sou 2017 75

Innehåll

Förkortningar.....................................................................		13
Sammanfattning ................................................................		17
Summary ..........................................................................		31
1	Författningsförslag.....................................................	47

1.1Förslag till lag om ändring i lagen (2003:389) om

elektronisk kommunikation...................................................

1.2Förslag till lag om ändring i lagen (2012:278) om inhämtning av uppgifter om elektronisk kommunikation i de brottsbekämpande

myndigheternas underrättelseverksamhet.............................

1.3Förslag till förordning om ändring i förordningen

	(2003:396) om elektronisk kommunikation .........................		50
2	Utredningens uppdrag och arbete ................................		55
2.1	Utredningens uppdrag.............................................................		55
2.2	Utredningsarbetet ...................................................................		56
2.3	Betänkandets disposition ........................................................		57
3	Grundläggande rättigheter ..........................................		59
3.1	Rätten till personlig integritet................................................		59
	3.1.1	Integritetsbegreppet................................................	59
	3.1.2	Skyddsintressen .......................................................	60
	3.1.3	Regleringen av skyddet för privatlivet ...................	61
			5

Innehåll

SOU 2017:75

3.2 Skyddet för personuppgifter..................................................		70
3.2.1	Grundläggande EU-rätt..........................................	70

3.2.2EU:s dataskyddsdirektiv och

		dataskyddsreform....................................................	71
	3.2.3	Dataskyddskonventionen.......................................	73
	3.2.4	Nationell lagstiftning..............................................	74
3.3	Yttrandefrihet .........................................................................		74
4	Elektronisk kommunikation.........................................		77
4.1	Allmänt om elektronisk kommunikation .............................		77

4.2Integritetsskydd och tystnadsplikt vid elektronisk

	kommunikation ......................................................................		77
4.3	LEK	.........................................................................................	79
5	Brottsbekämpande ....................................verksamhet		83
5.1	Brottutredande ....................................................verksamhet		83
5.2	Underrättelseverksamhet........................................................		84
	5.2.1 .........	Polismyndighetens underrättelseverksamhet	85
	5.2.2 ............	Säkerhetspolisens underrättelseverksamhet	86
	5.2.3 ......................	Tullverkets underrättelseverksamhet	88
5.3	Allmänt ...........................om straffprocessuella tvångsmedel		89
6	Uppgifter om elektronisk kommunikation i
	brottsbekämpande ....................................verksamhet		93
6.1	Regleringen .......................................av lagring av uppgifter		93
6.2	Regleringen .....................................av tillgång till uppgifter		97

6.2.1Begreppen abonnemangsuppgifter,

	trafikuppgifter och lokaliseringsuppgifter	............. 97
6.2.2	Abonnemangsuppgifter ........................................	101

6.2.3Hemlig övervakning av elektronisk

	kommunikation.....................................................	102
6.2.4	IHL ........................................................................	105
6.2.5	2007 års preventivlag.............................................	106
6.2.6	LSU ........................................................................	107

SOU 2017:75 Innehåll

6.3	Säkerheten för lagrade uppgifter..........................................		107
6.4	Kontrollmekanismer och rättssäkerhetsgarantier...............		109
	6.4.1	Förhandskontroll...................................................	109
	6.4.2	Efterhandskontroll ................................................	111

6.4.3Begränsningar i rätten att använda

		överskottsinformation............................................	117
7	Nyttan och behovet av uppgifter om elektronisk
	kommunikation i brottsbekämpande verksamhet.........		119
7.1	Utredningsverksamhet .........................................................		120
7.2	Underrättelseverksamhet .....................................................		124
7.3	Användandet av kommunikationstjänster...........................		127
	7.3.1	Mobiltelefoner och mobilt internet......................	128
	7.3.2	Fast telefoni ...........................................................	130
	7.3.3	Internet i hemmet..................................................	130
	7.3.4	Andra användningsområden .................................	130
7.4	Nyttan och behovet av de olika uppgifterna.......................		131
7.5	Lagringstiden.........................................................................		132
8	EU-rättens påverkan på reglerna om datalagring...........		135
8.1	Datalagringsdirektivet ...........................................................		135
	8.1.1	Direktivets syfte och tillämpningsområde ............	135
	8.1.2	Lagringsskyldighetens omfattning ........................	135
	8.1.3	Tillgången till lagrade uppgifter.............................	136
	8.1.4	Den svenska genomförandeprocessen...................	137
8.2	EU-domstolens första dom – Digital Rights-domen...........		138
8.3	Analysen efter Digital Rights-domen (Ds 2014:23) ............		141
	8.3.1	Lagringsskyldighetens omfattning ........................	142
	8.3.2	Tillgången till uppgifterna......................................	145
	8.3.3	Lagringstiden..........................................................	149
	8.3.4	Säkerheten för de lagrade uppgifterna...................	150
	8.3.5	Samlad bedömning.................................................	153

8.4 Datalagringsutredningens överväganden (SOU 2015:31)... 153

Innehåll

SOU 2017:75

8.4.1Inget förslag om förändring i fråga om vilka

		uppgiftskategorier som ska lagras .........................	154
	8.4.2	Inget förslag om krav på lagring inom EU ...........	154
	8.4.3	Uppgifter som omfattas av tystnadsplikt .............	156
	8.4.4	IHL ........................................................................	157
9	EU-domstolens andra dom – Tele2-domen ..................		169
9.1	Direktiv 2002/58 är tillämpligt på datalagringsreglerna.......		170
9.2	Artikel 15.1 ska tolkas strikt.................................................		171
9.3	Artikel 15.1 ska tolkas mot bakgrund av rättighetsstadgan....		172

9.4Inskränkningar i rättighetsskyddet får bara göras om

åtgärden är proportionell ......................................................

172

9.5De svenska reglerna utgör inskränkningar i artikel 7, 8

och 11 i rättighetsstadgan .....................................................

173

9.6Inskränkningarna som de svenska reglerna medför är

inte proportionella ................................................................	174
9.7 Lagringen...............................................................................	175

9.7.1Generell och odifferentierad lagring är inte motiverad ens för att bekämpa grov

	brottslighet.............................................................	175
9.7.2	Riktad lagring.........................................................	176
9.8 Tillgången..............................................................................		177
9.8.1	Endast för att bekämpa grov brottslighet .............	177
9.8.2	Precisa krav måste föreskrivas...............................	177

9.8.3Tillgång bara till uppgifter om personer som är

inblandade i ett allvarligt brott ..............................

178

9.8.4Förhandskontroll av domstol eller oberoende

	myndighet ..............................................................	178
9.8.5	Information till de berörda....................................	179

9.9Skydds- och säkerhetsnivåer, lagring inom EU och

	utplåning................................................................................	179
9.10	Tillsyn....................................................................................	179
9.11	EU-domstolens slutsatser.....................................................	180

SOU 2017:75 Innehåll

10	Målet i Kammarrätten i Stockholm.............................	181
10.1	Bakgrund................................................................................	181
10.2	Målet i förvaltningsrätten......................................................	181
10.3	Målet i kammarrätten ............................................................	183
	10.3.1 Den inledande delen av rättegången ......................	183
	10.3.2 Kammarrättens dom ..............................................	183

11	Internationell utblick................................................		185
11.1	Danmark ................................................................................		185
	11.1.1	Tillämpliga bestämmelser.......................................	185
	11.1.2	Lagring....................................................................	185
	11.1.3	Tillgång...................................................................	186
	11.1.4 Skydd för de lagrade uppgifterna...........................		187
	11.1.5	Förändringsarbete ..................................................	187
11.2	Finland ...................................................................................		187
	11.2.1	Tillämpliga bestämmelser.......................................	187
	11.2.2	Lagring....................................................................	188
	11.2.3	Tillgång...................................................................	188
	11.2.4 Skydd för de lagrade uppgifterna...........................		189
	11.2.5	Förändringsarbete ..................................................	189
11.3	Tyskland.................................................................................		190
	11.3.1	Tillämpliga bestämmelser.......................................	190
	11.3.2	Lagring....................................................................	190
	11.3.3	Tillgång...................................................................	191
	11.3.4 Skydd för de lagrade uppgifterna...........................		192
	11.3.5	Förändringsarbete ..................................................	192
11.4	Övriga länder .........................................................................		192
	11.4.1	Österrike ................................................................	192
	11.4.2	Belgien ....................................................................	192
	11.4.3	Portugal ..................................................................	193

12	Överväganden..........................................................	195
12.1	EU-rätten måste beaktas ......................................................	195

Innehåll

SOU 2017:75

12.2	Abonnemangsuppgifter omfattas inte av Tele2-domen
	men av EU-rätten .................................................................		196
12.3	Det är nödvändigt att reformera svensk lagstiftning..........		200
12.4	Ingen generell och odifferentierad lagring som i dag.........		202
	12.4.1 Uppgifterna får endast lagras för att bekämpa
		grov brottslighet....................................................	203
	12.4.2 Utrymme finns för en fortsatt
		lagringsskyldighet .................................................	203
12.5	Olika modeller för lagring ...................................................		208
	12.5.1	Ingen riktad lagring...............................................	208
	12.5.2 Inget bevarandeföreläggande av uppgifter som
		operatörerna behöver för egna ändamål ..............	210
	12.5.3 Ingen lagring av senaste aktiviteten på
		abonnemanget .......................................................	212
	12.5.4 Ingen bibehållen lagring med kryptering.............		213
	12.5.5 En begränsad lagringsskyldighet bör införas.......		214
12.6	En begränsad lagringsskyldighet .........................................		216
	12.6.1	Sammanfattning ....................................................	216
	12.6.2 Bara uppgifter som är strängt nödvändiga...........		218
	12.6.3	Telefonitjänster och meddelandehantering.........	220
	12.6.4	Internetåtkomst ....................................................	239

12.6.5Inget undantag för personer med

	tystnadsplikt..........................................................	248
12.6.6	Lagringskyldighetens ramar bör framgå av lag....	250
12.7 En differentierad lagringstid ................................................		251
12.7.1	Riksdagen ger en ram för lagringstiden ...............	251

12.7.2Inom den av riksdagen angivna ramen bör regeringen föreskriva kortare frister för vissa

	uppgifter ................................................................	252
12.8 Tillgången till trafik- och lokaliseringsuppgifter................		254
12.8.1	Endast för att bekämpa grov brottslighet............	254
12.8.2	Precisa krav måste fastställas................................	256

12.8.3Tillgång bara till uppgifter om personer som på något sätt är inblandade i brott – som

huvudregel .............................................................

257

SOU 2017:75

Innehåll

12.8.4Förhandskontroll av domstol eller oberoende

myndighet ..............................................................	262
12.8.5 Information till berörda ........................................	277

12.8.6Tillgången ska avse även uppgifter som lagras

		för operatörernas egna ändamål ............................	282
12.9	Tillgången till abonnemangsuppgifter .................................		284
12.10 Skydds- och säkerhetsnivåer, lagring inom Sverige och
	utplåning................................................................................		287
	12.10.1	Skydds - och säkerhetsnivåer .................................	287
	12.10.2	Lagring inom Sverige .............................................	289
	12.10.3	Utplåning ...............................................................	292
12.11	Tillsyn	....................................................................................	292
13	Konsekvenser ...............................och genomförande		295
13.1	Konsekvenser.........................................................................		295
	13.1.1 .......................................	Beskrivning av branschen	296
	13.1.2 .......................	Samhällsekonomiska konsekvenser	297
	13.1.3 ...................................	Offentligfinansiella effekter	303
	13.1.4 ................................	Inga konsekvenser för miljön	305
	13.1.5 .......................................	Inga övriga konsekvenser	305
	13.1.6	Ingen anmälningsskyldighet för tekniska
	..............................................................	föreskrifter	305
13.2	Ikraftträdande........................................................................		306
14	Författningskommentar.............................................		307
14.1	Förslaget till lag om ändring lagen (2003:389) om
	elektronisk ..................................................kommunikation		307

14.2Förslaget till lag om ändring i lagen (2012:278) om inhämtning av uppgifter om elektronisk kommunikation

i de brottsbekämpande myndigheternas
underrättelseverksamhet .......................................................	308
14.3 Förslaget till förordning om ändring i förordningen
(2003:396) om elektronisk kommunikation.........................	309

Förkortningar

2007 års preventivlag	lagen (2007:979) om åtgärder för att för-
	hindra vissa särskilt allvarliga brott
Artikel 29-gruppen	EU:s arbetsgrupp som bildats med stöd av
	artikel 29 i dataskyddsdirektivet
dataskydds-	Europarådets konvention från 1981 om
konventionen	skydd för enskilda vid automatisk behand-
	ling av personuppgifter (ETS 108)
Digital Rights-domen	EU-domstolens dom den 8 april 2014 i de
	förenade målen C-293/12 och C-594/12
direktiv 95/46 eller	Europaparlamentets och rådets direktiv
dataskyddsdirektivet	95/46/EG av den 24 oktober 1995 om
	skydd för enskilda personer med avseende
	på behandling av personuppgifter och om
	det fria flödet av sådana uppgifter
	(EGT L 281, 1995, s. 31)
direktiv 2002/58	Europaparlamentets och rådets direktiv
	2002/58/EG av den 12 juli 2002 om
	behandling av personuppgifter och integri-
	tetsskydd inom sektorn för elektronisk
	kommunikation (direktivet om integritet
	och elektronisk kommunikation)
	(EGT L 201, 2002, s. 37), i dess lydelse
	enligt Europaparlamentets och rådets
	direktiv 2009/136/EG av den 25 november
	2009 (EUT L 337, 2009, s. 11)
direktiv 2006/24 eller	Europaparlamentets och rådets direktiv
datalagringsdirektivet	2006/24/EG av den 15 mars 2006 om lag-
	13

Förkortningar SOU 2017:75

	ring av uppgifter som genererats eller
	behandlats i samband med tillhanda-
	hållande av allmänt tillgängliga elekt-
	roniska kommunikationstjänster eller
	allmänna kommunikationsnät och om
	ändring av direktiv 2002/58/EG (EUT L
	105, 2006, s. 54)
Europadomstolen	den Europeiska domstolen för de mänsk-
	liga rättigheterna
Europakonventionen	den europeiska konventionen angående
	skydd för de mänskliga rättigheterna och
	de grundläggande friheterna, med de tillägg
	och ändringar som gjorts genom de
	protokoll som Sverige ratificerat
FEK	förordningen (2003:396) om elektronisk
	kommunikation
FEUF	fördraget om Europeiska unionens funk-
	tionssätt
IHL	lagen (2012:278) om inhämtning av upp-
	gifter om elektronisk kommunikation i de
	brottsbekämpande myndigheternas under-
	rättelseverksamhet
JK	Justitiekanslern
JO	Riksdagens ombudsmän
LEK	lagen (2003:389) om elektronisk kom-
	munikation
LSU	lagen (1991:572) om särskild utlännings-
	kontroll
NOA	Nationella operativa avdelningen (del av
	Polismyndigheten)
NUC	Nationellt underrättelsecenter (del av
	Polismyndigheten)

SOU 2017:75 Förkortningar

PNR-direktivet	Europaparlamentets och rådets direktiv
	2016/681/EU av den 27 april 2016 om
	användning av passageraruppgiftssamlingar
	(PNR-uppgifter) för att förebygga, för-
	hindra, upptäcka, utreda och lagföra terro-
	ristbrott och grov brottslighet
	(EUT L 119, 2016, s. 132)
PTS	Post- och telestyrelsen
RB	rättegångsbalken
RF	regeringsformen
RUC	Regionalat underrättelsecenter (del av
	Polismyndigheten)
rättighetsstadgan eller	Europeiska unionens stadga om de grund-
stadgan	läggande rättigheterna (EGT C 202, 2016)
SIN	Säkerhets- och integritetsskyddsnämnden
Tele2-domen	EU-domstolens dom den 21 december 2016
	i de förenade målen C-203/15 och C-698/15
Tele2-målet	EU-domstolens förenade mål C-203/15
	och C-698/15

Sammanfattning

SOU 2017:75

Integritetsskydd vid elektronisk kommunikation

För att säkerställa full respekt för rätten till privatliv och rätten till skydd för personuppgifter inom sektorn för elektronisk kommuni- kation har EU antagit direktiv 2002/58. Direktivet ålägger medlems- staterna att t.ex. säkerställa konfidentialitet vid elektronisk kom- munikation och därmed förbundna trafikuppgifter. Uppgifter som inte längre behövs ska enligt direktivet utplånas eller avidentifieras. Medlemsstaterna får dock göra undantag från dessa åligganden om det behövs för bl.a. brottsbekämpande verksamhet. Direktivet är genomfört i svensk rätt främst genom bestämmelser som tagits in i lagen (2003:389) om elektronisk kommunikation.

Brottsbekämpande verksamhet

Brottsbekämpande verksamhet består av två övergripande delar, underrättelseverksamhet och utredande verksamhet. Underrättel- severksamheten är i huvudsak inriktad på att avslöja om en viss inte närmare specificerad brottslighet har ägt rum, pågår eller kan antas komma att begås. Ett övergripande mål med underrättelseverksam- heten är att förse de brottsbekämpande myndigheterna med kunskap som kan omsättas i operativ verksamhet. Den utredande verksam- heten utgår från en redan uppkommen händelse. Myndigheten ska, ofta inom en förundersökning, utreda om brott har begåtts och vem som i så fall skäligen kan misstänkas för brottet samt skaffa till- räckligt material för bedömning av frågan om åtal ska väckas.

I både brottsutredande verksamhet och underrättelseverksamhet används hemliga tvångsmedel. Det tvångsmedel som är av intresse för datalagringsfrågan är hemlig övervakning av elektronisk kom- munikation, som regleras i rättegångsbalken. Härtill kommer tvångs- medlen enligt lagen (1991:572) om särskild utlänningskontroll och lagen (2007:979) om åtgärder för att förhindra vissa särskilt allvarliga brott, som har sin tillämpning i underrättelseverksamhet. Även in- hämtning av uppgifter enligt lagen (2012:278) om inhämtning av uppgifter om elektronisk kommunikation i de brottsbekämpande myndigheternas underrättelseverksamhet utgör ett hemligt tvångs- medel. Inhämtning av abonnemangsuppgifter enligt lagen (2003:389) om elektronisk kommunikation är däremot inte ett hemligt tvångs- medel.

SOU 2017:75

Sammanfattning

Uppgifter om elektronisk kommunikation i brottsbekämpande verksamhet

Uppgifter om elektronisk kommunikation delas in i olika grupper. Med abonnemangsuppgifter avses t.ex. uppgifter om abonnentens nummer, namn, titel och adress. Till sådana uppgifter brukar även räknas uppgifter om exempelvis avtal och fakturering. Vidare inne- fattas såväl uppgift om vem som använt en fast eller dynamisk ip- adress eller ett IMSI-nummer (ett nummer som är kopplat till abon- nentens sim-kort och därmed telefonnummer) som ett flertal andra uppgifter. Den exakta gränsen är svår att dra. Med trafikuppgifter avses i detta sammanhang enkelt uttryckt de uppgifter som behövs för att förmedla ett elektroniskt meddelande i ett elektroniskt kom- munikationsnät eller för att fakturera ett sådant meddelande. Vid sidan av begreppet trafikuppgifter används även uttrycket lokali- seringsuppgifter för att beteckna uppgifter som är knutna till lokali- seringen av en kommunikationsutrustning. Det kan t.ex. vara fråga om vilken cell (antenn på basstation) som utrustningen kopplat upp sig mot.

Nuvarande regleringen av lagring av uppgifter

Uppgifter om elektronisk kommunikation är mycket viktiga för brottsbekämpningen. Det finns därför regler i lagen (2003:389) om elektronisk kommunikation som säkerställer att myndigheterna kan få tillgång till dessa uppgifter. För detta syfte föreskriver lagen om elektronisk kommunikation en lagringsskyldighet för dem som till- handahåller elektroniska kommunikationstjänster. Lagringsskyldig- heten omfattar vissa uppräknade uppgifter som genereras eller behandlas i verksamheten. Lagringsskyldigheten omfattar telefoni- tjänster (fasta och mobila), meddelandehantering och internet- åtkomst.

Nuvarande regleringen av tillgång till uppgifter

Hur myndigheterna kan få tillgång till de uppgifter som omfattas av lagringsskyldigheten – och andra uppgifter som behandlas i verksam- heten, t.ex. på grund av operatörernas faktureringsbehov – beror på

Sammanfattning

SOU 2017:75

vilken typ av uppgift det är och i vilket syfte tillgång begärs. För trafik- och lokaliseringsuppgifter regleras tillgången i rättegångs- balken och lagen (2012:278) om inhämtning av uppgifter om elek- tronisk kommunikation i de brottsbekämpande myndigheternas underrättelseverksamhet. Härtill kommer lagen (1991:572) om sär- skild utlänningskontroll och lagen (2007:979) om åtgärder för att förhindra vissa särskilt allvarliga brott, som hänvisar till rättegångs- balkens bestämmelser. Tillgången till abonnemangsuppgifter har inte bedömts utgöra ett hemligt tvångsmedel och regleras direkt i lagen om elektronisk kommunikation.

Tillgång till trafik- och lokaliseringsuppgifter i den brotts- utredande verksamheten kräver domstolsbeslut och är endast möjlig vid allvarliga brott. I underrättelseverksamheten är tillgången till trafikuppgifter något mer begränsad men kräver som huvudregel inte domstolsbeslut. Tillgången till abonnemangsuppgifter kräver inget domstolsbeslut utan beslutas av den brottsbekämpande myndigheten själv. Det krävs inte heller att brottet är av visst allvar.

För att skydda personers integritet och upprätthålla en hög grad av rättssäkerhet innehåller regelverket kring myndigheternas tillgång till uppgifter om elektronisk kommunikation ett antal kontroll- mekanismer och rättssäkerhetsgarantier.

För all användning av tvångsmedel gäller ändamålsprincipen, behovsprincipen och proportionalitetsprincipen. Tvångsmedlen får därmed endast användas för det ändamål som framgår av lagstift- ningen, om det finns ett påtagligt behov och en mindre ingripande åtgärd inte är tillräcklig samt om åtgärden står i rimlig proportion både till nyttan av åtgärden och till de intrång eller men som åtgär- den innebär.

Nyttan och behovet av uppgifter om elektronisk kommunikation i brottsbekämpande verksamhet

Det finns ett påtagligt behov av uppgifter om elektronisk kom- munikation för brottsbekämpningen och uppgifterna ger de brotts- bekämpande myndigheterna stor nytta. Det gäller samtliga de upp- gifter som ska lagras enligt förordningen (2003:396) om elektronisk kommunikation. Däremot är inte nyttan och behovet desamma för alla uppgifter och inte heller desamma över tid, eftersom beteende-

SOU 2017:75

Sammanfattning

mönster och teknik hela tiden förändras. Som exempel kan nämnas den minskade användningen av fast telefoni, den ökande använd- ningen av internet i mobiltelefoner samt en ökad användning av ip- telefoni genom mobilappar.

EU-rättens påverkan på reglerna om datalagring

Med anledning av att datalagringsdirektivet (2006/24) ogiltig- förklarades av EU-domstolen den 8 april 2014 (Digital Rights- domen) gav chefen för Justitiedepartementet en utredare i uppdrag att analysera konsekvenserna för den svenska lagstiftningen (Ds 2014:23). Som en uppföljning av analysen i departementsprome- morian gav regeringen en utredare i uppdrag att överväga ytterligare rättssäkerhets- och integritetsstärkande åtgärder bl.a. för reglerna om lagring av uppgifter om elektronisk kommunikation (SOU 2015:31). Den svenska lagstiftningen bedömdes i båda analyserna som förenlig med EU-rätten, även om vissa förslag på förändringar presenterades.

Tele2-domen och domen från Kammarrätten i Stockholm

Kammarrätten i Stockholm begärde ett förhandsavgörande av EU- domstolen med anledning av ett överklagat föreläggande från Post- och telestyrelsen mot ett lagringsskyldigt företag om att lagra upp- gifter om elektronisk kommunikation. EU-domstolen besvarade kammarrättens begäran genom Tele2-domen. EU-domstolen ansåg att direktiv 2002/58 är tillämpligt på de svenska reglerna om data- lagring, även avseende tillgång till uppgifterna. Artikel 15.1 i direk- tivet, som i viss utsträckning tillåter datalagring, ska enligt dom- stolen tolkas strikt och mot bakgrund av rättighetsstadgan. De svenska reglerna om datalagring bedömdes utgöra inskränkningar i rättigheterna enligt artiklarna 7, 8 och 11 i stadgan. Inskränkningar i rättigheterna får enligt EU-domstolen endast göras under vissa förutsättningar, däribland att de är proportionella och strängt nöd- vändiga. EU-domstolen uttalade vidare att en generell och odifferen- tierad lagring aldrig kan vara strängt nödvändig, inte ens för att bekämpa grov brottslighet. När det gäller tillgång till uppgifterna fastslog EU-domstolen att precisa krav måste föreskrivas, att tillgång endast får ges för att bekämpa grov brottslighet och att tillgången i

Sammanfattning

SOU 2017:75

princip bara får avse personer som på något sätt är inblandade i grov brottslighet. Tillgång ska enligt EU-domstolen som huvudregel ges först efter förhandskontroll av domstol eller annan oberoende myndighet och berörda ska informeras, så snart det inte längre skadar myndighetens utredningar. Därutöver uttalade domstolen att leverantörerna av elektroniska kommunikationstjänster måste garantera en särskilt hög skydds- och säkerhetsnivå genom lämpliga tekniska och organisatoriska åtgärder, uppgifterna måste förstöras när lagringstiden gått ut och lagringen måste ske inom unionen. EU- domstolens slutsatser är att EU-rätten utgör ett hinder för (1) en nationell lagstiftning som i brottsbekämpande syfte föreskriver en generell och odifferentierad lagring av samtliga trafikuppgifter och lokaliseringsuppgifter avseende samtliga abonnenter och registrerade användare och samtliga elektroniska kommunikationsmedel samt

(2) en nationell lagstiftning som inte begränsar tillgången till trafik- och lokaliseringsuppgifter till enbart åtgärder som syftar till att bekämpa grov brottslighet, inte föreskriver att tillgången ska vara underkastad förhandskontroll av en domstol eller en oberoende förvaltningsmyndighet och inte kräver att uppgifterna ska lagras inom unionen.

Med hänvisning till EU-domstolens dom upphävde kammar- rätten föreläggandet från Post- och telestyrelsen.

Internationell utblick

Flera länder har påbörjat analyser av Tele2-domen. I betänkandet redovisas gällande rätt och förändringsarbetet i Danmark, Finland, Tyskland, Belgien, Österrike och Portugal. Värt att notera är att över- synerna ännu inte lett till lagstiftning i något land.

Utredningens överväganden

EU-rätten

Av Tele2-domen framgår att EU-domstolen har ansett sig ha kom- petens även på området för lagring av och tillgång till datalagrade uppgifter för brottsbekämpande ändamål och för vitala intressen som nationell säkerhet och försvar (p. 65–81 och 119 i domen).

SOU 2017:75

Sammanfattning

Slutsatsen kan således dras att oavsett för vilket ändamål uppgif- terna används så är operatörernas lagring och myndigheternas till- gång till dessa uppgifter underkastade den reglering som följer av EU-rätten. Det innebär att oavsett om det är fråga om brotts- bekämpning som handhas av den öppna polisen, Tullverket eller Ekobrottsmyndigheten eller om det är fråga om Säkerhetspolisens brottsbekämpning så är datalagringsfrågan underkastad samma EU- rättsliga regelverk, låt vara att EU-domstolen öppnar för något mer tillåtande nationella regler när det gäller tillgång till uppgifter inom Säkerhetspolisens verksamhetsområde (p. 119 i domen).

Abonnemangsuppgifter omfattas inte av domen men av EU-rätten

EU-domstolens avgörande berör inte behandlingen av abonne- mangsuppgifter utan endast trafik- och lokaliseringsuppgifter. Att EU-domstolen inte berör abonnemangsuppgifter är naturligt efter- som de inte berörs i de artiklar i det direktiv (direktiv 2002/58) som tolkas av domstolen. EU-domstolens uttalanden av mer generellt slag om t.ex. inskränkningar i skyddet för personuppgifter är där- emot relevanta även för behandlingen av abonnemangsuppgifter. I utredningen har det väckts frågan om ip-adresser ändå ska anses omfattas av domen. Det skulle i så fall innebära att domens före- skrifter om t.ex. föregående domstolsprövning vid tillgång till infor- mation om vem som använt en ip-adress skulle bli tillämpliga. Även reglerna om att tillgång endast skulle kunna beredas de brotts- bekämpande myndigheterna vid grova brott skulle behöva beaktas. Som ovan angetts är det dock utredningens bedömning att ip- adresser (och andra abonnemangsuppgifter) inte omfattas av domen.

Det är nödvändigt att reformera svensk lagstiftning

EU-domstolen ställer strängare krav på datalagringen och tillgången till datalagrade uppgifter än vad svensk lag gör. De svenska reglerna måste därför anpassas. Härvid måste dock vissa motstående intressen beaktas. För det första måste beaktas att det brottsbekämpande intresset kräver en fungerande lagstiftning kring datalagring. Vissa brott med internet som arena skulle annars riskera att i praktiken bli

Sammanfattning

SOU 2017:75

helt straffria. För det andra måste beaktas våra internationella åtaganden. Var och en som vistas i Sverige har nämligen rätt att göra anspråk på att staten vidtar effektiva åtgärder för att skydda hans eller hennes säkerhet. I detta ligger att staten måste anstränga sig för att se till att brott förebyggs och utreds samt att gärningsmän ställs till svars för sina brottsliga handlingar. Staten har alltså en skyldighet att skydda enskildas privatliv och personliga integritet mot intrång som begås av andra enskilda och om intrång görs se till att brotten utreds. Det skulle inte vara förenligt med Sveriges åtaganden att inte ge de brottsbekämpande myndigheterna möjlighet att använda spåren från den elektroniska miljön.

Ingen generell och odifferentierad lagring som i dag

EU-domstolen fastslår att EU-rätten utgör hinder för en nationell lagstiftning som i brottsbekämpande syfte föreskriver en generell och odifferentierad lagring av samtliga trafikuppgifter och lokali- seringsuppgifter avseende samtliga abonnenter och registrerade användare och samtliga elektroniska kommunikationsmedel. Det framgår även av domskälen att utrymmet för att över huvud taget föreskriva lagring är begränsat. Frågan är då hur begränsat detta utrymme är. EU-domstolen delar upp sitt resonemang i denna fråga i två delar.

Den första delen handlar om generell lagring. EU-domstolen resonerar här kring den svenska lagstiftningen om datalagring och menar att den föreskriver en generell och odifferentierad lagring av samtliga trafikuppgifter och lokaliseringsuppgifter för samtliga abon- nenter och registrerade användare avseende samtliga elektroniska kommunikationsmedel och ålägger leverantörer av elektroniska kommunikationstjänster att systematiskt och kontinuerligt lagra dessa uppgifter, utan undantag. Domstolens slutsats, som avslutar det första ledet av resonemanget, är att den svenska lagringen över- skrider gränsen för vad som är strängt nödvändigt och därför står i strid med artikel 15.1 i direktivet jämförd med artiklarna 7, 8, 11 och 52.1 i stadgan. Domstolen har nu redovisat alla domskäl som behövs för domslutet i denna del. Domstolen fortsätter emellertid sina överväganden i en andra del av resonemanget. Denna andra del har ingen koppling till domslutet utan är närmast att se som ett obiter

SOU 2017:75

Sammanfattning

dictum (dvs. ett uttalande vid sidan om själva saken). Resonemanget här handlar om riktad lagring som ett exempel på en möjlig form av lagring. I denna del resonerar domstolen kring hur en sådan lagring skulle kunna vara utformad. Bland kraven på en riktad lagring märks särskilt att den berörda personkretsen måste vara avgränsad.

Utredningens bedömning är att det finns ett fortsatt utrymme för en begränsad lagringsskyldighet. Men lagringsskyldigheten måste göras mindre omfattande än i dag och anpassas till vad som är strängt nödvändigt.

Olika modeller för lagring

Det bör föreskrivas en viss begränsad och differentierad lagring. De övriga modeller för lagring som kan tänkas (riktad lagring, bevarande- föreläggande, lagring av senaste aktivitet och bibehållen lagring med kryptering eller maskering) är behäftade med sådana svagheter att de inte är rimligt att föreskriva någon av dem i stället.

En begränsad lagringsskyldighet

Utredningens förslag innebär att nuvarande modell för lagrings- skyldigheten reformeras kraftigt för telefonitjänst och meddelande- hantering samt i viss utsträckning för internetåtkomst. Genom de föreslagna förändringarna blir lagringsskyldigheten inte längre gene- rell; en stor del av trafikuppgifterna kommer inte att omfattas av skyldigheten liksom alla lokaliseringsuppgifter som inte är trafik- uppgifter. Lagringen blir därmed undantag och inte huvudregel (Tele2-domen p. 104). Dessutom blir lagringsskyldigheten differen- tierad genom att den anpassas till att omfatta endast de uppgifter som är strängt nödvändiga att lagra för att bekämpa grov brottslig- het, med beaktande av nytta, behov, integritet och proportionalitet (Tele2-domen p. 105). Samtidigt differentieras lagringstiderna ut- ifrån skillnader i behov och uppgifternas integritetskänslighet.

Förslaget innebär att integritetsintrånget för abonnenterna blir lägre men även att möjligheterna att förebygga, förhindra och utreda brott i vissa fall torde försämras.

Sammanfattning

SOU 2017:75

Redaktionella ändringar och teknikneutralitet

Utredningen föreslår att lagringsskyldigheten delas upp i två delar, dels telefonitjänst och meddelandehantering, dels internetåtkomst. Bestämmelserna görs teknikneutrala. Det betyder bl.a. att opera- törernas användning av NAT-teknik (en teknik för att tillåta att flera abonnenter delar på en och samma publika ip-adress) inte påverkar möjligheterna till identifiering av abonnenten.

Telefonitjänst och meddelandehantering

För telefonitjänst och meddelandehantering föreslås att endast upp- gifter om kommunikation via en mobil nätanslutningspunkt ska lagras. Det betyder att det inte kommer att lagras några uppgifter vid telefoni eller meddelandehantering som sker inom det fasta telefoni- nätet eller genom fasta internetanslutningar. Om någon av parterna kommunicerar via en mobil nätanslutningspunkt kommer däremot information att lagras, men bara hos den partens operatör. Trafik- uppgifter ska fortfarande lagras. Men lagringsskyldigheten begränsas till uppgifter om vem som kontaktat vem (nummer och abonnent samt för telefonitjänst även abonnemangsidentitet och utrustnings- identitet) och vid vilken tidpunkt. Uppgifter om ip-adress ska i sig inte lagras vid telefonitjänst och meddelandehantering. Uppgift om vilken tjänst som använts, tid för på- och avloggning i tjänsten och uppgift om utrustning där kommunikationen vid ip-telefoni slutligt avskiljs (se dock nedan om internetåtkomst) ska inte omfattas av lagringsskyldigheten. Lokaliseringsuppgifter ska fortfarande lagras vid ett samtals början och slut. Men precis som tidigare ska inga andra lokaliseringsuppgifter lagras. För förbetalda anonyma tjänster (dvs. oregistrerade kontantkort) ska uppgift om kommunikations- utrustning och första aktivering fortfarande lagras. Lagringsskyldig- heten ska fortfarande omfatta misslyckade uppringningar, t.ex. obesvarade samtal – men inte samtal som inte kopplas fram.

SOU 2017:75

Sammanfattning

Internetåtkomst

För internetåtkomst föreslår utredningen att lagringsskyldigheten ska omfatta uppgifter som gör det möjligt att identifiera abonnenten eller den registrerade användaren. Därmed ska det lagras ip-adress och annan teknisk uppgift som är nödvändig för att identifiera abonnen- ten eller den registrerade användaren, tidsuppgifter för på- och av- loggning i tjänsten som ger internetåtkomst, uppgifter om abonnent och registrerad användare och uppgifter som identifierar utrust- ningen där kommunikationen slutligt avskiljs. Det ska däremot inte längre finnas någon skyldighet att lagra uppgifter om anslutnings- kapacitet.

Inget undantag för personer med tystnadsplikt

Det bör inte införas något undantag från lagringen för personer med tystnadsplikt. Datalagringsutredningens förslag om att införa en förstörandeskyldighet för uppgifter som omfattas av yrkesmässig tystnadsplikt bör övervägas.

Lagringskyldighetens ramar bör framgå av lag

Lagringsskyldighetens yttre ramar bör framgå av lag och de mer detaljerade föreskrifterna av förordning. I viss utsträckning bör regeringen kunna delegera denna föreskriftsrätt.

En differentierad lagringstid

Det ska i lag anges att de uppgifter som omfattas av lagringsskyldig- heten ska lagras den tid regeringen föreskriver dock som längst i tio månader räknat från den dag då kommunikationen avslutades. Reger- ingen ska föreskriva följande. Lokaliseringsuppgifter vid samtal ska lagras i två månader. Uppgifter om internetåtkomst, förutom upp- gifter som identifierar utrustningen där kommunikationen slutligt avskiljs, ska lagras i tio månader. Övriga uppgifter ska lagras i sex månader.

Sammanfattning

SOU 2017:75

Tillgången till trafik- och lokaliseringsuppgifter

Endast för att bekämpa grov brottslighet

Tillgång till lagrade trafik- och lokaliseringsuppgifter ska endast ges för bekämpning av grov brottslighet. Med grov brottslighet avses samma kategorier av brott som i dag möjliggör hemlig övervakning av elektronisk kommunikation och inhämtning av uppgifter om elektronisk kommunikation i de brottsbekämpande myndigheternas underrättelseverksamhet. Svensk rätt är således förenlig med EU- rätten i detta hänseende.

Tillgång bara till uppgifter om personer som på något sätt är inblandade i brott – som huvudregel

Tillgång till lagrade uppgifter kan enligt domstolen i princip bara beviljas till uppgifter om personer som misstänks planera, begå eller ha begått ett allvarligt brott eller på något sätt vara inblandade i ett sådant brott. I vissa fall kan tillgång ges även till uppgifter om andra personer. De svenska reglerna om tillgång till uppgifter uppfyller EU-rättens krav i detta hänseende.

Förhandskontroll av domstol eller oberoende myndighet

EU-rätten kräver att de brottsbekämpande myndigheternas tillgång till datalagrade uppgifter, utom i motiverade brådskande fall, ska föregås av en kontroll av domstol eller en oberoende myndighet. Det svenska regelverket uppfyller detta krav utom vid inhämtning av uppgifter om elektronisk kommunikation i underrättelseverksamhet. Utredningen föreslår därför att åklagare utses som oberoende myndighet att fatta beslut om sådan inhämtning efter ansökan av Polismyndigheten, Säkerhetspolisen eller Tullverket.

Information till de berörda

EU-domstolen fastslår att EU-rätten kräver att de myndigheter som har beviljats tillgång till lagrade uppgifter, enligt tillämpliga natio- nella bestämmelser, informerar de berörda personerna om detta så

SOU 2017:75

Sammanfattning

snart en sådan upplysning inte längre riskerar att skada myndig- heternas utredningar. De svenska reglerna om information till de berörda uppfyller EU-rättens krav i detta hänseende.

Tillgången ska avse även uppgifter som lagras för operatörernas egna ändamål

De brottsbekämpande myndigheternas tillgång till uppgifter om elektronisk kommunikation ska alltjämt avse inte bara de uppgifter som sparas enligt datalagringsreglerna utan också den information som sparas för operatörernas egna ändamål, t.ex. uppgifter som behövs för fakturering.

Tillgången till abonnemangsuppgifter

Som nämns ovan omfattar inte Tele2-domen behandling av abonne- mangsuppgifter. Med den breda omfattning som skyddet för privat- liv har, får tillgången till abonnemangsuppgifter ändå anses innebära ett ingrepp i skyddet enligt Europakonventionen och rättighets- stadgan. Det krävs därför att tillgången är begränsad till vad som är strängt nödvändigt och proportionerligt i ett demokratiskt samhälle. Sammantaget är det utredningens bedömning att varken EU-dom- stolens dom eller Sveriges internationella åtaganden ger anledning att förändra förutsättningarna för de brottsbekämpande myndigheternas tillgång till uppgifter om abonnemang.

Skydds- och säkerhetsnivåer, lagring inom Sverige och utplåning

Uppgifterna som omfattas av lagringsskyldigheten ska inte få lagras utanför Sverige. EU-domstolen anger i och för sig endast att den nationella lagstiftningen måste föreskriva att datalagrade uppgifter inte ska få lagras utanför unionen. Genom att lagringen begränsas till Sverige uppnås emellertid en mer potent tillsyn samtidigt som både enskilda personers konfidentialitet och nationell säkerhet skyddas på ett bättre sätt. Eftersom den nu aktuella frågan rör centrala intressen

Summary

SOU 2017:75

Sweden’s Instrument of Government, the European Convention on Human Rights and the Charter of Fundamental Rights of the EU.

Privacy protection in electronic communications

To ensure full respect for the right to private life and the right to protection of personal data in the electronic communications sector, the EU adopted Directive 2002/58. This Directive requires member states to, for example, ensure confidentiality in electronic com- munications and associated traffic data. Data that are no longer needed must, under the Directive, be destroyed or de-identified. However, the member states may make exceptions to these obligations if it is necessary for e.g. crime fighting activities. The Directive has been implemented in Swedish law mainly through provisions in the Electronic Communications Act (2003:389).

Crime fighting

Crime fighting activities consist of two main parts: intelligence and investigative work. Intelligence activities focus mainly on revealing whether particular crimes, not specified in detail, have taken or are taking place, or may be expected to be committed. One overall goal of intelligence work is to supply law enforcement agencies with knowledge that can be brought to bear in their operations. Investigative activity, in contrast, is based on an event that has already occurred. The agency’s task is to find out, often in a preliminary investigation, whether crimes have been committed and, if so, who may be reasonably suspected of committing them, and to obtain enough material to assess the question of whether to prosecute.

In both criminal investigation and intelligence work, secret coercive measures are used. One such measure relevant to the issue of data retention is secret monitoring of electronic communications, which is regulated by the Swedish Code of Judicial Procedure. In addition, there are coercive measures under the Act (1991:572) concerning Special Controls in Respect of Aliens and the Act (2007:979) on the Use of Measures to Prevent Certain Serious Crimes that are applicable in intelligence activities. Data retrieval under the Act (2012:278) on Acquiring Information about Electronic

Summary

SOU 2017:75

Current regulation of data access

How public agencies can access the data covered by the obligation to retain – and other data processed in their work, for example owing to billing requirements – depends on what type of information is involved and the purpose for which access is requested. For traffic and location data, access is regulated in the Code of Judicial Procedure and the Act (2012:278) on Gathering of Data relating to Electronic Communications as Part of Intelligence Gathering by Law Enforcement Authorities. In addition, there are the Act (1991:572) concerning Special Controls in Respect of Aliens and the Act (2007:979) on Measures to Prevent Certain Particularly Serious Crimes, which refer to the provisions of the Code of Judicial Procedure. Access to subscription data has not been considered to be a secret coercive measure, and is regulated directly in the Electronic Communications Act (2003:389).

Access to traffic and location data in the criminal investigative process requires court decisions and is possible only in cases of serious crime. In intelligence activities, access to traffic data is more limited but, as a main rule, does not require court decisions. Access to subscription data does not require any court decision; the decision is taken by the law enforcement agency itself. Nor is the crime required to be of a particular degree of seriousness.

To protect individuals’ data privacy and maintain a high level of legal certainty, the regulations governing public agencies’ access to electronic communications data contain a number of control mechanisms and guarantees of legal certainty.

For all use of coercive measures, the principles of purpose, need and proportionality apply. Consequently, the coercive measures may be used only for the purpose specified in the legislation, if there is an obvious need and a smaller intervention measure is insufficient. In addition, the measure must be in reasonable proportion to both the benefit resulting from, and the intrusion or harm entailed by, the measure.

SOU 2017:75

Summary

Benefit of and need for electronic communication data in crime fighting

To combat crime, there is an obvious need for data on electronic communications, and these data are immensely useful to law enforcement agencies. This applies to all data to be retained pursuant to the Electronic Communications Ordinance (2003:396). However, benefit and need are not the same for all data, nor constant over time, since behaviour patterns and technology are constantly changing. Examples are the decline of fixed telephony, growing Internet access in mobile phones and increased use of IP telephony through mobile apps.

Impact of EU law on data retention rules

The EU Data Retention Directive (2006/24/EC) was annulled by the CJEU on 8 April 2014 (the Digital Rights judgment) and, for this reason, the head of the Ministry of Justice tasked an investigator with analysing the implications for Swedish legislation (Ministry Publication Series, Ds 2014:23). To follow up the analysis in the departmental memorandum, the Government instructed a special investigator to consider further measures to boost legal certainty and data privacy for such rules as those on retention of data concerning electronic communication (Swedish Government Official Report, SOU 2015:31). In both analyses, the Swedish legislation was judged to be compatible with EU law, although some reform proposals were presented.

The Tele2 judgment and the Administrative Court of Appeal in Stockholm judgment

The Administrative Court of Appeal in Stockholm requested a preliminary ruling by the CJEU on an injunction, which had been appealed, from the Swedish Post and Telecom Authority against a company obliged to retain data about storing data on electronic communication. The CJEU’s response to the request was the Tele2 judgment. The CJEU considered Directive 2002/58 to be applicable to the Swedish rules on data retention, with respect to data access as

Summary

SOU 2017:75

well. According to the CJEU, Article 15.1 of the Directive, which to some extent allows data retention, should be interpreted strictly and in light of the Charter of Fundamental Rights. The Swedish rules on data retention were judged to constitute restrictions on the rights under Articles 7, 8 and 11. According to the CJEU, restrictions on rights may be imposed only under certain conditions, including their being proportionate and strictly necessary. The CJEU further stated that general and indiscriminate retention can never be strictly necessary – not even to fight serious crime. Regarding access to data, the Court states that precise requirements must be prescribed, that access may be given only for the purpose of fighting serious crime and that access may, in principle, relate only to people involved in some way in serious crime. According to the Court, access should, as a main rule, be granted only after prior judicial review by a court or other independent agency, and the people concerned should be informed as soon as this is no longer detrimental to the agency’s investigations. In addition, the Court states that providers of electronic communications services must guarantee a particularly high level of protection and security through appropriate technical and organisational measures; that the data must be destroyed when the retention period expires; and that the data must be stored in the EU. The CJEU’s conclusions are that EU law precludes (1) national legislation which, for the purpose of fighting crime, provides for general and indiscriminate retention of all traffic and location data of all subscribers and registered users relating to all means of electronic communication and (2) national legislation that does not restrict access to traffic and location data solely to fighting serious crime, where access is not subject to prior review by a court or an independent administrative authority, and where there is no require- ment that the data concerned should be retained within the European Union.

With reference to the CJEU’s judgment, the Administrative Court of Appeal suspended the injunction from the Swedish Post and Telecom Authority.

SOU 2017:75

Summary

International outlook

Several countries have started analysing the Tele2 judgment. The Commission’s report gives an account of current law and reform under way in Denmark, Finland, Germany, Belgium, Austria and Portugal. It is worth noting that these reviews have not yet led to legislation in any country.

