åt mellan länderna när det gäller huruvida direktivet genomförs i sin helhet vid ett tillfälle eller uppdelat mellan fast och mobil telefoni och Internet och när det gäller tidpunkten för genomförandet. Exempelvis är direktivet re- dan genomfört i sin helhet i Danmark medan Storbritannien har genomfört lagringsskyldigheten rörande fast och mobil telefoni. De uppgifter vi har fått innebär att Finland, Irland, Spanien och Tjeckien avser att genomföra direktivet i sin helhet vid ett och samma tillfälle medan genomförandet kommer att ske i etapper i Norge, Estland, Lettland, Litauen, Storbritannien och Tyskland.

Utifrån de uppgifter vi har fått om genomförandet i de olika länderna eller deras planer för genomförandet ser vi att de flesta länder kommer att ha en lagringstid på ett år. I Irland kommer ti- den att vara tre år för fast och mobil telefoni och sex månader för Internetuppgifter. Sex månaders lagringstid för samtliga kategorier av uppgifter är föreslagen i Tjeckien och Tyskland medan 18 måna- der är föreslagen i Lettland.

Det finns också skillnader mellan länderna i frågorna om vilka trafikuppgifter som ska lagras, om det ska finnas undantag från lag- ringsskyldigheten t.ex. för små leverantörer, om leverantörerna ska ha möjlighet att låta annan fullgöra lagringen samt i frågan om vem som ska stå för kostnaderna för att fullgöra lagringsskyldigheten och kostnaderna för utlämnande av uppgifter. I Finland, Litauen och Storbritannien ska det allmänna stå för samtliga kostnader me- dan leverantörerna ska stå för samliga kostnader i Irland, Lettland

18

och Spanien. I övriga länder (Danmark, Estland, Tjeckien och Tyskland) ska det ske en fördelning av kostnaderna. Enligt de upp- gifter vi har fått har integritetsfrågorna och direktivets inverkan på konkurrensen diskuterats i de enskilda länderna men debatten har inte uppfattats som ett hinder för genomförandet av direktivet utan tagits till vara för att höja kvaliteten i lagstiftningsarbetet i respek- tive land.

Skyddet för den personliga integriteten

Direktivet om lagring av trafikuppgifter innebär att det blir en regel att vissa trafikuppgifter ska lagras under en viss bestämd tid. Ett genomförande av direktivet medför att mycket stora informa- tionsmängder kommer att lagras. Endast en ytterst begränsad del av uppgifterna kommer att lämnas ut till de brottsbekämpande myndigheterna och användas vid bekämpning av allvarlig brottslig- het.

Trafikuppgifter är i många fall uppgifter om enskildas personliga förhållanden och korrespondens. Det är mot bakgrund av uppgif- ternas integritetskänsliga karaktär som de nuvarande bestämmel- serna om de brottsbekämpande myndigheternas tillgång till trafik- uppgifter har utformats. Att få ut trafikuppgifter för utredning om brott har ansetts vara särskilt känsligt från integritetssynpunkt och förutsättningarna för utlämnande är noggrant reglerade i rätte- gångsbalken och lagen om elektronisk kommunikation.

Enligt vår mening är dock inte frågan om integritetsskyddet vid lagring av trafikuppgifter begränsat till de situationer där trafik- uppgifter lämnas ut till de brottsbekämpande myndigheterna. En utgångspunkt för våra resonemang är att en generell lagring av tra- fikuppgifter i den omfattning som direktivet förutsätter påverkar både enskildas upplevelse av att få sin privata sfär inskränkt och integritetsskyddet för medborgarna i allmänhet. Intrånget i integri- teten sker enligt vår mening redan genom att det allmänna säkrar tillgången till trafikuppgifterna genom lagringen.

Utredningen har vid en hearing inhämtat synpunkter på vilka risker som lagringen av trafikuppgifter medför för integritetsskyd- det. Vid hearingen framfördes bl.a. följande. Generella åtgärder som innebär att uppgifter om enskilda samlas in är mer problema- tiska från integritetssynpunkt än specifika åtgärder i enskilda fall. Lagringsskyldigheten innebär att trafikuppgifter som på något sätt

19

rör praktiskt taget alla medborgare kommer att finnas lagrade. Uppgifterna kan ge kännedom om förhållanden av privat natur som man inte vill att andra ska få insyn i. Det är vetskapen om att dessa uppgifter finns lagrade och kan tas fram och granskas under lag- ringstiden och risken för att de läcker ut till obehöriga som deltaga- re vid hearingen ansåg vara det allvarliga bekymret från integritets- synpunkt. Det ansågs att lagstiftningen riskerar att få en psykolo- gisk verkan som innebär att människor blir rädda och miss- tänksamma och i högre grad upplever att de lever i ett kontroll- samhälle. Det kan påverka tilltron till myndigheterna. Vid hearing- en framfördes också att en ökad informationsvolym i allmänhet innebär en ökad risk för att informationen läcker eller sprids till obehöriga. Uppgifter kan komma ut genom bristande säkerhetsru- tiner eller genom medvetna åtgärder. Det framfördes också att det finns risk för att de brottsbekämpande myndigheterna kan komma att utnyttja trafikuppgifter i mycket högre utsträckning än tidigare. Mot det anfördes dock att trafikuppgifterna behövs för utredning om allvarlig brottslighet och att de leder till att fler allvarliga brott klaras upp och att fler brottsoffer därmed kan få upprättelse. En annan faktor som berördes vid hearingen är risken för ändamåls- glidning, dvs. risken för att när systemet för lagring av trafikuppgif- ter väl finns och fungerar kommer det att användas för andra syften än det ursprungligen var tänkt för. Deltagarna vid hearingen under- strök också vikten av ett säkert, öppet och transparent kontrollsy- stem så att medborgarna kan bedöma vilka trafikuppgifter som lag- ras, hur länge de lagras och hur uppgifterna används i brottbe- kämpningen.

Direktivet innehåller flera artiklar som ska garantera en rimlig proportion mellan intresset av att allvarliga brott utreds och lagförs och integritetsskyddet. I vårt uppdrag ingår att belysa de integri- tetsaspekter som aktualiseras vid genomförandet av direktivet och lämna förslag om regler för lagring av trafikuppgifter som innebär ett tillräckligt skydd för lagrade uppgifter och som är förenliga med grundlags- och konventionsskyddet för den personliga integriteten.

Trafikuppgifter som ska lagras

Tillgång till trafikuppgifter är av avgörande betydelse för bekämp- ningen av allvarlig brottslighet. När behovet av trafikuppgifter för brottsbekämpningen ska bedömas måste utgångspunkten vara att

20

det är medborgarnas behov av att allvarlig brottslighet utreds och lagförs som ska tillgodoses. Det är medborgarna i allmänhet och brottsoffren som för sin trygghet respektive upprättelse har an- språk på en effektiv brottsbekämpning.

Ett genomförande av direktivet innebär att trafikuppgifter lagras som sammantaget ger upplysning om vilka som kommunicerade med varandra, när det skedde, var det skedde och vilken typ av kommunikationslösning som användes. Svaret på alla dessa frågor kommer i de flesta fall inte att finnas hos en enda leverantör utan de brottskämpande myndigheterna kommer att behöva ställa sam- man uppgifter från flera leverantörer för att få en klar bild.

Den enskilde leverantören ska ha skyldighet att lagra enbart så- dana uppgifter som denne någon gång genererar eller behandlar. Det finns med andra ord ingen skyldighet att skaffa sig alla de upp- gifter som lagringsskyldigheten omfattar. Det betyder i princip att om uppgifterna finns hos leverantören någon gång, även om det bara rör sig om en ytterst kort tid, ska de lagras. Lagringsskyldighe- ten utgör därmed inget hinder mot exempelvis anonyma kontant- kort.

Vid telefoni ska uppgift om följande lagras:

•uppringande telefonnummer,

•nummer som slagits och nummer till vilka samtalet styrts,

•uppgifter om abonnent och registrerad användare,

•datum och spårbar tid då kommunikationen påbörjades och avslutades,

•den tjänst som använts, samt

•slutpunkter.

Vid mobil telefoni ska utöver det som anges under telefoni uppgift om följande lagras:

•uppringande parts abonnemangsidentitet och utrustnings- identitet,

•uppringd parts abonnemangsidentitet och utrustningsiden- titet,

•lokaliseringsinformation för kommunikationens början och slut, samt

•datum, spårbar tid och lokaliseringsinformation för den första aktiveringen av en förbetald anonym tjänst.

21

Vid Internettelefoni ska utöver det som anges under telefoni upp- gift om följande lagras:

•uppringande parts IP-adresser, samt

•uppringd parts IP-adresser.

Vid meddelandehantering (t.ex. e-post och SMS) ska uppgift om följande lagras:

•avsändarens och mottagarens meddelandeadress,

•uppgifter om abonnent och registrerad användare,

•datum och spårbar tid för på- och avloggning i meddelande- tjänsten,

•datum och spårbar tid för avsändande och mottagande av meddelandet, samt

•den tjänst som har använts och spårbar tid för användandet.

Vid Internetåtkomst ska uppgift om följande lagras:

•användarens IP-adresser,

•uppgifter om abonnent och registrerad användare,

•datum och spårbar tid för på- och avloggning i Internet- tjänsten,

•typen av Internetanslutning som använts, samt

•slutpunkter.

Vid verksamheter som tillhandahåller kapacitet som ger möjlighet till överföring av IP-paket för att få Internetåtkomst ska uppgift om följande lagras:

•uppgifter om abonnent,

•vilken typ av kapacitet för överföring som har använts och spårbar tid för användandet, samt

•slutpunkter.

De uppgifter som ska lagras vid telefoni, mobil telefoni och Inter- nettelefoni ska även lagras vid misslyckad uppringning, alltså fall där någon t.ex. inte har svarat på uppringningen.

Den lagringsskyldighet vi föreslår för uppgifter vid mobil tele- foni om lokalisering vid kommunikationens slut och lagringsskyl- digheten för uppgifter vid misslyckad uppringning som inte lagras eller loggas av leverantören går utöver direktivet om lagring av tra- fikuppgifter. Vi bedömer att skälen för att lagra även dessa uppgif- ter är så starka att de uppväger det integritetsintrång som lagringen medför och att lagringsskyldigheten därför kan motiveras utifrån

22

direktivet (2002/58/EG) om integritet och elektronisk kommuni- kation.

De trafikuppgifter som lagringsskyldigheten omfattar är ingen uttömmande uppräkning av de uppgifter som de brottsbekämpande myndigheterna kan få ut vid hemlig teleövervakning eller enligt lagen om elektronisk kommunikation. Skulle andra uppgifter fin- nas hos leverantören ska de lämnas ut till de brottsbekämpande myndigheterna när det finns förutsättningar för det enligt rätte- gångsbalken eller lagen om elektronisk kommunikation.

Lagringsskyldighetens fullgörande

Var ska trafikuppgifter lagras och av vem?

Vi föreslår att lagringen av trafikuppgifter ska ske hos leverantö- rerna. Enligt lagen om elektronisk kommunikation måste leveran- törer av allmänna kommunikationsnät av sådant slag som vanligen tillhandahålls mot ersättning och leverantörer av allmänt tillgängli- ga elektroniska kommunikationstjänster anmäla sin verksamhet till Post- och telestyrelsen innan verksamheten inleds. Direktivet om lagring av trafikuppgifter innehåller precis samma uttryck för vilka leverantörer som ska vara skyldiga att lagra trafikuppgifterna. Vi föreslår att skyldigheten att lagra trafikuppgifter ska gälla för de leverantörer som är anmälningspliktiga enligt lagen om elektronisk kommunikation. Vi föreslår att tillsynsmyndigheten efter samråd med Åklagarmyndigheten och Rikspolisstyrelsen ska få medge un- dantag i enskilda fall. Vid den bedömningen får det ske en avväg- ning mellan nyttan för brottsbekämpningen av att leverantören lag- rar trafikuppgifterna och kostnaden för leverantören för att fullgö- ra lagringsskyldigheten. Sekretess enligt 5 kap. 1 § sekretesslagen bör gälla för tillsynsmyndighetens prövning av frågor om undantag från lagringsskyldigheten.

Lagringstiden

Direktivet om lagring av trafikuppgifter anger att trafikuppgifterna ska lagras under en period om minst sex månader och högst två år från det datum då kommunikationen ägde rum. Regeringens direk- tiv till utredningen innebär att lagringstiden ska vara minst ett år.

23

Vi föreslår att alla trafikuppgifter ska lagras under lika lång tid. Vi föreslår en lagringstid på ett år. Vår bedömning är att en lag- ringstid på två år väl skulle kunna motiveras sett utifrån medbor- garnas och brottsoffrens intresse av att allvarliga brott utreds och lagförs. Samtidigt talar både intresset av skydd för den personliga integriteten, kostnads-, säkerhets- och konkurrensaspekter med olika styrka för en så kort lagringstid som möjligt. Vi har gjort en avvägning mellan dessa olika intressen och funnit att en lagringstid på ett år innebär en förbättring för brottsbekämpningen i förhål- lande till vad som gäller i dag. Den lagringstiden tillgodoser en stor del av de behov som finns av trafikuppgifter för brottsbekämp- ningen samtidigt som skyddet för integriteten kan upprätthållas och risken för konkreta integritetsintrång inte blir oacceptabel. Ett års lagringstid innebär också att vi valt att bestämma lika lång lag- ringstid som flertalet av övriga länder i EU.

Vid lagringstidens slut ska uppgifterna utplånas, om inte de brottsbekämpande myndigheterna vid den tiden har begärt tillgång till uppgifterna men ännu inte fått ut dem, eller leverantören av andra skäl, t.ex. abonnentfakturering, har rätt att behandla uppgif- terna även fortsättningsvis.

Leverantörernas medverkan inom viss tid m.m.

Utöver skyldigheten att lagra trafikuppgifterna ska leverantören ha skyldighet att anpassa sin verksamhet så att uppgifterna enkelt kan tas om hand av de brottsbekämpande myndigheterna vid ett utläm- nande. Uppgifterna ska utan dröjsmål lämnas ut till den brottbe- kämpande myndighet som har fått domstols tillstånd till hemlig teleövervakning eller begär att få ut uppgifterna enligt lagen om elektronisk kommunikation.

Ändamålen med behandlingen av trafikuppgifter

Lagrade trafikuppgifter behandlas när de lämnas ut till de brottsbe- kämpande myndigheterna. I den allmänna debatten har det fram- förts farhågor för att de lagrade trafikuppgifterna ska användas av leverantörerna för andra syften än att lämnas ut till de brottsbe- kämpande myndigheterna vid allvarlig brottslighet.

24

Mot bakgrund av de stora skillnader som finns mellan leverantö- rerna både i fråga om verksamhet och volym bedömer vi att leve- rantörerna ska ha möjlighet att anlita annan för att fullgöra lagring- en. Det är således tillåtet att behandla uppgifterna om annan fullgör lagringen.

Vid sidan om dessa situationer föreslår vi att det inte ska vara tillåtet för leverantörerna att behandla trafikuppgifter som har lag- rats för brottsbekämpningsändamål. Enligt våra förslag blir det allt- så tillåtet att behandla de trafikuppgifter som har lagrats för brotts- bekämpande syften endast i tre situationer; för att lämna ut dem efter beslut om hemlig teleövervakning, för att lämna ut dem enligt lagen om elektronisk kommunikation och för att annan ska fullgö- ra lagringen.

Kvalitet och säkerhet

Särskilt mot bakgrund av integritetsskyddet ställer direktivet om lagring av trafikuppgifter i olika avseenden krav på uppgifternas kvalitet och på säkerheten vid lagringen. Det ska med andra ord finnas ett tillräckligt skydd mot att uppgifterna används, sprids el- ler läcker ut genom medvetna eller oaktsamma handlingar och mot att de förvanskas eller förstörs. Vi föreslår en särskild regel som innebär skyldighet för leverantörerna att vidta särskilda tekniska och organisatoriska åtgärder för ett tillräckligt skydd vid behand- lingen av lagrade trafikuppgifter. De mer specifika kraven får till- synsmyndigheten efter samråd med Rikspolisstyrelsen och Datain- spektionen besluta om. De kraven kan t.ex. innebära att trafikupp- gifterna ska vara enkelt sökbara och vara logiskt skilda från övrig verksamhet hos leverantörerna samt att leverantörerna ska säker- ställa att endast behörig personal har tillgång till trafikuppgifterna.

De trafikuppgifter som samtidigt är personuppgifter ska inte få föras över till ett land som inte har en adekvat nivå för skyddet av uppgifterna.

Det straff- och skadeståndsrättsliga skyddet

Vi bedömer att lagringen av trafikuppgifter inte ger anledning att förändra några straff- eller skadeståndsrättsliga bestämmelser. De bestämmelser som finns i dag är uppbyggda till skydd för de integ-

25

ritetskänsliga uppgifter som redan nu sparas och lagras i olika sam- manhang. Mot bakgrund av den mängd trafikuppgifter som kom- mer att lagras hos leverantörerna kan ett dataintrång få vittgående följder. Det kan därför diskuteras om straffskalan i bestämmelsen om dataintrång är tillräcklig för att en adekvat påföljd ska kunna dömas ut. Det kan övervägas om det behövs en bestämmelse om grovt dataintrång med en mer sträng straffskala. Ett sådant övervä- gande bör dock enligt vår mening ske i ett vidare sammanhang.

De bestämmelser som gäller i dag innebär i korthet följande. Om någon hos leverantören eller en utomstående behandlar

uppgifterna för andra ändamål än de tillåtna eller om någon ändrar i uppgifter, förstör eller utplånar uppgifter eller för in uppgifter som inte ska finnas i lagret, blir det förfarandet att bedöma enligt be- stämmelsen om dataintrång i brottsbalken.

Såväl myndighetsanställda som anställda hos leverantören och uppdragstagare har tystnadsplikt och får inte obehörigen röja tra- fikuppgifter. Tystnadsplikten har en straffrättslig sanktion i brottsbalkens bestämmelse om brott mot tystnadsplikten.

Integriteten skyddas också av straffbestämmelser i personupp- giftslagen som bl.a. innebär att personuppgifter inte får föras över till ett land som inte har en adekvat skyddsnivå i lagstiftningen för behandlingen.

Att olovligen bereda sig tillgång till trafikuppgifter kan under vissa förutsättningar även bli att betrakta som företagsspioneri.

Vid sidan av detta kan företagsbot och förverkande bli aktuellt t.ex. om leverantören inte har vidtagit särskilda tekniska och orga- nisatoriska åtgärder för att säkerställa ett tillräckligt skydd vid be- handlingen av lagrade trafikuppgifter.

En enskild person som skadas på grund av brott kan få ersätt- ning för person-, sak- och ren förmögenhetsskada. Vid dataintrång, brott mot tystnadsplikten och brott mot personuppgiftslagen kan också ersättning för kränkning bli aktuell. När trafikuppgifter som är personuppgifter har hanterats oaktsamt eller felaktigt utan att det har varit fråga om brott kan en enskild som skadas få ersättning enligt skadeståndsregeln i personuppgiftslagen för kränkning och person-, sak- och ren förmögenhetsskada om den personuppgifts- ansvarige (leverantören) inte visar att felet inte berodde på honom. Skadeståndsersättning kan också bli aktuellt enligt skadeståndsla- gen och lagen om företagshemligheter.

26

Tillsyn

Post- och telestyrelsen har tillsyn över verksamhet som bedrivs enligt lagen om elektronisk kommunikation och således tillsyn över leverantörernas verksamhet. Vi föreslår att lagringsskyldighe- ten ska regleras i den lagen och att Post- och telestyrelsen ska ha tillsynen över leverantörernas lagring av trafikuppgifter.

De befogenheter som Post- och telestyrelsen har i dag i sin till- synsverksamhet är enligt vår bedömning ändamålsenliga och till- räckliga även för lagringen av trafikuppgifter. Det innebär att Post- och telestyrelsen bl.a. ska kunna begära in upplysningar och hand- lingar från leverantörerna, besluta om tillträde till områden och lo- kaler, lämna förelägganden och förbud förenade med vite samt yt- terst besluta att verksamheter ska upphöra.

Myndigheternas tillgång till trafikuppgifter

De brottsbekämpande myndigheterna har i dag möjlighet att få ut trafikuppgifter från leverantörerna genom framför allt två regel- verk; rättegångsbalken och lagen om elektronisk kommunikation.

Direktivet om lagring av trafikuppgifter innebär inte att myn- digheterna ska få fri tillgång till trafikuppgifter utan enbart att upp- gifterna ska finnas ”säkrade” för de brottsbekämpande syftena. Med andra ord ska det i fortsättningen inte vara en slump om myn- digheterna kan få ut trafikuppgifterna efter beslut enligt rätte- gångsbalken eller lagen om elektronisk kommunikation.

Förutsättningarna för att få ut trafikuppgifter enligt bestämmel- serna om hemlig teleövervakning i rättegångsbalken är följande.

1.Det ska finnas en skäligen misstänkt person.

2.Misstanken ska röra

a)brott för vilket inte är föreskrivet lindrigare straff än fängelse i sex månader (även anstiftan och medhjälp),

b)dataintrång, barnpornografibrott som inte är ringa, narkoti- kabrott eller narkotikasmuggling, eller

c)försök, förberedelse eller stämpling till brott under a) och b).

3.Åtgärden ska vara av synnerlig vikt för utredningen.

4.Åtgärden får avse uppgifter om telemeddelanden som befordras eller har befordrats till eller från teleadresser med viss anknytning till den misstänkte.

5.Åtgärden ska beslutas av domstol.

27

Förutsättningarna för att få ut trafikuppgifter enligt lagen om elektronisk kommunikation är följande (i jämförelse med rätte- gångsbalken).

1.Det behöver inte finnas en skäligen misstänkt person.

2.Det ska vara fråga om brott för vilket inte är föreskrivet lindriga- re straff än två års fängelse (även anstiftan och medhjälp).

3.Åtgärden behöver inte vara av synnerlig vikt för utredningen.

4.Åtgärden är inte begränsad till vissa teleadresser men uppgiften ska angå ett särskilt elektroniskt meddelande.

5.Åtgärden beslutas av den brottsbekämpande myndigheten.

När de brottsbekämpande myndigheterna behöver uppgifter om abonnemang, t.ex. namn, adress, telefonnummer och IP-nummer, krävs inte samma svårhetsgrad rörande brottet. I sådana fall är det enligt lagen om elektronisk kommunikation tillräckligt att det för brottet är föreskrivet fängelse och att det i det enskilda fallet kan bli fråga om annan påföljd än böter.

Lagringsskyldigheten medför att trafikuppgifter är säkrade och tillgängliga för att kunna lämnas ut till de brottsbekämpande myn- digheterna. Vi bedömer inte att det förhållandet att uppgifterna kommer att vara tillgängliga på ett mer förutsebart sätt innebär att de bestämmelser som reglerar när uppgifterna får lämnas ut behö- ver ändras. De förutsättningar som dessa bestämmelser anger för utlämnande innebär att trafikuppgifter kan lämnas ut för brott som är minst lika allvarliga som de brott som anges när utlämnande en- ligt en europeisk arresteringsorder kan ske. Vi har därför kommit fram till att bestämmelserna om lagring av trafikuppgifter inte ger anledning att förändra förutsättningarna för att de brottsbekäm- pande myndigheterna ska få tillgång till trafikuppgifterna. Frånsett rena ”kataloguppgifter” är det enbart de mer allvarliga typerna av brott som ger den möjligheten och dessutom är det i många fall enbart den svåraste graden av brotten. Det kan nämnas att de till- stånd till hemlig teleövervakning som meddelades under år 2006 främst avsåg mord, dråp, grov misshandel, människorov, männi- skohandel, olaga hot (grovt brott), grovt koppleri, grov stöld, grovt rån, grovt bedrägeri, utpressning (grovt brott), häleri (grovt brott), grovt bokföringsbrott, grov mordbrand, övergrepp i rätts- sak (grovt brott), grovt narkotikabrott, grovt skattebrott, grovt vapenbrott, grova smugglingsbrott och grovt dopningsbrott. Vi föreslår inte heller att förutsättningarna för att lämna ut ”katalog- uppgifter” ändras eftersom det enligt vår bedömning skulle leda till allvarliga försämringar för brottsbekämpningen.

28

Balansen mellan brottsbekämpning och integritetsskydd

Direktivet innehåller inte bara en uppräkning av vilka trafikuppgif- ter som ska lagras utan också flera artiklar som ska garantera en rimlig proportion mellan brottsbekämpningens intressen och in- tegritetsskyddet.

För att kraven i regeringsformen och Europakonventionen ska vara uppfyllda krävs att det finns en balans mellan brottsbekämp- ningens intressen av att trafikuppgifter lagras och integritetsskyd- det. Nyttan av lagringen ska alltså stå i rimlig proportion till den integritetsskada som lagringen kan orsaka.

Direktivet om lagring av trafikuppgifter har tagits fram inom EU mot bakgrund av de fördelar från brottsbekämpningssynpunkt som har kunnat konstateras i flera medlemsländer. Även i Sverige har behovet av tillgång till trafikuppgifter i brottbekämpningen övervägts tidigare.

Behovet av trafikuppgifter bör diskuteras utifrån den precisering av behovet som de brottsbekämpande myndigheterna gör. Den självklara utgångspunkten måste vara att det är medborgarna i all- mänhet och brottsoffren som för sin trygghet och upprättelse har behov av en effektiv bekämpning av särskilt den allvarliga brotts- ligheten.

Vi har kommit fram till att tillgången till trafikuppgifter är av avgörande betydelse för brottsbekämpningen och ofta helt nöd- vändig för att utredningarna över huvud taget ska kunna föras framåt.

Samtidigt medför lagring av trafikuppgifter ett påtagligt intrång i integritetsskyddet. Integritetsintrånget sker redan genom att det allmänna säkrar tillgången till uppgifterna genom att de lagras. Den främsta risken för integritetsförluster finns i att trafikuppgifterna på ett felaktigt sätt, genom uppsåtliga handlanden eller av oaktsam- het, sprids från leverantörerna till obehöriga och i att leverantörer- na använder trafikuppgifterna för andra ändamål än de tillåtna.

Flera av våra förslag går ut på att minska riskerna för att enskil- da drabbas av integritetsintrång och orsakas skador till följd av det- ta. Lagringen ska ske hos leverantörerna och inte i något centralla- ger. Uppgifter om en persons kommunikation kommer alltså i det stora flertalet fall inte att finnas på ett ställe. Lagringstiden ska vara begränsad till ett år och uppgifterna ska utplånas omedelbart däref- ter. Det ska vara förbjudet för leverantörerna att behandla uppgif- terna för annat än de brottsbekämpande syftena och om annan

29

fullgör lagringen. Leverantörerna ska vidta särskilda tekniska och organisatoriska åtgärder för att säkerställa ett tillräckligt skydd vid behandlingen av lagrade trafikuppgifter. De straff- och ska- deståndsrättsliga bestämmelserna skyddar mot missbruk. Tillsyns- myndigheten ska kontrollera så att leverantörernas verksamhet föl- jer gällande regelverk. En del i integritetsskyddet är också att de regler vi föreslår, tillsammans med tillsynsmyndighetens föreskrif- ter, är så tydliga och väl avgränsade som möjligt. Till det kommer att bestämmelserna om hemlig teleövervakning och utlämnande enligt lagen om elektronisk kommunikation tar hänsyn till integri- tetsskyddet i de förutsättningar som krävs för att de brottsbekäm- pande myndigheterna ska få tillgång till uppgifter.

Vi bedömer att våra förslag innebär inte bara en rimlig utan en god balans mellan brottsbekämpningens intressen av att trafikupp- gifter lagras och integritetsskyddet.

Fördelning av kostnaderna

Lagringsskyldigheten innebär kostnader för att identifiera, spara, lagra och lämna ut trafikuppgifter. Kostnaderna avser nya tekniska investeringar, anpassning av befintliga system, underhåll av system och administration.

För att få en grund för våra bedömningar av kostnaderna har vi låtit de leverantörer som är representerade i utredningen och en oberoende expert inom området för elektronisk kommunikation göra en analys av de kostnader som våra förslag innebär. Mot bak- grund av de beräkningar som har gjorts av experten bedömer vi att kostnaderna för att identifiera och spara uppgifter kan beräknas till omkring 100 miljoner kronor. Den sammanlagda kostnaden för att lagra trafikuppgifterna uppskattar vi också till omkring 100 miljo- ner kronor om varje leverantör lagrar i egna system. Den kostnaden bygger på att varje leverantör lagrar uppgifterna i den växel eller server där uppgiften uppkommer, och inte centraliserar lagringen inom verksamheten. Om alla leverantörer i stället skulle ha ett gemensamt system för lagring och utlämnande beräknas den totala kostnaden till 77 miljoner kronor. Kostnaden för att lämna ut tra- fikuppgifterna uppskattar vi till ca 20 miljoner kronor årligen.

Vi föreslår att leverantörerna ska stå för kostnaderna för an- passning av systemen, lagring och säkerhet och att det allmänna ska ersätta leverantörerna när uppgifter lämnas ut i enskilda ärenden.

30

Med en sådan fördelning uppnår man fördelen att leverantörerna genom sin kunskap och kompetens om egna system och behov kan hålla kostnaderna nere. Samtidigt får de brottsbekämpande myn- digheterna betala för just det som har en direkt koppling till upp- giften att utreda och lagföra allvarlig brottslighet.

Det av resurs- och tidsskäl överlägset bästa sättet att reglera er- sättningsnivån är enligt vår bedömning att tillsynsmyndigheten fastställer schabloner och bestämmer vad som ska gälla i de situa- tioner där det finns anledning att avvika från schablonerna. Ut- gångspunkten vid bestämmandet av schablonerna bör vara att leve- rantörerna ska få ersättning för sina kostnader för att lämna ut uppgifter. Tillsynsmyndigheten ska samråda med de brottsbekäm- pande myndigheterna och leverantörerna när schablonbeloppen bestäms.

Konkurrens

Lagringsskyldigheten innebär en viss inverkan på konkurrensen. Om de ökade kostnaderna blir för höga för de små leverantörerna, kan det leda till att de blir tvungna att träda ut från marknaden, vil- ket i så fall kan leda till en minskad konkurrens. Möjligheten att ge undantag från skyldigheten att lagra trafikuppgifter och att anlita annan för att fullgöra lagringen kan mildra effekterna för de små leverantörerna och därmed ge minskad negativ effekt på deras inve- steringsvilja och möjligheter att stanna kvar på marknaden.

Statistik

Senast den 15 september 2010 ska kommissionen lämna en utvärde- ring till Europaparlamentet av tillämpningen av direktivet om lag- ring av trafikuppgifter. Därför anges det i direktivet att medlems- staterna ska överlämna statistik till kommissionen varje år. Även från nationella perspektiv finns det skäl att föra statistik. Det kan ge bättre underlag för bedömningen av behovet av trafikuppgifter i brottsbekämpningen och ett underlag för bedömningen av syste- mets effektivitet. Statistiken skulle också bilda ett gott underlag för de brottsbekämpande myndigheternas egen tillsynsverksamhet. Också andra kontrollorgans möjligheter att utföra sina uppgifter förbättras med ett gott statistikunderlag. Den kanske viktigaste

31

aspekten är dock att statistiken skulle kunna bidra till en ökad par- lamentarisk kontroll av användningen av trafikuppgifter i brottsbe- kämpningen.

Statistik ska föras över

1.antalet verkställda beslut om hemlig teleövervakning respek- tive utlämnanden enligt lagen om elektronisk kommunikation,

2.vilka typer av brott som ärendena har avsett,

3.hur lång tid som har förlöpt från det att respektive trafikupp- gift lagrades till dess att den brottsbekämpande myndigheten be- gärde tillgång till uppgiften och

4.antalet ärenden där myndigheternas begäran om att få tillgång till trafikuppgifter inte har kunnat tillgodoses av leverantörerna samt vilka typer av brott ärendena har avsett.

Av sekretesskäl ska statistiken inte innefatta de ärenden som handläggs av Säkerhetspolisen och som rör rikets säkerhet.

De brottsbekämpande myndigheterna ska ansvara för statisti- ken. Uppgifterna bör sammanställas av Rikspolisstyrelsen och rap- porteras till regeringen som ett underlag för regeringens redovis- ning till kommissionen.

Konsekvenser och genomförande

Vi bedömer att de kostnader som våra förslag medför för rättsvä- sendets myndigheter uppvägs av de effektivitetsvinster som är för- enade med lagringen av trafikuppgifter. Vi bedömer därför att våra förslag inte medför behov av att tillföra rättsväsendet ytterligare resurser.

Förslagen innebär att Post- och telestyrelsen får nya uppgifter inom ramen för sin tillsynsverksamhet och att den verksamheten behöver tillföras resurser motsvarande 2,75 miljoner kronor om året under åren 2008–2010 och därefter en miljon kronor årligen. Det blir en fråga för Post- och telestyrelsen att bedöma om den kostnaden kan bäras inom ramen för de avgifter som myndigheten tar ut i dag.

Förslagen i betänkandet ska träda i kraft den 1 januari 2009. Några övergångsbestämmelser ska inte finnas.

32

6. Post- och telestyrelsens verksamhet för prövning av frå- gor om undantag enligt 6 kap. 6 c § andra stycket lagen (2003:389) om elektronisk kommunikation,

om det kan antas att syftet med beslutade eller förutsedda åt- gärder motverkas eller den framtida verksamheten skadas om upp- giften röjs.

För uppgift som hänför sig till sådan underrättelseverksamhet som avses i 3 § polisdatalagen (1998:622) eller som i annat fall hän- för sig till Säkerhetspolisens verksamhet för att förebygga eller av- slöja brott mot rikets säkerhet eller förebygga terroristbrott enligt 2 § lagen (2003:148) om straff för terroristbrott gäller sekretess, om det inte står klart att uppgiften kan röjas utan att syftet med beslutade eller förutsedda åtgärder motverkas eller den framtida verksamheten skadas. Detsamma gäller uppgift som hänför sig till sådan underrättelseverksamhet som avses i 2 § lagen (1999:90) om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar samt sådan verksamhet som avses i 7 § 1 lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekäm- pande verksamhet.

Sekretess enligt första och andra styckena gäller i annan verk- samhet hos myndighet för att biträda åklagarmyndighet, polismyn- dighet, Skatteverket, Tullverket eller Kustbevakningen med att fö- rebygga, uppdaga, utreda eller beivra brott samt hos tillsynsmyn- digheten i konkurs och hos Kronofogdemyndigheten för uppgift som angår misstanke om brott.

Utan hinder av sekretessen enligt andra stycket kan enskild få uppgift om huruvida han eller hon förekommer i Säkerhetspolisens register med anledning av den verksamhet som bedrevs med stöd av

1.personalkontrollkungörelsen (1969:446) och de tilläggsföre- skrifter som utfärdats med stöd av den,

2.förordningen den 3 december 1981 med vissa bestämmelser om verksamheten vid Rikspolisstyrelsens säkerhetsavdelning, eller

3.motsvarande äldre bestämmelser.

Sekretess gäller inte för uppgift som hänför sig till sådan verk- samhet hos Säkerhetspolisen som avses i andra stycket om uppgif- ten har införts i en allmän handling före år 1949. I fråga om annan uppgift i allmän handling som hänför sig till sådan verksamhet som avses i andra stycket gäller sekretessen i högst sjuttio år. I fråga om

34

uppgift i allmän handling i övrigt gäller sekretessen i högst fyrtio år.

Denna lag träder i kraft den 1 januari 2009.

35

3Förslag till

förordning (0000:00) om lagring av trafikuppgifter m.m. för brottsbekämpande syften

Inledande bestämmelse

1 § I denna förordning ges föreskrifter om lagring av trafikuppgif- ter m.m. enligt 6 kap. 3 § andra stycket, 6 a, 6 c och 6 d §§ lagen (2003:389) om elektronisk kommunikation.

Definitioner

2 § I denna förordning avses med

1.Internettelefoni: telefoni som använder IP-paket via Internet för överföring,

2.Internetåtkomst: möjlighet till överföring av IP-paket som ger användaren åtkomst till Internet,

3.meddelandehantering: överföring av elektroniskt meddelande som inte är samtal,

4.misslyckad uppringning: samtal som kopplats fram utan att få svar eller samtal som kopplats fram utan att nå mottagaren,

5.mobil telefoni: elektronisk kommunikationstjänst till mobil nätanslutningspunkt som innebär möjlighet att ringa upp eller ta emot samtal via ett eller flera nummer inom en nationell eller inter- nationell nummerplan och som inte samtidigt avser meddelande- hantering,

6.slutpunkt: ändpunkt för varje lagringsskyldigs behandling av kommunikation,

7.telefoni: elektronisk kommunikationstjänst som innebär möj- lighet att ringa upp eller ta emot samtal via ett eller flera nummer inom en nationell eller internationell nummerplan och som inte samtidigt avser meddelandehantering.

Uppgifter som ska lagras

3 § Den som är lagringsskyldig enligt 6 kap. 6 a § lagen (2003:389) om elektronisk kommunikation ska lagra de uppgifter som anges i 4-9 §§.

39

4 § Vid telefoni ska uppgifter om följande lagras:

–uppringande telefonnummer,

–nummer som slagits och nummer till vilka samtalet styrts,

–uppgifter om abonnent och registrerad användare,

–datum och spårbar tid då kommunikationen påbörjades och av- slutades,

–den tjänst som använts, samt

–slutpunkter.

5 § Vid mobil telefoni ska utöver det som anges i 4 § uppgifter om följande lagras:

–uppringande parts abonnemangsidentitet och utrustningsidenti- tet,

–uppringd parts abonnemangsidentitet och utrustningsidentitet,

–lokaliseringsinformation för kommunikationens början och slut, samt

–datum, spårbar tid och lokaliseringsinformation för den första aktiveringen av en förbetald anonym tjänst.

6 § Vid Internettelefoni ska utöver det som anges i 4 § uppgifter om följande lagras:

–uppringande parts IP-adresser, samt

–uppringd parts IP-adresser.

7 § Vid meddelandehantering ska uppgifter om följande lagras:

–avsändarens och mottagarens meddelandeadress,

–uppgifter om abonnent och registrerad användare,

–datum och spårbar tid för på- och avloggning i meddelandetjäns- ten,

–datum och spårbar tid för avsändande och mottagande av medde- lande, samt

–den tjänst som har använts och spårbar tid för användandet.

8 § Vid Internetåtkomst ska uppgifter om följande lagras:

–användarens IP-adresser,

–uppgifter om abonnent och registrerad användare,

–datum och spårbar tid för på- och avloggning i Internettjänsten,

–typen av Internetanslutning som använts, samt

–slutpunkter.

40

9 § Vid verksamheter som tillhandahåller kapacitet som ger möjlig- het till överföring av IP-paket för att få Internetåtkomst ska upp- gifter om följande lagras:

–uppgifter om abonnent,

–vilken typ av kapacitet för överföring som har använts och spår- bar tid för användandet, samt

–slutpunkter.

10 § Lagringsskyldigheten för uppgifter enligt 4-6 §§ gäller även vid misslyckad uppringning.

Föreskrifter och undantag

11 § Post- och telestyrelsen får efter samråd med Rikspolisstyrel- sen och Datainspektionen meddela verkställighetsföreskrifter om säkerhet enligt 6 kap. 3 § andra stycket lagen (2003:389) om elek- tronisk kommunikation.

12 § Post- och telestyrelsen får efter samråd med Åklagarmyndig- heten och Rikspolisstyrelsen i enskilda fall medge undantag från lagringsskyldigheten enligt 6 kap. 6 a § första stycket lagen (2003:389) om elektronisk kommunikation.

13 § Post- och telestyrelsen får efter samråd med Åklagarmyndig- heten, Ekobrottsmyndigheten, Rikspolisstyrelsen och Tullverket meddela föreskrifter om den ersättning som lagringsskyldiga har rätt till enligt 6 kap. 6 d § lagen (2003:389) om elektronisk kom- munikation.

Denna förordning träder i kraft den 1 januari 2009.

41

1Utredningens uppdrag och arbete

1.1Vårt uppdrag

Efter bombattentaten i Madrid den 25 mars 2004 fick rådet för rättsliga och inrikes frågor (RIF) i uppdrag av Europeiska rådet att snarast anta gemensamma åtgärder om lagring av trafikuppgifter. Ett antal länder, däribland Sverige, utarbetade förslag som presen- terades under sommaren 2004 och som därefter förhandlades.

Europaparlamentet och rådet antog den 15 mars 2006 direktivet 2006/24/EG om lagring av trafikuppgifter (se avsnitt 3). Direktivet syftar till att harmonisera medlemsstaternas regler om de skyldig- heter som leverantörer av allmänt tillgängliga elektroniska kommu- nikationstjänster eller allmänna kommunikationsnät har att lagra vissa uppgifter som genereras eller behandlas i samband med att en kommunikation sker med fast eller mobil telefoni, eller på Internet. De uppgifter som avses i direktivet är trafik- och lokaliseringsupp- gifter samt de uppgifter som behövs för att identifiera en abonnent eller användare.

I det följande används det samlande begreppet trafikuppgifter för samtliga nämnda uppgifter.

Direktivet om lagring av trafikuppgifter syftar till att säkerställa att uppgifterna finns tillgängliga för utredning, avslöjande och åtal som gäller allvarliga brott. Direktivet anger de kategorier av uppgif- ter som ska lagras. Dessa kategorier är uppdelade på fast och mobil telefoni samt Internetåtkomst, e-post och Internettelefoni. De uppgifter som ska lagras svarar främst på frågorna vem kommuni- cerade med vem, när skedde det, var befann sig de som kommuni- cerade och vilken typ av kommunikation användes. Uppgifterna får dock inte avslöja innehållet i en kommunikation. Direktivet anger lagringstiden till minst sex månader och högst två år och innehåller därutöver bestämmelser om bl.a. vem som ska lagra uppgifterna och krav på säkerhet.

43

Direktivet om lagring av trafikuppgifter ålägger medlemsstater- na att genomföra bestämmelserna i nationell rätt senast den 15 sep- tember 2007. När det gäller Internetåtkomst, e-post och Internet- telefoni finns en möjlighet att skjuta upp genomförandet av direk- tivet till och med den 15 mars 2009. Den möjligheten har Sverige utnyttjat.

Vårt uppdrag är att lämna förslag till hur direktivet om lagring av trafikuppgifter ska genomföras i svensk rätt (dir. 2006:49, se bi- laga 1). Uppdraget skulle redovisas senast den 1 april 2007. Vi drog emellertid tidigt den slutsatsen att det inte var meningsfullt att först föreslå regler om lagring av trafikuppgifter som enbart rörde fast och mobil telefoni för att senare återkomma med förslag rörande övriga delar. I stället behövde förslagen presenteras i ett sammanhang. Detta ledde till att regeringen förlängde uppdraget genom tilläggsdirektiv till den 1 november 2007 (dir. 2007:37, se bilaga 2).

1.2Vårt arbete

Vårt uppdrag innebär att vi ska lämna förslag till en rättslig re- glering om lagring av trafikuppgifter som tillgodoser både behovet av bekämpning av allvarlig brottslighet och skyddet för medbor- garnas integritet. Enligt våra direktiv ska vi arbeta med sakkunniga, experter och referensgrupper. Vi ska särskilt uppmärksamma beho- vet av samråd med berörda myndigheter samt med företrädare för berörda branscher och med näringslivet.

Vi har haft sammanträden och mer informella kontakter med de sakkunniga, experterna och deltagarna i utredningens referens- grupper. I den kretsen finns företrädare för flera av departementen i Regeringskansliet, Datainspektionen, Domstolsverket, Eko- brottsmyndigheten, Konkurrensverket, Post- och telestyrelsen, Rikskriminalpolisen, Säkerhetspolisen, Tullverket, Åklagarmyn- digheten, Svenskt Näringsliv, Sveriges Advokatsamfund, Sveriges Kommuner och Landsting samt för flera av leverantörerna på marknaden för elektronisk kommunikation. Vid särskilda möten har synpunkter inhämtats från Post- och telestyrelsen, Rikspolis- styrelsen, Säkerhetspolisen, Åklagarmyndigheten, Integritets- skyddskommittén (Ju 2004:05), Svenskt Näringsliv och Sveriges Advokatsamfund.

Vi har också genomfört en hearing för att få de integritetsfrågor som blir aktuella vid lagring av trafikuppgifter belysta.

44

Utredningen har haft en referensgrupp med representanter för riksdagspartierna. Utifrån direktivet om lagring av trafikuppgifter och regeringens direktiv rörande vårt arbete har det inom denna referensgrupp funnits en relativt bred enighet i de frågor som be- handlas i betänkandet. De synpunkter som har anförts har behand- lats i anslutning till de olika delarna i betänkandet.

Vi har följt det arbete som EU:s organ och medlemsstaterna har initierat med anledning av de nationella genomförandena av direk- tivet. Dessutom har vi inhämtat upplysningar om den rättsliga re- gleringen och planerade förändringar i den nationella rätten i några av de närliggande EU-länderna, företrädesvis Danmark, Finland och de baltiska staterna. Vi har deltagit vid kommissionens ”ge- nomförandemöten” i Bryssel, haft informella kontakter med tjäns- temän i många länder rörande genomförandeåtgärderna i respektive land och möten med företrädare för det danska justitsministeriet och Storbritanniens Home Office.

Vi har även, i enlighet med vad som sägs i direktiven och som framgår i det följande, uppmärksammat sådana pågående kommit- téarbeten och lagförslag som har beröringspunkter med uppdraget.

1.3Betänkandets disposition

I ett inledande avsnitt om bakgrunden m.m. redovisas de nuvarande bestämmelserna i lagen (2003:389) om elektronisk kommunikation (LEK) som gäller behandling av uppgifter och de bestämmelser i den lagen och i rättegångsbalken (RB) som reglerar under vilka förutsättningar trafikuppgifter får lämnas ut till de brottsbekäm- pande myndigheterna, avsnitt 2. Vi presenterar därefter direktivet om lagring av trafikuppgifter i svensk översättning och redovisar något om genomförandet av direktivet i andra länder, avsnitt 3 och 4.

Ett genomförande av direktivet om lagring av trafikuppgifter aktualiserar flera frågor som gäller skyddet för enskildas personliga integritet. Utgångspunkten för direktivet och för våra förslag är regleringen i Europakonventionen om skydd för privatliv och kor- respondens och om skyddet för enskildas personliga integritet. Vi för resonemang som gäller integritetsskydd i anslutning till de för- slag vi lämnar. Frågorna behandlas också mer samlat i två särskilda avsnitt, varav det första tar upp regleringen av integritetsskyddet i bl.a. regeringsformen och det sista tar upp våra överväganden om

45

balansen i våra samlade förslag till genomförande av direktivet, av- snitt 5 och 12.

Frågorna om vilka uppgifter som ska lagras och hur lagrings- skyldigheten ska fullgöras, vem som ska ha skyldighet att lagra, un- der hur lång tid lagringen ska ske och för vilka ändamål de trafik- uppgifter som lagras får behandlas av leverantörerna, behandlas i avsnitt 6 och 7. De följande tre avsnitten rör frågorna om hur en säker lagring ska uppnås, dvs. vilken kvalitet och säkerhet som ska finnas för de lagrade trafikuppgifterna, om det behöver ske några förändringar av de straff- och skadeståndsrättsliga bestämmelserna och hur tillsynen ska vara utformad, avsnitt 8-10. I det följande av- snittet finns vår bedömning i frågan om det behöver ske några för- ändringar av bestämmelserna som ger de brottsbekämpande myn- digheterna tillgång till trafikuppgifterna, avsnitt 11. Vi gör därefter en analys av om våra förslag till rättslig reglering tillgodoser kravet på balans mellan intresset av att bekämpa allvarlig brottslighet och skyddet mot integritetsintrång, avsnitt 12. Vilka kostnader som uppkommer och hur de ska fördelas mellan det allmänna och leve- rantörerna och överväganden i frågan om konkurrens på markna- den finns i avsnitt 13 och 14. För att utgöra underlag för en utvär- dering av direktivet om lagring av trafikuppgifter ska det föras na- tionell statistik i olika avseenden. Frågor som gäller statistik be- handlas i avsnitt 15 och genomförandefrågor i avsnitt 16.

46

2 Bakgrund

2.1Inledning

Utredningar om allvarlig brottslighet innebär bl.a. en kartläggning av vilka personer som har haft kontakt med varandra, när och var kontakterna ägde rum och hur det gick till. En sedan mycket lång tid använd arbetsmetod för den typen av kartläggning har varit att följa personer genom fysisk (visuell) spaning. Det ingår också se- dan gammalt i polisens spaningsarbete att kartlägga en misstänkt persons telefonkontakter med andra. Teknikutvecklingen på områ- det elektronisk kommunikation är av stor betydelse i det moderna samhället och innebär stora möjligheter för medborgarna. Kom- munikationssätten blir hela tiden fler och kommunikationen avsät- ter elektroniska spår. De möjligheter som teknikutvecklingen er- bjuder används av de flesta medborgare. Samtidigt innebär teknik- utvecklingen nya möjligheter för de personer som begår brott. Misstänkta personer använder tekniska hjälpmedel för att kommu- nicera med varandra och för att planera, genomföra och dölja brott. Det medför att mer traditionella metoder, som t.ex. fysisk spaning, inte är tillräckliga som verktyg för de brottsbekämpande myndig- heterna. Numera har tillgången till spaningsuppgifter i form av tra- fikuppgifter blivit en helt nödvändig och ordinär arbetsmetod när allvarlig brottslighet utreds.

Utvecklingen inom området elektronisk kommunikation inne- bär att leverantörerna av tjänster och nät i framtiden inte kommer att ha samma behov av att spara trafikuppgifter för sin egen verk- samhet. Det medför att viktig information om allvarlig brottslighet på sikt inte kommer att sparas enligt de bestämmelser som tillåter lagring av trafikuppgifter i dag. Syftet med direktivet om lagring av trafikuppgifter är att säkerställa att trafikuppgifter lagras och finns tillgängliga för att kunna lämnas ut till de brottsbekämpande myn- digheterna för att användas i utredningar om allvarlig brottslighet. Som en bakgrund till våra förslag redogör vi i detta avsnitt först för

47

de nuvarande bestämmelserna om behandling av uppgifter, alltså främst frågan om för vilka ändamål leverantörerna får lagra trafik- uppgifter i dag, och därefter för de bestämmelser som ger brotts- bekämpande myndigheter tillgång till uppgifterna. Vi går också igenom bestämmelserna om s.k. anpassningsskyldighet, dvs. skyl- digheten för leverantörer att i vissa fall anpassa sin verksamhet så att beslut om hemlig teleavlyssning och hemlig teleövervakning kan verkställas. Vi kommer därefter in på det uppdrag som Beredningen för rättsväsendets utveckling (BRU) hade och de förslag som be- redningen lämnade avseende tillgången till uppgifter om elektro- nisk kommunikation i brottsbekämpningen.

2.2Bestämmelserna om behandling av uppgifter

2.2.1Inledning

Personuppgifter behandlas i en rad olika sammanhang både i allmän och privat verksamhet och en stor del av behandlingen sker på au- tomatisk väg. När moderna kommunikationslösningar används av medborgarna i både privata och andra sammanhang innebär tekni- ken att trafikuppgifter genereras och behandlas. Trafikuppgifter är ofta men inte alltid personuppgifter.

Behandling av personuppgifter är generellt reglerad i person- uppgiftslagen (1998:204, PUL). Därutöver finns en rad olika för- fattningar som reglerar behandling av personuppgifter i olika verk- samheter. För rättsväsendets del gäller ett antal registerförfattning- ar som reglerar respektive myndighets behandling av personuppgif- ter.

För behandling av trafikuppgifter som också är personuppgifter finns särskilda regler i lagen om elektronisk kommunikation som mer specifikt reglerar behandling av personuppgifter och integri- tetsskydd inom sektorn för elektronisk kommunikation.

2.2.2Personuppgiftslagen

Europaparlamentet och rådet antog den 24 oktober 1995 direktivet om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (data- skyddsdirektivet [95/46/EG]). Syftet med direktivet är att garante- ra en hög skyddsnivå när det gäller enskildas fri- och rättigheter

48

med avseende på behandling av personuppgifter och en likvärdig skyddsnivå i alla medlemsstater.

Dataskyddsdirektivet genomförs i svensk rätt genom person- uppgiftslagen. Syftet med lagen är att skydda fysiska personer som är i livet mot att deras personliga integritet kränks genom felaktig behandling av personuppgifter. Personuppgiftslagen innehåller de generella regler som följer av dataskyddsdirektivet i fråga om be- handling av personuppgifter men omfattar också sådant som faller utanför gemenskapsrätten. Personuppgiftslagen är subsidiär till an- nan lagstiftning, dvs. i den mån det finns särreglering i annan lag eller förordning som avviker från personuppgiftslagen gäller de be- stämmelserna.

Med personuppgift avses enligt 3 § all slags information som di- rekt eller indirekt kan hänföras till en fysisk person som är i livet. En personuppgift är varje upplysning som avser en identifierbar eller identifierad fysisk person. En identifierbar person är någon som kan identifieras, direkt eller indirekt, framför allt genom hän- visning till ett identifikationsnummer eller till en eller flera faktorer som är specifika för hans fysiska, fysiologiska, psykiska, ekono- miska, kulturella eller sociala identitet (prop. 1997/98:44 s. 117 och 163). Vid bedömningen av om en person är identifierbar ska alla hjälpmedel beaktas som i syfte att identifiera vederbörande rimli- gen kan komma att användas antingen av den personuppgiftsansva- rige eller av någon annan person. Det krävs endast att en fysisk per- son är möjlig att identifiera med hjälp av informationen, inte att den personuppgiftsansvarige själv förfogar över samtliga uppgifter som gör identifieringen möjlig.

Den personuppgiftsansvarige ska se till att personuppgifter all- tid behandlas på ett korrekt sätt och i enlighet med god sed samt att personuppgifter samlas in bara för särskilda, uttryckligt angivna och berättigade ändamål. Uppgifterna får inte behandlas för något ändamål som är oförenligt med det syfte för vilket de samlades in. Fler personuppgifter får inte behandlas än som är nödvändigt med hänsyn till ändamålen med behandlingen. Den personuppgiftsan- svarige ska se till att de personuppgifter som behandlas är riktiga och om nödvändigt aktuella, att alla rimliga åtgärder vidtas för att rätta, blockera eller utplåna sådana personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålen med behandlingen samt att personuppgifter inte bevaras under längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen (9 §). Med behandling av personuppgifter avses varje åtgärd som vidtas i fråga om uppgifter, som t.ex. att samla in, registrera, organisera,

49

lagra, bearbeta och sprida uppgifter. Den behandling av personupp- gifter som en fysisk person utför som ett led i en verksamhet av rent privat natur faller emellertid enligt 6 § utanför lagen.

Personuppgiftslagen reglerar när en behandling av personupp- gifter är tillåten (10 §). Behandlingen är tillåten om den registrerade har lämnat sitt samtycke till behandlingen eller behandlingen är nödvändig för vissa angivna ändamål. De ändamålen är att

a)ett avtal med den registrerade ska kunna fullgöras eller åtgär- der som den registrerade begärt ska kunna vidtas innan ett avtal träffas,

b)den personuppgiftsansvarige ska kunna fullgöra en rättslig skyldighet,

c)vitala intressen för den registrerade ska kunna skyddas,

d)en arbetsuppgift av allmänt intresse ska kunna utföras,

e)den personuppgiftsansvarige eller en tredje man till vilken personuppgifter lämnas ut ska kunna utföra en arbetsuppgift i sam- band med myndighetsutövning, eller

f)ett ändamål som rör ett berättigat intresse hos den person- uppgiftsansvarige eller hos en sådan tredje man till vilken person- uppgifterna lämnas ut ska kunna tillgodoses, om detta intresse vä- ger tyngre än den registrerades intresse av skydd mot kränkning av den personliga integriteten.

2.2.3Telelagen

Telelagen (1993:597) infördes i samband med att verksamheten i Televerket överfördes till Telia AB. I propositionen Ändringar i telelagen m.m. (prop. 1998/99:92 s. 29 f.) redogjorde regeringen för innehållet i det s.k. teledataskyddsdirektivet (97/66/EG). Re- geringen nämnde bl.a. att syftet med direktivet var att genom en harmonisering av medlemsstaternas bestämmelser om behandling av personuppgifter säkerställa en likvärdig nivå på integritetsskyd- det och en fri rörlighet inom gemenskapen för personuppgifter inom telekommunikationsområdet och för teleutrustning och tele- tjänster. I direktivet fanns angivet att uppgifter om abonnenter och användare som teleoperatören behandlar för att koppla upp samtal skulle utplånas eller åtminstone avidentifieras vid samtalets slut. Nödvändiga uppgifter för fakturering av abonnenter och för betal- ning av samtrafikuppgifter fick dock behandlas under preskrip- tionstiden.

50

I propositionen föreslog regeringen, mot bakgrund av innehållet i direktivet, vissa ändringar i telelagen. Ändringarna trädde i kraft den 1 juli 1999 och innebar bl.a. följande.

Enligt huvudregeln i 49 § telelagen skulle uppgifter som gällde ett särskilt telemeddelande utplånas eller avidentifieras av teleope- ratören vid samtalets slut eller när meddelandet nått mottagaren. Den skyldigheten gällde, enligt paragrafens andra stycke, inte för behandling av sådana uppgifter som var nödvändiga för fakturering av abonnenter och betalning av samtrafikavgifter till dess fordring- en var betald eller preskriberad. Om abonnenten hade gett sitt sam- tycke fick sådana uppgifter behandlas för marknadsföring av tele- tjänster i den egna verksamheten.

Ytterligare undantag från kravet i 49 § första stycket om ome- delbart utplånande eller avidentifiering av uppgifterna fanns i 50 § och gällde för det första meddelanden som omfattades av beslut om hemlig teleavlyssning eller hemlig teleövervakning. För det andra fanns undantag från det s.k. lagringsförbudet i den utsträckning det var nödvändigt för att förhindra eller avslöja obehörig användning av telenätet. Det tredje undantaget i 50 § avsåg det fallet att abon- nenten begärde att störande samtal skulle spåras. Uppgifter som identifierade den uppringande abonnenten kunde då lagras och hål- las tillgängliga av teleoperatören.

Ett utlämnande av trafikuppgifter till de brottsbekämpande myndigheterna med stöd av 47 § telelagen (motsvarande 6 kap. 22 § LEK) förutsatte att uppgifterna fanns tillgängliga hos teleoperatö- rerna när de begärdes utlämnade. Eftersom det blev en huvudregel enligt telelagen att trafikuppgifter skulle utplånas eller avidentifie- ras diskuterades i lagstiftningsärendet om regleringen skulle inne- bära att de brottsbekämpande myndigheterna i fortsättningen skul- le gå miste om viktig information. I det remissförfarande som före- gick regeringens proposition om förändringarna i telelagen anförde Rikspolisstyrelsen att skyldigheten att utplåna eller avidentifiera de historiska uppgifterna, i vart fall då teleavlyssning m.m. inte föreva- rit, skulle hindra polisens möjligheter att utreda brott. I proposi- tionen 1998/99:92 (s. 33) anfördes att regeringen hade viss förståel- se för Rikspolisstyrelsens bedömning men det konstaterades att det inte var möjligt att införa vidare undantag från skyldigheten att ut- plåna uppgifter. Mot bakgrund av Rikspolisstyrelsens remisskritik uttalade regeringen dock att det kunde finnas anledning att i sam- arbetet inom Europeiska unionens tredje pelare återkomma till frå- gan om utnyttjande av teleuppgifter i brottsbekämpningssamman- hang. Vid behandlingen i riksdagen anförde Trafikutskottet

51

(1998/99:TU12 s. 7) att utskottet förutsatte att regeringen inom ramen för EU-samarbetet skulle verka för en effektiv brottsbe- kämpning och för riksdagen redovisa de resultat som därvid upp- nåtts.

I 22 § teleförordningen (1997:399) föreskrev regeringen vilka uppgifter rörande ett särskilt telemeddelande som fick behandlas till dess att fordran var betald eller preskriberad. Det gällde uppgif- ter som var nödvändiga för fakturering av en abonnent eller för be- talning av samtrafikavgifter (49 § andra stycket telelagen). Uppgif- ter fick lagras om abonnentens teleadress, den anropades teleadress, samtalets art, samtalets starttidpunkt och längd eller den överförda datamängden, datum för samtalsanropet, det totala antalet enheter som debiteras för en redovisningsperiod, andra uppgifter om eller i samband med betalningen, såsom förskottsbetalning, avbetalning, betalningspåminnelse och avstängning samt typ av utrustning och abonnentutrustningens nummer eller annan identifikation.

2.2.4Lagen om elektronisk kommunikation

Allmänt om lagen

År 2000 presenterade EG-kommissionen ett förslag till nytt regel- verk för elektronisk kommunikation i syfte att modernisera ge- menskapens lagstiftning på området. Förslaget lades fram mot bak- grund av den snabba utvecklingen av teknik och marknader för elektronisk kommunikation. Kommissionens förslag behandlades av Europaparlamentet och rådet. Det regelverk som senare besluta- des omfattar flera direktiv, bl.a. direktivet (2002/21/EG) om ett gemensamt regelverk för elektroniska kommunikationsnät och kommunikationstjänster (ramdirektivet), direktivet (2002/20/EG) om auktorisation för elektroniska kommunikationsnät och kom- munikationstjänster (auktorisationsdirektivet), direktivet (2002/19/EG) om tillträde till och samtrafik mellan elektroniska kommunikationsnät och tillhörande faciliteter (tillträdesdirekti- vet), direktivet (2002/22/EG) om samhällsomfattande tjänster och användares rättigheter avseende elektroniska kommunikationsnät och kommunikationstjänster (USO-direktivet) och direktivet (2002/58/EG) om behandling av personuppgifter och integritets- skydd inom sektorn för elektronisk kommunikation.

För att genomföra dessa direktiv tillsatte regeringen under år 2001 en utredning, Utredningen om elektronisk kommunikation

52

(den s.k. e-komutredningen). På grundval av utredningens arbete infördes lagen om elektronisk kommunikation. Lagen ersatte i juli 2003 telelagen och lagen (1993:599) om radiokommunikation.

E-komutredningen angav i sitt delbetänkande Lag om elektro- nisk kommunikation (SOU 2002:60 s. 267) att elektronisk kom- munikation ofta används som en samlande benämning på den verk- samhet som bedrivs inom det nya område som växer fram mot bakgrund av bl.a. konvergensutvecklingen och Internet. E- komutredningen ansåg att begreppet elektronisk kommunikation behövde konkretiseras men konstaterade att varken ramdirektivet eller de s.k. särdirektiven innehåller någon definition av begreppet. Däremot definieras vad som menas med elektroniska kommunika- tionsnät och elektroniska kommunikationstjänster i ramdirektivet.

Lagen om elektronisk kommunikation gäller elektroniska kom- munikationsnät och kommunikationstjänster med tillhörande in- stallationer och tjänster samt annan radioanvändning (1 kap. 4 § LEK). I 1 kap. 7 § LEK definieras elektroniskt kommunikationsnät som system för överföring och i tillämpliga fall utrustning för koppling eller dirigering samt andra resurser som medger överfö- ring av signaler, via tråd eller radiovågor, på optisk väg eller via andra elektromagnetiska överföringsmedier oberoende av vilken typ av information som överförs. Enligt samma bestämmelse avses med elektronisk kommunikationstjänst en tjänst som vanligen till- handahålls mot ersättning och som helt eller huvudsakligen utgörs av överföring av signaler i elektroniska kommunikationsnät.

Till skillnad mot telelagen är lagen om elektronisk kommunika- tion tillämplig inte endast på telefoni och datakommunikation utan även på utsändningar till allmänheten av program i ljudradio och TV.

Behandlingen av uppgifter

Europaparlamentets och rådets direktiv 2002/58/EG om behand- ling av personuppgifter och integritetsskydd inom sektorn för elek- tronisk kommunikation (direktivet om integritet och elektronisk kommunikation) trädde i kraft den 31 juli 2002 och ersatte teleda- taskyddsdirektivet. Direktivet syftar till att harmonisera medlems- staternas bestämmelser för att säkerställa ett likvärdigt skydd av de grundläggande fri- och rättigheterna, i synnerhet rätten till integri- tet, när det gäller behandling av personuppgifter inom sektorn för elektronisk kommunikation.

53

Direktivet om integritet och elektronisk kommunikation genomförs huvudsakligen i 6 kap. LEK (prop. 2002/03:110 s. 69 f. och 248). Bestämmelserna i detta kapitel gäller framför personupp- giftslagen avseende behandling av personuppgifter och integritet vid tillhandahållande av elektroniska kommunikationsnät och elek- troniska kommunikationstjänster samt vid abonnentupplysning.

Artikel 6 i direktivet om integritet och elektronisk kommunika- tion reglerar behandlingen av trafikuppgifter. En trafikuppgift är enligt 6 kap. 1 § LEK en uppgift som behandlas i syfte att befordra ett elektroniskt meddelande via ett elektroniskt kommunikations- nät eller för att fakturera detta meddelande. I den definitionen in- nefattas även sådana lokaliseringsuppgifter som visar den geogra- fiska positionen för en användare av en allmänt tillgänglig elektro- nisk kommunikationstjänst, t.ex. i vilken cell i ett cellulärt upp- byggt mobilkommunikationssystem, som t.ex. GSM, som en an- vändare befinner sig (prop. 2002/03:110 s. 260). Någon motsvaran- de definition av trafikuppgift fanns inte i telelagen. Enligt förarbe- tena till lagen om elektronisk kommunikation (prop. 2002/03:110 s. 389 f.) torde begreppet trafikuppgifter avse samma slag av upp- gifter som avsågs i 49 § telelagen, där det talades om uppgifter som angår ett särskilt telemeddelande. Lokaliseringsuppgifter är med andra ord trafikuppgifter under förutsättning att de behandlas i syfte att befordra ett elektroniskt meddelande via ett elektroniskt kommunikationsnät eller för att fakturera detta meddelande eller de angår ett särskilt telemeddelande.

Enligt artikel 15 i det angivna direktivet (se vidare avsnitt 6.4) får medlemsstaterna genom lagstiftning begränsa omfattningen av de rättigheter och skyldigheter som anges i bl.a. artikel 6. Det får ske bl.a. när en sådan begränsning är nödvändig i ett demokratiskt samhälle samt lämplig och proportionell för att skydda nationell säkerhet, försvaret och allmän säkerhet samt för förebyggande, un- dersökning och avslöjande av brott och åtal för brott. En begräns- ning kan bl.a. innebära att uppgifter får bevaras under en begränsad period.

Bestämmelserna om bevarande av trafikuppgifter finns främst i 6 kap. 5, 6 och 8 §§ LEK och motsvarar i huvudsak den tidigare re- gleringen i 49 och 50 §§ telelagen. Huvudregeln framgår av 6 kap. 5 § LEK och innebär att trafikuppgifter som avser användare eller abonnenter som är fysiska personer och som lagras eller behandlas på annat sätt av den som bedriver anmälningspliktig verksamhet, ska utplånas eller avidentifieras när de inte längre behövs för att överföra ett elektroniskt meddelande.

54

Liksom telelagen tillåter lagen om elektronisk kommunikation att uppgifterna sparas för viss behandling. Enligt 6 kap. 6 § första stycket LEK får de trafikuppgifter som krävs för abonnentfakture- ring och betalning av avgifter för samtrafik behandlas till dess att fordran är betald eller preskription har inträtt och det inte längre lagligen går att göra invändningar mot faktureringen eller avgiften. Enligt bestämmelsens andra stycke får uppgifterna också behandlas för att bl.a. marknadsföra elektroniska kommunikationstjänster, om den abonnent eller användare som uppgifterna avser har sam- tyckt till det. Bestämmelsen i 6 kap. 6 § LEK kompletteras av 35 § förordningen (2003:396) om elektronisk kommunikation, som an- ger att Post- och telestyrelsen (PTS) får meddela närmare före- skrifter om vilka uppgifter som får behandlas enligt den bestäm- melsen i lagen om elektronisk kommunikation (jfr 22 § den upp- hävda teleförordningen). PTS har inte meddelat några sådana före- skrifter.

