Datalagring – brottsbekämpning och integritet

Delbetänkande av

Utredningen om datalagring och EU-rätten

Stockholm 2017

SOU 2017:75

SOU och Ds kan köpas från Wolters Kluwers kundservice. Beställningsadress: Wolters Kluwers kundservice, 106 47 Stockholm Ordertelefon: 08-598 191 90

E-post: kundservice@wolterskluwer.se

Webbplats: wolterskluwer.se/offentligapublikationer

För remissutsändningar av SOU och Ds svarar Wolters Kluwer Sverige AB på uppdrag av Regeringskansliets förvaltningsavdelning.

Svara på remiss – hur och varför

Statsrådsberedningen, SB PM 2003:2 (reviderad 2009-05-02).

En kort handledning för dem som ska svara på remiss.

Häftet är gratis och kan laddas ner som pdf från eller beställas på regeringen.se/remisser

Layout: Kommittéservice, Regeringskansliet

Omslag: Elanders Sverige AB

Tryck: Elanders Sverige AB, Stockholm 2017

ISBN 978-91-38-24676-4

ISSN 0375-250X

Till statsrådet och chefen för Justitiedepartementet

Regeringen beslutade den 16 februari 2017 att tillkalla en särskild utredare med uppdrag att se över bestämmelserna om skyldighet att lagra uppgifter om elektronisk kommunikation som gäller leve- rantörer av allmänna kommunikationsnät och allmänt tillgängliga elektroniska kommunikationstjänster samt bestämmelserna om de brottsbekämpande myndigheternas tillgång till sådana uppgifter. Utredaren fick även i uppdrag att se över rättssäkerhetsgarantierna och mekanismerna som ska skydda den personliga integriteten när hemliga tvångsmedel för särskilt allvarlig brottslighet används, vilket redovisas i ett senare betänkande.

Sigurd Heuman, ordförande i Säkerhets- och integritetsskydds- nämnden, förordnades att från och med den 16 februari 2017 vara särskild utredare. Följande personer förordnades att från samma dag som experter biträda utredaren: kriminalkommissarien Anders Ahlqvist och juristen Anna Olander Selldén vid Polismyndigheten, seniora strategiska rådgivaren Kurt Alavaara och chefsjuristen Per Lagerud vid Säkerhetspolisen, juristen Jonas Agnvall vid Data- inspektionen, stabsjuristen Katarina Bigovic Apitzsch vid Tull- verket, professorn Iain Cameron vid Uppsala universitet, chefs- åklagaren Carin Ewald Möller vid Ekobrottsmyndigheten, kam- maråklagaren Hans Harding vid Åklagarmyndigheten, enhets- chefen Staffan Lindmark vid Post- och telestyrelsen, kanslichefen Eva Melander Tell vid Säkerhets- och integritetsskyddsnämnden, generalsekreteraren Anne Ramberg vid Advokatsamfundet, råd- mannen Anna Tansjö vid Helsingborgs tingsrätt samt kansliråden Linda Rantén vid Justitiedepartementet och Helene Ramqvist Engellau vid Näringsdepartementet.

Som sekreterare anställdes från och med den 16 februari 2017 hovrättsassessorn Christofer Gatenheim och från och med den 23 februari 2017 kanslirådet Mikael Kullberg.

Utredningen har antagit namnet Utredningen om datalagring och EU-rätten. Sigurd Heuman svarar som utredare ensam för innehållet i betänkandet även om också experterna har ställt sig bakom det, i den mån inte annat framgår av ett särskilt yttrande. Särskilda uppfattningar i enskildheter och i formuleringar kan dock förekomma utan sådant yttrande.

Härmed överlämnas delbetänkandet Datalagring – brottsbekämp- ning och integritet (SOU 2017:75).

Utredningen fortsätter nu sitt arbete att se över rättssäkerhets- garantierna och mekanismerna som ska skydda den personliga integ- riteten när hemliga tvångsmedel för särskilt allvarlig brottslighet används.

Stockholm i oktober 2017

Sigurd Heuman

/Mikael Kullberg

Christofer Gatenheim

Innehåll

Förkortningar.....................................................................

13

Sammanfattning ................................................................

17

Summary ..........................................................................

31

1

Författningsförslag.....................................................

47

1.1Förslag till lag om ändring i lagen (2003:389) om

elektronisk kommunikation...................................................

47

1.2Förslag till lag om ändring i lagen (2012:278) om inhämtning av uppgifter om elektronisk kommunikation i de brottsbekämpande

myndigheternas underrättelseverksamhet.............................

48

1.3Förslag till förordning om ändring i förordningen

 

(2003:396) om elektronisk kommunikation .........................

50

2

Utredningens uppdrag och arbete ................................

55

2.1

Utredningens uppdrag.............................................................

55

2.2

Utredningsarbetet ...................................................................

56

2.3

Betänkandets disposition ........................................................

57

3

Grundläggande rättigheter ..........................................

59

3.1

Rätten till personlig integritet................................................

59

 

3.1.1

Integritetsbegreppet................................................

59

 

3.1.2

Skyddsintressen .......................................................

60

 

3.1.3

Regleringen av skyddet för privatlivet ...................

61

 

 

 

5

Innehåll

SOU 2017:75

3.2 Skyddet för personuppgifter..................................................

70

3.2.1

Grundläggande EU-rätt..........................................

70

3.2.2EU:s dataskyddsdirektiv och

 

 

dataskyddsreform....................................................

71

 

3.2.3

Dataskyddskonventionen.......................................

73

 

3.2.4

Nationell lagstiftning..............................................

74

3.3

Yttrandefrihet .........................................................................

74

4

Elektronisk kommunikation.........................................

77

4.1

Allmänt om elektronisk kommunikation .............................

77

4.2Integritetsskydd och tystnadsplikt vid elektronisk

 

kommunikation ......................................................................

77

4.3

LEK

.........................................................................................

79

5

Brottsbekämpande ....................................verksamhet

83

5.1

Brottutredande ....................................................verksamhet

83

5.2

Underrättelseverksamhet........................................................

84

 

5.2.1 .........

Polismyndighetens underrättelseverksamhet

85

 

5.2.2 ............

Säkerhetspolisens underrättelseverksamhet

86

 

5.2.3 ......................

Tullverkets underrättelseverksamhet

88

5.3

Allmänt ...........................om straffprocessuella tvångsmedel

89

6

Uppgifter om elektronisk kommunikation i

 

 

brottsbekämpande ....................................verksamhet

93

6.1

Regleringen .......................................av lagring av uppgifter

93

6.2

Regleringen .....................................av tillgång till uppgifter

97

6.2.1Begreppen abonnemangsuppgifter,

 

trafikuppgifter och lokaliseringsuppgifter

............. 97

6.2.2

Abonnemangsuppgifter ........................................

101

6.2.3Hemlig övervakning av elektronisk

 

kommunikation.....................................................

102

6.2.4

IHL ........................................................................

105

6.2.5

2007 års preventivlag.............................................

106

6.2.6

LSU ........................................................................

107

6

SOU 2017:75 Innehåll

6.3

Säkerheten för lagrade uppgifter..........................................

107

6.4

Kontrollmekanismer och rättssäkerhetsgarantier...............

109

 

6.4.1

Förhandskontroll...................................................

109

 

6.4.2

Efterhandskontroll ................................................

111

6.4.3Begränsningar i rätten att använda

 

 

överskottsinformation............................................

117

7

Nyttan och behovet av uppgifter om elektronisk

 

 

kommunikation i brottsbekämpande verksamhet.........

119

7.1

Utredningsverksamhet .........................................................

120

7.2

Underrättelseverksamhet .....................................................

124

7.3

Användandet av kommunikationstjänster...........................

127

 

7.3.1

Mobiltelefoner och mobilt internet......................

128

 

7.3.2

Fast telefoni ...........................................................

130

 

7.3.3

Internet i hemmet..................................................

130

 

7.3.4

Andra användningsområden .................................

130

7.4

Nyttan och behovet av de olika uppgifterna.......................

131

7.5

Lagringstiden.........................................................................

132

8

EU-rättens påverkan på reglerna om datalagring...........

135

8.1

Datalagringsdirektivet ...........................................................

135

 

8.1.1

Direktivets syfte och tillämpningsområde ............

135

 

8.1.2

Lagringsskyldighetens omfattning ........................

135

 

8.1.3

Tillgången till lagrade uppgifter.............................

136

 

8.1.4

Den svenska genomförandeprocessen...................

137

8.2

EU-domstolens första dom – Digital Rights-domen...........

138

8.3

Analysen efter Digital Rights-domen (Ds 2014:23) ............

141

 

8.3.1

Lagringsskyldighetens omfattning ........................

142

 

8.3.2

Tillgången till uppgifterna......................................

145

 

8.3.3

Lagringstiden..........................................................

149

 

8.3.4

Säkerheten för de lagrade uppgifterna...................

150

 

8.3.5

Samlad bedömning.................................................

153

8.4 Datalagringsutredningens överväganden (SOU 2015:31)... 153

7

Innehåll

SOU 2017:75

8.4.1Inget förslag om förändring i fråga om vilka

 

 

uppgiftskategorier som ska lagras .........................

154

 

8.4.2

Inget förslag om krav på lagring inom EU ...........

154

 

8.4.3

Uppgifter som omfattas av tystnadsplikt .............

156

 

8.4.4

IHL ........................................................................

157

9

EU-domstolens andra dom – Tele2-domen ..................

169

9.1

Direktiv 2002/58 är tillämpligt på datalagringsreglerna.......

170

9.2

Artikel 15.1 ska tolkas strikt.................................................

171

9.3

Artikel 15.1 ska tolkas mot bakgrund av rättighetsstadgan....

172

9.4Inskränkningar i rättighetsskyddet får bara göras om

åtgärden är proportionell ......................................................

172

9.5De svenska reglerna utgör inskränkningar i artikel 7, 8

och 11 i rättighetsstadgan .....................................................

173

9.6Inskränkningarna som de svenska reglerna medför är

inte proportionella ................................................................

174

9.7 Lagringen...............................................................................

175

9.7.1Generell och odifferentierad lagring är inte motiverad ens för att bekämpa grov

 

brottslighet.............................................................

175

9.7.2

Riktad lagring.........................................................

176

9.8 Tillgången..............................................................................

177

9.8.1

Endast för att bekämpa grov brottslighet .............

177

9.8.2

Precisa krav måste föreskrivas...............................

177

9.8.3Tillgång bara till uppgifter om personer som är

inblandade i ett allvarligt brott ..............................

178

9.8.4Förhandskontroll av domstol eller oberoende

 

myndighet ..............................................................

178

9.8.5

Information till de berörda....................................

179

9.9Skydds- och säkerhetsnivåer, lagring inom EU och

 

utplåning................................................................................

179

9.10

Tillsyn....................................................................................

179

9.11

EU-domstolens slutsatser.....................................................

180

8

SOU 2017:75 Innehåll

10

Målet i Kammarrätten i Stockholm.............................

181

10.1

Bakgrund................................................................................

181

10.2

Målet i förvaltningsrätten......................................................

181

10.3

Målet i kammarrätten ............................................................

183

 

10.3.1 Den inledande delen av rättegången ......................

183

 

10.3.2 Kammarrättens dom ..............................................

183

11

Internationell utblick................................................

185

11.1

Danmark ................................................................................

185

 

11.1.1

Tillämpliga bestämmelser.......................................

185

 

11.1.2

Lagring....................................................................

185

 

11.1.3

Tillgång...................................................................

186

 

11.1.4 Skydd för de lagrade uppgifterna...........................

187

 

11.1.5

Förändringsarbete ..................................................

187

11.2

Finland ...................................................................................

 

187

 

11.2.1

Tillämpliga bestämmelser.......................................

187

 

11.2.2

Lagring....................................................................

188

 

11.2.3

Tillgång...................................................................

188

 

11.2.4 Skydd för de lagrade uppgifterna...........................

189

 

11.2.5

Förändringsarbete ..................................................

189

11.3

Tyskland.................................................................................

 

190

 

11.3.1

Tillämpliga bestämmelser.......................................

190

 

11.3.2

Lagring....................................................................

190

 

11.3.3

Tillgång...................................................................

191

 

11.3.4 Skydd för de lagrade uppgifterna...........................

192

 

11.3.5

Förändringsarbete ..................................................

192

11.4

Övriga länder .........................................................................

192

 

11.4.1

Österrike ................................................................

192

 

11.4.2

Belgien ....................................................................

192

 

11.4.3

Portugal ..................................................................

193

12

Överväganden..........................................................

195

12.1

EU-rätten måste beaktas ......................................................

195

9

Innehåll

SOU 2017:75

12.2

Abonnemangsuppgifter omfattas inte av Tele2-domen

 

 

men av EU-rätten .................................................................

196

12.3

Det är nödvändigt att reformera svensk lagstiftning..........

200

12.4

Ingen generell och odifferentierad lagring som i dag.........

202

 

12.4.1 Uppgifterna får endast lagras för att bekämpa

 

 

 

grov brottslighet....................................................

203

 

12.4.2 Utrymme finns för en fortsatt

 

 

 

lagringsskyldighet .................................................

203

12.5

Olika modeller för lagring ...................................................

208

 

12.5.1

Ingen riktad lagring...............................................

208

 

12.5.2 Inget bevarandeföreläggande av uppgifter som

 

 

 

operatörerna behöver för egna ändamål ..............

210

 

12.5.3 Ingen lagring av senaste aktiviteten på

 

 

 

abonnemanget .......................................................

212

 

12.5.4 Ingen bibehållen lagring med kryptering.............

213

 

12.5.5 En begränsad lagringsskyldighet bör införas.......

214

12.6

En begränsad lagringsskyldighet .........................................

216

 

12.6.1

Sammanfattning ....................................................

216

 

12.6.2 Bara uppgifter som är strängt nödvändiga...........

218

 

12.6.3

Telefonitjänster och meddelandehantering.........

220

 

12.6.4

Internetåtkomst ....................................................

239

12.6.5Inget undantag för personer med

 

tystnadsplikt..........................................................

248

12.6.6

Lagringskyldighetens ramar bör framgå av lag....

250

12.7 En differentierad lagringstid ................................................

251

12.7.1

Riksdagen ger en ram för lagringstiden ...............

251

12.7.2Inom den av riksdagen angivna ramen bör regeringen föreskriva kortare frister för vissa

 

uppgifter ................................................................

252

12.8 Tillgången till trafik- och lokaliseringsuppgifter................

254

12.8.1

Endast för att bekämpa grov brottslighet............

254

12.8.2

Precisa krav måste fastställas................................

256

12.8.3Tillgång bara till uppgifter om personer som på något sätt är inblandade i brott – som

huvudregel .............................................................

257

10

SOU 2017:75

Innehåll

12.8.4Förhandskontroll av domstol eller oberoende

myndighet ..............................................................

262

12.8.5 Information till berörda ........................................

277

12.8.6Tillgången ska avse även uppgifter som lagras

 

 

för operatörernas egna ändamål ............................

282

12.9

Tillgången till abonnemangsuppgifter .................................

284

12.10 Skydds- och säkerhetsnivåer, lagring inom Sverige och

 

 

utplåning................................................................................

287

 

12.10.1

Skydds - och säkerhetsnivåer .................................

287

 

12.10.2

Lagring inom Sverige .............................................

289

 

12.10.3

Utplåning ...............................................................

292

12.11

Tillsyn

....................................................................................

292

13

Konsekvenser ...............................och genomförande

295

13.1

Konsekvenser.........................................................................

295

 

13.1.1 .......................................

Beskrivning av branschen

296

 

13.1.2 .......................

Samhällsekonomiska konsekvenser

297

 

13.1.3 ...................................

Offentligfinansiella effekter

303

 

13.1.4 ................................

Inga konsekvenser för miljön

305

 

13.1.5 .......................................

Inga övriga konsekvenser

305

 

13.1.6

Ingen anmälningsskyldighet för tekniska

 

 

..............................................................

föreskrifter

305

13.2

Ikraftträdande........................................................................

306

14

Författningskommentar.............................................

307

14.1

Förslaget till lag om ändring lagen (2003:389) om

 

 

elektronisk ..................................................kommunikation

307

14.2Förslaget till lag om ändring i lagen (2012:278) om inhämtning av uppgifter om elektronisk kommunikation

i de brottsbekämpande myndigheternas

 

underrättelseverksamhet .......................................................

308

14.3 Förslaget till förordning om ändring i förordningen

 

(2003:396) om elektronisk kommunikation.........................

309

11

Innehåll

SOU 2017:75

Källförteckning ................................................................

317

Särskilda yttranden ...........................................................

325

Bilagor

 

 

Bilaga 1

Kommittédirektiv 2017:16............................................

367

Bilaga 2

Tele2-domen.................................................................

381

12

Förkortningar

2007 års preventivlag

lagen (2007:979) om åtgärder för att för-

 

hindra vissa särskilt allvarliga brott

Artikel 29-gruppen

EU:s arbetsgrupp som bildats med stöd av

 

artikel 29 i dataskyddsdirektivet

dataskydds-

Europarådets konvention från 1981 om

konventionen

skydd för enskilda vid automatisk behand-

 

ling av personuppgifter (ETS 108)

Digital Rights-domen

EU-domstolens dom den 8 april 2014 i de

 

förenade målen C-293/12 och C-594/12

direktiv 95/46 eller

Europaparlamentets och rådets direktiv

dataskyddsdirektivet

95/46/EG av den 24 oktober 1995 om

 

skydd för enskilda personer med avseende

 

på behandling av personuppgifter och om

 

det fria flödet av sådana uppgifter

 

(EGT L 281, 1995, s. 31)

direktiv 2002/58

Europaparlamentets och rådets direktiv

 

2002/58/EG av den 12 juli 2002 om

 

behandling av personuppgifter och integri-

 

tetsskydd inom sektorn för elektronisk

 

kommunikation (direktivet om integritet

 

och elektronisk kommunikation)

 

(EGT L 201, 2002, s. 37), i dess lydelse

 

enligt Europaparlamentets och rådets

 

direktiv 2009/136/EG av den 25 november

 

2009 (EUT L 337, 2009, s. 11)

direktiv 2006/24 eller

Europaparlamentets och rådets direktiv

datalagringsdirektivet

2006/24/EG av den 15 mars 2006 om lag-

 

13

Förkortningar SOU 2017:75

 

ring av uppgifter som genererats eller

 

behandlats i samband med tillhanda-

 

hållande av allmänt tillgängliga elekt-

 

roniska kommunikationstjänster eller

 

allmänna kommunikationsnät och om

 

ändring av direktiv 2002/58/EG (EUT L

 

105, 2006, s. 54)

Europadomstolen

den Europeiska domstolen för de mänsk-

 

liga rättigheterna

Europakonventionen

den europeiska konventionen angående

 

skydd för de mänskliga rättigheterna och

 

de grundläggande friheterna, med de tillägg

 

och ändringar som gjorts genom de

 

protokoll som Sverige ratificerat

FEK

förordningen (2003:396) om elektronisk

 

kommunikation

FEUF

fördraget om Europeiska unionens funk-

 

tionssätt

IHL

lagen (2012:278) om inhämtning av upp-

 

gifter om elektronisk kommunikation i de

 

brottsbekämpande myndigheternas under-

 

rättelseverksamhet

JK

Justitiekanslern

JO

Riksdagens ombudsmän

LEK

lagen (2003:389) om elektronisk kom-

 

munikation

LSU

lagen (1991:572) om särskild utlännings-

 

kontroll

NOA

Nationella operativa avdelningen (del av

 

Polismyndigheten)

NUC

Nationellt underrättelsecenter (del av

 

Polismyndigheten)

14

SOU 2017:75 Förkortningar

PNR-direktivet

Europaparlamentets och rådets direktiv

 

2016/681/EU av den 27 april 2016 om

 

användning av passageraruppgiftssamlingar

 

(PNR-uppgifter) för att förebygga, för-

 

hindra, upptäcka, utreda och lagföra terro-

 

ristbrott och grov brottslighet

 

(EUT L 119, 2016, s. 132)

PTS

Post- och telestyrelsen

RB

rättegångsbalken

RF

regeringsformen

RUC

Regionalat underrättelsecenter (del av

 

Polismyndigheten)

rättighetsstadgan eller

Europeiska unionens stadga om de grund-

stadgan

läggande rättigheterna (EGT C 202, 2016)

SIN

Säkerhets- och integritetsskyddsnämnden

Tele2-domen

EU-domstolens dom den 21 december 2016

 

i de förenade målen C-203/15 och C-698/15

Tele2-målet

EU-domstolens förenade mål C-203/15

 

och C-698/15

15

Sammanfattning

Utredningens uppdrag och arbete

EU-domstolens uttolkning av EU-rätten i Tele2-domen har gjort det nödvändigt att reformera de svenska reglerna kring datalagring, både avseende lagring och åtkomst. Utredningens uppdrag har varit att göra de svenska reglerna förenliga med EU-rätten. Uppdraget har inrymt överväganden inom ett mycket komplext område, både juridiskt och tekniskt. Det har dessutom utförts under stor skynd- samhet eftersom det har varit angeläget att snabbt få en reglering på plats som är förenlig med de uttalanden som EU-domstolen gjort i Tele2-domen. Experter från brottsbekämpande myndigheter, till- synsmyndigheter, Sveriges domstolar, Sveriges Advokatsamfund, Uppsala universitet och Regeringskansliet har deltagit i utredningen.

Grundläggande rättigheter

Grundläggande rättigheter som tillförsäkras enskilda finns i bl.a. regeringsformen, Europakonventionen och EU:s rättighetsstadga. Det finns två sidor av enskildas grundläggande rättigheter: dels enskildas rätt att bli fredade från kränkningar från statens sida, dels statens plikt att tillförsäkra enskilda ett skydd mot kränkningar från andra enskilda, t.ex. genom ingripande åtgärder i en brottsutredning. Det ankommer på staten att upprätta ett ramverk som är förenligt med dessa delvis konkurrerande principer.

De rättigheter som främst är av intresse för uppdraget är rätten till privatliv, rätten till skydd för personuppgifter och rätten till yttrande- frihet. Samtliga dessa rättigheter garanteras i regeringsformen, Europa- konventionen och EU:s rättighetsstadga.

17

Sammanfattning

SOU 2017:75

Integritetsskydd vid elektronisk kommunikation

För att säkerställa full respekt för rätten till privatliv och rätten till skydd för personuppgifter inom sektorn för elektronisk kommuni- kation har EU antagit direktiv 2002/58. Direktivet ålägger medlems- staterna att t.ex. säkerställa konfidentialitet vid elektronisk kom- munikation och därmed förbundna trafikuppgifter. Uppgifter som inte längre behövs ska enligt direktivet utplånas eller avidentifieras. Medlemsstaterna får dock göra undantag från dessa åligganden om det behövs för bl.a. brottsbekämpande verksamhet. Direktivet är genomfört i svensk rätt främst genom bestämmelser som tagits in i lagen (2003:389) om elektronisk kommunikation.

Brottsbekämpande verksamhet

Brottsbekämpande verksamhet består av två övergripande delar, underrättelseverksamhet och utredande verksamhet. Underrättel- severksamheten är i huvudsak inriktad på att avslöja om en viss inte närmare specificerad brottslighet har ägt rum, pågår eller kan antas komma att begås. Ett övergripande mål med underrättelseverksam- heten är att förse de brottsbekämpande myndigheterna med kunskap som kan omsättas i operativ verksamhet. Den utredande verksam- heten utgår från en redan uppkommen händelse. Myndigheten ska, ofta inom en förundersökning, utreda om brott har begåtts och vem som i så fall skäligen kan misstänkas för brottet samt skaffa till- räckligt material för bedömning av frågan om åtal ska väckas.

I både brottsutredande verksamhet och underrättelseverksamhet används hemliga tvångsmedel. Det tvångsmedel som är av intresse för datalagringsfrågan är hemlig övervakning av elektronisk kom- munikation, som regleras i rättegångsbalken. Härtill kommer tvångs- medlen enligt lagen (1991:572) om särskild utlänningskontroll och lagen (2007:979) om åtgärder för att förhindra vissa särskilt allvarliga brott, som har sin tillämpning i underrättelseverksamhet. Även in- hämtning av uppgifter enligt lagen (2012:278) om inhämtning av uppgifter om elektronisk kommunikation i de brottsbekämpande myndigheternas underrättelseverksamhet utgör ett hemligt tvångs- medel. Inhämtning av abonnemangsuppgifter enligt lagen (2003:389) om elektronisk kommunikation är däremot inte ett hemligt tvångs- medel.

18

SOU 2017:75

Sammanfattning

Uppgifter om elektronisk kommunikation i brottsbekämpande verksamhet

Uppgifter om elektronisk kommunikation delas in i olika grupper. Med abonnemangsuppgifter avses t.ex. uppgifter om abonnentens nummer, namn, titel och adress. Till sådana uppgifter brukar även räknas uppgifter om exempelvis avtal och fakturering. Vidare inne- fattas såväl uppgift om vem som använt en fast eller dynamisk ip- adress eller ett IMSI-nummer (ett nummer som är kopplat till abon- nentens sim-kort och därmed telefonnummer) som ett flertal andra uppgifter. Den exakta gränsen är svår att dra. Med trafikuppgifter avses i detta sammanhang enkelt uttryckt de uppgifter som behövs för att förmedla ett elektroniskt meddelande i ett elektroniskt kom- munikationsnät eller för att fakturera ett sådant meddelande. Vid sidan av begreppet trafikuppgifter används även uttrycket lokali- seringsuppgifter för att beteckna uppgifter som är knutna till lokali- seringen av en kommunikationsutrustning. Det kan t.ex. vara fråga om vilken cell (antenn på basstation) som utrustningen kopplat upp sig mot.

Nuvarande regleringen av lagring av uppgifter

Uppgifter om elektronisk kommunikation är mycket viktiga för brottsbekämpningen. Det finns därför regler i lagen (2003:389) om elektronisk kommunikation som säkerställer att myndigheterna kan få tillgång till dessa uppgifter. För detta syfte föreskriver lagen om elektronisk kommunikation en lagringsskyldighet för dem som till- handahåller elektroniska kommunikationstjänster. Lagringsskyldig- heten omfattar vissa uppräknade uppgifter som genereras eller behandlas i verksamheten. Lagringsskyldigheten omfattar telefoni- tjänster (fasta och mobila), meddelandehantering och internet- åtkomst.

Nuvarande regleringen av tillgång till uppgifter

Hur myndigheterna kan få tillgång till de uppgifter som omfattas av lagringsskyldigheten – och andra uppgifter som behandlas i verksam- heten, t.ex. på grund av operatörernas faktureringsbehov – beror på

19

Sammanfattning

SOU 2017:75

vilken typ av uppgift det är och i vilket syfte tillgång begärs. För trafik- och lokaliseringsuppgifter regleras tillgången i rättegångs- balken och lagen (2012:278) om inhämtning av uppgifter om elek- tronisk kommunikation i de brottsbekämpande myndigheternas underrättelseverksamhet. Härtill kommer lagen (1991:572) om sär- skild utlänningskontroll och lagen (2007:979) om åtgärder för att förhindra vissa särskilt allvarliga brott, som hänvisar till rättegångs- balkens bestämmelser. Tillgången till abonnemangsuppgifter har inte bedömts utgöra ett hemligt tvångsmedel och regleras direkt i lagen om elektronisk kommunikation.

Tillgång till trafik- och lokaliseringsuppgifter i den brotts- utredande verksamheten kräver domstolsbeslut och är endast möjlig vid allvarliga brott. I underrättelseverksamheten är tillgången till trafikuppgifter något mer begränsad men kräver som huvudregel inte domstolsbeslut. Tillgången till abonnemangsuppgifter kräver inget domstolsbeslut utan beslutas av den brottsbekämpande myndigheten själv. Det krävs inte heller att brottet är av visst allvar.

För att skydda personers integritet och upprätthålla en hög grad av rättssäkerhet innehåller regelverket kring myndigheternas tillgång till uppgifter om elektronisk kommunikation ett antal kontroll- mekanismer och rättssäkerhetsgarantier.

För all användning av tvångsmedel gäller ändamålsprincipen, behovsprincipen och proportionalitetsprincipen. Tvångsmedlen får därmed endast användas för det ändamål som framgår av lagstift- ningen, om det finns ett påtagligt behov och en mindre ingripande åtgärd inte är tillräcklig samt om åtgärden står i rimlig proportion både till nyttan av åtgärden och till de intrång eller men som åtgär- den innebär.

Nyttan och behovet av uppgifter om elektronisk kommunikation i brottsbekämpande verksamhet

Det finns ett påtagligt behov av uppgifter om elektronisk kom- munikation för brottsbekämpningen och uppgifterna ger de brotts- bekämpande myndigheterna stor nytta. Det gäller samtliga de upp- gifter som ska lagras enligt förordningen (2003:396) om elektronisk kommunikation. Däremot är inte nyttan och behovet desamma för alla uppgifter och inte heller desamma över tid, eftersom beteende-

20

SOU 2017:75

Sammanfattning

mönster och teknik hela tiden förändras. Som exempel kan nämnas den minskade användningen av fast telefoni, den ökande använd- ningen av internet i mobiltelefoner samt en ökad användning av ip- telefoni genom mobilappar.

EU-rättens påverkan på reglerna om datalagring

Med anledning av att datalagringsdirektivet (2006/24) ogiltig- förklarades av EU-domstolen den 8 april 2014 (Digital Rights- domen) gav chefen för Justitiedepartementet en utredare i uppdrag att analysera konsekvenserna för den svenska lagstiftningen (Ds 2014:23). Som en uppföljning av analysen i departementsprome- morian gav regeringen en utredare i uppdrag att överväga ytterligare rättssäkerhets- och integritetsstärkande åtgärder bl.a. för reglerna om lagring av uppgifter om elektronisk kommunikation (SOU 2015:31). Den svenska lagstiftningen bedömdes i båda analyserna som förenlig med EU-rätten, även om vissa förslag på förändringar presenterades.

Tele2-domen och domen från Kammarrätten i Stockholm

Kammarrätten i Stockholm begärde ett förhandsavgörande av EU- domstolen med anledning av ett överklagat föreläggande från Post- och telestyrelsen mot ett lagringsskyldigt företag om att lagra upp- gifter om elektronisk kommunikation. EU-domstolen besvarade kammarrättens begäran genom Tele2-domen. EU-domstolen ansåg att direktiv 2002/58 är tillämpligt på de svenska reglerna om data- lagring, även avseende tillgång till uppgifterna. Artikel 15.1 i direk- tivet, som i viss utsträckning tillåter datalagring, ska enligt dom- stolen tolkas strikt och mot bakgrund av rättighetsstadgan. De svenska reglerna om datalagring bedömdes utgöra inskränkningar i rättigheterna enligt artiklarna 7, 8 och 11 i stadgan. Inskränkningar i rättigheterna får enligt EU-domstolen endast göras under vissa förutsättningar, däribland att de är proportionella och strängt nöd- vändiga. EU-domstolen uttalade vidare att en generell och odifferen- tierad lagring aldrig kan vara strängt nödvändig, inte ens för att bekämpa grov brottslighet. När det gäller tillgång till uppgifterna fastslog EU-domstolen att precisa krav måste föreskrivas, att tillgång endast får ges för att bekämpa grov brottslighet och att tillgången i

21

Sammanfattning

SOU 2017:75

princip bara får avse personer som på något sätt är inblandade i grov brottslighet. Tillgång ska enligt EU-domstolen som huvudregel ges först efter förhandskontroll av domstol eller annan oberoende myndighet och berörda ska informeras, så snart det inte längre skadar myndighetens utredningar. Därutöver uttalade domstolen att leverantörerna av elektroniska kommunikationstjänster måste garantera en särskilt hög skydds- och säkerhetsnivå genom lämpliga tekniska och organisatoriska åtgärder, uppgifterna måste förstöras när lagringstiden gått ut och lagringen måste ske inom unionen. EU- domstolens slutsatser är att EU-rätten utgör ett hinder för (1) en nationell lagstiftning som i brottsbekämpande syfte föreskriver en generell och odifferentierad lagring av samtliga trafikuppgifter och lokaliseringsuppgifter avseende samtliga abonnenter och registrerade användare och samtliga elektroniska kommunikationsmedel samt

(2) en nationell lagstiftning som inte begränsar tillgången till trafik- och lokaliseringsuppgifter till enbart åtgärder som syftar till att bekämpa grov brottslighet, inte föreskriver att tillgången ska vara underkastad förhandskontroll av en domstol eller en oberoende förvaltningsmyndighet och inte kräver att uppgifterna ska lagras inom unionen.

Med hänvisning till EU-domstolens dom upphävde kammar- rätten föreläggandet från Post- och telestyrelsen.

Internationell utblick

Flera länder har påbörjat analyser av Tele2-domen. I betänkandet redovisas gällande rätt och förändringsarbetet i Danmark, Finland, Tyskland, Belgien, Österrike och Portugal. Värt att notera är att över- synerna ännu inte lett till lagstiftning i något land.

Utredningens överväganden

EU-rätten

Av Tele2-domen framgår att EU-domstolen har ansett sig ha kom- petens även på området för lagring av och tillgång till datalagrade uppgifter för brottsbekämpande ändamål och för vitala intressen som nationell säkerhet och försvar (p. 65–81 och 119 i domen).

22

SOU 2017:75

Sammanfattning

Slutsatsen kan således dras att oavsett för vilket ändamål uppgif- terna används så är operatörernas lagring och myndigheternas till- gång till dessa uppgifter underkastade den reglering som följer av EU-rätten. Det innebär att oavsett om det är fråga om brotts- bekämpning som handhas av den öppna polisen, Tullverket eller Ekobrottsmyndigheten eller om det är fråga om Säkerhetspolisens brottsbekämpning så är datalagringsfrågan underkastad samma EU- rättsliga regelverk, låt vara att EU-domstolen öppnar för något mer tillåtande nationella regler när det gäller tillgång till uppgifter inom Säkerhetspolisens verksamhetsområde (p. 119 i domen).

Abonnemangsuppgifter omfattas inte av domen men av EU-rätten

EU-domstolens avgörande berör inte behandlingen av abonne- mangsuppgifter utan endast trafik- och lokaliseringsuppgifter. Att EU-domstolen inte berör abonnemangsuppgifter är naturligt efter- som de inte berörs i de artiklar i det direktiv (direktiv 2002/58) som tolkas av domstolen. EU-domstolens uttalanden av mer generellt slag om t.ex. inskränkningar i skyddet för personuppgifter är där- emot relevanta även för behandlingen av abonnemangsuppgifter. I utredningen har det väckts frågan om ip-adresser ändå ska anses omfattas av domen. Det skulle i så fall innebära att domens före- skrifter om t.ex. föregående domstolsprövning vid tillgång till infor- mation om vem som använt en ip-adress skulle bli tillämpliga. Även reglerna om att tillgång endast skulle kunna beredas de brotts- bekämpande myndigheterna vid grova brott skulle behöva beaktas. Som ovan angetts är det dock utredningens bedömning att ip- adresser (och andra abonnemangsuppgifter) inte omfattas av domen.

Det är nödvändigt att reformera svensk lagstiftning

EU-domstolen ställer strängare krav på datalagringen och tillgången till datalagrade uppgifter än vad svensk lag gör. De svenska reglerna måste därför anpassas. Härvid måste dock vissa motstående intressen beaktas. För det första måste beaktas att det brottsbekämpande intresset kräver en fungerande lagstiftning kring datalagring. Vissa brott med internet som arena skulle annars riskera att i praktiken bli

23

Sammanfattning

SOU 2017:75

helt straffria. För det andra måste beaktas våra internationella åtaganden. Var och en som vistas i Sverige har nämligen rätt att göra anspråk på att staten vidtar effektiva åtgärder för att skydda hans eller hennes säkerhet. I detta ligger att staten måste anstränga sig för att se till att brott förebyggs och utreds samt att gärningsmän ställs till svars för sina brottsliga handlingar. Staten har alltså en skyldighet att skydda enskildas privatliv och personliga integritet mot intrång som begås av andra enskilda och om intrång görs se till att brotten utreds. Det skulle inte vara förenligt med Sveriges åtaganden att inte ge de brottsbekämpande myndigheterna möjlighet att använda spåren från den elektroniska miljön.

Ingen generell och odifferentierad lagring som i dag

EU-domstolen fastslår att EU-rätten utgör hinder för en nationell lagstiftning som i brottsbekämpande syfte föreskriver en generell och odifferentierad lagring av samtliga trafikuppgifter och lokali- seringsuppgifter avseende samtliga abonnenter och registrerade användare och samtliga elektroniska kommunikationsmedel. Det framgår även av domskälen att utrymmet för att över huvud taget föreskriva lagring är begränsat. Frågan är då hur begränsat detta utrymme är. EU-domstolen delar upp sitt resonemang i denna fråga i två delar.

Den första delen handlar om generell lagring. EU-domstolen resonerar här kring den svenska lagstiftningen om datalagring och menar att den föreskriver en generell och odifferentierad lagring av samtliga trafikuppgifter och lokaliseringsuppgifter för samtliga abon- nenter och registrerade användare avseende samtliga elektroniska kommunikationsmedel och ålägger leverantörer av elektroniska kommunikationstjänster att systematiskt och kontinuerligt lagra dessa uppgifter, utan undantag. Domstolens slutsats, som avslutar det första ledet av resonemanget, är att den svenska lagringen över- skrider gränsen för vad som är strängt nödvändigt och därför står i strid med artikel 15.1 i direktivet jämförd med artiklarna 7, 8, 11 och 52.1 i stadgan. Domstolen har nu redovisat alla domskäl som behövs för domslutet i denna del. Domstolen fortsätter emellertid sina överväganden i en andra del av resonemanget. Denna andra del har ingen koppling till domslutet utan är närmast att se som ett obiter

24

SOU 2017:75

Sammanfattning

dictum (dvs. ett uttalande vid sidan om själva saken). Resonemanget här handlar om riktad lagring som ett exempel på en möjlig form av lagring. I denna del resonerar domstolen kring hur en sådan lagring skulle kunna vara utformad. Bland kraven på en riktad lagring märks särskilt att den berörda personkretsen måste vara avgränsad.

Utredningens bedömning är att det finns ett fortsatt utrymme för en begränsad lagringsskyldighet. Men lagringsskyldigheten måste göras mindre omfattande än i dag och anpassas till vad som är strängt nödvändigt.

Olika modeller för lagring

Det bör föreskrivas en viss begränsad och differentierad lagring. De övriga modeller för lagring som kan tänkas (riktad lagring, bevarande- föreläggande, lagring av senaste aktivitet och bibehållen lagring med kryptering eller maskering) är behäftade med sådana svagheter att de inte är rimligt att föreskriva någon av dem i stället.

En begränsad lagringsskyldighet

Utredningens förslag innebär att nuvarande modell för lagrings- skyldigheten reformeras kraftigt för telefonitjänst och meddelande- hantering samt i viss utsträckning för internetåtkomst. Genom de föreslagna förändringarna blir lagringsskyldigheten inte längre gene- rell; en stor del av trafikuppgifterna kommer inte att omfattas av skyldigheten liksom alla lokaliseringsuppgifter som inte är trafik- uppgifter. Lagringen blir därmed undantag och inte huvudregel (Tele2-domen p. 104). Dessutom blir lagringsskyldigheten differen- tierad genom att den anpassas till att omfatta endast de uppgifter som är strängt nödvändiga att lagra för att bekämpa grov brottslig- het, med beaktande av nytta, behov, integritet och proportionalitet (Tele2-domen p. 105). Samtidigt differentieras lagringstiderna ut- ifrån skillnader i behov och uppgifternas integritetskänslighet.

Förslaget innebär att integritetsintrånget för abonnenterna blir lägre men även att möjligheterna att förebygga, förhindra och utreda brott i vissa fall torde försämras.

25

Sammanfattning

SOU 2017:75

Redaktionella ändringar och teknikneutralitet

Utredningen föreslår att lagringsskyldigheten delas upp i två delar, dels telefonitjänst och meddelandehantering, dels internetåtkomst. Bestämmelserna görs teknikneutrala. Det betyder bl.a. att opera- törernas användning av NAT-teknik (en teknik för att tillåta att flera abonnenter delar på en och samma publika ip-adress) inte påverkar möjligheterna till identifiering av abonnenten.

Telefonitjänst och meddelandehantering

För telefonitjänst och meddelandehantering föreslås att endast upp- gifter om kommunikation via en mobil nätanslutningspunkt ska lagras. Det betyder att det inte kommer att lagras några uppgifter vid telefoni eller meddelandehantering som sker inom det fasta telefoni- nätet eller genom fasta internetanslutningar. Om någon av parterna kommunicerar via en mobil nätanslutningspunkt kommer däremot information att lagras, men bara hos den partens operatör. Trafik- uppgifter ska fortfarande lagras. Men lagringsskyldigheten begränsas till uppgifter om vem som kontaktat vem (nummer och abonnent samt för telefonitjänst även abonnemangsidentitet och utrustnings- identitet) och vid vilken tidpunkt. Uppgifter om ip-adress ska i sig inte lagras vid telefonitjänst och meddelandehantering. Uppgift om vilken tjänst som använts, tid för på- och avloggning i tjänsten och uppgift om utrustning där kommunikationen vid ip-telefoni slutligt avskiljs (se dock nedan om internetåtkomst) ska inte omfattas av lagringsskyldigheten. Lokaliseringsuppgifter ska fortfarande lagras vid ett samtals början och slut. Men precis som tidigare ska inga andra lokaliseringsuppgifter lagras. För förbetalda anonyma tjänster (dvs. oregistrerade kontantkort) ska uppgift om kommunikations- utrustning och första aktivering fortfarande lagras. Lagringsskyldig- heten ska fortfarande omfatta misslyckade uppringningar, t.ex. obesvarade samtal – men inte samtal som inte kopplas fram.

26

SOU 2017:75

Sammanfattning

Internetåtkomst

För internetåtkomst föreslår utredningen att lagringsskyldigheten ska omfatta uppgifter som gör det möjligt att identifiera abonnenten eller den registrerade användaren. Därmed ska det lagras ip-adress och annan teknisk uppgift som är nödvändig för att identifiera abonnen- ten eller den registrerade användaren, tidsuppgifter för på- och av- loggning i tjänsten som ger internetåtkomst, uppgifter om abonnent och registrerad användare och uppgifter som identifierar utrust- ningen där kommunikationen slutligt avskiljs. Det ska däremot inte längre finnas någon skyldighet att lagra uppgifter om anslutnings- kapacitet.

Inget undantag för personer med tystnadsplikt

Det bör inte införas något undantag från lagringen för personer med tystnadsplikt. Datalagringsutredningens förslag om att införa en förstörandeskyldighet för uppgifter som omfattas av yrkesmässig tystnadsplikt bör övervägas.

Lagringskyldighetens ramar bör framgå av lag

Lagringsskyldighetens yttre ramar bör framgå av lag och de mer detaljerade föreskrifterna av förordning. I viss utsträckning bör regeringen kunna delegera denna föreskriftsrätt.

En differentierad lagringstid

Det ska i lag anges att de uppgifter som omfattas av lagringsskyldig- heten ska lagras den tid regeringen föreskriver dock som längst i tio månader räknat från den dag då kommunikationen avslutades. Reger- ingen ska föreskriva följande. Lokaliseringsuppgifter vid samtal ska lagras i två månader. Uppgifter om internetåtkomst, förutom upp- gifter som identifierar utrustningen där kommunikationen slutligt avskiljs, ska lagras i tio månader. Övriga uppgifter ska lagras i sex månader.

27

Sammanfattning

SOU 2017:75

Tillgången till trafik- och lokaliseringsuppgifter

Endast för att bekämpa grov brottslighet

Tillgång till lagrade trafik- och lokaliseringsuppgifter ska endast ges för bekämpning av grov brottslighet. Med grov brottslighet avses samma kategorier av brott som i dag möjliggör hemlig övervakning av elektronisk kommunikation och inhämtning av uppgifter om elektronisk kommunikation i de brottsbekämpande myndigheternas underrättelseverksamhet. Svensk rätt är således förenlig med EU- rätten i detta hänseende.

Tillgång bara till uppgifter om personer som på något sätt är inblandade i brott – som huvudregel

Tillgång till lagrade uppgifter kan enligt domstolen i princip bara beviljas till uppgifter om personer som misstänks planera, begå eller ha begått ett allvarligt brott eller på något sätt vara inblandade i ett sådant brott. I vissa fall kan tillgång ges även till uppgifter om andra personer. De svenska reglerna om tillgång till uppgifter uppfyller EU-rättens krav i detta hänseende.

Förhandskontroll av domstol eller oberoende myndighet

EU-rätten kräver att de brottsbekämpande myndigheternas tillgång till datalagrade uppgifter, utom i motiverade brådskande fall, ska föregås av en kontroll av domstol eller en oberoende myndighet. Det svenska regelverket uppfyller detta krav utom vid inhämtning av uppgifter om elektronisk kommunikation i underrättelseverksamhet. Utredningen föreslår därför att åklagare utses som oberoende myndighet att fatta beslut om sådan inhämtning efter ansökan av Polismyndigheten, Säkerhetspolisen eller Tullverket.

Information till de berörda

EU-domstolen fastslår att EU-rätten kräver att de myndigheter som har beviljats tillgång till lagrade uppgifter, enligt tillämpliga natio- nella bestämmelser, informerar de berörda personerna om detta så

28

SOU 2017:75

Sammanfattning

snart en sådan upplysning inte längre riskerar att skada myndig- heternas utredningar. De svenska reglerna om information till de berörda uppfyller EU-rättens krav i detta hänseende.

Tillgången ska avse även uppgifter som lagras för operatörernas egna ändamål

De brottsbekämpande myndigheternas tillgång till uppgifter om elektronisk kommunikation ska alltjämt avse inte bara de uppgifter som sparas enligt datalagringsreglerna utan också den information som sparas för operatörernas egna ändamål, t.ex. uppgifter som behövs för fakturering.

Tillgången till abonnemangsuppgifter

Som nämns ovan omfattar inte Tele2-domen behandling av abonne- mangsuppgifter. Med den breda omfattning som skyddet för privat- liv har, får tillgången till abonnemangsuppgifter ändå anses innebära ett ingrepp i skyddet enligt Europakonventionen och rättighets- stadgan. Det krävs därför att tillgången är begränsad till vad som är strängt nödvändigt och proportionerligt i ett demokratiskt samhälle. Sammantaget är det utredningens bedömning att varken EU-dom- stolens dom eller Sveriges internationella åtaganden ger anledning att förändra förutsättningarna för de brottsbekämpande myndigheternas tillgång till uppgifter om abonnemang.

Skydds- och säkerhetsnivåer, lagring inom Sverige och utplåning

Uppgifterna som omfattas av lagringsskyldigheten ska inte få lagras utanför Sverige. EU-domstolen anger i och för sig endast att den nationella lagstiftningen måste föreskriva att datalagrade uppgifter inte ska få lagras utanför unionen. Genom att lagringen begränsas till Sverige uppnås emellertid en mer potent tillsyn samtidigt som både enskilda personers konfidentialitet och nationell säkerhet skyddas på ett bättre sätt. Eftersom den nu aktuella frågan rör centrala intressen

29

Sammanfattning

SOU 2017:75

för staten finns inga EU-rättsliga hinder för att föreskriva att upp- gifterna endast ska få lagras i Sverige.

Reglerna om skydds- och säkerhetsnivå uppfyller de krav som EU-rätten ställer. Reglerna om utplåning uppfyller de krav som EU- rätten ställer.

Konsekvenser och genomförande

Förslagen om en ändrad lagringsskyldighet, förbud mot lagring utan- för Sverige och förhandsprövning vid beslut enligt lagen (2012:278) om inhämtning av uppgifter om elektronisk kommunikation i de brottsbekämpande myndigheternas underrättelseverksamhet kom- mer att stärka integritets- och personuppgiftsskyddet. Förslaget om en ändrad lagringsskyldighet kommer möjligen att innebära att de brottsbekämpande myndigheternas förmåga att bekämpa brottslighet försämras i någon mån men torde inte innebära att brottsligheten kommer att öka. Miljön kommer inte att påverkas av förslagen. Förslaget om förhandsprövning av beslut enligt lagen (2012:278) om inhämtning av uppgifter om elektronisk kommunikation i de brotts- bekämpande myndigheternas underrättelseverksamhet innebär att Åklagarmyndigheten kommer att behöva ett större årligt anslag (1 miljon kronor) och ett engångsbelopp (3 miljoner kronor) som bör finansieras med neddragning av anslagen för Polismyndigheten (500 000 kronor för den löpande ramhöjningen och 1,5 miljoner kronor för engångsbeloppet), Säkerhetspolisen (200 000 kronor för den löpande ramhöjningen och 600 000 kronor för engångsbeloppet) och Tullverket (300 000 kronor för den löpande ramhöjningen och 900 000 kronor för engångsbeloppet). Den kostnadsökning som drabbar de lagringsskyldiga för lagring, säkerhet och anpassning ska de själva stå för.

Förslagen i betänkandet ska träda i kraft den 1 december 2018.

30

Summary

The Commission’s mandate and work

The interpretation of EU law by the Court of Justice of the European Union (CJEU) in its Tele2 judgment has necessitated reform of the Swedish rules on data retention, regarding both retention and access. This Commissions mandate has been to make these Swedish rules compatible with EU law. This mandate has included considerations in an area that is highly complex, both legally and technically. It has also been carried out with great promptness owing to the urgency of putting in place regulation consistent with the CJEU’s statements in the Tele2 judgment. Experts from Swedish law enforcement and supervisory agencies, Sweden’s courts, the Swedish Bar Association, Uppsala University and the Swedish Government Offices have served as experts in the Commission.

Fundamental rights

Fundamental rights that are guaranteed to individuals are laid down in Sweden’s Instrument of Government (part of the Constitution), the European Convention on Human Rights and the Charter of Fundamental Rights of the EU. Individuals’ fundamental rights are twofold: first, their right to be protected from violations by the state, and, second, the state’s duty to ensure – by, for example, a crime investigation – individuals’ protection against violations by other individuals. It is incumbent on the state to establish a frame- work that is reconcilable with these partially competing principles.

The rights that are of primary interest for the mandate are the right to private life, the right to protection of personal data and the right to freedom of expression. All these rights are guaranteed by

31

Summary

SOU 2017:75

Sweden’s Instrument of Government, the European Convention on Human Rights and the Charter of Fundamental Rights of the EU.

Privacy protection in electronic communications

To ensure full respect for the right to private life and the right to protection of personal data in the electronic communications sector, the EU adopted Directive 2002/58. This Directive requires member states to, for example, ensure confidentiality in electronic com- munications and associated traffic data. Data that are no longer needed must, under the Directive, be destroyed or de-identified. However, the member states may make exceptions to these obligations if it is necessary for e.g. crime fighting activities. The Directive has been implemented in Swedish law mainly through provisions in the Electronic Communications Act (2003:389).

Crime fighting

Crime fighting activities consist of two main parts: intelligence and investigative work. Intelligence activities focus mainly on revealing whether particular crimes, not specified in detail, have taken or are taking place, or may be expected to be committed. One overall goal of intelligence work is to supply law enforcement agencies with knowledge that can be brought to bear in their operations. Investigative activity, in contrast, is based on an event that has already occurred. The agency’s task is to find out, often in a preliminary investigation, whether crimes have been committed and, if so, who may be reasonably suspected of committing them, and to obtain enough material to assess the question of whether to prosecute.

In both criminal investigation and intelligence work, secret coercive measures are used. One such measure relevant to the issue of data retention is secret monitoring of electronic communications, which is regulated by the Swedish Code of Judicial Procedure. In addition, there are coercive measures under the Act (1991:572) concerning Special Controls in Respect of Aliens and the Act (2007:979) on the Use of Measures to Prevent Certain Serious Crimes that are applicable in intelligence activities. Data retrieval under the Act (2012:278) on Acquiring Information about Electronic

32

SOU 2017:75

Summary

Communications in the Law Enforcement Agencies’ Intelligence Activities also constitutes a secret coercive measure. However, collection of subscription data under the Electronic Communications Act (2003:389) is not a secret coercive measure.

Data on electronic communication in crime fighting

Data on electronic communications are divided into various categories. Subscription data comprise, for example, subscribers’ numbers, names, titles and addresses. Such data are also usually deemed to include information about contracts and billing, for example. Moreover, this category includes information on which fixed or dynamic ip address a subscriber has used or IMSI numbers (those are associated with subscribers’ SIM cards and thus telephone numbers), and several other particulars. The exact boundary is difficult to draw. Traffic data refers in this context, simply expressed, to the data needed to convey an electronic message in an electronic communications network, or to invoice for such a message. Besides the concept of ‘traffic data’, the expression location data is also used, to denote data associated with the location of a communication device. It may, for example, be about the cell (base station antenna) to which the equipment is connected.

Current regulation of data retention

Data on electronic communications are very important for crime fighting. There are therefore rules in the Electronic Communications Act (2003:389) to ensure that public agencies can access such data. To this end, the Electronic Communications Act prescribes a retention obligation for those providing electronic communications services. This obligation includes certain listed data generated or processed by the provider. The obligation to retain includes tele- phony (fixed and mobile), messaging and Internet access.

33

Summary

SOU 2017:75

Current regulation of data access

How public agencies can access the data covered by the obligation to retain – and other data processed in their work, for example owing to billing requirements – depends on what type of information is involved and the purpose for which access is requested. For traffic and location data, access is regulated in the Code of Judicial Procedure and the Act (2012:278) on Gathering of Data relating to Electronic Communications as Part of Intelligence Gathering by Law Enforcement Authorities. In addition, there are the Act (1991:572) concerning Special Controls in Respect of Aliens and the Act (2007:979) on Measures to Prevent Certain Particularly Serious Crimes, which refer to the provisions of the Code of Judicial Procedure. Access to subscription data has not been considered to be a secret coercive measure, and is regulated directly in the Electronic Communications Act (2003:389).

Access to traffic and location data in the criminal investigative process requires court decisions and is possible only in cases of serious crime. In intelligence activities, access to traffic data is more limited but, as a main rule, does not require court decisions. Access to subscription data does not require any court decision; the decision is taken by the law enforcement agency itself. Nor is the crime required to be of a particular degree of seriousness.

To protect individuals’ data privacy and maintain a high level of legal certainty, the regulations governing public agencies’ access to electronic communications data contain a number of control mechanisms and guarantees of legal certainty.

For all use of coercive measures, the principles of purpose, need and proportionality apply. Consequently, the coercive measures may be used only for the purpose specified in the legislation, if there is an obvious need and a smaller intervention measure is insufficient. In addition, the measure must be in reasonable proportion to both the benefit resulting from, and the intrusion or harm entailed by, the measure.

34

SOU 2017:75

Summary

Benefit of and need for electronic communication data in crime fighting

To combat crime, there is an obvious need for data on electronic communications, and these data are immensely useful to law enforcement agencies. This applies to all data to be retained pursuant to the Electronic Communications Ordinance (2003:396). However, benefit and need are not the same for all data, nor constant over time, since behaviour patterns and technology are constantly changing. Examples are the decline of fixed telephony, growing Internet access in mobile phones and increased use of IP telephony through mobile apps.

Impact of EU law on data retention rules

The EU Data Retention Directive (2006/24/EC) was annulled by the CJEU on 8 April 2014 (the Digital Rights judgment) and, for this reason, the head of the Ministry of Justice tasked an investigator with analysing the implications for Swedish legislation (Ministry Publication Series, Ds 2014:23). To follow up the analysis in the departmental memorandum, the Government instructed a special investigator to consider further measures to boost legal certainty and data privacy for such rules as those on retention of data concerning electronic communication (Swedish Government Official Report, SOU 2015:31). In both analyses, the Swedish legislation was judged to be compatible with EU law, although some reform proposals were presented.

The Tele2 judgment and the Administrative Court of Appeal in Stockholm judgment

The Administrative Court of Appeal in Stockholm requested a preliminary ruling by the CJEU on an injunction, which had been appealed, from the Swedish Post and Telecom Authority against a company obliged to retain data about storing data on electronic communication. The CJEU’s response to the request was the Tele2 judgment. The CJEU considered Directive 2002/58 to be applicable to the Swedish rules on data retention, with respect to data access as

35

Summary

SOU 2017:75

well. According to the CJEU, Article 15.1 of the Directive, which to some extent allows data retention, should be interpreted strictly and in light of the Charter of Fundamental Rights. The Swedish rules on data retention were judged to constitute restrictions on the rights under Articles 7, 8 and 11. According to the CJEU, restrictions on rights may be imposed only under certain conditions, including their being proportionate and strictly necessary. The CJEU further stated that general and indiscriminate retention can never be strictly necessary – not even to fight serious crime. Regarding access to data, the Court states that precise requirements must be prescribed, that access may be given only for the purpose of fighting serious crime and that access may, in principle, relate only to people involved in some way in serious crime. According to the Court, access should, as a main rule, be granted only after prior judicial review by a court or other independent agency, and the people concerned should be informed as soon as this is no longer detrimental to the agency’s investigations. In addition, the Court states that providers of electronic communications services must guarantee a particularly high level of protection and security through appropriate technical and organisational measures; that the data must be destroyed when the retention period expires; and that the data must be stored in the EU. The CJEU’s conclusions are that EU law precludes (1) national legislation which, for the purpose of fighting crime, provides for general and indiscriminate retention of all traffic and location data of all subscribers and registered users relating to all means of electronic communication and (2) national legislation that does not restrict access to traffic and location data solely to fighting serious crime, where access is not subject to prior review by a court or an independent administrative authority, and where there is no require- ment that the data concerned should be retained within the European Union.

With reference to the CJEU’s judgment, the Administrative Court of Appeal suspended the injunction from the Swedish Post and Telecom Authority.

36

SOU 2017:75

Summary

International outlook

Several countries have started analysing the Tele2 judgment. The Commission’s report gives an account of current law and reform under way in Denmark, Finland, Germany, Belgium, Austria and Portugal. It is worth noting that these reviews have not yet led to legislation in any country.

The Commission’s considerations

EU law

The Tele2 judgment shows that the CJEU has deemed its own legal competence to include retention of and access to electronically retained data for the purpose of preventing crime, and also vital interests such as national security and defence (pp. 65–81 and 119 of the judgment). The conclusion may thus be drawn that, regardless of the purpose for which the data are used, the operators’ retention of and the agencies’ access to these data are subject to the rules pursuant to EU law. This means that, irrespective of whether the crime fighting is pursued by the Police Authority, Swedish Customs, the Swedish Economic Crime Authority or the Swedish Security Service, the issue of data retention is subject to the same EU legal framework, although the CJEU allows slightly more leeway for national rules regarding access to data in the Security Service’s area of operations (p. 119 of the judgment).

Subscription data excluded from judgment but covered by EU law

The CJEU’s decision does not concern processing of subscriber data, but only traffic and location data. The fact that the Court does not touch on subscription data is natural since they are not dealt with in the articles of the Directive (2002/58) that the Court interprets. The Court’s more general statements on, for example, limitations on protection of personal data are, on the other hand, also relevant to processing of subscription data. In the Commission, the question has been raised of whether IP addresses should nevertheless be regarded as covered by the judgment. If so, it would

37

Summary

SOU 2017:75

mean that the provisions in the judgment concerning prior review by a court or an independent administrative authority when there is access to information on who has used an IP address, for example, would be applicable. The rules that access might be made available to law enforcement agencies only in cases of serious crime would also need to be considered. As stated above, however, the Commission’s view is that neither IP addresses nor any other subscription data are covered by the judgment.

Necessity of Swedish legislative reform

The CJEU imposes more stringent requirements than Swedish law on data retention and access to electronically retained data. The Swedish rules must therefore be reformed. However, certain opposed interests must be considered. First, it must be taken into account that the interest of law enforcement calls for effective legislation on data retention. Otherwise, there would be a risk of complete impunity in practice for certain crimes with the Internet as their arena. Second, our international commitments must be taken into account. Every single resident in Sweden is entitled to demand effective measures by the state to protect his or her safety. Accordingly, the state must strive to ensure that crime is prevented and investigated, and that perpetrators are held accountable for their criminal acts. The state thus has an obligation to protect individuals’ private life and data privacy against intrusions by other individuals and, in the event of intrusions, ensure that these crimes are investigated. Failing to enable law enforcement agencies to effectively collect evidence in the electronic environment would not be compatible with Sweden’s commitments.

No general and indiscriminate retention as at present

The CJEU has stated that the EU law constitutes an obstacle to national legislation that, for crime fighting purposes, prescribes general and indiscriminate retention of all traffic and location data concerning all subscribers and registered users, and for all electronic means of communication. It is also clear from the grounds for the judgment that the scope for generally prescribing retention is limited.

38

SOU 2017:75

Summary

The question is then how limited this scope is. The CJEU sets out its reasoning on this issue in two sections.

The first section of the reasoning is about general retention. Here, in considering Swedish legislation on data retention, the CJEU takes the view that existing legislation provides for general and indiscriminate retention of all traffic and location data of all subscribers and registered users relating to all means of electronic communication and that it imposes on providers of electronic communications services an obligation to retain that data syste- matically and continuously, with no exceptions. The Court’s conclusion, at the end of the first section of its reasoning, is that Swedish retention exceeds the limit of what is strictly necessary and therefore contravenes Article 15.1 of the Directive, compared with Articles 7, 8, 11 and 52.1 in the Charter of Fundamental Rights. The Court has now stated all the grounds required for its ruling in this section.

Nevertheless, the Court continues its considerations in a second section of the reasoning. This second part has no connection with the ruling; instead, it may almost be seen as an obiter dictum (i.e. an incidental expression of opinion outside the scope of the case). Here, the reasoning is about targeted data retention as an example of a retention compatible with the EU-law. In this part, the Court presents arguments on the possible nature of such data retention. Among the requirements for a targeted retention, the fact that the circle of individuals concerned must be limited is especially notable.

The Commission’s assessment is that scope for a limited retention obligation remains, but that the obligation must be made less extensive than today and adapted to what is strictly necessary.

Various retention models

A limited and differentiated retention should be prescribed. The other possible retention models (targeted data retention, data preservation, retention of the latest activity and continued data retention with encryption or anonymization) entail such weaknesses that it is not reasonable to prescribe any of them instead.

39

Summary

SOU 2017:75

Limited retention obligation

The Commission’s proposal involves a radical reform of the current model for the retention obligation for telephony, messaging and, to a certain extent, Internet access. Owing to the proposed changes, the obligation will no longer be general; much of the traffic data, as well as all location data that are not traffic data, will not be subject to the obligation. Retention will thus become the exception, not the rule (Tele2 judgment p. 104). In addition, the obligation to retain data will be differentiated by being adapted to cover only data that are strictly necessary to retain for fighting serious crime, taking useful- ness, needs, data privacy and proportionality into account (Tele2 judgment p. 105). At the same time, retention periods will be differentiated on the basis of divergent needs and differing sensi- tivity in terms of privacy.

The proposal means that the infringement on subscribers’ privacy would be reduced, but that scope for obstructing, preventing and investigating crime may also, in some cases, be impaired.

Editorial changes and technology neutrality

The Commission recommends dividing the retention obligation into two parts: (1) telephony and messaging and (2) Internet access. The rules should be made technology-neutral. One implication of that is that operators’ use of NAT technology (which allows subscribers to share the same public IP address) would not affect the scope for identifying subscriber.

Telephony and messaging

For telephony and messaging, the proposal is that only data on communications via a mobile network access point should be retained. This means that no data would be retained on telephony or messaging that takes place in the fixed-line (landline) telephone network or through fixed Internet access. On the other hand, information will be retained if one of the parties communicates via a mobile network access point, but only at that party’s service provider.

40

SOU 2017:75

Summary

Traffic data will still be retained; but the obligation to retain will be limited to data on who contacted whom (number and subscriber, and for telephony also subscription and equipment numbers) and at what time. Data on IP addresses should not be retained for tele- phony and messaging. The same applies to data on which service has been used, time of logging into and out of the service and data identifying the equipment where the communication with IP telephony is finally separated to the subscriber (see below on Internet access, however). Location data at the beginning and end of a call will still be retained but, as before, no other location data will be retained. For prepaid anonymous services (i.e. unregistered prepaid phone cards), information about communication equipment and initial activation will still be retained. The retention obligation should still include missed (such as unanswered) calls, but not those that fail to get connected.

Internet access

For Internet access, the Commission proposes that the retention obligation should include data that make it possible to identify the subscriber or registered user. Accordingly, the following data should be retained: IP address and other technical data necessary to identify the subscriber or registered user, time data for logging in and out of the service providing Internet access, subscriber information, and data identifying the equipment where the communication is finally separated to the subscriber. However, the Commission suggests that there should no longer be any obligation to retain connection capacity data.

No exception for people bound by professional secrecy

No exceptions to retention should be introduced for people obliged to follow professional secrecy rules. The Data Retention Com- mission’s proposal to impose an obligation to destroy data subject to professional secrecy rules should be considered.

41

Summary

SOU 2017:75

Limits of retention obligation to be clarified by law

The outer limits of the retention obligation should be made clear by law and the more detailed regulations in an ordinance by the Government. To some extent, the Government should be able to delegate the power to issue the necessary ordinance.

Differentiated retention periods

It should be specified in law that the data subject to the retention obligation should be stored for the period prescribed by the Government, but not exceeding ten months from the date when the communication ended. The Government shall prescribe the following. Location data for calls should be stored for two months. Data on Internet access, except for data identifying the equipment where the communication is finally separated to the subscriber, should be retained for ten months. Other data should be retained for six months.

Access to traffic and location data

Only for prevention of serious crime

Access to retained traffic and location data should be given only for prevention of serious crime. ‘Serious crime’ refers to the same categories of crime for which secret surveillance of electronic com- munications is currently permitted and also for retrieval of data on electronic communications in the law enforcement agencies’ intelligence activities. Swedish law is thus compatible with EU law in this respect.

Access only to data on people involved in some way in crime – as a main rule

Access to retained data may in principle, according to the Court, be granted only for data on people suspected of planning, committing or having committed a serious crime or being implicated in one way or another in such a crime. In some cases, access may also be granted

42

SOU 2017:75

Summary

for data on other people. The Swedish rules on access to data comply with EU legal requirements in this respect.

Prior review by a court or by an independent administrative body

EU law requires that access by law enforcement agencies to retained data, except in justified urgent cases, be preceded by a prior review by a court or by an independent administrative body. The Swedish regulations meet this requirement except for access to retained data in intelligence activities. The Commission therefore proposes that prosecutors shall be appointed as an independent administrative body to decide on such access following an application by the Police Authority, Security Service or Customs.

Information for those concerned

The CJEU states that EU law requires the public agencies that have been granted access to retained data, according to applicable national regulations, to inform the people affected about this as soon as there is no longer a risk of such information being detrimental to the agencies’ investigations. The Swedish rules on information for those concerned meet the requirements of EU law in this respect.

Access to include data stored for operators’ own purposes

Law enforcement agencies’ access to data on electronic com- munications should continue to include not only the data retained under data retention rules, but also information stored for the operators’ own purposes, such as information needed for billing.

Access to subscription data

As mentioned above, the Tele2 judgment does not cover processing of subscription data. With the broad scope of privacy protection, access to subscription data may nonetheless be thought to involve an interference with the protection under the European Convention on Human Rights and the Charter of Fundamental Rights. It is there-

43

Summary

SOU 2017:75

fore essential for access to be limited to what is strictly necessary and proportionate in a democratic society. Overall, the Commission’s view is that neither the CJEU’s judgment nor Sweden’s international commitments provide any reason to change the requirements for the law enforcement agencies’ access to subscription data.

Protection and security levels, retention in Sweden and destruction

The data subject to the retention obligation should not be allowed to be stored outside Sweden. The CJEU states only that national legislation must prescribe that electronic data storage may not take place outside the EU. However, confining the retention to Sweden would enable more effective supervision while improving protection of both individuals’ confidentiality and national security. Since the matter now in question concerns crucial state interests, there are no EU legal barriers to prescribing that storage takes place only in Sweden.

The rules on protection and security levels, and also those on data destruction, comply with the requirements of EU law.

Impact and implementation

The proposals for a reformed retention obligation, prohibition of retention outside Sweden and advance review of decisions pursuant to the Act (2012:278) on Acquiring Information about Electronic Communication in the Law Enforcement Agencies’ Intelligence Activities will strengthen protection for privacy and personal data. The recommended reform of the retention obligation may possibly mean that the law enforcement agencies’ capacity for crime fighting is impaired to some extent, but should not mean that crime will increase. The environment will not be affected by the proposals. The proposal on prior review of decisions pursuant to the Act (2012:278) on Acquiring Information about Electronic Communication in the Law Enforcement Agencies’ Intelligence Activities means that the Swedish Prosecution Authority will need a larger annual appro- priation (SEK 1 million) and a lump sum (SEK 3 million) that should be financed by reducing appropriations for the Police Authority

44

SOU 2017:75

Summary

(SEK 500,000 for the current framework increase and SEK 1.5 million for the lump sum), the Security Service (SEK 200,000 for the current framework increase and SEK 600,000 for the lump sum) and Customs (SEK 300,000 for the current framework increase and SEK 900,000 for the lump sum). Those who are obliged to retain data should bear the cost increases they incur – for retention, security and adaptation – themselves.

The proposals in the Commission’s report should enter into force on 1 December 2018.