The Commission’s considerations

EU law

The Tele2 judgment shows that the CJEU has deemed its own legal competence to include retention of and access to electronically retained data for the purpose of preventing crime, and also vital interests such as national security and defence (pp. 65–81 and 119 of the judgment). The conclusion may thus be drawn that, regardless of the purpose for which the data are used, the operators’ retention of and the agencies’ access to these data are subject to the rules pursuant to EU law. This means that, irrespective of whether the crime fighting is pursued by the Police Authority, Swedish Customs, the Swedish Economic Crime Authority or the Swedish Security Service, the issue of data retention is subject to the same EU legal framework, although the CJEU allows slightly more leeway for national rules regarding access to data in the Security Service’s area of operations (p. 119 of the judgment).

Subscription data excluded from judgment but covered by EU law

The CJEU’s decision does not concern processing of subscriber data, but only traffic and location data. The fact that the Court does not touch on subscription data is natural since they are not dealt with in the articles of the Directive (2002/58) that the Court interprets. The Court’s more general statements on, for example, limitations on protection of personal data are, on the other hand, also relevant to processing of subscription data. In the Commission, the question has been raised of whether IP addresses should nevertheless be regarded as covered by the judgment. If so, it would

Summary

SOU 2017:75

mean that the provisions in the judgment concerning prior review by a court or an independent administrative authority when there is access to information on who has used an IP address, for example, would be applicable. The rules that access might be made available to law enforcement agencies only in cases of serious crime would also need to be considered. As stated above, however, the Commission’s view is that neither IP addresses nor any other subscription data are covered by the judgment.

Necessity of Swedish legislative reform

The CJEU imposes more stringent requirements than Swedish law on data retention and access to electronically retained data. The Swedish rules must therefore be reformed. However, certain opposed interests must be considered. First, it must be taken into account that the interest of law enforcement calls for effective legislation on data retention. Otherwise, there would be a risk of complete impunity in practice for certain crimes with the Internet as their arena. Second, our international commitments must be taken into account. Every single resident in Sweden is entitled to demand effective measures by the state to protect his or her safety. Accordingly, the state must strive to ensure that crime is prevented and investigated, and that perpetrators are held accountable for their criminal acts. The state thus has an obligation to protect individuals’ private life and data privacy against intrusions by other individuals and, in the event of intrusions, ensure that these crimes are investigated. Failing to enable law enforcement agencies to effectively collect evidence in the electronic environment would not be compatible with Sweden’s commitments.

No general and indiscriminate retention as at present

The CJEU has stated that the EU law constitutes an obstacle to national legislation that, for crime fighting purposes, prescribes general and indiscriminate retention of all traffic and location data concerning all subscribers and registered users, and for all electronic means of communication. It is also clear from the grounds for the judgment that the scope for generally prescribing retention is limited.

SOU 2017:75

Summary

The question is then how limited this scope is. The CJEU sets out its reasoning on this issue in two sections.

The first section of the reasoning is about general retention. Here, in considering Swedish legislation on data retention, the CJEU takes the view that existing legislation provides for general and indiscriminate retention of all traffic and location data of all subscribers and registered users relating to all means of electronic communication and that it imposes on providers of electronic communications services an obligation to retain that data syste- matically and continuously, with no exceptions. The Court’s conclusion, at the end of the first section of its reasoning, is that Swedish retention exceeds the limit of what is strictly necessary and therefore contravenes Article 15.1 of the Directive, compared with Articles 7, 8, 11 and 52.1 in the Charter of Fundamental Rights. The Court has now stated all the grounds required for its ruling in this section.

Nevertheless, the Court continues its considerations in a second section of the reasoning. This second part has no connection with the ruling; instead, it may almost be seen as an obiter dictum (i.e. an incidental expression of opinion outside the scope of the case). Here, the reasoning is about targeted data retention as an example of a retention compatible with the EU-law. In this part, the Court presents arguments on the possible nature of such data retention. Among the requirements for a targeted retention, the fact that the circle of individuals concerned must be limited is especially notable.

The Commission’s assessment is that scope for a limited retention obligation remains, but that the obligation must be made less extensive than today and adapted to what is strictly necessary.

Various retention models

A limited and differentiated retention should be prescribed. The other possible retention models (targeted data retention, data preservation, retention of the latest activity and continued data retention with encryption or anonymization) entail such weaknesses that it is not reasonable to prescribe any of them instead.

Summary

SOU 2017:75

Limited retention obligation

The Commission’s proposal involves a radical reform of the current model for the retention obligation for telephony, messaging and, to a certain extent, Internet access. Owing to the proposed changes, the obligation will no longer be general; much of the traffic data, as well as all location data that are not traffic data, will not be subject to the obligation. Retention will thus become the exception, not the rule (Tele2 judgment p. 104). In addition, the obligation to retain data will be differentiated by being adapted to cover only data that are strictly necessary to retain for fighting serious crime, taking useful- ness, needs, data privacy and proportionality into account (Tele2 judgment p. 105). At the same time, retention periods will be differentiated on the basis of divergent needs and differing sensi- tivity in terms of privacy.

The proposal means that the infringement on subscribers’ privacy would be reduced, but that scope for obstructing, preventing and investigating crime may also, in some cases, be impaired.

Editorial changes and technology neutrality

The Commission recommends dividing the retention obligation into two parts: (1) telephony and messaging and (2) Internet access. The rules should be made technology-neutral. One implication of that is that operators’ use of NAT technology (which allows subscribers to share the same public IP address) would not affect the scope for identifying subscriber.

Telephony and messaging

For telephony and messaging, the proposal is that only data on communications via a mobile network access point should be retained. This means that no data would be retained on telephony or messaging that takes place in the fixed-line (landline) telephone network or through fixed Internet access. On the other hand, information will be retained if one of the parties communicates via a mobile network access point, but only at that party’s service provider.

SOU 2017:75

Summary

Traffic data will still be retained; but the obligation to retain will be limited to data on who contacted whom (number and subscriber, and for telephony also subscription and equipment numbers) and at what time. Data on IP addresses should not be retained for tele- phony and messaging. The same applies to data on which service has been used, time of logging into and out of the service and data identifying the equipment where the communication with IP telephony is finally separated to the subscriber (see below on Internet access, however). Location data at the beginning and end of a call will still be retained but, as before, no other location data will be retained. For prepaid anonymous services (i.e. unregistered prepaid phone cards), information about communication equipment and initial activation will still be retained. The retention obligation should still include missed (such as unanswered) calls, but not those that fail to get connected.

Internet access

For Internet access, the Commission proposes that the retention obligation should include data that make it possible to identify the subscriber or registered user. Accordingly, the following data should be retained: IP address and other technical data necessary to identify the subscriber or registered user, time data for logging in and out of the service providing Internet access, subscriber information, and data identifying the equipment where the communication is finally separated to the subscriber. However, the Commission suggests that there should no longer be any obligation to retain connection capacity data.

No exception for people bound by professional secrecy

No exceptions to retention should be introduced for people obliged to follow professional secrecy rules. The Data Retention Com- mission’s proposal to impose an obligation to destroy data subject to professional secrecy rules should be considered.

Summary

SOU 2017:75

Limits of retention obligation to be clarified by law

The outer limits of the retention obligation should be made clear by law and the more detailed regulations in an ordinance by the Government. To some extent, the Government should be able to delegate the power to issue the necessary ordinance.

Differentiated retention periods

It should be specified in law that the data subject to the retention obligation should be stored for the period prescribed by the Government, but not exceeding ten months from the date when the communication ended. The Government shall prescribe the following. Location data for calls should be stored for two months. Data on Internet access, except for data identifying the equipment where the communication is finally separated to the subscriber, should be retained for ten months. Other data should be retained for six months.

Access to traffic and location data

Only for prevention of serious crime

Access to retained traffic and location data should be given only for prevention of serious crime. ‘Serious crime’ refers to the same categories of crime for which secret surveillance of electronic com- munications is currently permitted and also for retrieval of data on electronic communications in the law enforcement agencies’ intelligence activities. Swedish law is thus compatible with EU law in this respect.

Access only to data on people involved in some way in crime – as a main rule

Access to retained data may in principle, according to the Court, be granted only for data on people suspected of planning, committing or having committed a serious crime or being implicated in one way or another in such a crime. In some cases, access may also be granted

SOU 2017:75

Summary

for data on other people. The Swedish rules on access to data comply with EU legal requirements in this respect.

Prior review by a court or by an independent administrative body

EU law requires that access by law enforcement agencies to retained data, except in justified urgent cases, be preceded by a prior review by a court or by an independent administrative body. The Swedish regulations meet this requirement except for access to retained data in intelligence activities. The Commission therefore proposes that prosecutors shall be appointed as an independent administrative body to decide on such access following an application by the Police Authority, Security Service or Customs.

Information for those concerned

The CJEU states that EU law requires the public agencies that have been granted access to retained data, according to applicable national regulations, to inform the people affected about this as soon as there is no longer a risk of such information being detrimental to the agencies’ investigations. The Swedish rules on information for those concerned meet the requirements of EU law in this respect.

Access to include data stored for operators’ own purposes

Law enforcement agencies’ access to data on electronic com- munications should continue to include not only the data retained under data retention rules, but also information stored for the operators’ own purposes, such as information needed for billing.

Access to subscription data

As mentioned above, the Tele2 judgment does not cover processing of subscription data. With the broad scope of privacy protection, access to subscription data may nonetheless be thought to involve an interference with the protection under the European Convention on Human Rights and the Charter of Fundamental Rights. It is there-

Summary

SOU 2017:75

fore essential for access to be limited to what is strictly necessary and proportionate in a democratic society. Overall, the Commission’s view is that neither the CJEU’s judgment nor Sweden’s international commitments provide any reason to change the requirements for the law enforcement agencies’ access to subscription data.

Protection and security levels, retention in Sweden and destruction

The data subject to the retention obligation should not be allowed to be stored outside Sweden. The CJEU states only that national legislation must prescribe that electronic data storage may not take place outside the EU. However, confining the retention to Sweden would enable more effective supervision while improving protection of both individuals’ confidentiality and national security. Since the matter now in question concerns crucial state interests, there are no EU legal barriers to prescribing that storage takes place only in Sweden.

The rules on protection and security levels, and also those on data destruction, comply with the requirements of EU law.

Impact and implementation

The proposals for a reformed retention obligation, prohibition of retention outside Sweden and advance review of decisions pursuant to the Act (2012:278) on Acquiring Information about Electronic Communication in the Law Enforcement Agencies’ Intelligence Activities will strengthen protection for privacy and personal data. The recommended reform of the retention obligation may possibly mean that the law enforcement agencies’ capacity for crime fighting is impaired to some extent, but should not mean that crime will increase. The environment will not be affected by the proposals. The proposal on prior review of decisions pursuant to the Act (2012:278) on Acquiring Information about Electronic Communication in the Law Enforcement Agencies’ Intelligence Activities means that the Swedish Prosecution Authority will need a larger annual appro- priation (SEK 1 million) and a lump sum (SEK 3 million) that should be financed by reducing appropriations for the Police Authority

1 Författningsförslag

1.1Förslag till

lag om ändring i lagen (2003:389) om elektronisk kommunikation

Härigenom föreskrivs att 6 kap. 16 d § lagen (2003:389) om elektronisk kommunikation ska ha följande lydelse.

Nuvarande lydelse	Föreslagen lydelse
16 d §1
Uppgifter som avses i 16 a §	Uppgifter som avses i 16 a §
ska lagras i sex månader räknat	ska lagras den tid regeringen
från den dag kommunikationen	föreskriver dock som längst i tio
avslutades. Vid utgången av den-	månader räknat från den dag
na tid ska den lagringsskyldige	kommunikationen avslutades.
genast utplåna dem, om annat	Vid utgången av denna tid ska
inte följer av andra stycket.	den lagringsskyldige genast ut-
	plåna dem, om annat inte följer
	av andra stycket.

Om uppgifter som avses i första stycket begärts utlämnade före utgången av den föreskrivna lagringstiden men uppgifterna inte har hunnit lämnas ut, ska den lagringsskyldige lagra uppgifterna till dess så har skett och därefter genast utplåna de lagrade uppgifterna.

Denna lag träder i kraft den 1 december 2018.

1 Senaste lydelse 2012:127.

Författningsförslag

SOU 2017:75

1.2Förslag till

lag om ändring i lagen (2012:278) om inhämtning av uppgifter om elektronisk kommunikation i de brottsbekämpande myndigheternas underrättelseverksamhet

Härigenom föreskrivs att 4–6 §§ lagen (2012:278) om inhämtning av uppgifter om elektronisk kommunikation i de brottsbekämpande myndigheternas underrättelseverksamhet ska ha följande lydelse.

Nuvarande lydelse				Föreslagen lydelse
			4 §
Beslut	om inhämtning		av	Beslut	om	inhämtning av
uppgifter fattas av myndigheten.				uppgifter fattas av åklagare efter
Myndighetschefen får		delegera		ansökan	av	Polismyndigheten,
rätten att fatta beslut om in-				Säkerhetspolisen eller Tullverket.
hämtning till en annan anställd
vid myndigheten som har den
särskilda	kompetens,	utbildning
och erfarenhet som behövs.
Den som rätten att fatta beslut
har delegerats till, får inte fatta
beslut om inhämtning i sådan
operativ	verksamhet	som	han

eller hon deltar i.

5 §

I ett beslut om inhämtning av uppgifter ska det anges vilken brotts- lig verksamhet och vilken tid beslutet avser samt vilket telefonnum- mer eller annan adress, vilken elektronisk kommunikationsutrustning eller vilket geografiskt område beslutet avser. Tiden får inte bestäm- mas längre än nödvändigt och får, när det gäller tid som infaller efter beslutet, inte överstiga en månad från dagen för beslutet.

Om det inte längre finns skäl	Om det inte längre finns skäl
för ett beslut om inhämtning av	för ett beslut om inhämtning av
uppgifter, ska beslutet omedel-	uppgifter, ska beslutet omedel-
bart hävas.	bart hävas av den ansökande
	myndigheten.

Författningsförslag

SOU 2017:75

1.3Förslag till

förordning om ändring i förordningen (2003:396) om elektronisk kommunikation

Härigenom föreskrivs i fråga om förordningen (2003:396) om elektronisk kommunikation2

dels att 42 och 43 §§ ska upphöra att gälla,

dels att 37–41 och 44 §§ ska ha följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

37 §3

Den som är skyldig att lagra uppgifter enligt 6 kap. 16 a § lagen (2003:389) om elektronisk kommunikation ska vidta de åtgärder som krävs för att säkerställa att de lagrade uppgifterna är av samma kvalitet och föremål för samma säkerhet och skydd som vid den behandling som skett före lagringen.

Den lagringsskyldige ska vidta de åtgärder som krävs för att skydda uppgifterna mot oavsiktlig eller otillåten förstöring och oavsiktlig förlust eller ändring. Sådana åtgärder ska även vidtas för att förhindra otillåten lagring, behandling av eller tillgång till och otillåtet avslöjande av uppgifterna. Uppgifterna får göras tillgäng- liga endast för personal med särskild behörighet.

Uppgifterna får inte lagras utanför Sverige.

Post- och telestyrelsen får, efter att ha hört Polismyndigheten, Säkerhetspolisen och Datainspektionen, meddela närmare före- skrifter om de åtgärder som ska vidtas enligt första och andra styckena.

38 §4

För att fullgöra lagrings-	För att fullgöra lagrings-
skyldigheten i 6 kap. 16 a § lagen	skyldigheten i 6 kap. 16 a § lagen
(2003:389) om elektronisk kom-	(2003:389) om elektronisk kom-

2Senaste lydelse av

42§ 2012:128

43§ 2012:128.

3Senaste lydelse 2014:1270.

4Senaste lydelse 2012:128.

SOU 2017:75 Författningsförslag

munikation ska den lagrings-			munikation ska den lagrings-
skyldige lagra de uppgifter som			skyldige lagra de uppgifter som
anges i 39–43 §§.			anges i 39 och 40 §§.
		39 §5
När det gäller		telefonitjänst	När det gäller internetåtkomst
ska följande lagras:			ska följande lagras:
1. uppringande nummer,			1. användares		ip-adress			och
			annan uppgift som är nödvändig
			för att identifiera abonnent och
			registrerad användare,
2. uppringt nummer och num-			2. uppgifter om abonnent och
mer som samtalet styrts till,			registrerad användare,
3. uppgifter	om	uppringande	3. datum och		spårbar		tid	för
och uppringd abonnent och, i			på- och avloggning i tjänsten som
förekommande	fall,	registrerad	ger internetåtkomst, och
användare,
4. datum och spårbar tid då			4. uppgifter	som identifierar
kommunikationen påbörjades och			den utrustning där kommuni-
avslutades, och			kationen slutligt avskiljs från den
5. uppgifter	om den eller de		lagringsskyldige	till		den enskilda
tjänster som har använts.			abonnenten.
			Om den som slutligt avskiljer
			kommunikationen till den en-
			skilda abonnenten är någon som
			inte omfattas	av		6 kap.	16 a §
			lagen (2003:389) om elektronisk
			kommunikation,			ska	första
			stycket 4 gälla	för		den som		av-

skiljer kommunikationen till den som slutligt avskiljer kommuni- kationen till den enskilda abon- nenten.

5 Senaste lydelse 2012:128.

1. uppgifter som avses i 39 § första stycket 1–3 ska lagras i tio månader,

Författningsförslag SOU 2017:75

		40 §6
När det gäller telefonitjänst			När	det	gäller			telefonitjänst
via en mobil nätanslutnings-			och meddelandehantering							via	en
punkt ska, utöver det som anges i			mobil	nätanslutningspunkt							ska
39 §, följande lagras:			följande lagras:
1. uppringandes och uppringds			1. uppringande					och uppringt
abonnemangsidentitet	och	utrust-	nummer eller motsvarande adress,
ningsidentitet,			2. såvitt		avser				telefonitjänst
2. lokaliseringsuppgifter		för
kommunikationens	början och		uppringandes och uppringds abon-
slut, och			nemangsidentitet					och		utrust-
			ningsidentitet,
3. datum, spårbar tid och loka-			3. uppgifter			om		abonnent			och
liseringsuppgifter för	den	första	registrerad användare som upp-
aktiveringen av en förbetald ano-			gifterna i 1 och 2 kan hänföras till,
nym tjänst.			4. datum		och		spårbar			tid	då
			kommunikationen påbörjades och
			avslutades eller				ett		meddelande
			skickades och mottogs,
			5. såvitt		avser				telefonitjänst
			lokaliseringsuppgifter						då kommu-
			nikationen påbörjades och avslu-
			tades, och
			6. datum, spårbar tid och loka-
			liseringsuppgifter				för		den	första
			aktiveringen av en förbetald ano-
			nym tjänst.
		41 §7
När det gäller telefonitjänst			Med	stöd		av		6 kap.		16 d §
som använder ip-paket för över-			lagen (2003:389) om elektronisk
föring ska, utöver det som anges i			kommunikation förordnas att:
39 och 40 §§, följande lagras:

1. uppringandes och uppringds ip-adresser,

6Senaste lydelse 2012:128.

7Senaste lydelse 2012:128.

Utredningens uppdrag och arbete

SOU 2017:75

särskilt skydd behövs för uppgifter som omfattas av yrkesmässig tystnadsplikt.

I direktiven uppmärksammar regeringen vidare att EU-domstolen i Tele2-domen uttalat sig om skyddet och säkerheten för de lagrade uppgifterna, däribland att leverantörerna av elektroniska tjänster måste garantera en särskilt hög skydds- och säkerhetsnivå, att den nationella lagstiftningen måste föreskriva att lagringen sker inom unionen, att uppgifterna oåterkalleligen förstörs när lagringstiden gått ut samt att det utförs kontroll av en oberoende myndighet.

Mot denna bakgrund ska utredningen enligt direktiven analysera hur reglerna om lagring av uppgifter enligt 6 kap. 16 a § LEK och 39– 43 §§ FEK, reglerna om tillgång till de lagrade uppgifterna samt reglerna om skydd av och säkerhet för dessa uppgifter förhåller sig till EU-domstolens dom. Därutöver ska utredningen överväga olika alternativ till förändringar i de delar reglerna inte är förenliga med domen, belysa fördelar och nackdelar med alternativen samt föreslå författningsändringar och andra åtgärder som behövs.

I uppdraget ingår även en internationell utblick. Utredaren ska redovisa gällande rätt och pågående arbete i Finland och Danmark och de övriga länder som bedöms vara relevanta. Vidare ska utredaren följa arbetet på EU-nivå.

Utredaren får enligt direktiven ta upp sådana närliggande frågor som har samband med de frågeställningar som ska utredas. Exempel på en sådan fråga är vilken efterhandskontroll som bör finnas samt om någon myndighet bör ha tillsyn över att uppgifter om elek- tronisk kommunikation lämnas ut på ett korrekt sätt.

2.2Utredningsarbetet

Uppdraget har inrymt överväganden inom ett mycket komplext område, både juridiskt och tekniskt. Det har dessutom utförts under stor skyndsamhet eftersom det har varit angeläget att snabbt få en reglering på plats som är förenlig med de uttalanden som EU-dom- stolen gjort i Tele2-domen. Utredningen har haft flera samman- träden med de förordnade experterna. Därutöver har utredningen haft ett separat möte med experter från Polismyndigheten, Säker- hetspolisen och Tullverket, för att närmre utreda myndigheternas behov av lagrade uppgifter om elektronisk kommunikation. I samma

SOU 2017:75

Utredningens uppdrag och arbete

syfte har studiebesök genomförts hos Åklagarmyndigheten, Polis- myndigheten och Säkerhetspolisen. Utredningen har även haft sammanträden med en grupp företrädare från it- och telekomföre- tagen. Gruppen har utformats av branchorganisationen IT&Telekom- företagen och bestått av företrädare från branchorganisationen samt från Bahnhof, Comhem, Hi3G, Tele2, Telenor och Telia. Utred- ningen har även haft kontakt med personer som arbetar med mot- svarande frågor i andra unionsländer och på EU-nivå. Därtill har utredningen samrått med bl.a. Beslagsutredningen (Ju 2016:08), Utredningen om hemlig dataavläsning (Ju 2016:12) och Utredningen om självkörande fordon (N 2015:07). Slutligen har utredningen tagit del av synpunkter från enskilda personer och organisationer.

Den näraliggande fråga om efterhandskontroll som nämns i direktiven har inte varit möjliga att behandla.

2.3Betänkandets disposition

Den efterföljande delen av betänkandet inleds med avsnitt 3, om enskildas grundläggande rättigheter, i synnerhet avseende personlig integritet, skyddet för personuppgifter och yttrandefrihet. Därefter beskrivs i avsnitt 4 relevant gällande rätt kring elektronisk kommu- nikation. Avsnitt 5 utgör en översiktlig beskrivning av de brotts- bekämpande myndigheternas utredande verksamhet och under- rättelseverksamhet. Regleringen kring datalagring i brottsbekäm- pande syfte redogörs för i avsnitt 6. Därefter, i avsnitt 7, beskrivs nyttan och behovet av uppgifter om elektronisk kommunikation. Avsnitt 8–10 handlar om EU-rättens påverkan på utformingen och tillämpningen av reglerna om datalagring. En internationell utblick finns i avsnitt 11. Utredningens överväganden och förslag finns mot slutet av betänkandet, i avsnitt 12, medan författningsförslagen finns i avsnitt 1. Den sista delen av betänkandet utgörs av en konsekvens- analys, avsnitt 13, och en författningskommentar, avsnitt 14.

Grundläggande rättigheter

SOU 2017:75

stiftningen genom att slå fast att kränkningar av den personliga integriteten utgör intrång i den fredade sfär som den enskilde bör vara tillförsäkrad och där ett oönskat ingrepp bör kunna avvisas (prop. 2005/06:173 s. 15 och prop. 2009/10:80 s. 175).

3.1.2Skyddsintressen

Det är viktigt i en rättsstat att den offentliga maktutövningen är bunden av förutsebara normer och underkastad vissa begränsningar. Detta gäller inte minst de metoder som används i statens brotts- bekämpande verksamhet. Den som t.ex. är misstänkt för ett brott har rätt att ställa krav på att staten respekterar hans eller hennes berättigade krav på respekt för de grundläggande fri- och rättig- heterna samt skydd mot godtycke.

Samtidigt har var och en som vistas i Sverige rätt att göra anspråk på att staten vidtar effektiva åtgärder för att skydda hans eller hennes säkerhet. I detta ligger bl.a. att staten måste anstränga sig för att se till att brott förebyggs och utreds samt att gärningsmän ställs till svars för sina brottsliga handlingar. Staten har alltså ett ansvar för att skydda enskildas privatliv och personliga integritet mot intrång som begås av andra enskilda. Detta följer bl.a. av artikel 8 i Europakon- ventionen (se t.ex. Europadomstolens mål Söderman mot Sverige, 12 november 2013, § 78 och von Hannover mot Tyskland, 24 juni 2004, § 57). Motsvarande skydd följer av rättighetsstadgan. Även utan att det har förekommit något ingripande från en myndighet eller en offentlig tjänsteman kan staten således bryta mot artikel 8 genom att tolerera en existerande situation eller genom att inte skapa till- räckligt rättsligt skydd. Staten kan då bli ansvarig för sin underlåten- het trots att det specifika övergreppet har utförts av en enskild person, för vars handlande staten inte i och för sig är ansvarig. Vad som i huvudsak kan förväntas är att staten utfärdar lagar som ger ett till- fredsställande skydd åt privatliv, familjeliv, hem och korrespondens och att de rättsvårdande myndigheterna håller kontroll över att dessa lagar respekteras. En förutsättning för att staten ska kunna leva upp till kraven på att upprätthålla rättstryggheten för enskilda är att staten har en välfungerande och effektiv brottsbekämpning (SOU 2015:31 s. 51–52 jfr även p. 149 i EU-domstolens yttrande 1/15 den 26 juli 2017). Att ha en välfungerande brottsbekämpning innebär t.ex. att

SOU 2017:75

Grundläggande rättigheter

myndigheterna ska ha tillgång till effektiva utredningsverktyg – även i den elektroniska miljön. När så inte har varit fallet har staten ansetts kränka de rättigheter som följer av Europakonventionen. Ett exempel på detta var när en person som gjort sig skyldig till förtal eller möjligen sexuellt ofredande av ett 12-årigt barn i Finland inte kunde identifieras på grund av att den nationella lagstiftningen inte möjliggjorde att uppgift om vem som använt en ip-adress inte kunde inhämtas från operatören. I det aktuella fallet uttalade domstolen särskilt att konfidentialitet för kommunikation och yttrandefrihet ibland måste få vika för brottsbekämpande ändamål. (Europadom- stolens dom den 2 december 2008, K.U. mot Finland, särskilt § 49).

Statens skyldighet att upprätthålla ett straffrättsligt skydd och göra skyndsamma ingripanden mot allvarliga brott följer även av andra artiklar i Europakonventionen och rättighetsstadgan, exem- pelvis avseende frihetsberövanden, artikel 5 i Europakonventionen samt artiklarna 6 och 52.3 i rättighetsstadgan, se även Hans Danelius, Mänskliga rättigheter i Europeisk praxis, 5:e uppl., s. 112 och p. 42 i Digital Rights-domen.

3.1.3Regleringen av skyddet för privatlivet

Grundläggande bestämmelser

Grundläggande bestämmelser som har betydelse för det allmännas ansvar att skydda enskildas privatliv och integritet finns i bl.a. RF. Av målsättningsstadgandet i 1 kap. 2 § framgår att den offentliga makten ska utövas med respekt för den enskilda människans frihet och värdighet samt att det allmänna ska värna den enskildes privatliv och familjeliv. Enligt 2 kap. 6 § första stycket RF gäller vidare att var och en gentemot det allmänna är skyddad mot undersökning av förtroliga brev och andra förtroliga försändelser samt mot hemlig avlyssning eller upptagning av telefonsamtal eller andra förtroliga meddelanden. Därtill gäller enligt paragrafens andra stycke ett skydd mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden.

Av artikel 8 i Europakonventionen följer att var och en har rätt till skydd för sitt privat- och familjeliv, sitt hem och sin korrespon- dens. Begreppet privatliv tolkas i Europadomstolens praxis vitt.

Grundläggande rättigheter SOU 2017:75

Domstolen har flera gånger framhållit att det inte är möjligt att definiera begreppet genom en uttömmande beskrivning av olika aspekter som rör den enskildes privata förhållanden (se t.ex. S. och Marper mot Förenade kungariket, 4 december 2008, § 66 och Gillberg mot Sverige, 2 november 2010, § 66). Begreppet täcker olika aspekter av en enskild individs såväl fysiska som psykiska integritet. Det omfattar bl.a. uppgifter om den enskildes identitet, inklusive namn och kön, uppgifter om hälsa och sexuell läggning och infor- mation som rör den personliga utvecklingen och relationer till andra individer. Vidare omfattar skyddet enligt artikeln bl.a. kommuni- kation genom telefon och e-post (Liberty m.fl. mot Förenade kungariket, 1 juli 2008, § 56 och däri hänvisade rättsfall). Registre- ring av vilka telefonnummer en person ringer kan utgöra ett ingrepp i rätten till privatliv, beroende på i vilket syfte den görs (P.G. och J.H. mot Förenade kungariket, 25 september 2001, § 42). Europa- domstolen har emellertid påpekat att det är en väsentlig skillnad mellan det och att avlyssna vederbörandes kommunikation. Detsam- ma gäller exempelvis gps-positionering av en person, som bedömts som mindre allvarligt än t.ex. avlyssning (Uzun mot Tyskland, 2 september 2010, §§ 52 och 66). Till privatlivet hör vidare en rätt till skydd mot angrepp av den enskildes ära och ryktbarhet och mot spridning av information som rör privata förhållanden (t.ex. K.U. mot Finland, 2 december 2008, §§ 42 och 43, och von Hannover mot Tyskland, 24 juni 2004, § 50).

Rätten till respekt för privatlivet innefattar även skyddet av person- uppgifter (Hans Danelius, Mänskliga rättigheter i europeisk praxis, 5:e uppl., s. 386). Om staten exempelvis lagrar information hän- förligt till folks privatliv, kan både det och tillgången till infor- mationen utgöra ett intrång i rätten till privatliv (exempelvis Leander mot Sverige, 26 mars 1987, § 48). Det gäller även om informationen består av enbart offentliga och okänsliga uppgifter samt sker utan hjälp av något hemligt tvångsmedel (Segerstedt-Wiberg m.fl. mot Sverige, 6 juni 2006, § 72; Uzun mot Tyskland, 2 september 2010, § 46, samt Amann mot Schweiz, 16 februari 2000, §§ 65–67). Trots att Europakonventionen inte uttryckligen reglerar skydd av person- uppgifter (jfr artikel 8 EU:s rättighetsstadga, se nedan avsnitt 3.2.1) så omfattar konventionen således ett sådant skydd. Respekten för privatlivet omfattar inte enbart skydd av rent privata relationer utan

SOU 2017:75

Grundläggande rättigheter

kan även omfatta relationer och aktiviteter som är relaterade till den enskildes yrkesliv (t.ex. Rotaru mot Rumänien, 4 maj 2000, § 43).

Som nämnts ovan, innebär rätten till privatliv inte bara ett skydd mot myndigheters ingrepp, utan även en skyldighet för stater att kriminalisera brott och tillämpa straffrättsliga bestämmelser genom effektiv utredning och lagföring. När brott har begåtts mot en persons fysiska eller psykiska hälsa krävs det att det, i rimlig mån, finns redskap som gör det möjligt att identifiera och lagföra föröva- ren. Det måste samtidigt beaktas att redskapen används på ett sätt som är förenligt med de mänskliga rättigheterna i övrigt. Det är lagstiftarens skyldighet att upprätta ett ramverk som är förenligt med samtliga dessa konkurrerande principer. (K.U. mot Finland, 2 december 2008, §§ 46–49 och p. 149 i EU-domstolens yttrande 1/15 den 26 juli 2017)

En bestämmelse om rätt till respekt för bl.a. privatlivet finns också i artikel 7 i rättighetsstadgan. Av samma artikel följer att var och en har rätt till respekt för sina kommunikationer. Av artikel 52.3 i stadgan följer att i den mån stadgan omfattar rättigheter som motsvarar sådana som garanteras av Europakonventionen ska de ha samma innebörd och räckvidd som enligt konventionen eller ett mer långtgående skydd. Rättighetsstadgan riktar sig till medlemsstaterna endast när de tillämpar unionsrätten (artikel 51.1). Av EU-dom- stolens praxis framgår att detta innebär att rättigheterna i stadgan måste iakttas inte bara vid tillämpningen av nationell lagstiftning som genomför EU-rätt, utan så snart nationell lagstiftning omfattas av unionens tillämpningsområde (se t.ex. Åkerberg Fransson, mål C- 617/10, § 21). Av Tele2-domen följer att rättighetsstadgan är av vikt vid utformningen av bestämmelser om datalagring även för brotts- bekämpande ändamål.

Frågor om skydd för privatlivet tilldrar sig stort intresse runt om i världen. Detta gäller inte minst i förhållande till frågor om över- vakning av elektronisk kommunikation. Exempelvis har ett stort antal organisationer som arbetar för integritetsfrågor tillsammans arbetat fram ett antal principer som stater uppmanas att följa vid sådan övervakning.1 Dessa principer innehåller bl.a. uppmaningar om att övervakningsåtgärder ska regleras i lag och endast vara tillåtna när det är nödvändigt, lämpligt och proportionerligt i förhållande till ett

1 Principerna finns att läsa på necessaryandproportionate.org

Grundläggande rättigheter

SOU 2017:75

legitimt ändamål. Vidare ska åtgärderna beslutas av en behörig rätts- lig myndighet. Den som utsätts för åtgärderna ska underrättas om dem. Staterna ska också inrätta kontrollmekanismer som ska säker- ställa transparens och ansvar för åtgärderna.

Av intresse är även de principer som upprättats av Artikel 29- gruppen. Gruppen har bl.a. satt upp garantier som gruppen menar måste följas för att en inskränkning i skyddet för personuppgifter ska vara godtagbar.2

Ett skydd mot godtyckligt ingripande i fråga om privatliv, familj, hem eller korrespondens finns även i andra internationella instrument, se t.ex. artikel 12 i Förenta Nationernas allmänna förklaring om de mänskliga rättigheterna och artikel 17 i Förenta Nationernas inter- nationella konvention om medborgerliga och politiska rättigheter.3

Inskränkningar i skyddet får göras

Rätten till skydd av privatlivet och den personliga integriteten är inte absolut. En individ som lever i ett samhälle och sålunda ingår i en gemenskap med andra människor kan inte göra gällande något absolut anspråk på att i alla situationer få leva i fred från andra indivi- der eller ostörd av samhällets organ. I syfte att tillförsäkra med- borgarna trygghet och säkerhet mot yttre och inre hot kan det ibland vara nödvändigt med vissa inskränkningar av integritets- skyddet. Som anges ovan har staten till och med en skyldighet att införa sådana regler (avsnitt 3.1.2–3.1.3).

Det är en svår uppgift att avväga å ena sidan skyddet för enskilda mot ingrepp från staten mot å andra sidan statens plikt att skydda individen, dvs. att se till att myndigheterna har effektiva verktyg till sin hjälp för att bekämpa brott. En självklar utgångspunkt i sådana avvägningar är Europakonventionen och rättighetsstadgan. En annan viktig utgångspunkt är att myndigheterna inte får ges sådana befogenheter att medborgarnas tilltro till dem påverkas negativt. Förtroendet kan skadas om medborgarna upplever att det finns risk

2Article 29 data protection working party, WP 237, 13 april 2016.

3Om rätten till privatliv i den digitala eran, läs t.ex. Annual report of the United Nations High Commissioner for Human Rights and reports of the Office of the High Com- missioner and the Secretary-General, A/HRC/27/37, 30 juni 2014 samt Europarådets resolution 1970 (2014) och rekommendationer 2033 (2014).

SOU 2017:75

Grundläggande rättigheter

för att myndigheterna utan deras vetskap samlar information om enskilda och deras privatliv utan att detta motiveras av tungt vägande allmänna intressen. Medborgarnas bild av det allmännas verksamhet påverkas dock också av i vilken utsträckning myndigheterna ges förutsättningar att använda effektiva arbetsmetoder. Myndigheterna är samhällsorgan som ytterst har till uppgift att värna om med- borgarna. Om medborgarna upplever att myndigheterna inte har för- måga eller tillräckliga medel för att hantera hot mot samhället och enskilda kan även detta leda till minskat förtroende.

Enligt 2 kap. 20 § RF får det integritetsskydd som följer av RF endast begränsas genom lag. En begränsning får göras endast för att tillgodose ett ändamål som är godtagbart i ett demokratiskt samhälle. En begränsning får aldrig gå utöver vad som är nödvändigt med hänsyn till det ändamål som har föranlett den och får inte heller sträcka sig så långt att den utgör ett hot mot den fria åsiktsbild- ningen såsom en av folkstyrelsens grundvalar (2 kap. 21 § RF). En begränsning måste alltså vara proportionerlig. Vad avser lagrings- skyldighet för elektroniska kommunikationsuppgifter, som medför en inskränkning i integritetsskyddet, uttalade regeringen, i samband med att bestämmelserna om lagring av trafikuppgifter för brotts- bekämpande ändamål infördes, att principerna kring lagringsskyldig- heten och begränsningar till teknikområden borde vara reglerade i lag medan den mer tekniska specifikationen av lagringskravet kunde regleras i förordning (prop. 2010/11:46 s. 28).

På liknande sätt får rättigheter enligt artikel 8 Europakonven- tionen inskränkas endast genom lag. Kravet på lagstöd är inte endast formellt. Det krävs även att den rättighetsbegränsande lagen upp- fyller rimliga anspråk på rättssäkerhet och skydd mot godtycke. Den måste vara tillgänglig för allmänheten och utformad med tillräcklig precision, så att inskränkningarna i den grundläggande konventions- rättigheten i rimlig utsträckning kan förutses. En nationell lag som ger de rättstillämpande organen ett tolkningsutrymme och en rätt till skönsmässig prövning är emellertid inte i och för sig oförenlig med kravet på förutsebarhet, under förutsättning att gränserna för den skönsmässiga bedömningen är tillräckligt klara för att ge individen skydd mot godtyckliga ingrepp (Hans Danelius, Mänskliga rättig- heter i Europeisk praxis, 5:e uppl., 2015, s. 370 samt Kopp mot Schweiz, 25 mars 1998, § 55).

Grundläggande rättigheter

SOU 2017:75

När det gäller dolda spaningsåtgärder innebär kravet på förutse- barhet inte att en person bör kunna veta på förhand t.ex. när myndigheterna sannolikt avlyssnar dennes samtal, så att han eller hon kan anpassa sitt beteende därefter. Lagstiftningen om sådana åtgärder måste däremot vara så tydlig att den ger medborgarna en tillräcklig indikation om vilka omständigheter som krävs för att myndigheterna ska få använda sig av åtgärderna. Det gäller oavsett om övervakningen riktar sig mot en individ eller är av mer över- gripande karaktär. (Weber och Saravia mot Tyskland, 29 juni 2006, § 93, samt Liberty m.fl. mot Förenade Kungariket, 1 juli 2008, § 63)

Europadomstolen har utarbetat en minimistandard som ställer följande krav på lagstiftning om hemliga övervakningsåtgärder (t.ex. Uzun mot Tyskland, 2 september 2010, § 61 med hänvisningar):

•Arten av de brott som skulle kunna leda till en begäran om åtgärden måste framgå.

•Det ska finnas en definition av de personkategorier som skulle kunna riskera att bli föremål för åtgärden, t.ex. få sin telefon avlyssnad.

•Åtgärdens varaktighet ska vara begränsad.

•Det måste finnas förfaranderegler för undersökning, användning och lagring av de uppgifter som inhämtas.

•Försiktighetsåtgärder vid överföring av information till andra parter ska vidtas.

•De omständigheter under vilka inhämtade uppgifter (t.ex. in- spelningar) kan eller måste raderas ska anges.

De viktigaste punkterna har bedömts vara de två förstnämnda. Vad avser karaktären på de förseelser som kan föranleda övervakning krävs inte att det finns en lista med namngivna brott; det är till- räckligt med exempelvis information om minimistraff för brottet. När det gäller avgränsning av personkategori har Europadomstolen ansett det kunna vara berättigat att även personer som inte är miss- tänkta för brott men som kan ha upplysningar om brottet berörs av åtgärden, bl.a. har domstolen bedömt det vara befogat att avlyssna en telefon tillhörande partnern till en dödad person. (Greuter mot

SOU 2017:75

Grundläggande rättigheter

Nederländerna, 19 mars 2002 samt Roman Zakharov mot Ryssland, 4 december 2015, §§ 231, 243–245)

Det kan konstateras att den grad av förutsebarhet som krävs varierar beroende på vilken typ av spaningsåtgärd som lagstiftningen avser och hur ingripande åtgärden är. I det ovan nämnda målet Uzun mot Tyskland, vilket rörde övervakning via gps av förflyttningar på offentliga platser, uttalade domstolen att de relativt strikta krav som minimistandarden ställer har utarbetats i mål om telefonavlyssning. Domstolen fann att dessa krav inte var tillämpliga i målet eftersom övervakning av en persons rörelser med hjälp av GPS-utrustning, i jämförelse med telefonavlyssning, utgjorde ett mindre intrång i dennes privatliv (Uzun mot Tyskland, 2 september 2010, §§ 65 och 66; jfr även P.G. och J.H. mot Förenade kungariket, 25 september 2001, § 42). En rimlig slutsats är att verksamhet och åtgärder som utgör större intrång i privatlivet borde tillhandahållas med tydligare bemyndiganden och bli föremål för fler restriktioner än verksamhet som utgör mindre sådana intrång (SOU 2015:31 s. 57).

Europadomstolen har också slagit fast att nationell lagstiftning om dolda spaningsåtgärder måste innehålla kontrollmekanismer för att skydda mot missbruk av den prövningsrätt som finns. Vad som krävs i det avseendet beror på omständigheter som åtgärdernas karaktär, räckvidd och varaktighet, vilka motiv som krävs för att besluta, utföra och övervaka dem samt vilken typ av rättsmedel som finns i den nationella lagstiftningen. Beträffande telefonavlyssning har Europadomstolen ansett att beslutet normalt sett ska kontrolle- ras av domstol, åtminstone i sista instans (t.ex. Szabó och Vissy mot Ungern, 12 januari 2016). Den nationella lagstiftningen måste också, såvitt avser telefonavlyssning, innehålla tillfredsställande mekanismer för att övervaka vad som sker med överskottsinformation. När det gäller mindre ingripande åtgärder ställer konventionen däremot lägre krav. Som ett exempel på detta kan nämnas Europadomstolens dom den 25 september 2001 i målet P.G. och J.H. mot Storbritannien. I målet uttalade domstolen att vad som krävs i fråga om skydds- åtgärder beror, åtminstone i viss utsträckning, på det aktuella in- trångets natur och omfattning. Domstolen fann att de brittiska reglerna om telefonövervakning innehöll tillräckliga garantier mot missbruk, trots att det saknades lagregler (i motsats till interna rikt- linjer för polisen) om lagring och förstörande av den information som samlades in.

Grundläggande rättigheter

SOU 2017:75

Det kan sägas att domstolen i det aktuella målet satte en låg standard för ”med stöd av lag” eftersom det inte fanns något ut- tryckligt bemyndigande för hemlig övervakning av elektronisk kommunikation i det brittiska systemet. Uppfattningen har också framförts att det är mycket sannolikt att Europadomstolen i fram- tiden kommer att kräva någon form av system för efterföljande kontroll av hemlig övervakning av elektronisk kommunikation om och när den konfronteras med denna fråga igen, se Cameron, Expert- rapport åt Polismetodutredningen, SOU 2010:103 s. 547–548.

En inskränkning i rättigheter som skyddas av artikel 8 får vidare göras endast om det i ett demokratiskt samhälle är nödvändigt med hänsyn till statens säkerhet, den allmänna säkerheten, landets eko- nomiska välstånd eller till förebyggande av oordning eller brott eller till skydd för hälsa eller moral eller för andra personers fri- och rättigheter. Av Europadomstolens praxis följer att en inskränkning måste kunna motiveras av ett angeläget samhälleligt behov och den måste stå i rimlig proportion till det syfte som ska tillgodoses genom inskränkningen. Konventionsstaterna har visst utrymme – margin of appreciation – att själva avgöra om en inskränkning är nödvändig. Europadomstolen förbehåller sig dock rätten att övervaka om stater- nas avvägningar uppfyller konventionens krav på proportionalitet. Domstolens kontroll i detta avseende varierar beroende bl.a. på vilka ändamål som utgör grund för inskränkningen och är typiskt sett något mindre strikt när en stats vitala intressen motiverar en in- skränkning eller när det saknas en enhetlig europeisk rättsuppfatt- ning om hur en fråga ska bedömas (Hans Danelius, Mänskliga rättig- heter i Europeisk praxis, 5:e uppl., s. 370–371).

Vid bedömningen av om åtgärden är nödvändig i ett demokratiskt samhälle måste en helhetsbedömning göras av alla omständigheter, exempelvis omfattningen och varaktigheten av åtgärden, skälen för åtgärden, vem som är behörig att besluta om, genomföra och över- vaka åtgärden samt vilka rättsmedel som finns. Exempelvis skulle en vid formulering av villkoren för en hemlig övervakningsåtgärd delvis kunna uppvägas av en förhandskontroll i domstol. (Roman Zakharov mot Ryssland, 4 december 2015, §§ 232, 248, 249 samt Uzun mot Tyskland, 2 september 2010, § 63).

Vad avser just förhandskontroll av domstol har Europadomstolen uttalat att ett system där sådan prövning saknas och de brottsbekäm- pande myndigheterna i stället har direktåtkomst till exempelvis upp-

SOU 2017:75

Grundläggande rättigheter

gifter om mobiltelefonkommunikation är särskilt känsligt för missbruk och att andra garantier mot godtycke och missbruk blir synnerligen stort med ett sådant system (Roman Zakharov mot Ryssland, 4 december 2015, §§ 268–270). Vid positionsövervakning har det ansetts tillräckligt med en prövning av domstol efter att åtgärden redan skett, exempelvis genom att uppgifter som fram- kommit genom övervakningen inte får användas som bevis i rätte- gång, om övervakningsåtgärden inte varit lagenlig (Uzun mot Tyskland, 2 september 2010, §§ 71 och 72).