Även i 6 kap. 8 § LEK finns bestämmelser som tillåter att trafik- uppgifter sparas. Det rör för det första fallet att en myndighet be- höver ha tillgång till sådana uppgifter för att lösa tvister. För det andra rör det elektroniska meddelanden som befordras eller har expedierats eller beställts till eller från en viss adress i ett elektro- niskt kommunikationsnät som omfattas av beslut om hemlig tele- avlyssning eller hemlig teleövervakning. Det tredje fallet gäller när trafikuppgifterna är nödvändiga för att förhindra och avslöja obe- hörig användning av ett elektroniskt kommunikationsnät eller en elektronisk kommunikationstjänst. Enligt förarbetena (prop. 2002/03:110 s. 392) får uppgifterna inte sparas längre än vad som är nödvändigt för syftet. Längre tid än ett år bör inte godtas, om det inte föreligger särskild anledning, som att tvist har uppkommit eller förundersökning inletts i ett särskilt fall. I propositionen anfördes också att bestämmelsen även omfattar lagring av uppgifter för ut- redning och lagföring av brott, förutsatt att det sker i syfte att för- hindra eller avslöja en obehörig användning av nätet eller tjänsten i fråga.

Ytterligare undantag från huvudregeln i 6 kap. 5 § LEK om att trafikuppgifter ska utplånas eller avidentifieras när de inte längre behövs för att överföra ett elektroniskt meddelande finns i 6 kap. 13 § LEK. Enligt det bestämmelsen får skyddet mot nummerpre- sentation temporärt åsidosättas för att spåra störande samtal. Det kan vara fråga om hotfulla samtal eller rena okynnessamtal. Om en abonnent begär spårning av sådana samtal, får uppgifter som identi-

55

fierar den anropande abonnenten lagras och hållas tillgängliga för abonnenten på begäran.

Det finns lokaliseringsuppgifter som inte är trafikuppgifter (6 kap. 9 § LEK). Exempel på sådana uppgifter kan enligt förarbe- tena vara en positionsbestämning av en mobiltelefon via satellit, framförallt GPS-systemet (prop. 2002/03:110 s. 261). Lokalise- ringsuppgifter som inte är trafikuppgifter omfattas inte av re- gleringen som specifikt gäller trafikuppgifter enligt lagen om elek- tronisk kommunikation. Det innebär t.ex. att de inte behöver ut- plånas eller avidentifieras enligt bestämmelsen i 6 kap. 5 § LEK.

2.3Bestämmelserna om tillgång till trafikuppgifter

2.3.1Rättegångsbalken

Hemlig teleavlyssning

Våra överväganden rör trafikuppgifter som lämnas ut enligt regler- na i rättegångsbalken om hemlig teleövervakning. Trafikuppgifter avslöjar inte innehållet i de meddelanden som uppgifterna avser. Det är i stället efter domstolsbeslut om hemlig teleavlyssning som de brottsbekämpande myndigheterna kan få tillgång till innehållet i meddelanden. Förutsättningarna för beslut om hemlig teleövervak- ning och hemlig teleavlyssning är delvis desamma. Vi redogör där- för relativt utförligt även för bestämmelserna om hemlig teleav- lyssning.

Före andra världskriget saknades regler om telefonavlyssning i brottsutredande syfte. Det antogs att det krävdes Kungl. Majt:s beslut i varje särskilt fall för att avlyssning skulle kunna genomfö- ras. Förslag till regler om telefonavlyssning i samband med brotts- utredning lades första gången fram i betänkandet Förslag till rätte- gångsbalk (SOU 1938:43 och 44, se prop. 1975/76:202 s. 85).

Redan före andra världskriget infördes dock regler om telefon- avlyssning i två av de lagar som föranleddes av kriget, nämligen la- gen (1939:724) om särskilda tvångsmedel vid utredning rörande brott som avses i 8 eller 19 kap. strafflagen m.m. och lagen (1940:3) om vissa tvångsmedel vid krig eller krigsfara m.m. Båda lagarna fick provisorisk karaktär och skulle gälla till utgången av mars 1941. Giltighetstiden för 1939 års lag förlänges inte medan däremot 1940 års lag successivt förlängdes och upphörde att gälla vid utgången av juni 1945.

56

Mellan den 1 juli 1945, då 1940 års lag upphörde att gälla och den 1 januari 1948, då rättegångsbalken trädde i kraft, saknades be- stämmelser om telefonavlyssning i svensk lag.

Det utrikespolitiska läget ansågs år 1952 påkalla utvidgade möj- ligheter till bl.a. telefonavlyssning vid vissa brott mot rikets yttre och inre säkerhet. Efter mönster från 1939 och 1940 års lagar till- kom en ny provisorisk lag, lagen (1952:98) med särskilda bestäm- melser om tvångsmedel i vissa brottmål (benämnd 1952 års tvångsmedelslag). Lagen har förlängts och gäller enligt det senaste beslutet till utgången av år 2007 (se dock prop. 2007/08:9 och Ds 2007:2).

De nuvarande huvudsakliga bestämmelserna om hemlig teleav- lyssning och hemlig teleövervakning finns i 27 kap. 18-30 §§ RB. Hemlig teleavlyssning innebär att telemeddelanden som befordras eller har befordrats till eller från ett visst telefonnummer, en kod eller en annan teleadress avlyssnas eller spelas in i hemlighet genom ett tekniskt hjälpmedel. Bestämmelser som för vissa fall ger rätt att använda hemlig teleavlyssning finns också i 1952 års tvångsme- delslag, lagen (1988:97) om förfarandet hos kommunerna, förvalt- ningsmyndigheterna och domstolarna under krig eller krigsfara m.m. och lagen (1991:572) om särskild utlänningskontroll (se av- snitt 2.3.4).

Med telemeddelande avses i rättegångsbalken och i övriga nämn- da lagar detsamma som i 6 kap. 19 § tredje stycket LEK, nämligen ljud, text, bild, data eller information i övrigt som förmedlas med hjälp av radio eller genom ljus eller elektromagnetiska svängningar som utnyttjar särskilt anordnad ledare. Exempel på telemeddelan- den som får avlyssnas enligt bestämmelserna om hemlig teleavlyss- ning är telefonsamtal, telefax, elektronisk post och annan data- kommunikation.

För att ett telemeddelande ska få avlyssnas krävs att meddelan- det befordras eller har befordrats till eller från ett telefonnummer, en kod eller annan teleadress. Med teleadress avses t.ex. ett abon- nemang, en enskild anknytning, adressen för elektronisk post, en kod eller någon annan motsvarande tillförlitlig identifieringsmetod. Elektronisk post får alltså avlyssnas under samma förutsättningar som telefonsamtal, dvs. innehållet i meddelandet görs tillgängligt för de brottsutredande myndigheterna.

Tillstånd till hemlig teleavlyssning kan ges av rätten när förun- dersökningen rör ett brott för vilket det inte är föreskrivet lindriga- re straff än fängelse i två år, anstiftan eller medhjälp, eller försök, förberedelse eller stämpling till ett sådant brott. Tillstånd kan också

57

ges vid förundersökning angående annat brott, om det med hänsyn till omständigheterna kan antas att brottets straffvärde överstiger fängelse i två år (se 27 kap. 18 § andra stycket RB och prop. 2002/03:74 s. 31 ff.).

Beslutet får avse en teleadress som under den tid som tillståndet avser innehas eller har innehafts av den misstänkte eller annars kan antas ha använts eller komma att användas av den misstänkte. Ex- empel på det sistnämnda kan vara en teleadress som innehas av en närstående till en misstänkt eller en teleadress på den misstänktes arbetsplats.

Beslutet får även avse en teleadress som det finns synnerlig an- ledning att anta att den misstänkte under den tid som tillståndet avser har ringt till eller på annat sätt kontaktat eller kommer att ringa till eller på annat sätt kontakta (27 kap. 20 § första stycket RB).

Beslutet ska avse telemeddelanden som utväxlas under en i be- slutet viss angiven tid.

När åklagarens ansökan om tillstånd till hemlig teleavlyssning har kommit in till rätten, ska rätten så snart som möjligt utse ett offentligt ombud i ärendet. Det offentliga ombudet, som ska vara eller ha varit advokat eller ha varit ordinarie domare, har till uppgift att bevaka enskildas integritetsintressen i ärendet (27 kap. 26-30 §§ RB). Det offentliga ombudet ska lyfta fram alla integritetsaspekter, som t.ex. skyddet för tredje mans integritet.

Hemlig teleövervakning

Bestämmelser om hemlig teleövervakning infördes i rättegångsbal- ken år 1989. Dessförinnan fick s.k. telefonövervakning, innefattan- de bl.a. uppgifter om samtal som expedierats eller beställts till eller från en telefonapparat, bara användas i de fall som reglerades i 1952 års tvångsmedelslag och 1988 års lag om förfarandet hos kommu- nerna, förvaltningsmyndigheterna och domstolarna under krig eller krigsfara m.m.

Före sekretesslagens tillkomst år 1980 (se nedan) kunde polisen få uppgifter från Televerket om samtal till och från en viss telefon. Det ansågs kunna ske utan hinder av då gällande sekretessbestäm- melser. Polisen använde sig också av denna upplysningskälla i sitt arbete. I propositionen till bestämmelserna om hemlig teleövervak- ning (prop. 1988/89:124 s. 47 f.) uttalade regeringen dock att sek- retesslagen hindrade Televerket att lämna ut sådana uppgifter om

58

det inte fanns ett författningsstöd för det, som 1952 års lag. Reger- ingen konstaterade också att när tillstånd till teleavlyssning hade meddelats, torde uppgift om de samtal som ringts till eller från den avlyssnade apparaten ändå lämnas till de brottsutredande myndig- heterna. Enligt regeringens motiv i propositionen fanns det en stor fördel från brottsutredningssynpunkt om teleövervakning kunde användas som tvångsmedel vid sidan om teleavlyssning med mindre stränga villkor för användningen.

Hemlig teleövervakning (27 kap. 19-25 §§ RB) innebär att det i hemlighet hämtas in uppgifter om telemeddelanden som befordras eller har befordrats till eller från en teleadress som under den tid som tillståndet avser innehas eller har innehafts av den misstänkte eller annars kan antas ha använts eller komma att användas av den misstänkte. Det är alltså fråga om såväl realtidsuppgifter (uppgifter som genereras från det att beslutet om tvångsmedlet börjat verk- ställas) som historiska uppgifter. Hemlig teleövervakning får även avse en teleadress som det finns synnerlig anledning att anta att den misstänkte under den tid som tillståndet avser har ringt till eller på annat sätt kontaktat eller kommer att ringa till eller på annat sätt kontakta (27 kap. 20 § första stycket RB). Uppgifter om innehållet i telemeddelanden (avlyssning) omfattas inte av hemlig teleöver- vakning.

Liksom vid hemlig teleavlyssning finns bestämmelser som för vissa fall ger rätt att använda hemlig teleövervakning i 1952 års tvångsmedelslag, lagen om förfarandet hos kommunerna, förvalt- ningsmyndigheterna och domstolarna under krig eller krigsfara m.m. och lagen om särskild utlänningskontroll (se avsnitt 2.3.4).

Om hemlig teleövervakning avser ett telefonnummer kan en brottsutredande myndighet med hjälp av tvångsmedlet få uppgift om bl.a. till vilka telefonnummer samtal befordras eller har beford- rats från det övervakade numret, från vilka telefonnummer samtal befordras eller har befordrats till det numret, vid vilka tidpunkter samtalen sker eller har skett och längden på samtalen. Är det i stäl- let fråga om elektronisk post, finns möjligheten att genom tvångs- medlet få liknande uppgifter, exempelvis till vilka adresser medde- landen har expedierats från den övervakade adressen. Ett beslut om hemlig teleövervakning kan även innebära att ett telemeddelande hindras att nå fram till eller nå från en viss teleadress. Den möjlig- heten kan användas för att exempelvis förhindra kontakter, t.ex. varnande samtal, mellan personer som är missänkta för brott. Ett annat exempel är att kommunikation med en mobiltelefon förhind- ras för att tvinga en misstänkt person att i stället använda sig av en

59

viss annan telefon (SOU 1998:46 s. 477). I fråga om mobiltelefon- samtal är det också möjligt att genom hemlig teleövervakning få reda på från vilket geografiskt område ett telefonsamtal rings och var mottagaren av samtalet befinner sig (lokaliseringsuppgifter).

Tillstånd till hemlig teleövervakning får meddelas av rätten vid förundersökning om brott, samt även anstiftan och medhjälp till brott, för vilket det inte är föreskrivet lindrigare straff än fängelse i sex månader, brott enligt 4 kap. 9 c § brottsbalken (dataintrång), 16 kap. 10 a § brottsbalken (barnpornografibrott som inte är att anse som ringa), 1 § narkotikastrafflagen (1968:64, narkotikabrott) eller brott enligt 6 § första stycket lagen (2000:1225) om straff för smuggling (narkotikasmuggling). Vidare får tillstånd meddelas vid misstanke om försök, förberedelse eller stämpling till nämnda brott (27 kap. 19 § andra stycket RB).

Gemensamma förutsättningar för hemlig teleavlyssning och hemlig teleövervakning enligt rättegångsbalken

Hemlig teleavlyssning och hemlig teleövervakning får användas endast i förundersökning där någon är skäligen misstänkt för ett visst brott och åtgärden är av synnerlig vikt för utredningen om brottet (27 kap. 20 § första stycket RB). Uttrycket synnerlig vikt för utredningen behöver inte nödvändigtvis avse att avlyssningen eller övervakningen ska ge avgörande bevisning som omedelbart kan leda till en fällande dom. Synnerlig vikt för utredningen in- rymmer däremot ett kvalitetskrav beträffande de upplysningar som åtgärden kan ge. Det måste vara fråga om uppgifter som har bety- delse för att föra utredningen om brottet framåt. Uttrycket omfat- tar också ett krav på att utredningsläget ska göra avlyssningen eller övervakningen nödvändig (prop. 1988/89:124 s. 44 f.).

Tillståndstiden får inte bestämmas längre än nödvändigt och får inte överstiga en månad, såvitt gäller tid som infaller efter beslutet, alltså vid framtida meddelanden eller uppgifter (27 kap. 21 § andra stycket RB). Tillstånd kan dock förnyas på begäran av åklagaren. Domstolens beslut om tillstånd går enligt 30 kap. 12 § RB genast i verkställighet.

Från tillämpningsområdet för hemlig teleavlyssning och hemlig teleövervakning undantas telemeddelanden som endast befordras eller har befordrats inom ett telenät som med hänsyn till sin be- gränsade omfattning och omständigheterna i övrigt får anses vara av mindre betydelse från allmän kommunikationssynpunkt (27 kap.

60

20 § andra stycket RB). Därmed avses bl.a. system för snabbtelefo- ner, porttelefoner, PC-nät och liknande utrustning inom eller intill en bostad, hörslingor för hörselskadade eller interna system för personsökning i form av fasta installationer. Även interna tele- kommunikationer på mindre arbetsplatser via t.ex. PC-nät utgör telenät av mindre betydelse. Motsatsen gäller vanligtvis beträffande sådana telenät som är uppkopplade mot och används för kommu- nikation via allmänt tillgängliga telenät eller större företagsnät. Detsamma gäller fristående datorer som är försedda med modem och datorer i t.ex. små interna nätverk som via andra nätverk kom- municerar med varandra eller med t.ex. elektroniska anslagstavlor, informationsdatabaser eller andra informationssystem. Om kom- munikationen endast sker internt inom ett slutet nät bör det krävas att nätet är av större omfattning för att en tvångsåtgärd ska få äga rum. Frågan om ett telenät ska anses vara av mindre betydelse prö- vas utifrån en samlad bedömning av de olika omständigheter som rör ett telenäts betydelse från allmän kommunikationssynpunkt. Vid bedömningen kan bl.a. antalet anslutningar, geografisk sprid- ning och hur utrustningen fungerar och används ha betydelse (prop. 1994/95:227 s. 27 och 31 och Fitger, Rättegångsbalken 2 s. 27:41).

Beslag och editionsföreläggande avseende telemeddelanden

Det har i praxis förelegat en osäkerhet huruvida beslag och edi- tionsföreläggande kan användas för att få uppgifter som finns om telemeddelanden hos leverantörer. Det har förekommit att de brottsutredande myndigheterna har berett sig tillgång till uppgif- terna med hjälp av reglerna om husrannsakan och beslag i 27 och 28 kap. RB eller genom att utverka editionsföreläggande enligt 38 kap. 4 § RB. Det rör alltså sådana fall där det annars finns regler om ut- lämnande av uppgifter enligt rättegångsbalken och numera lagen om elektronisk kommunikation (SOU 1998:46 s. 71 och JO 1997/98 s. 47 ff.). Regeringen har uttalat att uppgifter om telemed- delanden, eller, med det uttryck som används i 6 kap. 20 § första stycket 3 LEK, ”uppgifter som angår ett särskilt elektroniskt med- delande”, hos leverantörer inte kan hämtas in med stöd av editions- föreläggande och husrannsakan i förening med beslag i fall där an- nars dessa andra regler för utfående av uppgifter gäller. Enligt re- geringen får detta anses följa redan av allmänna principer och något lagstiftningsbehov finns därför inte (prop. 2002/03:74 s. 45 f.).

61

Det bör nämnas att regeringens uttalande inte avser möjligheten för de brottsutredande myndigheterna att genomföra t.ex. hus- rannsakan i förening med beslag hos annan än leverantör för att få fram uppgifterna. Det kan t.ex. röra sig om innehållet i en telefon- svarare som enbart den enskilde förfogar över eller band med in- spelade telemeddelanden som förvaras av den enskilde (SOU 1998:46 s. 373).

Teleövervakningsuppgifter hos den enskilde kan finnas t.ex. i en nummerpresentatör eller i en mobiltelefon samtidigt som dessa uppgifter finns i leverantörens system. Det kan röra uppgift om inkomna eller utgående samtal och senast slagna nummer, När det gäller uppgifter som finns både hos den enskilde och hos leverantören kan uppgifterna bli åtkomliga för de brottsutredande myndigheter- na på båda sätten, dvs. genom t.ex. hemlig teleövervakning eller genom beslag eventuellt i kombination med husrannsakan hos den enskilde (SOU 1998:46 s. 373).

2.3.2Lagen om elektronisk kommunikation

Tillgången till trafikuppgifter

Vissa bestämmelser i lagen om elektronisk kommunikation knyter an till rättegångsbalkens regler om hemlig teleavlyssning och hem- lig teleövervakning. Enligt 6 kap. 19 § LEK ska vissa verksamheter bedrivas så att beslut om hemlig teleavlyssning och hemlig tele- övervakning kan verkställas och så att verkställandet inte röjs. In- nehållet i och uppgifter om avlyssnade eller övervakade telemedde- landen ska göras tillgängliga så att informationen enkelt kan tas om hand. Detta är den s.k. anpassningsskyldigheten (se vidare avsnitt 2.5.2).

I lagen om elektronisk kommunikation, liksom tidigare i telela- gen, finns också bestämmelser som ger de brottsbekämpande myn- digheterna möjligheter att under särskilt angivna omständigheter utan domstolsprövning få tillgång till bl.a. uppgifter som angår s.k. elektroniska meddelanden. Det rör sig här om historiska uppgifter.

Vid utlämnande av sådana uppgifter enligt lagen om elektronisk kommunikation är det i princip fråga om samma typ av uppgifter som myndigheterna kan få genom hemlig teleövervakning.

Regleringen i lagen om elektronisk kommunikation har sin ut- gångspunkt i att trafikuppgifterna av integritetshänsyn omfattas av tystnadsplikt. När uppgifterna lämnas ut till brottsbekämpande

62

myndigheter sker det genom särskilda bestämmelser om undantag från tystnadsplikten.

För samtliga uppgifter som omfattas av den lagringsskyldighet direktivet om lagring av trafikuppgifter anger gäller tystnadsplikten i 6 kap. 20 § LEK. Den bestämmelsen lyder på följande sätt.

Den som i samband med tillhandahållande av ett elektroniskt kommunikationsnät eller en elektronisk kommunikations- tjänst har fått del av eller tillgång till

1.uppgift om abonnemang,

2.innehållet i ett elektroniskt meddelande, eller

3.annan uppgift som angår ett särskilt elektroniskt med- delande,

får inte obehörigen föra vidare eller utnyttja det han fått del av eller tillgång till.

Sådan tystnadsplikt gäller inte i förhållande till den som har tagit del i utväxlingen av ett elektroniskt meddelande el- ler som på annat sätt har sänt eller tagit emot ett sådant med- delande.

Tystnadsplikt i fråga om uppgifter som avses i första stycket 1 och 3 gäller inte heller i förhållande till innehavare av ett abonnemang som använts för ett elektroniskt medde- lande.

Som följer av bestämmelsens första stycke gäller tystnadsplikten alla leverantörer. Det krävs inte att det nät eller den tjänst som le- verantören tillhandahåller är allmänt respektive allmän. Uttrycket i bestämmelsen om vem som träffas av tystnadsplikten (”den som i samband med tillhandahållande”) innebär att tillämpningsområdet inte är begränsat till leverantören utan att också andra aktörer om- fattas av tystnadsplikten, t.ex. den som på uppdrag av leverantören utför delar av tillhandahållandet av nätet eller tjänsten (se om detta och om undantag från tystnadsplikten PTS:s ”Sammanställning av lagstiftning och praxis kring utlämnande av teleuppgifter” från 2006-11-28).

Enligt 6 kap. 21 § LEK har leverantörerna dessutom tystnads- plikt för uppgift som hänför sig till användning av vissa hemliga tvångsmedel, nämligen hemlig teleavlyssning, hemlig teleövervak- ning och kvarhållande av försändelser. Denna tystnadsplikt gäller även mot abonnenten.

Det är främst genom de undantag från tystnadsplikten som re- gleras i 6 kap. 22 § första stycket 2 och 3 LEK som de brottsbe-

63

kämpande myndigheterna har möjligheter att begära och få ut tra- fikuppgifter. Bestämmelserna lyder på följande sätt.

Den som tillhandahåller ett elektroniskt kommunikationsnät eller en elektronisk kommunikationstjänst och därvid har fått del av eller tillgång till uppgift som avses i 20 § första stycket skall på begäran lämna

-----

2.uppgift som avses i 20 § första stycket 1 och som gäller misstanke om brott till åklagarmyndighet, polismyndighet el- ler någon annan myndighet som ska ingripa mot brottet, om fängelse är föreskrivet för brottet och det enligt myndighe- tens bedömning kan föranleda annan påföljd än böter,

3.uppgift som avses i 20 § första stycket 3 och som gäller misstanke om brott till åklagarmyndighet, polismyndighet el- ler någon annan myndighet som ska ingripa mot brottet, om det för brottet inte är föreskrivet lindrigare straff än fängelse

itvå år,

-----

Uppgift om abonnemang, enligt 6 kap. 20 § första stycket 1 LEK, avser uppgifter som identifierar en abonnent och/eller ett abonne- mang, framför allt namn, titel, adress och abonnentnummer (t.ex. telefonnummer). Abonnent är enligt 1 kap. 7 § LEK den som har ingått avtal med en leverantör av allmänt tillgängliga elektroniska kommunikationstjänster om tillhandahållande av sådana tjänster.

Även s.k. IMSI-nummer och IP-adresser har ansetts falla in un- der kategorin uppgift om abonnemang. Det gäller oavsett om IP- adressen är fast eller dynamisk (jfr dock Ds 2005:6 s. 324). En IP- adress tilldelas när t.ex. ett e-postmeddelande skickas på Internet. Varje leverantör disponerar ett visst antal IP-adresser, som ”lånas ut” till abonnenterna. Detta kan ske på permanent basis (s.k. fasta IP-adresser) eller dynamiskt, där abonnenten tilldelas en IP-adress varje gång uppkoppling sker mot leverantören. En fast eller statisk IP-adress innebär alltså att IP-adressen är fast knuten till ett Inter- netabonnemang och att samma IP-adress därför tilldelas vid varje tillfälle som uppkoppling sker.

Uppgifterna om abonnemang ska som framgår av bestämmelsen lämnas ut om fängelse är föreskrivet för brottet och brottet enligt den brottsbekämpande myndighetens bedömning kan föranleda annan påföljd än böter.

64

Annan uppgift som angår ett särskilt elektroniskt meddelande, en- ligt 6 kap. 20 § första stycket 3 LEK, avser t.ex. uppgift om mellan vilka telefonnummer eller IP-adresser som ett elektroniskt medde- lande har förmedlats, när och under hur lång tid förbindelsen var uppkopplad, från vilken basstation ett visst samtal skett samt det s.k. IMEI-numret. Uttrycket uppgift som angår ett särskilt elek- troniskt meddelande ska inte förstås så att den brottsbekämpande myndigheten måste specificera enskilda meddelanden, t.ex. genom att ange en viss abonnent och tidpunkt för meddelandet. S.k. bas- stationstömning, där de brottsbekämpande myndigheterna begär uppgifter som omfattas av tystnadsplikt om t.ex. samtliga de mo- biltelefoner som har varit uppkopplade för kommunikation och som då haft kontakt med en basstation i närheten av en brottsplats under en begränsad tid, anses vara annan uppgift som angår ett sär- skilt elektroniskt meddelande. Det rör sig alltså om uppgifter som genereras när ett samtal eller meddelandeutbyte äger rum, inte upp- gifter som enbart rör en påslagen telefon. Uppgifterna ska lämnas ut till de brottsbekämpande myndigheterna om det för brottet inte är föreskrivet lindrigare straff än fängelse i två år. Det innebär att inga försöks-, förberedelse- eller stämplingsbrott omfattas av re- gleringen (23 kap. 1 och 2 §§ brottsbalken).

När uppgifter lämnas ut enligt lagen om elektronisk kommuni- kation är det inte domstol som fattar beslut om utlämnande, utan begäran till leverantören kommer direkt från polis- eller åklagar- myndighet eller annan myndighet som ska ingripa mot brottet, t.ex. Tullverket. Det finns inte någon formell begränsning i tiden för den information som får begäras ut, eller med andra ord hur ”gammal” informationen får vara. En praktisk begränsning i möj- ligheten för de brottsbekämpande myndigheterna att få uppgifter från leverantörer finns dock i den nuvarande skyldigheten för leve- rantörerna att utplåna eller avidentifiera uppgifter.

Bestämmelserna i lagen om elektronisk kommunikation är inte begränsade till att gälla uppgifter som har anknytning till en person (jfr exempelvis 27 kap. 20 § första stycket RB). Det är med andra ord inte nödvändigt att, som vid hemlig teleavlyssning och hemlig teleövervakning, ha en skäligen misstänkt person för att undantaget från tystnadsplikten ska bli tillämpligt och uppgifterna lämnas ut. Inte heller behöver den teleadress som begäran avser ha en särskild anknytning till en eventuell misstänkt person. Det är tillräckligt med en misstanke om att ett brott med viss svårhetsgrad har be- gåtts.

65

Det finns uppgifter hos leverantörerna som inte omfattas av tystnadsplikten enligt 6 kap. 20 § LEK. Det gäller t.ex. uppgift om den s.k. PUK-koden (Personal Unblocking Key, Personlig Upp- låsningsKod) och lokaliseringsuppgifter som inte samtidigt är tra- fikuppgifter (6 kap. 9 § LEK). I sådana fall har leverantören inte någon skyldighet att lämna ut uppgifterna till en brottsbekämpande myndighet enligt bestämmelsen i 6 kap. 22 § LEK. Myndigheten kan i dessa fall få tillgång till uppgifterna genom husrannsakan, be- slag och editionsföreläggande. Om myndigheten i stället begär ut uppgifterna får leverantören pröva frågan om utlämnande med till- lämpning av andra bestämmelser, t.ex. personuppgiftslagen.

2.3.3Sekretesslagen

I sekretesslagen finns bestämmelser om sekretess som gäller för myndigheter som driver televerksamhet. Enligt 1 kap. 9 § sekre- tesslagen ska aktiebolag, handelsbolag, ekonomiska föreningar och stiftelser där kommuner eller landsting utövar ett rättsligt bestäm- mande inflytande jämställas med myndighet vid tillämpningen av sekretesslagen. Enligt 6 kap. 2 § LEK ska sekretesslagen tillämpas i det allmännas verksamhet i stället för 6 kap. 20-23 §§ LEK, dvs. i stället för bestämmelserna om tystnadsplikten och undantagen från denna.

I 9 kap. 8 § andra stycket sekretesslagen föreskrivs att sekretess gäller för en uppgift som angår ett särskilt telefonsamtal eller annat telemeddelande hos en myndighet som driver televerksamhet. En sådan uppgift som angår misstanke om brott får emellertid, som huvudregel, lämnas till en myndighet som har att ingripa mot brot- tet, om det är föreskrivet fängelse i minst ett år för brottet (14 kap. 2 § fjärde och femte styckena sekretesslagen). Såväl innehållet i ett telemeddelande som uppgifter om ett telemeddelande (både real- tidsuppgifter och historiska uppgifter), t.ex. när och mellan vilka abonnemang som meddelandet har utväxlats, torde kunna lämnas ut (jfr SOU 1992:70 s. 328 och prop. 1992/93:200 s. 311). Det är den utlämnande myndigheten som prövar om det enligt sekre- tesslagen finns förutsättningar för att lämna ut en uppgift till den brottsbekämpande myndigheten. Liksom för utlämnande enligt lagen om elektronisk kommunikation krävs inget domstolsbeslut. Bestämmelserna i sekretesslagen är inte heller begränsade till att gälla situationer när det finns en skäligen misstänkt person eller till teleadresser med särskild anknytning till denne.

66

Sedan Televerket som myndighet upphörde att bedriva verk- samhet har möjligheten att med stöd av sekretesslagen hämta in uppgifter om telemeddelanden kommit att i princip sakna praktisk betydelse för de brottsbekämpande myndigheternas verksamhet. I stället fick telelagen och senare lagen om elektronisk kommunika- tion den betydelse som sekretesslagen tidigare hade.

2.3.41952 års tvångsmedelslag m.fl.

Som nämndes tidigare finns bestämmelser om hemlig teleavlyss- ning och hemlig teleövervakning i bl.a. 1952 års tvångsmedelslag. Lagen gäller för vissa allmänfarliga brott och brott mot rikets inre och yttre säkerhet (13, 18 och 19 kap. brottsbalken). Ett sådant brott behöver enligt lagen inte vara så allvarligt att det omfattas av bestämmelserna i 27 kap. 18 och 19 §§ RB för att tillstånd ska kun- na ges till hemlig teleavlyssning och hemlig teleövervakning. Dess- utom får åklagare i brådskande fall ge tillfälliga tillstånd till tvångs- medlen. Även enligt 1988 års lag om förfarandet hos kommunerna, förvaltningsmyndigheterna och domstolarna under krig eller krigs- fara m.m. får åklagare under vissa förutsättningar fatta sådana be- slut. Enligt lagen om särskild utlänningskontroll får domstol ge tillstånd till hemlig teleavlyssning och hemlig teleövervakning även i visst förebyggande syfte.

När vi gör våra överväganden i betänkandet behandlar vi ut- tryckligen bestämmelserna i rättegångsbalken och lagen om elek- tronisk kommunikation. Övervägandena har dock gjorts även mot bakgrund av regleringarna i sekretesslagen, 1952 års tvångsme- delslag, 1988 års lag om förfarandet hos kommunerna, förvalt- ningsmyndigheterna och domstolarna under krig eller krigsfara m.m. och lagen om särskild utlänningskontroll.

Vi har också tagit del av och beaktat innehållet i departements- promemorian Brott och brottsutredning i IT-miljö, Europarådets konvention om IT-relaterad brottslighet med tilläggsprotokoll (Ds 2005:6) och i propositionen Åtgärder för att förhindra vissa särskilt allvarliga brott (prop. 2005/06:177), med förslag om att bl.a. hemlig teleövervakning under vissa förutsättningar ska kunna användas för att förhindra brott.

67

2.3.5Lagen om internationell rättslig hjälp i brottmål

Bestämmelser om internationell rättslig hjälp i brottmål finns i la- gen (2000:562) om internationell rättslig hjälp i brottmål (Lirb), i förordningen (2000:704) med samma namn och i tillkännagivande (2005:1207) av överenskommelser som avses i lagen om internatio- nell rättslig hjälp i brottmål. Innehållet i flera internationella över- enskommelser som Sverige har tillträtt eller annars är bundet av har arbetats in i den svenska lagen eller förordningen.

Lagen är tillämplig på det internationella rättsliga samarbetet, dvs. på det samarbete som tar sikte på rättsliga förfaranden som gäller utredning om och lagföring för brott. Lagen tillämpas av svenska åklagare och domstolar men är inte tillämplig i det interna- tionella polissamarbetet. I fråga om utlämning, överförande av lag- föring och delgivning finns särskilda bestämmelser.

Enligt lagen kan rättslig hjälp bl.a. omfatta hemlig teleavlyssning och hemlig teleövervakning, tekniskt bistånd med hemlig teleav- lyssning och hemlig teleövervakning samt tillstånd till gränsöver- skridande hemlig teleavlyssning och hemlig teleövervakning (1 kap. 2 § första stycket 6-8 Lirb).

En ansökan om rättslig hjälp i form av hemlig teleavlyssning eller hemlig teleövervakning i Sverige handläggs av åklagare. Åklagaren ska genast pröva om det finns förutsättningar för den begärda åt- gärden och ansöka om rättens tillstånd. I förhållande till EU-stater samt Island och Norge får hemlig teleavlyssning eller hemlig tele- övervakning verkställas genom omedelbar överföring av telemedde- landen eller uppgifter om telemeddelanden till den ansökande sta- ten om det kan ske under betryggande former. Tillstånd till hemlig teleavlyssning eller hemlig teleövervakning lämnas under samma förutsättningar som gäller för motsvarande åtgärder under en svensk förundersökning enligt rättegångsbalken och enligt de sär- skilda bestämmelserna i lagen om internationell rättslig hjälp i brottmål (2 kap. 1 § första stycket och 4 kap. 25 och 25 a §§ Lirb). Vid prövningen om åtgärden kan vidtas i Sverige ska gärningen be- dömas enligt svensk rätt. Kopplingen i 2 kap. 1 § Lirb till bestäm- melserna i rättegångsbalken innebär automatiskt ett krav på dubbel straffbarhet och att de strafftrösklar som gäller enligt rättegångs- balken (27 kap. 18 och 19 §§ RB) även tillämpas gentemot den andra staten. Kravet på dubbel straffbarhet framgår dessutom ut- tryckligen i 2 kap. 2 § Lirb.

En ansökan om rättslig hjälp i form av tekniskt bistånd med hem- lig teleavlyssning och hemlig teleövervakning i Sverige prövas av åkla-

68

gare. Sådan rättslig hjälp kan lämnas i förhållande till EU-länder samt Island och Norge och bygger på att telemeddelanden kan överföras omedelbart till den ansökande staten samt att meddelan- den ska avlyssnas och tas upp där och inte i Sverige. Svenska myn- digheters insatser begränsas till att tekniskt hjälpa till med att över- föra telemeddelanden till den ansökande statens myndigheter, dvs. att möjliggöra verkställighet av det utländska beslutet. För att en ansökan ska beviljas krävs att beslut om hemlig teleavlyssning eller hemlig teleövervakning har meddelats i den ansökande staten och att överföringen kan ske under betryggande former. Rättslig hjälp i form av tekniskt bistånd med hemlig teleavlyssning och hemlig te- leövervakning i Sverige lämnas i enlighet med bestämmelserna i 2 kap. 1 § andra stycket samt 4 kap. 25 b och 25 c §§ Lirb. Vid den- na form av rättslig hjälp krävs inte dubbel straffbarhet.

Tillstånd till gränsöverskridande hemlig teleavlyssning och hemlig teleövervakning, utan svenskt bistånd, av någon som befinner sig i Sverige, lämnas av domstol. En utländsk ansökan om sådan rättslig hjälp handläggs av åklagare enligt bestämmelserna i 4 kap. 26- 26 b §§ Lirb. Åklagaren ska genast pröva om förutsättningar för åtgärden finns och i så fall ansöka om rättens tillstånd. Av 2 kap. 2 § Lirb framgår att det krävs dubbel straffbarhet.

Den åklagare eller domare som handlägger ansökan om rättslig hjälp prövar också om de förutsättningar som gäller enligt lagen, t.ex. angående ansökans innehåll, krav på dubbel straffbarhet eller viss strafftröskel är uppfyllda. Om så inte är fallet ska ansökan avs- lås efter att den ansökande utländska myndigheten fått tillfälle att komma in med komplettering (2 kap. 9 § och 15 § andra stycket Lirb).

Avslag på grund av hänsyn till Sveriges suveränitet, rikets säker- het och svenska allmänna intressen och liknande prövas av reger- ingen (2 kap. 14 § och 15 § första stycket Lirb). Om en åklagare finner att en ansökan om rättslig hjälp bör avslås på någon sådan grund, ska ansökan, efter att samråd skett med riksåklagaren, över- lämnas till Justitiedepartementet.

Om en begäran om rättslig hjälp bifalls, kan särskilda villkor ställas upp som är påkallade med hänsyn till enskilds rätt eller som är nödvändiga från allmän synpunkt, t.ex. att trafikuppgifterna inte får föras vidare till annan stat eller att de ska förstöras efter att de har använts i den utredning de har begärts in för. Villkor får dock inte ställas upp om de strider mot en internationell överenskom- melse som är bindande för Sverige (5 kap. 2 § Lirb).

69

Om trafikuppgifter som den andra staten efterfrågar skulle fin- nas hos en svensk myndighet, t.ex. hos polisen efter en verkställd hemlig teleövervakning, gäller även sekretesslagens bestämmelser. Enligt 1 kap. 3 § tredje stycket den lagen får sekretessbelagd upp- gift inte röjas för utländsk myndighet annat än om utlämnande sker i enlighet med särskild föreskrift i lag eller förordning eller om uppgiften i motsvarande fall skulle få lämnas ut till svensk myndig- het och det enligt den utlämnande myndighetens prövning står klart att det är förenligt med svenska intressen att uppgiften lämnas till den utländska myndigheten.

Svenska åklagares och domstolars egna möjligheter att utom- lands begära rättslig hjälp styrs i huvudsak av lagstiftningen i den andra staten och av de internationella åtaganden som den staten har gjort i förhållande till Sverige. Förutom att det finns vissa allmänna regler om vad en sådan ansökan ska innehålla och vart den ska skickas, finns vissa särskilda bestämmelser i lagen om internationell rättslig hjälp i brottmål som tar sikte på svenska åklagares hand- läggning av ärenden om hemlig teleavlyssning och hemlig teleöver- vakning, tekniskt bistånd med hemlig teleavlyssning och hemlig teleövervakning, samt tillstånd till gränsöverskridande hemlig tele- avlyssning och hemlig teleövervakning utomlands.

I enlighet med bestämmelserna i lagen om internationell rättslig hjälp i brottmål får åklagare ansöka hos en utländsk myndighet om rättslig hjälp eller tekniskt bistånd med hemlig teleavlyssning eller hemlig teleövervakning av någon som befinner sig i en annan stat eller i Sverige. Av ansökan ska framgå under vilken tid åtgärden önskas samt sådana uppgifter som behövs för att åtgärden ska kun- na genomföras. Den andra staten kan kräva att ansökan ska prövas av domstol i Sverige. Det ankommer då på åklagaren att begära att rätten ska pröva frågan om att tillåta den hemliga teleavlyssningen eller hemliga teleövervakningen (4 kap. 26 § Lirb).

Om svensk domstol beslutat om hemlig teleavlyssning eller hemlig teleövervakning och den person som åtgärden avser befin- ner sig i en annan EU-stat eller på Island eller i Norge, och Sverige har möjlighet att vidta åtgärden utan bistånd av den andra staten, ska åklagaren ansöka om tillstånd till åtgärden från den andra staten (4 kap. 26 c § Lirb). Ett sådant tillstånd bör om möjligt sökas innan åtgärden har påbörjats eller annars omedelbart sedan det fram- kommit att den person som åtgärden avser befinner sig i den andra staten. Ansökan om tillstånd till åtgärden görs av åklagare. Av an- sökan ska det framgå under vilken tid åtgärden beräknas pågå. An-

70

sökan ska också innehålla uppgift om det svenska domstolsbeslutet om tvångsmedlet.

2.4Artikel 2 i rambeslutet 2002/584/RIF om en europeisk arresteringsorder och överlämnande mellan medlemsstaterna

Syftet med direktivet om lagring av trafikuppgifter är att trafikupp- gifter ska finnas lagrade och tillgängliga för att kunna lämnas ut och användas för utredning, avslöjande och åtal av allvarlig brotts- lighet. Enligt direktivet får varje stat avgöra vad som är allvarlig brottslighet. Vi ska enligt våra direktiv överväga om de bestämmel- ser om lagring av trafikuppgifter som vi föreslår ger anledning att ändra i de bestämmelser i rättegångsbalken och lagen om elektro- nisk kommunikation som reglerar förutsättningarna för att lämna ut uppgifter till brottbekämpande myndigheter. Enligt ett uttalande från rådet ska medlemsstaterna ta ”vederbörlig hänsyn” till de brott som förtecknas i artikel 2 i rambeslutet om en europeisk arreste- ringsorder och överlämnande mellan medlemsstaterna (2002/584/RIF). Artikeln har följande lydelse.

Artikel 2

Tillämpningsområde för en europeisk arresteringsorder

1.En europeisk arresteringsorder får utfärdas för gärningar som enligt den utfärdande medlemsstatens lagstiftning kan leda till fängelse eller frihetsberövande åtgärd i tolv månader eller mer. Detsamma gäller om ett straff eller annan frihets- berövande åtgärd i minst fyra månader har dömts ut.

2.Följande brott ska medföra överlämnande på grundval av en europeisk arresteringsorder enligt villkoren i detta rambe- slut och utan kontroll av om det föreligger dubbel straffbar- het för gärningen, förutsatt att brotten, som de definieras i den utfärdande medlemsstatens lagstiftning, kan leda till fängelse eller annan frihetsberövande åtgärd i minst tre år i den utfärdande medlemsstaten:

–Deltagande i en kriminell organisation.

–Terrorism.

71

som helst enhälligt besluta att lägga till andra typer av brott i förteckningen i punkt 2 i den här artikeln. Mot bakgrund av kommissionens rapport enligt artikel 34.3 ska rådet bedöma om förteckningen bör utvidgas eller ändras.

4. När det gäller andra brott än de som omfattas av punkt 2 kan överlämnandet förenas med villkoret att de gärningar för vilka den europeiska arresteringsordern har utfärdats ska ut- göra ett brott enligt den verkställande medlemsstatens lag- stiftning, oberoende av brottsrekvisit eller brottets rättsliga rubricering.

I lagen (2003:1156) om överlämnande från Sverige enligt en euro- peisk arresteringsorder regleras förutsättningarna för utlämnande enligt arresteringsorder. Listan på brottslighet i artikel 2:2 i rambe- slutet finns som bilaga till den lagen. I 2 kap. 2 § finns bestämmel- ser om strafftrösklar och krav på dubbel straffbarhet. Där framgår i andra stycket att om det i arresteringsordern har angetts att en gär- ning är sådan som finns i bilagan till lagen, den s.k. listan, och det för gärningen enligt den utfärdande medlemsstatens lagstiftning är föreskrivet en frihetsberövande påföljd i tre år eller mer, ska över- lämnande beviljas även om gärningen inte motsvarar brott enligt svensk lag.

Våra överväganden i frågan om bestämmelserna om tillgång till trafikuppgifter för de brottsbekämpande myndigheterna behöver förändras finns i avsnitt 11.

2.5Bestämmelserna om anpassningsskyldighet

2.5.1Telelagen

Bestämmelserna om anpassningsskyldighet reglerar leverantörernas skyldighet att bedriva en verksamhet så att beslut om hemlig tele- avlyssning och hemlig teleövervakning kan verkställas och så att verkställandet inte röjs.

Anpassningsskyldighet för leverantörer infördes i telelagen ge- nom propositionen 1995/96:180 Leverantörernas skyldigheter vid hemlig teleavlyssning och hemlig teleövervakning. Regeringen utta- lade då bl.a. (prop. 1995/96:180 s. 17 ff.) att hemlig teleavlyssning och hemlig teleövervakning är oumbärliga verktyg i den brottsut- redande verksamheten bl.a. i kampen mot narkotikan, den organi-

73

serade brottsligheten och allvarligare ekonomisk brottslighet samt vid brott mot rikets inre och yttre säkerhet, och att det är ytterst angeläget att möjligheterna till verkställighet av tvångsmedlen på teleområdet upprätthålls. Regeringen anförde i detta sammanhang att den faktiska anpassningen av systemen inte kan göras av de brottsutredande myndigheterna själva. Regeringen menade att tele- systemet vid varje givet tillfälle bör innehålla de egenskaper som behövs för att ett beslut om hemlig teleavlyssning eller hemlig tele- övervakning genast ska kunna verkställas. Den närmare innebörden av leverantörernas skyldighet beskrevs som i praktiken ett krav på att leverantörerna ska använda sig av tekniska hjälpmedel som har vissa egenskaper och att de ska vidta de personella och organisato- riska dispositioner som krävs för att hantera hjälpmedlen.

Av 7 och 17 §§ telelagen följde att den som hade beviljats till- stånd att inom ett allmänt tillgängligt telenät tillhandahålla telefo- nitjänst till fast nätanslutningspunkt, mobil teletjänst eller nätkapa- citet, skulle bedriva verksamheten på sådant sätt att hemlig teleav- lyssning och hemlig teleövervakning kunde verkställas och så att verkställandet inte röjdes. Innehållet i och uppgifter om de avlyss- nade eller övervakade telemeddelandena skulle göras tillgängliga så att informationen enkelt kunde tas om hand. Tillstånd erfordrades om verksamheten hade en omfattning som med avseende på ut- bredningsområde, antalet användare eller annat jämförbart förhål- lande var betydande.

Det som nu har sagts innebär att skyldigheten enligt 17 § telela- gen att anpassa verksamheten enbart gällde i förhållande till vissa leverantörer, nämligen de som var skyldiga att ha tillstånd enligt telelagen.

I 15 § andra och tredje styckena telelagen föreskrevs att ett till- stånd enligt 7 § den lagen (tidigare 5 §) skulle förenas med villkor som gällde sättet att fullgöra skyldigheten och att regeringen eller tillsynsmyndigheten meddelade närmare föreskrifter om det sätt på vilket tillståndsvillkoren skulle fullgöras.

2.5.2Lagen om elektronisk kommunikation

Lagen om elektronisk kommunikation ersatte telelagen från och med den 25 juli 2003. Den ställer upp liknande krav på anpassning som telelagen tidigare gjorde. Bestämmelsen finns i 6 kap. 19 § LEK och har följande lydelse.

74

En verksamhet ska bedrivas så att beslut om hemlig teleav- lyssning och hemlig teleövervakning kan verkställas och så att verkställandet inte röjs, om verksamheten avser tillhanda- hållande av

1.ett allmänt kommunikationsnät som inte enbart är av- sett för utsändning till allmänheten av program i ljudradio el- ler annat som anges i 1 kap. 1 § tredje stycket yttrandefri- hetsgrundlagen, eller

2.tjänster inom ett allmänt kommunikationsnät vilka be- står av

a) en allmänt tillgänglig telefonitjänst till fast nätanslut- ningspunkt som medger överföring av lokala, nationella och internationella samtal, telefax och datakommunikation med en viss angiven lägsta datahastighet, som medger funktionell tillgång till Internet, eller

b) en allmänt tillgänglig elektronisk kommunikations- tjänst till mobil nätanslutningspunkt.

Innehållet i och uppgifter om avlyssnade eller övervakade telemeddelanden ska göras tillgängliga så att informationen enkelt kan tas om hand.

Med telemeddelande avses ljud, text, bild, data eller in- formation i övrigt som förmedlas med hjälp av radio eller ge- nom ljus eller elektromagnetiska svängningar som utnyttjar särskilt anordnad ledare.

Regeringen eller den myndighet som regeringen bestäm- mer meddelar föreskrifter om frågor som avses i första och andra styckena samt får i enskilda fall medge undantag från kravet i första stycket.

Telelagens bestämmelser i nu aktuellt avseende byggde på en till- ståndsplikt. Lagen om elektronisk kommunikation utgår i stället från en anmälningsplikt. För att, som det anges i den citerade be- stämmelsen, tillhandahålla ett allmänt kommunikationsnät eller en allmänt tillgänglig elektronisk kommunikationstjänst fordras i all- mänhet endast en anmälan (2 kap. 1 § LEK). Detta har fått till följd att de tillståndsvillkor om anpassningsskyldighet som var kopplade till de gamla tillstånden upphörde att gälla i samband med ikraftträ- dandet av lagen om elektronisk kommunikation (se SOU 2005:38 s. 269). Den slutsatsen kan dras eftersom det saknas övergångsbe- stämmelser om fortsatt giltighet av de tillståndsvillkoren i lagen (2003:390) om införande av lagen om elektronisk kommunikation. Detta torde innebära att anpassningsskyldigheten gäller, så att säga,

75

fullt ut, dvs. att leverantörer som faller under bestämmelsen i 6 kap. 19 § LEK har en skyldighet att se till att aktuella verksamheter be- drivs så att beslut om hemlig teleavlyssning och hemlig teleöver- vakning kan verkställas och så att verkställandet inte röjs, allt enligt vad som föreskrivs i 6 kap. 19 § första stycket LEK.

Den enskilde leverantören har dock, enligt 6 kap. 19 § fjärde stycket LEK, en möjlighet att begära undantag från kravet på hur verksamheten ska bedrivas i det nämnda avseendet. Undantagsbe- stämmelsen, som alltså medger att beslut fattas om en anpassnings- skyldighet efter omständigheterna i det enskilda fallet, kom till mot bakgrund av att den anpassningsskyldighet som anges i lagen om elektronisk kommunikation inte är begränsad till verksamheter av viss storlek. Skulle skyldigheten bli allt för betungande för en mindre leverantör, kan undantag medges efter en prövning i det enskilda fallet (prop. 2002/03:110 s. 270).

Enligt 6 kap. 19 § fjärde stycket LEK meddelar regeringen eller den myndighet som regeringen bestämmer föreskrifter rörande anpassningsskyldigheten. I 36 § förordningen om elektronisk kommunikation har regeringen bestämt att PTS, efter samråd med Åklagarmyndigheten och Rikspolisstyrelsen, dels får utfärda verk- ställighetsföreskrifter, dels får medge undantag i enskilda fall från kravet på hur verksamheten ska bedrivas enligt 6 kap. 19 § första stycket LEK. Verkställighetsföreskrifterna i sig kan inte innehålla generella undantag från anpassningsskyldigheten.

2.6BRU:s uppdrag och förslag

Genom tilläggsdirektiv (dir. 2003:145) fick BRU i uppdrag att göra en översyn av de regler som styr de brottsbekämpande myndighe- ternas möjligheter att få tillgång till innehållet i och uppgifter om elektronisk kommunikation. Det skedde bl.a. mot bakgrund av att flera för de brottsbekämpande myndigheterna viktiga frågor hade lämnats åt sidan när lagen om elektronisk kommunikation infördes. BRU skulle bl.a. utreda om och i så fall under vilka förutsättningar som trafikuppgifter skulle bevaras hos leverantörerna.

BRU föreslog i betänkandet Tillgång till elektronisk kommuni- kation i brottsutredningar m.m. (SOU 2005:38) förändringar i rät- tegångsbalken och lagen om elektronisk kommunikation.

En del av förslagen rörde rättegångsbalkens terminologi där BRU föreslog bl.a. att begreppen teleavlyssning, teleövervakning, telemeddelande, telenät och teleadress ska förändras för att bättre

76

anpassas till den tekniska utvecklingen och till lagen om elektro- nisk kommunikation. BRU föreslog vidare att det domstolsförfa- rande som tillämpas vid hemlig teleövervakning ska tillämpas även när ”annan uppgift som angår ett särskilt elektroniskt meddelande” lämnas ut enligt lagen om elektronisk kommunikation. En helt nödvändig följd av ett sådant förslag skulle enligt BRU vara att hemlig teleövervakning blir möjlig att använda även i fall där det saknas en skäligen misstänkt person. Dock skulle brottsligheten då vara så allvarlig att den kan ligga till grund för hemlig teleavlyss- ning. För att undvika att dubbla beslut om tvångsmedel behöver fattas menade BRU också att ett tillstånd till hemlig teleavlyssning ska ge rätt till de uppgifter som erhålls genom beslut om hemlig teleövervakning. När det gäller anpassningsskyldigheten föreslog BRU att den skulle regleras så teknikneutralt som möjligt och där- för vara generell med möjlighet för Rikspolisstyrelsen att i enskilda fall medge undantag från skyldigheten.

BRU:s förslag bereds för närvarande inom Justitiedepartemen- tet.

Sedan regeringen beslutat om tilläggsdirektiven till BRU i no- vember 2003 drabbades Europa av det största terroristattentatet sedan andra världskriget. Attentaten i Madrid den 11 mars 2004 tog omkring 200 personers liv och skadade över 1 500. Den händelsen initierade det arbete inom EU som resulterade i att rådet för rätts- liga och inrikes frågor (RIF) den 25 mars 2004 fick i uppdrag av Europeiska rådet att snarast anta gemensamma åtgärder om lagring av trafikuppgifter. Ett antal länder, däribland Sverige, utarbetade förslag som presenterades under sommaren 2004 och som därefter förhandlades. Europaparlamentet och rådet antog den 15 mars 2006 direktivet om lagring av trafikuppgifter.

Redan innan direktivet om lagring av trafikuppgifter antogs hade ett flertal länder i Europa regler om lagring av trafikuppgifter för brottsbekämpande syften. BRU angav (SOU 2005:38 s. 327 f.) att tiden för bevarandet var satt till minst ett år i Belgien, maximalt ett år i Danmark och Frankrike, minst tre år i Irland, minst fyra år i Italien, tre månader i Nederländerna, maximalt ett år i Polen och Spanien samt maximalt sex månader i Schweiz. I Storbritannien fanns ett frivilligt åtagande hos leverantörerna att spara trafikupp- gifter i ett år.

Det internationella arbete som hade inletts under den tid BRU arbetade med frågan om lagring av trafikuppgifter fick BRU att dra slutsatsen att det inte var meningsfullt att lämna något förslag i den frågan. BRU hade dock kommit så långt i sitt arbete att man redo-

77

visade vissa bedömningar, bl.a. om behovet av trafikuppgifter i brottsbekämpningen, om lagringstidens längd och om de problem som uppstår i det brottsbekämpande arbetet med frånvaron av en lagringsskyldighet. Vi återkommer till BRU:s bedömningar i de frågorna i avsnitt 6.5.2 och 7.3.1.

78

3Direktivet om lagring av trafikuppgifter

EUROPAPARLAMENTETS OCH RÅDETS DIREKTIV 2006/24/EG

av den 15 mars 2006

om lagring av uppgifter som genererats eller behandlats i sam- band med tillhandahållande av allmänt tillgängliga elektroniska kommunikationstjänster eller allmänna kommunikationsnät och om ändring av direktiv 2002/58/EG

EUROPAPARLAMENTET OCH EUROPEISKA UNIONENS RÅD HAR ANTAGIT DETTA DIREKTIV

med beaktande av fördraget om upprättandet av Europeiska ge- menskapen, särskilt artikel 95,

med beaktande av kommissionens förslag,

med beaktande av Europeiska ekonomiska och sociala kommitténs yttrande1,

i enlighet med förfarandet i artikel 251 i fördraget2, och

av följande skäl:

1Yttrande avgivet den 19 januari 2006 (ännu ej offentliggjort i EUT).

2Europaparlamentets yttrande av den 14 december 2005 (ännu ej offentliggjort i EUT) och rådets beslut av den 21 februari 2006.

79

(1)Enligt Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter3 skall medlemsstaterna skydda fysiska personers fri- och rättigheter i samband med behandling av personuppgifter, särskilt deras rätt till privatliv, för att garantera det fria flödet av person- uppgifter inom gemenskapen.

(2)I Europaparlamentets och rådets direktiv 2002/58/EG av den 12 juli 2002 om behandling av personuppgifter och integritets- skydd inom sektorn för elektronisk kommunikation (direktiv om integritet och elektronisk kommunikation)4 översattes de principer som fastställts i direktiv 95/46/EG till specifika regler för elektro- nisk kommunikation.

(3)I artiklarna 5, 6 och 9 i direktiv 2002/58/EG fastställs de be- stämmelser som gäller för den behandling som nät- och tjänsteleve- rantörer gör av trafik- och lokaliseringsuppgifter som genereras vid användning av elektroniska kommunikationstjänster. Sådana upp- gifter måste raderas eller göras anonyma när de inte längre behövs för överföring, med undantag av uppgifter som behövs för fakture- ring eller betalning av samtrafikuppgifter. Förutsatt att medgivande ges kan vissa uppgifter också behandlas för marknadsföring eller för att tillhandahålla mervärdestjänster.

(4)I artikel 15.1 i direktiv 2002/58/EG fastställs de villkor på vilka medlemsstaterna får begränsa omfattningen av de rättigheter och skyldigheter som anges i artiklarna 5 och 6 samt artikel 8.1, 8.2, 8.3 och 8.4 och artikel 9 i det direktivet. Varje sådan begränsning måste anses vara nödvändig, lämplig och proportionell i ett demokratiskt samhälle för den allmänna ordningens skull, dvs. för att skydda na- tionell säkerhet (dvs. statens säkerhet), försvaret och allmän säker- het eller för att förebygga, utreda, avslöja och åtala brott eller för obehörig användning av ett elektroniskt kommunikationssystem.

(5)Flera medlemsstater har antagit lagstiftning om leverantörers skyldighet att lagra trafikuppgifter för att kunna förebygga, utreda,

3EGT L 281, 23.11.1995, s. 31. Direktivet ändrat genom förordning (EG) nr 1882/2003 (EUT L 284, 31.10.2003, s. 1).

4EGT L 201, 31.7.2002, s. 37.

80

avslöja och åtala brott. Dessa nationella bestämmelser är i stor ut- sträckning olika.

(6)Skillnader i rättsliga och tekniska bestämmelser i medlemssta- terna avseende lagring av trafikuppgifter i syfte att förebygga, utre- da, avslöja och åtala brott utgör hinder för den inre marknaden för elektronisk kommunikation, eftersom tjänsteleverantörer ställs in- för olika krav avseende typen av trafik- och lokaliseringsuppgifter som skall lagras liksom villkoren för lagring och lagringstiderna.

(7)I slutsatserna från rådet (rättsliga och inrikes frågor) av den 19 december 2002 understryks det att eftersom omfattningen av elek- tronisk kommunikation ökat avsevärt är uppgifter om användning- en av sådan kommunikation särskilt viktiga och därför ett värde- fullt verktyg när det gäller att förebygga, utreda, avslöja och åtala brott, särskilt organiserad brottslighet.

(8)I Europeiska rådets uttalande om kampen mot terrorism av den 25 mars 2004 ges rådet i uppdrag att undersöka åtgärder om fast- ställande av regler för lagring av trafikuppgifter från kommunika- tion hos tjänsteoperatörer.

(9)Enligt artikel 8 i Europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna har alla personer rätt till skydd för sitt privatliv och sin korrespondens. En offentlig myndighets inblandning i utövandet av denna rättighet får bara ske i enlighet med vad som är stadgat i lag och om det är nöd- vändigt i ett demokratiskt samhälle, bland annat med hänsyn till landets nationella säkerhet eller den allmänna säkerheten, för att förebygga oordning eller brott eller för att skydda andra personers fri- och rättigheter. Eftersom lagring av uppgifter har visat sig vara ett så nödvändigt och effektivt redskap för de brottsbekämpande myndigheternas utredningar i många medlemsstater och framför allt i allvarliga fall som organiserad brottslighet och terrorism är det därför nödvändigt att se till att brottsbekämpande myndigheter får tillgång till lagrade uppgifter under en viss tid i enlighet med de villkor som föreskrivs i detta direktiv. Antagandet av ett instru- ment om lagring av uppgifter i enlighet med kraven i artikel 8 i Eu- ropeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna är därför en nödvändig åtgärd.

81

(10)Den 13 juli 2005 upprepade rådet i sitt uttalande om fördö- mande av bombattentaten i London behovet av att så snart som möjligt anta gemensamma åtgärder om lagring av telekommunika- tionsuppgifter.

(11)Med tanke på hur viktiga trafik- och lokaliseringsuppgifter är för att kunna utreda, avslöja och åtala brott, något som framkom- mit både genom forskning och genom medlemsstaternas praktiska erfarenheter, är det viktigt att på europeisk nivå säkerställa att upp- gifter som vid tillhandahållande av kommunikationstjänster genere- ras eller behandlas av leverantörer av allmänt tillgängliga elektro- niska kommunikationstjänster eller av allmänna kommunikations- nät lagras under en viss tid i enlighet med de villkor som föreskrivs i detta direktiv.

(12)Artikel 15.1 i direktiv 2002/58/EG fortsätter att gälla för så- dana uppgifter, inklusive uppgifter relaterade till misslyckade upp- ringningsförsök, för vilka det inte finns särskilda krav på lagring enligt det här direktivet och som därför faller utanför dess tillämp- ningsområde, samt för lagring i andra, däribland rättsliga, syften än de som omfattas av det här direktivet.

(13)Detta direktiv avser endast uppgifter som genereras eller be- handlas som en konsekvens av en kommunikation eller en kommu- nikationstjänst och avser inte uppgifter som utgör innehållet i den information som förmedlas vid kommunikationen. Lagring bör ske på ett sådant sätt att man undviker att uppgifter lagras mer än en gång. Uppgifter som genererats eller behandlats i samband med tillhandahållande av de aktuella kommunikationstjänsterna avser uppgifter som är tillgängliga. När det särskilt gäller lagring av upp- gifter i samband med Internetbaserad e-post och Internettelefoni får tillämpningsområdet begränsas till leverantörernas eller nät- verksleverantörernas egna tjänster.

(14)Den teknik som används för elektronisk kommunikation ut- vecklas snabbt, och de behöriga myndigheternas legitima krav kan därför komma att ändras. För att få råd och uppmuntra utbyte av erfarenheter om bästa metoder i dessa frågor avser kommissionen att inrätta en grupp bestående av medlemsstaternas brottsbekäm- pande myndigheter, sammanslutningar inom den elektroniska kommunikationsindustrin, företrädare för Europaparlamentet samt dataskyddsmyndigheter, däribland Europeiska datatillsynsmannen.

82

(15)Direktiv 95/46/EG och direktiv 2002/58/EG är fullt tillämpli- ga på uppgifter som lagras i enlighet med detta direktiv. I artikel 30.1 c i direktiv 95/46/EG föreskrivs att arbetsgruppen för skydd av enskilda med avseende på behandlingen av personuppgifter, vil- ken inrättats genom artikel 29 i det direktivet, skall konsulteras.

(16)De skyldigheter som i enlighet med artikel 6 i direktiv 95/46/EG åligger tjänsteleverantörerna när det gäller åtgärder för att garantera uppgifternas kvalitet och de skyldigheter i enlighet med artiklarna 16 och 17 i det direktivet som åligger dem när det gäller åtgärder för att garantera sekretess och säkerhet vid behand- lingen av uppgifter är fullt tillämpbara för uppgifter som lagras i enlighet med detta direktiv.

(17)Det är nödvändigt att medlemsstaterna antar lagstiftande åt- gärder som säkerställer att uppgifter som lagras i enlighet med det- ta direktiv bara är tillgängliga för behöriga nationella myndigheter i enlighet med nationell lagstiftning, samtidigt som berörda perso- ners grundläggande rättigheter respekteras fullt ut.

(18)Medlemsstaterna är, i detta sammanhang, skyldiga att enligt artikel 24 i direktiv 95/46/EG fastställa sanktioner för överträdelse av de bestämmelser som antagits i enlighet med det direktivet. I artikel 15.2 i direktiv 2002/58/EG ställs samma krav när det gäller de nationella bestämmelser som antagits i enlighet med direktiv 2002/58/EG. Enligt rådets rambeslut 2005/222/RIF av den 24 feb- ruari 2005 om angrepp mot informationssystem1 skall uppsåtligt olagligt intrång i informationssystem, inklusive de uppgifter som lagras däri, straffbeläggas.

(19)Den rätt till ersättning som i enlighet med artikel 23 i direktiv 95/46/EG tillkommer varje person som lidit skada till följd av otil- låten behandling eller någon annan handling som är oförenlig med de nationella bestämmelser som antagits till följd av det direktivet gäller också enligt det här direktivet vid otillåten behandling av per- sonuppgifter.

(20)Europarådets konvention om IT-brottslighet från 2001 och Europarådets konvention om skydd för enskilda vid automatisk

1 EUT L 69, 16.3.2005, s. 67.

83

databehandling av personuppgifter från 1981 omfattar också upp- gifter som lagras i enlighet med detta direktiv.

(21)Eftersom målen med detta direktiv, nämligen att harmonisera leverantörernas skyldighet att lagra vissa uppgifter och säkerställa att de är tillgängliga för utredning, avslöjande och åtal av allvarliga brott såsom de definieras av varje medlemsstat i den nationella lag- stiftningen inte i tillräcklig utsträckning kan uppnås av medlems- staterna och de därför på grund av detta direktivs omfattning och verkningar bättre kan uppnås på gemenskapsnivå, får gemenskapen vidta åtgärder i enlighet med subsidiaritetsprincipen i artikel 5 i för- draget. I enlighet med proportionalitetsprincipen i samma artikel går detta direktiv inte utöver vad som är nödvändigt för att uppnå dessa mål.

(22)Detta direktiv respekterar de grundläggande rättigheterna och iakttar de principer som erkänns i Europeiska unionens stadga om grundläggande rättigheter. Detta direktiv tillsammans med direktiv 2002/58/EG syftar särskilt att säkerställa full respekt för medbor- garnas grundläggande rättigheter med avseende på privatlivet och kommunikationer samt skyddet av deras personuppgifter (artiklar- na 7 och 8 i stadgan).

(23)Eftersom skyldigheterna för leverantörerna av elektroniska kommunikationstjänster bör vara proportionerliga kräver direkti- vet att leverantörerna lagrar endast sådana uppgifter som genereras eller behandlas i samband med att de tillhandahåller sina kommuni- kationstjänster. I de fall sådana uppgifter inte genereras eller be- handlas av leverantörerna finns det inte något krav på att de skall lagra dem. Detta direktiv syftar inte till att harmonisera tekniken för lagring av uppgifter, något som är en fråga som måste lösas på nationell nivå.

(24)I enlighet med punkt 34 i det interinstitutionella avtalet om bättre lagstiftning1 uppmuntras medlemsstaterna att för egen del och i gemenskapens intresse upprätta egna tabeller som så långt det är möjligt visar överensstämmelsen mellan detta direktiv och inför- livandeåtgärderna samt att offentliggöra dessa tabeller.

1 EUT C 321, 31.12.2003, s. 1.

84

(25) Detta direktiv påverkar inte medlemsstaternas befogenhet att anta lagstiftningsåtgärder om rätten till tillgång till och användning av uppgifter för de nationella myndigheter de utsett. Frågor om tillgång till de uppgifter som nationella myndigheter lagrar i enlig- het med detta direktiv för de verksamheter som avses i artikel 3.2 första ledet i direktiv 95/46/EG faller utanför tillämpningsområdet för gemenskapens lagstiftning. De kan emellertid omfattas av na- tionell lagstiftning eller nationella åtgärder i enlighet med avdelning VI i fördraget om Europeiska unionen. Sådana lagar eller åtgärder måste till fullo respektera de grundläggande rättigheter som följer av medlemsstaternas gemensamma författningsmässiga traditioner och som är garanterade i Europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna. Enligt den tolkning Europeiska domstolen för de mänskliga rättigheterna gjort av artikel 8 i Europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna måste of- fentliga myndigheters intrång i rätten till privatliv stå i förhållande till vad som är nödvändigt och proportionerligt och därför tjäna närmare angivna, tydliga och legitima syften samt utövas på ett sätt som är rimligt och relevant och som inte är överdrivet i förhållande till syftet med intrånget.