45

1 Författningsförslag

1.1Förslag till

lag om ändring i lagen (2003:389) om elektronisk kommunikation

Härigenom föreskrivs att 6 kap. 16 d § lagen (2003:389) om elektronisk kommunikation ska ha följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

16 d §1

Uppgifter som avses i 16 a §

Uppgifter som avses i 16 a §

ska lagras i sex månader räknat

ska lagras den tid regeringen

från den dag kommunikationen

föreskriver dock som längst i tio

avslutades. Vid utgången av den-

månader räknat från den dag

na tid ska den lagringsskyldige

kommunikationen avslutades.

genast utplåna dem, om annat

Vid utgången av denna tid ska

inte följer av andra stycket.

den lagringsskyldige genast ut-

 

plåna dem, om annat inte följer

 

av andra stycket.

Om uppgifter som avses i första stycket begärts utlämnade före utgången av den föreskrivna lagringstiden men uppgifterna inte har hunnit lämnas ut, ska den lagringsskyldige lagra uppgifterna till dess så har skett och därefter genast utplåna de lagrade uppgifterna.

Denna lag träder i kraft den 1 december 2018.

1 Senaste lydelse 2012:127.

47

Författningsförslag

SOU 2017:75

1.2Förslag till

lag om ändring i lagen (2012:278) om inhämtning av uppgifter om elektronisk kommunikation i de brottsbekämpande myndigheternas underrättelseverksamhet

Härigenom föreskrivs att 4–6 §§ lagen (2012:278) om inhämtning av uppgifter om elektronisk kommunikation i de brottsbekämpande myndigheternas underrättelseverksamhet ska ha följande lydelse.

Nuvarande lydelse

 

 

Föreslagen lydelse

 

 

 

4 §

 

 

Beslut

om inhämtning

av

Beslut

om

inhämtning av

uppgifter fattas av myndigheten.

uppgifter fattas av åklagare efter

Myndighetschefen får

delegera

ansökan

av

Polismyndigheten,

rätten att fatta beslut om in-

Säkerhetspolisen eller Tullverket.

hämtning till en annan anställd

 

 

 

vid myndigheten som har den

 

 

 

särskilda

kompetens,

utbildning

 

 

 

och erfarenhet som behövs.

 

 

 

 

Den som rätten att fatta beslut

 

 

 

har delegerats till, får inte fatta

 

 

 

beslut om inhämtning i sådan

 

 

 

operativ

verksamhet

som

han

 

 

 

eller hon deltar i.

5 §

I ett beslut om inhämtning av uppgifter ska det anges vilken brotts- lig verksamhet och vilken tid beslutet avser samt vilket telefonnum- mer eller annan adress, vilken elektronisk kommunikationsutrustning eller vilket geografiskt område beslutet avser. Tiden får inte bestäm- mas längre än nödvändigt och får, när det gäller tid som infaller efter beslutet, inte överstiga en månad från dagen för beslutet.

Om det inte längre finns skäl

Om det inte längre finns skäl

för ett beslut om inhämtning av

för ett beslut om inhämtning av

uppgifter, ska beslutet omedel-

uppgifter, ska beslutet omedel-

bart hävas.

bart hävas av den ansökande

 

myndigheten.

48

SOU 2017:75

Författningsförslag

6 §

Säkerhets- och integritetsskyddsnämnden ska underrättas om ett beslut om inhämtning av uppgifter enligt denna lag. Underrättelsen ska lämnas senast en månad efter det att ärendet om inhämtning avslutades.

Underrättelse enligt första stycket ska fullgöras av den an- sökande myndigheten.

Denna lag träder i kraft den 1 december 2018.

49

Författningsförslag

SOU 2017:75

1.3Förslag till

förordning om ändring i förordningen (2003:396) om elektronisk kommunikation

Härigenom föreskrivs i fråga om förordningen (2003:396) om elektronisk kommunikation2

dels att 42 och 43 §§ ska upphöra att gälla,

dels att 37–41 och 44 §§ ska ha följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

37 §3

Den som är skyldig att lagra uppgifter enligt 6 kap. 16 a § lagen (2003:389) om elektronisk kommunikation ska vidta de åtgärder som krävs för att säkerställa att de lagrade uppgifterna är av samma kvalitet och föremål för samma säkerhet och skydd som vid den behandling som skett före lagringen.

Den lagringsskyldige ska vidta de åtgärder som krävs för att skydda uppgifterna mot oavsiktlig eller otillåten förstöring och oavsiktlig förlust eller ändring. Sådana åtgärder ska även vidtas för att förhindra otillåten lagring, behandling av eller tillgång till och otillåtet avslöjande av uppgifterna. Uppgifterna får göras tillgäng- liga endast för personal med särskild behörighet.

Uppgifterna får inte lagras utanför Sverige.

Post- och telestyrelsen får, efter att ha hört Polismyndigheten, Säkerhetspolisen och Datainspektionen, meddela närmare före- skrifter om de åtgärder som ska vidtas enligt första och andra styckena.

38 §4

För att fullgöra lagrings-

För att fullgöra lagrings-

skyldigheten i 6 kap. 16 a § lagen

skyldigheten i 6 kap. 16 a § lagen

(2003:389) om elektronisk kom-

(2003:389) om elektronisk kom-

2Senaste lydelse av

42§ 2012:128

43§ 2012:128.

3Senaste lydelse 2014:1270.

4Senaste lydelse 2012:128.

50

SOU 2017:75 Författningsförslag

munikation ska den lagrings-

munikation ska den lagrings-

skyldige lagra de uppgifter som

skyldige lagra de uppgifter som

anges i 39–43 §§.

 

anges i 39 och 40 §§.

 

 

 

 

39 §5

 

 

 

 

 

När det gäller

telefonitjänst

När det gäller internetåtkomst

ska följande lagras:

 

ska följande lagras:

 

 

 

1. uppringande nummer,

1. användares

ip-adress

och

 

 

 

annan uppgift som är nödvändig

 

 

 

för att identifiera abonnent och

 

 

 

registrerad användare,

 

 

2. uppringt nummer och num-

2. uppgifter om abonnent och

mer som samtalet styrts till,

registrerad användare,

 

 

3. uppgifter

om

uppringande

3. datum och

spårbar

tid

för

och uppringd abonnent och, i

på- och avloggning i tjänsten som

förekommande

fall,

registrerad

ger internetåtkomst, och

 

 

användare,

 

 

 

 

 

 

 

 

4. datum och spårbar tid då

4. uppgifter

som identifierar

kommunikationen påbörjades och

den utrustning där kommuni-

avslutades, och

 

 

kationen slutligt avskiljs från den

5. uppgifter

om den eller de

lagringsskyldige

till

den enskilda

tjänster som har använts.

abonnenten.

 

 

 

 

 

 

 

 

Om den som slutligt avskiljer

 

 

 

kommunikationen till den en-

 

 

 

skilda abonnenten är någon som

 

 

 

inte omfattas

av

 

6 kap.

16 a §

 

 

 

lagen (2003:389) om elektronisk

 

 

 

kommunikation,

 

ska

första

 

 

 

stycket 4 gälla

för

den som

av-

skiljer kommunikationen till den som slutligt avskiljer kommuni- kationen till den enskilda abon- nenten.

5 Senaste lydelse 2012:128.

51

1. uppgifter som avses i 39 § första stycket 1–3 ska lagras i tio månader,

Författningsförslag SOU 2017:75

 

 

40 §6

 

 

 

 

 

 

 

 

När det gäller telefonitjänst

När

det

gäller

telefonitjänst

via en mobil nätanslutnings-

och meddelandehantering

via

en

punkt ska, utöver det som anges i

mobil

nätanslutningspunkt

ska

39 §, följande lagras:

 

 

följande lagras:

 

 

 

 

 

 

1. uppringandes och uppringds

1. uppringande

och uppringt

abonnemangsidentitet

och

utrust-

nummer eller motsvarande adress,

ningsidentitet,

 

 

2. såvitt

avser

 

telefonitjänst

2. lokaliseringsuppgifter

för

 

kommunikationens

början och

uppringandes och uppringds abon-

slut, och

 

 

nemangsidentitet

 

och

utrust-

 

 

 

ningsidentitet,

 

 

 

 

 

 

3. datum, spårbar tid och loka-

3. uppgifter

om

abonnent

och

liseringsuppgifter för

den

första

registrerad användare som upp-

aktiveringen av en förbetald ano-

gifterna i 1 och 2 kan hänföras till,

nym tjänst.

 

 

4. datum

och

spårbar

tid

 

 

 

kommunikationen påbörjades och

 

 

 

avslutades eller

ett

meddelande

 

 

 

skickades och mottogs,

 

 

 

 

 

5. såvitt

avser

 

telefonitjänst

 

 

 

lokaliseringsuppgifter

då kommu-

 

 

 

nikationen påbörjades och avslu-

 

 

 

tades, och

 

 

 

 

 

 

 

 

 

 

6. datum, spårbar tid och loka-

 

 

 

liseringsuppgifter

för

den

första

 

 

 

aktiveringen av en förbetald ano-

 

 

 

nym tjänst.

 

 

 

 

 

 

 

 

 

41 §7

 

 

 

 

 

 

 

 

När det gäller telefonitjänst

Med

stöd

av

6 kap.

16 d §

som använder ip-paket för över-

lagen (2003:389) om elektronisk

föring ska, utöver det som anges i

kommunikation förordnas att:

 

39 och 40 §§, följande lagras:

 

 

 

 

 

 

 

 

 

1. uppringandes och uppringds ip-adresser,

6Senaste lydelse 2012:128.

7Senaste lydelse 2012:128.

52

Post- och telestyrelsen får meddela närmare föreskrifter som rör de uppgifter som ska lagras enligt 39 och 40 §§. Post- och telestyrelsen får också meddela föreskrifter om vilka närmare upp- gifter som ska lagras enligt 39 och

SOU 2017:75

Författningsförslag

2.datum och spårbar tid för på- och avloggning i den eller de tjänster som använts, och

3.uppgifter som identifierar den utrustning där kommuni- kationen slutligt avskiljs från den lagringsskyldige till den enskilda abonnenten.

Om den som slutligt avskiljer kommunikationen till den enskilda abonnenten är någon som inte omfattas av 6 kap. 16 a § lagen (2003:389) om elektronisk kom- munikation, ska första stycket 3 gälla för den som avskiljer kom- munikationen till den som slutligt avskiljer kommunikationen till den enskilda abonnenten.

2.uppgifter som avses 39 § första stycket 4 och andra stycket samt 40 § 1–4 och 6 ska lagras i sex månader, och

3.uppgifter som avses i 40 § 5 ska lagras i två månader.

44 §8

Post- och telestyrelsen får meddela närmare föreskrifter om de uppgifter som ska lagras enligt 39–43 §§.

40§§.

1.Denna förordning träder i kraft den 1 december 2018.

2.Lagringsskyldigheten enligt 39 § första stycket 1 om annan uppgift som är nödvändig för att identifiera abonnent och registrerad användare behöver inte tillämpas förrän den 1 april 2019.

8 Senaste lydelse 2012:128.

53

2Utredningens uppdrag och arbete

2.1Utredningens uppdrag

Regeringen beslutade den 16 februari 2017 att ge en särskild utredare i uppdrag att se över bestämmelserna om skyldighet att lagra upp- gifter om elektronisk kommunikation som gäller leverantörer av allmänna kommunikationsnät och allmänt tillgängliga elektroniska kommunikationstjänster1, samt bestämmelserna om de brotts- bekämpande myndigheternas tillgång till sådana uppgifter. Över- synen ska ske i syfte att anpassa det svenska regelverket till EU-rätten såsom den uttolkats av EU-domstolen i Tele2-domen. Utredaren fick även i uppdrag att se över rättssäkerhetsgarantierna och meka- nismerna som ska skydda den personliga integriteten när hemliga tvångsmedel för särskilt allvarlig brottslighet används, vilket kommer att redovisas i ett senare betänkande.

Enligt utredningens direktiv bör det även fortsättningsvis finnas ett utrymme för tvingande regler för leverantörernas lagring av upp- gifter om elektronisk kommunikation men måste det utredas hur stort det utrymmet är och vilket behov som finns av en sådan lagring. En särskild fråga enligt direktiven är vilken effekt EU-dom- stolens dom har på verksamheten som avser Sveriges säkerhet, dvs. sådan verksamhet som ligger inom Säkerhetspolisens ansvarsområde.

Även regelverket om tillgång till lagrade uppgifter behöver enligt direktiven ses över, bl.a. vad gäller vilka krav som bör ställas på brottets allvar för att uppgifterna ska få hämtas in, krav på under- rättelse till enskilda, beslutsordningen för inhämtning och om ett

1 I betänkandet används termerna operatör och leverantör synonymt med lagringsskyldig och inte med den distinktion som följer av LEK, i den mån inte annat framgår av sammanhanget. Därtill används ibland termen lagringsskyldig.

55

Utredningens uppdrag och arbete

SOU 2017:75

särskilt skydd behövs för uppgifter som omfattas av yrkesmässig tystnadsplikt.

I direktiven uppmärksammar regeringen vidare att EU-domstolen i Tele2-domen uttalat sig om skyddet och säkerheten för de lagrade uppgifterna, däribland att leverantörerna av elektroniska tjänster måste garantera en särskilt hög skydds- och säkerhetsnivå, att den nationella lagstiftningen måste föreskriva att lagringen sker inom unionen, att uppgifterna oåterkalleligen förstörs när lagringstiden gått ut samt att det utförs kontroll av en oberoende myndighet.

Mot denna bakgrund ska utredningen enligt direktiven analysera hur reglerna om lagring av uppgifter enligt 6 kap. 16 a § LEK och 39– 43 §§ FEK, reglerna om tillgång till de lagrade uppgifterna samt reglerna om skydd av och säkerhet för dessa uppgifter förhåller sig till EU-domstolens dom. Därutöver ska utredningen överväga olika alternativ till förändringar i de delar reglerna inte är förenliga med domen, belysa fördelar och nackdelar med alternativen samt föreslå författningsändringar och andra åtgärder som behövs.

I uppdraget ingår även en internationell utblick. Utredaren ska redovisa gällande rätt och pågående arbete i Finland och Danmark och de övriga länder som bedöms vara relevanta. Vidare ska utredaren följa arbetet på EU-nivå.

Utredaren får enligt direktiven ta upp sådana närliggande frågor som har samband med de frågeställningar som ska utredas. Exempel på en sådan fråga är vilken efterhandskontroll som bör finnas samt om någon myndighet bör ha tillsyn över att uppgifter om elek- tronisk kommunikation lämnas ut på ett korrekt sätt.

2.2Utredningsarbetet

Uppdraget har inrymt överväganden inom ett mycket komplext område, både juridiskt och tekniskt. Det har dessutom utförts under stor skyndsamhet eftersom det har varit angeläget att snabbt få en reglering på plats som är förenlig med de uttalanden som EU-dom- stolen gjort i Tele2-domen. Utredningen har haft flera samman- träden med de förordnade experterna. Därutöver har utredningen haft ett separat möte med experter från Polismyndigheten, Säker- hetspolisen och Tullverket, för att närmre utreda myndigheternas behov av lagrade uppgifter om elektronisk kommunikation. I samma

56

SOU 2017:75

Utredningens uppdrag och arbete

syfte har studiebesök genomförts hos Åklagarmyndigheten, Polis- myndigheten och Säkerhetspolisen. Utredningen har även haft sammanträden med en grupp företrädare från it- och telekomföre- tagen. Gruppen har utformats av branchorganisationen IT&Telekom- företagen och bestått av företrädare från branchorganisationen samt från Bahnhof, Comhem, Hi3G, Tele2, Telenor och Telia. Utred- ningen har även haft kontakt med personer som arbetar med mot- svarande frågor i andra unionsländer och på EU-nivå. Därtill har utredningen samrått med bl.a. Beslagsutredningen (Ju 2016:08), Utredningen om hemlig dataavläsning (Ju 2016:12) och Utredningen om självkörande fordon (N 2015:07). Slutligen har utredningen tagit del av synpunkter från enskilda personer och organisationer.

Den näraliggande fråga om efterhandskontroll som nämns i direktiven har inte varit möjliga att behandla.

2.3Betänkandets disposition

Den efterföljande delen av betänkandet inleds med avsnitt 3, om enskildas grundläggande rättigheter, i synnerhet avseende personlig integritet, skyddet för personuppgifter och yttrandefrihet. Därefter beskrivs i avsnitt 4 relevant gällande rätt kring elektronisk kommu- nikation. Avsnitt 5 utgör en översiktlig beskrivning av de brotts- bekämpande myndigheternas utredande verksamhet och under- rättelseverksamhet. Regleringen kring datalagring i brottsbekäm- pande syfte redogörs för i avsnitt 6. Därefter, i avsnitt 7, beskrivs nyttan och behovet av uppgifter om elektronisk kommunikation. Avsnitt 8–10 handlar om EU-rättens påverkan på utformingen och tillämpningen av reglerna om datalagring. En internationell utblick finns i avsnitt 11. Utredningens överväganden och förslag finns mot slutet av betänkandet, i avsnitt 12, medan författningsförslagen finns i avsnitt 1. Den sista delen av betänkandet utgörs av en konsekvens- analys, avsnitt 13, och en författningskommentar, avsnitt 14.

57

3 Grundläggande rättigheter

3.1Rätten till personlig integritet

3.1.1Integritetsbegreppet

Som anförs i Datalagringsutredningens betänkande finns det i svensk rätt inte någon allmängiltig definition av begreppet personlig integri- tet, SOU 2015:31 s. 51. Någon definition finns inte heller i inter- nationell rätt, SOU 2016:65 s. 34. Olika utredningar har med ut- gångspunkt i bl.a. de grundläggande fri- och rättigheterna i RF:s andra kapitel försökt klargöra begreppet genom att skilja mellan den rumsliga integriteten (hemfriden), den materiella integriteten (egen- domsskyddet), den kroppsliga integriteten (skydd för liv och hälsa samt mot ingrepp i eller mot kroppen), den personliga integriteten i fysisk mening (skyddet för den personliga friheten och rörelse- friheten) och den personliga integriteten i ideell mening (skyddet för privatlivet och för personligheten inklusive den privata ekonomin), se t.ex. Tvångsmedelskommitténs betänkande Tvångsmedel – Anony- mitet – Integritet, SOU 1984:54 s. 42. Ett annat sätt att bestämma begreppet personlig integritet är att ange vilka handlingar som utgör kränkningar av densamma. Enligt denna modell kan kränkningarna delas in i tre huvudgrupper: 1) intrång i en persons privata sfär i fysisk eller annan mening, 2) insamlande av uppgifter om en persons privata förhållanden och 3) offentliggörande eller annan användning (t.ex. som bevisning i rättegång) av uppgifter om en persons privata förhållanden, se prop. 2006/07:63 s. 61.

Utformningen av integritetsskyddet i svensk rätt synes inte i praktiken ha tagit sin utgångspunkt i en viss definition av begreppet, utan skyddet har i stället kommit att bestämmas av summan av ett stort antal skyddsregler av varierande slag, SOU 2015:31 s. 51. I för- arbetena till RF och personuppgiftslagen (1998:204) har lagstiftaren dock försökt att beskriva kärnan i vad som avses skyddas av lag-

59

Grundläggande rättigheter

SOU 2017:75

stiftningen genom att slå fast att kränkningar av den personliga integriteten utgör intrång i den fredade sfär som den enskilde bör vara tillförsäkrad och där ett oönskat ingrepp bör kunna avvisas (prop. 2005/06:173 s. 15 och prop. 2009/10:80 s. 175).

3.1.2Skyddsintressen

Det är viktigt i en rättsstat att den offentliga maktutövningen är bunden av förutsebara normer och underkastad vissa begränsningar. Detta gäller inte minst de metoder som används i statens brotts- bekämpande verksamhet. Den som t.ex. är misstänkt för ett brott har rätt att ställa krav på att staten respekterar hans eller hennes berättigade krav på respekt för de grundläggande fri- och rättig- heterna samt skydd mot godtycke.

Samtidigt har var och en som vistas i Sverige rätt att göra anspråk på att staten vidtar effektiva åtgärder för att skydda hans eller hennes säkerhet. I detta ligger bl.a. att staten måste anstränga sig för att se till att brott förebyggs och utreds samt att gärningsmän ställs till svars för sina brottsliga handlingar. Staten har alltså ett ansvar för att skydda enskildas privatliv och personliga integritet mot intrång som begås av andra enskilda. Detta följer bl.a. av artikel 8 i Europakon- ventionen (se t.ex. Europadomstolens mål Söderman mot Sverige, 12 november 2013, § 78 och von Hannover mot Tyskland, 24 juni 2004, § 57). Motsvarande skydd följer av rättighetsstadgan. Även utan att det har förekommit något ingripande från en myndighet eller en offentlig tjänsteman kan staten således bryta mot artikel 8 genom att tolerera en existerande situation eller genom att inte skapa till- räckligt rättsligt skydd. Staten kan då bli ansvarig för sin underlåten- het trots att det specifika övergreppet har utförts av en enskild person, för vars handlande staten inte i och för sig är ansvarig. Vad som i huvudsak kan förväntas är att staten utfärdar lagar som ger ett till- fredsställande skydd åt privatliv, familjeliv, hem och korrespondens och att de rättsvårdande myndigheterna håller kontroll över att dessa lagar respekteras. En förutsättning för att staten ska kunna leva upp till kraven på att upprätthålla rättstryggheten för enskilda är att staten har en välfungerande och effektiv brottsbekämpning (SOU 2015:31 s. 51–52 jfr även p. 149 i EU-domstolens yttrande 1/15 den 26 juli 2017). Att ha en välfungerande brottsbekämpning innebär t.ex. att

60

SOU 2017:75

Grundläggande rättigheter

myndigheterna ska ha tillgång till effektiva utredningsverktyg – även i den elektroniska miljön. När så inte har varit fallet har staten ansetts kränka de rättigheter som följer av Europakonventionen. Ett exempel på detta var när en person som gjort sig skyldig till förtal eller möjligen sexuellt ofredande av ett 12-årigt barn i Finland inte kunde identifieras på grund av att den nationella lagstiftningen inte möjliggjorde att uppgift om vem som använt en ip-adress inte kunde inhämtas från operatören. I det aktuella fallet uttalade domstolen särskilt att konfidentialitet för kommunikation och yttrandefrihet ibland måste få vika för brottsbekämpande ändamål. (Europadom- stolens dom den 2 december 2008, K.U. mot Finland, särskilt § 49).

Statens skyldighet att upprätthålla ett straffrättsligt skydd och göra skyndsamma ingripanden mot allvarliga brott följer även av andra artiklar i Europakonventionen och rättighetsstadgan, exem- pelvis avseende frihetsberövanden, artikel 5 i Europakonventionen samt artiklarna 6 och 52.3 i rättighetsstadgan, se även Hans Danelius, Mänskliga rättigheter i Europeisk praxis, 5:e uppl., s. 112 och p. 42 i Digital Rights-domen.

3.1.3Regleringen av skyddet för privatlivet

Grundläggande bestämmelser

Grundläggande bestämmelser som har betydelse för det allmännas ansvar att skydda enskildas privatliv och integritet finns i bl.a. RF. Av målsättningsstadgandet i 1 kap. 2 § framgår att den offentliga makten ska utövas med respekt för den enskilda människans frihet och värdighet samt att det allmänna ska värna den enskildes privatliv och familjeliv. Enligt 2 kap. 6 § första stycket RF gäller vidare att var och en gentemot det allmänna är skyddad mot undersökning av förtroliga brev och andra förtroliga försändelser samt mot hemlig avlyssning eller upptagning av telefonsamtal eller andra förtroliga meddelanden. Därtill gäller enligt paragrafens andra stycke ett skydd mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden.

Av artikel 8 i Europakonventionen följer att var och en har rätt till skydd för sitt privat- och familjeliv, sitt hem och sin korrespon- dens. Begreppet privatliv tolkas i Europadomstolens praxis vitt.

61

Grundläggande rättigheter SOU 2017:75

Domstolen har flera gånger framhållit att det inte är möjligt att definiera begreppet genom en uttömmande beskrivning av olika aspekter som rör den enskildes privata förhållanden (se t.ex. S. och Marper mot Förenade kungariket, 4 december 2008, § 66 och Gillberg mot Sverige, 2 november 2010, § 66). Begreppet täcker olika aspekter av en enskild individs såväl fysiska som psykiska integritet. Det omfattar bl.a. uppgifter om den enskildes identitet, inklusive namn och kön, uppgifter om hälsa och sexuell läggning och infor- mation som rör den personliga utvecklingen och relationer till andra individer. Vidare omfattar skyddet enligt artikeln bl.a. kommuni- kation genom telefon och e-post (Liberty m.fl. mot Förenade kungariket, 1 juli 2008, § 56 och däri hänvisade rättsfall). Registre- ring av vilka telefonnummer en person ringer kan utgöra ett ingrepp i rätten till privatliv, beroende på i vilket syfte den görs (P.G. och J.H. mot Förenade kungariket, 25 september 2001, § 42). Europa- domstolen har emellertid påpekat att det är en väsentlig skillnad mellan det och att avlyssna vederbörandes kommunikation. Detsam- ma gäller exempelvis gps-positionering av en person, som bedömts som mindre allvarligt än t.ex. avlyssning (Uzun mot Tyskland, 2 september 2010, §§ 52 och 66). Till privatlivet hör vidare en rätt till skydd mot angrepp av den enskildes ära och ryktbarhet och mot spridning av information som rör privata förhållanden (t.ex. K.U. mot Finland, 2 december 2008, §§ 42 och 43, och von Hannover mot Tyskland, 24 juni 2004, § 50).

Rätten till respekt för privatlivet innefattar även skyddet av person- uppgifter (Hans Danelius, Mänskliga rättigheter i europeisk praxis, 5:e uppl., s. 386). Om staten exempelvis lagrar information hän- förligt till folks privatliv, kan både det och tillgången till infor- mationen utgöra ett intrång i rätten till privatliv (exempelvis Leander mot Sverige, 26 mars 1987, § 48). Det gäller även om informationen består av enbart offentliga och okänsliga uppgifter samt sker utan hjälp av något hemligt tvångsmedel (Segerstedt-Wiberg m.fl. mot Sverige, 6 juni 2006, § 72; Uzun mot Tyskland, 2 september 2010, § 46, samt Amann mot Schweiz, 16 februari 2000, §§ 65–67). Trots att Europakonventionen inte uttryckligen reglerar skydd av person- uppgifter (jfr artikel 8 EU:s rättighetsstadga, se nedan avsnitt 3.2.1) så omfattar konventionen således ett sådant skydd. Respekten för privatlivet omfattar inte enbart skydd av rent privata relationer utan

62

SOU 2017:75

Grundläggande rättigheter

kan även omfatta relationer och aktiviteter som är relaterade till den enskildes yrkesliv (t.ex. Rotaru mot Rumänien, 4 maj 2000, § 43).

Som nämnts ovan, innebär rätten till privatliv inte bara ett skydd mot myndigheters ingrepp, utan även en skyldighet för stater att kriminalisera brott och tillämpa straffrättsliga bestämmelser genom effektiv utredning och lagföring. När brott har begåtts mot en persons fysiska eller psykiska hälsa krävs det att det, i rimlig mån, finns redskap som gör det möjligt att identifiera och lagföra föröva- ren. Det måste samtidigt beaktas att redskapen används på ett sätt som är förenligt med de mänskliga rättigheterna i övrigt. Det är lagstiftarens skyldighet att upprätta ett ramverk som är förenligt med samtliga dessa konkurrerande principer. (K.U. mot Finland, 2 december 2008, §§ 46–49 och p. 149 i EU-domstolens yttrande 1/15 den 26 juli 2017)

En bestämmelse om rätt till respekt för bl.a. privatlivet finns också i artikel 7 i rättighetsstadgan. Av samma artikel följer att var och en har rätt till respekt för sina kommunikationer. Av artikel 52.3 i stadgan följer att i den mån stadgan omfattar rättigheter som motsvarar sådana som garanteras av Europakonventionen ska de ha samma innebörd och räckvidd som enligt konventionen eller ett mer långtgående skydd. Rättighetsstadgan riktar sig till medlemsstaterna endast när de tillämpar unionsrätten (artikel 51.1). Av EU-dom- stolens praxis framgår att detta innebär att rättigheterna i stadgan måste iakttas inte bara vid tillämpningen av nationell lagstiftning som genomför EU-rätt, utan så snart nationell lagstiftning omfattas av unionens tillämpningsområde (se t.ex. Åkerberg Fransson, mål C- 617/10, § 21). Av Tele2-domen följer att rättighetsstadgan är av vikt vid utformningen av bestämmelser om datalagring även för brotts- bekämpande ändamål.

Frågor om skydd för privatlivet tilldrar sig stort intresse runt om i världen. Detta gäller inte minst i förhållande till frågor om över- vakning av elektronisk kommunikation. Exempelvis har ett stort antal organisationer som arbetar för integritetsfrågor tillsammans arbetat fram ett antal principer som stater uppmanas att följa vid sådan övervakning.1 Dessa principer innehåller bl.a. uppmaningar om att övervakningsåtgärder ska regleras i lag och endast vara tillåtna när det är nödvändigt, lämpligt och proportionerligt i förhållande till ett

1 Principerna finns att läsa på necessaryandproportionate.org

63

Grundläggande rättigheter

SOU 2017:75

legitimt ändamål. Vidare ska åtgärderna beslutas av en behörig rätts- lig myndighet. Den som utsätts för åtgärderna ska underrättas om dem. Staterna ska också inrätta kontrollmekanismer som ska säker- ställa transparens och ansvar för åtgärderna.

Av intresse är även de principer som upprättats av Artikel 29- gruppen. Gruppen har bl.a. satt upp garantier som gruppen menar måste följas för att en inskränkning i skyddet för personuppgifter ska vara godtagbar.2

Ett skydd mot godtyckligt ingripande i fråga om privatliv, familj, hem eller korrespondens finns även i andra internationella instrument, se t.ex. artikel 12 i Förenta Nationernas allmänna förklaring om de mänskliga rättigheterna och artikel 17 i Förenta Nationernas inter- nationella konvention om medborgerliga och politiska rättigheter.3

Inskränkningar i skyddet får göras

Rätten till skydd av privatlivet och den personliga integriteten är inte absolut. En individ som lever i ett samhälle och sålunda ingår i en gemenskap med andra människor kan inte göra gällande något absolut anspråk på att i alla situationer få leva i fred från andra indivi- der eller ostörd av samhällets organ. I syfte att tillförsäkra med- borgarna trygghet och säkerhet mot yttre och inre hot kan det ibland vara nödvändigt med vissa inskränkningar av integritets- skyddet. Som anges ovan har staten till och med en skyldighet att införa sådana regler (avsnitt 3.1.2–3.1.3).

Det är en svår uppgift att avväga å ena sidan skyddet för enskilda mot ingrepp från staten mot å andra sidan statens plikt att skydda individen, dvs. att se till att myndigheterna har effektiva verktyg till sin hjälp för att bekämpa brott. En självklar utgångspunkt i sådana avvägningar är Europakonventionen och rättighetsstadgan. En annan viktig utgångspunkt är att myndigheterna inte får ges sådana befogenheter att medborgarnas tilltro till dem påverkas negativt. Förtroendet kan skadas om medborgarna upplever att det finns risk

2Article 29 data protection working party, WP 237, 13 april 2016.

3Om rätten till privatliv i den digitala eran, läs t.ex. Annual report of the United Nations High Commissioner for Human Rights and reports of the Office of the High Com- missioner and the Secretary-General, A/HRC/27/37, 30 juni 2014 samt Europarådets resolution 1970 (2014) och rekommendationer 2033 (2014).

64

SOU 2017:75

Grundläggande rättigheter

för att myndigheterna utan deras vetskap samlar information om enskilda och deras privatliv utan att detta motiveras av tungt vägande allmänna intressen. Medborgarnas bild av det allmännas verksamhet påverkas dock också av i vilken utsträckning myndigheterna ges förutsättningar att använda effektiva arbetsmetoder. Myndigheterna är samhällsorgan som ytterst har till uppgift att värna om med- borgarna. Om medborgarna upplever att myndigheterna inte har för- måga eller tillräckliga medel för att hantera hot mot samhället och enskilda kan även detta leda till minskat förtroende.

Enligt 2 kap. 20 § RF får det integritetsskydd som följer av RF endast begränsas genom lag. En begränsning får göras endast för att tillgodose ett ändamål som är godtagbart i ett demokratiskt samhälle. En begränsning får aldrig gå utöver vad som är nödvändigt med hänsyn till det ändamål som har föranlett den och får inte heller sträcka sig så långt att den utgör ett hot mot den fria åsiktsbild- ningen såsom en av folkstyrelsens grundvalar (2 kap. 21 § RF). En begränsning måste alltså vara proportionerlig. Vad avser lagrings- skyldighet för elektroniska kommunikationsuppgifter, som medför en inskränkning i integritetsskyddet, uttalade regeringen, i samband med att bestämmelserna om lagring av trafikuppgifter för brotts- bekämpande ändamål infördes, att principerna kring lagringsskyldig- heten och begränsningar till teknikområden borde vara reglerade i lag medan den mer tekniska specifikationen av lagringskravet kunde regleras i förordning (prop. 2010/11:46 s. 28).

På liknande sätt får rättigheter enligt artikel 8 Europakonven- tionen inskränkas endast genom lag. Kravet på lagstöd är inte endast formellt. Det krävs även att den rättighetsbegränsande lagen upp- fyller rimliga anspråk på rättssäkerhet och skydd mot godtycke. Den måste vara tillgänglig för allmänheten och utformad med tillräcklig precision, så att inskränkningarna i den grundläggande konventions- rättigheten i rimlig utsträckning kan förutses. En nationell lag som ger de rättstillämpande organen ett tolkningsutrymme och en rätt till skönsmässig prövning är emellertid inte i och för sig oförenlig med kravet på förutsebarhet, under förutsättning att gränserna för den skönsmässiga bedömningen är tillräckligt klara för att ge individen skydd mot godtyckliga ingrepp (Hans Danelius, Mänskliga rättig- heter i Europeisk praxis, 5:e uppl., 2015, s. 370 samt Kopp mot Schweiz, 25 mars 1998, § 55).

65

Grundläggande rättigheter

SOU 2017:75

När det gäller dolda spaningsåtgärder innebär kravet på förutse- barhet inte att en person bör kunna veta på förhand t.ex. när myndigheterna sannolikt avlyssnar dennes samtal, så att han eller hon kan anpassa sitt beteende därefter. Lagstiftningen om sådana åtgärder måste däremot vara så tydlig att den ger medborgarna en tillräcklig indikation om vilka omständigheter som krävs för att myndigheterna ska få använda sig av åtgärderna. Det gäller oavsett om övervakningen riktar sig mot en individ eller är av mer över- gripande karaktär. (Weber och Saravia mot Tyskland, 29 juni 2006, § 93, samt Liberty m.fl. mot Förenade Kungariket, 1 juli 2008, § 63)

Europadomstolen har utarbetat en minimistandard som ställer följande krav på lagstiftning om hemliga övervakningsåtgärder (t.ex. Uzun mot Tyskland, 2 september 2010, § 61 med hänvisningar):

Arten av de brott som skulle kunna leda till en begäran om åtgärden måste framgå.

Det ska finnas en definition av de personkategorier som skulle kunna riskera att bli föremål för åtgärden, t.ex. få sin telefon avlyssnad.

Åtgärdens varaktighet ska vara begränsad.

Det måste finnas förfaranderegler för undersökning, användning och lagring av de uppgifter som inhämtas.

Försiktighetsåtgärder vid överföring av information till andra parter ska vidtas.

De omständigheter under vilka inhämtade uppgifter (t.ex. in- spelningar) kan eller måste raderas ska anges.

De viktigaste punkterna har bedömts vara de två förstnämnda. Vad avser karaktären på de förseelser som kan föranleda övervakning krävs inte att det finns en lista med namngivna brott; det är till- räckligt med exempelvis information om minimistraff för brottet. När det gäller avgränsning av personkategori har Europadomstolen ansett det kunna vara berättigat att även personer som inte är miss- tänkta för brott men som kan ha upplysningar om brottet berörs av åtgärden, bl.a. har domstolen bedömt det vara befogat att avlyssna en telefon tillhörande partnern till en dödad person. (Greuter mot

66

SOU 2017:75

Grundläggande rättigheter

Nederländerna, 19 mars 2002 samt Roman Zakharov mot Ryssland, 4 december 2015, §§ 231, 243–245)

Det kan konstateras att den grad av förutsebarhet som krävs varierar beroende på vilken typ av spaningsåtgärd som lagstiftningen avser och hur ingripande åtgärden är. I det ovan nämnda målet Uzun mot Tyskland, vilket rörde övervakning via gps av förflyttningar på offentliga platser, uttalade domstolen att de relativt strikta krav som minimistandarden ställer har utarbetats i mål om telefonavlyssning. Domstolen fann att dessa krav inte var tillämpliga i målet eftersom övervakning av en persons rörelser med hjälp av GPS-utrustning, i jämförelse med telefonavlyssning, utgjorde ett mindre intrång i dennes privatliv (Uzun mot Tyskland, 2 september 2010, §§ 65 och 66; jfr även P.G. och J.H. mot Förenade kungariket, 25 september 2001, § 42). En rimlig slutsats är att verksamhet och åtgärder som utgör större intrång i privatlivet borde tillhandahållas med tydligare bemyndiganden och bli föremål för fler restriktioner än verksamhet som utgör mindre sådana intrång (SOU 2015:31 s. 57).

Europadomstolen har också slagit fast att nationell lagstiftning om dolda spaningsåtgärder måste innehålla kontrollmekanismer för att skydda mot missbruk av den prövningsrätt som finns. Vad som krävs i det avseendet beror på omständigheter som åtgärdernas karaktär, räckvidd och varaktighet, vilka motiv som krävs för att besluta, utföra och övervaka dem samt vilken typ av rättsmedel som finns i den nationella lagstiftningen. Beträffande telefonavlyssning har Europadomstolen ansett att beslutet normalt sett ska kontrolle- ras av domstol, åtminstone i sista instans (t.ex. Szabó och Vissy mot Ungern, 12 januari 2016). Den nationella lagstiftningen måste också, såvitt avser telefonavlyssning, innehålla tillfredsställande mekanismer för att övervaka vad som sker med överskottsinformation. När det gäller mindre ingripande åtgärder ställer konventionen däremot lägre krav. Som ett exempel på detta kan nämnas Europadomstolens dom den 25 september 2001 i målet P.G. och J.H. mot Storbritannien. I målet uttalade domstolen att vad som krävs i fråga om skydds- åtgärder beror, åtminstone i viss utsträckning, på det aktuella in- trångets natur och omfattning. Domstolen fann att de brittiska reglerna om telefonövervakning innehöll tillräckliga garantier mot missbruk, trots att det saknades lagregler (i motsats till interna rikt- linjer för polisen) om lagring och förstörande av den information som samlades in.

67

Grundläggande rättigheter

SOU 2017:75

Det kan sägas att domstolen i det aktuella målet satte en låg standard för ”med stöd av lag” eftersom det inte fanns något ut- tryckligt bemyndigande för hemlig övervakning av elektronisk kommunikation i det brittiska systemet. Uppfattningen har också framförts att det är mycket sannolikt att Europadomstolen i fram- tiden kommer att kräva någon form av system för efterföljande kontroll av hemlig övervakning av elektronisk kommunikation om och när den konfronteras med denna fråga igen, se Cameron, Expert- rapport åt Polismetodutredningen, SOU 2010:103 s. 547–548.

En inskränkning i rättigheter som skyddas av artikel 8 får vidare göras endast om det i ett demokratiskt samhälle är nödvändigt med hänsyn till statens säkerhet, den allmänna säkerheten, landets eko- nomiska välstånd eller till förebyggande av oordning eller brott eller till skydd för hälsa eller moral eller för andra personers fri- och rättigheter. Av Europadomstolens praxis följer att en inskränkning måste kunna motiveras av ett angeläget samhälleligt behov och den måste stå i rimlig proportion till det syfte som ska tillgodoses genom inskränkningen. Konventionsstaterna har visst utrymme – margin of appreciation – att själva avgöra om en inskränkning är nödvändig. Europadomstolen förbehåller sig dock rätten att övervaka om stater- nas avvägningar uppfyller konventionens krav på proportionalitet. Domstolens kontroll i detta avseende varierar beroende bl.a. på vilka ändamål som utgör grund för inskränkningen och är typiskt sett något mindre strikt när en stats vitala intressen motiverar en in- skränkning eller när det saknas en enhetlig europeisk rättsuppfatt- ning om hur en fråga ska bedömas (Hans Danelius, Mänskliga rättig- heter i Europeisk praxis, 5:e uppl., s. 370–371).

Vid bedömningen av om åtgärden är nödvändig i ett demokratiskt samhälle måste en helhetsbedömning göras av alla omständigheter, exempelvis omfattningen och varaktigheten av åtgärden, skälen för åtgärden, vem som är behörig att besluta om, genomföra och över- vaka åtgärden samt vilka rättsmedel som finns. Exempelvis skulle en vid formulering av villkoren för en hemlig övervakningsåtgärd delvis kunna uppvägas av en förhandskontroll i domstol. (Roman Zakharov mot Ryssland, 4 december 2015, §§ 232, 248, 249 samt Uzun mot Tyskland, 2 september 2010, § 63).

Vad avser just förhandskontroll av domstol har Europadomstolen uttalat att ett system där sådan prövning saknas och de brottsbekäm- pande myndigheterna i stället har direktåtkomst till exempelvis upp-

68

SOU 2017:75

Grundläggande rättigheter

gifter om mobiltelefonkommunikation är särskilt känsligt för missbruk och att andra garantier mot godtycke och missbruk blir synnerligen stort med ett sådant system (Roman Zakharov mot Ryssland, 4 december 2015, §§ 268–270). Vid positionsövervakning har det ansetts tillräckligt med en prövning av domstol efter att åtgärden redan skett, exempelvis genom att uppgifter som fram- kommit genom övervakningen inte får användas som bevis i rätte- gång, om övervakningsåtgärden inte varit lagenlig (Uzun mot Tyskland, 2 september 2010, §§ 71 och 72).

Europadomstolen har vidare ställt vissa krav på att lagstiftningar om hemliga tvångsmedel och övervakningsåtgärder även innehåller andra rättssäkerhetsgarantier. Domstolen har uttryckt att, eftersom det vid hemliga tvångsmedel finns en risk för missbruk i enskilda fall, det är lämpligt att en domare bör ha ansvaret för övervakningen. Samtidigt har domstolen godtagit att ett oberoende utomrättsligt organ med tillräckliga befogenheter ansvarar för tillsynen. (Roman Zakharov mot Ryssland, 4 december 2015, §§ 233 och 275)

Som huvudregel ska den som varit föremål för den hemliga tvångsåtgärden underrättas om det, för att han eller hon inte ska berövas möjligheten att söka gottgörelse för eventuell olaglig användning av tvångsmedlet. Europadomstolen har emellertid inte uppställt något absolut krav, med hänvisning till att en underrättelse både kan äventyra syftet med åtgärden och också avslöja hemliga arbetsmetoder eller agenter inom den brottsbekämpande myndig- heten. Domstolen har, som exempel, godtagit att en oberoende myndighet avgör om underrättelse ska skickas eller inte eller att underrättelse underlåts om det finns möjlighet för en enskild som misstänker att han eller hon är föremål för hemlig övervakning att vända sig till en oberoende domstol med utredningsbefogenheter. (Klass m.fl. mot Tyskland, 6 september 1978, § 58 samt Roman Zakharov mot Ryssland, 4 december 2015, §§ 286–288 och däri hänvisade rättsfall, särskilt Kennedy mot Förenade kungariket, 18 maj 2010, § 167).

När det gäller unionsrätten följer det av artikel 52.1 i rättighets- stadgan att varje begränsning i utövandet av de fri- och rättigheter som erkänns i stadgan måste vara föreskriven i lag och förenlig med det väsentliga innehållet i dessa fri- och rättigheter. Begränsningar får, med beaktande av proportionalitetsprincipen, göras endast om de är nödvändiga och faktiskt svarar mot mål av allmänt samhälls-

69

Grundläggande rättigheter

SOU 2017:75

intresse som erkänns av unionen eller behovet av skydd för andra människors fri- och rättigheter. Enligt EU-domstolens fasta praxis kräver proportionalitetsprincipen att unionsinstitutionernas åtgär- der, för att vara godtagbara, för det första måste vara ägnade att uppnå de legitima mål som eftersträvas. För det andra får åtgärderna inte gå utöver vad som är lämpligt och nödvändigt för att uppnå de eftersträvade målen. Utrymmet för unionslagstiftaren att bedöma om proportionalitetsprincipens krav är uppfyllda kan begränsas på grund av omständigheter som t.ex. vilken rättighet som begränsas, hur omfattande och allvarligt ingreppet är, vilket syfte ingreppet har etc. Ju mer långtgående ett ingrepp är, desto mer strikt blir EU- domstolens kontroll av att proportionalitetsprincipens krav följs (SOU 2015:31 s. 59).

Med kravet att rättighetsinskränkningarna ska vara föreskrivna i lag avses inte nödvändigtvis att föreskriften måste finnas i en författning som benämns just lag (i jämförelse med andra före- skrifter, t.ex. förordning). I sitt förslag till avgörande i Tele2-målet diskuterade generaladvokaten vad som avses med uttrycket i såväl stadgan som i direktiv 2002/58. Efter en jämförelse av olika språk- versioner, en genomgång av praxis från EU-domstolen och Europa- domstolen samt efter beaktande av det rättighetsintrång som en generell lagringsskyldighet medför, ansåg generaladvokaten det önskvärt att det väsentliga innehållet i skyldigheten anges i bestäm- melser som antas av den lagstiftande makten och att den verk- ställande makten närmare fastställer tillämpningsföreskrifterna till dessa (punkterna 134–153).

3.2Skyddet för personuppgifter

3.2.1Grundläggande EU-rätt

Bestämmelser om skydd av personuppgifter finns i unionsrättens primärrätt och sekundärrätt. I artikel 8.1 i rättighetsstadgan slås fast att var och en har rätt till skydd av de personuppgifter som rör honom eller henne. Enligt artikel 8.2 i stadgan ska personuppgifter behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund. Var och en har vidare rätt att få tillgång till insamlade uppgif- ter som rör honom eller henne och att få rättelse av dem. Av

70

SOU 2017:75

Grundläggande rättigheter

artikel 8.3 i stadgan följer att en oberoende myndighet ska kontrol- lera att dessa regler efterlevs. Begränsningar i rätten till skydd av personuppgifter får – i likhet med vad som gäller för andra fri- och rättigheter enligt stadgan – göras på de grunder som anges i arti- kel 52.

Rätten till skydd för enskilda personer avseende behandlingen av personuppgifter kommer till uttryck även i artikel 16 i FEUF där den rättsliga grunden för lagstiftningsåtgärder inom unionsrättens tillämpningsområde slås fast. I artikel 16.2 FEUF anges att oberoende myndigheter ska kontrollera att de bestämmelser som Europaparla- mentet och rådet antar följs. En särskild rättslig grund för lagstift- ning på området för den gemensamma utrikes- och säkerhets- politiken finns i artikel 39 FEUF. Även där slås fast att oberoende myndigheter ska kontrollera att bestämmelserna följs.

3.2.2EU:s dataskyddsdirektiv och dataskyddsreform

En allmän reglering om skydd av personuppgifter inom EU finns i direktiv 95/46/EG (dataskyddsdirektivet). Direktivet har antagits med stöd av fördragens bestämmelser om den inre marknadens upp- rättande och funktion. Direktivet omfattar inte juridiska personer utan gäller bara i fråga om uppgifter som direkt eller indirekt kan hänföras till fysiska personer. Direktivet gäller inte på områden som faller utanför unionsrätten, såsom försvar, allmän säkerhet och statens verksamhet på straffrättens område. Det finns också andra rättsakter som kompletterar dataskyddsdirektivet, bl.a. rådets ram- beslut 2008/977/RIF av den 27 november 2009 om skydd för person- uppgifter som behandlas inom ramen för polissamarbete och straff- rättsligt samarbete, det s.k. dataskyddsrambeslutet.

Dataskyddsdirektivet syftar dels till att skydda fysiska personers grundläggande fri- och rättigheter, särskilt rätten till privatliv, i samband med behandling av personuppgifter, dels till att säkerställa det fria flödet av personuppgifter mellan medlemsstaterna. I direk- tivet regleras ett antal allmänna principer om uppgifternas kvalitet och godtagbara grunder för behandling av personuppgifter. Vidare finns det bestämmelser om enskildas rätt till information och till- gång till behandlade uppgifter. Begränsningar i principerna får göras bl.a. om det är nödvändigt med hänsyn till statens säkerhet, allmän

71

Grundläggande rättigheter

SOU 2017:75

säkerhet eller förebyggande, undersökning, avslöjande av brott eller åtal för brott.

Regleringen i dataskyddsdirektivet begränsar förutsättningarna för överföring av personuppgifter till tredje land, dvs. till en stat som varken ingår i EU eller är ansluten till EES. Sådan överföring av personuppgifter är som regel tillåten bara om tredje landet, med beaktande av bl.a. uppgifternas art, behandlingens ändamål och var- aktighet och de rättsregler och regler för yrkesverksamhet och säker- het som gäller i det landet, kan anses säkerställa en adekvat skydds- nivå för uppgifterna.

Dataskyddsdirektivet har genomförts i medlemsstaterna genom nationell lagstiftning – i Sverige främst genom personuppgiftslagen – och medlemsstaterna får inom direktivets ram precisera villkoren för personuppgiftsbehandling. De nationella preciseringarna får dock inte hindra det fria flödet av personuppgifter inom EU.

Både dataskyddsdirektivet och dataskyddsrambeslutet har varit föremål för ett omfattande reformarbete inom EU, i syfte att ytter- ligare harmonisera och effektivisera skyddet av personuppgifter. EU- förhandlingarna har pågått sedan 2012 och i april 2016 antog rådet och parlamentet dels en dataskyddsförordning med en generell reglering som ska ersätta dataskyddsdirektivet, dels ett nytt direktiv med sär- skilda regler om dataskydd för den brottsbekämpande verksamheten.4 Förordningen ska börja tillämpas i medlemsstaterna den 25 maj 2018 och direktivet ska vara implementerat senast den 6 maj 2018.

Från den generella dataskyddsförordningens tillämpningsområde undantas behandling av personuppgifter som utförs av behöriga myndigheter i syfte att förebygga, förhindra, utreda, avslöja eller lag- föra brott eller verkställa straffrättsliga påföljder, i vilket även ingår att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten (artikel 2). För sådan behandling gäller i stället det nya dataskyddsdirektivet. Förordningen ska, liksom det nya dataskydds- direktivet, inte heller tillämpas på behandling av personuppgifter som utgör ett led i en verksamhet som inte omfattas av unionsrätten.

4 Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) respektive Europaparlamentets och rådets direktiv (EU) 2016/680 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF.

72

SOU 2017:75

Grundläggande rättigheter

Såväl förordningen som det nya direktivet innehåller regler som begränsar möjligheterna att överföra personuppgifter till tredje land.

3.2.3Dataskyddskonventionen

Sverige har ratificerat Europarådets konvention från 1981 om skydd för enskilda vid automatisk behandling av personuppgifter (ETS 108), som trädde i kraft den 1 oktober 1985. Konventionen, som brukar ses som en precisering av artikel 8 i Europakonventionen, syftar till att säkerställa den enskildes grundläggande fri- och rättigheter i sam- band med automatisk behandling av personuppgifter hänförliga till den enskilde (artikel 1).

Dataskyddskonventionen innehåller principer för dataskydd som staterna ska iaktta i sin nationella lagstiftning. Personuppgifter som är föremål för automatiserad behandling ska hämtas in och behandlas på ett korrekt sätt för särskilt angivna ändamål. Vidare ska upp- gifterna vara relevanta för ändamålen och får inte senare användas på ett sätt som är oförenligt med dessa. Uppgifterna måste också vara riktiga och aktuella och de får inte bevaras längre än vad som är nödvändigt för ändamålen. (artikel 5) Varje person ska ha rätt att få bekräftat om personlig information om honom eller henne har lagrats (artikel 8).

Av artikel 12.2 konventionen följer som huvudregel att en kon- ventionsstat inte endast av integritetsskyddsskäl får hindra att personuppgifter förs över till en annan konventionsstat för att behandlas där. En konventionsstat har rätt att göra undantag från den bestämmelsen om statens lagstiftning innehåller särskilda bestäm- melser för vissa kategorier av personuppgifter eller automatiserade personregister på grund av uppgifternas eller registrens natur (artikel 12.3). Sådana undantag får dock göras bara när den andra partens föreskrifter inte ger ett likvärdigt skydd.

Europarådets ministerkommitté antog år 2001 ett tilläggsproto- koll till dataskyddskonventionen (ETS 181). Det innehåller bestäm- melser om tillsynsmyndigheter och överföring av personuppgifter till länder som inte är bundna av konventionen. Tilläggsprotokollet trädde i kraft den 1 juli 2004. Av protokollet framgår bl.a. att varje konventionsstat ska se till att en eller flera myndigheter ansvarar för att kontrollera att de åtgärder respekteras som inom dess nationella

73

Grundläggande rättigheter

SOU 2017:75

lagstiftning ger verkan åt de principer som anges i konventionen. Tilläggsprotokollet innehåller vidare bestämmelser som anger att konventionsstaterna ska vidta åtgärder för att säkerställa att över- föring av personuppgifter till ett land som inte är konventionspart får ske bara om landet i fråga säkerställer en adekvat skyddsnivå för uppgifterna.

Dataskyddskonventionen är för närvarande föremål för översyn.5

3.2.4Nationell lagstiftning

Dataskyddsdirektivet har genomförts i svensk rätt genom framför allt personuppgiftslagen (1998:204). Lagen är i första hand tillämplig på personuppgiftsansvariga som är etablerade i Sverige (4 §). Det innebär att lagen tillämpas på sådana fysiska eller juridiska personer som ensamma eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter och som har en effektiv och faktisk verksamhet med en stabil struktur i Sverige (skäl 19 i ingressen till direktivet).

Lagen, som i huvudsak följer direktivets text och disposition, om- fattar all automatiserad behandling av personuppgifter och manuell behandling av personregister. Rent privat användning av person- uppgifter är dock undantagen. Det görs även undantag med hänsyn till offentlighetsprincipen och tryck- och yttrandefriheten. Särregler i annan lagstiftning tar över bestämmelserna i personuppgiftslagen. Sådana särregler finns i t.ex. åklagardatalagen (2015:433) och polis- datalagen (2010:361).

3.3Yttrandefrihet

EU:s rättighetsstadga skyddar yttrandefriheten, artikel 11. I artikeln föreskrivs att var och en har rätt till yttrandefrihet. Denna rätt innefattar åsiktsfrihet samt frihet att ta emot och sprida uppgifter och tankar utan någon offentlig myndighets inblandning och oberoende av territoriella gränser. Motsvarande skydd finns i artikel 10 i Europa- konventionen.

5 www.coe.int/en/web/portal/28-january-data-protection-day-factsheet; förslag till ny kon- ventionstext samt en Draft Explanatory Report lämnades i juni 2016.

74

SOU 2017:75

Grundläggande rättigheter

Även enligt RF tillförsäkras yttrandefrihet. Var och en är gent- emot det allmänna tillförsäkrad yttrandefrihet, dvs. frihet att i tal, skrift eller bild eller på annat sätt meddela upplysningar samt ut- trycka tankar, åsikter och känslor (2 kap. 1 §).

75

4 Elektronisk kommunikation

4.1Allmänt om elektronisk kommunikation

Elektronisk kommunikation innebär överföring av signaler i elekt- ronisk form. Elektronisk kommunikation omfattar telefoni, data- kommunikation samt utsändningar till allmänheten genom radio och tv. Gradvis växer dessa tre delar samman (SOU 2015:31). Denna utveckling har framför allt möjliggjorts genom digitaliseringen och den tekniska standardiseringen genom framväxten av internet. Detta innebär att olika infrastrukturer och tekniker för överföring av kom- munikation och tjänster som tidigare kunde tillhandahållas genom endast en teknik nu kan tillhandahållas genom flera. Det gör att det exempelvis är möjligt att ringa via datorn, använda internet via tv:n och se på tv i mobiltelefonen.

Via elektroniska kommunikationsnät överförs ständigt en mycket stor mängd information. Där förmedlas bl.a. telefonsamtal, elektro- nisk post, datakommunikation och annan kommunikation som inne- håller meddelanden, dvs. information i form av text, bild eller ljud.

4.2Integritetsskydd och tystnadsplikt vid elektronisk kommunikation

Som anförs ovan (avsnitt 3.1.3) skyddas mellanmänsklig kommuni- kation av rättighetsstadgan, som föreskriver att var och en har rätt till respekt för sitt privatliv och familjeliv, sin bostad och sina kommuni- kationer (artikel 7). Som också nämns ovan (avsnitt 3.2.1) föreskriver rättighetsstadgan även ett skydd för personuppgifter (artikel 8).

I syfte att säkerställa full respekt för de rättigheter som följer av artikel 7 och 8 har EU antagit direktiv 2002/58 som rör just inte- gritet och elektronisk kommunikation. Direktivet syftar även till

77

Elektronisk kommunikation

SOU 2017:75

att säkerställa fri rörlighet för sådana uppgifter samt för utrustning och tjänster avseende elektronisk kommunikation inom unionen. Direktivets bestämmelser preciserar och kompletterar dataskydds- direktivet och är därutöver avsedda att skydda berättigade intressen för de abonnenter som är juridiska personer, artikel 1.

Direktivet definierar trafikuppgifter och lokaliseringsuppgifter men inte abonnemangsuppgifter, artikel 2.

Bestämmelser om säkerhet vid behandlingen av uppgifter finns i artikel 4 i direktivet. Enligt artikel 4.1 ska leverantören av en all- mänt tillgänglig elektronisk kommunikationstjänst vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa säkerheten i sina tjänster, om nödvändigt tillsammans med leverantören av det allmänna kommunikationsnätet när det gäller nätsäkerhet. Dessa åtgärder ska säkerställa en säkerhetsnivå som är anpassad till den risk som föreligger, med beaktande av dagens tillgängliga teknik och kostnaderna för att genomföra åtgärderna.

Enligt artikel 5 ska medlemsstaterna genom nationell lagstiftning säkerställa konfidentialitet vid kommunikation och därmed för- bundna trafikuppgifter via allmänna kommunikationsnät och allmänt tillgängliga elektroniska kommunikationstjänster. Medlemsstaterna ska särskilt förbjuda avlyssning, uppfångande med tekniskt hjälp- medel, lagring eller andra metoder som innebär att kommunikationen och de därmed förbundna trafikuppgifterna kan fångas upp eller övervakas av andra personer än användarna, utan de berörda använ- darnas samtycke och förutom när de har laglig rätt att göra så i enlighet med direktivet.

I artikel 6 finns bestämmelser om för vilka ändamål trafikuppgifter får behandlas och krav på begränsningar i fråga om tillgången till upp- gifter för dem som behöver det för att utföra vissa närmare angivna arbetsuppgifter. Som huvudregel ska trafikuppgifter om abonnenter och användare som behandlas och lagras av en leverantör utplånas eller avidentifieras när de inte längre behövs för sitt syfte att överföra kommunikation. Trafikuppgifter som krävs för abonnentfakturering och betalning av samtrafikavgifter får dock behandlas. Om abonnen- ten har samtyckt till det får uppgifter också behandlas för vissa mark- nadsföringsändamål.

I artikel 9 finns bestämmelser om andra lokaliseringsuppgifter än trafikuppgifter. Om sådana uppgifter kan behandlas, får dessa upp-

78

SOU 2017:75

Elektronisk kommunikation

gifter endast behandlas sedan de har avidentifierats eller om använ- darna eller abonnenterna gett sitt samtycke.

Vidare finns i artikel 15 ett stöd för medlemsstaterna att – för vissa närmare specificerade ändamål – föreskriva undantag från de skyddsregler som finns i artiklarna 5, 6 och 9. Undantag får bl.a. göras om det i ett demokratiskt samhälle är nödvändigt, lämpligt och proportionerligt för att skydda nationell säkerhet, försvaret och allmän säkerhet samt för förebyggande, undersökning, avslöjande av och åtal för brott.

Direktiv 2002/58 har genomförts i svensk rätt främst genom bestämmelser som tagits in i LEK, se nedan.

EU-kommissionen har lagt fram ett förslag till en ny förordning om respekt för privatlivet och skydd för personuppgifter i samband med elektronisk kommunikation som ska ersätta direktiv 2002/58. Förordningen kommer enligt de utkast som hittills har presenterats inte att förändra det nationella utrymmet att anta bestämmelser om datalagring för brottsbekämpande ändamål. Förslaget bereds för närvarande inom EU.

4.3LEK

LEK trädde i kraft i juli 2003 och syftade bl.a. till att genomföra flera EG-direktiv om elektronisk kommunikation. Lagen är i huvudsak en näringsrättslig lagstiftning som syftar till att enskilda och myndig- heter ska få tillgång till säkra och effektiva elektroniska kommuni- kationer och största möjliga utbyte vad gäller urvalet av elektroniska kommunikationstjänster samt deras pris och kvalitet.

LEK gäller elektroniska kommunikationsnät och kommunikations- tjänster med tillhörande installationer och tjänster samt annan radio- användning (1 kap. 4 § första stycket). Elektroniskt kommuni- kationsnät definieras i lagen som system för överföring och i tillämp- liga fall utrustning för koppling eller dirigering samt andra resurser som medger överföring av signaler, via tråd eller radiovågor, på optisk väg eller via andra elektromagnetiska överföringsmedier, oberoende av vilken typ av information som överförs (1 kap. 7 §). Med elektro- nisk kommunikationstjänst avses i lagen en tjänst som vanligen till- handahålls mot ersättning och som helt eller huvudsakligen utgörs av överföring av signaler i elektroniska kommunikationsnät (1 kap. 7 §).

79

Elektronisk kommunikation

SOU 2017:75

Bestämmelser om säkerhet vid tillhandahållande av allmänt till- gängliga elektroniska kommunikationstjänster finns i 6 kap. 3–4 b §§ LEK. Dessa bestämmelser genomför regleringen i artikel 4 i direk- tivet om integritet och elektronisk kommunikation. Konfidentiali- teten enligt artikel 5 i direktivet säkerställs bl.a. genom bestämmelser om förbud mot avlyssning i 6 kap. 17 § LEK och bestämmelser om tystnadsplikt i 20 § samma kapitel. I 20 § föreskrivs således att den som i samband med tillhandahållande av ett elektroniskt kommuni- kationsnät eller en elektronisk kommunikationstjänst har fått del av eller tillgång till vissa närmare angivna uppgifter som rör ett med- delande inte obehörigen får föra vidare eller utnyttja det han eller hon har fått del av eller tillgång till. Tystnadsplikten omfattar uppgift om abonnemang, innehållet i ett elektroniskt meddelande eller annan uppgift som angår ett särskilt elektroniskt meddelande. Enligt lagen har operatörerna dessutom tystnadsplikt för uppgift som hänför sig till användning av vissa hemliga tvångsmedel, nämligen hemlig av- lyssning av elektronisk kommunikation, hemlig övervakning av elektronisk kommunikation, kvarhållande av försändelser samt in- hämtning av uppgifter enligt IHL (6 kap. 21 §). Ett obehörigt röjande eller utnyttjande av sådana uppgifter i strid med denna bestämmelse är straffsanktionerat som brott mot tystnadsplikten enligt 20 kap. 3 § brottsbalken.

Vidare innehåller LEK bestämmelser om under vilka förutsätt- ningar trafikuppgifter får behandlas (6 kap. 5–8 §§). Som utvecklas närmare i avsnitt 6 finns även bestämmelser i lagen som anger att vissa uppgifter måste lagras under en närmare angiven tidsperiod för att de ska finnas tillgängliga för brottsbekämpande ändamål (6 kap. 16 a–f §§).

Vissa bestämmelser i LEK knyter an till RB:s regler om hemlig avlyssning av elektronisk kommunikation och hemlig övervakning av elektronisk kommunikation. I 6 kap. 19 § LEK regleras anpassnings- skyldigheten för operatörerna. Den innebär att vissa verksamheter ska bedrivas så att beslut om hemlig avlyssning av elektronisk kom- munikation och hemlig övervakning av elektronisk kommunikation kan verkställas under sådana former att verkställandet inte röjs. Inne- hållet i och uppgifter om avlyssnade eller övervakade meddelanden ska göras tillgängliga så att informationen enkelt kan tas om hand. En liknande bestämmelse finns i 16 f § samma kapitel. Enligt den ska verksamheten bedrivas så att uppgifterna som omfattas av lagrings-

80

SOU 2017:75

Elektronisk kommunikation

skyldigheten utan dröjsmål kan lämnas ut och så att verkställandet av utlämnandet inte röjs. Uppgifterna ska göras tillgängliga på ett sådant sätt att informationen enkelt kan tas om hand.

För försvarsunderrättelseändamål finns en annan sorts anpass- ningsskyldighet. För att inhämtning av signaler i elektronisk form enligt lagen (2008:717) om signalspaning i försvarsunderrättelseverk- samhet ska kunna ske, är operatörer som äger tråd i vilka signaler förs över Sveriges gräns skyldiga att överföra dessa till vissa sam- verkanspunkter.

I lagen finns dessutom bestämmelser som ger såväl de brotts- bekämpande som andra myndigheter möjligheter att utan domstols- prövning få tillgång till vissa uppgifter (6 kap. 22 §). Reglerna innebär bl.a. att operatörerna i vissa fall är skyldiga att på begäran lämna ut uppgifter om abonnemang, dvs. uppgifter som identifierar en abon- nent eller ett abonnemang, framför allt namn, titel, adress och abon- nentnummer. Sådana uppgifter har ibland kallats för kataloguppgifter eftersom informationen som kan erhållas närmast motsvarar vad som finns i telefonkataloger (prop. 2011/12:55 s. 100). Begreppet är emellertid missvisande eftersom abonnemangsuppgifter omfattar även andra uppgifter, t.ex. vilken användare som vid varje given tidpunkt hade en viss ip-adress eller ett IMSI-nummer (prop. 2011/12:55 s. 100 och SOU 2007:76 s. 64).1

Enligt 2 § förordningen (2003:396) om elektronisk kommuni- kation är Post- och telestyrelsen tillsynsmyndighet enligt LEK.

1 Mer om begreppet abonnemangsuppgifter finns att läsa i avsnitt 6.2.1.

81

5 Brottsbekämpande verksamhet

5.1Brottutredande verksamhet

Till polisens uppgifter hör bl.a. att förebygga brott och att bedriva spaning och utredning i fråga om brott som hör under allmänt åtal. Polisen har således – tillsammans med åklagaren – en brottsutredande funktion. Även vissa andra myndigheter, däribland Tullverket, har vissa brottsutredande uppgifter.

Förfarandet vid den utredning som föregår ett beslut om åtal, för- undersökningen, regleras främst i RB och i förundersöknings- kungörelsen (1947:948). En förundersökning ska, enligt 23 kap. 1 § RB, inledas så snart det på grund av angivelse eller av annat skäl finns anledning att anta att ett brott som hör under allmänt åtal har för- övats. Beslut att inleda förundersökning fattas av Polismyndigheten, Säkerhetspolisen eller av åklagare. För vissa särskilda brott får även beslut om att inleda förundersökning fattas vid andra myndigheter som Tullverket, Kustbevakningen och JK. Om förundersökning har inletts av Polismyndigheten eller Säkerhetspolisen och saken inte är av enkel beskaffenhet, ska ledningen av förundersökningen övertas av åklagare så snart någon är skäligen misstänkt för brottet eller om det finns särskilda skäl. Så är bl.a. fallet om det blir aktuellt att använda sig av hemliga tvångsmedel.

Förundersökningen har enligt 23 kap. 2 § RB huvudsakligen två syften. Det ena syftet är att utreda om brott har begåtts och vem som i så fall skäligen kan misstänkas för brottet samt att skaffa tillräckligt material för bedömning av frågan om åtal ska väckas. Det andra syftet är att bereda målet så att bevisningen kan förebringas i ett sammanhang vid en huvudförhandling i domstol.

De i lagen angivna syftena understryker förundersökningens förberedande karaktär och klargör att den primära uppgiften för polisens brottsutredande verksamhet är att ge åklagaren underlag för

83

Brottsbekämpande verksamhet

SOU 2017:75

sitt åtalsbeslut. Huruvida åklagaren kan väcka åtal är helt beroende av vad som har kommit fram under förundersökningen. Därför blir resultatet av förundersökningen i praktiken helt avgörande för utgången av målet.

5.2Underrättelseverksamhet

Vissa av de brottsbekämpande myndigheterna bedriver underrättelse- verksamhet. Denna verksamhet är i huvudsak inriktad på att avslöja om en viss inte närmare specificerad brottslighet har ägt rum, pågår eller kan antas komma att begås.

Ett övergripande mål med underrättelseverksamheten är att förse de brottsbekämpande myndigheterna med kunskap som kan omsättas i operativ verksamhet.

I underrättelseverksamheten samlar myndigheterna in, bearbetar och analyserar uppgifter som senare kan ha betydelse för att före- bygga, förhindra och upptäcka brottslig verksamhet.

Det första ledet i underrättelseprocessen, där information förädlas till underrättelser, är planeringsfasen. I planeringsfasen tas ställning t.ex. till vilka områden som är prioriterade för underrättelseverksam- heten och vilka uppgifter som ska inhämtas.