Europadomstolen har vidare ställt vissa krav på att lagstiftningar om hemliga tvångsmedel och övervakningsåtgärder även innehåller andra rättssäkerhetsgarantier. Domstolen har uttryckt att, eftersom det vid hemliga tvångsmedel finns en risk för missbruk i enskilda fall, det är lämpligt att en domare bör ha ansvaret för övervakningen. Samtidigt har domstolen godtagit att ett oberoende utomrättsligt organ med tillräckliga befogenheter ansvarar för tillsynen. (Roman Zakharov mot Ryssland, 4 december 2015, §§ 233 och 275)

Som huvudregel ska den som varit föremål för den hemliga tvångsåtgärden underrättas om det, för att han eller hon inte ska berövas möjligheten att söka gottgörelse för eventuell olaglig användning av tvångsmedlet. Europadomstolen har emellertid inte uppställt något absolut krav, med hänvisning till att en underrättelse både kan äventyra syftet med åtgärden och också avslöja hemliga arbetsmetoder eller agenter inom den brottsbekämpande myndig- heten. Domstolen har, som exempel, godtagit att en oberoende myndighet avgör om underrättelse ska skickas eller inte eller att underrättelse underlåts om det finns möjlighet för en enskild som misstänker att han eller hon är föremål för hemlig övervakning att vända sig till en oberoende domstol med utredningsbefogenheter. (Klass m.fl. mot Tyskland, 6 september 1978, § 58 samt Roman Zakharov mot Ryssland, 4 december 2015, §§ 286–288 och däri hänvisade rättsfall, särskilt Kennedy mot Förenade kungariket, 18 maj 2010, § 167).

När det gäller unionsrätten följer det av artikel 52.1 i rättighets- stadgan att varje begränsning i utövandet av de fri- och rättigheter som erkänns i stadgan måste vara föreskriven i lag och förenlig med det väsentliga innehållet i dessa fri- och rättigheter. Begränsningar får, med beaktande av proportionalitetsprincipen, göras endast om de är nödvändiga och faktiskt svarar mot mål av allmänt samhälls-

Grundläggande rättigheter

SOU 2017:75

intresse som erkänns av unionen eller behovet av skydd för andra människors fri- och rättigheter. Enligt EU-domstolens fasta praxis kräver proportionalitetsprincipen att unionsinstitutionernas åtgär- der, för att vara godtagbara, för det första måste vara ägnade att uppnå de legitima mål som eftersträvas. För det andra får åtgärderna inte gå utöver vad som är lämpligt och nödvändigt för att uppnå de eftersträvade målen. Utrymmet för unionslagstiftaren att bedöma om proportionalitetsprincipens krav är uppfyllda kan begränsas på grund av omständigheter som t.ex. vilken rättighet som begränsas, hur omfattande och allvarligt ingreppet är, vilket syfte ingreppet har etc. Ju mer långtgående ett ingrepp är, desto mer strikt blir EU- domstolens kontroll av att proportionalitetsprincipens krav följs (SOU 2015:31 s. 59).

Med kravet att rättighetsinskränkningarna ska vara föreskrivna i lag avses inte nödvändigtvis att föreskriften måste finnas i en författning som benämns just lag (i jämförelse med andra före- skrifter, t.ex. förordning). I sitt förslag till avgörande i Tele2-målet diskuterade generaladvokaten vad som avses med uttrycket i såväl stadgan som i direktiv 2002/58. Efter en jämförelse av olika språk- versioner, en genomgång av praxis från EU-domstolen och Europa- domstolen samt efter beaktande av det rättighetsintrång som en generell lagringsskyldighet medför, ansåg generaladvokaten det önskvärt att det väsentliga innehållet i skyldigheten anges i bestäm- melser som antas av den lagstiftande makten och att den verk- ställande makten närmare fastställer tillämpningsföreskrifterna till dessa (punkterna 134–153).

3.2Skyddet för personuppgifter

3.2.1Grundläggande EU-rätt

Bestämmelser om skydd av personuppgifter finns i unionsrättens primärrätt och sekundärrätt. I artikel 8.1 i rättighetsstadgan slås fast att var och en har rätt till skydd av de personuppgifter som rör honom eller henne. Enligt artikel 8.2 i stadgan ska personuppgifter behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund. Var och en har vidare rätt att få tillgång till insamlade uppgif- ter som rör honom eller henne och att få rättelse av dem. Av

SOU 2017:75

Grundläggande rättigheter

artikel 8.3 i stadgan följer att en oberoende myndighet ska kontrol- lera att dessa regler efterlevs. Begränsningar i rätten till skydd av personuppgifter får – i likhet med vad som gäller för andra fri- och rättigheter enligt stadgan – göras på de grunder som anges i arti- kel 52.

Rätten till skydd för enskilda personer avseende behandlingen av personuppgifter kommer till uttryck även i artikel 16 i FEUF där den rättsliga grunden för lagstiftningsåtgärder inom unionsrättens tillämpningsområde slås fast. I artikel 16.2 FEUF anges att oberoende myndigheter ska kontrollera att de bestämmelser som Europaparla- mentet och rådet antar följs. En särskild rättslig grund för lagstift- ning på området för den gemensamma utrikes- och säkerhets- politiken finns i artikel 39 FEUF. Även där slås fast att oberoende myndigheter ska kontrollera att bestämmelserna följs.

3.2.2EU:s dataskyddsdirektiv och dataskyddsreform

En allmän reglering om skydd av personuppgifter inom EU finns i direktiv 95/46/EG (dataskyddsdirektivet). Direktivet har antagits med stöd av fördragens bestämmelser om den inre marknadens upp- rättande och funktion. Direktivet omfattar inte juridiska personer utan gäller bara i fråga om uppgifter som direkt eller indirekt kan hänföras till fysiska personer. Direktivet gäller inte på områden som faller utanför unionsrätten, såsom försvar, allmän säkerhet och statens verksamhet på straffrättens område. Det finns också andra rättsakter som kompletterar dataskyddsdirektivet, bl.a. rådets ram- beslut 2008/977/RIF av den 27 november 2009 om skydd för person- uppgifter som behandlas inom ramen för polissamarbete och straff- rättsligt samarbete, det s.k. dataskyddsrambeslutet.

Dataskyddsdirektivet syftar dels till att skydda fysiska personers grundläggande fri- och rättigheter, särskilt rätten till privatliv, i samband med behandling av personuppgifter, dels till att säkerställa det fria flödet av personuppgifter mellan medlemsstaterna. I direk- tivet regleras ett antal allmänna principer om uppgifternas kvalitet och godtagbara grunder för behandling av personuppgifter. Vidare finns det bestämmelser om enskildas rätt till information och till- gång till behandlade uppgifter. Begränsningar i principerna får göras bl.a. om det är nödvändigt med hänsyn till statens säkerhet, allmän

Grundläggande rättigheter

SOU 2017:75

säkerhet eller förebyggande, undersökning, avslöjande av brott eller åtal för brott.

Regleringen i dataskyddsdirektivet begränsar förutsättningarna för överföring av personuppgifter till tredje land, dvs. till en stat som varken ingår i EU eller är ansluten till EES. Sådan överföring av personuppgifter är som regel tillåten bara om tredje landet, med beaktande av bl.a. uppgifternas art, behandlingens ändamål och var- aktighet och de rättsregler och regler för yrkesverksamhet och säker- het som gäller i det landet, kan anses säkerställa en adekvat skydds- nivå för uppgifterna.

Dataskyddsdirektivet har genomförts i medlemsstaterna genom nationell lagstiftning – i Sverige främst genom personuppgiftslagen – och medlemsstaterna får inom direktivets ram precisera villkoren för personuppgiftsbehandling. De nationella preciseringarna får dock inte hindra det fria flödet av personuppgifter inom EU.

Både dataskyddsdirektivet och dataskyddsrambeslutet har varit föremål för ett omfattande reformarbete inom EU, i syfte att ytter- ligare harmonisera och effektivisera skyddet av personuppgifter. EU- förhandlingarna har pågått sedan 2012 och i april 2016 antog rådet och parlamentet dels en dataskyddsförordning med en generell reglering som ska ersätta dataskyddsdirektivet, dels ett nytt direktiv med sär- skilda regler om dataskydd för den brottsbekämpande verksamheten.4 Förordningen ska börja tillämpas i medlemsstaterna den 25 maj 2018 och direktivet ska vara implementerat senast den 6 maj 2018.

Från den generella dataskyddsförordningens tillämpningsområde undantas behandling av personuppgifter som utförs av behöriga myndigheter i syfte att förebygga, förhindra, utreda, avslöja eller lag- föra brott eller verkställa straffrättsliga påföljder, i vilket även ingår att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten (artikel 2). För sådan behandling gäller i stället det nya dataskyddsdirektivet. Förordningen ska, liksom det nya dataskydds- direktivet, inte heller tillämpas på behandling av personuppgifter som utgör ett led i en verksamhet som inte omfattas av unionsrätten.

4 Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) respektive Europaparlamentets och rådets direktiv (EU) 2016/680 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF.

SOU 2017:75

Grundläggande rättigheter

Såväl förordningen som det nya direktivet innehåller regler som begränsar möjligheterna att överföra personuppgifter till tredje land.

3.2.3Dataskyddskonventionen

Sverige har ratificerat Europarådets konvention från 1981 om skydd för enskilda vid automatisk behandling av personuppgifter (ETS 108), som trädde i kraft den 1 oktober 1985. Konventionen, som brukar ses som en precisering av artikel 8 i Europakonventionen, syftar till att säkerställa den enskildes grundläggande fri- och rättigheter i sam- band med automatisk behandling av personuppgifter hänförliga till den enskilde (artikel 1).

Dataskyddskonventionen innehåller principer för dataskydd som staterna ska iaktta i sin nationella lagstiftning. Personuppgifter som är föremål för automatiserad behandling ska hämtas in och behandlas på ett korrekt sätt för särskilt angivna ändamål. Vidare ska upp- gifterna vara relevanta för ändamålen och får inte senare användas på ett sätt som är oförenligt med dessa. Uppgifterna måste också vara riktiga och aktuella och de får inte bevaras längre än vad som är nödvändigt för ändamålen. (artikel 5) Varje person ska ha rätt att få bekräftat om personlig information om honom eller henne har lagrats (artikel 8).

Av artikel 12.2 konventionen följer som huvudregel att en kon- ventionsstat inte endast av integritetsskyddsskäl får hindra att personuppgifter förs över till en annan konventionsstat för att behandlas där. En konventionsstat har rätt att göra undantag från den bestämmelsen om statens lagstiftning innehåller särskilda bestäm- melser för vissa kategorier av personuppgifter eller automatiserade personregister på grund av uppgifternas eller registrens natur (artikel 12.3). Sådana undantag får dock göras bara när den andra partens föreskrifter inte ger ett likvärdigt skydd.

Europarådets ministerkommitté antog år 2001 ett tilläggsproto- koll till dataskyddskonventionen (ETS 181). Det innehåller bestäm- melser om tillsynsmyndigheter och överföring av personuppgifter till länder som inte är bundna av konventionen. Tilläggsprotokollet trädde i kraft den 1 juli 2004. Av protokollet framgår bl.a. att varje konventionsstat ska se till att en eller flera myndigheter ansvarar för att kontrollera att de åtgärder respekteras som inom dess nationella

Grundläggande rättigheter

SOU 2017:75

lagstiftning ger verkan åt de principer som anges i konventionen. Tilläggsprotokollet innehåller vidare bestämmelser som anger att konventionsstaterna ska vidta åtgärder för att säkerställa att över- föring av personuppgifter till ett land som inte är konventionspart får ske bara om landet i fråga säkerställer en adekvat skyddsnivå för uppgifterna.

Dataskyddskonventionen är för närvarande föremål för översyn.5

3.2.4Nationell lagstiftning

Dataskyddsdirektivet har genomförts i svensk rätt genom framför allt personuppgiftslagen (1998:204). Lagen är i första hand tillämplig på personuppgiftsansvariga som är etablerade i Sverige (4 §). Det innebär att lagen tillämpas på sådana fysiska eller juridiska personer som ensamma eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter och som har en effektiv och faktisk verksamhet med en stabil struktur i Sverige (skäl 19 i ingressen till direktivet).

Lagen, som i huvudsak följer direktivets text och disposition, om- fattar all automatiserad behandling av personuppgifter och manuell behandling av personregister. Rent privat användning av person- uppgifter är dock undantagen. Det görs även undantag med hänsyn till offentlighetsprincipen och tryck- och yttrandefriheten. Särregler i annan lagstiftning tar över bestämmelserna i personuppgiftslagen. Sådana särregler finns i t.ex. åklagardatalagen (2015:433) och polis- datalagen (2010:361).

3.3Yttrandefrihet

EU:s rättighetsstadga skyddar yttrandefriheten, artikel 11. I artikeln föreskrivs att var och en har rätt till yttrandefrihet. Denna rätt innefattar åsiktsfrihet samt frihet att ta emot och sprida uppgifter och tankar utan någon offentlig myndighets inblandning och oberoende av territoriella gränser. Motsvarande skydd finns i artikel 10 i Europa- konventionen.

5 www.coe.int/en/web/portal/28-january-data-protection-day-factsheet; förslag till ny kon- ventionstext samt en Draft Explanatory Report lämnades i juni 2016.

Elektronisk kommunikation

SOU 2017:75

att säkerställa fri rörlighet för sådana uppgifter samt för utrustning och tjänster avseende elektronisk kommunikation inom unionen. Direktivets bestämmelser preciserar och kompletterar dataskydds- direktivet och är därutöver avsedda att skydda berättigade intressen för de abonnenter som är juridiska personer, artikel 1.

Direktivet definierar trafikuppgifter och lokaliseringsuppgifter men inte abonnemangsuppgifter, artikel 2.

Bestämmelser om säkerhet vid behandlingen av uppgifter finns i artikel 4 i direktivet. Enligt artikel 4.1 ska leverantören av en all- mänt tillgänglig elektronisk kommunikationstjänst vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa säkerheten i sina tjänster, om nödvändigt tillsammans med leverantören av det allmänna kommunikationsnätet när det gäller nätsäkerhet. Dessa åtgärder ska säkerställa en säkerhetsnivå som är anpassad till den risk som föreligger, med beaktande av dagens tillgängliga teknik och kostnaderna för att genomföra åtgärderna.

Enligt artikel 5 ska medlemsstaterna genom nationell lagstiftning säkerställa konfidentialitet vid kommunikation och därmed för- bundna trafikuppgifter via allmänna kommunikationsnät och allmänt tillgängliga elektroniska kommunikationstjänster. Medlemsstaterna ska särskilt förbjuda avlyssning, uppfångande med tekniskt hjälp- medel, lagring eller andra metoder som innebär att kommunikationen och de därmed förbundna trafikuppgifterna kan fångas upp eller övervakas av andra personer än användarna, utan de berörda använ- darnas samtycke och förutom när de har laglig rätt att göra så i enlighet med direktivet.

I artikel 6 finns bestämmelser om för vilka ändamål trafikuppgifter får behandlas och krav på begränsningar i fråga om tillgången till upp- gifter för dem som behöver det för att utföra vissa närmare angivna arbetsuppgifter. Som huvudregel ska trafikuppgifter om abonnenter och användare som behandlas och lagras av en leverantör utplånas eller avidentifieras när de inte längre behövs för sitt syfte att överföra kommunikation. Trafikuppgifter som krävs för abonnentfakturering och betalning av samtrafikavgifter får dock behandlas. Om abonnen- ten har samtyckt till det får uppgifter också behandlas för vissa mark- nadsföringsändamål.

I artikel 9 finns bestämmelser om andra lokaliseringsuppgifter än trafikuppgifter. Om sådana uppgifter kan behandlas, får dessa upp-

SOU 2017:75

Elektronisk kommunikation

gifter endast behandlas sedan de har avidentifierats eller om använ- darna eller abonnenterna gett sitt samtycke.

Vidare finns i artikel 15 ett stöd för medlemsstaterna att – för vissa närmare specificerade ändamål – föreskriva undantag från de skyddsregler som finns i artiklarna 5, 6 och 9. Undantag får bl.a. göras om det i ett demokratiskt samhälle är nödvändigt, lämpligt och proportionerligt för att skydda nationell säkerhet, försvaret och allmän säkerhet samt för förebyggande, undersökning, avslöjande av och åtal för brott.

Direktiv 2002/58 har genomförts i svensk rätt främst genom bestämmelser som tagits in i LEK, se nedan.

EU-kommissionen har lagt fram ett förslag till en ny förordning om respekt för privatlivet och skydd för personuppgifter i samband med elektronisk kommunikation som ska ersätta direktiv 2002/58. Förordningen kommer enligt de utkast som hittills har presenterats inte att förändra det nationella utrymmet att anta bestämmelser om datalagring för brottsbekämpande ändamål. Förslaget bereds för närvarande inom EU.

4.3LEK

LEK trädde i kraft i juli 2003 och syftade bl.a. till att genomföra flera EG-direktiv om elektronisk kommunikation. Lagen är i huvudsak en näringsrättslig lagstiftning som syftar till att enskilda och myndig- heter ska få tillgång till säkra och effektiva elektroniska kommuni- kationer och största möjliga utbyte vad gäller urvalet av elektroniska kommunikationstjänster samt deras pris och kvalitet.

LEK gäller elektroniska kommunikationsnät och kommunikations- tjänster med tillhörande installationer och tjänster samt annan radio- användning (1 kap. 4 § första stycket). Elektroniskt kommuni- kationsnät definieras i lagen som system för överföring och i tillämp- liga fall utrustning för koppling eller dirigering samt andra resurser som medger överföring av signaler, via tråd eller radiovågor, på optisk väg eller via andra elektromagnetiska överföringsmedier, oberoende av vilken typ av information som överförs (1 kap. 7 §). Med elektro- nisk kommunikationstjänst avses i lagen en tjänst som vanligen till- handahålls mot ersättning och som helt eller huvudsakligen utgörs av överföring av signaler i elektroniska kommunikationsnät (1 kap. 7 §).

Elektronisk kommunikation

SOU 2017:75

Bestämmelser om säkerhet vid tillhandahållande av allmänt till- gängliga elektroniska kommunikationstjänster finns i 6 kap. 3–4 b §§ LEK. Dessa bestämmelser genomför regleringen i artikel 4 i direk- tivet om integritet och elektronisk kommunikation. Konfidentiali- teten enligt artikel 5 i direktivet säkerställs bl.a. genom bestämmelser om förbud mot avlyssning i 6 kap. 17 § LEK och bestämmelser om tystnadsplikt i 20 § samma kapitel. I 20 § föreskrivs således att den som i samband med tillhandahållande av ett elektroniskt kommuni- kationsnät eller en elektronisk kommunikationstjänst har fått del av eller tillgång till vissa närmare angivna uppgifter som rör ett med- delande inte obehörigen får föra vidare eller utnyttja det han eller hon har fått del av eller tillgång till. Tystnadsplikten omfattar uppgift om abonnemang, innehållet i ett elektroniskt meddelande eller annan uppgift som angår ett särskilt elektroniskt meddelande. Enligt lagen har operatörerna dessutom tystnadsplikt för uppgift som hänför sig till användning av vissa hemliga tvångsmedel, nämligen hemlig av- lyssning av elektronisk kommunikation, hemlig övervakning av elektronisk kommunikation, kvarhållande av försändelser samt in- hämtning av uppgifter enligt IHL (6 kap. 21 §). Ett obehörigt röjande eller utnyttjande av sådana uppgifter i strid med denna bestämmelse är straffsanktionerat som brott mot tystnadsplikten enligt 20 kap. 3 § brottsbalken.

Vidare innehåller LEK bestämmelser om under vilka förutsätt- ningar trafikuppgifter får behandlas (6 kap. 5–8 §§). Som utvecklas närmare i avsnitt 6 finns även bestämmelser i lagen som anger att vissa uppgifter måste lagras under en närmare angiven tidsperiod för att de ska finnas tillgängliga för brottsbekämpande ändamål (6 kap. 16 a–f §§).

Vissa bestämmelser i LEK knyter an till RB:s regler om hemlig avlyssning av elektronisk kommunikation och hemlig övervakning av elektronisk kommunikation. I 6 kap. 19 § LEK regleras anpassnings- skyldigheten för operatörerna. Den innebär att vissa verksamheter ska bedrivas så att beslut om hemlig avlyssning av elektronisk kom- munikation och hemlig övervakning av elektronisk kommunikation kan verkställas under sådana former att verkställandet inte röjs. Inne- hållet i och uppgifter om avlyssnade eller övervakade meddelanden ska göras tillgängliga så att informationen enkelt kan tas om hand. En liknande bestämmelse finns i 16 f § samma kapitel. Enligt den ska verksamheten bedrivas så att uppgifterna som omfattas av lagrings-

5 Brottsbekämpande verksamhet

5.1Brottutredande verksamhet

Till polisens uppgifter hör bl.a. att förebygga brott och att bedriva spaning och utredning i fråga om brott som hör under allmänt åtal. Polisen har således – tillsammans med åklagaren – en brottsutredande funktion. Även vissa andra myndigheter, däribland Tullverket, har vissa brottsutredande uppgifter.

Förfarandet vid den utredning som föregår ett beslut om åtal, för- undersökningen, regleras främst i RB och i förundersöknings- kungörelsen (1947:948). En förundersökning ska, enligt 23 kap. 1 § RB, inledas så snart det på grund av angivelse eller av annat skäl finns anledning att anta att ett brott som hör under allmänt åtal har för- övats. Beslut att inleda förundersökning fattas av Polismyndigheten, Säkerhetspolisen eller av åklagare. För vissa särskilda brott får även beslut om att inleda förundersökning fattas vid andra myndigheter som Tullverket, Kustbevakningen och JK. Om förundersökning har inletts av Polismyndigheten eller Säkerhetspolisen och saken inte är av enkel beskaffenhet, ska ledningen av förundersökningen övertas av åklagare så snart någon är skäligen misstänkt för brottet eller om det finns särskilda skäl. Så är bl.a. fallet om det blir aktuellt att använda sig av hemliga tvångsmedel.

Förundersökningen har enligt 23 kap. 2 § RB huvudsakligen två syften. Det ena syftet är att utreda om brott har begåtts och vem som i så fall skäligen kan misstänkas för brottet samt att skaffa tillräckligt material för bedömning av frågan om åtal ska väckas. Det andra syftet är att bereda målet så att bevisningen kan förebringas i ett sammanhang vid en huvudförhandling i domstol.

De i lagen angivna syftena understryker förundersökningens förberedande karaktär och klargör att den primära uppgiften för polisens brottsutredande verksamhet är att ge åklagaren underlag för

Brottsbekämpande verksamhet

SOU 2017:75

sitt åtalsbeslut. Huruvida åklagaren kan väcka åtal är helt beroende av vad som har kommit fram under förundersökningen. Därför blir resultatet av förundersökningen i praktiken helt avgörande för utgången av målet.

5.2Underrättelseverksamhet

Vissa av de brottsbekämpande myndigheterna bedriver underrättelse- verksamhet. Denna verksamhet är i huvudsak inriktad på att avslöja om en viss inte närmare specificerad brottslighet har ägt rum, pågår eller kan antas komma att begås.

Ett övergripande mål med underrättelseverksamheten är att förse de brottsbekämpande myndigheterna med kunskap som kan omsättas i operativ verksamhet.

I underrättelseverksamheten samlar myndigheterna in, bearbetar och analyserar uppgifter som senare kan ha betydelse för att före- bygga, förhindra och upptäcka brottslig verksamhet.

Det första ledet i underrättelseprocessen, där information förädlas till underrättelser, är planeringsfasen. I planeringsfasen tas ställning t.ex. till vilka områden som är prioriterade för underrättelseverksam- heten och vilka uppgifter som ska inhämtas.

Inhämtningen kan ske från olika källor. Det kan t.ex. ske genom rutinmässig spaning, internationell samverkan eller genom infor- mation från tipsare och informatörer. En annan källa för inhämtning är allmänt tillgänglig information i tidningar eller på internet.

När informationen har inhämtats bearbetas den genom att in- formationen struktureras, systematiseras och värderas, t.ex. genom jämförelser med sedan tidigare kända uppgifter. Därefter vidtar den avgörande fasen i underrättelseprocessen – analysen. Det kan handla om hot- och riskanalys, analys av brottsmönster och kartläggning av kriminella nätverk och grupperingar.

Efter inhämtning, bearbetning och analys är ambitionen att kunna använda materialet i operativt arbete. Det framtagna underrättelse- materialet kan t.ex. läggas till grund för beslut om att inleda för- undersökning eller beslut om att vidta särskilda åtgärder för att före- bygga, förhindra eller upptäcka brott. Det kan också användas för att gå ut i media för att förebygga ett visst brottsligt tillvägagångssätt. En annan form av förebyggande verksamhet är att de berörda perso-

SOU 2017:75

Brottsbekämpande verksamhet

nerna kontaktas och därigenom blir medvetna om den brottsbekäm- pande myndighetens intresse, vilket många gånger leder till att den planerade brottsliga verksamhet aldrig kommer till stånd.

5.2.1Polismyndighetens underrättelseverksamhet

Till skillnad från Polismyndighetens utredande verksamhet fokuserar underrättelseverksamheten inte på enskilda brott, utan på brottslig verksamhet. Utredande verksamhet i form av en förundersökning eller primärutredning är att betrakta som bakåtblickande, då utred- ningen avser ett specifikt brott som har begåtts. Underrättelseverk- samheten är typiskt sett framåtblickande, då den ofta försöker upp- täcka, förutse och beskriva viss brottslighet, brottsutveckling eller ett visst fenomen i syfte att förebygga och förhindra.

I enlighet med underrättelseprocessen bearbetar och registrerar Polismyndighetens underrättelsetjänst inkommen eller inhämtad information. Informationen kommer bl.a. direkt från allmänheten i form av tips, från särskilda informatörer, från enskilda poliser, från tekniska system, från andra myndigheter i Sverige, från polisens sambandsmän i andra länder samt från Europol och Interpol.

Inhämtad information bedöms och värderas för registrering och vidare bearbetning. Genom analys länkas uppgifter samman och sam- manhang, nätverk och skeenden värderas. Resultatet blir ett underlag för strategiska och operativa beslut i polisverksamheten och ett direkt stöd till medarbetare i kärnverksamheten. Genom att utvärdera resul- tatet av vidtagna operativa åtgärder och underrättelsernas betydelse för dessa tillförs verksamheten ny kunskap som kan användas i fram- tiden.

Polisens underrättelseverksamhet bedrivs i huvudsak vid Polis- myndighetens underrättelsetjänst. Underrättelsetjänsten är verksam på samtliga nivåer i organisationen.

På nationell nivå finns en underrättelseenhet vid Nationella operativa avdelningen, NOA. Underrättelseenheten vid NOA har det övergripande ansvaret för polisens underrättelseverksamhet. I detta ansvar ligger bl.a. att ta fram en nationell underrättelsebild och en underrättelsemodell samt processmässigt styra verksamheten. Underrättelseverksamheten vid den nationella underrättelseenheten

Brottsbekämpande verksamhet

SOU 2017:75

är huvudsakligen inriktad mot organiserad brottslighet på nationell och internationell nivå.

Underrättelseenheten vid NOA innefattar Nationellt underrät- telsecenter, NUC, som samordnar myndigheters underrättelsearbete mot organiserad brottslighet på nationell nivå. I NUC ingår före- trädare för Polismyndigheten, Ekobrottsmyndigheten, Kriminal- vården, Kronofogdemyndigheten, Kustbevakningen, Skatteverket, Säkerhetspolisen, Tullverket, Åklagarmyndigheten, Försäkrings- kassan, Migrationsverket och Arbetsförmedlingen.

På regional nivå finns en underrättelseenhet per region som bedriver underrättelseverksamhet med såväl strategiskt som operativt fokus. Dessa enheter stöder samtliga delar inom regionen, från lokal- polisområde till regional nivå. Förutom bearbetning av information och delgivning av underrättelser tillhandahåller enheterna också stra- tegiska och operativa underrättelseanalyser. De regionala enheterna upprätthåller en regional underrättelsebild. De regionala enheterna innefattar även myndighetsgemensamma regionala underrättelse- center, RUC. I likhet med NUC samordnar RUC myndigheters underrättelsearbete men på regional nivå.

Inom den regionala enheten finns delar som stöder polisområdes- nivån med underrättelser. Som stöd till lokalpolisområdesnivån finns underrättelsesamordnare. Dessa arbetar direkt mot varje lokalpolis- område med stort fokus på den operativa kärnverksamheten.

5.2.2Säkerhetspolisens underrättelseverksamhet

Säkerhetspolisens underrättelseverksamhet syftar till att förebygga, förhindra och upptäcka brottslig verksamhet som bl.a. avser rikets säkerhet och bekämpning av terrorism samt fullgöra uppgifter enligt säkerhetsskyddslagen (1996:627) och säkerhetsskyddsförordningen (1996:633). Med säkerhetsskydd avses skydd mot bl.a. spioneri lik- som mot terroristbrott. Säkerhetspolisen har också i uppdrag att leda och bedriva det bevaknings- och säkerhetsarbete som avser den centrala statsledningen eller som har samband med statsbesök och liknande händelser.

Uppdraget att förebygga, förhindra och upptäcka brott mot rikets säkerhet innebär att Säkerhetspolisen ska motverka olaglig eller oanmäld underrättelseverksamhet som bedrivs i Sverige. Likaså

SOU 2017:75

Brottsbekämpande verksamhet

ska Säkerhetspolisen förhindra att organisationer, grupper, nätverk eller enskilda individer bedriver säkerhetshotande verksamhet som syftar till att hota eller störa det demokratiska styrelseskicket eller enskildas rätt att utöva sina demokratiska rättigheter. Uppdraget att bekämpa terrorism innebär att Säkerhetspolisen ska minska risken för att terroristbrott begås i Sverige och utomlands samt motverka att Sverige och svenska förhållanden utnyttjas som bas för stöd till terroristverksamhet. När det gäller skyddet av den centrala statsled- ningen ska Säkerhetspolisen verka för att den och de personer i övrigt som omfattas av Säkerhetspolisens personskyddsverksamhet ska kunna utföra sina åtaganden under trygga och säkra former. Säker- hetspolisens uppdrag är således i allt väsentligt brottsförebyggande. Den brottsutredande verksamheten utgör en begränsad del av verk- samheten. Detta avspeglar sig också i Säkerhetspolisens resursför- delning mellan brottsförebyggande och brottsutredande arbete.

För att Säkerhetspolisen ska kunna fullgöra sitt uppdrag måste myndighetens verksamhet inriktas utifrån den hotbild som finns. Det är fråga om dels en strategisk hotbild för att inrikta verksam- heten långsiktigt, dels hotbilder som är knutna till en viss person, en viss händelse eller vissa företeelser. Hotbilden bestäms utifrån en bedömning av vilken avsikt och förmåga som en aktör har när det gäller att begå aktuella brott.

Säkerhetspolisens underrättelseverksamhet syftar i allt väsentligt till att lägga grunden för hotbildsbedömningarna och därigenom det brottsförebyggande arbetet. Tillförlitliga hotbilder och relevanta skyddsåtgärder förutsätter att underrättelseverksamheten kan följa olika aktörer och fånga upp varningssignaler redan innan en viss person vidtagit konkreta åtgärder för att begå ett brott. Det kan handla om att kartlägga utländsk underrättelseverksamhet i Sverige eller grupper som tydligt manifesterat en vilja att hota eller begå andra brott för att störa personer i syfte att få dem att sluta bedriva en viss politik. Det kan naturligtvis förekomma att Säkerhetspolisen får uppgifter som gör att en förundersökning ska inledas.

Säkerhetspolisen tillämpar i princip samma modell som den öppna polisen för att styra underrättelsearbetet. Modellen innebär i korthet att ett definierat underrättelsebehov leder till en beställning av upp- gifter. Beställningen resulterar i att olika inhämtningsåtgärder vidtas. De inhämtade uppgifterna bearbetas och analyseras varefter resul- tatet rapporteras till beställaren. Resultatet ligger sedan till grund för

Brottsbekämpande verksamhet

SOU 2017:75

beslut om fortsatta åtgärder. Underrättelseverksamheten är tydligt avgränsad och det finns ett väl definierat mål för arbetet.

Liksom beträffande den öppna polisen sätter de allmänna prin- ciperna för polisingripande som anges i 8 § polislagen (1984:387) den yttre ramen för verksamheten. Säkerhetspolisens inhämtningsme- toder skiljer sig härigenom inte från de metoder som används inom Polismyndigheten. Det kan exempelvis vara fråga om inhämtning genom fysisk spaning, liksom genom öppna eller egna källor. Även nationell och internationell samverkan har stor betydelse för under- rättelseverksamheten.

I sammanhanget bör nämnas att EU har verkat för en mer effek- tiv samverkan inom unionen när det gäller utbyte av information mellan medlemsstaterna för att bekämpa bl.a. terrorbrott.1

5.2.3Tullverkets underrättelseverksamhet

I Tullverkets uppdrag ingår bl.a. att övervaka och kontrollera trafiken till och från utlandet så att bestämmelser om in- och utförsel av varor följs och brottslighet vid in- och utförseln av varor före- byggs och motverkas.

Tullverkets underrättelseverksamhet är framåtblickande och består i att inhämta, bearbeta och analysera information om externa aktörer och fenomen i syfte att skapa underrättelser med framtids- perspektiv. Underrättelseverksamheten inriktar sig på att förebygga, förhindra och upptäcka brottslig verksamhet och skiljer sig därmed från Tullverkets utredande verksamhet, som har till syfte att utreda ett specifikt brott som har begåtts.

Syftet med underrättelseverksamheten är att producera under- rättelser som ger rekommendationer om inriktning och prioritering av myndighetens verksamhet. Underrättelseverksamheten är en kun- skapsuppbyggande verksamhet om sådana förhållanden som bl.a. kan vara av intresse för att upptäcka och identifiera brottslig verksamhet. Att underrättelseverksamheten är kunskapsuppbyggande innebär att verksamheten är kumulativ och varje dokument, ärende och produkt utgör en pusselbit som adderas till Tullverkets förståelse för de

1 Europeiska unionens råds slutsatser om vägen till ett förbättrat informationsutbyte och säkerställande av interoperabiliteten mellan EU:s informationssystem, 10151/17, 8 juni 2017.

SOU 2017:75

Brottsbekämpande verksamhet

aktörer och fenomen som verksamheten har i uppdrag att följa. Målet med underrättelseverksamheten är att reducera osäkerheter som är kopplade till beslutsfattande genom kunskaper och insikter om omvärlden.

Underrättelseverksamheten vid Tullverket beskrivs genom en uppdelning i strategisk och operativ underrättelseverksamhet. Målet med den strategiska underrättelseverksamheten är att producera underrättelser i syfte att identifiera, formulera och stödja Tullverkets övergripande mål, policy, inriktningar och prioriteringar. Den strate- giska verksamheten berör i huvudsak frågor om hur Tullverket ska lösa sitt uppdrag. Målet är att arbetet ska generera rekommendationer om operativa åtgärder. Operativ underrättelseverksamhet producerar underrättelser i syfte att stödja prioritering och genomförande av operativa insatser riktade mot identifierade aktörer och fenomen. Den strategiska underrättelseverksamheten skiljer sig därmed från den operativa genom att den har ett mer långsiktigt och övergripande fokus på myndighetens samlade verksamhet.

5.3Allmänt om straffprocessuella tvångsmedel

RB innehåller inte någon definition av vad ett straffprocessuellt tvångsmedel är. Det rör sig dock om åtgärder som har en funktion inom straffprocessen men som inte utgör straff eller andra sank- tioner. Åtgärderna företas i myndighetsutövning och innebär intrång i en persons rättssfär utan att personen har lämnat sitt samtycke (Gunnel Lindberg, Straffprocessuella tvångsmedel, 3:e uppl., 2013, s. 5–6). Exempel på tvångsmedel är husrannsakan, kroppsvisitation, kroppsbesiktning, beslag, gripande, anhållande och häktning.

Bland de straffprocessuella tvångsmedlen intar de hemliga tvångs- medlen en särställning. Dessa är hemlig avlyssning av elektronisk kommunikation, hemlig övervakning av elektronisk kommuni- kation, hemlig kameraövervakning, kvarhållande (och kontroll) av försändelse samt hemlig rumsavlyssning. Till dessa kommer de osjälvständiga tvångsmedlen, dvs. tvångsmedlen enligt LSU och 2007 års preventivlag, som har sin tillämpning utanför en förundersök- ning. Dessa lagar utökar möjligheterna att under särskilda om- ständigheter ge Polismyndigheten och Säkerhetspolisen tillstånd att använda vissa hemliga tvångsmedel enligt 27 kap. RB. Även inhämt-

Brottsbekämpande verksamhet

SOU 2017:75

ning av uppgifter enligt IHL utgör ett hemligt tvångsmedel (prop. 2011/12:55 s. 111). Den berörde är inte medveten om dessa åtgärder, men det antas att de äger rum mot hans eller hennes vilja. Inhämt- ning av abonnemangsuppgifter enligt LEK har inte ansetts som ett hemligt tvångsmedel, prop. 2011/12:55 s. 110–111. Utredningen delar denna bedömning.

En grundläggande förutsättning för att använda straffprocessuella tvångsmedel är normalt att en förundersökning har inletts. Använd- ningen ska då ytterst ha till syfte att utreda eller lagföra ett visst brott. Regleringen ger dock stöd även för att i vissa fall använda hemliga tvångsmedel för att förebygga, avslöja eller förhindra brotts- lig verksamhet utan att förundersökning har inletts, dvs. i under- rättelseverksamhet.

När lagstiftaren har preciserat i vilka fall en viss myndighet ska ha rätt att få tillgång till en viss typ av uppgifter gäller enligt tolknings- principen om lex specialis att de begränsningar som följer av denna reglering inte ska kunna kringgås genom att myndigheten väljer att tillämpa t.ex. de allmänna bestämmelserna om husrannsakan och beslag. Regeringen har mot den bakgrunden uttalat att uppgifter som angår ett särskilt elektroniskt meddelande som finns hos en leveran- tör inte kan inhämtas med stöd av ett editionsföreläggande eller hus- rannsakan i förening med beslag i fall där annars andra regler för utfående av sådana uppgifter gäller (prop. 2002/03:74 s. 45–46). Följande exempel kan belysa detta. Polisen har inte rätt att utverka ett beslag av en server hos en operatör för att därigenom få tillgång till trafikuppgifter. Polisen måste i sådant fall i stället genom åklagare ansöka om tillstånd till hemlig övervakning av elektronisk kom- munikation hos domstol.

Principerna om ändamål, behov och proportionalitet

Villkoren för att använda de olika tvångsmedlen skiljer sig åt beroende på vilket slags åtgärd som avses och för vilket ändamål den vidtas. För all användning av tvångsmedel gäller dock – vid sidan av kravet på ut- tryckligt lagstöd (legalitetsprincipen) – tre allmänna principer: ända- målsprincipen, behovsprincipen och proportionalitetsprincipen. Dessa principer gäller både vid lagstiftningsarbetet samt vid beslut om, och tillämpning av, de hemliga tvångsmedlen. Principerna finns beskrivna

SOU 2017:75

Brottsbekämpande verksamhet

på flera ställen, se t.ex. SOU 1984:54, avsnitt 3.2.2, SOU 2012:44 s. 118, prop. 1988/89:124 s. 26 och Gunnel Lindberg, Straffprocessuella tvångsmedel, 3:e uppl., 2013, kapitel 3. Principerna gäller inte enbart för tvångsmedel, bl.a. återfinns behovs- och proportionalitetsprincipen i 8 § polislagen, som avser alla tjänsteuppgifter en polisman utför.

Enligt ändamålsprincipen får ett tvångsmedel användas endast för det ändamål som framgår av lagstiftningen. Det är därför av stor vikt att det för varje enskilt tvångsmedel anges i lagstiftningen för vilket eller vilka ändamål det får användas. Som påpekats av bl.a. Gunnel Lindberg har lagstiftaren inte gjort detta för t.ex. hemlig övervakning av elektronisk kommunikation, Gunnel Lindberg, Straffprocessuella tvångsmedel, 3:e uppl., 2013, kapitel 3.2, not 10, och kapitel 36.2. En ändamålsprövning bör ske före behovs- och proportionalitets- prövningen. Om tvångsmedlet inte ska användas för det ändamål det är till för, spelar det ingen roll om det finns ett påtagligt behov och åtgärden framstår som proportionerlig. Enligt ändamålsprincipen kan man inte heller använda ett tvångsmedel med syfte att få fram överskottsinformation.

Behovsprincipen innebär att ett tvångsmedel får användas endast om det finns ett påtagligt behov och en mindre ingripande åtgärd inte är tillräcklig. När det inte längre föreligger skäl för åtgärden ska den upphävas. Åtgärder som huvudsakligen har till syfte att under- lätta för myndigheten anses strida mot principen.

Enligt proportionalitetsprincipen ska en tvångsåtgärd i fråga om art, styrka, räckvidd och varaktighet stå i rimlig proportion till vad som står att vinna med åtgärden. Proportionalitetsprincipen finns lagstadgad i t.ex. 27 kap. 1 § RB och 2 § IHL, men anses gälla vid all tvångsanvändning även utan lagstöd. Vid bedömningen om åtgärden är proportionerlig ska det intrång eller annat men som tvångsmedlet innebär för den misstänkte eller för något annat motstående intresse beaktas. Härmed inbegrips, förutom direkta följder för den som ut- sätts för tvångsmedlet, även indirekta verkningar av tvångsmedels- användningen. Det kan t.ex. röra sig om intrång i tredje mans rätts- ligt skyddade intressen. Proportionalitetsavvägningar kan därför få till följd exempelvis att en myndighet underlåter en tvångsåtgärd mot en advokatbyrå, ett sjukhus eller någon annan inrättning där särskilt känsliga uppgifter bevaras eller yppas.

Det ska alltid ske en prövning huruvida tvångsmedlet över huvud taget är påkallat med hänsyn till förhållandena i det särskilda fallet

Brottsbekämpande verksamhet

SOU 2017:75

och om syftet kan tillgodoses genom någon mindre ingripande åt- gärd. Utgångspunkten bör vara att pröva om alternativa spaningsåt- gärder kan användas och om det kan räcka med att exempelvis till- gripa hemlig övervakning av elektronisk kommunikation i stället för hemlig avlyssning. Proportionalitetsprincipen innebär alltså att utred- ningen i princip ska ha nått ett stadium där det förefaller omöjligt att komma längre med mindre ingripande metoder. Ibland kan det emel- lertid redan från början stå klart att det är meningslöst att försöka med andra metoder. Det kan t.ex. bero på att den misstänkte går mycket försiktigt till väga och kan förutsättas på alla sätt skydda sig mot normala utredningsmetoder. Ett annat fall kan vara att efter- forskningar med vanliga metoder skulle kräva en orimligt stor insats av personal, kunna i förtid avslöja den pågående utredningen eller vara farliga för polispersonalen. (prop. 1988/89:124 s. 27, 28 och 66)

Personlig frihet och integritet ska också beaktas. Ingrepp i dessa intressen är till sin art allvarligare än ingrepp mot egendom eller andra ekonomiska intressen (SOU 1979:6 s. 294 och SOU 1984:54 s. 78). Det är särskilt viktigt att proportionalitet iakttas vid långt- gående intrång i den privata sfären.

Som framgår ovan (avsnitt 3.1.3), följer ett krav på proportiona- litetsavvägningar även av Sveriges internationella åtaganden. När begränsningar görs i rättigheter som följer av Europakonventionen eller EU-stadgan ska alltid proportionalitetsprincipen beaktas. Endast om det finns ett rimligt förhållande mellan behovet av det som ska tillgodoses och ingreppet i den enskildes rätt kan ingreppet vara pro- portionerligt och därmed nödvändigt i ett demokratiskt samhälle (Hans Danelius, Mänskliga rättigheter i Europeisk praxis, 5:e uppl., 2015, s. 57–58 samt artikel 52.1 i stadgan).

Sammanfattningsvis ger proportionalitetsprincipen i sig stöd för att rätten att använda tvångsmedel ska begränsas till vad som är strängt nödvändigt. Samtidigt möjliggör den ett generöst tillämp- ningsområde, eftersom myndigheterna i varje enskilt fall måste göra övervägningar som leder till begränsningar som annars hade behövt vara lagstadgade.

Utöver de principer som nyss redogjorts för, påverkar andra principer användandet av tvångsmedel. Till dem hör exempelvis objek- tivitets- och hänsynsprinciperna i 23 kap. 4 § RB (objektivitets- principen finns även uttryckt i 1 kap. 9 § RF).

Uppgifter om elektronisk kommunikation i brottsbekämpande verksamhet

SOU 2017:75

internetåtkomst och tillhandahållande av kapacitet för att få inter- netåtkomst (anslutningsform).

Telefonitjänst omfattar situationer då E.164-nummer (vanliga telefonnummer) används av någon av samtalsparterna. Det inkluderar fast och mobil telefoni och de flesta internettelefonitjänster. Inter- nettelefoni som bara använder andra adresser än E.164-nummer (exempelvis ip-adresser) omfattas inte. Med telefoni avses inte heller kommunikation som omfattas av begreppet meddelandehantering.1 (prop. 2010/11:46 s. 29–30)

Meddelandehantering definieras i 6 kap. 1 § LEK som utbyte eller överföring av elektroniskt meddelande som inte är samtal och inte heller är information som överförs som del av sändningar av ljudradio- och tv-program. Begreppet innefattar elektroniska meddelanden som t.ex. e-post, sms och mms. Lagringsskyldigheten är inte begränsad till något speciellt kommunikationsprotokoll. (prop. 2010/11:46 s. 30)

Internetåtkomst finns också definierat i 6 kap. 1 § LEK. Med internetåtkomst avses enligt bestämmelsen möjlighet till överföring av ip-paket som ger användaren tillgång till internet. Med ip-paket menas ett telekommunikationspaket med data som ska överföras, inklusive en titelrad med bl.a. sändarens namn och mottagarens ip- adress. I praktiken innebär internetåtkomst att användaren tilldelas en eller flera ip-adresser för kommunikation. Med ip-adress (Inter- net Protocol Adress) avses en unik adress som används för identi- fiering och kommunikation mellan två datorer på internet med hjälp av Internet Protocol-standarden (ip). Ip-adresserna kan vara fasta adresser, dvs. samma användare har alltid samma adress, eller dyna- miska adresser, dvs. de tilldelas användaren under en begränsad tid. När dynamiska ip-adresser används kan alltså samma användare ha olika adresser vid olika tillfällen och samma ip-adress kan användas av olika användare vid olika tillfällen. (prop. 2010/11:46 s. 30)

Med anslutningsform avses själva tekniken eller kapaciteten som ger möjlighet till överföring av ip-paket för att få internetåtkomst, t.ex. DSL (Digital Subscriber Line), fiberoptiska anslutningar, 3G (UMTS), GSM (GPRS), traditionella telefonmodem och WLAN (trådlöst nät), prop. 2010/11:46 s. 30–31 och 77.

1 Observera att definitionen av telefonitjänst i datalagringsdirektivet även innefattade meddelandetjänster, såsom sms och mms, artikel 2 c.

SOU 2017:75

Uppgifter om elektronisk kommunikation i brottsbekämpande verksamhet

Besök på webbsidor och chattsidor samt användning av File Transfer Protocol (FTP, dvs. upp- och nedladdning av filer) är exem- pel på tjänster som faller utanför lagringsskyldighetens räckvidd (prop. 2010/11:46 s. 77, se även avsnitt 12.4.2).

I 39–43 §§ FEK anges på en mer detaljerad nivå vilka uppgifter som ska lagras inom respektive teknikslag. PTS får också meddela närmare föreskrifter om de uppgifter som ska lagras (44 §).