HÄRIGENOM FÖRESKRIVS FÖLJANDE.

Artikel 1

Syfte och tillämpningsområde

1.Syftet med detta direktiv är att harmonisera medlemsstaternas bestämmelser om de skyldigheter som leverantörer av allmänt till- gängliga elektroniska kommunikationstjänster eller allmänna kom- munikationsnät har att lagra vissa uppgifter som de genererat eller behandlat för att säkerställa att uppgifterna är tillgängliga för ut- redning, avslöjande och åtal av allvarliga brott såsom de definieras av varje medlemsstat i den nationella lagstiftningen.

2.Detta direktiv skall gälla trafik- och lokaliseringsuppgifter om såväl fysiska som juridiska personer och enheter, samt de uppgifter som är nödvändiga för att kunna identifiera abonnenten eller den registrerade användaren. Det skall inte vara tillämpligt på innehållet i elektronisk kommunikation, inklusive sådan information som an- vändaren sökt med hjälp av ett elektroniskt kommunikationsnät.

85

Artikel 2

Definitioner

1.I detta direktiv skall definitionerna i direktiv 95/46/EG, Europa- parlamentets och rådets direktiv 2002/21/EG av den 7 mars 2002 om ett gemensamt regelverk för elektroniska kommunikationsnät och kommunikationstjänster (ramdirektiv)2 samt direktiv 2002/58/EG gälla.

2.I detta direktiv avses med

a)uppgifter: trafik- och lokaliseringsuppgifter samt de uppgifter som behövs för att identifiera en abonnent eller användare,

b)användare: en fysisk eller juridisk person eller enhet som använ- der en allmänt tillgänglig elektronisk kommunikationstjänst för privat eller affärsmässigt bruk, utan att nödvändigtvis ha abonnerat på denna tjänst,

c)telefonitjänst: uppringning (inbegripet rösttelefoni, röstmedde- landen, konferenssamtal och datatelefoni), extratjänster inbegripet omstyrning och överflyttning av samtal) och meddelandeförmed- ling och multimedietjänster (inbegripet SMS, EMS och multime- dietjänster),

d)användar-ID: ett unikt ID som tilldelas personer när de abonne- rar på eller registrerar sig på en Internetåtkomsttjänst eller en In- ternetkommunikationstjänst,

e)lokaliseringsbeteckning (cell-ID): identiteten hos den cell från vilken ett mobiltelefonsamtal påbörjades eller avslutades,

f)misslyckade uppringningsförsök: en kommunikation då ett tele- fonsamtal kopplats men inget svar erhållits eller när det skett ett ingrepp av driften i kommunikationsnätet.

2 EGT L 108, 24.4.2002, s. 33.

86

Artikel 3

Skyldighet att lagra uppgifter

1.Genom avvikelse från artiklarna 5, 6 och 9 i direktiv 2002/58/EG skall medlemsstaterna anta åtgärder för att säkerställa lagring enligt bestämmelserna i det här direktivet av de uppgifter som specificeras i artikel 5 i detta, i den utsträckning som de genereras eller behand- las av leverantörer av allmänt tillgängliga elektroniska kommunika- tionstjänster eller allmänna kommunikationsnät inom statens terri- torium i samband med att leverantörerna levererar de kommunika- tionstjänster som berörs.

2.Den lagringsskyldighet som anges i punkt 1 skall inbegripa lag- ring av sådana uppgifter som anges i artikel 5 rörande misslyckade uppringningsförsök där uppgifter genereras eller behandlas, och lagras (uppgifter rörande telefoni) eller loggas (uppgifter rörande Internet) av leverantörer av allmänt tillgängliga elektroniska kom- munikationstjänster eller allmänna kommunikationsnät inom den berörda medlemsstatens jurisdiktion i samband med att de levererar de berörda kommunikationstjänsterna. Detta direktiv skall inte in- nebära krav på lagring av uppgifter rörande samtal som inte kopp- lats fram.

Artikel 4

Tillgång till uppgifter

Medlemsstaterna skall anta åtgärder för att säkerställa att uppgifter som lagras i enlighet med detta direktiv endast görs tillgängliga för behöriga nationella myndigheter, i närmare angivna fall och i enlig- het med nationell lagstiftning. De förfaranden som skall följas och de villkor som skall uppfyllas för att erhålla tillgång till lagrade uppgifter i enlighet med nödvändighets- och proportionalitetskra- ven skall fastställas av varje enskild medlemsstat i den nationella lagstiftningen och följa tillämpliga bestämmelser i EU- lagstiftningen och folkrätten, särskilt Europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande frihe- terna, i enlighet med den tolkning som görs av Europeiska domsto- len för mänskliga rättigheter.

87

Artikel 5

Kategorier av uppgifter som skall lagras

1. Medlemsstaterna skall säkerställa att följande kategorier av upp- gifter lagras i enlighet med direktivet:

a)Uppgifter som är nödvändiga för att spåra och identifiera en kommunikationskälla:

1.Telefoni i fasta nät och mobil telefoni:

i)Det uppringande telefonnumret.

ii)Abonnentens eller den registrerade användarens namn och adress.

2.Internetåtkomst, Internetbaserad e-post och Internettelefoni:

i)Tilldelade användar-ID.

ii)Användar-ID och telefonnummer vilka tilldelats kommu- nikationen i det allmänna telenätet.

iii)Namn på och adress till den abonnent eller registrerade användare som IP-adressen (Internet Protocol), användar- identiteten eller telefonnumret tilldelades vid tidpunkten för kommunikationen.

b)Uppgifter som är nödvändiga för att identifiera slutmålet för en kommunikation:

1.Telefoni i fasta nät och mobil telefoni:

i)Det eller de nummer som slagits (det eller de uppringda te- lefonnumren), och, i fall som berör tilläggstjänster såsom omstyrning och överflyttning av samtal, det eller de nummer till vilket eller vilka som samtalet styrs.

ii)Abonnentens (abonnenternas) eller den eller de registre- rade användarnas namn och adress.

88

2.Internetbaserad e-post och Internettelefoni:

i)Användar-ID eller telefonnummer som tilldelats den eller de avsedda mottagarna av ett Internettelefonsamtal.

ii)Namn på och adress till abonnenten (abonnenterna) eller den eller de registrerade användarna och det användar-ID som tilldelats den avsedda mottagaren av kommunikationen.

c)Uppgifter som är nödvändiga för att identifiera datum, tidpunkt och varaktighet för en kommunikation:

1.Telefoni i fasta nät och mobil telefoni: datum och tid då kommunikationen påbörjades och avslutades.

2.Internetåtkomst, Internetbaserad e-post och Internettelefoni:

i)Datum och tid för på- respektive avloggning i Internetåt- komsttjänsten inom en given tidszon tillsammans med IP- adressen, oavsett om den är dynamisk eller statisk, som en kommunikation tilldelats av Internetåtkomstleverantören till en kommunikation och abonnents eller registrerad använda- res användar-ID.

ii)Datum och tid för på- respektive avloggning i den Inter- netbaserade e-posttjänsten eller Internettelefonitjänsten inom en given tidszon.

d)Uppgifter som är nödvändiga för att identifiera typen av kom- munikation.

1.Telefoni i fasta nät och mobil telefoni: Den telefonitjänst som används.

2.Internetbaserad e-post och Internettelefoni: Den Internet- tjänst som används.

e)Uppgifter som är nödvändiga för att identifiera användarnas kommunikationsutrustning, eller den utrustning som de tros ha använt.

89

1.Telefoni i fasta nät: det uppringande och det uppringda tele- fonnumret.

2.Mobil telefoni:

i)Det uppringande och det uppringda telefonnumret.

ii)Den uppringande partens IMSI (International Mobile Subscriber Identity).

iii)Den uppringande partens IMEI (International Mobile Equipment Identity).

iv)Den uppringda partens IMSI.

v)Den uppringda partens IMEI.

vi)Vid förbetalda anonyma tjänster, datum och tid för den första aktiveringen av tjänsten och den lokaliseringsbeteck- ning (cell-ID) från vilken tjänsten aktiverades.

3.Internetåtkomst, Internetbaserad e-post och Internettelefoni:

i)Det uppringande telefonnumret för uppringda förbindel- ser.

ii)DSL (Digital Subscriber Line) eller annan slutpunkt för kommunikationens avsändare.

f)Uppgifter som är nödvändiga för att identifiera lokaliseringen av mobil kommunikationsutrustning.

1.Lokaliseringsbeteckning (cell-ID) för kommunikationens början.

2.Uppgifter som identifierar cellernas geografiska placering ge- nom referens till deras lokaliseringsbeteckning (cell-ID) under den period som kommunikationsuppgifterna lagras.

2. Inga uppgifter som avslöjar kommunikationens innehåll får lag- ras i enlighet med detta direktiv.

90

Artikel 6

Lagringstider

Medlemsstaterna skall säkerställa att de kategorier av uppgifter som anges i artikel 5 lagras under en period av minst sex månader och högst två år från det datum kommunikationen ägde rum.

Artikel 7

Uppgiftsskydd och datasäkerhet

Utan att det påverkar tillämpningen av de bestämmelser som anta- gits i enlighet med direktiv 95/46/EG och direktiv 2002/58/EG skall varje medlemsstat säkerställa att leverantörer av allmänt till- gängliga elektroniska kommunikationstjänster eller allmänna kommunikationsnät som ett minimum respekterar följande princi- per för datasäkerhet när det gäller uppgifter som lagras i enlighet med det här direktivet:

a)De lagrade uppgifterna skall vara av samma kvalitet och vara fö- remål för samma säkerhet och skydd som uppgifterna i nätverket.

b)Uppgifterna skall omfattas av lämpliga tekniska och organisato- riska åtgärder för att skyddas mot oavsiktlig eller olaglig förstöring, oavsiktlig förlust eller oavsiktlig ändring, eller otillåten eller olaglig lagring av, behandling av, tillgång till eller avslöjande av uppgifter- na.

c)Uppgifterna skall omfattas av lämpliga tekniska och organisato- riska åtgärder, för att säkerställa att tillgång till dem endast ges sär- skilt bemyndigad personal.

d)Uppgifterna skall förstöras vid slutet av lagringstiden, utom de uppgifter för vilka tillgång har medgivits och som har bevarats.

Artikel 8

Krav för lagring av uppgifter

Medlemsstaterna skall säkerställa att uppgifter som anges i artikel 5 lagras i enlighet med detta direktiv på ett sådant sätt att uppgifterna

91

och annan nödvändig information som är relaterad till uppgifterna utan dröjsmål kan överföras till de behöriga myndigheterna när de begär det.

Artikel 9

Tillsynsmyndighet

1.Varje medlemsstat skall utse en eller flera offentliga myndigheter som skall ansvara för att inom landets territorium övervaka till- lämpningen av de bestämmelser om lagrade uppgifters säkerhet som antagits av medlemsstaterna i enlighet med artikel 7. Dessa myndigheter får vara desamma som de som avses i artikel 28 i di- rektiv 95/46/EG.

2.De myndigheter som avses i punkt 1 skall vara helt oberoende när de utövar de övervakningsuppgifter som avses i den punkten.

Artikel 10

Statistik

1. Medlemsstaterna skall säkerställa att kommissionen varje år får statistik om lagring av de uppgifter som genereras eller behandlas i samband med allmänt tillgängliga elektroniska kommunikations- tjänster eller ett allmänt kommunikationsnät. Denna statistik skall innefatta följande:

—De fall där information skickats till behöriga myndigheter i en- lighet med nationell lagstiftning.

—Den tid som gått från det datum då uppgifterna lagrades och det datum då den behöriga myndigheten begärde överförande av upp- gifterna.

—De fall där en begäran om uppgifter inte kunde tillgodoses.

2. Sådan statistik skall inte omfatta personuppgifter.

92

Artikel 11

Ändring av direktiv 2002/58/EG

I artikel 15 i direktiv 2002/58/EG skall följande punkt införas:

”1a. Punkt 1 skall inte tillämpas på uppgifter som specifikt skall lagras enligt Europaparlamentets och rådets direktiv 2006/24/EG av den 15 mars 2006 om lagring av uppgifter som genererats eller behandlats i samband med tillhandahållande av allmänt tillgängliga elektroniska kommunikationstjänster eller allmänna kommunikationsnät för de ändamål som avses i arti- kel 1.1 i det direktivet.

Artikel 12

Framtida åtgärder

1.En medlemsstat som står inför särskilda omständigheter som föranleder en tidsbegränsad förlängning av den högsta tillåtna lag- ringstid som avses i artikel 6 får vidta nödvändiga åtgärder. Med- lemsstaten skall då omedelbart underrätta kommissionen och in- formera övriga medlemsstater om de åtgärder som vidtagits i enlig- het med denna artikel och ange skälen till att de vidtagits.

2.Kommissionen skall inom sex månader efter den underrättelse som avses i punkt 1 godkänna eller förkasta de berörda nationella åtgärderna, efter att ha kontrollerat huruvida de utgör godtycklig diskriminering eller dolda handelsrestriktioner mellan medlemssta- ter eller inte och huruvida de utgör ett hinder för en fungerande inre marknad eller inte. Om kommissionen inte fattar något beslut inom denna tidsperiod skall de nationella åtgärderna anses vara godkända.

3.Om en medlemsstats nationella åtgärder som utgör undantag från bestämmelserna i detta direktiv godkänns i enlighet med punkt

2får kommissionen överväga att föreslå en ändring av detta direk- tiv.

EUT L 105, 13.4.2006, s. 54.”

93

Artikel 13

Prövning, ansvar och sanktioner

1.Varje medlemsstat skall vidta nödvändiga åtgärder för att säker- ställa att de nationella åtgärder som genomför kapitel III om rätts- lig prövning, ansvar och sanktioner i direktiv 95/46/EG genomförs med full respekt för behandlingen av uppgifter i detta direktiv.

2.Varje medlemsstat skall särskilt vidta nödvändiga åtgärder för att säkerställa att sådan avsiktlig tillgång till eller överföring av uppgif- ter som lagras i enlighet med detta direktiv som är förbjuden enligt nationell lagstiftning som antagits till följd av detta direktiv beläggs med sanktioner, inbegripet administrativa eller straffrättsliga sank- tioner, som är effektiva, proportionerliga och avskräckande.

Artikel 14

Utvärdering

1.Senast den 15 september 2010 skall kommissionen till Europa- parlamentet och rådet översända en utvärdering av tillämpningen av detta direktiv och dess inverkan på de ekonomiska aktörerna och konsumenterna, med beaktande av den fortsatta utvecklingen av tekniken för elektronisk kommunikation och den statistik som översänts till kommissionen i enlighet med artikel 10, i syfte att avgöra om det är nödvändigt att ändra direktivets bestämmelser, särskilt vad avser listan över uppgifter i artikel 5 och de lagringsti- der som föreskrivs i artikel 6. Utvärderingsresultaten skall offent- liggöras.

2.För detta ändamål skall kommissionen utreda alla synpunkter som inkommer från medlemsstaterna eller den arbetsgrupp som inrättats genom artikel 29 i direktiv 95/46/EG.

Artikel 15

Införlivande

1. Medlemsstaterna skall sätta i kraft de bestämmelser i lagar och andra författningar som är nödvändiga för att följa detta direktiv senast den 15 september 2007. De skall genast underrätta kommis-

94

sionen om detta. När en medlemsstat antar dessa bestämmelser skall de innehålla en hänvisning till detta direktiv eller åtföljas av en sådan hänvisning när de offentliggörs. Närmare föreskrifter om hur hänvisningen skall göras skall varje medlemsstat själv utfärda.

2.Medlemsstaterna skall till kommissionen överlämna texten till de centrala bestämmelser i nationell lagstiftning som de antar inom det område som omfattas av detta direktiv.

3.Varje medlemsstat får till och med den 15 mars 2009 skjuta upp tillämpningen av detta direktiv i fråga om lagringen av kommunika- tionsuppgifter rörande Internetåtkomst, Internettelefoni och In- ternetbaserad e-post. Alla medlemsstater som önskar utnyttja den- na bestämmelse skall underrätta rådet och kommissionen om detta i form av en förklaring när detta direktiv antas. Förklaringen skall offentliggöras i Europeiska unionens officiella tidning.

Artikel 16

Ikraftträdande

Detta direktiv träder i kraft den tjugonde dagen efter det att det har offentliggjorts i Europeiska unionens officiella tidning.

Artikel 17

Adressater

Detta direktiv riktar sig till medlemsstaterna.

Utfärdat i Strasbourg den 15 mars 2006.

95

Förklaring från Nederländerna

i enlighet med artikel 15.3 i direktiv 2006/24/EG

När det gäller Europaparlamentets och rådets direktiv om lagring av uppgifter som behandlats i samband med tillhandahållande av allmänt tillgängliga elektroniska kommunikationstjänster och om ändring av direktiv 2002/58/EG utnyttjar Nederländerna möjlighe- ten att skjuta upp tillämpningen av direktivet i fråga om lagringen av kommunikationsuppgifter rörande Internetåtkomst, Internette- lefoni och Internetbaserad e-post under högst 18 månader från och med dagen för direktivets ikraftträdande.

Förklaring från Österrike

i enlighet med artikel 15.3 i direktiv 2006/24/EG

Österrike förklarar sin avsikt att skjuta upp tillämpningen av detta direktiv i fråga om lagringen av kommunikationsuppgifter rörande Internetåtkomst, Internettelefoni och Internetbaserad e-post under 18 månader från och med den tidpunkt som anges i artikel 15.1.

Förklaring från Estland

i enlighet med artikel 15.3 i direktiv 2006/24/EG

I enlighet med artikel 15.3 i Europaparlamentets och rådets direktiv om lagring av uppgifter som genererats eller behandlats i samband med tillhandahållande av allmänt tillgängliga kommunikationstjäns- ter eller allmänna kommunikationsnät och om ändring av direktiv 2002/58/EG meddelar Estland sin avsikt att utnyttja denna be- stämmelse och med 36 månader från och med dagen för antagandet av föreliggande direktiv skjuta upp tillämpningen av direktivet i fråga om lagringen av kommunikationsuppgifter rörande Internet- åtkomst, Internettelefoni och Internetbaserad e-post.

Förklaring från Förenade kungariket

i enlighet med artikel 15.3 i direktiv 2006/24/EG

Förenade kungariket förklarar i enlighet med artikel 15.3 i direkti- vet om lagring av uppgifter som genererats eller behandlats i sam-

96

band med tillhandahållande av allmänt tillgängliga elektroniska kommunikationstjänster eller allmänna kommunikationsnät och om ändring av direktiv 2002/58/EG att Förenade kungariket kom- mer att skjuta upp tillämpningen av direktivet i fråga om lagringen av kommunikationsuppgifter rörande Internetåtkomst, Internette- lefoni och Internetbaserad e-post.

Förklaring från Republiken Cypern

i enlighet med artikel 15.3 i direktiv 2006/24/EG

Cypern förklarar att landet kommer att skjuta upp tillämpningen av direktivet i fråga om lagringen av kommunikationsuppgifter rö- rande Internetåtkomst, Internettelefoni och Internetbaserad e-post till den dag som anges i artikel 15.3.

Förklaring från Grekland

i enlighet med artikel 15.3 i direktiv 2006/24/EG

Grekland förklarar att det med tillämpning av artikel 15.3 kommer att skjuta upp tillämpningen av detta direktiv i fråga om lagringen av kommunikationsuppgifter rörande Internetåtkomst, Internette- lefoni och Internetbaserad e-post till 18 månader efter det att den i artikel 15.1 angivna tidsfristen har löpt ut.

Förklaring från Storhertigdömet Luxemburg i enlighet med artikel 15.3 i direktiv 2006/24/EG

I enlighet med bestämmelserna i artikel 15.3 i Europaparlamentets och rådets direktiv om lagring av uppgifter som genererats eller behandlats i samband med tillhandahållande av allmänt tillgängliga elektroniska kommunikationstjänster eller allmänna kommunika- tionsnät och om ändring av direktiv 2002/58/EG förklarar Storher- tigdömet Luxemburgs regering att den avser åberopa artikel 15.3 i ovan nämnda direktiv för att få möjlighet att skjuta upp tillämp- ningen av detta direktiv i fråga om lagringen av kommunikations- uppgifter rörande Internetåtkomst, Internettelefoni och Internet- baserad e-post.

97

Förklaring från Slovenien

i enlighet med artikel 15.3 i direktiv 2006/24/EG

Slovenien ansluter sig till den grupp medlemsstater som har gjort en förklaring i enlighet med artikel 15.3 i Europaparlamentets och rådets direktiv om lagring av uppgifter som genererats eller be- handlats i samband med tillhandahållande av allmänt tillgängliga elektroniska kommunikationstjänster eller allmänna kommunika- tionsnät om att skjuta upp tillämpningen av detta direktiv under 18 månader i fråga om lagringen av kommunikationsuppgifter rörande Internetåtkomst, Internettelefoni och Internetbaserad e-post.

Förklaring från Sverige

i enlighet med artikel 15.3 i direktiv 2006/24/EG

Sverige vill i enlighet med artikel 15.3 ha möjlighet att skjuta upp tillämpningen av detta direktiv i fråga om lagringen av kommunika- tionsuppgifter rörande Internetåtkomst, Internettelefoni och In- ternetbaserad e-post.

Förklaring från Republiken Litauen

i enlighet med artikel 15.3 i direktiv 2006/24/EG

I enlighet med artikel 15.3 i utkastet till Europaparlamentets och rådets direktiv om lagring av uppgifter som genererats eller be- handlats i samband med tillhandahållande av allmänt tillgängliga elektroniska kommunikationstjänster eller allmänna kommunika- tionsnät och om ändring av direktiv 2002/58/EG (nedan kallat ”di- rektivet”) förklarar Republiken Litauen att landet när direktivet antagits kommer att skjuta upp dess tillämpning i fråga om lagring- en av kommunikationsuppgifter rörande Internetåtkomst, Inter- nettelefoni och Internetbaserad e-post under den period som före- skrivs i artikel 15.3.

98

Förklaring från Republiken Lettland

i enlighet med artikel 15.3 i direktiv 2006/24/EG

Lettland förklarar i enlighet med artikel 15.3 i direktiv 2006/24/EG av den 15 mars 2006 om lagring av uppgifter som genererats eller behandlats i samband med tillhandahållande av allmänt tillgängliga elektroniska kommunikationstjänster eller allmänna kommunika- tionsnät och om ändring av direktiv 2002/58/EG att det skjuter upp tillämpningen av direktivet i fråga om lagringen av kommuni- kationsuppgifter rörande Internetåtkomst, Internettelefoni och Internetbaserad e-post till och med den 15 mars 2009.

Förklaring från Tjeckien

i enlighet med artikel 15.3 i direktiv 2006/24/EG

I enlighet med artikel 15.3 förklarar Tjeckien att man uppskjuter tillämpningen av detta direktiv i fråga om lagringen av kommunika- tionsuppgifter rörande Internetåtkomst, Internettelefoni och In- ternetbaserad e-post till 36 månader efter direktivets antagande.

Förklaring från Belgien

i enlighet med artikel 15.3 i direktiv 2006/24/EG

Belgien förklarar att landet, i enlighet med den möjlighet som före- skrivs i artikel 15.3 och under en period av 36 månader efter anta- gandet av detta direktiv, skjuter upp tillämpningen av direktivet i fråga om lagringen av kommunikationsuppgifter rörande Internet- åtkomst, Internettelefoni och Internetbaserad e-post.

Förklaring från Republiken Polen

i enlighet med artikel 15.3 i direktiv 2006/24/EG

Polen förklarar i enlighet med den möjlighet som anges i artikel 15.3 i Europaparlamentets och rådets direktiv om lagring av uppgif- ter som behandlats i samband med tillhandahållande av allmänt till- gängliga elektroniska kommunikationstjänster och om ändring av direktiv 2002/58/EG att landet kommer att uppskjuta tillämpning- en av lagring av kommunikationsuppgifter rörande Internetåt-

99

komst, Internettelefoni och Internetbaserad e-post med 18 måna- der från den tidpunkt som anges i artikel 15.1.

Förklaring från Finland

i enlighet med artikel 15.3 i direktiv 2006/24/EG

Finland förklarar i enlighet med artikel 15.3 i direktivet om lagring av uppgifter som behandlats i samband med tillhandahållande av allmänt tillgängliga elektroniska kommunikationstjänster och om ändring av direktiv 2002/58/EG att Finland kommer att skjuta upp tillämpningen av direktivet i fråga om lagringen av kommunika- tionsuppgifter rörande Internetåtkomst, Internettelefoni och In- ternetbaserad e-post.

Förklaring från Tyskland

i enlighet med artikel 15.3 i direktiv 2006/24/EG

Tyskland förbehåller sig rätten att skjuta upp tillämpningen av det- ta direktiv i fråga om lagringen av kommunikationsuppgifter rö- rande Internetåtkomst, Internettelefoni och Internetbaserad e-post under 18 månader från och med den tidpunkt som anges i artikel 15.1 första meningen.

100

4 Genomförandet i andra länder

4.1Vårt uppdrag

Enligt våra direktiv ska vi följa hur direktivet om lagring av trafik- uppgifter genomförs i andra länder. Vi har inhämtat upplysningar om den rättsliga regleringen och planerade förändringar i nationell rätt i Danmark, Finland, Norge, de baltiska staterna och i några andra EU-länder. Vi har också deltagit vid de möten som kommis- sionen har anordnat.

I detta avsnitt redogör vi kortfattat för de nationella förslagen till genomförande i de nämnda länderna. Redovisningen tar i före- kommande fall upp frågorna när länderna kommer att ha genom- fört direktivet, om direktivet genomförs i sin helhet vid ett och samma tillfälle, om fler uppgifter än de som framgår av artikel 5 i direktivet kommer att lagras, hur lång lagringstiden kommer att vara, vilka leverantörer som ska vara lagringsskyldiga, om det finns möjlighet att medge undantag från lagringsskyldigheten, var upp- gifterna ska lagras, vem som ska stå för kostnaderna och vilka be- dömningar som görs i konkurrensfrågorna.

Vi har också försökt att få fram uppgifter om hur integritetsfrå- gorna har förts fram i samband med genomförandet av direktivet. Enligt de uppgifter vi har fått har integritetsfrågorna diskuterats i de enskilda länderna men debatten har inte uppfattats som ett hin- der för genomförandet utan tagits till vara för att höja kvaliteten i lagstiftningsarbetet i respektive land.

4.2Danmark

Danmark genomförde direktivet i sin helhet den 15 september 2007.

Regleringen går i några avseenden utöver artikel 5 i direktivet när det gäller vilka trafikuppgifter som ska lagras. Det avser bl.a.

101

uppgifter om en ”Internetsessions initierande och avslutande pa- ket” och om lokalisering vid ett mobilsamtals slut.

Lagringstiden är ett år.

Tjänsteleverantörer som är små föreningar (andelsforeninger, ejerforeninger, antenneforeninger og lignende foreninger eller sammenslutninger heraf) och som levererar till färre än 100 ”enhe- ter” omfattas inte av lagringsskyldigheten.

Leverantörerna får avtala med annan att fullgöra lagringsskyl- digheten.

Leverantörerna står för kostnaderna för att anpassa systemen. De brottsbekämpande myndigheterna betalar en ersättning till le- verantören när de begär att uppgifter ska lämnas ut. Ersättningens storlek bestäms efter diskussioner mellan leverantörernas bransch- organisation och polisen.

I Danmark har man bedömt dels att direktivet kan påverka de mindre företagens möjligheter att verka på marknaden, dels att möjligheten för en leverantör att avtala med annan om att fullgöra lagringsskyldigheten gör att de negativa effekterna på konkurren- sen minskar.

4.3Finland

Finland kommer att genomföra hela direktivet vid ett tillfälle, tro- ligen under senare hälften av år 2008. Förslaget överlämnas till par- lamentet i början av december år 2007. Man bedömer att förslaget kommer att innehålla följande.

Enbart de trafikuppgifter som anges i artikel 5 i direktivet ska lagras.

Lagringstiden ska vara ett år. Många av de uppgifter som ska lagras enligt direktivet lagras redan i dag av leverantörerna i sex månader. Man bedömer att en så kort lagringstid inte skulle medfö- ra någon förbättring för de brottsbekämpande myndigheterna.

Alla leverantörer som är anmälningspliktiga enligt kommunika- tionsmarknadslagen ska vara lagringsskyldiga. De riktigt små tjäns- televerantörerna är inte anmälningspliktiga och de kommer därför inte att vara lagringsskyldiga.

Leverantörerna ska kunna avtala med annan att fullgöra lag- ringsskyldigheten.

Staten ska ersätta leverantörernas kostnader för de tekniska in- vesteringar som behövs för att genomföra direktivet. Staten ska också ersätta leverantörerna när uppgifter begärs ut. Utgångspunk-

102

ten är att leverantörerna och de brottsbekämpande myndigheterna ska komma överens om hur stor ersättningen ska vara. Om de inte kan komma överens beslutar Kommunikationsverket om ersätt- ningens storlek.

Man bedömer att direktivet inte kommer att påverka konkur- rensen eftersom staten står för de tillkommande kostnaderna.

4.4Norge

I Norge är en arbetsgrupp tillsatt för att utreda hur direktivet kan genomföras. Arbetsgruppen består av representanter för Justitiede- partementet, Förnyelse- och administrationsdepartementet, Utri- kesdepartementet, Post- och teletillsynen, Datatillsynen och poli- sen. Under hösten 2007 ska ett förslag sändas på remiss, varefter regeringen fattar beslut om och i så fall på vilket sätt direktivet ska genomföras. Utgångspunkten har hittills varit att direktivet ska genomföras i två etapper, en första etapp avseende fast och mobil telefoni samt Internetåtkomst och resterande i en andra etapp. Ar- betsgruppen bedömer att förslaget vad avser fast och mobil telefoni kommer att innehålla följande.

Enbart de trafikuppgifter som anges i artikel 5 i direktivet ska lagras.

Lagringstiden ska vara ett år.

De leverantörer som är anmälningspliktiga enligt lagen om elek- tronisk kommunikation ska vara lagringsskyldiga. Eventuellt ska det finnas möjlighet till undantag för små leverantörer.

Uppgifterna ska lagras hos varje leverantör med möjlighet att avtala med annan om att tillhandahålla lagringskapacitet.

Arbetsgruppen har inte kunnat ange vad förslaget kommer att innehålla i kostnadsdelen.

Arbetsgruppen har bedömt att direktivet kan påverka konkur- rensen genom att de små leverantörerna kan få stora investerings- kostnader i nödvändig teknik samtidigt som de får enstaka förfråg- ningar från de brottsbekämpande myndigheterna.

103

4.5Estland

Direktivet kommer att genomföras i två etapper. En första etapp rör fast och mobil telefoni. I den delen är ett förslag nu under be- redning, och man förväntar sig omfattande diskussioner. Man be- dömer att förslaget bör kunna träda i kraft under första halvåret år 2008. I en andra etapp genomförs direktivet såvitt avser Internetåt- komst, Internettelefoni och Internetbaserad e-post. Det ska ske senast den 15 mars 2009. Man bedömer att förslaget i sin helhet kommer att innehålla följande.

Enbart de trafikuppgifter som anges i artikel 5 i direktivet ska lagras.

Lagringstiden ska vara ett år.

Samtliga leverantörer av allmänt tillgängliga elektroniska kom- munikationstjänster eller allmänna kommunikationsnät ska vara lagringsskyldiga. Det ska inte finnas någon möjlighet till undantag.

Uppgifterna ska lagras hos varje leverantör.

Leverantörerna ska stå för investeringskostnaderna och erhålla ersättning från de brottsbekämpande myndigheterna när uppgifter lämnas ut.

4.6Lettland

Lettland har sedan år 2003 en lagringsskyldighet med en lagringstid på tre år. Direktivet kommer att genomföras i två etapper. En för- sta etapp rör fast och mobil telefoni som genomförs under oktober 2007. I en andra etapp genomförs direktivet såvitt avser Internetåt- komst, Internettelefoni och Internetbaserad e-post. Det ska ske den 15 mars 2009. Förslaget i sin helhet innehåller följande.

Enbart de trafikuppgifter som anges i artikel 5 i direktivet ska lagras.

Lagringstiden ska vara 18 månader.

Samtliga leverantörer av allmänt tillgängliga elektroniska kom- munikationstjänster eller allmänna kommunikationsnät ska vara lagringsskyldiga. Det ska inte finnas någon möjlighet till undantag.

Uppgifterna ska lagras hos varje leverantör.

Leverantörerna ska som i dag stå för alla kostnader som lag- ringsskyldigheten medför.

104

4.7Litauen

Direktivet föreslås bli genomfört den 1 december 2007 när det gäll- er fast och mobil telefoni och den 15 mars 2009 i övriga delar. För- slaget i sin helhet innehåller följande.

Enbart de trafikuppgifter som anges i artikel 5 i direktivet ska lagras.

Lagringstiden ska vara ett år.

Samtliga leverantörer av allmänt tillgängliga elektroniska kom- munikationstjänster eller allmänna kommunikationsnät ska vara lagringsskyldiga. Det ska inte finnas någon möjlighet till undantag.

Leverantörerna ska kunna avtala med annan att fullgöra lag- ringsskyldigheten.

Leverantörerna ska stå för samtliga kostnader. Tidigare har leve- rantörerna fått kompensation för uppgifter som de har lagrat för längre period än vad de har behövt för egna ändamål. Den möjlig- heten ska nu tas bort.

Eftersom alla leverantörer står för kostnaderna bedömer man att det inte blir någon påverkan på konkurrensen.

4.8Irland

Irland har sedan år 2002 en lagringsskyldighet avseende telefoni och har inte utnyttjat möjligheten att skjuta upp genomförandet av direktivet avseende Internet. Hela direktivet kommer därför att genomföras vid ett och samma tillfälle. Om direktivet kan genom- föras i s.k. secondary legislation kommer det att genomföras den 1 januari 2008. Om direktivet ska genomföras i s.k. primary legisla- tion kommer det att ske under år 2008. I primary legislation, som antas av parlamentet, är det möjligt att göra ändringar i förhållande till direktivet. I secondary legislation har befogenheterna delegerats till en minister eller en myndighet, vilket innebär att några ändring- ar eller tillägg inte kan göras. Man bedömer att förslaget kommer att ha följande innehåll.

Enbart de trafikuppgifter som anges i artikel 5 i direktivet ska lagras.

Den nuvarande lagringstiden om tre år ska behållas för fast och mobil telefoni. Beträffande Internetuppgifter ska lagringstiden vara sex månader.

Lagring ska utföras av de leverantörer som de brottsbekämpan- de myndigheterna bestämmer. Denna ordning ska ses mot bak-

105

grund av att man i Irland sedan länge har ett system där leverantö- rerna frivilligt lagrar trafikuppgifter för brottsbekämpande ändamål och att det således finns en vilja hos leverantörerna att lagra uppgif- ter som kan vara till nytta för de brottsbekämpande myndigheter- na.

Uppgifterna ska lagras hos varje leverantör.

Leverantörerna ska som i dag stå för alla kostnader som lag- ringsskyldigheten medför. Leverantörerna har inga invändningar mot att stå för kostnaderna så länge det är lika för samtliga leveran- törer. Någon ersättning ska inte utgå till leverantörerna vid utläm- nande av uppgifter.

4.9Spanien

Spanien har inte utnyttjat möjligheten att skjuta upp genomföran- det av direktivet avseende Internet. Hela direktivet bedöms bli ge- nomfört den 1 december 2007. Förslaget ska enligt uppgift ha föl- jande innehåll.

Enbart de trafikuppgifter som anges i artikel 5 i direktivet ska lagras.

Lagringstiden ska vara ett år.

Samtliga leverantörer av allmänt tillgängliga elektroniska kom- munikationstjänster eller allmänna kommunikationsnät ska vara lagringsskyldiga. Det ska inte finnas någon möjlighet till undantag.

Uppgifterna ska lagras hos varje leverantör. Leverantörerna ska stå för samtliga kostnader.

Man har inte haft några diskussioner om huruvida direktivet på- verkar konkurrensen.

4.10Storbritannien

I Storbritannien finns sedan år 2001 en frivillig lagring av trafik- uppgifter avseende fast och mobil telefoni. Direktivet genomfördes den 1 oktober 2007 avseende fast och mobil telefoni. Det är osäkert när direktivet kommer att genomföras avseende Internet. Beträf- fande fast och mobil telefoni gäller följande.

Enbart de uppgifter som anges i artikel 5 i direktivet ska lagras. Lagringstiden ska vara ett år.

Det finns inte några undantag från lagringsskyldigheten. Där- emot kommer man enligt uppgift inte att vidta några åtgärder mot

106

de leverantörer som inte lagrar uppgifter, om det är frågan om leve- rantörer som inte bedöms ha en verksamhet som genererar eller behandlar trafikuppgifter som är intressanta för de brottsbekäm- pande myndigheterna.

Leverantörerna kan avtala med annan att fullgöra lagringsskyl- digheten.

Det allmänna står för alla kostnader som uppkommer för att lagra trafikuppgifter.

Eftersom det allmänna står för alla kostnader gör man den be- dömningen att direktivet inte påverkar konkurrensen mellan stora och små företag. Däremot bedöms det system för ersättning som man tillämpar kunna påverka konkurrensen inom Europa.

4.11Tjeckien

Det finns ett förslag om att direktivet ska genomföras i sin helhet den 1 januari 2008. Förslaget har enligt uppgift följande innehåll.

Enbart de trafikuppgifter som anges i artikel 5 i direktivet ska lagras.

Lagringstiden ska vara sex månader.

Samtliga leverantörer av allmänt tillgängliga elektroniska kom- munikationstjänster eller allmänna kommunikationsnät ska vara lagringsskyldiga med undantag för de leverantörer som endast har e-posttjänster.

Uppgifterna ska lagras hos varje leverantör.

En kostnadsfördelning ska finnas, enligt vilken leverantörerna ska stå för de tekniska investeringar som behövs och få ersättning av de brottsbekämpande myndigheterna dels för redovisade och godkända avskrivningar rörande lagringskostnaderna, dels när upp- gifter begärs ut. Om leverantören och de brottsbekämpande myn- digheterna inte kommer överens om vilka avskrivningskostnader som ska ersättas, ska ersättningen bestämmas av motsvarigheten till svenska PTS. Ersättningen för utlämnande av trafikuppgifter be- stäms i författning och varierar beroende på vilken typ av uppgift som begärs ut och om uppgiften lämnas ut automatiserat eller om manuella insatser krävs.

Det har inte förekommit några diskussioner om vad direktivet kan få för effekter på konkurrensen.

107

4.12Tyskland

Direktivet avseende fast och mobil telefoni föreslås bli genomfört den 1 januari 2008 och avseende Internet den 1 januari 2009. För- slaget i sin helhet har följande innehåll.

Enbart de trafikuppgifter som anges i artikel 5 i direktivet ska lagras.

Lagringstiden ska vara sex månader. Den tyska författningen medger inte en längre lagringstid.

Lagringsskyldigheten ska gälla för alla leverantörer som har fler än 10 000 kunder.

Leverantörerna ska kunna avtala med annan att fullgöra lag- ringsskyldigheten.

Leverantörerna ska stå för kostnaderna för att anpassa syste- men. De brottsbekämpande myndigheterna ska betala en ersättning till leverantören när de begär att uppgifter ska lämnas ut.

Det har inte förekommit några diskussioner om vad direktivet kan få för effekter för konkurrensen.

108

5Skyddet för den personliga integriteten

5.1En stor mängd trafikuppgifter ska lagras

Direktivet om lagring av trafikuppgifter innebär att det blir en regel att vissa trafikuppgifter ska lagras under den tid och på det sätt som närmare preciseras av de olika bestämmelser vi föreslår för genom- förandet av direktivet. Till skillnad mot vad som gäller i dag när varje leverantör själv har att bedöma vilka uppgifter som behöver sparas för tillåtna ändamål och hur länge det behöver ske, ska samt- liga de trafikuppgifter som anges i direktivet lagras under en viss bestämd tid. Genomförandet av direktivet kan sägas öka förutsätt- ningarna för en högre grad av säkerhet för enskilda genom att en- hetliga bestämmelser införs om vad som ska lagras samt under vil- ken tid och på vilket sätt det ska ske. En direkt följd av genomfö- randet kommer också att bli att avsevärt fler uppgifter ska lagras och att lagringen i många fall kommer att pågå under längre tid än i dag.

Det är svårt att uppskatta den mängd trafikuppgifter som kom- mer att lagras vid varje given tidpunkt. En utgångspunkt för be- dömningen kan vara antalet abonnemang. Den 31 december 2006 fanns det i Sverige 5 551 000 abonnemang för fast telefoni, 9 607 000 för mobil telefoni och 3 471 000 kunder med Internetac- cess. Under år 2007 har antalet abonnemang ökat ytterligare.

Kommunikation via elektroniska kommunikationstjänster och nät är numera en integrerad del i de flesta människors livsmönster. Teknikutvecklingen innebär nya möjligheter till kommunikations- lösningar. Det innebär att även om lagringsskyldigheten begränsas till trafikuppgifter som de brottsbekämpande myndigheterna kan ha tillgång till i dag och som avser fast och mobil telefoni samt In- ternetåtkomst, e-post och Internettelefoni kan man utgå från att

109

antalet trafikuppgifter per dygn som ska lagras kommer att bli mycket stort.

5.2Lagring av trafikuppgifter påverkar integriteten

Den lagring av trafikuppgifter som ska genomföras till följd av di- rektivet innebär att mycket stora informationsmängder rörande enskildas kommunikation kommer att lagras under en viss tid. Man kan utgå från att endast en ytterst begränsad del av de lagrade tra- fikuppgifterna kommer att begäras utlämnade för att användas vid bekämpningen av allvarlig brottslighet. Merparten av trafikuppgif- terna kommer således att vara lagrade utan att de används för de brottsbekämpande syftena.

Trafikuppgifter är i många fall uppgifter om enskildas personliga förhållanden och korrespondens och det är mot bakgrund av upp- gifternas integritetskänsliga karaktär som bestämmelserna i rätte- gångsbalken om hemlig teleövervakning och i lagen om elektronisk kommunikation om tystnadsplikt och undantag från tystnadsplik- ten har utformats. Att få ut trafikuppgifter för utredning om brott har ansetts vara särskilt känsligt från integritetssynpunkt och för- utsättningarna för utlämnande är noggrant reglerade.

Enligt vår mening är dock inte frågan om integritetsskyddet vid lagring av trafikuppgifter begränsad till de situationer där trafik- uppgifter lämnas ut till de brottsbekämpande myndigheterna. En utgångspunkt för våra resonemang är att en generell lagring av tra- fikuppgifter i den omfattning som direktivet förutsätter påverkar både enskildas upplevelse av att få sin privata sfär inskränkt och integritetsskyddet för medborgarna i allmänhet. Intrånget i integri- teten sker enligt vår mening redan genom att det allmänna säkrar tillgången till trafikuppgifterna genom lagringen.

Redan existensen av ett regelsystem som innebär att uppgifter om människors kommunikation med fast och mobil telefoni eller Internet ska lagras har således en påverkan på enskildas integritets- skydd och upplevelse av integritetsintrång. Det innebär med nöd- vändighet att den frihet att kommunicera som bör finnas mellan människor som använder kommunikationstjänster upplevs som inskränkt. Lagringen utgör i sig ett intrång i såväl privatliv som korrespondens och kan komma i konflikt såväl med den rätt till skydd för privatlivet var och en har enligt artikel 8 i Europakonven-

110

tionen som med det grundlagsskydd som denna rätt har enligt 2 kap. 6 § regeringsformen (se avsnitt 5.6).

5.3Risker för integriteten

Vid den hearing om integritetsfrågor som utredningen genomförde i juni 2007 lyftes behovet av tillgång till trafikuppgifter i bekämp- ningen av allvarlig brottslighet fram liksom att regelsystemet i dag innebär att trafikuppgifter för brottsbekämpning lämnas ut endast efter det att hänsyn till integritetsaspekter har tagits. Huvuddelen av hearingen behandlade de integritetsaspekter som enligt deltagar- na bör beaktas vid genomförandet av direktivet om lagring av tra- fikuppgifter. Vi sammanfattar i detta avsnitt de synpunkterna så fullständigt som möjligt och utan några egna ställningstaganden.

Vid hearingen framfördes att generella åtgärder som innebär att uppgifter om enskilda samlas in är mer problematiska från integri- tetssynpunkt än specifika åtgärder i enskilda fall. Lagringsskyldig- heten innebär att trafikuppgifter som på något sätt rör praktiskt taget alla medborgare kommer att finnas lagrade. Uppgifterna kan ge kännedom om förhållanden av privat natur som man inte vill att andra ska få insyn i. Det är vetskapen om att dessa uppgifter finns lagrade och kan tas fram och granskas under lagringstiden och ris- ken för att de läcker ut till obehöriga som är det allvarliga bekymret från integritetssynpunkt. Lagstiftningen riskerar att få en psykolo- gisk verkan som innebär att människor blir rädda och miss- tänksamma och i högre grad upplever att de lever i ett kontroll- samhälle. Det kan påverka tilltron till myndigheterna. Därmed upp- kommer en risk för att lagstiftningen ändrar människors attityder och beteendemönster. Man kommer att tänka sig för på ett annat sätt än tidigare innan man använder sin telefon eller sin dator.

Det framhölls att dessa effekter är den stora integritetsskadan och inte det förhållandet att vissa uppgifter i ett begränsat antal fall kan begäras ut av de brottsbekämpande myndigheterna i anledning av en utredning om misstänkt allvarlig brottslighet.

Flera synpunkter på risker för läckage framfördes också av del- tagarna. En ökad informationsvolym innebär allmänt sett en ökad risk för att informationen läcker eller sprids till obehöriga. Uppgif- ter kan komma ut genom bristande säkerhetsrutiner eller genom medvetna åtgärder. De trafikuppgifter som kommer att finnas lag- rade har naturligtvis inte bara intresse i vissa fall för brottsbekämp-

111

ningen. Den betydande informationsmängd som kommer att finnas lagrad har också ett intresse i många andra sammanhang. Uppgifter om enskildas kommunikationer som kommer i orätta händer kan medföra intrång i integriteten på olika sätt och i olika grad beroen- de på vilka uppgifter det är frågan om. Man pekade också på de ris- ker som kan uppkomma om trafikuppgifter lagras i eller förs över till andra länder.

Även risken för att trafikuppgifter kommer att användas för andra ändamål belystes under hearingen. Lagrade trafikuppgifter möjliggör kartläggningar av olika slag och kan ha ett betydande ekonomiskt värde samtidigt som de kan orsaka stora skador från integritetssynpunkt. Uppgifterna kan också ha stor betydelse från konkurrenssynpunkt och orsaka förskjutningar i den fria konkur- rensen på olika marknader.

Vid hearingen framfördes också att det finns en risk för att de brottsbekämpande myndigheterna kan komma att utnyttja trafik- uppgifter i mycket högre utsträckning än tidigare. Mot det anför- des att trafikuppgifterna behövs för utredning om allvarlig brotts- lighet och att de leder till att fler allvarliga brott klaras upp och att fler brottsoffer därmed kan få upprättelse.

En annan faktor som berördes vid hearingen är risken för ända- målsglidning, dvs. risken för att när systemet för lagring av trafik- uppgifter väl finns och fungerar kommer det att användas för andra syften än det ursprungligen var tänkt för.

När det gäller regleringen av lagring av trafikuppgifter lades sär- skild tyngd vid behovet av ett säkert, öppet och transparent regel- system som innebär att medborgarna kan bedöma vilka trafikupp- gifter som kommer att lagras och hur länge samt hur uppgifterna används i brottsbekämpningen. Det pekades särskilt på behovet av förhandskontroll och efterhandskontroll i form av uppföljning och andra rättsäkerhetsgarantier som en viktig förutsättning för med- borgarnas förtroende både för regelsystemet och det allmännas till- lämpning av det.

5.4Balans mellan brottsbekämpning och integritetsskydd ska uppnås

Bestämmelser om lagring av trafikuppgifter håller på att genomfö- ras eller har genomförts i alla länder i EU. Det följer av Sveriges medlemskap i unionen att direktivet om lagring av trafikuppgifter

112

ska genomföras även här. Vår uppgift är att föreslå hur genomfö- randet ska regleras.

Direktivet innehåller inte bara en uppräkning av vilka trafikupp- gifter som ska lagras utan också flera artiklar som ska garantera en rimlig proportion mellan intresset av att allvarliga brott utreds och lagförs och integritetsskyddet. Det gäller t.ex. den längsta accep- tabla lagringstiden, att uppgifterna ska utplånas vid slutet av den tiden och att uppgifterna ska skyddas mot olika åtgärder som är skadliga från integritetsskyddssynpunkt.

I svensk rätt är skyddet för enskildas integritet reglerat i bl.a. 2 kap. 6 § regeringsformen. Därutöver gäller Europakonventionen som svensk rätt. Det innebär att den nationella reglering som ge- nomför direktivet måste ha sin utgångspunkt i de krav som ställs på skydd för den personliga integriteten i grundlagen och konventio- nen. I vårt uppdrag ingår att belysa de integritetsaspekter som ak- tualiseras vid genomförandet av direktivet. Vi ska också beakta de bestämmelser om integritetsskydd som följer av dataskyddsdirekti- vet (95/46/EG) och direktivet om integritet och elektronisk kom- munikation (2002/58/EG) samt de bestämmelser i svensk rätt som genomför dessa direktiv. I vårt uppdrag ligger också att följa det arbete som den s.k. artikel 29-gruppen kan komma att initiera med anledning av de nationella genomförandena av direktivet om lag- ring av trafikuppgifter.

5.5Integritetsskydd enligt artikel-29 gruppen och Europeiska datatillsynsmannen

5.5.1Artikel 29-gruppen

Av artikel 29 i dataskyddsdirektivet framgår att det ska inrättas en arbetsgrupp på gemenskapsnivå för skydd av enskilda personer i samband med behandling av personuppgifter. Artikel 29-gruppen har övervägt integritetsfrågor i anledning av de nationella genomfö- randena av direktivet om lagring av trafikuppgifter. Gruppen har anfört att det är av yttersta vikt att direktivet genomförs på ett så- dant sätt att effekterna på privatlivet begränsas och att genomfö- randet åtföljs av åtgärder som skyddar den personliga integriteten. Gruppen har också understrukit behovet av en harmoniserad tolk- ning av direktivets bestämmelser och vikten av harmonisering av de nationella genomförandena av direktivet för att säkerställa samma

113

skyddsnivå för alla EU-medborgare. Därför vill gruppen se ett en- hetligt genomförande av direktivet i hela EU. För att detta ska kunna ske och för att uppfylla kraven i artikel 8 i Europakonven- tionen ska medlemsstaterna genomföra lämpliga och specifika skyddsåtgärder. Gruppen föreslår att minst följande skyddsåtgärder ska beaktas:

1)Uppgifterna bör endast lagras i särskilda syften och termen ”allvarliga brott” bör tydligt definieras och avgränsas. All ytterliga- re behandling bör uteslutas eller strikt begränsas genom särskilda skyddsåtgärder.

2)Uppgifterna ska bara vara tillgängliga för särskilt utsedda myndigheter som ansvarar för brottsbekämpning och överlämnas när det krävs för utredning, avslöjande och lagföring av de brott som anges i direktivet. En förteckning över vilka de särskilt utsedda myndigheterna är bör offentliggöras.

3)De uppgifter som ska lagras bör begränsas till ett minimum och alla ändringar av förteckningen över dessa uppgifter ska omfat- tas av ett strängt nödvändighetstest.

4)Utredning, avslöjande och lagföring av de brott som anges i direktivet får inte medföra någon storskalig datautvinning på basis av lagrade uppgifter avseende rese- och kommunikationsmönster för personer som de brottsutredande myndigheterna inte misstän- ker.

5)Tillgång till uppgifter bör i princip beviljas av de rättsliga myndigheterna efter en bedömning från fall till fall, utom i de län- der där sådan tillgång regleras i lag. I tillämpliga fall bör det i hand- lingarna om beviljande av tillgång anges vilka typer av uppgifter som behövs i det aktuella fallet.

6)Tillhandahållare av allmänna elektroniska kommunikations- tjänster eller kommunikationsnätverk bör inte ha rätt att bearbeta data som enbart lagras med hänsyn till den allmänna ordningen, enligt direktivet om lagring av uppgifter, för andra ändamål, särskilt inte för egna syften.

7)Särskilt systemen för lagring av data med hänsyn till den all- männa ordningen ska hållas logiskt åtskilda från de system som används för affärsverksamheten.

8)Miniminormer ska utformas avseende de tekniska och orga- nisatoriska säkerhetsåtgärder som tillhandahållarna ska vidta, och de ska hänvisa närmare till de allmänna kraven i direktivet om lag- ring av uppgifter.

114

5.5.2Europeiska datatillsynsmannen

Med stöd i förordningen om skydd för enskilda då gemenskapsin- stitutionerna och gemenskapsorganen behandlar personuppgifter och om den fria rörligheten för sådana uppgifter (EG nr 45/2001) har en oberoende tillsynsmyndighet med namnet Europeiska data- tillsynsmannen inrättats. Datatillsynsmannens uppdrag är att säker- ställa att fysiska personers grundläggande fri- och rättigheter, sär- skilt deras rätt till privatliv, respekteras med avseende på behand- ling av personuppgifter av gemenskapsinstitutionerna och gemen- skapsorganen. Datatillsynsmannen deltar också i artikel 29- gruppens arbete.

Datatillsynsmannen avgav i anledning av förslaget till direktiv om lagring av trafikuppgifter ett yttrande till kommissionen (2005/C 298/01). Datatillsynsmannen hänförde sig till vikten av att medlemsstaternas brottsbekämpande organ förfogar över alla nöd- vändiga rättsinstrument, särskilt i kampen mot terrorism och andra allvarliga brott och menade att en adekvat tillgång till vissa trafik- uppgifter kan vara ett avgörande redskap för de brottsbekämpande organen och bidra till människors fysiska säkerhet. Datatillsyns- mannen menade också att om man betraktar förslaget endast ur ett uppgiftsskyddsperspektiv bör trafikuppgifter över huvud taget inte bevaras i brottsbekämpande syfte. Därför är det enligt datatill- synsmannen viktigt att direktivet inte leder till att människor berö- vas sin grundläggande rätt till integritetsskydd.

Datatillsynsmannen menade att lagring av trafikuppgifter endast kan motiveras enligt gemenskapsrätten om proportionalitetsprinci- pen respekteras och lämpliga skyddsåtgärder vidtas. För att försla- get ska vara lämpligt och effektivt krävs enligt datatillsynsmannen att det finns effektiva sökmotorer så att myndigheterna har riktad och snabb tillgång till de uppgifter som behövs i ett specifikt fall. Av förslaget ska därför enligt datatillsynsmannen framgå att leve- rantörerna är skyldiga att installera den nödvändiga tekniska struk- turen, inklusive sökmotorer. Därutöver bör förslaget för att vara proportionerligt begränsa lagringstiderna och antal uppgifter som ska lagras och det måste återspegla styrkta behov från brottsbe- kämpningens sida. Det måste också säkerställas att det är omöjligt att komma åt uppgifternas innehåll. Slutligen bör förslaget innehål- la lämpliga skyddsåtgärder. Som lämpliga skyddsåtgärder angav da- tatillsynsmannen åtgärder som säkerställer att tillgången till och vidareanvändningen av uppgifterna begränsas enbart till särskilda

115

omständigheter och för ett begränsat antal särskilda ändamål. Vida- re ska databaserna skyddas på lämpligt sätt för att motverka ”dumpning” eller utnyttjande av uppgifterna. Det måste också ga- ranteras att uppgifterna utplånas effektivt när bevarandetiden löpt ut och det ska införas krav på att leverantörerna utplånar uppgif- terna automatiskt och minst en gång om dagen.

5.6Grundläggande regler i svensk rätt om skyddet för den personliga integriteten

5.6.1Regeringsformen

I 1 kap. 2 § fjärde stycket regeringsformen anges att det allmänna ska värna den enskildes privatliv och familjeliv. I 2 kap. finns be- stämmelser som skyddar medborgarna mot ingrepp från det all- männa.

I 2 kap. 3 § andra stycket finns en grundläggande bestämmelse om integritetsskydd vid automatiserad behandling. Regeln slår fast att varje medborgare i den utsträckning som närmare anges i lag ska skyddas mot att dennes personliga integritet kränks genom att uppgifter registreras med hjälp av automatisk databehandling. Per- sonuppgiftslagen är en sådan lag som avses i bestämmelsen. Integri- tetsskyddet ges inte bara gentemot det allmänna utan också gent- emot enskilda.

Bestämmelsen i 2 kap. 6 § innebär att varje medborgare gent- emot det allmänna är skyddad mot bl.a. husrannsakan och liknande intrång, undersökning av brev eller andra förtroliga försändelser samt mot hemlig avlyssning eller upptagning av telefonsamtal eller annat förtroligt meddelande. Skyddet för förtroligt meddelande omfattar meddelanden som sänds med posten eller på annat sätt som brev, telegram, bandinspelningar eller i sådan form att det kan bli föremål för beslag.

Det skydd som ges av 2 kap. 6 § får enligt 2 kap. 12 § endast be- gränsas genom lag och endast för att tillgodose ändamål som är godtagbara i ett demokratiskt samhälle. Begränsningarna får aldrig gå utöver vad som är nödvändigt med hänsyn till det ändamål som har föranlett begränsningarna och får inte heller sträcka sig så långt att de utgör ett hot mot den fria åsiktsbildningen, som är en av folkstyrelsens grundvalar. Dessutom får begränsningar inte göras

116

enbart på grund av politisk, religiös, kulturell eller annan sådan åskådning.

Mot bakgrund av hur de integritetsskyddande bestämmelserna i regeringsformen är utformade anses främst fyra allmänna principer gälla för användande av tvångsåtgärder mot enskilda. Dessa är lega- litets-, ändamåls-, behovs- och proportionalitetsprinciperna.

Legalitetsprincipen finns direkt uttryckt i 2 kap. 12 §. Ända- målsprincipen innebär att en myndighets befogenhet att använda tvångsmedel ska var bunden till det ändamål för vilket tvångsmed- let har beslutats. Behovsprincipen innebär att en tvångsåtgärd inte bör företas, om det inte är nödvändigt med hänsyn till syftet med åtgärden och en mindre ingripande åtgärd är tillräcklig. Proportio- nalitetsprincipen innebär att ett tvångsmedel får tillgripas endast om skälen för åtgärden uppväger det intrång eller men i övrigt som åtgärden innebär, dvs. om tvångsåtgärden i fråga om art, styrka, räckvidd och varaktighet står i rimlig proportion till vad som står att vinna med åtgärden.

De nu behandlade bestämmelserna i regeringsformen gäller för svenska medborgare. Om inte annat är föreskrivet är utlänning här i riket likställd med svenska medborgare i angivet hänseende (2 kap. 22 §).

5.6.2Europakonventionen

Sedan år 1995 gäller den europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna (Europa- konventionen) som svensk lag. I 2 kap. 23 § regeringsformen finns ett förbud mot att meddela lag eller annan föreskrift i strid med Sveriges åtaganden på grund av konventionen.

Lagring av trafikuppgifter berör främst artikel 8 om rätten till respekt för privatliv, familjeliv, hem och korrespondens, men också artikel 10 om rätten till yttrandefrihet och artikel 13 om rätten till ett effektivt rättsmedel.

Det saknas möjlighet att inom ramen för denna redovisning fullödigt redovisa för europeisk praxis med angivande av enskilda domar och beslut. Den följande redovisningen är således samman- fattande. För kompletterande uppgifter hänvisas till Hans Daneli- us, Mänskliga rättigheter i europeisk praxis, 2 uppl., år 2002 samt till de i det följande angivna rättsfallen.

117

Artikel 8:1 stadgar att var och en har rätt till respekt för sitt pri- vat- och familjeliv, sitt hem och sin korrespondens. Innebörden i denna artikel är att staten ska avhålla sig från ingrepp på individnivå och i form av mer generella inskränkningar av medborgarnas integ- ritetsskydd. Artikeln innebär också ett åläggande för staten att vid- ta positiva åtgärder för att skydda enskildas privata sfär. De krav på skyddsåtgärder som ställs på staten måste vara rimliga. I huvudsak kan det förväntas att staten utfärdar lagar och förordningar som ger ett tillfredsställande skydd (Danelius s. 261).

Skyddet får inskränkas enligt artikel 8:2 men endast under vissa förutsättningar. Inskränkningen måste ha stöd i lag och får göras endast om det i ett demokratiskt samhälle är nödvändigt med hän- syn till statens säkerhet, den allmänna säkerheten, landets ekono- miska välstånd eller till förebyggande av oordning eller brott eller till skydd för hälsa eller moral eller personers fri- och rättigheter. Kravet på att inskränkningen ska ha lagstöd anses innebära att in- skränkningen måste vara utformad med en sådan precision att den är i rimlig utsträckning förutsebar. Om lagen ger de rättstillämpan- de organen ett tolkningsutrymme och en rätt till skönsmässig be- dömning är det inte oförenligt med kravet på förutsebarhet under förutsättning att gränserna för den skönsmässiga bedömningen är tillräckligt klara för att ge den enskilde skydd mot godtyckliga in- grepp. Lagen måste också vara tillgänglig för allmänheten.

Att ingreppet måste vara nödvändigt innebär inte enligt Euro- padomstolen att det ska vara oundgängligt. Däremot måste det fö- religga ett angeläget samhälleligt behov. Vid bedömningen av nöd- vändigheten tillämpas proportionalitetsprincipen. Den innebär en avvägning mellan hur stort ingreppet i den enskildes rätt är och hur starkt det behov är som ska tillgodoses genom ingreppet. Det är endast om det finns ett rimligt förhållande mellan dessa två fakto- rer som ingreppet är proportionerligt och det är endast då ingrep- pet kan anses nödvändigt i ett demokratiskt samhälle (Danelius s. 58 och 263 f.).

Begreppet privatliv ska förstås i bred mening. Det tar i första hand sikte på enskilda individers rätt till personlig utveckling och rätten att etablera och utveckla relationer till andra människor. Även yrkesmässiga aktiviteter kan omfattas av rätten till respekt för privatlivet. Hemlig teleavlyssning utgör som utgångspunkt ett ingrepp i rätten till respekt för privatlivet men också i rätten till korrespondens. Detsamma gäller hemlig teleövervakning även om

118

myndigheterna då inte tar del av innehållet i förmedlade telemedde- landen.

Rätten till respekt för korrespondens har en vid betydelse och omfattar många slag av medelbar kommunikation med andra. Med korrespondens avses brev och andra försändelser med post och överföring av meddelanden med hjälp av telefon, telefax, radio och datorer (Danelius s. 270).

Genom Europadomstolens praxis har begreppet rätten till re- spekt för privat- och familjeliv, hem och korrespondens fått en tyd- ligare avgränsning.

Europadomstolen har funnit att hantering av flera av de typer av uppgifter som enligt artikel 5 i direktivet om lagring av trafikupp- gifter ska lagras utgör ett intrång i den skyddade rättigheten enligt artikel 8 i Europakonventionen. Av domstolens praxis framgår att lagring av information om en person anses utgöra ett intrång i pri- vatlivet, trots att informationen inte innehåller några känsliga upp- gifter (Amann mot Schweiz). Detsamma gäller för s.k. samtalsmät- ning som inbegriper användning av utrustning som automatiskt registrerar uppringda nummer på en telefon samt tidpunkt och längd för varje samtal (Malone mot Storbritannien). Domstolen har också funnit att ett inhämtande av uppgifter om vilka samtal som har ringts från en viss telefon utgör ett intrång i den skyddade rätten i artikel 8 (P.G. och J.H. mot Storbritannien). Det framgår också av domstolens praxis (Amann mot Schweiz) att det är ett intrång i artikel 8 om en registrerad uppgift om en enskild person inte förstörs vid den tidpunkt som angetts i lag.

Trots att domstolen har funnit att ett intrång i den enskildes rätt till privat- och familjeliv, hem och korrespondens föreligger kan intrånget vara berättigat om kraven på proportionalitet i artikel 8:2 är uppfyllda. Det går således inte att säga att vissa ingrepp alltid utgör en kränkning av rättigheten i artikel 8:1. Däremot kan de ut- göra ett ingrepp i artikel 8:1 som med stöd av 8:2 är konventions- enligt. Så har domstolen t.ex. ansett i rättsfallet P.G. och J.H. mot Storbritannien när polisen i spaningssyfte inhämtat upplysningar från ett telefonbolag om vilka samtal som hade ringts från ett visst telefonnummer. Däremot har domstolen i avgörandet Amann mot Schweiz menat att det inte funnits lagstöd för att uppgifter om Amanns telefonsamtal registrerats i ett kortregister och att den en- skilde alltså kunde anpassa sitt handlade till lagens krav. Också i rättsfallet Malone mot Storbritannien menade domstolen att den registrering av telefonnummer som hade företagits inte svarade

119

mot kravet på laglighet då de regler som tillämpats var otydliga och kunde tolkas på olika sätt.

5.7Våra fortsatta överväganden

Lagringen av trafikuppgifter medför ett intrång i den personliga integriteten. Vi behandlar därför integritetsfrågor i samband med flera av våra resonemang. En utgångspunkt för våra överväganden är att lagringen av trafikuppgifter ska regleras så att systemet blir transparent och gör det möjligt för medborgarna att förutse vilka uppgifter som ska lagras och hur de typiskt sett används i brotts- bekämpningen. Detta innebär att regleringen av vilka trafikuppgif- ter som ska lagras ska vara klar och tydlig och medge lagring endast om det följer av direktivet eller kan motiveras med stöd av artikel 15.1 i direktivet om integritet och elektronisk kommunikation. Vi behandlar dessa frågor i avsnitt 6.

Det är också en viktig utgångspunkt att integritetsfrågor beak- tas vid bedömning av var lagring ska ske och av vilka, lagringstiden och andra villkor för lagringen. Vi behandlar dessa frågor i avsnitt 7.

För att lagringen ska fungera som det är tänkt samtidigt som skyddet för enskildas integritet hålls på en hög nivå, måste en rad olika frågor som gäller lagringen och skyddet av de lagrade trafik- uppgifterna övervägas. Det sker i avsnitt 8.

Ytterligare en utgångspunkt för vårt arbete är att det ska finnas regler som innebär att missbruk av systemet beivras och att den som får sin integritet kränkt kan få ersättning. Dessa frågor och tillsynsfrågor behandlas i avsnitt 9 och 10.

De brottsbekämpande myndigheternas möjligheter att få till- gång till trafikuppgifter är begränsade i syfte att nå en godtagbar balans mellan intresset av att bekämpa allvarlig brottslighet och in- tresset av integritetsskydd. Den lagring av trafikuppgifter som nu ska genomföras innebär att det finns anledning att på nytt överväga om de nuvarande reglerna upprätthåller denna balans. Dessa och ytterligare frågor behandlas i avsnitt 11. I avsnitt 12 gör vi en sam- manfattande analys av hur integritetsfrågor och intresset av att be- kämpa allvarlig brottslighet balanseras i våra förslag om genomfö- rande av direktivet.

120

6 Trafikuppgifter som ska lagras

6.1Sammanfattning av våra förslag och bedömningar

•Tillgång till trafikuppgifter är av avgörande betydelse för bekämpning av allvarlig brottslighet.

•Lagringsskyldigheten ska genomföras så att den omfattar de uppgifter som de brottsbekämpande myndigheterna kan ha tillgång till i dag.

•Regleringen ska vara tydlig och väl avgränsad och utformad så att den så långt det är möjligt blir oberoende av den tek- niska utvecklingen.