Inhämtningen kan ske från olika källor. Det kan t.ex. ske genom rutinmässig spaning, internationell samverkan eller genom infor- mation från tipsare och informatörer. En annan källa för inhämtning är allmänt tillgänglig information i tidningar eller på internet.

När informationen har inhämtats bearbetas den genom att in- formationen struktureras, systematiseras och värderas, t.ex. genom jämförelser med sedan tidigare kända uppgifter. Därefter vidtar den avgörande fasen i underrättelseprocessen – analysen. Det kan handla om hot- och riskanalys, analys av brottsmönster och kartläggning av kriminella nätverk och grupperingar.

Efter inhämtning, bearbetning och analys är ambitionen att kunna använda materialet i operativt arbete. Det framtagna underrättelse- materialet kan t.ex. läggas till grund för beslut om att inleda för- undersökning eller beslut om att vidta särskilda åtgärder för att före- bygga, förhindra eller upptäcka brott. Det kan också användas för att gå ut i media för att förebygga ett visst brottsligt tillvägagångssätt. En annan form av förebyggande verksamhet är att de berörda perso-

84

SOU 2017:75

Brottsbekämpande verksamhet

nerna kontaktas och därigenom blir medvetna om den brottsbekäm- pande myndighetens intresse, vilket många gånger leder till att den planerade brottsliga verksamhet aldrig kommer till stånd.

5.2.1Polismyndighetens underrättelseverksamhet

Till skillnad från Polismyndighetens utredande verksamhet fokuserar underrättelseverksamheten inte på enskilda brott, utan på brottslig verksamhet. Utredande verksamhet i form av en förundersökning eller primärutredning är att betrakta som bakåtblickande, då utred- ningen avser ett specifikt brott som har begåtts. Underrättelseverk- samheten är typiskt sett framåtblickande, då den ofta försöker upp- täcka, förutse och beskriva viss brottslighet, brottsutveckling eller ett visst fenomen i syfte att förebygga och förhindra.

I enlighet med underrättelseprocessen bearbetar och registrerar Polismyndighetens underrättelsetjänst inkommen eller inhämtad information. Informationen kommer bl.a. direkt från allmänheten i form av tips, från särskilda informatörer, från enskilda poliser, från tekniska system, från andra myndigheter i Sverige, från polisens sambandsmän i andra länder samt från Europol och Interpol.

Inhämtad information bedöms och värderas för registrering och vidare bearbetning. Genom analys länkas uppgifter samman och sam- manhang, nätverk och skeenden värderas. Resultatet blir ett underlag för strategiska och operativa beslut i polisverksamheten och ett direkt stöd till medarbetare i kärnverksamheten. Genom att utvärdera resul- tatet av vidtagna operativa åtgärder och underrättelsernas betydelse för dessa tillförs verksamheten ny kunskap som kan användas i fram- tiden.

Polisens underrättelseverksamhet bedrivs i huvudsak vid Polis- myndighetens underrättelsetjänst. Underrättelsetjänsten är verksam på samtliga nivåer i organisationen.

På nationell nivå finns en underrättelseenhet vid Nationella operativa avdelningen, NOA. Underrättelseenheten vid NOA har det övergripande ansvaret för polisens underrättelseverksamhet. I detta ansvar ligger bl.a. att ta fram en nationell underrättelsebild och en underrättelsemodell samt processmässigt styra verksamheten. Underrättelseverksamheten vid den nationella underrättelseenheten

85

Brottsbekämpande verksamhet

SOU 2017:75

är huvudsakligen inriktad mot organiserad brottslighet på nationell och internationell nivå.

Underrättelseenheten vid NOA innefattar Nationellt underrät- telsecenter, NUC, som samordnar myndigheters underrättelsearbete mot organiserad brottslighet på nationell nivå. I NUC ingår före- trädare för Polismyndigheten, Ekobrottsmyndigheten, Kriminal- vården, Kronofogdemyndigheten, Kustbevakningen, Skatteverket, Säkerhetspolisen, Tullverket, Åklagarmyndigheten, Försäkrings- kassan, Migrationsverket och Arbetsförmedlingen.

På regional nivå finns en underrättelseenhet per region som bedriver underrättelseverksamhet med såväl strategiskt som operativt fokus. Dessa enheter stöder samtliga delar inom regionen, från lokal- polisområde till regional nivå. Förutom bearbetning av information och delgivning av underrättelser tillhandahåller enheterna också stra- tegiska och operativa underrättelseanalyser. De regionala enheterna upprätthåller en regional underrättelsebild. De regionala enheterna innefattar även myndighetsgemensamma regionala underrättelse- center, RUC. I likhet med NUC samordnar RUC myndigheters underrättelsearbete men på regional nivå.

Inom den regionala enheten finns delar som stöder polisområdes- nivån med underrättelser. Som stöd till lokalpolisområdesnivån finns underrättelsesamordnare. Dessa arbetar direkt mot varje lokalpolis- område med stort fokus på den operativa kärnverksamheten.

5.2.2Säkerhetspolisens underrättelseverksamhet

Säkerhetspolisens underrättelseverksamhet syftar till att förebygga, förhindra och upptäcka brottslig verksamhet som bl.a. avser rikets säkerhet och bekämpning av terrorism samt fullgöra uppgifter enligt säkerhetsskyddslagen (1996:627) och säkerhetsskyddsförordningen (1996:633). Med säkerhetsskydd avses skydd mot bl.a. spioneri lik- som mot terroristbrott. Säkerhetspolisen har också i uppdrag att leda och bedriva det bevaknings- och säkerhetsarbete som avser den centrala statsledningen eller som har samband med statsbesök och liknande händelser.

Uppdraget att förebygga, förhindra och upptäcka brott mot rikets säkerhet innebär att Säkerhetspolisen ska motverka olaglig eller oanmäld underrättelseverksamhet som bedrivs i Sverige. Likaså

86

SOU 2017:75

Brottsbekämpande verksamhet

ska Säkerhetspolisen förhindra att organisationer, grupper, nätverk eller enskilda individer bedriver säkerhetshotande verksamhet som syftar till att hota eller störa det demokratiska styrelseskicket eller enskildas rätt att utöva sina demokratiska rättigheter. Uppdraget att bekämpa terrorism innebär att Säkerhetspolisen ska minska risken för att terroristbrott begås i Sverige och utomlands samt motverka att Sverige och svenska förhållanden utnyttjas som bas för stöd till terroristverksamhet. När det gäller skyddet av den centrala statsled- ningen ska Säkerhetspolisen verka för att den och de personer i övrigt som omfattas av Säkerhetspolisens personskyddsverksamhet ska kunna utföra sina åtaganden under trygga och säkra former. Säker- hetspolisens uppdrag är således i allt väsentligt brottsförebyggande. Den brottsutredande verksamheten utgör en begränsad del av verk- samheten. Detta avspeglar sig också i Säkerhetspolisens resursför- delning mellan brottsförebyggande och brottsutredande arbete.

För att Säkerhetspolisen ska kunna fullgöra sitt uppdrag måste myndighetens verksamhet inriktas utifrån den hotbild som finns. Det är fråga om dels en strategisk hotbild för att inrikta verksam- heten långsiktigt, dels hotbilder som är knutna till en viss person, en viss händelse eller vissa företeelser. Hotbilden bestäms utifrån en bedömning av vilken avsikt och förmåga som en aktör har när det gäller att begå aktuella brott.

Säkerhetspolisens underrättelseverksamhet syftar i allt väsentligt till att lägga grunden för hotbildsbedömningarna och därigenom det brottsförebyggande arbetet. Tillförlitliga hotbilder och relevanta skyddsåtgärder förutsätter att underrättelseverksamheten kan följa olika aktörer och fånga upp varningssignaler redan innan en viss person vidtagit konkreta åtgärder för att begå ett brott. Det kan handla om att kartlägga utländsk underrättelseverksamhet i Sverige eller grupper som tydligt manifesterat en vilja att hota eller begå andra brott för att störa personer i syfte att få dem att sluta bedriva en viss politik. Det kan naturligtvis förekomma att Säkerhetspolisen får uppgifter som gör att en förundersökning ska inledas.

Säkerhetspolisen tillämpar i princip samma modell som den öppna polisen för att styra underrättelsearbetet. Modellen innebär i korthet att ett definierat underrättelsebehov leder till en beställning av upp- gifter. Beställningen resulterar i att olika inhämtningsåtgärder vidtas. De inhämtade uppgifterna bearbetas och analyseras varefter resul- tatet rapporteras till beställaren. Resultatet ligger sedan till grund för

87

Brottsbekämpande verksamhet

SOU 2017:75

beslut om fortsatta åtgärder. Underrättelseverksamheten är tydligt avgränsad och det finns ett väl definierat mål för arbetet.

Liksom beträffande den öppna polisen sätter de allmänna prin- ciperna för polisingripande som anges i 8 § polislagen (1984:387) den yttre ramen för verksamheten. Säkerhetspolisens inhämtningsme- toder skiljer sig härigenom inte från de metoder som används inom Polismyndigheten. Det kan exempelvis vara fråga om inhämtning genom fysisk spaning, liksom genom öppna eller egna källor. Även nationell och internationell samverkan har stor betydelse för under- rättelseverksamheten.

I sammanhanget bör nämnas att EU har verkat för en mer effek- tiv samverkan inom unionen när det gäller utbyte av information mellan medlemsstaterna för att bekämpa bl.a. terrorbrott.1

5.2.3Tullverkets underrättelseverksamhet

I Tullverkets uppdrag ingår bl.a. att övervaka och kontrollera trafiken till och från utlandet så att bestämmelser om in- och utförsel av varor följs och brottslighet vid in- och utförseln av varor före- byggs och motverkas.

Tullverkets underrättelseverksamhet är framåtblickande och består i att inhämta, bearbeta och analysera information om externa aktörer och fenomen i syfte att skapa underrättelser med framtids- perspektiv. Underrättelseverksamheten inriktar sig på att förebygga, förhindra och upptäcka brottslig verksamhet och skiljer sig därmed från Tullverkets utredande verksamhet, som har till syfte att utreda ett specifikt brott som har begåtts.

Syftet med underrättelseverksamheten är att producera under- rättelser som ger rekommendationer om inriktning och prioritering av myndighetens verksamhet. Underrättelseverksamheten är en kun- skapsuppbyggande verksamhet om sådana förhållanden som bl.a. kan vara av intresse för att upptäcka och identifiera brottslig verksamhet. Att underrättelseverksamheten är kunskapsuppbyggande innebär att verksamheten är kumulativ och varje dokument, ärende och produkt utgör en pusselbit som adderas till Tullverkets förståelse för de

1 Europeiska unionens råds slutsatser om vägen till ett förbättrat informationsutbyte och säkerställande av interoperabiliteten mellan EU:s informationssystem, 10151/17, 8 juni 2017.

88

SOU 2017:75

Brottsbekämpande verksamhet

aktörer och fenomen som verksamheten har i uppdrag att följa. Målet med underrättelseverksamheten är att reducera osäkerheter som är kopplade till beslutsfattande genom kunskaper och insikter om omvärlden.

Underrättelseverksamheten vid Tullverket beskrivs genom en uppdelning i strategisk och operativ underrättelseverksamhet. Målet med den strategiska underrättelseverksamheten är att producera underrättelser i syfte att identifiera, formulera och stödja Tullverkets övergripande mål, policy, inriktningar och prioriteringar. Den strate- giska verksamheten berör i huvudsak frågor om hur Tullverket ska lösa sitt uppdrag. Målet är att arbetet ska generera rekommendationer om operativa åtgärder. Operativ underrättelseverksamhet producerar underrättelser i syfte att stödja prioritering och genomförande av operativa insatser riktade mot identifierade aktörer och fenomen. Den strategiska underrättelseverksamheten skiljer sig därmed från den operativa genom att den har ett mer långsiktigt och övergripande fokus på myndighetens samlade verksamhet.

5.3Allmänt om straffprocessuella tvångsmedel

RB innehåller inte någon definition av vad ett straffprocessuellt tvångsmedel är. Det rör sig dock om åtgärder som har en funktion inom straffprocessen men som inte utgör straff eller andra sank- tioner. Åtgärderna företas i myndighetsutövning och innebär intrång i en persons rättssfär utan att personen har lämnat sitt samtycke (Gunnel Lindberg, Straffprocessuella tvångsmedel, 3:e uppl., 2013, s. 5–6). Exempel på tvångsmedel är husrannsakan, kroppsvisitation, kroppsbesiktning, beslag, gripande, anhållande och häktning.

Bland de straffprocessuella tvångsmedlen intar de hemliga tvångs- medlen en särställning. Dessa är hemlig avlyssning av elektronisk kommunikation, hemlig övervakning av elektronisk kommuni- kation, hemlig kameraövervakning, kvarhållande (och kontroll) av försändelse samt hemlig rumsavlyssning. Till dessa kommer de osjälvständiga tvångsmedlen, dvs. tvångsmedlen enligt LSU och 2007 års preventivlag, som har sin tillämpning utanför en förundersök- ning. Dessa lagar utökar möjligheterna att under särskilda om- ständigheter ge Polismyndigheten och Säkerhetspolisen tillstånd att använda vissa hemliga tvångsmedel enligt 27 kap. RB. Även inhämt-

89

Brottsbekämpande verksamhet

SOU 2017:75

ning av uppgifter enligt IHL utgör ett hemligt tvångsmedel (prop. 2011/12:55 s. 111). Den berörde är inte medveten om dessa åtgärder, men det antas att de äger rum mot hans eller hennes vilja. Inhämt- ning av abonnemangsuppgifter enligt LEK har inte ansetts som ett hemligt tvångsmedel, prop. 2011/12:55 s. 110–111. Utredningen delar denna bedömning.

En grundläggande förutsättning för att använda straffprocessuella tvångsmedel är normalt att en förundersökning har inletts. Använd- ningen ska då ytterst ha till syfte att utreda eller lagföra ett visst brott. Regleringen ger dock stöd även för att i vissa fall använda hemliga tvångsmedel för att förebygga, avslöja eller förhindra brotts- lig verksamhet utan att förundersökning har inletts, dvs. i under- rättelseverksamhet.

När lagstiftaren har preciserat i vilka fall en viss myndighet ska ha rätt att få tillgång till en viss typ av uppgifter gäller enligt tolknings- principen om lex specialis att de begränsningar som följer av denna reglering inte ska kunna kringgås genom att myndigheten väljer att tillämpa t.ex. de allmänna bestämmelserna om husrannsakan och beslag. Regeringen har mot den bakgrunden uttalat att uppgifter som angår ett särskilt elektroniskt meddelande som finns hos en leveran- tör inte kan inhämtas med stöd av ett editionsföreläggande eller hus- rannsakan i förening med beslag i fall där annars andra regler för utfående av sådana uppgifter gäller (prop. 2002/03:74 s. 45–46). Följande exempel kan belysa detta. Polisen har inte rätt att utverka ett beslag av en server hos en operatör för att därigenom få tillgång till trafikuppgifter. Polisen måste i sådant fall i stället genom åklagare ansöka om tillstånd till hemlig övervakning av elektronisk kom- munikation hos domstol.

Principerna om ändamål, behov och proportionalitet

Villkoren för att använda de olika tvångsmedlen skiljer sig åt beroende på vilket slags åtgärd som avses och för vilket ändamål den vidtas. För all användning av tvångsmedel gäller dock – vid sidan av kravet på ut- tryckligt lagstöd (legalitetsprincipen) – tre allmänna principer: ända- målsprincipen, behovsprincipen och proportionalitetsprincipen. Dessa principer gäller både vid lagstiftningsarbetet samt vid beslut om, och tillämpning av, de hemliga tvångsmedlen. Principerna finns beskrivna

90

SOU 2017:75

Brottsbekämpande verksamhet

på flera ställen, se t.ex. SOU 1984:54, avsnitt 3.2.2, SOU 2012:44 s. 118, prop. 1988/89:124 s. 26 och Gunnel Lindberg, Straffprocessuella tvångsmedel, 3:e uppl., 2013, kapitel 3. Principerna gäller inte enbart för tvångsmedel, bl.a. återfinns behovs- och proportionalitetsprincipen i 8 § polislagen, som avser alla tjänsteuppgifter en polisman utför.

Enligt ändamålsprincipen får ett tvångsmedel användas endast för det ändamål som framgår av lagstiftningen. Det är därför av stor vikt att det för varje enskilt tvångsmedel anges i lagstiftningen för vilket eller vilka ändamål det får användas. Som påpekats av bl.a. Gunnel Lindberg har lagstiftaren inte gjort detta för t.ex. hemlig övervakning av elektronisk kommunikation, Gunnel Lindberg, Straffprocessuella tvångsmedel, 3:e uppl., 2013, kapitel 3.2, not 10, och kapitel 36.2. En ändamålsprövning bör ske före behovs- och proportionalitets- prövningen. Om tvångsmedlet inte ska användas för det ändamål det är till för, spelar det ingen roll om det finns ett påtagligt behov och åtgärden framstår som proportionerlig. Enligt ändamålsprincipen kan man inte heller använda ett tvångsmedel med syfte att få fram överskottsinformation.

Behovsprincipen innebär att ett tvångsmedel får användas endast om det finns ett påtagligt behov och en mindre ingripande åtgärd inte är tillräcklig. När det inte längre föreligger skäl för åtgärden ska den upphävas. Åtgärder som huvudsakligen har till syfte att under- lätta för myndigheten anses strida mot principen.

Enligt proportionalitetsprincipen ska en tvångsåtgärd i fråga om art, styrka, räckvidd och varaktighet stå i rimlig proportion till vad som står att vinna med åtgärden. Proportionalitetsprincipen finns lagstadgad i t.ex. 27 kap. 1 § RB och 2 § IHL, men anses gälla vid all tvångsanvändning även utan lagstöd. Vid bedömningen om åtgärden är proportionerlig ska det intrång eller annat men som tvångsmedlet innebär för den misstänkte eller för något annat motstående intresse beaktas. Härmed inbegrips, förutom direkta följder för den som ut- sätts för tvångsmedlet, även indirekta verkningar av tvångsmedels- användningen. Det kan t.ex. röra sig om intrång i tredje mans rätts- ligt skyddade intressen. Proportionalitetsavvägningar kan därför få till följd exempelvis att en myndighet underlåter en tvångsåtgärd mot en advokatbyrå, ett sjukhus eller någon annan inrättning där särskilt känsliga uppgifter bevaras eller yppas.

Det ska alltid ske en prövning huruvida tvångsmedlet över huvud taget är påkallat med hänsyn till förhållandena i det särskilda fallet

91

Brottsbekämpande verksamhet

SOU 2017:75

och om syftet kan tillgodoses genom någon mindre ingripande åt- gärd. Utgångspunkten bör vara att pröva om alternativa spaningsåt- gärder kan användas och om det kan räcka med att exempelvis till- gripa hemlig övervakning av elektronisk kommunikation i stället för hemlig avlyssning. Proportionalitetsprincipen innebär alltså att utred- ningen i princip ska ha nått ett stadium där det förefaller omöjligt att komma längre med mindre ingripande metoder. Ibland kan det emel- lertid redan från början stå klart att det är meningslöst att försöka med andra metoder. Det kan t.ex. bero på att den misstänkte går mycket försiktigt till väga och kan förutsättas på alla sätt skydda sig mot normala utredningsmetoder. Ett annat fall kan vara att efter- forskningar med vanliga metoder skulle kräva en orimligt stor insats av personal, kunna i förtid avslöja den pågående utredningen eller vara farliga för polispersonalen. (prop. 1988/89:124 s. 27, 28 och 66)

Personlig frihet och integritet ska också beaktas. Ingrepp i dessa intressen är till sin art allvarligare än ingrepp mot egendom eller andra ekonomiska intressen (SOU 1979:6 s. 294 och SOU 1984:54 s. 78). Det är särskilt viktigt att proportionalitet iakttas vid långt- gående intrång i den privata sfären.

Som framgår ovan (avsnitt 3.1.3), följer ett krav på proportiona- litetsavvägningar även av Sveriges internationella åtaganden. När begränsningar görs i rättigheter som följer av Europakonventionen eller EU-stadgan ska alltid proportionalitetsprincipen beaktas. Endast om det finns ett rimligt förhållande mellan behovet av det som ska tillgodoses och ingreppet i den enskildes rätt kan ingreppet vara pro- portionerligt och därmed nödvändigt i ett demokratiskt samhälle (Hans Danelius, Mänskliga rättigheter i Europeisk praxis, 5:e uppl., 2015, s. 57–58 samt artikel 52.1 i stadgan).

Sammanfattningsvis ger proportionalitetsprincipen i sig stöd för att rätten att använda tvångsmedel ska begränsas till vad som är strängt nödvändigt. Samtidigt möjliggör den ett generöst tillämp- ningsområde, eftersom myndigheterna i varje enskilt fall måste göra övervägningar som leder till begränsningar som annars hade behövt vara lagstadgade.

Utöver de principer som nyss redogjorts för, påverkar andra principer användandet av tvångsmedel. Till dem hör exempelvis objek- tivitets- och hänsynsprinciperna i 23 kap. 4 § RB (objektivitets- principen finns även uttryckt i 1 kap. 9 § RF).

92

6Uppgifter om elektronisk kommunikation i brottsbekämpande verksamhet

6.1Regleringen av lagring av uppgifter

Som utvecklas nedan är uppgifter om elektronisk kommunikation och abonnemangsuppgifter mycket viktiga för brottsbekämpningen (avsnitt 7). Det finns därför regler som har till syfte att säkerställa att de brottsbekämpande myndigheterna har tillgång till dessa uppgifter.

Den centrala bestämmelsen avseende lagringsskyldighetens om- fattning finns i 6 kap. 16 a § LEK. Lagringsskyldiga är enligt den bestämmelsen de som bedriver anmälningspliktig verksamhet enligt 2 kap. 1 § samma lag. Därigenom omfattas leverantörer av allmänt tillgängliga kommunikationsnät av sådant slag som vanligen till- handahålls mot ersättning och av allmänt tillgängliga elektroniska kommunikationstjänster. Lagringsskyldigheten omfattar uppgifter som anges som nödvändiga för vissa preciserade syften. Dessa är formulerade som uppgifter som är nödvändiga för att kunna spåra och identifiera en kommunikationskälla, slutmålet för kommu- nikationen, datum, tid och varaktighet för kommunikationen, typ av kommunikation, kommunikationsutrustning samt lokalisering av mobil kommunikationsutrustning. Lagringsskyldigheten omfattar uppgifter som leverantören genererar eller behandlar i sin verksam- het. Det innebär att leverantören inte har någon skyldighet att in- förskaffa uppgifter som denne annars inte genererar eller behandlar. Däremot ska en uppgift lagras så fort den funnits hos leverantören, även om det bara rör sig om en ytterst kort tid (prop. 2010/11:46 s. 77). Omfattningen av lagringen är begränsad till uppgifter som genereras eller behandlas vid telefonitjänst, meddelandehantering,

93

Uppgifter om elektronisk kommunikation i brottsbekämpande verksamhet

SOU 2017:75

internetåtkomst och tillhandahållande av kapacitet för att få inter- netåtkomst (anslutningsform).

Telefonitjänst omfattar situationer då E.164-nummer (vanliga telefonnummer) används av någon av samtalsparterna. Det inkluderar fast och mobil telefoni och de flesta internettelefonitjänster. Inter- nettelefoni som bara använder andra adresser än E.164-nummer (exempelvis ip-adresser) omfattas inte. Med telefoni avses inte heller kommunikation som omfattas av begreppet meddelandehantering.1 (prop. 2010/11:46 s. 29–30)

Meddelandehantering definieras i 6 kap. 1 § LEK som utbyte eller överföring av elektroniskt meddelande som inte är samtal och inte heller är information som överförs som del av sändningar av ljudradio- och tv-program. Begreppet innefattar elektroniska meddelanden som t.ex. e-post, sms och mms. Lagringsskyldigheten är inte begränsad till något speciellt kommunikationsprotokoll. (prop. 2010/11:46 s. 30)

Internetåtkomst finns också definierat i 6 kap. 1 § LEK. Med internetåtkomst avses enligt bestämmelsen möjlighet till överföring av ip-paket som ger användaren tillgång till internet. Med ip-paket menas ett telekommunikationspaket med data som ska överföras, inklusive en titelrad med bl.a. sändarens namn och mottagarens ip- adress. I praktiken innebär internetåtkomst att användaren tilldelas en eller flera ip-adresser för kommunikation. Med ip-adress (Inter- net Protocol Adress) avses en unik adress som används för identi- fiering och kommunikation mellan två datorer på internet med hjälp av Internet Protocol-standarden (ip). Ip-adresserna kan vara fasta adresser, dvs. samma användare har alltid samma adress, eller dyna- miska adresser, dvs. de tilldelas användaren under en begränsad tid. När dynamiska ip-adresser används kan alltså samma användare ha olika adresser vid olika tillfällen och samma ip-adress kan användas av olika användare vid olika tillfällen. (prop. 2010/11:46 s. 30)

Med anslutningsform avses själva tekniken eller kapaciteten som ger möjlighet till överföring av ip-paket för att få internetåtkomst, t.ex. DSL (Digital Subscriber Line), fiberoptiska anslutningar, 3G (UMTS), GSM (GPRS), traditionella telefonmodem och WLAN (trådlöst nät), prop. 2010/11:46 s. 30–31 och 77.

1 Observera att definitionen av telefonitjänst i datalagringsdirektivet även innefattade meddelandetjänster, såsom sms och mms, artikel 2 c.

94

SOU 2017:75

Uppgifter om elektronisk kommunikation i brottsbekämpande verksamhet

Besök på webbsidor och chattsidor samt användning av File Transfer Protocol (FTP, dvs. upp- och nedladdning av filer) är exem- pel på tjänster som faller utanför lagringsskyldighetens räckvidd (prop. 2010/11:46 s. 77, se även avsnitt 12.4.2).

I 39–43 §§ FEK anges på en mer detaljerad nivå vilka uppgifter som ska lagras inom respektive teknikslag. PTS får också meddela närmare föreskrifter om de uppgifter som ska lagras (44 §).

Av bestämmelserna i FEK framgår följande.

För telefonitjänst ska det lagras uppringande nummer, uppringt nummer och nummer som samtalet styrts till, uppgifter om upp- ringande och uppringd abonnent och, i förekommande fall, regist- rerad användare, datum och spårbar tid då kommunikationen på- börjades och avslutades samt uppgifter om den eller de tjänster som har använts. För mobiltelefoni ska det därutöver lagras uppringandes och uppringds abonnemangsidentitet och utrustningsidentitet, loka- liseringsuppgifter för kommunikationens början och slut samt datum, spårbar tid och lokaliseringsuppgifter för den första akti- veringen av en förbetald anonym tjänst (t.ex. oregistrerade kontant- kort).

För ip-telefoni ska det därutöver lagras uppringandes och upp- ringds ip-adresser, datum och spårbar tid för på- och avloggning i den eller de tjänster som använts samt uppgifter som identifierar den utrustning där kommunikationen slutligt avskiljs från den lagrings- skyldige till den enskilda abonnenten.

Vid meddelandehantering ska det lagras avsändares och mottaga- res nummer, ip-adress eller annan meddelandeadress, uppgifter om avsändande och mottagande abonnent och, i förekommande fall, registrerad användare, datum och spårbar tid för på- och avloggning i den eller de tjänster som använts, datum och spårbar tid för av- sändande och mottagande av meddelande samt uppgifter om den eller de tjänster som har använts.2

När det gäller internetåtkomst och anslutningsform ska det lagras användares ip-adress, uppgifter om abonnent och, i förekommande

2 Det kan särskilt noteras att lokaliseringsuppgifter inte ska lagras vid (mobil) meddelande- hantering. Varför denna skillnad, i förhållande till telefonitjänst, har gjorts finns inte närmare utvecklat i förarbetena, se SOU 2007:76, särskilt avsnitt 6.10, samt prop. 2010/11:46, särskilt s. 27–28 och 33–37. Någon sådan skillnad finns inte i 6 kap. 16 a § LEK och det kan disku- teras om det möjligen inte var så att datalagringsdirektivet ålade medlemsstaterna att införa en sådan lagringsskyldighet, se artikel 5.1 f) 1 i datalagringsdirektivet samt artikel 2 d) i direktiv 2002/58, jfr dock artikel 2.2 e) i datalagringsdirektivet.

95

Uppgifter om elektronisk kommunikation i brottsbekämpande verksamhet

SOU 2017:75

fall, registrerad användare, datum och spårbar tid för på- och av- loggning i tjänsten som ger internetåtkomst, den typ av kapacitet för överföring som har använts samt uppgifter som identifierar den utrustning där kommunikationen slutligt avskiljs från den lagrings- skyldige till den enskilda abonnenten.

En fråga som varit föremål för diskussion är hur långt lagrings- skyldigheten sträcker sig avseende ip-adresser. Det är inte ovanligt att privatpersoner, företag eller operatörer använder sig av NAT- teknik, som enkelt uttryckt innebär att en publik ip-adress används och delas upp i flera privata ip-adresser, exempelvis genom en router. NAT-tekniken används även i stor skala, av t.ex. internetleveran- törer, och en publik ip-adress kan i teorin delas av omkring 65 000 abonnenter eller användare. PTS har gjort bedömningen att lag- ringsskyldigheten i dessa fall inte sträcker sig längre än till den privata ip-adressen, se PTS skrivelse den 26 februari 2015 till Eko- brottsmyndigheten, dnr 15-1185. (se även SOU 2015:31 s. 320)

Som framgår ovan, ska det i flera fall lagras de tjänster som använts. Med tjänst avses exempelvis rösttelefoni, konferenssamtal, typ av meddelandetjänst (sms, mms, etc.) eller extratjänster som vidare- sändning och omstyrning av samtal (SOU 2007:76 s. 154).

Av 6 kap. 16 a § LEK följer vidare att den svenska regleringen på två punkter går längre än vad datalagringsdirektivet krävde (avsnitt 8.1). Lagringsskyldigheten omfattar nämligen även uppgifter som behövs för att lokalisera mobil kommunikationsutrustning vid kommuni- kationens slut samt uppgifter som genererats eller behandlats vid misslyckad uppringning.

En lagringsskyldig leverantör får enligt 6 kap. 16 a § tredje stycket LEK uppdra åt någon annan att utföra själva lagringen. Enligt 6 kap. 16 b § kan en leverantör, om det finns synnerliga skäl för det, undan- tas från lagringsskyldigheten.

Lagringsskyldigheten gäller enligt 6 kap. 16 d § LEK under sex månader från den dag då kommunikationen avslutades. Därefter ska uppgifterna omedelbart utplånas, om det inte är så att de har begärts utlämnade men ännu inte hunnit lämnas ut. I sådana fall ska upp- gifterna i stället utplånas så snart de har lämnats ut.

96

SOU 2017:75

Uppgifter om elektronisk kommunikation i brottsbekämpande verksamhet

6.2Regleringen av tillgång till uppgifter

Enligt 6 kap. 16 c § LEK får uppgifter som lagrats enligt 16 a § behandlas endast för att lämnas ut enligt 22 § första stycket 2, 27 kap. 19 § RB eller IHL. Härtill kommer de osjälvständiga hemliga tvångmedlen, dvs. de hemliga tvångsmedlen enligt 27 kap. RB som får användas enligt förutsättningarna i 2007 års preventivlag och LSU. De två sistnämnda hänvisar till RB:s regler om hemlig övervak- ning av elektronisk kommunikation.

6.2.1Begreppen abonnemangsuppgifter, trafikuppgifter och lokaliseringsuppgifter

Av regleringen i 6 kap. LEK följer att trafikuppgifter som lagras av en leverantör med stöd av den tvingande regleringen i 16 a § i nämnda kapitel får behandlas – vid sidan av själva lagringen och den efter- följande raderingen – endast för att lämnas ut enligt 6 kap. 22 § första stycket 2 LEK, 27 kap. 19 § RB och enligt IHL. Villkoren för denna inhämtning av uppgifter, som alltså är uppdelad på tre olika regelverk, berörs mer ingående i det följande.

De lagringsskyldiga leverantörerna ska enligt 6 kap. 16 f § LEK bedriva sin verksamhet så att uppgifterna kan lämnas ut utan dröjs- mål och så att det inte röjs att uppgifterna lämnats ut. Uppgifterna ska också göras tillgängliga på ett sådant sätt att informationen enkelt kan tas om hand av de brottsbekämpande myndigheterna.

Det kan nämnas att uppgifter som inte lagrats med stöd av den tvingande regleringen i 6 kap. 16 a § LEK ändå kan finnas tillgängliga hos leverantören, exempelvis för att denne behöver uppgifterna för sin fakturering. Sådana uppgifter kan också hämtas in av de brotts- bekämpande myndigheterna enligt gällande regelverk (avsnitt 4.3). Reglerna om lagring är på så sätt frikopplade från reglerna om in- hämtning. Lagringsskyldigheten är alltså till för att underlätta in- hämtningen och säkerställa att alla operatörerna lagrar de uppgifter som omfattas, men reglerna om inhämtning är inte beroende av lagringsskyldigheten.

Vidare finns, när det gäller andra uppgifter som rör leveran- törernas kunder än de uppgifter som lagras enligt 6 kap. 16 a § LEK, bestämmelser som genombryter leverantörens tystnadsplikt i situa- tioner som omfattar utlämnande för bl.a. delgivning i vissa fall, efter-

97

Uppgifter om elektronisk kommunikation i brottsbekämpande verksamhet

SOU 2017:75

forskning av försvunna personer, identifiering vid olyckor och dödsfall samt underrättelse av vårdnadshavare till en underårig som misstänks för brott (6 kap. 22 § första stycket 1, 3, 6 och 7 LEK). I dessa fall genombryts tystnadsplikten – med ett undantag – enbart i fråga om uppgifter om abonnemang. För ändamålet att eftersöka försvunna personer ska även andra uppgifter som angår ett elektro- niskt meddelande, t.ex. lokaliseringsuppgifter, på begäran lämnas ut.

Med uppgift om abonnemang i 6 kap. 20 § LEK avses t.ex. uppgifter om abonnentens nummer, namn, titel och adress (prop. 1992/93:200 s. 310). Till abonnemangsuppgifter brukar även räknas uppgifter om exempelvis avtal och fakturering. Vidare innefattas såväl fasta som dynamiska ip-adresser och IMSI-nummer (ett num- mer som är kopplat till abonnentens sim-kort och därmed telefon- nummer). Däremot har det påståtts att varken IMEI-nummer (ett id-nummer för kommunikationsutrustningen) eller PUK-kod om- fattas av begreppet, prop. 2011/12:55 s. 62, 69 och 101 (se dock det i propositionen redovisade remissyttrandet av Säkerhetspolisens ang. IMEI-nummer), SOU 2007:76 s. 64–66, SOU 2009:1 s. 70–73 och 95 samt Gunnel Lindberg, Straffprocessuella tvångsmedel, 3:e uppl., 2013, s. 485 (annan uppfattning ang. IMEI-nummer).

Det kan ifrågasättas om det är lämpligt eller ens möjligt att defi- niera abonnemangsuppgifter endast utifrån vilken uppgift det är fråga om. Enligt utredningen är det mer relevant att som utgångspunkt definiera abonnemangsuppgifter som uppgifter som identifierar abonnenten eller den registrerade användaren bakom ett visst num- mer eller en viss adress, i motsats till uppgifter som redogör för hur numret eller adressen har använts. Utifrån en sådan definition utgör uppgift om vilken abonnent som är kopplad till ett visst IMSI- nummer en abonnemangsuppgift medan information om vilka andra nummer eller adresser som ett visst IMSI-nummer har kommunice- rat med inte gör det. En sådan definition stämmer väl överens med hur de olika uppgiftskategorierna exemplifierades i förarbetena till telelagen, varifrån begreppet ursprungligen härstammar, prop. 1992/93:200 s. 310 och prop. 2002/03:110 s. 271. Definitionen får också visst stöd av ett uttalande från Kammarrätten i Stockholm i rättsfallet RK 2010:1. Kammarrätten ansåg att en begäran om upp- gifter som syftar till att identifiera ett abonnemang eller en abonnent i princip avser uppgifter om abonnemang. Kammarrätten gick emeller- tid ett steg längre och menade att om en sådan begäran även inne-

98

SOU 2017:75

Uppgifter om elektronisk kommunikation i brottsbekämpande verksamhet

fattade en annan uppgift, i det fallet vilka IMSI-nummer som använts i kombination med ett visst känt IMEI-nummer, utgjorde det allt- jämt en fråga som syftade till att identifiera ett abonnemang och därmed en uppgift som skulle lämnas ut av operatören i enlighet med 6 kap. 22 § första stycket 2 LEK.

För att ytterligare illustrera skillnaden mellan abonnemangs- uppgifter och andra uppgifter kan en jämförelse göras med uppgifter om ett fordon. Uppgift om vem som äger fordonet vid en viss tid- punkt skulle motsvara en abonnemangsuppgift medan frågor om var fordonet befunnit sig vid samma tidpunkt inte skulle göra det.

Abonnemangsuppgifter finns tillgängliga för leverantören i elek- tronisk form. För att uppgifter om en fysisk person ska tas in i en abonnentförteckning som görs allmänt tillgänglig krävs att den enskilde lämnat sitt samtycke till det (6 kap. 16 § LEK). I den ut- sträckning uppgifter finns tillgängliga i sådana allmänt tillgängliga förteckningar omfattas de, till följd av abonnentens samtycke, i praktiken inte av tystnadsplikten. Bestämmelserna om skyldighet att lämna ut uppgifter om abonnenter får därför betydelse i första hand i fråga om uppgifter som rör abonnenter som inte har lämnat sitt sam- tycke till att uppgifterna offentliggörs och när det gäller uppgifter som normalt inte offentliggörs, t.ex. ip-adresser.

Som framgår i avsnitt 6.1 är en ip-adress en unik adress som en dator eller ett lokalt nätverk tilldelas för att datapaket ska kunna skickas och tas emot över internet genom den tekniska kommuni- kationsstandarden Internet Protocol. Ip-adressen kan därför, något förenklat, liknas med ett postnummer för vanliga brevförsändelser. Ip-adressen är en teknisk uppgift som ingår i varje datapaket och som behövs för att datapaketet ska nå sin destination på internet.

En ip-adress kan vara fast eller dynamisk och tilldelas en använ- dare via t.ex. en internetleverantör. Av praktiska skäl tilldelas privat- personer vanligen dynamiska ip-adresser. Dessa är inte konstant knutna till specifika datorer eller annan utrustning som kommunice- rar över internet utan tilldelas olika datorer beroende på vilka en- heter som vid varje given tidpunkt är uppkopplade mot internet. Eftersom ip-adressen hänför sig till internetuppkopplingen som sådan och inte uteslutande rör ett visst elektroniskt meddelande kan ip-adressens huvudsakliga syfte sägas vara att identifiera abonnenten. Mot den bakgrunden anses ip-adressen, oberoende av om den är fast eller dynamisk, vara en uppgift om abonnemang (prop. 2011/12:55

99

Uppgifter om elektronisk kommunikation i brottsbekämpande verksamhet

SOU 2017:75

s. 101). Utredningen delar denna bedömning. Även de flesta med- lemsstater i den informella rådsarbetsgrupp i EU som behandlar datalagringsfrågan efter Tele2-domen har preliminärt kommit till slutsatsen att ip-adresser är abonnemangsuppgifter (som inte om- fattas av domen, se även avsnitt 12.2). Det existerar emellertid även andra uppfattningar, enligt vilka de uppgifter som krävs för att identifiera abonnenten bakom en ip-adress inte ska anses vara upp- gifter om abonnemang, bl.a. eftersom det kan röra sig om tidsloggar för internetåtkomst (avsnitt 12.2).

Med trafikuppgifter avses i detta sammanhang enkelt uttryckt de uppgifter som behövs för att förmedla ett elektroniskt meddelande i ett elektroniskt kommunikationsnät eller för att fakturera ett sådant meddelande (6 kap. 1 § LEK). De trafikuppgifter som genereras vid elektronisk kommunikation kan avslöja t.ex. vilken typ av kom- munikation som förekommit (telefoni, sms, etc.), vilken utrustning som använts, vilka nummer eller adresser som kommunicerat med varandra samt när och hur länge kommunikationen pågått. Utanför begreppet trafikuppgifter faller information som avslöjar medde- landets innehåll.

En uppgift om vilket abonnentnummer som har använts för att skicka eller ta emot ett visst meddelande utgör en trafikuppgift då uppgifterna behövs för att överföra meddelandet. En uppgift om vem som innehar detta nummer är däremot en abonnemangsuppgift. Dessa uppgifter finns normalt tillgängliga i leverantörernas kund- och faktureringssystem under den tid som de behövs för att t.ex. fakturera för utnyttjade tjänster eller erbjuda andra mervärdes- tjänster.

Vid sidan av begreppet trafikuppgifter används även uttrycket lokaliseringsuppgifter för att beteckna uppgifter som genereras vid elektronisk kommunikation och som är knutna till lokaliseringen av den kommunikationsutrustning som används vid överföringen av ett elektroniskt meddelande. Det kan t.ex. vara fråga om vilken cell (antenn på basstation) som utrustningen kopplat upp sig mot eller en gps-position. (prop. 2002/03:110 s. 261–262 och SOU 2009:1 s. 71–72)

100

SOU 2017:75

Uppgifter om elektronisk kommunikation i brottsbekämpande verksamhet

6.2.2Abonnemangsuppgifter

Som framgår ovan, har en leverantör tystnadsplikt för uppgifter om abonnemang, innehållet i ett elektroniskt meddelande och andra uppgifter som angår ett särskilt elektroniskt meddelande – med vissa undantag i förhållande till innehavaren av ett abonnemang och den som tagit del i utväxlingen av meddelandet (6 kap. 20 § LEK). Upp- gifter som angår ett särskilt elektroniskt meddelande anses enligt praxis vara uppgifter om vilka som har deltagit i utväxlingen av ett elektroniskt meddelande, uppgifter om när och under hur lång tid utväxlingen ägde rum och uppgifter om positionen hos den utrust- ning som använts vid kommunikationen. Tystnadsplikten omfattar i förekommande fall även information om att uppgifter i hemlighet har inhämtats av de brottsbekämpande myndigheterna (6 kap. 21 § LEK).

En åklagarmyndighet, Polismyndigheten, Säkerhetspolisen eller annan myndighet som ska ingripa mot brott (Tullverket, Kustbevak- ningen och Skatteverket) har trots tystnadsplikten rätt att få tillgång till abonnemangsuppgifter, om uppgiften gäller misstanke om brott som myndigheten ska ingripa mot (6 kap. 22 § första stycket 2 LEK). Regleringen innebär att de brottsbekämpande myndigheterna i princip har rätt att inhämta abonnemangsuppgifter för att beivra alla typer av brott utom sådana som åtalas enbart av målsäganden. In- hämtning av sådana uppgifter får även göras i underrättelseverksam- het (SOU 2015:31 s. 198–199, med förslag till förtydligande i denna del). En begränsning av tillgången följer dock av behovs- och proportionalitetsprincipens krav. Det är emellertid svårt att se att en inhämtning av abonnemangsuppgifter i praktiken skulle utmana någon av de nämnda principerna. Som nämnts ovan anses inte inhämtning av uppgifter om abonnemang enligt LEK nå upp till den nivå av integritetsintrång att det har bedömts vara ett hemligt tvångsmedel (prop. 2013/14:237 s. 134). Uppgifterna är typiskt sett inte heller särskilt integritetskänsliga (SOU 2015:31 s. 186 och Ds 2014:23 s. 66 och 69). Däremot är uppgifterna ändå skyddsvärda, eftersom de utgör en länk mellan förhållandevis anonyma uppgifter och en fysisk person.

Fram till den 1 juli 2012 gällde att tystnadsplikten för abonne- mangsuppgifter genombröts bara om fängelse var föreskrivet för brottet och det enligt myndighetens bedömning kunde föranleda annan påföljd än böter. På grund av denna begränsning kunde

101

Uppgifter om elektronisk kommunikation i brottsbekämpande verksamhet

SOU 2017:75

abonnemangsuppgifter i realiteten inte hämtas in för många brott av normalgraden med böter i straffskalan. I förarbetena till 2012 års ändring i LEK konstaterade regeringen bl.a. att det hade skett en betydande teknisk utveckling och förändring av i vilken omfattning enskilda använder bl.a. datorer och mobiltelefoner (prop. 2011/12:55 s. 102). Trakasserier via internet av olika slag, nätmobbning och för- tal, liksom vuxnas kontakter med barn i sexuella syften (grooming) bedömdes ha blivit ett allt större problem. Regeringen framhöll att när sådant beteende misstänktes utgöra brott hade de brottsutredande myndigheterna ofta begränsade möjligheter att utreda brotten, bl.a. eftersom möjligheterna att identifiera den som stått bakom kom- munikationen många gånger var små på grund av begränsningarna i rätten att få tillgång till abonnemangsuppgifter. Detsamma ansåg regeringen gälla i fråga om de reella möjligheterna för polisen att ingripa mot internetrelaterade immaterialrättsbrott. Vid bedöm- ningen av det intrång som ett enskilt utlämnande av uppgifter om en abonnent innebär beaktade regeringen särskilt att privatpersoner vanligen använder dynamiska ip-adresser. Möjligheterna till kart- läggning av en abonnents kontakter via internet vid andra tillfällen bedömdes därmed bli begränsade vid ett enstaka utlämnande. Vidare menade regeringen att de brottsbekämpande myndigheternas intresse av tillgång till uppgifter om abonnemang hade förändrats på grund av utvecklingen av den internetrelaterade brottsligheten. Regeringen ansåg att intresset av att lämna ut abonnemangsuppgifter för att bekämpa brott vägde tyngre än det motstående intresset av att skydda enskildas integritet och föreslog därför att kravet på fängelse i straff- skalan och det särskilda kravet i fråga om brottets straffvärde skulle tas bort (prop. 2011/12:55 s. 103). Riksdagen ställde sig bakom denna bedömning (bet. 2011/12:JuU8 och rskr. 2011/12:212).

6.2.3Hemlig övervakning av elektronisk kommunikation

Hemlig övervakning av elektronisk kommunikation innebär att upp- gifter i hemlighet hämtas in om meddelanden (dvs. både samtal och skriftliga meddelanden) som i ett elektroniskt kommunikationsnät överförs eller har överförts till eller från ett telefonnummer eller annan adress (t.ex. en ip-adress), vilka elektroniska kommunikations- utrustningar som har funnits inom ett visst geografiskt område (s.k.

102

SOU 2017:75

Uppgifter om elektronisk kommunikation i brottsbekämpande verksamhet

basstationstömning) eller i vilket geografiskt område en viss elek- tronisk kommunikationsutrustning finns eller har funnits (27 kap. 19 § första stycket RB). De uppgifter som kan hämtas in genom tvångsmedlet är alltså trafikuppgifter och lokaliseringsuppgifter. Tvångsmedlet ger inte tillgång till uppgifter om innehållet i med- delanden. Hemlig övervakning av elektronisk kommunikation om- fattar såväl inhämtning av uppgifter från telefoni- och internet- operatörer som inhämtning genom egna tekniska medel som de brottsbekämpande myndigheterna förfogar över. Tvångsmedlet kan användas också för att hindra meddelanden som överförs i ett elek- troniskt kommunikationsnät från att nå fram.

Hemlig övervakning av elektronisk kommunikation får enligt 27 kap. 19 § tredje stycket RB användas vid förundersökning om brott för vilket det inte är föreskrivet lindrigare straff än fängelse i sex månader, vid förundersökning som avser dataintrång, barnporno- grafibrott som inte är ringa eller narkotikabrott eller narkotika- smuggling av normalgraden. Därutöver får tvångsmedlet användas vid förundersökning om vissa samhällsfarliga brott som bekämpas av Säkerhetspolisen, t.ex. sabotage, spioneri och vissa former av terro- ristbrottslighet. Tvångsmedlet får också användas vid förundersök- ning om försök, förberedelse eller stämpling till nu nämnd brottslig- het i den mån sådana förstadier till brott är straffbelagda.

En förutsättning för att hemlig övervakning av elektronisk kom- munikation ska få användas vid förundersökning är att åtgärden är av synnerlig vikt för utredningen. Som huvudregel krävs även att det finns någon som är skäligen misstänkt för brottet. Tillstånd till tvångsmedlet kan emellertid meddelas även utan att det finns en skäligen misstänkt person om syftet med övervakningen är att utreda vem som skäligen kan misstänkas för brottet. Det krävs då att förundersökningen avser brott som kan leda till hemlig avlyssning av elektronisk kommunikation. Det ska alltså vara fråga om ett brott vars minimistraff är fängelse i minst två år, vissa särskilt angivna samhällsfarliga brott som bekämpas av Säkerhetspolisen, försök, förberedelse eller stämpling till sådana brott om detta är straffbart, eller ett annat brott om brottets straffvärde med hänsyn till omstän- digheterna kan antas överstiga två års fängelse.

När hemlig övervakning av elektronisk kommunikation används för att hämta in uppgifter om meddelanden i syfte utreda vem som skäligen kan misstänkas för ett brott får övervakningen bara avse

103

Uppgifter om elektronisk kommunikation i brottsbekämpande verksamhet

SOU 2017:75

uppgifter i förfluten tid (27 kap. 20 § andra stycket RB). En bas- stationstömning får avse kommunikationsutrustning, telefon- nummer eller annan adress och göras även när utrustningens iden- tifikationsnummer är okänt (27 kap. 20 § första stycket 1 samt prop. 2011/12:55 s. 128).

Hemlig övervakning av elektronisk kommunikation som avser en skäligen misstänkt person får endast avse ett telefonnummer, en annan adress eller en elektronisk kommunikationsutrustning som innehas eller har innehafts eller annars kan antas ha använts eller komma att användas av den misstänkte under den tid tillståndet till övervakning gäller (27 kap. 20 § första stycket 1 RB).

Tvångsmedlet får enligt huvudregeln användas endast efter för- handsprövning och beslut av domstol. Tingsrätten prövar frågan efter ansökan av en åklagare (27 kap. 21 § RB). Om det kan befaras att det skulle innebära en fördröjning av väsentlig betydelse för utredningen att inhämta rättens tillstånd, får tillstånd ges interi- mistiskt av åklagaren i avvaktan på domstolens prövning. Ett sådant beslut ska utan dröjsmål anmälas till rätten som skyndsamt ska pröva om det finns skäl för åtgärden. Om domstolen vid sin prövning bedömer att det inte finns skäl för åtgärden ska den upphäva beslutet. I sådana fall får uppgifter som redan har inhämtats med stöd av det interimistiska beslutet inte användas i en förundersökning till nack- del för den som har omfattats av övervakningen (27 kap. 21 a § RB).

I ett beslut att tillåta hemlig övervakning av elektronisk kom- munikation ska det anges vilken tid åtgärden avser. Tiden får inte bestämmas längre än nödvändigt och får, när det gäller tid som infaller efter beslutet, inte överstiga en månad. Tiden kan dock för- längas genom ett nytt beslut. I beslutet ska också anges vilket telefon- nummer eller annan adress, vilken elektronisk kommunikations- utrustning eller vilket geografiskt område tillståndet avser (27 kap. 21 § RB).

Möjligheterna att använda uppgifter som kommit fram vid hemlig övervakning av elektronisk kommunikation för att inleda förunder- sökning om ett annat brott än det som legat till grund för beslutet (överskottsinformation) är begränsade. Förundersökning får näm- ligen normalt endast inledas om det är föreskrivet fängelse ett år eller mer för brottet (27 kap. 23 a § RB). Uppgifterna får dock alltid använ- das för att förhindra förestående brott eller i pågående förunder- sökningar.

104

SOU 2017:75

Uppgifter om elektronisk kommunikation i brottsbekämpande verksamhet

6.2.4IHL

IHL reglerar Polismyndighetens, Säkerhetspolisens och Tullverkets möjligheter att hämta in uppgifter om elektronisk kommunikation i underrättelseverksamhet. Lagen reglerar enbart inhämtning från den som enligt LEK tillhandahåller ett elektroniskt kommunikationsnät eller en elektronisk kommunikationstjänst och ger alltså inte stöd för de brottsbekämpande myndigheterna att hämta in uppgifter med hjälp av egna tekniska hjälpmedel. Inhämtning av uppgifter enligt lagen utgör definitionsmässigt ett hemligt tvångsmedel (prop. 2011/12:55 s. 111).

De uppgifter som får hämtas in med stöd av lagen är

historiska uppgifter om meddelanden

uppgifter om vilka elektroniska kommunikationsutrustningar som har funnits inom ett visst geografiskt område (basstations- tömning)

uppgift om i vilket geografiskt område en viss elektronisk kom- munikationsutrustning finns eller har funnits.

Uppgifter får hämtas in om omständigheterna är sådana att åtgärden är av särskild vikt för att förebygga, förhindra eller upptäcka brotts- lig verksamhet som innefattar brott vilka har ett straffminimum på fängelse två år (2 §). Enligt en särskild bestämmelse (3 §) är inhämt- ning av uppgifter också möjlig vid brottslig verksamhet som inne- fattar vissa särskilt angivna samhällsfarliga brott inom Säkerhets- polisens ansvarsområde med lägre straffminimum, t.ex. sabotage och spioneri. Denna bestämmelse är tidsbegränsad och gäller till utgången av 2019.

Genom rekvisitet ”brottslig verksamhet” framgår att det inte ställs krav på att det ska finnas en misstanke om ett specifikt brott (prop. 2011/12:55 s. 123). Det föreligger därmed en principiell skillnad i förhållande till tillämpningsområdet för straffprocessuella tvångsmedel enligt RB.

Beslut om inhämtning fattas av myndigheten själv utan förhands- kontroll av någon utomstående oberoende myndighet.

105

Uppgifter om elektronisk kommunikation i brottsbekämpande verksamhet

SOU 2017:75

6.2.52007 års preventivlag

I vissa fall får hemlig övervakning av elektronisk kommunikation användas också utan att en förundersökning pågår, då i syfte att förhindra vissa särskilt allvarliga brott. Enligt 2007 års preventivlag får tillstånd till bl.a. hemlig övervakning av elektronisk kommuni- kation meddelas om det finns en påtaglig risk för att en person kommer att utöva brottslig verksamhet som innefattar vissa särskilt angivna brott. Det rör sig främst om sådan samhällsfarlig brotts- lighet som bekämpas av Säkerhetspolisen, t.ex. sabotage, spioneri och terroristbrottslighet, men även vissa våldsbrott och brott mot fri- het och frid som begås i syfte att påverka offentliga organ eller jour- nalister (systemhotande brottslighet). Även om lagen främst rör brottslig verksamhet inom Säkerhetspolisens område kan också Polismyndigheten använda lagen. Det sker dock mycket sällan. Till- stånd får meddelas endast om åtgärden är proportionerlig och av syn- nerlig vikt för att förhindra sådan brottslig verksamhet (1 och 5 §§).

Hemlig övervakning enligt 2007 års preventivlag får avse endast ett telefonnummer eller annan adress eller en viss elektronisk kom- munikationsutrustning som under den tid tillståndet omfattar inne- has eller har innehafts av den som kan antas komma att utöva den brottsliga verksamheten eller som annars kan antas ha använts eller komma att användas av honom eller henne. Hemlig övervakning får också avse ett telefonnummer, en annan adress eller en viss kom- munikationsutrustning som det finns synnerlig anledning att anta att han eller hon under den tid tillståndet avser har kontaktat eller kom- mer att kontakta.

Frågan om tillstånd till tvångsmedel enligt lagen prövas av dom- stol (Stockholms tingsrätt) efter ansökan av åklagare (6 §). Till- ståndet får – som beträffande övriga hemliga tvångsmedel – inte ges för längre tid än nödvändigt och får, i fråga om tid efter beslutet, inte överstiga en månad från dagen för beslutet (7 §). Om tiden inte räcker, får tillstånd sökas på nytt. Om det inte längre finns skäl för ett tillstånd till tvångsmedelsanvändning, ska åklagaren eller rätten omedelbart häva beslutet. Polisen ska omedelbart underrätta åklaga- ren om omständigheter som har betydelse för om beslutet ska hävas (10 §). Reglerna i RB om handläggning vid domstol av frågor om tvångsmedel i brottmål och om överklagande av beslut i sådana frågor

106

SOU 2017:75

Uppgifter om elektronisk kommunikation i brottsbekämpande verksamhet

tillämpas på förfarandet, om inte annat sägs i lagen. Handläggningen ska ske skyndsamt (15 §).

6.2.6LSU

Enligt LSU får en utlänning utvisas ur landet bl.a. om det med hänsyn till vad som är känt om utlänningens tidigare verksamhet och övriga omständigheter kan befaras att han eller hon kommer att begå eller medverka till terroristbrott enligt 2 § lagen (2003:148) om straff för terroristbrott eller försök, förberedelse eller stämpling till sådant brott (1 §). Om ett beslut om sådan utvisning tills vidare inte ska verkställas på grund av inhibition eller ett tidsbegränsat uppehållstillstånd, får Migrationsverket eller regeringen besluta att vissa tvångsmedelsregler som finns i lagens 19–22 §§ ska tillämpas på utlänningen. Detsamma gäller om det utvisningsbeslut som inte ska verkställas har fattats enligt 8 kap. utlänningslagen (2005:716) och det finns sådana om- ständigheter avseende utlänningen som nämnts ovan (11 och 11 a §§).

Av 19 och 20 §§ framgår att tvångsmedelsreglerna när de är tillämpliga medför att rätten under vissa förutsättningar kan meddela tillstånd enligt 27 kap. RB till hemlig avlyssning av elektronisk kom- munikation eller, om det är tillräckligt, hemlig övervakning av elek- tronisk kommunikation. Sådant tillstånd får meddelas om det är av betydelse för att utröna om utlänningen eller en organisation eller grupp som han eller hon tillhör eller verkar för planlägger eller för- bereder terroristbrott enligt 2 § lagen (2003:148) om straff för terro- ristbrott och det finns synnerliga skäl.

Yrkande om tillstånd hos domstol görs av Säkerhetspolisen eller Polismyndigheten. En särskild regel gäller beträffande forum (21 §). Tillståndet ska, som beträffande övriga hemliga tvångsmedel, med- delas att gälla för en viss tid som inte får överstiga en månad. Om tiden inte räcker får en ny ansökan göras. I fråga om förfarandet i övrigt tillämpas 27 kap. RB (21 §).

6.3Säkerheten för lagrade uppgifter

Vid genomförandet av datalagringsdirektivet i Sverige (avsnitt 8.1.4) konstaterades att det i LEK redan fanns regler om såväl driftsäkerhet (5 kap. 6 a §) som integritetsskydd (6 kap. 3 §). Sist nämnda bestäm-

107

Uppgifter om elektronisk kommunikation i brottsbekämpande verksamhet

SOU 2017:75

melse, som genomför artikel 4.1 i direktiv 2002/58, reglerar leveran- törernas skyldighet att vidta lämpliga åtgärder för att säkerställa att behandlade uppgifter skyddas. Åtgärderna ska vara ägnade att säker- ställa en säkerhetsnivå som, med beaktande av tillgänglig teknik och kostnaderna för åtgärderna, är anpassad till risken för integritets- intrång. Detta grundskydd ansågs dock inte tillräckligt för uppgifter som skulle lagras enligt datalagringsdirektivet (prop. 2010/11:46 s. 54). Det angavs, mot bakgrund av det nya syfte för vilket uppgifter skulle lagras samt den mängd uppgifter det rörde sig om, att kravet på säkerheten borde höjas samt att säkerhetsnivån borde preciseras. Resultatet blev att det infördes en ny bestämmelse i 6 kap. 3 a § LEK av vilken det framgår att den som är lagringsskyldig ska vidta de sär- skilda tekniska och organisatoriska åtgärder som behövs för att skydda de lagrade uppgifterna vid behandling. I förarbetena angavs att det därav följer att bestämmelsen, till skillnad från vad som gäller enligt 6 kap. 3 § LEK, inte lämnar något utrymme att bestämma säkerhetsnivån genom en avvägning mellan teknik, kostnader och risken för integritetsintrång (prop. 2010/11:46 s. 75).

I 6 kap. 3 a § andra stycket LEK bemyndigas regeringen eller den myndighet regeringen bestämmer att komplettera lagbestämmelsen med ytterligare föreskrifter om säkerheten. Detta har regeringen gjort i 37 § FEK. Av bestämmelsen framgår att den som är lagrings- skyldig ska vidta åtgärder för att säkerställa att de lagrade uppgifterna är av samma kvalitet och föremål för samma säkerhet och skydd som vid den behandling som skett före lagringen. Vidare framgår att åtgärder ska vidtas för att skydda uppgifterna mot oavsiktlig eller otillåten förstöring och oavsiktlig förlust eller ändring samt för att förhindra otillåten lagring, behandling av eller tillgång till och otillåtet avslöjande av uppgifterna. Slutligen får uppgifterna göras tillgängliga endast för personal med särskild behörighet. PTS får efter att ha hört Polismyndigheten, Säkerhetspolisen och Datainspektionen meddela närmare föreskrifter om de åtgärder som ska vidtas.

PTS har med stöd av bemyndigandet i 37 § FEK meddelat sådana föreskrifter (PTSFS 2012:4). Dessa går i korthet ut på att den lagringsskyldige ska bedriva ett kontinuerligt och systematiskt säker- hetsarbete med beaktande av de särskilda risker lagringsskyldigheten medför (3 §). Rutiner ska finnas som säkerställer att bara personal med särskild behörighet har tillgång till lagrade uppgifter och de system som hanterar uppgifterna (4 §). Den utrustning som används

108

SOU 2017:75

Uppgifter om elektronisk kommunikation i brottsbekämpande verksamhet

för att lagra uppgifter ska också placeras i ett särskilt skyddat ut- rymme för att förhindra förlust av eller otillåten tillgång till upp- gifterna (5 §). Vidare ska all behandling av lagrade uppgifter loggas i krypterad form och på ett sådant sätt att det går att följa upp vem som har haft tillgång till uppgifterna och vid vilken tidpunkt (6 §). Lagrade uppgifter ska också säkerhetskopieras (7 §).

PTS har även fått i uppdrag att utöva tillsyn över leverantörernas lagring av trafikuppgifter. Det ansågs att myndighetens tillsynsbe- fogenheter var ändamålsenliga och tillräckliga (prop. 2010/11:46 s. 58). Av dessa följer att myndigheten bl.a. har rätt att förelägga en leverantör som bedriver verksamhet som omfattas av LEK att till- handahålla myndigheten upplysningar och handlingar som behövs för att kontrollera lagens efterlevnad, att meddela förelägganden och för- bud som får förenas med vite och, om ingen rättelse sker, återkalla ett tillstånd att bedriva verksamhet. De tillsynsbeslut som PTS fattar får överklagas hos allmän förvaltningsdomstol. När det gäller behand- lingen av personuppgifter utövar även Datainspektionen tillsyn.

6.4Kontrollmekanismer och rättssäkerhetsgarantier

För att skydda personers integritet och upprätthålla en hög grad av rättssäkerhet innehåller regelverket kring myndigheternas tillgång till uppgifter om elektronisk kommunikation ett antal kontrollmeka- nismer och rättssäkerhetsgarantier. Dessa beskrivs nedan.

Det ska i sammanhanget framhållas att andelen människor i Sverige som oroar sig för att myndigheterna ska kränka deras personliga integritet har minskat. Däremot har oron för att stora internetföretag ska kränka den ökat.3

6.4.1Förhandskontroll

Hemlig övervakning av elektronisk kommunikation

De brottsbekämpande myndigheternas tillgång till trafik- och loka- liseringsuppgifter i en förundersökning om brott förutsätter som regel att tingsrätten, efter prövning av en ansökan från åklagaren, har

3 Internetstiftelsen i Sveriges rapport Svenskarna och internet 2016, avsnitt 11.

109

Uppgifter om elektronisk kommunikation i brottsbekämpande verksamhet

SOU 2017:75

meddelat tillstånd till inhämtningen (27 kap. 21 § RB). Vid denna prövning har domstolen att kontrollera om de villkor som gäller för övervakningen av elektronisk kommunikation är uppfyllda, bl.a. vilken typ av gärning som brottsmisstanken avser, vilka telefonnum- mer och andra adresser som ska övervakas, om övervakningen avser en person som är skäligen misstänkt eller i stället syftar till att klar- lägga vem som skäligen kan misstänkas för brottet, om åtgärden är av synnerlig vikt för utredningen etc. Prövningen görs med utgångs- punkt i ett konkret brott, och en bedömning görs normalt även av om omständigheterna i det enskilda fallet med tillräcklig grad av styrka (skälig misstanke) talar för att en viss person kan misstänkas för brottet.

2007 års preventivlag

Innan övervakning av elektronisk kommunikation får utföras enligt 2007 års preventivlag måste domstolsbeslut inhämtas från Stock- holms tingsrätt (6 §). Om det kan befaras att inhämtande av rättens tillstånd skulle medföra en fördröjning av väsentlig betydelse för möjligheterna att förhindra den brottsliga verksamheten, får tillstånd till åtgärden ges av åklagaren i avvaktan på rättens beslut (6 a §).

LSU

Frågan om tillstånd till hemlig övervakning av elektronisk kommuni- kation inom ramen för särskild utlänningskontroll prövas av Stockholms tingsrätt på yrkande av Säkerhetspolisen eller Polis- myndigheten (21 §).

IHL

Beslut enligt IHL fattas av myndigheten själv och är inte föremål för någon utomstående förhandskontroll (4 §). Det är myndighets- chefen eller annan person som har fått uppgiften delegerad till sig som fattar beslutet. Myndighetschefen får delegera uppgiften att fatta beslut bara till sådana personer som har den särskilda kompe- tens, utbildning och erfarenhet som behövs. Den som enligt delega-

110

SOU 2017:75

Uppgifter om elektronisk kommunikation i brottsbekämpande verksamhet

tion har fått rätt att hämta in uppgifter får inte fatta beslut om in- hämtning i sådan operativ verksamhet som han eller hon själv deltar i. Beslutet ska vara preciserat och tiden för beslutet får, när det gäller tid som infaller efter beslutet, inte överstiga en månad (5 §).

6.4.2Efterhandskontroll

Tillsyn

Tillsynen över de brottsbekämpande myndigheternas tillämpning av lagar och andra författningar i den brottsbekämpande verksamheten delas mellan flera myndigheter.

Säkerhets- och integritetsskyddsnämnden (SIN) har i uppdrag att utöva tillsyn över bl.a. de brottsbekämpande myndigheternas använd- ning av hemliga tvångsmedel, däribland hemlig övervakning av elek- tronisk kommunikation, 1 § lagen (2007:980) om tillsyn över viss brottsbekämpande verksamhet. Tillsynen omfattar även verksamhet hos dessa myndigheter som hänger samman med tvångsmedels- användningen. Det innebär att tillsynen ska avse även den vidare hanteringen av inhämtade uppgifter hos myndigheterna, bl.a. när det gäller hantering av överskottsinformation. SIN:s uppdrag omfattar också tillsyn över Polismyndighetens, Säkerhetspolisens och Eko- brottsmyndighetens behandling av personuppgifter enligt polisdata- lagen (2010:361) och lagen (2010:362) om polisens allmänna spanings- register. Exakt hur tillsynen av personuppgiftsbehandlingen för Polis- myndigheten ska regleras är nu föremål för överväganden (se betän- kandena Ett samlat ansvar för tillsyn över den personliga integriteten, SOU 2016:65, och Brottsdatalag, SOU 2017:29, samt Utredningen om 2016 års dataskyddsdirektiv, dir. 2016:21).

SIN bedriver sin verksamhet genom inspektioner och andra under- sökningar som sker på eget initiativ (2 § lagen om tillsyn över viss brottsbekämpande verksamhet). När nämnden beslutar att inleda tillsyn på eget initiativ görs detta främst utifrån bedömningen av var risken för en felaktig rättstillämpning hos de granskade myndig- heterna är som störst (se för detta och det följande SIN:s årsredo- visning 2016 s. 7–8). Bedömningen baseras på nämndens egna erfarenheter men även andra myndigheters (t.ex. Datainspektionens) iakttagelser kan beaktas. Nämnden kan även inleda tillsyn på eget initiativ, t.ex. efter att någon företeelse inom nämndens tillsyns-

111

Uppgifter om elektronisk kommunikation i brottsbekämpande verksamhet

SOU 2017:75

område har uppmärksammats i medierna. Nämnden har rätt att få de uppgifter och det biträde som nämnden begär av den myndighet som omfattas av tillsynen samt begärda uppgifter av andra myndigheter och domstolar (4 § lagen om tillsyn över viss brottsbekämpande verksamhet). Inriktningen på nämndens tillsyn på eget initiativ sker även med beaktande av de uppdrag som myndigheten får från regeringen. Med utgångspunkt från ovanstående beslutar nämnden om fokusområden för sin tillsyn.

Nämndens ambition är att sprida sina tillsynsinsatser såväl geo- grafiskt som verksamhetsmässigt. Tillsynsärendena kan utmynna i uttalanden om konstaterade förhållanden eller behov av förändringar i verksamheten (2 § lagen om tillsyn över viss brottsbekämpande verksamhet). Dessa avgöranden är varken bindande eller överklag- bara utan nämnden ska i stället anmäla sina iakttagelser och över- lämna relevanta delar av det som har framkommit i tillsynsärendet till den myndighet som ansvarar för frågan (6 § lagen om tillsyn över viss brottsbekämpande verksamhet och prop. 2006/07:133 s. 70 och 83).