Av bestämmelserna i FEK framgår följande.

För telefonitjänst ska det lagras uppringande nummer, uppringt nummer och nummer som samtalet styrts till, uppgifter om upp- ringande och uppringd abonnent och, i förekommande fall, regist- rerad användare, datum och spårbar tid då kommunikationen på- börjades och avslutades samt uppgifter om den eller de tjänster som har använts. För mobiltelefoni ska det därutöver lagras uppringandes och uppringds abonnemangsidentitet och utrustningsidentitet, loka- liseringsuppgifter för kommunikationens början och slut samt datum, spårbar tid och lokaliseringsuppgifter för den första akti- veringen av en förbetald anonym tjänst (t.ex. oregistrerade kontant- kort).

För ip-telefoni ska det därutöver lagras uppringandes och upp- ringds ip-adresser, datum och spårbar tid för på- och avloggning i den eller de tjänster som använts samt uppgifter som identifierar den utrustning där kommunikationen slutligt avskiljs från den lagrings- skyldige till den enskilda abonnenten.

Vid meddelandehantering ska det lagras avsändares och mottaga- res nummer, ip-adress eller annan meddelandeadress, uppgifter om avsändande och mottagande abonnent och, i förekommande fall, registrerad användare, datum och spårbar tid för på- och avloggning i den eller de tjänster som använts, datum och spårbar tid för av- sändande och mottagande av meddelande samt uppgifter om den eller de tjänster som har använts.2

När det gäller internetåtkomst och anslutningsform ska det lagras användares ip-adress, uppgifter om abonnent och, i förekommande

2 Det kan särskilt noteras att lokaliseringsuppgifter inte ska lagras vid (mobil) meddelande- hantering. Varför denna skillnad, i förhållande till telefonitjänst, har gjorts finns inte närmare utvecklat i förarbetena, se SOU 2007:76, särskilt avsnitt 6.10, samt prop. 2010/11:46, särskilt s. 27–28 och 33–37. Någon sådan skillnad finns inte i 6 kap. 16 a § LEK och det kan disku- teras om det möjligen inte var så att datalagringsdirektivet ålade medlemsstaterna att införa en sådan lagringsskyldighet, se artikel 5.1 f) 1 i datalagringsdirektivet samt artikel 2 d) i direktiv 2002/58, jfr dock artikel 2.2 e) i datalagringsdirektivet.

Uppgifter om elektronisk kommunikation i brottsbekämpande verksamhet

SOU 2017:75

fall, registrerad användare, datum och spårbar tid för på- och av- loggning i tjänsten som ger internetåtkomst, den typ av kapacitet för överföring som har använts samt uppgifter som identifierar den utrustning där kommunikationen slutligt avskiljs från den lagrings- skyldige till den enskilda abonnenten.

En fråga som varit föremål för diskussion är hur långt lagrings- skyldigheten sträcker sig avseende ip-adresser. Det är inte ovanligt att privatpersoner, företag eller operatörer använder sig av NAT- teknik, som enkelt uttryckt innebär att en publik ip-adress används och delas upp i flera privata ip-adresser, exempelvis genom en router. NAT-tekniken används även i stor skala, av t.ex. internetleveran- törer, och en publik ip-adress kan i teorin delas av omkring 65 000 abonnenter eller användare. PTS har gjort bedömningen att lag- ringsskyldigheten i dessa fall inte sträcker sig längre än till den privata ip-adressen, se PTS skrivelse den 26 februari 2015 till Eko- brottsmyndigheten, dnr 15-1185. (se även SOU 2015:31 s. 320)

Som framgår ovan, ska det i flera fall lagras de tjänster som använts. Med tjänst avses exempelvis rösttelefoni, konferenssamtal, typ av meddelandetjänst (sms, mms, etc.) eller extratjänster som vidare- sändning och omstyrning av samtal (SOU 2007:76 s. 154).

Av 6 kap. 16 a § LEK följer vidare att den svenska regleringen på två punkter går längre än vad datalagringsdirektivet krävde (avsnitt 8.1). Lagringsskyldigheten omfattar nämligen även uppgifter som behövs för att lokalisera mobil kommunikationsutrustning vid kommuni- kationens slut samt uppgifter som genererats eller behandlats vid misslyckad uppringning.

En lagringsskyldig leverantör får enligt 6 kap. 16 a § tredje stycket LEK uppdra åt någon annan att utföra själva lagringen. Enligt 6 kap. 16 b § kan en leverantör, om det finns synnerliga skäl för det, undan- tas från lagringsskyldigheten.

Lagringsskyldigheten gäller enligt 6 kap. 16 d § LEK under sex månader från den dag då kommunikationen avslutades. Därefter ska uppgifterna omedelbart utplånas, om det inte är så att de har begärts utlämnade men ännu inte hunnit lämnas ut. I sådana fall ska upp- gifterna i stället utplånas så snart de har lämnats ut.

SOU 2017:75

Uppgifter om elektronisk kommunikation i brottsbekämpande verksamhet

6.2Regleringen av tillgång till uppgifter

Enligt 6 kap. 16 c § LEK får uppgifter som lagrats enligt 16 a § behandlas endast för att lämnas ut enligt 22 § första stycket 2, 27 kap. 19 § RB eller IHL. Härtill kommer de osjälvständiga hemliga tvångmedlen, dvs. de hemliga tvångsmedlen enligt 27 kap. RB som får användas enligt förutsättningarna i 2007 års preventivlag och LSU. De två sistnämnda hänvisar till RB:s regler om hemlig övervak- ning av elektronisk kommunikation.

6.2.1Begreppen abonnemangsuppgifter, trafikuppgifter och lokaliseringsuppgifter

Av regleringen i 6 kap. LEK följer att trafikuppgifter som lagras av en leverantör med stöd av den tvingande regleringen i 16 a § i nämnda kapitel får behandlas – vid sidan av själva lagringen och den efter- följande raderingen – endast för att lämnas ut enligt 6 kap. 22 § första stycket 2 LEK, 27 kap. 19 § RB och enligt IHL. Villkoren för denna inhämtning av uppgifter, som alltså är uppdelad på tre olika regelverk, berörs mer ingående i det följande.

De lagringsskyldiga leverantörerna ska enligt 6 kap. 16 f § LEK bedriva sin verksamhet så att uppgifterna kan lämnas ut utan dröjs- mål och så att det inte röjs att uppgifterna lämnats ut. Uppgifterna ska också göras tillgängliga på ett sådant sätt att informationen enkelt kan tas om hand av de brottsbekämpande myndigheterna.

Det kan nämnas att uppgifter som inte lagrats med stöd av den tvingande regleringen i 6 kap. 16 a § LEK ändå kan finnas tillgängliga hos leverantören, exempelvis för att denne behöver uppgifterna för sin fakturering. Sådana uppgifter kan också hämtas in av de brotts- bekämpande myndigheterna enligt gällande regelverk (avsnitt 4.3). Reglerna om lagring är på så sätt frikopplade från reglerna om in- hämtning. Lagringsskyldigheten är alltså till för att underlätta in- hämtningen och säkerställa att alla operatörerna lagrar de uppgifter som omfattas, men reglerna om inhämtning är inte beroende av lagringsskyldigheten.

Vidare finns, när det gäller andra uppgifter som rör leveran- törernas kunder än de uppgifter som lagras enligt 6 kap. 16 a § LEK, bestämmelser som genombryter leverantörens tystnadsplikt i situa- tioner som omfattar utlämnande för bl.a. delgivning i vissa fall, efter-

Uppgifter om elektronisk kommunikation i brottsbekämpande verksamhet

SOU 2017:75

forskning av försvunna personer, identifiering vid olyckor och dödsfall samt underrättelse av vårdnadshavare till en underårig som misstänks för brott (6 kap. 22 § första stycket 1, 3, 6 och 7 LEK). I dessa fall genombryts tystnadsplikten – med ett undantag – enbart i fråga om uppgifter om abonnemang. För ändamålet att eftersöka försvunna personer ska även andra uppgifter som angår ett elektro- niskt meddelande, t.ex. lokaliseringsuppgifter, på begäran lämnas ut.

Med uppgift om abonnemang i 6 kap. 20 § LEK avses t.ex. uppgifter om abonnentens nummer, namn, titel och adress (prop. 1992/93:200 s. 310). Till abonnemangsuppgifter brukar även räknas uppgifter om exempelvis avtal och fakturering. Vidare innefattas såväl fasta som dynamiska ip-adresser och IMSI-nummer (ett num- mer som är kopplat till abonnentens sim-kort och därmed telefon- nummer). Däremot har det påståtts att varken IMEI-nummer (ett id-nummer för kommunikationsutrustningen) eller PUK-kod om- fattas av begreppet, prop. 2011/12:55 s. 62, 69 och 101 (se dock det i propositionen redovisade remissyttrandet av Säkerhetspolisens ang. IMEI-nummer), SOU 2007:76 s. 64–66, SOU 2009:1 s. 70–73 och 95 samt Gunnel Lindberg, Straffprocessuella tvångsmedel, 3:e uppl., 2013, s. 485 (annan uppfattning ang. IMEI-nummer).

Det kan ifrågasättas om det är lämpligt eller ens möjligt att defi- niera abonnemangsuppgifter endast utifrån vilken uppgift det är fråga om. Enligt utredningen är det mer relevant att som utgångspunkt definiera abonnemangsuppgifter som uppgifter som identifierar abonnenten eller den registrerade användaren bakom ett visst num- mer eller en viss adress, i motsats till uppgifter som redogör för hur numret eller adressen har använts. Utifrån en sådan definition utgör uppgift om vilken abonnent som är kopplad till ett visst IMSI- nummer en abonnemangsuppgift medan information om vilka andra nummer eller adresser som ett visst IMSI-nummer har kommunice- rat med inte gör det. En sådan definition stämmer väl överens med hur de olika uppgiftskategorierna exemplifierades i förarbetena till telelagen, varifrån begreppet ursprungligen härstammar, prop. 1992/93:200 s. 310 och prop. 2002/03:110 s. 271. Definitionen får också visst stöd av ett uttalande från Kammarrätten i Stockholm i rättsfallet RK 2010:1. Kammarrätten ansåg att en begäran om upp- gifter som syftar till att identifiera ett abonnemang eller en abonnent i princip avser uppgifter om abonnemang. Kammarrätten gick emeller- tid ett steg längre och menade att om en sådan begäran även inne-

SOU 2017:75

Uppgifter om elektronisk kommunikation i brottsbekämpande verksamhet

fattade en annan uppgift, i det fallet vilka IMSI-nummer som använts i kombination med ett visst känt IMEI-nummer, utgjorde det allt- jämt en fråga som syftade till att identifiera ett abonnemang och därmed en uppgift som skulle lämnas ut av operatören i enlighet med 6 kap. 22 § första stycket 2 LEK.

För att ytterligare illustrera skillnaden mellan abonnemangs- uppgifter och andra uppgifter kan en jämförelse göras med uppgifter om ett fordon. Uppgift om vem som äger fordonet vid en viss tid- punkt skulle motsvara en abonnemangsuppgift medan frågor om var fordonet befunnit sig vid samma tidpunkt inte skulle göra det.

Abonnemangsuppgifter finns tillgängliga för leverantören i elek- tronisk form. För att uppgifter om en fysisk person ska tas in i en abonnentförteckning som görs allmänt tillgänglig krävs att den enskilde lämnat sitt samtycke till det (6 kap. 16 § LEK). I den ut- sträckning uppgifter finns tillgängliga i sådana allmänt tillgängliga förteckningar omfattas de, till följd av abonnentens samtycke, i praktiken inte av tystnadsplikten. Bestämmelserna om skyldighet att lämna ut uppgifter om abonnenter får därför betydelse i första hand i fråga om uppgifter som rör abonnenter som inte har lämnat sitt sam- tycke till att uppgifterna offentliggörs och när det gäller uppgifter som normalt inte offentliggörs, t.ex. ip-adresser.

Som framgår i avsnitt 6.1 är en ip-adress en unik adress som en dator eller ett lokalt nätverk tilldelas för att datapaket ska kunna skickas och tas emot över internet genom den tekniska kommuni- kationsstandarden Internet Protocol. Ip-adressen kan därför, något förenklat, liknas med ett postnummer för vanliga brevförsändelser. Ip-adressen är en teknisk uppgift som ingår i varje datapaket och som behövs för att datapaketet ska nå sin destination på internet.

En ip-adress kan vara fast eller dynamisk och tilldelas en använ- dare via t.ex. en internetleverantör. Av praktiska skäl tilldelas privat- personer vanligen dynamiska ip-adresser. Dessa är inte konstant knutna till specifika datorer eller annan utrustning som kommunice- rar över internet utan tilldelas olika datorer beroende på vilka en- heter som vid varje given tidpunkt är uppkopplade mot internet. Eftersom ip-adressen hänför sig till internetuppkopplingen som sådan och inte uteslutande rör ett visst elektroniskt meddelande kan ip-adressens huvudsakliga syfte sägas vara att identifiera abonnenten. Mot den bakgrunden anses ip-adressen, oberoende av om den är fast eller dynamisk, vara en uppgift om abonnemang (prop. 2011/12:55

Uppgifter om elektronisk kommunikation i brottsbekämpande verksamhet

SOU 2017:75

s. 101). Utredningen delar denna bedömning. Även de flesta med- lemsstater i den informella rådsarbetsgrupp i EU som behandlar datalagringsfrågan efter Tele2-domen har preliminärt kommit till slutsatsen att ip-adresser är abonnemangsuppgifter (som inte om- fattas av domen, se även avsnitt 12.2). Det existerar emellertid även andra uppfattningar, enligt vilka de uppgifter som krävs för att identifiera abonnenten bakom en ip-adress inte ska anses vara upp- gifter om abonnemang, bl.a. eftersom det kan röra sig om tidsloggar för internetåtkomst (avsnitt 12.2).

Med trafikuppgifter avses i detta sammanhang enkelt uttryckt de uppgifter som behövs för att förmedla ett elektroniskt meddelande i ett elektroniskt kommunikationsnät eller för att fakturera ett sådant meddelande (6 kap. 1 § LEK). De trafikuppgifter som genereras vid elektronisk kommunikation kan avslöja t.ex. vilken typ av kom- munikation som förekommit (telefoni, sms, etc.), vilken utrustning som använts, vilka nummer eller adresser som kommunicerat med varandra samt när och hur länge kommunikationen pågått. Utanför begreppet trafikuppgifter faller information som avslöjar medde- landets innehåll.

En uppgift om vilket abonnentnummer som har använts för att skicka eller ta emot ett visst meddelande utgör en trafikuppgift då uppgifterna behövs för att överföra meddelandet. En uppgift om vem som innehar detta nummer är däremot en abonnemangsuppgift. Dessa uppgifter finns normalt tillgängliga i leverantörernas kund- och faktureringssystem under den tid som de behövs för att t.ex. fakturera för utnyttjade tjänster eller erbjuda andra mervärdes- tjänster.

Vid sidan av begreppet trafikuppgifter används även uttrycket lokaliseringsuppgifter för att beteckna uppgifter som genereras vid elektronisk kommunikation och som är knutna till lokaliseringen av den kommunikationsutrustning som används vid överföringen av ett elektroniskt meddelande. Det kan t.ex. vara fråga om vilken cell (antenn på basstation) som utrustningen kopplat upp sig mot eller en gps-position. (prop. 2002/03:110 s. 261–262 och SOU 2009:1 s. 71–72)

100

SOU 2017:75

Uppgifter om elektronisk kommunikation i brottsbekämpande verksamhet

6.2.2Abonnemangsuppgifter

Som framgår ovan, har en leverantör tystnadsplikt för uppgifter om abonnemang, innehållet i ett elektroniskt meddelande och andra uppgifter som angår ett särskilt elektroniskt meddelande – med vissa undantag i förhållande till innehavaren av ett abonnemang och den som tagit del i utväxlingen av meddelandet (6 kap. 20 § LEK). Upp- gifter som angår ett särskilt elektroniskt meddelande anses enligt praxis vara uppgifter om vilka som har deltagit i utväxlingen av ett elektroniskt meddelande, uppgifter om när och under hur lång tid utväxlingen ägde rum och uppgifter om positionen hos den utrust- ning som använts vid kommunikationen. Tystnadsplikten omfattar i förekommande fall även information om att uppgifter i hemlighet har inhämtats av de brottsbekämpande myndigheterna (6 kap. 21 § LEK).

En åklagarmyndighet, Polismyndigheten, Säkerhetspolisen eller annan myndighet som ska ingripa mot brott (Tullverket, Kustbevak- ningen och Skatteverket) har trots tystnadsplikten rätt att få tillgång till abonnemangsuppgifter, om uppgiften gäller misstanke om brott som myndigheten ska ingripa mot (6 kap. 22 § första stycket 2 LEK). Regleringen innebär att de brottsbekämpande myndigheterna i princip har rätt att inhämta abonnemangsuppgifter för att beivra alla typer av brott utom sådana som åtalas enbart av målsäganden. In- hämtning av sådana uppgifter får även göras i underrättelseverksam- het (SOU 2015:31 s. 198–199, med förslag till förtydligande i denna del). En begränsning av tillgången följer dock av behovs- och proportionalitetsprincipens krav. Det är emellertid svårt att se att en inhämtning av abonnemangsuppgifter i praktiken skulle utmana någon av de nämnda principerna. Som nämnts ovan anses inte inhämtning av uppgifter om abonnemang enligt LEK nå upp till den nivå av integritetsintrång att det har bedömts vara ett hemligt tvångsmedel (prop. 2013/14:237 s. 134). Uppgifterna är typiskt sett inte heller särskilt integritetskänsliga (SOU 2015:31 s. 186 och Ds 2014:23 s. 66 och 69). Däremot är uppgifterna ändå skyddsvärda, eftersom de utgör en länk mellan förhållandevis anonyma uppgifter och en fysisk person.

Fram till den 1 juli 2012 gällde att tystnadsplikten för abonne- mangsuppgifter genombröts bara om fängelse var föreskrivet för brottet och det enligt myndighetens bedömning kunde föranleda annan påföljd än böter. På grund av denna begränsning kunde

101

Uppgifter om elektronisk kommunikation i brottsbekämpande verksamhet

SOU 2017:75

abonnemangsuppgifter i realiteten inte hämtas in för många brott av normalgraden med böter i straffskalan. I förarbetena till 2012 års ändring i LEK konstaterade regeringen bl.a. att det hade skett en betydande teknisk utveckling och förändring av i vilken omfattning enskilda använder bl.a. datorer och mobiltelefoner (prop. 2011/12:55 s. 102). Trakasserier via internet av olika slag, nätmobbning och för- tal, liksom vuxnas kontakter med barn i sexuella syften (grooming) bedömdes ha blivit ett allt större problem. Regeringen framhöll att när sådant beteende misstänktes utgöra brott hade de brottsutredande myndigheterna ofta begränsade möjligheter att utreda brotten, bl.a. eftersom möjligheterna att identifiera den som stått bakom kom- munikationen många gånger var små på grund av begränsningarna i rätten att få tillgång till abonnemangsuppgifter. Detsamma ansåg regeringen gälla i fråga om de reella möjligheterna för polisen att ingripa mot internetrelaterade immaterialrättsbrott. Vid bedöm- ningen av det intrång som ett enskilt utlämnande av uppgifter om en abonnent innebär beaktade regeringen särskilt att privatpersoner vanligen använder dynamiska ip-adresser. Möjligheterna till kart- läggning av en abonnents kontakter via internet vid andra tillfällen bedömdes därmed bli begränsade vid ett enstaka utlämnande. Vidare menade regeringen att de brottsbekämpande myndigheternas intresse av tillgång till uppgifter om abonnemang hade förändrats på grund av utvecklingen av den internetrelaterade brottsligheten. Regeringen ansåg att intresset av att lämna ut abonnemangsuppgifter för att bekämpa brott vägde tyngre än det motstående intresset av att skydda enskildas integritet och föreslog därför att kravet på fängelse i straff- skalan och det särskilda kravet i fråga om brottets straffvärde skulle tas bort (prop. 2011/12:55 s. 103). Riksdagen ställde sig bakom denna bedömning (bet. 2011/12:JuU8 och rskr. 2011/12:212).

6.2.3Hemlig övervakning av elektronisk kommunikation

Hemlig övervakning av elektronisk kommunikation innebär att upp- gifter i hemlighet hämtas in om meddelanden (dvs. både samtal och skriftliga meddelanden) som i ett elektroniskt kommunikationsnät överförs eller har överförts till eller från ett telefonnummer eller annan adress (t.ex. en ip-adress), vilka elektroniska kommunikations- utrustningar som har funnits inom ett visst geografiskt område (s.k.

102

SOU 2017:75

Uppgifter om elektronisk kommunikation i brottsbekämpande verksamhet

basstationstömning) eller i vilket geografiskt område en viss elek- tronisk kommunikationsutrustning finns eller har funnits (27 kap. 19 § första stycket RB). De uppgifter som kan hämtas in genom tvångsmedlet är alltså trafikuppgifter och lokaliseringsuppgifter. Tvångsmedlet ger inte tillgång till uppgifter om innehållet i med- delanden. Hemlig övervakning av elektronisk kommunikation om- fattar såväl inhämtning av uppgifter från telefoni- och internet- operatörer som inhämtning genom egna tekniska medel som de brottsbekämpande myndigheterna förfogar över. Tvångsmedlet kan användas också för att hindra meddelanden som överförs i ett elek- troniskt kommunikationsnät från att nå fram.

Hemlig övervakning av elektronisk kommunikation får enligt 27 kap. 19 § tredje stycket RB användas vid förundersökning om brott för vilket det inte är föreskrivet lindrigare straff än fängelse i sex månader, vid förundersökning som avser dataintrång, barnporno- grafibrott som inte är ringa eller narkotikabrott eller narkotika- smuggling av normalgraden. Därutöver får tvångsmedlet användas vid förundersökning om vissa samhällsfarliga brott som bekämpas av Säkerhetspolisen, t.ex. sabotage, spioneri och vissa former av terro- ristbrottslighet. Tvångsmedlet får också användas vid förundersök- ning om försök, förberedelse eller stämpling till nu nämnd brottslig- het i den mån sådana förstadier till brott är straffbelagda.

En förutsättning för att hemlig övervakning av elektronisk kom- munikation ska få användas vid förundersökning är att åtgärden är av synnerlig vikt för utredningen. Som huvudregel krävs även att det finns någon som är skäligen misstänkt för brottet. Tillstånd till tvångsmedlet kan emellertid meddelas även utan att det finns en skäligen misstänkt person om syftet med övervakningen är att utreda vem som skäligen kan misstänkas för brottet. Det krävs då att förundersökningen avser brott som kan leda till hemlig avlyssning av elektronisk kommunikation. Det ska alltså vara fråga om ett brott vars minimistraff är fängelse i minst två år, vissa särskilt angivna samhällsfarliga brott som bekämpas av Säkerhetspolisen, försök, förberedelse eller stämpling till sådana brott om detta är straffbart, eller ett annat brott om brottets straffvärde med hänsyn till omstän- digheterna kan antas överstiga två års fängelse.

När hemlig övervakning av elektronisk kommunikation används för att hämta in uppgifter om meddelanden i syfte utreda vem som skäligen kan misstänkas för ett brott får övervakningen bara avse

103

Uppgifter om elektronisk kommunikation i brottsbekämpande verksamhet

SOU 2017:75

uppgifter i förfluten tid (27 kap. 20 § andra stycket RB). En bas- stationstömning får avse kommunikationsutrustning, telefon- nummer eller annan adress och göras även när utrustningens iden- tifikationsnummer är okänt (27 kap. 20 § första stycket 1 samt prop. 2011/12:55 s. 128).

Hemlig övervakning av elektronisk kommunikation som avser en skäligen misstänkt person får endast avse ett telefonnummer, en annan adress eller en elektronisk kommunikationsutrustning som innehas eller har innehafts eller annars kan antas ha använts eller komma att användas av den misstänkte under den tid tillståndet till övervakning gäller (27 kap. 20 § första stycket 1 RB).

Tvångsmedlet får enligt huvudregeln användas endast efter för- handsprövning och beslut av domstol. Tingsrätten prövar frågan efter ansökan av en åklagare (27 kap. 21 § RB). Om det kan befaras att det skulle innebära en fördröjning av väsentlig betydelse för utredningen att inhämta rättens tillstånd, får tillstånd ges interi- mistiskt av åklagaren i avvaktan på domstolens prövning. Ett sådant beslut ska utan dröjsmål anmälas till rätten som skyndsamt ska pröva om det finns skäl för åtgärden. Om domstolen vid sin prövning bedömer att det inte finns skäl för åtgärden ska den upphäva beslutet. I sådana fall får uppgifter som redan har inhämtats med stöd av det interimistiska beslutet inte användas i en förundersökning till nack- del för den som har omfattats av övervakningen (27 kap. 21 a § RB).

I ett beslut att tillåta hemlig övervakning av elektronisk kom- munikation ska det anges vilken tid åtgärden avser. Tiden får inte bestämmas längre än nödvändigt och får, när det gäller tid som infaller efter beslutet, inte överstiga en månad. Tiden kan dock för- längas genom ett nytt beslut. I beslutet ska också anges vilket telefon- nummer eller annan adress, vilken elektronisk kommunikations- utrustning eller vilket geografiskt område tillståndet avser (27 kap. 21 § RB).

Möjligheterna att använda uppgifter som kommit fram vid hemlig övervakning av elektronisk kommunikation för att inleda förunder- sökning om ett annat brott än det som legat till grund för beslutet (överskottsinformation) är begränsade. Förundersökning får näm- ligen normalt endast inledas om det är föreskrivet fängelse ett år eller mer för brottet (27 kap. 23 a § RB). Uppgifterna får dock alltid använ- das för att förhindra förestående brott eller i pågående förunder- sökningar.

104

SOU 2017:75

Uppgifter om elektronisk kommunikation i brottsbekämpande verksamhet

6.2.4IHL

IHL reglerar Polismyndighetens, Säkerhetspolisens och Tullverkets möjligheter att hämta in uppgifter om elektronisk kommunikation i underrättelseverksamhet. Lagen reglerar enbart inhämtning från den som enligt LEK tillhandahåller ett elektroniskt kommunikationsnät eller en elektronisk kommunikationstjänst och ger alltså inte stöd för de brottsbekämpande myndigheterna att hämta in uppgifter med hjälp av egna tekniska hjälpmedel. Inhämtning av uppgifter enligt lagen utgör definitionsmässigt ett hemligt tvångsmedel (prop. 2011/12:55 s. 111).

De uppgifter som får hämtas in med stöd av lagen är

•historiska uppgifter om meddelanden

•uppgifter om vilka elektroniska kommunikationsutrustningar som har funnits inom ett visst geografiskt område (basstations- tömning)

•uppgift om i vilket geografiskt område en viss elektronisk kom- munikationsutrustning finns eller har funnits.

Uppgifter får hämtas in om omständigheterna är sådana att åtgärden är av särskild vikt för att förebygga, förhindra eller upptäcka brotts- lig verksamhet som innefattar brott vilka har ett straffminimum på fängelse två år (2 §). Enligt en särskild bestämmelse (3 §) är inhämt- ning av uppgifter också möjlig vid brottslig verksamhet som inne- fattar vissa särskilt angivna samhällsfarliga brott inom Säkerhets- polisens ansvarsområde med lägre straffminimum, t.ex. sabotage och spioneri. Denna bestämmelse är tidsbegränsad och gäller till utgången av 2019.

Genom rekvisitet ”brottslig verksamhet” framgår att det inte ställs krav på att det ska finnas en misstanke om ett specifikt brott (prop. 2011/12:55 s. 123). Det föreligger därmed en principiell skillnad i förhållande till tillämpningsområdet för straffprocessuella tvångsmedel enligt RB.

Beslut om inhämtning fattas av myndigheten själv utan förhands- kontroll av någon utomstående oberoende myndighet.

105

Uppgifter om elektronisk kommunikation i brottsbekämpande verksamhet

SOU 2017:75

6.2.52007 års preventivlag

I vissa fall får hemlig övervakning av elektronisk kommunikation användas också utan att en förundersökning pågår, då i syfte att förhindra vissa särskilt allvarliga brott. Enligt 2007 års preventivlag får tillstånd till bl.a. hemlig övervakning av elektronisk kommuni- kation meddelas om det finns en påtaglig risk för att en person kommer att utöva brottslig verksamhet som innefattar vissa särskilt angivna brott. Det rör sig främst om sådan samhällsfarlig brotts- lighet som bekämpas av Säkerhetspolisen, t.ex. sabotage, spioneri och terroristbrottslighet, men även vissa våldsbrott och brott mot fri- het och frid som begås i syfte att påverka offentliga organ eller jour- nalister (systemhotande brottslighet). Även om lagen främst rör brottslig verksamhet inom Säkerhetspolisens område kan också Polismyndigheten använda lagen. Det sker dock mycket sällan. Till- stånd får meddelas endast om åtgärden är proportionerlig och av syn- nerlig vikt för att förhindra sådan brottslig verksamhet (1 och 5 §§).

Hemlig övervakning enligt 2007 års preventivlag får avse endast ett telefonnummer eller annan adress eller en viss elektronisk kom- munikationsutrustning som under den tid tillståndet omfattar inne- has eller har innehafts av den som kan antas komma att utöva den brottsliga verksamheten eller som annars kan antas ha använts eller komma att användas av honom eller henne. Hemlig övervakning får också avse ett telefonnummer, en annan adress eller en viss kom- munikationsutrustning som det finns synnerlig anledning att anta att han eller hon under den tid tillståndet avser har kontaktat eller kom- mer att kontakta.

Frågan om tillstånd till tvångsmedel enligt lagen prövas av dom- stol (Stockholms tingsrätt) efter ansökan av åklagare (6 §). Till- ståndet får – som beträffande övriga hemliga tvångsmedel – inte ges för längre tid än nödvändigt och får, i fråga om tid efter beslutet, inte överstiga en månad från dagen för beslutet (7 §). Om tiden inte räcker, får tillstånd sökas på nytt. Om det inte längre finns skäl för ett tillstånd till tvångsmedelsanvändning, ska åklagaren eller rätten omedelbart häva beslutet. Polisen ska omedelbart underrätta åklaga- ren om omständigheter som har betydelse för om beslutet ska hävas (10 §). Reglerna i RB om handläggning vid domstol av frågor om tvångsmedel i brottmål och om överklagande av beslut i sådana frågor

106

SOU 2017:75

Uppgifter om elektronisk kommunikation i brottsbekämpande verksamhet

tillämpas på förfarandet, om inte annat sägs i lagen. Handläggningen ska ske skyndsamt (15 §).

6.2.6LSU

Enligt LSU får en utlänning utvisas ur landet bl.a. om det med hänsyn till vad som är känt om utlänningens tidigare verksamhet och övriga omständigheter kan befaras att han eller hon kommer att begå eller medverka till terroristbrott enligt 2 § lagen (2003:148) om straff för terroristbrott eller försök, förberedelse eller stämpling till sådant brott (1 §). Om ett beslut om sådan utvisning tills vidare inte ska verkställas på grund av inhibition eller ett tidsbegränsat uppehållstillstånd, får Migrationsverket eller regeringen besluta att vissa tvångsmedelsregler som finns i lagens 19–22 §§ ska tillämpas på utlänningen. Detsamma gäller om det utvisningsbeslut som inte ska verkställas har fattats enligt 8 kap. utlänningslagen (2005:716) och det finns sådana om- ständigheter avseende utlänningen som nämnts ovan (11 och 11 a §§).

Av 19 och 20 §§ framgår att tvångsmedelsreglerna när de är tillämpliga medför att rätten under vissa förutsättningar kan meddela tillstånd enligt 27 kap. RB till hemlig avlyssning av elektronisk kom- munikation eller, om det är tillräckligt, hemlig övervakning av elek- tronisk kommunikation. Sådant tillstånd får meddelas om det är av betydelse för att utröna om utlänningen eller en organisation eller grupp som han eller hon tillhör eller verkar för planlägger eller för- bereder terroristbrott enligt 2 § lagen (2003:148) om straff för terro- ristbrott och det finns synnerliga skäl.

Yrkande om tillstånd hos domstol görs av Säkerhetspolisen eller Polismyndigheten. En särskild regel gäller beträffande forum (21 §). Tillståndet ska, som beträffande övriga hemliga tvångsmedel, med- delas att gälla för en viss tid som inte får överstiga en månad. Om tiden inte räcker får en ny ansökan göras. I fråga om förfarandet i övrigt tillämpas 27 kap. RB (21 §).

6.3Säkerheten för lagrade uppgifter

Vid genomförandet av datalagringsdirektivet i Sverige (avsnitt 8.1.4) konstaterades att det i LEK redan fanns regler om såväl driftsäkerhet (5 kap. 6 a §) som integritetsskydd (6 kap. 3 §). Sist nämnda bestäm-

107

Uppgifter om elektronisk kommunikation i brottsbekämpande verksamhet

SOU 2017:75

melse, som genomför artikel 4.1 i direktiv 2002/58, reglerar leveran- törernas skyldighet att vidta lämpliga åtgärder för att säkerställa att behandlade uppgifter skyddas. Åtgärderna ska vara ägnade att säker- ställa en säkerhetsnivå som, med beaktande av tillgänglig teknik och kostnaderna för åtgärderna, är anpassad till risken för integritets- intrång. Detta grundskydd ansågs dock inte tillräckligt för uppgifter som skulle lagras enligt datalagringsdirektivet (prop. 2010/11:46 s. 54). Det angavs, mot bakgrund av det nya syfte för vilket uppgifter skulle lagras samt den mängd uppgifter det rörde sig om, att kravet på säkerheten borde höjas samt att säkerhetsnivån borde preciseras. Resultatet blev att det infördes en ny bestämmelse i 6 kap. 3 a § LEK av vilken det framgår att den som är lagringsskyldig ska vidta de sär- skilda tekniska och organisatoriska åtgärder som behövs för att skydda de lagrade uppgifterna vid behandling. I förarbetena angavs att det därav följer att bestämmelsen, till skillnad från vad som gäller enligt 6 kap. 3 § LEK, inte lämnar något utrymme att bestämma säkerhetsnivån genom en avvägning mellan teknik, kostnader och risken för integritetsintrång (prop. 2010/11:46 s. 75).

I 6 kap. 3 a § andra stycket LEK bemyndigas regeringen eller den myndighet regeringen bestämmer att komplettera lagbestämmelsen med ytterligare föreskrifter om säkerheten. Detta har regeringen gjort i 37 § FEK. Av bestämmelsen framgår att den som är lagrings- skyldig ska vidta åtgärder för att säkerställa att de lagrade uppgifterna är av samma kvalitet och föremål för samma säkerhet och skydd som vid den behandling som skett före lagringen. Vidare framgår att åtgärder ska vidtas för att skydda uppgifterna mot oavsiktlig eller otillåten förstöring och oavsiktlig förlust eller ändring samt för att förhindra otillåten lagring, behandling av eller tillgång till och otillåtet avslöjande av uppgifterna. Slutligen får uppgifterna göras tillgängliga endast för personal med särskild behörighet. PTS får efter att ha hört Polismyndigheten, Säkerhetspolisen och Datainspektionen meddela närmare föreskrifter om de åtgärder som ska vidtas.

PTS har med stöd av bemyndigandet i 37 § FEK meddelat sådana föreskrifter (PTSFS 2012:4). Dessa går i korthet ut på att den lagringsskyldige ska bedriva ett kontinuerligt och systematiskt säker- hetsarbete med beaktande av de särskilda risker lagringsskyldigheten medför (3 §). Rutiner ska finnas som säkerställer att bara personal med särskild behörighet har tillgång till lagrade uppgifter och de system som hanterar uppgifterna (4 §). Den utrustning som används

108

SOU 2017:75

Uppgifter om elektronisk kommunikation i brottsbekämpande verksamhet

för att lagra uppgifter ska också placeras i ett särskilt skyddat ut- rymme för att förhindra förlust av eller otillåten tillgång till upp- gifterna (5 §). Vidare ska all behandling av lagrade uppgifter loggas i krypterad form och på ett sådant sätt att det går att följa upp vem som har haft tillgång till uppgifterna och vid vilken tidpunkt (6 §). Lagrade uppgifter ska också säkerhetskopieras (7 §).

PTS har även fått i uppdrag att utöva tillsyn över leverantörernas lagring av trafikuppgifter. Det ansågs att myndighetens tillsynsbe- fogenheter var ändamålsenliga och tillräckliga (prop. 2010/11:46 s. 58). Av dessa följer att myndigheten bl.a. har rätt att förelägga en leverantör som bedriver verksamhet som omfattas av LEK att till- handahålla myndigheten upplysningar och handlingar som behövs för att kontrollera lagens efterlevnad, att meddela förelägganden och för- bud som får förenas med vite och, om ingen rättelse sker, återkalla ett tillstånd att bedriva verksamhet. De tillsynsbeslut som PTS fattar får överklagas hos allmän förvaltningsdomstol. När det gäller behand- lingen av personuppgifter utövar även Datainspektionen tillsyn.

6.4Kontrollmekanismer och rättssäkerhetsgarantier

Det ska i sammanhanget framhållas att andelen människor i Sverige som oroar sig för att myndigheterna ska kränka deras personliga integritet har minskat. Däremot har oron för att stora internetföretag ska kränka den ökat.3

6.4.1Förhandskontroll

Hemlig övervakning av elektronisk kommunikation

De brottsbekämpande myndigheternas tillgång till trafik- och loka- liseringsuppgifter i en förundersökning om brott förutsätter som regel att tingsrätten, efter prövning av en ansökan från åklagaren, har

3 Internetstiftelsen i Sveriges rapport Svenskarna och internet 2016, avsnitt 11.

109

Uppgifter om elektronisk kommunikation i brottsbekämpande verksamhet

SOU 2017:75

meddelat tillstånd till inhämtningen (27 kap. 21 § RB). Vid denna prövning har domstolen att kontrollera om de villkor som gäller för övervakningen av elektronisk kommunikation är uppfyllda, bl.a. vilken typ av gärning som brottsmisstanken avser, vilka telefonnum- mer och andra adresser som ska övervakas, om övervakningen avser en person som är skäligen misstänkt eller i stället syftar till att klar- lägga vem som skäligen kan misstänkas för brottet, om åtgärden är av synnerlig vikt för utredningen etc. Prövningen görs med utgångs- punkt i ett konkret brott, och en bedömning görs normalt även av om omständigheterna i det enskilda fallet med tillräcklig grad av styrka (skälig misstanke) talar för att en viss person kan misstänkas för brottet.

2007 års preventivlag

Innan övervakning av elektronisk kommunikation får utföras enligt 2007 års preventivlag måste domstolsbeslut inhämtas från Stock- holms tingsrätt (6 §). Om det kan befaras att inhämtande av rättens tillstånd skulle medföra en fördröjning av väsentlig betydelse för möjligheterna att förhindra den brottsliga verksamheten, får tillstånd till åtgärden ges av åklagaren i avvaktan på rättens beslut (6 a §).

LSU

Frågan om tillstånd till hemlig övervakning av elektronisk kommuni- kation inom ramen för särskild utlänningskontroll prövas av Stockholms tingsrätt på yrkande av Säkerhetspolisen eller Polis- myndigheten (21 §).

IHL

Beslut enligt IHL fattas av myndigheten själv och är inte föremål för någon utomstående förhandskontroll (4 §). Det är myndighets- chefen eller annan person som har fått uppgiften delegerad till sig som fattar beslutet. Myndighetschefen får delegera uppgiften att fatta beslut bara till sådana personer som har den särskilda kompe- tens, utbildning och erfarenhet som behövs. Den som enligt delega-

110

SOU 2017:75

Uppgifter om elektronisk kommunikation i brottsbekämpande verksamhet

tion har fått rätt att hämta in uppgifter får inte fatta beslut om in- hämtning i sådan operativ verksamhet som han eller hon själv deltar i. Beslutet ska vara preciserat och tiden för beslutet får, när det gäller tid som infaller efter beslutet, inte överstiga en månad (5 §).

6.4.2Efterhandskontroll

Tillsyn

Tillsynen över de brottsbekämpande myndigheternas tillämpning av lagar och andra författningar i den brottsbekämpande verksamheten delas mellan flera myndigheter.

Säkerhets- och integritetsskyddsnämnden (SIN) har i uppdrag att utöva tillsyn över bl.a. de brottsbekämpande myndigheternas använd- ning av hemliga tvångsmedel, däribland hemlig övervakning av elek- tronisk kommunikation, 1 § lagen (2007:980) om tillsyn över viss brottsbekämpande verksamhet. Tillsynen omfattar även verksamhet hos dessa myndigheter som hänger samman med tvångsmedels- användningen. Det innebär att tillsynen ska avse även den vidare hanteringen av inhämtade uppgifter hos myndigheterna, bl.a. när det gäller hantering av överskottsinformation. SIN:s uppdrag omfattar också tillsyn över Polismyndighetens, Säkerhetspolisens och Eko- brottsmyndighetens behandling av personuppgifter enligt polisdata- lagen (2010:361) och lagen (2010:362) om polisens allmänna spanings- register. Exakt hur tillsynen av personuppgiftsbehandlingen för Polis- myndigheten ska regleras är nu föremål för överväganden (se betän- kandena Ett samlat ansvar för tillsyn över den personliga integriteten, SOU 2016:65, och Brottsdatalag, SOU 2017:29, samt Utredningen om 2016 års dataskyddsdirektiv, dir. 2016:21).

SIN bedriver sin verksamhet genom inspektioner och andra under- sökningar som sker på eget initiativ (2 § lagen om tillsyn över viss brottsbekämpande verksamhet). När nämnden beslutar att inleda tillsyn på eget initiativ görs detta främst utifrån bedömningen av var risken för en felaktig rättstillämpning hos de granskade myndig- heterna är som störst (se för detta och det följande SIN:s årsredo- visning 2016 s. 7–8). Bedömningen baseras på nämndens egna erfarenheter men även andra myndigheters (t.ex. Datainspektionens) iakttagelser kan beaktas. Nämnden kan även inleda tillsyn på eget initiativ, t.ex. efter att någon företeelse inom nämndens tillsyns-

111

Uppgifter om elektronisk kommunikation i brottsbekämpande verksamhet

SOU 2017:75

område har uppmärksammats i medierna. Nämnden har rätt att få de uppgifter och det biträde som nämnden begär av den myndighet som omfattas av tillsynen samt begärda uppgifter av andra myndigheter och domstolar (4 § lagen om tillsyn över viss brottsbekämpande verksamhet). Inriktningen på nämndens tillsyn på eget initiativ sker även med beaktande av de uppdrag som myndigheten får från regeringen. Med utgångspunkt från ovanstående beslutar nämnden om fokusområden för sin tillsyn.

Nämndens ambition är att sprida sina tillsynsinsatser såväl geo- grafiskt som verksamhetsmässigt. Tillsynsärendena kan utmynna i uttalanden om konstaterade förhållanden eller behov av förändringar i verksamheten (2 § lagen om tillsyn över viss brottsbekämpande verksamhet). Dessa avgöranden är varken bindande eller överklag- bara utan nämnden ska i stället anmäla sina iakttagelser och över- lämna relevanta delar av det som har framkommit i tillsynsärendet till den myndighet som ansvarar för frågan (6 § lagen om tillsyn över viss brottsbekämpande verksamhet och prop. 2006/07:133 s. 70 och 83).

Till grund för tillsynsverksamheten ligger även de anmälningar som de brottsbekämpande myndigheterna gör om inhämtning enligt IHL (6 §) och då underrättelse till enskilda som varit föremål för en övervakningsåtgärd har underlåtits på grund av sekretess, 14 b § för- undersökningskungörelsen (1947:948) och förordningen (2007:1144) om fullgörande av underrättelseskyldighet enligt lagen (2007:979) om åtgärder för att förhindra vissa särskilt allvarliga brott.

Datainspektionen är tillsynsmyndighet enligt personuppgifts- lagen, 2 § personuppgiftsförordningen (1998:1191). Myndigheten har rätt att få tillgång till de personuppgifter som behandlas samt upp- lysningar och dokumentation om behandlingen, 43 § personuppgifts- lagen (1998:204). Om Datainspektionen konstaterar att person- uppgifter behandlas på ett olagligt sätt ska myndigheten genom påpekanden eller liknande förfaranden försöka att åstadkomma rättelse (45 §). Datainspektionen kan begära hos domstol att olagligt behandlade personuppgifter ska förstöras (47 §). Myndighetens tillsynsansvar omfattar all behandling av personuppgifter som är helt eller delvis automatiserad eller som ingår i manuella register. Data- inspektionen och SIN har således delvis överlappande tillsynsansvar när det gäller Polismyndighetens, Säkerhetspolisens och Ekobrotts- myndighetens behandling av personuppgifter. Övriga brottsbekäm-

112

SOU 2017:75

Uppgifter om elektronisk kommunikation i brottsbekämpande verksamhet

pande myndigheters behandling av personuppgifter står under tillsyn enbart av Datainspektionen.

Förutom den specifika tillsyn som nu redogjorts för utövar Riks- dagens ombudsmän (JO) och Justitiekanslern (JK) tillsyn över att myndigheterna följer lagar och andra författningar.

JO:s arbete styrs av lagen (1986:765) med instruktion för Riks- dagens ombudsmän. JO ska särskilt se till att de grundläggande fri- och rättigheterna inte överträds i den offentliga verksamheten men också verka för att brister i lagstiftningen avhjälps. JO får därför göra framställningar till riksdag och regering om författningsändringar. Ombudsmännens tillsyn baseras på anmälningar från allmänheten och på initiativärenden och inspektioner. I sin tillsyn får JO närvara vid en myndighets överläggningar och ha tillgång till myndighetens protokoll och handlingar. Myndigheter och tjänstemän är också skyldiga att lämna de upplysningar och yttranden som JO begär.

JO avgör ärenden genom beslut. I ett beslut kan JO uttala sig om en åtgärd av en myndighet eller en befattningshavare strider mot lag eller annan författning eller annars är felaktig eller olämplig, en s.k. erinran. JO har inte befogenhet att själv meddela straffrättsliga sanktioner eller disciplinära påföljder. JO är inte heller någon besvärs- myndighet och får därför inte överpröva eller på annat sätt ändra de granskade besluten. Beslut i JO:s ärenden är inte rättsligt bindande. I formellt hänseende är besluten inte något annat än ett uttryck för ombudsmannens personliga uppfattning i de behandlade frågorna. JO får även göra uttalanden som avser att främja enhetlighet och ändamålsenlig rättstillämpning. Enligt sin instruktion kan JO över- lämna ett ärende till en annan myndighet för handläggning, om ären- det är av sådan karaktär att det är lämpligt att det utreds och prövas av någon annan myndighet än JO, och den myndigheten inte tidigare prövat saken. Överlämnanden av detta slag görs emellertid inte sär- skilt ofta på det brottsbekämpande området eftersom det där i stor utsträckning saknas ämnesspecifika tillsynsmyndigheter.