•Lagringsskyldigheten innebär inte en uttömmande uppräk- ning av vilka uppgifter som de brottsbekämpande myndig- heterna har rätt att få från leverantörerna.

•Den enskilde leverantörens lagringsskyldighet ska enbart omfatta uppgifter som denne någon gång genererar eller behandlar.

•De uppgifter som ska lagras får inte avslöja kommunikatio- nens innehåll.

•Lagringsskyldigheten ska struktureras i kategorierna tele- foni, meddelandehantering, Internetåtkomst och anslut- ningsform.

•Vid telefoni ska följande uppgifter lagras:

–Uppringande telefonnummer

–Nummer som slagits och nummer till vilka samtalet styrts

–Uppgifter om abonnent och registrerad användare

–Datum och spårbar tid då kommunikationen påbörjades och avslutades

–Den tjänst som använts

–Slutpunkter

•Vid mobil telefoni ska dessutom följande uppgifter lagras:

–Den uppringande och den uppringda partens abonne-

121

mangsidentitet och utrustningsidentitet

–Lokaliseringsinformation för kommunikationens början och slut

–Datum, spårbar tid och lokaliseringsinformation för den första aktiveringen av en förbetald anonym tjänst

•Vid Internettelefoni ska dessutom följande uppgifter lagras:

–Uppringande parts IP-adresser

–Uppringd parts IP-adresser

•Vid meddelandehantering ska följande uppgifter lagras:

–Avsändarens och mottagarens meddelandeadress

–Uppgifter om abonnent och registrerad användare

–Datum och spårbar tid för på- och avloggning i med- delandetjänsten

–Datum och spårbar tid för avsändande och mottagande av meddelandet

–Den tjänst som har använts och spårbar tid för användan- det

•Vid Internetåtkomst ska följande uppgifter lagras:

–Användarens IP-adresser

–Uppgifter om abonnent och registrerad användare

–Datum och spårbar tid för på- och avloggning i Internet- tjänsten

–Typen av Internetanslutning som använts

–Slutpunkter

•Vid verksamheter som tillhandahåller kapacitet som ger möjlighet till överföring av IP-paket för att få Internetåt- komst (anslutningsform) ska följande uppgifter lagras:

–Uppgifter om abonnent

–Vilken typ av kapacitet för överföring som har använts och spårbar tid för användandet

–Slutpunkter

•Lagringsskyldigheten ska gälla även vid misslyckad upp- ringning.

•Lagringsskyldigheten för uppgifter om abonnents och regi- strerad användares person- och organisationsnummer lik- som för uppgifter om datum och spårbar tid då kommuni- kationen påbörjades och avslutades vid Internettelefoni och datum och spårbar tid för avsändande och mottagande av meddelande vid meddelandehantering följer av direktivet om lagring av trafikuppgifter.

122

•Lagringsskyldigheten för uppgifter om lokalisering vid mo- bilsamtals slut och för uppgifter som inte lagras eller loggas vid misslyckad uppringning går utöver direktivet om lag- ring av trafikuppgifter. Behovet av att dessa uppgifter finns tillgängliga för brottsbekämpningen är så starkt att det överväger det integritetsintrång som lagringen medför och lagringsskyldigheten kan således motiveras utifrån artikel 15.1 i direktivet om integritet och elektronisk kommunika- tion.

6.2Vårt uppdrag

Enligt våra direktiv ska vi ta ställning till hur direktivet om lagring av trafikuppgifter ska genomföras i svensk rätt och lämna förslag till de författningsändringar som behövs. En utgångspunkt ska vara att de brottsbekämpande myndigheterna ska få tillgång till de upp- gifter som behövs i utredningar om allvarlig brottslighet. Re- gleringen ska ske med hänsyn till den tekniska utvecklingen inom området för elektronisk kommunikation.

Vissa typer av trafikuppgifter omfattas inte av direktivet om lag- ring av trafikuppgifter. Vårt uppdrag i den delen är att utifrån arti- kel 15.1 i direktivet om integritet och elektronisk kommunikation (2002/58/EG) analysera de brottsbekämpande myndigheternas be- hov av att få tillgång till trafikuppgifter som inte uttryckligen följer av direktivets lagringsskyldighet och utifrån proportionalitetskra- vet motivera eventuella förslag om ytterligare lagringsskyldighet. Vårt förslag ska emellertid inte omfatta andra trafikuppgifter än sådana som myndigheterna kan ha tillgång till i dag och som avser fast och mobil telefoni, samt Internetåtkomst, e-post och Internet- telefoni.

6.3Uppgifter som omfattas av direktivet om lagring av trafikuppgifter

Artikel 5 i direktivet om lagring av trafikuppgifter anger sex syften för vilka uppgifter ska lagras. Lagringsskyldigheten rör uppgifter som är nödvändiga för att

•spåra och identifiera en kommunikationskälla

•identifiera slutmålet för en kommunikation

123

•identifiera datum, tidpunkt och varaktighet för en kom- munikation

•identifiera typen av kommunikation

•identifiera användarnas kommunikationsutrustning, eller den utrustning som de tros ha använt

•identifiera lokaliseringen av mobil kommunikationsut- rustning

I anslutning till respektive syfte anges de kategorier av uppgifter som ska lagras (se nedan). I artikel 5 anges också att inga uppgifter som avslöjar kommunikationens innehåll får lagras i enlighet med direktivet.

6.3.1Uppgifter för spårning och identifiering av kommunikationskälla

Telefoni i fasta nät och mobil telefoni

För telefoni i fasta nät och mobil telefoni anges i artikel 5 att upp- gifter om

•det uppringande telefonnumret, och om

•abonnentens eller den registrerade användarens namn och adress

ska lagras.

Internetåtkomst, Internetbaserad e-post och Internettelefoni

För Internetåtkomst, Internetbaserad e-post och Internettelefoni anges i artikel 5 att uppgifter om

•tilldelade användar-ID

•användar-ID och telefonnummer vilka tilldelats kommuni- kationen i det allmänna telenätet, och om

•namn på och adress till den abonnent eller registrerade an- vändare som IP-adressen (Internet Protocol), användar- identiteten eller telefonnumret tilldelades vid tidpunkten

för kommunikationen ska lagras.

124

6.3.2Uppgifter för identifiering av slutmålet för en kommunikation

Telefoni i fasta nät och mobil telefoni

För telefoni i fasta nät och mobil telefoni anges i artikel 5 att upp- gifter om

•det eller de nummer som slagits (det eller de uppringda te- lefonnumren), och, i fall som berör tilläggstjänster såsom omstyrning och överflyttning av samtal, det eller de num- mer till vilket eller vilka samtalet styrs, och om

•abonnentens (abonnenternas) eller den eller de registrerade

användarnas namn och adress ska lagras.

Internetbaserad e-post och Internettelefoni

För Internetbaserad e-post och Internettelefoni anges i artikel 5 att uppgifter om

•användar-ID eller telefonnummer som tilldelats den eller de avsedda mottagarna av ett Internettelefonsamtal, och om

•namn på och adress till abonnenten (abonnenterna) eller den eller de registrerade användarna och det användar-ID som tilldelats den avsedda mottagaren av kommunikatio-

nen ska lagras.

6.3.3Uppgifter för identifiering av datum, tidpunkt och varaktighet för en kommunikation

Telefoni i fasta nät och mobil telefoni

För telefoni i fasta nät och mobil telefoni anges i artikel 5 att upp- gifter om

•datum och tid då kommunikationen påbörjades och avslu- tades

ska lagras.

125

Internetåtkomst, Internetbaserad e-post och Internettelefoni

För Internetåtkomst, Internetbaserad e-post och Internettelefoni anges i artikel 5 att uppgifter om

•datum och tid för på- respektive avloggning i Internetåt- komsttjänsten inom en given tidszon tillsammans med IP- adressen, oavsett om den är dynamisk eller statisk, som en kommunikation tilldelats av Internetåtkomstleverantören till en kommunikation och abonnents eller registrerad an- vändares användar-ID, och om

•datum och tid för på- respektive avloggning i den Internet-

baserade e-posttjänsten eller Internettelefonitjänsten inom en given tidszon

ska lagras.

6.3.4Uppgifter för identifiering av kommunikationstyp

Telefoni i fasta nät och mobil telefoni

För telefoni i fasta nät och mobil telefoni anges i artikel 5 att upp- gifter om

• den telefonitjänst som används ska lagras.

Internetbaserad e-post och Internettelefoni

För Internetbaserad e-post och Internettelefoni anges i artikel 5 att uppgifter om

• den Internettjänst som används ska lagras.

6.3.5Uppgifter för identifiering av kommunikationsutrustning, eller den utrustning som tros ha använts

Telefoni i fasta nät

För telefoni i fasta nät anges i artikel 5 att uppgifter om

• det uppringande och det uppringda telefonnumret ska lagras.

126

Mobil telefoni

För mobil telefoni anges i artikel 5 att uppgifter om

•det uppringande och det uppringda telefonnumret,

•den uppringande partens IMSI (International Mobile Subscriber Identity),

•den uppringande partens IMEI (International Mobile Equipment Identity),

•den uppringda partens IMSI,

•den uppringda partens IMEI, och om

•datum och tid för den första aktiveringen av en förbetald

anonym tjänst och den lokaliseringsbeteckning (cell-ID) från vilken tjänsten aktiverades

ska lagras.

Internetåtkomst, Internetbaserad e-post och Internettelefoni

För Internetåtkomst, Internetbaserad e-post och Internettelefoni anges i artikel 5 att uppgifter om

•det uppringande telefonnumret för uppringda förbindelser, och om

•DSL (Digital Subscriber Line) eller annan slutpunkt för kommunikationens avsändare

ska lagras.

6.3.6Uppgifter för lokalisering av mobil kommunikationsutrustning

För lokalisering av mobil kommunikationsutrustning anges i artikel 5 att uppgifter om

•lokaliseringsbeteckning (cell-ID) för kommunikationens början, och

•uppgifter som identifierar cellernas geografiska placering genom referens till deras lokaliseringsbeteckning (cell-ID) under den period som kommunikationsuppgifterna lagras,

ska lagras.

127

6.4Lagring av trafikuppgifter som inte omfattas av direktivet

Enligt direktivet om lagring av trafikuppgifter ska vissa angivna uppgifter lagras. Vårt uppdrag är att föreslå en reglering som inne- bär att dessa uppgifter lagras och som samtidigt innebär att lag- ringsskyldigheten omfattar de uppgifter som de brottsbekämpande myndigheterna kan ha tillgång till i dag. Det innebär att vi behöver analysera de brottsbekämpande myndigheternas behov av att få tillgång till trafikuppgifter som inte anges i direktivet om lagring av trafikuppgifter och om en vidare lagringsskyldighet kan motiveras utifrån artikel 15.1 i direktivet om integritet och elektronisk kom- munikation. Den artikeln har följande lydelse.

Artikel 15

Tillämpningen av vissa bestämmelser i direktiv 95/46/EG

1. Medlemsstaterna får genom lagstiftning vidta åtgärder för att begränsa omfattningen av de rättigheter och skyldigheter som anges i artikel 5, artikel 6, artikel 8.1, 8.2, 8.3 och 8.4 och artikel 9 i detta direktiv när en sådan begränsning i ett demo- kratiskt samhälle är nödvändig, lämplig och proportionell för att skydda nationell säkerhet (dvs. statens säkerhet), försva- ret och allmän säkerhet samt för förebyggande, undersök- ning, avslöjande av och åtal för brott eller vid obehörig an- vändning av ett elektroniskt kommunikationssystem enligt artikel 13.1 i direktiv 95/46/EG. Medlemsstaterna får för det- ta ändamål bland annat vidta lagstiftningsåtgärder som inne- bär att uppgifter får bevaras under en begränsad period som motiveras av de skäl som fastställs i denna punkt. Alla åtgär- der som avses i denna punkt ska vara i enlighet med de all- männa principerna i gemenskapslagstiftningen, inklusive principerna i artikel 6.1 och 6.2 i Fördraget om Europeiska unionen.

Direktivet om lagring av trafikuppgifter innehåller ett tillägg till artikel 15 på så sätt att en punkt 1a införs. Den nya punkten har följande lydelse.

1a. Punkt 1 ska inte tillämpas på uppgifter som specifikt ska lagras enligt Europaparlamentets och rådets direktiv

128

2006/24/EG av den 15 mars 2006 om lagring av uppgifter som genererats eller behandlats i samband med tillhandahål- lande av allmänt tillgängliga elektroniska kommunikations- tjänster eller allmänna kommunikationsnät (EUT L 105, 13.4.2006, s. 54) för de ändamål som avses i artikel 1.1 i det direktivet.

6.5Behovet av trafikuppgifter för brottsbekämpningen

Bedömning och förslag: Tillgång till trafikuppgifter är av avgöran- de betydelse för bekämpning av allvarlig brottslighet.

Lagringsskyldigheten ska genomföras så att den omfattar de uppgifter som de brottsbekämpande myndigheterna kan ha tillgång till i dag.

6.5.1Antal utlämnanden av trafikuppgifter

Som framgår i avsnitt 2.3 kan de brottsbekämpande myndigheterna få tillgång till historiska trafikuppgifter om de finns tillgängliga hos leverantörerna. Det får ske efter domstolsbeslut om hemlig tele- övervakning enligt rättegångsbalken, där det krävs att det finns en person som är skäligen misstänkt för brott med ett minimistraff om sex månaders fängelse eller för viss särskilt angiven brottslighet. Det får också ske utan domstolsbeslut genom att leverantörernas tystnadsplikt för trafikuppgifter enligt lagen om elektronisk kom- munikation bryts, vilket kräver att utredningen gäller brott med ett minimistraff som är två års fängelse.

Möjligheten att använda hemlig teleövervakning enligt rätte- gångsbalken för att få ut historiska trafikuppgifter har funnits se- dan den 1 oktober 2004. Av regeringens skrivelse 2006/07:28 Hem- lig teleavlyssning, hemlig teleövervakning och hemlig kameraöver- vakning vid förundersökning i brottmål under år 2005 framgår att 1 027 tillstånd till hemlig teleövervakning meddelades det nämnda året. I skrivelsen anges de brottstyper för vilka tillstånd lämnades. Tillstånd meddelades uteslutande vid grova brott (se avsnitt 11.4). Skrivelsen till riksdagen som rör tvångsmedelsanvändningen för år 2006 har ännu inte lämnats. Av Åklagarmyndighetens och Rikspo- lisstyrelsens redovisning till regeringen framgår dock att det under året meddelades 1 119 tillstånd till hemlig teleövervakning.

129

Det förs inte någon statistik över utlämnande av trafikuppgifter enligt lagen om elektronisk kommunikation. BRU lämnade i maj 2005 i sitt betänkande (SOU 2005:38 s. 185) uppgifter om lagens tillämpning. BRU anförde att exakt statistik saknas om i hur många fall per år som de brottsbekämpande myndigheterna begär trafik- uppgifter från leverantörerna enligt lagen om elektronisk kommu- nikation, men enligt en grov uppskattning kunde det röra sig om drygt 4 000 fall årligen. Enligt BRU torde möjligheten att få ut hi- storiska trafikuppgifter enligt lagen om elektronisk kommunika- tion vara den mest använda metoden när de brottsbekämpande myndigheterna vill få tillgång till sådana trafikuppgifter och det krävs då att utredningen gäller brott vars minimistraff är två års fängelse. För uppgift om abonnemang (t.ex. namn, adress, telefon- nummer och IP-adress) krävs dock enbart att fängelse är föreskri- vet och att det i det enskilda fallet kan föranleda annan påföljd än böter.

Det finns inte heller nu någon statistik över i hur många fall år- ligen som de brottsbekämpande myndigheterna begär ut trafikupp- gifter enligt lagen om elektronisk kommunikation (”annan uppgift som angår ett särskilt elektroniskt meddelande”). Enligt de nya uppskattningar som polisen har gjort har antalet fall ökat avsevärt från år 2004 och var ca 8 000 under år 2006.

6.5.2Tidigare överväganden om behovet

BRU konstaterade att trafikuppgifter används på något sätt i nästan samtliga utredningar av grövre brott och bedömde att tillgången till uppgifterna är av fundamental betydelse för utredningsverksamhe- ten och ofta har en direkt koppling till att förundersökningarna över huvud taget kan föras framåt. BRU angav bl.a. följande (s. 323-325).

Uppgifterna används i princip i varje utredning rörande grova brott, som mord, människorov, grovt rån, grov mordbrand, allmänfarlig ödeläggelse (t.ex. bankboxsprängningar), grov våldtäkt, människohandel för sexuella ändamål, grovt barn- pornografibrott och grovt narkotikabrott samt brott som fal- ler inom Säkerhetspolisens område, exempelvis terrorist- brott.

Arbetet med att utreda brottslighet av den karaktär som nu är aktuell inleds ofta med en kontroll av de trafikuppgifter

130

Mot den bakgrunden analyserade BRU de problem som uppkom- mer med nuvarande ordning som innebär att det inte finns någon skyldighet att lagra trafikuppgifter för brottsbekämpande ändamål. BRU konstaterade att detta många gånger medför stora problem för myndigheterna att få tillgång till de uppgifter som behövs, att det förhållandet i sin tur leder till allvarliga problem med effektivi- teten i utredningsarbetet och att konsekvenserna från brottsbe- kämpningssynpunkt, särskilt vid grövre brottslighet, i längden kan bli oacceptabla (SOU 2005:38 s. 329-330).

6.5.3Exempel på vad trafikuppgifter kan ge för information

Vi har bett de brottsbekämpande myndigheterna att utifrån verkli- ga händelser komma med exempel på vilken information trafikupp- gifter kan ge i utredningar. Vi sammanfattar exemplen på följande sätt.

Mord: Gärningsmän har identifierats och knutits till varandra och till platser genom trafikuppgifter.

Människorov: En målsägande hölls fängslad under flera dagar och kunde lokaliseras genom trafikuppgifter.

Människohandel: Gärningsmän har identifierats och knutits till varandra och till platser genom trafikuppgifter. Likaså har trans- portvägar, förfalskningscentraler, platser för prostitution och kon- taktnät utomlands klarlagts.

Olaga hot (grovt brott): Vid en fritagning från anstalt med au- tomatvapen gick det att med hjälp av trafikuppgifter lokalisera gär- ningsmännen.

Dataintrång: Gärningsmän har identifierats och knutits till var- andra genom trafikuppgifter.

Våldtäkt: Gärningsmän har identifierats genom trafikuppgifter. Exempelvis kunde en underårig målsägande ange att gärningsman- nen under övergreppet, som skedde i bil, hade fått två samtal till sin mobiltelefon utan att besvara dessa. Genom de uppgifterna blev det möjligt att identifiera gärningsmannen, som också kunde bindas till andra liknande brott några år tidigare.

Grov stöld: Genom trafikuppgifter kunde en stöld av en contai- ner med cigaretter klaras upp genom att kontakterna mellan fem gärningsmän blev klarlagda. Brottet var först rubricerat som rån men trafikuppgifterna gjorde klart att det var ett ”insiderjobb”.

Grov stöld/grovt häleri: Trafikuppgifter från en misstänkts tele- fon ledde till att ett nätverk av personer som utförde inbrott ”på

133

beställning” kunde identifieras. Dessutom kunde ”hälericentralen” lokaliseras.

Grovt rån: Gärningsmän har identifierats och knutits till var- andra och till platser genom trafikuppgifter.

Utpressning (grovt brott): Vid utredning av annat brott kunde det genom trafikuppgifter klarläggas att det pågick en utpressning, som inte var anmäld till polisen. Gärningsmannen kunde identifie- ras. I ett annat fall kunde gärningsmännen identifieras genom tra- fikuppgifter som tillkommit i samband med överlämnandet av pengar.

Mordbrand: Vid mordbränder mot flera restauranger har gär- ningsmän identifierats och knutits till varandra och till platser ge- nom trafikuppgifter.

Grovt narkotikabrott: Gärningsmän har identifierats och knutits till varandra och till platser (t.ex. gömställen) genom trafikuppgif- ter.

Grov narkotikasmuggling: Genom trafikuppgifter kunde tullen binda telefoner till misstänkta personer och se hur dessa hade rört sig, vilka de haft kontakt med och när kommunikationen ägt rum. Uppgifterna kunde användas för att få hemlig teleavlyssning, som i sin tur användes framgångsrikt för att identifiera misstänkta perso- ner, smugglingsvägar och tidpunkter för smugglingar. Trafikupp- gifterna var också avgörande i det internationella samarbetet. – Ge- nom trafikuppgifter rörande ett s.k. anonymt kontantkort, som användes för att ringa till en kurirs telefon, kunde sex gärningsmän och ett gömställe identifieras. Dessutom kunde nästa smugglings- parti tas i beslag och tidigare smugglingsresor klarläggas. – Vid en smugglingsresa kunde inte bara kuriren utan även personer i en föl- jebil knytas till smugglingen med hjälp av trafikuppgifter.

Grovt skattebrott m.m.: Gärningsmän har identifierats och knu- tits till varandra och till platser. Följande typexempel kan nämnas vid grovt skattebrott och grova förmögenhetsbrott. En huvudman som inte vill synas utåt beordrar vissa personer att göra olika saker. Tillgången till trafikuppgifter leder till att man kan visa att huvud- mannens telefon vid vissa tidpunkter haft kontakt med någon an- nan misstänkts telefon. Utifrån flera sådana uppgifter kan man se- dan se mönster om att kontakt funnits vid intressanta tidpunkter, t.ex. vid penninguttag. Uppgifterna kan indikera att den annars osynlige huvudmannen är den som styr aktiviteten. Ett flertal sam- tal, som varar längre än försumbar tid, kan inte förklaras som fel- ringningar. Det kan också vara värdefullt att få tillgång till lokalise- ringsinformation för att t.ex. visa att personer träffats. Ofta kan

134

den sortens information kombineras med fysisk spaning. Uppgif- terna kan användas för att försöka påvisa att personer som påstår sig ha haft kontakt med varandra i vart fall inte har haft kontakt som visar sig genom trafikuppgifter. Trafikuppgifter visar också det motsatta, att personer har varit i kontakt med varandra och när det skedde.

6.5.4Vår bedömning

Behovet av att använda trafikuppgifter vid utredning av allvarlig brottslighet har sin grund i medborgarnas anspråk på en effektiv brottsbekämpning. Människor måste kunna ha tillit till att brotts- bekämpningen leder till att allvarliga brott klaras upp och till att den som begått ett allvarligt brott kan åtalas och dömas.

När medel, verktyg och metoder som behövs för en effektiv brottsbekämpning diskuteras hänvisas det ofta till polisens eller de andra brottsbekämpande myndigheternas behov. Det är också des- sa myndigheter som har djupa insikter om vad som behövs i brottsbekämpningen och som preciserar behovet. Utgångspunkten för bedömningen av vilka nya medel, verktyg eller metoder som behövs i brottsbekämpningen måste dock vara medborgarnas be- hov. Det är medborgarna i allmänhet och brottsoffren som för sin trygghet respektive upprättelse ställer anspråk på en effektiv brottsbekämpning.

Behovet av att allvarlig brottslighet utreds och lagförs måste ställas mot medborgarnas grundläggande krav på integritet och skydd mot integritetsintrång. Den rättsliga regleringen på tvångs- medelsområdet speglar den avvägning som lagstiftaren har gjort mellan dessa båda medborgarintressen. I avsnitt 5 har vi redovisat de utgångspunkter som bör gälla för att kravet på ett gott integri- tetsskydd ska tillgodoses vid genomförandet av direktivet om lag- ring av trafikuppgifter.

Vi ska utifrån direktivet om lagring av trafikuppgifter föreslå en reglering som innebär att trafikuppgifter lagras just för att kunna användas vid bekämpning av allvarlig brottslighet. Hittills har de brottsbekämpande myndigheterna kunnat få trafikuppgifter om de har funnits tillgängliga hos leverantörerna. Det nuvarande regelsy- stemet innebär att trafikuppgifter får sparas endast om det finns skäl för det främst utifrån förhållandet mellan leverantören och dennes abonnenter eller kunder. Direktivet innebär att de uppgifter som leverantörerna lagrar i dag ska kompletteras med uppgifter

135

som lagras för brottsbekämpande syften och att det kommer att finnas en bestämd tidsram för hur länge uppgifterna ska lagras.

En närmast självklar utgångspunkt för bedömningen av vilket behov det finns av trafikuppgifter för brottsbekämpningen måste vara det förhållandet att trafikuppgifter sedan mycket lång tid an- vänds och är helt avgörande i de brottsbekämpande myndigheter- nas arbete. Trafikuppgifterna leder bl.a. till att oklara förhållanden kan redas ut, till att samband mellan olika personer kan klargöras, till att personer kan knytas till platser som är viktiga för utredning- en av brottet, till ett säkrare underlag i förundersökning och vid åtal och till att utredningen kan inriktas på det som är intressant och snabbt avföra både misstankar och misstänkta som inte ska omfattas av utredningen. De exempel på situationer där trafikupp- gifter har använts vid utredning om allvarliga brott visar enligt vår mening att tillgången till trafikuppgifter är ett nödvändigt och träffsäkert verktyg vid utredningar av allvarlig brottslighet.

Teknikutvecklingen och internationaliseringen innebär hela ti- den nya möjligheter för dem som begår brott. Brotten kan planeras och utföras mer anonymt och utan direkt kontakt mellan dem som är inblandade. Tekniken och internationaliseringen utnyttjas också för att dölja brotten och försvåra upptäckt. Olika slags lösningar för elektronisk kommunikation kan därmed användas direkt som ett brottsverktyg och som en del i brottsplanen.

Möjligheten att lagra trafikuppgifter innebär att de ”elektroniska spår” som finns i samband med brottet kan användas för att på ett konkret och rättssäkert sätt föra utredningen om brottet framåt. För de flesta medborgare torde det te sig naturligt att den teknik som kan spåras i samband med att ett allvarligt brott har begåtts också används för att utreda brottet.

BRU gjorde den generella bedömningen att tillgången till tra- fikuppgifter är av fundamental betydelse för brottsutredningsverk- samheten och att tillgången ofta har en direkt koppling till att för- undersökningarna över huvud taget kan föras framåt. Vi instämmer i den slutsatsen. I de allra flesta fall finns inte några godtagbara al- ternativa metoder att använda. Fysisk spaning och ”öppna” tvångsmedel som husrannsakan kan i vissa lägen vara ett gott kom- plement till den information som trafikuppgifter kan ge, men många gånger är sådana metoder av både praktiska och utred- ningsmässiga skäl inte möjliga att genomföra. För att de brottsbe- kämpande myndigheterna ska kunna fullgöra sitt uppdrag måste de alltså få tillgång till de trafikuppgifter som anges i direktivet.

136

De brottsbekämpande myndigheterna har dessutom anfört att det finns behov av att fler trafikuppgifter än de som anges i direkti- vet lagras. Ett genomförande av direktivet får inte leda till att de brottsbekämpande myndigheterna får sämre förutsättningar än i dag att bekämpa allvarlig brottslighet. Vår utgångspunkt är att lag- ringsskyldigheten enligt direktivet ska genomföras så att den om- fattar de trafikuppgifter som de brottsbekämpande myndigheterna kan ha tillgång till i dag och som avser fast och mobil telefoni, samt Internetåtkomst, e-post och Internettelefoni. Vi återkommer till frågan om de brottsbekämpande myndigheternas ytterligare behov i avsnitt 6.8.2, 6.13 och 6.14.

6.6Hur bör lagringsskyldigheten struktureras?

6.6.1Utgångspunkter

Förslag och bedömning: Regleringen ska vara tydlig och väl av- gränsad och utformad så att den så långt det är möjligt blir obero- ende av den tekniska utvecklingen.

Lagringsskyldigheten innebär inte en uttömmande uppräkning av vilka uppgifter som de brottsbekämpande myndigheterna har rätt att få från leverantörerna.

Den enskilde leverantörens lagringsskyldighet ska enbart omfat- ta uppgifter som denne någon gång genererar eller behandlar.

De uppgifter som ska lagras får inte avslöja kommunikationens innehåll.

Teknikneutrala och tydliga regler

När direktivet om lagring av trafikuppgifter ska genomföras i svensk rätt hade den enklaste lösningen varit att utforma författ- ningstexten i mycket nära anslutning till skrivningarna i direktivet. Samtidigt kan en sådan lösning medföra problem på sikt. Mot bak- grund av den snabba teknikutvecklingen måste direktivet tolkas. Vi kan redan i dag konstatera att vissa av de uttryck som används, t.ex. IMSI och IMEI, kommer att vara föråldrade ganska snart. Direkti- vets uttryck om att det specifikt ska vara de uppgifter som anges i direktivet som ska omfattas av lagringsskyldighet (jfr artikel 11 i direktivet om lagring av trafikuppgifter som innebär en ändring av artikel 15 i direktivet om integritet och elektronisk kommunika-

137

tion) bör därför förstås så att lagringsskyldigheten ska omfatta de olika typer av uppgifter som framgår av artikel 5.

Utgångspunkten enligt våra direktiv är att de föreslagna be- stämmelserna så långt det är möjligt ska vara oberoende av den tekniska utvecklingen, samtidigt som vi ska beakta behovet av tyd- liga och väl avgränsade regler. I det följande lämnar vi förslag till hur en mer teknikneutral lösning bör utformas.

Författningsgivning som reglerar integritetskänsliga uppgifter brukar ske genom lag (jfr prop. 1990/91:60 s. 50 och 1997/98:44 s. 41). Det är också med den utgångspunkten som det nuvarande re- gelsystemet kring trafikuppgifter är utformat.

Rättegångsbalken och lagen om elektronisk kommunikation re- glerar inte i detalj vilka uppgifter som de brottsbekämpande myn- digheterna har rätt att få ut, annat än att det ska vara fråga om ”uppgift om telemeddelanden” respektive ”uppgift som angår ett särskilt elektroniskt meddelande”. Regleringarna är med andra ord teknikneutrala och anger inte i detalj vilka typer av uppgifter det är fråga om. På samma vis innehåller varken lagen om elektronisk kommunikation, förordningen med samma namn eller föreskrifter från PTS någon uppräkning i detalj av vilka typer av uppgifter som leverantörerna får spara för exempelvis abonnentfakturering (6 kap. 6 § LEK och 35 § nämnda förordning).

För att en tydlig reglering som är så teknikneutral som möjligt ska åstadkommas blir det nödvändigt att ha bestämmelser som rör lagringsskyldigheten i olika avseenden både i lag, förordning och myndighetsföreskrifter. I lag ska bl.a. de bestämmelser finnas som ger åligganden för enskilda (8 kap. 3 § regeringsformen). Som vi utvecklar senare i betänkandet rör det bl.a. skyldigheten för leve- rantörer att lagra trafikuppgifter för brottsbekämpande syften och leverantörernas skyldighet att lagra uppgifterna på ett säkert sätt. Detaljregleringen och den mer tekniska beskrivningen av vilka tra- fikuppgifter som ska lagras behöver inte finnas i lag. Det blir en mer lämplig och teknikneutral reglering som står sig över tid om det i lag tas in en bestämmelse om att regeringen i förordning re- glerar den mer tekniska beskrivningen av lagringsskyldigheten. Förordningen om elektronisk kommunikation reglerar i stort sett enbart PTS verksamhet som tillsynsmyndighet. Vi bedömer att be- stämmelser som preciserar vilka trafikuppgifter som ska lagras inte passar i den förordningen. I stället föreslår vi en särskild förordning om lagring av trafikuppgifter m.m. för brottsbekämpande syften. Den reglering som innebär en mycket hög detaljnivå, t.ex. rörande

138

de säkerhetsåtgärder som leverantörerna ska vidta för att skydda uppgifterna, bör ske i föreskrifter från tillsynsmyndigheten.

Uppgifter som genereras eller behandlas ska lagras

I artikel 3 i direktivet om lagring av trafikuppgifter anges att det enbart är de trafikuppgifter som den enskilde leverantören genere- rar eller behandlar som omfattas av lagringsskyldigheten. Leveran- tören kommer alltså inte att ha skyldighet att ”skaffa sig” alla de uppgifter lagringsskyldigheten omfattar utan lagringsskyldigheten för leverantören omfattar endast de trafikuppgifter som genereras eller behandlas i verksamheten. Direktivet innebär därmed inget hinder mot exempelvis anonyma kontantkort. Finns däremot upp- gifterna någon gång hos leverantören och genereras eller behandlas, även om det bara rör sig om en ytterst kort tid, ska de lagras. Detta gäller oavsett om uppgifterna lagras redan i dag av leverantören el- ler inte.

De uppgifter som lagringsskyldigheten omfattar enligt direkti- vet om lagring av trafikuppgifter får inte avslöja kommunikatio- nens innehåll (artikel 5). De förslag till lagring av trafikuppgifter som vi föreslår utgår från detta.

6.6.2Strukturen

Förslag: Lagringsskyldigheten ska struktureras i kategorierna tele- foni, meddelandehantering, Internetåtkomst och anslutningsform.

Tydligheten i regleringen är viktig för att medborgarna i så hög ut- sträckning som möjligt ska kunna förstå vad lagringsskyldigheten omfattar och för att de berörda aktörerna ska förstå vad som faller in under regleringen och därmed kunna fullgöra sina skyldigheter. En klart och tydligt avgränsad reglering ser vi som en av de faktorer som bidrar till ett gott integritetsskydd och till att upprätthålla god konkurrens och skapa ett gott innovationsklimat och en mångfald på marknaden.

Mot bakgrund av teknikutvecklingen, där olika sektorer gradvis växer samman (konvergensen), överskådligheten och förståelsen (inte minst från berörda aktörer) har vi valt att arbeta efter en för- fattningsmässig lösning där de olika teknikområdena är uppdelade på ett mer teknikneutralt och framtidsorienterat sätt än vad som

139

följer direkt av direktivet om lagring av trafikuppgifter. Direktivet utgår från att de olika områdena har ett ”vertikalt” förhållande till varandra, exempelvis så skiljs fast, mobil och Internettelefoni åt. I den tekniska realiteten är många lösningar i dagsläget kombinatio- ner. Som exempel kan nämnas att en fast telefon eller en mobiltele- fon kan användas för Internetåtkomst med vars hjälp Internettele- foni kan användas. Utan att gå in på tekniska detaljer är ett annat exempel att ett och samma samtal kan gå från en mobiltelefon till en fast telefon och transitering (trunking) kan ske med hjälp av Internettelefoni mellan mobilnätet och det fasta telenätet. För att åskådliggöra något av komplexiteten kan följande bild avseende telefoni användas.

Ett sätt att få en så teknikneutral reglering som möjligt som låter regleringen bättre avspegla hur systemen rent faktiskt fungerar, är att anlägga ett mer ”horisontellt” synsätt vid tolkningen och ge- nomförandet av direktivet. Därmed kan det skapas en struktur som bättre kommer att stå sig över tiden. Exempelvis kommer nya kommunikationstjänster att kunna omfattas av författningstexten på ett mycket mer tydligt sätt. De förändringar i regelverket som kan komma att krävas i framtiden blir med vår lösning mer begrän- sade än vad de annars hade blivit.

140

Vårt sätt att strukturera de uppgifter som ska lagras utgår från följande uppdelning i författningstexten.

1.Telefoni

2.Meddelandehantering

3.Internetåtkomst

4.Anslutningsform

6.6.3Telefoni

Begreppet telefonitjänst definieras i 1 kap. 7 § LEK som en elek- tronisk kommunikationstjänst som innebär möjlighet att ringa upp eller ta emot samtal via ett eller flera nummer inom en nationell eller internationell nummerplan, inklusive nödsamtal. Samtal defi- nieras i samma bestämmelse som förbindelse för överföring av tal som medger tvåvägskommunikation i vad som för användaren upp- fattas som realtid.

Många Internettelefonitjänster medger inte alltid att nödsamtal genomförs. Den definition av telefonitjänst som används i lagen om elektronisk kommunikation blir därför för snäv för att kunna användas i detta sammanhang. Telefoni enligt vårt förslag bör där- för definieras som i 1 kap. 7 § LEK men utan kravet att nödsamtal ska kunna genomföras.

I artikel 2 i direktivet om lagring av trafikuppgifter definieras te- lefonitjänst som uppringning (inbegripet rösttelefoni, röstmedde- landen, konferenssamtal och datatelefoni), extratjänster (inbegripet omstyrning och överflyttning av samtal) och meddelandeförmed- ling och multimedietjänster (inbegripet SMS, EMS och multime- dietjänster).

Vid telefoni finns en uppringande och en uppringd part som kan anges med olika typer av ”adresser”, t.ex. användar-ID eller s.k. E.164-nummer (”vanligt telefonnummer”).

PTS beskriver telefoninummerplanen och dess principer på föl- jande sätt.

Telefoninummerplan specificerar formatet och strukturen på de nummerserier som används i planen. Dessa nummerserier är uppdelade i grupper, främst genom nationella destina- tionskoder (NDC), för att kunna identifiera specifika delar som används för identifikation, dirigering och debiteringsän- damål för att identifiera abonnenter, användare och tjänster.

141

Telefoninummerplanen innehåller inte prefix, suffix eller an- nan extra information som behövs för att fullfölja en sam- talsuppkoppling. Sådan information, såsom internationellt prefix 00, nationellt prefix 0 och operatörsprefix 95XX, ingår i nummertagningsplanen som anger hur nummerplanen an- vänds.

Ur nummerplanens nummerserier tilldelar PTS antingen enskilda nummer (inom 11X-serien) eller nummerblock till främst operatörer och tjänsteleverantörer genom utfärdande av tillstånd.

Majoriteten av numren i telefoninummerplanen är s.k. E.164-nummer som därmed är nåbara från andra länder ge- nom internationell nummertagning och med en nummer- längd om maximalt 15 siffror i det internationella formatet. Utöver dessa E.164-nummer innehåller även den nationella telefoninummerplanen, som är den nationella implemente- ringen av den internationella E.164-nummerplanen, andra na- tionella telefonnummer som inte är nåbara från andra länder och här avses främst korta servicenummer i 11X-serien.

Sverige tillämpar en öppen plan med nationellt prefix 0. En öppen plan innebär att landet är indelat i olika geografiska områden, riktnummerområden, inom vilka det är möjligt att slå endast abonnentnumret. En nummerplan där det fullstän- diga telefonnumret inklusive riktnummer måste slås, kallas sluten plan.

Tre grundläggande principer gäller för den svenska num- merplanens struktur och hantering:

Alla nummerserier ska vara öppna och kunna nås från alla elektroniska kommunikationsnät.

Det ska vara möjligt med nummerportabilitet mellan tjänsteleverantörer.

Det ska i nummerhänseende vara möjligt att nå sådana nät och tjänster hos olika tjänsteleverantörer på likvärdigt sätt.

Telefoni enligt vårt förslag ska omfatta fall där E.164-nummer an- vänds, dvs. nummer ur en telefoninummerplan. Definitionen av telefoni inkluderar därmed fast och mobil telefoni och de flesta In- ternettelefonitjänster. Internettelefoni som använder andra ”adres- ser” som identifiering kommer inte att omfattas. En konsekvens av vår tolkning kan bli att en del kommunikationstjänster för överfö- ring av tal i realtid inte kommer att falla under lagringsskyldighe-

142

ten. Med telefoni avses inte kommunikation som omfattas av be- greppet meddelandehantering (se avsnitt 6.10).

Som framgår i det följande har vi för telefoni utformat en gene- rell del som gäller för fast, mobil och Internettelefoni. Utöver den- na del behöver det särskilt anges att vissa uppgifter är specifika för mobil respektive Internettelefoni.

6.6.4Meddelandehantering

Vi har valt att använda begreppet meddelandehantering för att be- skriva överföring av elektroniskt meddelande som främst SMS, MMS och elektronisk post. Det är alltså tjänster som framför allt använder protokoll som SMTP (Simple Mail Transfer Protocol, RFC 2821 och RFC 2822, IETF) och SMPP (Short Message Peer v5.0, SMS Forum). Det förhållandet att det i dag är möjligt att skicka SMS såväl från en mobil som en fast telefon och via elektro- nisk post tydliggör att den horisontella struktur vi har valt är att föredra framför den vertikala som finns i direktivet om lagring av trafikuppgifter.

6.6.5Internetåtkomst

Internetåtkomst avser möjligheten att överföra s.k. IP-paket med hjälp av olika tekniker (anslutningsform) och ger användaren åt- komst till Internet. I praktiken innebär detta att användaren tillde- las en eller flera IP-adresser för kommunikation. IP-adresserna kan vara fasta eller dynamiska (DHCP).

6.6.6Anslutningsform

Den kapacitet som ger möjlighet till överföring av IP-paket för att få Internetåtkomst har vi valt att beteckna anslutningsform. Exem- pel på anslutningsform är DSL (vilket i sin tur kan ske med hjälp av leverantörer av t.ex. bitströmsaccess), fiberoptiska anslutningar, 3G (UMTS), GSM (GPRS), vanliga traditionella telefonmodem och WLAN (trådlöst nät).

143

6.7Vilka uppgifter ska lagras vid telefoni?

Förslag: Vid telefoni ska följande uppgifter lagras:

–Uppringande telefonnummer

–Nummer som slagits och nummer till vilka samtalet styrts

–Uppgifter om abonnent och registrerad användare

–Datum och spårbar tid då kommunikationen påbörjades och av- slutades

–Den tjänst som använts

–Slutpunkter

6.7.1Uppringande telefonnummer

Direktivet om lagring av trafikuppgifter anger uttryckligen att föl- jande uppgifter ska lagras.

•det uppringande telefonnumret

•tilldelade användar-ID

•användar-ID och telefonnummer vilka tilldelats kommu- nikationen i det allmänna telenätet

Uppgifter om uppringande telefonnummer är nödvändiga för att spåra och identifiera en kommunikationskälla och för att identifiera användarnas kommunikationsutrustning, eller den utrustning som de tros ha använt.

6.7.2Nummer som slagits och nummer till vilka samtalet styrts

Direktivet om lagring av trafikuppgifter anger uttryckligen att föl- jande uppgifter ska lagras.

•det eller de nummer som slagits (det eller de uppringda telefonnumren), och, i fall som berör tilläggstjänster så- som omstyrning och överflyttning av samtal, det eller de nummer till vilket eller vilka samtalet styrs

•användar-ID eller telefonnummer som tilldelats den eller de avsedda mottagarna av ett Internettelefonsamtal

•uppringda telefonnummer

Uppgifter om nummer som slagits och nummer till vilka samtalet styrts är nödvändiga för att identifiera slutmålet för en kommuni-

144

kation och för att identifiera användarnas kommunikationsutrust- ning, eller den utrustning som de tros ha använt.

6.7.3Uppgifter om abonnent och registrerad användare

Direktivet om lagring av trafikuppgifter anger uttryckligen att föl- jande uppgifter ska lagras.

•abonnentens eller den registrerade användarens namn och adress

•namn på och adress till den abonnent eller registrerade användare som IP-adressen (Internet Protocol), använ- daridentiteten eller telefonnumret tilldelades vid tid- punkten för kommunikationen

•abonnentens (abonnenternas) eller den eller de registre- rade användarnas namn och adress

•namn på och adress till abonnenten (abonnenterna) eller den eller de registrerade användarna och det användar-ID som tilldelats den avsedda mottagaren av kommunika- tionen

Uppgifter om abonnent eller registrerad användare är nödvändiga för att spåra och identifiera en kommunikationskälla och för att identifiera slutmålet för en kommunikation.

Namn och adress är inte unika begrepp för att identifiera en viss person eller organisation. Mot den bakgrunden och med tanke på att leverantörerna ibland använder andra begrepp för att registrera kunder och användare, ska lagringsskyldigheten innefatta inte en- bart namn och adress utan även person- och organisationsnummer, vilket är uppgifter som i vårt land används för att säkert identifiera någon. Vi ser inte detta som en lagringsskyldighet utöver direktivet om lagring av trafikuppgifter (se vidare avsnitt 6.14).

Det kan nämnas att uppgift om personnummer får behandlas utan samtycke bara när det är klart motiverat med hänsyn till än- damålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl (22 § PUL). Den bestämmelsen hindrar enligt vår bedömning inte att lagringsskyldigheten avser även person- eller organisationsnummer.

145

6.7.4Datum och spårbar tid då kommunikationen påbörjades och avslutades

Direktivet om lagring av trafikuppgifter anger uttryckligen att föl- jande uppgifter ska lagras.

•datum och tid då kommunikationen påbörjades och av- slutades

•datum och tid för på- respektive avloggning i den Inter- netbaserade e-posttjänsten eller Internettelefonitjänsten inom en given tidszon

Uppgifter om datum och spårbar tid då kommunikationen påbör- jades och avslutades är nödvändiga för att identifiera datum, tid- punkt och varaktighet för en kommunikation.

Som nyss nämndes anger direktivet om lagring av trafikuppgif- ter att syftet med att lagra dessa uppgifter är att identifiera datum, tidpunkt och varaktighet för en kommunikation. För telefoni i fasta nät och för mobil telefoni anger direktivet att för det syftet ska uppgift om datum och tid då kommunikationen påbörjades och avslutades lagras (se den första citerade punkten ovan). För Inter- nettelefoni anger direktivet att uppgift om på- och avloggningstid- punkter ska lagras. Det är möjligt att vara ”påloggad” under mycket långa tidsperioder. På- och avloggning innebär alltså inte nödvän- digtvis start- och slutpunkt för en kommunikation. Syftet med di- rektivet är att säkerställa att de brottsbekämpande myndigheterna kan få tillgång till trafikuppgifter av betydelse för utredningsarbe- tet. Det är orimligt att tänka sig att på- och avloggningstidpunkter- na, mellan vilka det kan förflyta år, skulle vara av sådan vikt för det arbetet att det är dessa tidpunkter som avses i direktivet och inte de tidpunkter som på ett mycket mer direkt sätt kan knytas till en persons handlingar, dvs. tidpunkterna för själva kommunikationen. Mot den bakgrunden bör direktivets uttryck att det är uppgifter om kommunikationen som ska lagras tolkas så att det är själva kommunikationens början och slut som avses även vid Internette- lefoni (se vidare avsnitt 6.14).

146

6.7.5Den tjänst som använts

Direktivet om lagring av trafikuppgifter anger uttryckligen att föl- jande uppgifter ska lagras.

•den telefonitjänst som används

•den Internettjänst som används

Uppgifter om den tjänst som använts är nödvändiga för att identi- fiera typen av kommunikation.

I artikel 2 i direktivet om lagring av trafikuppgifter definieras te- lefonitjänst som uppringning (inbegripet rösttelefoni, röstmedde- landen, konferenssamtal och datatelefoni), extratjänster (inbegripet omstyrning och överflyttning av samtal) och meddelandeförmed- ling och multimedietjänster (inbegripet SMS, EMS och multime- dietjänster). Någon motsvarande definition av begreppet Internet- tjänst finns inte i direktivet.

Vårt sätt att strukturera lagringsskyldigheten innebär att under den här aktuella rubriken faller den del av telefonitjänst som inte avser meddelandehantering.

Med tjänst avses t.ex. röstbrevlåda, vidarekoppling och/eller omstyrning.

6.7.6Slutpunkter

Direktivet om lagring av trafikuppgifter anger uttryckligen att föl- jande uppgifter ska lagras.

•det uppringande telefonnumret för uppringda förbindel- ser

•DSL (Digital Subscriber Line) eller annan slutpunkt för kommunikationens avsändare

Uppgifter om slutpunkter är nödvändiga för att identifiera använ- darnas kommunikationsutrustning, eller den utrustning som de tros ha använt.

Med slutpunkt avses den tekniska utrustningen i en fysisk änd- punkt som står under leverantörens kontroll, såsom telefonväxlar, routers, portnummer, utrustningsidentitet, MAC-adresser och abonnemangsidentitet.

147

6.8Vilka ytterligare uppgifter ska lagras vid mobil telefoni?

Förslag: Vid mobil telefoni ska dessutom följande uppgifter lagras:

–Den uppringande och den uppringda partens abonnemangsidenti- tet och utrustningsidentitet

–Lokaliseringsinformation för kommunikationens början och slut

–Datum, spårbar tid och lokaliseringsinformation för den första aktiveringen av en förbetald anonym tjänst

Bedömning: En lagringsskyldighet för lokaliseringsinformation avseende kommunikationens slut går utöver direktivet om lagring av trafikuppgifter men kan motiveras utifrån en avvägning mellan brottsbekämpningsintresset och integritetsskyddet enligt direktivet om integritet och elektronisk kommunikation.

6.8.1Den uppringande och den uppringda partens abonnemangsidentitet och utrustningsidentitet

Direktivet om lagring av trafikuppgifter anger uttryckligen att föl- jande uppgifter ska lagras.

•den uppringande partens IMSI (International Mobile Subscriber Identity)

•den uppringande partens IMEI (International Mobile Equipment Identity)

•den uppringda partens IMSI

•den uppringda partens IMEI

Uppgifter om den uppringande och den uppringda partens abon- nemangsidentitet och utrustningsidentitet är nödvändiga för att identifiera användarnas kommunikationsutrustning, eller den ut- rustning som de tros ha använt.

IMSI och IMEI är alltför tekniska begrepp för att kunna stå sig över tiden. De begrepp som i stället används är abonnemangsiden- titet och utrustningsidentitet.

148

6.8.2Lokaliseringsinformation för kommunikationens början och slut

Direktivet om lagring av trafikuppgifter anger uttryckligen att föl- jande uppgifter ska lagras.

•lokaliseringsbeteckning (cell-ID) för kommunikationens början

•uppgifter som identifierar cellernas geografiska placering genom referens till deras lokaliseringsbeteckning (cell- ID) under den period som kommunikationsuppgifterna lagras

Lokaliseringsinformation är enligt vår mening ett bättre uttryck än direktivets lokaliseringsbeteckning. Uppgifter om lokaliseringsin- formation för kommunikationens början är nödvändiga för att identifiera lokaliseringen av mobil kommunikationsutrustning.

En mobiltelefon har regelbundet kontakt med kommunika- tionsnätet även när telefonen enbart är påslagen utan att något samtal äger rum. Även under sådana omständigheter genereras så- ledes lokaliseringsinformation. De uppgifterna omfattas dock inte av direktivet om lagring av trafikuppgifter. När en mobiltelefon används för åtkomst till Internet kallas anslutningsformen UMTS eller GPRS för 3G respektive GSM. I sådana fall ska lokaliserings- information lagras enligt vad som följer av avsnitt 6.11.5 eller 6.12.2.

Av direktivet följer alltså att lokaliseringsinformation för kom- munikationens början ska lagras.

De brottsbekämpande myndigheterna har anfört att de också har behov av att få lokaliseringsinformation avseende kommunika- tionens slut. Införandet av en skyldighet att lagra lokaliseringsin- formation avseende kommunikationens slut förutsätter att det finns ett behov av uppgifterna för brottsbekämpningsändamål och att lagringsskyldigheten bedöms vara en nödvändig åtgärd enligt de överväganden som ska göras enligt artikel 15.1 i direktivet om in- tegritet och elektronisk kommunikation.

Mobiltelefoner används ofta i samband med brott, både före, under och efter gärningen. Ett exempel är grova rån där mobiltele- foner används som sambandsutrustning under transporten fram till den plats där brottet ska begås, under själva brottets utförande och under flykten från brottsplatsen. Att de brottsbekämpande myn- digheterna i sådana sammanhang enbart ska kunna få uppgifter om var mobiltelefonen funnits inledningsvis innebär enligt myndighe-

149

terna en klar begränsning i det brottsbekämpande arbetet. Det bor- de enligt myndigheterna finnas en lagringsskyldighet för lokalise- ringsuppgifter inte bara för kommunikationens början utan också för dess slut och för pågående kommunikation en gång per minut.

Vi kan konstatera att lokaliseringsinformation för kommunika- tionens början många gånger inte alls är tillräckligt för de brottsbe- kämpande syftena. Det framstår som självklart att också lokalise- ringsinformation för kommunikationens slut är nödvändig. I annat fall skulle det vara för enkelt att i en kriminell verksamhet vilseleda myndigheterna med klart negativa följder för utredningsarbetet. Detta har också beaktats i exempelvis den danska regleringen, som föreskriver lagringsskyldighet för lokaliseringsuppgifter även rörande kommunikationens slut. Vi anser att lagringen är motive- rad och proportionerlig och föreslår en sådan lagringsskyldighet även för kommunikationens slut.

De brottsbekämpande myndigheterna har också framfört ett behov av lokaliseringsinformation för pågående kommunikation, eftersom en gärningsman mycket väl kan ha påbörjat och avslutat kommunikationen på andra platser än brottsplatsen. Vill man som brottsling försvåra utredningsarbetet vore det enkelt att påbörja ett samtal på en plats och låta det samtalet pågå, kanske under avsevärd tid, under det att man förflyttar sig och på så sätt undviker att läm- na efter sig lokaliseringsinformation, t.ex. rörande rån och smugg- lingsresor med narkotika.

Om lagring skulle genomföras för uppgifter om pågående kom- munikation skulle det i princip innebära att alla mobilanvändares rörelser under pågående samtal skulle lagras med jämna mellanrum, t.ex. varje minut eller en gång i timmen. Det torde av de flesta upp- fattas som ett stort intrång i den personliga integriteten. Det skulle också föra med sig stora lagringsvolymer och kostnader. Även om vi delar uppfattningen att informationen skulle vara mycket värde- full från brottsbekämpningssynpunkt anser vi att det behovet inte uppväger det integritetsintrång som uppkommer om lokaliserings- information skulle lagras för pågående kommunikation och inte ens om den informationen begränsades till lokalisering en gång i timmen. Vi föreslår därför inte någon lagringsskyldighet för lokali- seringsinformation under pågående kommunikation.

150

6.8.3Datum, spårbar tid och lokaliseringsinformation för den första aktiveringen av en förbetald anonym tjänst

Direktivet om lagring av trafikuppgifter anger uttryckligen att föl- jande uppgifter ska lagras.

•vid förbetalda anonyma tjänster, datum och tid för den första aktiveringen av tjänsten och den lokaliseringsbe- teckning (cell-ID) från vilken tjänsten aktiverades

Uppgifter om datum, spårbar tid och lokaliseringsinformation för den första aktiveringen av en förbetald anonym tjänst är nödvändi- ga för att identifiera användarnas kommunikationsutrustning, eller den utrustning som de tros ha använt.

Som anges i avsnitt 6.8.2 är lokaliseringsinformation ett bättre uttryck att använda än direktivets lokaliseringsbeteckning.

6.9Vilka ytterligare uppgifter ska lagras vid Internettelefoni?

Förslag: Vid Internettelefoni ska dessutom följande uppgifter lag- ras:

–Uppringande parts IP-adresser

–Uppringd parts IP-adresser

6.9.1Uppringande och uppringd parts IP-adresser

Direktivet om lagring av trafikuppgifter anger uttryckligen att föl- jande uppgifter ska lagras.

•tilldelade användar-ID

•namn på och adress till den abonnent eller registrerade användare som IP-adressen (Internet Protocol), använ- daridentiteten eller telefonnumret tilldelades vid tid- punkten för kommunikationen

•användar-ID eller telefonnummer som tilldelats den eller de avsedda mottagarna av ett Internettelefonsamtal

•datum och tid för på- respektive avloggning i Internet- åtkomsttjänsten inom en given tidszon tillsammans med IP-adressen, oavsett om den är dynamisk eller statisk, som en kommunikation tilldelats av Internetåtkomstle-

151

verantören till en kommunikation och abonnents eller registrerad användares användar-ID

Uppgifter om uppringande och uppringd parts IP-adresser är nöd- vändiga för att spåra och identifiera en kommunikationskälla och slutmålet för en kommunikation (avsedd mottagare) samt för att identifiera datum, tidpunkt och varaktighet för en kommunikation.

6.10Vilka uppgifter ska lagras vid meddelandehantering?

Förslag: Vid meddelandehantering ska följande uppgifter lagras:

–Avsändarens och mottagarens meddelandeadress

–Uppgifter om abonnent och registrerad användare

–Datum och spårbar tid för på- och avloggning i meddelandetjäns- ten

–Datum och spårbar tid för avsändande och mottagande av medde- landet

–Den tjänst som har använts och spårbar tid för användandet

6.10.1Avsändarens och mottagarens meddelandeadress

Direktivet om lagring av trafikuppgifter anger uttryckligen att föl- jande uppgifter ska lagras.

•tilldelade användar-ID

•namn på och adress till den abonnent eller registrerade användare som IP-adressen (Internet Protocol), använ- daridentiteten eller telefonnumret tilldelades vid tid- punkten för kommunikationen

•användar-ID eller telefonnummer som tilldelats den el- ler de avsedda mottagarna av ett Internettelefonsamtal.

•namn på och adress till abonnenten (abonnenterna) eller den eller de registrerade användarna och det användar- ID som tilldelats den avsedda mottagaren av kommuni- kationen

Uppgifter om avsändarens och mottagarens meddelandeadress (t.ex. e-postadresser och telefonnummer) är nödvändiga för att spåra och identifiera en kommunikationskälla och för att identifiera slutmålet för en kommunikation.

152

6.10.2Uppgifter om abonnent och registrerad användare

Direktivet om lagring av trafikuppgifter anger uttryckligen att föl- jande uppgifter ska lagras.

•abonnentens eller den registrerade användarens namn och adress

•namn på och adress till den abonnent eller registrerade användare som IP-adressen (Internet Protocol), använ- daridentiteten eller telefonnumret tilldelades vid tid- punkten för kommunikationen

•abonnentens (abonnenternas) eller den eller de registre- rade användarnas namn och adress

•namn på och adress till abonnenten (abonnenterna) eller den eller de registrerade användarna och det användar-ID som tilldelats den avsedda mottagaren av kommunika- tionen

Uppgifter om abonnent och registrerad användare är nödvändiga för att spåra och identifiera en kommunikationskälla och för att identifiera slutmålet för en kommunikation. Det rör sig om namn, adress samt person- eller organisationsnummer, dvs. samma upp- gifter som vid telefoni, Internetåtkomst och anslutningsform (se avsnitt 6.7.3, 6.11.2 och 6.12.1).

6.10.3Datum och spårbar tid för på- och avloggning i meddelandetjänsten samt för avsändande och mottagande av meddelandet

Direktivet om lagring av trafikuppgifter anger uttryckligen att föl- jande uppgifter ska lagras.

•datum och tid då kommunikationen påbörjades och av- slutades

•datum och tid för på- respektive avloggning i den Inter- netbaserade e-posttjänsten eller Internettelefonitjänsten inom en given tidszon

Uppgifter om datum och spårbar tid för på- och avloggning i med- delandetjänsten samt för avsändande och mottagande av meddelan- det är nödvändiga för att identifiera datum, tidpunkt och varaktig- het för en kommunikation.

153

Vi har i avsnitt 6.7.4 redogjort för vår tolkning av direktivet vad gäller begreppet kommunikation i förhållande till på- och avlogg- ning. Samma resonemang blir tillämpligt även här vad avser avsän- dande och mottagande av meddelandet.

6.10.4Den tjänst som har använts och spårbar tid för användandet

Direktivet om lagring av trafikuppgifter anger uttryckligen att föl- jande uppgifter ska lagras.

•datum och tid för på- respektive avloggning i Internet- åtkomsttjänsten inom en given tidszon tillsammans med IP-adressen, oavsett om den är dynamisk eller statisk, som en kommunikation tilldelats av Internetåtkomstle- verantören till en kommunikation och abonnents eller registrerad användares användar-ID

•datum och tid för på- respektive avloggning i den In- ternetbaserade e-posttjänsten eller Internettelefonitjäns- ten inom en given tidszon

•den telefonitjänst som används

•den Internettjänst som används

Uppgifter om den tjänst som har använts och spårbar tid för an- vändandet är nödvändiga för att identifiera datum, tidpunkt och varaktighet för en kommunikation och för att identifiera typen av kommunikation.

I artikel 2 i direktivet om lagring av trafikuppgifter definieras te- lefonitjänst som uppringning (inbegripet rösttelefoni, röstmedde- landen, konferenssamtal och datatelefoni), extratjänster (inbegripet omstyrning och överflyttning av samtal) och meddelandeförmed- ling och multimedietjänster (inbegripet SMS, EMS och multime- dietjänster).

Vårt sätt att strukturera lagringsskyldigheten innebär att under den här aktuella rubriken faller den del av telefonitjänst som avser meddelandehantering. För den del som vi betecknar som telefoni hänvisas till avsnitt 6.7.5.

Med tjänst avses exempelvis vidaresändning och/eller omstyr- ning. Uppgifterna ska lagras oavsett om ett meddelandeutbyte har skett eller inte.

154

6.11Vilka uppgifter ska lagras vid Internetåtkomst?

Förslag: Vid Internetåtkomst ska följande uppgifter lagras:

–Användarens IP-adresser

–Uppgifter om abonnent och registrerad användare

–Datum och spårbar tid för på- och avloggning i Internettjänsten

–Typen av Internetanslutning som använts

–Slutpunkter

6.11.1Användarens IP-adresser

Direktivet om lagring av trafikuppgifter anger uttryckligen att föl- jande uppgifter ska lagras.

•tilldelade användar-ID

•namn på och adress till den abonnent eller registrerade användare som IP-adressen (Internet Protocol), använ- daridentiteten eller telefonnumret tilldelades vid tid- punkten för kommunikationen

Uppgifter om användarens IP-adresser är nödvändiga för att spåra och identifiera en kommunikationskälla.

6.11.2Uppgifter om abonnent och registrerad användare

Direktivet om lagring av trafikuppgifter anger uttryckligen att föl- jande uppgifter ska lagras.

•namn på och adress till den abonnent eller registrerade användare som IP-adressen (Internet Protocol), använ- daridentiteten eller telefonnumret tilldelades vid tid- punkten för kommunikationen

Uppgifter om abonnent och registrerade användare är nödvändiga för att spåra och identifiera en kommunikationskälla. Det rör sig om namn, adress samt person- eller organisationsnummer, dvs. samma uppgifter som vid telefoni, meddelandehantering och an- slutningsform (se avsnitt 6.7.3, 6.10.2 och 6.12.1).

155

6.11.3Datum och spårbar tid för på- och avloggning i Internettjänsten

Direktivet om lagring av trafikuppgifter anger uttryckligen att föl- jande uppgifter ska lagras.

•datum och tid för på- respektive avloggning i Internetåt- komsttjänsten inom en given tidszon tillsammans med IP-adressen, oavsett om den är dynamisk eller statisk, som en kommunikation tilldelats av Internetåtkomstle- verantören till en kommunikation och abonnents eller registrerad användares användar-ID

Uppgifter om datum och spårbar tid för på- och avloggning i In- ternettjänsten är nödvändiga för att identifiera datum, tidpunkt och varaktighet för en kommunikation.

6.11.4Typen av Internetanslutning som använts

Direktivet om lagring av trafikuppgifter anger uttryckligen att föl- jande uppgifter ska lagras.

•det uppringande telefonnumret för uppringda förbindel- ser

•DSL (Digital Subscriber Line) eller annan slutpunkt för kommunikationens avsändare

Uppgifter om typen av Internetanslutning som använts är nödvän- diga för att identifiera användarnas kommunikationsutrustning, eller den utrustning som de tros ha använt.

6.11.5Slutpunkter

Direktivet om lagring av trafikuppgifter anger uttryckligen att föl- jande uppgifter ska lagras.

•det uppringande telefonnumret för uppringda förbindel- ser

•DSL (Digital Subscriber Line) eller annan slutpunkt för kommunikationens avsändare

Uppgifter om slutpunkter är nödvändiga för att identifiera använ- darnas kommunikationsutrustning, eller den utrustning som de tros ha använt.

156

Med slutpunkt avses den tekniska utrustningen i en fysisk änd- punkt som står under leverantörens kontroll, såsom telefonväxlar, routers, portnummer, utrustningsidentitet, MAC-adresser och abonnemangsidentitet. Dessutom innefattas i direktivets begrepp ”annan slutpunkt” uppgifter om leverantören av anslutningsform, dvs. den som tillhandahåller den kapacitet som ger möjlighet till överföring av IP-paket för att få Internetåtkomst. Många Internet- leverantörer tillhandahåller Internetåtkomst via förhyrd anslut- ningsform. För att de brottsbekämpande myndigheterna ska kunna få de uppgifter som behövs, krävs att myndigheterna också får kännedom om vem de ska vända sig till med en begäran om uppgif- terna.

6.12Vilka uppgifter ska lagras vid verksamheter som tillhandahåller kapacitet som ger möjlighet till överföring av IP-paket för att få Internetåtkomst (anslutningsform)?

Förslag: Vid verksamheter som tillhandahåller kapacitet som ger möjlighet till överföring av IP-paket för att få Internetåtkomst ska följande uppgifter lagras:

–Uppgifter om abonnent

–Vilken typ av kapacitet för överföring som har använts och spår- bar tid för användandet

–Slutpunkter

6.12.1Uppgifter om abonnent

Direktivet om lagring av trafikuppgifter anger uttryckligen att föl- jande uppgifter ska lagras.

•namn på och adress till den abonnent eller registrerade an- vändare som IP-adressen (Internet Protocol), användar- identiteten eller telefonnumret tilldelades vid tidpunkten för kommunikationen

•DSL (Digital Subscriber Line) eller annan slutpunkt för kommunikationens avsändare

Uppgifter om abonnent är nödvändiga för att spåra och identifiera en kommunikationskälla och för att identifiera avsändarnas kom- munikationsutrustning, eller den utrustning som de tros ha använt.

157

Det rör sig om namn, adress samt person- eller organisationsnum- mer, dvs. samma uppgifter som vid telefoni, meddelandehantering och Internetåtkomst (se avsnitt 6.7.3, 6.10.2 och 6.11.2).

6.12.2Vilken typ av kapacitet för överföring som har använts och spårbar tid för användandet samt slutpunkter

Direktivet om lagring av trafikuppgifter anger uttryckligen att föl- jande uppgifter ska lagras.

•det uppringande telefonnumret för uppringda förbindel- ser

•DSL (Digital Subscriber Line) eller annan slutpunkt för kommunikationens avsändare

Uppgifter om typen av kapacitet som har använts vid en viss tid- punkt och slutpunkter är nödvändiga för att identifiera användar- nas kommunikationsutrustning, eller den utrustning som de tros ha använt.

Exempel på kapacitet för överföring är DSL (vilket i sin tur kan ske med hjälp av leverantörer av t.ex. bitströmsaccess), fiberoptiska anslutningar, 3G (UMTS), GSM (GPRS), vanliga traditionella tele- fonmodem och WLAN (trådlöst nät).

Direktivet använder som synes begreppet ”DSL eller annan slut- punkt”. Där innefattas den teknik som många Internetåtkomstleve- rantörer har som sina respektive slutpunkter. Med slutpunkt avses den tekniska utrustningen i en fysisk ändpunkt som står under le- verantörens kontroll, såsom telefonväxlar, routers, portnummer, utrustningsidentitet, MAC-adresser och abonnemangsidentitet.

6.13Misslyckad uppringning m.m.

Förslag: Lagringsskyldigheten ska gälla även vid misslyckad upp- ringning.

Bedömning: En lagringsskyldighet för misslyckad uppringning innefattar uppgifter som inte lagras eller loggas av leverantören och går utöver direktivet om lagring av trafikuppgifter men kan motive- ras utifrån en avvägning mellan brottsbekämpningsintresset och integritetsskyddet enligt direktivet om integritet och elektronisk kommunikation.

158

6.13.1Misslyckad uppringning

Misslyckad uppringning tas upp i artikel 3 i direktivet om lagring av trafikuppgifter. Med detta avses att samtal kopplas men att ingen svarar på uppringningen. Misslyckad uppringning kan också bero på att det skett ett ingrepp av driften i kommunikationsnätet så att samtal har kopplats fram utan att nå mottagaren. Det sistnämnda kan leda till att den som försöker ringa får ett meddelande om att abonnenten inte kan nås för tillfället.

Enligt direktivet ska lagringsskyldighet gälla misslyckad upp- ringning under förutsättning att uppgifterna lagras eller loggas av leverantören (artikel 3).