Till grund för tillsynsverksamheten ligger även de anmälningar som de brottsbekämpande myndigheterna gör om inhämtning enligt IHL (6 §) och då underrättelse till enskilda som varit föremål för en övervakningsåtgärd har underlåtits på grund av sekretess, 14 b § för- undersökningskungörelsen (1947:948) och förordningen (2007:1144) om fullgörande av underrättelseskyldighet enligt lagen (2007:979) om åtgärder för att förhindra vissa särskilt allvarliga brott.

Datainspektionen är tillsynsmyndighet enligt personuppgifts- lagen, 2 § personuppgiftsförordningen (1998:1191). Myndigheten har rätt att få tillgång till de personuppgifter som behandlas samt upp- lysningar och dokumentation om behandlingen, 43 § personuppgifts- lagen (1998:204). Om Datainspektionen konstaterar att person- uppgifter behandlas på ett olagligt sätt ska myndigheten genom påpekanden eller liknande förfaranden försöka att åstadkomma rättelse (45 §). Datainspektionen kan begära hos domstol att olagligt behandlade personuppgifter ska förstöras (47 §). Myndighetens tillsynsansvar omfattar all behandling av personuppgifter som är helt eller delvis automatiserad eller som ingår i manuella register. Data- inspektionen och SIN har således delvis överlappande tillsynsansvar när det gäller Polismyndighetens, Säkerhetspolisens och Ekobrotts- myndighetens behandling av personuppgifter. Övriga brottsbekäm-

112

SOU 2017:75

Uppgifter om elektronisk kommunikation i brottsbekämpande verksamhet

pande myndigheters behandling av personuppgifter står under tillsyn enbart av Datainspektionen.

Förutom den specifika tillsyn som nu redogjorts för utövar Riks- dagens ombudsmän (JO) och Justitiekanslern (JK) tillsyn över att myndigheterna följer lagar och andra författningar.

JO:s arbete styrs av lagen (1986:765) med instruktion för Riks- dagens ombudsmän. JO ska särskilt se till att de grundläggande fri- och rättigheterna inte överträds i den offentliga verksamheten men också verka för att brister i lagstiftningen avhjälps. JO får därför göra framställningar till riksdag och regering om författningsändringar. Ombudsmännens tillsyn baseras på anmälningar från allmänheten och på initiativärenden och inspektioner. I sin tillsyn får JO närvara vid en myndighets överläggningar och ha tillgång till myndighetens protokoll och handlingar. Myndigheter och tjänstemän är också skyldiga att lämna de upplysningar och yttranden som JO begär.

JO avgör ärenden genom beslut. I ett beslut kan JO uttala sig om en åtgärd av en myndighet eller en befattningshavare strider mot lag eller annan författning eller annars är felaktig eller olämplig, en s.k. erinran. JO har inte befogenhet att själv meddela straffrättsliga sanktioner eller disciplinära påföljder. JO är inte heller någon besvärs- myndighet och får därför inte överpröva eller på annat sätt ändra de granskade besluten. Beslut i JO:s ärenden är inte rättsligt bindande. I formellt hänseende är besluten inte något annat än ett uttryck för ombudsmannens personliga uppfattning i de behandlade frågorna. JO får även göra uttalanden som avser att främja enhetlighet och ändamålsenlig rättstillämpning. Enligt sin instruktion kan JO över- lämna ett ärende till en annan myndighet för handläggning, om ären- det är av sådan karaktär att det är lämpligt att det utreds och prövas av någon annan myndighet än JO, och den myndigheten inte tidigare prövat saken. Överlämnanden av detta slag görs emellertid inte sär- skilt ofta på det brottsbekämpande området eftersom det där i stor utsträckning saknas ämnesspecifika tillsynsmyndigheter.

JK har i likhet med JO tillsyn över myndigheter och deras tjänste- män. Tillsynen har till syfte att kontrollera att lagar och andra för- fattningar följs. Som regel initieras JK:s granskning av en anmälan från en enskild eller en myndighet. Ett tillsynsärende kan också påbörjas i samband med en inspektion eller genom att JK på eget initiativ tar upp ett ärende. I de ärenden som JK handlägger före- ligger en skyldighet för enskilda befattningshavare och myndigheter

113

Uppgifter om elektronisk kommunikation i brottsbekämpande verksamhet

SOU 2017:75

att lämna den information och de yttranden som JK begär. JK kan inte ge direktiv om hur ett ärende hos en förvaltningsmyndighet ska handläggas eller avgöras. Inte heller kan JK ompröva beslut som har fattats av andra myndigheter eller ändra deras avgöranden i sak. Som särskild åklagare har JK dock rätt att väcka åtal mot befattningshavare som begått brottslig handling genom att ha åsidosatt vad som ålegat honom eller henne i tjänsten. Vidare får JK göra en anmälan om disciplinpåföljd, avsked eller avstängning och har också rätt att föra talan i domstol om ändring av en myndighets beslut i sådana frågor.

Underrättelseskyldighet

Syftet med underrättelseskyldigheten är bl.a. att den enskilde ska få möjlighet att bedöma vilket integritetsintrång som åtgärden har inneburit och att reagera mot vad han eller hon kan anse ha varit en rättsstridig åtgärd. En skyldighet att lämna en sådan underrättelse har även ansetts kunna ha en återhållande verkan på användningen av hemliga tvångsmedel och bidra till att prövningen inför ett beslut sker på ett än mer noggrant sätt (prop. 2006/07:133 s. 30). Ett krav på att enskilda ska underrättas är således en åtgärd som syftar till att förbättra kontrollen över tillämpningen av reglerna.

Den som har varit utsatt för hemliga tvångsmedel enligt RB ska som huvudregel underrättas om detta så snart det kan ske utan men för utredningen, dock senast inom en månad efter att förundersök- ningen avslutades (27 kap. 31 §). Det finns dock vissa möjligheter att skjuta upp underrättelsen om de uppgifter som den ska innehålla omfattas av vissa former av sekretess (27 kap. 33 § första stycket). Om sekretess fortfarande gäller ett år efter att förundersökningen avslutades behöver underrättelse inte lämnas. I sådana fall ska dock SIN underrättas om beslutet att underlåta underrättelse (14 b § andra stycket förundersökningskungörelsen). Vissa brott som faller inom Säkerhetspolisens ansvarsområde är också helt undantagna från underrättelseskyldigheten (27 kap. 33 § tredje stycket RB).

Om övervakning har avsett ett telefonnummer eller annan adress eller en viss elektronisk kommunikationsutrustning som innehas av någon annan än den misstänkte, ska även innehavaren underrättas. Om inhämtningen har skett i syfte att utreda vem som är skäligen

114

SOU 2017:75

Uppgifter om elektronisk kommunikation i brottsbekämpande verksamhet

misstänkt och integritetsintrånget för den enskilde kan antas vara ringa behöver inte underrättelse lämnas.

Vid tvångsmedelsanvändning enligt 2007 års preventivlag gäller ingen underrättelseskyldighet, förutom avseende de brott som avses i lagens 1 § första stycke 7, dvs. mord, dråp, grov misshandel, män- niskorov eller olaga frihetsberövande i avsikt att påverka ett offent- ligt organ eller den som yrkesmässigt bedriver nyhetsförmedling eller annan journalistik, att vidta eller avstå från att vidta en åtgärd eller att hämnas en åtgärd (16 §). Om åtgärden har avsett ett telefon- nummer eller annan adress, en viss elektronisk kommunikations- utrustning eller en plats som innehas av någon annan, ska även den personen underrättas. Underrättelse ska lämnas så snart det kan ske efter det att det ärende som åtgärden vidtogs i har avlutats. En under- rättelse behöver inte lämnas till den som redan har fått del av eller till- gång till uppgifterna. En underrättelse behöver inte heller lämnas om den med hänsyn till omständigheterna uppenbart är utan betydelse.

Underrättelse får skjutas upp om sekretess gäller (17 §). Om sekretess hindrar underrättelse i ett år behöver någon underrättelse inte lämnas.

Underrättelseskyldigheten ska fullgöras av åklagare och om sekretess hindrar underrättelse ska i stället Säkerhets- och integri- tetsskyddsnämnden underrättas, förordningen (2007:1144) om full- görande av underrättelseskyldighet enligt lagen (2007:979) om åtgärder för att förhindra vissa särskilt allvarliga brott.

Den ovan beskrivna underrättelseskyldigheten har inte någon motsvarighet när det gäller den inhämtning som utförs med stöd av IHL. För IHL gäller i stället att SIN ska underrättas om myndig- heternas beslut om inhämtning. En sådan underrättelse ska lämnas senast en månad efter det att ärendet om inhämtning avslutades (6 § IHL).

Det saknas bestämmelser om underrättelse till enskild vid över- vakning som ytterst har sitt stöd i LSU (prop. 2006/07:133 s. 52).

Kontroll på begäran av enskild

Som ett komplement till bestämmelserna om underrättelse till enskilda som utsatts för användning av hemliga tvångsmedel finns en reglering som ålägger SIN att på begäran av en enskild kontrollera

115

Uppgifter om elektronisk kommunikation i brottsbekämpande verksamhet

SOU 2017:75

om han eller hon har utsatts för ett hemligt tvångsmedel och om användningen av detta tvångsmedel har skett i enlighet med lag eller annan författning. En sådan begäran får också avse frågan om polisens personuppgiftsbehandling varit författningsenlig. Den en- skilde ska underrättas om att kontrollen har utförts (3 § lagen om tillsyn över viss brottsbekämpande verksamhet). Om nämnden bedömer att det förekommit felaktigheter som kan medföra skade- ståndsansvar för staten gentemot den enskilde ska det anmälas till JK, som kan tillerkänna den enskilde ersättning för den skada och kränkning som en felaktig hantering av uppgifter eller en felaktig tillämpning av hemliga tvångsmedel inneburit. Om SIN i stället bedömer att det förekommit felaktigheter som innefattar misstanke om brott ska ärendet anmälas till åklagare. Vidare ska nämnden, om den finner omständigheter som Datainspektionen bör uppmärksam- mas på, anmäla det till inspektionen, 20 § förordningen (2007:1141) med instruktion för Säkerhets- och integritetsskyddsnämnden.

Parlamentarisk kontroll

En parlamentarisk kontroll av tillämpningen av reglerna om hemliga tvångsmedel utövas av riksdagen på grundval av en årlig skrivelse från regeringen. Skrivelsen omfattar de brottsbekämpande myndig- heternas tillämpning av reglerna om hemlig avlyssning och över- vakning av elektronisk kommunikation, hemlig kameraövervakning, hemlig rumsavlyssning och inhämtning av uppgifter enligt IHL. Även tillämpningen av hemliga tvångsmedel som utförs för att för- hindra vissa särskilt allvarliga brott redovisas. Numera redovisas även tillstånd som avser Säkerhetspolisen. Den senaste skrivelsen till riks- dagen lämnades i december 2016 (skr. 2016/17:69).

Även tillämpningen av LSU redovisas årligen till riksdagen. I sam- band med att LSU infördes ansågs det nämligen att den parlamenta- riska kontrollen av hur regeringen tillämpar bestämmelserna och reglerna om tvångsåtgärder bör göras genom att regeringen årligen lämnar en skrivelse till riksdagen (prop. 1990/91:118 s. 72). Den senaste skrivelsen till riksdagen lämnades i december 2016 (skr. 2016/17:72).

116

SOU 2017:75

Uppgifter om elektronisk kommunikation i brottsbekämpande verksamhet

6.4.3Begränsningar i rätten att använda överskottsinformation

När tvångsmedel används kan det komma fram uppgifter som inte rör det brott som har legat till grund för tvångsmedelsbeslutet. Upp- gifterna kan i stället ha betydelse för att utreda ett annat brott eller för att förhindra nya brott. Användningen av sådan information för att inleda en förundersökning är kringgärdad av vissa begränsningar (27 kap. 23 a § RB, 7 och 8 §§ IHL och 12 § 2007 års preventivlag).

117

7Nyttan och behovet av uppgifter om elektronisk kommunikation i brottsbekämpande verksamhet

Vid bedömningen av hur långtgående inskränkningar i enskildas fri- och rättigheter som kan tolereras i ett demokratiskt samhälle är det av vikt att klargöra vilken betydelse en åtgärd som innebär intrång i en skyddad rättighet kan ha för att uppnå målet. En proportiona- litetsavvägning måste därefter göras mellan åtgärdens betydelse för det eftersträvade ändamålet å ena sidan och den grad av intrång i enskildas skyddade rättigheter som åtgärden innebär å andra sidan. Vid utformningen av regler kring straffprocessuella verktyg är det därför viktigt att undersöka hur verktygen används i den brotts- bekämpande verksamheten och vilka behov av reglerna som finns (jfr SOU 2007:22 s. 175).

För att de brottsbekämpande myndigheterna ska kunna fullgöra sina uppgifter att förebygga, förhindra och utreda brott har myn- digheterna behov av information. Detta behov kan vara olika stort beroende på vilken brottslighet och vilka aktörer det är fråga om. Brottsbekämparna kan använda olika metoder för att skaffa sig relevant information, t.ex. spaning och förhör samt kontakter med anmälare och tipsare. Behovet av information i såväl utrednings- verksamheten som i underrättelseverksamheten innefattar också ett behov av uppgifter om elektronisk kommunikation.

I analyser av nu aktuellt slag brukar uttrycken nytta och behov användas. Med nytta avses helt enkelt att uppgifterna har något värde för brottsutredningen. Uttrycket behov går tillbaks på den straffpro- cessuella behovsprincipen som anger att en myndighet får använda ett tvångsmedel bara när det föreligger ett påtagligt behov och en mindre ingripande åtgärd inte är tillräcklig för att tillgodose behovet. Eftersom de brottsbekämpande myndigheternas behov av tvångs-

119

Nyttan och behovet av uppgifter om elektronisk kommunikation…

SOU 2017:75

medlen till stor del är beroende av vilken nytta dessa kan förväntas leda till är det oundvikligt att behovs- och nyttoanalyserna i flera avseenden blir lika varandra. Begreppen är dock inte helt synonyma. Det kan t.ex. finnas situationer där tvångsmedlen visserligen kan för- väntas leda till nytta, men där behovet av att använda dem inte är sär- skilt stort. Så kan t.ex. vara fallet om de brottsbekämpande myndig- heterna effektivt kan komma åt den eftersökta informationen med hjälp av andra metoder (prop. 2013/14:237 s. 61).

På ett generellt plan har nyttan av en bred tillgång till elektroniska kommunikationsuppgifter bekräftats av utländska studier. Euro- peiska kommissionen och Högsta förvaltningsdomstolen i Frankrike har i rapporter konstaterat att en riktad lagring ger de brottsbekäm- pande myndigheterna uppenbara begränsningar gentemot en generell lagring av data över längre tid (Commission Staff Working Docu- ment, som lades fram som bilaga till det förslag till direktiv som ledde fram till antagandet av direktiv 2006/24, SEK(2005) 1131, den 21 september 2005, ”Data Preservation versus Data Retention” samt Generaladvokatens förslag till avgörande i Tele2-målet not 54).

Sammanfattningsvis är nyttan av historisk kommunikationsdata i sig väl dokumenterad. Däremot finns de olika typerna av kommuni- kationsuppgifter sällan särredovisade, i synnerhet inte i förhållande till uppgifternas ålder.1

7.1Utredningsverksamhet

Uppgifter om elektronisk kommunikation har stor betydelse i nästan all verksamhet som rör utredning av allvarlig brottslighet. Beredningen för rättsväsendets utveckling (BRU) konstaterade redan 2005 att trafikuppgifter ofta utgjorde den information som var viktigast för att föra utredningar om grövre brott framåt. Sådana uppgifter används i princip i varje utredning rörande grova brott som t.ex. mord, människorov, grovt rån, grov mordbrand, allmänfarlig ödeläggelse, grov våldtäkt, människohandel för sexuella ändamål, grovt barnpornografibrott och grovt narkotikabrott samt brott som faller inom Säkerhetspolisens område (SOU 2005:38 s. 323–324).

1 Se exempelvis Ds 2014:23 s. 85–86 och Europeiska kommissionens utvärderingsrapport av direktiv 2006/24 (Celexnummer: 52011DC0225) s. 23–24.

120

SOU 2017:75

Nyttan och behovet av uppgifter om elektronisk kommunikation…

Uppgifterna är ofta av stor betydelse redan i utredningsarbetets inledningsskede. En kontroll av de trafikuppgifter som kan knytas till en brottsplats, ett brottsoffer eller en misstänkt kan användas tillsammans med annan information för att föra utredningen framåt (SOU 2015:31 s. 84).

Uppgifter om elektronisk kommunikation kan svara på frågor om vilka nummer som haft kontakt med varandra, hur intensiv kom- munikationen har varit och var användarna av t.ex. mobiltelefoner har befunnit sig. Även uppgifter från anonyma kontantkort kan ha betydelse för att kunna kartlägga en misstänkt och på så sätt försöka få fram en identitet, ett skeende eller andra misstänkta. BRU konsta- terade att inhämtade uppgifter i många fall kan få till följd att perso- ner avförs från utredningen genom att misstankarna mot dem visar sig sakna substans. Att misstänkta avförs från utredningen genom användning av hemliga tvångsmedel framgår även av regeringens årliga skrivelse till riksdagen med redovisning av användningen av hemliga tvångsmedel (t.ex. skr. 2012/13:47 s. 14).

När det gäller planeringsskedet av ett brott är det genom tillgången till trafikuppgifter ofta möjligt att ta reda på t.ex. hur gärningsmännen har sammanträffat och hur de har rekognoserat vid gömställen, längs flyktvägar och vid brottsplatsen samt hur de införskaffat brotts- verktyg eller stulit flyktbilar (SOU 2005:38 s. 324). Genom tillgången till historiska trafik- och lokaliseringsuppgifter kan de brottsbekäm- pande myndigheterna således klarlägga händelser som anknyter såväl till själva brottstillfället som till planläggningen och flykten. Dessa uppgifter kan t.ex. leda till att gömställen upptäcks, att stulna pengar, flyktbilar eller annat gods påträffas och att bortförda personer eller döda kroppar hittas. Cirka två tredjedelar av all hemlig övervakning av elektronisk kommunikation avser vålds- och narkotikabrotts- lighet (Säkerhetspolisen omfattas inte av statistiken), skr. 2016/17:69 s. 20–21.

Vid utredningen av internetrelaterad brottslighet är uppgifter om elektronisk kommunikation ofta helt avgörande för att möjliggöra identifiering av en misstänkt gärningsman. Möjligheten till ano- nymitet och begränsningen av forensisk bevisning för att utreda brott medför därför att trafikuppgifter i många fall inte kan undvaras vid utredning om internetrelaterad brottslighet, om sådan brotts- lighet alls ska kunna bekämpas. Från de brottsbekämpande myndig- heterna har i flera sammanhang också framhållits att tillgången till

121

Nyttan och behovet av uppgifter om elektronisk kommunikation…

SOU 2017:75

uppgifter om elektronisk kommunikation i brottsutredningarna fått allt större betydelse i takt med den ökade användningen av kryp- tering, som innebär att innehållet i meddelanden inte blir åtkomligt för myndigheterna vid hemlig avlyssning av elektronisk kommuni- kation (SOU 2015:31 s. 85). Av direktiven till Utredningen om hemlig dataavläsning framgår i enlighet med detta att anonymi- seringstjänster har försvårat användningen av hemlig avlyssning av elektronisk kommunikation (dir. 2016:36 s. 2–3).

Av den ovan gjorda beskrivningen följer att det i princip inte går att ersätta inhämtning av nu aktuella uppgifter med t.ex. fysisk spaning just eftersom inhämtningen ofta avser historiska uppgifter.

Det bör i sammanhanget även noteras att trafikuppgifternas bety- delse i brottsutredningar också hänger samman med att den infor- mation som kommer fram vid hemlig övervakning och hemlig av- lyssning av elektronisk kommunikation ofta bedöms ha ett bety- dande bevisvärde i rättegångar som rör grov allvarlig och organiserad brottslighet.

För att komplettera den generella beskrivningen ovan följer nedan exempel på utredningar där hemlig övervakning av elektronisk kom- munikation har varit till nytta. Exemplen kommer från regeringens senaste redovisning till riksdagen av tvångsmedelsanvändningen (skr. 2016/17:69 s. 22) och från anonymiserade exempel från de brottsbekämpande myndigheterna. En mer detaljerad beskrivning av de brottsbekämpande myndigheternas nytta och behov av uppgifter om elektronisk kommunikation finns i avsnitt 12.6.

Vid en utredning av en grov misshandel utförd efter intrång i målsägandens bostad beviljades hemlig övervakning av elektro- nisk kommunikation mot de misstänkta. Misshandeln misstänk- tes vara utförd av sex personer genom slag med bl.a. batong. Tack vare uppgifterna från övervakningen kunde åklagaren styrka att samtliga gärningsmän varit på plats vid tiden för den grova miss- handeln. Genom bevisningen kunde det även visas att gärnings- männen träffats tidigare under dagen, att ingen kommunikation pågick under brottstiden men att telefonerna efter händelsen åter- igen var i kontakt med varandra. Vid jämförelse mellan innehållet i de beslagtagna telefonerna och telefonlistorna kunde det även visas att flera av de tilltalade hade raderat innehållet i telefon- trafiken i tiden nära gärningen. De sex gärningsmännen dömdes för grov misshandel.

122

SOU 2017:75

Nyttan och behovet av uppgifter om elektronisk kommunikation…

Tre gärningsmän greps på flyende fot efter ett inbrott i en villa. En hundförare hittade gärningsmännens mobiltelefoner längs flyktvägen. De var sönderslagna för att försvåra spårning. Trots det kunde sim-korten identifieras. Genom lokaliseringsuppgifter kunde ytterligare ett tiotal bostadsinbrott klaras upp.

En kvinna blev knivmördad i ett parkeringshus. Genom lokali- seringsuppgifter avseende kvinnans man kunde konstateras att han hade varit på platsen vid tidpunkten för mordet, som på så vis kunde klaras upp.

Två okända gärningsmän rånade en guldbutik med skarpladdade vapen. Lyckade initiala åtgärder ledde till att två personer blev skäligen misstänkta för brottet. Den efterföljande hemliga över- vakningen av elektronisk kommunikation ledde till att de båda männen kunde knytas till de platser där man förberett rånet, till- gripit en motorcykel och gömt denna under rånet.

Säkerhetspolisen fick information om att en gruppering inom vit makt-miljön planerade att bränna ner en flyktingförläggning på en mindre ort. En förundersökning om förberedelse till grov mordbrand inleddes. Genom uppgifter från hemlig övervakning av elektronisk kommunikation gick det att fastställa att personer från grupperingen funnits i närheten av flyktingförläggningen under flera nätter i rad.

Vid förundersökning rörande försök till mordbrand riktat mot ett kommunalråd misstänktes det att brottet utförts av personer inom den autonoma miljön. Genom uppgifter från hemlig över- vakning av elektronisk kommunikation, bl.a. masttömning, kunde gärningsmännen identifieras.

Ett flertal polisanmälningar gjordes runt om i landet avseende sexuella övergrepp mot barn som förövades genom sociala forum på internet. Ip-spårningar ledde till en man som sedermera kom att dömas för flera hundra sexualbrott brott mot över hundra målsägande.

123

Nyttan och behovet av uppgifter om elektronisk kommunikation…

SOU 2017:75

7.2Underrättelseverksamhet

Uppgifter om elektronisk kommunikation används inte bara i för- undersökningar utan också i underrättelseverksamhet. Det är till största delen (cirka 80 procent) vid narkotikabrottslighet som upp- gifter inhämtas i underrättelseverksamhet (Säkerhetspolisen om- fattas inte av statistiken), skr. 2016/17:69 s. 28. För att illustrera nyttan av uppgifter i underrättelseverksamheten följer nedan några exempel på hur informationen kan användas. Exemplen är hämtade från regeringens senaste redovisning till riksdagen av tvångsmedels- användningen (skr. 2016/17:69 s. 29 och 31) och från anonymi- serade exempel från de brottsbekämpande myndigheterna. En mer detaljerad beskrivning av de brottsbekämpande myndigheternas nytta och behov av uppgifterna finns i avsnitt 12.6.

Underrättelser angav att ett antal personer, vilka inte hade några kända kopplingar till varandra sedan tidigare, var involverade i storskalig vapen- och narkotikahantering i Stockholmsområdet. Inhämtning av uppgifter om elektronisk kommunikation och spaning mot de utpekade personerna ledde till att ett nätverk identifierades samt att en lagerplats för narkotika och vapen kunde lokaliseras. En förundersökning om grovt narkotikabrott inleddes och narkotika togs i beslag.

Inhämtning av uppgifter om elektronisk kommunikation till- sammans med fysisk spaning ledde till att misstankar om till- verkning av narkotikaklassade tabletter stärktes och att en för- undersökning kunde inledas. Under pågående förundersökning kunde ett flertal personer gripas och en stor mängd narkotika tas i beslag.

Säkerhetspolisen fick information från ett annat lands säkerhets- tjänst om att en person med diplomatisk immunitet misstänktes ägna sig åt flyktingspionage och att han hade kontakter med en kvinna i Sverige. Genom användning av IHL klarlades att det fanns kontakter mellan dem och att de samtidigt hade befunnit sig i samma geografiska område. På grund av de uppgifterna och andra omständigheter inleddes en förundersökning om olovlig underrättelseverksamhet.

124

SOU 2017:75

Nyttan och behovet av uppgifter om elektronisk kommunikation…

I ett ärende rörande amfetaminsmuggling i Halland inkom under- rättelser om att en mobilabonnent i Stockholmsområdet föreföll ha kopplingar till ärendets huvudman. Efter inhämtning och analys av information om elektronisk kommunikation kunde det i kombination med fysisk spaning konstateras att den egentlige brukaren av det mobilabonnemanget inte var abonnenten själv utan en annan person, som tidigare varit dömd för grova narko- tikabrott. Efter inledd förundersökning beslagtogs en större mängd narkotika.

I ett ärende erhölls information från ett annat land om att mot- tagare av en större mängd kokain var bosatta i Sverige. Genom in- hämtning enligt IHL kunde dessa mottagare identifieras. Med hjälp av historiska uppgifter kunde polisen också påvisa att narko- tika hade mottagits vid flera tillfällen. Till slut kunde en förunder- sökning inledas och narkotikasmugglingen klaras upp.

Genom en internationell polisinsats kunde flera marknadsplatser för narkotika på internet (Darknet) stängas ner. Polismyndig- heten fick underrättelseinformation om vilka ip-adresser som använts på en svensk sådan marknadsplats. Flera av adresserna var emellertid oanvändbara, dels eftersom en längre tid hade passerat sedan de användes (och adresserna därför inte längre var lagrade), dels eftersom flera användare inte gick att identifiera på grund av NAT-teknik (en teknik för att tillåta att flera abonnenter delar på en och samma publika ip-adress, se avsnitt 6.1). I vissa fall kunde dock förundersökning avseende narkotikabrott inledas.

Polismyndigheten och Tullverket har konstaterat att information om elektronisk kommunikation är väsentlig för myndigheternas under- rättelseverksamhet och att de möjligheter till inhämtning som IHL medger har varit avgörande för att inleda förundersökning för en lång rad grova brott. Tillgången till uppgifter om elektronisk kom- munikation i underrättelsestadiet kan vara avgörande för att aktörer, platser och tidpunkter ska kunna kopplas samman och ge ett till- räckligt underlag för att inleda en förundersökning. Uppgifterna är enligt myndigheterna också väsentliga för en effektiv planering av yttre fysisk spaning, som är resurskrävande och därför viktig att använda på rätt plats vid rätt tillfälle (skr. 2016/17:69 s. 33).

125

Nyttan och behovet av uppgifter om elektronisk kommunikation…

SOU 2017:75

Av den ovan gjorda redogörelsen följer att det i princip inte går att ersätta inhämtning av nu aktuella uppgifter med t.ex. fysisk spaning, särskilt eftersom inhämtningen ofta avser historiska uppgifter.

För Säkerhetspolisen är analys av elektronisk kommunikation, enligt myndigheten, av ovärderlig vikt för arbetet på underrättelse- sidan. Regeringen har uttryckt att Säkerhetspolisen har ett uppenbart behov av uppgifterna för att bedriva kontraspionageverksamhet och arbete mot terrorism, prop. 2016/17:186 s. 9. Sådana uppgifter kan inte heller inhämtas på annat sätt, genom t.ex. fysisk spaning, efter- som inhämtning enligt IHL innebär att historiska uppgifter kan analyseras. Därutöver kan Säkerhetspolisens spaningsresurser använ- das mer effektivt efter en analys av användarens dygnsmönster och geografiskt återkommande platser. I underrättelsesyfte bidrar upp- gifter om elektronisk kommunikation också med mycket värdefull information bl.a. för att kartlägga aktörer och nätverk som har avsikt och förmåga att begå brott som är allvarliga för rikets säkerhet. In- hämtningen av uppgifterna möjliggör således att man på ett tidigt stadium kan fånga upp eventuella grupperingar och skeenden (SOU 2015:31 s. 87). Ett exempel på sådan verksamhet som bedrivs av Säkerhetspolisen inom ramen för kontraspionaget är att på ett tidigt stadium kartlägga kontakter som utländska underrättelse- officerare tar med personer i Sverige. Även om denna del av Säker- hetspolisens verksamhet har lett till fällande dom, så är den absolut största nyttan med verksamheten att den person som den utländska underrättelseofficeraren bearbetar kan uppmärksammas på sin nya bekantskaps bakgrund och uppdrag i Sverige. Därmed kan en kontakt avbrytas i ett tidigt skede. Säkerhetspolisens huvudsakliga verksamhet är av praktiska skäl inte heller inriktad på att nå fällande domar och bedriva förundersökning mot misstänkta personer. Det är nämligen betydligt mer resurseffektivt och skadebegränsande att med ett tidigt ingripande genom t.ex. ett samtal reducera risken för hot och sårbarhet snarare än att fullfölja en lång underrättelseprocess med eventuell efterföljande förundersökning. Denna arbetsmetod innebär även att de personer som är intressanta i underrättelse- verksamheten inte behöver utsättas för onödigt integritetskränkande övervakning eftersom syftet i stället kan uppnås genom betydligt mindre ingripande metoder.

Det ska i sammanhanget även lyftas fram att många av de perso- ner som är intressanta för Säkerhetspolisen när det gäller kontra-

126

SOU 2017:75

Nyttan och behovet av uppgifter om elektronisk kommunikation…

spionage skyddas av diplomatisk immunitet. Det är ytterligare en anledning till att resultatet av Säkerhetspolisens arbete i dessa fall inte syns i form av fällande domar och inledda förundersökningar. I dessa fall kan i stället Regeringskansliet eller regeringen överväga om det ska fattas ett beslut om persona non grata avseende den aktuella personen, 21 § förordningen (1996:1515) med instruktion för Regeringskansliet.

På motsvarande sätt som inom ramen för kontraspionaget är det inom författningsskyddet och kontraterrorismverksamheten avgö- rande för Säkerhetspolisen att kunna kartlägga personers kontakter och uppehållsorter.

Säkerhetspolisens användning av hemliga tvångsmedel regleras även av 2007 års preventivlag. Ett anonymiserat exempel på när Säkerhetspolisen haft nytta av uppgifter som inhämtats enligt den lagen är följande.

Säkerhetspolisen hade information om att fem personer kunde vara i färd med att planera terrorattentat i Sverige. De fem männen bodde på visst avstånd från varandra och Säkerhets- polisen misstänkte att de använde elektronisk kommunikation i kontakten mellan sig. Genom hemlig övervakning av elektronisk kommunikation enligt 2007 års preventivlag kunde det bekräftas att männen hade kontakt med varandra samt att de ibland hade vistats i samma geografiska område. Genom informationen kunde en förundersökning om stämpling till terroristbrott inledas.

7.3Användandet av kommunikationstjänster

För att kunna bedöma de brottsbekämpande myndigheternas nytta och behov samt vilket integritetsintrång lagring av och tillgång till uppgifter om elektronisk kommunikation innebär är det av intresse att veta hur elektroniska kommunikationstjänster används i Sverige.

En allt större krets har bytt ut sin traditionella mobiltelefon mot en smart telefon, som ger möjlighet till kommunikation på flertalet sätt och genom tjänster tillhandahållna av andra aktörer än teleopera- törerna. Flera mobiltelefoner, datorer och annan kommunikations- utrustning levereras med exempelvis mobiltelefontillverkarens egna kommunikationstjänster installerade och förvalda. Det kan antas att

127

Nyttan och behovet av uppgifter om elektronisk kommunikation…

SOU 2017:75

en följd av det är att kommunikationsmönstret nu ser annorlunda ut i jämförelse med hur det såg ut för bara några år sedan och hur det kommer att se ut framöver. Användandet av elektroniska kommuni- kationstjänster skiljer sig också mellan yngre och äldre generationer, vilket även det kan antas ge upphov till ett förändrat och föränderligt behov av uppgifter för de brottsbekämpande myndigheterna.

PTS företar återkommande undersökningar om svenskarnas användning av telefoni och internet. Den senaste är från år 20152. PTS för statistik över bl.a. trafiken i mobil-, tele- och fibernäten samt antalet och typen av telekomabonnemang. Statistiken presen- teras i rapporter varje halvår.

Informationen i följande avsnitt kommer från användarrapporten 2015 och rapporten Svensk Telekommarknad 20163. Internet- stiftelsen i Sverige, IIS, har också gjort en undersökning om svens- karnas internetvanor med liknande resultat, rapporten Svenskarna och internet 2016.

7.3.1Mobiltelefoner och mobilt internet

År 2016 fanns det totalt 14,6 miljoner abonnemang på mobila samtals- och datatjänster (inklusive mobilt bredband som fristående tjänst) i Sverige, varav mer än hälften var abonnemang i vilka 1 gigabyte datatrafik eller mer ingår. Abonnemang på tjänster för s.k. machine-to-machine (M2M) uppgick till 8,7 miljoner, vilket innebär en ökning med 28 procent från föregående år. Mobiltelefonin stod för 79 procent av all utgående samtalstrafik, vilket är en ökning från tidigare år. Knappt 11 miljoner var kontraktsabonnemang och reste- rande del, drygt 3,5 miljoner abonnemang, var kontantkort. Kontant- korten utgjorde således ungefär en fjärdedel av abonnemangen. För tio år sedan var hälften av abonnemangen kontantkort. Det ringdes ungefär 10,2 miljarder samtal från mobilabonnemang 2016. Det genomsnittliga antalet samtal per månad från privata abonnemang var 67. Ett privatsamtal pågick i snitt i drygt tre minuter.

Under 2016 överfördes 639 000 terabyte data i mobilnäten, vilket var en ökning med 35 procent jämfört med föregående år. De fyra

2PTS rapport Svenskarnas användning av telefoni och internet 2015 (PTS-ER-2015:29),

10december 2015.

3PTS rapport Svensk Telekommarknad 2016 (PTS-ER-2017:10), 22 maj 2017.

128

SOU 2017:75

Nyttan och behovet av uppgifter om elektronisk kommunikation…

största operatörerna, Telenor, Tele2, Hi3G och Telia, stod tillsam- mans för 98 procent av trafiken. Av datatrafiken härrörde knappt hälften från abonnemang för mobilt internet och den andra dryga hälften från mobiltelefonabonnemang.

Skickade sms har minskat kraftigt sedan 2011, då det skickades omkring 9 miljarder sms i halvåret, till omkring 6,5 miljarder för motsvarande tid år 2014. Under 2016 (helåret) skickades det 9 miljarder sms. Minskningen, som pågått sedan 2011, kan enligt PTS bero på att andra meddelandetjänster, så som Imessage, Whats- app och Kik, har ökat i popularitet. Den klart största mängden sms (knappt 8 miljarder) skickades från privata abonnemang. Det skicka- des i genomsnitt 60 sms och drygt 3 mms per privat abonnemang och månad.

Omkring 97 procent av Sveriges befolkning använde mobiltelefon för privat bruk och närmare 90 procent hade en smart telefon år 2015. I stort sett samtliga av mobilanvändarna använde telefonen för samtal och 85 procent använde den till internetsurfning (vilket kan jämföras med 46 procent år 2011 och 74 procent år 2013). Ungefär tre fjärdedelar hade kopplat upp sig mot ett trådlöst nätverk (wifi) och lika många hade använt mobiltelefonen för e-post. 65–70 procent använde mobiltelefonen för att titta på film, lyssna på musik och för sociala medier. En dryg fjärdedel använde mobiltelefonen för att ringa med internettelefoni. I samtliga fall hade användandet ökat i jämförelse med år 2013. Även användandet av mobiltelefonen utom- lands hade ökat.

Nästan alla mobiltelefonanvändare skickade meddelanden med sin telefon. Omkring 90 procent skickade meddelande varje vecka och omkring hälften av alla användare skickade meddelande varje dag. Omkring hälften av deltagarna i undersökningen svarade att de skickar meddelanden via internet (exempelvis Messenger eller Whatsapp).4

4 Eftersom meddelandeprogram (exempelvis den förvalda meddelandeappen för Iphone) kan hantera flera meddelandetjänster, t.ex. både Imessage och sms, och dessutom använder sig av telefonnummer för att identifiera andra användare, kan det spekuleras i om många använder meddelandetjänster över internet i tron att de skickar sms via sin operatör. Det är därför möjligt att många använder sådana tjänster utan att veta om det. Enligt Business insider uppgav Eddy Cue, senior vice president för Apple, år 2016 att det skickades 200 000 meddelanden med Imessage per sekund (Kif Leswing, Apple says people send as many as 200,000 Imessages per second, Business insider, 12 feb. 2016). Som framgår i detta avsnitt har även sms-trafiken minskat kraftigt sedan år 2011, vilket inte kan förklaras av hur folk uppger att de använder sina mobiltelefoner.

129

Nyttan och behovet av uppgifter om elektronisk kommunikation…

SOU 2017:75

7.3.2Fast telefoni

Användandet av fast telefoni minskar. År 2015 var det nära hälften av dem som deltog i PTS användarundersökning som uppgav att de inte hade fast telefoni. Det var framför allt personer under 40 år som inte hade det men även bland äldre minskade andelen. Allt fler kunde tänka sig att avstå från sin fasta telefon till förmån för att enbart använda mobiltelefon. Antalet abonnemang för fast telefoni mins- kade med 300 000, från 3,6 miljoner år 2015 till 3,3 miljoner år 2016. Det innebär en minskning med 7 procent på bara ett år. Drygt hälften av alla abonnemang för fast telefoni utgjordes av ip-telefoni- abonnemang.

Totalt ringdes det 1,3 miljarder samtal från det fasta nätet under första halvåret 2016. Det genomsnittliga antalet samtal per privat fastnätsabonnemang och månad var 22. Samtalen var längre än vid mobiltelefoni; ett genomsnittligt privat samtal var drygt fem minuter långt.

Drygt hälften av svenskarna hade år 2015 använt internettelefoni via dator eller surfplatta (exempelvis genom tjänster som Skype och Viber). Sedan 2013 har den grupp som använder internettelefoni för att ringa till fasta och mobila telefoner ökat.

7.3.3Internet i hemmet

Nära 95 procent av befolkningen använde internet i hemmet år 2015. En fjärdedel uppgav sig ha en gruppanslutning genom exempelvis sin hyresvärd. Den vanligaste anslutningen som användes var fiber. Mobilt bredband användes av 27 procent av internetanvändarna.

Av dem som använde internet hemma var det 90 procent som använde det för e-post. Andra stora användningsområden var film, handel och sociala medier.

7.3.4Andra användningsområden

Utöver mobiltelefoner, surfplattor och datorer finns det en mängd andra apparater som använder sig av elektronisk kommunikation. Allt från glödlampor, kläder och hushållsapparater till värmesystem, fordon och byggnader kan numera vara anslutna till internet eller på

130

SOU 2017:75

Nyttan och behovet av uppgifter om elektronisk kommunikation…

andra sätt uppkopplade mot omvärlden. Sverige är bland de länder i världen som har mest enheter uppkopplade per person (OECD:s rapport OECD Digital Economy Outlook 2015 s. 259).

Av störst intresse är kanske den allt vanligare uppkopplingen i fordon. Fordon kan vara uppkopplade för flera syften, såsom trafik- säkerhet, bränsleeffektivitet, karttjänster och underhållning. Fordo- net genererar information om exempelvis position och hastighet, som av olika anledningar kan behöva kommuniceras elektroniskt via mobilnätet. Även äldre fordon kan bli uppkopplade med tjänster som exempelvis Telia Sense, som låter fordonet kommunicera med en mobilapp och med internet, genom ett sim-kort. Från och med april 2018 måste dessutom alla nya bilar vara utrustade med det automatiska nödsamtalssystemet Ecall5, som vid en olycka auto- matiskt kan sända information om exempelvis fordonets position till en larmcentral via gsm-nätet.

7.4Nyttan och behovet av de olika uppgifterna

Polismyndigheten och Säkerhetspolisen har anfört att det inte är möjligt att identifiera någon av de uppgifter som omfattas av lagrings- skyldigheten som viktigare än någon annan då de varierar från verk- samhet till verksamhet och från ärende till ärende. Polismyndigheten och Säkerhetspolisen har ändock rangordnat uppgifterna i en priori- tetsordning. Ekobrottsmyndigheten har i princip anslutit sig till denna bedömning. Åklagarmyndigheten har instämt i att det är svårt att rangordna betydelsen av de olika uppgifterna men anfört att de viktigaste uppgifterna som används rör tid och plats för kontakt mellan två adresser och uppgift om vilka dessa adresser är. Tullverket har uppgett att alla uppgifter innebär nytta men att den absolut vik- tigaste informationen är tids-, datum- och lokaliseringsuppgifter.

Gemensamt för myndigheterna är att de skattar nyttan av uppgift om vilken tjänst som har använts vid mobiltelefoni och ip-telefoni lägre i förhållande till andra uppgifter, både i förundersöknings- och i underrättelseverksamhet. På samma sätt råder det tämligen stor enighet om att nyttan av att veta spårbar tid för på- och avloggning i

5 Europaparlamentets och rådets förordning (EU) 2015/758 av den 29 april 2015 om typ- godkännandekrav för montering av Ecall-system som bygger på 112-tjänsten i fordon och om ändring av direktiv 2007/46/EG.

131

Nyttan och behovet av uppgifter om elektronisk kommunikation…

SOU 2017:75

de tjänster som har använts prioriteras lägre. När det gäller inter- netåtkomst har uppgift om typ av kapacitet för överföring värderats lågt.

Det ska dock betonas att de brottsbekämpande myndigheterna har uppgett att alla uppgifter är strängt nödvändiga att lagra för den brottsbekämpande verksamheten.

För en mer detaljerad redovisning av nyttan och behovet, se avsnitt 12.6.3–12.6.4.

7.5Lagringstiden

När analysen av Digital Rights-domen gjordes (avsnitt 8.3) erhölls information från Polismyndigheten om åldern på de uppgifter om elektronisk kommunikation som inhämtats. I underrättelseverk- samheten var de flesta inhämtade uppgifter yngre än en månad men det fanns ärenden där historik upp till sex månader var av stor vikt. I utredningsverksamheten var den största andelen uppgifter yngre än tre månader. Uppskattningsvis 20–25 procent var äldre än tre månader och cirka 10 procent av den totala mängden äldre än fem månader. Behovet av äldre uppgifter angavs särskilt gälla tidskrävande för- undersökningar avseende grova våldsbrott av spaningskaraktär samt bekämpning av grova seriebrott som våldtäkter och mordförsök, där det många gånger finns behov av äldre trafikdata för att kunna knyta en person till tidigare anmälda brott. (Ds 2014:23 s. 86)

Myndigheterna har uppgett att den lagringstid om sex månader som anges i LEK i många fall är för kort. Som exempel har Polis- myndigheten anfört att ett mord av normal komplexitet tar ungefär sex månader att utreda. De mer komplicerade ärendena tar ännu längre tid. Polismyndigheten har även uppgett att behovet av långa lagringstider för användare av ip-adresser är särskilt påtagligt i barn- pornografiärenden. Även med en lagringstid på sex månader måste man lägga ner hälften av alla barnpornografiärenden som upparbetas utomlands. Skälet till det är att dessa ärenden tar lång tid att bearbeta på grund av de många stegen i utredningen. Normalt följer ett sådant ärende dessa steg: Gärningsmannens nedladdning av barnpornografi följs av ett polisiärt tillslag. Materialet som beslagtas bearbetas i ursprungslandet. Därefter översänds materialet till rätt mottagar-

132

SOU 2017:75

Nyttan och behovet av uppgifter om elektronisk kommunikation…

länder, t.ex. Sverige, för identifikation av gärningsmannen samt fort- satt utredning och lagföring.

Myndigheterna kan sammanfattningsvis sägas ha uppgett att de har behov av längst lagringstider för uppgifter hänförliga till mobil telefoni och ip-telefoni samt för abonnemangsuppgifter hänförliga till internetåtkomst. De har inte redovisat några avgörande skillnader mellan underrättelseverksamhet och förundersökningsverksamhet.

133

8EU-rättens påverkan på reglerna om datalagring

8.1Datalagringsdirektivet

8.1.1Direktivets syfte och tillämpningsområde

Det numera upphävda direktivet 2006/24 antogs den 15 mars 2006 och syftade enligt artikel 1.1 till att harmonisera medlemsstaternas bestämmelser om skyldighet att lagra vissa uppgifter om elektronisk kommunikation för att på så sätt säkerställa att uppgifterna är till- gängliga för avslöjande, utredning och åtal av allvarliga brott. I direk- tivet definierades uppgifter som trafik- och lokaliseringsuppgifter samt de uppgifter som behövs för att identifiera en abonnent eller användare (artikel 2.2 a). Datalagringsdirektivet reglerade således – till skillnad från de relevanta artiklarna i direktiv 2002/58 – även abonnemangsuppgifter, se avsnitt 4.2.

Direktivet gällde, enligt artikel 1.2, trafik- och lokaliseringsuppgif- ter om såväl fysiska som juridiska personer samt uppgifter som var nödvändiga för att kunna identifiera abonnenten eller den registre- rade användaren, alltså, som strax ovan har nämnts, även abonne- mangsuppgifter.

8.1.2Lagringsskyldighetens omfattning

Artikel 3 i direktivet ålade medlemsstaterna att anta åtgärder för att säkerställa lagring av sådana uppgifter som specificerades i artikel 5. Lagringsskyldigheten omfattade uppgifter som genererades eller behandlades av leverantörer av allmänt tillgängliga elektroniska kom- munikationstjänster eller allmänna kommunikationsnät vid leverans av kommunikationstjänster.

135

EU-rättens påverkan på reglerna om datalagring

SOU 2017:75

Medlemsstaterna ålades enligt artikel 6 att säkerställa att upp- gifterna lagras under en period av minst sex månader och högst två år från det datum kommunikationen ägde rum.

De uppgifter som omfattades av lagringsskyldigheten angavs i artikel 5. Bestämmelsen var uppdelad utifrån olika ändamål för vilka uppgifterna skulle lagras. Det rörde sig om uppgifter som var nöd- vändiga för att spåra och identifiera en kommunikationskälla och för att identifiera slutmålet för kommunikationen. Lagringsskyldigheten omfattade dessutom uppgifter om datum, tidpunkt och varaktighet för kommunikationen, typen av kommunikation samt vilken utrust- ning som använts. Slutligen omfattade lagringsskyldigheten uppgifter som var nödvändiga för att identifiera lokalisering av mobil kom- munikationsutrustning vad avser kommunikationens början. I anslut- ning till respektive ändamål angavs i detalj de kategorier av uppgifter som skulle lagras för respektive kommunikationssätt.

Inga uppgifter som avslöjar kommunikationens innehåll fick lagras enligt direktivet.

8.1.3Tillgången till lagrade uppgifter

Enligt artikel 4 i direktivet skulle medlemsstaterna vidta åtgärder för att säkerställa att lagrade uppgifter görs tillgängliga endast för behöriga nationella myndigheter i vissa närmare angivna fall. De närmare förutsättningarna för uppgifterna skulle få lämnas ut skulle fastställas i respektive medlemsstat. I skäl 25 i ingressen klargjordes att direktivet inte påverkade hur medlemsstaterna reglerar frågan om de nationella myndigheternas tillgång till och användning av trafik- uppgifter. I skäl 17 i ingressen framhölls dock att medlemsstaterna måste anta lagstiftning som skulle säkerställa att de lagrade uppgifter var tillgängliga bara för behöriga nationella myndigheter i enlighet med nationell lagstiftning och som respekterar grundläggande rättig- heter för berörda personer fullt ut.

Medlemsstaterna skulle säkerställa att de lagrade uppgifterna på begäran kunde överföras till behöriga myndigheter utan dröjsmål (artikel 8).

Frågan om uppgiftsskydd och datasäkerhet reglerades i artikel 7 i direktivet, där det angavs att varje medlemsstat skulle säkerställa att leverantörerna som lagrade uppgifter enligt direktivet skulle respek-

136

SOU 2017:75

EU-rättens påverkan på reglerna om datalagring

tera vissa principer om datasäkerhet. Dessa var närmare angivna så att de lagrade uppgifterna dels skulle vara av samma kvalitet och föremål för samma säkerhet och skydd som uppgifterna i nätverket, dels skulle omfattas av lämpliga tekniska och organisatoriska åtgär- der som skulle säkerställa att de skyddades mot förstöring, förlust, ändring eller olaglig lagring, behandling av, tillgång till eller avslöjande av uppgifterna samt som skulle säkerställa att tillgång gavs endast till bemyndigad personal. Vidare angavs att uppgifterna skulle förstöras vid slutet av lagringstiden, utom de uppgifter för vilka tillgång hade medgetts och som hade bevarats. I artikel 9 angavs vidare att varje medlemsstat skulle utse en eller flera oberoende myndigheter för att övervaka leverantörernas tillämpning av artikel 7.

I skäl 16 i ingressen erinrades om tjänsteleverantörernas skyldig- heter att vid behandlingen garantera uppgifternas kvalitet, sekretess och säkerhet i enlighet med dataskyddsdirektivet. Enligt artikel 13 i datalagringsdirektivet skulle medlemsstaterna också se till att de nationella åtgärder som skulle genomföra bestämmelserna om rätts- lig prövning, ansvar och sanktioner i dataskyddsdirektivet skulle bli tillämpliga även på de uppgifter som avsågs i datalagringsdirektivet. Den rätt till ersättning som enligt dataskyddsdirektivet tillkommer varje person som lidit skada till följd av otillåten behandling eller någon annan handling som är oförenlig med de nationella bestäm- melser som genomför direktivet skulle enligt skäl 19 i datalagrings- direktivet gälla även för personuppgifter enligt det sist nämnda direktivet.

Medlemsstaterna ålades vidare att införa sanktioner för att beivra otillåten avsiktlig tillgång till eller överföring av lagrade trafikupp- gifter (artikel 13). Europarådskonventionen om it-brottslighet från 2001 (ETS 185) liksom dataskyddskonventionen skulle också om- fatta uppgifter som lagras i enlighet med direktivet om lagring av trafikuppgifter (skäl 20).

8.1.4Den svenska genomförandeprocessen

Datalagringsdirektivet genomfördes i svensk rätt genom författ- ningsändringar som trädde i kraft den 1 maj 2012. Bestämmelserna om lagring finns i 6 kap. 16 a–f §§ LEK (prop. 2010/11:46, bet.

137

EU-rättens påverkan på reglerna om datalagring

SOU 2017:75

2011/12:JuU28, rskr. 2011/12:165–166). Kompletterande bestäm- melser finns i 37–46 §§ FEK.

Till grund för genomförandet fanns förslag från Trafikuppgifts- utredningen, som hade överlämnat sitt betänkande Lagring av trafik- uppgifter för brottsbekämpning (SOU 2007:76) i november 2007.

När riksdagen under våren 2011 behandlade regeringens propo- sition återförvisades förslaget med stöd av 2 kap. 22 § RF till justi- tieutskottet för att där vila i minst ett år. När förslaget togs upp för förnyad behandling i kammaren den 21 mars 2012 bifölls det med kvalificerad majoritet. Riksdagen beslutade på eget initiativ att de föreskrifter om skyddsåtgärder som regeringen bemyndigades att meddela snarast skulle underställas riksdagen för prövning (8 kap. 6 § RF). Detta gjordes genom att en proposition underställdes riks- dagen där det föreslogs att riksdagen skulle godkänna regeringens föreskrifter om särskilda tekniska och organisatoriska åtgärder för att skydda de lagrade trafikuppgifterna, vilka hade förts in i förord- ningen om elektronisk kommunikation (prop. 2011/12:146, bet. 2011/12:JuU26, rskr. 2011/12:288–289). Riksdagen biföll förslaget.

8.2EU-domstolens första dom

– Digital Rights-domen

EU-domstolen meddelade den 8 april 2014 dom i de förenade målen C-293/12 och C-594/12, Digital Rights Ireland m.fl. (Digital Rights- domen) angående giltigheten av datalagringsdirektivet med an- ledning av begäran av förhandsavgöranden från domstolar i Irland och Österrike. EU-domstolen förklarade i domen datalagrings- direktivet ogiltigt.

EU-domstolen konstaterade att de uppgifter som skulle lagras enligt direktivet sammantaget gjorde det möjligt att dra mycket precisa slutsatser om enskildas privatliv, bl.a. om deras vanor i var- dagslivet, om dagliga förflyttningar och sociala relationer (punkt 27 i domen). Domstolen slog fast att redan lagringsskyldigheten i fråga om de aktuella uppgifterna avseende personers privatliv och kom- munikationer utgjorde ett ingrepp i de rättigheter som skyddas enligt artikel 7 i rättighetsstadgan (dvs. rätten till respekt för privat- livet och familjelivet; se punkt 34 i domen). Ett ytterligare ingrepp i denna rättighet gjordes enligt domstolen när nationella myndigheter

138

SOU 2017:75

EU-rättens påverkan på reglerna om datalagring

medgavs tillgång till de lagrade uppgifterna (punkt 35). Det kunde alltså enligt domstolen konstateras att det rörde sig om två olika former av ingrepp i rätten till respekt för privatlivet. Eftersom direk- tivet föreskrev en behandling av personuppgifter innefattade regler- ingen också ett ingrepp i den i artikel 8 i rättighetsstadgan skyddade rättigheten (dvs. rätten till skydd av personuppgifter; se punkt 36 i domen).

Domstolen slog i avgörandet fast att direktivet innebar ett långt- gående och synnerligen allvarligt ingrepp i rätten till privatliv och skyddet av personuppgifter. Domstolen noterade i samband med det bl.a. att lagringen och den senare användningen kunde ge berörda personer en känsla av att deras privatliv stod under ständig övervak- ning (punkt 37). Domstolen konstaterade trots det att skyldigheten att lagra uppgifter och de nationella myndigheternas tillgång till dessa uppgifter inte kränkte det väsentliga innehållet i de skyddade rättigheterna och att datalagringsdirektivets materiella syfte – till- gängliggörandet av uppgifter för bekämpning av allvarlig brottslighet

– motsvarade ett mål av allmänt samhällsintresse som erkänns av unionen (punkterna 39–42). Var och en har enligt stadgan rätt inte bara till frihet utan även till personlig säkerhet. Kravet att en in- skränkning av en rättighet faktiskt måste svara mot ett allmänt sam- hällsintresse var därmed enligt EU-domstolen uppfyllt (punkt 44).

EU-domstolen gjorde därefter en prövning av om direktivet levde upp till den unionsrättsliga proportionalitetsprincipen. Domstolen konstaterade inledningsvis att lagringen var ägnad att nå det efter- strävade målet eftersom de nationella myndigheternas tillgång till lagrade trafikuppgifter innebar att myndigheterna ges ytterligare ett värdfullt verktyg för att klara upp brott (punkt 49). För att lagringen skulle kunna anses vara en proportionerlig åtgärd för bekämpningen av brott noterade domstolen att en sådan inskränkning av de grund- läggande friheterna enligt fast praxis måste begränsas till vad som är strängt nödvändigt (punkt 52). Det innebär enligt domstolen att unionslagstiftningen måste föreskriva tydliga och precisa bestäm- melser som reglerar räckvidden och tillämpningen av den aktuella åtgärden och som uppfyller vissa minimikrav för att möjliggöra ett effektivt skydd mot riskerna för missbruk och otillåten tillgång och användning av enskildas personuppgifter (punkt 54).

De förhållanden som domstolen särskilt uppmärksammade vid sin proportionalitetsbedömning var för det första att det i direktivet

139

EU-rättens påverkan på reglerna om datalagring

SOU 2017:75

inte fanns några generella begränsningar i lagringsskyldigheten då det i fråga om de uppgifter som skulle lagras inte gjordes någon åtskill- nad eller några undantag som tog sin utgångspunkt i syftet att bekämpa brott (punkterna 57–59). Lagringskravet enligt direktivet omfattade nästintill all kommunikation – alla personer, alla kom- munikationsmedel och alla trafikuppgifter – mellan enskilda i hela Europa. Domstolen konstaterade för det andra att det i direktivet inte angavs några objektiva kriterier för att avgränsa de nationella myndigheternas tillgång till och användning av de lagrade upp- gifterna för bekämpning av brott som kunde anses vara av tillräckligt allvarligt slag för att motivera det aktuella ingreppet. Det lämnades i stället till medlemsstaterna att själva bestämma vad som utgjorde allvarlig brottslighet i detta sammanhang (punkt 60). Inte heller reglerades i direktivet vilka formella och materiella villkor som skulle gälla och vilka krav som skulle ställas på förfarandet för tillgång till uppgifterna. Domstolen noterade också att tillgången till uppgifter inte var underkastad någon förhandskontroll av en domstol eller oberoende myndighet som har till uppgift att se till att tillgången begränsas till vad som är strängt nödvändigt (punkterna 61 och 62). Domstolen pekade vidare på att direktivet inte innehöll några bestämmelser som innebar att en åtskillnad skulle göras i fråga om lagringstiden för olika slags trafikuppgifter utifrån den nytta dessa har för att tillgodose syftet med lagringen och att det inte heller föreskrevs att lagringstiden måste bestämmas utifrån objektiva kriterier för att säkerställa att den inte går utöver vad som är strängt nödvändigt (punkterna 63 och 64). Slutligen uppmärksammade domstolen att det i direktivet saknades specifika regler om skydd av och säkerhet för lagrade personuppgifter som anpassade kraven till såväl mängden och arten av uppgifter som riskerna för otillåten till- gång till dessa. Domstolen menade i detta sammanhang att det inte fanns några garantier för att leverantörerna inte skulle ta ekonomiska hänsyn när de skulle bestämma säkerhetsnivån eller för att upp- gifterna skulle förstöras när lagringstiden hade gått ut. Domstolen ansåg också att kravet på en oberoende tillsyn inte kan garanteras om uppgifterna lagras utanför EU (punkterna 66–68).

Domstolen fann vid en samlad bedömning av nämnda förhållan- den att EU:s lagstiftande församlingar hade överskridit sina befogen- heter då direktivet antogs eftersom regleringen inte ansågs leva upp

140

SOU 2017:75

EU-rättens påverkan på reglerna om datalagring

till proportionalitetsprincipen mot bakgrund av artiklarna 7, 8 och 52.1 i rättighetsstadgan (punkt 69).

EU-domstolens dom i det aktuella målet har tillbakaverkande (retroaktiv) effekt. Det innebär att domen får till följd att rättsläget numera är detsamma som om datalagringsdirektivet aldrig hade funnits. Innebörden av att domen får tillbakaverkande effekt är dock inte att nationella genomförandeåtgärder också omedelbart blir ogiltiga (SOU 2015:31 s. 116).

8.3Analysen efter Digital Rights-domen (Ds 2014:23)

Den 29 april 2014 gav chefen för Justitiedepartementet en utredare i uppdrag att biträda departementet med att, i ljuset av EU-dom- stolens dom, grundligt analysera reglerna om lagring av uppgifter enligt 6 kap. 16 a–f §§ LEK samt övriga bestämmelser om tillgång till och behandling av sådana uppgifter och deras förhållande till unions- rätten. Analysen redovisades i juni 2014 i promemorian Datalagring, EU-rätten och svensk rätt (Ds 2014:23).

Analysen är upplagd på samma sätt som EU-domstolens dom vilket innebär att svensk rätt analyserades i förhållande till de om- ständigheter som domstolen särskilt pekade på i domen. I analysen betonades att domstolens slutsats – att direktivet står i strid med rättigheter som garanteras av stadgan – byggde på en samlad bedöm- ning av alla de behandlade frågorna. Domen ansågs alltså inte kunna tolkas så att domstolen presenterade en lista som i alla delar måste vara uppfylld för att regleringen inte skulle anses oproportionerlig, utan det var först vid den sammantagna bedömningen som svensk rätts förenlighet med EU-rätten fullt ut kunde avgöras. På samma sätt som EU-domstolens dom, avslutades analysen därför med en samlad bedömning av om den svenska regleringen var proportioner- lig och förenlig med Europarätten och EU-rätten. Det konstaterades därvid att det kunde finnas skäl att överväga några närmare angivna frågor och vidta några åtgärder som skulle verka för att ytterligare stärka rättssäkerheten och integritetsskyddet i den svenska regle- ringen. Den samlade bedömningen var emellertid att det svenska regelverket avseende lagring av uppgifter samt övriga bestämmelser

141

EU-rättens påverkan på reglerna om datalagring

SOU 2017:75

om tillgång till och behandling av sådana uppgifter, även utan sådana åtgärder, var förenlig med unionsrätten och europarätten.

Slutsatserna i denna första analys redovisas närmare i det följande.

8.3.1Lagringsskyldighetens omfattning

Generellt om lagringsskyldigheten

EU-domstolen konstaterade i sin dom (punkterna 56–59) att om- fattningen av den lagringsskyldighet som följde av artiklarna 3 och 5 i direktivet innebar att trafikuppgifter skulle lagras för alla personer och alla elektroniska kommunikationssätt, utan att någon urskillning skulle göras av de uppgifter som kunde tänkas vara relevanta för att uppnå målet att bekämpa allvarlig brottslighet. Man kunde därmed säga att den inskränkning i de grundläggande rättigheter som följde av artiklarna 7 och 8 omfattade hela Europas befolkning. Domstolen angav att lagringsskyldigheten som följde av direktivet således om- fattade även personer som inte misstänktes ha någon koppling till allvarlig brottslighet och utan någon möjlighet till undantag ens för de yrkeskategorier vars kommunikation enligt nationella regler om- fattas av tystnadsplikt. Inte heller ställdes det i direktivet upp några tidsmässiga eller geografiska begränsningar eller begränsningar till en viss grupp av människor som gjorde att lagringsskyldigheten bara omfattade sådana uppgifter som av något skäl kunde antas ha relevans för att förhindra, utreda eller åtala allvarliga brott.

Direktiv 2002/58 innehåller regler om i vilka situationer och för vilka syften trafikuppgifter får behandlas. Tidigare följde av arti- kel 11 i det numera upphävda datalagringsdirektivet att artikel 15.1 i direktiv 2002/58 inte skulle tillämpas på de uppgifter som specifikt måste lagras enligt datalagringsdirektivets bestämmelser.

I analysen framhölls att när datalagringsdirektivet förklarats ogiltigt måste det prövas om lagringen av alla de aktuella trafikupp- gifterna kunde anses vara en lämplig och proportionerlig åtgärd för att skydda allmän säkerhet eller för att förebygga, undersöka, avslöja och lagföra brott. I analysen konstaterades att uppgifter om elek- tronisk kommunikation är av stort värde för att kunna upptäcka och utreda brott, inte minst vad gäller grov och organiserad brottslighet.

I denna del hade utredaren inhämtat information från polisen om behovet av de uppgifter som omfattas av lagringskravet enligt de

142

SOU 2017:75

EU-rättens påverkan på reglerna om datalagring

svenska reglerna (se för detta och det följande Ds 2014:23 s. 52). Det framkom då att ingen lagrad information som i dag kan hämtas in kunde anses som oviktig. Som extremt viktiga angavs uppgifter om lokaliseringen av var en telefon eller internetsession kopplat upp och riktningen till basstationen. Dessa uppgifter används för att posi- tionera offer och misstänkta, kontrollera alibin och för att hitta vittnen eller misstänkta i ett område. Några få uppgifter bedömdes som mindre viktiga. Dessa var, såvitt avser telefoni, uppgifter om s.k. IMSI-nummer (del av 40 § 1 FEK), uppgifter om den första akti- veringen av en förbetald anonym tjänst (del av 40 § 3 FEK) och upp- gifter som identifierar den utrustning där kommunikationen slutligt avskiljs från den lagringsskyldige till den enskilda abonnenten (41 § 3 FEK). När det gällde internetåtkomst och tillhandahållande av internetåtkomst ansågs uppgifter om typ av kapacitet för överföring och uppgifter som identifierar den utrustning där kommunikationen slutligt avskiljs från den lagringsskyldige till den enskilde abonnen- ten (43 § 4 och 5 FEK) inte som viktiga utan som bra att ha i vissa fall. Samtliga övriga uppgifter bedömdes som viktiga.

Sammanfattningsvis ansågs denna redovisning stärka slutsatsen att de lagrade uppgifterna var ägnade att fylla en viktig funktion i de brottsbekämpande myndigheternas verksamhet med att skydda allmän säkerhet och förebygga, undersöka, avslöja och lagföra brott. Lagringen av uppgifterna för brottsbekämpande ändamål bedömdes därför som en lämplig åtgärd för att nå det eftersträvade målet.

I proportionalitetsprövningen beaktades de aspekter som EU- domstolen särskilt lyfte fram i sin dom. Domstolens resonemang i denna del gick sammanfattningsvis ut på att det kunde ifrågasättas om en lagring av trafikuppgifter som omfattar samtliga personer och samtliga elektroniska kommunikationsslag är en proportionerlig åtgärd, trots att de uppgifter som lagras i de allra flesta fallen inte har någon som helst koppling till brottslig verksamhet av allvarligt slag eller kan förväntas komma att användas vid utredande och lagföring av brott.

I analysen konstaterades att det var svårt att se någon annan rimlig väg för att på förhand begränsa lagringens omfattning till att omfatta endast uppgifter med koppling till brottslig verksamhet än att låta lagringsskyldigheten uppkomma först sedan någon form av misstanke riktats mot en viss person. En sådan begränsning be- dömdes dock inte kunna göras utan att en mängd uppgifter som är

143

EU-rättens påverkan på reglerna om datalagring

SOU 2017:75

av stor vikt för brottsbekämpningen försvinner. Inga historiska trafikuppgifter från tiden före ett brott och inga av de uppgifter som i dag inhämtas i polisens underrättelseverksamhet för att förebygga, förhindra eller upptäcka allvarlig brottslighet skulle då med säkerhet finnas att tillgå. Datalagring som metod bedömdes kort sagt förut- sätta att alla uppgifter lagras, bl.a. eftersom det inte är möjligt att i förväg veta eller misstänka vilka uppgifter som kan vara viktiga (Ds 2014:23 s. 53).

EU-domstolen ansågs i denna del sätta fingret på själva grund- tanken med lagringen av trafikuppgifter enligt datalagringsdirektivet, nämligen att säkerställa att uppgifterna finns tillgängliga för det fall de skulle behövas för att bekämpa allvarliga brott. Domen bedömdes dock inte kunna tolkas så att denna grundtanke, sedd för sig, hade underkänts av domstolen, utan det var den omfattande lagringen kombinerad med i första hand bristen på regler som begränsar till- gången till uppgifterna som gjorde lagringen oproportionerlig. Det konstaterades att de svenska tillgångsreglerna därför var av av- görande betydelse även för bedömningen av frågan om lagringens omfattning kunde anses proportionerlig. Även skyddet för den merpart av alla uppgifter som lagras men aldrig begärs utlämnade konstaterades också vara tillräckligt högt (Ds 2014:23 s. 54–55).

Särskilt om uppgifter som omfattas av yrkesmässig tystnadsplikt

Domstolen lyfte i Digital Rights-domen fram att det inte fanns någon begränsning i direktivet som möjliggjorde att kommunikation med personer som enligt nationell lag omfattas av yrkesmässig tystnadsplikt undantogs från lagringskravet. I analysen konstaterades att svenska regler om undantag från vittnesplikt för exempelvis advokater och läkare omfattar uppgifter som anförtrotts dem i deras yrkesutövning. Vidare noterades att regeringen då nyligen föreslagit att reglerna om avlyssningsförbud vid hemlig avlyssning av elek- tronisk kommunikation i 27 kap. 22 § RB skulle utökas från att avse endast kommunikation med försvarare till att omfatta alla de yrkeskategorier som undantas från vittnesplikt enligt 36 kap. 5 § andra–sjätte styckena RB (prop. 2013/14:237 s. 131–133). Det konstaterades samtidigt att det aldrig hade varit aktuellt med något motsvarande förbud för uppgifter som inhämtas genom hemlig

144

SOU 2017:75

EU-rättens påverkan på reglerna om datalagring

övervakning av elektronisk kommunikation. Med det synsätt som således kommer till uttryck i svensk lagstiftning – att det är upp- giftens innehåll som avgör om den omfattas av yrkesmässig tyst- nadsplikt – bedömdes det långsökt med en modell där exempelvis vissa telefonnummer på förhand skulle undantas från ett lagringskrav som i övrigt gäller generellt. Det ansågs i stället lämpligast att säker- ställa en proportionell avvägning mellan brottsbekämpnings- och integritetsintresset genom en balanserad reglering om brottsbekäm- pande myndigheters tillgång till lagrade uppgifter. Det framhölls också att EU-rätten tillåter att medlemsstaterna löser frågor på olika sätt och enligt egna traditioner.