JK har i likhet med JO tillsyn över myndigheter och deras tjänste- män. Tillsynen har till syfte att kontrollera att lagar och andra för- fattningar följs. Som regel initieras JK:s granskning av en anmälan från en enskild eller en myndighet. Ett tillsynsärende kan också påbörjas i samband med en inspektion eller genom att JK på eget initiativ tar upp ett ärende. I de ärenden som JK handlägger före- ligger en skyldighet för enskilda befattningshavare och myndigheter

113

Uppgifter om elektronisk kommunikation i brottsbekämpande verksamhet

SOU 2017:75

att lämna den information och de yttranden som JK begär. JK kan inte ge direktiv om hur ett ärende hos en förvaltningsmyndighet ska handläggas eller avgöras. Inte heller kan JK ompröva beslut som har fattats av andra myndigheter eller ändra deras avgöranden i sak. Som särskild åklagare har JK dock rätt att väcka åtal mot befattningshavare som begått brottslig handling genom att ha åsidosatt vad som ålegat honom eller henne i tjänsten. Vidare får JK göra en anmälan om disciplinpåföljd, avsked eller avstängning och har också rätt att föra talan i domstol om ändring av en myndighets beslut i sådana frågor.

Underrättelseskyldighet

Syftet med underrättelseskyldigheten är bl.a. att den enskilde ska få möjlighet att bedöma vilket integritetsintrång som åtgärden har inneburit och att reagera mot vad han eller hon kan anse ha varit en rättsstridig åtgärd. En skyldighet att lämna en sådan underrättelse har även ansetts kunna ha en återhållande verkan på användningen av hemliga tvångsmedel och bidra till att prövningen inför ett beslut sker på ett än mer noggrant sätt (prop. 2006/07:133 s. 30). Ett krav på att enskilda ska underrättas är således en åtgärd som syftar till att förbättra kontrollen över tillämpningen av reglerna.

Den som har varit utsatt för hemliga tvångsmedel enligt RB ska som huvudregel underrättas om detta så snart det kan ske utan men för utredningen, dock senast inom en månad efter att förundersök- ningen avslutades (27 kap. 31 §). Det finns dock vissa möjligheter att skjuta upp underrättelsen om de uppgifter som den ska innehålla omfattas av vissa former av sekretess (27 kap. 33 § första stycket). Om sekretess fortfarande gäller ett år efter att förundersökningen avslutades behöver underrättelse inte lämnas. I sådana fall ska dock SIN underrättas om beslutet att underlåta underrättelse (14 b § andra stycket förundersökningskungörelsen). Vissa brott som faller inom Säkerhetspolisens ansvarsområde är också helt undantagna från underrättelseskyldigheten (27 kap. 33 § tredje stycket RB).

Om övervakning har avsett ett telefonnummer eller annan adress eller en viss elektronisk kommunikationsutrustning som innehas av någon annan än den misstänkte, ska även innehavaren underrättas. Om inhämtningen har skett i syfte att utreda vem som är skäligen

114

SOU 2017:75

Uppgifter om elektronisk kommunikation i brottsbekämpande verksamhet

misstänkt och integritetsintrånget för den enskilde kan antas vara ringa behöver inte underrättelse lämnas.

Vid tvångsmedelsanvändning enligt 2007 års preventivlag gäller ingen underrättelseskyldighet, förutom avseende de brott som avses i lagens 1 § första stycke 7, dvs. mord, dråp, grov misshandel, män- niskorov eller olaga frihetsberövande i avsikt att påverka ett offent- ligt organ eller den som yrkesmässigt bedriver nyhetsförmedling eller annan journalistik, att vidta eller avstå från att vidta en åtgärd eller att hämnas en åtgärd (16 §). Om åtgärden har avsett ett telefon- nummer eller annan adress, en viss elektronisk kommunikations- utrustning eller en plats som innehas av någon annan, ska även den personen underrättas. Underrättelse ska lämnas så snart det kan ske efter det att det ärende som åtgärden vidtogs i har avlutats. En under- rättelse behöver inte lämnas till den som redan har fått del av eller till- gång till uppgifterna. En underrättelse behöver inte heller lämnas om den med hänsyn till omständigheterna uppenbart är utan betydelse.

Underrättelse får skjutas upp om sekretess gäller (17 §). Om sekretess hindrar underrättelse i ett år behöver någon underrättelse inte lämnas.

Underrättelseskyldigheten ska fullgöras av åklagare och om sekretess hindrar underrättelse ska i stället Säkerhets- och integri- tetsskyddsnämnden underrättas, förordningen (2007:1144) om full- görande av underrättelseskyldighet enligt lagen (2007:979) om åtgärder för att förhindra vissa särskilt allvarliga brott.

Den ovan beskrivna underrättelseskyldigheten har inte någon motsvarighet när det gäller den inhämtning som utförs med stöd av IHL. För IHL gäller i stället att SIN ska underrättas om myndig- heternas beslut om inhämtning. En sådan underrättelse ska lämnas senast en månad efter det att ärendet om inhämtning avslutades (6 § IHL).

Det saknas bestämmelser om underrättelse till enskild vid över- vakning som ytterst har sitt stöd i LSU (prop. 2006/07:133 s. 52).

Kontroll på begäran av enskild

Som ett komplement till bestämmelserna om underrättelse till enskilda som utsatts för användning av hemliga tvångsmedel finns en reglering som ålägger SIN att på begäran av en enskild kontrollera

115

Uppgifter om elektronisk kommunikation i brottsbekämpande verksamhet

SOU 2017:75

om han eller hon har utsatts för ett hemligt tvångsmedel och om användningen av detta tvångsmedel har skett i enlighet med lag eller annan författning. En sådan begäran får också avse frågan om polisens personuppgiftsbehandling varit författningsenlig. Den en- skilde ska underrättas om att kontrollen har utförts (3 § lagen om tillsyn över viss brottsbekämpande verksamhet). Om nämnden bedömer att det förekommit felaktigheter som kan medföra skade- ståndsansvar för staten gentemot den enskilde ska det anmälas till JK, som kan tillerkänna den enskilde ersättning för den skada och kränkning som en felaktig hantering av uppgifter eller en felaktig tillämpning av hemliga tvångsmedel inneburit. Om SIN i stället bedömer att det förekommit felaktigheter som innefattar misstanke om brott ska ärendet anmälas till åklagare. Vidare ska nämnden, om den finner omständigheter som Datainspektionen bör uppmärksam- mas på, anmäla det till inspektionen, 20 § förordningen (2007:1141) med instruktion för Säkerhets- och integritetsskyddsnämnden.

Parlamentarisk kontroll

En parlamentarisk kontroll av tillämpningen av reglerna om hemliga tvångsmedel utövas av riksdagen på grundval av en årlig skrivelse från regeringen. Skrivelsen omfattar de brottsbekämpande myndig- heternas tillämpning av reglerna om hemlig avlyssning och över- vakning av elektronisk kommunikation, hemlig kameraövervakning, hemlig rumsavlyssning och inhämtning av uppgifter enligt IHL. Även tillämpningen av hemliga tvångsmedel som utförs för att för- hindra vissa särskilt allvarliga brott redovisas. Numera redovisas även tillstånd som avser Säkerhetspolisen. Den senaste skrivelsen till riks- dagen lämnades i december 2016 (skr. 2016/17:69).

Även tillämpningen av LSU redovisas årligen till riksdagen. I sam- band med att LSU infördes ansågs det nämligen att den parlamenta- riska kontrollen av hur regeringen tillämpar bestämmelserna och reglerna om tvångsåtgärder bör göras genom att regeringen årligen lämnar en skrivelse till riksdagen (prop. 1990/91:118 s. 72). Den senaste skrivelsen till riksdagen lämnades i december 2016 (skr. 2016/17:72).

116

Nyttan och behovet av uppgifter om elektronisk kommunikation…

SOU 2017:75

medlen till stor del är beroende av vilken nytta dessa kan förväntas leda till är det oundvikligt att behovs- och nyttoanalyserna i flera avseenden blir lika varandra. Begreppen är dock inte helt synonyma. Det kan t.ex. finnas situationer där tvångsmedlen visserligen kan för- väntas leda till nytta, men där behovet av att använda dem inte är sär- skilt stort. Så kan t.ex. vara fallet om de brottsbekämpande myndig- heterna effektivt kan komma åt den eftersökta informationen med hjälp av andra metoder (prop. 2013/14:237 s. 61).

På ett generellt plan har nyttan av en bred tillgång till elektroniska kommunikationsuppgifter bekräftats av utländska studier. Euro- peiska kommissionen och Högsta förvaltningsdomstolen i Frankrike har i rapporter konstaterat att en riktad lagring ger de brottsbekäm- pande myndigheterna uppenbara begränsningar gentemot en generell lagring av data över längre tid (Commission Staff Working Docu- ment, som lades fram som bilaga till det förslag till direktiv som ledde fram till antagandet av direktiv 2006/24, SEK(2005) 1131, den 21 september 2005, ”Data Preservation versus Data Retention” samt Generaladvokatens förslag till avgörande i Tele2-målet not 54).

Sammanfattningsvis är nyttan av historisk kommunikationsdata i sig väl dokumenterad. Däremot finns de olika typerna av kommuni- kationsuppgifter sällan särredovisade, i synnerhet inte i förhållande till uppgifternas ålder.1

7.1Utredningsverksamhet

Uppgifter om elektronisk kommunikation har stor betydelse i nästan all verksamhet som rör utredning av allvarlig brottslighet. Beredningen för rättsväsendets utveckling (BRU) konstaterade redan 2005 att trafikuppgifter ofta utgjorde den information som var viktigast för att föra utredningar om grövre brott framåt. Sådana uppgifter används i princip i varje utredning rörande grova brott som t.ex. mord, människorov, grovt rån, grov mordbrand, allmänfarlig ödeläggelse, grov våldtäkt, människohandel för sexuella ändamål, grovt barnpornografibrott och grovt narkotikabrott samt brott som faller inom Säkerhetspolisens område (SOU 2005:38 s. 323–324).

1 Se exempelvis Ds 2014:23 s. 85–86 och Europeiska kommissionens utvärderingsrapport av direktiv 2006/24 (Celexnummer: 52011DC0225) s. 23–24.

120

SOU 2017:75

Nyttan och behovet av uppgifter om elektronisk kommunikation…

Uppgifterna är ofta av stor betydelse redan i utredningsarbetets inledningsskede. En kontroll av de trafikuppgifter som kan knytas till en brottsplats, ett brottsoffer eller en misstänkt kan användas tillsammans med annan information för att föra utredningen framåt (SOU 2015:31 s. 84).

Uppgifter om elektronisk kommunikation kan svara på frågor om vilka nummer som haft kontakt med varandra, hur intensiv kom- munikationen har varit och var användarna av t.ex. mobiltelefoner har befunnit sig. Även uppgifter från anonyma kontantkort kan ha betydelse för att kunna kartlägga en misstänkt och på så sätt försöka få fram en identitet, ett skeende eller andra misstänkta. BRU konsta- terade att inhämtade uppgifter i många fall kan få till följd att perso- ner avförs från utredningen genom att misstankarna mot dem visar sig sakna substans. Att misstänkta avförs från utredningen genom användning av hemliga tvångsmedel framgår även av regeringens årliga skrivelse till riksdagen med redovisning av användningen av hemliga tvångsmedel (t.ex. skr. 2012/13:47 s. 14).

När det gäller planeringsskedet av ett brott är det genom tillgången till trafikuppgifter ofta möjligt att ta reda på t.ex. hur gärningsmännen har sammanträffat och hur de har rekognoserat vid gömställen, längs flyktvägar och vid brottsplatsen samt hur de införskaffat brotts- verktyg eller stulit flyktbilar (SOU 2005:38 s. 324). Genom tillgången till historiska trafik- och lokaliseringsuppgifter kan de brottsbekäm- pande myndigheterna således klarlägga händelser som anknyter såväl till själva brottstillfället som till planläggningen och flykten. Dessa uppgifter kan t.ex. leda till att gömställen upptäcks, att stulna pengar, flyktbilar eller annat gods påträffas och att bortförda personer eller döda kroppar hittas. Cirka två tredjedelar av all hemlig övervakning av elektronisk kommunikation avser vålds- och narkotikabrotts- lighet (Säkerhetspolisen omfattas inte av statistiken), skr. 2016/17:69 s. 20–21.

Vid utredningen av internetrelaterad brottslighet är uppgifter om elektronisk kommunikation ofta helt avgörande för att möjliggöra identifiering av en misstänkt gärningsman. Möjligheten till ano- nymitet och begränsningen av forensisk bevisning för att utreda brott medför därför att trafikuppgifter i många fall inte kan undvaras vid utredning om internetrelaterad brottslighet, om sådan brotts- lighet alls ska kunna bekämpas. Från de brottsbekämpande myndig- heterna har i flera sammanhang också framhållits att tillgången till

121

Nyttan och behovet av uppgifter om elektronisk kommunikation…

SOU 2017:75

uppgifter om elektronisk kommunikation i brottsutredningarna fått allt större betydelse i takt med den ökade användningen av kryp- tering, som innebär att innehållet i meddelanden inte blir åtkomligt för myndigheterna vid hemlig avlyssning av elektronisk kommuni- kation (SOU 2015:31 s. 85). Av direktiven till Utredningen om hemlig dataavläsning framgår i enlighet med detta att anonymi- seringstjänster har försvårat användningen av hemlig avlyssning av elektronisk kommunikation (dir. 2016:36 s. 2–3).

Av den ovan gjorda beskrivningen följer att det i princip inte går att ersätta inhämtning av nu aktuella uppgifter med t.ex. fysisk spaning just eftersom inhämtningen ofta avser historiska uppgifter.

Det bör i sammanhanget även noteras att trafikuppgifternas bety- delse i brottsutredningar också hänger samman med att den infor- mation som kommer fram vid hemlig övervakning och hemlig av- lyssning av elektronisk kommunikation ofta bedöms ha ett bety- dande bevisvärde i rättegångar som rör grov allvarlig och organiserad brottslighet.

För att komplettera den generella beskrivningen ovan följer nedan exempel på utredningar där hemlig övervakning av elektronisk kom- munikation har varit till nytta. Exemplen kommer från regeringens senaste redovisning till riksdagen av tvångsmedelsanvändningen (skr. 2016/17:69 s. 22) och från anonymiserade exempel från de brottsbekämpande myndigheterna. En mer detaljerad beskrivning av de brottsbekämpande myndigheternas nytta och behov av uppgifter om elektronisk kommunikation finns i avsnitt 12.6.

•Vid en utredning av en grov misshandel utförd efter intrång i målsägandens bostad beviljades hemlig övervakning av elektro- nisk kommunikation mot de misstänkta. Misshandeln misstänk- tes vara utförd av sex personer genom slag med bl.a. batong. Tack vare uppgifterna från övervakningen kunde åklagaren styrka att samtliga gärningsmän varit på plats vid tiden för den grova miss- handeln. Genom bevisningen kunde det även visas att gärnings- männen träffats tidigare under dagen, att ingen kommunikation pågick under brottstiden men att telefonerna efter händelsen åter- igen var i kontakt med varandra. Vid jämförelse mellan innehållet i de beslagtagna telefonerna och telefonlistorna kunde det även visas att flera av de tilltalade hade raderat innehållet i telefon- trafiken i tiden nära gärningen. De sex gärningsmännen dömdes för grov misshandel.

122

SOU 2017:75

Nyttan och behovet av uppgifter om elektronisk kommunikation…

•Tre gärningsmän greps på flyende fot efter ett inbrott i en villa. En hundförare hittade gärningsmännens mobiltelefoner längs flyktvägen. De var sönderslagna för att försvåra spårning. Trots det kunde sim-korten identifieras. Genom lokaliseringsuppgifter kunde ytterligare ett tiotal bostadsinbrott klaras upp.

•En kvinna blev knivmördad i ett parkeringshus. Genom lokali- seringsuppgifter avseende kvinnans man kunde konstateras att han hade varit på platsen vid tidpunkten för mordet, som på så vis kunde klaras upp.

•Två okända gärningsmän rånade en guldbutik med skarpladdade vapen. Lyckade initiala åtgärder ledde till att två personer blev skäligen misstänkta för brottet. Den efterföljande hemliga över- vakningen av elektronisk kommunikation ledde till att de båda männen kunde knytas till de platser där man förberett rånet, till- gripit en motorcykel och gömt denna under rånet.

•Säkerhetspolisen fick information om att en gruppering inom vit makt-miljön planerade att bränna ner en flyktingförläggning på en mindre ort. En förundersökning om förberedelse till grov mordbrand inleddes. Genom uppgifter från hemlig övervakning av elektronisk kommunikation gick det att fastställa att personer från grupperingen funnits i närheten av flyktingförläggningen under flera nätter i rad.

•Vid förundersökning rörande försök till mordbrand riktat mot ett kommunalråd misstänktes det att brottet utförts av personer inom den autonoma miljön. Genom uppgifter från hemlig över- vakning av elektronisk kommunikation, bl.a. masttömning, kunde gärningsmännen identifieras.

•Ett flertal polisanmälningar gjordes runt om i landet avseende sexuella övergrepp mot barn som förövades genom sociala forum på internet. Ip-spårningar ledde till en man som sedermera kom att dömas för flera hundra sexualbrott brott mot över hundra målsägande.

123

Nyttan och behovet av uppgifter om elektronisk kommunikation…

SOU 2017:75

7.2Underrättelseverksamhet

Uppgifter om elektronisk kommunikation används inte bara i för- undersökningar utan också i underrättelseverksamhet. Det är till största delen (cirka 80 procent) vid narkotikabrottslighet som upp- gifter inhämtas i underrättelseverksamhet (Säkerhetspolisen om- fattas inte av statistiken), skr. 2016/17:69 s. 28. För att illustrera nyttan av uppgifter i underrättelseverksamheten följer nedan några exempel på hur informationen kan användas. Exemplen är hämtade från regeringens senaste redovisning till riksdagen av tvångsmedels- användningen (skr. 2016/17:69 s. 29 och 31) och från anonymi- serade exempel från de brottsbekämpande myndigheterna. En mer detaljerad beskrivning av de brottsbekämpande myndigheternas nytta och behov av uppgifterna finns i avsnitt 12.6.

•Underrättelser angav att ett antal personer, vilka inte hade några kända kopplingar till varandra sedan tidigare, var involverade i storskalig vapen- och narkotikahantering i Stockholmsområdet. Inhämtning av uppgifter om elektronisk kommunikation och spaning mot de utpekade personerna ledde till att ett nätverk identifierades samt att en lagerplats för narkotika och vapen kunde lokaliseras. En förundersökning om grovt narkotikabrott inleddes och narkotika togs i beslag.

•Inhämtning av uppgifter om elektronisk kommunikation till- sammans med fysisk spaning ledde till att misstankar om till- verkning av narkotikaklassade tabletter stärktes och att en för- undersökning kunde inledas. Under pågående förundersökning kunde ett flertal personer gripas och en stor mängd narkotika tas i beslag.

•Säkerhetspolisen fick information från ett annat lands säkerhets- tjänst om att en person med diplomatisk immunitet misstänktes ägna sig åt flyktingspionage och att han hade kontakter med en kvinna i Sverige. Genom användning av IHL klarlades att det fanns kontakter mellan dem och att de samtidigt hade befunnit sig i samma geografiska område. På grund av de uppgifterna och andra omständigheter inleddes en förundersökning om olovlig underrättelseverksamhet.

124

SOU 2017:75

Nyttan och behovet av uppgifter om elektronisk kommunikation…

•I ett ärende rörande amfetaminsmuggling i Halland inkom under- rättelser om att en mobilabonnent i Stockholmsområdet föreföll ha kopplingar till ärendets huvudman. Efter inhämtning och analys av information om elektronisk kommunikation kunde det i kombination med fysisk spaning konstateras att den egentlige brukaren av det mobilabonnemanget inte var abonnenten själv utan en annan person, som tidigare varit dömd för grova narko- tikabrott. Efter inledd förundersökning beslagtogs en större mängd narkotika.

•I ett ärende erhölls information från ett annat land om att mot- tagare av en större mängd kokain var bosatta i Sverige. Genom in- hämtning enligt IHL kunde dessa mottagare identifieras. Med hjälp av historiska uppgifter kunde polisen också påvisa att narko- tika hade mottagits vid flera tillfällen. Till slut kunde en förunder- sökning inledas och narkotikasmugglingen klaras upp.

•Genom en internationell polisinsats kunde flera marknadsplatser för narkotika på internet (Darknet) stängas ner. Polismyndig- heten fick underrättelseinformation om vilka ip-adresser som använts på en svensk sådan marknadsplats. Flera av adresserna var emellertid oanvändbara, dels eftersom en längre tid hade passerat sedan de användes (och adresserna därför inte längre var lagrade), dels eftersom flera användare inte gick att identifiera på grund av NAT-teknik (en teknik för att tillåta att flera abonnenter delar på en och samma publika ip-adress, se avsnitt 6.1). I vissa fall kunde dock förundersökning avseende narkotikabrott inledas.

Polismyndigheten och Tullverket har konstaterat att information om elektronisk kommunikation är väsentlig för myndigheternas under- rättelseverksamhet och att de möjligheter till inhämtning som IHL medger har varit avgörande för att inleda förundersökning för en lång rad grova brott. Tillgången till uppgifter om elektronisk kom- munikation i underrättelsestadiet kan vara avgörande för att aktörer, platser och tidpunkter ska kunna kopplas samman och ge ett till- räckligt underlag för att inleda en förundersökning. Uppgifterna är enligt myndigheterna också väsentliga för en effektiv planering av yttre fysisk spaning, som är resurskrävande och därför viktig att använda på rätt plats vid rätt tillfälle (skr. 2016/17:69 s. 33).

125

Nyttan och behovet av uppgifter om elektronisk kommunikation…

SOU 2017:75

Av den ovan gjorda redogörelsen följer att det i princip inte går att ersätta inhämtning av nu aktuella uppgifter med t.ex. fysisk spaning, särskilt eftersom inhämtningen ofta avser historiska uppgifter.

För Säkerhetspolisen är analys av elektronisk kommunikation, enligt myndigheten, av ovärderlig vikt för arbetet på underrättelse- sidan. Regeringen har uttryckt att Säkerhetspolisen har ett uppenbart behov av uppgifterna för att bedriva kontraspionageverksamhet och arbete mot terrorism, prop. 2016/17:186 s. 9. Sådana uppgifter kan inte heller inhämtas på annat sätt, genom t.ex. fysisk spaning, efter- som inhämtning enligt IHL innebär att historiska uppgifter kan analyseras. Därutöver kan Säkerhetspolisens spaningsresurser använ- das mer effektivt efter en analys av användarens dygnsmönster och geografiskt återkommande platser. I underrättelsesyfte bidrar upp- gifter om elektronisk kommunikation också med mycket värdefull information bl.a. för att kartlägga aktörer och nätverk som har avsikt och förmåga att begå brott som är allvarliga för rikets säkerhet. In- hämtningen av uppgifterna möjliggör således att man på ett tidigt stadium kan fånga upp eventuella grupperingar och skeenden (SOU 2015:31 s. 87). Ett exempel på sådan verksamhet som bedrivs av Säkerhetspolisen inom ramen för kontraspionaget är att på ett tidigt stadium kartlägga kontakter som utländska underrättelse- officerare tar med personer i Sverige. Även om denna del av Säker- hetspolisens verksamhet har lett till fällande dom, så är den absolut största nyttan med verksamheten att den person som den utländska underrättelseofficeraren bearbetar kan uppmärksammas på sin nya bekantskaps bakgrund och uppdrag i Sverige. Därmed kan en kontakt avbrytas i ett tidigt skede. Säkerhetspolisens huvudsakliga verksamhet är av praktiska skäl inte heller inriktad på att nå fällande domar och bedriva förundersökning mot misstänkta personer. Det är nämligen betydligt mer resurseffektivt och skadebegränsande att med ett tidigt ingripande genom t.ex. ett samtal reducera risken för hot och sårbarhet snarare än att fullfölja en lång underrättelseprocess med eventuell efterföljande förundersökning. Denna arbetsmetod innebär även att de personer som är intressanta i underrättelse- verksamheten inte behöver utsättas för onödigt integritetskränkande övervakning eftersom syftet i stället kan uppnås genom betydligt mindre ingripande metoder.

Det ska i sammanhanget även lyftas fram att många av de perso- ner som är intressanta för Säkerhetspolisen när det gäller kontra-

126

SOU 2017:75

Nyttan och behovet av uppgifter om elektronisk kommunikation…

spionage skyddas av diplomatisk immunitet. Det är ytterligare en anledning till att resultatet av Säkerhetspolisens arbete i dessa fall inte syns i form av fällande domar och inledda förundersökningar. I dessa fall kan i stället Regeringskansliet eller regeringen överväga om det ska fattas ett beslut om persona non grata avseende den aktuella personen, 21 § förordningen (1996:1515) med instruktion för Regeringskansliet.

På motsvarande sätt som inom ramen för kontraspionaget är det inom författningsskyddet och kontraterrorismverksamheten avgö- rande för Säkerhetspolisen att kunna kartlägga personers kontakter och uppehållsorter.

Säkerhetspolisens användning av hemliga tvångsmedel regleras även av 2007 års preventivlag. Ett anonymiserat exempel på när Säkerhetspolisen haft nytta av uppgifter som inhämtats enligt den lagen är följande.

•Säkerhetspolisen hade information om att fem personer kunde vara i färd med att planera terrorattentat i Sverige. De fem männen bodde på visst avstånd från varandra och Säkerhets- polisen misstänkte att de använde elektronisk kommunikation i kontakten mellan sig. Genom hemlig övervakning av elektronisk kommunikation enligt 2007 års preventivlag kunde det bekräftas att männen hade kontakt med varandra samt att de ibland hade vistats i samma geografiska område. Genom informationen kunde en förundersökning om stämpling till terroristbrott inledas.

7.3Användandet av kommunikationstjänster

För att kunna bedöma de brottsbekämpande myndigheternas nytta och behov samt vilket integritetsintrång lagring av och tillgång till uppgifter om elektronisk kommunikation innebär är det av intresse att veta hur elektroniska kommunikationstjänster används i Sverige.

En allt större krets har bytt ut sin traditionella mobiltelefon mot en smart telefon, som ger möjlighet till kommunikation på flertalet sätt och genom tjänster tillhandahållna av andra aktörer än teleopera- törerna. Flera mobiltelefoner, datorer och annan kommunikations- utrustning levereras med exempelvis mobiltelefontillverkarens egna kommunikationstjänster installerade och förvalda. Det kan antas att

127

Nyttan och behovet av uppgifter om elektronisk kommunikation…

SOU 2017:75

en följd av det är att kommunikationsmönstret nu ser annorlunda ut i jämförelse med hur det såg ut för bara några år sedan och hur det kommer att se ut framöver. Användandet av elektroniska kommuni- kationstjänster skiljer sig också mellan yngre och äldre generationer, vilket även det kan antas ge upphov till ett förändrat och föränderligt behov av uppgifter för de brottsbekämpande myndigheterna.

PTS företar återkommande undersökningar om svenskarnas användning av telefoni och internet. Den senaste är från år 20152. PTS för statistik över bl.a. trafiken i mobil-, tele- och fibernäten samt antalet och typen av telekomabonnemang. Statistiken presen- teras i rapporter varje halvår.

Informationen i följande avsnitt kommer från användarrapporten 2015 och rapporten Svensk Telekommarknad 20163. Internet- stiftelsen i Sverige, IIS, har också gjort en undersökning om svens- karnas internetvanor med liknande resultat, rapporten Svenskarna och internet 2016.

7.3.1Mobiltelefoner och mobilt internet

År 2016 fanns det totalt 14,6 miljoner abonnemang på mobila samtals- och datatjänster (inklusive mobilt bredband som fristående tjänst) i Sverige, varav mer än hälften var abonnemang i vilka 1 gigabyte datatrafik eller mer ingår. Abonnemang på tjänster för s.k. machine-to-machine (M2M) uppgick till 8,7 miljoner, vilket innebär en ökning med 28 procent från föregående år. Mobiltelefonin stod för 79 procent av all utgående samtalstrafik, vilket är en ökning från tidigare år. Knappt 11 miljoner var kontraktsabonnemang och reste- rande del, drygt 3,5 miljoner abonnemang, var kontantkort. Kontant- korten utgjorde således ungefär en fjärdedel av abonnemangen. För tio år sedan var hälften av abonnemangen kontantkort. Det ringdes ungefär 10,2 miljarder samtal från mobilabonnemang 2016. Det genomsnittliga antalet samtal per månad från privata abonnemang var 67. Ett privatsamtal pågick i snitt i drygt tre minuter.

Under 2016 överfördes 639 000 terabyte data i mobilnäten, vilket var en ökning med 35 procent jämfört med föregående år. De fyra

2PTS rapport Svenskarnas användning av telefoni och internet 2015 (PTS-ER-2015:29),

10december 2015.

3PTS rapport Svensk Telekommarknad 2016 (PTS-ER-2017:10), 22 maj 2017.

128

SOU 2017:75

Nyttan och behovet av uppgifter om elektronisk kommunikation…

största operatörerna, Telenor, Tele2, Hi3G och Telia, stod tillsam- mans för 98 procent av trafiken. Av datatrafiken härrörde knappt hälften från abonnemang för mobilt internet och den andra dryga hälften från mobiltelefonabonnemang.

Skickade sms har minskat kraftigt sedan 2011, då det skickades omkring 9 miljarder sms i halvåret, till omkring 6,5 miljarder för motsvarande tid år 2014. Under 2016 (helåret) skickades det 9 miljarder sms. Minskningen, som pågått sedan 2011, kan enligt PTS bero på att andra meddelandetjänster, så som Imessage, Whats- app och Kik, har ökat i popularitet. Den klart största mängden sms (knappt 8 miljarder) skickades från privata abonnemang. Det skicka- des i genomsnitt 60 sms och drygt 3 mms per privat abonnemang och månad.

Omkring 97 procent av Sveriges befolkning använde mobiltelefon för privat bruk och närmare 90 procent hade en smart telefon år 2015. I stort sett samtliga av mobilanvändarna använde telefonen för samtal och 85 procent använde den till internetsurfning (vilket kan jämföras med 46 procent år 2011 och 74 procent år 2013). Ungefär tre fjärdedelar hade kopplat upp sig mot ett trådlöst nätverk (wifi) och lika många hade använt mobiltelefonen för e-post. 65–70 procent använde mobiltelefonen för att titta på film, lyssna på musik och för sociala medier. En dryg fjärdedel använde mobiltelefonen för att ringa med internettelefoni. I samtliga fall hade användandet ökat i jämförelse med år 2013. Även användandet av mobiltelefonen utom- lands hade ökat.

Nästan alla mobiltelefonanvändare skickade meddelanden med sin telefon. Omkring 90 procent skickade meddelande varje vecka och omkring hälften av alla användare skickade meddelande varje dag. Omkring hälften av deltagarna i undersökningen svarade att de skickar meddelanden via internet (exempelvis Messenger eller Whatsapp).4

4 Eftersom meddelandeprogram (exempelvis den förvalda meddelandeappen för Iphone) kan hantera flera meddelandetjänster, t.ex. både Imessage och sms, och dessutom använder sig av telefonnummer för att identifiera andra användare, kan det spekuleras i om många använder meddelandetjänster över internet i tron att de skickar sms via sin operatör. Det är därför möjligt att många använder sådana tjänster utan att veta om det. Enligt Business insider uppgav Eddy Cue, senior vice president för Apple, år 2016 att det skickades 200 000 meddelanden med Imessage per sekund (Kif Leswing, Apple says people send as many as 200,000 Imessages per second, Business insider, 12 feb. 2016). Som framgår i detta avsnitt har även sms-trafiken minskat kraftigt sedan år 2011, vilket inte kan förklaras av hur folk uppger att de använder sina mobiltelefoner.

129

Nyttan och behovet av uppgifter om elektronisk kommunikation…

SOU 2017:75

7.3.2Fast telefoni

Användandet av fast telefoni minskar. År 2015 var det nära hälften av dem som deltog i PTS användarundersökning som uppgav att de inte hade fast telefoni. Det var framför allt personer under 40 år som inte hade det men även bland äldre minskade andelen. Allt fler kunde tänka sig att avstå från sin fasta telefon till förmån för att enbart använda mobiltelefon. Antalet abonnemang för fast telefoni mins- kade med 300 000, från 3,6 miljoner år 2015 till 3,3 miljoner år 2016. Det innebär en minskning med 7 procent på bara ett år. Drygt hälften av alla abonnemang för fast telefoni utgjordes av ip-telefoni- abonnemang.

Totalt ringdes det 1,3 miljarder samtal från det fasta nätet under första halvåret 2016. Det genomsnittliga antalet samtal per privat fastnätsabonnemang och månad var 22. Samtalen var längre än vid mobiltelefoni; ett genomsnittligt privat samtal var drygt fem minuter långt.

Drygt hälften av svenskarna hade år 2015 använt internettelefoni via dator eller surfplatta (exempelvis genom tjänster som Skype och Viber). Sedan 2013 har den grupp som använder internettelefoni för att ringa till fasta och mobila telefoner ökat.

7.3.3Internet i hemmet

Nära 95 procent av befolkningen använde internet i hemmet år 2015. En fjärdedel uppgav sig ha en gruppanslutning genom exempelvis sin hyresvärd. Den vanligaste anslutningen som användes var fiber. Mobilt bredband användes av 27 procent av internetanvändarna.

Av dem som använde internet hemma var det 90 procent som använde det för e-post. Andra stora användningsområden var film, handel och sociala medier.

7.3.4Andra användningsområden

Utöver mobiltelefoner, surfplattor och datorer finns det en mängd andra apparater som använder sig av elektronisk kommunikation. Allt från glödlampor, kläder och hushållsapparater till värmesystem, fordon och byggnader kan numera vara anslutna till internet eller på

130

SOU 2017:75

Nyttan och behovet av uppgifter om elektronisk kommunikation…

andra sätt uppkopplade mot omvärlden. Sverige är bland de länder i världen som har mest enheter uppkopplade per person (OECD:s rapport OECD Digital Economy Outlook 2015 s. 259).

Av störst intresse är kanske den allt vanligare uppkopplingen i fordon. Fordon kan vara uppkopplade för flera syften, såsom trafik- säkerhet, bränsleeffektivitet, karttjänster och underhållning. Fordo- net genererar information om exempelvis position och hastighet, som av olika anledningar kan behöva kommuniceras elektroniskt via mobilnätet. Även äldre fordon kan bli uppkopplade med tjänster som exempelvis Telia Sense, som låter fordonet kommunicera med en mobilapp och med internet, genom ett sim-kort. Från och med april 2018 måste dessutom alla nya bilar vara utrustade med det automatiska nödsamtalssystemet Ecall5, som vid en olycka auto- matiskt kan sända information om exempelvis fordonets position till en larmcentral via gsm-nätet.

7.4Nyttan och behovet av de olika uppgifterna

Polismyndigheten och Säkerhetspolisen har anfört att det inte är möjligt att identifiera någon av de uppgifter som omfattas av lagrings- skyldigheten som viktigare än någon annan då de varierar från verk- samhet till verksamhet och från ärende till ärende. Polismyndigheten och Säkerhetspolisen har ändock rangordnat uppgifterna i en priori- tetsordning. Ekobrottsmyndigheten har i princip anslutit sig till denna bedömning. Åklagarmyndigheten har instämt i att det är svårt att rangordna betydelsen av de olika uppgifterna men anfört att de viktigaste uppgifterna som används rör tid och plats för kontakt mellan två adresser och uppgift om vilka dessa adresser är. Tullverket har uppgett att alla uppgifter innebär nytta men att den absolut vik- tigaste informationen är tids-, datum- och lokaliseringsuppgifter.

Gemensamt för myndigheterna är att de skattar nyttan av uppgift om vilken tjänst som har använts vid mobiltelefoni och ip-telefoni lägre i förhållande till andra uppgifter, både i förundersöknings- och i underrättelseverksamhet. På samma sätt råder det tämligen stor enighet om att nyttan av att veta spårbar tid för på- och avloggning i

5 Europaparlamentets och rådets förordning (EU) 2015/758 av den 29 april 2015 om typ- godkännandekrav för montering av Ecall-system som bygger på 112-tjänsten i fordon och om ändring av direktiv 2007/46/EG.

131

Nyttan och behovet av uppgifter om elektronisk kommunikation…

SOU 2017:75

de tjänster som har använts prioriteras lägre. När det gäller inter- netåtkomst har uppgift om typ av kapacitet för överföring värderats lågt.

Det ska dock betonas att de brottsbekämpande myndigheterna har uppgett att alla uppgifter är strängt nödvändiga att lagra för den brottsbekämpande verksamheten.

För en mer detaljerad redovisning av nyttan och behovet, se avsnitt 12.6.3–12.6.4.

7.5Lagringstiden

När analysen av Digital Rights-domen gjordes (avsnitt 8.3) erhölls information från Polismyndigheten om åldern på de uppgifter om elektronisk kommunikation som inhämtats. I underrättelseverk- samheten var de flesta inhämtade uppgifter yngre än en månad men det fanns ärenden där historik upp till sex månader var av stor vikt. I utredningsverksamheten var den största andelen uppgifter yngre än tre månader. Uppskattningsvis 20–25 procent var äldre än tre månader och cirka 10 procent av den totala mängden äldre än fem månader. Behovet av äldre uppgifter angavs särskilt gälla tidskrävande för- undersökningar avseende grova våldsbrott av spaningskaraktär samt bekämpning av grova seriebrott som våldtäkter och mordförsök, där det många gånger finns behov av äldre trafikdata för att kunna knyta en person till tidigare anmälda brott. (Ds 2014:23 s. 86)

Myndigheterna har uppgett att den lagringstid om sex månader som anges i LEK i många fall är för kort. Som exempel har Polis- myndigheten anfört att ett mord av normal komplexitet tar ungefär sex månader att utreda. De mer komplicerade ärendena tar ännu längre tid. Polismyndigheten har även uppgett att behovet av långa lagringstider för användare av ip-adresser är särskilt påtagligt i barn- pornografiärenden. Även med en lagringstid på sex månader måste man lägga ner hälften av alla barnpornografiärenden som upparbetas utomlands. Skälet till det är att dessa ärenden tar lång tid att bearbeta på grund av de många stegen i utredningen. Normalt följer ett sådant ärende dessa steg: Gärningsmannens nedladdning av barnpornografi följs av ett polisiärt tillslag. Materialet som beslagtas bearbetas i ursprungslandet. Därefter översänds materialet till rätt mottagar-

132

EU-rättens påverkan på reglerna om datalagring

SOU 2017:75

Medlemsstaterna ålades enligt artikel 6 att säkerställa att upp- gifterna lagras under en period av minst sex månader och högst två år från det datum kommunikationen ägde rum.

De uppgifter som omfattades av lagringsskyldigheten angavs i artikel 5. Bestämmelsen var uppdelad utifrån olika ändamål för vilka uppgifterna skulle lagras. Det rörde sig om uppgifter som var nöd- vändiga för att spåra och identifiera en kommunikationskälla och för att identifiera slutmålet för kommunikationen. Lagringsskyldigheten omfattade dessutom uppgifter om datum, tidpunkt och varaktighet för kommunikationen, typen av kommunikation samt vilken utrust- ning som använts. Slutligen omfattade lagringsskyldigheten uppgifter som var nödvändiga för att identifiera lokalisering av mobil kom- munikationsutrustning vad avser kommunikationens början. I anslut- ning till respektive ändamål angavs i detalj de kategorier av uppgifter som skulle lagras för respektive kommunikationssätt.

Inga uppgifter som avslöjar kommunikationens innehåll fick lagras enligt direktivet.

8.1.3Tillgången till lagrade uppgifter

Enligt artikel 4 i direktivet skulle medlemsstaterna vidta åtgärder för att säkerställa att lagrade uppgifter görs tillgängliga endast för behöriga nationella myndigheter i vissa närmare angivna fall. De närmare förutsättningarna för uppgifterna skulle få lämnas ut skulle fastställas i respektive medlemsstat. I skäl 25 i ingressen klargjordes att direktivet inte påverkade hur medlemsstaterna reglerar frågan om de nationella myndigheternas tillgång till och användning av trafik- uppgifter. I skäl 17 i ingressen framhölls dock att medlemsstaterna måste anta lagstiftning som skulle säkerställa att de lagrade uppgifter var tillgängliga bara för behöriga nationella myndigheter i enlighet med nationell lagstiftning och som respekterar grundläggande rättig- heter för berörda personer fullt ut.

Medlemsstaterna skulle säkerställa att de lagrade uppgifterna på begäran kunde överföras till behöriga myndigheter utan dröjsmål (artikel 8).

Frågan om uppgiftsskydd och datasäkerhet reglerades i artikel 7 i direktivet, där det angavs att varje medlemsstat skulle säkerställa att leverantörerna som lagrade uppgifter enligt direktivet skulle respek-

136

SOU 2017:75

EU-rättens påverkan på reglerna om datalagring

tera vissa principer om datasäkerhet. Dessa var närmare angivna så att de lagrade uppgifterna dels skulle vara av samma kvalitet och föremål för samma säkerhet och skydd som uppgifterna i nätverket, dels skulle omfattas av lämpliga tekniska och organisatoriska åtgär- der som skulle säkerställa att de skyddades mot förstöring, förlust, ändring eller olaglig lagring, behandling av, tillgång till eller avslöjande av uppgifterna samt som skulle säkerställa att tillgång gavs endast till bemyndigad personal. Vidare angavs att uppgifterna skulle förstöras vid slutet av lagringstiden, utom de uppgifter för vilka tillgång hade medgetts och som hade bevarats. I artikel 9 angavs vidare att varje medlemsstat skulle utse en eller flera oberoende myndigheter för att övervaka leverantörernas tillämpning av artikel 7.

I skäl 16 i ingressen erinrades om tjänsteleverantörernas skyldig- heter att vid behandlingen garantera uppgifternas kvalitet, sekretess och säkerhet i enlighet med dataskyddsdirektivet. Enligt artikel 13 i datalagringsdirektivet skulle medlemsstaterna också se till att de nationella åtgärder som skulle genomföra bestämmelserna om rätts- lig prövning, ansvar och sanktioner i dataskyddsdirektivet skulle bli tillämpliga även på de uppgifter som avsågs i datalagringsdirektivet. Den rätt till ersättning som enligt dataskyddsdirektivet tillkommer varje person som lidit skada till följd av otillåten behandling eller någon annan handling som är oförenlig med de nationella bestäm- melser som genomför direktivet skulle enligt skäl 19 i datalagrings- direktivet gälla även för personuppgifter enligt det sist nämnda direktivet.

Medlemsstaterna ålades vidare att införa sanktioner för att beivra otillåten avsiktlig tillgång till eller överföring av lagrade trafikupp- gifter (artikel 13). Europarådskonventionen om it-brottslighet från 2001 (ETS 185) liksom dataskyddskonventionen skulle också om- fatta uppgifter som lagras i enlighet med direktivet om lagring av trafikuppgifter (skäl 20).

8.1.4Den svenska genomförandeprocessen

Datalagringsdirektivet genomfördes i svensk rätt genom författ- ningsändringar som trädde i kraft den 1 maj 2012. Bestämmelserna om lagring finns i 6 kap. 16 a–f §§ LEK (prop. 2010/11:46, bet.

137

EU-rättens påverkan på reglerna om datalagring

SOU 2017:75

2011/12:JuU28, rskr. 2011/12:165–166). Kompletterande bestäm- melser finns i 37–46 §§ FEK.

Till grund för genomförandet fanns förslag från Trafikuppgifts- utredningen, som hade överlämnat sitt betänkande Lagring av trafik- uppgifter för brottsbekämpning (SOU 2007:76) i november 2007.

När riksdagen under våren 2011 behandlade regeringens propo- sition återförvisades förslaget med stöd av 2 kap. 22 § RF till justi- tieutskottet för att där vila i minst ett år. När förslaget togs upp för förnyad behandling i kammaren den 21 mars 2012 bifölls det med kvalificerad majoritet. Riksdagen beslutade på eget initiativ att de föreskrifter om skyddsåtgärder som regeringen bemyndigades att meddela snarast skulle underställas riksdagen för prövning (8 kap. 6 § RF). Detta gjordes genom att en proposition underställdes riks- dagen där det föreslogs att riksdagen skulle godkänna regeringens föreskrifter om särskilda tekniska och organisatoriska åtgärder för att skydda de lagrade trafikuppgifterna, vilka hade förts in i förord- ningen om elektronisk kommunikation (prop. 2011/12:146, bet. 2011/12:JuU26, rskr. 2011/12:288–289). Riksdagen biföll förslaget.

8.2EU-domstolens första dom

– Digital Rights-domen

EU-domstolen meddelade den 8 april 2014 dom i de förenade målen C-293/12 och C-594/12, Digital Rights Ireland m.fl. (Digital Rights- domen) angående giltigheten av datalagringsdirektivet med an- ledning av begäran av förhandsavgöranden från domstolar i Irland och Österrike. EU-domstolen förklarade i domen datalagrings- direktivet ogiltigt.

EU-domstolen konstaterade att de uppgifter som skulle lagras enligt direktivet sammantaget gjorde det möjligt att dra mycket precisa slutsatser om enskildas privatliv, bl.a. om deras vanor i var- dagslivet, om dagliga förflyttningar och sociala relationer (punkt 27 i domen). Domstolen slog fast att redan lagringsskyldigheten i fråga om de aktuella uppgifterna avseende personers privatliv och kom- munikationer utgjorde ett ingrepp i de rättigheter som skyddas enligt artikel 7 i rättighetsstadgan (dvs. rätten till respekt för privat- livet och familjelivet; se punkt 34 i domen). Ett ytterligare ingrepp i denna rättighet gjordes enligt domstolen när nationella myndigheter

138

SOU 2017:75

EU-rättens påverkan på reglerna om datalagring

medgavs tillgång till de lagrade uppgifterna (punkt 35). Det kunde alltså enligt domstolen konstateras att det rörde sig om två olika former av ingrepp i rätten till respekt för privatlivet. Eftersom direk- tivet föreskrev en behandling av personuppgifter innefattade regler- ingen också ett ingrepp i den i artikel 8 i rättighetsstadgan skyddade rättigheten (dvs. rätten till skydd av personuppgifter; se punkt 36 i domen).

Domstolen slog i avgörandet fast att direktivet innebar ett långt- gående och synnerligen allvarligt ingrepp i rätten till privatliv och skyddet av personuppgifter. Domstolen noterade i samband med det bl.a. att lagringen och den senare användningen kunde ge berörda personer en känsla av att deras privatliv stod under ständig övervak- ning (punkt 37). Domstolen konstaterade trots det att skyldigheten att lagra uppgifter och de nationella myndigheternas tillgång till dessa uppgifter inte kränkte det väsentliga innehållet i de skyddade rättigheterna och att datalagringsdirektivets materiella syfte – till- gängliggörandet av uppgifter för bekämpning av allvarlig brottslighet

– motsvarade ett mål av allmänt samhällsintresse som erkänns av unionen (punkterna 39–42). Var och en har enligt stadgan rätt inte bara till frihet utan även till personlig säkerhet. Kravet att en in- skränkning av en rättighet faktiskt måste svara mot ett allmänt sam- hällsintresse var därmed enligt EU-domstolen uppfyllt (punkt 44).