De brottsbekämpande myndigheterna har anfört att de har be- hov av trafikuppgifter som gäller misslyckad uppringning. De har uppgivit att i dagsläget lagras/loggas uppgifter rörande misslyckad uppringning hos vissa leverantörer men inte hos andra. Myndighe- terna har också berättat att sådana uppgifter allmänt sett är lika vik- tiga som uppgifter om ”lyckade” samtal. Det är med andra ord lika viktigt att få reda på t.ex. vem som försökte kontakta vem, när för- söket gjordes, var personen befann sig och vilken typ av kommuni- kation som användes, som att få reda på vem som lyckades kontakta vem etc. Uppgifter om misslyckad uppringning kan lika väl som ett lyckat samtal ge de brottsbekämpande myndigheterna information som t.ex. identifierar gärningsmän och knyter dessa till varandra och till platser. Exempelvis används ”misslyckad uppringning” som ett kommunikationssätt mellan gärningsmän vid genomförandet av brott.

En lagringsskyldighet avseende misslyckad uppringning utöver direktivet om lagring av trafikuppgifter kan införas endast om det är motiverat utifrån de överväganden som ska göras enligt artikel 15.1 i direktivet om integritet och elektronisk kommunikation.

Vi instämmer med de brottsbekämpande myndigheterna i be- dömningen att det finns ett lika stort behov av uppgifter rörande misslyckad uppringning som rörande de samtal som har lyckats. Vi ser inte heller att en på det sättet utformad generell lagringsskyl- dighet för sådana uppgifter skulle vara mer integritetskränkande än den lagringsskyldighet som gäller trafikuppgifter rörande samtal som lyckats och trafikuppgifter om misslyckad uppringning som har lagrats eller loggats. Dessutom skulle den begränsning som lig- ger i direktivet kunna leda till att de brottsbekämpande myndighe- terna inte får tillgång till uppgifter som de får i dag. Vi föreslår där- för att lagringsskyldigheten ska gälla vid misslyckad uppringning

159

fullt ut utan den begränsning som ligger i direktivet om att uppgif- terna inte bara ska vara behandlade utan även lagrade eller loggade av leverantören.

6.13.2Samtal som inte kopplas fram

I artikel 3 tas även en annan typ av ”misslyckade samtal” upp, näm- ligen samtal som inte kopplats fram. Det rör t.ex. situationer där det inträffat något tekniskt fel och inget meddelande lämnas om att abonnenten inte kan nås. Uppgifter om sådana samtal omfattas ut- tryckligen inte av direktivet om lagring av trafikuppgifter. De brottsbekämpande myndigheterna har uppgett att det inte finns något påtagligt behov av en lagringsskyldighet för sådana uppgifter och vårt förslag omfattar inte lagringsskyldighet i dessa fall.

6.14Sammanfattning av våra bedömningar om lagringsskyldighet utöver direktivet m.m.

Bedömning: Lagringsskyldigheten för uppgifter om abonnents och registrerad användares person- och organisationsnummer liksom för uppgifter om datum och spårbar tid då kommunikationen på- börjades och avslutades vid Internettelefoni och datum och spårbar tid för avsändande och mottagande av meddelande vid meddelan- dehantering följer av direktivet om lagring av trafikuppgifter.

Den lagringsskyldighet utöver direktivet som vi föreslår för uppgifter om lokalisering vid mobiltsamtals slut och för uppgifter som inte lagras eller loggas vid misslyckad uppringning motiveras av behovet av dessa uppgifter i brottsbekämpningen och av att det- ta behov överväger det integritetsintrång som lagringen medför. Lagringsskyldigheten kan således motiveras utifrån artikel 15.1 i direktivet om integritet och elektronisk kommunikation.

På några punkter har vi föreslagit en lagringsskyldighet utöver di- rektivet om lagring av trafikuppgifter. Det rör lokaliseringsinfor- mation för kommunikationens slut vid mobil telefoni och uppgifter om misslyckad uppringning även om uppgifterna inte lagras eller loggas av leverantören.

I några fall har vi diskuterat om uppgifterna omfattas av lag- ringsskyldigheten enligt direktivet. Det gäller uppgifter om person- eller organisationsnummer för abonnent och registrerad användare

160

(avsnitt 6.7.3, 6.10.2, 6.11.2 och 6.12.1) samt uppgifter om datum och spårbar tid då kommunikationen påbörjades och avslutades vid Internettelefoni och samma typer av uppgifter för avsändande och mottagande av meddelandet vid meddelandehantering (avsnitt 6.7.4 och 6.10.3). Vi har tolkat direktivet så att dessa uppgifter omfattas av lagringsskyldigheten. Om lagringsskyldighet för dessa uppgifter inte kan anses följa av direktivet måste lagringsskyldigheten moti- veras utifrån artikel 15.1 i direktivet om integritet och elektronisk kommunikation.

Att personer och organisationer blir riktigt identifierade i sam- band med trafikuppgifterna är av grundläggande betydelse i utred- ningsarbetet och rör inte minst säkerheten för den enskilde. Det är inte en rimlig ordning att de brottsbekämpande myndigheterna ska behöva nöja sig med att få ut uppgifter som kanske helt saknar lo- gisk knytning till ett verkligt namn. Vi gör den bedömningen att myndigheterna inte kommer att få tillgång till de uppgifter som behövs i det brottsbekämpande arbetet om en lagringsskyldighet för de nämnda uppgifterna inte skulle införas. Mot bakgrund av hur frekvent person- och organisationsnummer används i det svenska samhället kan vi inte heller se att integritetssynpunkter hindrar att lagringsskyldighet införs. Att uppgifter lagras om person- eller or- ganisationsnummer som kan kopplas till abonnenten eller den regi- strerade användaren, kan därför enligt vår bedömning motiveras även utifrån de överväganden som ska göras enligt artikel 15.1 i di- rektivet om integritet och elektronisk kommunikation.

Uppgifter om när kommunikationen påbörjades och avslutades vid Internettelefoni och den typen av uppgifter för avsändande och mottagande av meddelande vid meddelandehantering är minst lika viktiga för de brottsbekämpande myndigheterna som samma typer av uppgifter vid fast och mobil telefoni, som på ett mer uttryckligt sätt anges i direktivet om lagring av trafikuppgifter. Vi gör även här den bedömningen att myndigheterna inte kommer att få tillgång till de uppgifter som behövs i det brottsbekämpande arbetet om en lagringsskyldighet för de nämnda uppgifterna inte skulle införas. Mot bakgrund av att samma typer av uppgifter ska lagras vid fast och mobil telefoni ser vi inte heller att integritetssynpunkter hind- rar att lagringsskyldighet införs. Lagringsskyldigheten kan därför enligt vår bedömning motiveras även utifrån de överväganden som ska göras enligt artikel 15.1 i direktivet om integritet och elektro- nisk kommunikation.

Direktivet om lagring av trafikuppgifter omfattar fast och mobil telefoni, Internetåtkomst, e-post och Internettelefoni. Däremot

161

omfattas inte besök på websidor (”surfning”), besök på ”chattsi- dor” (”chattrum”) och användning av File Transfer Protocol, FTP (t.ex. överföring/nedladdning av filer) av lagringsskyldigheten en- ligt direktivet. De brottsbekämpande myndigheterna har uttryckt ett stort behov av att få tillgång till sådana uppgifter. Det ska näm- nas att sådana uppgifter omfattas av den danska regleringen.

Med tiden blir det allt svårare att skilja de nämnda kommunika- tionstjänsterna åt. Exempelvis använder ”chattjänster” sig av både tal, text och bild. Gränserna mellan vad som faller in under de olika begreppen suddas alltmer ut. Vårt uppdrag begränsar dock de för- slag som vi får presentera till uppgifter som avser fast och mobil telefoni, samt Internetåtkomst, e-post och Internettelefoni. Vi lämnar därför inte några förslag i sådana delar.

162

7Lagringsskyldighetens fullgörande

7.1Sammanfattning av våra förslag och bedömningar

•Lagring ska inte ske i ett centralt lager hos t.ex. staten.

•De leverantörer som är anmälningspliktiga enligt lagen om elektronisk kommunikation ska vara skyldiga att lagra tra- fikuppgifter.

•Tillsynsmyndigheten får efter samråd med Åklagarmyndig- heten och Rikspolisstyrelsen i enskilda fall medge undantag från lagringsskyldigheten.

•Uppgifterna ska lagras i ett år från det datum kommunika- tionen ägde rum.

•Vid lagringstidens slut ska uppgifterna utplånas, om inte de brottsbekämpande myndigheterna vid den tiden har begärt tillgång till uppgifterna men ännu inte fått ut dem eller le- verantören annars har rätt att fortsätta behandla uppgifter- na.

•Leverantörerna ska bedriva verksamheten så att uppgifterna enkelt kan tas om hand och lämnas ut utan dröjsmål.

•Trafikuppgifter som har lagrats för brottsbekämpande syf- ten får behandlas av leverantörerna endast för att lämnas ut efter beslut om hemlig teleövervakning eller enligt be- stämmelserna i lagen om elektronisk kommunikation, eller för att annan fullgör lagringen.

7.2Var ska trafikuppgifter lagras och av vem?

7.2.1Inledning

Frågan om var lagring av trafikuppgifter ska ske och vem som ska vara lagringsskyldig hänger samman med frågan om uppgifterna ska lagras på ett eller flera ställen. I våra direktiv anges som en målsätt-

163

ning att trafikuppgifterna ska lagras hos enbart en nät- eller tjänste- leverantör och inte hos flera leverantörer samtidigt. I skäl 13 i in- gressen i direktivet om lagring av trafikuppgifter anges också att lagring bör ske på ett sådant sätt att man undviker att uppgifterna lagras mer än en gång och att tillämpningsområdet får begränsas till leverantörernas egna tjänster särskilt vid e-post och Internettelefo- ni. Innebörden av det sistnämnda är att leverantörerna inte ska åläggas att, så att säga, spara andra leverantörers uppgifter.

De trafikuppgifter som är aktuella att lagra kan genereras eller behandlas på flera ställen i en ”kommunikationskedja”. I många fall har de leverantörer som är inblandade i en del av en kommunika- tionskedja ingen vetskap om vilka andra leverantörer som också deltar. Trafikuppgifterna finns således inte samlade hos en enda tjänsteleverantör utan ett telefonsamtal (fast, mobilt eller med In- ternettelefoni) kan ofta involvera flera olika leverantörer med ”del- ansvar” för ”framföringen”. En del av de uppgifter som omfattas av direktivet om lagring av trafikuppgifter kommer därmed att kunna finnas hos flera leverantörer samtidigt eller kanske enbart hos nå- gon av dem.

För att åstadkomma att lagring sker endast en gång av respekti- ve uppgift och hos enbart en leverantör, skulle varje leverantör be- höva ha ett system för att finna ut vilka andra leverantörer som ge- nererat eller behandlat uppgifter i samband med en kommunika- tion. När det har skett behöver leverantörerna reda ut vilka uppgif- ter som båda har rörande exempelvis varje enskilt kommunika- tionstillfälle och komma överens om vem som ska lagra uppgifter- na. Det är av praktiska, tekniska, sekretessmässiga och kostnads- mässiga skäl oerhört svårt, för att inte säga omöjligt, att skapa ett sådant system.

7.2.2Ska lagring ske i ett centralt lager?

Förslag: Lagring ska inte ske i ett centralt lager hos t.ex. staten.

Ett alternativ för lagring av trafikuppgifter på ett ställe kunde vara att leverantörerna skickar de uppgifter som ska lagras till någon form av centralt lager. Det skulle innebära att antingen staten eller en leverantör lagrar samtliga trafikuppgifter som alla leverantörer genererar eller behandlar.

Fördelen med ett centrallager för de trafikuppgifter som ska lag- ras enligt direktivet är att alla säkerhetsåtgärder som behövs för att

164

skydda uppgifterna i lagret kan vidtas på ett enda ställe. För de brottsbekämpande myndigheterna skulle det också vara effektivt att behöva vända sig till enbart ett ställe när trafikuppgifter begärs ut. För leverantörerna skulle ett centrallager bli fördelaktigt om deras uppgift skulle inskränka sig till att söka och spara de trafik- uppgifter som ska lagras och sända dem vidare till centrallagret.

Från integritetssynpunkt skulle ett centrallager dock bli pro- blematiskt eftersom det skulle innebära att stora informations- mängder om enskilda personer skulle finnas samlade på ett enda ställe. Ett centrallager skulle också föra med sig tekniska komplika- tioner. Om varje leverantör som genererar eller behandlar trafik- uppgifter som ska lagras skulle skicka dem till centrallagret, skulle det bli antingen ett antal dubbellagringar eller behövas teknisk ut- rustning som kunde identifiera vilka trafikuppgifter som redan lag- rats och sortera bort de överflödiga. Det är också svårt att tänka sig någon annan lösning än att staten skulle bli ansvarig för centrallag- ret. Verksamheten skulle därmed behöva skötas av en statlig myn- dighet eller uppdras åt en privat aktör. Oavsett vilken form som valdes skulle det ställa stora krav på kunnande både i fråga om den teknik som finns hos leverantörerna och den teknik som behövs för själva lagringen och säkerhetsåtgärderna. Det skulle innebära att staten skulle behöva bygga upp en egen kompetens på områden där leverantörerna redan har en hög kompetens. En central lagring skulle också ställa mycket stora krav på lagringsvolym och säkra lösningar för överförande av uppgifterna från leverantörerna.

Alternativet är en lösning som innebär att trafikuppgifter ska lagras där de genereras eller behandlas. Det innebär visserligen att trafikuppgifter i vissa fall kommer att lagras på flera ställen men fördelarna med ett sådant system överväger ändå alternativet med ett centrallager. Genom att de leverantörer som genererar och be- handlar uppgifterna också lagrar dem säkerställs att lagringen sker så enkelt och säkert som möjligt med utnyttjande av den kunskap om teknik som varje leverantör har. Vi bedömer också att lagring hos leverantörerna är ett klart bättre alternativ från integritetssyn- punkt eftersom det minskar riskerna för att uppgifter om enskilda kan sammanställas. Vid lagring hos leverantörerna kommer trafik- uppgifterna inte att vara omedelbart läsbara och i många fall kom- mer den enskilde leverantören bara att ha viss information som måste ställas samman med trafikuppgifter som lagrats av någon an- nan leverantör för att en enskild persons kommunikation ska kun- na utläsas. Den ordningen innebär visserligen att de brottsbekäm- pande myndigheterna ofta behöver inhämta trafikuppgifter från

165

flera olika håll för att få tillgång till alla uppgifter och därmed få helhetsbilden. Vi är medvetna om att det inte är riktigt effektivt från brottsbekämpningssynpunkt men anser att fördelarna från in- tegritetssynpunkt väl uppväger de nackdelar som myndigheterna får och vi föreslår därför att lagring ska ske hos leverantörerna.

7.2.3Vilka leverantörer ska vara lagringsskyldiga?

Förslag: De leverantörer som är anmälningspliktiga enligt lagen om elektronisk kommunikation ska vara skyldiga att lagra trafikuppgif- ter.

Tillsynsmyndigheten får efter samråd med Åklagarmyndigheten och Rikspolisstyrelsen i enskilda fall medge undantag från lagrings- skyldigheten.

Direktivet om lagring av trafikuppgifter omfattar leverantörer av allmänt tillgängliga elektroniska kommunikationstjänster eller all- männa kommunikationsnät. Det innebär att en leverantör av kom- munikationstjänst inte samtidigt behöver leverera ett nät för att omfattas av skyldigheten att lagra trafikuppgifter (se t.ex. artikel 1 och 3). En motsatt ordning skulle få allvarliga konsekvenser för det brottsbekämpande arbetet. T.ex. skulle en leverantör som både till- handahåller en tjänst och äger nät mycket lätt kunde undvika skyl- digheten genom att organisera dessa båda verksamheter i olika bo- lag. Lagringsskyldigheten gäller alltså leverantörer av allmänt till- gängliga elektroniska kommunikationstjänster eller allmänna kommunikationsnät. Det innebär att inte alla leverantörer blir lag- ringsskyldiga.

Begreppet elektronisk kommunikationstjänst specificeras inte i direktivet om lagring av trafikuppgifter. Däremot finns en defini- tion i 1 kap. 7 § LEK som anger att det är fråga om en tjänst som vanligen tillhandahålls mot ersättning och som helt eller huvudsak- ligen utgörs av överföring av signaler i elektroniska kommunika- tionsnät. I samma bestämmelse definieras allmänt kommunika- tionsnät som elektroniskt kommunikationsnät som helt eller hu- vudsakligen används för att tillhandahålla allmänt tillgängliga elek- troniska kommunikationstjänster.

Direktivets uttryck om lagringsskyldigheten ansluter till 2 kap. 1 § LEK, där det anges att allmänna kommunikationsnät av sådant slag som vanligen tillhandahålls mot ersättning eller allmänt till- gängliga elektroniska kommunikationstjänster endast får tillhanda-

166

hållas efter anmälan till tillsynsmyndigheten (PTS). Av 2 kap. 2 § LEK framgår att någon anmälan inte behöver göras för verksamhe- ter som enbart består i att överföra signaler via tråd för utsändning till allmänheten av program i ljudradio eller annat som anges i 1 kap. 1 § tredje stycket yttrandefrihetsgrundlagen och att PTS får meddela föreskrifter om ytterligare undantag från anmälningsplik- ten. Sådana föreskrifter har inte meddelats.

I propositionen utvecklade regeringen anmälningsplikten på föl- jande sätt (prop. 2002:03/110 s. 362).

Bestämmelsen innebär att det ställs krav på alla som avser att tillhandahålla allmänna kommunikationsnät för kommersiellt bruk eller allmänt tillgängliga elektroniska kommunikations- tjänster att göra en anmälan till tillsynsmyndigheten innan de påbörjar verksamheten. Genom att det anges att anmälnings- plikten endast omfattar sådana allmänna kommunikationsnät som vanligen tillhandahålls mot ersättning avses att undanta t.ex. fastighetsnät i flerfamiljshus som utgör fastighetstillbe- hör och som fastighetsägaren inte tar ut någon särskild er- sättning för av en operatör. Fastighetsägaren är då inte an- mälningspliktig. Däremot kan nätet utgöra en del av ett all- mänt kommunikationsnät som tillhandahålls mot ersättning av den operatör som fastighetsägaren har slutit avtal med. Al- ternativt kan operatören tillhandahålla allmänt tillgängliga elektroniska kommunikationstjänster över nätet. Operatören är då anmälningspliktig för denna verksamhet.

Att det ska vara fråga om en allmänt tillgänglig elektro- nisk kommunikationstjänst innebär att radio- och TV- utsändningar till allmänheten där mottagaren erhåller ett på förhand bestämt programutbud inte omfattas av anmälnings- plikten. Det gäller även utsändningar i digital form. Skulle en sådan tjänst bli en allmänt tillgänglig elektronisk kommuni- kationstjänst genom att utbudet inte kan anses på förhand bestämt, gäller emellertid regeln i 2 § för sådana sändningar som sker i tråd.

I slutna nät är de tjänster som tillhandahålls bara åtkomli- ga inom en begränsad grupp och det står alltså inte öppet för en vid krets av användare att ansluta sig till nätet. Slutna nät är t.ex. interna företagsnät och nät inom myndigheter och andra organisationer. Det kan röra sig om telefonnät, tråd- burna datanät, radiobaserade sådana nät, interna kommunika-

167

tioner för videoöverföring osv. inom företag, myndigheter och andra organisationer.

Regeringen angav följande i propositionen rörande undantaget i 2 kap. 2 § LEK (prop. 2002:03/110 s. 363).

Genom bestämmelsen undantas tillhandahållandet av kabel- TV-nät och liknande nät från anmälningsplikten enligt 1 §, om verksamheten enbart består i att överföra signaler via tråd för utsändningar till allmänheten av program i ljudradio eller annat som anges i 1 kap. 1 § tredje stycket YGL. Detsamma gäller tillhandahållande av elektroniska kommunikations- tjänster som avser sådan överföring som anges i sistnämnda lagrum. Regeln motiveras framförallt av att vissa av de krav som lagen ställer upp för den som bedriver anmälningspliktig verksamhet skulle kunna komma i konflikt med den grund- lagsfästa etableringsfriheten för sådana sändningar (se 3 kap. 1 § YGL). Bedrivs även annan verksamhet i sådana nät, t.ex. bredbandsanslutning till Internet, omfattas emellertid den verksamheten inte av undantaget.

Vi bedömer att det mest lämpliga är att låta skyldigheten att lagra trafikuppgifter ansluta till anmälningsplikten i 2 kap. 1 § LEK. Därmed ska alltså leverantörer av allmänna kommunikationsnät av sådant slag som vanligen tillhandahålls mot ersättning och av all- mänt tillgängliga elektroniska kommunikationstjänster ha skyldig- het att lagra uppgifterna. Eftersom vi föreslår att skyldigheten att lagra trafikuppgifter ska följa med anmälningsplikten blir tolkning- en och tillämpningen av 2 kap. 1 § LEK avgörande för vilka som ska vara lagringsskyldiga. Det är till PTS som anmälan ska göras och det blir PTS som i första hand genom sin tillämpning av be- stämmelsen får avgöra gränserna för vilka leverantörer som ska vara lagringsskyldiga. I det avseendet är det givetvis av stor vikt att hän- syn tas till den snabba teknikutvecklingen. Bestämmelserna bör inte få en för snäv tillämpning så att färre verksamheter omfattas av lagringsskyldigheten än vad som är avsikten med reglerna om an- mälnings- och lagringsskyldigheterna i lagen om elektronisk kom- munikation.

En del verksamheter, som i och för sig är anmälningspliktiga, är av liten omfattning samtidigt som det inte är intressant ur ett brottsbekämpande perspektiv att leverantören som bedriver verk- samheten lagrar trafikuppgifter. Det behöver därför enligt vår me-

168

ning finnas en möjlighet till undantag från lagringsskyldigheten. I t.ex. det danska förslaget har en generell gräns för skyldigheten att lagra satts till 100 ”enheter”, dock enbart för vissa typer av före- ningar (andelsforeninger, ejerforeninger, antenneforeninger og lig- nende foreninger eller sammenslutninger heraf). Enligt vår bedöm- ning är det inte lämpligt att koppla skyldigheten att lagra trafik- uppgifter till antalet enheter/kunder eller till en viss minsta om- sättning. I takt med teknikutvecklingen kommer detta att skapa onödiga gränsdragningsproblem.

Det får i första hand vara en fråga för tillsynsmyndigheten att närmare avgöra vilka leverantörer som ska undantas från skyldighe- ten att lagra trafikuppgifter. Vid den bedömningen får det ske en avvägning mellan nyttan för brottsbekämpningen av att leverantö- ren lagrar trafikuppgifterna och kostnaden för leverantören.

Frågan blir då om undantagen från skyldigheten att lagra bör ske i föreskriftsform eller genom beslut i enskilda fall.

Den anpassningsskyldighet som gäller i dag enligt 6 kap. 19 § LEK för hemlig teleavlyssning och hemlig teleövervakning innehål- ler en möjlighet till undantag efter beslut av PTS i enskilda fall. Även BRU:s förslag till förändring av den bestämmelsen innehåller en möjlighet till sådana undantag. BRU motiverade detta på bl.a. följande sätt (SOU 2005:38 s. 286 f.).

Den tekniska utvecklingen går fort. De tekniska förhållande- na hos varje operatör är i många avseenden unika. I dag kan det sägas finnas en än högre grad av variation hos operatö- rerna när det gäller verksamheternas inriktning, omfattning och tekniska lösningar jämfört med för tio år sedan då an- passningsskyldigheten infördes i telelagen. Detta ställer krav på differentierade lösningar vad gäller anpassningen i detalj. Den bedömning som regeringen gjorde tidigare har blivit be- kräftad i den praktiska tillämpningen, nämligen att anpass- ningsskyldigheten i sig och särskilt undantag från denna inte lämpar sig att närmare beskriva i generella föreskrifter eller villkor av generell karaktär. Det kan leda till en osäkerhet så- väl hos operatörerna som hos de brottsutredande myndighe- terna om anpassningsskyldighetens innebörd och omfattning och därmed också till bristande effektivitet. Det ska också sägas att den grova brottsligheten enligt Rikspolisstyrelsen är uppmärksam på gränserna för de brottsutredande myndighe- ternas operativa möjligheter, dvs. generella föreskrifter om undantag från anpassningsskyldigheten, men även offentliga

169

undantagsbeslut i enskilda fall, ger de kriminella personerna en bra uppfattning om vilka operatörer och vilka kommuni- kationsformer som är lämpliga att använda för deras verk- samhet. Till detta kommer särskilt att operatörerna har påta- lat för oss vikten av en tydlig, förutsebar reglering av anpass- ningsskyldigheten.

De argument som BRU angav för att enligt 6 kap. 19 § LEK ge ut- rymme för att i enskilda fall medge undantag från anpassningsskyl- digheten har bäring även för vår bedömning av formerna för beslut om undantag. Den tekniska utvecklingen och variationen i leveran- törernas verksamhet är tungt vägande skäl för att systemet bör ut- formas som en möjlighet för tillsynsmyndigheten (PTS, se avsnitt 10.4) att meddela undantag i enskilda fall från skyldigheten att lagra uppgifter. Undantagen bör få meddelas efter en ansökan av en leve- rantör och efter samråd med Åklagarmyndigheten och Rikspolis- styrelsen (jfr 36 § förordningen om elektronisk kommunikation).

Det kan inträffa att personer som bedriver allvarlig brottslig verksamhet kommer att söka sig till de leverantörer som är undan- tagna från lagringsskyldigheten. Visserligen skulle det förhållandet att en leverantör får många nya kunder i och för sig vara ett skäl för att undantaget inte längre ska gälla. Detsamma gäller om de brotts- bekämpande myndigheterna skulle upptäcka att kriminella perso- ner söker sig till en viss leverantör som är undantagen från lagrings- skyldigheten. Vi menar att mer exakt information om vilka leveran- törer som inte är lagringsskyldiga kan skada både PTS verksamhet för prövning av frågor om undantag och brottsbekämpningen om de är offentliga. Vi föreslår därför att sekretess ska gälla hos myn- digheterna för uppgifter som hänför sig till PTS verksamhet för prövning av frågor om undantag, om det kan antas att syftet med beslutade eller förutsedda åtgärder motverkas eller den framtida verksamheten skadas om uppgiften röjs.

Det är viktigt att påpeka att den möjlighet som PTS har enligt 7 § förordningen om elektronisk kommunikation att meddela un- dantag från anmälningsplikten enligt 2 kap. 1 § LEK inte är avsedd att användas i syfte att reglera lagringsskyldighetens omfattning. Vi återkommer till tillsynsmyndighetens befogenheter i avsnitt 10.5.

Ur ett brottsbekämpande perspektiv ligger det en begränsning i att direktivet om lagring av trafikuppgifter enbart omfattar leveran- törer av allmänna kommunikationsnät eller allmänt tillgängliga elektroniska kommunikationstjänster. Oftast när t.ex. en e- posttjänst tillhandahålls ett ”slutet sällskap”, t.ex. de anställda i fö-

170

retag och myndigheter (där e-postadressen ofta slutar med före- tags- eller myndighetsnamnet), är företaget respektive myndighe- ten närmast att betrakta som tjänsteleverantör utan att samtidigt leverera en allmänt tillgänglig tjänst. Företaget/myndigheten om- fattas då heller inte av skyldigheten att lagra enligt direktivet. Efter- som varje leverantör enbart ska lagra uppgifter som leverantören själv genererat eller behandlat, kommer uppgifterna i de fallen inte att lagras över huvud taget.

Utifrån de brottsbekämpande myndigheternas behov av att få tillgång till viktig information, bör vi enligt våra direktiv överväga om sådana nät- och tjänsteleverantörer som inte omnämns i direk- tivet och som inte heller är anmälningspliktiga enligt lagen om elektronisk kommunikation borde omfattas av en skyldighet att lagra och lämna ut trafikuppgifter.

Vi inser att det finns ett behov hos de brottsbekämpande myn- digheterna av att flera leverantörer än de som följer av direktivet om lagring av trafikuppgifter får skyldighet att lagra trafikuppgif- ter. Samtidigt skulle ett system som innebär att andra än anmäl- ningspliktiga leverantörer skulle omfattas av lagringsskyldigheten bli svårt att överblicka och kontrollera. Det får därför bli en fråga för framtiden om den lagringsskyldighet vi föreslår är rätt avvägd vad gäller kretsen lagringsskyldiga leverantörer.

7.3Lagringstiden

7.3.1Bakgrund

Artikel 6 i direktivet om lagring av trafikuppgifter anger att uppgif- terna ska lagras under en period om minst sex månader och högst två år från det datum då kommunikationen ägde rum. Våra direktiv anger i den frågan att utgångspunkten ska vara att lagringstiden inte ska understiga ett år för någon typ av trafikuppgift och att andra lagringstider är möjliga om detta bedöms vara lämpligt.

BRU konstaterade tidigare (SOU 2005:38 s. 326-328) att de brottsbekämpande myndigheterna har behov av trafikuppgifter som är flera år gamla i utredningar av grova brott och att det finns flera orsaker till att leverantörerna relativt sällan i dagsläget får för- frågningar på uppgifter som är äldre än tolv månader. De främsta skälen är enligt vad BRU kom fram till att det finns en skyldighet för leverantörerna att utplåna uppgifterna och att myndigheterna, när frågan om utlämnande blir aktuell, är medvetna om att utplå-

171

nande måste ha skett och/eller att myndigheterna inte har möjlig- het att av kostnadsskäl begära uppgifterna. Säkerhetspolisen ut- tryckte till BRU att en lång lagringstid, uppåt tre år, behövdes sär- skilt i utredningar av grov brottslighet, t.ex. grova våldsbrott, brott av organiserad karaktär och terroristbrott, där planering och förbe- redelser kan pågå under mycket lång tid, kanske flera år, och att det finns behov av att få uppgifter äldre än tolv månader i några hundra förundersökningar årligen. Särskilt som det rör sig om grova brott där brottsligheten även många gånger kan sägas vara organiserad, instämde BRU i Säkerhetspolisens bedömning att det är av synner- lig vikt för det brottsutredande arbetet att uppgifter finns tillgäng- liga under längre tid tillbaka än tolv månader.

Rikspolisstyrelsen, Säkerhetspolisen, Åklagarmyndigheten och Ekobrottsmyndigheten har uttryckt till oss att lagringstiden bör bestämmas till två år. Som skäl har myndigheterna fört fram trafik- uppgifternas stora betydelse i utredningar framför allt rörande or- ganiserad brottslighet. Myndigheterna har gett oss flera exempel på situationer där tillgången till trafikuppgifter även efter tolv måna- der är av synnerlig vikt för utredning av allvarlig brottslighet. Flera år gamla trafikuppgifter behövs om brottet uppdagas först efter lång tid, om brottet kräver ett långt utredningsarbete, om utred- ningsuppslag saknas till en början, t.ex. när vittnen framträder först sent efter brottet, och om utredningen har internationell anknyt- ning och rättslig hjälp till eller från andra länder behövs för utred- ningen.

Utifrån en bedömning av hur snabbt vissa brott klaras upp, har polisen tagit fram siffror som anger exempel på hur många utred- ningar av grova brott som skulle kunna gagnas per år av en tvåårig lagringstid. Vid sidan om Säkerhetspolisens och Ekobrottsmyndig- hetens område rör det enligt polisen i vart fall 22 mord, 450 våld- täkter/försök till våldtäkter, 60 rån, 500 Internetrelaterade barn- pornografibrott, 50 fall av människohandel och koppleri samt 480 dataintrång. Tyvärr är det i stort sett en omöjlighet att ta fram siff- ror på hur många av dessa utredningar som faktiskt skulle gagnas av en längre lagringstid en ett år.

Från åklagare har vi också fått enskilda exempel på förunder- sökningar där det har behövts trafikuppgifter som varit mer än ett år gamla. Det har bl.a. varit fallet i ett ärende om förberedelse till terroristbrott och förberedelse till allmänfarlig ödeläggelse där så gamla trafikuppgifter användes för att styrka vissa kontakter mellan de misstänkta och personer i ett annat land. Ett annat ärende rörde företagsspioneri där uppgifterna behövdes för att visa omfattningen

172

av den brottsliga verksamheten. Vid ett tillslag mot 118 personer misstänkta för Internetrelaterat barnpornografibrott hade upp- kopplingarna mot den server där det barnpornografiska materialet fanns skett från hösten 2002 till mars 2003 medan ärendet initiera- des hos de brottsutredande myndigheterna först i februari 2004. I en utredning rörande en serie grova rån var trafikuppgifter som var mer än ett år gamla den avgörande bevisningen angående några av de äldre rånen. I ett mordfall i Stockholm återfanns en död kropp 15 månader efter dödandet. Där var gamla trafikuppgifter den av- görande bevisningen som gjorde att det över huvudtaget gick att utreda ärendet och väcka åtal. I ett ärende rörande misstankar om grovt narkotikabrott, grov narkotikasmuggling, grovt dopnings- brott samt grov smuggling (av dopningsmedel) begärdes trafikupp- gifter som var äldre än ett år in rörande telefonkontakter mellan den misstänkte och personer i ett främmande land. Detta hade be- tydelse för att visa direktkontakter mellan köpare och säljare under hela den tid som misstankarna avsåg. Även vid begäran om rättslig hjälp från utlandet har trafikuppgifter äldre än ett år varit viktiga att få fram.

7.3.2Våra överväganden

Förslag: Uppgifterna ska lagras i ett år från det datum kommunika- tionen ägde rum.

Vid lagringstidens slut ska uppgifterna utplånas, om inte de brottsbekämpande myndigheterna vid den tiden har begärt tillgång till uppgifterna men ännu inte fått ut dem eller leverantören annars har rätt att fortsätta behandla uppgifterna.

Det går inte att generellt påstå att vissa av de trafikuppgifter som ska lagras är mer eller mindre viktiga än andra för utredning av all- varlig brottslighet. Trafikuppgifternas betydelse i de enskilda brottsutredningarna varierar självfallet beroende på en rad olika omständigheter som är hänförliga till de särskilda utredningar där de kommer till användning. De brottsbekämpande myndigheterna har inte heller framfört något behov av eller några skäl för att ha skilda lagringstider för olika typer av trafikuppgifter. Vi har inte heller kunnat finna något som talar för att lagring av trafikuppgifter skulle vara mer eller mindre integritetskänslig beroende på vilken typ av trafikuppgift det är fråga om. Att skilja lagringstiderna åt är därmed varken önskvärt eller behövligt av integritetsskyddsskäl.

173

Givetvis går det inte heller att i förväg veta vilka trafikuppgifter som kommer att bli intressanta för de brottsbekämpande myndig- heterna i utredningar av olika typer av brottslighet. Det är därför inte möjligt att bestämma lagringstiden generellt efter vad som be- hövs t.ex. i utredningar rörande terroristbrott eller andra brottsty- per som begås inom ramen för organiserad brottslighet eller att med brottstyper som avgränsning ha ett system med skilda lag- ringstider beroende på svårhetsgraden av vissa brott.

Vi föreslår därför att en och samma lagringstid ska gälla för alla typer av trafikuppgifter. Det ger också den mest okomplicerade regleringen.

Frågan blir då hur lång lagringstiden ska vara. Direktivet ger möjlighet till minst sex månaders och högst två års lagring. Ut- gångspunkten för vårt arbete ska enligt våra direktiv vara att lag- ringstiden inte ska understiga ett år för någon typ av trafikuppgift men att andra lagringstider är möjliga om det bedöms vara lämpligt.

Allvarliga brott orsakar stora skador för enskilda och samhället. Varje sådant brott som klaras upp, kanske redan på planeringsstadi- et, är av stort värde. Det är också avgörande för en effektiv be- kämpning av allvarlig brottslighet att de brottsbekämpande myn- digheterna har tillgång till trafikuppgifter. Det är den insikten som ligger bakom tillkomsten av direktivet om lagring av trafikuppgif- ter. Även om majoriteten av de grova brotten torde klaras upp inom ett år efter det att brottet har begåtts visar de beräkningar vi har fått om utredningar som skulle kunna gagnas av en tvåårig lag- ringstid att så gamla trafikuppgifter skulle användas vid ett inte obetydligt antal utredningar som alla gäller mycket grov brottslig- het. Vi har också fått konkreta exempel på ett antal fall där två år gamla trafikuppgifter har varit av synnerlig vikt för utredningen och faktiskt lett till att brottet kunde klaras upp. För vissa utred- ningar om t.ex. terroristbrott och ekonomisk brottslighet behövs i själva verket till och med äldre trafikuppgifter än så. Vi utgår därför i våra överväganden från att upp till två år gamla trafikuppgifter behövs och är helt nödvändiga för bekämpningen av allvarlig brottslighet.

Teknikutvecklingen innebär hela tiden nya möjligheter för dem som vill begå brott och olika tekniker för kommunikation används för att planera och utföra brott och för att dölja dem. Både för medborgarna i allmänhet och brottsoffren är det angeläget att de möjligheter som den tekniska utvecklingen ger också kan användas i brottsbekämpningen så att förutsättningarna för att klara upp all- varliga brott blir så goda som möjligt.

174

Sett utifrån medborgarnas intressen och betydelsen för brotts- offer av att allvarliga brott utreds och gärningsmän lagförs anser vi att en lagringstid på två år väl skulle kunna motiveras.

Vårt uppdrag är dock inte att bedöma hur lång lagringstiden bör vara enbart utifrån ett brottsbekämpningsperspektiv. I vårt arbete med förslaget till genomförande av direktivet ska vi också beakta medborgarnas intresse av skydd för den personliga integriteten, att kostnaderna för genomförandet får en samhällsekonomiskt effektiv lösning samt behovet av en väl fungerande konkurrens. Vi ska allt- så, efter en genomlysning av de aspekter som detta vidare perspek- tiv för med sig, bedöma hur lång lagringstiden bör vara.

Vi har i avsnitt 5 konstaterat att ett genomförande av direktivet kommer att föra med sig att en stor mängd trafikuppgifter kommer att lagras och att redan lagringen av trafikuppgifterna innebär ett intrång i medborgarnas integritet. Det är naturligt att medborgar- nas upplevelse av intrånget har samband med lagringstidens längd. Intrånget i integriteten eller snarare medborgarnas upplevelse av att vara kontrollerade varar naturligtvis så länge lagringen pågår. Vi kommer i avsnitten 8-10 att behandla de olika överväganden vi gör i frågor om kontroll och tillsyn och våra överväganden om vilket skydd genom administrativa, straffrättsliga och civilrättsliga regler som behövs för att risken för konkreta integritetsskador ska bli så låg som möjligt. Det går dock inte att komma ifrån att ett gott skydd med olika former av tillsyn, prövning i förhand och en kon- troll i efterhand ändå aldrig kan bli heltäckande och att det därmed finns en viss risk för att enskilda drabbas av konkreta integritets- skador, t.ex. genom att lagrade trafikuppgifter läcker ut och sprids. För vår bedömning av lagringstidens längd måste vi därför beakta att risken för konkreta integritetsskador genom t.ex. läckage eller annan otillåten spridning ökar med lagringstidens längd.

Också olika mer tekniska faktorer har betydelse när det gäller att bedöma hur lång lagringstiden bör vara. Lagringen av trafikupp- gifterna innebär att en mängd uppgifter behöver lagras. Det kom- mer att ställa krav på en lagringskapacitet av stor volym och krav på en god säkerhetsnivå både avseende teknisk kapacitet och administ- rativa rutiner för hanteringen av lagret. Lagringsvolymen ökar själv- fallet ju längre lagringstiden blir och det medför ökade krav på sä- kerhet. För att uppgifterna enkelt ska kunna överlämnas till de brottsbekämpande myndigheterna bör de också vara sökbara på ett rationellt sätt. Sökbarheten påverkas av den samlade mängden av lagrade trafikuppgifter. Även om vi inte har låtit göra olika kost- nadsberäkningar utifrån olika lagringstider måste en försiktig slut-

175

sats vara att kostnaderna för teknik och administrativa säkerhetsru- tiner blir högre med en lagringstid på två år än med en lagringstid på ett år eller sex månader.

Inom marknaden för elektronisk kommunikation finns aktörer av vitt skilda slag. Vissa levererar en tjänst, andra levererar ett nät och ett antal levererar både tjänster och nät. Volymen på den verk- samhet som leverantörerna tillhandahåller skiljer sig också väldigt mycket åt, det finns allt ifrån mycket stora leverantörer till leveran- törer med relativt få kunder. Lagringstidens längd kan få olika be- tydelse för de olika leverantörerna och det är svårt att bedöma hur den skulle slå i konkurrenshänseende mellan leverantörer av olika storlek och mellan leverantörer av tjänster eller nät. Det vi med rimlig grad av säkerhet kan säga är dock att kraven på den kapacitet som leverantörerna måste ha för att fullgöra lagringsskyldigheten och kostnaderna för lagringen ökar med lagringstiden och att lag- ringstiden är en av de faktorer som kan påverka såväl etablerade som presumtiva aktörers investeringsvilja. Den tekniska utveck- lingen har också lett till att kunderna inte är beroende av nations- gränser när de väljer att teckna abonnemang för fast och mobil tele- foni och Internet. Den lagringstid som bestäms i Sverige blir där- med, jämförd med de lagringstider som kommer att gälla i andra medlemsstater i EU, en faktor som påverkar konkurrensen.

Även om vi ser att det från brottsbekämpningssynpunkt finns ett starkt behov av att bestämma en så lång lagringstid som möjligt bedömer vi att skyddet för den personliga integriteten och kost- nads-, säkerhets- och konkurrensaspekter med sinsemellan olika styrka talar för en så kort lagringstid som möjligt. Vi behöver där- för göra en avvägning som innebär att brottsbekämpningsintresset i så hög grad som möjligt blir tillgodosett samtidigt som framför allt integritetsskyddet tillgodoses och systemet blir effektivt utifrån kostnads- och konkurrenssynpunkt.

Intrånget i medborgarnas personliga integritet blir naturligtvis minst om lagringstiden blir sex månader och det är också den lag- ringstid som torde medföra minst kostnader. Samtidigt måste man utgå från att även en så kort lagringstid kräver stora investeringar i ny teknik och medför krav på nya säkerhetsrutiner. Det betyder att initialkostnaderna för lagring av trafikuppgifter blir stora för en lagringstid på sex månader och att de sedan ökar men inte dubble- ras med t.ex. ett års lagringstid. Vi vet att utredningar om avancerad och allvarlig brottslighet måste få ta viss tid i anspråk. Brottspla- nerna är ofta avancerade och det kan ta tid att kartlägga och utreda omständigheterna kring ett visst brott på ett sätt som kan leda till

176

att gärningsmannen eller gärningsmännen kan åtalas och dömas. Förhållandena kring brottsligheten kan också vara så komplicerade att det inte minst av rättsäkerhetsskäl krävs tid för att en mängd olika åtgärder ska kunna genomföras så att förundersökningen kan hålla den kvalitet som fordras i alla utredningar om grov brottslig- het. Trafikuppgifter är en betydelsefull del av alla de utredningsåt- gärder som vidtas i en komplicerad utredning om ett allvarligt brott. Vi bedömer att en så kort lagringstid som sex månader skulle innebära att de brottsbekämpande myndigheterna fick arbeta under en tidspress som skulle riskera att motverka både utredningarnas kvalitet i stort och rättsäkerhetsaspekterna i förhållande till de misstänkta. En sex månader lång lagringstid skulle dessutom inne- bära att vissa av de trafikuppgifter som de brottsbekämpande myn- digheterna får tillgång till i dag vid hemlig teleövervakning och ut- lämnande enligt lagen om elektronisk kommunikation inte skulle bli tillgängliga i framtiden. Med andra ord skulle många av de brott som i dag klaras upp med hjälp av trafikuppgifterna inte ha samma förutsättningar att bli utredda i framtiden.

Om lagringstiden i stället bestäms till ett år blir integritetsin- trånget för medborgarna detsamma men pågår under längre tid och risken för verkliga intrång i enskildas integritet genom t.ex. läckage ökar i viss grad. Samtidigt tillgodoses de brottsbekämpande myn- digheternas behov i betydligt fler fall. En lagringstid på ett år inne- bär att de brottsbekämpande myndigheterna kan få tillgång till tra- fikuppgifter i det stora flertalet utredningar där sådana uppgifter är av synnerlig vikt för utredningen.

En ettårig lagringstid är fortfarande en begränsning i förhållande till de brottsbekämpande myndigheternas behov, eftersom trafik- uppgifter inte garanterat kommer att finnas tillgängliga för de situ- ationer där brottet upptäcks efter lång tid eller för de utredningar som på grund av utredningens komplexitet tar lång tid eller när spaningsuppslag saknas inom ett år från brottet. Detsamma gäller i de fall där svenska myndigheter behöver lämna rättslig hjälp efter- som det administrativa förfarandet kring rättslig hjälp fortfarande är tidskrävande. Tiden för lagring av trafikuppgifter kan dock inte ses för sig utan måste bedömas utifrån de andra möjligheter som de brottsbekämpande myndigheterna har att bekämpa allvarlig brotts- lighet. En sådan möjlighet är myndigheternas utveckling av krimi- nalunderrättelseverksamheten och förutsättningarna att inhämta trafikuppgifter på ett tidigt stadium vid bekämpningen av allvarlig brottslighet. Riksdagen behandlar för närvarande ett förslag om hemlig rumsavlyssning (prop. 2005/06:178) och ett förslag om åt-

177

gärder för att förhindra vissa särskilt allvarliga brott (prop. 2005/06:177) Om samtliga dessa verktyg kan och kommer att an- vändas av de brottsbekämpande myndigheterna på ett ändamålsen- ligt sätt kommer de tillsammans med en lagringstid på ett år att in- nebära att förutsättningarna för bekämpning av allvarlig brottslig- het förbättras.

Av intresse för bedömningen av hur lång lagringstid som bör gälla i Sverige är också hur andra länder har valt att bestämma lag- ringstiden. Det har betydelse för att Sverige ska kunna delta i brottsbekämpningen inom unionen på lika villkor som andra län- der. Den undersökning vi har gjort (avsnitt 4) visar att flertalet av länderna i EU har valt att bestämma lagringstiden till ett år.

Enligt vår bedömning skulle en lagringstid på ett år innebära en förbättring för de brottsbekämpande myndigheterna i förhållande till i dag, när det ofta beror på slumpen huruvida trafikuppgifter över huvud taget finns sparade och kan lämnas ut för de brottsbe- kämpande ändamålen. Därmed skulle en stor del av brottsbekämp- ningsintresset tillgodoses till en rimlig kostnad samtidigt som skyddet för integriteten kan upprätthållas och risken för konkreta integritetsintrång inte blir oacceptabel. Likheten med andra länders reglering innebär också fördelar.

Frågan blir då om brottsbekämpningsintresset ändå väger tyngre så att lagringstiden bör bestämmas till t.ex. 18 månader eller två år. Vid den avvägningen bedömer vi att intresset av att skydda den personliga integriteten i nuläget väger tyngre än behovet av att ha uppgifterna lagrade under så lång tid.

Vi föreslår därför att lagringstiden ska bestämmas till ett år. Våra förslag innebär att vissa trafikuppgifter utöver dem som

följer av direktivet om lagring av trafikuppgifter ska lagras. Även om skälen för lagring av dessa trafikuppgifter inte grundar sig på direktivet utan på överväganden enligt artikel 15.1 i direktivet om integritet och elektronisk kommunikation bör lagringstiden för dessa uppgifter bestämmas utifrån samma utgångspunkter och till samma tid som de trafikuppgifter som ska lagras enligt direktivet om lagring av trafikuppgifter.

Det ska nämnas att artikel 12 i direktivet om lagring av trafik- uppgifter tillåter att en medlemsstat som står inför särskilda om- ständigheter som föranleder en tidsbegränsad förlängning av den högsta tillåtna lagringstiden får vidta nödvändiga åtgärder för detta.

Nästa fråga blir från vilken tidpunkt lagringstiden ska beräknas. Artikel 6 i direktivet om lagring av trafikuppgifter anger att lag- ringstiden ska räknas från det datum kommunikationen ägde rum.

178

En kommunikation börjar och slutar oftast inte vid samma tid- punkt utan den har en viss varaktighet. För att syftet med lagringen av trafikuppgifter ska tillgodoses så långt som möjligt bör lagrings- tiden räknas från det att kommunikationen avslutades.

Artikel 7 i direktivet om lagring av trafikuppgifter föreskriver att uppgifterna ska förstöras vid slutet av lagringstiden, utom de uppgifter för vilka tillgång har medgivits och som har bevarats. Det är alltså enligt direktivet inte tillåtet att enbart avidentifiera uppgif- terna som har lagrats för brottsbekämpande syften (jfr 6 kap. 5 § LEK). Den reglering vi föreslår innehåller därför ett krav på att uppgifterna ska utplånas vid lagringstidens slut, om inte de brotts- bekämpande myndigheterna vid den tiden har begärt tillgång till uppgifterna men ännu inte fått ut dem eller leverantören annars har rätt att fortsätta behandla uppgifterna, t.ex. för att de krävs för abonnentfakturering. Skulle uppgifterna av sistnämnda skäl finnas kvar hos leverantören sedan den ettåriga lagringstiden gått ut, är leverantören skyldig att även efter ettårstiden lämna ut uppgifterna om förutsättningar finns enligt bestämmelserna i rättegångsbalken eller lagen om elektronisk kommunikation. Den lagringstid vi före- slår blir med andra ord inte en yttersta gräns bakåt i tiden för de brottsbekämpande myndigheternas rätt att få tillgång till trafik- uppgifter som leverantörerna har.

7.4Leverantörernas medverkan inom viss tid m.m.

Förslag: Leverantörerna ska bedriva verksamheten så att uppgifter- na enkelt kan tas om hand och lämnas ut utan dröjsmål.

I avsnitt 2.5.2 redogjorde vi för den anpassningsskyldighet som finns föreskriven i 6 kap. 19 § LEK. Den innebär att en verksamhet ska bedrivas så att beslut om hemlig teleavlyssning och hemlig tele- övervakning kan verkställas och så att verkställandet inte röjs. An- passningsskyldigheten innebär också att innehållet i och uppgifter om avlyssnade eller övervakade telemeddelanden ska göras tillgäng- liga så att informationen enkelt kan tas om hand. Anpassningsskyl- digheten gäller alltså för såväl hemlig teleavlyssning som hemlig teleövervakning och avser både historiska uppgifter och realtids- uppgifter.

Av bestämmelsen framgår att anpassningsskyldigheten gäller endast för vissa verksamheter, nämligen tillhandahållande av

179

1.ett allmänt kommunikationsnät som inte enbart är avsett för utsändning till allmänheten av program i ljudradio eller annat som anges i 1 kap. 1 § tredje stycket yttrandefrihetsgrundlagen, eller

2.tjänster inom ett allmänt kommunikationsnät vilka består av a) en allmänt tillgänglig telefonitjänst till fast nätanslutnings-

punkt som medger överföring av lokala, nationella och internatio- nella samtal, telefax och datakommunikation med en viss angiven lägsta datahastighet, som medger funktionell tillgång till Internet, eller

b) en allmänt tillgänglig elektronisk kommunikationstjänst till mobil nätanslutningspunkt.

Skyldigheten att lagra trafikuppgifter enligt vårt förslag omfattar samtliga de leverantörer som är anmälningspliktiga enligt lagen om elektronisk kommunikation. Den omfattar därmed flera leverantö- rer än de som är anpassningsskyldiga enligt 6 kap. 19 § LEK.

För att systemet med lagring av trafikuppgifter ska bli effektivt och verkligen bidra till bekämpningen av allvarlig brottslighet bör skyldigheten att lagra trafikuppgifterna förenas med en precisering av anpassningsskyldigheten enligt 6 kap. 19 § LEK som innebär ett krav på att de lagringsskyldiga leverantörernas verksamhet ska be- drivas så att de lagrade uppgifterna enkelt kan tas om hand av de brottsbekämpande myndigheterna.

Därutöver behöver det ställas krav i fråga om hur snabbt uppgif- terna ska göras tillgängliga för myndigheterna. Enligt artikel 8 i di- rektivet om lagring av trafikuppgifter ska det säkerställas att upp- gifterna lagras på ett sådant sätt att de tillsammans med annan nöd- vändig information utan dröjsmål kan överföras till myndigheterna efter begäran.

I 27 kap. 25 § första stycket RB finns en bestämmelse om verk- ställighet av beslut om hemlig teleavlyssning och hemlig teleöver- vakning. Av paragrafen framgår att de tekniska hjälpmedel som be- hövs för avlyssningen eller övervakningen får användas när rätten har lämnat tillstånd till tvångsmedlen. Med det uttrycket avses bl.a. att de tekniska hjälpmedlen får anslutas, underhållas och återtas. Av detta följer att leverantörerna har en skyldighet att biträda och lämna tillträde för brottsutredande myndigheter.

BRU konstaterade (SOU 2005:38 s. 336 ff.) att ett tvångsme- delsbeslut medför en skyldighet för leverantören att i viss mån medverka vid verkställigheten men att detta inte innebär en skyl- dighet att tillhandahålla utrustning eller tekniska lösningar och inte heller att biträda vid verkställigheten inom viss tid. BRU hade bl.a. identifierat att servicenivån hos många leverantörer avseende den

180

tid som förflyter från beställning av åtgärden till dess att tvångsme- delsbeslutet kan börja verkställas var för låg. BRU föreslog därför en bestämmelse i 27 kap. RB om att en leverantör skulle vara skyl- dig att genast på begäran av en brottsutredande myndighet medver- ka vid verkställighet av tvångsmedelsbesluten. Med det uttrycket avsåg BRU att arbetet skulle vara påbörjat inom en timme under kontorstid beträffande samliga leverantörer och även under annan tid beträffande de leverantörer som då har personella resurser avde- lade för drift- och nätövervakning.

I skyldigheten att lagra trafikuppgifter ligger att det ska finnas teknik och resurser hos leverantörerna för att överföra nödvändig information till de brottsbekämpande myndigheterna inom en kor- tare tid. Det kravet kan uttryckas såsom i artikel 8 i direktivet om lagring av trafikuppgifter, nämligen att uppgifterna ska lämnas ut till myndigheterna utan dröjsmål. Vad som avses med detta uttryck kan skilja sig åt beroende på förhållandena hos varje enskild leve- rantör. Den närmare innebörden får därför avgöras mot bakgrund av resurssituationen hos respektive leverantör. Det får vara en fråga för tillsynsmyndigheten att närmare precisera kravet på medverkan inom viss tid. Vi vill dock framhålla att det är rimligt att utgå från att arbetet med att överföra informationen ska påbörjas inom nå- gon enstaka timme räknat från när leverantören tar emot (i bety- delsen blir medveten om) begäran om att trafikuppgifter ska läm- nas ut. Det kan också betyda att leverantören behöver arbeta med verkställigheten utanför kontorstid. Frågor om ersättning för leve- rantörernas arbete behandlas i avsnitt 13.

Överföring ska ske så snart någon uppgift finns tillgänglig. Det kan innebära att det sker överföring vid flera tillfällen. Enligt de brottsbekämpande myndigheterna är det t.ex. mycket värdefullt att en leverantör snabbt börjar lämna de uppgifter som finns omedel- bart tillgängliga och sedan kontinuerligt överför samtliga uppgifter allt eftersom de tas fram ur systemen.

7.5Ändamålen med behandlingen av trafikuppgifter

Förslag: Trafikuppgifter som har lagrats för brottsbekämpande syften får behandlas av leverantörerna endast för att lämnas ut efter beslut om hemlig teleövervakning eller enligt bestämmelserna i la- gen om elektronisk kommunikation, eller för att annan fullgör lag- ringen.

181

Våra förslag om lagring av trafikuppgifter innebär en avsevärd ut- vidgning av den mängd trafikuppgifter som kommer att lagras. Den absolut övervägande delen av trafikuppgifterna kommer aldrig att efterfrågas av de brottsbekämpande myndigheterna.

Enligt förslaget kommer trafikuppgifterna att lagras av leveran- törerna. Det innebär att det blir leverantörerna som måste anses äga trafikuppgifterna och därmed i princip kunna disponera över dem. Uppgifterna kommer inte att vara omedelbart läsbara hos leveran- törerna och i många fall kommer den enskilde leverantören bara att ha viss information som måste ställas samman med lagrad informa- tion hos någon annan leverantör för att en enskild persons kom- munikation ska kunna utläsas. De lagrade trafikuppgifterna skulle ändå kunna ha ett värde för leverantörerna om de fick behandlas för andra ändamål än vad lagringen är tänkt för. I den allmänna de- batten har det framförts farhågor för att leverantörerna ska använda uppgifterna t.ex. för sammanställningar av sociogram eller för att säljas för att behandlas vid marknadsföring. Mot bakgrund av den information om enskildas kommunikationsmönster som de lagrade trafikuppgifterna skulle kunna ge och de integritetsaspekter som gör sig gällande, måste vi överväga om det ska vara tillåtet att an- vända trafikuppgifterna för annat än brottsbekämpande ändamål.

Direktivet om lagring av trafikuppgifter tar inte ställning till frå- gan om vem som från civilrättsliga utgångspunkter har rätt till de lagrade trafikuppgifterna. Däremot har direktivet som utgångs- punkt att lagringens fullgörande inte medför en oinskränkt rätt att disponera över uppgifterna. Direktivet föreskriver t.ex. en maximal tid för lagringen och att uppgifterna ska förstöras när lagringstiden gått ut. Direktivets artikel 7 synes också utgå från att trafikuppgif- ter som lagras med stöd av direktivet inte ska kunna behandlas för andra ändamål än de som anges i direktivet. Detta hindrar inte att leverantörer sparar trafikuppgifter för andra tillåtna ändamål enligt 6 kap. LEK, t.ex. abonnentfakturering.

Artikel 29-gruppen har uttryckt farhågor för att uppgifterna ska behandlas för andra än de brottsbekämpande syftena, som t.ex. övervakning av samtliga medborgares dagliga kommunikations- mönster. Enligt gruppen behöver det säkerställas att de uppgifter som lagras inte medför någon storskalig datautvinning avseende rese- och kommunikationsmönster för personer som de brottsbe- kämpande myndigheterna inte misstänker. Vidare menar gruppen att leverantörerna inte ska ha rätt att bearbeta trafikuppgifter för

182

andra ändamål än de som anges i direktivet, särskilt inte för egna syften.

Också Europeiska datatillsynsmannen har yttrat att det är vik- tigt att tillgången till och användningen av trafikuppgifterna be- gränsas till de syften som anges i direktivet. Enligt datatillsyns- mannen måste de lagrade uppgifterna skyddas på lämpligt sätt för att motverka ett felaktigt utnyttjande av dem.

I 6 kap. 5 § LEK finns huvudregeln att trafikuppgifter ska utplå- nas eller avidentifieras av leverantörerna när de inte längre behövs för att överföra ett elektroniskt meddelande. Lagen tillåter dock att uppgifterna sparas för viss behandling. I avsnitt 2.2 har vi redogjort för de bestämmelserna. I korthet kan nämnas att det huvudsakligen rör abonnentfakturering, betalning av avgifter för samtrafik, mark- nadsföring av elektroniska kommunikationstjänster, tvistlösning samt verkställighet av beslut om hemlig teleavlyssning eller hemlig teleövervakning. Direktivet om lagring av trafikuppgifter innebär ytterligare ett undantag från grundregeln att trafikuppgifter inte får lagras utan får sparas för ett visst ändamål (artikel 3). De trafik- uppgifter som omfattas av vårt förslag i avsnitt 6 ska lagras av leve- rantörerna under ett år för att finnas tillgängliga vid beslut om hemlig teleövervakning eller vid begäran om utlämnande enligt la- gen om elektronisk kommunikation.

Den fråga som nu ska övervägas är om det bör vara tillåtet att behandla trafikuppgifterna för något ytterligare ändamål än för att lämnas ut till brottsbekämpande myndigheter. Mot bakgrund av de stora skillnader som finns mellan leverantörerna både i fråga om verksamhet och volym bedömer vi att både företagsekonomiska skäl, konkurrensskäl och säkerhetsskäl talar för att leverantörerna ska ha möjlighet att anlita annan för att fullgöra lagringen. I sådana fall kan den fysiska utrustningen vara placerad såväl hos den lag- ringsskyldige leverantören som hos annan. Vi vill framhålla att det inte är själva lagringsskyldigheten och de skyldigheter som följer med denna som kan uppdras åt annan. Den lagringsskyldige leve- rantören ska aldrig genom ett sådant avtal kunna frånhända sig nå- gon skyldighet mot myndigheter eller enskilda.

Som framgår i avsnitt 2.3.2 regleras leverantörernas tystnads- plikt i bl.a. 6 kap. 20 § LEK. Den bestämmelsen innebär att den som i samband med tillhandahållande av ett elektroniskt kommu- nikationsnät eller en elektronisk kommunikationstjänst har fått del av eller tillgång till uppgift om abonnemang, innehållet i ett elek- troniskt meddelande eller annan uppgift som angår ett särskilt elek- troniskt meddelande inte obehörigen får föra vidare eller utnyttja

183

det han fått del av eller tillgång till. Den stora majoriteten av upp- gifter som lagringsskyldigheten kommer att omfatta är hemliga i den betydelsen att abonnenten inte har gett sitt samtycke till att uppgifterna lämnas ut (jfr t.ex. öppna telefonnummer).

När telelagen infördes i samband med att verksamheten i Tele- verket överfördes till Telia AB uttalade regeringen att bestämmel- serna om tystnadsplikt i den lagen (motsvarande bl.a. 6 kap. 20 § LEK) skulle utgöra en huvudsaklig motsvarighet till vad som gällde enligt sekretesslagen för Televerkets verksamhet (prop. 1992/93:200 s. 162 ff.). I sekretesslagen anges att den som på grund av anställning eller uppdrag hos myndigheten har deltagit i verk- samheten och fått kännedom om uppgiften har tystnadsplikt (se 1 kap. 6 § sekretesslagen). Att tystnadsplikten enligt lagen om elek- tronisk kommunikation omfattar uppdragstagare i vissa fall fram- går även av PTS:s ”Sammanställning av lagstiftning och praxis kring utlämnande av teleuppgifter” från 2006-11-28.

Bestämmelsen om tystnadsplikt utgör därmed inget hinder mot en ordning där leverantören avtalar med annan att fullgöra lagring- en. Den som åtar sig att lagra har ett sådant uppdrag av leverantö- ren som innebär att han eller hon kommer att omfattas av tyst- nadsplikten. Enligt vår bedömning kommer tystnadsplikt att gälla för den stora majoriteten av uppgifter som lagringsskyldigheten omfattar, eftersom abonnenten inte har gett sitt samtycke till att uppgifterna lämnas ut.

En möjlighet för leverantörerna att anlita annan för själva lag- ringen innebär fördelar för vissa leverantörer. Från rent civilrättsli- ga utgångspunkter finns det inte något hinder för leverantörerna att träffa sådana avtal. Ett avtal med annan att fullgöra själva lag- ringen påverkar inte leverantörernas skyldigheter enligt våra förslag och innebär därmed inte några negativa konsekvenser från integri- tetssynpunkt. Den som åtar sig lagringen blir personuppgiftsbiträ- de enligt 30 § första stycket PUL.

Våra förslag innebär således att leverantörerna får behandla tra- fikuppgifter som lagrats för brottsbekämpande syften endast för att lämna ut dem efter beslut om hemlig teleövervakning eller en- ligt bestämmelserna i lagen om elektronisk kommunikation, eller för att annan fullgör lagringen. Det innebär att all annan behand- ling av trafikuppgifter är otillåten. Uppgifterna kan således inte an- vändas för kommersiella eller andra ändamål.

Det kan nämnas att det vid EG-domstolen för närvarande pågår ett mål som tar upp frågan huruvida det enligt gemenskapsrätten är tillåtet att lämna trafikuppgifter avseende Internetanvändare till

184

innehavare av immateriella rättigheter (mål nr C-275/06). General- advokaten menar i sitt förslag till avgörande (den 18 juli 2007) att de uppgifter som har lagrats med stöd av direktivet om lagring av trafikuppgifter enbart får lämnas ut för att utreda, avslöja och väcka åtal rörande allvarliga brott och att utlämnande därför inte får ske till innehavare av immateriella rättigheter.

185

8 Kvalitet och säkerhet

8.1Sammanfattning av våra förslag och bedömningar

•I lagen om elektronisk kommunikation ska det föras in en bestämmelse som preciserar leverantörernas skyldighet att vidta särskilda tekniska och organisatoriska åtgärder för ett tillräckligt skydd vid behandlingen av lagrade trafikuppgif- ter.

•Tillsynsmyndigheten får efter samråd med Rikspolisstyrel- sen och Datainspektionen meddela de verkställighetsföre- skrifter som behövs i frågor om säkerhet för trafikuppgif- terna.

•Lagring av trafikuppgifter kan ske utanför Sveriges gränser. Personuppgiftslagens bestämmelser om förbud mot överfö- ring av personuppgifter till tredje land är tillräckliga för att upprätthålla integritetsskyddet.

•Den som övertar en lagringsskyldig leverantörs verksam- het, en konkursförvaltare eller en likvidator ska se till att lagringsskyldigheten fullgörs under den återstående lag- ringstiden.

8.2Utgångspunkter

Ändamålet med lagring av trafikuppgifter är att uppgifterna ska finnas bevarade under viss tid för att de, när det finns förutsätt- ningar för det, ska kunna användas för utredning om allvarlig brottslighet. För att lagringen ska fungera som det är tänkt samti- digt som skyddet för enskildas integritet hålls på en hög nivå, mås- te en rad olika frågor som gäller lagringen och skyddet av de lagra- de trafikuppgifterna övervägas.

187

De förslag vi lägger om lagringsskyldigheten innebär att fler tra- fikuppgifter än i dag kommer att finnas lagrade och att lagringen ska pågå under ett år. Mot den bakgrunden ska vi överväga om det finns anledning att förändra de bestämmelser i rättegångsbalken och lagen om elektronisk kommunikation som preciserar förut- sättningarna för att trafikuppgifterna ska kunna lämnas ut till de brottsbekämpande myndigheterna. Vi återkommer till dessa frågor i avsnitt 11.

Systemen för att lagra trafikuppgifter måste vara utformade så att uppgifterna snabbt och säkert kan överföras till myndigheterna. Frågan om leverantörernas skyldigheter att anpassa sina system så att beslut om hemlig teleövervakning kan verkställas m.m. regleras i 6 kap. 19 § LEK. Vi har i avsnitt 7 behandlat frågorna om vilka le- verantörer som ska vara skyldiga att lagra trafikuppgifter och på vilket sätt leverantörerna ska anpassa sin verksamhet för att utan dröjsmål kunna medverka vid verkställighet.

Det som nu ska övervägas är vilka krav som bör ställas så att rätt trafikuppgifter lagras med en teknik som innebär att uppgifterna är skyddade under lagringstiden men också när de förs över till de brottsbekämpande myndigheterna. Det är således inte frågan om en anpassning av systemen som tar sikte på verkställigheten av be- slut om hemlig teleövervakning utan vilka krav som bör ställas på att lagringen bl.a. sker med sådan teknisk kvalitet att de uppgifter som finns lagrade är säkrade för att kunna lämnas ut i den mån de efterfrågas av de brottsbekämpande myndigheterna.

Både skyddet för enskildas integritet och hänsynen till näringsli- vets affärsförhållanden kräver överväganden om hur de trafikupp- gifter som lagras av leverantörerna bör vara skyddade så att de inte kan ändras eller behandlas för andra ändamål än de avsedda genom obehörig eller olaglig åtkomst. Lagrade trafikuppgifter ska således inte kunna missbrukas genom att de stjäls, lämnas ut obehörigen eller sprids av misstag t.ex. på grund av tekniskt fel eller olyckshän- delse.