Sammanfattningsvis bedömdes att det ur ett EU-rättsligt per- spektiv inte fanns något som tydde på en konflikt mellan reglerna om yrkesmässig tystnadsplikt och ett generellt lagringskrav avseende trafikuppgifter (Ds 2014:23 s. 55–56).

8.3.2Tillgången till uppgifterna

Direktivet och EU-domstolens första dom

I artikel 4 i datalagringsdirektivet föreskrevs att medlemsstaterna skulle vidta åtgärder för att säkerställa att uppgifter som lagrades i enlighet med direktivet skulle göras tillgängliga endast för behöriga nationella myndigheter i närmare angivna fall och i enlighet med nationell lagstiftning. De förfaranden som skulle följas och de villkor som skulle uppfyllas för att få tillgång skulle fastställas av varje med- lemsstat för sig i enlighet med nödvändighets- och proportiona- litetskraven samt i enlighet med EU-rätten och folkrätten, särskilt med beaktande av Europakonventionen. Av artikel 1.1 framgick att syftet med lagringen var att säkerställa att uppgifterna skulle finnas tillgängliga för utredning, avslöjande och åtal av allvarliga brott såsom de definieras av varje medlemsstat i deras nationella i lag- stiftning. Tillgången var därigenom begränsad till brottsbekämpande myndigheter och brottsbekämpande syften (prop. 2010/11:46 s. 47– 49). Enligt ett uttalande från rådet skulle medlemsstaterna, vid bedömningen av om de nationella brott som möjliggör ett utläm- nande är tillräckligt allvarliga, ta vederbörlig hänsyn till brotten i den lista som finns i artikel 2 i rådets rambeslut den 13 juni 2002 om en europeisk arresteringsorder och överlämnande mellan medlems-

145

EU-rättens påverkan på reglerna om datalagring

SOU 2017:75

staterna (2002/548/RIF) och till brott där telekommunikation ingår (prop. 2010/11:46 s. 21). Listbrotten i rambeslutet är till över- vägande del mycket allvarliga brott såsom terrorism, mord och våld- täkt, men även ett antal brott som i och för sig är av något mindre allvarlig karaktär men kan sägas vara typiska för organiserad brotts- lighet, såsom exempelvis förfalskning och hjälp till olovlig inresa, finns på listan.

I Digital Rights-domen kritiserade EU-domstolen på ett antal punkter att datalagringsdirektivet inte närmare reglerade hur tillgång skulle ges till de lagrade uppgifterna, utan i stor utsträckning läm- nade fritt för medlemsstaterna att själva reglera den frågan (punk- terna 60–62). Domstolen pekade på att det inte fanns något objektivt kriterium som begränsade tillgången till uppgifter i förhållande till brottets svårhetsgrad. Inte heller reglerade direktivet närmare hur de nationella myndigheterna kunde få tillgång till uppgifterna. Vidare innehöll direktivet inga bestämmelser som begränsade antalet perso- ner som kunde få tillgång till uppgifterna till vad som kunde anses absolut nödvändigt. Domstolen lyfte också fram att de nationella myndigheternas tillgång till lagrade trafikuppgifter inte var beroende av en föregående kontroll av en domstol eller av ett annat organ.

Analysen som gjordes i promemorian såvitt avser tillgången till lagrade uppgifter redogörs för i det följande.

Tillgången till uppgifter enligt RB

Hemlig övervakning av elektronisk kommunikation kan användas av de brottsbekämpande myndigheterna för att få tillgång till trafik- uppgifter och lokaliseringsuppgifter under förundersökning och, i vissa fall, för att förhindra vissa särskilt allvarliga brott.

I analysen konstaterades inledningsvis att det stora flertalet brott som omfattas av tillämpningsområdet för hemlig övervakning av elektronisk kommunikation har ett minimistraff på fängelse i minst sex månader. Det ansågs inte råda någon tvekan om att dessa brott är att betrakta som allvarliga och att samhällsintresset av att förebygga och utreda brotten är starkt (s. 75 i promemorian).

Det noterades vidare att hemlig övervakning av elektronisk kom- munikation därutöver får användas i förundersökning om narko- tikabrott och narkotikasmuggling (som inte är ringa) och för att

146

SOU 2017:75

EU-rättens påverkan på reglerna om datalagring

utreda dataintrång och barnpornografibrott, trots att dessa brott har lägre minimistraff än fängelse i sex månader. Det framhölls att det vid hantering av betydande mängder narkotika i överlåtelsesyfte inte sällan döms till straff i den övre delen av straffskalan. Samhälls- intresset av att förebygga och utreda narkotikabrott ansågs vara betydande, inte minst för att denna brottstyp är vanligt förekom- mande inom ramen för organiserad brottslighet. Brotten bedömdes i dessa fall som allvarliga i objektiv mening (s. 75).

När det gäller barnpornografibrott och dataintrång framhölls i analysen att straffskalorna för dessa brottstyper gav stöd för slut- satsen att brotten inte är att betrakta som lika allvarliga som de övriga brottstyper som berättigar till användning av hemlig övervak- ning av elektronisk kommunikation. Det konstaterades samtidigt att tillgången till trafikuppgifter många gånger kan vara helt avgörande för att det över huvud taget ska vara möjligt att utreda och lagföra dessa brott, något som naturligtvis påverkar proportionalitets- bedömningen. Mot bakgrund av samhällets starka intresse av att skydda barn mot sexuell exploatering ansågs en ordning som skulle innebära att barnpornografibrott inte skulle kunna utredas knappast godtagbar. Vid motsvarande avvägning när det gäller dataintrång beaktades att brottet i vissa fall kan leda till omfattande integritets- intrång för enskilda och även andra omfattande skadeverkningar, bl.a. vid olika former av affärsspionage eller intrång i samhällsviktiga elektroniska uppgiftssamlingar. Samhällsintresset av att utreda brotten bedömdes därför vara betydande (s. 75–76).

I analysen noterades vidare att hemlig övervakning av elektronisk kommunikation får användas även för att utreda – samt i vissa fall också för att förhindra – vissa samhällsfarliga brott som inte har ett straffminimum på fängelse i minst sex månader, exempelvis sabotage och spioneri. Dessa brott betraktas som särskilt allvarliga eftersom de riktar sig mot samhällsstrukturen och mot rikets säkerhet. Det ansågs därför finnas ett starkt samhällsintresse av att brotten effek- tivt kan utredas och förhindras (s. 76).

I analysen beaktades också att den svenska regleringen inte bara innehåller specifika begränsningar i fråga om vilka brott som kan motivera en övervakningsåtgärd, utan även att de principer som gäller för all användning av straffprocessuella tvångsmedel innebär ytterligare begränsningar i möjligheterna till övervakning (s. 77).

147

EU-rättens påverkan på reglerna om datalagring

SOU 2017:75

I analysen framhölls också att den svenska regleringen av de brottsbekämpande myndigheternas tillgång till trafik- och lokali- seringsuppgifter under pågående förundersökning bygger på att en allmän domstol i det enskilda fallet prövar om förutsättningarna för att lämna ut uppgifterna är uppfyllda innan uppgifterna lämnas ut och att undantag från denna regel gäller bara i vissa brådskande fall. Vidare påpekades att tillsyn bedrivs även i efterhand av SIN genom inspektioner och genom kontroller på begäran av enskild. Systemet med domstolsprövning och tillsyn ansågs säkerställa att det finns en mycket effektiv kontroll som uppfyller europarättens och unions- rättens krav (s. 78).

Sammantaget bedömdes i analysen att den lagring av uppgifter som sker för utlämnande av trafik- och lokaliseringsuppgifter i enlighet med bestämmelserna i 27 kap. RB uppfyller de krav som följer av den unionsrättsliga proportionalitetsprincipen.

Tillgången till uppgifter enligt IHL

De brottsbekämpande myndigheternas tillgång enligt IHL är i princip begränsad till att avse uppgifter som är av särskild vikt för att förebygga, förhindra eller upptäcka brottslig verksamhet som innefattar brott för vilket det inte är föreskrivet lindrigare straff än fängelse i två år. Uppgifter får i vissa situationer inhämtas även av- seende brott som inte har ett straffminimum på två års fängelse. Det handlar om vissa särskilt angivna samhällsfarliga brott så som sabotage, spioneri och andra brott som bekämpas av Säkerhets- polisen.

I analysen i departementspromemorian framhölls inledningsvis att brott vars minimistraff är fängelse i minst två år tveklöst tillhör kategorin allvarliga brott (s. 81). Vidare bedömdes även de sam- hällsfarliga brott som omfattas av lagens tillämpningsområde trots att de har lägre minimistraff som allvarliga eftersom de riktar sig mot samhällsstrukturen och mot rikets säkerhet. Det framhölls också att lagen innehåller regler som definierar förutsättningarna för en begäran och vilka uppgifter inhämtningsbeslutet ska innehålla. Lagen innehåller också en proportionalitetsregel (s. 81–82).

Ett frågetecken som lyftes i analysen är det förhållandet att upp- gifter hämtas in av myndigheterna själva utan föregående prövning

148

SOU 2017:75

EU-rättens påverkan på reglerna om datalagring

av en oberoende instans (s. 83). Samtidigt framhölls att frågor om rättssäkerhet och integritetsskydd hade varit föremål för ingående överväganden när IHL infördes, och det system som då beslutades hade ansetts uppfylla såväl dessa krav som kraven på ett praktiskt fungerande system. Vidare konstaterades att den statistik som dittills hade presenterats av SIN och de brottsbekämpande myndigheterna visade att inhämtning utfördes i ett relativt begränsat antal ärenden och vid arbete med mycket grova brott. En möjlig slutsats av detta ansågs vara att, även om ingen oberoende instans i förväg prövar inhämtningsbesluten, så har systemet med en efterföljande tillsyn av SIN en disciplinerande effekt på myndigheternas verksamhet. Dessa aspekter ansågs tyda på att den svenska regleringen vid en helhets- bedömning uppfyller kravet på att tillgången till lagrade uppgifter är begränsad till vad som kan anses strikt nödvändigt. I den bedöm- ningen lades också stor vikt vid att uppgifter enligt IHL kan hämtas in bara för mycket allvarlig brottslighet för vilken samhällsintresset är betydande (s. 81–82).

8.3.3Lagringstiden

EU-domstolen konstaterade i Digital Rights-domen att lagrings- kravet i direktivet hade ställts upp utan någon differentiering mellan olika kategorier av data, baserat på hur användbara uppgifterna kan tänkas vara. Inte heller angavs i direktivet, med hänsyn till att med- lemsstaterna hade tillåtits ett tidsspann på sex månader upp till två år, några objektiva kriterier som tillgodoser att lagringstiden begränsas till vad som kan anses strängt nödvändigt (punkterna 63 och 64). Nämnas kan också att generaladvokaten i sitt yttrande i målet hade kommit till slutsatsen att en lagringstid som överstiger ett år inte kan anses proportionerlig. Som ovan redovisats valdes i Sverige den kortaste lagringstid direktivet tillåter för samtliga uppgiftskategorier, dvs. uppgifterna ska lagras i sex månader räknat från den dag då kom- munikationen avslutades (6 kap. 16 d § LEK).

I analysen noterades inledningsvis att, när datalagringsdirektivet förklarats ogiltigt, det inte längre fanns några EU-rättsliga krav som hindrar att en kortare lagringstid än sex månader väljs (s. 85). Det konstaterades dock att för att de lagrade uppgifterna skulle tjäna sitt syfte, nämligen att kunna användas för att upptäcka, utreda och lag-

149

EU-rättens påverkan på reglerna om datalagring

SOU 2017:75

föra allvarliga brott, så måste de finnas tillgängliga under en så pass lång tid att de brottsbekämpande myndigheterna har en reell möjlig- het att hinna begära ut dem innan de raderas. Av uppgifter som inhämtats från polisen framgick att teledata m.m. som inhämtas i underrättelseverksamhet i de flesta fall är yngre än en månad men att det även finns ärenden där historik upp till sex månader varit av stor vikt i analysarbetet. Det framgick också att den största andel upp- gifter som begärs in i utredningsverksamheten är yngre än tre månader. Uppskattningsvis 20–25 procent angavs dock vara äldre än tre månader och cirka 10 procent av den totala mängden äldre än fem månader. Behovet av äldre uppgifter angavs särskilt gälla tidskrävande förundersökningar avseende grova våldsbrott av spaningskaraktär samt bekämpning av grova seriebrott som våldtäkter och mord- försök där det många gånger finns behov av äldre trafikdata för att kunna knyta en person till tidigare anmälda brott (s. 86).

Mot bakgrund av detta riskerade, enligt bedömningen i prome- morian, en kortare lagringstid än sex månader att leda till att syftet med lagringen inte kunde uppfyllas, särskilt vad gäller de grövsta brotten där det finns ett uttalat behov av äldre uppgifter. Det fram- hölls att det ur ett proportionalitetsperspektiv inte är acceptabelt med ett lagringskrav som tillgodoser behovet av uppgifter för att utreda mindre allvarlig brottslighet, samtidigt som uppgifter inte finns till- gängliga för att utreda grövre brott. Om en lagring för brottsbekäm- pande ändamål över huvud taget ska ske, ansågs det att tiden för lagringen måste vara sådan att det blir möjligt för de brottsbekäm- pande myndigheterna att använda de lagrade uppgifterna (s. 86).

Sammanfattningsvis bedömdes därför en lagringstid om sex månader uppfylla EU-domstolens krav på att tiden ska begränsas till vad som kan anses strikt nödvändigt (s. 86–87).

8.3.4Säkerheten för de lagrade uppgifterna

Skyddsregler och utplåning av uppgifter

EU-domstolen fann i Digital Rights-domen att direktivets regler om skydd för lagrade uppgifter var otillräckliga på flera punkter (punk- terna 66 och 67 i domen). Domstolen konstaterade att artikel 7 inte ställde upp säkerhetskrav anpassade till (i) den stora mängd data som ska lagras enligt direktivet, (ii) uppgifternas känsliga natur eller (iii)

150

SOU 2017:75

EU-rättens påverkan på reglerna om datalagring

risken för att uppgifterna kommer i orätta händer, på ett sätt som kan sägas garantera att uppgifterna hålls konfidentiella. Inte heller hade medlemsstaterna förpliktats att själva föreskriva en sådan ordning. Domstolen fann vidare att artikel 7, läst tillsammans med artikel 4.1 i direktiv 2002/58 samt artikel 17.1 i direktiv 95/46, inte ställde krav på att en särskilt hög säkerhetsnivå upprätthålls hos leverantörerna vad gäller tekniska och organisatoriska åtgärder. Detta eftersom leverantörerna tilläts att ta ekonomiska hänsyn vid bestämmandet av lämplig säkerhetsnivå. Dessutom framhöll dom- stolen att direktivet inte ställde något absolut krav på att uppgifterna utplånas vid slutet av lagringstiden.

I analysen i promemorian konstaterades inledningsvis att de svenska leverantörerna, genom regleringen i 6 kap. 3 a § LEK som tar sikte enbart på uppgifter lagrade enligt 16 a § samma kapitel, har en skyldighet att vidta de särskilda tekniska och organisatoriska åtgärder som behövs för att skydda uppgifterna, utan att de i den bedömningen tillåts ta några ekonomiska hänsyn. Den kritik EU- domstolen riktade mot direktivet i det hänseendet bedömdes därför inte relevant för den svenska regleringen (s. 90 i promemorian).

Vidare konstaterades i analysen att 37 § FEK har utformats i mycket nära anslutning till artikel 7 i direktivet. Det ansågs mot den bakgrunden, med hänsyn till EU-domstolens uttalanden, kunna ifrågasättas om enbart regleringen i 6 kap. 3 a § LEK och 37 § FEK ställer upp ett tillräckligt preciserat skydd för de lagrade uppgifterna. I den delen beaktades dock även de krav som följer av de föreskrifter som har meddelats av PTS. Det framhölls att dessa föreskrifter är detaljerade och de reglerar såväl frågor om behörighet och åtkomst som om fysiskt skydd för den utrustning som används för att lagra uppgifterna. De reglerar även i detalj frågor om loggning, som gör det möjligt att i efterhand se vem som haft tillgång till lagrade upp- gifter, samt säkerhetskopiering. Sammantaget ansågs detta inte kunna leda till någon annan slutsats än att det skydd som i Sverige regleras genom lag, förordning och myndighetsföreskrifter är betydligt mer omfattande och mer detaljerat än vad som följde av direktivets krav (s. 90). Det påpekas också att skyddsnivån är betyd- ligt högre och skyddsreglerna mer preciserade än när det gäller de uppgifter leverantörerna har tillstånd att lagra med stöd av direktiv 2002/58. Utifrån de kriterier domstolen lyfte fram bedömdes de

151

EU-rättens påverkan på reglerna om datalagring

SOU 2017:75

svenska regler som ska säkerställa skyddet för de lagrade uppgifterna vara tillräckligt strikta och precisa.

I analysen framhölls också att bestämmelsen i 6 kap. 16 d § LEK ställer krav på leverantörerna att utplåna uppgifterna vid lagrings- tidens utgång eller, om en begäran om utlämnande inkommit men inte hunnit behandlas, så fort uppgifterna har lämnats ut.

När det däremot gäller det fortsatta bevarandet hos de brotts- bekämpande myndigheterna av uppgifter som lämnats ut noteras att det av naturliga skäl inte finns någon bestämd frist föreskriven för hur länge uppgifterna får bevaras. Det påpekades dock att frågan om utplåning av uppgifter från hemlig övervakning inte är oreglerad, utan bestämmelser om detta finns i främst 27 kap. 24 § RB och 9 § IHL. Det framhölls också att det av Europadomstolens praxis följer att förstörandet av material från hemliga tvångsmedel innan en rättegång är avslutad i vissa fall kan kränka den misstänktes rätt till en rättvis rättegång (Europadomstolens domar i målen Natunen mot Finland, 31 mars 2009, och Janatuinen mot Finland, 8 december 2009, vilka båda avsåg material som inhämtats vid hemlig avlyss- ning). Ett krav på utplåning av uppgifterna vid en viss bestämd tid- punkt, utan att hänsyn tas till var i processen ett ärende befinner sig, bedömdes därför kunna kränka den misstänktes rätt till en rättvis rättegång enligt artikel 47 i rättighetsstadgan och artikel 6 i Europa- konventionen (s. 91–92).

Sammanfattningsvis bedömdes att regleringen i 6 kap. 16 d § LEK om utplåning av uppgifter vid lagringstidens slut hos leverantören uppfyller de krav på ett sådant oåterkalleligt förstörande av upp- gifterna som EU-domstolen efterlyste (s. 92–93).

Krav på lagring inom EU

EU-domstolen pekade i Digital Rights-domen på att datalagrings- direktivet inte krävde att uppgifterna skulle lagras inom unionen. Detta innebar enligt domstolen att den oberoende myndighets- kontrollen av att skydds- och säkerhetskraven för de lagrade upp- gifterna följs – vilken föreskrivs i artikel 8.3 i stadgan – inte fullt ut kunde anses vara garanterad (punkt 68). Enligt domstolen är en sådan kontroll en grundläggande beståndsdel i skyddet för enskilda individer i samband med behandlingen av personuppgifter.

152

SOU 2017:75

EU-rättens påverkan på reglerna om datalagring

I promemorian framhölls att det mot bakgrund av domstolens uttalanden om intresset av effektiv tillsyn fanns mycket som talade för att det bör införas ett krav på att lagringen av uppgifter ska göras inom EU eller EES (s. 97). I anslutning till denna bedömning redogjordes också för risken för ändamålsglidning, dvs. att uppgifter som lagras för ett visst ändamål kommer till användning i annan verksamhet eller för andra ändamål. Det konstaterades att en leve- rantör som väljer att lagra uppgifter i en server på en annan stats territorium kan tvingas att lämna ut dessa till utländska myndigheter i enlighet med lagstiftningen i lagringslandet. Det ansågs därför inte kunna uteslutas att uppgifter som lagras med stöd av svensk lag- stiftning enbart för ändamål som rör bekämpning av vissa närmare avgränsade typer av brott skulle kunna komma till användning i annan verksamhet eller för bekämpning av annan brottslighet. Ett rimligt antagande ansågs vara att riskerna för sådan ändamålsglidning generellt sett torde öka om lagringen sker i ett tredje land jämfört med om den sker inom EU eller EES (s. 96–97).

8.3.5Samlad bedömning

Sammanfattningsvis framhölls i analysen att det svenska regelverket avseende lagring enligt 6 kap. 16 a–f §§ LEK samt bestämmelserna om tillgång och behandling av sådana uppgifter med beaktande av EU-domstolens uttalanden, inte strider mot unionsrätten eller europarätten. Utredaren fann dock att det fanns skäl att ändå närmare överväga några frågor. Det gällde dels lagringsskyldigheten avseende ett par uppgiftskategorier, dels reglerna om tillsyn såvitt avser in- hämtning av abonnemangsuppgifter samt reglerna om en oberoende kontroll såvitt gäller inhämtning av uppgifter i underrättelseskedet. Vidare ansågs att det kunde övervägas om ett uttryckligt förbud mot lagring utanför EU/EES borde införas (s. 101).

8.4Datalagringsutredningens överväganden (SOU 2015:31)

Som en uppföljning av analysen i departementspromemorian Data- lagring, EU-rätten och svensk rätt (Ds 2014:23) gav regeringen en utredare i uppdrag att överväga ytterligare rättssäkerhets- och inte-

153

EU-rättens påverkan på reglerna om datalagring

SOU 2017:75

gritetsstärkande åtgärder för IHL och för reglerna om lagring enligt 6 kap. 16 a–f §§ LEK (dir. 2014:101).

Utredningen, som antog namnet Datalagringsutredningen, redo- visade sina slutsatser i betänkandet Datalagring och integritet (SOU 2015:31) i mars 2015.

Datalagringsutredningens slutsatser redovisas i det följande.

8.4.1Inget förslag om förändring i fråga om vilka uppgiftskategorier som ska lagras

I departementspromemorian gjordes bedömningen att inga av de uppgifter som omfattas av datalagringsskyldigheten var att anse som oviktiga. Vissa bedömdes dock vara mindre viktiga (avsnitt 8.3.1).

Enligt de uppgifter Datalagringsutredningen inhämtade framgick dock att samtliga uppgiftskategorier som ska lagras enligt LEK bedömdes vara av stor vikt för brottsbekämpningen (SOU 2015:31 s. 167). Mot bakgrund härav föreslog inte utredningen någon för- ändring i fråga om vilka uppgiftskategorier som skulle lagras enligt datalagringsreglerna.

8.4.2Inget förslag om krav på lagring inom EU

Som antecknades i departementspromemorian, fanns inte något krav i datalagringsdirektivet på var uppgifterna skulle lagras. I den mån de lagrade uppgifterna var personuppgifter kunde dock den allmänna dataskyddaregleringen påverka i vilken utsträckning det var möjligt att överföra uppgifterna till andra länder (s. 93 i Ds 2014:23).

Datalagringsutredningen konstaterade att enligt svensk rätt gäller leverantörens skyldigheter enligt de bestämmelser som anger hur lagringsskyldigheten ska fullgöras, t.ex. de krav som rör säkerheten för de lagrade trafikuppgifterna, även om lagringen förläggs utom- lands (SOU 2015:31 s. 178 med hänvisning till prop. 2010/11:46 s. 60). Detta skulle enligt Datalagringsutredningen särskilt beaktas av leverantörerna vid överväganden att lagra trafikuppgifter utomlands. Det ingår i PTS ansvar att kontrollera att leverantörerna följer regleringen i LEK och de föreskrifter som har meddelats med stöd av lagen. Det ansvaret gäller oberoende av var leverantörerna väljer att lagra uppgifter. Som framgår nedan har PTS vissa befogenheter för

154

SOU 2017:75

EU-rättens påverkan på reglerna om datalagring

att kontrollera att leverantörerna följer skydds- och säkerhets- reglerna. Regeringen bedömde när datalagringsdirektivet genom- fördes att de befogenheterna fick anses vara tillräckliga för att myndigheten skulle kunna utöva en aktiv och ändamålsenlig till- synsverksamhet (prop. 2010/11:46 s. 58).

PTS befogenhet att få tillträde till områden, lokaler och andra ut- rymmen där verksamhet som omfattas av LEK bedrivs kunde enligt Datalagringsutredningen i praktiken utövas endast i Sverige. Däremot torde möjligheterna att utöva de övriga befogenheter myndigheten har till sitt förfogande, t.ex. att begära upplysningar eller att meddela förelägganden och förbud, inte påverkas av var leverantören väljer att lagra uppgifterna. Mot den bakgrunden kom Datalagringsutred- ningen till slutsatsen att PTS har vissa möjligheter att bedriva en aktiv och ändamålsenlig tillsynsverksamhet även gentemot leverantörer som väljer att lagra uppgifter utanför unionen (SOU 2015:31 s. 179).

I sammanhanget framhöll Datalagringsutredningen att regleringen i dataskyddsdirektivet, dataskyddskonventionen och PUL innebär att personuppgifter inte får föras över till länder som inte erbjuder en adekvat nivå av skydd för uppgifterna. Vid bedömningen av om skyddet kan anses adekvat skulle det enligt Datalagringsutredningen beaktas om de tillämpliga reglerna i det tredje landet innehåller den kärna av dataskyddsprinciper som gäller inom EU. Dessa principer innebär bl.a. att kvaliteten på det aktuella landets skyddsmekanismer är en viktig omständighet vid bedömningen av skyddsnivån. Regler- ingen innebär således att uppgifter får föras över bara till sådana tredje länder som har tillräckliga skyddsmekanismer sett i förhållande till den aktuella typen av uppgifter. Kraven på skydd ska också ställas högre ju känsligare uppgifter det är fråga om (SOU 2015:31 s. 179).

Mot den bakgrunden kom Datalagringsutredningen till slutsatsen att den oberoende myndighetskontrollen var garanterad i svensk rätt även i förhållande till leverantörer som väljer att lagra uppgifter utan- för unionen. Avsaknaden av ett krav på lagring inom EU eller EES innebar således, enligt Datalagringsutredningen, inte att regleringen i svensk lag stred mot bestämmelserna om grundläggande rättigheter i EU-stadgan. Enligt utredningen skulle dessutom ett förbud mot lagring utanför EU strida mot Sveriges åtaganden enligt dataskydds- konventionen. (SOU 2015:31 s. 179–182)

155

EU-rättens påverkan på reglerna om datalagring

SOU 2017:75

8.4.3Uppgifter som omfattas av tystnadsplikt

Inget förbud mot övervakning av personer som omfattas av tystnadsplikt

I fråga om förbud mot övervakning av personer med tystnadsplikt konstaterade Datalagringsutredningen inledningsvis att svensk rätt intar ståndpunkten att det normalt är en uppgifts innehåll som avgör om den omfattas av skydd mot avlyssning och undantag från vittnes- plikt. Trots det kunde det enligt utredningen i vissa situationer finnas ett intresse av att begränsa myndigheternas insyn i att kom- munikation över huvud taget har förekommit, t.ex. vid kommuni- kation med sådana personer som berörs av meddelarskyddet. I dessa fall skulle redan en uppgift om att någon har varit i kontakt med en journalist kunna leda till att det anonymitetsskydd som garanteras genom journalistens tystnadsplikt hotas (SOU 2015:31 s. 208).

En uppgift om att en person har kommunicerat med en journalist omfattas av skydd för meddelarfrihet endast i de fall då kommuni- kationen innebär att ett meddelande lämnas för publicering. Vid inhämtning av uppgifter om elektronisk kommunikation känner de brottsbekämpande myndigheterna normalt sett inte till innehållet i kommunikationen. Det innebär att det oftast inte går att avgöra vilka uppgifter som omfattas av tystnadsplikt. Ett förbud mot att hämta in sådana uppgifter skulle därför enligt Datalagringsutredningen vara mycket svårt att tillämpa. Om myndigheten i något fall skulle känna till att de aktuella uppgifterna omfattas av yrkesmässig tystnadsplikt redan innan inhämtning utförs, torde dessutom en tillämpning av proportionalitetsprincipen normalt sett leda till att uppgiften inte får hämtas in. Ett uttryckligt förbud mot inhämtning av uppgifter i sådana situationer skulle därför, enligt Datalagringsutredningen, vara av begränsat praktiskt värde. Något förslag på sådant förbud lämna- des därför inte (SOU 2015:31 s. 209).

Förslag på förstörandeskyldighet

Ett annat tänkbart alternativ för att stärka skyddet för uppgifter som omfattas av yrkesmässig tystnadsplikt var enligt Datalagringsutred- ningen att införa regler om att sådana uppgifter ska förstöras i efter- hand. Även tillämpningen av en sådan regel skulle visserligen nor-

156

SOU 2017:75

EU-rättens påverkan på reglerna om datalagring

malt förutsätta att den brottsbekämpande myndigheten känner till innehållet i kommunikationen. Det skulle dock enligt utredningen inte vara otänkbart att det i undantagsfall skulle kunna inträffa att myndigheten får sådan kännedom, t.ex. då hemlig övervakning av elektronisk kommunikation används tillsammans med hemlig avlyss- ning av elektronisk kommunikation. I den utsträckning kommuni- kationen i en sådan situation omfattas av avlyssningsförbud har den brottsbekämpande myndigheten en skyldighet att förstöra upptag- ningarna och uppteckningarna från avlyssningen. Däremot finns det inte någon uttrycklig skyldighet att radera också uppgiften om att kommunikationen har ägt rum. Detta gäller även om myndigheten genom avlyssningen fått kännedom om att t.ex. ett meddelande lämnades till en journalist för publicering. Enligt Datalagringsutred- ningens uppfattning var detta en brist i skyddet för den yrkesmässiga tystnadsplikten. Utredningen kunde inte heller se några tungt vägande skäl mot att den brottsbekämpande myndigheten i en sådan situation skulle vara skyldig att radera även uppgifter som anger att kommunikationen har ägt rum (SOU 2015:31 s. 209–210).

Mot bakgrund av det ovan anförda föreslog Datalagringsut- redningen en skyldighet för de brottsbekämpande myndigheterna att förstöra uppteckningar från hemlig övervakning av elektronisk kommunikation och inhämtning av uppgifter enligt IHL i de delar uppteckningarna innehåller uppgifter som, på grund av bestämmel- serna i 36 kap. 5 § andra–sjätte styckena RB, inte skulle ha kunnat inhämtas genom vittnesförhör i domstol. Eftersom möjligheten att avgöra om tystnadsplikt gäller för uppgifter om att kommunikation förekommit normalt är beroende av vad kommunikationen innehöll torde det endast sällan bli aktuellt att tillämpa dessa regler. Det var emellertid enligt Datalagringsutredningen inte något starkt skäl för att avstå från att införa reglerna (SOU 2015:31 s. 210).

8.4.4IHL

Datalagringsutredningen gjorde en genomgång av tillämpningen av IHL hos Säkerhetspolisen, Polismyndigheten och Tullverket. För denna genomgång hänvisas till Datalagringsutredningens betänkande Datalagring och integritet (SOU 2015:31 s. 213–283).

157

EU-rättens påverkan på reglerna om datalagring

SOU 2017:75

I anslutning till denna genomgång övervägdes ett antal förslag som skulle kunna stärka rättssäkerheten och integritetsskyddet. Dessa förslag redogörs för i det följande.

Inget förslag med krav på förhandskontroll av domstol

Datalagringsutredningen inledde sina överväganden i fråga om ändrad beslutsordning med att erinra om att alternativet med dom- stolsprövning övervägdes redan i samband med att IHL infördes. Regeringen uttalade då följande (prop. 2011/12:55 s. 88–89).

Att allmän domstol fattar beslut om hemliga tvångsmedel under en för- undersökning är lämpligt och väl förenligt med det tvåpartsförfarande och de möjligheter till rättslig prövning som gäller där. Frågan blir då om allmän domstol, som Post- och Telestyrelsen har förordat, också bör fatta beslut om inhämtning i underrättelseverksamhet. Som redovisas […] ovan gör sig andra intressen gällande i underrättelseverksamhet än under en förundersökning. Integritetsaspekten präglas i underrättelse- skedet mer av ett medborgarperspektiv än av ett sådant tvåpartsför- farande som särskilt lämpar sig för rättslig prövning i allmän domstol. Det får också, såsom bl.a. JO och Sveriges Advokatsamfund har fram- fört, anses vara principiellt tveksamt att de allmänna domstolarna på för- hand rättsligt prövar olika åtgärder som vidtas inom ramen för under- rättelseverksamhet. Kännetecknande för den verksamheten är att den är operativ, kunskapssökande och undersökande men inte primärt inriktad mot någon viss inträffad gärning eller någon viss misstänkt person. För det fall allmän domstol generellt skulle rättsligt pröva olika åtgärder som vidtas i underrättelseverksamheten och därmed i många fall skulle ge tillstånd till olika operativa spaningsåtgärder, kan det finnas risk för att domstolens roll som oberoende prövningsinstans i brottmålsförfarandet ifrågasätts, i varje fall när åtgärderna senare leder fram till förundersök- ning och åtal. En sådan roll skulle för domstolen också vara delvis främ- mande i det svenska rättssystemet. Enligt lagen om åtgärder för att för- hindra vissa särskilt allvarliga brott är det visserligen domstol som ger tillstånd till inhämtningen efter ansökan av åklagare (6 §). Det rör sig dock i det fallet om en tidsbegränsad lag som enligt uppgift har kommit att tillämpas när en förundersökning är förestående, dvs. i praktiken inom ramen för vad som brukar benämnas förutredning (SOU 2009:70 s. 172). Den nu föreslagna regleringen är avsedd att ha ett vidare tillämp- ningsområde. Det kan dessutom ifrågasättas om domstolarna skulle kunna tillgodose behovet av snabba beslut utanför kontorstid. Att införa en ordning med dygnetruntberedskap för de allmänna domstolarna för att pröva frågor om inhämtande av uppgifter i underrättelseverksamhet framstår inte som ändamålsenligt. Mot den angivna bakgrunden anser regeringen att allmänna domstolar inte bör ges beslutanderätten för

158

SOU 2017:75

EU-rättens påverkan på reglerna om datalagring

inhämtning av uppgifter om elektronisk kommunikation i de brotts- bekämpande myndigheternas underrättelseverksamhet.

Enligt Datalagringsutredningens uppfattning saknades det skäl att göra någon annan bedömning än den regeringen gjorde när IHL in- fördes. De argument som då fördes fram mot en domstolsprövning hade fortfarande bärkraft. Vidare noterade utredningen att under- rättelseverksamheten, till skillnad från en förundersökning, inte primärt är inriktad på någon viss gärning eller någon viss person. Till detta kom den omständigheten att det är tveksamt om domstolarna, inom ramen för den nuvarande jourorganisationen, skulle kunna tillgodose de brottsbekämpande myndigheternas behov av snabba beslut. Däremot skulle behovet av snabba beslut kunna tillgodoses genom att de brottsbekämpande myndigheterna får en möjlighet att i brådskande fall fatta interimistiska beslut, med en efterföljande prövning av beslutet i domstol. En sådan ordning var dock inte heller helt oproblematisk enligt Datalagringsutredningen. Dels kvarstår övriga argument mot en domstolsprövning. Dels gäller i princip samtliga beslut enligt IHL uppgifter i förfluten tid. När domstolen väl överprövar ett interimistiskt beslut skulle därför i de allra flesta fall uppgifterna redan vara levererade till den brottsbekämpande myndighet som begärt dem. I sådana fall skulle det behövas regler om vad följden blir om domstolen upphäver det interimistiska beslutet, i likhet med dem som gäller i fråga om interimistiska beslut om hem- liga tvångsmedel under en förundersökning (27 kap. 21 a § RB). Att föreskriva att inhämtade uppgifter i en liknande situation inte får användas i en förundersökning är enligt Datalagringsutredningen logiskt, eftersom det får den konsekvensen att uppgifterna inte kan användas som bevisning. I underrättelseverksamhet är det dock mer oklart vad en motsvarande bestämmelse skulle få för praktiska följder. En bestämmelse som exempelvis innebär att myndigheten i sådan verksamhet måste bortse från information som den faktiskt känner till framstod enligt Datalagringsutredningen inte som för- troendeingivande. (SOU 2015:31 s. 288–289)

Ett annat skäl som enligt Datalagringsutredningen talade mot att beslutskompetensen skulle anförtros domstol, eller någon annan myndighet som är fristående från de brottsbekämpande myndig- heterna, var intresset av att kunna hålla den information som finns i underrättelseärendena inom en så snäv personkrets som möjligt. Även om domstolarna naturligtvis har stor vana av att hantera sekre-

159

EU-rättens påverkan på reglerna om datalagring

SOU 2017:75

tesskyddat material på ett säkert sätt, går det enligt utredningen inte att bortse från att risken för spridning av informationen ökar ju större personkrets som får tillgång till den. (SOU 2015:31 s. 289)

Datalagringsutredningen lämnade därför inte något förslag på förhandsprövning av domstol.

Inget förslag om möjlighet att överklaga

Ett annat alternativ som Datalagringsutredningen övervägde var att konstruera ett system med en möjlighet att överklaga de brotts- bekämpande myndigheternas beslut enligt IHL till domstol. En sådan ordning inrymde dock enligt utredningen en hel del praktiska problem. Eftersom de personer som besluten gäller förutsätts inte känna till dem, måste någon annan anförtros uppgiften att granska samtliga beslut för att avgöra vilka som eventuellt bör överklagas. Detta skulle enligt utredningen förutsätta att ett offentligt ombud eller motsvarande involveras i beslutsprocessen hos myndigheterna. Dessutom var det enligt utredningen sannolikt att relativt få beslut skulle överklagas. Svårigheten för tingsrätterna att arbeta upp en vana av att handlägga ärenden enligt inhämtningslagen var därför än mer tydlig med ett sådant system än med en ordning med generell dom- stolsprövning av samtliga beslut. Det skulle också behövas regler om vad konsekvensen blir om domstolen ändrar ett överklagat beslut, vilket leder till samma problem som diskuterats ovan beträffande interimistiska beslut. Utredningen lämnade därför inte något förslag om överklagande av beslut enligt IHL (SOU 2015:31 s. 290).

Inget förslag om åklagarbeslut

Datalagringsutredningen övervägde om åklagare skulle få en roll vid beslut enligt IHL (SOU 2015:31 s. 290–292). Utredningen inledde med att notera att regeringen i förarbetena till IHL konstaterade att åklagare som regel inte deltar i polisens eller Tullverkets under- rättelseverksamhet och att åklagare inträder först i samband med att förundersökning har inletts och någon är skäligen misstänkt för brottet. Regeringen ansåg vidare att det bör krävas starka skäl för att åklagare ska tilldelas en roll i de brottsbekämpande myndigheternas

160

SOU 2017:75

EU-rättens påverkan på reglerna om datalagring

allmänna underrättelsearbete. Beslutanderätten borde därför enligt regeringen inte läggas hos åklagare (prop. 2011/12:55 s. 89).

Liknande synpunkter framfördes av både Åklagarmyndigheten och Ekobrottsmyndigheten i myndigheternas remissvar över det betänkande som låg till grund för propositionen (SOU 2009:1). Åklagarmyndigheten pekade också på att en viktig förutsättning för att åklagaren ska kunna leva upp till sin objektivitetsplikt är att han eller hon skapar distans till underrättelseverksamheten.

Datalagringsutredningen noterade i och för sig att åklagare har en roll i beslutsprocessen när det gäller preventiva tvångsmedel men konstaterade samtidigt att lagen om preventiva tvångsmedel används i en jämförelsevis mycket blygsam omfattning och i situationer där det handlar om att bedöma en på visst sätt konkretiserad risk. I dessa fall handlar det också om att tillstånd till tvångsmedel söks hos dom- stol. Betänkligheterna mot att åklagare har en roll i ett sådant för- farande var därför enligt Datalagringsutredningen betydligt mindre.

Mot den angivna bakgrunden borde det enligt Datalagringsut- redningen krävas starka skäl för att frångå den rådande ansvars- fördelningen mellan polis och tull respektive åklagare. Ett sådant skäl skulle t.ex. kunna vara om det hade funnits tydliga indikationer på att det nuvarande systemet missbrukas. Några sådana indikationer fanns inte enligt Datalagringsutredningen. Det saknades därför sådana starka skäl som borde krävas för att föreslå att besluts- befogenheten skulle anförtros åklagare (SOU 2015:31 s. 292).

Inget förslag på nytt beslutsorgan

Datalagringsutredningen övervägde även om förslag skulle lämnas på en ny nämnd som skulle pröva frågor enligt IHL. Utredningen pekade på att frågan om det är lämpligt att inrätta särskilda nämnder för beslut enligt lagen om preventiva tvångsmedel övervägdes när den infördes. Regeringen bedömde då att ett system med en särskild nämnd hade nackdelar, bl.a. att det skulle vara svårt att inom ramen för en nämndprövning skapa en ordning som på samma påtagliga sätt kan ta tillvara integritetsintresset. Ett system med nämnd skulle också kunna bli sårbart genom att det skulle kunna uppstå svårig- heter att med kort varsel samla nämnden för föredragning och beslut. Regeringen menade därför att övervägande skäl talade mot att

161

EU-rättens påverkan på reglerna om datalagring

SOU 2017:75

införa en nämnd som fattar beslut i dessa frågor (prop. 2005/06:177 s. 64–65).

Frågan övervägdes på nytt i samband med att IHL infördes. Reger- ingen hänvisade då till de överväganden som gjorts i samband med införandet av lagen om preventiva tvångsmedel och framhöll att det saknades skäl att göra en annan bedömning (prop. 2011/12:55 s. 89).

Fördelen med en nämndprövning var enligt Datalagringsutred- ningen att besluten skulle fattas av en oberoende myndighet, sam- tidigt som man i huvudsak undviker de invändningar som finns mot att förlägga beslutskompetensen hos ett organ som senare skulle få befattning med ärendena. Även med ett sådant system kunde dessa principiella invändningar emellertid inte undvikas fullt ut. Exem- pelvis skulle en sådan nämnd sannolikt ledas av en ordinarie domare, vilket även det skulle kunna leda till risk för att domstolens roll som oberoende prövningsinstans i brottmålsförfarandet ifrågasätts.

Datalagringsutredningen instämde vidare i regeringens tidigare bedömning att ett nämndsystem skulle innebära vissa praktiska nackdelar. Prövningens i många fall brådskande natur i kombination med en spridd geografisk förekomst gjorde att det inte framstod som realistiskt att inrätta ett sådant organ på en enda plats i landet. Att i stället inrätta flera nämnder eller liknande organ på olika platser för att kunna tillgodose behovet av närhet till lokala brottsbekäm- pande myndigheter framstod ur ett verksamhets- och effektivitets- perspektiv inte heller som särskilt lämpligt (SOU 2015:31 s. 293).

En annan fråga var hur ett nämndsystem skulle behöva organi- seras för att de brottsbekämpande myndigheternas behov av snabba beslut skulle kunna tillgodoses. Det var för utredningen knappast rimligt att tänka sig att ett antal nämnder av det aktuella slaget skulle vara tillgängliga dygnet runt för att snabbt kunna fatta beslut i frågor om inhämtning av uppgifter enligt IHL. Visserligen skulle det kunna övervägas att lösa det problemet med en möjlighet till interimistiska beslut. Det skulle dock innebära att man ställs inför samma svårig- heter som behandlats ovan i anslutning till frågan om domstols- prövning. Något förslag på inrättande av en särskild nämnd lämnades därför inte av Datalagringsutredningen (SOU 2015:31 s. 293).

162

SOU 2017:75

EU-rättens påverkan på reglerna om datalagring

Inget förslag på förändrad beslutsnivå inom myndigheterna

Myndighetschefen får enligt 4 § IHL delegera rätten att fatta beslut om inhämtning till en annan anställd vid myndigheten som har den särskilda kompetens, utbildning och erfarenhet som behövs. Den till vilken rätten att fatta beslut har delegerats får inte fatta beslut om inhämtning i sådan operativ verksamhet som han eller hon deltar i. I lagens förarbeten anges att delegation bör kunna ske till t.ex. myndig- hetschefens ställföreträdare, rikskriminalchefen, biträdande rikskri- minalchefen, biträdande säkerhetspolischefen, biträdande länspolis- mästare, länskriminalchefer, chefer för operativ verksamhet och chefer för underrättelseverksamhet (prop. 2011/12:55 s. 123).

Av dessa skäl och eftersom bestämmelsen om delegation har en så strikt utformning som man rimligen kan begära föreslog Data- lagringsutredningen i den här delen inga författningsändringar.

Förslag om underrättelseskyldighet till SIN

Datalagringsutredningen undersökte om det fanns några åtgärder som enligt SIN:s uppfattning skulle kunna vidtas för att göra till- synen än mer effektiv. Nämnden framförde att bestämmelsen i 6 § IHL om underrättelseskyldighet till nämnden skulle kunna förtyd- ligas på så sätt att det skulle framgå att underrättelseskyldigheten tar sikte på själva beslutet (SOU 2015:31 s. 298).

I de allra flesta fall fullgör de beslutande myndigheterna visser- ligen sin underrättelseskyldighet genom att ställa sina beslut till SIN. Det har dock hänt att SIN underrättats om fattade beslut på annat sätt, t.ex. genom en särskild skrivelse, och i vissa fall uppkommer frågan om SIN verkligen fått del av beslutet. Enligt nämnden skulle emellertid följderna av otydligheten i detta avseende inte överdrivas.

Det var enligt Datalagringsutredningen rimligt att underrättelse- skyldigheten skulle fullgöras på det sätt som SIN hade förordat, dvs. genom att den brottsbekämpande myndigheten ger in själva besluts- handlingen till nämnden. Ett förslag till sådant förtydligande läm- nades därför av utredningen (SOU 2015:31 s. 298).

163

EU-rättens påverkan på reglerna om datalagring

SOU 2017:75

Inget förslag på krav på beslutens innehåll

Enligt 5 § IHL ska beslut enligt lagen innehålla uppgift om vilken brottslig verksamhet och vilken tid beslutet avser samt vilket tele- fonnummer eller annan adress, vilken elektronisk kommunikations- utrustning eller vilket geografiskt område beslutet avser. Av författ- ningskommentaren till bestämmelsen framgår att kravet på att ange den brottsliga verksamheten innebär att det, vid inhämtning som sker enligt 2 §, ska anges vilket eller vilka brott som innefattas i verksam- heten och att det vid inhämtning enligt 3 § ska anges vilken av punk- terna 1–5 som ligger till grund för beslutet (prop. 2011/12:55 s. 123).

SIN framförde till Datalagringsutredningen att skrivningen i för- fattningskommentaren är något otydlig eftersom den ger vid handen att det är brottet eller brotten – och inte den brottsliga verksamheten

– som ska anges i besluten. Enligt nämnden angav de beslutande myndigheterna i sina underrättelser ofta endast det eller de brott som innefattas i den brottsliga verksamhet som åtgärden syftar till att förebygga, förhindra eller upptäcka, och inte den brottsliga verk- samheten som sådan. För att SIN i samtliga fall ska kunna kon- trollera att inhämtningen avser sådana brott som omfattas av IHL (2 och 3 §§) och att överskottsinformation samt förstöring av mate- rialet hanteras rättsenligt (7 och 9 §§) kunde det enligt nämnden finnas anledning att överväga om den aktuella bestämmelsen ut- tryckligen ska ta sikte på både den brottsliga verksamheten och det eller de brott som ingår i denna.

Av förarbetena till polisdatalagen framgår att begreppet brottslig verksamhet syftar på verksamhet av viss konkretion (prop. 2009/10:85 s. 362). Däremot krävs inte att misstanken avser en konkretiserad gärning på samma sätt som vid förundersökning. Hur konkret den brottsliga verksamheten kan beskrivas i ett under- rättelseärende varierar enligt Datalagringsutredningen i hög grad från fall till fall och även beroende på i vilket skede ärendet befinner sig. Det kan också ha betydelse vilken myndighet det är som handlägger ärendet. För Säkerhetspolisens del rör det sig t.ex. ofta om före- teelser och verksamheter där anknytningen till urskiljbara brott inte är lika tydlig som när det gäller den öppna polisens verksamhet. Säkerhetspolisens underrättelseverksamhet har således en bredare inriktning än motsvarande verksamhet hos den öppna polisen

164

SOU 2017:75

EU-rättens påverkan på reglerna om datalagring

eftersom den senare är tydligare inriktad mot vissa brottstyper eller brottsliga företeelser (prop. 2009/10:85 s. 362–363).

Utredningen uppmärksammade även vid kartläggningen att det varierade en del hur den brottsliga verksamheten beskrevs i beslut enligt IHL. I vissa fall angavs endast det eller de brott som verk- samheten bedömdes innefatta, medan besluten i andra fall innehöll mer konkreta beskrivningar. Ett exempel på det senare var att det i ett beslut angavs att den brottsliga verksamheten utgörs av grovt narko- tikabrott genom hantering av en viss mängd av ett angivet preparat. I vilken mån den brottsliga verksamheten kunde konkretiseras på ett sådant sätt var enligt Datalagringsutredningen beroende av vilken information som fanns i ärendet vid tidpunkten för beslutet.

Datalagringsutredningen uttryckte förståelse för att det kunde finnas ett behov från kontrollsynpunkt av att den brottsliga verk- samheten specificeras i så hög utsträckning som möjligt i besluten. I många fall torde det dock enligt utredningen inte vara möjligt att beskriva verksamheten särskilt mycket mer ingående än genom att ange det eller de brott som den innefattar. En ändring av det slag som SIN hade föreslagit skulle innebära att detta inte längre skulle vara tillräckligt. Frågan inställde sig då om det i sådana fall inte längre skulle vara tillåtet att hämta in uppgifter enligt IHL. En sådan ändring skulle få effekter i fråga om vilket krav på konkretion som skulle ställas, för att det ska anses vara fråga om brottslig verksam- het. Detta kunde få konsekvenser som var svåra att överblicka. Krav på beskrivningar av mer konkret angiven brottslighet hörde enligt utredningen hemma på förundersökningsstadiet. Det var därför enligt Datalagringsutredningen inte lämpligt att föreslå någon ändring i fråga om kraven på hur den brottsliga verksamheten ska anges (SOU 2015:31 s. 300).

Inget förslag på förändrat dokumentationskrav

Bestämmelser om skyldighet att dokumentera beslut som fattas i den brottsbekämpande verksamheten ökar möjligheterna till kontroll i efterhand.

165

EU-rättens påverkan på reglerna om datalagring

SOU 2017:75

En bestämmelse om dokumentationsskyldighet i myndigheters verksamhet i stort finns i 15 § förvaltningslagen (1986:223)1. Enligt den bestämmelsen ska en myndighet anteckna uppgifter som den får på annat sätt än genom en handling och som kan ha betydelse för utgången i ärendet, om ärendet avser myndighetsutövning mot någon enskild. Brottsbekämpande verksamhet är emellertid undantagen från bestämmelsens tillämpningsområde (32 § förvaltningslagen).

Bestämmelsen i 5 § IHL om vilka uppgifter som ska anges i ett beslut enligt lagen innehåller inte något krav på att de skäl som ligger till grund för beslutet ska dokumenteras. Datalagringsutredningen frågade sig mot denna bakgrund om det finns anledning att ändra bestämmelsen så att det blir tydligare att så ska göras.

Det väsentliga var enligt Datalagringsutredningen att sådana om- ständigheter som läggs till grund för myndigheternas beslut doku- menteras. Detta är av avgörande betydelse, inte minst för att SIN:s efterhandskontroll ska kunna bedrivas så effektivt som möjligt. Av förarbetena till IHL framgår att ett beslut om inhämtning bör läggas upp som ett särskilt inhämtningsärende där skälen för beslutet fram- går (prop. 2011/12:55 s. 85). Om SIN väljer att granska ett enskilt beslut, finns alltså skälen för åtgärden på ett eller annat sätt till- gängliga i ett ärende vid den beslutande myndigheten. Enligt vad SIN uppgav för Datalagringsutredningen visar erfarenheterna från den tid som IHL har varit i kraft att denna ordning fungerar för- hållandevis väl och att skälen för besluten i regel finns där de bör finnas. Mot den bakgrunden fanns det enligt Datalagringsutred- ningen inte skäl att föreslå några förändringar som skulle ta sikte på dokumentationsskyldigheten (SOU 2015:31 s. 301–302).

Inget förslag om förändrad tystnadsplikt

Enligt 6 kap. 20 § LEK har operatörerna tystnadsplikt för vissa upp- gifter. Tystnadsplikten omfattar även uppgifter som hänför sig till användningen av hemliga tvångsmedel (6 kap. 21 §). Operatörernas tystnadsplikt gäller även i förhållande till SIN. Det innebär alltså att det inte är tillåtet för operatörerna att vidarebefordra information

1 En ny förvaltningslag träder i kraft den 1 juli 2018, prop. 2016/17:180, bet. 2017/18:KU2, rskr. 2017/18:2.

166

SOU 2017:75

EU-rättens påverkan på reglerna om datalagring

som de får del av vid verkställighet av beslut om hemliga tvångs- medel till nämnden.

Datalagringsutredningen övervägde mot den nu angivna bakgrun- den om bestämmelserna om tystnadsplikt borde ändras i syfte att göra det möjligt för anställda hos operatörerna att vända sig till SIN för att påtala sådana felaktigheter som de eventuellt kunde uppmärk- samma vid verkställighet av beslut enligt IHL (SOU 2015:31 s. 302).

Datalagringsutredningen noterade i sammanhanget att någon information om vilket brott eller vilken brottslig verksamhet som ligger till grund för beslutet inte lämnas. Inte heller lämnas någon information om syftet med åtgärden. Möjligen skulle man enligt Datalagringsutredningen kunna tänka sig att en anställd hos en operatör utifrån denna information skulle kunna uppmärksamma om en beställning enligt IHL avser inhämtning av trafikuppgifter i real- tid, vilket inte är tillåtet enligt lagen. Denna information skulle således kunna vidarebefordras till SIN. Enligt uppgift från SIN som Datalagringsutredningen inhämtade är detta emellertid ett förhål- lande som nämnden i sådana fall ändå skulle uppmärksamma genom myndigheternas underrättelser till nämnden.

I övrigt var det enligt Datalagringsutredningens mening svårt att se vad anställda hos operatörerna – med utgångspunkt i de begrän- sade uppgifter de får del av – skulle kunna komma att reagera på. Utan tillgång till uppgifter om vilken brottslighet en begäran gäller eller vilket syfte den har var det enligt Datalagringsutredningen t.ex. inte möjligt att bedöma om inhämtningen är tillåten enligt den lag- stiftning som åberopas. Inte heller skulle det vara möjligt att ta ställ- ning till frågor om proportionalitet och liknande, vilket enligt Data- lagringsutredningen inte heller är operatörernas uppgift att göra.

SIN ställde sig mot den angivna bakgrunden tveksam till en sådan ordning. Nämnden påtalade också i sammanhanget att uppgifter för- modligen i många fall skulle komma att lämnas rätt formlöst, vilket skulle kunna innebära risker för att känslig information skulle spridas på ett olämpligt sätt. Detta kunde få negativa konsekvenser både för myndigheternas underrättelsearbete och för t.ex. källor.

Av dessa skäl bedömde Datalagringsutredningen att en lättnad av tystnadsplikten enligt LEK i förhållande till SIN inte skulle fylla någon större funktion. Något sådant förslag lämnades därför inte (SOU 2015:31 s. 303).

167

9EU-domstolens andra dom

Tele2-domen

EU-domstolen meddelade den 21 december 2016 dom i de förenade målen C-203/15 mellan Tele2 och PTS och C-698/15 mellan Tom Watson, Peter Brice och Geoffrey Lewis, å ena sidan, och Secretary of State for the Home Department (inrikesministern i Förenade konungariket Storbritannien och Nordirland) å andra sidan. Båda målen avsåg förhandsavgöranden. Domen finns som bilaga till detta betänkande.

Respektive begäran om förhandsavgörande avsåg tolkningen av artikel 15.1 i direktiv 2002/58 jämförd med artiklarna 7, 8 och 52.1 i rättighetsstadgan.

Till grund för förhandsavgörandet låg två frågor från Kammar- rätten i Stockholm med följande innebörd:

1)Är en generell skyldighet att lagra trafikuppgifter som omfattar samtliga personer, samtliga elektroniska kommunikationsmedel och samtliga trafikuppgifter utan att det görs några åtskillnader, begräns- ningar eller undantag utifrån syftet att bekämpa brott förenlig med artikel 15.1 i direktiv 2002/58 med beaktande av artiklarna 7, 8 och

52.1i stadgan?

2)Om svaret på fråga 1 är nej, kan lagringen ändå vara tillåten

a)om de nationella myndigheternas tillgång till de uppgifter som lagras är fastställd som i Sverige, och

b)om kraven på säkerhet är reglerade som i Sverige, samt då

c)samtliga aktuella uppgifter ska lagras i sex månader räknat från den dag kommunikationen avslutades och därefter utplånas?

I samma avgörande behandlades även två frågorna från Court of Appeal (England & Wales) (Civil Division):

1)Innebär Digital Rights-domen (särskilt punkterna 60–62) att det i unionsrätten uppställs tvingande krav som en medlemsstats

169

EU-domstolens andra dom – Tele2-domen

SOU 2017:75

nationella bestämmelser om tillgång till uppgifter som lagrats i enlig- het med nationell lagstiftning måste uppfylla för att vara förenliga med artiklarna 7 och 8 i rättighetsstadgan?

2) Innebär Digital Rights-domen att artikel 7 eller artikel 8 i stad- gan ges ett mer vidsträckt tillämpningsområde än artikel 8 i Europa- konventionen såsom den bestämmelsens tillämpningsområde har fastställts i praxis från Europeiska domstolen för de mänskliga rättig- heterna (Europadomstolen)?

Domstolen besvarade frågorna utifrån resonemanget nedan i avsnitten 9.1–9.10.

9.1Direktiv 2002/58 är tillämpligt på datalagringsreglerna

I målet inför EU-domstolen förekom det olika uppfattningar i fråga om direktiv 2002/58 över huvud taget var tillämpligt. Det som gav upphov till de olika uppfattningarna var att å ena sidan föreskriver direktivet att det inte ska tillämpas på verksamhet på straffrättens område (artikel 1.3) samtidigt som direktivet å andra sidan anger att medlemsstaterna genom lagstiftning får vidta åtgärder för att begränsa omfattningen av vissa rättigheter i direktivet när en sådan begränsning i ett demokratiskt samhälle är nödvändig, lämplig och proportionell för bl.a. förebyggande, undersökning, avslöjande av och åtal för brott (artikel 15.1). Medlemsstaterna får enligt sist- nämnda bestämmelse för de angivna ändamålen anta regler som inne- bär att uppgifter får bevaras under en begränsad period som moti- veras av de skäl som fastställs i punkten. Alla åtgärder ska enligt artikel 15.1 vara i enlighet med de allmänna principerna i gemen- skapslagstiftningen.

EU-domstolen menade att om man såg till den allmänna syste- matiken i direktiv 2002/58 så betyder inte det att statens verksamhet på det straffrättsliga området ska anses utesluten från direktivets tillämpningsområde. Det skulle enligt domstolen helt frånta artikel 15.1 dess ändamålsenliga verkan. Nämnda bestämmelse förut- sätter nämligen med nödvändighet att de där avsedda nationella åtgärderna, såsom de om lagring av uppgifter i brottsbekämpande syfte, omfattas av direktivets tillämpningsområde, eftersom direk- tivet uttryckligen tillåter medlemsstaterna att vidta sådana åtgärder

170

SOU 2017:75

EU-domstolens andra dom – Tele2-domen

endast under förutsättning att de däri angivna villkoren är uppfyllda (p. 73 i domen).

EU-domstolen ansåg att direktivet omfattade både lagstiftning som reglerar lagringen av uppgifter och lagstiftning som reglerar till- gången till dessa uppgifter (p. 75–76 i domen).

9.2Artikel 15.1 ska tolkas strikt

Som framgår av skäl 2 i direktiv 2002/58, eftersträvas i direktivet att säkerställa full respekt för rättigheterna i artikel 7 (respekt för privat- liv) och 8 (skydd av personuppgifter) i rättighetsstadgan. Direktivet innehåller specifika bestämmelser för detta ändamål. Dessa bestäm- melser syftar till att skydda personuppgifter och integritet hos använ- darna av elektroniska kommunikationstjänster mot de risker som ny teknik och den ökade kapaciteten för automatisk lagring och behand- ling av uppgifter medför (skäl 6 och 7).

Enligt artikel 5.1 i direktivet ska medlemsstaterna genom natio- nell lagstiftning säkerställa konfidentialitet vid kommunikation via allmänna kommunikationsnät och allmänt tillgängliga elektroniska kommunikationstjänster liksom för därmed förbundna trafikuppgif- ter. Principen om konfidentialitet vid kommunikation innebär i princip ett förbud för andra personer än användarna att utan sam- tycke lagra trafikuppgifter avseende elektronisk kommunikation. Undantag gäller endast för personer som har laglig rätt att göra detta i enlighet med artikel 15.1 i direktivet, samt för teknisk lagring som är nödvändig för överföring av kommunikationen (p. 84–85 i domen).

Enligt artikel 6 i direktivet får trafikuppgifter behandlas och lagras i den utsträckning och under den tid som krävs för att kunna faktu- rera för tjänster, marknadsföra tjänster eller tillhandahålla kring- tjänster. Vad specifikt gäller fakturering för tjänster, är sådan behand- ling endast tillåten fram till utgången av den period under vilken det lagligen går att göra invändningar mot fakturan eller kräva betalning. När den perioden har löpt ut ska de behandlade och lagrade uppgif- terna utplånas eller avidentifieras. Vad gäller andra lokaliseringsupp- gifter än trafikuppgifter föreskriver artikel 9.1 i direktivet att de endast får behandlas på vissa villkor och sedan de har avidentifierats eller om användarna eller abonnenterna gett sitt samtycke (p. 86 i domen).

171

EU-domstolens andra dom – Tele2-domen

SOU 2017:75

Räckvidden av bestämmelserna i de nu nämnda artiklarna (5, 6 och 9.1) i direktivet, som syftar till att säkerställa konfidentialitet vid kommunikation och därmed förbundna trafikuppgifter och att minimera riskerna för missbruk, ska enligt domstolen bedömas mot bakgrund av skäl 30 i direktivet. Där anges att ”[s]ystemen för till- handahållande av elektroniska kommunikationsnät och elektroniska kommunikationstjänster bör utformas så att mängden nödvändiga personuppgifter begränsas till ett absolut minimum” (p. 87 i domen).

I och med att artikel 15.1 i direktivet ger medlemsstaterna möjlig- het att begränsa omfattningen av den principiella skyldigheten att säkerställa konfidentialiteten för kommunikation och därmed för- bundna trafikuppgifter, ska denna artikel enligt domstolens fasta praxis tolkas strikt. En sådan bestämmelse kan därför enligt dom- stolen inte motivera att undantaget från denna principiella skyldig- het, i synnerhet förbudet i artikel 5 i direktivet mot att lagra dessa uppgifter, görs till huvudregel. Det skulle enligt domstolen i stor ut- sträckning förta verkan av sistnämnda bestämmelse (p. 89 i domen).

9.3Artikel 15.1 ska tolkas mot bakgrund av rättighetsstadgan

I artikel 15.1 i direktiv 2002/58 föreskrivs att alla åtgärder som avses i artikeln ska vara i enlighet med de allmänna principerna i unions- lagstiftningen. Bland dessa ingår de allmänna principer och grund- läggande rättigheter som numera garanteras i rättighetsstadgan. Nämnda artikel 15.1 ska alltså tolkas mot bakgrund av de grund- läggande rättigheter som garanteras i stadgan (p. 91 i domen).

9.4Inskränkningar i rättighetsskyddet

får bara göras om åtgärden är proportionell

Enligt artikel 52.1 i rättighetsstadgan ska varje begränsning i utö- vandet av de rättigheter och friheter som erkänns i stadgan vara före- skriven i lag och vara förenlig med rättigheternas och friheternas väsentliga innehåll. Begränsningar får, med beaktande av proportio- nalitetsprincipen, endast göras om de är nödvändiga och faktiskt svarar mot mål av allmänt intresse som erkänns av unionen eller mot

172

SOU 2017:75

EU-domstolens andra dom – Tele2-domen

behovet av skydd för andra människors rättigheter och friheter (p. 94 i domen).

Artikel 15.1 i direktivet föreskriver att medlemsstaterna får vidta en åtgärd som avviker från principen om konfidentialitet vid kom- munikation och därmed förbundna trafikuppgifter om åtgärden ”i ett demokratiskt samhälle är nödvändig, lämplig och proportionell” för de syften som anges i den bestämmelsen. Skäl 11 i direktivet precise- rar att en åtgärd av sådant slag måste stå i strikt proportion till det av- sedda ändamålet. Vad särskilt gäller lagring av uppgifter kräver artikel 15.1 andra meningen i direktivet att uppgifter endast bevaras under en begränsad period och att lagringen motiveras av de skäl som fastställs i artikel 15.1 första meningen i direktivet. (p. 95 i domen)

Att proportionalitetsprincipen ska iakttas framgår även av dom- stolens fasta praxis, enligt vilken skyddet av den grundläggande rätten till respekt för privatlivet på unionsnivå kräver att undantag från och begränsningar av skyddet för personuppgifter ska inskränkas till vad som är strängt nödvändigt (p. 96 i domen).

9.5De svenska reglerna utgör inskränkningar i artikel 7, 8 och 11 i rättighetsstadgan

När det gäller frågan om den svenska lagstiftningen uppfyller kraven på proportionalitet, påpekar domstolen att den svenska lagstift- ningen föreskriver en generell och odifferentierad lagring av samtliga trafikuppgifter och lokaliseringsuppgifter för samtliga abonnenter och registrerade användare avseende samtliga elektroniska kom- munikationsmedel och ålägger leverantörer av elektroniska kom- munikationstjänster att systematiskt och kontinuerligt lagra dessa uppgifter utan undantag (p. 97 i domen).

De uppgifter som leverantörer av elektroniska kommunikations- tjänster således är skyldiga att lagra är sådana som gör det möjligt att spåra och identifiera en kommunikationskälla, identifiera slutmålet för en kommunikation, identifiera en kommunikations datum, tid- punkt, varaktighet och typ, identifiera användarnas kommunikations- utrustning och identifiera lokaliseringen av mobil kommunikations- utrustning. Bland dessa uppgifter ingår abonnentens eller den regi- strerade användarens namn och adress, det uppringande telefon- numret, det uppringda numret och ip-adressen för internettjänster.

173

EU-domstolens andra dom – Tele2-domen

SOU 2017:75

Dessa uppgifter gör det möjligt att få kännedom om med vilken person en abonnent eller registrerad användare har kommunicerat och på vilket sätt, hur länge kommunikationen varat och från vilken plats kommunikationen skett. Uppgifterna gör det dessutom möjligt att få kännedom om hur ofta abonnenten eller den registrerade användaren kommunicerat med vissa personer under en viss tids- period. (p. 98 i domen)

Dessa uppgifter kan enligt EU-domstolen sammantagna göra det möjligt att dra mycket precisa slutsatser om privatlivet för de perso- ner vilkas uppgifter har lagrats, såsom deras vanor i vardagslivet, deras stadigvarande och tillfälliga uppehållsorter, deras dagliga förflytt- ningar och förflyttningar i övrigt, de aktiviteter de utövar, deras sociala relationer och de umgängeskretsar de rör sig i. Dessa uppgifter gör det enligt domstolen möjligt att kartlägga de berörda personerna på ett sätt som är lika känsligt ur integritetssynpunkt som själva innehållet i kommunikationerna. (p. 99 i domen)

Det ingrepp som en sådan lagstiftning utgör i de grundläggande rättigheter som är stadfästa i artiklarna 7 och 8 i stadgan är enligt EU-domstolen långtgående och måste betraktas som synnerligen allvarligt. Den omständigheten att lagringen av uppgifterna och den senare användningen av dem sker utan att abonnenten eller den registrerade användaren är underrättad om detta kan enligt dom- stolen ge de berörda personerna en känsla av att deras privatliv står under ständig övervakning. (p. 100 i domen)

Även om en sådan lagstiftning inte medger lagring av innehållet i en kommunikation, och därför inte kan kränka det väsentliga inne- hållet i dessa grundläggande rättigheter, skulle lagringen av trafik- uppgifter och lokaliseringsuppgifter emellertid kunna inverka på användningen av de elektroniska kommunikationsmedlen och följ- aktligen på användarnas utövande av sin i artikel 11 i stadgan garan- terade yttrandefrihet (p. 101 i domen).

9.6Inskränkningarna som de svenska reglerna medför är inte proportionella

EU-domstolen konstaterar att den svenska lagstiftningen omfattar samtliga abonnenter och avser samtliga elektroniska kommunikations- medel och samtliga trafikuppgifter, och att det inte görs några åt-

174

SOU 2017:75

EU-domstolens andra dom – Tele2-domen

skillnader, begränsningar eller undantag utifrån det eftersträvade syftet. Domstolen konstaterar vidare att den på ett allomfattande sätt berör samtliga personer som använder elektroniska kommunika- tionstjänster, utan att dessa personer ens indirekt befinner sig i en situation som kan föranleda lagföring. Den är således även tillämplig på personer beträffande vilka det inte föreligger något indicium som ger anledning att tro att deras beteende ens kan ha ett indirekt eller avlägset samband med grov brottslighet. Den föreskriver inte heller några undantag, vilket innebär att den även är tillämplig på personer vilkas kommunikationer enligt nationell rätt omfattas av tystnads- plikt (p. 105 i domen).