EU-domstolen gjorde därefter en prövning av om direktivet levde upp till den unionsrättsliga proportionalitetsprincipen. Domstolen konstaterade inledningsvis att lagringen var ägnad att nå det efter- strävade målet eftersom de nationella myndigheternas tillgång till lagrade trafikuppgifter innebar att myndigheterna ges ytterligare ett värdfullt verktyg för att klara upp brott (punkt 49). För att lagringen skulle kunna anses vara en proportionerlig åtgärd för bekämpningen av brott noterade domstolen att en sådan inskränkning av de grund- läggande friheterna enligt fast praxis måste begränsas till vad som är strängt nödvändigt (punkt 52). Det innebär enligt domstolen att unionslagstiftningen måste föreskriva tydliga och precisa bestäm- melser som reglerar räckvidden och tillämpningen av den aktuella åtgärden och som uppfyller vissa minimikrav för att möjliggöra ett effektivt skydd mot riskerna för missbruk och otillåten tillgång och användning av enskildas personuppgifter (punkt 54).

De förhållanden som domstolen särskilt uppmärksammade vid sin proportionalitetsbedömning var för det första att det i direktivet

139

EU-rättens påverkan på reglerna om datalagring

SOU 2017:75

inte fanns några generella begränsningar i lagringsskyldigheten då det i fråga om de uppgifter som skulle lagras inte gjordes någon åtskill- nad eller några undantag som tog sin utgångspunkt i syftet att bekämpa brott (punkterna 57–59). Lagringskravet enligt direktivet omfattade nästintill all kommunikation – alla personer, alla kom- munikationsmedel och alla trafikuppgifter – mellan enskilda i hela Europa. Domstolen konstaterade för det andra att det i direktivet inte angavs några objektiva kriterier för att avgränsa de nationella myndigheternas tillgång till och användning av de lagrade upp- gifterna för bekämpning av brott som kunde anses vara av tillräckligt allvarligt slag för att motivera det aktuella ingreppet. Det lämnades i stället till medlemsstaterna att själva bestämma vad som utgjorde allvarlig brottslighet i detta sammanhang (punkt 60). Inte heller reglerades i direktivet vilka formella och materiella villkor som skulle gälla och vilka krav som skulle ställas på förfarandet för tillgång till uppgifterna. Domstolen noterade också att tillgången till uppgifter inte var underkastad någon förhandskontroll av en domstol eller oberoende myndighet som har till uppgift att se till att tillgången begränsas till vad som är strängt nödvändigt (punkterna 61 och 62). Domstolen pekade vidare på att direktivet inte innehöll några bestämmelser som innebar att en åtskillnad skulle göras i fråga om lagringstiden för olika slags trafikuppgifter utifrån den nytta dessa har för att tillgodose syftet med lagringen och att det inte heller föreskrevs att lagringstiden måste bestämmas utifrån objektiva kriterier för att säkerställa att den inte går utöver vad som är strängt nödvändigt (punkterna 63 och 64). Slutligen uppmärksammade domstolen att det i direktivet saknades specifika regler om skydd av och säkerhet för lagrade personuppgifter som anpassade kraven till såväl mängden och arten av uppgifter som riskerna för otillåten till- gång till dessa. Domstolen menade i detta sammanhang att det inte fanns några garantier för att leverantörerna inte skulle ta ekonomiska hänsyn när de skulle bestämma säkerhetsnivån eller för att upp- gifterna skulle förstöras när lagringstiden hade gått ut. Domstolen ansåg också att kravet på en oberoende tillsyn inte kan garanteras om uppgifterna lagras utanför EU (punkterna 66–68).

Domstolen fann vid en samlad bedömning av nämnda förhållan- den att EU:s lagstiftande församlingar hade överskridit sina befogen- heter då direktivet antogs eftersom regleringen inte ansågs leva upp

140

SOU 2017:75

EU-rättens påverkan på reglerna om datalagring

till proportionalitetsprincipen mot bakgrund av artiklarna 7, 8 och 52.1 i rättighetsstadgan (punkt 69).

EU-domstolens dom i det aktuella målet har tillbakaverkande (retroaktiv) effekt. Det innebär att domen får till följd att rättsläget numera är detsamma som om datalagringsdirektivet aldrig hade funnits. Innebörden av att domen får tillbakaverkande effekt är dock inte att nationella genomförandeåtgärder också omedelbart blir ogiltiga (SOU 2015:31 s. 116).

8.3Analysen efter Digital Rights-domen (Ds 2014:23)

Den 29 april 2014 gav chefen för Justitiedepartementet en utredare i uppdrag att biträda departementet med att, i ljuset av EU-dom- stolens dom, grundligt analysera reglerna om lagring av uppgifter enligt 6 kap. 16 a–f §§ LEK samt övriga bestämmelser om tillgång till och behandling av sådana uppgifter och deras förhållande till unions- rätten. Analysen redovisades i juni 2014 i promemorian Datalagring, EU-rätten och svensk rätt (Ds 2014:23).

Analysen är upplagd på samma sätt som EU-domstolens dom vilket innebär att svensk rätt analyserades i förhållande till de om- ständigheter som domstolen särskilt pekade på i domen. I analysen betonades att domstolens slutsats – att direktivet står i strid med rättigheter som garanteras av stadgan – byggde på en samlad bedöm- ning av alla de behandlade frågorna. Domen ansågs alltså inte kunna tolkas så att domstolen presenterade en lista som i alla delar måste vara uppfylld för att regleringen inte skulle anses oproportionerlig, utan det var först vid den sammantagna bedömningen som svensk rätts förenlighet med EU-rätten fullt ut kunde avgöras. På samma sätt som EU-domstolens dom, avslutades analysen därför med en samlad bedömning av om den svenska regleringen var proportioner- lig och förenlig med Europarätten och EU-rätten. Det konstaterades därvid att det kunde finnas skäl att överväga några närmare angivna frågor och vidta några åtgärder som skulle verka för att ytterligare stärka rättssäkerheten och integritetsskyddet i den svenska regle- ringen. Den samlade bedömningen var emellertid att det svenska regelverket avseende lagring av uppgifter samt övriga bestämmelser

141

EU-rättens påverkan på reglerna om datalagring

SOU 2017:75

om tillgång till och behandling av sådana uppgifter, även utan sådana åtgärder, var förenlig med unionsrätten och europarätten.

Slutsatserna i denna första analys redovisas närmare i det följande.

8.3.1Lagringsskyldighetens omfattning

Generellt om lagringsskyldigheten

EU-domstolen konstaterade i sin dom (punkterna 56–59) att om- fattningen av den lagringsskyldighet som följde av artiklarna 3 och 5 i direktivet innebar att trafikuppgifter skulle lagras för alla personer och alla elektroniska kommunikationssätt, utan att någon urskillning skulle göras av de uppgifter som kunde tänkas vara relevanta för att uppnå målet att bekämpa allvarlig brottslighet. Man kunde därmed säga att den inskränkning i de grundläggande rättigheter som följde av artiklarna 7 och 8 omfattade hela Europas befolkning. Domstolen angav att lagringsskyldigheten som följde av direktivet således om- fattade även personer som inte misstänktes ha någon koppling till allvarlig brottslighet och utan någon möjlighet till undantag ens för de yrkeskategorier vars kommunikation enligt nationella regler om- fattas av tystnadsplikt. Inte heller ställdes det i direktivet upp några tidsmässiga eller geografiska begränsningar eller begränsningar till en viss grupp av människor som gjorde att lagringsskyldigheten bara omfattade sådana uppgifter som av något skäl kunde antas ha relevans för att förhindra, utreda eller åtala allvarliga brott.

Direktiv 2002/58 innehåller regler om i vilka situationer och för vilka syften trafikuppgifter får behandlas. Tidigare följde av arti- kel 11 i det numera upphävda datalagringsdirektivet att artikel 15.1 i direktiv 2002/58 inte skulle tillämpas på de uppgifter som specifikt måste lagras enligt datalagringsdirektivets bestämmelser.

I analysen framhölls att när datalagringsdirektivet förklarats ogiltigt måste det prövas om lagringen av alla de aktuella trafikupp- gifterna kunde anses vara en lämplig och proportionerlig åtgärd för att skydda allmän säkerhet eller för att förebygga, undersöka, avslöja och lagföra brott. I analysen konstaterades att uppgifter om elek- tronisk kommunikation är av stort värde för att kunna upptäcka och utreda brott, inte minst vad gäller grov och organiserad brottslighet.

I denna del hade utredaren inhämtat information från polisen om behovet av de uppgifter som omfattas av lagringskravet enligt de

142

SOU 2017:75

EU-rättens påverkan på reglerna om datalagring

svenska reglerna (se för detta och det följande Ds 2014:23 s. 52). Det framkom då att ingen lagrad information som i dag kan hämtas in kunde anses som oviktig. Som extremt viktiga angavs uppgifter om lokaliseringen av var en telefon eller internetsession kopplat upp och riktningen till basstationen. Dessa uppgifter används för att posi- tionera offer och misstänkta, kontrollera alibin och för att hitta vittnen eller misstänkta i ett område. Några få uppgifter bedömdes som mindre viktiga. Dessa var, såvitt avser telefoni, uppgifter om s.k. IMSI-nummer (del av 40 § 1 FEK), uppgifter om den första akti- veringen av en förbetald anonym tjänst (del av 40 § 3 FEK) och upp- gifter som identifierar den utrustning där kommunikationen slutligt avskiljs från den lagringsskyldige till den enskilda abonnenten (41 § 3 FEK). När det gällde internetåtkomst och tillhandahållande av internetåtkomst ansågs uppgifter om typ av kapacitet för överföring och uppgifter som identifierar den utrustning där kommunikationen slutligt avskiljs från den lagringsskyldige till den enskilde abonnen- ten (43 § 4 och 5 FEK) inte som viktiga utan som bra att ha i vissa fall. Samtliga övriga uppgifter bedömdes som viktiga.

Sammanfattningsvis ansågs denna redovisning stärka slutsatsen att de lagrade uppgifterna var ägnade att fylla en viktig funktion i de brottsbekämpande myndigheternas verksamhet med att skydda allmän säkerhet och förebygga, undersöka, avslöja och lagföra brott. Lagringen av uppgifterna för brottsbekämpande ändamål bedömdes därför som en lämplig åtgärd för att nå det eftersträvade målet.

I proportionalitetsprövningen beaktades de aspekter som EU- domstolen särskilt lyfte fram i sin dom. Domstolens resonemang i denna del gick sammanfattningsvis ut på att det kunde ifrågasättas om en lagring av trafikuppgifter som omfattar samtliga personer och samtliga elektroniska kommunikationsslag är en proportionerlig åtgärd, trots att de uppgifter som lagras i de allra flesta fallen inte har någon som helst koppling till brottslig verksamhet av allvarligt slag eller kan förväntas komma att användas vid utredande och lagföring av brott.

I analysen konstaterades att det var svårt att se någon annan rimlig väg för att på förhand begränsa lagringens omfattning till att omfatta endast uppgifter med koppling till brottslig verksamhet än att låta lagringsskyldigheten uppkomma först sedan någon form av misstanke riktats mot en viss person. En sådan begränsning be- dömdes dock inte kunna göras utan att en mängd uppgifter som är

143

EU-rättens påverkan på reglerna om datalagring

SOU 2017:75

av stor vikt för brottsbekämpningen försvinner. Inga historiska trafikuppgifter från tiden före ett brott och inga av de uppgifter som i dag inhämtas i polisens underrättelseverksamhet för att förebygga, förhindra eller upptäcka allvarlig brottslighet skulle då med säkerhet finnas att tillgå. Datalagring som metod bedömdes kort sagt förut- sätta att alla uppgifter lagras, bl.a. eftersom det inte är möjligt att i förväg veta eller misstänka vilka uppgifter som kan vara viktiga (Ds 2014:23 s. 53).

EU-domstolen ansågs i denna del sätta fingret på själva grund- tanken med lagringen av trafikuppgifter enligt datalagringsdirektivet, nämligen att säkerställa att uppgifterna finns tillgängliga för det fall de skulle behövas för att bekämpa allvarliga brott. Domen bedömdes dock inte kunna tolkas så att denna grundtanke, sedd för sig, hade underkänts av domstolen, utan det var den omfattande lagringen kombinerad med i första hand bristen på regler som begränsar till- gången till uppgifterna som gjorde lagringen oproportionerlig. Det konstaterades att de svenska tillgångsreglerna därför var av av- görande betydelse även för bedömningen av frågan om lagringens omfattning kunde anses proportionerlig. Även skyddet för den merpart av alla uppgifter som lagras men aldrig begärs utlämnade konstaterades också vara tillräckligt högt (Ds 2014:23 s. 54–55).

Särskilt om uppgifter som omfattas av yrkesmässig tystnadsplikt

Domstolen lyfte i Digital Rights-domen fram att det inte fanns någon begränsning i direktivet som möjliggjorde att kommunikation med personer som enligt nationell lag omfattas av yrkesmässig tystnadsplikt undantogs från lagringskravet. I analysen konstaterades att svenska regler om undantag från vittnesplikt för exempelvis advokater och läkare omfattar uppgifter som anförtrotts dem i deras yrkesutövning. Vidare noterades att regeringen då nyligen föreslagit att reglerna om avlyssningsförbud vid hemlig avlyssning av elek- tronisk kommunikation i 27 kap. 22 § RB skulle utökas från att avse endast kommunikation med försvarare till att omfatta alla de yrkeskategorier som undantas från vittnesplikt enligt 36 kap. 5 § andra–sjätte styckena RB (prop. 2013/14:237 s. 131–133). Det konstaterades samtidigt att det aldrig hade varit aktuellt med något motsvarande förbud för uppgifter som inhämtas genom hemlig

144

SOU 2017:75

EU-rättens påverkan på reglerna om datalagring

övervakning av elektronisk kommunikation. Med det synsätt som således kommer till uttryck i svensk lagstiftning – att det är upp- giftens innehåll som avgör om den omfattas av yrkesmässig tyst- nadsplikt – bedömdes det långsökt med en modell där exempelvis vissa telefonnummer på förhand skulle undantas från ett lagringskrav som i övrigt gäller generellt. Det ansågs i stället lämpligast att säker- ställa en proportionell avvägning mellan brottsbekämpnings- och integritetsintresset genom en balanserad reglering om brottsbekäm- pande myndigheters tillgång till lagrade uppgifter. Det framhölls också att EU-rätten tillåter att medlemsstaterna löser frågor på olika sätt och enligt egna traditioner.

Sammanfattningsvis bedömdes att det ur ett EU-rättsligt per- spektiv inte fanns något som tydde på en konflikt mellan reglerna om yrkesmässig tystnadsplikt och ett generellt lagringskrav avseende trafikuppgifter (Ds 2014:23 s. 55–56).

8.3.2Tillgången till uppgifterna

Direktivet och EU-domstolens första dom

I artikel 4 i datalagringsdirektivet föreskrevs att medlemsstaterna skulle vidta åtgärder för att säkerställa att uppgifter som lagrades i enlighet med direktivet skulle göras tillgängliga endast för behöriga nationella myndigheter i närmare angivna fall och i enlighet med nationell lagstiftning. De förfaranden som skulle följas och de villkor som skulle uppfyllas för att få tillgång skulle fastställas av varje med- lemsstat för sig i enlighet med nödvändighets- och proportiona- litetskraven samt i enlighet med EU-rätten och folkrätten, särskilt med beaktande av Europakonventionen. Av artikel 1.1 framgick att syftet med lagringen var att säkerställa att uppgifterna skulle finnas tillgängliga för utredning, avslöjande och åtal av allvarliga brott såsom de definieras av varje medlemsstat i deras nationella i lag- stiftning. Tillgången var därigenom begränsad till brottsbekämpande myndigheter och brottsbekämpande syften (prop. 2010/11:46 s. 47– 49). Enligt ett uttalande från rådet skulle medlemsstaterna, vid bedömningen av om de nationella brott som möjliggör ett utläm- nande är tillräckligt allvarliga, ta vederbörlig hänsyn till brotten i den lista som finns i artikel 2 i rådets rambeslut den 13 juni 2002 om en europeisk arresteringsorder och överlämnande mellan medlems-

145

EU-rättens påverkan på reglerna om datalagring

SOU 2017:75

staterna (2002/548/RIF) och till brott där telekommunikation ingår (prop. 2010/11:46 s. 21). Listbrotten i rambeslutet är till över- vägande del mycket allvarliga brott såsom terrorism, mord och våld- täkt, men även ett antal brott som i och för sig är av något mindre allvarlig karaktär men kan sägas vara typiska för organiserad brotts- lighet, såsom exempelvis förfalskning och hjälp till olovlig inresa, finns på listan.

I Digital Rights-domen kritiserade EU-domstolen på ett antal punkter att datalagringsdirektivet inte närmare reglerade hur tillgång skulle ges till de lagrade uppgifterna, utan i stor utsträckning läm- nade fritt för medlemsstaterna att själva reglera den frågan (punk- terna 60–62). Domstolen pekade på att det inte fanns något objektivt kriterium som begränsade tillgången till uppgifter i förhållande till brottets svårhetsgrad. Inte heller reglerade direktivet närmare hur de nationella myndigheterna kunde få tillgång till uppgifterna. Vidare innehöll direktivet inga bestämmelser som begränsade antalet perso- ner som kunde få tillgång till uppgifterna till vad som kunde anses absolut nödvändigt. Domstolen lyfte också fram att de nationella myndigheternas tillgång till lagrade trafikuppgifter inte var beroende av en föregående kontroll av en domstol eller av ett annat organ.

Analysen som gjordes i promemorian såvitt avser tillgången till lagrade uppgifter redogörs för i det följande.

Tillgången till uppgifter enligt RB

Hemlig övervakning av elektronisk kommunikation kan användas av de brottsbekämpande myndigheterna för att få tillgång till trafik- uppgifter och lokaliseringsuppgifter under förundersökning och, i vissa fall, för att förhindra vissa särskilt allvarliga brott.

I analysen konstaterades inledningsvis att det stora flertalet brott som omfattas av tillämpningsområdet för hemlig övervakning av elektronisk kommunikation har ett minimistraff på fängelse i minst sex månader. Det ansågs inte råda någon tvekan om att dessa brott är att betrakta som allvarliga och att samhällsintresset av att förebygga och utreda brotten är starkt (s. 75 i promemorian).

Det noterades vidare att hemlig övervakning av elektronisk kom- munikation därutöver får användas i förundersökning om narko- tikabrott och narkotikasmuggling (som inte är ringa) och för att

146

SOU 2017:75

EU-rättens påverkan på reglerna om datalagring

utreda dataintrång och barnpornografibrott, trots att dessa brott har lägre minimistraff än fängelse i sex månader. Det framhölls att det vid hantering av betydande mängder narkotika i överlåtelsesyfte inte sällan döms till straff i den övre delen av straffskalan. Samhälls- intresset av att förebygga och utreda narkotikabrott ansågs vara betydande, inte minst för att denna brottstyp är vanligt förekom- mande inom ramen för organiserad brottslighet. Brotten bedömdes i dessa fall som allvarliga i objektiv mening (s. 75).

När det gäller barnpornografibrott och dataintrång framhölls i analysen att straffskalorna för dessa brottstyper gav stöd för slut- satsen att brotten inte är att betrakta som lika allvarliga som de övriga brottstyper som berättigar till användning av hemlig övervak- ning av elektronisk kommunikation. Det konstaterades samtidigt att tillgången till trafikuppgifter många gånger kan vara helt avgörande för att det över huvud taget ska vara möjligt att utreda och lagföra dessa brott, något som naturligtvis påverkar proportionalitets- bedömningen. Mot bakgrund av samhällets starka intresse av att skydda barn mot sexuell exploatering ansågs en ordning som skulle innebära att barnpornografibrott inte skulle kunna utredas knappast godtagbar. Vid motsvarande avvägning när det gäller dataintrång beaktades att brottet i vissa fall kan leda till omfattande integritets- intrång för enskilda och även andra omfattande skadeverkningar, bl.a. vid olika former av affärsspionage eller intrång i samhällsviktiga elektroniska uppgiftssamlingar. Samhällsintresset av att utreda brotten bedömdes därför vara betydande (s. 75–76).

I analysen noterades vidare att hemlig övervakning av elektronisk kommunikation får användas även för att utreda – samt i vissa fall också för att förhindra – vissa samhällsfarliga brott som inte har ett straffminimum på fängelse i minst sex månader, exempelvis sabotage och spioneri. Dessa brott betraktas som särskilt allvarliga eftersom de riktar sig mot samhällsstrukturen och mot rikets säkerhet. Det ansågs därför finnas ett starkt samhällsintresse av att brotten effek- tivt kan utredas och förhindras (s. 76).

I analysen beaktades också att den svenska regleringen inte bara innehåller specifika begränsningar i fråga om vilka brott som kan motivera en övervakningsåtgärd, utan även att de principer som gäller för all användning av straffprocessuella tvångsmedel innebär ytterligare begränsningar i möjligheterna till övervakning (s. 77).

147

EU-rättens påverkan på reglerna om datalagring

SOU 2017:75

I analysen framhölls också att den svenska regleringen av de brottsbekämpande myndigheternas tillgång till trafik- och lokali- seringsuppgifter under pågående förundersökning bygger på att en allmän domstol i det enskilda fallet prövar om förutsättningarna för att lämna ut uppgifterna är uppfyllda innan uppgifterna lämnas ut och att undantag från denna regel gäller bara i vissa brådskande fall. Vidare påpekades att tillsyn bedrivs även i efterhand av SIN genom inspektioner och genom kontroller på begäran av enskild. Systemet med domstolsprövning och tillsyn ansågs säkerställa att det finns en mycket effektiv kontroll som uppfyller europarättens och unions- rättens krav (s. 78).

Sammantaget bedömdes i analysen att den lagring av uppgifter som sker för utlämnande av trafik- och lokaliseringsuppgifter i enlighet med bestämmelserna i 27 kap. RB uppfyller de krav som följer av den unionsrättsliga proportionalitetsprincipen.

Tillgången till uppgifter enligt IHL

De brottsbekämpande myndigheternas tillgång enligt IHL är i princip begränsad till att avse uppgifter som är av särskild vikt för att förebygga, förhindra eller upptäcka brottslig verksamhet som innefattar brott för vilket det inte är föreskrivet lindrigare straff än fängelse i två år. Uppgifter får i vissa situationer inhämtas även av- seende brott som inte har ett straffminimum på två års fängelse. Det handlar om vissa särskilt angivna samhällsfarliga brott så som sabotage, spioneri och andra brott som bekämpas av Säkerhets- polisen.

I analysen i departementspromemorian framhölls inledningsvis att brott vars minimistraff är fängelse i minst två år tveklöst tillhör kategorin allvarliga brott (s. 81). Vidare bedömdes även de sam- hällsfarliga brott som omfattas av lagens tillämpningsområde trots att de har lägre minimistraff som allvarliga eftersom de riktar sig mot samhällsstrukturen och mot rikets säkerhet. Det framhölls också att lagen innehåller regler som definierar förutsättningarna för en begäran och vilka uppgifter inhämtningsbeslutet ska innehålla. Lagen innehåller också en proportionalitetsregel (s. 81–82).

Ett frågetecken som lyftes i analysen är det förhållandet att upp- gifter hämtas in av myndigheterna själva utan föregående prövning

148

SOU 2017:75

EU-rättens påverkan på reglerna om datalagring

av en oberoende instans (s. 83). Samtidigt framhölls att frågor om rättssäkerhet och integritetsskydd hade varit föremål för ingående överväganden när IHL infördes, och det system som då beslutades hade ansetts uppfylla såväl dessa krav som kraven på ett praktiskt fungerande system. Vidare konstaterades att den statistik som dittills hade presenterats av SIN och de brottsbekämpande myndigheterna visade att inhämtning utfördes i ett relativt begränsat antal ärenden och vid arbete med mycket grova brott. En möjlig slutsats av detta ansågs vara att, även om ingen oberoende instans i förväg prövar inhämtningsbesluten, så har systemet med en efterföljande tillsyn av SIN en disciplinerande effekt på myndigheternas verksamhet. Dessa aspekter ansågs tyda på att den svenska regleringen vid en helhets- bedömning uppfyller kravet på att tillgången till lagrade uppgifter är begränsad till vad som kan anses strikt nödvändigt. I den bedöm- ningen lades också stor vikt vid att uppgifter enligt IHL kan hämtas in bara för mycket allvarlig brottslighet för vilken samhällsintresset är betydande (s. 81–82).

8.3.3Lagringstiden

EU-domstolen konstaterade i Digital Rights-domen att lagrings- kravet i direktivet hade ställts upp utan någon differentiering mellan olika kategorier av data, baserat på hur användbara uppgifterna kan tänkas vara. Inte heller angavs i direktivet, med hänsyn till att med- lemsstaterna hade tillåtits ett tidsspann på sex månader upp till två år, några objektiva kriterier som tillgodoser att lagringstiden begränsas till vad som kan anses strängt nödvändigt (punkterna 63 och 64). Nämnas kan också att generaladvokaten i sitt yttrande i målet hade kommit till slutsatsen att en lagringstid som överstiger ett år inte kan anses proportionerlig. Som ovan redovisats valdes i Sverige den kortaste lagringstid direktivet tillåter för samtliga uppgiftskategorier, dvs. uppgifterna ska lagras i sex månader räknat från den dag då kom- munikationen avslutades (6 kap. 16 d § LEK).

I analysen noterades inledningsvis att, när datalagringsdirektivet förklarats ogiltigt, det inte längre fanns några EU-rättsliga krav som hindrar att en kortare lagringstid än sex månader väljs (s. 85). Det konstaterades dock att för att de lagrade uppgifterna skulle tjäna sitt syfte, nämligen att kunna användas för att upptäcka, utreda och lag-

149

EU-rättens påverkan på reglerna om datalagring

SOU 2017:75

föra allvarliga brott, så måste de finnas tillgängliga under en så pass lång tid att de brottsbekämpande myndigheterna har en reell möjlig- het att hinna begära ut dem innan de raderas. Av uppgifter som inhämtats från polisen framgick att teledata m.m. som inhämtas i underrättelseverksamhet i de flesta fall är yngre än en månad men att det även finns ärenden där historik upp till sex månader varit av stor vikt i analysarbetet. Det framgick också att den största andel upp- gifter som begärs in i utredningsverksamheten är yngre än tre månader. Uppskattningsvis 20–25 procent angavs dock vara äldre än tre månader och cirka 10 procent av den totala mängden äldre än fem månader. Behovet av äldre uppgifter angavs särskilt gälla tidskrävande förundersökningar avseende grova våldsbrott av spaningskaraktär samt bekämpning av grova seriebrott som våldtäkter och mord- försök där det många gånger finns behov av äldre trafikdata för att kunna knyta en person till tidigare anmälda brott (s. 86).

Mot bakgrund av detta riskerade, enligt bedömningen i prome- morian, en kortare lagringstid än sex månader att leda till att syftet med lagringen inte kunde uppfyllas, särskilt vad gäller de grövsta brotten där det finns ett uttalat behov av äldre uppgifter. Det fram- hölls att det ur ett proportionalitetsperspektiv inte är acceptabelt med ett lagringskrav som tillgodoser behovet av uppgifter för att utreda mindre allvarlig brottslighet, samtidigt som uppgifter inte finns till- gängliga för att utreda grövre brott. Om en lagring för brottsbekäm- pande ändamål över huvud taget ska ske, ansågs det att tiden för lagringen måste vara sådan att det blir möjligt för de brottsbekäm- pande myndigheterna att använda de lagrade uppgifterna (s. 86).

Sammanfattningsvis bedömdes därför en lagringstid om sex månader uppfylla EU-domstolens krav på att tiden ska begränsas till vad som kan anses strikt nödvändigt (s. 86–87).

8.3.4Säkerheten för de lagrade uppgifterna

Skyddsregler och utplåning av uppgifter

EU-domstolen fann i Digital Rights-domen att direktivets regler om skydd för lagrade uppgifter var otillräckliga på flera punkter (punk- terna 66 och 67 i domen). Domstolen konstaterade att artikel 7 inte ställde upp säkerhetskrav anpassade till (i) den stora mängd data som ska lagras enligt direktivet, (ii) uppgifternas känsliga natur eller (iii)

150

SOU 2017:75

EU-rättens påverkan på reglerna om datalagring

risken för att uppgifterna kommer i orätta händer, på ett sätt som kan sägas garantera att uppgifterna hålls konfidentiella. Inte heller hade medlemsstaterna förpliktats att själva föreskriva en sådan ordning. Domstolen fann vidare att artikel 7, läst tillsammans med artikel 4.1 i direktiv 2002/58 samt artikel 17.1 i direktiv 95/46, inte ställde krav på att en särskilt hög säkerhetsnivå upprätthålls hos leverantörerna vad gäller tekniska och organisatoriska åtgärder. Detta eftersom leverantörerna tilläts att ta ekonomiska hänsyn vid bestämmandet av lämplig säkerhetsnivå. Dessutom framhöll dom- stolen att direktivet inte ställde något absolut krav på att uppgifterna utplånas vid slutet av lagringstiden.

I analysen i promemorian konstaterades inledningsvis att de svenska leverantörerna, genom regleringen i 6 kap. 3 a § LEK som tar sikte enbart på uppgifter lagrade enligt 16 a § samma kapitel, har en skyldighet att vidta de särskilda tekniska och organisatoriska åtgärder som behövs för att skydda uppgifterna, utan att de i den bedömningen tillåts ta några ekonomiska hänsyn. Den kritik EU- domstolen riktade mot direktivet i det hänseendet bedömdes därför inte relevant för den svenska regleringen (s. 90 i promemorian).

Vidare konstaterades i analysen att 37 § FEK har utformats i mycket nära anslutning till artikel 7 i direktivet. Det ansågs mot den bakgrunden, med hänsyn till EU-domstolens uttalanden, kunna ifrågasättas om enbart regleringen i 6 kap. 3 a § LEK och 37 § FEK ställer upp ett tillräckligt preciserat skydd för de lagrade uppgifterna. I den delen beaktades dock även de krav som följer av de föreskrifter som har meddelats av PTS. Det framhölls att dessa föreskrifter är detaljerade och de reglerar såväl frågor om behörighet och åtkomst som om fysiskt skydd för den utrustning som används för att lagra uppgifterna. De reglerar även i detalj frågor om loggning, som gör det möjligt att i efterhand se vem som haft tillgång till lagrade upp- gifter, samt säkerhetskopiering. Sammantaget ansågs detta inte kunna leda till någon annan slutsats än att det skydd som i Sverige regleras genom lag, förordning och myndighetsföreskrifter är betydligt mer omfattande och mer detaljerat än vad som följde av direktivets krav (s. 90). Det påpekas också att skyddsnivån är betyd- ligt högre och skyddsreglerna mer preciserade än när det gäller de uppgifter leverantörerna har tillstånd att lagra med stöd av direktiv 2002/58. Utifrån de kriterier domstolen lyfte fram bedömdes de

151

EU-rättens påverkan på reglerna om datalagring

SOU 2017:75

svenska regler som ska säkerställa skyddet för de lagrade uppgifterna vara tillräckligt strikta och precisa.

I analysen framhölls också att bestämmelsen i 6 kap. 16 d § LEK ställer krav på leverantörerna att utplåna uppgifterna vid lagrings- tidens utgång eller, om en begäran om utlämnande inkommit men inte hunnit behandlas, så fort uppgifterna har lämnats ut.

När det däremot gäller det fortsatta bevarandet hos de brotts- bekämpande myndigheterna av uppgifter som lämnats ut noteras att det av naturliga skäl inte finns någon bestämd frist föreskriven för hur länge uppgifterna får bevaras. Det påpekades dock att frågan om utplåning av uppgifter från hemlig övervakning inte är oreglerad, utan bestämmelser om detta finns i främst 27 kap. 24 § RB och 9 § IHL. Det framhölls också att det av Europadomstolens praxis följer att förstörandet av material från hemliga tvångsmedel innan en rättegång är avslutad i vissa fall kan kränka den misstänktes rätt till en rättvis rättegång (Europadomstolens domar i målen Natunen mot Finland, 31 mars 2009, och Janatuinen mot Finland, 8 december 2009, vilka båda avsåg material som inhämtats vid hemlig avlyss- ning). Ett krav på utplåning av uppgifterna vid en viss bestämd tid- punkt, utan att hänsyn tas till var i processen ett ärende befinner sig, bedömdes därför kunna kränka den misstänktes rätt till en rättvis rättegång enligt artikel 47 i rättighetsstadgan och artikel 6 i Europa- konventionen (s. 91–92).

Sammanfattningsvis bedömdes att regleringen i 6 kap. 16 d § LEK om utplåning av uppgifter vid lagringstidens slut hos leverantören uppfyller de krav på ett sådant oåterkalleligt förstörande av upp- gifterna som EU-domstolen efterlyste (s. 92–93).

Krav på lagring inom EU

EU-domstolen pekade i Digital Rights-domen på att datalagrings- direktivet inte krävde att uppgifterna skulle lagras inom unionen. Detta innebar enligt domstolen att den oberoende myndighets- kontrollen av att skydds- och säkerhetskraven för de lagrade upp- gifterna följs – vilken föreskrivs i artikel 8.3 i stadgan – inte fullt ut kunde anses vara garanterad (punkt 68). Enligt domstolen är en sådan kontroll en grundläggande beståndsdel i skyddet för enskilda individer i samband med behandlingen av personuppgifter.

152

SOU 2017:75

EU-rättens påverkan på reglerna om datalagring

I promemorian framhölls att det mot bakgrund av domstolens uttalanden om intresset av effektiv tillsyn fanns mycket som talade för att det bör införas ett krav på att lagringen av uppgifter ska göras inom EU eller EES (s. 97). I anslutning till denna bedömning redogjordes också för risken för ändamålsglidning, dvs. att uppgifter som lagras för ett visst ändamål kommer till användning i annan verksamhet eller för andra ändamål. Det konstaterades att en leve- rantör som väljer att lagra uppgifter i en server på en annan stats territorium kan tvingas att lämna ut dessa till utländska myndigheter i enlighet med lagstiftningen i lagringslandet. Det ansågs därför inte kunna uteslutas att uppgifter som lagras med stöd av svensk lag- stiftning enbart för ändamål som rör bekämpning av vissa närmare avgränsade typer av brott skulle kunna komma till användning i annan verksamhet eller för bekämpning av annan brottslighet. Ett rimligt antagande ansågs vara att riskerna för sådan ändamålsglidning generellt sett torde öka om lagringen sker i ett tredje land jämfört med om den sker inom EU eller EES (s. 96–97).

8.3.5Samlad bedömning

Sammanfattningsvis framhölls i analysen att det svenska regelverket avseende lagring enligt 6 kap. 16 a–f §§ LEK samt bestämmelserna om tillgång och behandling av sådana uppgifter med beaktande av EU-domstolens uttalanden, inte strider mot unionsrätten eller europarätten. Utredaren fann dock att det fanns skäl att ändå närmare överväga några frågor. Det gällde dels lagringsskyldigheten avseende ett par uppgiftskategorier, dels reglerna om tillsyn såvitt avser in- hämtning av abonnemangsuppgifter samt reglerna om en oberoende kontroll såvitt gäller inhämtning av uppgifter i underrättelseskedet. Vidare ansågs att det kunde övervägas om ett uttryckligt förbud mot lagring utanför EU/EES borde införas (s. 101).

8.4Datalagringsutredningens överväganden (SOU 2015:31)

Som en uppföljning av analysen i departementspromemorian Data- lagring, EU-rätten och svensk rätt (Ds 2014:23) gav regeringen en utredare i uppdrag att överväga ytterligare rättssäkerhets- och inte-

153

EU-rättens påverkan på reglerna om datalagring

SOU 2017:75

gritetsstärkande åtgärder för IHL och för reglerna om lagring enligt 6 kap. 16 a–f §§ LEK (dir. 2014:101).

Utredningen, som antog namnet Datalagringsutredningen, redo- visade sina slutsatser i betänkandet Datalagring och integritet (SOU 2015:31) i mars 2015.

Datalagringsutredningens slutsatser redovisas i det följande.

8.4.1Inget förslag om förändring i fråga om vilka uppgiftskategorier som ska lagras

I departementspromemorian gjordes bedömningen att inga av de uppgifter som omfattas av datalagringsskyldigheten var att anse som oviktiga. Vissa bedömdes dock vara mindre viktiga (avsnitt 8.3.1).

Enligt de uppgifter Datalagringsutredningen inhämtade framgick dock att samtliga uppgiftskategorier som ska lagras enligt LEK bedömdes vara av stor vikt för brottsbekämpningen (SOU 2015:31 s. 167). Mot bakgrund härav föreslog inte utredningen någon för- ändring i fråga om vilka uppgiftskategorier som skulle lagras enligt datalagringsreglerna.

8.4.2Inget förslag om krav på lagring inom EU

Som antecknades i departementspromemorian, fanns inte något krav i datalagringsdirektivet på var uppgifterna skulle lagras. I den mån de lagrade uppgifterna var personuppgifter kunde dock den allmänna dataskyddaregleringen påverka i vilken utsträckning det var möjligt att överföra uppgifterna till andra länder (s. 93 i Ds 2014:23).

Datalagringsutredningen konstaterade att enligt svensk rätt gäller leverantörens skyldigheter enligt de bestämmelser som anger hur lagringsskyldigheten ska fullgöras, t.ex. de krav som rör säkerheten för de lagrade trafikuppgifterna, även om lagringen förläggs utom- lands (SOU 2015:31 s. 178 med hänvisning till prop. 2010/11:46 s. 60). Detta skulle enligt Datalagringsutredningen särskilt beaktas av leverantörerna vid överväganden att lagra trafikuppgifter utomlands. Det ingår i PTS ansvar att kontrollera att leverantörerna följer regleringen i LEK och de föreskrifter som har meddelats med stöd av lagen. Det ansvaret gäller oberoende av var leverantörerna väljer att lagra uppgifter. Som framgår nedan har PTS vissa befogenheter för

154

SOU 2017:75

EU-rättens påverkan på reglerna om datalagring

att kontrollera att leverantörerna följer skydds- och säkerhets- reglerna. Regeringen bedömde när datalagringsdirektivet genom- fördes att de befogenheterna fick anses vara tillräckliga för att myndigheten skulle kunna utöva en aktiv och ändamålsenlig till- synsverksamhet (prop. 2010/11:46 s. 58).

PTS befogenhet att få tillträde till områden, lokaler och andra ut- rymmen där verksamhet som omfattas av LEK bedrivs kunde enligt Datalagringsutredningen i praktiken utövas endast i Sverige. Däremot torde möjligheterna att utöva de övriga befogenheter myndigheten har till sitt förfogande, t.ex. att begära upplysningar eller att meddela förelägganden och förbud, inte påverkas av var leverantören väljer att lagra uppgifterna. Mot den bakgrunden kom Datalagringsutred- ningen till slutsatsen att PTS har vissa möjligheter att bedriva en aktiv och ändamålsenlig tillsynsverksamhet även gentemot leverantörer som väljer att lagra uppgifter utanför unionen (SOU 2015:31 s. 179).

I sammanhanget framhöll Datalagringsutredningen att regleringen i dataskyddsdirektivet, dataskyddskonventionen och PUL innebär att personuppgifter inte får föras över till länder som inte erbjuder en adekvat nivå av skydd för uppgifterna. Vid bedömningen av om skyddet kan anses adekvat skulle det enligt Datalagringsutredningen beaktas om de tillämpliga reglerna i det tredje landet innehåller den kärna av dataskyddsprinciper som gäller inom EU. Dessa principer innebär bl.a. att kvaliteten på det aktuella landets skyddsmekanismer är en viktig omständighet vid bedömningen av skyddsnivån. Regler- ingen innebär således att uppgifter får föras över bara till sådana tredje länder som har tillräckliga skyddsmekanismer sett i förhållande till den aktuella typen av uppgifter. Kraven på skydd ska också ställas högre ju känsligare uppgifter det är fråga om (SOU 2015:31 s. 179).

Mot den bakgrunden kom Datalagringsutredningen till slutsatsen att den oberoende myndighetskontrollen var garanterad i svensk rätt även i förhållande till leverantörer som väljer att lagra uppgifter utan- för unionen. Avsaknaden av ett krav på lagring inom EU eller EES innebar således, enligt Datalagringsutredningen, inte att regleringen i svensk lag stred mot bestämmelserna om grundläggande rättigheter i EU-stadgan. Enligt utredningen skulle dessutom ett förbud mot lagring utanför EU strida mot Sveriges åtaganden enligt dataskydds- konventionen. (SOU 2015:31 s. 179–182)

155

EU-rättens påverkan på reglerna om datalagring

SOU 2017:75

8.4.3Uppgifter som omfattas av tystnadsplikt

Inget förbud mot övervakning av personer som omfattas av tystnadsplikt

I fråga om förbud mot övervakning av personer med tystnadsplikt konstaterade Datalagringsutredningen inledningsvis att svensk rätt intar ståndpunkten att det normalt är en uppgifts innehåll som avgör om den omfattas av skydd mot avlyssning och undantag från vittnes- plikt. Trots det kunde det enligt utredningen i vissa situationer finnas ett intresse av att begränsa myndigheternas insyn i att kom- munikation över huvud taget har förekommit, t.ex. vid kommuni- kation med sådana personer som berörs av meddelarskyddet. I dessa fall skulle redan en uppgift om att någon har varit i kontakt med en journalist kunna leda till att det anonymitetsskydd som garanteras genom journalistens tystnadsplikt hotas (SOU 2015:31 s. 208).

En uppgift om att en person har kommunicerat med en journalist omfattas av skydd för meddelarfrihet endast i de fall då kommuni- kationen innebär att ett meddelande lämnas för publicering. Vid inhämtning av uppgifter om elektronisk kommunikation känner de brottsbekämpande myndigheterna normalt sett inte till innehållet i kommunikationen. Det innebär att det oftast inte går att avgöra vilka uppgifter som omfattas av tystnadsplikt. Ett förbud mot att hämta in sådana uppgifter skulle därför enligt Datalagringsutredningen vara mycket svårt att tillämpa. Om myndigheten i något fall skulle känna till att de aktuella uppgifterna omfattas av yrkesmässig tystnadsplikt redan innan inhämtning utförs, torde dessutom en tillämpning av proportionalitetsprincipen normalt sett leda till att uppgiften inte får hämtas in. Ett uttryckligt förbud mot inhämtning av uppgifter i sådana situationer skulle därför, enligt Datalagringsutredningen, vara av begränsat praktiskt värde. Något förslag på sådant förbud lämna- des därför inte (SOU 2015:31 s. 209).

Förslag på förstörandeskyldighet

Ett annat tänkbart alternativ för att stärka skyddet för uppgifter som omfattas av yrkesmässig tystnadsplikt var enligt Datalagringsutred- ningen att införa regler om att sådana uppgifter ska förstöras i efter- hand. Även tillämpningen av en sådan regel skulle visserligen nor-

156

SOU 2017:75

EU-rättens påverkan på reglerna om datalagring

malt förutsätta att den brottsbekämpande myndigheten känner till innehållet i kommunikationen. Det skulle dock enligt utredningen inte vara otänkbart att det i undantagsfall skulle kunna inträffa att myndigheten får sådan kännedom, t.ex. då hemlig övervakning av elektronisk kommunikation används tillsammans med hemlig avlyss- ning av elektronisk kommunikation. I den utsträckning kommuni- kationen i en sådan situation omfattas av avlyssningsförbud har den brottsbekämpande myndigheten en skyldighet att förstöra upptag- ningarna och uppteckningarna från avlyssningen. Däremot finns det inte någon uttrycklig skyldighet att radera också uppgiften om att kommunikationen har ägt rum. Detta gäller även om myndigheten genom avlyssningen fått kännedom om att t.ex. ett meddelande lämnades till en journalist för publicering. Enligt Datalagringsutred- ningens uppfattning var detta en brist i skyddet för den yrkesmässiga tystnadsplikten. Utredningen kunde inte heller se några tungt vägande skäl mot att den brottsbekämpande myndigheten i en sådan situation skulle vara skyldig att radera även uppgifter som anger att kommunikationen har ägt rum (SOU 2015:31 s. 209–210).

Mot bakgrund av det ovan anförda föreslog Datalagringsut- redningen en skyldighet för de brottsbekämpande myndigheterna att förstöra uppteckningar från hemlig övervakning av elektronisk kommunikation och inhämtning av uppgifter enligt IHL i de delar uppteckningarna innehåller uppgifter som, på grund av bestämmel- serna i 36 kap. 5 § andra–sjätte styckena RB, inte skulle ha kunnat inhämtas genom vittnesförhör i domstol. Eftersom möjligheten att avgöra om tystnadsplikt gäller för uppgifter om att kommunikation förekommit normalt är beroende av vad kommunikationen innehöll torde det endast sällan bli aktuellt att tillämpa dessa regler. Det var emellertid enligt Datalagringsutredningen inte något starkt skäl för att avstå från att införa reglerna (SOU 2015:31 s. 210).

8.4.4IHL

Datalagringsutredningen gjorde en genomgång av tillämpningen av IHL hos Säkerhetspolisen, Polismyndigheten och Tullverket. För denna genomgång hänvisas till Datalagringsutredningens betänkande Datalagring och integritet (SOU 2015:31 s. 213–283).

157

EU-rättens påverkan på reglerna om datalagring

SOU 2017:75

I anslutning till denna genomgång övervägdes ett antal förslag som skulle kunna stärka rättssäkerheten och integritetsskyddet. Dessa förslag redogörs för i det följande.

Inget förslag med krav på förhandskontroll av domstol

Datalagringsutredningen inledde sina överväganden i fråga om ändrad beslutsordning med att erinra om att alternativet med dom- stolsprövning övervägdes redan i samband med att IHL infördes. Regeringen uttalade då följande (prop. 2011/12:55 s. 88–89).

Att allmän domstol fattar beslut om hemliga tvångsmedel under en för- undersökning är lämpligt och väl förenligt med det tvåpartsförfarande och de möjligheter till rättslig prövning som gäller där. Frågan blir då om allmän domstol, som Post- och Telestyrelsen har förordat, också bör fatta beslut om inhämtning i underrättelseverksamhet. Som redovisas […] ovan gör sig andra intressen gällande i underrättelseverksamhet än under en förundersökning. Integritetsaspekten präglas i underrättelse- skedet mer av ett medborgarperspektiv än av ett sådant tvåpartsför- farande som särskilt lämpar sig för rättslig prövning i allmän domstol. Det får också, såsom bl.a. JO och Sveriges Advokatsamfund har fram- fört, anses vara principiellt tveksamt att de allmänna domstolarna på för- hand rättsligt prövar olika åtgärder som vidtas inom ramen för under- rättelseverksamhet. Kännetecknande för den verksamheten är att den är operativ, kunskapssökande och undersökande men inte primärt inriktad mot någon viss inträffad gärning eller någon viss misstänkt person. För det fall allmän domstol generellt skulle rättsligt pröva olika åtgärder som vidtas i underrättelseverksamheten och därmed i många fall skulle ge tillstånd till olika operativa spaningsåtgärder, kan det finnas risk för att domstolens roll som oberoende prövningsinstans i brottmålsförfarandet ifrågasätts, i varje fall när åtgärderna senare leder fram till förundersök- ning och åtal. En sådan roll skulle för domstolen också vara delvis främ- mande i det svenska rättssystemet. Enligt lagen om åtgärder för att för- hindra vissa särskilt allvarliga brott är det visserligen domstol som ger tillstånd till inhämtningen efter ansökan av åklagare (6 §). Det rör sig dock i det fallet om en tidsbegränsad lag som enligt uppgift har kommit att tillämpas när en förundersökning är förestående, dvs. i praktiken inom ramen för vad som brukar benämnas förutredning (SOU 2009:70 s. 172). Den nu föreslagna regleringen är avsedd att ha ett vidare tillämp- ningsområde. Det kan dessutom ifrågasättas om domstolarna skulle kunna tillgodose behovet av snabba beslut utanför kontorstid. Att införa en ordning med dygnetruntberedskap för de allmänna domstolarna för att pröva frågor om inhämtande av uppgifter i underrättelseverksamhet framstår inte som ändamålsenligt. Mot den angivna bakgrunden anser regeringen att allmänna domstolar inte bör ges beslutanderätten för

158

SOU 2017:75

EU-rättens påverkan på reglerna om datalagring

inhämtning av uppgifter om elektronisk kommunikation i de brotts- bekämpande myndigheternas underrättelseverksamhet.