För att lagringen av trafikuppgifter ska ha den säkerhet som krävs för en hög tillit till systemet och lagringen utföras så att både integritetsskyddet och effektiviteten tillgodoses måste både det tekniska och organisatoriska skyddet vara tillräckligt, samtidigt som de rättsliga regler som blir tillämpliga om trafikuppgifter ändå skulle komma att spridas i strid mot lagen verkar tillräckligt avhål- lande och reparativa. En säker lagring av trafikuppgifter behöver

188

därför övervägas utifrån tekniska, administrativa, straffrättsliga, civilrättsliga och förvaltningsrättsliga utgångspunkter.

Vi kommer i det följande att analysera vilket skydd som nuva- rande regler innebär för lagrade trafikuppgifter och överväga beho- vet av nya regler. I detta avsnitt behandlar vi frågor som gäller kva- litet hos de lagrade uppgifterna och den tekniska säkerhet som krävs för att skydda uppgifterna. Det straff- och skadeståndsrätts- liga skyddet och tillsynsfrågor tas upp i avsnitt 9 och 10.

8.3Kraven på kvalitet och säkerhet

8.3.1Leverantörernas ansvar

Direktivet innehåller flera artiklar som syftar till en säker lagring. Det anges att lagrade trafikuppgifter ska vara av samma kvalitet och vara föremål för samma säkerhet och skydd som uppgifterna i nät- verket (artikel 7 a). Dessutom ska uppgifterna omfattas av lämpliga tekniska och organisatoriska åtgärder för att skyddas mot oavsikt- lig eller olaglig förstöring, oavsiktlig förlust eller oavsiktlig ändring, eller otillåten eller olaglig lagring av, behandling av, tillgång till eller avslöjande av uppgifterna (artikel 7 b). Uppgifterna ska också om- fattas av lämpliga tekniska och organisatoriska åtgärder för att sä- kerställa att endast särskilt bemyndigad personal får tillgång till lag- rade uppgifter (artikel 7 c).

En grundförutsättning för att syftet med lagring av trafikuppgif- ter ska uppnås är att rätt trafikuppgifter lagras med hjälp av en tek- nik som håller hög kvalitet och säkerhet. Det innebär att lagringen ska ske med minst samma kvalitet, säkerhet och skydd som uppgif- terna i nätverket. Tekniken måste vara konstruerad så att de upp- gifter som lagras inte kan ändras i systemet. Med en tillräckligt hög kvalitet i dessa avseenden tillgodoses direktivets krav på att lagrade trafikuppgifter ska vara korrekta och tillgängliga samtidigt som ett högt integritetsskydd för lagrade uppgifter uppnås.

Som vi har utformat våra förslag blir det leverantörerna som får ansvaret för att lagringen av trafikuppgifter är förenlig med de krav på kvalitet och säkerhet som direktivet ställer. Det innebär att leve- rantörerna måste ha en god kännedom om vilka trafikuppgifter som ska lagras, ha en tillräckligt stor lagringskapacitet, ha tekniska lösningar som innebär att lagrade trafikuppgifter har samma kvali-

189

tet som uppgifterna i nätverket och en driftsäkerhet som minimerar risken för att uppgifterna förstörs, förloras eller förvanskas.

För att systemet ska fungera och för att medborgarna ska kunna ha förtroende för att lagrade trafikuppgifter enbart behandlas när det är tillåtet och lämnas ut endast i de förhållandevis mindre antal fall där de används för att bekämpa allvarlig brottslighet, behövs det regler som tar sikte på risken för otillåten eller obehörig åt- komst. Det innebär att de lagrade trafikuppgifterna måste skyddas inte bara genom tekniska lösningar utan också genom organisato- riska och administrativa åtgärder som begränsar enskilda personers tillgång till uppgifterna. Primärt är skyddet således ett ansvar för leverantörerna. Ytterst blir det dock en fråga om ett straffrättsligt och skadeståndsrättsligt skydd för uppgifterna. Vi återkommer till de frågorna i avsnitt 9.

Både den tekniska utvecklingen och förändringar på marknaden för elektronisk kommunikation medför att leverantörernas åtgär- der för kvalitet och säkerhet hela tiden måste följas upp och defini- eras med bl.a. föreskrifter av olika slag. Vi redovisar i avsnitt 10.4 våra överväganden i fråga om vilken eller vilka myndigheter som bör ha tillsyn över att regelsystemet följs och hur tillsynen bör ut- formas.

8.3.2Nuvarande reglering

Enligt de regler som gäller i dag får trafikuppgifter i princip lagras endast i syfte att säkerställa att avtalsförhållandet mellan leverantör och kund fullgörs. I praktiken lagras uppgifter som behövs för att leverantören ska kunna få betalt av kunden. Det ligger därför i leve- rantörernas intressen att lagra just sådan information och att hålla en kvalitets- och säkerhetsnivå som svarar mot detta. Leverantö- rerna har också av konkurrensskäl ett starkt incitament att hålla en hög nivå på säkerhetsskyddet.

Regler om teknisk säkerhet finns i dag i 5 kap. 6 a § och 6 kap. 3 § LEK. Bestämmelsen i 5 kap. 6 a § LEK gäller driftsäkerheten i leverantörernas system. Av bestämmelsen framgår att den som till- handahåller allmänna kommunikationsnät eller allmänt tillgängliga elektroniska kommunikationstjänster ska se till att verksamheten uppfyller rimliga krav på god funktion och teknisk säkerhet samt har uthållighet och tillgänglighet vid extraordinära händelser i fredstid. Det innebär att systemen ska vara byggda så att störningar

190

i normal drift eller vid extraordinära händelser inte leder till oac- ceptabla avbrott eller andra problem med driften och att konse- kvenserna av inträffade avbrott eller driftstörningar minimeras. PTS har utfärdat allmänna råd i fråga om kravet på driftsäkerhet (PTSFS 2007:2). Av råden framgår att leverantörerna bör bedriva ett kontinuerligt och systematiskt säkerhetsarbete i vilket delmo- menten riskanalys, riskhantering, planering för avbrott och stör- ningar samt uppföljning av inträffade avbrott och störningar bör finnas. Råden innebär att leverantörerna ska ha en säkerhetspolicy och en säkerhetsorganisation etc. som garanterar en tillräcklig sä- kerhetsnivå.

Bestämmelsen i 6 kap. 3 § LEK gäller inte driftsäkerhet utan av- ser det integritetsskydd som ska upprätthållas. I bestämmelsen an- ges att den som tillhandahåller en allmänt tillgänglig elektronisk kommunikationstjänst ska vidta lämpliga åtgärder för att säkerställa att behandlade uppgifter skyddas. Åtgärderna ska vara ägnade att säkerställa en säkerhetsnivå som, med beaktande av tillgänglig tek- nik och kostnaderna för åtgärderna, är anpassad till risken för in- tegritetsintrång. Den som tillhandahåller ett allmänt kommunika- tionsnät ska vidta de åtgärder som är nödvändiga för att upprätthål- la samma skydd i nätet. Av förarbetena framgår inte närmare vilka åtgärder som ska vidtas (prop. 2002/03:110). I artikel 4.1 i direkti- vet om integritet och elektronisk kommunikation, som genomförs i 6 kap. 3 § LEK, anges att det är tekniska och organisatoriska åt- gärder som avses.

Uttrycket tekniska och organisatoriska åtgärder förekommer i 31 § PUL. Enligt den bestämmelsen ska den personuppgiftsansva- rige vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Åtgärderna ska åstad- komma en säkerhetsnivå som är lämplig med beaktande av de tek- niska möjligheter som finns, vad det skulle kosta att genomföra åtgärderna, de särskilda risker som finns med behandlingen av per- sonuppgifterna och hur pass känsliga de behandlade personuppgif- terna är.

Eftersom personuppgiftslagen är subsidiär till annan lagstiftning (2 § PUL) och 6 kap. 3 § LEK tar sikte på integritetsskyddet torde 31 § PUL inte vara direkt tillämplig för leverantörerna avseende hantering av trafikuppgifter (jfr 6 kap. 2 § LEK). För vår bedöm- ning av hur kravet på säkerhet bör bestämmas är det dock av intres- se hur lagstiftaren resonerade när personuppgiftslagen infördes. I förarbetena till personuppgiftslagen anges att uppräkningen är all-

191

mänt hållen och kortfattad men att den på ett bra sätt beskriver de överväganden som måste göras i fråga om säkerhetsåtgärder (prop. 1997/98:44 s. 92 och SOU 1997:39 s. 409 f.). Ett exempel på de särskilda risker som finns vid behandlingen av personuppgifter an- ges vara antalet personer som de behandlade uppgifterna avser. Det anges att skadorna givetvis kan bli mer omfattande när det är upp- gifter om många personer som behandlas på en gång och att en an- gripare kan vara beredd att lägga ned mer resurser på ett intrång om han på en gång kan komma åt uppgifter om många personer. Vidare anges att det väsentliga är att en lämplig säkerhetsnivå uppnås oav- sett om det sker genom tekniska eller organisatoriska åtgärder, dvs. målet är det viktiga och inte vilka medel som används för att nå dit, och att det alltid måste bli fråga om en avvägning för att åstad- komma en lämplig säkerhetsnivå. Enligt förarbetena ger de allmänt hållna reglerna inte tillräcklig vägledning i det enskilda fallet utan avsikten är att Datainspektionen ska meddela de närmare föreskrif- ter om säkerhetsåtgärder som behövs.

Datainspektionen har utfärdat allmänna råd, Säkerhet för per- sonuppgifter, som preciserar personuppgiftslagens krav på säkerhet vid behandling av personuppgifter. Av råden framgår bl.a. att en organisation med fungerande administrativa rutiner är väl så viktig som tekniska lösningar och att den bästa tekniken inte behöver an- vändas för att uppnå lämplig säkerhetsnivå om det skulle kosta för mycket. Vidare framgår av råden att tillträdeskontroll, behörig- hetskontroll och behandlingshistorik för viss tid bör finnas för att säkerställa att endast behörig personal får tillgång till uppgifterna.

PTS har inte utfärdat några motsvarande allmänna råd för mark- naden för elektronisk kommunikation.

8.3.3Leverantörernas nuvarande säkerhetsarbete

För vår bedömning av vilka tekniska och organisatoriska åtgärder som krävs för ett fullgott skydd är det nuvarande säkerhetsarbetet hos leverantörerna en bra utgångspunkt. De leverantörer som är representerade i utredningen har redovisat viss del av säkerhetsar- betet för oss. Redovisningen har dock av både konkurrensskäl och säkerhetsskäl inte kunnat beskriva säkerhetsarbetet i detalj.

Av de uppgifter vi har fått framgår att leverantörerna anser sig ha ett i stort sett väl utbyggt och fungerande säkerhetsarbete. Detta gäller särskilt de stora leverantörerna. En starkt bidragande orsak

192

till detta är konkurrensskäl. Kvalitet och säkerhet utgör i högsta grad konkurrensfaktorer i leverantörernas tävlan om kunder. Leve- rantörerna får snabb och tydlig återkoppling från kunderna om det förekommer brister. De trafikuppgifter som leverantörerna i dag lagrar har som huvudsyfte att vara ett underlag i deras affärsverk- samhet och framför allt för kunddebitering. Eftersom informatio- nen representerar stora ekonomiska värden för leverantörerna, är de tekniska systemen byggda för mycket hög datasäkerhet och till- förlitlighet. Leverantörernas arbete med säkerheten kan i detalj vara uppbyggd på lite olika sätt, men allt syftar till att eliminera yttre och inre påverkan på de tekniska systemen och informationen. Hos de små leverantörerna kan det finns mindre brister i säkerhetsarbe- tet. Den största anledningen till detta uppges vara okunskap.

Som en organisatorisk åtgärd till skydd för systemen har leve- rantörerna tagit fram olika säkerhetsföreskrifter som bl.a. beskriver hur och vilka som ska ha tillgång till systemen, hur säkerhetskopie- ring ska göras samt vilket skydd utrustningen och informationen ska ha.

Det tekniska skyddet innebär att leverantörerna har ett fysiskt skydd som tar sikte på att systemen ska vara skyddade mot stöld och förstörelse. Det kan vara fråga om t.ex. låsanordningar, larm, extra strömtillförsel och på annat sätt skyddade utrymmen. Det finns också ett IT-tekniskt säkerhetsarbete som tar sikte på säker- heten för både systemen i sig och säkerheten för den information som finns i systemen. Det tekniska skyddet är uppbyggt så att ing- et ska kunna förstöras, förvanskas eller stjälas. Konkret innebär det att man använder olika former av behörighetskontroll, åtkomst- kontroll, behandlingshistorik, loggar och kryptering av information m.m. Genom behörighetskontroller säkerställs att endast personer som behöver hantera trafikuppgifterna för tillåtna ändamål kan an- vända systemen. Obehörig åtkomst förhindras genom att inlogg- ningen av behörig personal sker i olika steg. Det innebär att använ- daren bara tillåts ett visst antal misslyckade inloggningsförsök in- nan han eller hon stängs ute. Systemen är särskilt anpassade för le- verantörernas behov och logiskt skilda från varandra. Systemen hanteras enligt en förvaltningsmodell och har en systemägare, en systemförvaltare och en systemadministratör. Systemägaren är kravställare och ytterst ansvarig för systemets funktion. System- förvaltaren sköter systemet enligt systemägarens krav och system- administratören sköter den dagliga hanteringen av systemet.

193

Säkerhetspolisen är en av de myndigheter som för sina utred- ningar begär ut uppgifter från leverantörerna. Säkerhetspolisens uppdrag är att förebygga och avslöja brott mot rikets säkerhet, be- kämpa terrorism och skydda den centrala statsledningen. När Sä- kerhetspolisen begär ut uppgifter som från säkerhetssynpunkt har betydelse för rikets säkerhet eller för skyddet mot terrorism ställs det särskilda krav på säkerhet hos leverantörerna så att uppgifterna behandlas på ett betryggande sätt. Detta sker med stöd av säker- hetsskyddslagen (1996:627). De krav som Säkerhetspolisen kan ställa är att en säkerhetsprövning ska göras innan en person genom anställning eller på något annat sätt deltar i en viss verksamhet hos leverantören. Prövningen enligt 11 § säkerhetsskyddslagen ska klarlägga om personen kan antas vara lojal mot de intressen som skyddas och i övrigt pålitlig från säkerhetssynpunkt. Säkerhets- prövningen enligt säkerhetsskyddslagen omfattar registerkontroll och under vissa förutsättningar särskild personutredning. De sä- kerhetskrav som ställs på leverantörerna vid verkställighet av hem- liga tvångsmedel preciseras sedan i ett avtal (säkerhetsskyddsavtal, s.k. SUA-avtal) som träffas mellan Säkerhetspolisen och leverantö- ren.

I de fall leverantörer har slutit säkerhetsskyddsavtal med Säker- hetspolisen sker som regel hanteringen av trafikuppgifter även till andra brottsbekämpande myndigheter i enlighet med innehållet i de avtalen. Det innebär att organisationen kring all hantering och ut- lämnande av uppgifter följer den säkerhetsnivå som säkerhets- skyddsavtalet ställer upp.

8.4Lagregleringen av säkerheten för lagrade trafikuppgifter m.m.

Förslag: I lagen om elektronisk kommunikation ska det föras in en bestämmelse som preciserar leverantörernas skyldighet att vidta särskilda tekniska och organisatoriska åtgärder för ett tillräckligt skydd vid behandlingen av lagrade trafikuppgifter.

Tillsynsmyndigheten får efter samråd med Rikspolisstyrelsen och Datainspektionen meddela de verkställighetsföreskrifter som behövs i frågor om säkerhet för trafikuppgifterna.

Bestämmelsen i 5 kap. 6 a § LEK och den tillsyn som PTS bedriver inom det området syftar till att allmänna kommunikationsnät och

194

allmänt tillgängliga elektroniska kommunikationstjänster ska upp- fylla rimliga krav på god funktion och teknisk säkerhet. Bestäm- melsen gäller inte enbart vid extraordinära händelser utan tillgodo- ser kravet på driftsäkerhet även vid andra driftavbrott. I de bedöm- ningar vi gör nedan utgår vi från att driften är säker.

Direktivet om lagring av trafikuppgifter anger att lagrade upp- gifter ska vara av samma kvalitet och vara föremål för samma sä- kerhet och skydd som uppgifterna i nätverket, att uppgifterna ska omfattas av lämpliga tekniska och organisatoriska åtgärder för att skyddas mot oavsiktlig eller olaglig förstöring, oavsiktlig förlust eller oavsiktlig ändring, eller otillåten eller olaglig lagring av, be- handling av, tillgång till eller avslöjande av uppgifterna, och att uppgifterna ska omfattas av lämpliga tekniska och organisatoriska åtgärder för att säkerställa att endast särskilt bemyndigad personal får tillgång till lagrade uppgifter (artikel 7 a–7 c).

Den nuvarande bestämmelsen i 6 kap. 3 § LEK tar sikte på ett grundskydd för behandlingen av trafikuppgifter. Bestämmelsen reglerar kraven på säkerhet för de uppgifter som får sparas enligt nuvarande regler, dvs. i princip endast de trafikuppgifter som be- hövs för att säkerställa att avtalsförhållandet mellan leverantör och kund fullgörs.

Den lagringsskyldighet som vi föreslår har ett helt annat syfte och ska åstadkomma att trafikuppgifter som sammanställs av en brottsbekämpande myndighet kan ge svar på frågorna om vem som kommunicerat med vem, när det skedde, var de som kommunice- rade med varandra befann sig och vilken typ av kommunikation som användes vid tillfället. Det innebär att lagringen av trafikupp- gifter för brottsbekämpningssyften blir både mer omfattande och mer integritetskänslig. Det medför att kravet på säkerhet bör vara högre för de trafikuppgifter som lagras enligt våra förslag och att nivån på den säkerhet som bör gälla för uppgifterna bör preciseras i lagen om elektronisk kommunikation.

Trafikuppgifter är ofta personuppgifter. Nivån på det skydd som bör finnas för trafikuppgifterna bör därför utformas med ut- gångspunkt i det skydd för personuppgifter som anges i person- uppgiftslagen. I den bestämmelse vi föreslår bör kravet på säkerhet för trafikuppgifterna uttryckas så att leverantörerna ska vidta de särskilda tekniska och organisatoriska åtgärder som är tillräckliga för att säkerställa att behandlade uppgifter skyddas. I detta ligger att uppgifterna ska vara tillförlitliga, ha tillräckligt hög kvalitet och ett tillräckligt skydd mot intrång och annan otillåten behandling.

195

I säkerheten och skyddet för personlig integritet ligger att leve- rantörerna ska känna till vilka trafikuppgifter som omfattas av lag- ringsskyldigheten och hur lagringen i övrigt ska utformas. Det lig- ger i tillsynsmyndighetens uppgift att informera om omfattningen av leverantörernas skyldigheter. Hur den säkerhet som uttrycks i lagen om elektronisk kommunikation mer preciserat bör uppnås beror bl.a. på den teknik de olika leverantörerna har och på teknik- utvecklingen. Det bör vara en uppgift för tillsynsmyndigheten att mot bakgrund av teknikutvecklingen och leverantörernas fortlö- pande säkerhetsarbete fastställa nivån på säkerheten genom före- skrifter. Föreskrifterna bör tas fram efter samråd med Rikspolissty- relsen och Datainspektionen. Den slutliga bedömningen av om de vidtagna åtgärderna är tillräckliga kommer att ske genom tillsyns- åtgärder i enskilda fall. Det är viktigt att framhålla att leverantörer- na är skyldiga att lagra trafikuppgifterna med den säkerhet som förutsätts redan när lagstiftningen träder i kraft. Vi återkommer till frågan om tillsynsmyndighetens befogenheter i avsnitt 10.5.

8.5Överföring av personuppgifter till annat land

Bedömning: Lagring av trafikuppgifter kan ske utanför Sveriges gränser. Personuppgiftslagens bestämmelser om förbud mot över- föring av personuppgifter till tredje land är tillräckliga för att upp- rätthålla integritetsskyddet.

Inom området för elektronisk kommunikation kan en och samma leverantör verka i flera länder. Det innebär att lagringen av trafik- uppgifter som har genererats i Sverige kan förläggas till ett annat land och att trafikuppgifter som har genererats i ett annat land kan lagras i Sverige. Enligt vårt förslag är en leverantör som har sådan verksamhet i Sverige som medför anmälningsskyldighet enligt 2 kap. 1 § LEK också lagringsskyldig. Även om lagringen förläggs utomlands gäller leverantörens alla skyldigheter enligt de bestäm- melser som anger hur lagringsskyldigheten ska fullgöras, t.ex. skyl- digheten som rör säkerheten för de lagrade trafikuppgifterna. Om en utländsk leverantör inte är anmälningspliktig för verksamhet i Sverige utan enbart förlägger sitt lager av trafikuppgifter här i lan- det gäller inte den svenska regleringen för lagring av trafikuppgif- ter. Däremot kan leverantörens hantering av uppgifterna i lagret komma att omfattas av t.ex. bestämmelserna i personuppgiftslagen

196

om hanteringen innebär behandling av sådana trafikuppgifter som är personuppgifter.

Även om en lagringsskyldig leverantör, som har lagret utom- lands, fullgör sina skyldigheter enligt svensk lag, kan lagringslan- dets regler om t.ex. tvångsmedel bli tillämpliga på uppgifterna i lag- ret. Huruvida uppgifter som finns i ett lager i ett annat land kan få spridning utöver vad som följer av svensk rätt beror på den rättsliga regleringen i landet där lagret finns. Det finns med andra ord inte någon garanti för att uppgifter som lagras i ett annat land inte an- vänds för andra ändamål än de som den svenska lagstiftningen medger utöver den garanti som ligger i att samtliga medlemsländer i EU har rättsregler för dataskydd m.m. som bygger på EG- direktiv. Säkerhetspolisen har pekat på att detta förhållande kan innebära att information som har stor betydelse för rikets säkerhet kan bli åtkomlig i andra länder.

Vi inser att det finns avsevärda komplikationer som gäller rikets säkerhet och också skyddet för enskildas integritet om trafikupp- gifter som har genererats här lagras i ett annat land. Samtidigt är ett av de grundläggande syftena bakom direktivet om lagring av trafik- uppgifter att slå vakt om den fria rörligheten inom området för elektronisk kommunikation mellan EU-länderna. I de länder där direktivet redan har införts har det inte enligt vad vi har fått uppgift om införts några begränsningar som gör att trafikuppgifter inte får lagras i ett annat medlemsland. Vi bedömer att direktivet om lag- ring av trafikuppgifter inte ger något utrymme för att begränsa le- verantörernas möjligheter att förlägga lagret av trafikuppgifter till ett annat EU-land.

Personuppgiftslagen innehåller bestämmelser som begränsar möjligheterna att förlägga lagringen av trafikuppgifter som är per- sonuppgifter till tredje land. Enligt 33 § PUL är det förbjudet att till tredje land (dvs. ett land som varken ingår i EU eller är anslutet till EES-samarbetet) föra över personuppgifter som är under be- handling eller att föra över uppgifterna för behandling i ett sådant land, om landet inte har en adekvat nivå för skyddet av personupp- gifterna. Frågan om en adekvat skyddsnivå föreligger ska bedömas med hänsyn till samtliga omständigheter som har samband med överföringen. Särskild vikt ska läggas vid uppgifternas art, ändamå- let med behandlingen, hur länge behandlingen ska pågå, ursprungs- landet, det slutliga bestämmelselandet och de regler som finns för behandlingen i det tredje landet.

197

Trots förbudet är det enligt 34 § PUL tillåtet att föra över per- sonuppgifter till tredje land, om den registrerade har gett sitt sam- tycke till överföringen eller om överföringen är nödvändig för att den registrerades rättigheter ska kunna tas till vara eller skyddas. Det är också tillåtet att föra över personuppgifter för användning enbart i en stat som har anslutit sig till Europarådets konvention om skydd för enskilda vid automatisk databehandling av person- uppgifter.

Regeringen eller den myndighet som regeringen bestämmer får enligt 35 § PUL meddela undantag från förbudet att föra över per- sonuppgifter till tredje land. Enligt samma bestämmelse får reger- ingen meddela föreskrifter om att överföring av personuppgifter till tredje land är tillåten, om överföringen regleras av ett avtal som ger tillräckliga garantier till ett skydd för de registrerades rättigheter.

Regeringen har föreskrivit att personuppgifter får föras över till tredje land om och i den utsträckning EG-kommissionen har kon- staterat att landet har en adekvat nivå för skyddet av personuppgif- ter. Vilka de länderna är anges i en bilaga till personuppgiftsförord- ningen. Vidare har regeringen bestämt att Datainspektionen får meddela beslut om undantag i enskilda fall om det finns tillträckliga garantier till skydd för de registrerades rättigheter (13 och 14 §§ personuppgiftsförordningen [1998:1191]). Information i frågan om överföring av uppgifter får ske kan lämnas av Datainspektionen.

Vi bedömer att personuppgiftslagens bestämmelser om förbud mot överföring av personuppgifter till tredje land är tillräckliga för att upprätthålla integritetsskyddet för den enskilde. Sammantaget innebär våra överväganden att vi inte ser att leverantörernas möj- ligheter att förlägga lagret utanför Sverige kan begränsas i förhål- lande till andra medlemsländer i EU eller länder ansluta till EES- avtalet och inte heller utöver vad som följer av bestämmelserna i 33 och 34 §§ PUL.

8.6Ansvaret vid verksamhetsövergång m.m.

Bedömning: Den som övertar en lagringsskyldig leverantörs verk- samhet, en konkursförvaltare eller en likvidator ska se till att lag- ringsskyldigheten fullgörs under den återstående lagringstiden.

En särskild fråga är vad som ska ske med de lagrade trafikuppgif- terna när en leverantörs verksamhet som omfattar lagringsskyldig-

198

het övergår till annan eller upphör. Även då måste lagringsskyldig- heten fullgöras. Det får inte bli så att de brottsbekämpande myn- digheterna står utan möjlighet att komma åt uppgifterna för att de exempelvis har utplånats före lagringstidens slut. Likaså måste t.ex. kraven på kvalitet och säkerhet för de lagrade trafikuppgifterna upprätthållas. Frågan är med andra ord viktig såväl ur ett brottsbe- kämpnings- som ett integritetsskyddsperspektiv och blir främst aktuell om en verksamhet övergår genom försäljning eller fusion, och om leverantören försätts i konkurs eller likvidation.

De bestämmelser vi föreslår innebär bl.a. att den lagringsskyldi- ge ska se till att trafikuppgifter lagras under ett år, att uppgifterna utplånas efter den tiden och att åtgärder vidtas för att säkerställa att de behandlade uppgifterna skyddas. Det följer av de regler vi före- slår att skyldigheterna rörande exempelvis lagringstid, utplånande och skyddsåtgärder övergår till den som övertar verksamheten om verksamheten även fortsättningsvis träffas av lagringsskyldigheten, dvs. om leverantören är anmälningspliktig enligt 2 kap. 1 § LEK. En konkurs eller likvidation innebär inte i sig att lagringsskyldighe- ten upphör. Den som under ett sådant förfarande företräder den lagringsskyldige, i första hand konkursförvaltaren respektive likvi- datorn, har att se till att skyldigheterna fullgörs under den återstå- ende lagringstiden, bl.a. att uppgifterna lagras under ett år och ut- plånas därefter. Både när verksamheten övergår och upphör kan lagringen fullgöras genom att någon anlitas för det ändamålet (se avsnitt 7.5). De nu angivna förhållandena följer av de regler som redan gäller och behöver inte regleras särskilt i lagen om elektro- nisk kommunikation.

199

9Det straff- och skadeståndsrättsliga skyddet

9.1Vår sammanfattande bedömning

•Lagringen av trafikuppgifter ger inte anledning att förändra några straff- eller skadeståndsrättsliga bestämmelser.

•Det kan övervägas om det behövs en bestämmelse om grovt dataintrång med en strängare straffskala.

9.2Direktivet om lagring av trafikuppgifter

I avsnitt 7.5 har vi föreslagit att leverantörerna ska få behandla de trafikuppgifter som lagras enligt vårt förslag endast för vissa klart angivna ändamål. Dit hör att uppgifterna får behandlas för att läm- nas ut efter beslut om hemlig teleövervakning eller enligt bestäm- melserna i lagen om elektronisk kommunikation, eller för att annan fullgör lagringen. Vi har i avsnitt 8 redovisat våra överväganden i fråga om den säkerhetsnivå som bör gälla för leverantörernas be- handling av trafikuppgifterna och deras ansvar för att vidta särskil- da tekniska och organisatoriska åtgärder för att säkerställa ett till- räckligt skydd vid behandlingen av lagrade trafikuppgifter.

För att skyddet mot integritetsintrång för enskilda ska vara till- räckligt starkt måste också de straff- och skadeståndsrättsliga reg- lerna verka avhållande samtidigt som de, om skador ändå inträffar, innebär en tillräcklig straffrättslig reaktion och ett skadestånds- rättsligt skydd för den som drabbas.

Direktivet om lagring av trafikuppgifter anger i artikel 13 att medlemsstaterna ska säkerställa att rättslig prövning, ansvar och sanktioner finns till skydd för uppgifterna. Medlemsstaterna ska särskilt vidta nödvändiga åtgärder för att säkerställa att förbjuden tillgång till eller överföring av lagrade uppgifter beläggs med sank-

201

tioner, inbegripet administrativa eller straffrättsliga sanktioner, som är effektiva, proportionerliga och avskräckande.

Straffbestämmelser som skyddar enskildas integritet finns i ett flertal författningar. Vad som främst är aktuellt att behandla i detta sammanhang är vissa regler i 4 och 20 kap. brottsbalken, i person- uppgiftslagen och i lagen (1990:409) om skydd för företagshemlig- heter.

Straffansvaret är personligt och innebär att endast fysiska per- soner som begått en straffbar handling kan dömas. Den lagrings- skyldighet vi föreslår ska fullgöras av den som är anmälningspliktig enligt lagen om elektronisk kommunikation. Det innebär att tra- fikuppgifter alltid kommer att lagras inom ramen för en närings- verksamhet. En otillåten behandling av trafikuppgifter kan därmed också bli att bedöma utifrån de sanktioner som kan åläggas närings- idkaren enligt reglerna om företagsbot och förverkande i 36 kap. brottsbalken.

De skadeståndsbestämmelser som kan bli aktuella vid lagring av trafikuppgifter finns i lagen om elektronisk kommunikation, per- sonuppgiftslagen, lagen om skydd för företagshemligheter och ska- deståndslagen (1972:207).

9.3Skyddet i de straff- och skadeståndsrättsliga bestämmelserna

9.3.1Straffrätten

Dataintrång m.m.

I 4 kap. brottsbalken finns bestämmelser om brott mot frihet och frid. Enligt 4 kap. 8 § brottsbalken är det straffbart som brytande av telehemlighet att olovligen bereda sig tillgång till ett telemedde- lande. Paragrafen skyddar med andra ord innehållet i ett telemedde- lande och inte trafikuppgifterna i sig. Den bestämmelsen blir alltså inte aktuell i detta sammanhang. Även 4 kap. 9 § brottbalken om intrång i förvar skyddar innehållet i ett meddelande från att någon olovligen tar del av det. Även om också annat än meddelanden skyddas bedömer vi att paragrafen inte blir aktuell i fråga om skyd- det av de lagrade trafikuppgifterna. Detsamma gäller olovlig avlyss- ning enligt 4 kap. 9 a § brottsbalken.

202

Ett förfarande som innebär att någon olovligen bereder sig till- gång till trafikuppgifter blir närmast att bedöma enligt 4 kap. 9 c § brottsbalken om dataintrång. Bestämmelsen lyder på följande sätt.

Den som i annat fall än som sägs i 8 och 9 §§ olovligen bere- der sig tillgång till en uppgift som är avsedd för automatise- rad behandling eller olovligen ändrar, utplånar, blockerar el- ler i register för in en sådan uppgift döms för dataintrång till böter eller fängelse i högst två år. Detsamma gäller den som olovligen genom någon annan liknande åtgärd allvarligt stör eller hindrar användningen av en sådan uppgift.

Alla uppgifter (fakta, information eller begrepp) som uttrycks i en för en dator anpassad och läsbar form omfattas av bestämmelsen, således även trafikuppgifter och oavsett om dessa innehåller per- sonuppgifter eller inte. Det har ingen betydelse var uppgifterna finns i systemet eller på vilket datamedium de finns. Även om själva tillgången till uppgiften är lovlig, är det straffbart att olovligen änd- ra, utplåna eller blockera eller i register föra in uppgift som är av- sedd för automatiserad behandling. Att blockera en uppgift innebär att uppgiften görs oåtkomlig eller att den hindras från att flöda. Exempel på det är inmatning eller spridning av olika typer av sabo- tageprogram (datavirus, trojaner eller logiska bomber). Med regis- ter avses information som på något sätt har systematiserats, som t.ex. tabeller, kataloger och filer. Däremot avses inte löpande text. Skyddet gäller oavsett om effekten av den olovliga förändringen är tillfällig eller bestående. Som framgår av bestämmelsens andra me- ning finns ett straffansvar även för den som olovligen genom lik- nande åtgärd som i första meningen allvarligt stör eller hindrar an- vändningen av en uppgift som är avsedd för automatiserad behand- ling. Det gäller exempelvis s.k. tillgänglighetsattacker eller överbe- lastningsattacker.

Bestämmelsen om dataintrång blir således tillämplig om någon utomstående olovligen vidtar åtgärder som innebär att han eller hon bereder sig tillgång till de lagrade trafikuppgifterna, ändrar i uppgifterna, förstör uppgifter eller för in uppgifter i leverantörens lager. Här bortser vi från de övriga brott som kan begås i sådana sammanhang, t.ex. skadegörelse enligt 12 kap. 1 § brottsbalken.

Vi har föreslagit att leverantörerna ska få behandla de lagrade trafikuppgifterna endast för att lämna ut dem enligt ett beslut om hemlig teleövervakning eller enligt lagen om elektronisk kommu-

203

nikation eller när annan anlitas för lagringen (se avsnitt 7.5). Det innebär att annan behandling är förbjuden. Av det följer att den hos leverantören som behandlar uppgifterna för andra ändamål olovli- gen bereder sig tillgång till uppgifterna. Förfarandet kan därmed bli att bedöma enligt bestämmelsen om dataintrång. Skulle det vara fråga om att någon hos leverantören ändrar i uppgifterna, förstör eller utplånar uppgifter eller för in uppgifter som inte ska finnas i lagret blir även detta förfarande att bedöma enligt bestämmelsen om dataintrång. Förfarandet kan också bli att bedöma enligt andra bestämmelser i brottsbalken, t.ex. bestämmelserna om egenmäktigt förfarande och skadegörelse i 8 kap. 8 § respektive 12 kap. 1 § brottsbalken.

Brott mot tystnadsplikten

Den personliga integriteten skyddas bl.a. genom regler om tyst- nadsplikt. Som framgår på flera ställen i betänkandet regleras tyst- nadsplikten i det allmännas verksamhet i sekretesslagen. När det gäller tillhandahållande av ett elektroniskt kommunikationsnät eller en elektronisk kommunikationstjänst regleras tystnadsplikten i 6 kap. 20 § LEK. Den bestämmelsen innebär att leverantörerna har tystnadsplikt i fråga om de trafikuppgifter som ska lagras enligt våra förslag. Bestämmelsen anger att den som i samband med till- handahållande av ett elektroniskt kommunikationsnät eller en elek- tronisk kommunikationstjänst har fått del av eller tillgång till upp- gift om abonnemang eller annan uppgift som angår ett särskilt elektroniskt meddelande inte obehörigen får föra vidare eller ut- nyttja det han har fått del av eller tillgång till. Straffskalan sträcker sig från böter till fängelse i ett år. Enligt 6 kap. 21 § LEK finns tystnadsplikt även för uppgift som hänför sig till användning av bl.a. hemlig teleövervakning.

Bestämmelserna om tystnadsplikt är straffsanktionerade enligt bestämmelsen i 20 kap. 3 § brottsbalken om brott mot tystnads- plikten. Enligt den bestämmelsen kan den som röjer uppgift som han är skyldig att hålla hemlig enligt lag eller annan författning eller enligt förordnande eller förbehåll som har meddelats med stöd av lag eller annan författning, eller olovligen utnyttjar en sådan hem- lighet, dömas för brott mot tystnadsplikten. Straffskalan för brott mot tystnadsplikten är böter eller fängelse i högst ett år. Om brot-

204

tet begås av oaktsamhet döms till böter. I ringa fall ska dock inte dömas till ansvar.

Skulle någon anställd hos de brottsbekämpande myndigheterna eller hos leverantören uppsåtligen eller av oaktsamhet bryta mot tystnadsplikten och föra vidare eller utnyttja trafikuppgifterna finns alltså ett skydd i bestämmelserna om tystnadsplikt. Tyst- nadsplikten träffar också andra aktörer, t.ex. den som på uppdrag av leverantören utför delar av tillhandahållandet av nätet eller tjäns- ten och den som leverantören har anlitat för att lagra uppgifterna (se avsnitt 2.3.2 och 7.5).

I sammanhanget bör också nämnas något om den meddelarfri- het som normalt gäller och som innebär att var och en har rätt att lämna även sekretessbelagd information för offentliggörande i bl.a. tryckt skrift. Meddelarfriheten är i vissa fall begränsad såvitt avser trafikuppgifter (se 1 kap. 1 § tredje stycket tryckfrihetsförordning- en och 1 kap. 2 § yttrandefrihetsgrundlagen). Av 16 kap. sekre- tesslagen framgår att meddelarfriheten inte innebär en rätt att läm- na information som omfattas av 5 kap. 1 § sekretesslagen och som avser uppgift om hemlig teleövervakning. Det framgår också att den som har tystnadsplikt enligt 6 kap. 20 och 21 §§ LEK inte har meddelarfrihet såvitt avser uppgift om innehållet i ett elektroniskt meddelande eller annan uppgift som angår ett särskilt sådant med- delande samt om hemlig teleövervakning.

Brott mot personuppgiftslagen

Många av de trafikuppgifter som vårt förslag omfattar är samtidigt personuppgifter, dvs. de kan direkt eller indirekt hänföras till en fysisk person som är i livet (3 §).

Straffbestämmelsen i personuppgiftslagen finns i 49 §. Enligt den bestämmelsen är det straffbart att uppsåtligen eller av oakt- samhet bl.a. lämna osann uppgift i information till den som regi- strerats och i anmälan eller information till tillsynsmyndigheten, att behandla integritetskänsliga personuppgifter i strid med person- uppgiftslagens bestämmelser och att lämna ut personuppgifter och integritetskänsliga uppgifter till tredje land i strid med lagen. Straffskalan för brott mot personuppgiftslagen är böter eller fäng- else i högst sex månader, eller om brottet är grovt, fängelse i högst två år. I ringa fall döms inte till ansvar.

205

Det är med andra ord straffbart att behandla trafikuppgifter som är integritetskänsliga personuppgifter i strid med personuppgiftsla- gen och att föra över trafikuppgifter som är personuppgifter till tredje land om landet inte har en adekvat skyddsnivå för behand- ling av uppgifterna (se även avsnitt 8.5).

Lagen om skydd för företagshemligheter

Lagen om skydd för företagshemligheter innehåller bestämmelser om straff för den som olovligen bereder sig tillgång till en företags- hemlighet eller som på annat sätt tar olovlig befattning med en fö- retagshemlighet. Med företagshemlighet förstås enligt lagen sådan information om affärs- eller driftförhållanden i en näringsidkares rörelse som näringsidkaren håller hemlig och vars röjande är ägnat att medföra skada för honom i konkurrenshänseende (1 §). Med vissa affärs- eller driftförhållanden avses information om affärshän- delser, både enskilda och av allmänt slag. Även information som kan hänföras till pågående drift eller produktion skyddas av lagen liksom information som rör konstruktions- och utvecklingsarbete (prop. 1987/88:155 s. 35).

Information om lagrade trafikuppgifter kan enligt vår bedöm- ning i vissa fall vara sådana företagshemligheter som skyddas av lagen. Den som i sådana fall uppsåtligen bereder sig olovlig tillgång till trafikuppgifterna kan dömas för företagsspioneri och den som anskaffar en företagshemlighet för olovlig befattning med före- tagshemlighet (4 §).

Företagsbot och förverkande

Företagsbot är en ekonomisk sanktion som under vissa förutsätt- ningar kan åläggas näringsidkare. Förverkande innebär att vinster eller ekonomiska fördelar som har uppkommit hos en näringsidka- re eller en enskild till följd av brott kan bli föremål för förverkande till staten enligt allmänna eller särskilda förverkanderegler.

Företagsbot och förverkande kan bli aktuellt t.ex. om leverantö- ren inte har vidtagit särskilda tekniska och organisatoriska åtgärder för att säkerställa ett tillräckligt skydd vid behandlingen av lagrade trafikuppgifter (se avsnitt 8.4). Enligt 36 kap. 7 § brottsbalken kan en näringsidkare åläggas företagsbot om brott har begåtts i utöv-

206

ningen av näringsverksamheten, om det för brottet är föreskrivet strängare straff än penningböter. Det krävs att näringsidkaren inte har gjort vad som skäligen kunnat krävas för att förebygga brotts- ligheten, eller att brottet har begåtts av antingen en person i ledan- de ställning eller en person som annars haft ett särskilt ansvar för tillsyn eller kontroll i verksamheten. Enligt 36 kap. 8 § brottsbalken ska företagsboten fastställas till lägst fem tusen kronor och högst tio miljoner kronor.

Om en enskild person gör sig skyldig till brott kan förverkande av vinster ske enligt 36 kap. 1 § brottsbalken. Det är framför allt det fall av förverkande som anges i 36 kap. 4 § brottsbalken som är intressant att beröra här. Har det till följd av ett brott som är be- gånget i utövning av näringsverksamhet uppkommit ekonomiska fördelar för näringsidkaren, ska värdet av fördelarna förklaras för- verkade om det inte är oskäligt.

Bestämmelserna om företagsbot och förverkande blir tillämpliga om trafikuppgifter behandlas på ett otillåtet sätt inom ramen för leverantörens verksamhet. Det innebär att den leverantör som dri- ver näringsverksamhet kan åläggas företagsbot och drabbas av för- verkande om någon anställd hos företaget behandlar lagrade trafik- uppgifter på ett otillåtet sätt. Om det är leverantören själv som har gjort sig skyldig till brott kan den samlade reaktionen på brottet bli ett personligt straffansvar, företagsbot och förverkande.

9.3.2Skadeståndsrätten

Lagen om elektronisk kommunikation och personuppgiftslagen

Som framgått tidigare är många av de trafikuppgifter som vårt för- slag omfattar samtidigt personuppgifter, dvs. de kan direkt eller indirekt hänföras till en fysisk person som är i livet (3 § PUL).

Lagen om elektronisk kommunikation är främst en näringsrätts- lig reglering som bl.a. syftar till att enskilda och myndigheter ska få tillgång till säkra och effektiva elektroniska kommunikationer. La- gen innehåller bestämmelser om integritetsskydd (6 kap. LEK) men ingen bestämmelse om skadestånd. Enligt 6 kap. 2 § andra stycket LEK gäller i stället personuppgiftslagens regler om ska- destånd vid behandling av personuppgifter enligt lagen om elektro- nisk kommunikation. Det innebär att skadeståndsbestämmelsen i personuppgiftslagen ska tillämpas när trafikuppgifter som är per-

207

sonuppgifter behandlas i strid med bestämmelserna i lagen om elektronisk kommunikation. Vid felaktig behandling av trafikupp- gifter som inte är personuppgifter blir i stället skadeståndsreglerna i lagen om skydd för företagshemligheter och skadeståndslagen till- lämpliga.

Enligt skadeståndsregeln i 48 § PUL ska den registrerade få er- sättning för sådan skada eller kränkning av den personliga integrite- ten som en behandling av personuppgifter i strid med personupp- giftslagen har orsakat. Därutöver ska eventuell personskada, sak- skada och ren förmögenhetsskada (ekonomisk skada utan samband med person- eller sakskada) ersättas. Skadeståndsansvaret är i prin- cip strikt. Om den personuppgiftsansvarige visar att felet inte be- rodde på honom eller henne kan ersättningsskyldigheten dock jämkas till ett skäligt belopp. Bestämmelserna om skadestånd i per- sonuppgiftslagen har karaktären av specialbestämmelse som tar över de allmänna skadeståndsreglerna i skadeståndslagen.

Otillåten eller felaktig behandling av trafikuppgifter som är per- sonuppgifter kan grunda skadeståndsskyldighet för leverantören enligt personuppgiftslagen, om förfarandet strider mot de grund- läggande kraven för behandling av personuppgifter enligt 9 § PUL. Enligt den bestämmelsen får personuppgifter samlas in bara för särskilda, uttryckligen angivna och berättigade ändamål och de får inte behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in. Leverantören kan bli skadestånds- skyldig för lagring eller annan behandling som strider mot person- uppgiftslagen. Av 9 § PUL följer att leverantörens skyldighet att se till att de personuppgifter som behandlas är riktiga, och att uppgif- terna inte lagras under längre tid än vad som är tillåtet, är ska- deståndssanktionerad. När det gäller bevarande av uppgifter inne- håller lagen om elektronisk kommunikation sedan tidigare särskilda bestämmelser om bl.a. utplåning och avidentifiering. Att behandla uppgifter i strid med dessa regler eller i strid med de bestämmelser om lagring av trafikuppgifter som vi nu föreslår kan därmed grunda skadeståndsskyldighet enligt personuppgiftslagen. För att kunna undvika skadeståndsskyldighet måste leverantören således ha en hög kvalitet i sin lagring och utplåna uppgifterna i enlighet med vårt förslag, dvs. omedelbart vid lagringstidens slut.

208

Lagen om skydd för företagshemligheter

Lagen om skydd för företagshemligheter innehåller ett flertal be- stämmelser om skadestånd. Bl.a. ska den som gör sig skyldig till företagsspioneri eller olovlig befattning med företagshemlighet er- sätta den skada som uppkommer genom brottet eller genom att företagshemligheten obehörigen utnyttjas eller röjs (5 §). Ska- destånd kan också dömas ut om någon uppsåtligen eller av oakt- samhet utnyttjar eller röjer en företagshemlighet som han i förtro- ende fått del av i samband med en affärsförbindelse (6 §). Detsam- ma gäller en anställd som i vissa fall utnyttjar eller röjer en före- tagshemlighet hos arbetsgivaren som den anställde fått del av i sin anställning (7 §). Den som uppsåtligen eller av oaktsamhet utnytt- jar eller röjer en företagshemlighet som angripits kan bli ska- deståndsskyldig om han insett eller bort inse detta (8 §).

Skadeståndslagen

De allmänna reglerna i skadeståndslagen blir tillämpliga i den ut- sträckning det saknas andra regler. Skadeståndslagen är i första hand avsedd för s.k. utomobligatoriska förhållanden, således när det saknas avtal mellan skadevållaren och den skadelidande. För det fall t.ex. personuppgiftslagens bestämmelser eller skadeståndsreg- lerna i lagen om företagshemligheter inte ger rätt till ersättning kan alltså skadeståndslagen träda in.

I 2 kap. regleras skadeståndsansvaret för olika typer av skador. Har någon av uppsåt eller oaktsamhet orsakat en person- eller sak- skada ska den ersättas. En ren förmögenhetsskada ska ersättas om den orsakas genom brott (2 kap. 1 och 2 §§). Likaså ska den som allvarligt kränker någon genom brott som innefattar ett angrepp mot person, frihet eller frid ersätta den skada som kränkningen in- nebär (2 kap. 3 §). Ersättning för kränkning kan som framgår inte utgå vid alla brott utan är begränsad till brott som utgör ett an- grepp på den skadelidandes personliga integritet.

Kränkningsersättning enligt skadeståndslagen kan bli aktuell vid dataintrång om inte skadestånd utgår enligt bestämmelser i annan lag. Även brott mot tystnadsplikten kan ge rätt till kränkningser- sättning enligt skadeståndslagen.

Skadeståndslagen innehåller även regler om fördelning av ska- deståndsansvar mellan arbetsgivare och arbetstagare, grunderna för

209

beräkningen av skadeståndet, jämkning och ansvaret vid flera ska- devållare.

9.4Vår bedömning

Bedömning: Lagringen av trafikuppgifter ger inte anledning att förändra några straff- eller skadeståndsrättsliga bestämmelser.

Det kan övervägas om det behövs en bestämmelse om grovt da- taintrång med en strängare straffskala.

De straff- och skadeståndsrättsliga regler som vi har beskrivit inne- bär sammantaget ett skydd både för själva trafikuppgifterna och för enskilda som skadas om uppgifterna hanteras på ett otillåtet sätt.

Även om den nuvarande lagringen av trafikuppgifter främst sker för faktureringsändamål är uppgifterna i flera fall desamma och i många fall lika integritetskänsliga som de trafikuppgifter som kommer att lagras enligt vårt förslag. Skillnaden blir främst att mängden lagrade trafikuppgifter kommer att öka och att många fler typer av uppgifter kommer att lagras. Dessutom kommer lagringen generellt sett att pågå under längre tid än tidigare. Det är mot bak- grund av den skillnaden som vi ska överväga om riskerna för integ- ritetsskador ökar så att det finns ett behov av att göra förändringar i de straff- och skadeståndsrättsliga regler som gäller i dag.

Enligt vår bedömning ligger den främsta risken för integritets- förluster liksom i dag i att trafikuppgifterna på ett otillåtet sätt, ge- nom uppsåtliga handlingar eller på grund av oaktsamhet, skulle spridas, förstöras eller förändras.

De straffrättsliga regler som redan gäller täcker en rad olika si- tuationer där integritetskänsliga uppgifter behandlas i offentlig och privat verksamhet. Enligt vår bedömning täcker bestämmelserna också de olika situationer där trafikuppgifter kan kommas åt på ett otillåtet sätt och missbrukas medvetet eller av oaktsamhet. Vi be- dömer att det inte finns något behov av någon ytterligare straff- rättslig reglering som tar sikte på att skydda just lagrade trafikupp- gifter.

En fråga som dock kan övervägas är om straffskalan i bestäm- melsen om dataintrång är tillräcklig. Mot bakgrund av den mängd integritetskänsliga uppgifter som kommer att lagras hos leverantö- rerna kan ett dataintrång få vittgående följder för både enskilda, företag och viktiga samhällsintressen. Det kan därför diskuteras om

210

straffskalan är tillräckligt sträng för att en adekvat påföljd ska kun- na dömas ut vid grövre brott. Det innebär att en bestämmelse om grovt dataintrång med en strängare straffskala skulle behöva över- vägas. Ett sådant övervägande bör dock inte göras enbart utifrån behovet av ett tillräckligt straffrättsligt skydd för lagrade trafik- uppgifter utan frågan om bestämmelsen om dataintrång bör ändras bör göras i ett sammanhang där också andra behov och skäl för en lagändring som kan finnas kan övervägas. Vi föreslår därför inte någon ändring av den bestämmelsen.

Den straffrättsliga regleringen innebär också att företagsbot kan bli aktuellt t.ex. om leverantören inte har vidtagit tillräckliga åtgärder för att förebygga brott genom att exempelvis vidta särskil- da tekniska och organisatoriska åtgärder för att säkerställa ett till- räckligt skydd vid behandlingen av lagrade trafikuppgifter. Om ett brott har inneburit ekonomiska fördelar för leverantören kan vär- det eller del av värdet förverkas.

En enskild som skadas på grund av brott kan få skadestånd. Förutom att den enskilde kan få ersättning för person-, sak- eller ren förmögenhetsskada kan ersättning för kränkning dömas ut om skadan orsakas genom dataintrång eller brott mot tystnadsplikten. Om skada orsakas genom brott mot lagen om skydd för företags- hemligheter kan den leverantör som skadas få ersättning genom bestämmelser i den lagen.

Skadestånd enligt skadeståndslagen kan också dömas ut på grund av att trafikuppgifter har hanterats oaktsamt eller felaktigt utan att det har varit fråga om ett brott. Skadeståndslagen ger rätt till ersättning om skada har vållats genom oaktsamhet. I dessa fall blir det fråga om ersättning för person-, sak- eller ren förmögen- hetsskada. Personuppgiftslagen ger ett betydligt starkare skydd och ger rätt till skadestånd både för kränkning och person-, sak- och förmögenhetsskada om inte den personuppgiftsansvarige visar att felet inte berodde på honom eller henne.

Det straff- och skadeståndsrättsliga systemet kompletteras ge- nom vissa bestämmelser som innebär att en enskild som har an- språk på skadestånd kan få biträde. Om skadeståndsanspråket grundar sig på ett brott kan den skadelidande få sitt skadeståndsan- språk prövat i samband med åtalet och sin skadeståndstalan utförd av åklagare enligt bestämmelserna i 22 och 45 kap. RB. Enligt lagen (1988:609) om målsägandebiträde kan den som är målsägande avse- ende ett brott enligt 4 kap. brottsbalken under vissa förutsättningar få bistånd av ett målsägandebiträde. Målsägandebiträdet ska ta till-

211

vara målsägandens intressen och bistå med talan om enskilt anspråk om det inte utförs av åklagaren. I en civilrättslig skadeståndstvist om kränkning kan den enskilde också beviljas rättshjälp enligt be- stämmelserna i rättshjälpslagen (1996:1619).

Det straff- och skadeståndsrättsliga systemet kompletteras ock- så av tillsynsverksamheten. Tillsynen bör verka förebyggande så att förhållanden som gör brott möjliga eller medför risker för integri- teten på grund av oaktsamhet motverkas. Om olagligheter eller oaktsamheter ändå inträffat kan tillsynsmyndigheten i efterhand vidta åtgärder. Tillsynsmyndigheten har redan i dag flera befogen- heter i sin verksamhet, t.ex. kan myndigheten meddela föreläggan- de och förbud vid vite och ytterst besluta att leverantören ska upp- höra med verksamheten. Vi återkommer till tillsynsfrågorna i av- snitt 10.

Vi bedömer att de nuvarande straff- och skadeståndsrättsliga be- stämmelserna, som kompletteras av regler som ger enskilde rätt till biträde av åklagare eller annan juridisk hjälp och av tillsynsre- gleringen, inte behöver förändras i anledning av lagringen av trafik- uppgifter. De gällande reglerna ger således enligt vår mening ett skydd mot kränkningar av den personliga integriteten vid otillåten och oaktsam behandling av trafikuppgifter som svarar väl mot di- rektivets krav på sanktioner, inbegripet administrativa eller straff- rättsliga sanktioner, som är effektiva, proportionerliga och av- skräckande.

212

10 Tillsyn

10.1Sammanfattning av våra förslag och bedömningar

•Post- och telestyrelsen ska ha tillsyn över leverantörernas lagring av trafikuppgifter.

•Datainspektionens tillsyn enligt personuppgiftslagens be- stämmelser förändras inte på grund av våra förslag.

•Post- och telestyrelsens nuvarande tillsynsbefogenheter är ändamålsenliga och tillräckliga.

10.2Direktivet om lagring av trafikuppgifter

Våra förslag innebär att leverantörerna får ansvaret för att de tra- fikuppgifter som lagras är korrekta och att de är skyddade mot otil- låten eller oaktsam behandling och spridning. Det innebär att de som har skyldigheten att lagra också har ett särskilt ansvar för sy- stemets effektivitet, kvalitet och säkerhet. Leverantörernas ansvar för lagringen av trafikuppgifter behöver, inte minst mot bakgrund av den snabba teknikutvecklingen, preciseras och definieras. Det är också viktigt utifrån medborgarnas krav på skydd för den enskildes integritet och deras förväntningar på effektivitet i brottsbekämp- ningen att systemet följs upp genom en fortlöpande kontroll och tillsyn. Detta fordrar en aktiv tillsynsverksamhet med en tillsyns- myndighet som har god kännedom om regleringen av marknaden för elektronisk kommunikation och samtidigt insikter om hur tra- fikuppgifter får användas i brottsbekämpningen.

Enligt direktivet om lagring av trafikuppgifter ska medlemssta- terna utse en eller flera behöriga tillsynsmyndigheter som ska över- vaka att bestämmelserna om säkerhet för lagrade trafikuppgifter

213

efterlevs. Den eller de myndigheter som svarar för tillsynen ska vara helt oberoende (artikel 9).

I det följande redogör vi för hur gällande tillsynsreglering ser ut när det gäller trafikuppgifter och personuppgifter och för de över- väganden vi gör beträffande vilken eller vilka myndigheter som bör ha tillsyn över lagringen av trafikuppgifter samt vilka befogenheter tillsynsmyndigheten bör ha för att tillsynen ska leda till att trafik- uppgifterna lagras med hög kvalitet och säkerhet.

10.3Gällande tillsynsreglering

10.3.1Post- och telestyrelsen

PTS utövar tillsyn över verksamhet som bedrivs med stöd av lagen om elektronisk kommunikation. PTS har ett samlat ansvar inom området för elektronisk kommunikation och ska genom sin tillsyn främja tillgången till säkra och effektiva elektroniska kommunika- tioner enligt de mål som anges i lagen. Vidare ska PTS bl.a. främja en sund konkurrens, övervaka pris- och tjänsteutvecklingen samt följa utvecklingen inom området för elektronisk kommunikation, särskilt vad gäller säkerhet vid elektronisk informationshantering och uppkomsten av eventuella miljö- och hälsorisker. PTS ska prö- va frågor om tillstånd och skyldigheter, fastställa och analysera marknader samt pröva tvister enligt lagen om elektronisk kommu- nikation. PTS ska också vara delaktig i EU-arbetet och annan in- ternationell verksamhet (1, 3, 4 och 9 §§ förordningen [1997:401] med instruktion för Post- och telestyrelsen). Myndighetens till- synsområde är således relativt stort.

För att utöva tillsyn har PTS rätt att få tillträde till områden, lo- kaler och andra utrymmen där verksamhet som omfattas av lagen bedrivs. PTS kan efter yttrande från leverantören meddela föreläg- gande och förbud som får förenas med vite. Sker inte rättelse kan PTS besluta om återkallelse av tillstånd, ändring i tillståndsvillkor eller att en leverantörs verksamhet helt eller delvis ska upphöra. Om en överträdelse utgör ett allvarligt hot mot allmän ordning, allmän säkerhet eller folkhälsan eller kan befaras orsaka allvarliga ekonomiska eller operativa problem för tillhandahållare eller an- vändare av elektroniska kommunikationsnät eller elektroniska kommunikationstjänster får myndigheten, i avvaktan på att ärendet avgörs slutligt, omedelbart meddela förelägganden, återkalla till-

214

stånd eller ändra tillståndsvillkoren samt besluta att en verksamhet helt eller delvis ska upphöra (7 kap. 1-9 §§ LEK).

PTS får också meddela de verkställighetsföreskrifter som be- hövs för frågor om anmälan, ansökan, tillstånd, tillsyn och pröv- ning av tvister enligt lagen om elektronisk kommunikation (4 § förordningen om elektronisk kommunikation). Myndigheten har inte använt sig av möjligheten att meddela verkställighetsföreskrif- ter på nätsäkerhetsområdet.

Beslut som PTS fattar enligt lagen om elektronisk kommunika- tion eller enligt föreskrifter som meddelas med stöd av lagen får överklagas hos allmän förvaltningsdomstol (8 kap. 19 § LEK). Vid överklagande till kammarrätten krävs prövningstillstånd.

PTS har hittills inte haft något tillsynsärende avseende leveran- törernas lagring av trafikuppgifter. Redan år 2004 påbörjades arbe- tet med direktivet om lagring av trafikuppgifter inom EU, varför PTS bedömde det som olämpligt att i det läget påbörja en sådan tillsyn. PTS saknar därför t.ex. specifik kännedom om hur länge trafikuppgifterna i dagsläget lagras. Myndigheten har inte heller närmare kännedom om vilka uppgifter som leverantörerna lagrar.

PTS har inte sett något behov av att genom föreskrifter reglera vad som ska anses vara en trafikuppgift. Den bedömningen har gjorts mot bakgrund av de många förslag som finns på förändring av lagstiftningen inom området. PTS har inte heller tagit fram några allmänna råd avseende säkerhetsbestämmelser till skydd för integri- tetsintrång (6 kap. 3 § LEK).

PTS har också tillsyn när det gäller leverantörernas anpassning av systemen så att hemlig teleavlyssning och hemlig teleövervak- ning kan verkställas (6 kap. 19 § LEK). Eftersom myndigheten inte fått några indikationer på att det skulle finnas några brister har ing- en tillsyn, vare sig egeninitierad eller annan, vidtagits på senare tid.

10.3.2Datainspektionen

Datainspektionen svarar för tillsynen enligt personuppgiftslagen och personuppgiftsförordningen. Inspektionen har till uppgift att bl.a. verka för att människor skyddas mot att den personliga integ- riteten kränks genom behandling av personuppgifter. Datainspek- tionen ska följa och beskriva utvecklingen på IT-området när det gäller frågor som rör integritet och ny teknik. Inspektionen har också tillsyn över t.ex. de brottsbekämpande myndigheternas verk- samhet när det gäller behandling av personuppgifter.

215

Datainspektionen har i sin tillsynsverksamhet rätt att på begäran få tillgång till de personuppgifter som behandlas, upplysningar om och dokumentation av behandlingen av personuppgifter och om säkerheten vid behandlingen samt tillträde till sådana lokaler som har anknytning till behandlingen av personuppgifter. Om inspek- tionen efter en sådan begäran inte kan få tillräckligt underlag för att konstatera att behandlingen av personuppgifter är laglig, får myn- digheten vid vite förbjuda den personuppgiftsansvarige att behand- la personuppgifter på något annat sätt än genom att lagra dem. In- spektionen ska också, om den konstaterar att personuppgifter be- handlas eller kan komma att behandlas på ett olagligt sätt, genom påpekanden eller liknande förfaranden försöka åstadkomma rättel- se. Inspektionen ska i första hand försöka åstadkomma rättelse ge- nom att samtala med berörd organisation och den personuppgifts- ansvarige. Går det inte att få rättelse på sådant sätt eller är saken brådskande, får myndigheten vid vite förbjuda den personuppgifts- ansvarige att fortsätta att behandla personuppgifterna på annat sätt än genom att lagra dem (43-46 §§ PUL).

Datainspektionens beslut i tillsynsfrågor får överklagas till all- män förvaltningsdomstol. Vid överklagande till kammarrätten krävs prövningstillstånd.

Datainspektionens tillsyn av vilka tekniska och organisatoriska säkerhetsåtgärder som den personuppgiftsansvarige vidtar för att skydda personuppgifter sker utifrån den avvägning som ska göras mellan de tekniska möjligheter som finns, kostnaderna för att genomföra åtgärderna, de särskilda risker som finns med behand- lingen av personuppgifterna och hur pass känsliga uppgifterna är. Det medför att utrymmet för generella föreskrifter om vilka säker- hetsåtgärder som bör vidtas är mindre och att tillsynen i stället in- nebär att Datainspektionen i enskilda fall avgör om vidtagna åtgär- der är tillräckliga med beaktande av den lämplighetsavvägning som ska göras. Om Datainspektionen konstaterar att det föreligger bris- ter brukar det räcka med att bristerna påtalas med en uppmaning till den personuppgiftsansvarige att vidta rättelse. Ett föreläggande kan avse vilka konkreta åtgärder som ska vidtas. Det är dock ovan- ligt att inspektionen utnyttjar sin formella möjlighet att besluta om vilka tekniska och organisatoriska säkerhetsåtgärder som den per- sonuppgiftsansvarige ska vidta.

Behandling av personuppgifter som innebär särskilda risker för otillbörligt intrång i den personliga integriteten ska anmälas för förhandskontroll till Datainspektionen (41 § PUL). I dessa fall har

216

myndigheten emellanåt använt sig av möjligheten att i förväg fatta beslut om vilka säkerhetsåtgärder som ska vidtas.

Om personuppgifter behandlas på ett olagligt sätt kan Datain- spektionen begära att länsrätten förordnar om att personuppgifter- na utplånas (47 § PUL).

Datainspektionen har hittills inte behövt använda sig av möjlig- heten att förena ett föreläggande om rättelse med vite för att åstad- komma rättelse. Inte heller har det förekommit något fall där in- spektionen behövt vända sig till länsrätt med en begäran om att uppgifter ska förstöras. Inspektionen har polisanmält olaglig be- handling av personuppgifter men det förekommer inte ofta. I de fall inspektionen har gjort en polisanmälan har det vanligtvis hand- lat om grova integritetskränkningar på Internet som omfattat också andra brott än brott enligt personuppgiftslagen.

10.4Tillsynsmyndighet för lagringen

Förslag: Post- och telestyrelsen ska ha tillsyn över leverantörernas lagring av trafikuppgifter.

Datainspektionens tillsyn enligt personuppgiftslagens bestäm- melser förändras inte på grund av våra förslag.

Enligt direktivet om lagring av trafikuppgifter ska en eller flera of- fentliga myndigheter utses för att ansvara för att inom landets ter- ritorium övervaka att de bestämmelser som genomför direktivet i fråga om uppgiftsskydd och datasäkerhet efterlevs.

Det är PTS som utövar tillsyn över verksamhet enligt lagen om elektronisk kommunikation och som således har tillsyn över leve- rantörernas verksamhet i dag, bl.a. i fråga om hur trafikuppgifter behandlas.

Datainspektionen har tillsyn över personuppgiftslagens tillämp- ning. Det innebär att Datainspektionen har tillsyn över både myn- digheter och näringsverksamheter när det gäller behandling av per- sonuppgifter.

En viktig utgångspunkt vid bedömningen av vilken eller vilka myndigheter som bör ha tillsynen över lagringen av trafikuppgifter är givetvis den ordning för tillsynen som gäller i dag. Under vårt arbete har det inte framkommit något behov av ett särskilt tillsyns- organ som specifikt skulle utöva tillsyn i fråga om lagring av trafik- uppgifter.

217

Vi föreslår att regleringen avseende lagring av trafikuppgifter ska tas in i lagen om elektronisk kommunikation. Frågan blir då om PTS ska ha tillsynsuppgiften även rörande den lagringsskyldig- het vi föreslår. För att tillsynen ska bli effektiv kräver det att till- synsmyndigheten har kunskap om vilka leverantörer som omfattas av skyldigheten att lagra trafikuppgifter och den verksamhet de an- nars bedriver. PTS är den myndighet som bäst besitter den kunska- pen. PTS har också tillsynsansvar enligt säkerhetsskyddslagen. Det innebär att PTS är den myndighet som ska kontrollera säkerhets- skyddet hos de leverantörer som ingått säkerhetsskyddsavtal (SUA-avtal) med Säkerhetspolisen.

Mot bakgrund av att lagrade trafikuppgifter i många fall är just personuppgifter, skulle det i och för sig kunna övervägas om Data- inspektionen ska ha tillsynsansvaret för lagringen. En del av de lag- rade uppgifterna kommer dock inte att vara personuppgifter och således en ”främmande” tillsynsuppgift för Datainspektionen. Det framstår inte heller som särskilt effektivt att Datainspektionen som har en generell tillsynsuppgift på personuppgiftsområdet skulle ha tillsyn över ett visst område som gäller marknaden för elektronisk kommunikation när det finns en annan myndighet, PTS, som har tillsynsansvaret i övrigt på detta område.

Vi bedömer att den mest lämpliga ordningen blir att PTS, i en- lighet med det tillsynsuppdrag myndigheten redan har, utövar till- synen över den lagring av trafikuppgifter som följer av våra förslag. Det betyder inte att Datainspektionens uppgift att utöva tillsyn över personuppgiftslagens tillämpning skulle förändras i förhållan- de till vad som gäller i dag. Det innebär att de båda myndigheternas tillsynsverksamheter delvis kan komma att överlappa varandra. Hur tillsynen i praktiken ska utövas i dessa fall bör, liksom hittills, lösas genom samråd mellan Datainspektionen och PTS.

10.5Tillsynsmyndighetens befogenheter

Bedömning: Post- och telestyrelsens nuvarande tillsynsbefogenhe- ter är ändamålsenliga och tillräckliga.