EU-domstolen konstaterar vidare att en sådan lagstiftning inte kräver något samband mellan de uppgifter som ska lagras och ett hot mot den allmänna säkerheten. Den är inte begränsad till lagring av uppgifter avseende en viss tidsperiod eller ett visst geografiskt område eller en viss krets av personer som på något sätt kan vara in- blandade i ett allvarligt brott eller till personer beträffande vilka lagringen av uppgifter av andra skäl skulle kunna bidra till bekämp- ningen av brott (p. 106 i domen).

EU-domstolen konkluderar att den svenska lagstiftningen över- skrider gränserna för vad som är strängt nödvändigt och att den inte kan anses motiverad i ett demokratiskt samhälle, såsom krävs enligt artikel 15.1 i direktiv 2002/58 jämförd med artiklarna 7, 8, 11 och 52.1 i stadgan (p. 107 i domen).

9.7Lagringen

9.7.1Generell och odifferentierad lagring är inte motiverad ens för att bekämpa grov brottslighet

EU-domstolen menar att – med hänsyn till det allvarliga ingrepp i de berörda grundläggande rättigheterna som en nationell lagstiftning som i brottsbekämpande syfte föreskriver lagring av trafikuppgifter och lokaliseringsuppgifter utgör – endast bekämpning av grov brotts- lighet kan motivera en sådan åtgärd (p. 102 i domen).

EU-domstolen bejakar i och för sig att en effektiv bekämpning av grov brottslighet, särskilt organiserad brottslighet och terrorism, i stor utsträckning kan vara beroende av användningen av moderna utredningstekniker. Fastän det syftet är av allmänt samhällsintresse

175

EU-domstolens andra dom – Tele2-domen

SOU 2017:75

kan det enligt domstolen inte i sig ensamt motivera en nationell lag- stiftning som föreskriver en generell och odifferentierad lagring av samtliga trafikuppgifter och lokaliseringsuppgifter (p. 103 i domen).

9.7.2Riktad lagring

Domstolen menar att inget hindrar att en medlemsstat antar lag- stiftning som i förebyggande syfte tillåter en riktad lagring av trafik- uppgifter och lokaliseringsuppgifter, i syfte att bekämpa grov brotts- lighet, förutsatt att lagringen av uppgifterna, vad gäller vilka slags uppgifter som ska lagras, vilka kommunikationsmedel som avses, vilka personer som berörs och hur länge lagringen ska ske, begränsas till vad som är strängt nödvändigt (p. 108 i domen).

För att en riktad lagring ska vara förenlig med EU-rätten måste den nationella lagstiftningen enligt EU-domstolen föreskriva tydliga och precisa bestämmelser som reglerar omfattningen och tillämplig- heten av en sådan lagringsåtgärd och som slår fast minimikrav, så att de personer vars uppgifter har lagrats har tillräckliga garantier som möjliggör ett effektivt skydd av deras personuppgifter mot riskerna för missbruk. Den måste särskilt precisera under vilka omständig- heter och villkor en sådan lagringsåtgärd får vidtas i förebyggande syfte, vilket säkerställer att lagringen begränsas till vad som är strängt nödvändigt (p. 109 i domen).

Vad för det andra gäller de villkor som en nationell lagstiftning måste uppfylla för att säkerställa att den är begränsad till vad som är strängt nödvändigt, påpekar domstolen att även om villkoren kan variera utifrån vilka åtgärder som vidtas för att förebygga, undersöka, avslöja och väcka åtal för grov brottslighet, måste lagringen av upp- gifterna alltid uppfylla objektiva kriterier, som fastställer ett sam- band mellan de uppgifter som ska lagras och det eftersträvade syftet. I synnerhet måste villkoren vara sådana att de klart avgränsar om- fattning och följaktligen den berörda personkretsen (p. 110 i domen).

Vad gäller avgränsningen av den personkrets och de situationer som kan komma att beröras av riktad lagring gör EU-domstolen följande bedömning. Den nationella lagstiftningen ska grunda sig på objektiva omständigheter som gör det möjligt att ta sikte på en personkrets vars uppgifter kan avslöja en, åtminstone indirekt, kopp- ling till grov brottslighet och på ett eller annat sätt kan bidra till att

176

SOU 2017:75

EU-domstolens andra dom – Tele2-domen

bekämpa grov brottslighet eller förhindra en allvarlig risk för den allmänna säkerheten. En sådan avgränsning kan säkerställas genom ett geografiskt kriterium genom en bedömning att det i ett eller flera geografiska områden finns en förhöjd risk för förberedelse eller genomförande av sådana handlingar (p. 111 i domen).

9.8Tillgången

9.8.1Endast för att bekämpa grov brottslighet

När det gäller de syften som kan motivera en nationell lagstiftning som avviker från principen om konfidentialitet vid elektronisk kom- munikation anför EU-domstolen följande. Tillgång till lagrade upp- gifter måste vara faktiskt och strikt begränsad till de fall då tillgången krävs för något av de syften som anges i artikel 15.1 i direk- tiv 2002/58. Då syftet med lagstiftningen måste stå i proportion till hur allvarligt ingrepp i de grundläggande rättigheterna det innebär att ge tillgång till de lagrade uppgifterna är det vid förebyggande, under- sökning, avslöjande av och åtal för brott endast bekämpning av grov brottslighet som kan motivera en sådan tillgång. (p. 115 i domen)

Vad gäller proportionalitetsprincipen fastslår EU-domstolen att en nationell lagstiftning måste garantera att tillgång inte ges utöver vad som är strängt nödvändigt (p. 116 i domen).

9.8.2Precisa krav måste föreskrivas

Eftersom de lagstiftningsåtgärder som avses i artikel 15.1 i direktiv 2002/58 enligt skäl 11 i direktivet ska ”omfattas av lämpliga skydds- mekanismer”, måste en sådan åtgärd, enligt EU-domstolen, dess- utom föreskriva klara och precisa bestämmelser som anger under vilka omständigheter och på vilka villkor leverantörer av elektroniska kommunikationstjänster måste ge behöriga nationella myndigheter tillgång till uppgifterna (p. 117 i domen).

För att säkerställa att behöriga nationella myndigheters tillgång till lagrade uppgifter begränsas till vad som är strängt nödvändigt, ankommer det förvisso på nationell rätt att fastställa på vilka villkor leverantörer av elektroniska kommunikationstjänster ska ge sådan tillgång. Det räcker dock enligt EU-domstolen inte att den berörda

177

EU-domstolens andra dom – Tele2-domen

SOU 2017:75

nationella lagstiftningen stadgar att tillgång enbart ska medges för något av de syften som avses i artikel 15.1 i direktiv 2002/58, även om det gäller bekämpning av grov brottslighet. Den måste även ange de materiella och formella villkoren för de behöriga nationella myndig- heternas tillgång till de lagrade uppgifterna (p. 118 i domen).

9.8.3Tillgång bara till uppgifter om personer som är inblandade i ett allvarligt brott

Eftersom en allmän tillgång till samtliga lagrade uppgifter, oberoende av om det finns någon koppling, ens indirekt, till det eftersträvade syftet, inte enligt EU-domstolen kan anses vara begränsad till vad som är strängt nödvändigt, måste den berörda nationella lagstift- ningen vara grundad på objektiva kriterier som avgör under vilka omständigheter och på vilka villkor behöriga nationella myndigheter ska ges tillgång till uppgifter om abonnenter eller registrerade använ- dare. Tillgång kan enligt domstolen i princip bara beviljas, i samband med bekämpning av brott, till uppgifter om personer som misstänks planera, begå eller ha begått ett allvarligt brott eller på något sätt vara inblandade i ett sådant brott. I särskilda fall, som när vitala intressen för nationell säkerhet, försvar eller allmän säkerhet hotas av terro- rism, skulle dock enligt domstolen tillgång kunna ges även till upp- gifter om andra personer när det finns objektiva omständigheter som ger skäl att anta att de uppgifterna i ett konkret fall effektivt skulle kunna bidra till att bekämpa terrorism. (p. 119 i domen)

9.8.4Förhandskontroll av domstol eller oberoende myndighet

För att säkerställa att de ovan nämnda preciserade villkoren uppfylls fullt ut, är det enligt EU-domstolen väsentligt att tillgången till de lagrade uppgifterna i princip, utom i motiverade brådskande fall, är underkastad förhandskontroll av en domstol eller en oberoende myndighet och att domstolen meddelar sitt avgörande eller myndig- heten fattar sitt beslut efter det att de behöriga nationella myndig- heterna framställt en motiverad ansökan (p. 120 i domen).

178

SOU 2017:75

EU-domstolens andra dom – Tele2-domen

9.8.5Information till de berörda

Enligt EU-domstolen krävs att de myndigheter som har beviljats tillgång till lagrade uppgifter informerar de berörda personerna om detta enligt tillämpliga nationella förfaranden så snart en sådan upp- lysning inte längre riskerar att skada myndigheternas utredningar. Den informationen är enligt EU-domstolen nödvändig bl.a. för att dessa personer ska kunna utöva sin rätt till rättslig prövning vid kränkning av deras rättigheter, såsom uttryckligen stadgas i artikel 15.2 i direk- tiv 2002/58, jämförd med artikel 22 i direktiv 95/46. (p. 121 i domen)

9.9Skydds- och säkerhetsnivåer, lagring inom EU och utplåning

Vad gäller bestämmelserna om skydd av och säkerhet för de upp- gifter som lagras av leverantörer av elektroniska kommunikations- tjänster, konstaterar EU-domstolen att artikel 15.1 i direktiv 2002/58 inte medger att medlemsstaterna avviker från artikel 4.1 eller 4.1a i direktivet. De sistnämnda bestämmelserna kräver att leverantörerna vidtar lämpliga tekniska och organisatoriska åtgärder för att säkerställa ett effektivt skydd av de lagrade uppgifterna mot riskerna för missbruk och otillåten tillgång till uppgifterna. Med hänsyn till att det är fråga om en stor mängd uppgifter och att dessa är av känslig natur samt att det finns en risk för otillåten tillgång till uppgifterna måste leverantörerna av elektroniska kommunikations- tjänster enligt EU-domstolen garantera en särskilt hög skydds- och säkerhetsnivå genom lämpliga tekniska och organisatoriska åtgärder. Den nationella lagstiftningen måste i synnerhet föreskriva att lagringen sker inom unionen och att uppgifterna oåterkalleligen för- störs när deras lagringstid gått ut. (p. 122 i domen)

9.10Tillsyn

Medlemsstaterna måste enligt EU-domstolen garantera att en oberoende myndighet kontrollerar att den skyddsnivå som säker- ställs i unionsrätten iakttas vad gäller skyddet för fysiska personer vid behandlingen av personuppgifter. En sådan kontroll krävs ut- tryckligen enligt artikel 8.3 i stadgan och utgör enligt domstolens

179

EU-domstolens andra dom – Tele2-domen

SOU 2017:75

fasta praxis en grundläggande beståndsdel i skyddet för enskilda i samband med behandlingen av personuppgifter. Annars skulle enligt domstolen de personer vars personuppgifter har lagrats berövas sin rätt enligt artikel 8.1 och 8.3 i stadgan att vända sig till de nationella tillsynsmyndigheterna med begäran om skydd för sina personuppgif- ter. (p. 123 i domen)

9.11EU-domstolens slutsatser

EU-domstolen kom till följande två slutsatser.

EU-rätten utgör ett hinder för en nationell lagstiftning som i brottsbekämpande syfte föreskriver en generell och odifferentierad lagring av samtliga trafikuppgifter och lokaliseringsuppgifter av- seende samtliga abonnenter och registrerade användare och samtliga elektroniska kommunikationsmedel.

EU-rätten utgör hinder för en nationell lagstiftning som inte begränsar tillgången till trafik- och lokaliseringsuppgifter till enbart åtgärder som syftar till att bekämpa grov brottslighet, inte före- skriver att tillgången ska vara underkastad förhandskontroll av en domstol eller en oberoende förvaltningsmyndighet och inte kräver att uppgifterna ska lagras inom unionen.

Den andra frågan i det engelska målet tog EU-domstolen inte upp till prövning, eftersom ett besvarande av den frågan enligt dom- stolen inte skulle bidra till tolkningen av unionsrätten på ett sätt som är nödvändigt för att i unionsrättsligt avseende avgöra tvisten i det nationella målet (p. 132 i domen).

Kommissionen har uttalat att den avser att komma med någon sorts vägledning eller kommentar med anledning av Tele2-domen.

180

10Målet i Kammarrätten i Stockholm

10.1Bakgrund

Kort efter Digital Rights-domen meddelade Tele2 PTS att bolaget skulle upphöra att lagra uppgifter om elektronisk kommunikation och även radera de uppgifter som tidigare lagrats i enlighet med 6 kap. LEK.

PTS beslutade den 27 juni 2014 att förelägga Tele2 enligt 7 kap. 5 § LEK att lagra uppgifter i enlighet med 6 kap. 16 a § LEK jämte 37–43 §§ FEK. Tele2 överklagade föreläggandet till Förvaltnings- rätten i Stockholm (mål nr 14891-14).

10.2Målet i förvaltningsrätten

Tele2 yrkade att förvaltningsrätten skulle upphäva föreläggandet. Till stöd för sin talan anförde bolaget i huvudsak följande. De svenska datalagringsbestämmelserna i 6 kap. LEK står i strid med Europa- konventionen och därmed också svensk grundlag. De svenska bestämmelserna lever inte upp till de krav på grundläggande fri- och rättigheter som EU-domstolen angett följer av Europakonventionen. De svenska datalagringskraven är så omfattande och långtgående att de rimligen inte kan vägas upp av regler som begränsar tillgången till de lagrade uppgifterna.

PTS motsatte sig överklagandet och anförde i huvudsak följande. Digital Rights-domen innebär inte per automatik att den svenska lagstiftningen blir ogiltig. EU-domstolen har inte funnit att data- lagring i syfte att ge nationella myndigheter tillgång till uppgifterna i sig är otillåten. I likhet med de slutsatser som redovisats i Ds 2014:23

181

Målet i Kammarrätten i Stockholm

SOU 2017:75

har PTS funnit att det saknas skäl att underlåta att tillämpa de svenska reglerna om lagring.

Förvaltningsrätten avslog överklagandet den 13 oktober 2014. I sina skäl fastslog domstolen inledningsvis att EU:s rättighetsstadga är tillämplig, att de svenska reglerna innebär ett intrång i rättig- heterna enligt stadgan och att inskränkningarna i rättigheterna som följer av den svenska lagstiftningen är betydande. Förvaltningsrätten konstaterade att de svenska reglerna tillkommit i syfte att bekämpa brott och skydda enskildas integritet, vilket är godtagbara ändamål enligt RF, Europakonventionen, rättighetsstadgan och direk- tiv 2002/58. Enligt domstolen var den svenska datalagringsskyldig- heten mycket omfattande men mot bakgrund av att man inte på förväg kan veta vilka personer som kommer att bli inblandade i all- varliga brott eller på vilka platser brotten kommer att begås, skulle en begränsning av omfattningen äventyra syftet med lagringen. Detsam- ma gäller vid en eventuell begränsning till vissa kommunikationsslag, enligt domstolen. Följaktligen konstaterade förvaltningsrätten att bestämmelserna om lagring i sig inte kunde anses gå utöver vad som var nödvändigt för att uppnå det eftersträvade syftet. Förvaltnings- rätten gjorde därefter en proportionalitetsprövning av tillgångs- bestämmelserna, lagringstiden och bestämmelserna om säkerhet för de lagrade uppgifterna. En av de slutsatser som förvaltningsrätten kom fram till var att delar av den kritik som EU-domstolen riktat mot direktiv 2006/24 i Digital Rights-domen även kan riktas mot svensk lagstiftning, i synnerhet vad gäller omfattningen av lagrings- skyldigheten. Vidare fanns det, enligt domstolen, en del svagheter i de svenska bestämmelserna om tillgång till uppgifterna och säker- hetsåtgärder. Domstolen påpekade bl.a. att det inte fanns någon begränsning till allvarliga brott vid inhämtning av abonnemangs- uppgifter, att flera myndigheter själva kunde inhämta uppgifter, utan förhandsprövning av domstol, och att det saknades reglering om i vilket land uppgifterna får lagras. Vid en sammantagen bedömning ansåg förvaltningsrätten emellertid att svagheterna i regleringen vägdes upp av andra faktorer och att det totala intrånget i de grund- läggande rättigheterna därför kunde anses godtagbart. Förvaltnings- rätten ansåg sammanfattningsvis de berörda svenska bestämmelserna vara förenliga med grundlag, EU-rätt och Europakonventionen.

182

SOU 2017:75

Målet i Kammarrätten i Stockholm

10.3Målet i kammarrätten

10.3.1Den inledande delen av rättegången

Tele2 överklagade förvaltningsrättens dom till Kammarrätten i Stockholm (mål nr 7380-14) och vidhöll sitt yrkande om att före- läggandet skulle upphävas. PTS bestred yrkandet. Parterna anförde i huvudsak detsamma som vid förvaltningsrätten.

Kammarrätten beslutade den 29 april 2015 att inhämta ett för- handsavgörande från EU-domstolen i enlighet med artikel 267 i funktionsfördraget. Förhandsavgörandet begärdes eftersom kam- marrätten ansåg att svensk lagstiftning i första hand måste prövas mot artikel 15.1 i direktiv 2002/58 och att det inte entydigt framgår av Digital Rights-domen om proportionaliteten av lagringsskyldig- hetens omfattning ska bedömas för sig eller om det ska göras en sammanvägd bedömning med beaktande av bestämmelserna om till- gång till de lagrade uppgifterna, lagringstiden och säkerheten för de lagrade uppgifterna.

EU-domstolen besvarade kammarrättens frågor i Tele2-domen, som meddelades den 21 december 2016. De frågor som kammarrätten ställde och innehållet i EU-domstolens dom framgår av avsnitt 9 ovan.

Dagen efter EU-domstolens dom beslutade kammarrätten, efter begäran från Tele2, att PTS beslut om föreläggande tills vidare inte skulle gälla.

10.3.2Kammarrättens dom

Kammarrätten meddelade dom i målet den 7 mars 2017. Genom domen biföll kammarrätten överklagandet och upphävde PTS beslut att förelägga Tele2.

I avgörandet redogjorde kammarrätten särskilt för omfattningen av domstolens prövning och förtydligade att prövningen endast gällde frågan om huruvida bestämmelserna i LEK och FEK om lagring av trafikuppgifter m.m. för brottsbekämpande ändamål strider mot unionsrätten och PTS beslut om föreläggande därmed skulle upphävas. Vidare förtydligade kammarrätten att prövningen inte omfattade frågan om huruvida reglerna avseende lagring för andra ändamål, exempelvis underlag för fakturering, tillgång till lag-

183

Målet i Kammarrätten i Stockholm

SOU 2017:75

rade uppgifter, lagringstid och säkerhet för de lagrade uppgifterna var förenliga med EU-rätten.

Efter en redogörelse för tillämpliga lagregler och EU-domstolens motivering, konstaterade kammarrätten att det, med hänsyn till EU- domstolens uttalanden, är klarlagt att de svenska bestämmelserna om lagring av trafikuppgifter m.m. för brottsbekämpande ändamål inte är förenliga med artikel 15.1 i direktiv 2002/58 jämförd med artiklarna 7, 8, 11 och 52.1 i stadgan samt att de därför strider mot unionsrätten. Vidare fastslog kammarrätten att det får till följd att bestämmelserna inte kan tillämpas och att PTS därför inte haft rätt att förelägga Tele2 att lagra uppgifter i enlighet med 6 kap. 16 a § LEK och 37–43 §§ FEK.

184

11 Internationell utblick

Nedan redovisas översiktligt huvuddragen i gällande rätt och på- gående arbete i Danmark, Finland, Tyskland, Österrike, Belgien och Portugal. Värt att notera är att EU-domstolens dom fått till följd att många länder påbörjat en översyn av berörda lagstiftningar. Dessa översyner har dock ännu inte lett till lagstiftning i något land, varför den nedanstående redogörelsen inte beskriver lagstiftning som har anpassats efter uttalandena i Tele2-domen.

11.1Danmark

11.1.1Tillämpliga bestämmelser

Leverantörernas skyldighet att lagra uppgifter om elektronisk kom- munikation finns i 2 kap. logningsbekendtgørelsen (988/2006).

Bestämmelser om tillgång till de lagrade uppgifterna finns i 71 kap. retsplejeloven (1267/2016).

11.1.2Lagring

Enligt dansk lagstiftning måste alla leverantörer av elektroniska kommunikationstjänster till slutkund lagra uppgifter om telefon- samtal från fasta och mobila nätet och om sms-, ems och mms- kommunikation. Informationen som ska lagras är uppringande num- mer, uppringt nummer och nummer som samtalet styrts till, namn och adress för abonnenten eller den registrerade användaren till dessa nummer, mottagandebekräftelse för meddelanden, identiteten på kommunikationsutrustningen (IMSI- och IMEI-nummer), uppgift om den eller de celler en mobiltelefon är uppkopplad mot då kom- munikationen påbörjades och avslutades samt de tillhörande master-

185

Internationell utblick

SOU 2017:75

nas exakta geografiska eller fysiska placering vid tidpunkten för kommunikationen, tidpunkt när kommunikationen påbörjades och avslutades samt tidpunkt för den första aktiveringen av anonyma tjänster (oregistrerade kontantkort).

Vid en internetsessions inledande och avslutande paket ska leve- rantörerna lagra uppgifter om avsändande och mottagande ip-adress, transportprotokoll, avsändande och mottagande portnummer samt tidpunkten för kommunikationen. När det gäller internetåtkomst ska det lagras tilldelat användar-id, användar-id och telefonnummer som tilldelats kommunikationen i ett allmänt tillgängligt elektro- niskt kommunikationsnät, namn och adress för abonnenten eller den registrerade användaren som tilldelats ett användar-id eller telefon- nummer vid tidpunkten för kommunikationen samt tidpunkt för när kommunikationen påbörjades och avslutades. Vid trådlös internet- åtkomst ska dessutom lagras information om det lokala nätverkets exakta geografiska eller fysiska placering samt identiteten på kom- munikationsutrustningen. Härutöver ska, vid slutbrukarens använ- dande av leverantörens egna e-posttjänster, lagras information om avsändande och mottagande e-postadress.

Vid sådana internettelefonitjänster som leverantören själv till- handahåller ska uppgifter motsvarande dem för internetanvändning och -åtkomst, lagras.

Informationen ska sparas i ett år.

11.1.3Tillgång

Tillgång till lagrade trafikuppgifter kan ges för utredning av brott för vilket inte är föreskrivet lägre straff än fängelse sex år, brott mot rikets säkerhet, terroristbrott och vissa andra brott, däribland barn- pornografibrott. För att tillgång ska beviljas ska det finnas klara skäl att anta (bestemte grunde til at antage) att kommunikation sker till eller från en misstänkt och åtgärden ska antas vara av avgörande betydelse för utredningen.

Tillgång till abonnemangsuppgifter och lokaliseringsdata kan ges mer generöst; det finns inga krav på brottstyp utan en prövning görs i stället utifrån om åtgärden är proportionell i det enskilda fallet.

186

SOU 2017:75

Internationell utblick

All tillgång kräver tillstånd från domstol. Domstolen avgör vilka uppgifter som ska lämnas ut. Uppgifterna som lämnas ut får avse även andra än misstänkta, exempelvis målsäganden eller vittnen.

Samma regler för tillgång gäller oavsett om uppgifterna begärs inom en förundersökning eller i underrättelseverksamhet och om det begärs av t.ex. polismyndigheten eller av Politiets Efterretnings- tjeneste (danska säkerhetspolisen).

Den som varit föremål för inhämtande av uppgifter ska under- rättas om det. Underrättelse får skjutas upp eller underlåtas, till exempel om den kan skada utredningen eller röja hemlig information om polisens undersökningsmetoder.

11.1.4Skydd för de lagrade uppgifterna

Leverantörernas lagring övervakas av en oberoende tillsynsmyndighet.

11.1.5Förändringsarbete

Danmark överväger att inkludera ytterligare information i lagrings- skyldigheten, exempelvis lokaliseringsuppgifter vid internetanvänd- ning. Samtidigt pågår en analys av Tele2- domen.

11.2Finland

11.2.1Tillämpliga bestämmelser

Leverantörernas lagringsskyldighet av elektroniska kommunika- tionsuppgifter regleras i 19 kap. informationssamhällsbalken (Tietoyhteiskuntakaari) (917/2014).

Tillgång regleras i flera delar av lagstiftningen, bl.a. i 5 kap. polis- lagen (872/2011) och 10 kap. tvångsmedelslagen (806/2011).

187

Internationell utblick

SOU 2017:75

11.2.2Lagring

Leverantörer av elektroniska kommunikationstjänster är skyldiga att lagra följande uppgifter.

För telefoni-, internettelefoni- och textmeddelandetjänster som tillhandahålls av leverantören ska det lagras uppgifter om abonnen- tens och den registrerade användarens namn och adress, abonne- mangets identifieringsuppgifter och uppgifter med vilkas hjälp en användare av kommunikationstjänster kan identifieras samt använ- darens transaktioner, inklusive omstyrda samtal, kan fastställas utifrån meddelandets typ och mottagare samt tidpunkt och varak- tighet för kommunikationen. Lagringsskyldigheten omfattar även obesvarade samtal.

För telefoni- och textmeddelandetjänster ska det dessutom lagras uppgifter med vilkas hjälp den kommunikationsutrustning som använts och utrustningens och abonnemangets position när trans- aktionen inleddes kan fastställas.

För internetaccesstjänster som tillhandahålls av leverantören ska det lagras uppgifter om abonnentens och den registrerade använda- rens namn och adress, abonnemangets identifieringsuppgifter och installeringsadress samt uppgifter med vilkas hjälp en användare av kommunikationstjänster och den utrustning som använts kan identi- fieras samt tidpunkt och varaktighet för tjänsternas användning kan fastställas. Endast de uppgifter som med beaktande av tjänstens tek- niska genomförande är nödvändiga för att specificera informationen får lagras.

Uppgifter avseende telefoni- och textmeddelandetjänster ska lagras i ett år, avseende internettelefonitjänster i sex månader och av- seende internetaccesstjänster i nio månader, från att transaktionen inleddes.

11.2.3Tillgång

De brottsbekämpande myndigheterna får inhämta trafik-, lokali- serings- och abonnemangsuppgifter avseende en person som är skäligen misstänkt för eller med fog kan antas göra sig skyldig till ett brott, för vilket det föreskrivna strängaste straffet är fängelse minst fyra år, ett brott som begåtts med användning av en teleadress eller teleterminalutrustning och för vilket det föreskrivna strängaste

188

SOU 2017:75

Internationell utblick

straffet är fängelse minst två år, samt för vissa andra brott, till exem- pel narkotikabrott, lockande av barn i sexuella syften, koppleri, grovt tullredovisningsbrott och förberedelse till grovt rån eller brott i terroristiskt syfte. Vid misstanke om sådant brott får även bas- stationstömningar göras. Endast uppgifter som gäller den förmodade brottstidpunkten får då inhämtas och bara från en basstation som finns i närheten av den förmodade brottsplatsen. Om det finns särskilda skäl får uppgifter dock inhämtas även för någon annan tid eller plats. Det är också möjligt för myndigheten att inhämta lokali- seringsuppgifter i syfte att få reda på var en misstänkt eller dömd person befinner sig, om brottet är sådant som inhämtning i övrigt kan beviljas för.

Tillgång till uppgifterna beslutas, förutom i brådskande fall, av domstol. I brådskande fall kan en anhållningsberättigad tjänsteman besluta om inhämtning eller basstationstömning till dess domstolen avgjort frågan.

Den som varit föremål för inhämtandet ska underrättas om det så snart syftet med inhämtningen har uppnåtts. Det gäller dock inte vid basstationstömningar. Underrättelse får underlåtas om det är nöd- vändigt för att trygga statens säkerhet eller skydda liv eller hälsa.

11.2.4Skydd för de lagrade uppgifterna

Kommunikationsverket utövar tillsyn över efterlevnaden av bestäm- melserna i informationssamhällsbalken.

11.2.5Förändringsarbete

Finland utvärderade sin lagstiftning avseende datalagring efter Digital Rights-domen. Lagstiftningen bedömdes då förenlig med EU-rätten, med beaktande av att tillgången till de lagrade uppgif- terna var begränsad. Efter Tele2-domen tillsatte parlamentet en ny utredning för att bedöma den finska lagstiftningen. Utredningen kom i sin rapport, som redovisades den 22 juni 2017, fram till att den finska lagstiftningen om lagring inte krävde några omedelbara för- ändringar (Rapporter och utredningar 9/2017, finska Kommuni- kationsministeriet).

189

Internationell utblick

SOU 2017:75

11.3Tyskland

11.3.1Tillämpliga bestämmelser

Leverantörernas skyldigheter avseende lagring finns i 113a–113g §§ Telekommunikationsgesetz.

Tillgång till lagrade uppgifter regleras i kap. VIII och IX Straf- prozeßordnung.

11.3.2Lagring

Från och med juli 2017 är leverantörer av elektroniska kommunika- tionstjänster skyldiga att lagra abonnemangs- och trafikuppgifter i tio veckor och lokaliseringsuppgifter i fyra veckor. Lagringsskyldig- heten omfattar följande trafikuppgifter.

För allmänna telekommunikationstjänster ska det lagras uppgifter om uppringande nummer, uppringt nummer och nummer som sam- talet styrts till, datum och tid när kommunikationen påbörjades och avslutades samt information om tjänsten som används, om olika tjänster kan användas som en del av telefonitjänsten. För mobil- telefoni ska dessutom lagras uppgifter om internationellt prefix för numren och vid kontantkortstjänster datum och tid för första aktiveringen. För internettelefoni ska ip-adresser och användar-id för den uppringande och uppringda användaren lagras. Lagringsskyldig- heten gäller även obesvarade samtal.

Motsvarande uppgifter ska lagras vid kommunikation via sms, mms eller liknande meddelande. Avseende tidsangivelser ska dessa avse när meddelandet skickades respektive togs emot.

För allmänna internettjänster ska det lagras uppgifter om använ- darens ip-adress och användar-id, unikt id för anslutningsterminal samt datum och tid för påbörjandet och avslutandet av internet- användningen under den tilldelade ip-adressen.

De lokaliseringsuppgifter som ska lagras avser endast mobil telefoni och internetanvändning. Leverantörerna är skyldiga att lagra information om den radiocell som används av det uppringande och uppringda numret vid början av kommunikationen. För internet- användning ska den radiocell som användes när internetåtkomsten påbörjades lagras. Härutöver ska leverantörerna spara information

190

SOU 2017:75

Internationell utblick

om den geografiska positionen och huvudsakliga riktningen för strålning hänförlig till respektive radiocell.

Uppgifter hänförliga till institutioner och organisationer med särskilda sekretesskrav får däremot inte lagras. För att undvika lagring ska dessa institutioner och organisationers terminaler vara upptagna i en lista, som finns tillgänglig för automatiserad behandling.

11.3.3Tillgång

Tillgång till de lagrade uppgifterna får endast beviljas de brotts- bekämpande myndigheterna för utredning av vissa brott.

För de uppgifter som leverantörerna frivilligt lagrar, exempelvis för fakturering, krävs att utredningen avser ett av flera särskilt listade allvarliga brott (schwere Straftat), exempelvis mord, narkotikabrott, rån, utpressning, bedrägeri och skattebrott, eller ett brott som begåtts genom telekommunikation.

Tillgång till de uppgifter som leverantörerna är skyldiga att lagra kräver att utredningen avser ett särskilt allvarligt brott (Straftat von erheblicher Bedeutung), med vilket avses vissa specifika brott, där- ibland mord, människohandel, vissa sexualbrott, allvarligare narkotika- brott, barnpornografibrott och vissa brott mot staten.

Inhämtning kan endast ske av uppgifter hänförliga till personer som är misstänkta för brott eller till andra personer, om det finns anledning att anta att de skickar eller tar emot meddelanden som kommer från eller är avsedda för den misstänkte.

Underrättelsetjänsten kan inte beviljas tillgång till uppgifterna. Däremot är det tillåtet för leverantörerna att använda den lagrade informationen för att besvara förfrågningar om abonnemangs- uppgifter från bl.a. underrättelsetjänsten.

Förutom såvitt avser abonnemangsuppgifter krävs det dom- stolsbeslut för all tillgång till lagrade uppgifter. Vid brådskande fall kan allmän åklagare bevilja tillgång, men bara till de uppgifter som frivilligt sparas av leverantörerna. Abonnemangsuppgifter begärs ut direkt från leverantörerna av åklagare eller polis.

Underrättelse ska lämnas till den som varit föremål för inhämt- ningen. Underrättelse kan emellertid underlåtas i vissa fall, till exem- pel om den kan äventyra en pågående utredningen eller om personen

191

Internationell utblick

SOU 2017:75

endast i liten omfattning berördes av inhämtningen och kan antas sakna intresse av att bli underrättad.

11.3.4Skydd för de lagrade uppgifterna

De uppgifter som omfattas av lagringsskyldigheten får endast lagras inom Tyskland.

Leverantörernas lagring övervakas av en oberoende tillsyns- myndighet.

11.3.5Förändringsarbete

EU-domstolens dom och dess konsekvenser för tysk rätt är under analys. I sammanhanget ska nämnas att en tysk regional domstol (Oberverwaltungsgericht für das Land Nordrhein-Westfalen) den 22 juni 2017 i ett interimistiskt beslut har meddelat att reglerna om lagring av uppgifter rörande internetåtkomst inte behöver följas då de har bedömts vara oförenliga med EU-rätten (Az. 13 B 238/17).

11.4Övriga länder

11.4.1Österrike

Efter Digital Rights-domen upphävde den österrikiska konstitu- tionsdomstolen berörd datalagringslagstiftning. Någon ny lagstift- ning har inte trätt i kraft men det finns däremot planer på att se över lagstiftningen i ljuset av Tele2-domen.

11.4.2Belgien

I Belgien gäller en skyldighet för leverantörer av elektroniska kom- munikationstjänster att lagra trafik- och lokaliseringsuppgifter för alla abonnenter och registrerade användare. Efter Digital Rights- domen anpassades lagstiftningen genom att differentierade tillgångs- regler infördes. Lagringsreglerna lämnades oförändrade men man införde regler som möjliggjorde mer omfattande tillgång till lagrad data ju allvarligare brottet var.

192

SOU 2017:75

Internationell utblick

Efter Tele2-domen utmanades denna nya lagstiftning i den natio- nella konstitutionsdomstolen. Något utslag har ännu inte kommit.

11.4.3Portugal

Den portugisiska konstitutionsdomstolen har nyligen prövat om den datalagring som föreskrivs i Portugal (lagring av ip-adresser och till- hörande uppgifter om abonnent i ett år) var förenlig med den portugisiska konstitutionen. Domstolen kom fram till att så var fallet (dom 420/2017, 13 juli 2017).

193

12 Överväganden

12.1EU-rätten måste beaktas

Utredningens bedömning: EU-rätten har indirekt inflytande på det brottsbekämpande området.

EU:s kompetens och befogenhet framgår av EU:s grundfördrag. Ett av dem är fördraget om den Europeiska Unionen. I nämnda fördrag framgår, enligt principen om tilldelade befogenheter, att unionen endast ska handla inom ramen för de befogenheter som medlems- staterna har tilldelat unionen i fördragen för att nå de mål som fastställs där. Varje befogenhet som inte har tilldelats unionen i för- dragen ska tillhöra medlemsstaterna (artikel 5). Dessutom framgår av fördraget att unionen ska respektera medlemsstaternas väsentliga statliga funktioner, särskilt funktioner vars syfte är att hävda terri- toriell integritet, upprätthålla lag och ordning och skydda den natio- nella säkerheten. I synnerhet ska den nationella säkerheten också i fortsättningen vara varje medlemsstats eget ansvar (artikel 4.2). Sverige har inte tilldelat EU någon generell befogenhet på det brotts- bekämpande området (jfr kapitel 4, avdelning V i FEUF).

Frågan är då i vilken utsträckning som EU-rätten och Tele2- domen kan ha inflytande på nationell lagstiftning som rör just brotts- bekämpning, dvs. i detta fall LEK, IHL, RB, 2007 års preventivlag och LSU. Frågan behandlas i det följande.

Direktiv 2002/58 har som syfte att säkerställa ett likvärdigt skydd för grundläggande fri- och rättigheter vid behandling av person- uppgifter inom sektorn för elektronisk kommunikation samt möjlig- göra fri rörlighet för dessa uppgifter inom gemenskapen (artikel 1.1). Direktivet i sig har alltså inget brottsbekämpande syfte utan har i stället till syfte att uppfylla målen om fri rörlighet på den inre mark- naden. Däremot innehåller direktivet bestämmelser som under vissa

195

Överväganden

SOU 2017:75

förutsättningar möjliggör nationella undantag från direktivet om det sker för brottsbekämpande ändamål. Undantagen rör, i nu relevant hänseende, konfidentialitet vid kommunikation (artikel 5), utplåning av trafikuppgifter (artikel 6) och behandling av andra lokaliserings- uppgifter än trafikuppgifter (artikel 9). EU-domstolen konstaterar i detta sammanhang att, för att undantagsbestämmelsen inte helt ska förlora sin verkan, även statens verksamhet på det brottsbekämpande området måste omfattas av direktivets tillämpningsområde (p. 73 i domen).

Av domen framgår, i linje med det nu anförda, att EU-domstolen har ansett sig ha kompetens även på området för tillgång till data- lagrade uppgifter för brottsbekämpande ändamål och även för vitala intressen som nationell säkerhet och försvar (p. 65–81 och 119). Slutsatsen kan således dras att oavsett för vilket ändamål uppgifterna används så är operatörernas lagring och myndigheternas tillgång till dessa uppgifter underkastade den reglering som följer av EU-rätten.

Detta innebär att oavsett om det är fråga om brottsbekämpning som handhas av den öppna polisen, Tullverket eller Ekobrotts- myndigheten eller om det är fråga om brottsbekämpning som hand- has av Säkerhetspolisen så är datalagringsfrågan underkastad samma EU-rättsliga regelverk, låt vara att EU-domstolen öppnar för något mer tillåtande nationella regler när det gäller tillgång till uppgifter inom Säkerhetspolisens verksamhetsområde (p. 119 i domen).

12.2Abonnemangsuppgifter omfattas inte av Tele2- domen men av EU-rätten

Utredningens bedömning: Tele2-domen rör bara trafikuppgifter och lokaliseringsuppgifter men inte abonnemangsuppgifter. Behand- lingen av abonnemangsuppgifter omfattas av EU-rätten.

Kammarrätten berör i sin begäran om förhandsavgörande framför allt trafikuppgifter och lokaliseringsuppgifter, men genom en hänvis- ning till en tidigare punkt i redogörelsen omfattar begäran även abonnemangsuppgifter1. EU-domstolens avgörande berör dock inte

1 Vad begreppet abonnemangsuppgifter omfattar diskuteras i avsnitt 6.2.1. Samman- fattningsvis avses, något förenklat, uppgift om vilken abonnent eller registrerad användare

196

SOU 2017:75 Överväganden

abonnemangsuppgifter utan endast trafikuppgifter och lokaliserings- uppgifter.

Att EU-domstolen inte berör abonnemangsuppgifter är naturligt eftersom de inte behandlas i de artiklar i det direktiv (direk- tiv 2002/58) som tolkas av domstolen. Det finns t.ex. inte någon skyldighet att förstöra abonnemangsuppgifter och de omgärdas inte heller av någon tystnadsplikt enligt direktivet. Det motsatta gäller trafikuppgifter och lokaliseringsuppgifter vid kommunikation. De ska som huvudregel utplånas eller avidentifieras när de inte längre behövs för kommunikationen, artikel 6 i direktivet, och de är skyddade av tystnadsplikt enligt bestämmelsen i artikel 5, som gäller vid kom- munikation och därmed förbundna trafikuppgifter.

Som framgår av domslutet förklarar EU-domstolen hur artikel 15.1 mot bakgrund av bestämmelserna i rättighetsstadgan ska tolkas. Artikel 15.1 reglerar när undantag får göras från bl.a. bestämmelsen om konfidentialitet i artikel 5 och förstörandeskyldigheten i artikel 6. Artikeln saknar alltså relevans för behandlingen av abonne- mangsuppgifter, som inte omfattas av de rättigheter och skyldigheter som medlemsstaterna enligt den tolkade bestämmelsen får begränsa. Det är därför följdriktigt att EU-domstolen bara svarar på frågan om trafikuppgifter och lokaliseringsuppgifter men inte abonnemangs- uppgifter. Den svenska regleringen av lagringen och tillgången till abonnemangsuppgifter påverkas således inte ens indirekt av domen. Det behöver knappast sägas att de uttalandena av mer generellt slag om t.ex. inskränkningar i skyddet för personuppgifter däremot är relevanta även för behandlingen av abonnemangsuppgifter.

Det finns av andra skäl än Tele2-domen ändå anledning att beröra regleringen av abonnemangsuppgifter i betänkandet. För det första är det oundvikligt att inte göra det, eftersom regleringen bitvis har nära samband med bestämmelserna om trafik- och lokaliseringsupp- gifter. För det andra utgör behandling av abonnemangsuppgifter ett slags personuppgiftsbehandling och omfattas således av dataskydds- regleringen inom EU-rätten (t.ex. artikel 3 i direktiv 2002/58). Där- med omfattas behandlingen också av de krav som följer av rättighets- stadgan. Det finns även anledning att beröra regleringen av abonne-

som vid varje tillfälle kan sammankopplas med en viss adress, t.ex. ett telefonnummer eller en ip-adress.

197

Överväganden

SOU 2017:75

mangsuppgifter på grund av integritetsskyddet som följer av Europa- konventionen.

I utredningen har det väckts frågan om inte ip-adresser ändå omfattas av domen. De argument som förts fram redovisas nedan.

Ett argument utgår från att användningen av dynamiska ip- adresser och NAT-teknik (som gör det möjligt för flera abonnenter att använda samma publika ip-adress) har ökat. För att kunna veta vem som använt en ip-adress vid ett specifikt tillfälle kan det därför vara nödvändigt att ha tillgång till exakta tidsuppgifter för när adressen användes. Härigenom påstås det att de uppgifter man måste behandla sammantaget kan lämna mycket exakt information om abonnenternas internetkommunikation. Enligt utredningen har detta argument inte någon större bärkraft. Det kan nämligen inte vara någon skillnad ur integritetssynpunkt mellan att kartlägga någon via en fast ip-adress eller med hjälp av t.ex. en dynamisk ip-adress, tids- loggar och portnummer; inte i något fall lagras vilka webbsidor som användaren har besökt eller annan motsvarande information. Därtill finns det ingen tidsmässig koppling mellan ip-adressen och över- föringen av information. Ip-adressen kan vara fast eller tilldelas en användare i samband med internetåtkomsten. Normalt används sedan den (dynamiska) ip-adressen under en i förväg bestämd lånetid eller tills användaren kopplar ner från internet; någon direkt kopp- ling till trafik finns därför inte.

Ytterligare ett argument för att ip-adresser skulle omfattas av domen är att domstolen i punkt 98 nämner ip-adresser (och andra abonnemangsuppgifter) i beskrivningen av vilka uppgifter som leverantörerna är skyldiga att lagra enligt svensk rätt. EU-domstolen nämner också att dessa uppgifter tillsammans med vissa uppräknade trafikuppgifter kan göra det möjligt att dra mycket precisa slutsatser om privatlivet (punkt 99). Man bör emellertid inte lägga allt för stor vikt vid att ip-adresser finns med i uppräkningen. Formuleringarna tycks vara hämtade från Digital Rights-domen (p. 26 och 27), som domstolen också hänvisar till, och utgör en allmän beskrivning av den svenska rätten. Abonnemangsuppgifter omfattades av data- lagringsdirektivet och därmed också av Digital Rights-domen. När domstolen därefter (p. 102 och framåt i Tele2-domen) uttalar sig om kraven som ställs på en lagstadgad lagringsskyldighet nämns endast trafik- och lokaliseringsuppgifter. Som nämns i inledningen av detta

198

SOU 2017:75

Överväganden

avsnitt är det också logiskt att EU-domstolen begränsar uttalandena till dessa uppgifter.

Ett tredje argumentet gör gällande att utredningens slutsats vilar på det felaktiga antagandet att uppgifter om abonnemang utgör en kategori uppgifter som ur ett EU-rättsligt perspektiv kan skiljas från kategorierna trafik- och lokaliseringsuppgifter. Denna invändning är enligt utredningen inte korrekt. Utredningen gör nämligen bedöm- ningen att det även inom EU-rätten görs en distinktion mellan de olika uppgiftsslagen. T.ex. är det så att datalagringsdirektivet ut- tryckligen reglerade abonnemangsuppgifter, medan de relevanta artiklarna i direktiv 2002/58 inte gör det, se avsnitt 4.2.

Om ip-uppgifter (och andra abonnemangsuppgifter) skulle anses omfattas av de uttalanden som görs om trafik- och lokaliserings- uppgifter i domen skulle det innebära att domens föreskrifter om t.ex. föregående domstolsprövning vid tillgång till information om vem som använt en ip-adress eller disponerar över ett telefon- nummer skulle bli tillämpliga. Även reglerna om att tillgång endast skulle kunna beredas de brottsbekämpande myndigheterna vid grova brott skulle behöva beaktas. I sådant fall skulle det krävas övervägan- den även i dessa delar. Som ovan angetts är det dock utredningens bedömning att inte ip-adresser (eller några andra abonnemangs- uppgifter) omfattas av domen. Några sådana överväganden redovisas därför inte. I detta sammanhang ska också nämnas att Förvaltnings- rätten i Stockholm den 5 maj 2017 meddelade ett inhibitionsbeslut i ett mål (nr 6895-16) om utlämning av abonnemangsuppgifter. Dom- stolen beslutade att ett vitesföreläggande mot en internetoperatör tills vidare inte skulle verkställas, eftersom det kunde ifrågasättas om bestämmelserna om tillgång till lagrade uppgifter om elektronisk kommunikation är förenliga med de villkor som EU-domstolen i Tele2-domen uttalat ska gälla. Det ska dock noteras att frågan om huruvida abonnemangsuppgifter omfattas av Tele2-domen och de tolkade artiklarna i direktivet alls inte berörs i beslutet. PTS, som utfärdat föreläggandet, överklagade beslutet till Kammarrätten i Stockholm, som den 9 juni 2017 beslutade att inte meddela pröv- ningstillstånd (mål nr 3256-17).

Slutligen ska påpekas att, som framgår i avsnitt 6.2.1, även de flesta medlemsstater i den informella rådsarbetsgruppen i EU som behandlar datalagringsfrågan efter Tele2-domen preliminärt har

199

Överväganden

SOU 2017:75

kommit till slutsatsen att ip-adresser är abonnemangsuppgifter, som inte omfattas av domen.

Att ip-adresser och andra abonnemangsuppgifter är en särskild uppgiftstyp som inte förtjänar samma starka skydd är även en slutsats som den portugisiska konstitutionsdomstolen har kommit till (dom 420/2017, 13 juli 2017).

12.3Det är nödvändigt att reformera svensk lagstiftning

Utredningens bedömning: Det är nödvändigt att reformera reglerna kring datalagring för att uppfylla Sveriges internationella åtaganden.

Som kommer att framgå i det följande uppställer EU-domstolen i vissa delar strängare krav på datalagringen och tillgången till datalagrade uppgifter än vad svensk lag gör.

Ett sätt att hantera den uppkomna situationen är att helt enkelt upphäva alla bestämmelser som står i strid med EU-rätten. Enligt utredningens bedömning är emellertid en sådan lösning utesluten av både brottsbekämpande och folkrättsliga skäl. Detta utvecklas i det följande.

Som framgår av direktiven till Utredningen om hemlig data- avläsning har under senare år den ökande internationaliseringen i kombination med teknikutvecklingen och en tilltagande internet- användning inneburit att kriminaliteten delvis har ändrat karaktär (dir. 2016:36). Internet erbjuder lättillgängliga kontaktytor för brotts- planering inom och utom landets gränser och utgör bl.a. en etablerad plattform för våldsbejakande extremism och terrorismpropaganda. Viss typ av kriminalitet, t.ex. barnpornografibrott, har internet som brottsplats och den webbaserade narkotikahandeln har ökat massivt de senaste åren, Polismyndighetens och Tullverkets rapport Drog- situationen i Sverige (2016) s. 10, som hänvisar till globaldrug- survey.com. Utvecklingen innebär att även förutsättningarna för att förhindra brott och säkra bevis för begångna brott har förändrats radikalt. Uppgifter om elektronisk kommunikation och andra elek- troniska spår är i dag helt nödvändiga för brottsbekämpningen. Det sagda belyser att om de brottsbekämpande myndigheterna inte skulle

200

SOU 2017:75

Överväganden

ha tillgång till adekvata utredningsverktyg i den elektroniska miljön så skulle brotten i vissa fall vara omöjliga att klara upp och brotts- offer i motsvarande omfattning vara skyddslösa. En sådan situation är högst problematisk ur ett brottsbekämpande perspektiv. Vissa brott skulle i praktiken kunna bli straffria och många målsägande skulle aldrig kunna få upprättelse.

Utöver detta brottsbekämpande perspektiv måste hänsyn tas till Sveriges internationella åtaganden. Var och en som vistas i Sverige har rätt att göra anspråk på att staten vidtar effektiva åtgärder för att skydda hans eller hennes säkerhet. I detta ligger att staten måste anstränga sig för att se till att brott förebyggs, utreds och att gär- ningsmän ställs till svars för sina brottsliga handlingar. Staten har alltså en skyldighet att skydda enskildas privatliv och personliga inte- gritet mot intrång som begås av andra enskilda och, om intrång görs, se till att brotten utreds (avsnitt 3.1.2–3.1.3). Enligt utredningen skulle det inte vara förenligt med Sveriges åtaganden att inte ge de brottsbekämpande myndigheterna möjlighet att effektivt utreda brott i den elektroniska miljön.

Utöver det generella ansvar Sverige har att upprätthålla en effek- tiv brottsbekämpning har Sverige gjort specifika åtaganden för vissa typer av brott. Här kan nämnas plikten att bekämpa tillhanda- hållande, spridning och innehav av barnpornografi enligt artikel 20 i Europarådets konvention om skydd för barn mot sexuell exploa- tering och sexuella övergrepp. Enligt konventionen har Sverige ett åtagande att vidta nödvändiga lagstiftningsåtgärder för att säkerställa effektiv utredning och åtal av sådana gärningar och tillåta möjlig- heten, där så är lämpligt, att genomföra hemliga utredningsåtgärder. Denna typ av brottslighet pågår i stor utsträckning på den elek- troniska arenan. Utan möjligheter till effektiva utredningsverktyg skulle Sverige inte uppfylla sina folkrättsliga åtaganden enligt den nämnda konventionen.

Härtill kommer proportionalitets- och behovsargumenten. Om de brottsbekämpande myndigheterna fråntas möjligheten att komma åt trafikuppgifter i brottsutredningar måste de kompensera sig med andra metoder. Ett exempel på det skulle kunna vara följande. Anta att en person misstänks för ett brott utfört på en viss plats och att lokaliseringsuppgifter skulle kunna binda honom till den aktuella platsen (eller ge honom alibi). Om polis och åklagare inte skulle ges möjlighet att komma åt dessa uppgifter kan de, i enlighet med det

201

Överväganden

SOU 2017:75

ovan anförda, inte lägga ned förundersökningen utan måste i stället arbeta vidare med de metoder som står till buds. En sådan metod är t.ex. hemlig avlyssning av elektronisk kommunikation. Det sagda innebär alltså att frånvaron av möjlighet att inhämta trafikuppgifter kan leda till ett ännu allvarligare integritetsintrång (avlyssning) för den enskilde – att jämföra med det minskade integritetsintrånget för dem som inte får sina uppgifter lagrade. En sådan ordning skulle för den enskilde rimma illa med proportionalitets- och behovsprinci- perna, vilka utvecklats i praxis för all tvångsmedelsanvändning. Pro- portionalitetsprincipen innebär att en tvångsåtgärd i fråga om art, styrka, räckvidd och varaktighet ska stå i rimlig proportion till vad som står att vinna med åtgärden. Behovsprincipen innebär att en myndighet får använda ett tvångsmedel bara när det föreligger ett påtagligt behov och en mindre ingripande åtgärd inte är tillräcklig för att tillgodose behovet.

Den svenska lagstiftningen måste således anpassas till vad rättig- hetsstadgan kräver såvitt avser skyddet mot statens ingrepp i den personliga integriteten samtidigt som den måste tillgodose de skyldigheter Sverige har enligt bl.a. Europakonventionen att ge de brottsbekämpande myndigheterna effektiva verktyg och på så sätt upprätthålla effektiviteten i brottsbekämpningen och därigenom skydda den enskilda mot övergrepp från andra. Hur detta kan göras utvecklas mer i det följande.

12.4Ingen generell och odifferentierad lagring som i dag

Utredningens bedömning: Lagring kan endast motiveras av intresset att bekämpa grov brottslighet, men inte ens detta ända- mål kan ensamt motivera en generell och odifferentierad lagring av samtliga trafikuppgifter och lokaliseringsuppgifter avseende samtliga abonnenter och registrerade användare och samtliga elektroniska kommunikationsmedel.

Det finns ett fortsatt utrymme för en begränsad lagrings- skyldighet. Men lagringsskyldigheten måste göras mindre om- fattande än i dag och anpassas till vad som är strängt nödvändigt.

202

SOU 2017:75

Överväganden

12.4.1Uppgifterna får endast lagras för att bekämpa grov brottslighet

EU-domstolen konstaterar att endast intresset att bekämpa grov brottslighet kan motivera en lagringsskyldighet av trafikuppgifter och lokaliseringsuppgifter. Det kan emellertid inte ensamt motivera en generell och odifferentierad lagring av samtliga sådana uppgifter.2 (avsnitt 9.7.1 ovan och p. 102 och 103 i domen)

Hur den nationella lagstiftningen, utifrån ett brottsbekämpande syfte, motiverar ett krav på lagring visar sig uteslutande genom en analys av för vilka brott som de brottsbekämpande myndigheterna tillåts få tillgång till de lagrade uppgifterna. I denna del hänvisas därför till resonemangen nedan om tillgången till uppgifterna, avsnitt 12.8.1.

12.4.2Utrymme finns för en fortsatt lagringsskyldighet

När det gäller lagringens omfattning fastslår EU-domstolen att rättighetsstadgan utgör hinder för en nationell lagstiftning som i brottsbekämpande syfte föreskriver en generell och odifferentierad lagring av samtliga trafikuppgifter och lokaliseringsuppgifter av- seende samtliga abonnenter och registrerade användare och samtliga elektroniska kommunikationsmedel (p. 1 i domslutet). Eftersom det är så som EU-domstolen beskrivit den svenska lagstiftningen (p. 97 och 105 i domen) är det således uteslutet att lämna de svenska lag- ringsreglerna oförändrade, i vart fall om de endast kan motiveras utifrån bekämpning av grov brottslighet.

Även om domslutet endast förbjuder en allomfattande lagring framgår det av domskälen att utrymmet för att över huvud taget föreskriva lagring är begränsat. Frågan är då hur begränsat detta ut- rymme är. EU-domstolen delar upp sitt resonemang i denna fråga i två delar.

Den första delen av resonemanget återfinns i punkt 97–107 och handlar om generell lagring. EU-domstolen resonerar här kring den svenska lagstiftningen om datalagring och konstaterar att den före- skriver en generell och odifferentierad lagring av samtliga trafik-

2 “general and indiscriminate retention of all traffic and location data” i den engelska versionen och “la conservation généralisée et indifférenciée de l’ensemble des données relatives au trafic et des données de localisation” i den franska.

203

Överväganden

SOU 2017:75

uppgifter och lokaliseringsuppgifter för samtliga abonnenter och registrerade användare avseende samtliga elektroniska kommuni- kationsmedel och ålägger leverantörer av elektroniska kommu- nikationstjänster att systematiskt och kontinuerligt lagra dessa upp- gifter, utan undantag (p. 97). Därefter konstaterar EU-domstolen att denna mängd av uppgifter gör det möjligt att dra mycket precisa slutsatser om privatlivet för de personer vilkas uppgifter har lagrats (p. 99). EU-domstolens slutsats är att en sådan lagstiftning utgör ingrepp i de rättigheter som följer av stadgan (p. 100) och att därför endast grov brottslighet kan motivera lagring (p. 102). Dock kan inte ens grov brottslighet i sig ensamt motivera en generell och odifferentierad lagring av samtliga trafikuppgifter och lokaliserings- uppgifter (p. 103). Vid beskrivningen av den svenska lagstiftningen konstaterar domstolen att lagringen på ett allomfattande sätt berör samtliga personer som använder elektroniska kommunikationstjäns- ter, utan att dessa personer ens indirekt befinner sig i en situation som kan föranleda lagföring (p. 105) och att lagringen inte är begränsad till tid, geografiskt område eller krets av personer (p. 106). Domstolens slutsats, som avslutar det första ledet av resonemanget, är att den svenska lagringen överskrider gränsen för vad som är strängt nödvändigt och därför står i strid med artikel 15.1 i direktiv 2002/58 jämförd med artiklarna 7, 8, 11 och 52.1 i stadgan (p. 107). Denna slutsats är också den som återfinns i domslutet (p. 1 i dom- slutet och p. 112 i domskälen). Denna del av resonemanget är alltså den nödvändiga delen av domskälen för att komma fram till dom- slutet. EU-domstolen skulle följaktligen ha kunnat sluta sitt resone- mang här eftersom den redan har underkänt den svenska lagstift- ningen och besvarat frågan från kammarrätten.

Domstolen fortsätter emellertid sina överväganden i en andra del av resonemanget. Denna del, som återfinns i punkterna 108–111, har ingen koppling till domslutet utan är närmast att se som ett obiter dictum (dvs. ett uttalande vid sidan om själva saken) och ett exempel på en möjlig form av lagringsskyldighet. Resonemanget här handlar om riktad lagring (jfr avsnitt 12.5.1) och i dessa punkter resonerar domstolen kring hur en sådan lagring skulle kunna vara utformad. Det föreskrivs här att riktad lagring, vad gäller vilka slags uppgifter som ska lagras, vilka kommunikationsmedel som avses, vilka perso- ner som berörs och hur länge lagringen ska ske, måste begränsas till vad som är strängt nödvändigt (p. 108). Bland kraven på en riktad

204

SOU 2017:75

Överväganden

lagring märks särskilt att den berörda personkretsen måste vara avgränsad (p. 110).

Det har under utredningen framförts uppfattningen att endast en riktad lagring skulle vara förenlig med EU-rätten så som den har uttolkats i Tele2-domen. Det har då hänvisats just till EU-dom- stolens ovan angivna skrivningar om att villkoren för den nationella lagringen måste vara sådana att de klart avgränsar åtgärdens om- fattning och följaktligen den berörda personkretsen (p. 110) samt att domstolen särskilt uttalar att stadgan inte hindrar en riktad lagring (p. 108). Som framgår ovan är emellertid utredningens slutsats att domstolens uttalande om riktad lagring endast är ett exempel och ett obiter dictum. Uttalandena i p. 110 om avgränsning av den berörda personkretsen tar sikte just på denna riktade lagring och således inte generellt på hur nationell lagstiftning om lagring ska vara utformad.

Förespråkarna av riktad lagring som den enda möjliga modellen har också hänvisat till att EU-domstolen i sin dom särskilt noterar att lagringsskyldigheten i Sverige även är tillämplig på personer där det inte föreligger något indicium som ger anledning att tro att deras beteenden ens kan ha ett indirekt eller avlägset samband med grov brottslighet (p. 105). Att tolka detta uttalande som att det skulle för- bjuda en lagring också av andra än dem som räknas upp i nämnda punkt i domen förefaller långsökt. Om det skulle ha varit EU- domstolens avsikt att förbjuda sådan lagring hade det varit natur- ligare att utforma domslutet och skälen så att det tydliggjordes. Som antecknas nedan kan det dessutom noteras att EU-domstolen efter Tele2-domen i en näraliggande fråga har accepterat att lagring, i brottsbekämpande syfte, av flygbolags passageraruppgifter omfattar samtliga flygpassagerare och således inte är riktad till sådana passa- gerare om vilka de förelåg någon misstanke att de kunde hota den allmänna säkerheten (EU-domstolens yttrande 1/15, den 26 juli 2017 p. 41, 186 och 189). Man kan därutöver notera att en generell lagring i fem år förskrivs för vissa närmare angivna uppgifter enligt fjärde penningtvättsdirektivet3. Det förefaller inte heller som en rimlig tolkning att EU-domstolen på ett så ingripande sätt skulle ha

3 Europaparlamentets och rådets direktiv (EU) 2015/849 av den 20 maj 2015 om åtgärder för att förhindra att det finansiella systemet används för penningtvätt eller finansiering av terrorism, om ändring av Europaparlamentets och rådets förordning (EU) nr 648/2012 och om upphävande av Europaparlamentets och rådets direktiv 2005/60/EG och kommissionens direktiv 2006/70/EG.

205

Överväganden

SOU 2017:75

haft för avsikt att beröva de brottsbekämpande myndigheterna möjligheten till en effektiv brottsbekämpning utan ingående resone- mang och överväganden i dessa delar.

Innebörden av domstolens sätt att resonera är uppenbarligen att den svenska lagringen inte är förenlig med stadgan. Vid sitt konstate- rande av det betonar domstolen i flera punkter att det är just den all- omfattande generella svenska lagringen som underkänns. I punkt 103 uttalar sig domstolen om en generell och odifferentierad lagring av samtliga trafikuppgifter och lokaliseringsuppgifter. Punkt 104 hän- visar till den svenska lagstiftning med de särdrag som beskrivits i punkt 97, dvs. en lagstiftning som föreskriver en systematisk, konti- nuerlig, generell och odifferentierad lagring av samtliga trafik- uppgifter och lokaliseringsuppgifter för samtliga abonnenter och registrerade användare avseende samtliga elektroniska kommuni- kationsmedel utan undantag. Även resonemanget i punkt 105 avser en allomfattande lagringsskyldighet, närmare definierad som en lag- stiftning som på ett generellt sätt omfattar samtliga abonnenter och registrerade användare och avser samtliga kommunikationsmedel och samtliga trafikuppgifter, utan åtskillnader, begränsningar eller undantag. Det stämmer också väl överens med EU-domstolens dom den 6 oktober 2015 i målet Schrems, C362/14, punkt 93.

Det går inte av domen att utläsa hur en mindre omfattande men ändå i någon mening generell lagringsskyldighet skulle ha bedömts. Vad EU-domstolen antecknar om den riktade lagringen är som ovan konstaterats ett obiter dictum som beskriver hur en (mer tillåtande) riktad lagring skulle kunna utformas. Den delen av resonemanget ger ingen avgörande ledning i bedömningen av hur en sorts generell lagring ska vara utformad för att möta kraven i rättighetsstadgan.

Vidare är det inte självklart vad som avses med ”samtliga trafik- uppgifter och lokaliseringsuppgifter”. Uttrycket verkar kunna här- ledas från kammarrättens fråga (punkt 51 i domen). Det kan emeller- tid noteras att det är flera trafik- och lokaliseringsuppgifter som inte ska lagras enligt den svenska lagstiftningen, t.ex. position när ett meddelande skickades och när det mottogs, position under ett mobilsamtal, position vid fast telefoni, utrustningsidentitet vid skickade och mottagna meddelanden, utrustningsidentitet vid fast telefoni, abonnemangsidentitet vid skickade och mottagna med- delanden, abonnemangsidentitet vid internetåtkomst, samtliga upp- gifter om samtal med annat än vanligt telefonnummer, t.ex. med

206

SOU 2017:75

Överväganden

användarnamn, (däribland uppringande och uppringt nummer, tid och position), uppgift om port och publik ip-adress vid internet- åtkomst4, meddelandehantering och ip-telefoni samt samtliga upp- gifter om samtal som inte kopplas fram på grund av tekniskt fel eller dylikt (däribland uppringande och uppringt nummer eller användar- namn, tid, utrustning och position). Därtill ska det inte lagras några rena lokaliseringsuppgifter, dvs. positioner som inte är kopplade till kommunikation. Det finns också en hel del trafikuppgifter av mer tekniskt slag som inte omfattas av lagringsskyldigheten. Sådana upp- gifter kan bl.a. avse peeringpunkter och kommunikationskoder (t.ex. ortogonala spridningskoder). Det är således långt ifrån samtliga trafik- och lokaliseringsuppgifter som omfattas av lagringsskyldig- heten.

Även om det inte får någon bäring på vad som utgör samtliga trafik- och lokaliseringsuppgifter, enligt definitionerna i direk- tiv 2002/58, kan det dessutom noteras att kommunikationen på senare tid alltmer har övergått till en typ som inte ger upphov till någon lagringsskyldighet hos operatörerna (avsnitt 7.3.1), dvs. sådana tjänster som inte tillhandahålls av en lagringsskyldig operatör utan andra tjänsteleverantörer, exempelvis Apple Imessage och Face- time, Facebook Messenger, Skype, Gmail och Hotmail. Lagrings- skyldigheten omfattar inte heller t.ex. webbplatsbesök (surfning), sökningar med sökmotorer, onlinespel eller uppgifter om filöver- föring med hjälp av File Transfer Protocol (FTP).

Även om en rimlig utgångspunkt måste vara att EU-domstolen ansett att den svenska lagstiftningen, såsom den beskrivits i punk- terna 15–19 i domen, föreskriver en alltför omfattande lagrings- skyldighet, måste domstolens slutsats tolkas i ljuset av hur kam- marrätten ställt sina frågor och utvecklingen av alternativa kom- munikationstjänster i tiden därefter. Betydelsen av den ökade använd- ningen av sådana alternativa kommunikationstjänster noteras även i den finska utredningen som nämns ovan (avsnitt 11.2.5). I den utredningen görs även bedömningen att den finska och svenska lagringsskyldigheten är tämligen likartade, men att den finska är mer riktad och alltså förenlig med EU-rätten.

Det sagda leder till tre slutsatser: För det första får det inte före- skrivas en generell och odifferentierad lagring av samtliga trafik-

4 Enligt PTS bedömning, se PTS skrivelse till EBM den 26 februari 2015, dnr 15-1185.

207

Överväganden

SOU 2017:75

uppgifter och lokaliseringsuppgifter för samtliga abonnenter och registrerade användare avseende samtliga elektroniska kommunika- tionsmedel. För det andra måste det svenska regelverket för lagring, oaktat att det inte föreskriver en sådan lagring, göras mindre om- fattande. För det tredje kan det införas ett system med riktad lagring som tillåter en omfattande lagring men som är begränsad till tid, plats eller person. Även andra former av datalagring kan införas, så länge skyldigheten att lagra inte blir huvudregel och den begränsas i varje del till vad som är strängt nödvändigt.

Enligt utredningens bedömning är nyttan av uppgifterna från elek- tronisk kommunikation så stor för de brottsbekämpande myndig- heterna att det finns skäl att behålla någon sorts lagring i preventivt syfte – dock mindre omfattande än i dag. Det torde däremot inte vara tillräckligt att endast differentiera lagringstiderna, eftersom det inte får någon påverkan på huruvida lagring blir undantag eller huvudregel (jfr punkt 104 i domen).

12.5Olika modeller för lagring

Utredningens bedömning: En viss begränsad och differentierad lagring bör föreskrivas.

12.5.1Ingen riktad lagring

Som nämnts ovan tillåter EU-rätten en riktad lagring. Riktad lagring innebär en situationsanpassad preventiv lagring av uppgifter hän- förliga till vissa nummer, kommunikationsutrustningar eller platser. Lagringen kan vara tidsbegränsad. Frågan är om en sådan bör införas i Sverige. Vid bedömningen av denna fråga måste å ena sidan nyttan och behovet av en sådan vägas mot intrånget för de berörda perso- nerna.

När det gäller den första frågan (nytta och behov) kan noteras att det är komplicerat att i förväg veta hur man ska rikta lagringen. Det är nämligen mycket svårt att i förväg veta när, var eller av vem ett allvarligt brott ska begås. Det är således vanskligt att på något meningsfullt sätt rikta lagringen till vissa tider, områden eller perso- ner. Utredningen kan därför inte se någon större praktisk nytta eller

208

SOU 2017:75

Överväganden

något större behov av en möjlighet till riktad lagring. Inte heller utredningens experter från de brottsbekämpande myndigheterna har sett något större värde med en sådan lagring.

När det gäller den andra frågan (intrånget för de berörda perso- nerna) kan det noteras att all lagring innebär ett integritetsintrång. Att rikta lagringen till en viss person eller krets av personer (exem- pelvis i ett visst område eller personer med visst kön), utan att det finns någon konkret misstanke mot dessa personer, innebär rimligen en än större rättighetskränkning mot dessa människor. De brotts- bekämpande myndigheterna måste nämligen vid sådan lagring peka ut vissa personer eller personkategorier som mer brottsbenägna än andra så att lagring av just deras uppgifter ska utföras. Därtill innebär en sådan riktad lagring att förutsättningarna för att lösa allvarlig brottslighet blir olika för olika delar av landet, vilket är problema- tiskt. I vissa fall kan det dock vara så att brottsrisken ökar i ett visst område vid speciella händelser, t.ex. vid ett statsbesök i Stockholms innerstad. I sådana fall skulle man kunna tänka sig en riktad lagring mot dessa delar av staden utan att kränka någons rättigheter ur den nu redovisade synvinkeln. Dock är värdet av en sådan lagring mycket lågt. Både underrättelseverksamheten och – i värsta fall – förunder- sökningsverksamheten avseende sådan brottslighet måste rikta sig mot betydligt större områden än själva attentatsplatsen. Planering och kontakter mellan gärningsmän sker nämligen med största säkerhet inte enbart på själva brottsplatsen och inte sällan under en längre tid.