Enligt Datalagringsutredningens uppfattning saknades det skäl att göra någon annan bedömning än den regeringen gjorde när IHL in- fördes. De argument som då fördes fram mot en domstolsprövning hade fortfarande bärkraft. Vidare noterade utredningen att under- rättelseverksamheten, till skillnad från en förundersökning, inte primärt är inriktad på någon viss gärning eller någon viss person. Till detta kom den omständigheten att det är tveksamt om domstolarna, inom ramen för den nuvarande jourorganisationen, skulle kunna tillgodose de brottsbekämpande myndigheternas behov av snabba beslut. Däremot skulle behovet av snabba beslut kunna tillgodoses genom att de brottsbekämpande myndigheterna får en möjlighet att i brådskande fall fatta interimistiska beslut, med en efterföljande prövning av beslutet i domstol. En sådan ordning var dock inte heller helt oproblematisk enligt Datalagringsutredningen. Dels kvarstår övriga argument mot en domstolsprövning. Dels gäller i princip samtliga beslut enligt IHL uppgifter i förfluten tid. När domstolen väl överprövar ett interimistiskt beslut skulle därför i de allra flesta fall uppgifterna redan vara levererade till den brottsbekämpande myndighet som begärt dem. I sådana fall skulle det behövas regler om vad följden blir om domstolen upphäver det interimistiska beslutet, i likhet med dem som gäller i fråga om interimistiska beslut om hem- liga tvångsmedel under en förundersökning (27 kap. 21 a § RB). Att föreskriva att inhämtade uppgifter i en liknande situation inte får användas i en förundersökning är enligt Datalagringsutredningen logiskt, eftersom det får den konsekvensen att uppgifterna inte kan användas som bevisning. I underrättelseverksamhet är det dock mer oklart vad en motsvarande bestämmelse skulle få för praktiska följder. En bestämmelse som exempelvis innebär att myndigheten i sådan verksamhet måste bortse från information som den faktiskt känner till framstod enligt Datalagringsutredningen inte som för- troendeingivande. (SOU 2015:31 s. 288–289)

Ett annat skäl som enligt Datalagringsutredningen talade mot att beslutskompetensen skulle anförtros domstol, eller någon annan myndighet som är fristående från de brottsbekämpande myndig- heterna, var intresset av att kunna hålla den information som finns i underrättelseärendena inom en så snäv personkrets som möjligt. Även om domstolarna naturligtvis har stor vana av att hantera sekre-

159

EU-rättens påverkan på reglerna om datalagring

SOU 2017:75

tesskyddat material på ett säkert sätt, går det enligt utredningen inte att bortse från att risken för spridning av informationen ökar ju större personkrets som får tillgång till den. (SOU 2015:31 s. 289)

Datalagringsutredningen lämnade därför inte något förslag på förhandsprövning av domstol.

Inget förslag om möjlighet att överklaga

Ett annat alternativ som Datalagringsutredningen övervägde var att konstruera ett system med en möjlighet att överklaga de brotts- bekämpande myndigheternas beslut enligt IHL till domstol. En sådan ordning inrymde dock enligt utredningen en hel del praktiska problem. Eftersom de personer som besluten gäller förutsätts inte känna till dem, måste någon annan anförtros uppgiften att granska samtliga beslut för att avgöra vilka som eventuellt bör överklagas. Detta skulle enligt utredningen förutsätta att ett offentligt ombud eller motsvarande involveras i beslutsprocessen hos myndigheterna. Dessutom var det enligt utredningen sannolikt att relativt få beslut skulle överklagas. Svårigheten för tingsrätterna att arbeta upp en vana av att handlägga ärenden enligt inhämtningslagen var därför än mer tydlig med ett sådant system än med en ordning med generell dom- stolsprövning av samtliga beslut. Det skulle också behövas regler om vad konsekvensen blir om domstolen ändrar ett överklagat beslut, vilket leder till samma problem som diskuterats ovan beträffande interimistiska beslut. Utredningen lämnade därför inte något förslag om överklagande av beslut enligt IHL (SOU 2015:31 s. 290).

Inget förslag om åklagarbeslut

Datalagringsutredningen övervägde om åklagare skulle få en roll vid beslut enligt IHL (SOU 2015:31 s. 290–292). Utredningen inledde med att notera att regeringen i förarbetena till IHL konstaterade att åklagare som regel inte deltar i polisens eller Tullverkets under- rättelseverksamhet och att åklagare inträder först i samband med att förundersökning har inletts och någon är skäligen misstänkt för brottet. Regeringen ansåg vidare att det bör krävas starka skäl för att åklagare ska tilldelas en roll i de brottsbekämpande myndigheternas

160

SOU 2017:75

EU-rättens påverkan på reglerna om datalagring

allmänna underrättelsearbete. Beslutanderätten borde därför enligt regeringen inte läggas hos åklagare (prop. 2011/12:55 s. 89).

Liknande synpunkter framfördes av både Åklagarmyndigheten och Ekobrottsmyndigheten i myndigheternas remissvar över det betänkande som låg till grund för propositionen (SOU 2009:1). Åklagarmyndigheten pekade också på att en viktig förutsättning för att åklagaren ska kunna leva upp till sin objektivitetsplikt är att han eller hon skapar distans till underrättelseverksamheten.

Datalagringsutredningen noterade i och för sig att åklagare har en roll i beslutsprocessen när det gäller preventiva tvångsmedel men konstaterade samtidigt att lagen om preventiva tvångsmedel används i en jämförelsevis mycket blygsam omfattning och i situationer där det handlar om att bedöma en på visst sätt konkretiserad risk. I dessa fall handlar det också om att tillstånd till tvångsmedel söks hos dom- stol. Betänkligheterna mot att åklagare har en roll i ett sådant för- farande var därför enligt Datalagringsutredningen betydligt mindre.

Mot den angivna bakgrunden borde det enligt Datalagringsut- redningen krävas starka skäl för att frångå den rådande ansvars- fördelningen mellan polis och tull respektive åklagare. Ett sådant skäl skulle t.ex. kunna vara om det hade funnits tydliga indikationer på att det nuvarande systemet missbrukas. Några sådana indikationer fanns inte enligt Datalagringsutredningen. Det saknades därför sådana starka skäl som borde krävas för att föreslå att besluts- befogenheten skulle anförtros åklagare (SOU 2015:31 s. 292).

Inget förslag på nytt beslutsorgan

Datalagringsutredningen övervägde även om förslag skulle lämnas på en ny nämnd som skulle pröva frågor enligt IHL. Utredningen pekade på att frågan om det är lämpligt att inrätta särskilda nämnder för beslut enligt lagen om preventiva tvångsmedel övervägdes när den infördes. Regeringen bedömde då att ett system med en särskild nämnd hade nackdelar, bl.a. att det skulle vara svårt att inom ramen för en nämndprövning skapa en ordning som på samma påtagliga sätt kan ta tillvara integritetsintresset. Ett system med nämnd skulle också kunna bli sårbart genom att det skulle kunna uppstå svårig- heter att med kort varsel samla nämnden för föredragning och beslut. Regeringen menade därför att övervägande skäl talade mot att

161

EU-rättens påverkan på reglerna om datalagring

SOU 2017:75

införa en nämnd som fattar beslut i dessa frågor (prop. 2005/06:177 s. 64–65).

Frågan övervägdes på nytt i samband med att IHL infördes. Reger- ingen hänvisade då till de överväganden som gjorts i samband med införandet av lagen om preventiva tvångsmedel och framhöll att det saknades skäl att göra en annan bedömning (prop. 2011/12:55 s. 89).

Fördelen med en nämndprövning var enligt Datalagringsutred- ningen att besluten skulle fattas av en oberoende myndighet, sam- tidigt som man i huvudsak undviker de invändningar som finns mot att förlägga beslutskompetensen hos ett organ som senare skulle få befattning med ärendena. Även med ett sådant system kunde dessa principiella invändningar emellertid inte undvikas fullt ut. Exem- pelvis skulle en sådan nämnd sannolikt ledas av en ordinarie domare, vilket även det skulle kunna leda till risk för att domstolens roll som oberoende prövningsinstans i brottmålsförfarandet ifrågasätts.

Datalagringsutredningen instämde vidare i regeringens tidigare bedömning att ett nämndsystem skulle innebära vissa praktiska nackdelar. Prövningens i många fall brådskande natur i kombination med en spridd geografisk förekomst gjorde att det inte framstod som realistiskt att inrätta ett sådant organ på en enda plats i landet. Att i stället inrätta flera nämnder eller liknande organ på olika platser för att kunna tillgodose behovet av närhet till lokala brottsbekäm- pande myndigheter framstod ur ett verksamhets- och effektivitets- perspektiv inte heller som särskilt lämpligt (SOU 2015:31 s. 293).

En annan fråga var hur ett nämndsystem skulle behöva organi- seras för att de brottsbekämpande myndigheternas behov av snabba beslut skulle kunna tillgodoses. Det var för utredningen knappast rimligt att tänka sig att ett antal nämnder av det aktuella slaget skulle vara tillgängliga dygnet runt för att snabbt kunna fatta beslut i frågor om inhämtning av uppgifter enligt IHL. Visserligen skulle det kunna övervägas att lösa det problemet med en möjlighet till interimistiska beslut. Det skulle dock innebära att man ställs inför samma svårig- heter som behandlats ovan i anslutning till frågan om domstols- prövning. Något förslag på inrättande av en särskild nämnd lämnades därför inte av Datalagringsutredningen (SOU 2015:31 s. 293).

162

SOU 2017:75

EU-rättens påverkan på reglerna om datalagring

Inget förslag på förändrad beslutsnivå inom myndigheterna

Myndighetschefen får enligt 4 § IHL delegera rätten att fatta beslut om inhämtning till en annan anställd vid myndigheten som har den särskilda kompetens, utbildning och erfarenhet som behövs. Den till vilken rätten att fatta beslut har delegerats får inte fatta beslut om inhämtning i sådan operativ verksamhet som han eller hon deltar i. I lagens förarbeten anges att delegation bör kunna ske till t.ex. myndig- hetschefens ställföreträdare, rikskriminalchefen, biträdande rikskri- minalchefen, biträdande säkerhetspolischefen, biträdande länspolis- mästare, länskriminalchefer, chefer för operativ verksamhet och chefer för underrättelseverksamhet (prop. 2011/12:55 s. 123).

Av dessa skäl och eftersom bestämmelsen om delegation har en så strikt utformning som man rimligen kan begära föreslog Data- lagringsutredningen i den här delen inga författningsändringar.

Förslag om underrättelseskyldighet till SIN

Datalagringsutredningen undersökte om det fanns några åtgärder som enligt SIN:s uppfattning skulle kunna vidtas för att göra till- synen än mer effektiv. Nämnden framförde att bestämmelsen i 6 § IHL om underrättelseskyldighet till nämnden skulle kunna förtyd- ligas på så sätt att det skulle framgå att underrättelseskyldigheten tar sikte på själva beslutet (SOU 2015:31 s. 298).

I de allra flesta fall fullgör de beslutande myndigheterna visser- ligen sin underrättelseskyldighet genom att ställa sina beslut till SIN. Det har dock hänt att SIN underrättats om fattade beslut på annat sätt, t.ex. genom en särskild skrivelse, och i vissa fall uppkommer frågan om SIN verkligen fått del av beslutet. Enligt nämnden skulle emellertid följderna av otydligheten i detta avseende inte överdrivas.

Det var enligt Datalagringsutredningen rimligt att underrättelse- skyldigheten skulle fullgöras på det sätt som SIN hade förordat, dvs. genom att den brottsbekämpande myndigheten ger in själva besluts- handlingen till nämnden. Ett förslag till sådant förtydligande läm- nades därför av utredningen (SOU 2015:31 s. 298).

163

EU-rättens påverkan på reglerna om datalagring

SOU 2017:75

Inget förslag på krav på beslutens innehåll

Enligt 5 § IHL ska beslut enligt lagen innehålla uppgift om vilken brottslig verksamhet och vilken tid beslutet avser samt vilket tele- fonnummer eller annan adress, vilken elektronisk kommunikations- utrustning eller vilket geografiskt område beslutet avser. Av författ- ningskommentaren till bestämmelsen framgår att kravet på att ange den brottsliga verksamheten innebär att det, vid inhämtning som sker enligt 2 §, ska anges vilket eller vilka brott som innefattas i verksam- heten och att det vid inhämtning enligt 3 § ska anges vilken av punk- terna 1–5 som ligger till grund för beslutet (prop. 2011/12:55 s. 123).

SIN framförde till Datalagringsutredningen att skrivningen i för- fattningskommentaren är något otydlig eftersom den ger vid handen att det är brottet eller brotten – och inte den brottsliga verksamheten

– som ska anges i besluten. Enligt nämnden angav de beslutande myndigheterna i sina underrättelser ofta endast det eller de brott som innefattas i den brottsliga verksamhet som åtgärden syftar till att förebygga, förhindra eller upptäcka, och inte den brottsliga verk- samheten som sådan. För att SIN i samtliga fall ska kunna kon- trollera att inhämtningen avser sådana brott som omfattas av IHL (2 och 3 §§) och att överskottsinformation samt förstöring av mate- rialet hanteras rättsenligt (7 och 9 §§) kunde det enligt nämnden finnas anledning att överväga om den aktuella bestämmelsen ut- tryckligen ska ta sikte på både den brottsliga verksamheten och det eller de brott som ingår i denna.

Av förarbetena till polisdatalagen framgår att begreppet brottslig verksamhet syftar på verksamhet av viss konkretion (prop. 2009/10:85 s. 362). Däremot krävs inte att misstanken avser en konkretiserad gärning på samma sätt som vid förundersökning. Hur konkret den brottsliga verksamheten kan beskrivas i ett under- rättelseärende varierar enligt Datalagringsutredningen i hög grad från fall till fall och även beroende på i vilket skede ärendet befinner sig. Det kan också ha betydelse vilken myndighet det är som handlägger ärendet. För Säkerhetspolisens del rör det sig t.ex. ofta om före- teelser och verksamheter där anknytningen till urskiljbara brott inte är lika tydlig som när det gäller den öppna polisens verksamhet. Säkerhetspolisens underrättelseverksamhet har således en bredare inriktning än motsvarande verksamhet hos den öppna polisen

164

SOU 2017:75

EU-rättens påverkan på reglerna om datalagring

eftersom den senare är tydligare inriktad mot vissa brottstyper eller brottsliga företeelser (prop. 2009/10:85 s. 362–363).

Utredningen uppmärksammade även vid kartläggningen att det varierade en del hur den brottsliga verksamheten beskrevs i beslut enligt IHL. I vissa fall angavs endast det eller de brott som verk- samheten bedömdes innefatta, medan besluten i andra fall innehöll mer konkreta beskrivningar. Ett exempel på det senare var att det i ett beslut angavs att den brottsliga verksamheten utgörs av grovt narko- tikabrott genom hantering av en viss mängd av ett angivet preparat. I vilken mån den brottsliga verksamheten kunde konkretiseras på ett sådant sätt var enligt Datalagringsutredningen beroende av vilken information som fanns i ärendet vid tidpunkten för beslutet.

Datalagringsutredningen uttryckte förståelse för att det kunde finnas ett behov från kontrollsynpunkt av att den brottsliga verk- samheten specificeras i så hög utsträckning som möjligt i besluten. I många fall torde det dock enligt utredningen inte vara möjligt att beskriva verksamheten särskilt mycket mer ingående än genom att ange det eller de brott som den innefattar. En ändring av det slag som SIN hade föreslagit skulle innebära att detta inte längre skulle vara tillräckligt. Frågan inställde sig då om det i sådana fall inte längre skulle vara tillåtet att hämta in uppgifter enligt IHL. En sådan ändring skulle få effekter i fråga om vilket krav på konkretion som skulle ställas, för att det ska anses vara fråga om brottslig verksam- het. Detta kunde få konsekvenser som var svåra att överblicka. Krav på beskrivningar av mer konkret angiven brottslighet hörde enligt utredningen hemma på förundersökningsstadiet. Det var därför enligt Datalagringsutredningen inte lämpligt att föreslå någon ändring i fråga om kraven på hur den brottsliga verksamheten ska anges (SOU 2015:31 s. 300).

Inget förslag på förändrat dokumentationskrav

Bestämmelser om skyldighet att dokumentera beslut som fattas i den brottsbekämpande verksamheten ökar möjligheterna till kontroll i efterhand.

165

EU-rättens påverkan på reglerna om datalagring

SOU 2017:75

En bestämmelse om dokumentationsskyldighet i myndigheters verksamhet i stort finns i 15 § förvaltningslagen (1986:223)1. Enligt den bestämmelsen ska en myndighet anteckna uppgifter som den får på annat sätt än genom en handling och som kan ha betydelse för utgången i ärendet, om ärendet avser myndighetsutövning mot någon enskild. Brottsbekämpande verksamhet är emellertid undantagen från bestämmelsens tillämpningsområde (32 § förvaltningslagen).

Bestämmelsen i 5 § IHL om vilka uppgifter som ska anges i ett beslut enligt lagen innehåller inte något krav på att de skäl som ligger till grund för beslutet ska dokumenteras. Datalagringsutredningen frågade sig mot denna bakgrund om det finns anledning att ändra bestämmelsen så att det blir tydligare att så ska göras.

Det väsentliga var enligt Datalagringsutredningen att sådana om- ständigheter som läggs till grund för myndigheternas beslut doku- menteras. Detta är av avgörande betydelse, inte minst för att SIN:s efterhandskontroll ska kunna bedrivas så effektivt som möjligt. Av förarbetena till IHL framgår att ett beslut om inhämtning bör läggas upp som ett särskilt inhämtningsärende där skälen för beslutet fram- går (prop. 2011/12:55 s. 85). Om SIN väljer att granska ett enskilt beslut, finns alltså skälen för åtgärden på ett eller annat sätt till- gängliga i ett ärende vid den beslutande myndigheten. Enligt vad SIN uppgav för Datalagringsutredningen visar erfarenheterna från den tid som IHL har varit i kraft att denna ordning fungerar för- hållandevis väl och att skälen för besluten i regel finns där de bör finnas. Mot den bakgrunden fanns det enligt Datalagringsutred- ningen inte skäl att föreslå några förändringar som skulle ta sikte på dokumentationsskyldigheten (SOU 2015:31 s. 301–302).

Inget förslag om förändrad tystnadsplikt

Enligt 6 kap. 20 § LEK har operatörerna tystnadsplikt för vissa upp- gifter. Tystnadsplikten omfattar även uppgifter som hänför sig till användningen av hemliga tvångsmedel (6 kap. 21 §). Operatörernas tystnadsplikt gäller även i förhållande till SIN. Det innebär alltså att det inte är tillåtet för operatörerna att vidarebefordra information

1 En ny förvaltningslag träder i kraft den 1 juli 2018, prop. 2016/17:180, bet. 2017/18:KU2, rskr. 2017/18:2.

166

SOU 2017:75

EU-rättens påverkan på reglerna om datalagring

som de får del av vid verkställighet av beslut om hemliga tvångs- medel till nämnden.

Datalagringsutredningen övervägde mot den nu angivna bakgrun- den om bestämmelserna om tystnadsplikt borde ändras i syfte att göra det möjligt för anställda hos operatörerna att vända sig till SIN för att påtala sådana felaktigheter som de eventuellt kunde uppmärk- samma vid verkställighet av beslut enligt IHL (SOU 2015:31 s. 302).

Datalagringsutredningen noterade i sammanhanget att någon information om vilket brott eller vilken brottslig verksamhet som ligger till grund för beslutet inte lämnas. Inte heller lämnas någon information om syftet med åtgärden. Möjligen skulle man enligt Datalagringsutredningen kunna tänka sig att en anställd hos en operatör utifrån denna information skulle kunna uppmärksamma om en beställning enligt IHL avser inhämtning av trafikuppgifter i real- tid, vilket inte är tillåtet enligt lagen. Denna information skulle således kunna vidarebefordras till SIN. Enligt uppgift från SIN som Datalagringsutredningen inhämtade är detta emellertid ett förhål- lande som nämnden i sådana fall ändå skulle uppmärksamma genom myndigheternas underrättelser till nämnden.

I övrigt var det enligt Datalagringsutredningens mening svårt att se vad anställda hos operatörerna – med utgångspunkt i de begrän- sade uppgifter de får del av – skulle kunna komma att reagera på. Utan tillgång till uppgifter om vilken brottslighet en begäran gäller eller vilket syfte den har var det enligt Datalagringsutredningen t.ex. inte möjligt att bedöma om inhämtningen är tillåten enligt den lag- stiftning som åberopas. Inte heller skulle det vara möjligt att ta ställ- ning till frågor om proportionalitet och liknande, vilket enligt Data- lagringsutredningen inte heller är operatörernas uppgift att göra.

SIN ställde sig mot den angivna bakgrunden tveksam till en sådan ordning. Nämnden påtalade också i sammanhanget att uppgifter för- modligen i många fall skulle komma att lämnas rätt formlöst, vilket skulle kunna innebära risker för att känslig information skulle spridas på ett olämpligt sätt. Detta kunde få negativa konsekvenser både för myndigheternas underrättelsearbete och för t.ex. källor.

Av dessa skäl bedömde Datalagringsutredningen att en lättnad av tystnadsplikten enligt LEK i förhållande till SIN inte skulle fylla någon större funktion. Något sådant förslag lämnades därför inte (SOU 2015:31 s. 303).

167

9EU-domstolens andra dom

– Tele2-domen

EU-domstolen meddelade den 21 december 2016 dom i de förenade målen C-203/15 mellan Tele2 och PTS och C-698/15 mellan Tom Watson, Peter Brice och Geoffrey Lewis, å ena sidan, och Secretary of State for the Home Department (inrikesministern i Förenade konungariket Storbritannien och Nordirland) å andra sidan. Båda målen avsåg förhandsavgöranden. Domen finns som bilaga till detta betänkande.

Respektive begäran om förhandsavgörande avsåg tolkningen av artikel 15.1 i direktiv 2002/58 jämförd med artiklarna 7, 8 och 52.1 i rättighetsstadgan.

Till grund för förhandsavgörandet låg två frågor från Kammar- rätten i Stockholm med följande innebörd:

1)Är en generell skyldighet att lagra trafikuppgifter som omfattar samtliga personer, samtliga elektroniska kommunikationsmedel och samtliga trafikuppgifter utan att det görs några åtskillnader, begräns- ningar eller undantag utifrån syftet att bekämpa brott förenlig med artikel 15.1 i direktiv 2002/58 med beaktande av artiklarna 7, 8 och

52.1i stadgan?

2)Om svaret på fråga 1 är nej, kan lagringen ändå vara tillåten

a)om de nationella myndigheternas tillgång till de uppgifter som lagras är fastställd som i Sverige, och

b)om kraven på säkerhet är reglerade som i Sverige, samt då

c)samtliga aktuella uppgifter ska lagras i sex månader räknat från den dag kommunikationen avslutades och därefter utplånas?

I samma avgörande behandlades även två frågorna från Court of Appeal (England & Wales) (Civil Division):

1)Innebär Digital Rights-domen (särskilt punkterna 60–62) att det i unionsrätten uppställs tvingande krav som en medlemsstats

169

EU-domstolens andra dom – Tele2-domen

SOU 2017:75

nationella bestämmelser om tillgång till uppgifter som lagrats i enlig- het med nationell lagstiftning måste uppfylla för att vara förenliga med artiklarna 7 och 8 i rättighetsstadgan?

2) Innebär Digital Rights-domen att artikel 7 eller artikel 8 i stad- gan ges ett mer vidsträckt tillämpningsområde än artikel 8 i Europa- konventionen såsom den bestämmelsens tillämpningsområde har fastställts i praxis från Europeiska domstolen för de mänskliga rättig- heterna (Europadomstolen)?

Domstolen besvarade frågorna utifrån resonemanget nedan i avsnitten 9.1–9.10.

9.1Direktiv 2002/58 är tillämpligt på datalagringsreglerna

I målet inför EU-domstolen förekom det olika uppfattningar i fråga om direktiv 2002/58 över huvud taget var tillämpligt. Det som gav upphov till de olika uppfattningarna var att å ena sidan föreskriver direktivet att det inte ska tillämpas på verksamhet på straffrättens område (artikel 1.3) samtidigt som direktivet å andra sidan anger att medlemsstaterna genom lagstiftning får vidta åtgärder för att begränsa omfattningen av vissa rättigheter i direktivet när en sådan begränsning i ett demokratiskt samhälle är nödvändig, lämplig och proportionell för bl.a. förebyggande, undersökning, avslöjande av och åtal för brott (artikel 15.1). Medlemsstaterna får enligt sist- nämnda bestämmelse för de angivna ändamålen anta regler som inne- bär att uppgifter får bevaras under en begränsad period som moti- veras av de skäl som fastställs i punkten. Alla åtgärder ska enligt artikel 15.1 vara i enlighet med de allmänna principerna i gemen- skapslagstiftningen.

EU-domstolen menade att om man såg till den allmänna syste- matiken i direktiv 2002/58 så betyder inte det att statens verksamhet på det straffrättsliga området ska anses utesluten från direktivets tillämpningsområde. Det skulle enligt domstolen helt frånta artikel 15.1 dess ändamålsenliga verkan. Nämnda bestämmelse förut- sätter nämligen med nödvändighet att de där avsedda nationella åtgärderna, såsom de om lagring av uppgifter i brottsbekämpande syfte, omfattas av direktivets tillämpningsområde, eftersom direk- tivet uttryckligen tillåter medlemsstaterna att vidta sådana åtgärder

170

SOU 2017:75

EU-domstolens andra dom – Tele2-domen

endast under förutsättning att de däri angivna villkoren är uppfyllda (p. 73 i domen).

EU-domstolen ansåg att direktivet omfattade både lagstiftning som reglerar lagringen av uppgifter och lagstiftning som reglerar till- gången till dessa uppgifter (p. 75–76 i domen).

9.2Artikel 15.1 ska tolkas strikt

Som framgår av skäl 2 i direktiv 2002/58, eftersträvas i direktivet att säkerställa full respekt för rättigheterna i artikel 7 (respekt för privat- liv) och 8 (skydd av personuppgifter) i rättighetsstadgan. Direktivet innehåller specifika bestämmelser för detta ändamål. Dessa bestäm- melser syftar till att skydda personuppgifter och integritet hos använ- darna av elektroniska kommunikationstjänster mot de risker som ny teknik och den ökade kapaciteten för automatisk lagring och behand- ling av uppgifter medför (skäl 6 och 7).

Enligt artikel 5.1 i direktivet ska medlemsstaterna genom natio- nell lagstiftning säkerställa konfidentialitet vid kommunikation via allmänna kommunikationsnät och allmänt tillgängliga elektroniska kommunikationstjänster liksom för därmed förbundna trafikuppgif- ter. Principen om konfidentialitet vid kommunikation innebär i princip ett förbud för andra personer än användarna att utan sam- tycke lagra trafikuppgifter avseende elektronisk kommunikation. Undantag gäller endast för personer som har laglig rätt att göra detta i enlighet med artikel 15.1 i direktivet, samt för teknisk lagring som är nödvändig för överföring av kommunikationen (p. 84–85 i domen).

Enligt artikel 6 i direktivet får trafikuppgifter behandlas och lagras i den utsträckning och under den tid som krävs för att kunna faktu- rera för tjänster, marknadsföra tjänster eller tillhandahålla kring- tjänster. Vad specifikt gäller fakturering för tjänster, är sådan behand- ling endast tillåten fram till utgången av den period under vilken det lagligen går att göra invändningar mot fakturan eller kräva betalning. När den perioden har löpt ut ska de behandlade och lagrade uppgif- terna utplånas eller avidentifieras. Vad gäller andra lokaliseringsupp- gifter än trafikuppgifter föreskriver artikel 9.1 i direktivet att de endast får behandlas på vissa villkor och sedan de har avidentifierats eller om användarna eller abonnenterna gett sitt samtycke (p. 86 i domen).

171

EU-domstolens andra dom – Tele2-domen

SOU 2017:75

Räckvidden av bestämmelserna i de nu nämnda artiklarna (5, 6 och 9.1) i direktivet, som syftar till att säkerställa konfidentialitet vid kommunikation och därmed förbundna trafikuppgifter och att minimera riskerna för missbruk, ska enligt domstolen bedömas mot bakgrund av skäl 30 i direktivet. Där anges att ”[s]ystemen för till- handahållande av elektroniska kommunikationsnät och elektroniska kommunikationstjänster bör utformas så att mängden nödvändiga personuppgifter begränsas till ett absolut minimum” (p. 87 i domen).

I och med att artikel 15.1 i direktivet ger medlemsstaterna möjlig- het att begränsa omfattningen av den principiella skyldigheten att säkerställa konfidentialiteten för kommunikation och därmed för- bundna trafikuppgifter, ska denna artikel enligt domstolens fasta praxis tolkas strikt. En sådan bestämmelse kan därför enligt dom- stolen inte motivera att undantaget från denna principiella skyldig- het, i synnerhet förbudet i artikel 5 i direktivet mot att lagra dessa uppgifter, görs till huvudregel. Det skulle enligt domstolen i stor ut- sträckning förta verkan av sistnämnda bestämmelse (p. 89 i domen).

9.3Artikel 15.1 ska tolkas mot bakgrund av rättighetsstadgan

I artikel 15.1 i direktiv 2002/58 föreskrivs att alla åtgärder som avses i artikeln ska vara i enlighet med de allmänna principerna i unions- lagstiftningen. Bland dessa ingår de allmänna principer och grund- läggande rättigheter som numera garanteras i rättighetsstadgan. Nämnda artikel 15.1 ska alltså tolkas mot bakgrund av de grund- läggande rättigheter som garanteras i stadgan (p. 91 i domen).

9.4Inskränkningar i rättighetsskyddet

får bara göras om åtgärden är proportionell

Enligt artikel 52.1 i rättighetsstadgan ska varje begränsning i utö- vandet av de rättigheter och friheter som erkänns i stadgan vara före- skriven i lag och vara förenlig med rättigheternas och friheternas väsentliga innehåll. Begränsningar får, med beaktande av proportio- nalitetsprincipen, endast göras om de är nödvändiga och faktiskt svarar mot mål av allmänt intresse som erkänns av unionen eller mot

172

SOU 2017:75

EU-domstolens andra dom – Tele2-domen

behovet av skydd för andra människors rättigheter och friheter (p. 94 i domen).

Artikel 15.1 i direktivet föreskriver att medlemsstaterna får vidta en åtgärd som avviker från principen om konfidentialitet vid kom- munikation och därmed förbundna trafikuppgifter om åtgärden ”i ett demokratiskt samhälle är nödvändig, lämplig och proportionell” för de syften som anges i den bestämmelsen. Skäl 11 i direktivet precise- rar att en åtgärd av sådant slag måste stå i strikt proportion till det av- sedda ändamålet. Vad särskilt gäller lagring av uppgifter kräver artikel 15.1 andra meningen i direktivet att uppgifter endast bevaras under en begränsad period och att lagringen motiveras av de skäl som fastställs i artikel 15.1 första meningen i direktivet. (p. 95 i domen)

Att proportionalitetsprincipen ska iakttas framgår även av dom- stolens fasta praxis, enligt vilken skyddet av den grundläggande rätten till respekt för privatlivet på unionsnivå kräver att undantag från och begränsningar av skyddet för personuppgifter ska inskränkas till vad som är strängt nödvändigt (p. 96 i domen).

9.5De svenska reglerna utgör inskränkningar i artikel 7, 8 och 11 i rättighetsstadgan

När det gäller frågan om den svenska lagstiftningen uppfyller kraven på proportionalitet, påpekar domstolen att den svenska lagstift- ningen föreskriver en generell och odifferentierad lagring av samtliga trafikuppgifter och lokaliseringsuppgifter för samtliga abonnenter och registrerade användare avseende samtliga elektroniska kom- munikationsmedel och ålägger leverantörer av elektroniska kom- munikationstjänster att systematiskt och kontinuerligt lagra dessa uppgifter utan undantag (p. 97 i domen).

De uppgifter som leverantörer av elektroniska kommunikations- tjänster således är skyldiga att lagra är sådana som gör det möjligt att spåra och identifiera en kommunikationskälla, identifiera slutmålet för en kommunikation, identifiera en kommunikations datum, tid- punkt, varaktighet och typ, identifiera användarnas kommunikations- utrustning och identifiera lokaliseringen av mobil kommunikations- utrustning. Bland dessa uppgifter ingår abonnentens eller den regi- strerade användarens namn och adress, det uppringande telefon- numret, det uppringda numret och ip-adressen för internettjänster.

173

EU-domstolens andra dom – Tele2-domen

SOU 2017:75

Dessa uppgifter gör det möjligt att få kännedom om med vilken person en abonnent eller registrerad användare har kommunicerat och på vilket sätt, hur länge kommunikationen varat och från vilken plats kommunikationen skett. Uppgifterna gör det dessutom möjligt att få kännedom om hur ofta abonnenten eller den registrerade användaren kommunicerat med vissa personer under en viss tids- period. (p. 98 i domen)

Dessa uppgifter kan enligt EU-domstolen sammantagna göra det möjligt att dra mycket precisa slutsatser om privatlivet för de perso- ner vilkas uppgifter har lagrats, såsom deras vanor i vardagslivet, deras stadigvarande och tillfälliga uppehållsorter, deras dagliga förflytt- ningar och förflyttningar i övrigt, de aktiviteter de utövar, deras sociala relationer och de umgängeskretsar de rör sig i. Dessa uppgifter gör det enligt domstolen möjligt att kartlägga de berörda personerna på ett sätt som är lika känsligt ur integritetssynpunkt som själva innehållet i kommunikationerna. (p. 99 i domen)

Det ingrepp som en sådan lagstiftning utgör i de grundläggande rättigheter som är stadfästa i artiklarna 7 och 8 i stadgan är enligt EU-domstolen långtgående och måste betraktas som synnerligen allvarligt. Den omständigheten att lagringen av uppgifterna och den senare användningen av dem sker utan att abonnenten eller den registrerade användaren är underrättad om detta kan enligt dom- stolen ge de berörda personerna en känsla av att deras privatliv står under ständig övervakning. (p. 100 i domen)

Även om en sådan lagstiftning inte medger lagring av innehållet i en kommunikation, och därför inte kan kränka det väsentliga inne- hållet i dessa grundläggande rättigheter, skulle lagringen av trafik- uppgifter och lokaliseringsuppgifter emellertid kunna inverka på användningen av de elektroniska kommunikationsmedlen och följ- aktligen på användarnas utövande av sin i artikel 11 i stadgan garan- terade yttrandefrihet (p. 101 i domen).

9.6Inskränkningarna som de svenska reglerna medför är inte proportionella

EU-domstolen konstaterar att den svenska lagstiftningen omfattar samtliga abonnenter och avser samtliga elektroniska kommunikations- medel och samtliga trafikuppgifter, och att det inte görs några åt-

174

SOU 2017:75

EU-domstolens andra dom – Tele2-domen

skillnader, begränsningar eller undantag utifrån det eftersträvade syftet. Domstolen konstaterar vidare att den på ett allomfattande sätt berör samtliga personer som använder elektroniska kommunika- tionstjänster, utan att dessa personer ens indirekt befinner sig i en situation som kan föranleda lagföring. Den är således även tillämplig på personer beträffande vilka det inte föreligger något indicium som ger anledning att tro att deras beteende ens kan ha ett indirekt eller avlägset samband med grov brottslighet. Den föreskriver inte heller några undantag, vilket innebär att den även är tillämplig på personer vilkas kommunikationer enligt nationell rätt omfattas av tystnads- plikt (p. 105 i domen).

EU-domstolen konstaterar vidare att en sådan lagstiftning inte kräver något samband mellan de uppgifter som ska lagras och ett hot mot den allmänna säkerheten. Den är inte begränsad till lagring av uppgifter avseende en viss tidsperiod eller ett visst geografiskt område eller en viss krets av personer som på något sätt kan vara in- blandade i ett allvarligt brott eller till personer beträffande vilka lagringen av uppgifter av andra skäl skulle kunna bidra till bekämp- ningen av brott (p. 106 i domen).

EU-domstolen konkluderar att den svenska lagstiftningen över- skrider gränserna för vad som är strängt nödvändigt och att den inte kan anses motiverad i ett demokratiskt samhälle, såsom krävs enligt artikel 15.1 i direktiv 2002/58 jämförd med artiklarna 7, 8, 11 och 52.1 i stadgan (p. 107 i domen).

9.7Lagringen

9.7.1Generell och odifferentierad lagring är inte motiverad ens för att bekämpa grov brottslighet

EU-domstolen menar att – med hänsyn till det allvarliga ingrepp i de berörda grundläggande rättigheterna som en nationell lagstiftning som i brottsbekämpande syfte föreskriver lagring av trafikuppgifter och lokaliseringsuppgifter utgör – endast bekämpning av grov brotts- lighet kan motivera en sådan åtgärd (p. 102 i domen).

EU-domstolen bejakar i och för sig att en effektiv bekämpning av grov brottslighet, särskilt organiserad brottslighet och terrorism, i stor utsträckning kan vara beroende av användningen av moderna utredningstekniker. Fastän det syftet är av allmänt samhällsintresse

175

EU-domstolens andra dom – Tele2-domen

SOU 2017:75

kan det enligt domstolen inte i sig ensamt motivera en nationell lag- stiftning som föreskriver en generell och odifferentierad lagring av samtliga trafikuppgifter och lokaliseringsuppgifter (p. 103 i domen).

9.7.2Riktad lagring

Domstolen menar att inget hindrar att en medlemsstat antar lag- stiftning som i förebyggande syfte tillåter en riktad lagring av trafik- uppgifter och lokaliseringsuppgifter, i syfte att bekämpa grov brotts- lighet, förutsatt att lagringen av uppgifterna, vad gäller vilka slags uppgifter som ska lagras, vilka kommunikationsmedel som avses, vilka personer som berörs och hur länge lagringen ska ske, begränsas till vad som är strängt nödvändigt (p. 108 i domen).

För att en riktad lagring ska vara förenlig med EU-rätten måste den nationella lagstiftningen enligt EU-domstolen föreskriva tydliga och precisa bestämmelser som reglerar omfattningen och tillämplig- heten av en sådan lagringsåtgärd och som slår fast minimikrav, så att de personer vars uppgifter har lagrats har tillräckliga garantier som möjliggör ett effektivt skydd av deras personuppgifter mot riskerna för missbruk. Den måste särskilt precisera under vilka omständig- heter och villkor en sådan lagringsåtgärd får vidtas i förebyggande syfte, vilket säkerställer att lagringen begränsas till vad som är strängt nödvändigt (p. 109 i domen).

Vad för det andra gäller de villkor som en nationell lagstiftning måste uppfylla för att säkerställa att den är begränsad till vad som är strängt nödvändigt, påpekar domstolen att även om villkoren kan variera utifrån vilka åtgärder som vidtas för att förebygga, undersöka, avslöja och väcka åtal för grov brottslighet, måste lagringen av upp- gifterna alltid uppfylla objektiva kriterier, som fastställer ett sam- band mellan de uppgifter som ska lagras och det eftersträvade syftet. I synnerhet måste villkoren vara sådana att de klart avgränsar om- fattning och följaktligen den berörda personkretsen (p. 110 i domen).

Vad gäller avgränsningen av den personkrets och de situationer som kan komma att beröras av riktad lagring gör EU-domstolen följande bedömning. Den nationella lagstiftningen ska grunda sig på objektiva omständigheter som gör det möjligt att ta sikte på en personkrets vars uppgifter kan avslöja en, åtminstone indirekt, kopp- ling till grov brottslighet och på ett eller annat sätt kan bidra till att

176

SOU 2017:75

EU-domstolens andra dom – Tele2-domen

bekämpa grov brottslighet eller förhindra en allvarlig risk för den allmänna säkerheten. En sådan avgränsning kan säkerställas genom ett geografiskt kriterium genom en bedömning att det i ett eller flera geografiska områden finns en förhöjd risk för förberedelse eller genomförande av sådana handlingar (p. 111 i domen).

9.8Tillgången

9.8.1Endast för att bekämpa grov brottslighet

När det gäller de syften som kan motivera en nationell lagstiftning som avviker från principen om konfidentialitet vid elektronisk kom- munikation anför EU-domstolen följande. Tillgång till lagrade upp- gifter måste vara faktiskt och strikt begränsad till de fall då tillgången krävs för något av de syften som anges i artikel 15.1 i direk- tiv 2002/58. Då syftet med lagstiftningen måste stå i proportion till hur allvarligt ingrepp i de grundläggande rättigheterna det innebär att ge tillgång till de lagrade uppgifterna är det vid förebyggande, under- sökning, avslöjande av och åtal för brott endast bekämpning av grov brottslighet som kan motivera en sådan tillgång. (p. 115 i domen)

Vad gäller proportionalitetsprincipen fastslår EU-domstolen att en nationell lagstiftning måste garantera att tillgång inte ges utöver vad som är strängt nödvändigt (p. 116 i domen).

9.8.2Precisa krav måste föreskrivas

Eftersom de lagstiftningsåtgärder som avses i artikel 15.1 i direktiv 2002/58 enligt skäl 11 i direktivet ska ”omfattas av lämpliga skydds- mekanismer”, måste en sådan åtgärd, enligt EU-domstolen, dess- utom föreskriva klara och precisa bestämmelser som anger under vilka omständigheter och på vilka villkor leverantörer av elektroniska kommunikationstjänster måste ge behöriga nationella myndigheter tillgång till uppgifterna (p. 117 i domen).

För att säkerställa att behöriga nationella myndigheters tillgång till lagrade uppgifter begränsas till vad som är strängt nödvändigt, ankommer det förvisso på nationell rätt att fastställa på vilka villkor leverantörer av elektroniska kommunikationstjänster ska ge sådan tillgång. Det räcker dock enligt EU-domstolen inte att den berörda

177

EU-domstolens andra dom – Tele2-domen

SOU 2017:75

nationella lagstiftningen stadgar att tillgång enbart ska medges för något av de syften som avses i artikel 15.1 i direktiv 2002/58, även om det gäller bekämpning av grov brottslighet. Den måste även ange de materiella och formella villkoren för de behöriga nationella myndig- heternas tillgång till de lagrade uppgifterna (p. 118 i domen).

9.8.3Tillgång bara till uppgifter om personer som är inblandade i ett allvarligt brott

Eftersom en allmän tillgång till samtliga lagrade uppgifter, oberoende av om det finns någon koppling, ens indirekt, till det eftersträvade syftet, inte enligt EU-domstolen kan anses vara begränsad till vad som är strängt nödvändigt, måste den berörda nationella lagstift- ningen vara grundad på objektiva kriterier som avgör under vilka omständigheter och på vilka villkor behöriga nationella myndigheter ska ges tillgång till uppgifter om abonnenter eller registrerade använ- dare. Tillgång kan enligt domstolen i princip bara beviljas, i samband med bekämpning av brott, till uppgifter om personer som misstänks planera, begå eller ha begått ett allvarligt brott eller på något sätt vara inblandade i ett sådant brott. I särskilda fall, som när vitala intressen för nationell säkerhet, försvar eller allmän säkerhet hotas av terro- rism, skulle dock enligt domstolen tillgång kunna ges även till upp- gifter om andra personer när det finns objektiva omständigheter som ger skäl att anta att de uppgifterna i ett konkret fall effektivt skulle kunna bidra till att bekämpa terrorism. (p. 119 i domen)

9.8.4Förhandskontroll av domstol eller oberoende myndighet

För att säkerställa att de ovan nämnda preciserade villkoren uppfylls fullt ut, är det enligt EU-domstolen väsentligt att tillgången till de lagrade uppgifterna i princip, utom i motiverade brådskande fall, är underkastad förhandskontroll av en domstol eller en oberoende myndighet och att domstolen meddelar sitt avgörande eller myndig- heten fattar sitt beslut efter det att de behöriga nationella myndig- heterna framställt en motiverad ansökan (p. 120 i domen).

178

SOU 2017:75

EU-domstolens andra dom – Tele2-domen

9.8.5Information till de berörda

Enligt EU-domstolen krävs att de myndigheter som har beviljats tillgång till lagrade uppgifter informerar de berörda personerna om detta enligt tillämpliga nationella förfaranden så snart en sådan upp- lysning inte längre riskerar att skada myndigheternas utredningar. Den informationen är enligt EU-domstolen nödvändig bl.a. för att dessa personer ska kunna utöva sin rätt till rättslig prövning vid kränkning av deras rättigheter, såsom uttryckligen stadgas i artikel 15.2 i direk- tiv 2002/58, jämförd med artikel 22 i direktiv 95/46. (p. 121 i domen)

9.9Skydds- och säkerhetsnivåer, lagring inom EU och utplåning

Vad gäller bestämmelserna om skydd av och säkerhet för de upp- gifter som lagras av leverantörer av elektroniska kommunikations- tjänster, konstaterar EU-domstolen att artikel 15.1 i direktiv 2002/58 inte medger att medlemsstaterna avviker från artikel 4.1 eller 4.1a i direktivet. De sistnämnda bestämmelserna kräver att leverantörerna vidtar lämpliga tekniska och organisatoriska åtgärder för att säkerställa ett effektivt skydd av de lagrade uppgifterna mot riskerna för missbruk och otillåten tillgång till uppgifterna. Med hänsyn till att det är fråga om en stor mängd uppgifter och att dessa är av känslig natur samt att det finns en risk för otillåten tillgång till uppgifterna måste leverantörerna av elektroniska kommunikations- tjänster enligt EU-domstolen garantera en särskilt hög skydds- och säkerhetsnivå genom lämpliga tekniska och organisatoriska åtgärder. Den nationella lagstiftningen måste i synnerhet föreskriva att lagringen sker inom unionen och att uppgifterna oåterkalleligen för- störs när deras lagringstid gått ut. (p. 122 i domen)

9.10Tillsyn

Medlemsstaterna måste enligt EU-domstolen garantera att en oberoende myndighet kontrollerar att den skyddsnivå som säker- ställs i unionsrätten iakttas vad gäller skyddet för fysiska personer vid behandlingen av personuppgifter. En sådan kontroll krävs ut- tryckligen enligt artikel 8.3 i stadgan och utgör enligt domstolens

179

Målet i Kammarrätten i Stockholm

SOU 2017:75

har PTS funnit att det saknas skäl att underlåta att tillämpa de svenska reglerna om lagring.