Liksom när det gäller den tillsyn som PTS i dag bedriver är det en grundläggande förutsättning för en fungerande tillsyn att initiativ och beslut är väl underbyggda. Därför är det av vikt att tillsyns- myndigheten kan begära in de upplysningar och handlingar som är av intresse för tillsynen. Tillsynsmyndigheten ska ha möjlighet att

218

förelägga de leverantörer som är lagringsskyldiga att tillhandahålla sådan information. Myndigheten ska vid behov kunna förena före- lägganden med vite (7 kap. 3 § LEK).

Myndigheten kan också behöva besluta om tillträde till områ- den, lokaler och andra utrymmen där verksamhet som omfattas av lagringsskyldigheten bedrivs. Myndigheten ska också ha rätt att begära verkställighet hos kronofogdemyndigheten av beslut (7 kap. 2 § LEK).

Utgångspunkten i PTS nuvarande tillsyn är att det ska vara en god kommunikation mellan tillsynsmyndigheten och leverantören så att myndighetens påpekanden om behov av ändringar efterföljs utan att de påtryckningsmedel som myndigheten har till sitt förfo- gande behöver användas. Därför ska även fortsättningsvis PTS, när myndigheten misstänker att en leverantör inte efterlever sina skyl- digheter, ha möjlighet att underrätta leverantören om detta och ge denne möjlighet att yttra sig. Först därefter bör PTS meddela de förelägganden eller förbud som behövs för att en rättelse ska ske (7 kap. 4 och 5 §§ LEK). Förelägganden och förbud kan förenas med vite. PTS kan också behöva besluta att en verksamhet ska upphöra (7 kap. 5 § LEK). Det är också väsentligt att PTS kan meddela omedelbara provisoriska åtgärder (7 kap. 8 § LEK). Beslut som fattas enligt lagen om elektronisk kommunikation gäller ome- delbart, om inte annat har bestämts (8 kap. 22 § LEK). Domstolen har möjlighet att i stället inhibera beslut.

Enligt vår bedömning är de tillsynsbestämmelser som redan finns i lagen om elektronisk kommunikation ändamålsenligt ut- formade och tillräckliga även för lagringen av trafikuppgifter.

Avslutningsvis ska nämnas att vi i avsnitt 8.4, 13.8.4 och 7.2.3 föreslår att PTS ska få meddela föreskrifter rörande säkerhet och ersättning och medge undantag från lagringsskyldigheten.

219

11Myndigheternas tillgång till trafikuppgifter

11.1Vår sammanfattande bedömning

Bedömning: Lagringen av trafikuppgifter ger inte anledning att förändra bestämmelserna om hemlig teleövervakning respektive utlämnande enligt lagen om elektronisk kommunikation.

11.2Vårt uppdrag

Enligt våra direktiv är utgångspunkten för vårt arbete att de förut- sättningar som gäller i dag för de brottsbekämpande myndigheter- nas tillgång till trafikuppgifter ska gälla även för de ytterligare tra- fikuppgifter som kommer att lagras till följd av direktivet.

Syftet med lagringen av trafikuppgifter är enligt direktivet att uppgifterna ska finnas tillgängliga för att kunna lämnas ut och an- vändas vid misstanke om allvarlig brottslighet. Direktivet reglerar vilka uppgifter som ska lagras, hur länge lagringen ska pågå samt frågor om skydd för uppgifterna och tillsyn. Direktivet reglerar däremot inte under vilka förutsättningar som trafikuppgifterna ska kunna lämnas ut till de brottsbekämpande myndigheterna. Förut- sättningarna för utlämnande är i stället en fråga för nationell rätt.

I skäl 25 i ingressen i direktivet erinras om att frågor om tillgång till de uppgifter som lagras av nationella myndigheter faller utanför tillämpningsområdet för de europeiska gemenskapernas lagstift- ning och om att de nationella reglerna ska respektera de grund- läggande rättigheterna i Europakonventionen. Vidare anges bl.a. följande i fråga om de bestämmelser som ger de brottsbekämpande myndigheterna tillgång till trafikuppgifter: ”Enligt den tolkning Europeiska domstolen för de mänskliga rättigheterna gjort av arti- kel 8 i Europeiska konventionen om skydd för de mänskliga rättig-

221

heterna och de grundläggande friheterna måste offentliga myndig- heters intrång i rätten till privatliv stå i förhållande till vad som är nödvändigt och proportionerligt och därför tjäna närmare angivna, tydliga och legitima syften samt utövas på ett sätt som är rimligt och relevant och som inte är överdrivet i förhållande till syftet med intrånget.”

Vi ska enligt våra direktiv analysera om hänvisningen i direktivet om lagring av trafikuppgifter till Europakonventionen bör medföra ändringar i de förutsättningar som gäller för de brottsbekämpande myndigheternas tillgång till trafikuppgifter i ett enskilt ärende. En- ligt ett uttalande från rådet till artikel 1 ska medlemsstaterna ta ”vederbörlig hänsyn” till de brott som förtecknas i den lista som finns i artikel 2 i rambeslutet om en europeisk arresteringsorder och överlämnande mellan medlemsstaterna (2002/584/RIF). Vi ska pröva om det mot bakgrund av den utvidgade lagring som blir följ- den av våra förslag finns anledning att ändra bestämmelserna i rät- tegångsbalken och i lagen om elektronisk kommunikation om ut- lämnande av trafikuppgifter. Skulle vi finna att direktivets fokus på allvarlig brottslighet och den koppling som görs till den lista över brott som finns i det nämnda rambeslutet motiverar lagändringar i detta avseende, får vi enligt direktiven föreslå nödvändiga föränd- ringar.

11.3Förutsättningarna för tillgång till trafikuppgifter

Direktivet om lagring av trafikuppgifter innebär inte att de brotts- bekämpande myndigheterna ska få fri tillgång till de uppgifter som lagras. Direktivet reglerar inte alls i vilka fall som myndigheterna ska ha möjlighet att få del av trafikuppgifterna. Direktivets syfte är i stället att se till att, när förutsättningarna finns enligt nationell lagstiftning att lämna ut uppgifter, uppgifterna är ”säkrade” för de brottsbekämpande ändamålen. Syftet med direktivet är alltså att det i fortsättningen inte ska vara en slump beroende på t.ex. den en- skilde leverantörens faktureringsrutiner om trafikuppgifterna finns tillgängliga och kan lämnas ut vid utredningar av grövre brott.

Våra förslag om lagringsskyldigheten påverkar inte förutsätt- ningarna för de brottsbekämpande myndigheterna att få trafikupp- gifter från leverantörerna med stöd av rättegångsbalken och lagen om elektronisk kommunikation såsom de bestämmelserna är ut- formade i dagsläget.

222

Förutsättningarna för hemlig teleövervakning enligt 27 kap. 19- 21 §§ RB är följande.

1.Det ska finnas en skäligen misstänkt person.

2.Misstanken ska röra

a)brott för vilket inte är föreskrivet lindrigare straff än fängelse i sex månader (även anstiftan och medhjälp),

b)dataintrång, barnpornografibrott som inte är ringa, narkoti- kabrott eller narkotikasmuggling, eller

c)försök, förberedelse eller stämpling till brott under a) och b).

3.Åtgärden ska vara av synnerlig vikt för utredningen.

4.Åtgärden får avse uppgifter om telemeddelanden som befordras eller har befordrats till eller från teleadresser med viss anknytning till den misstänkte.

5.Åtgärden ska beslutas av domstol.

Förutsättningarna för att få ut trafikuppgifter enligt 6 kap. 22 § första stycket 3 LEK är följande (i jämförelse med rättegångsbal- ken).

1.Det behöver inte finnas en skäligen misstänkt person.

2.Det ska vara fråga om brott för vilket inte är föreskrivet lindriga- re straff än två års fängelse (även anstiftan och medhjälp).

3.Åtgärden behöver inte vara av synnerlig vikt för utredningen.

4.Åtgärden är inte begränsad till vissa teleadresser men uppgiften ska angå ett särskilt elektroniskt meddelande.

5.Åtgärden beslutas av den brottsbekämpande myndigheten.

Det ska också nämnas att förutsättningarna för att få ut trafik- uppgifter i form av uppgift om abonnemang (”kataloguppgifter”) enligt 6 kap. 22 § första stycket 2 LEK är att fängelse är föreskrivet för brottet och det kan föranleda annan påföljd än böter i det en- skilda fallet, dvs. brottet ska vara så allvarligt att det ligger på fäng- elsenivå.

11.4Trafikuppgifter lämnas ut för allvarliga brott

För att hemlig teleövervakning ska få användas måste alltså det brott förundersökningen avser ha ett minimistraff på sex månaders fängelse i straffskalan. Det kan vara av värde att ge några exempel på vilka brottstyper som faller under den kategorin. Det rör sig om mord, dråp, grov misshandel, vållande till annans död (enbart grovt brott), människorov, människohandel, olaga frihetsberövande (som inte är mindre grovt), olaga tvång (enbart grovt brott), grov fridskränkning/kvinnofridskränkning, olaga hot (enbart grovt

223

brott), våldtäkt (som inte är mindre grov), grovt sexuellt tvång, grovt sexuellt utnyttjande av person i beroendeställning, våldtäkt mot barn, grovt sexuellt övergrepp mot barn, grovt koppleri, grov stöld, rån, tillgrepp av fortskaffningsmedel (enbart grovt brott), grovt bedrägeri, utpressning (enbart grovt brott), ocker (enbart grovt brott), häleri (enbart grovt brott), penninghäleri (enbart grovt brott), svindleri (enbart grovt brott), grov förskingring, tro- löshet mot huvudman (enbart grovt brott), olovligt brukande (en- bart grovt brott), grov oredlighet mot borgenärer, grovt bokfö- ringsbrott, mordbrand, allmänfarlig ödeläggelse, grovt sabotage, sjö- eller luftfartssabotage (enbart grovt brott), grov urkundsför- falskning, penningförfalskning (enbart grovt brott), grovt barn- pornografibrott, övergrepp i rättssak (enbart grovt brott), grovt tjänstefel, bestickning/mutbrott (enbart grova brott), grovt narko- tikabrott, grovt skattebrott, grovt dopningsbrott, brott mot alko- hollagen (enbart grovt brott), grovt vapenbrott, grovt miljöbrott, grovt artskyddsbrott, grov smuggling, grov narkotikasmuggling, grovt tullbrott, terroristbrott, grovt insiderbrott och grov männi- skosmuggling. Hemlig teleövervakning får också användas vid data- intrång, barnpornografibrott, som inte är att anses som ringa, nar- kotikabrott och narkotikasmuggling.

För att de brottsbekämpande myndigheterna ska få tillgång till annat än rena ”kataloguppgifter” enligt lagen om elektronisk kom- munikation krävs, som framgick tidigare, att uppgiften gäller miss- tankar om brott med minst två års fängelse i straffskalan. Exempel på sådana brott är mord, dråp, människorov, människohandel, våld- täkt, våldtäkt mot barn, grovt koppleri, grovt rån, mordbrand, all- mänfarlig ödeläggelse, grovt sabotage, sjö- och luftfartssabotage (enbart grovt brott), övergrepp i rättssak (enbart grovt brott), grovt narkotikabrott, grov narkotikasmuggling och terroristbrott.

Varje år lämnar regeringen en redovisning till riksdagen över till- lämpningen av hemlig teleavlyssning och hemlig teleövervakning. Regeringen får uppgifterna från Åklagarmyndigheten och Rikspo- lisstyrelsen. Den senaste redovisningen, som avser år 2005, gjordes i regeringens skrivelse 2006/07:28. Där framkommer bl.a. följande. Under år 2005 lämnades tillstånd till hemlig teleövervakning i 1 027 fall. I samtliga fall där hemlig teleavlyssning beviljades under året (833 fall) hade domstolen samtidigt gett tillstånd till hemlig tele- övervakning. I 194 fall hade tillstånd meddelats till enbart hemlig teleövervakning. I skrivelsen ger regeringen exempel på vid vilka brott hemlig teleövervakning användes. De brott som nämns är mord, dråp, grov misshandel, människorov, människohandel, olaga

224

hot (grovt brott), grov våldtäkt, grovt koppleri, grov stöld, grovt rån, tillgrepp av fortskaffningsmedel (grovt brott), grovt bedrägeri, utpressning (grovt brott), häleri (grovt brott), grovt bokförings- brott, grov mordbrand, allmänfarlig ödeläggelse, övergrepp i rätts- sak (grovt brott), grovt narkotikabrott, grovt skattebrott, grovt vapenbrott, grova smugglingsbrott och grovt insiderbrott.

Även om inte regeringens skrivelse till riksdagen över tillämp- ningen av tvångsmedlen under år 2006 ännu har lämnats, har Åkla- garmyndigheten och Rikspolisstyrelsen redovisat uppgifterna till regeringen. Av dessa framgår bl.a. följande. Under år 2006 lämna- des tillstånd till hemlig teleövervakning i 1 119 fall. I samtliga fall där hemlig teleavlyssning beviljades under året (893 fall) hade dom- stolen samtidigt gett tillstånd till hemlig teleövervakning. I 226 fall hade tillstånd meddelats till enbart hemlig teleövervakning. I redo- visningen ger myndigheterna exempel på vid vilka brott hemlig te- leövervakning användes. Förutom de brott som nämns i föregående stycke anges även exempelvis olaga frihetsberövande, dataintrång, grovt tjänstefel och grovt dopningsbrott.

Det saknas statistik över de fall där de brottsbekämpande myn- digheterna begär ut uppgifter (”annan uppgift som angår ett sär- skilt elektroniskt meddelande”) med stöd av lagen om elektronisk kommunikation. Polisen uppskattar antalet till ca 8 000 under år 2006. Mot bakgrund av kravet i den lagen på att det ska vara fråga om utredning om brott med ett straffminimum på två års fängelse, kan man förutsätta att dessa fall gäller utredningar om mycket all- varlig brottslighet.

I artikel 1 i direktivet om lagring av trafikuppgifter anges att syftet med direktivet är att säkerställa att de uppgifter som ska lag- ras finns tillgängliga vid bekämpningen av allvarliga brott, såsom de definieras i varje lands lagstiftning. Vår uppgift är således att analy- sera om de brott som preciseras genom de straffskalor och brott som anges i rättegångsbalkens regler om hemlig teleövervakning och i reglerna om utlämnande i lagen om elektronisk kommunika- tion är tillräckligt allvarliga. Vår bedömning ska ske mot bakgrund av syftet med lagringen och de överväganden om proportionalitet som krävs enligt Europakonventionen. I frågan om det behöver ske några förändringar rörande vilka brott som ska få föranleda utläm- nande till de brottsbekämpande myndigheterna i framtiden, ska det tas ”vederbörlig hänsyn” till den lista med brott som numera finns som bilaga till lagen om överlämnande från Sverige enligt en euro- peisk arresteringsorder (se avsnitt 2.4).

225

Vissa brottsbeteckningar i listan motsvarar på ett tydligt sätt brott enligt svensk lagstiftning. Vid misstanke om de brotten är det också möjligt för de brottsbekämpande myndigheterna att få till- gång till trafikuppgifter. Det rör sig om mord, grov misshandel, människorov, människohandel, olaga frihetsberövande (som inte är mindre grovt), våldtäkt (som inte är mindre grov), grov stöld, rån, grovt bedrägeri, utpressning (grovt brott), svindleri (grovt brott), mordbrand, grovt sabotage, sjö- eller luftfartssabotage (grovt brott), penningförfalskning (grovt brott), grovt barnpornografi- brott, grovt miljöbrott, grovt artskyddsbrott och terroristbrott.

Andra beteckningar i listan kan någorlunda lätt sägas motsvara brott där hemlig teleövervakning eller utlämnande enligt lagen om elektronisk kommunikation kan användas, som dataintrång, häleri (grovt brott), penninghäleri (grovt brott), grov urkundsförfalsk- ning, Internetrelaterade barnpornografibrott, bestickning/mutbrott (grova brott), grovt narkotikabrott, grovt dopningsbrott, grovt vapenbrott, grov smuggling och grov människosmuggling.

I vissa fall är listan mer svårbedömd, exempelvis begreppet ”för- falskning och piratkopiering”, som kan motsvara brott mot lagen (1960:729) om upphovsrätt till litterära och konstnärliga verk, och begreppet ”olaglig handel med mänskliga organ och vävnader”, som kan motsvara brott mot lagen (1976:351) om genetisk integritet m.m. Inte i något av dessa fall kan hemlig teleövervakning eller ut- lämnande enligt lagen om elektronisk kommunikation användas.

För andra brott på listan är det svårt att peka ut en exakt mot- svarighet i svensk lag. Det rör t.ex. ”deltagande i kriminell organi- sation” och ”rasism och främlingsfientlighet”. Det kan vara fråga om gärningar som enligt svensk rätt anses vara medhjälp till annans brott eller förhållande som mer motsvarar en försvårande omstän- dighet vid bedömning av straffvärdet (t.ex. 30 kap. 2 § 7 brottsbal- ken).

226

11.5Behöver bestämmelserna om tillgång till trafikuppgifter förändras?

Bedömning: Lagringen av trafikuppgifter ger inte anledning att förändra bestämmelserna om hemlig teleövervakning respektive utlämnande enligt lagen om elektronisk kommunikation.

Enligt direktivet om lagring av trafikuppgifter har den lagrings- skyldighet som bestämts övervägts mot bakgrund av artikel 8 i Eu- ropakonventionen och begränsningen till allvarlig brottslighet har ansetts legitimera det intrång i rätten till respekt för privatlivet som lagringsskyldigheten innebär. Själva lagringen av trafikuppgifter kan som vi har beskrivit inte delas in efter brottstyper. För att det intrång i integritetsskyddet som lagringen innebär ska vara motive- rat förutsätts det därför att uppgifterna inte kan lämnas ut annat än för utredning och lagföring av allvarliga brott. Avvägningen av vad som är allvarlig brottslighet ska göras i nationell rätt så att det upp- nås proportionalitet i förhållande till intrånget i enskildas privatliv.

Genom kravet på brott av viss svårhetsgrad har lagstiftaren en- ligt de regler som nu gäller förbehållit hemlig teleövervakning och utlämnande enligt 6 kap. 22 § första stycket 3 LEK för de mer all- varliga typerna av brott och dessutom i många fall för den svåraste graden av brotten. För utredning om sådana brott är också tillgång- en till trafikuppgifter av avgörande betydelse för arbetet och upp- gifterna är ofta helt nödvändiga för att utredningarna ska kunna föras framåt (se avsnitt 6.5). De brott som finns i bilagan till lagen om överlämnande från Sverige enligt en europeisk arresteringsorder överensstämmer mycket väl beträffande svårhetsgrad med de brott vid vilka hemlig teleövervakning och utlämnande enligt lagen om elektronisk kommunikation får användas. Det är t.o.m. så att listan tar upp vissa gärningar som inte utgör brott i Sverige. Vissa brott i listan är inte så allvarliga att metoderna får användas här.

Samtidigt som vi bl.a. i avsnitt 6.5 har konstaterat det mycket stora behov som finns i den brottsbekämpande verksamheten av trafikuppgifter, har vi på flera ställen i betänkandet utvecklat våra bedömningar i frågor som rör integritetsskyddet, t.ex. riskerna för integritetsskyddet, och vi har utformat våra förslag så att riskerna för integritetsförluster ska motverkas. Vi har redovisat de bedöm- ningar och förslag till författningsändringar och åtgärder i övrigt som vi anser krävs för att lagringen av trafikuppgifter ska bli så sä- ker som möjligt och omfattas av ett tillfredsställande integritets-

227

skydd. Det är mot den bakgrunden vi överväger behovet av änd- ringar i de bestämmelser som reglerar myndigheternas möjligheter att få tillgång till trafikuppgifter.

De regler som BRU har föreslagit om att reglerna i lagen om elektronisk kommunikation bör föras in i rättegångsbalken innebär att samtliga utlämnanden av trafikuppgifter utom utlämnande av uppgifter om abonnemang (”kataloguppgifter”) enligt 6 kap. 22 § första stycket 2 skulle prövas i domstol. Som vi ser det vore det en klar fördel för integritetsskyddet om de överväganden om propor- tionalitet som ska göras när trafikuppgifter lämnas ut alltid gjordes av en domstol.

Den analys vi ska göra gäller dock inte i första hand förfarandet vid utlämnande av trafikuppgifter utan i stället om de brott som i dag kan utredas med tillgång till trafikuppgifter är allvarlig brotts- lighet i den mening som avses i direktivet.

När bestämmelserna om hemlig teleövervakning och utlämnan- de enligt lagen om elektronisk kommunikation har utformats, har lagstiftaren utgått från att de brottsbekämpande myndigheterna alltid får tillgång till samtliga de uppgifter som metoderna omfattar. Det förhållandet att leverantörerna nu får en skyldighet att lagra trafikuppgifter och att myndigheterna därför i praktiken inte bara behöver hoppas på, utan t.o.m. kan lita på, att de historiska uppgif- terna finns kvar under lagringstiden, är inte en omständighet som innebär att bestämmelserna behöver förändras. Avvägningen av vad som är allvarlig brottslighet påverkas således i princip inte av leve- rantörernas förmåga att ”leverera” utifrån en begäran om utläm- nande av trafikuppgifter och inte heller av att de brottsbekämpande myndigheterna kan förväntas att i något ökad utsträckning än i dag begära och därmed få ut trafikuppgifter som man även tidigare haft rätt att få ut men som varit utplånade.

De nuvarande reglerna innebär att trafikuppgifter endast kan lämnas ut för brott som är minst lika allvarliga som de brott som anges när utlämnande enligt en europeisk arresteringsorder kan ske. Det innebär att trafikuppgifter lämnas ut till de brottsbekäm- pande myndigheterna endast om det brott som ska utredas med tillgång till uppgifterna är lika allvarligt som de brott som kan för- anleda att svenska medborgare lämnas ut enligt arresteringsordern. Om förutsättningarna för myndigheternas tillgång till trafikuppgif- terna gjordes snävare skulle det innebära att trafikuppgifter inte skulle kunna användas i brottsbekämpningen i samma utsträckning som i dag och i många fall till oacceptabla konsekvenser för möjlig- heterna att bekämpa allvarliga brott. Det skulle på sikt kunna med-

228

föra att själva syftet med lagringen av trafikuppgifter inte uppnåd- des. Det förhållandet att lagringen ger en mer förutsebar tillgång till trafikuppgifter ändrar inte heller innebörden i den avvägning mellan brottsbekämpningsintresset och integritetsskyddet som lig- ger bakom de nuvarande reglerna. Vi bedömer därför att det inte finns något behov av att förändra de bestämmelser som gäller i dag för att de brottsbekämpande myndigheterna ska få begära ut tra- fikuppgifter. Inte heller finns det skäl att i anledning av lagringen av trafikuppgifter göra någon förändring av de övriga grundläggan- de förutsättningarna för metoderna.

Uppgifter om abonnemang (”kataloguppgifter”) ska enligt 6 kap. 22 § första stycket 2 LEK lämnas ut till brottsbekämpande myndigheter om fängelse är föreskrivet för brottet och det kan för- anleda annan påföljd än böter i det enskilda fallet. Det är uppgifter som leverantörerna i stor omfattning lagrar redan i dag och som ofta är nödvändiga för att identifiera abonnenten eller den registre- rade användaren. Dessa uppgifter kan alltså lämnas ut vid misstanke om mindre allvarliga brott än vad som nyss nämndes. Uppgifterna ska lagras enligt direktivet om lagring av trafikuppgifter.

Om det skulle införas ett krav på att denna typ av uppgifter en- dast skulle få lämnas ut till de brottsbekämpande myndigheterna vid allvarligare brottslighet, skulle det medföra en avsevärd försäm- ring från brottsbekämpningssynpunkt. Många av de brott som i dag klaras upp med hjälp av uppgifterna skulle inte ha samma för- utsättningar att bli utredda i framtiden. Liksom när det gäller ut- lämnande av övriga uppgifter till de brottsbekämpande myndighe- terna, har den reglering av förutsättningarna för utlämnande som gäller i dag lagts fast efter en bedömning av proportionalitetskravet enligt regeringsformen, Europakonventionen och direktivet om integritet och elektronisk kommunikation. Denna bedömning änd- ras enligt vår mening inte av det förhållandet att lagringen av upp- gifterna blir en skyldighet i framtiden. Vi anser därför att ett ge- nomförande av direktivet, som överlåter åt medlemsstaterna att avgöra för vilka brott de lagrade uppgifterna ska få användas, inte motiverar en ändring av bestämmelsen om utlämnande av sådana uppgifter enligt lagen om elektronisk kommunikation.

229

11.6Ska det finnas undantag för utlämnande av uppgifter i vissa fall?

I 36 kap. 5 § RB finns bestämmelser om vad som brukar kallas frå- geförbud, alltså det förhållandet att personer med s.k. särställning inte får höras som vittnen i vissa fall. Det rör exempelvis advokater, läkare, tandläkare, präster och journalister. En särskild fråga är om lagringen av trafikuppgifter bör föra med sig några begränsningar i möjligheten för de brottsbekämpande myndigheterna att få tillgång till trafikuppgifter som har anknytning till sådana yrkesutövare.

Det är tekniskt omöjligt och dessutom olämpligt av integritets- skäl att införa ett system där det vore förbjudet för leverantörerna att lagra trafikuppgifter som kan knytas till personer som omfattas av bestämmelsen. I stället blir frågan om det ska finnas begräns- ningar för de brottsbekämpande myndigheterna i möjligheten att få ut sådana uppgifter.

I dag finns inga begränsningar när det gäller att knyta ett beslut om hemlig teleövervakning till en person som i vissa fall omfattas av 36 kap. 5 § RB. Personen kan vara skäligen misstänkt själv, eller så kan det finnas synnerlig anledning att anta att en misstänkt har ringt till eller på annat sätt kontaktat denne (se 27 kap. 20 § RB). Inte heller finns det något krav på att uppgifter ska förstöras av de brottsbekämpande myndigheterna om det t.ex. visar sig att en misstänkts teleadress har kontaktat en advokats teleadress (utan att teleövervakningen samtidigt var knuten till advokatens teleadress). I detta avseende finns det med andra ord inget skydd för den s.k. klientsekretessen i dag, dvs. det förhållandet att någon har haft kontakt med en advokat.

Det kan i övrigt nämnas att det inte finns några begränsningar när det gäller att verkställa hemlig teleavlyssning rörande dessa per- soner, med undantag för telemeddelanden mellan en skäligen miss- tänkt och dennes försvarare. Enligt 27 kap. 22 § RB ska avlyssning- en avbrytas om det framkommer att det är fråga om ett sådant meddelande. De upptagningar och uppteckningar som finns ska då förstöras i de delarna.

Som framgått finns inte heller några begränsningar i detta avse- ende i fråga om utlämnande enligt lagen om elektronisk kommuni- kation.

Redan i samband med att hemlig teleövervakning infördes dis- kuterades vilket skydd som skulle finnas för bl.a. de yrkeskategori- er som omfattas av 36 kap. 5 § RB. Regeringen ansåg att det inte behövdes något undantag för verkställighet av tvångsmedlet utan

230

menade att en uttryckligt reglerad proportionalitetsprincip var till- räcklig (prop. 1988/89:124 s. 26 ff.). Det anges numera i 27 kap. 1 § tredje stycket RB att bl.a. hemlig teleövervakning får beslutas en- dast om skälen för åtgärden uppväger det intrång eller men i övrigt som åtgärden innebär för den misstänkte eller för något annat mot- stående intresse. I den bedömningen måste givetvis ingå sådana faktorer som vilka typer av uppgifter och hur stor uppgiftsmängd som begärs ut liksom en persons särställning enligt 36 kap. 5 § RB. Utrymmet för domstolen att knyta ett beslut om hemlig teleöver- vakning till personer med sådan ställning är alltså redan i dag mycket begränsat (jfr prop. 1988/89:124 s. 28). Till det kommer att det är möjligt för domstolen att, för det fall tillstånd ges, föreskriva villkor för verkställigheten för att begränsa integritetsintrånget.

Vid begäran om utlämnande enligt lagen om elektronisk kom- munikation gäller inte 27 kap. 1 § RB. För polisens del finns be- hovs- och proportionalitetsprinciperna reglerade i 8 § polislagen (1984:387). För tullens del finns kravet på proportionalitet reglerat i exempelvis 6 kap. 1 § tullagen (2000:1281). Principerna anses ock- så gälla generellt utan uttryckligt lagstöd vid ingripande åtgärder från myndigheternas sida mot enskilda.

Vår bedömning är att de bestämmelser om lagring av trafikupp- gifter som vi föreslår inte bör föranleda några begränsningar av möjligheten för de brottsbekämpande myndigheterna att använda hemlig teleövervakning respektive utlämnande enligt lagen om elektronisk kommunikation med anknytning till personer som av- ses i 36 kap. 5 § RB. Det skulle bli en märklig ordning om sådana begränsningar infördes samtidigt som det klart mer ingripande tvångsmedlet hemlig teleavlyssning får verkställas i de fallen.

231

12Balansen mellan brottsbekämpning och integritetsskydd

12.1Vår sammanfattande bedömning

Bedömning: Såsom förslagen om lagring av trafikuppgifter har ut- formats bedömer vi att det har uppnåtts en god balans mellan brottsbekämpningens intressen och integritetsskyddet.

12.2Balansen i våra förslag

Bestämmelser om lagring av trafikuppgifter håller på att genomfö- ras i alla länder i EU. Det följer av Sveriges medlemskap i unionen att direktivet om lagring av trafikuppgifter ska genomföras i svensk rätt. Vid våra överväganden om hur det ska ske ska vi utforma för- slag som skapar en balans mellan medborgarnas integritetsskydd och deras intresse av en effektiv brottsbekämpning. Direktivet in- nehåller inte bara en uppräkning av vilka trafikuppgifter som ska lagras utan också flera artiklar som ska garantera en rimlig propor- tionalitet mellan brottsbekämpningens intressen och integritets- skyddet. Det gäller t.ex. den längsta acceptabla lagringstiden, att uppgifterna ska utplånas vid slutet av den tiden och att uppgifterna ska skyddas mot olika åtgärder som är skadliga för integriteten.

I vårt uppdrag ingår att belysa de integritetsaspekter som aktua- liseras vid lagringen av trafikuppgifter. Det ska ske med utgångs- punkt i 2 kap. regeringsformen och artikel 8 i Europakonventionen så att det nationella genomförandet av direktivet om lagring av tra- fikuppgifter är förenligt med dessa stadganden. Vi ska föreslå regler som syftar till att stärka skyddet för integriteten och motverka missbruk av uppgifterna. Våra förslag ska vara förenliga med data- skyddsdirektivet och direktivet om integritet och elektronisk kommunikation.

Regeringsformen innehåller i 2 kap. 12 § en uttrycklig propor- tionalitetsprincip av innebörd att rättighetsinskränkande lagstift-

233

ning aldrig får gå utöver vad som är nödvändigt med hänsyn till det ändamål som har föranlett den. Motsvarande princip finns i artikel 8 i Europakonventionen och formuleras där som att vars och ens rätt till respekt för sitt privat- och familjeliv, sitt hem och sin kor- respondens inte får inskränkas annat än om det i ett demokratiskt samhälle är nödvändigt med hänsyn till vissa angivna intressen. In- skränkningar i integritetsskyddet får göras endast om det motstå- ende intresse som ska tillgodoses är så starkt och integritetsskydds- intresset så förhållandevis svagt att inskränkningen framstår som proportionerlig. Nyttan av lagringen ska stå i rimlig proportion till den integritetsskada som lagringen kan orsaka (jfr SOU 2007:22 s. 449 ff.). Det ska med andra ord finnas en balans mellan brottsbe- kämpningens intressen av att trafikuppgifter lagras i angiven om- fattning och integritetsskyddet.

I det följande gör vi vår bedömning om våra förslag motsvarar en sådan balans.

Direktivet om lagring av trafikuppgifter har tagits fram inom EU mot bakgrund av de fördelar från brottsbekämpningssynpunkt som har kunnat konstateras i flera medlemsländer. I skäl 9 i ingres- sen i direktivet om lagring av trafikuppgifter: ”Eftersom lagring av uppgifter har visat sig vara ett så nödvändigt och effektivt redskap för de brottsbekämpande myndigheternas utredningar i många medlemsstater och framför allt i allvarliga fall som organiserad brottslighet och terrorism är det därför nödvändigt att se till att brottsbekämpande myndigheter får tillgång till lagrade uppgifter under en viss tid i enlighet med de villkor som föreskrivs i detta direktiv. Antagandet av ett instrument om lagring av uppgifter i enlighet med kraven i artikel 8 i Europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande frihe- terna är därför en nödvändig åtgärd.”

Behovet av trafikuppgifter bör diskuteras utifrån den precisering och beskrivning av nyttan som de brottsbekämpande myndigheter- na kan göra. Den självklara utgångspunkten måste vara att det är medborgarna i allmänhet och brottsoffren som för sin trygghet och upprättelse har behov av en effektiv bekämpning av särskilt den allvarliga brottsligheten.

Vi har kommit fram till att tillgången till de trafikuppgifter som enligt våra förslag ska omfattas av lagringsskyldigheten är av avgö- rande betydelse för brottsbekämpningen och att de ofta är helt nödvändiga för att utredningarna över huvud taget ska kunna föras framåt. Bakgrunden till vår bedömning framgår i avsnitt 6.5.

234

Samtidigt medför lagring av trafikuppgifter ett påtagligt intrång i integritetsskyddet. Vi konstaterade i avsnitt 5.2 att integritetsin- trånget vid lagring av trafikuppgifter sker redan genom att det all- männa säkrar tillgången till trafikuppgifterna, dvs. när lagringen sker av respektive uppgift. Det har framhållits att den psykologiska effekt det innebär att människor vet om att uppgifter lagras om deras kommunikation är den stora integritetsskadan i samman- hanget och inte att de brottsbekämpande myndigheterna får ut en mycket liten del av de lagrade trafikuppgifterna i ett begränsat antal ärenden årligen. Det innebär att det är viktigt för tilliten till syste- met för lagring och förtroendet för brottsbekämpningen att re- gleringen är klar och tydlig så att medborgarna känner till både vad som ska lagras och att lagringen av trafikuppgifter inte innebär att myndigheterna har någon slags fri tillgång till uppgifterna utan att det bl.a. krävs misstankar om allvarliga brott för att uppgifterna ska få lämnas ut av leverantörerna. Det krävs också att det finns flera integritetsskyddande bestämmelser kring lagringen av trafikuppgif- ter.

Vi ser att den främsta risken för integritetsförluster för den en- skilde ligger i att trafikuppgifterna på ett felaktigt sätt, genom upp- såtliga handlanden eller av oaktsamhet, sprids från leverantörerna till obehöriga och i att leverantörerna använder trafikuppgifterna för andra ändamål än de tillåtna. Det är svårt att bedöma hur stora riskerna är, men våra förslag syftar i flera avseenden till att minska riskerna för att enskilda drabbas av integritetsintrång och orsakas skador till följd av detta.

Vi har föreslagit att lagringen ska ske på flera håll så att uppgif- ter om varje persons kommunikation inte finns samlad på ett och samma ställe i ett centrallager utan är spridd hos leverantörerna. Lagringstiden ska, främst av integritetsskäl, vara begränsad till ett år, vilket enligt vår mening är den kortaste tid som kan accepteras för att lagringstiden inte ska bli så kort att det leder till begräns- ningar i det brottsbekämpande arbetet. Efter lagringstidens slut ska trafikuppgifterna utplånas. Vid sidan om de i övrigt tillåtna ända- målen enligt 6 kap. LEK ska leverantörerna få behandla uppgifterna endast för att lämna ut dem efter beslut om hemlig teleövervakning eller enligt bestämmelserna i lagen om elektronisk kommunikation eller för att lämna över dem till annan som fullgör lagringen. Det innebär att ändamålet för behandling av de lagrade trafikuppgifter- na är starkt begränsat och inte kan ändras utan ett uttryckligt stöd i lag. Vidare ska leverantörerna vidta särskilda tekniska och organisa- toriska åtgärder för att säkerställa ett tillräckligt skydd vid behand-

235

lingen av lagrade trafikuppgifter. Det ska med andra ord ställas höga krav på kvalitet och säkerhet för lagringen. Dessutom förut- sätts att endast särskilt behörig personal hos leverantörerna har till- gång till uppgifterna. Om trafikuppgifterna är personuppgifter får de inte föras över till annat land som inte har en adekvat nivå för skyddet av uppgifterna. Som ett skydd mot missbruk av de lagrade trafikuppgifterna finns straff- och skadeståndsrättsliga bestämmel- ser, som i olika avseenden verkar preventivt och reparativt. Regler- na stadgar straff för t.ex. dataintrång och brott mot tystnadsplikten och ger rätt till skadestånd vid otillåtna kränkningar av den person- liga integriteten och rätt till ersättning för personskada, sakskada och ren förmögenhetsskada. Till skyddet hör också den verksamhet som ska bedrivas av tillsynsmyndigheten och som ska gå ut på att kontrollera att leverantörernas verksamhet avseende lagring av tra- fikuppgifter följer gällande regelverk. Ytterst kan tillsynsmyndig- heten besluta att en leverantörs verksamhet ska upphöra.

En del i integritetsskyddet är också att det blir ett tydligt regel- system så att var och en kan bedöma vilket integritetsintrång man kan drabbas av. Enligt vår bedömning innefattar författningsförsla- gen så tydliga och väl avgränsade regler som är rimliga att ha när bestämmelserna samtidigt måste utformas så att de så långt som möjligt blir oberoende av den tekniska utvecklingen. Författnings- förslagen och de motiv för dem som vi har anfört tydliggör vilka trafikuppgifter som ska lagras, vem som ska lagra och hur lång lag- ringstiden är men också vilka säkerhetsåtgärder till skydd för integ- riteten som lagringen ska omges av. Integritetsskyddet kommer också att preciseras i tillsynsmyndighetens föreskrifter. Till det kommer att den enskilde har möjlighet att enligt 26 § PUL en gång per år få besked av leverantören bl.a. om vilka personuppgifter om den sökande som behandlas (jfr skäl 15 i ingressen i direktivet om lagring av trafikuppgifter). Även de förutsättningar som gäller en- ligt rättegångsbalken och lagen om elektronisk kommunikation för att de brottsbekämpande myndigheterna ska få tillgång till de lag- rade trafikuppgifterna är tydliga, även om det för vissa uppgifter kan vara något oklart om de ska anses vara uppgifter om abonne- mang eller andra uppgifter (se 6 kap. 20 § första stycket 1 och 3 LEK samt avsnitt 2.3.2).

Vi bedömer att vi genom förslagen om hur direktivet om lagring av trafikuppgifter ska genomföras har preciserat den balans mellan intresset av en effektiv bekämpning av allvarlig brottslighet och intresset av skydd för enskildas integritet som direktivet bygger på. Vi menar också att förslagen uppfyller de krav som artikel 29-

236

gruppen och Europeiska datatillsynsmannen har ställt för skyddet av den personliga integriteten. Vid vår bedömning beaktar vi också att tillämpningen av bestämmelserna om hemlig teleövervakning och utlämnande enligt lagen om elektronisk kommunikation förut- sätter att hänsyn tas till integritetsskyddet genom den proportiona- litetsprövning som ska ske i varje enskilt ärende.

När balansen mellan brottsbekämpningens intressen och integ- ritetsskyddet bedöms har också möjligheterna till kontroll av leve- rantörerna och myndigheterna som hanterar trafikuppgifter bety- delse. För leverantörernas del avses den kontroll som kommer att utövas av tillsynsmyndigheten och som ytterst ska säkerställa att leverantörerna följer gällande regelsystem så att trafikuppgifterna kan komma brottsbekämpningen till del och så att lagringen sker i avsedd omfattning och med fullgott integritetsskydd.

Vid bedömningen om balansen blir god är också kontrollen av de myndigheter som utnyttjar trafikuppgifter i sin brottsbekäm- pande verksamhet viktig. Vi bortser här från att de tjänstemän som deltar i verksamheten givetvis är underkastade ett straffrättsligt an- svar för bl.a. dataintrång, tjänstefel och brott mot tystnadsplikten. Enskilda som blir föremål för användning av hemliga tvångsmedel har begränsade möjligheter att påkalla en rättslig prövning genom överklagande av tillstånd till tvångsmedelsanvändningen. Utöver den kontroll i förhand som kravet på tillstånd av domstol för an- vändning av hemlig teleövervakning innebär finns det olika slag av tillsyn och kontroll som utövas i efterhand. Justitieombudsmannen och Justitiekanslern utövar tillsyn över bl.a. den brottsbekämpande verksamheten. Registernämnden och Datainspektionen utövar till- syn över Säkerhetspolisens personuppgiftsbehandling. Datainspek- tionens tillsyn omfattar även den öppna polisens och Tullverkets personuppgiftsbehandling.

I propositionen Ytterligare rättssäkerhetsgarantier vid använ- dandet av hemliga tvångsmedel, m.m. (prop. 2006/07:133) föreslås att personer som har utsatts för hemliga tvångsmedel, t.ex. hemlig teleövervakning, ska underrättas om det. En underrättelse ska dock skjutas upp och får även underlåtas om en uppgift i underrättelsen omfattas av sekretess. Underrättelseskyldigheten ska inte omfatta utredningar om sabotagebrott, brott mot rikets säkerhet och terro- ristbrott, dvs. brott som knyter an till Säkerhetspolisens verksam- hetsområde. Vidare föreslås att det under regeringen inrättas en fristående och självständig myndighet, Säkerhets- och integritets- skyddsnämnden, som ska utöva tillsyn över brottsbekämpande myndigheters användning av hemliga tvångsmedel och därmed

237

sammanhängande verksamhet. Nämnden ska på begäran av en en- skild vara skyldig att kontrollera om han eller hon har utsatts för hemliga tvångsmedel och om det har skett i enlighet med lag eller annan författning. Nämnden ska underrätta den enskilde om att kontrollen har utförts. Det ska erinras om att ett utlämnande av trafikuppgifter enligt lagen om elektronisk kommunikation inte är ett hemligt tvångsmedel.

BRU har föreslagit att bestämmelserna om hemlig teleövervak- ning i rättegångsbalken och utlämnanden av trafikuppgifter enligt lagen om elektronisk kommunikation ska föras samman (SOU 2005:38 s. 182 ff.). Förslaget innebär i praktiken att möjligheten att få trafikuppgifter enligt bestämmelsen i lagen om elektronisk kommunikation upphör. Ett viktigt skäl är enligt BRU att integri- tetsskyddet än mer skulle förstärkas genom att det som huvudregel skulle krävas tillstånd hos domstol till hemlig teleövervakning för att få ut uppgifterna. Vi instämmer i de bedömningar som låg bak- om förslaget. Förslaget bereds för närvarande i Justitiedepartemen- tet. Om förslaget genomförs innebär det att samtliga trafikuppgif- ter som lämnas ut till brottsbekämpande myndigheterna kommer att falla inom ramen för den tillsyn som Säkerhets- och integritets- skyddsnämnden kommer att utföra.

Det är vår bedömning att den sammantagna innebörden i våra förslag innebär att det har uppnåtts inte bara en rimlig utan en god balans mellan brottsbekämpningens intressen av att trafikuppgifter lagras i angiven omfattning och skyddet för den personliga integri- teten.

238

13 Fördelning av kostnaderna

13.1Sammanfattning av våra förslag och bedömningar

•Lagringsskyldigheten medför kostnader för att identifiera, spara, lagra och lämna ut trafikuppgifter.

•Kostnaden för att genomföra lagringsskyldigheten och an- passningsskyldigheten kan beräknas till omkring 200 mil- joner kronor. Kostnaden för att lämna ut uppgifterna kan beräknas till omkring 20 miljoner kronor.

•Leverantörerna ska stå kostnaderna för lagring, säkerhet och anpassning av systemen. Det allmänna ska ersätta leve- rantörerna när uppgifter lämnas ut i enskilda ärenden.

•Post- och telestyrelsen får efter samråd med Åklagarmyn- digheten, Ekobrottsmyndigheten, Rikspolisstyrelsen och Tullverket meddela föreskrifter om ersättningen.

13.2Inledning

Våra förslag innebär en lagringsskyldighet och en anpassningsskyl- dighet för leverantörer som är anmälningspliktiga enligt lagen om elektronisk kommunikation. Till skillnad mot nuvarande reglering som ger möjlighet till lagring av vissa trafikuppgifter endast för sär- skilt specificerade ändamål innebär vårt förslag en mer generell lag- ringsplikt för leverantörerna. Lagringsskyldigheten innebär att fler typer av trafikuppgifter än tidigare ska lagras och att lagringen ska ske under ett år. Antalet trafikuppgifter som ska lagras kommer således att öka och i många fall innebär det att trafikuppgifterna kommer att lagras under längre tid än i dag. Sammantaget innebär detta att den volym trafikuppgifter som ska finnas lagrad blir be- tydligt större än i dag.

239

Våra förslag innebär också att leverantörerna måste införa olika typer av säkerhetsåtgärder och säkerhetsrutiner som tar sikte på att lagrade uppgifter ska ha hög kvalitet och på att skyddet för enskil- das integritet ska vara högt.

Det krävs ny teknik och nya administrativa system för att leve- rantörerna ska kunna identifiera, spara och sedan lagra trafikupp- gifterna under ett år med den säkerhet som krävs. Det behövs ock- så väl fungerande tekniska och administrativa system så att leveran- törerna kan lämna ut uppgifterna till de brottsbekämpande myn- digheterna utan dröjsmål och så att uppgifterna enkelt kan tas om hand. Sammantaget uppkommer kostnader för investeringar i nya tekniska system eller för anpassning av befintliga system, för un- derhåll av tekniska system och för administration.

I vårt uppdrag ingår att beräkna de angivna kostnaderna och be- lysa olika modeller för en fördelning av kostnaderna mellan det allmänna och leverantörerna samt de för- respektive nackdelar de olika alternativen för med sig. En betydelsefull omständighet som vi ska beakta vid valet mellan olika lösningar är vilken lösning som blir samhällsekonomiskt mest kostnadseffektiv.

För att få en mer specifik uppfattning om vilka nya tekniska lösningar och vilka anpassningar av befintliga system som krävs och en grund för vår bedömning av hur stora kostnaderna blir har vi bett de leverantörer som är representerade i utredningen att kom- ma in med vissa uppgifter. Vi har frågat om kostnader för grundin- stallationer, underhåll av systemen och kostnader för utlämnande av trafikuppgifter i enskilda ärenden. Vi har också tillfrågat branschorganisationen IT & Telekomföretagen, PTS och Svenskt Näringsliv. Vi har även skaffat oss ett underlag genom att låta en expert inom området för elektronisk kommunikation göra en ana- lys av de kostnader som våra förslag innebär. Vi har därutöver fått information om beräkningar av kostnader som har utförts i Norge, Danmark och Storbritannien och hur fördelningen av kostnader ser ut i några länder.

240

13.3Kostnader

13.3.1Uppgifter från vissa leverantörer m.fl.

De leverantörer som har kommit in med uppgifter har i huvudsak valt att basera sina svar på den lagringsskyldighet som följer direkt av direktivet om lagring av trafikuppgifter. Det innebär att de be- dömningar som leverantörerna har gjort avser en mindre omfattan- de lagringsskyldighet än den vi föreslår. Endast en av leverantörer- na har kommit med en bedömning av kostnader för trafikuppgif- terna avseende misslyckad uppringning (se avsnitt 6.13).

Samtliga leverantörer som har inkommit med uppgifter har framhållit svårigheterna att ange mer preciserade kostnadsberäk- ningar. De har anfört att det finns många osäkerhetsfaktorer. En- ligt leverantörerna är det svårt att bedöma vilka de slutliga kraven blir för anpassning av systemen och beräkningen av kostnaden blir osäker på grund av den stora variationen i pris mellan olika system- leverantörer.

Den stora delen av kostnaderna för att genomföra lagringsskyl- digheten avser nödvändiga tekniska system för att identifiera, spa- ra, lagra och lämna ut uppgifterna. Kostnader uppkommer antingen för helt nya system eller för att anpassa befintliga system. Det är enligt leverantörerna till övervägande delen helt nya kostnader. I de fall leverantörerna lagrar uppgifterna redan i dag för fakturerings- ändamål behövs i och för sig inte nya tekniska system eller anpass- ningar av befintliga system. Men utvecklingen går mot att leveran- törerna tillhandahåller kommunikationslösningar mot s.k. flat rate, dvs. kunden betalar en fast summa oavsett hur mycket man sedan kommunicerar. Det minskar leverantörernas behov av att lagra tra- fikuppgifter för fakturering. Enligt leverantörerna måste därför kostnadsbedömningen utgå från ett snabbt minskande behov av att lagra trafikuppgifter för faktureringsändamål.

Leverantörerna har också redovisat att kostnaderna för att genomföra lagringsskyldigheten kommer att variera mycket mellan olika leverantörer beroende på vilka tekniska system som de har i dag och i vad mån systemen kan anpassas för att fullgöra lagrings- skyldigheten. Ofta kan standardlösningar inte appliceras. Anpass- ningen kan därför till viss del bli unik för varje leverantör. Alterna- tivt kan nya tekniska system behöva införskaffas, antingen nu eller i ett senare skede beroende på hur de nuvarande tekniska systemen hos enskilda leverantörer kan användas initialt. Enligt leverantörer-

241

na påverkas också kostnaderna om kraven på leverantörerna för- ändras över tid. Leverantörerna bedömer att det är mest troligt att effekterna av förslagen kommer att vara mindre för de stora leve- rantörerna än för de små. För de stora leverantörerna som verkar i flera länder finns också möjligheten till samordningsvinster, bl.a. genom att samma typ av teknik kan användas i alla länder. Samti- digt kan det motsatta bli fallet med en fördyring om olika länder inför olika system för lagringen.

Leverantörerna har mycket grovt uppskattat kostnaderna för att identifiera, spara och lagra uppgifterna under första året till allt ifrån 10 till 20–40 miljoner kronor för några av de stora leverantörerna upp till 400 miljoner kronor för en av de största leverantörerna. Efter det första året minskar troligen kostnaderna. Generellt anger leverantörerna att kostnaderna för lagring av trafikuppgifter avse- ende fast och mobil telefoni per kund är betydligt lägre än kostna- derna avseende bredband/Internet. Kostnaderna för att lagra miss- lyckad uppringning uppges vara stora. En av leverantörerna har i relativa tal angett de totala kostnaderna för genomförandet av lag- ringsskyldigheten och utlämnande av trafikuppgifter. Enligt denna leverantör utgör kostnaderna för att identifiera och spara de upp- gifter som ska lagras ca 15 procent av totalkostnaden, kostnaderna för lagring av uppgifterna ca 50 procent, kostnaderna för att lagra misslyckad uppringning med mobil telefoni ca 25 procent och kostnaderna för att lämna ut uppgifter ca 10 procent av totalkost- naden. I de angivna kostnaderna ingår kostnader för personal och säkerhetsåtgärder. En leverantör har angett kostnaderna för drift och underhåll av IT-system till 10-15 procent av investeringskost- naderna, en annan har angett samma kostnader till 5 procent av in- vesteringskostnaderna. Det skulle innebära kostnader mellan 2 och 20 miljoner kronor. Vi har inte fått några uppgifter om de små leve- rantörernas kostnader.

Kostnaderna för att lämna ut uppgifter i enskilda ärenden uppges av leverantörerna uppgå till 1 500–2 000 kronor per ärende, om hanteringen sker med låg automatiseringsgrad. Kostnadsnivån per ärende kan enligt leverantörerna sänkas med väl utbyggda stödsy- stem och beställnings- och leveransrutiner. De stora leverantörerna har redan etablerade system och rutiner för att lämna ut trafikupp- gifter, medan de små kan behöva vidta åtgärder som medför så sto- ra kostnader att deras existens kan hotas. Utlämnande till en rimlig kostnad ställer krav på att de brottsbekämpande myndigheterna har en väl anpassad administration och teknik som följer med i utveck-

242

lingen. Leverantörerna har också uppgett att totalkostnaderna be- ror på i hur många fall myndigheterna begär att trafikuppgifter ska lämnas ut. Med en ökad efterfrågan från de brottsbekämpande myndigheterna kommer sannolikt totalkostnaden för att lämna ut uppgifter att bli högre.

13.3.2Nuvarande ersättningar i samband med verkställande av hemlig teleavlyssning och hemlig teleövervakning

Inom polisen, inklusive Ekobrottsmyndigheten, har Säkerhetspoli- sen ansvaret för tekniska och administrativa frågor som rör hemlig teleavlyssning och hemlig teleövervakning. I dag gäller att de brottsbekämpande myndigheterna ersätter leverantörerna för kost- nader som uppstår i anslutning till verkställighet i det enskilda fal- let. Säkerhetspolisen har slutit avtal som reglerar verkställighets- kostnaderna med de största leverantörerna. Avtalens innehåll är sekretessbelagt och vi kan därför inte redovisa ersättningsnivåerna. Vad som däremot kan sägas är att avtalen med respektive leverantör inte har helt likalydande innehåll, att ersättningen för hemlig tele- avlyssning generellt är högre än för hemlig teleövervakning och att ersättningen beror på vilken tid på dygnet som verkställigheten sker.

Det har inte varit möjligt att få fram uppgifter från de brottsbe- kämpande myndigheterna om hur mycket de betalar årligen för trafikuppgifter som lämnas ut enligt rättegångsbalken. Det beror på att myndigheterna inte kostnadsför dessa uppgifter på ett samlat sätt utan kostnaderna anges som förundersökningskostnader i varje enskilt ärende.

13.3.3Nuvarande ersättningar i samband med utlämnande av trafikuppgifter enligt lagen om elektronisk kommunikation

Även när det gäller ersättningar i samband med utlämnande av tra- fikuppgifter enligt lagen om elektronisk kommunikation har Sä- kerhetspolisen slutit avtal med de största leverantörerna om ersätt- ningar i standardärenden. Ett standardärende är t.ex. när polisen frågar efter vilka samtal som har ägt rum under en viss period och från ett visst telefonnummer. Den ersättning som de brottsbekäm-

243

pande myndigheterna får betala till leverantören när det inte gäller standardärenden bestäms normalt i samband med varje enskilt ärende och beror av vilka trafikuppgifter som begärs, hur lätt till- gängliga trafikuppgifterna är hos leverantören och tidsramen för leverantörens hantering. Den ersättning som i dessa fall begärs av leverantörerna varierar stort. Flera små leverantörer som lämnar ut uppgifter någon eller några gånger om året avstår ibland från att ta betalt medan andra begär hög ersättning.

Av de skäl som anfördes i föregående avsnitt finns det inte hel- ler någon samlad uppgift om de totala årliga kostnaderna för de brottsbekämpande myndigheterna för utlämnande av trafikuppgif- ter enligt lagen om elektronisk kommunikation.

13.4Kostnadsbedömningar och kostnadsfördelningar i andra länder

13.4.1Danmark

I Danmark har leverantörerna angett att deras totala kostnad be- räknas till 100–200 miljoner DKK (ca 123–246 miljoner SEK) för en lagringstid på ett år. Till detta kommer sedan kostnader för verkställighet, vilka leverantörerna inte har beräknat. I Danmark har man i några avseenden gått utöver direktivet om lagring av tra- fikuppgifter och infört en längre gående lagringsskyldighet. Ut- vidgningen innebär bl.a. att uppgifter om en ”Internetsessions ini- tierande och avslutande paket” och om lokalisering vid ett mobil- samtals slut ska lagras. Den angivna kostnaden täcker även kostna- derna för den utvidgningen. Utan utvidgningen har leverantörerna beräknat kostnaderna till 50–100 miljoner DKK (ca 61–123 miljo- ner SEK).

Det är leverantörerna som står för kostnaderna för att anpassa systemen. De brottsbekämpande myndigheterna betalar ersättning till leverantören när uppgifter lämnas ut. Storleken på ersättningar- na diskuteras i ett samarbetsforum inom Telekommunikationsin- dustrin, som är leverantörernas branschorganisation. Mot bakgrund av dessa diskussioner, som sker mellan leverantörerna och polisen, utarbetas sedan en priskatalog över de uppgifter som leverantörer- na lämnar ut till de brottsbekämpande myndigheterna.

De leverantörer som inte är med i branschorganisationen be- stämmer själva sina priser i förhållande till de brottsbekämpande

244

myndigheterna. Dessa priser följer dock till övervägande delen pri- serna i branschorganisationens priskatalog.

För uppgifterna i priskatalogen råder sekretess. Vi har dock fått del av några uppgifter, av vilka framgår att utlämnande av historiska uppgifter från faktureringssystem eller liknande kostar 1 750 DKK (ca 2 170 SEK) för en månads uppgifter. Förhandlingar om faststäl- lande av priser för utlämnande av lagrade trafikuppgifter inleddes under oktober 2007.

13.4.2Finland

Vi har inte några uppgifter om hur kostnaderna för genomförandet av direktivet har beräknats i Finland.

Enligt den finländska kommunikationsmarknadslagen ska tele- företagen avgiftsfritt lämna ut uppgifter till en myndighet som be- höver uppgifterna för att kunna utföra sitt uppdrag. Myndigheten ska på egen bekostnad ordna ett system med hjälp av vilket den kan ta emot och behandla sådana uppgifter. Myndigheten svarar även för kostnader för anslutning av systemet till ett kommunikations- nät.

När teleföretagen lämnar ut uppgifter har de rätt att av statens medel få ersättning för omedelbara kostnader för investeringar i system, användning och underhåll av system samt utrustning och programvara som anskaffats enbart för de behov som myndigheten uppgett. Teleföretagen har rätt att av statens medel få ersättning även för omedelbara kostnader som orsakas av en åtgärd som myn- digheten förordnat. Detta innebär att teleföretagen och staten kommer överens om vilka investeringar som är nödvändiga att göra och vad som är en rimlig kostnad för detta. Kan teleföretagen och staten inte komma överens är det ytterst Kommunikationsverket som bestämmer vilka åtgärder som ska vidtas och ersättningen till leverantören. Teleföretagen får inte för sin kommersiella verksam- het använda system, utrustning eller programvara som bekostats av myndigheten.

Enligt uppgift avser man att tillämpa detta system även beträf- fande kostnaderna för lagring av trafikuppgifter enligt direktivet. Leverantörerna och de brottsbekämpande myndigheterna ska komma överens om vilka typer av åtgärder som leverantörerna måste vidta, dvs. hur lagringen rent tekniskt ska gå till, och hur mycket myndigheterna ska betala. Liksom nu ska ytterst Kommu-

245

nikationsverket avgöra vilka kostnader som leverantörerna ska få ersättning för.

13.4.3Norge

Det norska företaget Teleplan har genomfört en analys av de eko- nomiska konsekvenserna av ett genomförande av direktivet om lag- ring av trafikuppgifter för fast och mobil telefoni samt vissa aspek- ter av Internetaccess. Analysen behandlar alltså inte ett genomfö- rande fullt ut av direktivet avseende Internet. Analysen bygger på material som har samlats in från små, mellanstora och stora leve- rantörer av telefoni- och Internettjänster (tolv leverantörer av fast telefoni, åtta leverantörer av mobil telefoni och 39 bredbandsleve- rantörer) och från leverantörer av tekniska lösningar för lagring och sökning.

Teleplan har utrett de ekonomiska konsekvenserna för leveran- törer och brottsbekämpande myndigheter i fyra olika modeller; obligatorisk lagring i central lagringsbas, frivillig lagring i central lagringsbas, lokal lagring hos leverantörerna eller lagring genom outsourcing och utifrån en lagringstid om 6 månader, ett år eller två år. Outsourcing enligt den norska regleringen kan inte helt jämfö- ras med förslaget i avsnitt 7.5 att den lagringsskyldige ska ha möj- lighet att avtala med annan att fullgöra lagringen. Vi redovisar där- för inte de siffrorna.

Analysen visar att de sammanlagda kostnaderna hos leverantö- rerna varierar mellan 90 och 200 miljoner NOK (ca 104 och 231 miljoner SEK) beroende på lagringstid, uppskattad lagringsvolym, utvecklingsbehov hos leverantörerna (dvs. behov av tekniska inve- steringar för att genomföra lagringsskyldigheten) och val av lag- ringsmodell.

Med en lagringstid om 12 månader, lokal lagring hos leverantö- rerna och hög lagringsvolym har den sammanlagda kostnaden för leverantörerna beräknats till 95 miljoner NOK (ca 108 miljoner SEK) vid ett lågt utvecklingsbehov. Med ett mellanstort utveck- lingsbehov uppgår kostnaden till 111 miljoner NOK (ca 126 miljo- ner SEK) och vid ett stort behov till 144 miljoner NOK (ca 163 miljoner SEK). Är lagringsvolymen i stället låg uppgår kostnaden vid ett lågt utvecklingsbehov till 89 miljoner NOK (ca 100 miljoner SEK), vid mellanstort behov till 106 miljoner NOK (ca 120 miljo-

246

ner SEK) och vid ett stort behov till 139 miljoner NOK (ca 157 miljoner SEK).

I kostnadsberäkningarna har man utgått från att leverantörerna ska ha tekniska system som är separerade från de system som leve- rantörerna i dag använder när de lagrar trafikuppgifter för egna än- damål. Vidare har man inte tagit hänsyn till att en del leverantörer redan lagrar trafikuppgifter som omfattas av lagringsskyldigheten.

När det gäller kostnaden för att lämna ut uppgifter i enskilda ärenden vid lokal lagring hos leverantörerna anges i analysen att det är svårt att fastställa den kostnaden. Man har antagit att leverantö- rerna behöver 45 minuter för att besvara en begäran från myndig- heterna och att kostnaden per timme är 600 NOK (ca 700 SEK).

I analysen har också beräknats att investeringskostnaderna för en liten leverantör, vid lokal lagring hos leverantörer och sex måna- ders lagringstid med låg lagringsvolym och ett högt utvecklingsbe- hov, uppgår till mellan 85 000 och 575 000 NOK (ca 96 000 och 651 000 SEK). Man har inte beräknat motsvarande kostnader för en längre lagringstid eller med en högre lagringsvolym.

För myndigheterna uppgår kostnaderna för att begära ut uppgif- ter till 13 miljoner NOK (ca 14,7 miljoner SEK), vid lokal lagring och med 12 månaders lagringstid.

Enligt analysen är en viktig slutsats att lagringstid och lagrings- volym påverkar kostnaderna i relativt liten omfattning. Den största kostnaden är i stället knuten till själva etableringen av lagringssy- stemet. Det är således utvecklingsbehovet av de tekniska systemen som i största grad påverkar kostnaderna, dvs. vilka system de en- skilda leverantörerna har i dag och vilka förändringar som de behö- ver för att kunna genomföra lagringsskyldigheten. Kostnader för informationssäkerhet påverkar till en viss grad kostnaderna men är inte kostnadsdrivande.

Arbetet med ett förslag till genomförande av direktivet har ännu inte kommit så långt att man har tagit ställning till frågan om för- delning av kostnaderna.

13.4.4Storbritannien

I Storbritannien har kostnadsbedömningar gjorts utifrån tre olika alternativ. Det första alternativet innebär att direktivet om lagring av trafikuppgifter inte genomförs, ”do nothing”-alternativet. Enligt det alternativet fortsätter man med det system med frivillig lagring

247

av trafikuppgifter som redan finns i dag och som innebär att endast de största leverantörerna lagrar uppgifter. Det andra alternativet som beräknats är att alla tjänsteleverantörer ska lagra trafikuppgif- ter och det tredje alternativet är att alla tjänsteleverantörer ska lagra uppgifter men att det i möjligaste mån ska undvikas att uppgifter lagras hos fler än en leverantör. Kostnadsberäkningarna har gjorts utifrån en tänkt lagringstid på ett år.

Kostnaden för ”do nothing”-alternativet uppgår till 17,4 miljo- ner GBP (ca 235,6 miljoner SEK). I bedömningen har inte tagits med kostnader för eventuella överträdelser genom att direktivet inte genomförs. Alternativet innebär att endast vissa trafikuppgif- ter från särskilt utsedda leverantörer kommer att finnas tillgängliga för de brottsbekämpande myndigheterna. Det andra alternativet beräknas uppgå till 30,03 miljoner GBP (ca 406,6 miljoner SEK). Med denna lagring kommer alla nödvändiga uppgifter att finnas lagrade för de brottsbekämpande myndigheterna och man undviker kostnader för att inte följa direktivet. Det tredje alternativet har samma fördelar och innebär att uppgifterna i möjligaste mån bara lagras hos en leverantör. Kostnaden för det tredje alternativet blir lägre och uppgår till 21,13 miljoner GBP (ca 286 miljoner SEK).

Kostnaden för att lagra och lämna ut trafikuppgifter, med en lagringstid på 12 månader, har för en större leverantör av mobil te- lefoni uppskattats till 875 000 GBP (ca 11,7 miljoner SEK). De uppgifter som då lagras är i huvudsak de som ska lagras enligt di- rektivet (jfr Teleplans analys).

Den nuvarande frivilliga lagringen av trafikuppgifter i Storbri- tannien innebär att staten ersätter de kostnader som uppkommer för de leverantörer som staten har slutit avtal med för lagringen av trafikuppgifter. I avtalet med respektive leverantör har staten preci- serat bl.a. vilka uppgifter som ska lagras, hur lagringen ska gå till och hur uppgifterna ska lämnas ut till de brottsbekämpande myn- digheterna. Leverantören redovisar sedan vilka åtgärder som vidta- gits för att tillgodose statens krav, bl.a. avseende tekniska invester- ingar, och vilka kostnaderna är. Därefter bedömer en oberoende expert om leverantörens åtgärder tillgodoser myndighetens krav och om den angivna kostnaden är rimlig. Bedöms kostnaden vara rimlig betalar staten det som leverantören har begärt. Anses kost- naden däremot inte vara rimlig får leverantören komma in med ett nytt förslag.

Mot bakgrund av att flera medlemsstater har andra regler för kostnadsfördelning har man i Storbritannien övervägt att införa ett

248

system som innebär att statens ersättningar till leverantörerna be- gränsas. På grund av den hårda konkurrensen på marknaden och svårigheterna att skilja ut olika kostnader för t.ex. insamling av uppgifter och lagring av dem, har man dock stannat för att behålla det system man tillämpar nu.

13.4.5Tyskland

Vi har inte några uppgifter om hur kostnaderna för genomförandet av direktivet har beräknats i Tyskland.

De kostnader som uppkommer ska fördelas mellan det allmänna och leverantörerna så att leverantörerna ska stå för kostnaden för anpassning av systemen och vad som i övrigt följer med lagrings- skyldigheten. Det allmänna kommer att betala ersättning till leve- rantörerna när trafikuppgifter lämnas ut i enskilda ärenden. Kost- nadsersättningen uppgår f.n. till maximalt 17 euro per timme (ca 160 SEK) och betalas av den brottsbekämpande myndighet som begärt uppgiften. För närvarande diskuteras om detta system ska förändras och i fortsättningen baseras på en schablonersättning per utlämning.

13.5Nuvarande kostnadsfördelning avseende hemlig teleavlyssning och hemlig teleövervakning

Enligt 6 kap. 19 § LEK har i dag vissa leverantörer skyldighet att anpassa sin verksamhet så att beslut om hemlig teleavlyssning och hemlig teleövervakning kan verkställas.

När anpassningsskyldigheten infördes i telelagen år 1996 be- gränsades den till att endast omfatta tillståndspliktiga leverantörer. Dessa skulle också svara för de kostnader som hänförde sig till an- passningen och för drift och underhåll av systemen men skulle ha rätt till ersättning för de kostnader som uppkom vid varje enskild verkställighet.

Anpassningsskyldighetens omfattning fastslogs av PTS i beslut om tillståndsvillkor för respektive leverantör. I förarbetena (prop. 1995/96:180 s. 28 ff.) påpekades särskilt att anpassningsskyldighe- ten inte innebar att polisen fritt fick bestämma vilka anpassningar som skulle göras i telesystemen. Tillståndsmyndigheten skulle vid sin prövning beakta nyttan av en anpassning mot kostnaden för

249

denna, samt även beakta om anpassningen gjordes i ett befintligt telesystem eller om det var krav som ställdes i samband med byte till ny teknik.