Det ovan anförda ger vid handen att riktad lagring skulle vara av ringa nytta för de brottsbekämpande myndigheterna samtidigt som integritetsintrånget för de berörda personerna skulle vara påtagligt.

Utöver den nu redovisade bristande proportionaliteten, är riktad lagring förknippad med ett annat problem. Om man ska rikta lagringen mot vissa tider eller områden så måste operatörerna under- rättas om detta beslut så att rätt uppgifter kan lagras. Antalet opera- törer överstiger 500 stycken. Även om antalet mobiloperatörer, som mest torde beröras av en riktad lagring, är väsentligt färre och vissa stora operatörer står för en mycket stor marknadsandel, så riskerar en underrättelse att behöva gå till många operatörer. Det skulle bli utmanande rent expeditionsmässigt samtidigt som uppgiften om att ett visst område är av intresse för den brottsbekämpande verksam- heten skulle spridas till en alltför stor krets av personer. Detta pro-

209

Överväganden

SOU 2017:75

blem är särskilt betonat i underrättelseverksamheten där sekretess- kraven gör sig gällande med särskilt stor kraft.

Det ska i sammanhanget även nämnas att den av Sverige under- tecknade (men ännu inte ratificerade) it-brottskonventionen5 inne- håller en bestämmelse om s.k. skyndsamt bevarande (artikel 16). Enligt den bestämmelsen ska varje part till konventionen vidta nöd- vändiga lagstiftningsåtgärder för att dess behöriga myndigheter genom förelägganden eller på liknande sätt ska kunna åstadkomma skyndsamt säkrande av särskilt angivna datorbehandlingsbara upp- gifter, innefattande trafikuppgifter, som har lagrats med hjälp av ett datorsystem, särskilt i de fall där det finns anledning att förmoda att de datorbehandlingsbara uppgifterna löper särskild risk att gå för- lorade eller förändras. För det fall misstankar riktas mot en viss person kan således en sorts riktad lagring komma till stånd genom ett föreläggande om bevarande i enlighet med reglerna i it-brotts- konventionen (SOU 2013:39, som bereds i Regeringskansliet).

Sammantaget leder det nu anförda till slutsatsen att riktad lagring varken framstår som proportionell eller lämplig. Utredningen lämnar därför inget förslag på riktad lagring. Det kan för övrigt noteras att slutsatsen om brist på nytta av riktad lagring överensstämmer med analysen i departementspromemorian Ds 2014:23 s. 53 (se av- snitt 8.3.1).

12.5.2Inget bevarandeföreläggande av uppgifter som operatörerna behöver för egna ändamål

I stället för att förordna att operatörerna ska lagra vissa uppgifter viss tid, skulle ett möjligt alternativ vara att ge myndigheterna behörighet att förelägga operatörerna att bevara de uppgifter som redan finns sparade (även kallat quick freeze). Som framgår ovan följer en sådan skyldighet av it-brottskonventionen, enligt vilken även innehållet i kommunikationen ska kunna bevaras. Liknande lag- stiftning återfinns också i flera andra länder.

Den uppenbara fördelen och nackdelen med ett sådant bevarande är att lagringen blir begränsad. Det kan bli lägre kostnader för opera- törerna och färre personers uppgifter omfattas i jämförelse med en

5 Europarådets konvention om it-relaterad brottslighet (ETS 185).

210

SOU 2017:75

Överväganden

ständigt pågående lagring av uppgifter. Däremot blir integritets- intrånget för de personer vars uppgifter ändå lagras lika stort som vid ett generellt lagringskrav. Ett sådant bevarandesystem kan vid en första anblick därför framstå som mer proportionerligt än ett som innebär generell lagring. Det är emellertid inte självklart, eftersom proportionaliteten måste bedömas utifrån nyttan av åtgärden. Det är nämligen inte givet att ett bevarandeföreläggande kommer att ge tillräckliga resultat för brottsbekämpningen i jämförelse med annan typ av lagring.

För att ett bevarandeföreläggande ska bli meningsfullt krävs det att det finns uppgifter att bevara. Eftersom direktiv 2002/58 före- skriver en skyldighet för operatörerna att förstöra uppgifterna när de inte längre behövs för vissa egna ändamål finns det en överhängande risk att utbudet av uppgifter bli alltför begränsat. Utbudet av upp- gifterna blir också varierande, beroende på hur varje operatör använ- der uppgifterna.

Inför förslaget till datalagringsdirektivet övervägde Kommissionen en reglering med endast en riktad bevarandeskyldighet. En sådan reglering bedömdes inte i tillräcklig grad kunna bidra till bekämp- ningen av organiserad brottslighet och terrorism, eftersom den i princip inte ger tillgång till historiska uppgifter och den kräver att det redan finns en misstänkt eller en krets av misstänkta (Kommis- sionens arbetsdokument ”Commission Staff Working Document”, som lades fram som bilaga till det förslag till direktiv som ledde fram till antagandet av datalagringsdirektivet, den 21 september 2005).

Kommissionens argument är riktigt för den typ av riktad lagring som beskrivits i avsnittet ovan. Ett bevarandeföreläggande skulle emellertid kunna användas även i andra situationer, som exempel skulle alla uppgifter kopplade till en mordplats eller mördad person kunna bevaras under viss tid. Nyttan av det förefaller dock vara begränsad; om utredarna vet vilka uppgifter som är intressanta är det mer logiskt att inhämta dem i stället för att förelägga operatören att bevara dem. Värdet blir något större om man skulle förelägga opera- törerna att lagra alla tillgängliga uppgifter hänförliga till de kom- munikationsutrustningar som befunnit sig i närheten av mordplatsen eller kontaktat offret strax före mordet. På så sätt skulle t.ex. trafik- uppgifter som man inte förrän senare i utredningen vet att de är intressanta finnas bevarade, dock bara avseende en kortare tid före gärningen på grund av förstörandeskyldigheten.

211

Överväganden

SOU 2017:75

Sammanfattningsvis framstår nyttan av en bevarandeskyldighet av detta slag som tydligt begränsad i jämförelse med en lagringsskyldig- het som går utöver vad operatörerna behöver bevara för egna ändamål. Något förslag på bevarandeföreläggande lämnas därför inte av utredningen. En bevarandeskyldighet som den som föreskrivs i it- brottskonventionen, som även omfattar innehåll, kan däremot utgöra ett komplement till en mer generell lagringsskyldighet. Som nämnts ovan bereds denna fråga redan i Regeringskansliet.

12.5.3Ingen lagring av senaste aktiviteten på abonnemanget

Ytterligare en alternativ lagringsform är att föreskriva att ett abonne- mangs senaste aktiviteter ska sparas i viss tid, t.ex. ett år. Många gärningsmän vid grova brott gör sig av med eller slutar att använda sin mobiltelefon eller sitt sim-kort efter att den brottsliga aktiviteten begåtts. Telefoner utan aktivitet kommer då att ha t.ex. de två senaste månadernas trafik- och lokaliseringsuppgifter sparade en längre tid. Uppgifter från ett aktivt abonnemang kommer däremot aldrig att vara äldre än två månader, eftersom de hela tiden ersätts av senare uppgifter. Modellen blir i praktiken en automatisk quick freeze kom- binerad med en mycket kort generell lagringsskyldighet. Fördelen med denna modell är att färre uppgifter lagras. Den största nack- delen är att utbudet av historiska uppgifter blir väldigt begränsat men även att modellen inte begränsar antalet personer som omfattas av lagringsskyldigheten utan endast differentierar tiden för lagring. Även om det finns undantag, uppmärksammas som regel grova brott närmast direkt efter att de begåtts och relevant inhämtning har antagligen då redan gjorts i nära anslutning till gärningen. Den enda nyttan som i så fall skulle bli följden av ett bevarande av senaste aktivitet är dels om telefonen använts i samband med brottet på en annan plats än vid gärningsplatsen och blivit intressant först senare i utredningen, dels om en inhämtning görs en tid efter gärningen i syfte att se vilka av de abonnemang som var uppkopplade vid gär- ningstillfället som därefter slutade användas. Det är dessutom långt ifrån alla kriminella som frekvent byter abonnemang. I synnerhet i underrättelseverksamheten kan också t.ex. vardagsmönster behöva kartläggas, varför även uppgifter från telefoner som inte använts vid brottslig verksamhet kan vara till stor nytta för brottsbekämpningen.

212

SOU 2017:75

Överväganden

Sammanfattningsvis blir nyttan begränsad och skillnaden i integri- tetsintrång i jämförelse med nuvarande lagstiftning inte betydande. Något förslag på en skyldighet att endast lagra senaste aktivitet lämnas därför inte av utredningen.

12.5.4Ingen bibehållen lagring med kryptering

Ett ytterligare alternativ är att bibehålla dagens omfattning på lagringen och i stället föreskriva krav på kryptering. Det skulle inne- bära att uppgifterna omedelbart vid lagring skulle krypteras och att de skulle avkrypteras först när det finns ett beslut om tillgång till uppgifterna för de brottsbekämpande myndigheterna. Härigenom skulle de lagrade personuppgifterna få ett skydd som skulle öka de berörda personernas integritetsskydd.

Frågan är om en sådan ordning skulle leva upp till domstolens krav i Tele2-domen.

Vid denna bedömning måste beaktas att kammarrätten i sin begäran om förhandsavgörande ställde just frågan om en generell och odifferentierad lagring kan vara tillåten om kraven på säkerhet för uppgifterna är utformade så som de är i Sverige, dvs. med bl.a. föreskrifter om tystnadsplikt, tillsyn och – viktigast i detta samman- hang – krav på tekniska och organisatoriska åtgärder för att skydda uppgifterna (p. 38–43 i begäran om förhandsavgörande). Härtill nämner kammarrätten kraven i 37 § FEK om att den lagringsskyldige ska vidta de åtgärder som krävs för att skydda uppgifterna mot oavsiktlig eller otillåten förstöring och oavsiktlig förlust eller ändring och att sådana åtgärder även ska vidtas för att förhindra otillåten lagring, behandling av eller tillgång till och otillåtet avslöjande av uppgifterna (p. 40 i domen).

EU-domstolen konstaterar att direktiv 2002/58 inte medger att medlemsstaterna avviker från bestämmelserna i direktivet som kräver att leverantörerna vidtar lämpliga tekniska och organisatoriska åtgärder för att säkerställa ett effektivt skydd av de lagrade uppgif- terna mot riskerna för missbruk och otillåten tillgång till uppgifterna (p. 122). EU-domstolen besvarar kammarrättens fråga i denna del utan samband med kammarrättens första fråga, dvs. om en generell och odifferentierad lagring över huvud taget är tillåten (p. 122 i domskälen och p. 2 i domslutet).

213

Överväganden

SOU 2017:75

Av det ovan nämnda framgår alltså att EU-domstolen har förut- satt att det finns nationella krav på tekniska och organisatoriska åtgärder som skyddar uppgifterna och att detta skydd inte påverkar tillåtligheten av en generell och odifferentierad lagring. Slutsatsen blir således att tillåtligheten av den svenska nuvarande lagringen inte skulle påverkas genom införandet av föreskrifter om kryptering.

Ett annat sätt att öka integritetsskyddet är att maskera de lagrade uppgifterna. Det har föreslagits att maskering ska användas vid lagring av flygpassageraruppgifter, för att uppfylla Sveriges åtagan- den enligt PNR-direktivet (SOU 2017:57 och artikel 12.2 i PNR- direktivet). Efter sex månader ska PNR-uppgifterna (uppgifter om flygresenärer) i databasen maskeras, vilket innebär att tillgängliga uppgifter som direkt kan hänföras till en fysisk person ska göras osynliga för en användare som saknar särskild behörighet för tillgång till uppgifterna. Detta system är mycket näraliggande kryptering och är egentligen bara ett annat sätt att avskära en alltför stor grupp personer från att ha tillgång till uppgifterna. Det saknas därför skäl att bedöma maskering på något annat sätt än kryptering. Ett införande av maskering skulle därför inte påverka bedömningen av om det svenska systemet är förenligt med EU-rätten.

Sammanfattningsvis skulle en bibehållen lagringsskyldighet men med kryptering eller maskering inte uppfylla de krav som EU-rätten ställer. Utredningen lämnar därför inte något förslag på sådan lagring.

12.5.5En begränsad lagringsskyldighet bör införas

Den enda rimliga kvarvarande modellen är en sorts ständigt bestående lagringsskyldighet men som inte omfattar alla kommunikationssätt, som är mindre omfattande än i dag och som är bättre anpassad efter vad som är strängt nödvändigt för att bekämpa grov brottslighet. Fördelarna med en sådan lagring är uppenbara och har redovisats tidigare i betänkandet. Nackdelarna är att den kommer att omfatta en stor mängd uppgifter och varav den allra största delen aldrig kom- mer att begäras tillgång till. Det betyder emellertid inte att lagrings- skyldigheten omfattar uppgifter hänförliga till någon person som det är onödigt att lagra uppgifter för. Eftersom man inte vet vem som kommer att begå ett allvarligt brott och det för alla personer finns en risk att de kan utsättas för eller bevittna ett sådant brott, är det

214

SOU 2017:75

Överväganden

omöjligt att på förväg veta vilka personer som på detta eller på annat sätt kommer att bli inblandade i grov brottslighet. Utredningen före- slår därför en lagring av beskrivet slag. En sådan lagring har också bedömts förenlig med EU-rätten av den ovan nämnda finska utred- ningen (avsnitt 11.2.5). I en näraliggande fråga rörande lagring, i brottsbekämpande syfte, av flygbolagens passageraruppgifter, har EU-domstolen bedömt att behandlingen av uppgifter inte har gått längre än vad som varit strängt nödvändigt, trots att den avsett samt- liga resenärer (till och från Kanada), oberoende av om det förelegat någon objektiv omständighet som gör det möjligt att anse att passa- gerarna kunnat utgöra en risk för den allmänna säkerheten eller inte (EU-domstolens yttrande 1/15, den 26 juli 2017 p. 41, 186 och 189).

Hur en begränsad lagringsskyldighet kan utformas redovisas i det följande.

En lagringsskyldighet av detta slag kan inte omfatta uppgifter som sällan eller aldrig inhämtas eller för vilka nyttan eller behovet inte är stort. Det är inte tillräckligt att den lagrade uppgiften är användbar eller bra att ha för de brottsbekämpande myndigheterna. Informationen från uppgifterna måste vara påtagligt viktig och inte möjlig att få del av genom en mindre ingripande åtgärd. Både infor- mationen och lagringen måste alltså vara nödvändiga. Även de olika uppgifternas karaktär som mer eller mindre integritetskänsliga måste beaktas. Det innebär inte bara att det måste göras ett noggrant urval av vilka uppgiftskategorier som ska lagras och vilka tjänster som ska omfattas av lagringsskyldigheten, utan även att lagringstiderna måste differentieras och anpassas till vad som är strängt nödvändigt för varje sorts uppgift. Slutligen får inte lagringen vara allomfattande i sådan mening att lagring blir huvudregel i stället för undantag. På detta sätt blir lagringsskyldigheten inte generell (i betydelsen huvud- regel) men differentierad, dvs. i varje del anpassad efter vad som är strängt nödvändigt (punkt 103–105 i Tele2-domen).

För att denna modell ska vara förenlig med EU-rätten krävs alltså begränsningar av lagringsskyldigheten. Av allt att döma är de allra flesta uppgifter som omfattas av lagringsskyldigheten i dag till stor nytta för brottsbekämpningen, både i underrättelse- och i utred- ningsverksamheten. Vidare har det framkommit att de äldsta av de lagrade uppgifterna i många fall används i utredningar rörande de grövsta brotten. Varje begränsning i lagringsskyldigheten torde där- för innebära att möjligheten att bekämpa grov brottslighet kommer

215

Överväganden

SOU 2017:75

att försämras i vissa fall, till förmån för skyddet för privatlivet, en fri och privat kommunikation och yttrandefriheten.

De brottsbekämpande myndigheterna har uppgett att behovet av uppgifter om elektronisk kommunikation ökar markant från år till år och om någon uppgift skulle tas bort från lagringsskyldigheten skulle det ge mycket allvarliga konsekvenser; det skulle minska möjligheterna att bekämpa allvarliga brott, urholka förmågan att skydda nationella säkerhetsintressen och göra Sverige till ett farligare land att vistas i. Det ska emellertid framhållas att en begränsad och proportionerlig lagringsskyldighet som är förenlig med EU-rätten gör det möjligt att behålla något slags lagring som verktyg åt de brottsbekämpande myndigheterna. En lagringsskyldighet som inte är förenlig med EU-rätten och andra grundläggande rättigheter kom- mer inte att kunna tillämpas (jfr kammarrättens dom, avsnitt 10.3.2) och innebär i så fall i praktiken att inga uppgifter kommer att lagras i syfte att bekämpa brott. En begränsad lagringsskyldighet kan således öka förmågan för de brottsbekämpande myndigheterna att förhindra allvarliga brott och skydda nationella säkerhetsintressen samt göra Sverige till ett säkrare land att vistas i.

12.6En begränsad lagringsskyldighet

12.6.1Sammanfattning

Utredningens förslag innebär att nuvarande modell för lagrings- skyldigheten reformeras kraftigt för telefonitjänst och meddelande- hantering samt i viss utsträckning för internetåtkomst. De uppgifter som inte längre ska lagras för telefonitjänst och meddelande- hantering enligt utredningens förslag finns sammanställda sist i avsnitt 12.6.3.

Genom de föreslagna förändringarna blir lagringsskyldigheten inte längre generell; en stor del av trafikuppgifterna kommer inte att omfattas av skyldigheten liksom alla lokaliseringsuppgifter som inte är trafikuppgifter. Lagringen blir därmed undantag och inte huvud- regel (Tele2-domen p. 104). Dessutom blir lagringsskyldigheten differentierad genom att den anpassas till att omfatta endast de upp- gifter som är strängt nödvändiga att lagra för att bekämpa grov brottslighet, med beaktande av nytta, behov, integritet och propor- tionalitet (Tele2-domen p. 105). Samtidigt differentieras lagrings-

216

SOU 2017:75

Överväganden

tiderna utifrån skillnader i behov och uppgifternas integritetskänslig- het (se avsnitt 12.7.2).

Förslaget innebär att integritetsintrånget för abonnenterna blir lägre men även att möjligheterna att förebygga, förhindra och utreda brott i vissa fall torde försämras.

Redaktionella ändringar och teknikneutralitet

Utredningen föreslår att lagringsskyldigheten delas upp i två delar, dels telefonitjänst och meddelandehantering, dels internetåtkomst. Bestämmelserna görs teknikneutrala. Det betyder bl.a. att opera- törernas användning av NAT-teknik (en teknik för att tillåta att flera abonnenter delar på en och samma publika ip-adress, se avsnitt 6.1) inte påverkar möjligheterna till identifiering av abonnenten.

Telefonitjänst och meddelandehantering

För telefonitjänst och meddelandehantering föreslås att endast uppgifter om kommunikation via en mobil nätanslutningspunkt ska lagras. Det betyder att det inte kommer att lagras några uppgifter om telefonitjänster eller meddelandehantering som sker inom det fasta telefonnätet eller genom fasta internetanslutningar. Om någon av parterna kommunicerar via en mobil nätanslutningspunkt kommer däremot information att lagras, men bara hos den partens operatör.

Trafikuppgifter ska fortfarande lagras. Men lagringsskyldigheten begränsas till uppgifter om vem som kontaktat vem (nummer och abonnent eller registrerad användare samt för telefonitjänst även abonnemangs- och utrustningsidentitet) och vid vilken tidpunkt.

Uppgift om ip-adress ska i sig inte lagras vid telefonitjänst och meddelandehantering. Om en ip-adress använts som adress för att skicka ett meddelande i stället för t.ex. telefonnummer eller e-post- adress kommer adressen däremot att lagras. Ip-adressen eller mot- svarande uppgift kommer också indirekt att lagras när internet- åtkomst krävs för kommunikationen (se nedan).

Uppgift om vilken tjänst som använts, tid för på- och avloggning i tjänsten samt uppgift om utrustning där kommunikationen vid ip- telefoni slutligt avskiljs (se dock avsnitt 12.6.4) ska inte längre omfattas av lagringsskyldigheten enligt förslaget.

217

Överväganden

SOU 2017:75

Lokaliseringsuppgifter ska fortfarande lagras vid ett samtals början och slut. Men precis som tidigare ska inga andra lokaliserings- uppgifter lagras.

För förbetalda anonyma tjänster (oregistrerade kontantkort) ska uppgifter för första aktivering fortfarande lagras.

Lagringsskyldigheten ska fortfarande omfatta misslyckade upp- ringningar, t.ex. obesvarade samtal – men inte samtal som inte kopp- las fram.6

Internetåtkomst

För internetåtkomst föreslår utredningen att lagringsskyldigheten ska omfatta uppgifter som gör det möjligt att identifiera abonnenten eller den registrerade användaren. Därmed ska det lagras ip-adress och annan teknisk uppgift som är nödvändig för att identifiera abonnenten eller den registrerade användaren, tidsuppgifter för på- och avloggning i tjänsten som ger internetåtkomst, uppgifter om abonnent och registrerad användare samt uppgifter som identifierar utrustningen där kommunikationen slutligt avskiljs. Det ska där- emot inte längre finnas någon skyldighet att lagra uppgifter om anslutningskapacitet.

12.6.2Bara uppgifter som är strängt nödvändiga

Lagringsskyldigheten kan inte begränsas till en viss personkrets, eftersom det är strängt nödvändigt att alla abonnenters och registrerade användares uppgifter omfattas av denna skyldighet (avsnitt 12.5.1). Däremot borde en differentiering kunna göras utifrån användar- kategori, t.ex. användare med anonyma abonnemang eller utrustning med mobil nätanslutningspunkt, om en sådan begränsning bedöms som meningsfull och proportionerlig. Dessutom måste lagringen begränsas till de trafik- och lokaliseringsuppgifter som de brotts- bekämpande myndigheterna verkligen behöver, har nytta av och som inte kan fås på lämpligare sätt. En proportionerlig och strängt nöd- vändig lagring kan således som utgångspunkt inte omfatta sådana

6 En mer utförlig beskrivning av skillnaderna mellan misslyckade uppringningar och samtal som inte kopplas fram finns i SOU 2007:76 s. 159–160.

218

SOU 2017:75

Överväganden

kategorier av uppgifter som sällan eller aldrig inhämtas i brotts- bekämpande syfte. Den kan inte heller omfatta uppgifter som med samma resultat kan inhämtas genom rimliga åtgärder som innebär ett mindre integritetsintrång. Vidare kan den inte omfatta uppgifter för vilken nyttan är liten. Denna bedömning är även i enlighet med Artikel 29-gruppens tolkning av direktivet.7 Även för abonnemangs- uppgifter krävs att lagringen av uppgifterna är strängt nödvändig och proportionerlig i ett demokratiskt samhälle (artikel 8 i Europa- konventionen, artiklarna 8 och 52.1 i rättighetsstadgan, Tele2-domen p. 96 samt EU-domstolens yttrande 1/15 den 26 juli 2017 p. 122–124; se även avsnitt 12.9 för ett utförligare resonemang.

Vid bedömningen av vilka uppgifter som är strängt nödvändiga att lagra måste således beaktas behovet och nyttan utifrån bl.a. typ av uppgift, typ av abonnemang och uppgiftens ålder. Samtidigt kan en lagringsskyldighet inte begränsas alltför hårt med beaktande av skyldigheterna att upprätthålla en välfungerande och effektiv brotts- bekämpning (avsnitt 12.3).

Vid en första anblick framstår alla begränsningar som ger möjlighet till alternativa kommunikationssätt, som inte omfattas av lagrings- skyldigheten, som handlingsdirigerande för den brottsbenägne och därmed som olämpliga. Det argumentet har emellertid inte den tyngd som det framstår vid ett första påseende. Redan i dag är lagringen så begränsad att det är möjligt för en person med högt säkerhetsmed- vetande att kommunicera på ett sätt som inte lämnar elektroniska fotspår som omfattas av lagringsskyldigheten. Begränsningar kom- mer därför inte att påverka möjligheterna till att utreda brott där dessa personer är inblandade på samma allvarliga sätt som det synes vid ett första påseende. Emellertid kommer varje begränsning att innebära en viss försämring för brottsbekämpningen, eftersom även den allra mest säkerhetsmedvetne förr eller senare gör misstag och ju färre uppgifter som lagras, desto svårare blir det att upptäcka dessa misstag.

Utredningens förslag till en förändrad lagringsskyldighet redo- visas i det följande.

7 Artikel 29-gruppens uttalande i WP 220 och WP 237.

219

Överväganden

SOU 2017:75

12.6.3Telefonitjänster och meddelandehantering

Utredningens förslag: Lagringsskyldigheten ska endast omfatta kommunikation via en mobil nätanslutningspunkt och avse uppgift om

1.uppringande och uppringt nummer eller motsvarande adress

2.såvitt avser telefonitjänst uppringandes och uppringds abon- nemangsidentitet och utrustningsidentitet

3.uppgifter om abonnent och registrerad användare som uppgifterna i 1 och 2 kan hänföras till

4.datum och spårbar tid då kommunikationen påbörjades och avslutades eller ett meddelande skickades och mottogs

5.såvitt avser telefonitjänst lokaliseringsuppgifter då kom- munikationen påbörjades och avslutades

6.datum, spårbar tid och lokaliseringsuppgifter för den första aktiveringen av en förbetald anonym tjänst.

Även misslyckade uppringningar ska omfattas av lagrings- skyldigheten.

En samlad bestämmelse för telefoni och meddelanden

Utredningen föreslår att bestämmelserna om telefoni-, mobiltele- foni- och ip-telefonitjänst samt meddelandehantering (39–42 §§ FEK) slås samman till en paragraf. Med de begränsningar som före- slås blir regleringen mer lättillgänglig utan en uppdelning.

Endast uppgifter om trafik via en mobil nätanslutningspunkt

Utredningen föreslår att lagringsskyldigheten begränsas till att, såvitt avser telefonitjänst (inklusive ip-telefoni) och meddelandehantering, endast avse kommunikation via en mobil nätanslutningspunkt. Detta gäller oavsett med vilken teknik utrustningen kommunicerar med det allmänna nätet. Således omfattas alltjämt t.ex. ip-telefoni via operatörernas wifi-zoner, men inte via ett privat trådlöst nätverk med fast anslutning till det allmänna nätet. På detta sätt skapas en teknikneutral reglering där lagringen differentieras till att omfatta endast de abonnenter och användare som inhämtningen främst avser.

220

SOU 2017:75

Överväganden

Tidigare analyser av vilka uppgifter som inhämtas vid hemlig övervakning och inhämtning enligt IHL ger vid handen att det nästan uteslutande är uppgifter hänförliga till mobiltelefontrafik som inhämtas.8 Denna bild är enligt de brottsbekämpande myndigheterna alltjämt korrekt, även om det också förekommer inhämtning av uppgifter från det fasta nätet. Det framstår vidare som logiskt att det främst är mobiltelefoner och inte fast telefoni som används i sam- band med grov brottslighet, jfr prop. 2010/11:46 s. 33. Lagring av telefoni- och meddelandeuppgifter hänförliga till annat än tjänster via en mobil nätanslutningspunkt framstår därmed som opropor- tionerlig.

Härtill kommer att en fast telefon typiskt sett används av fler personer än en mobiltelefon, som oftast är personlig. Integritets- intrånget vid lagring av uppgifter hänförliga till mobiltelefoner är därmed fokuserat till en snävare personkrets och det totala integ- ritetsintrånget blir därmed mindre vid varje lagringstillfälle, jfr SOU 2012:44 s. 447 och 518. Även av denna anledning blir en lagringsskyldighet som endast omfattar trafik via en mobil nät- anslutningspunkt mer riktad än den som följer av nuvarande lag- stiftning.

Utredningen vill vara tydlig med att det, som nämnts ovan, inhämtas uppgifter från det fasta nätet och att dessa uppgifter ibland kan vara det enda sättet att komma vidare i det brottsbekämpande arbetet. En begränsning till mobil kommunikation kommer därför att påverka statens möjligheter att bekämpa allvarlig brottslighet i någon mån. Ytterligare en nackdel med begränsningen är att vidare- koppling via det fasta nätet kan användas för att dölja kommuni- kationens mottagare och slutpunkt. Detta kan motverkas genom att uppgift om nummer som samtalet vidarekopplas till lagras. Utred- ningen föreslår emellertid att även denna uppgift tas bort från lagringsskyldigheten. Motiveringen till det går att läsa nedan.

Det ska slutligen betonas att den snabba tekniska utvecklingen kan göra att bedömningen utfaller annorlunda inom en relativt snar framtid. Om t.ex. fast ip-telefoni får en mer framträdande roll inom kommunikation är det möjligt att det blir strängt nödvändigt att låta även den omfattas av lagringsskyldigheten. Man kan även tänka sig motsatt bedömning, t.ex. att den meddelandehantering som om-

8 Se exv. SOU 2015:31 s. 215, 253 och 262 samt SOU 2012:44 s. 389, 447–448, 462 och 514.

221

Överväganden

SOU 2017:75

fattas av lagringsskyldigheten blir så undanträngd av andra med- delandetjänster att det inte längre framstår som strängt nödvändigt att den omfattas av lagringsskyldigheten.

Lagring av nummer, abonnemangsidentitet, abonnent och registrerad användare

Utredningen föreslår att nummer (och för meddelandehantering, även annan adress), uppgifter om abonnent och registrerad använ- dare och vid telefonitjänst abonnemangsidentitet även fortsättnings- vis ska omfattas av lagringsskyldigheten.

Möjligheten för de brottsbekämpande myndigheterna att få reda på vem som har haft kontakt med vem utgör en viktig hörnsten för den brottsbekämpande verksamheten. Samtidigt är uppgifterna täm- ligen integritetskänsliga, eftersom lagring av dem inkräktar på själva kärnan i rätten till en privat kommunikation (även om inte innehållet i kommunikationen framgår och tillgången till uppgifterna är begrän- sad). En lagring som inte omfattar uppgift om vem som kontaktat vem är emellertid utesluten, eftersom det är just den informationen (tillsammans med lokaliseringsuppgifter) som över huvud taget motiverar en lagringsskyldighet. I vart fall uppringande och uppringt nummer måste därför lagras.

Abonnemangsidentitet (i praktiken IMSI-nummer, som finns lagrat på sim-kortet) är ofta nödvändigt för att spåra en användare och kan behövas även om telefonnumret är känt. IMSI-numret är särskilt viktigt när myndigheterna ska inhämta uppgifter från en s.k. virituell mobiloperatör (en som inte äger några egna kommuni- kationsnät), eftersom IMSI-numret i dessa fall kan vara den enda sökvägen för att få tillgång till relevanta trafik-, lokaliserings- och abonnemangsuppgifter, SOU 2015:13 s. 163–164. Uppgift om abonnemangsidentitet gör det också möjligt att spåra användare som behållit sitt sim-kort men bytt telefonnummer, vilket emellertid inte torde vara särskilt vanligt förekommande. Det är av dessa anled- ningar nödvändigt att fortsätta lagra uppgift om abonnemangs- identitet vid telefonitjänst.

Även om andra adresser än telefonnummer kan användas vid kommunikation genom telefonitjänster bör lagringskravet inte utvidgas till att avse även sådana adresser (SOU 2007:76 s. 303 och

222

SOU 2017:75

Överväganden

prop. 2010/11:46 s. 29–30). Sådana andra adresser ska dock fort- farande lagras vid meddelandehantering.

Abonnemangsuppgifter, dvs. uppgifter om uppringande och upp- ringd abonnent och registrerad användare omfattas inte av Tele2- domen (avsnitt 12.2). Som tidigare nämnts krävs ändå att det är strängt nödvändigt att lagra uppgifterna, för att lagringsskyldigheten ska vara proportionerlig och förenlig med EU-rätten. Uppgifterna får även anses ha viss integritetskänslighet, i synnerhet när de lagras tillsammans med trafik- och lokaliseringsuppgifter, eftersom de utgör en länk mellan sådana uppgifter och en fysisk person. Det är också just denna egenskap som utgör den stora nyttan med upp- gifterna. Nyttan av lagringen i övrigt blir alltså betydligt mindre om inte abonnemangsuppgifter lagras, eftersom möjligheten att sam- manbinda en uppgift med en person då kraftigt begränsas. Uppgif- terna är även viktiga vid bekämpning av brott som begås genom elek- tronisk kommunikation, t.ex. hot över telefon, upprepade trakasse- rier och överträdelse av kontaktförbud. Det är av båda dessa anled- ningar strängt nödvändigt att uppgifter om abonnent och registrerad användare omfattas av lagringsskyldigheten.

Lagring av tidsuppgifter

Utredningen föreslår att uppgift om vid vilken tid kommunikationen påbörjades och avslutades fortfarande ska omfattas av lagrings- skyldigheten.

Information om vid vilken tidpunkt kommunikationen på- börjades är nödvändig bl.a. för att kunna knyta kommunikations- uppgifter till en gärning och för att kunna göra analyser inför spaningsåtgärder. Utan tidsinformation blir uppgiften om att kom- munikationen ägt rum betydligt mindre värdefull. Utifrån ett inte- gritetsperspektiv torde dessutom uppgiften om vem som kontaktat vem vara betydligt känsligare än informationen om vid vilken tid det skedde, även om också den informationen kan vara skyddsvärd. Den extra nytta som tidsuppgifter tillför övriga och mer känsliga kom- munikationsuppgifter är enligt utredningens bedömning så stor att en lagring av uppgifterna gör lagringen i sin helhet mer propor- tionerlig.

223

Överväganden

SOU 2017:75

Tid för när ett samtal ägde rum eller när ett meddelande skickades eller mottogs måste också lagras i någon form för att operatören ska veta när lagringstiden gått ut.

Ett sätt att begränsa lagringsskyldigheten skulle kunna vara att endast lagra tidpunkt för när kommunikationen påbörjades (men inte när den avslutades eller när ett meddelande mottogs). Även information om när kommunikationen avslutades (och därmed samtalets längd) är emellertid ofta mycket användbar och i vissa fall till och med avgörande. Den informationen gör det nämligen möjligt att kartlägga kommunikationsmönster och på så sätt bedöma när avvikelser sker. Den används också för att dra slutsatser om relationen mellan en person och den som han eller hon samtalar med. Vidare kan man genom samtalslängd filtrera fram intressanta nummer ur en omfattande samtalslista. Ytterligare ett sätt att använda upp- gifterna är för att avläsa mer komplexa kommunikationssätt som t.ex. används mellan en underrättelseofficer och en agent. Sådan kom- munikation sker inte sällan genom kodspråk; samtal av en viss förutbestämd längd kan i sig vara en informationsbärare, liksom förekomsten av ett visst antal korta respektive långa samtal per dag.

Tidsuppgift för samtalets slut bidrar också till förståelsen av den korresponderande lokaliseringsuppgiften (se nedan). Genom att både tidpunkt och lokalisering sparas vid kommunikationens början och slut blir det möjligt att dra slutsatser om i vilken riktning och fart som en gärningsman har färdats. Sådana uppgifter är extremt viktiga vid människorov men kan även vara avgörande vid andra situationer för att t.ex. hitta gärningsmän, övergivna fordon eller en skadad eller död målsägande. Uppgifterna kan även användas som kontrollinformation vid förhör eller för att dra andra slutsatser om t.ex. färdvägar och mötesplatser.

I sammanhanget kan noteras att tidsuppgifter ibland kan erhållas på andra sätt, exempelvis genom beslag av en mobiltelefon, men det förutsätter att samtals- och meddelandehistoriken finns sparad i telefonen. Det är också långt ifrån alltid som man kan beslagta en telefon, i synnerhet när det gäller underrättelseverksamhet. Som framgår av exempel i avsnitt 7.1 förekommer det dessutom att samtalshistorik raderas eller manipuleras i bevisförstörande syfte. Uppgifterna i en mobiltelefon kan även vara oriktiga av andra anled- ningar, t.ex. tekniska fel. Härutöver är det inte säkert att polisen, även om en mobiltelefon har tagits i beslag, kan komma åt uppgif-

224

SOU 2017:75

Överväganden

terna eftersom telefoner ofta är krypterade och lösenordsskyddade. Möjligheten att få uppgifter på annat sätt är således begränsad och de brottsbekämpande myndigheternas behov av uppgifterna bedöms därför som stort.

Lagring av uppgift om när ett samtal avslutades utgör ett något ökat integritetsintrång gentemot att endast lagra tidpunkt för sam- talets början. Det beror just på de ytterligare slutsatser som kan dras om t.ex. relation till samtalspartnern och den extra nytta som upp- gifterna tillför lokaliseringsuppgifter.

Tidpunkt för när ett meddelande mottogs framstår inte som en lika viktig uppgift för brottsbekämpningen som informationen om när ett samtal avslutades. Den uppgiften kan nämligen inte ge någon uppfattning om relation eller bidra till att förbättra förståelsen för någon lokaliseringsuppgift (uppgift om lokalisering vid meddelanden omfattas inte av lagringsskyldigheten, varken enligt nuvarande lag- stiftning eller med utredningens förslag). I de allra flesta fall mottas också meddelanden i mycket nära anslutning till att de skickades, i vart fall såvitt avser sms. Att ta bort uppgift om när ett meddelande mottogs framstår emellertid som problematiskt eftersom mot- svarande tidsuppgift ändå måste sparas för att den mottagande operatören ska kunna veta när uppgiften ska raderas. Därutöver ger uppgiften viss annan nytta. Den kan nämligen förklara varför en persons aktivitet inleddes vid en specifik tid (vid mottagandet av meddelandet) eller motsatt: varför personen inte reagerade i sam- band med att ett visst meddelande skickades. Särskilt i förhörssitua- tioner kan det vara en fördel för förhörsledaren (och den miss- tänkte) om det med objektiva uppgifter går att visa när ett visst med- delande mottogs. Uppgift om när ett meddelande mottogs är också av intresse i mer extrema situationer, som dock är mycket angelägna att kunna reda ut, t.ex. vid bomber som fjärrutlösts via sms. Uppgift om vid vilken tidpunkt som ett meddelande mottogs kan inte i sig anses utgöra något större ökat integritetsintrång, om uppgift att meddelandet mottagits ändå lagras.

Sammantaget har det framkommit att såväl nytta som behov av att lagra tidsuppgift, även vid kommunikationens slut, i många fall är mycket betydande. Uppgifterna bidrar även till att öka nyttan av lagringen av andra uppgifter. De används i princip vid varje analys av uppgifter från elektronisk kommunikation. Det ytterligare ingrepp i en persons integritet som följer av att det även lagras information

225

Överväganden

SOU 2017:75

om vid vilken tid ett samtal avslutades och i synnerhet när ett med- delande mottogs bedöms inte som stort. Sammantaget är det strängt nödvändigt att lagra uppgifterna. De bör därför fortfarande omfattas av lagringsskyldigheten.

Lagring av uppgift om utrustningsidentitet

Utredningen föreslår att uppgift om utrustningsidentitet fortfarande ska lagras för telefoni men inte för meddelanden.

Uppgift om utrustningsidentitet utgör, liksom många andra trafikuppgifter, en länk i kedjan som binder samman en persons elek- troniska fotspår.

Vissa brottslingar byter ofta sim-kort i sin telefon för att försvåra för de brottsbekämpande myndigheterna. Genom att lagra uppgift om telefonens identitet (t.ex. IMEI-nummer) vid kommunikation blir det möjligt att länka samman olika sim-kort som använts. Oavsett vilket av sim-korten som använts kommer nämligen numret för telefonens identitet att vara detsamma.

En stor del av de relevanta inhämtade uppgifterna hänför sig till oregistrerade kontantkort (förbetalda anonyma tjänster), SOU 2012:44 s. 447. I vart fall blir det allt vanligare bland gärningsmän som begår planerade brott att använda sådana anonyma abonnemang och det blir allt vanligare att kriminella förser sig med ett stort antal kon- tantkort, SOU 2015:31 s. 164–165. Dessa omständigheter talar för att uppgift om utrustningsidentitet är viktig att lagra men att lag- ringsskyldigheten skulle kunna begränsas till att bara omfatta upp- gifter hänförliga till dessa abonnemangstyper. Man skulle även kunna argumentera för att integritetsintrånget är mindre vid lagring av uppgifter för oregistrerade kontantkort, just eftersom de är anony- ma. Detta skulle sammantaget även kunna anföras som skäl för att lagringsskyldigheten i sin helhet endast ska gälla oregistrerade kon- tantkort. En sådan begränsning skulle emellertid leda till att en oförsvarligt stor mängd relevant data skulle gå förlorad och framstår därmed som alltför kraftig. Även om byte av sim-kort i syfte att försvåra för brottsbekämpningen i och för sig huvudsakligen lär avse anonyma kontantkort, begås en stor del av de grova brotten inte av personer med hög säkerhetsförmåga och föregås inte av noggrann planering. De brottsbekämpande myndigheterna har även uppgett

226

SOU 2017:75

Överväganden

att ett vanligt misstag som görs av kriminella är att kontantkortet sätts in i en telefon som annars används med ett registrerat abonne- mang. Det förekommer dels att kriminella har två sim-kort som används i en och samma telefon, ett sim-kort för sociala ändamål och ett för kriminella, dels att sim-kort som vanligtvis används i en särskild telefon flyttas till en ”abonnemangstelefon”, t.ex. på grund av batteribrist.

Därutöver används utrustningsnumret även för andra syften än att koppla samman abonnemang på nyss nämnda sätt. Ett exempel är att länka samman en MAC-adress med trafikuppgifter. MAC- adressen är ett unikt identifikationsnummer på nätverkskortet och används bl.a. när utrustningen (telefonen i detta exempel) kom- municerar med ett lokalt nätverk, t.ex. en trådlös router (wifi). MAC-adress och IMEI-nummer (telefonens utrustningsidentitet för mobilnätet) kan kopplas samman med hjälp av uppgifter från till- verkare, försäljare eller leverantörer av mobilappar. Lagras IMEI- numret eller annat utrustningsnummer utgör det således en vägvisare till rätt kommunikationsuppgifter. På detta sätt har flera misstänkta gärningsmän kunnat identifieras av de brottsbekämpande myndig- heterna. Lagring av uppgiften innebär alltså att nyttan av övriga lagrade uppgifter i vissa fall ökar.

Ytterligare en nytta med att känna till utrustningsidentitet är att det talar om vilken typ av utrustning som använts, såsom att det är en telefon av visst varumärke och modell. Det leder till flera fördelar, t.ex. att rätt utrustning tas i beslag och att det vid spaning blir lättare att identifiera användaren.

Enligt uppgift från de brottsbekämpande myndigheterna används information om utrustningsidentitet också i stor utsträckning i samband med att myndigheterna bistår andra länder i utredningar om t.ex. internationell terrorism.

Det kan också noteras att utrustningsnummer kan vara av stor vikt för att kunna verkställa hemlig dataavläsning, som det för när- varande utreds om det ska införas (dir. 2016:36). Den omständig- heten får emellertid i nuläget inte någon inverkan på bedömningen av om uppgiften bör omfattas av lagringsskyldigheten eller inte.

Utrustningsidentitet utgör för de flesta människor en inte särskilt integritetskänslig uppgift. Numret kan som nämnts vara ett insteg till andra uppgifter men i sig ger den i princip endast information om varumärke och modell på utrustningen som används.

227

Överväganden

SOU 2017:75

Sammantaget framstår det som strängt nödvändigt att uppgift om utrustningsidentitet vid telefonitjänst alltjämt omfattas av lagrings- skyldigheten för alla slags abonnemang som använder en mobil nätanslutning.

Enligt dagens lagstiftning ska inte utrustningsidentitet lagras vid meddelandehantering. Utredningen har svårt att se några bärande skäl för denna skillnad. Det finns två huvudargument för att låta lagringsskyldigheten för denna uppgift även omfatta meddelanden: dels blir bestämmelsen teknikneutral, dels tycks en stor del av de relevanta uppgifterna som inhämtas avse sms. Att på detta sätt utöka lagringsskyldigheten kan emellertid inte anses ligga i linje med det krav på begränsning som EU-rätten ställer. Utredningen föreslår därför inte någon sådan utökning.9

Lagring av lokaliseringsuppgifter

Utredningen föreslår att lokaliseringsuppgifter vid kommunika- tionens början och slut fortfarande ska lagras vid telefonitjänst men inte vid meddelandehantering.

Lokaliseringsuppgifter är nödvändiga för att kunna analysera såväl kända som okända gärningsmäns rörelsemönster. Det är också ett sätt att bekräfta andra källors uppgifter. Kartläggningen av miss- tänktas rörelser före, under och efter ett allvarligt brott gör att brottsutredarna kan få information om bl.a. förberedelser och flykt- vägar och hur andra tvångsmedel kan användas, t.ex. var spaning eller husrannsakan ska genomföras. Lokaliseringsuppgifter används även för att bedöma om den misstänkte har haft möjlighet att utföra gärningen och om personen befunnit sig på andra platser som kan kopplas till brottet, t.ex. där en flyktbil stals eller ett vapen inhand- lades, eller till någon person av speciellt intresse. Genom att se på vilka platser en okänd innehavare av en telefon har kommunicerat är det också möjligt att med hjälp av t.ex. bilder från övervaknings- kameror på dessa platser identifiera innehavaren. Utredningen bedömer det redan av dessa anledningar som strängt nödvändigt att

9 Se motsvarande resonemang för lokaliseringsuppgifter nedan. Samma skillnad finns också för abonnemangsidentitet.

228

SOU 2017:75

Överväganden

lagringsskyldigheten även fortsättningsvis ska omfatta lokaliserings- uppgifter av något slag.

Lokaliseringsuppgifter är även viktiga för att få reda på vilka mobiltelefoner som har varit på en viss plats, t.ex. där ett lik har hittats. Denna information kan fås genom basstationstömningar (avsnitt 6.2.3). Som beskrivs i avsnitt 6.2.1 och 12.8.6 får alla till- gängliga lokaliseringsuppgifter begäras in från operatören, inte bara dem som lagras för brottsbekämpande ändamål. Av vad som fram- kommit är det trots det i princip uteslutande de uppgifter som om- fattats av lagringsskyldigheten som myndigheterna får tillgång till vid en basstationstömning (möjligen med undantag för lokaliserings- uppgifter vid sms). Ett rimligt antagande är därför att andra lokali- seringsuppgifter förstörs relativt omgående efter att de genererats. Dessutom är det inte alltid ett brott upptäcks direkt efter att det har begåtts och det kan först senare i utredningen bli intressant att få information hänförlig till en viss plats. Det finns därför även av denna anledning skäl att låta lagringsskyldigheten fortsatt omfatta lokaliseringsuppgifter.

Ytterligare ett sätt att använda lokaliseringsuppgifter är för att identifiera en person som är inblandad i brottslig verksamhet (eller egentligen dennes telefon). Vet man t.ex. att en misstänkt eller en gärningsman använt sin mobiltelefon vid vissa tidpunkter på en eller flera specifika platser kan man samköra listor från basstations- tömningar och på så sätt få fram intressanta telefon- eller utrust- ningsnummer. Ju fler uppgifter som finns, desto träffsäkrare blir analysen.

Den kanske största nyttan av lokaliseringsuppgifter är att trafik- uppgifterna blir mer begripliga. Lokaliseringsuppgifter vid kom- munikation utgör därmed en mycket viktig pusselbit vid analysen av en misstänkts eller en målsägandes kommunikation; en uppgift om att A ringt B är betydligt mindre värd än en uppgift om att A ringde B just när A var på en specifik plats och B på en annan sådan plats. Det kan alltså sägas att lokaliseringsuppgifter bidrar till att öka nyttan av övriga trafikuppgifter och gör lagringen av dessa uppgifter mer proportionerlig. Det behöver knappast sägas att det därutöver i sig självt är av synnerligen stort intresse att få information om kommunikation som skett i anslutning till en känd brottsplats och brottstidpunkt, vilket uppenbarligen kräver att positionen för kom- munikationen är lagrad. De lokaliseringsuppgifter som ska omfattas

229

Överväganden

SOU 2017:75

av lagringsskyldigheten bör sammanfattningsvis fortsatt vara kopp- lade till kommunikation.

När det gäller skyldighet att lagra lokaliseringsuppgifter vid sam- talets avslut bör följande beaktas. Nyttan av att lagra position både när kommunikationen påbörjas och avslutas utgör även det en viktig beståndsdel i analysen för att upptäcka, utreda och beivra allvarlig brottslighet. Information om att en person avslutar ett samtal just när han eller hon kommit till en specifik plats kan ha stor betydelse och t.ex. ge indikationer om intressanta platser och ge upphov till spaningsuppslag. Ett samtal kan t.ex. avslutas när två personer möts, när någon kommit hem eller till arbetet eller när en person nått fram till den plats som samtalspartnern gett en vägbeskrivning till. Därtill gör två positioner kopplade till samma samtal det möjligt att få fram en riktning i vilken personen har rört sig, vilket gör det enklare att spåra personen. Tillsammans med tidsuppgifter kan man också upp- skatta hastighet och därmed bedöma om personen använt sig av ett fordon och i hur stort område personen kan ha rört sig. Vidare bidrar fler lokaliseringsuppgifter till att analysen av vardagsmönster blir mer pricksäker. Det gör både att nyttan blir större för de brotts- bekämpande myndigheterna i såväl underrättelse- som förunder- sökningsverksamheten men även att uppgifterna blir mer integritets- känsliga.

I sammanhanget ska noteras att ett genomsnittligt samtal för en privatperson från mobiltelefon är omkring tre minuter långt (avsnitt 7.3.1). Det ska också nämnas att en begränsning till att bara lagra uppgift om position vid samtalets början redan finns i andra länder och att datalagringsdirektivet endast föreskrev en sådan lagring (artikel 5.1 f) 1). Utredningen bedömer också att lokaliserings- uppgifter generellt sett är tämligen integritetskänsliga. Som EU- domstolen nämner i Tele2-domen, kan man dra mycket precisa slutsatser om privatlivet för de personer vars uppgifter lagras. Sam- tidigt används informationen vid i princip varje analys av elek- troniska kommunikationsuppgifter. Just att man kan dra mycket precisa slutsatser gör att lokaliseringsuppgifter utgör ett välanvänt och extremt värdefullt verktyg, inte minst i underrättelseverksam- heten. Som nämnts följer många fördelar av att mer än en position sparas vid varje samtal.

Vid en sammantagen bedömning finner utredningen att det är strängt nödvändigt att uppgifterna sparas och föreslår därför att lag-

230

SOU 2017:75

Överväganden

ringsskyldigheten alltjämt ska omfatta uppgift om lokalisering vid samtalets början och slut. Det är dock viktigt att lagringstiden anpassas till uppgifternas höga integritetskänslighet (avsnitt 12.7.2).

Enligt den nuvarande lagstiftningen ska inte några lokaliserings- uppgifter lagras vid meddelandehantering. Av vad som framkommit finns det för de brottsbekämpande myndigheterna ett minst lika stort behov av att få del av uppgifter om lokalisering vid meddelande- hantering som vid telefoni; det är t.ex. vanligt att sms används som det enda kommunikationssättet mellan gärningsmän vid allvarlig brottslig verksamhet. Det skulle därför kunna argumenteras för att även lokaliseringsuppgift vid meddelandehantering borde omfattas av lagringsskyldigheten, dels för att en mycket stor mängd relevanta uppgifter annars går om intet, dels för att bestämmelsen blir mer teknikneutral.10 Det synes också ha varit lagstiftarens avsikt, efter- som begränsningen till telefonitjänst endast finns i FEK; lokali- seringsuppgifter får nämligen lagras enligt LEK. Ytterligare ett argument för att införa en sådan skyldighet är att uppgifterna kan ge mervärde åt andra lagrade uppgifter, vilket i sin tur kan göra den övriga lagringen mer proportionerlig. En förutsättning för att en lagringsskyldighet alls ska vara förenlig med EU-rätten är emellertid att färre uppgifter lagras. I linje härmed föreslår utredningen inte att lokaliseringsuppgifter vid meddelandetjänst ska omfattas av lagrings- förslaget. Ett förändrat kommunikationsmönster kan dock framöver leda till att det blir strängt nödvändigt att lagra lokaliseringsuppgifter även vid meddelandehantering, jfr även de trender om meddelande- hantering som beskrivs i avsnitt 7.3.1.

Uppgift om ip-adress ska inte lagras

Utredningen föreslår att ip-adress inte ska omfattas av lagrings- skyldigheten för telefonitjänst och meddelandehantering.

Vid ip-telefoni ska det enligt dagens lagstiftning lagras upp- ringande och uppringds ip-adresser. Motsvarande gäller vid med- delandehantering. De brottsbekämpande myndigheterna har värderat denna information högt och man kan se exempel där informationen varit till nytta.

10 Se motsvarande resonemang för uppgift om utrustningsidentitet ovan.

231

Överväganden

SOU 2017:75

Ip-adresser utgör en länk mellan å ena sidan internetanvändande och å andra sidan telefoni och meddelandehantering. Eftersom ip- adress kan användas vid samtliga dessa tjänster kan ett spår från internetanvändning därför användas för att hitta rätt kommuni- kationsuppgifter, om ip-adressen finns sparad. En ip-adress kan också ge en uppfattning om positionen för den som kommunicerar.

I relation till andra uppgifter är det dock svårt att se att det är strängt nödvändigt att uppgift om ip-adress ska omfattas av lagrings- skyldigheten. Behovet av att använda ip-adress för att länka samman internetanvändning med uppgifter om samtal och meddelanden minskar dessutom med utredningens förslag om en mer teknik- neutral reglering för lagring vid internetåtkomst, avsnitt 12.6.4. Den regleringen kommer att leda till att det oftare går att identifiera abonnenten bakom en ip-adress. Därtill har ip-adresser i vissa fall ett skyddsvärde, eftersom de kan utgöra en nyckel till en persons inter- netanvändning (under förutsättning att information om hur ip- adressen trafikerat internet finns tillgänglig). Sammantaget får därför uppgiften ge vika för att kunna möjliggöra en proportionerlig lagringsskyldighet för högre prioriterade uppgifter.

Om ip-adressen har använts som adress för att skicka ett med- delande, dvs. angetts av användaren i stället för t.ex. ett telefonnum- mer (något som, om det alls förekommer, torde vara ovanligt), så ska den däremot lagras.

Uppgifter om tjänst som använts samt datum och spårbar tid för på- och avloggning i tjänsten ska inte lagras

Utredningen föreslår att uppgifter om den eller de tjänster som har använts samt datum och spårbar tid för på- och avloggning i de tjänsterna tas bort från lagringsskyldigheten.

Värdet av att få information om använd tjänst värderas generellt lågt i förhållande till andra uppgifter, av de brottsbekämpande myndig- heterna.

Uppgifterna kan bidra till förståelsen vid analys av kommuni- kationsmönster och det kan ibland vara avgörande att veta om kom- munikationen utgjordes av t.ex. sms, mms eller videosamtal eller om samtalet vidarekopplades till röstbrevlådan. Uppgifterna är således nyttiga men sällan av mycket stor vikt.

232

SOU 2017:75

Överväganden

Det har framförts att uppgift om vilken typ av tjänst som använts kan vara bra att ha för att veta om det t.ex. är ett meddelande som har skickats och myndigheten därmed kan begära tillstånd att få del av innehållet i meddelandet genom hemlig avlyssning. För det fall innehållet i ett meddelande fortfarande finns sparat hos operatören lär emellertid även uppgiften om tjänst göra det. Motsvarande torde gälla vidarekoppling till röstbrevlåda. Argumentet ter sig därför inte övertygande.

Även om uppgift om tjänst får anses ha en relativt låg integritets- känslighet är utredningens sammantagna bedömning att en lagring av uppgiften inte är strängt nödvändig. Utredningen föreslår därför att uppgiften tas bort från lagringsskyldigheten.

Vad gäller datum och spårbar tid för på- och avloggning i den eller de tjänster som använts är det svårare att konkretisera nyttan av uppgiften. Ett exempel som dock framförts är s.k. dead drop. Om t.ex. en underrättelseofficier och en agent vill utbyta information med varandra kan de skriva e-postmeddelanden och spara dem som utkast, men välja att inte skicka dem. Om den andre har tillgång till inloggningsuppgifterna kan han eller hon därefter logga in på samma konto och läsa utkastet. På så sätt lämnas färre elektroniska spår. Uppgift om på- och avloggning i e-posttjänsten, i kombination med uppgift om ip-adress, gör det därför möjligt att enklare upptäcka detta upplägg och identifiera författare och läsare av den hemliga informationen. Eftersom uppgift om såväl ip-adress som använd tjänst tas bort från lagringsskyldigheten utgör denna nytta inte ett bärande skäl att behålla lagringen av uppgiften. Därtill får det antas att den som planerar ett sådant relativt sofistikerat kommunikationssätt inte använder sig av en operatörs e-posttjänst utan en i samman- hanget anonymare tjänst, tillhandahållen av andra aktörer på internet.

Nummer som samtalet styrs till ska inte lagras

Utredningen föreslår att nummer som samtalet styrs till tas bort från lagringsskyldigheten.

Vad gäller vidarekopplade samtal har det inte framkommit något omfattande behov av att veta vilket nummer som samtalet styrts till. Det har t.ex. inte framkommit något stöd för att vidarekoppling är

233

Överväganden

SOU 2017:75

särskilt vanligt förekommande. Däremot står det klart att uppgiften i vissa fall kan bidra till stor nytta för brottsbekämpningen.

Det får inledningsvis antas att den som initierat kommuni- kationen vanligtvis vill ha kontakt med den som använder det upp- ringda numret. I normalfallet vid vidarekoppling styrs troligen också samtalet vidare till något annat nummer som tillhör samma använ- dare. Nyttan av att få information om det nummer som samtalet styrts till gör sig därför främst gällande om samtalet omstyrts i syfte att försvåra för de brottsbekämpande myndigheterna. Som nämnts ovan, skulle det t.ex. kunna vara möjligt att ”tvätta” ett nummer via det fasta nätet, för att på så sätt dölja kommunikationen. Det ska emellertid noteras att personer med ett högt säkerhetsmedvetande har möjlighet att kommunicera på andra och mindre komplicerade sätt, som inte lämnar sådana elektroniska spår som ska lagras.

Ytterligare ett exempel på uppgiftens nytta utgörs av att den kan användas för avkodning av mer sofistikerade kommunikationssätt. Tidigare i detta avsnitt har det redogjorts för hur förutbestämd information kan kommuniceras genom samtalsmönster. Vidare- koppling kan också vara del av den informationen.

Om vidarekoppling görs till någon annan persons telefonnummer kan det ge en antydan om att personerna har en nära relation. Görs det till ett eget nummer, som inte är registrerat i personens namn, utgör vidarekoppling en länk till ytterligare uppgifter om personen. Det kan också vara intressant för den brottsbekämpande myndig- heten att veta om samtalet styrts till röstbrevlådan, eftersom det då kan finnas meddelanden som myndigheten kan söka tillstånd att få del av.

Uppgiftens integritetskänslighet är beroende av till vilket nummer som samtalet kopplas till. En vidarekoppling till ett registrerat num- mer för samma person eller till röstbrevlådan är i normalfallet inte en särskilt integritetskänslig uppgift medan en uppgift om en vidare- koppling till en annan persons nummer normalt måste bedömas som något mer känslig.

Vid en sammantagen bedömning kan det inte bedömas vara strängt nödvändigt att lagra uppgift om vidarekoppling. Även om den bidrar till viss nytta, finns det flera uppgifter som är betydligt viktigare att lagra. Det saknas därför tillräckliga skäl att låta uppgifter om det nummer som samtalet styrs till omfattas av lagringsskyldigheten.

234

SOU 2017:75

Överväganden

Uppgift om utrustning där kommunikationen avskiljs ska inte lagras

Utredningen föreslår att uppgift som identifierar den utrustning där kommunikationen slutligt avskiljs inte ska omfattas av lagrings- skyldigheten för telefonitjänst och meddelandehantering.

Uppgift som identifierar den utrustning där kommunikationen slutligt avskiljs från den lagringsskyldige ska enligt dagens lag- stiftning lagras vid ip-telefoni. Vid fast telefoni kan denna utrustning vara t.ex. ett telefonjack eller ett fibermodem, medan det vid mobil ip-telefoni ofta är en cell i en basstation (mobilmast), men den kan även vara en router, om det är ett allmänt trådlöst nätverk. Uppgiften används bl.a. för att ge information om var utrustningen geografiskt finns och har av de brottsbekämpande myndigheterna bedömts som oerhört viktig för att kunna lokalisera den plats varifrån någon kommunicerar.

Den nytta som uppgiften genererar torde kunna erhållas på annat sätt. Samma uppgift genereras och lagras nämligen vid internet- åtkomst, låt vara att det kan vara vid en annan tidpunkt än när ip- telefonisamtalet ringdes. Eftersom lokaliseringsuppgifter, vid kom- munikation från en mobil nätanslutningspunkt, ska lagras vid sam- talets början och slut kan lokaliseringsuppgift även fås på detta sätt.

Även om uppgifterna kan ge stor nytta är behovet av att lagra dem inte påtagligt. Redan av denna anledning framstår en skyldighet att lagra uppgiften inte som proportionerlig. Sammantaget bör uppgiften inte omfattas av lagringsskyldigheten.

Lagring av misslyckade uppringningar

Utredningen föreslår att misslyckade uppringningar (obesvarade samtal) fortfarande ska omfattas av lagringsskyldigheten, men inte samtal som inte kopplats fram.

Enligt nuvarande lagstiftning ska även obesvarade samtal omfattas av lagringsskyldigheten. Dessa samtal ska inte blandas ihop med sådana som över huvud taget inte kopplats fram, t.ex. på grund av tekniskt fel. Dessa omfattas inte av lagringsskyldigheten enligt dagens lagstiftning.

Lagringsskyldigheten bör inte vara beroende av om den upp- ringda parten svarar eller inte. Ett försök att kontakta någon kan

235

Överväganden

SOU 2017:75

betyda lika mycket som att personerna har haft kontakt med varandra. Obesvarade samtal används dessutom för att meddela medgärningsmän förutbestämd information, t.ex. att en målsägande är på plats eller att gärningen eller en förberedelse är utförd SOU 2007:76 s. 159. På liknande sätt kan de användas som koder mellan en underrättelseofficier och en agent. Det bedöms därför som strängt nödvändigt att uppgifter från misslyckade uppringningar ska omfattas av lagringsskyldigheten.

Det har inte framkommit något behov av att utöka lagrings- skyldigheten till att även omfatta uppgifter om samtal som på grund av tekniskt fel inte har kopplats fram. Det får dessutom antas att det i de allra flesta fall görs ett nytt försök att initiera samtalet, varvid motsvarande uppgifter kommer att genereras och lagras.

Lagring av uppgifter för första aktiveringen av en förbetald anonym tjänst

Utredningen föreslår att uppgifter för första aktiveringen av en för- betald anonym tjänst fortfarande ska lagras.

Uppgifterna används bl.a. efter basstationstömningar. Som nämnts ovan blir det allt vanligare att brottslingar använder anonyma kontantkort, som aktiveras innan ett grovt brott ska begås. En analys av vilka av de kontantskortsabonnemang som kan kopplas till en gärningsplats och som nyligen har aktiverats kan därför ge en bild av vilka telefoner som är särskilt intressanta. Första aktiveringen kan ge indikationer om inköpsställe eller bostadsort, som i sin tur kan leda till identifiering av innehavaren. Sådana uppgifter kan också användas för att hitta bomber, som kan fjärraktiveras genom elektronisk kommunikation. (SOU 2015:31 s. 164–165)

Dessa uppgifter är inte särskilt integritetskänsliga. De avser anonyma tjänster och avslöjar mycket lite om personens övriga kommunikation, aktiviteter eller privatliv. Även om några av de brottsbekämpande myndigheterna inte har värderat dessa uppgifter särskilt högt i förhållande till andra uppgifter, är det utredningens uppfattning att nyttan med råge överträffar det ringa integritets- intrång som en lagring av uppgifterna innebär. Det har även fram- kommit att uppgifterna ofta används i det inledande skedet av vissa utredningar och när andra spaningsuppslag saknas. Även behovet av

236

SOU 2017:75

Överväganden

uppgifterna framstår därmed som påtagligt. Det bedöms samman- taget som strängt nödvändigt att fortsätta lagra dessa uppgifter.

Uppgifter som tas bort för telefonitjänst och meddelandehantering

Kommunikation som inte går via en mobil nätanslutningspunkt

Fast telefoni (ej ip-telefoni), 39 § FEK

1.uppringande nummer

2.uppringt nummer och nummer som samtalet styrts till

3.uppgifter om uppringande och uppringd abonnent och, i före- kommande fall, registrerad användare

4.datum och spårbar tid då kommunikationen påbörjades och avslutades

5.uppgifter om den eller de tjänster som har använts

Fast ip-telefoni, 39 och 41 §§ FEK

1.uppringande nummer

2.uppringt nummer och nummer som samtalet styrts till

3.uppgifter om uppringande och uppringd abonnent och, i före- kommande fall, registrerad användare

4.datum och spårbar tid då kommunikationen påbörjades och avslutades

5.uppgifter om den eller de tjänster som har använts

6.uppringandes och uppringds ip-adresser

7.datum och spårbar tid för på- och avloggning i den eller de tjänster som använts

8.uppgifter som identifierar den utrustning där kommunikationen slutligt avskiljs från den lagringsskyldige till den enskilda abon- nenten

237

Överväganden

SOU 2017:75

9.uppgifter som identifierar den utrustning där kommunikationen avskiljs från den lagringsskyldige till den som slutligt avskiljer kommunikationen till den enskilda abonnenten, om den senare inte är lagringsskyldig

Meddelandehantering som inte går via mobil nätanslutningspunkt, 42 § FEK

1.avsändares och mottagares nummer, ip-adress eller annan med- delandeadress

2.uppgifter om avsändande och mottagande abonnent och, i före- kommande fall, registrerad användare

3.datum och spårbar tid för på- och avloggning i den eller de tjänster som använts

4.datum och spårbar tid för avsändande och mottagande av med- delande

5.uppgifter om den eller de tjänster som har använts

Uppgifter om kommunikation via en mobil nätanslutningspunkt

Mobiltelefoni (ej ip-telefoni), 39 och 40 §§ FEK

1.nummer som samtalet styrts till från uppringt nummer

2.uppgifter om den eller de tjänster som har använts

Mobil ip-telefoni, 39–41 §§ FEK

1.nummer som samtalet styrts till från uppringt nummer

2.uppgifter om den eller de tjänster som har använts

3.uppringandes och uppringds ip-adresser

4.datum och spårbar tid för på- och avloggning i den eller de tjänster som använts

238

SOU 2017:75

Överväganden

5.uppgifter som identifierar den utrustning där kommunikationen slutligt avskiljs från den lagringsskyldige till den enskilda abon- nenten

6.uppgifter som identifierar den utrustning där kommunikationen avskiljs från den lagringsskyldige till den som slutligt avskiljer kommunikationen till den enskilda abonnenten, om den senare inte är lagringsskyldig

Mobil meddelandehantering, 42 § FEK

1.datum och spårbar tid för på- och avloggning i den eller de tjänster som använts

2.uppgifter om den eller de tjänster som har använts

12.6.4Internetåtkomst

Utredningens förslag: Lagringsskyldigheten ska endast omfatta

1.användares ip-adress och annan uppgift som är nödvändig för att identifiera abonnent och registrerad användare

2.uppgifter om abonnent och registrerad användare

3.datum och spårbar tid för på- och avloggning i tjänsten som ger internetåtkomst

4.uppgifter som identifierar den utrustning där kommuni- kationen slutligt avskiljs från den lagringsskyldige till den en- skilda abonnenten.

Om den som slutligt avskiljer kommunikationen till den en- skilda abonnenten är någon som inte är lagringsskyldig, ska lagringsskyldigheten i stället avse uppgift om utrustningen där kommunikationen avskiljs till den som slutligt avskiljer kom- munikationen till den enskilda abonnenten.

239

Överväganden

SOU 2017:75

Lagring av ip-adress och uppgifter om abonnent och registrerad användare

Utredningen föreslår att uppgift om ip-adress samt uppgifter om abonnent och registrerad användare fortfarande ska lagras.

Abonnemangsuppgifter omfattas inte av Tele2-domen men väl av skyddet för personuppgifter i såväl Europakonventionen och rättig- hetsstadgan, avsnitt 12.2. En skyldighet att lagra uppgifterna måste därför vara strängt nödvändig för att den ska kunna godtas, avsnitt 12.6.2.

För brott begångna över internet är abonnemangsuppgifterna, dvs. vilken person som innehar en specifik ip-adress eller annan unik användaradress vid varje tillfälle, den absolut viktigaste informa- tionen. Denna information är uppenbart nödvändig för att kunna få fram identiteten på den som över internet t.ex. tillgängliggör barn- pornografi eller upphovsrättsskyddat material, säljer narkotika och vapen, hotar och förtalar, tar kontakt med barn i sexuellt syfte eller gör dataintrång och andra digitala attacker mot privatpersoner, före- tag eller myndigheter. Uppgifterna är också viktiga för att kunna identifiera dem som använder internet för att kommunicera med t.ex. medgärningsmän eller sin underrättelseofficier eller för att rekrytera andra till terrorbejakande organisationer.

I takt med att fler och fler använder internet och användnings- området för internet utökas, ökar också internetbrottsligheten och därmed behovet av verktyg för brottsbekämpningen även på denna arena, se avsnitt 7.3, 12.3 och 12.9 (särskilt hänvisningen till Europa- domstolens mål K.U. mot Finland). Nyttan av uppgifterna är således synnerligen stor. Det saknas i praktiken ofta andra möjligheter att identifiera en aktör på internet på annat sätt än genom uppgift om ip-adress i kombination med andra abonnemangsuppgifter. Även behovet av uppgifterna är således påtagligt.

Abonnemangsuppgifter för internet utgörs i princip av uppgift om vilken abonnent som vid varje tidpunkt var användare av en specifik ip-adress. Dessa uppgifters integritetskänslighet har varit föremål för diskussion. I sig själv är uppgifterna inte särskilt känsliga, eftersom de bara berättar att ett abonnemang någon gång har getts internetåtkomst. Men med hjälp av uppgifterna går det att samman- koppla en fysisk person med de eventuella avtryck som användaren har lämnat efter sig vid besök på webben eller andra delar av internet,

240

SOU 2017:75

Överväganden

vilket gör uppgifterna mer skyddsvärda. Vid bedömningen av känsligheten ska vidare beaktas att det huvudsakligen är dynamiska ip-adresser som används, åtminstone av privatpersoner. Det innebär att en ensam uppgift om vilken abonnent som använt en viss ip- adress bara gör det möjligt att sammankoppla abonnenten med avtryck på internet under en begränsad tid. Ska man kunna följa en abonnents internetanvändning krävs således, förutom tillgång till digitala avtryck, även tillgång till en stor mängd abonnemangsupp- gifter. Det ska också påpekas att inga uppgifter om t.ex. besök på webbsidor eller annat internetanvändande, förutom operatörens egna tjänster för telefoni och meddelandehantering, omfattas av lagrings- skyldigheten, varken enligt dagens lagstiftning eller enligt utred- ningens förslag. Sådana uppgifter är operatörerna i stället skyldiga att förstöra, om de inte behövs för vissa egna ändamål. Tillgång till endast de uppgifter som enligt utredningens förslag ska lagras kan således aldrig innebära att det kan kartläggas hur en person har trafikerat internet.

För att inte helt slå undan de brottsbekämpande myndigheternas möjlighet att bekämpa brott som begåtts eller planlagts över internet är det strängt nödvändigt att ip-adress och uppgifter om abonnent och registrerad användare lagras (se även avsnittet Bestämmelsen blir teknikneutral nedan). Nyttan och behovet av att lagra uppgifterna är så stora att de tydligt uppväger det integritetsintrång som lagringen innebär. Uppgifterna bör således alltjämt omfattas av lagringsskyldig- heten.

Lagring av tidsuppgifter

Utredningen föreslår att datum och spårbar tid för på- och avlogg- ning i tjänsten som ger internetåtkomst ska omfattas av lagrings- skyldigheten.

Uppgifterna har värderats högt av de brottsbekämpande myndig- heterna.

Uppgift om på- och avloggning är ofta avgörande för att kunna spåra rätt internetanvändare, eftersom samma publika ip-adress kan tilldelas olika användare vid olika tidpunkter. Som framgår nedan är emellertid inte alltid ens det tillräckligt för att kunna hitta rätt användare. Om t.ex. polisen genom en leverantör av en chattapp får

241

Överväganden

SOU 2017:75

reda på att en användare med en viss ip-adress vid en viss tidpunkt har kontaktat barn i sexuellt syfte kan polisen, genom att bl.a. ip- adress och tidsuppgift lagras, få information om vilken abonnent som använt ip-adressen vid just den tidpunkten. Detta fungerar även åt motsatt håll. Vet man om att en misstänkt person varit upp- kopplad mot internet en viss tid, kan man ta kontakt med t.ex. en appleverantör och fråga om ip-adressen varit inloggad den aktuella tiden och vilka som den då varit i kontakt med. Det ska dock understrykas att den information som chattjänsten kan bidra med inte omfattas av lagringsskyldigheten. Den här nyttan av uppgifterna gäller förstås inte bara i förhållande till chattjänster och sexualbrott mot barn. Även i andra fall kan det vara viktigt att kunna sam- mankoppla tid för internetåtkomst eller användande av en ip-adress med brottsliga aktiviteter som begåtts över internet.

Precis som vid telefonitjänst och meddelandehantering blir upp- giften om internetåtkomst betydligt mindre nyttig om det inte finns någon tid kopplad till den. Genom tidsuppgiften kan bl.a. kom- munikationsmönster och i viss mån vanor i vardagen analyseras.

I sammanhanget ska emellertid noteras att nyttan, med undan- tag för möjligheten att göra ip-spårningar, begränsas av att många användare i princip har en ständig uppkoppling mot internet. Kom- munikationsutrustningar, såsom en laptop, är ofta uppkopplade mot internet genom en privat router med trådlöst nätverk, som i sin tur är kopplat till ett modem med fast nätanslutning. Tidpunk- ten för när just laptopen kopplade upp sig mot internet kommer då inte att lagras. Vid användning av fast internetanslutning är det således vanskligt att ens indirekt genom uppgifter om på- och av- loggningstid få fram några tidpunkter för när en viss aktivitet på internet ägde rum. Vad gäller datorer och mobiltelefoner som kopplar upp sig direkt mot internet (och inte via ett privat trådlöst nätverk) är internetsessionerna kortare.

För mobil uppkoppling blir tidsuppgifterna särskilt viktiga. Efter- som utrustningen kopplar upp sig direkt mot en cell (mast) lagras en lokaliseringsuppgift vid internetåtkomsten, se avsnittet strax nedan. För att den lokaliseringsuppgiften ska medföra någon större nytta krävs att det finns en tidsuppgift kopplad till den. Det är också nöd- vändigt för att uppgiften ska vara tillgänglig vid en basstationstöm- ning. Då begärs det ut uppgifter om vilka uppkopplingar som gjorts mot en viss cell under en specifik tidsperiod.

242

SOU 2017:75

Överväganden

Vidare måste någon form av tidsuppgift lagras för att operatören ska veta när lagringstiden för uppgiften har gått ut och uppgiften ska förstöras.

Av vad som framkommit är nyttan av tidsuppgifter för på- och avloggning i tjänsten som ger internetåtkomst mycket stor, i syn- nerhet såvitt avser ip-spårning. Utan uppgifter om tid blir den övriga lagringen av uppgifter om internetåtkomst betydligt mindre nyttig. Uppgifterna är sedda för sig själva inte särskilt integritetskänsliga, eftersom de inte ger någon information om hur användaren har brukat internet, utan endast om vilken tid som abonnenten haft internetåtkomst. Den informationen kan visserligen säga något om en persons kommunikationsmönster, men som nämnts ovan är det vanskligt att dra några säkra slutsatser, eftersom internetsessionerna inte behöver korrespondera mot användandet av internet. Därutöver har uppgifterna ett visst skyddsvärde, eftersom de tillsammans med annan information möjliggör att en ip-adress kan sammankopplas med en abonnent. Sammantaget bedömer utredningen uppgifterna som strängt nödvändiga att lagra. Uppgifterna ska därför fortfarande omfattas av lagringsskyldigheten.

Lagring av uppgifter som identifierar utrustning där kommunikationen avskiljs

Utredningen föreslår att uppgifter som identifierar den utrustning där kommunikationen slutligt avskiljs från den lagringsskyldige till den enskilde abonnenten ska omfattas av lagringsskyldigheten. Denna utrustning är den sista punkten som den lagringsskyldige ansvarar för. Om den som slutligt avskiljer kommunikationen till den enskilda abonnenten inte är lagringsskyldig ska det i stället lagras uppgifter som identifierar utrustningen vid den punkt där kommu- nikationen avskiljs till den som slutligt avskiljer kommunikationen till den enskilda abonnenten. Bestämmelsen gäller alltså punkten mellan å ena sidan det sista i kedjan av nät som ägs av någon som omfattas av lagringsskyldigheten och å andra sidan ett nät som inte omfattas av lagringsskyldigheten.

Den utrustning som finns där kommunikationen slutligt avskiljs kan vid fast internetförbindelse vara t.ex. ett fibermodem, ett telefon- jack eller en router. Det lär då oftast vara utrustningens identifierings- nummer, t.ex. MAC-nummer, som lagras. Vid mobil internet-

243

Överväganden

SOU 2017:75

åtkomst torde den sista utrustningen oftast vara en viss cell i en bas- station. Uppgifterna motsvarar då de uppgifter som lagras för loka- lisering vid telefonitjänst (prop. 2010/11:46 s. 33).

Uppgifterna är viktiga för att kunna hitta den geografiska plats som användaren kommunicerar från. Värdet av lokaliseringsupp- gifter har beskrivits i avsnitt 12.6.3. Eftersom det blir allt vanligare med samtals- och meddelandekommunikation genom appar och tjänster från leverantörer som inte omfattas av lagringsskyldigheten (avsnitt 7.3.1) blir uppgifterna hänförliga till internetåtkomst ännu viktigare än tidigare.

Internetåtkomst är inte bara kopplat till webbesök, samtal och meddelanden; fler och fler maskiner och fordon behöver åtkomst till internet (7.3.4). I hemmet är de flesta uppkopplade produkter an- slutna genom samma internetmodem som används för datorer och annan kommunikationsutrustning. De genererar därmed som regel inte några ytterligare uppgifter som lagras. Uppkopplade fordon däremot begär internetåtkomst genom en egen mobil uppkoppling. Vid en mer utbredd användning av internet i fordon skulle det där- med kunna bli möjligt att dra än mer långtgående slutsatser om folks privatliv, om uppgifterna lagras. Det skulle självklart bli till stor nytta för de brottsbekämpande myndigheterna om de kan få tillgång till uppgifter om var ett fordon ansluter till eller kopplar från internet. Men det skulle också innebära ett stort integritetsintrång. Lagringen skulle därigenom kunna bidra till att rörelsefriheten (2 kap. 8 § RF) i praktiken inskränks. Sammanfattningsvis finns det vissa betänklig- heter med att låta dessa uppgifter lagras, om fordon i framtiden kom- mer att använda internet i större omfattning, i vart fall utan någon begränsning.

Uppgifterna används också för att säkra uppgifter om hela kom- munikationskedjan, då främst enligt bestämmelsen i 43 § andra stycket FEK. Det är inte ovanligt att kommunikationskedjan sista del är ett nät som inte omfattas av lagringsskyldigheten, t.ex. en bostadsrättsförenings egna nät. De punkter där kommunikationen avskiljs är viktiga att få information om för att kunna gå till nät- ägaren för att få ytterligare uppgifter som kan leda fram till abonnen- ten. För att bestämmelserna ska bli meningsfulla och oberoende av infra- och bolagsstrukturella lösningar bör lagringsskyldigheten där- för även omfatta uppgifter som identifierar utrustningen där kom- munikationen slutligt avskiljs mellan den lagringsskyldige och den

244

SOU 2017:75

Överväganden

som slutligt avskiljer kommunikationen till den enskilde abonnen- ten, om den senare inte är lagringsskyldig.

Sammanfattningsvis är de nu diskuterade uppgifterna i många fall nödvändiga för att hitta rätt slutanvändare, vilket gör dem viktiga. De är också nyttiga för att de i någon mån gör bestämmelserna om lagring av kommunikation mer teknikneutrala och anpassade till dagens teknik och användning av kommunikationstjänster. Upp- gifterna är således strängt nödvändiga att lagra. Samtidigt innebär uppgifterna, i vart fall vid mobil internetåtkomst, ett relativt stort integritetsintrång, eftersom de i praktiken utgör lokaliseringsupp- gifter. Intrånget är emellertid mindre än vid telefonitjänst och med- delandehantering, eftersom det inte finns någon korresponderande uppgift om t.ex. vem som personen kommunicerat med eller när kommunikationen ägt rum. Vid en sammantagen bedömning är det därför ändå proportionellt att uppgifterna lagras. Det ska emellertid noteras att om användandet av internet i fordon blir mer omfattande och mer utbrett kan det finnas anledning att göra en annan bedöm- ning och införa någon form av begränsning i lagringen.

Kapacitet för överföring av internetåtkomst ska inte lagras

Utredningen föreslår att uppgift om den typ av kapacitet för över- föring som har använts ska tas bort från lagringsskyldigheten.

Information om kapacitet för överföring vid internetåtkomst har i jämförelse med andra uppgifter värderats lägre av de brottsbekäm- pande myndigheterna. Uppgiften har även tidigare bedömts som mindre viktiga men bra att ha vid brottsbekämpning, Ds 2014:23 s. 52 (se dock SOU 2015:31 s. 166–167).

Som skäl för att behålla lagringsskyldigheten för uppgifterna har angetts att uppgifterna ger information om huruvida anslutnings- formen är fast eller mobil, vilket i sig kan ge lokaliseringsinformation och uppgift om vem som är abonnent. Vidare har angetts att upp- giften kan vara av intresse för att verkställa andra hemliga tvångs- medel.

Uppgiften torde främst vara relevant för att enklare kunna identi- fiera rätt anslutning när kommunikationen övergår i ett nät som tillhandahålls av någon som inte är lagringsskyldig, t.ex. ett lokalt nät

245

Överväganden

SOU 2017:75

för en bostadsrättsförening. Något omfattande behov av uppgiften har emellertid inte framkommit.

Uppgifterna bedöms inte som särskilt integritetskänsliga. Sammantaget är utredningens bedömning att det inte är strängt

nödvändigt att behålla lagringsskyldigheten för uppgift om den typ av kapacitet för överföring som har använts.

Bestämmelsen blir teknikneutral

Utredningen föreslår att uppgift som är nödvändig för att identifiera abonnent och registrerad användare ska omfattas av lagringsskyldig- heten.

Möjligheten att koppla en användare till en viss uppgift bör inte skilja sig åt beroende på vilken teknik en operatör använder sig av. Som uppmärksammades i Datalagringsutredningens betänkande, på- verkar användandet av NAT-teknik (dvs. en teknik för att låta flera användare dela på en och samma publika ip-adress) om de brotts- bekämpande myndigheterna kan identifiera den slutliga användaren eller inte (SOU 2015:31 s. 320). Detta framstår som orimligt och även oavsiktligt, se prop. 2010/11:46, särskilt s. 30. Lagstiftningen bör i stället vara teknikneutral. Även om en sådan förändring inte är omedelbart föranledd av EU-domstolens dom har den ett sådant samband med övriga föreslagna förändringar att den bör genomföras samtidigt. Det bör således införas en skyldighet att lagra uppgifter som gör det möjligt att identifiera en abonnent.11 En mer teknik- neutral bestämmelse är även rimlig med beaktande av att det aktuella teknikområdet är under konstant metamorfos och alltför specifika bestämmelser riskerar att snabbt bli inaktuella, SOU 2007:76 s. 137.

Det har tidigare i detta betänkande anförts att en utvidgning av lagringsskyldigheten inte ligger i linje med bedömningen att färre uppgifter måste omfattas av en lagringsskyldighet för att den alls ska vara förenlig med EU-rätten (se t.ex. angående lokaliseringsuppgifter vid meddelandehantering, avsnitt 12.6.3). Den nu aktuella ändringen av lagringsskyldigheten kan visserligen föranleda att fler uppgifter lagras (om leverantörens teknik så kräver), men skiljer sig ändå

11 Se även den av PTS beställda rapporten från ÅF: NAT i mobila nätverk, 23 november 2015.

246

SOU 2017:75

Överväganden

markant från en utvidgning av det slag som avses i föregående mening. De ytterligare uppgifter som eventuellt behöver lagras avser nämligen samma sakförhållande och krävs för att huvudinfor- mationen (ip-adressen) inte ska vara värdelös. Den begränsning som dagens lagstiftning leder till är, som nämnts ovan, oavsedd och för- anledd av att operatörerna nu använder sig av en viss teknik. Av samma anledning ökar inte integritetsintrånget i sig särskilt mycket av att dessa uppgifter lagras. De extra uppgifter som behöver lagras torde oftast vara portnummer och ytterligare en ip-adress.

En teknikneutral bestämmelse har fördelar även utifrån den lagringsskyldiges perspektiv, eftersom det blir tydligt att det finns en skyldighet att lagra uppgifter som möjliggör identifikation av abonnenten. Nackdelen är dock att lagringsskyldighetens exakta om- fattning inte går att utläsa direkt ur författning. Eftersom det är fråga om ett offentligrättsligt åliggande gentemot de lagringsskyldiga kan det finnas en poäng i att mer tydligt ange exakt vad som ska lagras. Eftersom den tekniska utvecklingen snabbt kan förändra förutsätt- ningarna för vad som behöver lagras bör den exakta tekniska utform- ningen av lagringsskyldigheten fastställas i myndighetsföreskrifter. Ramarna av föreskriftsrätten bör dock alltjämt finnas i lag och förordning.

Enligt utredningen bör PTS vara den myndighet som utformar de tekniska detaljerna för vad som ska lagras. Ett sådant bemyndigande torde PTS redan ha, 6 kap. 16 a § fjärde stycket LEK och 44 § FEK. Detta bemyndigande bör dock förtydligas (se avsnitt 12.6.6).

Man kan förmoda att ipv6-adresser kommer att bli vanligare framöver. Ipv6 är en senare version av internetprotokollet, som gör det möjligt att använda 128 bitar långa ip-adresser, vilket möjliggör omkring 340 sextiljoner (3,4 · 1038) unika adresser. Det skulle inne- bära att användandet av NAT-teknik, utifrån brist på ip-adresser som enda grund, blir obehövligt. Däremot kan det ändå finnas anled- ning för operatörerna att fortsätta att använda tekniken. Om endast ipv6-adresser används borde någon annan uppgift än ip-adress och tillhörande uppgift om abonnent inte behöva lagras för att det ska vara möjligt att identifiera rätt abonnent eller registrerad användare. Det lär emellertid inte bli verklighet inom överskådlig framtid (Europols rapport IOCTA 2016, Internet Organised Crime Threat Assessment, s. 58).

247

Överväganden

SOU 2017:75

Slutligen ska nämnas att lagring av destinations-ip, dvs. den adress som användaren kontaktat, vilket t.ex. kan vara en webbsida eller en mail-, chatt- eller spelserver, skulle kunna användas för att identifiera rätt användare vid användning av NAT-teknik. Lagras den uppgiften och tiden för kontakten begränsas nämligen antalet användare till dem med samma publika ip-adress som samtidigt haft kontakt med samma destinations-ip (t.ex. besökt samma webbsida). En sådan lagring skulle innebära ett alltför stort integritetsintrång, eftersom en användares trafik över internet skulle finnas lagrad och tillgänglig. I linje med att innehållet av kommunikationen inte ska lagras bör därför inte heller sådan information tillåtas att lagras för att uppfylla lagringsskyldigheten i denna del.

12.6.5Inget undantag för personer med tystnadsplikt

Utredningens bedömning: Det bör inte införas något undantag från lagringen för personer med tystnadsplikt. Datalagringsutred- ningens förslag om att införa en förstörandeskyldighet för upp- gifter som omfattas av yrkesmässig tystnadsplikt bör övervägas.

EU-domstolen noterar i domen att den svenska lagstiftningen inte innehåller något undantag för personer vilkas kommunikationer enligt nationell rätt omfattas av tystnadsplikt (p. 105, jfr även Digital Rights-domen p. 58). Däremot uppställer inte domstolen något krav på en sådan begränsning av lagringsskyldigheten.

Som Datalagringsutredningen konstaterade (se avsnitt 8.4.3) är det i svensk rätt huvudsakligen uppgiftens innehåll som avgör om den omfattas av skydd mot att de brottsbekämpande myndigheterna eller någon annan tar del av uppgiften. Förekomsten av kommuni- kation är däremot normalt inte skyddad. Tystnadsplikten omfattar inte heller vissa personer utan endast uppgifter som personerna fått del av i sin yrkesutövning (jfr 36 kap. 5 § RB, se även rättsfallet NJA 2010 s. 122, särskilt punkten 8). Ett förbud mot att lagra eller hämta in uppgifter som enligt svensk rätt omfattas av tystnadsplikt skulle därför kräva att man tar del av innehållet i kommunikationen, vilket framstår som ogörligt, både praktiskt och utifrån ett integritets- perspektiv. Ett förbud mot att lagra uppgifter av nu aktuellt slag

248

SOU 2017:75

Överväganden

skulle alltså innebära ett ökat integritetsintrång samtidigt som det inte är något som krävs enligt EU-rätten.

I vissa fall kan redan det faktum att det förevarit en kontakt mellan en person med tystnadsplikt och någon annan vara känsligt. Exempel på det kan vara kontakter med advokater, läkare eller präster. I detta sammanhang måste följande beaktas. För det första innehåller samtliga brottsbekämpande myndigheternas datalagar ett ramverk kring hur personuppgifter får behandlas, se polisdatalagen (2010:361), åklagardatalagen (2015:433) och tullbrottsdatalagen (2017:447). Det ger ett skydd för att uppgifter där behandlas korrekt, gallras om de inte behövs och inte sprids. För det andra skulle det vara en administrativt svår uppgift att ha ett system för att undanta vissa abonnenter från operatörernas lagringsskyldighet. Även om en sådan ordning skulle kunna införas är det ändå inte önskvärt att göra så. Skälet till det är att även advokater, läkare och präster kan miss- tänkas för brott. När de uppträder som brottsmisstänkta har de i princip ingen privilegierad ställning. Det är dock viktigt att notera att tystnadsplikten till förmån för klienten alltjämt gäller.

Mot bakgrund av det nu anförda lämnar utredningen inget förslag på något undantag för personer med tystnadsplikt. Bedömningen om en uppgift ska inhämtas från en person vars uppgifter kan omfattas av tystnadsplikt bör i stället göras i varje enskilt fall med utgångspunkt i proportionalitetsprincipen (jfr även prop. 1988/89:124 s. 28 och NJA 2015 s. 631 p. 29).

I sammanhanget bör även påpekas att det råder ett grundlags- skyddat förbud för det allmänna att efterforska vem som lämnat uppgifter till t.ex. en journalist (3 kap. 4 § tryckfrihetsförordningen och 2 kap. 4 § yttrandefrihetsgrundlagen). Utredningen instämmer i Datalagringsutredningens bedömning att endast förekomsten av strukturerad data eller ens inhämtning av uppgifterna inte kan leda till att efterforskningsförbudet överträds, om det inte funnits ett syfte att efterforska en källa. Samtidigt delar utredningen slutsatsen att myndigheternas insyn i att kommunikation förevarit i någon mån kan riskera att hota meddelarskyddet eller sekretessen. Även om innehållet i informationen inte direkt framgår av de uppgifter som ska lagras, kan den som får tillgång till uppgifterna dra slutsatser och göra kvalificerade gissningar om sekretessbelagd information utifrån både lokaliseringsuppgifter, exempelvis vilka som varit på en viss klinik, och trafikuppgifter, t.ex. en journalists, advokats eller utredande polis

249

Överväganden

SOU 2017:75

samtalslista. Datalagringsutredningens förslag om en skyldighet att förstöra uppteckningar från hemlig övervakning av elektronisk kommunikation och inhämtning enligt IHL i de delar de innehåller uppgifter som omfattas av frågeförbudet i 36 kap. 5 § andra–sjätte styckena RB bör därför övervägas. Det ska dock i sammanhanget noteras att en sådan skyldighet är behäftad med vissa svårigheter. Som Ekobrottsmyndigheten anför i sitt remissvar över Datalagrings- utredningens betänkande SOU 2015:31 så är frågeförbudet i vissa fall (t.ex. när det gäller advokater och läkare) utformat på så sätt att det avser vad som har ”anförtrotts” befattningshavaren i sin yrkes- utövning, eller vad han eller hon i samband därmed har ”erfarit” I fråga om rättegångsombud, biträden och försvarare gäller dock frågeförbudet endast vad som har ”anförtrotts” dem, och alltså inte vad de har ”erfarit”. Det är svårt att se hur det ska vara möjligt att – när det gäller just trafikuppgifter – bedöma vad som ska anses ha anförtrotts t.ex. en advokat under ett samtal. Därtill kan det finnas en rättssäkerhetsproblematik med att uppgifter som inhämtats av en brottsbekämpande myndighet raderas efter att de analyserats. Även i denna del hänvisas till vad som anförs i remissyttranden över Data- lagringsutredningens betänkande från Ekobrottsmyndigheten, Polis- myndigheten och Säkerhetspolisen.

12.6.6Lagringskyldighetens ramar bör framgå av lag

Utredningens bedömning: Lagringsskyldighetens yttre ramar bör framgå av lag och de mer detaljerade föreskrifterna av för- ordning. I viss utsträckning ska regeringen kunna delegera denna föreskriftsrätt.

Som ovan beskrivits är området för elektronisk kommunikation i ständig förändring med nya kommunikationstjänster som till- kommer. Dessa nya kommunikationstjänster leder till nya kom- munikationsmönster hos användarna (avsnitt 7.3). Det leder i sin tur till att bedömningen av vad som är strängt nödvändigt att lagra kan förändras över tid (avsnitt 12.6.3). Sådana förändringar kan komma snabbt och regelverket kring lagringsskyldigheten måste därför kunna ändras snabbt, dels för att människor inte ska utsättas för lagring som inte längre är strängt nödvändig, dels för att de brotts-

250

SOU 2017:75

Överväganden

bekämpande myndigheterna måste kunna bibehålla sin brotts- utredande förmåga även vid teknisk utveckling. Av dessa skäl bör riksdagen i lag föreskriva de yttre ramarna för lagringen medan de mer detaljerade föreskrifterna huvudsakligen bör regleras i för- ordning. Det gör att även om många uppgifter nu tas bort från lagringsskyldigheten så bör ramarna för lagringen i LEK inte ändras mer än nödvändigt.

När det gäller lagring av abonnemangsuppgifter vid internet- åtkomst kräver föreskrifternas utformning särskilt god och aktuell kunskap om tekniska lösningar hos operatörerna. Det är därför lämpligt att regeringen får rätt att delegera föreskriftsrätten till PTS i dessa fall, jfr 6 kap. 16 a § fjärde stycket LEK. Ett förtydligande om PTS behörighet kan därför behöva göras (avsnitt 12.6.4).

12.7En differentierad lagringstid

Utredningens förslag: Det ska i lag anges att de uppgifter som omfattas av lagringsskyldigheten ska lagras den tid regeringen föreskriver dock som längst i tio månader räknat från den dag då kommunikationen avslutades.

Lokaliseringsuppgifter vid samtal ska lagras i två månader. Uppgifter om internetåtkomst, förutom uppgifter som identi- fierar utrustningen där kommunikationen slutligt avskiljs, ska lagras i tio månader. Övriga uppgifter ska lagras i sex månader.

12.7.1Riksdagen ger en ram för lagringstiden

Som framgår ovan måste lagringen vara anpassad till vad som är strängt nödvändigt. En viktig komponent i en sådan anpassning är att differentiera lagringstiderna utifrån hur gamla uppgifter det finns ett påtagligt behov av. Som nämnts tidigare, är en differentiering av lagringstiderna emellertid ensamt inte en tillräcklig åtgärd för att göra den svenska lagstiftningen förenlig med EU-rätten.

Utredningen föreslår att det skapas en flexibel ordning där riks- dagen i lag föreskriver en längsta lagringsfrist och att regeringen inom denna ram får föreskriva kortare lagringsfrister. Härigenom differentieras lagringsskyldigheten för respektive uppgiftsslag.

251

Överväganden

SOU 2017:75

12.7.2Inom den av riksdagen angivna ramen bör regeringen föreskriva kortare frister för vissa uppgifter

Utredningen föreslår att lokaliseringsuppgifter vid samtal ska lagras i två månader. Uppgifter om internetåtkomst, förutom uppgifter som identifierar utrustningen där kommunikationen slutligt avskiljs, ska lagras i tio månader och övriga uppgifter ska lagras i sex månader.

De uppgifter om elektronisk kommunikation som inhämtas av polisen i underrättelseverksamheten är i de flesta fall yngre än en månad. I polisens utredningsverksamhet är den största andelen yngre än tre månader, endast omkring 20–25 procent är äldre och ungefär en tiondel av den totala mängden är äldre än fem månader. De utred- ningar i vilka det finns ett behov av äldre uppgifter avser främst grova våldsbrott av spaningskaraktär samt bekämpning av grova seriebrott som våldtäkter och mordförsök. (SOU 2015:31 s. 129) Detta bör beaktas vid bestämmandet av lagringstiden. En annan faktor att beakta är att – som framgår av avsnitt 7.5 – de brotts- bekämpande myndigheterna har behov av längre lagringstid för ip- adresser vid ärenden som har internationell koppling, t.ex. barn- pornografibrott.

Ytterligare en utgångspunkt vid dessa resonemang är att data- lagringsdirektivet ålade medlemsstaterna att i en viss tid se till att uppgifter skulle lagras. Denna tid för lagring överläts till medlems- staterna att bestämma men skulle ligga i intervallet sex till tjugofyra månader räknat från dagen för kommunikationen. Sverige valde den kortaste tiden för lagring, dvs. sex månader.

Som framgår ovan är de flesta uppgifterna som inhämtas i poli- sens verksamhet yngre än fem månader. Tullverkets verksamhet torde inte kräva några särskilt annorlunda lagringstider, vilket också stämmer med vad Tullverket har uppgett. Det talar för att man inte behöver föreskriva en lagringstid som överskrider fem månader. Samtidigt måste några andra viktiga faktorer beaktas. När nu lagringsskyldighetens omfattning sett till vilka uppgifter som ska lagras minskar så minskar nyttan av tillgång till de datalagrade uppgifterna. Denna minskade omfattning av lagringen kan leda till att kartläggningen av elektroniska spår i brottsutredningar blir något långsammare. Dessutom – och kanske viktigare – är det, som fram- går ovan, framför allt vid bekämpning av grova brott som de äldre uppgifterna behövs. I underrättelseverksamheten är behovet av äldre

252

SOU 2017:75

Överväganden

uppgifter inte särskilt stort, möjligen med undantag av vissa delar av Säkerhetspolisens verksamhet.

Mot bakgrund av det sagda bör lagringstiden alltjämt som huvud- regel vara sex månader. De allra flesta uppgifterna för telefonitjänst och meddelandehantering bör omfattas av huvudregeln. Vad gäller lokaliseringsuppgifter bör dock lagringstiden vara betydligt kortare.

Lokaliseringsuppgifter kan potentiellt ge mer integritetskänslig information om en person än övriga uppgifter. En kortare lagringstid bör därför föreskrivas för dessa uppgifter. Enligt den tyska lagstift- ningen gäller en lagringsskyldighet för lokaliseringsuppgifter i fyra veckor. Det är dock svårt att jämföra en viss rättsordning med den svenska och utifrån det göra bedömningar om hur det ska vara här. Lagringsskyldighetens längd är nämligen en del i en helhet där bl.a. den övriga regleringen kring tvångsmedel spelar in. Med detta sagt är det emellertid klart att det bör införas en kortare lagringsskyldighet för lokaliseringsuppgifter än för andra uppgifter. En rimlig avvägning mellan den nytta uppgifterna innebär för de brottsbekämpande myndigheterna och det integritetsintrång uppgiften innebär ger enligt utredningen att en lagringstid om två månader bör föreskrivas för lokaliseringsuppgifter.

Uppgifter för den första aktiveringen av en förbetald anonym tjänst bör behandlas som en enhet, dvs. även inkluderat lokali- seringsuppgiften. Uppgifterna är inte särskilt integritetskänsliga. Det finns ett behov hos de brottsbekämpande myndigheterna att få till- gång till i vart fall sex månader gamla uppgifter, avsnitt 7.5. Någon bärande anledning att lagra uppgifterna längre än huvudregeln om sex månader har inte framkommit.

De flesta uppgifter kopplade till internetåtkomst är mindre inte- gritetskänsliga eftersom de i sig inte innefattar uppgifter om kom- munikation (t.ex. vem internetanvändaren har haft kontakt med). Myndigheterna har – liksom vid övriga uppgifter – olika behov av dessa uppgifter. Polismyndigheten står för den absolut största delen av brottsbekämpningen varför lagringstiden främst bör anpassas till den. Som nämnts i avsnitt 7.5 är det flera av polisens utredningar som behöver läggas ned på grund av att lagringstiden om sex månader är för kort när det gäller ip-adresser, eftersom dessa uppgifter ofta är helt avgörande för att kunna identifiera misstänkta gärningsmän. Uppgifter om ip-adresser (och andra uppgifter som krävs för att identifiera abonnenten) ger också ett tidsbegränsat användnings-

253

Överväganden

SOU 2017:75

område, eftersom uppgifterna ofta byts ut med korta mellanrum (avsnitt 12.6.4). Det leder både till att uppgifternas integritets- känslighet är lägre än annars och att det finns ett större behov av att spara uppgifterna en längre tid. Övriga uppgifter om internetåtkomst krävs för att öka förståelsen och nyttan av de lagrade ip-uppgifterna. Utredningen finner att en lagringstid om tio månader för uppgifter hänförliga till internetåtkomst (förutom uppgifter som identifierar utrustningen, se nedan) utgör en rimlig avvägning mellan de olika myndigheternas behov samtidigt som hänsyn tas till integritets- aspekten.

När det gäller uppgifter som identifierar den utrustning där kom- munikationen slutligt avskiljs från den lagringsskyldige till den enskilda abonnenten, är de uppgifterna mer integritetskänsliga än övriga uppgifter om internetåtkomst eftersom uppgifterna i princip utgör en lokaliseringsuppgift. I vart fall gäller det vid mobil åtkomst till internet. Även om dessa uppgifter inte har samband med någon kommunikation och därför inte är lika integritetskänsliga som lagrade lokaliseringsuppgifter för telefonitjänst, får de alltså anses mer känsliga än övriga uppgifter. En kortare lagringstid än tio månader bör därför föreskrivas. Sådana uppgifter bör i stället sparas i sex månader.

12.8Tillgången till trafik- och lokaliseringsuppgifter

12.8.1Endast för att bekämpa grov brottslighet

Utredningens bedömning: Tillgång till lagrade trafik- och loka- liseringsuppgifter ska endast ges för bekämpning av grov brotts- lighet. Med grov brottslighet avses samma kategorier av brott som i dag möjliggör hemlig övervakning av elektronisk kom- munikation i en förundersökning, för att förhindra vissa särskilt allvarliga brott och för särskild utlänningskontroll samt in- hämtning av uppgifter om elektronisk kommunikation i de brotts- bekämpande myndigheternas underrättelseverksamhet.

254

SOU 2017:75

Överväganden

Som anges ovan menar EU-domstolen att endast bekämpning av grov brottslighet12 kan motivera att brottsbekämpande myndigheter ges tillgång till lagrade uppgifter (avsnitt 9.8.1).

Det finns inte någon generell definition av grov brottslighet inom EU-rätten eller inom svensk rätt. Däremot förekommer i olika sammanhang, både i EU-rätten och i svensk rätt, uppräkningar av brott som – i det sammanhanget uppräkningen förekommer – ska jämställas med grova brott eller som på annat sätt ska särbehandlas. Ett exempel på en sådan uppräkning är bilagan till lagen (2003:1156) om överlämnande från Sverige enligt en europeisk arresteringsorder. I den bilagan finns angivet brott som spänner över en stor del av straffskalan; från mord och våldtäkt till förfalskning, piratkopiering och barnpornografi. Just denna uppräkning har rådet uppmanat medlemsstaterna att ta ”vederbörlig hänsyn” till vid införandet av det numera upphävda datalagringsdirektivet (prop. 2010/11:46 s. 21).

Inom EU-lagstiftningen finns ytterligare exempel. I Europapar- lamentets och rådets direktiv 2016/681 av den 27 april 2016 (direk- tivet om PNR-uppgifter) definieras grov brottslighet som brott som anges i direktivets bilaga vilka kan leda till fängelse i minst tre år enligt en medlemsstats nationella rätt, artikel 3.9. De brott som finns med i bilagan är inte identiska men i huvudsak desamma som i bilagan till lagen om överlämnande från Sverige enligt en europeisk arresteringsorder.

Ett exempel på en sådan uppräkning i svensk rätt är den som finns i bestämmelsen om när hemlig övervakning av elektronisk kom- munikation är tillåten trots att det aktuella straffbudet inte innehåller straffminimum på minst sex månaders fängelse, 27 kap. 19 § RB. I den uppräkningen finns t.ex. narkotikabrott och barnpornografi- brott.

Hemlig övervakning av elektronisk kommunikation kan före- komma även inom ramen för förhindrande av vissa särskilt allvarliga brott. De brott som kan berättiga till hemlig övervakning tillhör de absolut grövsta brotten i vårt samhälle, som t.ex. mord, terrorist- brott och spioneri, 1 § lagen (2007:979) om åtgärder för att för- hindra vissa särskilt allvarliga brott.

12 Det kan noteras att den svenska språkversionen av domen varierar mellan ”grov brotts- lighet” och ”allvarligt brott” medan de engelska och franska språkversionerna är mer konse- kventa i sin respektive begreppsanvändning (”serious crime” och ”criminalité grave”).

255

Överväganden

SOU 2017:75

Ytterligare ett annat exempel förekommer i IHL. Inhämtning enligt IHL kräver som utgångspunkt att det är fråga om brottslig verksamhet som innefattar brott för vilket det inte är föreskrivet lindrigare straff än fängelse i två år. Härutöver finns en uppräkning av vissa brott inom främst Säkerhetspolisens verksamhetsområde som t.ex. spioneri och brott mot medborgerlig frihet, 3 § IHL.

Enligt LSU finns möjligheter att tillgripa hemlig övervakning av elektronisk kommunikation vid misstankar om medverkan till terroristbrott enligt 2 § lagen (2003:148) om straff för terroristbrott eller försök, förberedelse eller stämpling till sådant brott.

Den brottslighet som omfattas av de ovan uppräknade tvångs- medelslagarna har lagstiftaren ansett vara så grova att utrednings- intresset av den väger tyngre än det integritetsintrång som drabbar dem som blir föremål för tvångsmedlet. Inget i avgörandet från EU- domstolen ger anledning att tro att de avvägningar som gjorts beträffande detta måste rubbas.

Mot bakgrund av det nu anförda är utredningens bedömning att de brott som ger rätt att använda tvångsmedel enligt RB, IHL, 2007 års preventivlag och LSU är att betrakta som grov brottslighet. Det ska i detta sammanhang nämnas att regeringen och riksdagen nyligen – och alltså efter Tele2-domen – har ansett att unionsrätten inte hindrar en förlängning av den tidsbegränsade bestämmelsen i 3 § IHL och att domen måste anses innebära att det finns ett utrymme för att hämta in uppgifter för att förebygga, förhindra eller upptäcka sådan brottslig verksamhet som avses i paragrafen, prop. 2016/17:186 s. 9, bet. 2016/17:JuU28 och rskr. 2016/17:343.

12.8.2Precisa krav måste fastställas

Utredningens bedömning: Reglerna som styr tillgången till de lagrade uppgifterna för de brottsbekämpande myndigheterna måste ange tydliga och precisa villkor för när tillgång ska ges.

Enligt EU-domstolen måste medlemsstaterna föreskriva klara och precisa bestämmelser som anger under vilka omständigheter och på vilka villkor leverantörer av elektroniska kommunikationstjänster måste ge behöriga nationella myndigheter tillgång till uppgifterna (avsnitt 9.8.2). Både materiella och formella villkor för de behöriga

256

SOU 2017:75

Överväganden

nationella myndigheternas tillgång till de lagrade uppgifterna måste anges i den nationella lagstiftningen.

Detta krav som EU-domstolen uppställer är inte möjligt att resonera kring självständigt; i stället måste man vid utformningen av respektive lagrum se till att kravet möts.

12.8.3Tillgång bara till uppgifter om personer som på något sätt är inblandade i brott – som huvudregel

Tillgång till lagrade uppgifter kan enligt domstolen i princip bara beviljas till uppgifter om personer som misstänks planera, begå eller ha begått ett allvarligt brott eller på något sätt vara inblandade i ett sådant brott. I särskilda fall, som när vitala intressen för nationell säkerhet, försvar eller allmän säkerhet hotas av terrorism, skulle dock enligt domstolen tillgång kunna ges även till uppgifter om andra personer när det finns objektiva omständigheter som ger skäl att anta att de uppgifterna i ett konkret fall effektivt skulle kunna bidra till att bekämpa terrorism (avsnitt 9.8.3).

Inledningsvis kan noteras att det i sig inte är tillräckligt att det finns en indirekt koppling till bekämpning av allvarlig brottslighet för att myndigheterna ska få tillgång till uppgifterna. Det krävs, som huvudregel, att personen på något sätt är inblandad i den allvarliga brottsligheten. Domstolen beskriver denna personkrets, för vilka uppgifter kan inhämtas, med de exakta orden som används av Europadomstolen i målet Roman Zakharov mot Ryssland, 4 decem- ber 2015, som EU-domstolen hänvisar till. Därtill lägger domstolen ”på något sätt inblandad”13, vilket alltså innebär att personkretsen är vidare än endast misstänkta gärningsmän och medhjälpare. Detta stöds även av att Europadomstolen i samma dom (§ 245), med hänvisning till tidigare praxis, konstaterade att det kan vara berättigat med en hemlig övervakningsåtgärd även mot en person som kan ha upplysningar om ett brott, utan att vara misstänkt. I begreppet måste t.ex. även en målsägande ingå. Eftersom en hänvisning görs till Europadomstolens praxis torde dock begreppet vara vidare än så. I Greuter mot Nederländerna, 19 mars 2002, som hänvisades till från Roman Zakharov mot Ryssland (§ 245), bedömdes det nämligen

13 “being implicated in one way or another in such a crime” i den engelska versionen.

257

Överväganden

SOU 2017:75

befogat att avlyssna en telefon tillhörande partnern till en dödad person, eftersom det fanns misstankar om att gärningsmannen skulle kunna kontakta henne.

I särskilda fall kan det, enligt EU-domstolen, vara befogat att ge myndigheterna tillgång även till andra personers uppgifter. Det bör särskilt noteras att det uppenbarligen inte endast är när vitala intressen för nationell säkerhet, försvar eller allmän säkerhet hotas av terrorism som tillgång kan beviljas till uppgifter som rör personer som inte är inblandade i ett allvarligt brott. Av domstolens formu- lering framgår att det endast är fråga om ett exempel.14

Vad avser personer med tystnadsplikt bör inte något specifikt undantag göras avseende tillgången till dessa personers uppgifter. I denna del hänvisas till vad som anförs i avsnitt 12.6.5.

Hemlig övervakning av elektronisk kommunikation

Utredningens bedömning: Nuvarande tillgångsregler i RB upp- fyller de krav som EU-rätten ställer.

Huvudsakligen beviljas åtkomst till lagrade uppgifter vid hemlig övervakning endast avseende misstänkta personer (27 kap. 20 § första stycket 1 RB). I de fall övervakningen riktar sig mot ett telefonnummer som inte innehas eller har innehafts av den miss- tänkte så krävs att det föreligger synnerlig anledning att anta att den misstänkte kommer att kontakta eller har kontaktat det aktuella telefonnumret (27 kap. 20 § första stycket 2 RB). Även om den person som på detta sätt blir föremål för tvångsmedlet inte behöver ha något samröre med brottet så riktar sig det hemliga tvångsmedlet fortfarande mot den misstänkte. På ett principiellt plan skiljer sig således inte denna typ av övervakning från när man övervakar ett telefonnummer som tillhör den misstänkte eftersom man även i sådana fall fångar upp trafikuppgifter avseende personer som inte alls har med brottet att göra. För att minimera antalet trafikuppgifter som inte har med brottsutredningen att göra begränsas typiskt sett

14 Detta framgår tydligt av den engelska versionen av Tele2-domen: ”access can, as a general rule, be granted […] However, in particular situations, where for example vital national security, defence or public security interests are threatened by terrorist activities […]”.

258

SOU 2017:75

Överväganden

ett tillstånd till nu nämnd övervakning till att endast avse in- kommande samtal (prop. 2002/03:74 s. 38–39).

Som redogjorts för ovan tillåter EU-rätten i viss utsträckning övervakning även mot andra än misstänkta. Mot denna bakgrund gör utredningen bedömningen att den övervakning som regleras i 27 kap. 20 § första stycket är förenlig med de krav som EU-rätten uppställer.

Enligt 27 kap. 20 § andra stycket RB får hemlig övervakning av elektronisk kommunikation även utföras i syfte att utreda vem som skäligen kan misstänkas för ett brott om åtgärden är av synnerlig vikt för utredningen. För att tillstånd till sådan övervakning ska ges krävs att det är fråga om mycket allvarlig brottslighet med ett straff- minimum på fängelse två år (27 kap. 19 § fjärde stycket RB).

Exempel på en sådan åtgärd är basstationstömning (mast- tömning). En sådan utförs t.ex. om polisen hittar en mördad person och vill undersöka vilka som har befunnit sig vid platsen (eller egentligen vilka mobiltelefoner som har funnits där). En sådan åtgärd avser i bästa fall en (eller flera) misstänkta personer men med- för samtidigt att uppgifter inhämtas om personer som inte är miss- tänkta. Sådan basstationstömning har av regeringen bedömts inte innebära ett betydande ingrepp i den enskildes privata sfär och att det inte omfattas av RF:s skydd av den personliga integriteten i 2 kap. 6 §, eftersom det normalt endast är fråga om en positionsbestämning vid ett specifikt tillfälle (prop. 2011/12:55 s. 97). Dessutom är personuppgifter som behandlas hos de brottsbekämpande myndig- heterna omgärdade av integritetsskyddande lagstiftning, se polisdata- lagen (2010:361), åklagardatalagen (2015:433) och tullbrottsdatalagen (2017:447).

Det ska i detta sammanhang noteras att nu aktuell övervakning endast får utföras om det är av synnerlig vikt för utredningen. Dess- utom är inhämtningen begränsad, såvitt avser meddelande, till historisk information.

Utrymmet för att använda hemlig övervakning av elektronisk kommunikation för att utreda vem som är misstänkt är som ovan beskrivits begränsat enligt EU-rätten. EU-domstolen lämnar dock ett utrymme för att få tillgång till lagrade uppgifter även avseende icke misstänkta personer. Mot bakgrund av att inhämtningen är begränsad (sett till de uppgifter som får inhämtas) och till att den brottslighet som berättigar till sådan övervakning måste vara mycket allvarlig, gör utredningen bedömningen att det utrymme som EU-

259

Överväganden

SOU 2017:75

domstolen ger är tillräckligt för att de svenska reglerna i detta hän- seende ska lämnas oförändrade.

Reglerna om tillgång genom hemlig övervakning av elektronisk kommunikation är tydliga och precisa och uppfyller de krav som EU-rätten ställer.

Inhämtning av uppgifter i underrättelseverksamhet

Utredningens bedömning: Nuvarande tillgångsregler i IHL uppfyller de krav som EU-rätten ställer.

Som ovan beskrivits inhämtas uppgifter enligt IHL endast i under- rättelseverksamhet. På det stadiet saknas kunskap om ett specifikt brott (avsnitt 6.2.4). Av naturliga skäl blir det därmed svårt att tala om någon ”misstänkt” person, i vart fall så som uttrycket används i RB.

Enligt EU-domstolen kan tillgång i princip bara beviljas, i sam- band med bekämpning av brott, till uppgifter om personer som misstänks planera, begå eller ha begått ett allvarligt brott eller på något sätt vara inblandade i ett sådant brott.

Även om underrättelseanalysen inte alltid kan peka ut ett speci- fikt brott eller en misstänkt person så inriktas underrättelsearbetet i någon mening mot en viss person när inhämtning ska göras av dennes uppgifter. Trots att denna person inte är misstänkt på sätt som avses i t.ex. 23 kap. 18 § RB så finns det i många fall en miss- tanke om att den person som är föremål för inhämtningen på något sätt är inblandad i den brottsliga verksamheten som underrättelse- verksamheten avser. Det är i dessa fall dessutom inte möjligt att precisera personkretsen mer. Den svenska rätten får därmed anses uppfylla de villkor som nu har uppställts av EU-domstolen.

IHL tillåter emellertid även inhämtning av uppgifter avseende personer som inte är inblandade i brottslig verksamhet. Det ska då hållas i minne att, för att inhämtning ska få utföras, det krävs att åtgärden är av särskild vikt för syftet med inhämtningen och att brottet är av mycket allvarlig art (2 § IHL). I de fall brottsligheten avser sådant som utreds inom Säkerhetspolisens verksamhetsområde behöver dock inte brottsligheten vara av fullt så grovt slag, i vart fall om man ser till straffvärdet (3 § IHL). Däremot är samtliga dessa brott allvarliga med hänsyn till att de är samhällsfarliga. EU-dom-

260

SOU 2017:75

Överväganden

stolens tolkning av rättighetsstadgan tillåter också en mer vidsträckt inhämtning i dessa fall (p. 119 i domen och avsnitt 9.8.3). Utred- ningen gör mot denna bakgrund bedömningen att regelverket i IHL i denna del inte står i strid med EU-rätten och därför kan behållas.

2007 års preventivlag

Utredningens bedömning: Nuvarande tillgångsregler i 2007 års preventivlag uppfyller de krav som EU-rätten ställer.

Som anges ovan får hemlig övervakning av elektronisk kommuni- kation enligt 2007 års preventivlag endast avse en teleadress som under den tid tillståndet omfattar innehas eller har innehafts av den som kan antas komma att utöva den brottsliga verksamheten, en teleadress som annars kan antas ha använts eller komma att användas av honom eller henne, eller en teleadress som det finns synnerlig anledning att anta att han eller hon under den tid tillståndet avser har kontaktat eller kommer att kontakta (avsnitt 6.2.5).

På samma sätt som tillgångsreglerna vid hemlig övervakning av elektronisk kommunikation bedöms förenliga med EU-rätten gör utredningen bedömningen att även 2007 års preventivlag uppfyller EU-rättens krav i detta hänseende.

LSU

Utredningens bedömning: Nuvarande tillgångsregler vid sär- skild utlänningskontroll uppfyller de krav som EU-rätten ställer.

Som framgår ovan får rätten meddela tillstånd till hemlig övervak- ning av elektronisk kommunikation om det är av betydelse för att utröna om den aktuella utlänningen eller en organisation eller grupp som han eller hon tillhör eller verkar för planlägger eller förbereder terroristbrott enligt 2 § lagen (2003:148) om straff för terroristbrott och det finns synnerliga skäl (avsnitt 6.2.6).

På samma sätt som tillgångsreglerna vid hemlig övervakning av elektronisk kommunikation bedöms förenliga med EU-rätten gör

261

Överväganden

SOU 2017:75

utredningen bedömningen att även LSU uppfyller EU-rättens krav i detta hänseende.

12.8.4Förhandskontroll av domstol eller oberoende myndighet

Som framgår ovan ställer EU-rätten upp ett krav på att de brotts- bekämpande myndigheternas tillgång till datalagrade uppgifter, utom i motiverade brådskande fall, ska föregås av en kontroll av domstol eller en oberoende myndighet (avsnitt 9.8.4).

Hemlig övervakning av elektronisk kommunikation

Utredningens bedömning: De svenska reglerna om förhands- kontroll vid hemlig övervakning av elektronisk kommunikation uppfyller de krav som EU-rätten ställer.

Frågor om hemlig övervakning av elektronisk kommunikation prövas av rätten efter ansökan av en åklagare, 27 kap. 21 § RB. Om det kan befaras att det skulle medföra en fördröjning av väsentlig betydelse för utredningen att inhämta rättens tillstånd till hemlig övervakning av elektronisk kommunikation får tillstånd till åtgärden ges av åklagaren i avvaktan på rättens beslut, 27 kap. 21 a § RB. Rätten ska därefter skyndsamt pröva ärendet och kan upphäva beslutet om den finner att det inte finns skäl för åtgärden.

Enligt utredningens bedömning lever det svenska regelverket på detta område upp till EU-rättens krav.

Inhämtning av uppgifter i underrättelseverksamhet

Utredningens förslag: Åklagare ska besluta om tillstånd för inhämtning av trafik- och lokaliseringsuppgifter i underrättelse- verksamhet. Ansökan ska upprättas av Polismyndigheten, Säker- hetspolisen respektive Tullverket.

Utredningens bedömning: Besluten bör inte kunna överklagas. Inga interimistiska beslut bör tillåtas. Skyldigheten att omedel-

262

SOU 2017:75

Överväganden

bart häva ett beslut som det inte längre finns skäl för bör alltjämt ankomma på Polismyndigheten, Säkerhetspolisen respektive Tullverket. Skyldigheten att underrätta SIN om ett beslut om inhämtning bör alltjämt ankomma på Polismyndigheten, Säker- hetspolisen respektive Tullverket.

Som framgår ovan får inhämtning av uppgifter om elektronisk kom- munikation i underrättelseverksamhet beslutas utan förhandskon- troll av domstol eller annan oberoende myndighet (avsnitt 6.2.4). Inhämtningen beslutas i stället av myndigheten själv.

EU-domstolens krav på att inhämtningen ska beslutas av en domstol eller en oberoende myndighet har uppenbarligen ett slags rättssäkerhetssyfte; en myndighet ska inte tillåtas att fatta beslut som är ingripande mot den enskilde samtidigt som beslutet underlättar myndighetens egen verksamhet. Oavsett hur korrekt än ett sådant beslut skulle vara skulle det kunna uppfattas som om myndigheten offrar den enskildes integritet för att kunna uppnå fördelar för den egna verksamheten.

Den nuvarande beslutsordningen i IHL innehåller andra rätts- säkerhetsgarantier för att säkerställa att besluten fattas på riktiga grunder.

För det första följer det redan av lagtexten att ett beslut om in- hämtning som utgångspunkt ska fattas av myndighetschefen och att dennes delegeringsmöjligheter är begränsade till sådana personer som har den särskilda kompetens, utbildning och erfarenhet som behövs. I förarbetena anges att beslutanderätten bör kunna delegeras endast till en tämligen begränsad skara. De som nämns är myndig- hetschefens ställföreträdare, rikskriminalchefen, biträdande riks- kriminalchefen, biträdande säkerhetspolischefen, biträdande läns- polismästare, länskriminalchefer, chefer för operativ verksamhet och chefer för underrättelseverksamhet (prop. 2011/12:55 s. 123). Redan det förhållandet att beslutsnivån finns tämligen högt upp i organi- sationen utgör i viss mån en garant för att besluten fattas på ett korrekt sätt.

För det andra, får den som har fått beslutanderätt delegerad till sig inte fatta beslut om inhämtning i sådan operativ verksamhet som han eller hon själv deltar i. Härigenom undviks jävssituationer.

Genom det ovan beskrivna skyddet mot felaktigt grundade beslut skulle det kunna argumenteras för att den svenska ordningen upp-

263

Överväganden

SOU 2017:75

fyller de krav som EU-rätten ställer. Med beaktande av uttalandena i Tele2-domen och vad Europadomstolen uttalat i Roman Zakharov mot Ryssland, 4 december 2015, §§ 268-270, bör dock den ytter- ligare rättssäkerhetsgaranti som följer av att anförtro beslutsbehörig- heten till en oberoende myndighet tas till vara. I detta sammanhang kan det vara värt att notera att SIN:s granskningar har visat att myndigheternas tillämpning av IHL i vissa fall är bristfällig. Som exempel på sådana brister kan nämnas inhämtning trots att det för angiven brottslighet inte var rättsligt möjligt med inhämtning15 och inhämtning i strid med 5 § IHL av lokaliseringsuppgifter för en tid som överstigit en månad från dagen för besluten16.

Utredningen bedömer mot bakgrund av det nu anförda att besluts- behörigheten enligt IHL bör anförtros en domstol eller annan oberoende myndighet. Det ska härvid inledningsvis konstateras att den svenska förvaltningsmodellen gör att samtliga svenska myndig- heter uppfyller kravet på oberoende. Av 12 kap. 2 § RF framgår nämligen att en myndighet inte får bestämma hur en annan för- valtningsmyndighet i ett särskilt fall ska besluta i ett ärende som rör myndighetsutövning mot en enskild.

Frågan är vilken myndighet som ska ha denna uppgift. Som fram- går ovan övervägde Datalagringsutredningen om domstol, särskild nämnd eller åklagare skulle ha en roll vid beslutsfattandet enligt IHL (avsnitt 8.4.4). Datalagringsutredningen avfärdade samtliga alter- nativ. Utredningen delar i och för sig de argument som Datalagrings- utredningen förde fram mot att involvera någon annan myndighet i beslutsprocessen men som ovan konstateras finns det ett rätts- säkerhetskrav på att låta beslutsbefogenheten tillkomma en extern myndighet.

Domstolar bör inte fatta beslut enligt IHL

Som Datalagringsutredningen konstaterade och som redogörs för ovan finns det nackdelar med att låta domstolar ha en roll som besluts- organ enligt IHL (avsnitt 8.4.4). De mest framträdande argumenten mot en domstolsinblandning, som också redovisas i förarbetena till

15Nämndens uttalanden den 14 september 2016, dnr 130-2016, och den 18 november 2015, dnr 169-2015.

16Nämndens uttalande den 16 mars 2016, dnr 206-2015.

264

SOU 2017:75

Överväganden

IHL (prop. 2011/12:55 s. 88–89), är följande. Beslut enligt IHL fattas i underrättelseverksamhet, vilket gör att domstolsmiljön, som har kontradiktion som utgångspunkt, blir onaturlig. Underrättelse- verksamheten är nämligen främst inriktad mot en företeelse till skillnad från förundersökningen, som inriktar sig mot en person (23 kap. 2 § RB). Även om beslutsfattande enligt 2007 års preventiv- lag ligger på domstolar så är underrättelseverksamhet typiskt sett främmande för domstolarna. Slutligen är inte domstolsväsendet ordnat på så sätt att det kan erbjuda det snabba beslutsfattande som kan behövas i ärenden enligt IHL. Enligt utredningen bör därför domstolar inte komma i fråga som beslutsorgan. Längre ner i detta avsnitt beskrivs ändå, för fullständighetens skull, hur en ordning med domstol som beslutsfattare skulle kunna vara utformad.

SIN bör inte fatta beslut enligt IHL

En myndighet som skulle kunna fatta beslut enligt IHL är SIN. Det finns dock två bärande argument mot en sådan ordning.

För det första är SIN tämligen långt ifrån att ha organisatoriskt nödvändig beredskap för att kunna fatta de snabba beslut som ibland behövs i underrättelseverksamhet.

För det andra har SIN i uppdrag att utöva tillsyn över de brotts- bekämpande myndigheternas användning av hemliga tvångsmedel, 1 § lag (2007:980) om tillsyn över viss brottsbekämpande verksam- het. Att anförtro beslutsfattandet till SIN samtidigt som nämnden skulle utöva tillsyn över verksamheten inger starka betänkligheter (jfr Europadomstolens dom Roman Zakharov mot Ryssland, 4 december 2015, § 280).

Mot bakgrund av det ovan nämnda bör SIN inte bli besluts- myndighet enligt IHL.

Åklagare bör fatta beslut enligt IHL

Av redan existerande myndigheter är det enda rimliga kvarvarande alternativet åklagare. Åklagare utgör en central del i rättskedjan. Även om de främst är vana att agera under en förundersökning har de god vana att ta beslut om tvångsåtgärder och att göra bedöm- ningar om i vilket skede (underrättelse- eller förundersöknings-

265

Överväganden

SOU 2017:75

skedet) som ett ärende befinner sig i. Även viktiga bedömningar där effektivitet vägs mot integritet har en naturlig plats i åklagarens vardag. Av redan existerande myndigheter är det därför rimligt att överväga åklagare som beslutsfattare enligt IHL. Det finns emellertid en del viktiga argumentet även mot att involvera åklagare. Enligt utredningen är ett av de mest bärande argumenten mot detta att åklagare inte bör befatta sig med underrättelseverksamhet, eftersom det är artfrämmande för åklagarnas kärnverksamhet. Samtidigt kan det konstateras att åklagare redan i dag i olika författningar har ålagts vissa arbetsuppgifter som ligger utanför det brottsutredande områ- det. Här kan nämnas beslut om förstörande enligt lagen (2011:111) om förstörande av vissa hälsofarliga missbrukssubstanser samt de sällan eller närmast aldrig förekommande ärendena om hävande av mönsterrätt i vissa fall och talan om äktenskapsskillnad i vissa fall. Av större praktisk betydelse och intresse är att åklagare redan i dag har uppgifter inom ramen för underrättelseverksamhet. Det rör sig här främst om tillämpningen av 2007 års preventivlag. Därutöver har åklagare i viss begränsad utsträckning en roll i polisens regionala underrättelsecenter (RUC).

Åklagare utför således i dag arbetsuppgifter på relevant område för IHL. Även om just dessa arbetsuppgifter inte är särskilt spridda i organisationen kan dock konstateras att de beslut som nu är aktuella på ett principiellt plan ligger nära de beslut som åklagare fattar inom ramen för förundersökningsverksamhet. Det är nämligen i båda fallen fråga om att väga effektiviteten i brottsbekämpningen mot intresset av att värna den personliga integriteten. Argumentet om att IHL skulle innebära ett artfrämmande inslag i åklagarnas verksamhet kan således inte anses utgöra något hinder mot en ordning med åklagare som beslutsfattare.

Ett annat argument mot att involvera åklagare i beslutsprocessen är att det skulle vara systemfrämmande att låta åklagare besluta om ett hemligt tvångsmedel när alla övriga hemliga tvångsmedel beslutas av domstol. Samtidigt som en sådan ordning ur ett perspektiv alltså skulle bryta mot systemet kan likväl påstås att det ur ett annat per- spektiv skulle vara väl förenligt med systemet. Beslutsfattande av åklagare enligt IHL skulle nämligen följa den ansvarsfördelning som gäller rent hierarkiskt i rättskedjan. Om en åklagare vill utverka ett beslut som han eller hon inte har rätt att fatta själv (t.ex. häktning eller hemlig avlyssning av elektronisk kommunikation) så vänder sig

266

SOU 2017:75

Överväganden

åklagaren till nästa instans i rättskedjan, dvs. domstol. När det nu har konstaterats att det finns ett värde i att flytta beslutsbehörigheten från Polismyndigheten, Säkerhetspolisen och Tullverket så är det naturligt att dessa myndigheter vid önskan om ett beslut enligt IHL ska vända sig till nästa instans i rättskedjan, dvs. åklagare. På så sätt är också regelsystemet uppbyggt i de flesta andra fall som t.ex. vid anhållande.

Ytterligare ett argument mot att involvera åklagare i besluts- processen är att det kan påstås att avståndet mellan underrättelse- verksamhet och förundersökningsverksamhet minskar, vilket skulle kunna göra det svårare för åklagaren att leva upp till sin objekti- vitetsplikt. Sådana tankegångar lyftes fram av Åklagarmyndigheten i sitt remissvar över betänkandet En mer rättssäker inhämtning av elektronisk kommunikation i brottsbekämpningen (SOU 2009:1). Enligt utredningen är det viktigt att åklagarnas objektivitetsplikt inte på något sätt blir urholkad av föreslagna förändringar. Det är därför grundläggande att analysera om en beslutanderätt enligt IHL skulle kunna äventyra åklagarnas objektivitetsplikt. Utredningen gör i denna del följande bedömning. Den lagstadgade objektivitetsplikten gäller inte bara under förundersökningen utan även i underrättelse- stadiet (23 kap. 4 § tredje stycket RB). Även om åklagarna skulle få en uppgift i underrättelseskedet så skulle de alltså ha samma lag- stadgade objektivitetsplikt att förhålla sig till. Frågan är då om det allmännas förtroende för åklagarnas objektivitetsplikt skulle kunna undergrävas enbart genom att åklagare skulle kunna påstås vara frestade att hålla kvar ett ärende i underrättelsestadiet för att där- igenom lättare få tillgång till övervakningsuppgifter enligt IHL i stället för att behöva vända sig till domstol och utverka ett tillstånd till hemlig övervakning av elektronisk kommunikation. Denna risk ska enligt utredningen inte överdrivas. Det saknas nämligen helt tecken på att åklagare av någon sorts bekvämlighetsskäl generellt sett skulle ha en tendens att tillämpa regelverk i strid med sin ande- mening för att på så sätt underlätta för sig. Inte heller detta argu- ment har därför någon större bärkraft.

Datalagringsutredningen framhöll att det har ansetts olämpligt att tilldela åklagare (och domstolar) beslutsfunktioner i de brotts- bekämpande myndigheternas allmänna underrättelsearbete. Detta hängde enligt Datalagringsutredningen samman med att under- rättelseåtgärderna kan leda vidare till förundersökning (och rätte-

267

Överväganden

SOU 2017:75

gång), vilket innebär att frågorna på nytt skulle hamna på åklagarnas (och domstolarnas) bord. Det skulle därmed finnas en risk för att det tidigare ställningstagandet skulle påverka också det senare skedet (SOU 2015:31 s. 285–286). Enligt utredningen är detta argument inte särskilt bärkraftigt. Det tillhör nämligen den normala gången i rättskedjan att beslut i olika stadier fattas på olika nivåer och att ärendena sedan åter kan hamna hos beslutsfattaren. Exempel på detta är anhållande och häktning, beslut om husrannsakan i vissa fall, beslut om hemliga tvångsmedel i förundersökning och beslut enligt 2007 års preventivlag. Det finns inget stöd för att det inte skulle vara en fungerande ordning. En åklagare som vid beslutsfattandet fått del av information som inte bör ingå i en förundersökning kan också lämna ärendet vidare till en kollega, som inte besitter samma kunskaper.

Som ovan noteras så är samtliga svenska myndigheter oberoende och självständiga. När det gäller just åklagarnas oberoende finns det skäl att lyfta fram en rapport av Venedigkommissionen17 från 2010.18 Rapporten synes främst ha fokus på åklagares verksamhet i för- undersökningsfasen. Det hindrar dock inte att några generella rekommendationer om åklagare är intressanta även i relation till åklagares arbete inom underrättelseverksamheten.

En viktig komponent i ett oberoende är anställningsformen och här finns det skäl att uppmärksamma att den svenska riksåklagaren har ett mycket starkt anställningsskydd och anställs som en av få myndighetschefer med fullmakt (7 kap. 3 § RB). En sådan anställ- ningsordning går mycket väl i linje med Venedigkommissionens rekommendationer (p. 73). Möjligheterna att skilja riksåklagaren från ämbetet är klart definierade i lagen (1994:261) om fullmakts- anställning (4 §), vilket även det går väl i linje med rekommen- dationerna från Venedigkommissionen (p. 39). Även om övriga åklagare har ett svagare anställningsskydd så anställs de tills vidare, vilket innebär att de är anställda till pensionen, vilket också är en rekommendation av kommissionen (p. 50).

Till oberoendet hör också det viktiga förhållandet att en åklagare i sitt beslutsfattande är helt självständig. Även om åklagarväsendet är hierarkiskt uppbyggt så får inte en överordnad åklagare ge bindande

17Venedigkommissionen är en rådgivande kommission till Europarådet i konstitutionella frågor.

18European Standards as regards the independence of judicial system: Part II – The Prosecution Service, European Commission for Democracy Through Law (Venice Commission).

268

SOU 2017:75

Överväganden

instruktioner till en underordnad åklagare om vilka beslut han eller hon ska fatta. En annan sak är att en överordnad åklagare kan överta en arbetsuppgift av en lägre åklagare (7 kap. 5 § RB).

Det sagda leder till slutsatsen att i valet mellan de olika alternativ som finns för beslutsfattande enligt IHL, så framstår åklagare som det mest rimliga. Enligt utredningens bedömning bör därför åklagare anförtros uppgiften att fatta beslut om inhämtning enligt IHL. Åklagare har som utgångspunkt generell befogenhet att utöva sitt ämbete, 6 § åklagarförordningen (2004:1265). Som utvecklas i författningskommentaren finns dock skäl att för de nu aktuella ärendena begränsa kretsen av behöriga åklagare genom myndighets- interna föreskrifter (avsnitt 14.2).

De särskilda regler som i dag finns i 4 § IHL om att endast befatt- ningshavare på vissa nivåer får fatta beslut och att dessa inte får fatta beslut om inhämtning i operativ verksamhet som de själva deltar i, behövs inte vid den nu föreslagna beslutsordningen. De kan därför utgå ur lagstiftningen. En annan sak är att det finns ett värde i att uppgifterna utförs av utvalda personer inom myndigheten med sär- skild kunskap om förutsättningarna för inhämtning. Den närmre strukturen för ansökningsförfarandet bör emellertid bestämmas inom respektive myndighet.

Den närmare ordningen för hur beslutsfattande av åklagare bör vara utformad redogörs för nedan.

Ansökan ska upprättas av Polismyndigheten, Säkerhetspolisen respektive Tullverket

Eftersom IHL föreskriver att myndigheterna själva får fatta beslut om inhämtning finns det av uppenbara skäl inga regler i IHL om vilken myndighet som ska upprätta ansökningar om tillstånd. När nu beslutsbehörigheten placeras på åklagare måste det dock finnas sådana regler. Eftersom inhämtning enligt IHL görs i Polismyndig- hetens, Säkerhetspolisens respektive Tullverkets intresse finns det inga andra rim