BRU har därefter föreslagit en utvidgad anpassningsskyldighet för leverantörerna (SOU 2005:38 s. 278 ff.). BRU behandlade i det sammanhanget även frågan om hur kostnaderna för anpassningen skulle fördelas och föreslog att leverantörerna även i fortsättningen skulle stå för kostnaderna. BRU:s skäl var huvudsakligen desamma som de regeringen anförde när anpassningsskyldigheten infördes (se nedan avsnitt 13.8.3). Förslaget bereds för närvarande inom Ju- stitiedepartementet.

13.6Vilka kostnader uppstår?

Bedömning: Lagringsskyldigheten medför kostnader för att identi- fiera, spara, lagra och lämna ut trafikuppgifter.

13.6.1Kostnader för att identifiera och spara de uppgifter som ska lagras

Vårt förslag innebär i förhållande till vad som gäller nu att vissa av de trafikuppgifter som leverantörerna sparar enligt nuvarande be- stämmelser kommer att lagras också för brottsbekämpningsända- mål och att nya typer av trafikuppgifter ska lagras. Det innebär att leverantörerna måste införa tekniska lösningar som medger att just de trafikuppgifter som ska lagras för att kunna lämnas ut i brottsut- redningar kan identifieras och sparas i leverantörernas system. I den mån de system som leverantörerna har i dag inte kan anpassas kommer det att innebära att leverantörerna måste investera i nya tekniska system. Kostnaderna kan således avse helt nya tekniska system eller kostnader för anpassning av befintliga system.

Till detta kommer sedan löpande kostnader för drift och under- håll av systemen och för säkerhetsåtgärder. Leverantörerna har också vissa administrativa kostnader.

250

13.6.2Kostnader för att lagra uppgifter

Enligt vårt förslag ska fler typer av trafikuppgifter än tidigare lag- ras. Det medför att antalet trafikuppgifter som ska lagras ökar vä- sentligt. Att lagringstiden föreslås bli ett år medför i många fall en längre lagringstid än i dag. Följden blir att volymen lagrade trafik- uppgifter kommer att bli större. Leverantörerna måste ha kapacitet för att lagra dessa uppgifter. Det medför kostnader för nyanskaff- ningar eller kostnader för anpassning av befintliga lagringssystem (t.ex. servrar, diskar och licenser). Till det kommer vissa kostnader för drift och underhåll av systemen.

Vårt förslag innebär också att leverantörerna ska vidta tekniska och organisatoriska säkerhetsåtgärder som skyddar de lagrade tra- fikuppgifterna. Lagrade trafikuppgifter bör bl.a. hållas logiskt skil- da från leverantörernas övriga verksamhet. Det medför kostnader för investeringar i tekniska system och administrativa kostnader.

När lagringstiden är slut ska uppgifterna utplånas. Det medför kostnader för både tekniska system och administrativa rutiner. De uppgifter som ska utplånas måste identifieras och sedan förstöras eller tas bort ur lagret. Leverantörerna får också administrativa kostnader för t.ex. utbildning och kompetensutveckling.

13.6.3Kostnader för att lämna ut uppgifter

När trafikuppgifter ska lämnas ut till en myndighet behöver leve- rantörerna använda sökverktyg som identifierar de uppgifter som ska lämnas ut i det enskilda ärendet. Detta innebär att kostnader uppstår för nya tekniska system eller för att anpassa befintliga sy- stem. Till detta kommer kostnader för drift och underhåll av sy- stemen.

För att kravet på säkerhet i lagringen ska uppfyllas kan endast särskilt behörig personal ha tillgång till och hantera trafikuppgif- terna vid ett utlämnande. Detta medför administrativa kostnader.

Leverantörerna har också kostnader i samband med själva över- lämnandet av uppgifterna till de brottsbekämpande myndigheterna. Kostnaderna består bl.a. i att hitta ett gemensamt gränssnitt mellan leverantören och de brottsbekämpande myndigheterna så att upp- gifterna enkelt kan lämnas ut.

251

13.7Hur stora blir kostnaderna?

Bedömning: Kostnaden för att genomföra lagringsskyldigheten och anpassningsskyldigheten kan beräknas till omkring 200 miljo- ner kronor. Kostnaden för att lämna ut uppgifterna kan beräknas till omkring 20 miljoner kronor.

13.7.1Leverantörernas uppgifter

Med utgångspunkt enbart i de uppgifter som leverantörerna har lämnat till oss och marknadsbeskrivningen i avsnitt 14.4 skulle de totala kostnaderna för samtliga leverantörer mycket grovt kunna uppskattas till 600–700 miljoner kronor.

Leverantörerna har bedömt att kostnaderna för att lämna ut uppgifter i ett enskilt ärende uppgår till 1 500–2 000 kronor med de beställnings- och leveransrutiner som finns i dag och under kon- torstid. Den kostnaden avser i huvudsak de stora leverantörerna som har utvecklade beställnings- och leveransrutiner. För de små leverantörerna som inte har samma rutiner och inte heller kan antas lämna ut uppgifter i samma utsträckning som de stora kan kostna- derna antas bli högre. Kostnaden kan sänkas med en högre automa- tiseringsgrad och effektivare beställnings- och leveransrutiner.

13.7.2Beräkningar av kostnader för genomförande av direktivet

För att få ytterligare underlag för våra bedömningar av kostnaderna har vi anlitat en expert inom området för elektronisk kommunika- tion som på grundval av våra förslag och leverantörernas beräk- ningar har lämnat en rapport med beräkningar av kostnaderna för genomförandet av direktivet.

Rapporten har tagits fram under relativt kort tid och bygger på PTS rapport Svensk telemarknad 2006, intervjuer med såväl stora som små leverantörer på marknaden (fem stycken), intervjuer med leverantörer av tekniska system (två stycken) samt med PTS och Säkerhetspolisen. Utifrån dessa uppgifter och våra förslag avseende vilka leverantörer som ska vara lagringsskyldiga och vilka krav som ställs på de lagringsskyldiga, har kostnaderna för genomförandet av direktivet uppskattats.

252

I rapporten finns en uppskattning av antalet noder, dvs. de väx- lar för fast telefoni och mobil telefoni samt servrar för Internet, som de lagringsskyldiga leverantörerna har med en bedömning av om utrustningen är modern eller äldre. I rapporten anges att det finns ungefär 200 växlar (system) för fast telefoni, varav hälften är äldre. En av de största leverantörerna uppges ha ungefär 75 procent av dessa växlar, varav de flesta är äldre. Vidare uppges det finnas ca 100 växlar för mobil telefoni, där en av de största leverantörerna har ungefär hälften. En tredjedel av samtliga mobila växlar uppges vara äldre. Slutligen uppges det finnas ca 1 000 servrar av olika ty- per, varav en av de största leverantörerna har ungefär 15 procent.

I det följande redovisas i sammandrag de resonemang som förs i rapporten.

När det gäller kostnader för att identifiera och spara uppgifter konstateras att lagring av lokaliseringsinformation vid kommunika- tionens slut för mobil telefoni och av uppgifter rörande misslyckad uppringning kräver anpassning av systemen. I dag identifieras i och för sig dessa uppgifter och sparas för en kort stund, men de lagras inte eftersom de inte behövs för abonnentfakturering. Systemen behöver därför anpassas så att uppgifterna efter identifiering också lagras. Anpassningskostnaderna för lokaliseringsinformation vid kommunikationens slut för mobil telefoni uppskattas till ca 100 000 kronor per växel. Anpassningskostnaderna avseende fast telefoni för misslyckad uppringning uppgår till ca 500 000 kronor för en modern växel och till ca 5 miljoner kronor för en äldre växel. För mobil telefoni är kostnaderna ca 500 000 kronor för en modern växel och ca 2 miljoner kronor för en äldre växel. För Internettjäns- ter framgår av rapporten att de uppgifter som ska lagras oftast re- dan finns. Det är i stället själva lagringen som kräver anpassningar eller nya system.

De totala kostnaderna för att identifiera och spara uppgifterna uppskattas till 665 miljoner kronor om äldre system också ska an- passas och till 102 miljoner kronor om systemen är modernare. Det är företrädesvis de leverantörer som har varit verksamma på mark- naden sedan tidigt på 1990-talet som har äldre växlar. Det stora flertalet av leverantörerna har moderna växlar, där anpassnings- kostnaden är väsentligen lägre. I rapporten anges att utbyte av de äldre systemen under åren 2008-2009 redan planeras, av andra skäl än att lagringsskyldigheten tillkommer, och att de nya system som anskaffas torde vara utrustade med de funktioner som lagrings-

253

skyldigheten kräver. I så fall tillkommer inte några anpassnings- kostnader för dessa system.

När det gäller kostnaderna för att lagra uppgifter anges i rappor- ten att lagringskostnaden blir ca 50 000 kronor per tekniskt system avseende fast och mobil telefoni med ett fyrfaldigande av dagens datamängd och med lagringstid på ett år. Volymökningen beror till stora delar på att misslyckad uppringning ofta inte lagras i dag och att de uppgifterna är en stor andel av alla samtal. Avseende t.ex. fast telefoni utgör de misslyckade uppringningarna tre fjärdedelar av alla samtal. Dessutom kan en kostnad för logisk separation och sy- stem för behörighetshantering om ca 30 000 kronor för varje sy- stem tillkomma. Vidare behöver varje leverantör avseende Internet- tjänster åtminstone en server, oavsett hur stor del av den servern som behöver utnyttjas. En server kostar 10 000 kronor.

De totala lagringskostnaderna uppskattas i rapporten till maxi- malt 104 miljoner kronor per år. Kostnaden baseras på att samtliga uppgifter i en nod också lagras i den noden. Enligt rapporten är det troligt att varje leverantör kommer att centralisera lagringen inom den egna verksamheten, vilket i så fall sänker kostnaden. Om lag- ringskostnaden uppskattas per abonnent och år uppgår den, vid ett effektivt utnyttjande av lagringskapaciteten, för fast och mobil tele- foni samt Internet till ungefär 3,5 öre. Även om lagringsvolymerna blir mycket större kommer den absoluta kostnadsökningen enligt rapporten fortfarande att hamna på en rimlig nivå med tanke på den förhållandevis låga lagringskostnaden.

Om leverantören avtalar med annan om att denne ska lagra tra- fikuppgifterna uppstår kostnader om drygt 18 miljoner kronor för de tekniska system som krävs för att föra över uppgifterna till den lagringsansvarige. De årliga kostnaderna för att lagra och lämna ut uppgifterna innefattar en engångsavgift på 5 000 kronor och uppåt samt 3 kronor per abonnent och år. De årliga kostnaderna uppgår sammanlagt till drygt 58 miljoner kronor. De totala kostnaderna för att annan ska lagra och lämna ut trafikuppgifterna uppgår till knappt 77 miljoner kronor. Kostnaden kan enligt rapporten sänkas om det uppstår konkurrens mellan dessa aktörer.

När det gäller kostnader för att lämna ut uppgifter, har leveran- törerna beroende på deras storlek olika stora behov av personal. Personalen behöver också ha utbildning och behörighet. Om det antas att det tar ca 2 timmar att lämna ut en uppgift, blir personal- kostnaden ca 500 kronor. Kostnaden för säkerhetsåtgärder och ut- bildning har uppskattats till ca 34 000 kronor. De totala kostnader-

254

na för att lämna ut uppgifter har uppskattats till ca 21 miljoner kronor per år.

I rapporten har också beräknats vad kostnaden skulle bli för att identifiera, spara, lagra och lämna ut uppgifterna utslaget på antal abonnenter. Med endast äldre system blir kostnaden för att identi- fiera, spara och lagra uppgifterna 41 kronor per abonnent medan den blir 11 kronor om systemen är modernare. Den årliga kostna- den för att lämna ut uppgifterna om leverantörerna gör det själva blir 1,50 kronor per abonnent. Första året tillkommer kostnaden för teknik (5,30 kronor per abonnent). Om alla leverantörer avtalar med annan att lagra och lämna ut uppgifterna blir kostnaden 3 kro- nor per abonnent och år. Första året tillkommer kostnaden för teknik (1 krona per abonnent).

13.7.3Vår bedömning av kostnaderna

Kostnaderna för att identifiera och spara de uppgifter som ska lagras kan variera relativt mycket mellan leverantörerna. Kostnaderna blir olika stora beroende på den typ av tjänst som trafikuppgifterna är kopplade till, hur anpassade de tekniska system som de olika leve- rantörerna har i dag är i förhållande till de nya kraven och storleken på leverantörens verksamhet.

Enligt den analys av kostnaderna som vi har låtit utföra beror kostnaderna för att identifiera och spara uppgifterna mycket på om leverantörerna väljer att införa ny teknik eller om de i stället anpas- sar de äldre systemen. Införandet av ny teknik synes vara det mest kostnadseffektiva sättet, särskilt som de leverantörer som har äldre system redan av andra skäl har planerat att byta till nya system. Mot bakgrund av de beräkningar som görs i rapporten bedömer vi att kostnaderna för att identifiera och spara uppgifterna kan beräk- nas till omkring 100 miljoner kronor.

När det gäller kostnaderna för att lagra trafikuppgifterna bör det beaktas att den tekniska utvecklingen av system som kan lagra elek- troniska uppgifter har varit mycket snabb under de senaste åren och att utvecklingen pågår hela tiden. Utvecklingen går mot att allt större mängder uppgifter kommer att kunna lagras med allt mindre utrymme. Kostnaderna påverkas också av våra krav på tillräckliga tekniska och organisatoriska säkerhetsåtgärder. Våra förslag inne- bär att högre krav ställs på leverantörerna än vad som nu är fallet enligt 6 kap. 3 § LEK. För de leverantörer som i dag har ett väl ut-

255

byggt och fungerande säkerhetssystem kommer kostnaderna troli- gen inte att bli särskilt betungande medan andra leverantörer kan behöva införa nya rutiner och system som medför kostnader.

Enligt rapporten blir kostnaden för att lagra trafikuppgifterna med de krav på säkerhet som vi föreslår olika hög beroende på hur lagringen genomförs. Den sammanlagda kostnaden uppskattats till 104 miljoner kronor om varje leverantör lagrar i egna system. Den kostnaden bygger på att varje leverantör lagrar uppgifterna i den växel eller server där uppgiften uppkommer och inte centraliserar lagringen inom den egna verksamheten. Om alla leverantörer i stäl- let skulle ha ett gemensamt system för lagringen beräknas den tota- la kostnaden enligt rapporten till 77 miljoner kronor. Den kostna- den inkluderar kostnader för att lämna ut uppgifter. Enligt rappor- ten kan denna kostnad sänkas på sikt genom att det blir konkur- rens mellan de aktörer som åtar sig lagringsuppdrag.

Våra förslag bygger på att varje enskild leverantör har det ansvar för lagringen som följer av lagringsskyldigheten. Förslagen utgår från att lagring ska ske hos varje leverantör men öppnar en möjlig- het för den enskilde leverantören att anlita någon annan att lagra uppgifterna. Det är i dagsläget svårt att bedöma om leverantörerna kommer att bygga upp ett samarbete kring lagringen av uppgifter- na. Det går därför inte att nu beräkna kostnaderna som om lagring- en redan från början skulle genomföras på det totalt sett mest kostnadseffektiva sättet. De beräkningar som har gjorts i rapporten och en jämförelse med de kostnadsberäkningar som har gjorts i andra länder tyder dock på att kostnaderna för lagringen inte är så höga som leverantörernas beräkningar visar och att lagringen kan utföras rationellt inom varje leverantörs verksamhet. Vi bedömer att kostnaderna för lagringen med en kostnadseffektiv lagring hos varje leverantör kan beräknas uppgå till omkring 100 miljoner kro- nor.

Kostnaderna för att lämna ut trafikuppgifter beror i stor ut- sträckning på verksamhetens omfattning, dvs. antalet kunder och antalet förfrågningar från brottsbekämpande myndigheter. I och med att fler uppgifter kommer att finnas lagrade skulle det kunna antas att de brottsbekämpande myndigheterna i större utsträckning än i dag kommer att begära ut uppgifter. Enligt vår bedömning tor- de ökningen dock inte bli så stor eftersom vi inte föreslår några ändringar i de bestämmelser som reglerar när trafikuppgifter ska lämnas ut. Vi bedömer att leverantörer med ett stort antal kunder kommer att behöva verkställa ett större antal beslut om tillgång till

256

trafikuppgifter än leverantörer med få kunder. Det är dock inte sä- kert att det alltid blir så. I vissa fall kan en leverantör med få kunder också behöva verkställa ett relativt sett stort antal beslut.

Vid beräkningen av kostnaderna för utlämnande av uppgifterna måste det också beaktas att våra förslag inte innebär något krav på en ”jourverksamhet” dygnet runt för leverantörerna. Vårt förslag innebär alltså inte att t.ex. små leverantörer alltid måste ha en be- redskap för att snabbt kunna lämna ut uppgifter. De större leveran- törerna torde redan i dag ha kapacitet för att lämna ut uppgifterna även efter kontorstid. Under förutsättning att själva utlämnandet sker på samma sätt som i dag räknar vi med att det inte uppstår några ytterligare kostnader i förhållande till de kostnader som leve- rantörerna har i dag även om små leverantörer som i dag inte har några rutiner för överlämnande kan få vissa nya kostnader.

Den kostnadsanalys som finns i rapporten anger att kostnaderna för att lämna ut trafikuppgifter innefattar personalkostnader och kostnader för utbildning och säkerhetsåtgärder. I rapporten upp- skattas dessa kostnader till ca 21 miljoner kronor per år. Vi har räknat med en viss ökning av antalet fall där trafikuppgifter kom- mer att begäras ut och bedömer att antalet fall kommer att stiga från ca 9 000 per år till ca 10 000 per år. I dag beräknar leverantö- rerna och de brottsbekämpande myndigheterna att kostnaden för utlämnande i ett normalt ärende uppgår till ca 1 500–2 000 kronor per ärende. Med dessa beräkningar som grund bedömer vi att kost- naderna för utlämnande av trafikuppgifter kommer att uppgå till omkring 20 miljoner kronor per år.

En sammanfattande bedömning innebär att kostnaderna för att genomföra våra förslag kan beräknas uppgå till omkring 220 miljo- ner kronor, varav ca 200 miljoner kronor avser kostnader för att identifiera, spara och lagra trafikuppgifter och 20 miljoner kronor avser kostnader för att lämna ut uppgifterna. Denna kostnadsbe- dömning kan jämföras med de bedömningarna av kostnader som har gjorts i Norge (ca 100–160 miljoner kronor) och i Danmark (ca 123–246 miljoner kronor). Kostnaden kan också jämföras med den totala omsättningen i Sverige på marknaden för elektronisk kom- munikation som uppgick till knappt 49 miljarder kronor år 2006.

257

13.8Kostnadsfördelningen

Förslag: Leverantörerna ska stå kostnaderna för lagring, säkerhet och anpassning av systemen. Det allmänna ska ersätta leverantörer- na när uppgifter lämnas ut i enskilda ärenden.

Post- och telestyrelsen får efter samråd med Åklagarmyndighe- ten, Ekobrottsmyndigheten, Rikspolisstyrelsen och Tullverket meddela föreskrifter om ersättningen.

13.8.1Våra utgångspunkter

Utifrån de kostnadsberäkningar vi gjort ska vi enligt våra direktiv ta fram olika alternativ för fördelningen av kostnaderna och redovi- sa de för- och nackdelar de olika alternativen medför. Vid valet mellan olika fördelningsmodeller ska vi särskilt beakta vilken lös- ning som blir samhällsekonomiskt mest kostnadseffektiv. I våra resonemang ska vi beakta behovet av en väl fungerande konkurrens på marknaden.

Vid de diskussioner vi har fört med leverantörerna och de brottsbekämpande myndigheterna har deras utgångspunkter i frå- gan om kostnadernas fördelning varit olika. Leverantörerna ser lag- ringen av trafikuppgifter som en ”verksamhetsfrämmande” uppgift som de inte har någon nytta av och i princip inte bör betala för, medan de brottsbekämpande myndigheterna befarar att brottsbe- kämpningens effektivitet sätts i fara om statens kostnader blir för höga.

En samhällsekonomisk utgångspunkt för våra överväganden om kostnadernas fördelning bör vara att ansvaret för kostnaderna ska förläggas så att det ger ett incitament att hålla kostnaderna nere. För att syftet med lagringen av trafikuppgifter ska uppnås måste fördelningen av kostnaderna också göras så att kostnaderna i sig inte blir ett hinder som leder till att trafikuppgifterna inte används i de fall det är befogat. Ansvaret för kostnaderna bör således fördelas så att de lagrade trafikuppgifterna utnyttjas effektivt och fullt ut inom de ramar som rättegångsbalken och lagen om elektronisk kommunikation medger. Med andra ord bör kostnaderna för lag- ring och utlämnande av trafikuppgifter i möjligaste mån fördelas så att den som kan påverka kostnaden har ansvaret för den. Vi bör också söka efter en lösning som innebär så låga administrativa

258

kostnader som möjligt både för staten och för leverantörerna på marknaden för elektronisk kommunikation.

Erfarenheterna från andra länder visar att det i princip finns tre olika system som tillämpas för fördelning av kostnaderna. Syste- men innebär antingen att staten betalar samtliga kostnader, att le- verantörerna betalar samtliga kostnader eller att kostnaderna förde- las mellan staten och leverantörerna. I det följande presenteras tre modeller för hur kostnaderna skulle kunna fördelas med redovis- ning av de för- och nackdelar som varje modell medför. Därefter redovisar vi den modell som vi förordar för kostnadsfördelningen.

13.8.2Olika modeller för kostnadsfördelning

Det allmänna står för alla kostnader

Genomförandet av direktivet om lagring av trafikuppgifter innebär att uppgifterna lagras enbart för att användas vid bekämpning av allvarliga brott. Det är medborgarna som har ett intresse av att all- varliga brott kan utredas och lagföras. Det är således det allmänna, genom medborgarna, men också företag och organisationer, som utifrån ett sådant resonemang måste sägas ha nytta av att trafik- uppgifterna lagras. Lagringsskyldigheten kan med dessa utgångs- punkter anses som en statlig angelägenhet som bör bekostas av det allmänna.

Eftersom det blir leverantörerna som faktiskt genomför lag- ringen av trafikuppgifterna, anpassar sina system och lämnar ut uppgifterna måste en ordning där staten skulle stå för alla kostna- der innebära att leverantörerna får ersättning av staten för de kost- nader de haft och framdeles har för lagring, anpassning och utläm- nande av trafikuppgifter.

En fördel med att det allmänna står för samtliga kostnader är att kostnaderna för brottsbekämpningen blir tydligt avgränsade. Där- med skulle det också kunna bli möjligt att bedöma systemets kost- nadseffektivitet utifrån användningen av de lagrade uppgifterna i brottsbekämpningen. En annan fördel med att staten skulle stå för kostnaderna är att inte en särskild sektor inom näringslivet skulle få bära en del av kostnaderna för brottsbekämpningen. En ytterligare fördel med att det allmänna skulle stå för alla kostnader skulle kunna vara att det skulle bli ett konkurrensneutralt system. Det förutsätter dock att staten kan fastställa exakt vad varje leverantör

259

ska utföra och också ersätter alla leverantörer på exakt samma sätt. En modell som har framförts som tänkbar är att staten skulle be- stämma vilka nödvändiga standardinvesteringar som leverantörerna behöver vidta för att lagra de olika trafikuppgifterna och därefter ge ersättning till leverantörerna fördelat per kund och år. Det argu- ment som har framförts för den modellen är att leverantörerna skulle ha incitament att lagra och lämna ut uppgifter till lägsta möj- liga kostnad.

En modell som innebär att det allmänna står för samliga kostna- der är också förenad med flera nackdelar. Om staten skulle betala alla kostnader skulle det med nödvändighet föra med sig att staten eller i praktiken de brottsbekämpande myndigheterna mer specifikt skulle behöva avgöra vilken teknik och vilka säkerhetsåtgärder som är nödvändiga för att genomföra lagringen. Det skulle i sin tur krä- va att det allmänna byggde upp en enorm kompetens om den tek- niska utvecklingen och detaljer rörande flera hundra leverantörers system och deras organisation med bl.a. säkerhetssystem. Alterna- tivet skulle vara att det allmänna, utan att ha möjlighet att ifrågasät- ta kostnaderna eller påverka dem, betalade vad leverantören begär- de eller att staten angav en fix summa och ”beställde en lösning” av varje leverantör. Ett ersättningssystem enligt någon av de skissera- de modellerna skulle också medföra administrativa kostnader för både staten och leverantörerna. De administrativa kostnaderna skulle röra sig om upphandling, hur ersättningen skulle fördelas mellan olika leverantörer, vilka kostnader som skulle ersättas och andra liknande frågor. Ett system som innebär att det allmänna står för samtliga kostnader skulle ändå inte innebära någon garanti för att leverantörerna skulle anse sig rent faktiskt få ersättning för alla kostnader eller att den ersättning en leverantör skulle få blev rättvis i förhållande till andra leverantörer.

Oavsett vilken av de skisserade metoderna man väljer är det all- mänt sett förenat med en risk för att det inte i slutänden blir en samhällsekonomiskt effektiv kostnadsfördelning om den som ska betala kostnaderna inte har tillräcklig kunskap samtidigt som den som ska utföra uppdraget inte har något egentligt incitament att hålla kostnaderna nere.

Mot bakgrund av den mycket stora variationen mellan de leve- rantörer som är anmälningspliktiga och därmed lagringsskyldiga både avseende innehållet i deras verksamhet och storleken på verk- samheten kan vi konstatera att det skulle vara mycket komplicerat

260

att hitta ett system där staten kan ersätta leverantörer för kostnader på ett sätt som blir både kostnadseffektivt och konkurrensneutralt.

Leverantörerna står för alla kostnader

Om leverantörerna skulle stå för kostnaderna skulle intresset av kostnadseffektiva lösningar för tekniska system, drift, administra- tion och underhåll bli tydligt. Leverantörernas kunskap om sina respektive tekniska system och behov av nyanskaffningar och an- passningar, deras kunskap om systemens behov i drift och av un- derhåll samt om vilka säkerhetssystem som finns och vilka system som behöver utvecklas skulle därmed utnyttjas fullt ut och säkert leda till att kostnaderna kunde hållas nere.

Samtidigt finns det flera omständigheter som talar emot att le- verantörerna skulle stå för samtliga kostnader. En sådan lösning av kostnadsfrågan skulle kunna kritiseras utifrån att det kan anses tveksamt om en viss sektor i näringslivet ska stå för kostnaderna för ett system som alla medborgare, företag och organisationer har nytta av. En annan sak som talar emot att enbart leverantörerna skulle stå för kostnaderna är att de i huvudsak inte har nytta av de uppgifter som lagringsskyldigheten omfattar, även om de redan i dag lagrar en del av de uppgifter som ska lagras enligt vårt förslag. Leverantörerna skulle därmed få en kostnad som antingen leder till minskad vinst eller till att kostnaderna måste tas ut av kunderna. Det skulle kunna få en hämmande effekt på leverantörernas vilja att genomföra lagringen på bästa sätt och samtidigt bli en risk för för- sämrad konkurrens på marknaden för elektronisk kommunikation. Om leverantörerna skulle stå för samtliga kostnader skulle det ock- så kunna uppstå en viss osäkerhet kring frågan om lagringen ut- nyttjas effektivt av de brottsbekämpande myndigheterna. I effekti- vitetskravet ligger att lagrade trafikuppgifter ska utnyttjas så långt reglerna i rättegångsbalken och lagen om elektronisk kommunika- tion medger. Både ett överutnyttjande och ett underutnyttjande skulle innebära negativa konsekvenser för tilltron till systemet.

Vi kan således konstatera att en modell som innebär att leveran- törerna står för samtliga kostnader också är förenad med flera komplicerade överväganden och att frågor om konkurrens och till- tron till systemet skulle behöva övervägas noggrant innan modellen kan utvecklas till att bli en kostnadseffektiv och konkurrensneutral lösning.

261

Kostnaderna fördelas mellan det allmänna och leverantörerna

En fördel med att fördela kostnaderna mellan det allmänna och le- verantörerna är att det blir möjligt att dra nytta av det bästa med de två andra modellerna och förena de positiva faktorerna i en lösning. Ett delat kostnadsansvar leder till att leverantörernas tekniska och administrativa kapacitet på området för elektronisk kommunika- tion och deras incitament att hålla kostnaderna nere länkas till de brottsbekämpande myndigheternas incitament att använda trafik- uppgifterna precist och på ett sätt som är effektivt för brottsbe- kämpningen. Det är också den lösning som leder till minst admi- nistrativa kostnader.

En modell som innebär att kostnaderna fördelas mellan det all- männa och leverantörerna kräver dock noggranna överväganden om hur fördelningen bör ske. Utgångspunkten för dessa över- väganden bör vara att kostnadsansvaret ska ligga där det finns möj- ligheter att påverka kostnaderna. En fördelning som innebär så lite administration som möjligt och som minskar behovet av kostnads- fördelningsresonemang bör också eftersträvas.

Den nuvarande anpassningsskyldigheten i 6 kap. 19 § LEK byg- ger på en kostnadsfördelning mellan det allmänna och leverantö- rerna som innebär att leverantörerna står för kostnaderna för an- passning, drift och underhåll och de brottsbekämpande myndighe- terna betalar en ersättning till leverantörerna vid varje utlämnande av uppgifter. Grunden för den kostnadsfördelningen är principiella överväganden om fördelningen av anpassningskostnader mellan det allmänna och leverantörerna när det gäller tillgång till viss del av leverantörernas verksamhet i brottsbekämpningen. Dessa över- väganden har giltighet även för bedömningen av hur kostnaderna för genomförandet av våra förslag bör fördelas. Vi ser det som en fördel om samma principer för kostnadsfördelningen som har an- vänts tidigare kan användas för kostnaderna för lagringsskyldighe- ten.

Vi bedömer att fördelarna med en modell där kostnaderna för- delas mellan det allmänna och leverantörerna är stora jämfört med de andra alternativ vi har prövat och vi bedömer att en sådan mo- dell inte är förenad med några avgörande nackdelar. Det är därför den modell vi förordar. I följande avsnitt redovisar vi närmare våra överväganden om hur en sådan modell bör utformas.

262

13.8.3Vårt förslag på hur kostnaderna ska fördelas

Vi förordar en modell som innebär en fördelning av kostnaderna för lagringen av trafikuppgifter.

Som vi nämnt bygger den nuvarande anpassningsskyldigheten i 6 kap. 19 § LEK på en kostnadsfördelning mellan det allmänna och leverantörerna, där leverantörerna står för kostnaderna för anpass- ning, drift och underhåll av systemen och de brottsbekämpande myndigheterna betalar en ersättning till leverantörerna vid varje utlämnande av uppgifter. När den kostnadsfördelningen infördes anförde regeringen att det finns en rad verksamhetsområden där samhället som förutsättning för att få idka näring kräver att vissa samhälleliga intressen beaktas (prop. 1995/96:180 s. 31 ff.). Som exempel angavs arbetsgivares skyldighet att uppbära, redovisa och inbetala preliminär skatt för anställda och miljöfarlig verksamhet där företagen måste investera stora summor för att minimera de skador som kan följa med verksamheten. Regeringen menade att det inte fanns någon avgörande principiell skillnad mellan dessa förpliktelser och en förpliktelse att på egen bekostnad anpassa tele- systemen så att möjligheterna till hemlig teleavlyssning och hemlig teleövervakning bibehålls. Regeringen anförde vidare att hemlig teleavlyssning och hemlig teleövervakning inte kunde sägas inta någon särställning i detta hänseende endast på den grunden att det rör sig om brottsbekämpande verksamhet. Regeringen uttryckte att det redan fanns lagstadgade skyldigheter för företag att vidta vissa åtgärder för att underlätta den brottsbekämpande verksamheten. Som exempel nämndes bankernas uppgiftsskyldighet enligt lagen (1993:768) om åtgärder mot penningtvätt. En anpassning av de tekniska systemen hos leverantörerna skulle betraktas som helt skild från den brottsbekämpande verksamheten i form av de en- skilda förundersökningar där tvångsmedel aktualiseras.

Regeringen anförde att leverantörerna skulle stå för anpass- ningskostnaderna, men underströk samtidigt att denna princip inte innebar att polisen fritt fick bestämma vilka anpassningar som skul- le göras. Vilka anpassningar som ålåg respektive leverantör skulle fastslås av PTS i beslut om tillståndsvillkor. Tillståndsmyndigheten skulle vid sin prövning beakta nyttan av en anpassning mot kostna- den för denna, samt även beakta om anpassningen gjordes i ett be- fintligt telesystem eller om det var krav som ställdes i samband med byte till ny teknik.

263

Vidare fann regeringen att när det gällde kostnaderna för ett ut- lämnande av uppgifter i det enskilda fallet borde polisen för varje enskild verkställighetsåtgärd betala en ersättning till leverantörerna. Regeringen menade att de brottsbekämpande myndigheterna också i fortsättningen borde få väga kostnaderna och fördelarna med des- sa tvångsmedel mot kostnaderna och fördelarna med andra åtgärder som kan komma i fråga. Regeringen fann inte skäl att reglera vilken ersättning som skulle utgå. Tvärtom utgick regeringen från att leve- rantörerna och polisen själva skulle lösa detta (prop. 1995/96:180 s. 29 f.).

Den lagringsskyldighet och anpassningsskyldighet som vi före- slår blir endast en del av det regelsystem som redan gäller enligt rättegångsbalken och lagen om elektronisk kommunikation. Med denna utgångspunkt måste starka skäl anses tala för att kostnaderna ska fördelas på samma sätt som enligt det redan nu gällande syste- met. Vi förordar därför en modell som innebär att leverantörerna ska stå för kostnaderna för lagring, säkerhet och anpassning av sy- stemen och att det allmänna ska betala ersättning till leverantörerna när uppgifter lämnas ut.

Med en sådan fördelning uppnår man fördelen att leverantörer- na genom sin kunskap och kompetens om de egna systemen och om den tekniska anpassning som behöver göras kan hålla kostna- derna nere. Samtidigt får de brottsbekämpande myndigheterna be- tala för utlämnandet av just de trafikuppgifter som har en direkt koppling till uppgiften att utreda och lagföra allvarlig brottslighet. Därmed skapas ett incitament för myndigheterna att förena de rättssäkerhetsöverväganden som görs vid användning av hemliga tvångsmedel och inhämtande av uppgifter enligt lagen om elektro- nisk kommunikation med överväganden som innebär att lagrade trafikuppgifter används på ett kostnadseffektivt sätt.

Den modell vi förordar innebär också att vi kommer att ha en fördelning av kostnaderna som liknar den modell som flertalet av de länder vi har kunskap om har valt.

13.8.4Ersättning för utlämnande av trafikuppgifter

Den modell för fördelningen av kostnaderna som vi förordar inne- bär att ansvaret för kostnaderna och möjligheterna att påverka kostnaderna hänger ihop. När principerna för den ersättning som myndigheterna ska betala för utlämnande av trafikuppgifter ska

264

bestämmas bör det ske med utgångspunkt i att leverantörerna ska få sina kostnader för att lämna ut trafikuppgifter i enskilda ärenden ersatta. Samtidigt går det inte att komma ifrån att om kostnaderna för de brottsbekämpande myndigheterna blir för höga så kan det påverka deras möjligheter att effektivt bedriva brottsutredningar och använda lagrade trafikuppgifter som det är tänkt. Det låter sig inte göras att exakt beräkna vad varje enskilt utlämnande av trafik- uppgifter från leverantörerna till de brottsbekämpande myndighe- terna innebär för kostnader och använda beräkningen för att hitta principerna för ersättning. Kostnaderna varierar mellan olika leve- rantörer, bl.a. beroende på vilka uppgifter som begärs ut och när verkställigheten ska ske.

För både leverantörerna och de brottsbekämpande myndighe- terna måste det vara en fördel om ersättningen för utlämnande av trafikuppgifter kan regleras på enklaste sätt. Om ersättningen ska bestämmas för varje enskilt ärende leder det till administrativa kostnader för båda parter och det riskerar dessutom att hämma ef- fektiviteten både i leverantörernas och de brottsbekämpande myn- digheternas verksamheter. Ersättningens storlek bör därför be- stämmas enligt vissa schabloner som bygger på beräkningar av leve- rantörernas kostnader i olika typer av ärenden.

Hittills har ersättningen vid utlämnande av uppgifter bestämts generellt efter förhandlingar mellan Säkerhetspolisen och de största leverantörerna eller, när sådant avtal inte funnits, efter förhandling mellan den brottsbekämpande myndigheten och leverantören i det enskilda fallet. Att t.ex. Säkerhetspolisen för förhandlingar med leverantörerna för de brottsbekämpande myndigheternas räkning skulle kunna vara ett alternativ för att fastställa generella ersätt- ningsbelopp även i fortsättningen. Vi har dock förstått att det har varit mycket svårt för Säkerhetspolisen och de största leverantörer- na att komma överens och förhandlingarna har varit både resurs- krävande och tidsödande. Säkerhetspolisen har generella avtal med mindre än en handfull leverantörer. Enligt uppgift tog det mellan två och tre år av ständigt pågående förhandlingar innan överens- kommelserna nåddes. De överenskommelser som har träffats gäller inte heller alla leverantörer.

Lagringsskyldigheten kommer att gälla hundratals leverantörer och det går inte i förväg att göra ett säkert antagande om vilka av dem som kommer att lämna ut uppgifter eller i vilken omfattning. Enligt vår bedömning skulle det bli orimligt med en ordning som innebär att mycket stora resurser såväl hos leverantörerna som hos

265

de brottsbekämpande myndigheterna skulle behöva läggas ned för att bestämma schablonersättningar för olika typer av utlämnanden när samtidigt inte samtliga leverantörer blir bundna av det som överenskoms. Ett alternativ skulle kunna vara att Säkerhetspolisen fick förhandla med leverantörerna som ett kollektiv t.ex. genom en branschorganisation. På så sätt skulle ersättningens storlek bli den- samma för alla leverantörer som är anslutna till organisationen eller som har deltagit vid förhandlingen. Vi har dock kunnat konstatera att det inte finns något branschorgan som liknar t.ex. det som finns i Danmark och det är tveksamt om det finns någon på leverantörs- sidan som skulle kunna förhandla för de övriga. En överenskom- melse skulle heller inte bli bindande för de leverantörer som inte varit med och således inte reglera ersättningsfrågorna fullt ut.

Det av resurs- och tidsskäl överlägset bästa sättet att reglera er- sättningsnivån är att tillsynsmyndigheten (PTS) fastställer scha- bloner och ger riktlinjer för vad som ska gälla i de situationer där det finns anledning att avvika från schablonerna. Ett system med schablonersättning ger en enkel och snabb handläggning för både leverantörer och de brottsbekämpande myndigheterna. Schabloner- sättningar med förutbestämda nivåer för ersättningen ger också minskade administrationskostnader och möjliggör en effektiv handläggning. Genom att ersättningens storlek är bestämd på för- hand är den också förutsebar för alla parter. En på det sättet be- stämd ersättning kommer givetvis inte att exakt motsvara kostna- den i varje enskilt ärende. Det ligger i sakens natur att leverantö- rerna ibland kommer att få en högre ersättning än vad deras kost- nader kanske motiverar och att de ibland får en något lägre ersätt- ningen än vad som motsvarar deras kostnader. Om avvikelserna blir för stora bör dock schablonersättningen inte tillämpas utan en er- sättning bestämmas till ett belopp som motsvarar kostnaderna i det enskilda fallet.

För att uppnå effektivitet och förutsebarhet bör schablonerna gälla under relativt lång tid. En förebild kan vara den ordning som gäller för fastställande av ersättning till exempelvis rättshjälpsbiträ- den enligt 27 § rättshjälpslagen (1996:1619) och till offentliga för- svarare enligt 21 kap. 10 § RB. I de fallen har regeringen föreskrivit i 19 § rättshjälpsförordningen (1997:404) respektive 2 § förord- ningen (1997:406) om offentlig försvarare m.m. att Domstolsver- ket fastställer taxor för ersättningen.

Utgångspunkten vid bestämmandet av schablonerna bör vara att leverantörerna ska få ersättning för sina kostnader. Vi har i avsnitt

266

13.6.3 identifierat de kostnader som uppstår för leverantörerna när uppgifter lämnas ut. Det är fråga om kostnader för tekniska system för att enkelt kunna söka efter de uppgifter som en begäran om utlämnande omfattar och kostnader för drift och underhåll av sy- stemen. Det är också fråga om kostnader för den personal som ska hantera och lämna ut uppgifterna samt kostnader för att hitta ett gemensamt gränssnitt till mottagaren så att uppgifterna enkelt kan lämnas ut. Andra faktorer som skulle kunna påverka nivån för schablonbeloppen är vilka typer av uppgifter som efterfrågas (om det avser fast eller mobil telefoni eller Internet), det antal trafik- uppgifter som begäran avser och hur många utlämnanden som mås- te ske samt tidpunkten när utlämnande begärs och när det verk- ställs. Schablonbeloppen bör bestämmas utifrån de kostnader som en leverantör med goda rutiner har i samband med utlämnande av trafikuppgifter.

För att ge de brottsbekämpande myndigheterna möjlighet att påverka hur schablonbeloppen bestäms och insyn i beräkningen bör de fastställas efter samråd med de myndigheter som har ären- den om hemlig teleövervakning och utlämnanden enligt lagen om elektronisk kommunikation. Även leverantörernas synpunkter bör naturligtvis inhämtas.

Vi vill tydliggöra att det vid hemlig teleövervakning är möjligt för de brottsbekämpande myndigheterna att få tillgång till såväl historiska uppgifter som uppgifter framåt i tiden från det att myn- digheten begärde verkställighet (realtidsuppgifter, se avsnitt 2.3.1). Det ingår inte i vårt uppdrag att författningsreglera ersättningen vid utlämnande av realtidsuppgifter enligt reglerna om hemlig tele- övervakning. Den reglering vi föreslår avser således endast de histo- riska uppgifterna, dvs. alla uppgifter som inte fortlöpande läses av. Eftersom hemlig teleövervakning ofta omfattar såväl historiska uppgifter som realtidsuppgifter, måste tillsynsmyndigheten ta hän- syn till detta när ersättningens storlek bestäms i föreskrifter. Av- sikten är inte att leverantören i de fallen ska få dubbla ersättningar, dels för de historiska uppgifterna enligt föreskrifterna, dels för re- altidsuppgifter enligt avtal mellan de brottsbekämpande myndighe- terna och leverantörerna. Det bör också tydliggöras att ersättning- en inte kommer att gälla för de fall andra uppgifter lämnas ut vid hemlig teleövervakning eller enligt lagen om elektronisk kommu- nikation än dem som lagras enligt vårt förslag.

267

14 Konkurrens

14.1Sammanfattning av våra bedömningar

•Lagringsskyldigheten innebär en viss inverkan på konkur- rensen.

•Möjligheten att ge undantag från skyldigheten att lagra tra- fikuppgifter och att anlita annan för att fullgöra lagringen kan mildra effekterna för de små leverantörerna och där- med ge minskad negativ effekt på deras investeringsvilja och möjligheter att stanna kvar på marknaden.

14.2Inledning

Våra förslag innebär att leverantörerna ska stå för kostnaderna för att identifiera, spara och lagra trafikuppgifter med en hög säkerhet och att de brottsbekämpande myndigheterna ska ersätta leverantö- rerna när uppgifter lämnas ut.

Som våra direktiv förutsätter har vi vid utformningen av våra förslag beaktat behovet av en väl fungerande konkurrens på mark- naden i allmänhet samt förslagens inverkan på konkurrensen mel- lan stora och små aktörer och hur förslagen påverkar möjligheterna till marknadstillträde. Vi har också tagit hänsyn till hur förslagen påverkar såväl etablerade som presumtiva aktörers investeringsvilja.

I detta kapitel redogör vi först övergripande för gällande kon- kurrensregleringar inom marknaden för elektronisk kommunika- tion. Därefter ges en översiktlig beskrivning av marknadsförhållan- dena inom olika områden och hur konkurrensen utvecklats. Slutli- gen redogör vi för hur kostnaderna för våra förslag kan väntas på- verka företags möjligheter att träda in på marknaden och konkur- rensen mellan stora och små företag.

269

14.3Gällande konkurrensregleringar

14.3.1Generella regler i konkurrenslagen

Konkurrenslagen (1993:20) innehåller generella regler på konkur- rensområdet. Konkurrenslagens ändamål är att undanröja och mot- verka hinder för en effektiv konkurrens i fråga om produktion av och handel med varor, tjänster och andra nyttigheter. Lagen bygger på den konkurrensrättsliga förbudsprincipen som innebär att vissa åtgärder anses vara konkurrensbegränsande och därmed så skadliga att de förbjuds. Konkurrenslagens grundläggande materiella be- stämmelser utgörs av de generella förbuden mot dels konkurrens- begränsande samarbete mellan företag (6 §), dels missbruk av före- tags dominerande ställning (19 §). Från förbudet mot konkurrens- begränsande samarbete mellan företag finns vissa undantagsbe- stämmelser (8, 8 a, 18 c och 18 e §§).

Enligt 6 § är avtal mellan företag förbjudna om de har till syfte att hindra, begränsa eller snedvrida konkurrensen på ett märkbart sätt eller om de ger ett sådant resultat. I bestämmelsens andra stycke anges vissa avtal som typiskt sett är märkbart konkurrens- begränsande, t.ex. avtal som innebär att produktion, marknader, teknisk utveckling eller investeringar begränsas eller kontrolleras. Med avtal jämställs enligt 3 § samordnade förfaranden och beslut av en sammanslutning av företag.

Förbudet mot missbruk av dominerande ställning i 19 § riktar sig mot åtgärder som företag med dominerande marknadsställning vid- tar mot andra företag eller konsumenter. Till skillnad från 6 § handlar förbudet i 19 § om ett företags eller en företagsgrupps en- sidiga agerande. För att ett förfarande ska vara förbjudet krävs att ett eller flera företag dels har en dominerande ställning på markna- den, dels missbrukar denna ställning. I bestämmelsens andra stycke exemplifieras vissa förfaranden som kan utgöra missbruk. Med be- greppet dominerande ställning avses en stark ekonomisk ställning som möjliggör att ett företag agerar oberoende i förhållande till konkurrenter, kunder och i sista hand konsumenter.

Förbuden mot konkurrensbegränsande samarbete och missbruk av dominerande ställning används för att komma till rätta med ob- serverade förfaranden på marknaden i efterhand. Genom att för- budsbestämmelserna och risken för sanktioner vid överträdelser påverkar företagens agerande får bestämmelserna också en preven- tiv effekt. Ett ingripande med stöd av lagen mot t.ex. ett företags missbruk av en dominerande ställning innebär inte bara att det do-

270

minerande företagets agerande stoppas utan det sänder också en signal till dominerande företag på andra marknader.

14.3.2Specifika regler i lagen om elektronisk kommunikation

När marknaden för elektronisk kommunikation år 1993 öppnades för konkurrens övervägdes om en sektorspecifik särreglering skulle införas eller om de generella konkurrensrättsliga reglerna i konkur- renslagen skulle vara tillräckliga för en fungerande konkurrens på marknaden för elektronisk kommunikation. Telelagen kom till mot bakgrund av att man bedömde att en särreglering var nödvändig. År 2003 ersattes Telelagen, med anledning av ny EG-reglering, av la- gen om elektronisk kommunikation. Lagen om elektronisk kom- munikation är en tämligen långtgående reglering som avser att ska- pa förutsättningar för en fungerande konkurrens.

Syftet med lagen är att skapa en enhetlig och teknikneutral lag- stiftning för all elektronisk kommunikation så att enskilda och myndigheter ska få tillgång till säkra och effektiva (konkurrensut- satta och flexibla) elektroniska kommunikationer och så att de elektroniska kommunikationerna ska ge största möjliga utbyte när det gäller urvalet av överföringstjänster samt deras pris och kvalitet. Syftet ska främst uppnås genom att skapa förutsättningar för en effektiv konkurrens och främja den internationella harmonisering- en på området.

Lagen innehåller verktyg för att främja en sund konkurrens i de fall konsumenternas behov inte tillgodoses av marknaden eller då konkurrensen riskerar att påverkas negativt. Ett sådant verktyg är regleringen om samtrafik. Att samtrafik mellan leverantörerna finns är en grundläggande förutsättning för att abonnenterna hos olika leverantörer ska kunna nå varandra. När en abonnent som har abonnemang hos en viss mobilleverantör ringer en abonnent hos en annan mobilleverantör krävs att leverantörernas nät är samman- kopplade och att samtal kan kopplas fram. Samtrafik är också en förutsättning för att nya leverantörer ska kunna komma in på marknaden. I 4 kap. 1 § föreskrivs därför en skyldighet att förhand- la om samtrafik med den som tillhandahåller eller avser att tillhan- dahålla allmänt tillgängliga elektroniska kommunikationstjänster. Den som kontrollerar tillträde till slutanvändare kan också enligt 4 kap. 3 § förpliktas att bedriva samtrafik på marknadsmässiga villkor för att säkerställa att slutanvändare kan nå varandra. PTS kan ge-

271

nom tillsyn säkerställa att samtrafikavgifterna är kostnadsoriente- rade.

I 4 kap. 4-12 §§ finns bestämmelser om förpliktelser som, om det anses nödvändigt för att skapa en fungerande konkurrens, kan åläggas den som bedöms ha ett betydande inflytande på en viss be- stämd marknad. Reglerna innebär att en leverantör kan förpliktas att i ett referenserbjudande eller på annat sätt offentliggöra vissa uppgifter, att tillämpa icke-diskriminerande villkor, att särredovisa och rapportera specificerad verksamhet med anknytning till sam- trafik och andra former av tillträde, att uppfylla rimliga krav på till- träde till och användning av nät och tillhörande installationer i syfte att tillhandahålla elektroniska kommunikationstjänster samt att i vissa fall iaktta kostnadstäckning eller tillämpa kostnadsorienterad eller annan prissättning för specificerade typer av samtrafik och andra former av tillträde. Förpliktelsen kan också avse tillämpning viss kostnadsredovisningsmetod.

Av 8 kap. 5-7 §§ framgår att PTS fortlöpande ska fastställa vilka produkt- och tjänstemarknader som har sådana särdrag att det kan vara motiverat att införa skyldigheter enligt lagen. Kommissionen har i en rekommendation över relevanta produkt- och tjänstemark- nader identifierat olika marknader som bör analyseras för att fast- ställa om det råder effektiv konkurrens eller om någon aktör har betydande inflytande på en marknad (2003/311/EG). Om det finns företag med ett betydande inflytande på de marknader som identi- fierats i kommissionens rapport kan PTS ålägga det företaget sär- skilda skyldigheter enligt 4 kap. 4-12 §§ och 5 kap. 13 och 14 §§ för att åtgärda konkurrensproblemen. Skyldigheterna ska vara propor- tionella vilket innebär minsta nödvändiga ingripande för att nå ett uppställt mål. Om PTS konstaterar att det inte finns någon aktör med betydande inflytande på den identifierade marknaden kan inte några skyldigheter åläggas. Om det råder effektiv konkurrens ska tidigare fattade beslut om skyldigheter upphävas.

PTS har meddelat ett antal beslut där främst TeliaSonera har be- dömts ha ett betydande inflytande på flera av de marknader som kommissionen har identifierat, bl.a. på marknaderna för tillträde till det fasta telenätet och bitströmstillträde, och därmed ålagt företa- get olika skyldigheter. Flera av PTS beslut har dock överklagats och därmed inte trätt i kraft.

272

14.4Konkurrensen på marknaden för elektronisk kommunikation

Enligt statistik från SCB:s företagsregister uppgick antalet företag som tillhandahåller elektroniska kommunikationstjänster och nät inom näringsgrenen 64201 (nätdrift samt underhåll inom tele- kommunikation)1 till 487 år 2005. Cirka 80 procent av dessa före- tag var förhållandevis små och hade en inhemsk omsättning som uppgick till högst 9,9 miljoner kronor. Drygt 6 procent av företa- gen hade en inhemsk omsättning mellan 10 och 19,9 miljoner kro- nor och knappt 5 procent hade en omsättning mellan 20 och 49,9 miljoner kronor. Vidare hade knappt 2 procent en inhemsk om- sättning mellan 50 och 99,9 miljoner kronor och knappt 4 procent hade en inhemsk omsättning mellan 100 och 499,9 miljoner kro- nor. Drygt 4 procent hade en omsättning som översteg 500 miljo- ner kronor.

Den snabba tekniska utvecklingen inom olika delar av markna- den för elektronisk kommunikation och den ökade konkurrensen har lett till kraftiga prissänkningar och till ett större och mer varie- rat utbud av teleprodukter. Utvecklingen har gjort det möjligt för nya företag att anlägga egna nät, dvs. duplicera (delar av) infra- strukturen och utveckla nya produkter. Enligt statistik från SCB har konsumentpriserna för teletjänster och teleutrustning minskat med ca 28 procent mellan åren 1993 och 2006. Under motsvarande period har KPI ökat med ca 17 procent. Detta betyder att priserna för teletjänster och teleutrustning, jämfört med KPI, fallit med drygt 38 procent.

Enligt PTS uppgick den sammanlagda omsättningen på markna- den för elektronisk kommunikation år 2006 till knappt 49 miljarder kronor. Intäkter från fasta samtalstjänster (inklusive fasta avgifter) utgjorde ca 40 procent av omsättningen medan mobila samtals- tjänster svarade för ca 35 procent. Ca 25 procent av intäkterna här- rörde från datakommunikations- och Internettjänster.2

I det följande ges en översiktlig beskrivning av antalet leverantö- rer och hur omsättningen fördelas mellan leverantörer av olika storlek. För ingående beskrivningar av andra marknadsförhållanden hänvisas till rapporter från bl.a. PTS.

1Näringsgren 64201 omfattar styrning, kontroll och felhantering av telenät och mobilradio- system, tillhandahållande av telefon-, telegram-, telex- och datakommunikationstjänster o.d. samt Internetaccess.

2Uppgifterna är hämtade från Svensk telemarknad 2006

273

14.4.1Fasta samtalstjänster

Marknaden för fasta samtalstjänster har, såsom den definierats i PTS statistikrapporter, förändrats påtagligt sedan marknaden öpp- nades för konkurrens år 1993. När det skedde svarade Telia för i princip hela marknaden. Förvalsreformen och införandet av num- merportabilitet har bidragit till att öka konkurrensen och numera finns ett stort antal leverantörer som konkurrerar med TeliaSonera. Enligt PTS tillhandahöll närmare 75 leverantörer under år 2006 fas- ta samtalstjänster (inklusive IP-baserad telefoni)3. Ungefär 30 leve- rantörer var dock verksamma enbart gentemot företagskunder.

Marknadsandelarna kan beräknas på basis av antalet abonne- mang, intäkter, trafikminuter eller antalet samtal. Vidare kan en uppdelning göras i olika kundkategorier. Oavsett vilken av dessa variabler som används vid beräkningen blir resultatet att tio leve- rantörer svarar för närmare 90 procent av marknaden. Dessa får betecknas som (relativt) stora leverantörer och vissa ingår dessut- om i samma koncern. T.ex. ägs både Glocalnet och Bredbandsbola- get av norska Telenor. Den störste leverantören TeliaSonera, svarar i genomsnitt för närmare 60 procent av marknaden när beräkning- en görs som ett ovägt genomsnitt av alla variablerna. I jämförelse med de tio största leverantörerna är övriga leverantörer förhållan- devis små.

14.4.2Mobila samtalstjänster

Alltsedan GSM-näten togs i bruk under år 1992 har det rått kon- kurrens på marknaden för infrastruktur (radioaccessnät). Av samt- liga mobilteleleverantörer i Sverige är det sex som har egna mobil- nät; TeliaSonera, Tele2, Telenor, Hi3G (3), Spring Mobil och Nor- disk Mobiltelefon. Enligt PTS tillhandahöll omkring 20 leverantö- rer mobila teletjänster under år 2006. Några av dessa vänder sig en- bart till företagskunder.

Baserat på totala intäkter svarade fyra, relativt sett stora leveran- törer (och nätägare) för drygt 95 procent av marknaden år 2006. Leverantören 3:s marknadsandel har stadigt ökat sedan inträdet år 2003.

PTS konstaterar i rapporten Svensk telemarknad 2006 att fristå- ende tjänstetillhandahållare (med undantag för leverantören Djuice

3 Detta definieras av PTS som sådan IP-baserad telefoni där en traditionell telefon kan anslu- tas till accessnätet.

274

som köpts upp av Telenor) ytterst marginellt kunnat påverka pris- konkurrensen på den svenska marknaden. Detta beror enligt PTS dels på utformningen av tredjepartsavtalen med mobilnätsleveran- törerna, dels på att mobilleverantörerna har kunnat välja bort de tjänstetillhandahållare som utgjort ett hot mot den egna verksam- heten.

Trots detta har konkurrensen under senare år ökat, vilket bl.a. hänger samman med leverantören 3:s inträde på marknaden och Telenors etablering i Sverige. En annan faktor som bidragit till ökad konkurrens är införandet hösten 2001 av nummerportabilitet för digital mobiltelefonitjänst. Sedan reformen trädde i kraft har antalet porteringar stadigt ökat och i slutet av juli 2007 hade närma- re 2 500 000 nummer porterats.

Sammantaget kan sägas att det råder konkurrens på marknaden och att det har blivit allt billigare att ringa mobilsamtal. Internatio- nell statistik visar att Sverige (tillsammans med övriga nordiska län- der) tillhör de länder där mobilleverantörer erbjuder de billigaste abonnemangsformerna. Mobilleverantörerna marknadsför många olika abonnemangstyper till varierande priser och valmöjligheterna har också ökat betydligt.

14.4.3Datakommunikations- och Internettjänster

Marknaden för bredbandsaccess innefattar dels datakommunika- tionstjänster, dels Internettjänster. Marknaden kan vidare delas upp beroende på vilka kundkategorier som tjänsterna vänder sig till. Det finns ett stort antal leverantörer som erbjuder abonnemang via olika tekniker eller olika tekniska lösningar. Enligt PTS fanns det under år 2006 minst 130 leverantörer som tillhandahöll datakom- munikationstjänster och det fanns minst 170 leverantörer som till- handahöll Internetaccess. En relativt stor andel av de sistnämnda är små och lokalt verksamma. Den genomsnittliga omsättningen för dessa leverantörer var knappt 7 miljoner kronor, enligt uppgifter från PTS.

Marknaden är i hög grad fragmenterad. Som exempel på det kan nämnas de lokala IT-infrastrukturer, s.k. stadsnät, som många kommuner har utvecklat. Enligt Svenska Stadsnätsföreningen har majoriteten av kommunerna lokalt etablerade stadsnät. Den vanli- gaste accessformen i Sveriges stadsnät är fiberanslutningar. Av fö- reträdare för stadsnäten har 40 procent uppgett att de tillhandahål-

275

ler bredbandsbaserade tjänster, vanligen Internetaccess, i egen regi och i eget namn.

När det gäller Internettjänster svarar enligt PTS sju av markna- dens största leverantörer för närmare 85 procent av marknaden. Tre av leverantörerna ingår i samma koncern. TeliaSonera är den största leverantören på marknaden med en marknadsandel om cirka 40 procent.

14.5Inverkar våra förslag på konkurrensen?

Bedömning: Lagringsskyldigheten innebär en viss inverkan på konkurrensen.

Möjligheten att ge undantag från skyldigheten att lagra trafik- uppgifter och att anlita annan för att fullgöra lagringen kan mildra effekterna för de små leverantörerna och därmed ge minskad nega- tiv effekt på deras investeringsvilja och möjligheter att stanna kvar på marknaden.

14.5.1Kostnader för att identifiera, spara och lagra uppgifter

Marknadstillträde för nya leverantörer

En viktig faktor för ett företags möjligheter att träda in på en marknad är de beräknade etableringskostnaderna för nödvändiga tekniska investeringar (t.ex. utrustning av olika slag) och kostna- derna för lokaler, personal etc. Stora etableringskostnader medför en högre finansiell risk som i sin tur motiverar krav på högre av- kastning.

Vid tillträde på marknaden har ett företag alltid kostnader för att anskaffa den tekniska utrustning som verksamheten kräver. Om tekniska system tas fram som standard och uppfyller de krav som direktivet om lagring av trafikuppgifter ställer är det vår bedöm- ning att merkostnaden för de nödvändiga lagringsfunktionerna blir låg i förhållande till etableringskostnaden i övrigt. För de företag som vill träda in på marknaden inom en relativt snar framtid finns det därför inte något skäl att räkna med att kostnaderna för teknis- ka system blir något ytterligare etableringshinder. Vi bedömer inte heller att kostnaderna för drift och underhåll eller administrativa kostnader kommer att vara så stora att de isolerat skulle utgöra nå- got etableringshinder. Vår samlade bedömning blir således att våra

276

förslag inte kommer att påverka nya leverantörers möjligheter till marknadstillträde eller investeringsvilja.

Etablerade leverantörer

De totala kostnaderna för lagringsskyldigheten är mycket begrän- sade i förhållande till marknadens omsättning. Det innebär att marknaden som helhet torde påverkas endast marginellt av att lag- ringsskyldigheten införs. Detta säger dock inte något om hur en- skilda företag påverkas och hur enskilda företags agerande kan på- verka konkurrensen på marknaden.

Frågan om hur konkurrensen mellan stora och små företag på- verkas för redan etablerade leverantörer måste i stället bedömas mot bakgrund av konkurrensförhållandena på marknaden för elek- tronisk kommunikation och med hänsyn till den mycket stora vari- ation i de verksamheter som de leverantörer som omfattas av lag- ringsskyldigheten bedriver. Vissa leverantörer tillhandahåller nät, andra tillhandahåller tjänster och en del tillhandahåller både nät och tjänster. Vissa leverantörer har en mycket omfattande verksamhet med många kunder och stort verksamhetsområde medan andra be- driver en begränsad lokal verksamhet. Variationerna är också stora mellan leverantörernas tekniska system. Vissa leverantörer har sy- stem som redan till stor del kan vara anpassade till de regler vi före- slår medan andra leverantörers system kräver relativt sett större investeringar. Investeringskostnaderna för två verksamheter som utåt sett är likartade till innehåll och omfattning kan variera. Mark- naden kännetecknas också av en snabb teknisk utveckling och marknadsdynamik och förändras hela tiden.

Mot den bakgrunden är det svårt för oss att med tillräcklig grad av säkerhet dra någon slutsats om vilka effekter lagringsskyldighe- ten får för konkurrensen mellan de redan etablerade leverantörerna. Våra bedömningar måste därför stanna vid ett antal antaganden som bygger på de faktorer som vi faktiskt kan bedöma.

Kostnaderna för ny teknik, anpassning av befintlig teknik, drift och underhåll samt administration och kostnadernas betydelse är till viss del beroende av verksamhetens omfattning. De kostnader som de stora leverantörerna får för att genomföra lagringsskyldig- heten är relativt sett låga i förhållande till deras omsättning. För de stora leverantörerna kan vi inte se att kostnaderna är av sådan bety- delse att de kommer att påverka deras möjlighet att finnas kvar på

277

marknaden och därmed påverka konkurrensen. De stora leverantö- rernas investeringsvilja kan dock påverkas när nya tjänster införs.

När det däremot gäller de leverantörer som bedriver verksamhet av begränsad omfattning kan kostnaderna för att genomföra lag- ringsskyldigheten vara en relativt stor del av deras omsättning. Kostnaderna för de små leverantörerna ökar också relativt sett mer än för de stora leverantörerna. Det medför att det finns en risk för att ökade kostnader, om de blir för höga, kan leda till att leverantö- rerna blir tvungna att träda ut från marknaden, vilket i så fall kan leda till en minskad konkurrens. De små leverantörerna kan alltså bedömas ha en nackdel i konkurrenshänseende i förhållande till de stora leverantörerna

Sådana eventuella negativa effekter kan emellertid mildras. Vi föreslår att PTS ska ha möjlighet att efter samråd med Åklagar- myndigheten och Rikspolisstyrelsen i enskilda fall medge undantag från lagringsskyldigheten (se avsnitt 7.2.3). Undantagen är tänkta för situationer när leverantören bedriver en verksamhet av så liten omfattning att det vid en avvägning mellan det brottsbekämpande intresset av att leverantören lagrar uppgifter och kostnaden för det- ta inte framstår som rimligt att kräva att leverantören fullgör lag- ringsskyldigheten. En leverantör kan också i stället för att själv bära hela kostnaden för investeringar, för drift och underhåll och admi- nistration anlita någon annan för att fullgöra lagringen (se avsnitt 7.5). Genom att anlita annan kan den lagringsskyldige minska sina kostnader om den anlitade har en sådan volym på verksamheten att lagringen kan skötas mer effektivt. Vi bedömer att dessa båda möj- ligheter kan mildra effekterna för de små leverantörerna och där- med ge minskad negativ effekt på deras investeringsvilja och möj- ligheter att stanna kvar på marknaden.

14.5.2Kostnader för att lämna ut uppgifter

Vi har föreslagit att de brottsbekämpande myndigheterna ska läm- na ersättning till leverantörerna när trafikuppgifter lämnas ut. Ut- gångspunkten är att ersättningen ska täcka de kostnader som en begäran om utlämnande har orsakat. Vi bedömer att leverantörer- nas kostnader för att lämna ut trafikuppgifter och den ersättning som de brottsbekämpande myndigheterna betalar inte bör innebära några nämnvärda effekter för konkurrensen eller begränsa möjlig- heterna till marknadstillträde. Kostnaderna för utlämnande av tra- fikuppgifter och ersättningen för dessa kostnader torde inte heller

278

påverka etablerade eller presumtiva leverantörers investeringsvilja negativt.

14.5.3Konkurrensen i ett EU-perspektiv

Flera av de leverantörer som omfattas av lagringsskyldigheten har verksamhet i ett eller flera andra länder. Konkurrensförhållandena inom och mellan olika EU-länder torde påverkas av hur enskilda länder reglerar lagringsskyldigheten och av hur principerna för kostnadsansvaret bestäms i de olika medlemsländerna. För att kon- kurrensfrågorna ska kunna bedömas i ett EU-perspektiv krävs in- gående kännedom om förhållandena i varje medlemsland. Det har inte varit möjligt att göra den bedömningen inom ramen för vårt uppdrag. Vi kan dock konstatera att den lagringstid vi föreslår överensstämmer med den lagringstid som har bestämts eller över- vägs i många andra medlemsländer. Också våra förslag om fördel- ning av kostnader liknar vissa av de system som tillämpas eller övervägs i andra länder.

279

15 Statistik

15.1Sammanfattning av våra förslag

•Statistik ska föras över

–antalet verkställda beslut om hemlig teleövervakning re- spektive utlämnanden enligt lagen om elektronisk kommu- nikation,

–vilka typer av brott som ärendena har avsett,

–hur lång tid som har förlöpt från det att respektive trafik- uppgift lagrades till dess att den brottsbekämpande myn- digheten begärde tillgång till uppgiften och

–antalet ärenden där myndigheternas begäran om att få till- gång till trafikuppgifter inte har kunnat tillgodoses av leve- rantörerna samt vilka typer av brott ärendena har avsett.

•För de ärenden som handläggs av Säkerhetspolisen och som rör rikets säkerhet ska det inte föras någon statistik.

•De brottsbekämpande myndigheterna ska ansvara för stati- stiken. Uppgifterna ska sammanställas av Rikspolisstyrel- sen och rapporteras till regeringen.

15.2Behovet av statistik

Enligt artikel 10 i direktivet om lagring av trafikuppgifter ska med- lemsstaterna säkerställa att kommissionen varje år får statistik om lagring av de uppgifter som genereras eller behandlas i samband med allmänt tillgängliga elektroniska kommunikationstjänster eller allmänna kommunikationsnät. Statistiken ska innefatta följande.

1.De fall där information skickats till behöriga myndigheter i enlighet med nationell lagstiftning.

2.Den tid som gått från det datum då uppgifterna lagrades och det datum då den behöriga myndigheten begärde överförande av uppgifterna.