Förvaltningsrätten avslog överklagandet den 13 oktober 2014. I sina skäl fastslog domstolen inledningsvis att EU:s rättighetsstadga är tillämplig, att de svenska reglerna innebär ett intrång i rättig- heterna enligt stadgan och att inskränkningarna i rättigheterna som följer av den svenska lagstiftningen är betydande. Förvaltningsrätten konstaterade att de svenska reglerna tillkommit i syfte att bekämpa brott och skydda enskildas integritet, vilket är godtagbara ändamål enligt RF, Europakonventionen, rättighetsstadgan och direk- tiv 2002/58. Enligt domstolen var den svenska datalagringsskyldig- heten mycket omfattande men mot bakgrund av att man inte på förväg kan veta vilka personer som kommer att bli inblandade i all- varliga brott eller på vilka platser brotten kommer att begås, skulle en begränsning av omfattningen äventyra syftet med lagringen. Detsam- ma gäller vid en eventuell begränsning till vissa kommunikationsslag, enligt domstolen. Följaktligen konstaterade förvaltningsrätten att bestämmelserna om lagring i sig inte kunde anses gå utöver vad som var nödvändigt för att uppnå det eftersträvade syftet. Förvaltnings- rätten gjorde därefter en proportionalitetsprövning av tillgångs- bestämmelserna, lagringstiden och bestämmelserna om säkerhet för de lagrade uppgifterna. En av de slutsatser som förvaltningsrätten kom fram till var att delar av den kritik som EU-domstolen riktat mot direktiv 2006/24 i Digital Rights-domen även kan riktas mot svensk lagstiftning, i synnerhet vad gäller omfattningen av lagrings- skyldigheten. Vidare fanns det, enligt domstolen, en del svagheter i de svenska bestämmelserna om tillgång till uppgifterna och säker- hetsåtgärder. Domstolen påpekade bl.a. att det inte fanns någon begränsning till allvarliga brott vid inhämtning av abonnemangs- uppgifter, att flera myndigheter själva kunde inhämta uppgifter, utan förhandsprövning av domstol, och att det saknades reglering om i vilket land uppgifterna får lagras. Vid en sammantagen bedömning ansåg förvaltningsrätten emellertid att svagheterna i regleringen vägdes upp av andra faktorer och att det totala intrånget i de grund- läggande rättigheterna därför kunde anses godtagbart. Förvaltnings- rätten ansåg sammanfattningsvis de berörda svenska bestämmelserna vara förenliga med grundlag, EU-rätt och Europakonventionen.

182

SOU 2017:75

Målet i Kammarrätten i Stockholm

10.3Målet i kammarrätten

10.3.1Den inledande delen av rättegången

Tele2 överklagade förvaltningsrättens dom till Kammarrätten i Stockholm (mål nr 7380-14) och vidhöll sitt yrkande om att före- läggandet skulle upphävas. PTS bestred yrkandet. Parterna anförde i huvudsak detsamma som vid förvaltningsrätten.

Kammarrätten beslutade den 29 april 2015 att inhämta ett för- handsavgörande från EU-domstolen i enlighet med artikel 267 i funktionsfördraget. Förhandsavgörandet begärdes eftersom kam- marrätten ansåg att svensk lagstiftning i första hand måste prövas mot artikel 15.1 i direktiv 2002/58 och att det inte entydigt framgår av Digital Rights-domen om proportionaliteten av lagringsskyldig- hetens omfattning ska bedömas för sig eller om det ska göras en sammanvägd bedömning med beaktande av bestämmelserna om till- gång till de lagrade uppgifterna, lagringstiden och säkerheten för de lagrade uppgifterna.

EU-domstolen besvarade kammarrättens frågor i Tele2-domen, som meddelades den 21 december 2016. De frågor som kammarrätten ställde och innehållet i EU-domstolens dom framgår av avsnitt 9 ovan.

Dagen efter EU-domstolens dom beslutade kammarrätten, efter begäran från Tele2, att PTS beslut om föreläggande tills vidare inte skulle gälla.

10.3.2Kammarrättens dom

Kammarrätten meddelade dom i målet den 7 mars 2017. Genom domen biföll kammarrätten överklagandet och upphävde PTS beslut att förelägga Tele2.

I avgörandet redogjorde kammarrätten särskilt för omfattningen av domstolens prövning och förtydligade att prövningen endast gällde frågan om huruvida bestämmelserna i LEK och FEK om lagring av trafikuppgifter m.m. för brottsbekämpande ändamål strider mot unionsrätten och PTS beslut om föreläggande därmed skulle upphävas. Vidare förtydligade kammarrätten att prövningen inte omfattade frågan om huruvida reglerna avseende lagring för andra ändamål, exempelvis underlag för fakturering, tillgång till lag-

183

Internationell utblick

SOU 2017:75

nas exakta geografiska eller fysiska placering vid tidpunkten för kommunikationen, tidpunkt när kommunikationen påbörjades och avslutades samt tidpunkt för den första aktiveringen av anonyma tjänster (oregistrerade kontantkort).

Vid en internetsessions inledande och avslutande paket ska leve- rantörerna lagra uppgifter om avsändande och mottagande ip-adress, transportprotokoll, avsändande och mottagande portnummer samt tidpunkten för kommunikationen. När det gäller internetåtkomst ska det lagras tilldelat användar-id, användar-id och telefonnummer som tilldelats kommunikationen i ett allmänt tillgängligt elektro- niskt kommunikationsnät, namn och adress för abonnenten eller den registrerade användaren som tilldelats ett användar-id eller telefon- nummer vid tidpunkten för kommunikationen samt tidpunkt för när kommunikationen påbörjades och avslutades. Vid trådlös internet- åtkomst ska dessutom lagras information om det lokala nätverkets exakta geografiska eller fysiska placering samt identiteten på kom- munikationsutrustningen. Härutöver ska, vid slutbrukarens använ- dande av leverantörens egna e-posttjänster, lagras information om avsändande och mottagande e-postadress.

Vid sådana internettelefonitjänster som leverantören själv till- handahåller ska uppgifter motsvarande dem för internetanvändning och -åtkomst, lagras.

Informationen ska sparas i ett år.

11.1.3Tillgång

Tillgång till lagrade trafikuppgifter kan ges för utredning av brott för vilket inte är föreskrivet lägre straff än fängelse sex år, brott mot rikets säkerhet, terroristbrott och vissa andra brott, däribland barn- pornografibrott. För att tillgång ska beviljas ska det finnas klara skäl att anta (bestemte grunde til at antage) att kommunikation sker till eller från en misstänkt och åtgärden ska antas vara av avgörande betydelse för utredningen.

Tillgång till abonnemangsuppgifter och lokaliseringsdata kan ges mer generöst; det finns inga krav på brottstyp utan en prövning görs i stället utifrån om åtgärden är proportionell i det enskilda fallet.

186

Internationell utblick

SOU 2017:75

11.2.2Lagring

Leverantörer av elektroniska kommunikationstjänster är skyldiga att lagra följande uppgifter.

För telefoni-, internettelefoni- och textmeddelandetjänster som tillhandahålls av leverantören ska det lagras uppgifter om abonnen- tens och den registrerade användarens namn och adress, abonne- mangets identifieringsuppgifter och uppgifter med vilkas hjälp en användare av kommunikationstjänster kan identifieras samt använ- darens transaktioner, inklusive omstyrda samtal, kan fastställas utifrån meddelandets typ och mottagare samt tidpunkt och varak- tighet för kommunikationen. Lagringsskyldigheten omfattar även obesvarade samtal.

För telefoni- och textmeddelandetjänster ska det dessutom lagras uppgifter med vilkas hjälp den kommunikationsutrustning som använts och utrustningens och abonnemangets position när trans- aktionen inleddes kan fastställas.

För internetaccesstjänster som tillhandahålls av leverantören ska det lagras uppgifter om abonnentens och den registrerade använda- rens namn och adress, abonnemangets identifieringsuppgifter och installeringsadress samt uppgifter med vilkas hjälp en användare av kommunikationstjänster och den utrustning som använts kan identi- fieras samt tidpunkt och varaktighet för tjänsternas användning kan fastställas. Endast de uppgifter som med beaktande av tjänstens tek- niska genomförande är nödvändiga för att specificera informationen får lagras.

Uppgifter avseende telefoni- och textmeddelandetjänster ska lagras i ett år, avseende internettelefonitjänster i sex månader och av- seende internetaccesstjänster i nio månader, från att transaktionen inleddes.

11.2.3Tillgång

De brottsbekämpande myndigheterna får inhämta trafik-, lokali- serings- och abonnemangsuppgifter avseende en person som är skäligen misstänkt för eller med fog kan antas göra sig skyldig till ett brott, för vilket det föreskrivna strängaste straffet är fängelse minst fyra år, ett brott som begåtts med användning av en teleadress eller teleterminalutrustning och för vilket det föreskrivna strängaste

188

SOU 2017:75

Internationell utblick

straffet är fängelse minst två år, samt för vissa andra brott, till exem- pel narkotikabrott, lockande av barn i sexuella syften, koppleri, grovt tullredovisningsbrott och förberedelse till grovt rån eller brott i terroristiskt syfte. Vid misstanke om sådant brott får även bas- stationstömningar göras. Endast uppgifter som gäller den förmodade brottstidpunkten får då inhämtas och bara från en basstation som finns i närheten av den förmodade brottsplatsen. Om det finns särskilda skäl får uppgifter dock inhämtas även för någon annan tid eller plats. Det är också möjligt för myndigheten att inhämta lokali- seringsuppgifter i syfte att få reda på var en misstänkt eller dömd person befinner sig, om brottet är sådant som inhämtning i övrigt kan beviljas för.

Tillgång till uppgifterna beslutas, förutom i brådskande fall, av domstol. I brådskande fall kan en anhållningsberättigad tjänsteman besluta om inhämtning eller basstationstömning till dess domstolen avgjort frågan.

Den som varit föremål för inhämtandet ska underrättas om det så snart syftet med inhämtningen har uppnåtts. Det gäller dock inte vid basstationstömningar. Underrättelse får underlåtas om det är nöd- vändigt för att trygga statens säkerhet eller skydda liv eller hälsa.

11.2.4Skydd för de lagrade uppgifterna

Kommunikationsverket utövar tillsyn över efterlevnaden av bestäm- melserna i informationssamhällsbalken.

11.2.5Förändringsarbete

Finland utvärderade sin lagstiftning avseende datalagring efter Digital Rights-domen. Lagstiftningen bedömdes då förenlig med EU-rätten, med beaktande av att tillgången till de lagrade uppgif- terna var begränsad. Efter Tele2-domen tillsatte parlamentet en ny utredning för att bedöma den finska lagstiftningen. Utredningen kom i sin rapport, som redovisades den 22 juni 2017, fram till att den finska lagstiftningen om lagring inte krävde några omedelbara för- ändringar (Rapporter och utredningar 9/2017, finska Kommuni- kationsministeriet).

189

Internationell utblick

SOU 2017:75

11.3Tyskland

11.3.1Tillämpliga bestämmelser

Leverantörernas skyldigheter avseende lagring finns i 113a–113g §§ Telekommunikationsgesetz.

Tillgång till lagrade uppgifter regleras i kap. VIII och IX Straf- prozeßordnung.

11.3.2Lagring

Från och med juli 2017 är leverantörer av elektroniska kommunika- tionstjänster skyldiga att lagra abonnemangs- och trafikuppgifter i tio veckor och lokaliseringsuppgifter i fyra veckor. Lagringsskyldig- heten omfattar följande trafikuppgifter.

För allmänna telekommunikationstjänster ska det lagras uppgifter om uppringande nummer, uppringt nummer och nummer som sam- talet styrts till, datum och tid när kommunikationen påbörjades och avslutades samt information om tjänsten som används, om olika tjänster kan användas som en del av telefonitjänsten. För mobil- telefoni ska dessutom lagras uppgifter om internationellt prefix för numren och vid kontantkortstjänster datum och tid för första aktiveringen. För internettelefoni ska ip-adresser och användar-id för den uppringande och uppringda användaren lagras. Lagringsskyldig- heten gäller även obesvarade samtal.

Motsvarande uppgifter ska lagras vid kommunikation via sms, mms eller liknande meddelande. Avseende tidsangivelser ska dessa avse när meddelandet skickades respektive togs emot.

För allmänna internettjänster ska det lagras uppgifter om använ- darens ip-adress och användar-id, unikt id för anslutningsterminal samt datum och tid för påbörjandet och avslutandet av internet- användningen under den tilldelade ip-adressen.

De lokaliseringsuppgifter som ska lagras avser endast mobil telefoni och internetanvändning. Leverantörerna är skyldiga att lagra information om den radiocell som används av det uppringande och uppringda numret vid början av kommunikationen. För internet- användning ska den radiocell som användes när internetåtkomsten påbörjades lagras. Härutöver ska leverantörerna spara information

190

SOU 2017:75

Internationell utblick

om den geografiska positionen och huvudsakliga riktningen för strålning hänförlig till respektive radiocell.

Uppgifter hänförliga till institutioner och organisationer med särskilda sekretesskrav får däremot inte lagras. För att undvika lagring ska dessa institutioner och organisationers terminaler vara upptagna i en lista, som finns tillgänglig för automatiserad behandling.

11.3.3Tillgång

Tillgång till de lagrade uppgifterna får endast beviljas de brotts- bekämpande myndigheterna för utredning av vissa brott.

För de uppgifter som leverantörerna frivilligt lagrar, exempelvis för fakturering, krävs att utredningen avser ett av flera särskilt listade allvarliga brott (schwere Straftat), exempelvis mord, narkotikabrott, rån, utpressning, bedrägeri och skattebrott, eller ett brott som begåtts genom telekommunikation.

Tillgång till de uppgifter som leverantörerna är skyldiga att lagra kräver att utredningen avser ett särskilt allvarligt brott (Straftat von erheblicher Bedeutung), med vilket avses vissa specifika brott, där- ibland mord, människohandel, vissa sexualbrott, allvarligare narkotika- brott, barnpornografibrott och vissa brott mot staten.

Inhämtning kan endast ske av uppgifter hänförliga till personer som är misstänkta för brott eller till andra personer, om det finns anledning att anta att de skickar eller tar emot meddelanden som kommer från eller är avsedda för den misstänkte.

Underrättelsetjänsten kan inte beviljas tillgång till uppgifterna. Däremot är det tillåtet för leverantörerna att använda den lagrade informationen för att besvara förfrågningar om abonnemangs- uppgifter från bl.a. underrättelsetjänsten.

Förutom såvitt avser abonnemangsuppgifter krävs det dom- stolsbeslut för all tillgång till lagrade uppgifter. Vid brådskande fall kan allmän åklagare bevilja tillgång, men bara till de uppgifter som frivilligt sparas av leverantörerna. Abonnemangsuppgifter begärs ut direkt från leverantörerna av åklagare eller polis.

Underrättelse ska lämnas till den som varit föremål för inhämt- ningen. Underrättelse kan emellertid underlåtas i vissa fall, till exem- pel om den kan äventyra en pågående utredningen eller om personen

191

Överväganden

SOU 2017:75

förutsättningar möjliggör nationella undantag från direktivet om det sker för brottsbekämpande ändamål. Undantagen rör, i nu relevant hänseende, konfidentialitet vid kommunikation (artikel 5), utplåning av trafikuppgifter (artikel 6) och behandling av andra lokaliserings- uppgifter än trafikuppgifter (artikel 9). EU-domstolen konstaterar i detta sammanhang att, för att undantagsbestämmelsen inte helt ska förlora sin verkan, även statens verksamhet på det brottsbekämpande området måste omfattas av direktivets tillämpningsområde (p. 73 i domen).

Av domen framgår, i linje med det nu anförda, att EU-domstolen har ansett sig ha kompetens även på området för tillgång till data- lagrade uppgifter för brottsbekämpande ändamål och även för vitala intressen som nationell säkerhet och försvar (p. 65–81 och 119). Slutsatsen kan således dras att oavsett för vilket ändamål uppgifterna används så är operatörernas lagring och myndigheternas tillgång till dessa uppgifter underkastade den reglering som följer av EU-rätten.

Detta innebär att oavsett om det är fråga om brottsbekämpning som handhas av den öppna polisen, Tullverket eller Ekobrotts- myndigheten eller om det är fråga om brottsbekämpning som hand- has av Säkerhetspolisen så är datalagringsfrågan underkastad samma EU-rättsliga regelverk, låt vara att EU-domstolen öppnar för något mer tillåtande nationella regler när det gäller tillgång till uppgifter inom Säkerhetspolisens verksamhetsområde (p. 119 i domen).

12.2Abonnemangsuppgifter omfattas inte av Tele2- domen men av EU-rätten

Utredningens bedömning: Tele2-domen rör bara trafikuppgifter och lokaliseringsuppgifter men inte abonnemangsuppgifter. Behand- lingen av abonnemangsuppgifter omfattas av EU-rätten.

Kammarrätten berör i sin begäran om förhandsavgörande framför allt trafikuppgifter och lokaliseringsuppgifter, men genom en hänvis- ning till en tidigare punkt i redogörelsen omfattar begäran även abonnemangsuppgifter1. EU-domstolens avgörande berör dock inte

1 Vad begreppet abonnemangsuppgifter omfattar diskuteras i avsnitt 6.2.1. Samman- fattningsvis avses, något förenklat, uppgift om vilken abonnent eller registrerad användare

196

SOU 2017:75 Överväganden

abonnemangsuppgifter utan endast trafikuppgifter och lokaliserings- uppgifter.

Att EU-domstolen inte berör abonnemangsuppgifter är naturligt eftersom de inte behandlas i de artiklar i det direktiv (direk- tiv 2002/58) som tolkas av domstolen. Det finns t.ex. inte någon skyldighet att förstöra abonnemangsuppgifter och de omgärdas inte heller av någon tystnadsplikt enligt direktivet. Det motsatta gäller trafikuppgifter och lokaliseringsuppgifter vid kommunikation. De ska som huvudregel utplånas eller avidentifieras när de inte längre behövs för kommunikationen, artikel 6 i direktivet, och de är skyddade av tystnadsplikt enligt bestämmelsen i artikel 5, som gäller vid kom- munikation och därmed förbundna trafikuppgifter.

Som framgår av domslutet förklarar EU-domstolen hur artikel 15.1 mot bakgrund av bestämmelserna i rättighetsstadgan ska tolkas. Artikel 15.1 reglerar när undantag får göras från bl.a. bestämmelsen om konfidentialitet i artikel 5 och förstörandeskyldigheten i artikel 6. Artikeln saknar alltså relevans för behandlingen av abonne- mangsuppgifter, som inte omfattas av de rättigheter och skyldigheter som medlemsstaterna enligt den tolkade bestämmelsen får begränsa. Det är därför följdriktigt att EU-domstolen bara svarar på frågan om trafikuppgifter och lokaliseringsuppgifter men inte abonnemangs- uppgifter. Den svenska regleringen av lagringen och tillgången till abonnemangsuppgifter påverkas således inte ens indirekt av domen. Det behöver knappast sägas att de uttalandena av mer generellt slag om t.ex. inskränkningar i skyddet för personuppgifter däremot är relevanta även för behandlingen av abonnemangsuppgifter.

Det finns av andra skäl än Tele2-domen ändå anledning att beröra regleringen av abonnemangsuppgifter i betänkandet. För det första är det oundvikligt att inte göra det, eftersom regleringen bitvis har nära samband med bestämmelserna om trafik- och lokaliseringsupp- gifter. För det andra utgör behandling av abonnemangsuppgifter ett slags personuppgiftsbehandling och omfattas således av dataskydds- regleringen inom EU-rätten (t.ex. artikel 3 i direktiv 2002/58). Där- med omfattas behandlingen också av de krav som följer av rättighets- stadgan. Det finns även anledning att beröra regleringen av abonne-

som vid varje tillfälle kan sammankopplas med en viss adress, t.ex. ett telefonnummer eller en ip-adress.

197

Överväganden

SOU 2017:75

mangsuppgifter på grund av integritetsskyddet som följer av Europa- konventionen.

I utredningen har det väckts frågan om inte ip-adresser ändå omfattas av domen. De argument som förts fram redovisas nedan.

Ett argument utgår från att användningen av dynamiska ip- adresser och NAT-teknik (som gör det möjligt för flera abonnenter att använda samma publika ip-adress) har ökat. För att kunna veta vem som använt en ip-adress vid ett specifikt tillfälle kan det därför vara nödvändigt att ha tillgång till exakta tidsuppgifter för när adressen användes. Härigenom påstås det att de uppgifter man måste behandla sammantaget kan lämna mycket exakt information om abonnenternas internetkommunikation. Enligt utredningen har detta argument inte någon större bärkraft. Det kan nämligen inte vara någon skillnad ur integritetssynpunkt mellan att kartlägga någon via en fast ip-adress eller med hjälp av t.ex. en dynamisk ip-adress, tids- loggar och portnummer; inte i något fall lagras vilka webbsidor som användaren har besökt eller annan motsvarande information. Därtill finns det ingen tidsmässig koppling mellan ip-adressen och över- föringen av information. Ip-adressen kan vara fast eller tilldelas en användare i samband med internetåtkomsten. Normalt används sedan den (dynamiska) ip-adressen under en i förväg bestämd lånetid eller tills användaren kopplar ner från internet; någon direkt kopp- ling till trafik finns därför inte.

Ytterligare ett argument för att ip-adresser skulle omfattas av domen är att domstolen i punkt 98 nämner ip-adresser (och andra abonnemangsuppgifter) i beskrivningen av vilka uppgifter som leverantörerna är skyldiga att lagra enligt svensk rätt. EU-domstolen nämner också att dessa uppgifter tillsammans med vissa uppräknade trafikuppgifter kan göra det möjligt att dra mycket precisa slutsatser om privatlivet (punkt 99). Man bör emellertid inte lägga allt för stor vikt vid att ip-adresser finns med i uppräkningen. Formuleringarna tycks vara hämtade från Digital Rights-domen (p. 26 och 27), som domstolen också hänvisar till, och utgör en allmän beskrivning av den svenska rätten. Abonnemangsuppgifter omfattades av data- lagringsdirektivet och därmed också av Digital Rights-domen. När domstolen därefter (p. 102 och framåt i Tele2-domen) uttalar sig om kraven som ställs på en lagstadgad lagringsskyldighet nämns endast trafik- och lokaliseringsuppgifter. Som nämns i inledningen av detta

198

SOU 2017:75

Överväganden

avsnitt är det också logiskt att EU-domstolen begränsar uttalandena till dessa uppgifter.

Ett tredje argumentet gör gällande att utredningens slutsats vilar på det felaktiga antagandet att uppgifter om abonnemang utgör en kategori uppgifter som ur ett EU-rättsligt perspektiv kan skiljas från kategorierna trafik- och lokaliseringsuppgifter. Denna invändning är enligt utredningen inte korrekt. Utredningen gör nämligen bedöm- ningen att det även inom EU-rätten görs en distinktion mellan de olika uppgiftsslagen. T.ex. är det så att datalagringsdirektivet ut- tryckligen reglerade abonnemangsuppgifter, medan de relevanta artiklarna i direktiv 2002/58 inte gör det, se avsnitt 4.2.

Om ip-uppgifter (och andra abonnemangsuppgifter) skulle anses omfattas av de uttalanden som görs om trafik- och lokaliserings- uppgifter i domen skulle det innebära att domens föreskrifter om t.ex. föregående domstolsprövning vid tillgång till information om vem som använt en ip-adress eller disponerar över ett telefon- nummer skulle bli tillämpliga. Även reglerna om att tillgång endast skulle kunna beredas de brottsbekämpande myndigheterna vid grova brott skulle behöva beaktas. I sådant fall skulle det krävas övervägan- den även i dessa delar. Som ovan angetts är det dock utredningens bedömning att inte ip-adresser (eller några andra abonnemangs- uppgifter) omfattas av domen. Några sådana överväganden redovisas därför inte. I detta sammanhang ska också nämnas att Förvaltnings- rätten i Stockholm den 5 maj 2017 meddelade ett inhibitionsbeslut i ett mål (nr 6895-16) om utlämning av abonnemangsuppgifter. Dom- stolen beslutade att ett vitesföreläggande mot en internetoperatör tills vidare inte skulle verkställas, eftersom det kunde ifrågasättas om bestämmelserna om tillgång till lagrade uppgifter om elektronisk kommunikation är förenliga med de villkor som EU-domstolen i Tele2-domen uttalat ska gälla. Det ska dock noteras att frågan om huruvida abonnemangsuppgifter omfattas av Tele2-domen och de tolkade artiklarna i direktivet alls inte berörs i beslutet. PTS, som utfärdat föreläggandet, överklagade beslutet till Kammarrätten i Stockholm, som den 9 juni 2017 beslutade att inte meddela pröv- ningstillstånd (mål nr 3256-17).

Slutligen ska påpekas att, som framgår i avsnitt 6.2.1, även de flesta medlemsstater i den informella rådsarbetsgruppen i EU som behandlar datalagringsfrågan efter Tele2-domen preliminärt har

199

Överväganden

SOU 2017:75

kommit till slutsatsen att ip-adresser är abonnemangsuppgifter, som inte omfattas av domen.

Att ip-adresser och andra abonnemangsuppgifter är en särskild uppgiftstyp som inte förtjänar samma starka skydd är även en slutsats som den portugisiska konstitutionsdomstolen har kommit till (dom 420/2017, 13 juli 2017).

12.3Det är nödvändigt att reformera svensk lagstiftning

Utredningens bedömning: Det är nödvändigt att reformera reglerna kring datalagring för att uppfylla Sveriges internationella åtaganden.

Som kommer att framgå i det följande uppställer EU-domstolen i vissa delar strängare krav på datalagringen och tillgången till datalagrade uppgifter än vad svensk lag gör.

Ett sätt att hantera den uppkomna situationen är att helt enkelt upphäva alla bestämmelser som står i strid med EU-rätten. Enligt utredningens bedömning är emellertid en sådan lösning utesluten av både brottsbekämpande och folkrättsliga skäl. Detta utvecklas i det följande.

Som framgår av direktiven till Utredningen om hemlig data- avläsning har under senare år den ökande internationaliseringen i kombination med teknikutvecklingen och en tilltagande internet- användning inneburit att kriminaliteten delvis har ändrat karaktär (dir. 2016:36). Internet erbjuder lättillgängliga kontaktytor för brotts- planering inom och utom landets gränser och utgör bl.a. en etablerad plattform för våldsbejakande extremism och terrorismpropaganda. Viss typ av kriminalitet, t.ex. barnpornografibrott, har internet som brottsplats och den webbaserade narkotikahandeln har ökat massivt de senaste åren, Polismyndighetens och Tullverkets rapport Drog- situationen i Sverige (2016) s. 10, som hänvisar till globaldrug- survey.com. Utvecklingen innebär att även förutsättningarna för att förhindra brott och säkra bevis för begångna brott har förändrats radikalt. Uppgifter om elektronisk kommunikation och andra elek- troniska spår är i dag helt nödvändiga för brottsbekämpningen. Det sagda belyser att om de brottsbekämpande myndigheterna inte skulle

200

SOU 2017:75

Överväganden

ha tillgång till adekvata utredningsverktyg i den elektroniska miljön så skulle brotten i vissa fall vara omöjliga att klara upp och brotts- offer i motsvarande omfattning vara skyddslösa. En sådan situation är högst problematisk ur ett brottsbekämpande perspektiv. Vissa brott skulle i praktiken kunna bli straffria och många målsägande skulle aldrig kunna få upprättelse.

Utöver detta brottsbekämpande perspektiv måste hänsyn tas till Sveriges internationella åtaganden. Var och en som vistas i Sverige har rätt att göra anspråk på att staten vidtar effektiva åtgärder för att skydda hans eller hennes säkerhet. I detta ligger att staten måste anstränga sig för att se till att brott förebyggs, utreds och att gär- ningsmän ställs till svars för sina brottsliga handlingar. Staten har alltså en skyldighet att skydda enskildas privatliv och personliga inte- gritet mot intrång som begås av andra enskilda och, om intrång görs, se till att brotten utreds (avsnitt 3.1.2–3.1.3). Enligt utredningen skulle det inte vara förenligt med Sveriges åtaganden att inte ge de brottsbekämpande myndigheterna möjlighet att effektivt utreda brott i den elektroniska miljön.

Utöver det generella ansvar Sverige har att upprätthålla en effek- tiv brottsbekämpning har Sverige gjort specifika åtaganden för vissa typer av brott. Här kan nämnas plikten att bekämpa tillhanda- hållande, spridning och innehav av barnpornografi enligt artikel 20 i Europarådets konvention om skydd för barn mot sexuell exploa- tering och sexuella övergrepp. Enligt konventionen har Sverige ett åtagande att vidta nödvändiga lagstiftningsåtgärder för att säkerställa effektiv utredning och åtal av sådana gärningar och tillåta möjlig- heten, där så är lämpligt, att genomföra hemliga utredningsåtgärder. Denna typ av brottslighet pågår i stor utsträckning på den elek- troniska arenan. Utan möjligheter till effektiva utredningsverktyg skulle Sverige inte uppfylla sina folkrättsliga åtaganden enligt den nämnda konventionen.

Härtill kommer proportionalitets- och behovsargumenten. Om de brottsbekämpande myndigheterna fråntas möjligheten att komma åt trafikuppgifter i brottsutredningar måste de kompensera sig med andra metoder. Ett exempel på det skulle kunna vara följande. Anta att en person misstänks för ett brott utfört på en viss plats och att lokaliseringsuppgifter skulle kunna binda honom till den aktuella platsen (eller ge honom alibi). Om polis och åklagare inte skulle ges möjlighet att komma åt dessa uppgifter kan de, i enlighet med det

201

Överväganden

SOU 2017:75

ovan anförda, inte lägga ned förundersökningen utan måste i stället arbeta vidare med de metoder som står till buds. En sådan metod är t.ex. hemlig avlyssning av elektronisk kommunikation. Det sagda innebär alltså att frånvaron av möjlighet att inhämta trafikuppgifter kan leda till ett ännu allvarligare integritetsintrång (avlyssning) för den enskilde – att jämföra med det minskade integritetsintrånget för dem som inte får sina uppgifter lagrade. En sådan ordning skulle för den enskilde rimma illa med proportionalitets- och behovsprinci- perna, vilka utvecklats i praxis för all tvångsmedelsanvändning. Pro- portionalitetsprincipen innebär att en tvångsåtgärd i fråga om art, styrka, räckvidd och varaktighet ska stå i rimlig proportion till vad som står att vinna med åtgärden. Behovsprincipen innebär att en myndighet får använda ett tvångsmedel bara när det föreligger ett påtagligt behov och en mindre ingripande åtgärd inte är tillräcklig för att tillgodose behovet.

Den svenska lagstiftningen måste således anpassas till vad rättig- hetsstadgan kräver såvitt avser skyddet mot statens ingrepp i den personliga integriteten samtidigt som den måste tillgodose de skyldigheter Sverige har enligt bl.a. Europakonventionen att ge de brottsbekämpande myndigheterna effektiva verktyg och på så sätt upprätthålla effektiviteten i brottsbekämpningen och därigenom skydda den enskilda mot övergrepp från andra. Hur detta kan göras utvecklas mer i det följande.

12.4Ingen generell och odifferentierad lagring som i dag

Utredningens bedömning: Lagring kan endast motiveras av intresset att bekämpa grov brottslighet, men inte ens detta ända- mål kan ensamt motivera en generell och odifferentierad lagring av samtliga trafikuppgifter och lokaliseringsuppgifter avseende samtliga abonnenter och registrerade användare och samtliga elektroniska kommunikationsmedel.

Det finns ett fortsatt utrymme för en begränsad lagrings- skyldighet. Men lagringsskyldigheten måste göras mindre om- fattande än i dag och anpassas till vad som är strängt nödvändigt.

202

SOU 2017:75

Överväganden

12.4.1Uppgifterna får endast lagras för att bekämpa grov brottslighet

EU-domstolen konstaterar att endast intresset att bekämpa grov brottslighet kan motivera en lagringsskyldighet av trafikuppgifter och lokaliseringsuppgifter. Det kan emellertid inte ensamt motivera en generell och odifferentierad lagring av samtliga sådana uppgifter.2 (avsnitt 9.7.1 ovan och p. 102 och 103 i domen)

Hur den nationella lagstiftningen, utifrån ett brottsbekämpande syfte, motiverar ett krav på lagring visar sig uteslutande genom en analys av för vilka brott som de brottsbekämpande myndigheterna tillåts få tillgång till de lagrade uppgifterna. I denna del hänvisas därför till resonemangen nedan om tillgången till uppgifterna, avsnitt 12.8.1.

12.4.2Utrymme finns för en fortsatt lagringsskyldighet

När det gäller lagringens omfattning fastslår EU-domstolen att rättighetsstadgan utgör hinder för en nationell lagstiftning som i brottsbekämpande syfte föreskriver en generell och odifferentierad lagring av samtliga trafikuppgifter och lokaliseringsuppgifter av- seende samtliga abonnenter och registrerade användare och samtliga elektroniska kommunikationsmedel (p. 1 i domslutet). Eftersom det är så som EU-domstolen beskrivit den svenska lagstiftningen (p. 97 och 105 i domen) är det således uteslutet att lämna de svenska lag- ringsreglerna oförändrade, i vart fall om de endast kan motiveras utifrån bekämpning av grov brottslighet.

Även om domslutet endast förbjuder en allomfattande lagring framgår det av domskälen att utrymmet för att över huvud taget föreskriva lagring är begränsat. Frågan är då hur begränsat detta ut- rymme är. EU-domstolen delar upp sitt resonemang i denna fråga i två delar.

Den första delen av resonemanget återfinns i punkt 97–107 och handlar om generell lagring. EU-domstolen resonerar här kring den svenska lagstiftningen om datalagring och konstaterar att den före- skriver en generell och odifferentierad lagring av samtliga trafik-

2 “general and indiscriminate retention of all traffic and location data” i den engelska versionen och “la conservation généralisée et indifférenciée de l’ensemble des données relatives au trafic et des données de localisation” i den franska.

203

Överväganden

SOU 2017:75

uppgifter och lokaliseringsuppgifter för samtliga abonnenter och registrerade användare avseende samtliga elektroniska kommuni- kationsmedel och ålägger leverantörer av elektroniska kommu- nikationstjänster att systematiskt och kontinuerligt lagra dessa upp- gifter, utan undantag (p. 97). Därefter konstaterar EU-domstolen att denna mängd av uppgifter gör det möjligt att dra mycket precisa slutsatser om privatlivet för de personer vilkas uppgifter har lagrats (p. 99). EU-domstolens slutsats är att en sådan lagstiftning utgör ingrepp i de rättigheter som följer av stadgan (p. 100) och att därför endast grov brottslighet kan motivera lagring (p. 102). Dock kan inte ens grov brottslighet i sig ensamt motivera en generell och odifferentierad lagring av samtliga trafikuppgifter och lokaliserings- uppgifter (p. 103). Vid beskrivningen av den svenska lagstiftningen konstaterar domstolen att lagringen på ett allomfattande sätt berör samtliga personer som använder elektroniska kommunikationstjäns- ter, utan att dessa personer ens indirekt befinner sig i en situation som kan föranleda lagföring (p. 105) och att lagringen inte är begränsad till tid, geografiskt område eller krets av personer (p. 106). Domstolens slutsats, som avslutar det första ledet av resonemanget, är att den svenska lagringen överskrider gränsen för vad som är strängt nödvändigt och därför står i strid med artikel 15.1 i direktiv 2002/58 jämförd med artiklarna 7, 8, 11 och 52.1 i stadgan (p. 107). Denna slutsats är också den som återfinns i domslutet (p. 1 i dom- slutet och p. 112 i domskälen). Denna del av resonemanget är alltså den nödvändiga delen av domskälen för att komma fram till dom- slutet. EU-domstolen skulle följaktligen ha kunnat sluta sitt resone- mang här eftersom den redan har underkänt den svenska lagstift- ningen och besvarat frågan från kammarrätten.

Domstolen fortsätter emellertid sina överväganden i en andra del av resonemanget. Denna del, som återfinns i punkterna 108–111, har ingen koppling till domslutet utan är närmast att se som ett obiter dictum (dvs. ett uttalande vid sidan om själva saken) och ett exempel på en möjlig form av lagringsskyldighet. Resonemanget här handlar om riktad lagring (jfr avsnitt 12.5.1) och i dessa punkter resonerar domstolen kring hur en sådan lagring skulle kunna vara utformad. Det föreskrivs här att riktad lagring, vad gäller vilka slags uppgifter som ska lagras, vilka kommunikationsmedel som avses, vilka perso- ner som berörs och hur länge lagringen ska ske, måste begränsas till vad som är strängt nödvändigt (p. 108). Bland kraven på en riktad

204

SOU 2017:75

Överväganden

lagring märks särskilt att den berörda personkretsen måste vara avgränsad (p. 110).

Det har under utredningen framförts uppfattningen att endast en riktad lagring skulle vara förenlig med EU-rätten så som den har uttolkats i Tele2-domen. Det har då hänvisats just till EU-dom- stolens ovan angivna skrivningar om att villkoren för den nationella lagringen måste vara sådana att de klart avgränsar åtgärdens om- fattning och följaktligen den berörda personkretsen (p. 110) samt att domstolen särskilt uttalar att stadgan inte hindrar en riktad lagring (p. 108). Som framgår ovan är emellertid utredningens slutsats att domstolens uttalande om riktad lagring endast är ett exempel och ett obiter dictum. Uttalandena i p. 110 om avgränsning av den berörda personkretsen tar sikte just på denna riktade lagring och således inte generellt på hur nationell lagstiftning om lagring ska vara utformad.

Förespråkarna av riktad lagring som den enda möjliga modellen har också hänvisat till att EU-domstolen i sin dom särskilt noterar att lagringsskyldigheten i Sverige även är tillämplig på personer där det inte föreligger något indicium som ger anledning att tro att deras beteenden ens kan ha ett indirekt eller avlägset samband med grov brottslighet (p. 105). Att tolka detta uttalande som att det skulle för- bjuda en lagring också av andra än dem som räknas upp i nämnda punkt i domen förefaller långsökt. Om det skulle ha varit EU- domstolens avsikt att förbjuda sådan lagring hade det varit natur- ligare att utforma domslutet och skälen så att det tydliggjordes. Som antecknas nedan kan det dessutom noteras att EU-domstolen efter Tele2-domen i en näraliggande fråga har accepterat att lagring, i brottsbekämpande syfte, av flygbolags passageraruppgifter omfattar samtliga flygpassagerare och således inte är riktad till sådana passa- gerare om vilka de förelåg någon misstanke att de kunde hota den allmänna säkerheten (EU-domstolens yttrande 1/15, den 26 juli 2017 p. 41, 186 och 189). Man kan därutöver notera att en generell lagring i fem år förskrivs för vissa närmare angivna uppgifter enligt fjärde penningtvättsdirektivet3. Det förefaller inte heller som en rimlig tolkning att EU-domstolen på ett så ingripande sätt skulle ha

3 Europaparlamentets och rådets direktiv (EU) 2015/849 av den 20 maj 2015 om åtgärder för att förhindra att det finansiella systemet används för penningtvätt eller finansiering av terrorism, om ändring av Europaparlamentets och rådets förordning (EU) nr 648/2012 och om upphävande av Europaparlamentets och rådets direktiv 2005/60/EG och kommissionens direktiv 2006/70/EG.

205

Överväganden

SOU 2017:75

haft för avsikt att beröva de brottsbekämpande myndigheterna möjligheten till en effektiv brottsbekämpning utan ingående resone- mang och överväganden i dessa delar.

Innebörden av domstolens sätt att resonera är uppenbarligen att den svenska lagringen inte är förenlig med stadgan. Vid sitt konstate- rande av det betonar domstolen i flera punkter att det är just den all- omfattande generella svenska lagringen som underkänns. I punkt 103 uttalar sig domstolen om en generell och odifferentierad lagring av samtliga trafikuppgifter och lokaliseringsuppgifter. Punkt 104 hän- visar till den svenska lagstiftning med de särdrag som beskrivits i punkt 97, dvs. en lagstiftning som föreskriver en systematisk, konti- nuerlig, generell och odifferentierad lagring av samtliga trafik- uppgifter och lokaliseringsuppgifter för samtliga abonnenter och registrerade användare avseende samtliga elektroniska kommuni- kationsmedel utan undantag. Även resonemanget i punkt 105 avser en allomfattande lagringsskyldighet, närmare definierad som en lag- stiftning som på ett generellt sätt omfattar samtliga abonnenter och registrerade användare och avser samtliga kommunikationsmedel och samtliga trafikuppgifter, utan åtskillnader, begränsningar eller undantag. Det stämmer också väl överens med EU-domstolens dom den 6 oktober 2015 i målet Schrems, C‑362/14, punkt 93.

Det går inte av domen att utläsa hur en mindre omfattande men ändå i någon mening generell lagringsskyldighet skulle ha bedömts. Vad EU-domstolen antecknar om den riktade lagringen är som ovan konstaterats ett obiter dictum som beskriver hur en (mer tillåtande) riktad lagring skulle kunna utformas. Den delen av resonemanget ger ingen avgörande ledning i bedömningen av hur en sorts generell lagring ska vara utformad för att möta kraven i rättighetsstadgan.

Vidare är det inte självklart vad som avses med ”samtliga trafik- uppgifter och lokaliseringsuppgifter”. Uttrycket verkar kunna här- ledas från kammarrättens fråga (punkt 51 i domen). Det kan emeller- tid noteras att det är flera trafik- och lokaliseringsuppgifter som inte ska lagras enligt den svenska lagstiftningen, t.ex. position när ett meddelande skickades och när det mottogs, position under ett mobilsamtal, position vid fast telefoni, utrustningsidentitet vid skickade och mottagna meddelanden, utrustningsidentitet vid fast telefoni, abonnemangsidentitet vid skickade och mottagna med- delanden, abonnemangsidentitet vid internetåtkomst, samtliga upp- gifter om samtal med annat än vanligt telefonnummer, t.ex. med

206

SOU 2017:75

Överväganden

användarnamn, (däribland uppringande och uppringt nummer, tid och position), uppgift om port och publik ip-adress vid internet- åtkomst4, meddelandehantering och ip-telefoni samt samtliga upp- gifter om samtal som inte kopplas fram på grund av tekniskt fel eller dylikt (däribland uppringande och uppringt nummer eller användar- namn, tid, utrustning och position). Därtill ska det inte lagras några rena lokaliseringsuppgifter, dvs. positioner som inte är kopplade till kommunikation. Det finns också en hel del trafikuppgifter av mer tekniskt slag som inte omfattas av lagringsskyldigheten. Sådana upp- gifter kan bl.a. avse peeringpunkter och kommunikationskoder (t.ex. ortogonala spridningskoder). Det är således långt ifrån samtliga trafik- och lokaliseringsuppgifter som omfattas av lagringsskyldig- heten.

Även om det inte får någon bäring på vad som utgör samtliga trafik- och lokaliseringsuppgifter, enligt definitionerna i direk- tiv 2002/58, kan det dessutom noteras att kommunikationen på senare tid alltmer har övergått till en typ som inte ger upphov till någon lagringsskyldighet hos operatörerna (avsnitt 7.3.1), dvs. sådana tjänster som inte tillhandahålls av en lagringsskyldig operatör utan andra tjänsteleverantörer, exempelvis Apple Imessage och Face- time, Facebook Messenger, Skype, Gmail och Hotmail. Lagrings- skyldigheten omfattar inte heller t.ex. webbplatsbesök (surfning), sökningar med sökmotorer, onlinespel eller uppgifter om filöver- föring med hjälp av File Transfer Protocol (FTP).

Även om en rimlig utgångspunkt måste vara att EU-domstolen ansett att den svenska lagstiftningen, såsom den beskrivits i punk- terna 15–19 i domen, föreskriver en alltför omfattande lagrings- skyldighet, måste domstolens slutsats tolkas i ljuset av hur kam- marrätten ställt sina frågor och utvecklingen av alternativa kom- munikationstjänster i tiden därefter. Betydelsen av den ökade använd- ningen av sådana alternativa kommunikationstjänster noteras även i den finska utredningen som nämns ovan (avsnitt 11.2.5). I den utredningen görs även bedömningen att den finska och svenska lagringsskyldigheten är tämligen likartade, men att den finska är mer riktad och alltså förenlig med EU-rätten.

Det sagda leder till tre slutsatser: För det första får det inte före- skrivas en generell och odifferentierad lagring av samtliga trafik-

4 Enligt PTS bedömning, se PTS skrivelse till EBM den 26 februari 2015, dnr 15-1185.

207

Överväganden

SOU 2017:75

uppgifter och lokaliseringsuppgifter för samtliga abonnenter och registrerade användare avseende samtliga elektroniska kommunika- tionsmedel. För det andra måste det svenska regelverket för lagring, oaktat att det inte föreskriver en sådan lagring, göras mindre om- fattande. För det tredje kan det införas ett system med riktad lagring som tillåter en omfattande lagring men som är begränsad till tid, plats eller person. Även andra former av datalagring kan införas, så länge skyldigheten att lagra inte blir huvudregel och den begränsas i varje del till vad som är strängt nödvändigt.

Enligt utredningens bedömning är nyttan av uppgifterna från elek- tronisk kommunikation så stor för de brottsbekämpande myndig- heterna att det finns skäl att behålla någon sorts lagring i preventivt syfte – dock mindre omfattande än i dag. Det torde däremot inte vara tillräckligt att endast differentiera lagringstiderna, eftersom det inte får någon påverkan på huruvida lagring blir undantag eller huvudregel (jfr punkt 104 i domen).

12.5Olika modeller för lagring

Utredningens bedömning: En viss begränsad och differentierad lagring bör föreskrivas.

12.5.1Ingen riktad lagring

Som nämnts ovan tillåter EU-rätten en riktad lagring. Riktad lagring innebär en situationsanpassad preventiv lagring av uppgifter hän- förliga till vissa nummer, kommunikationsutrustningar eller platser. Lagringen kan vara tidsbegränsad. Frågan är om en sådan bör införas i Sverige. Vid bedömningen av denna fråga måste å ena sidan nyttan och behovet av en sådan vägas mot intrånget för de berörda perso- nerna.

När det gäller den första frågan (nytta och behov) kan noteras att det är komplicerat att i förväg veta hur man ska rikta lagringen. Det är nämligen mycket svårt att i förväg veta när, var eller av vem ett allvarligt brott ska begås. Det är således vanskligt att på något meningsfullt sätt rikta lagringen till vissa tider, områden eller perso- ner. Utredningen kan därför inte se någon större praktisk nytta eller

208

SOU 2017:75

Överväganden

något större behov av en möjlighet till riktad lagring. Inte heller utredningens experter från de brottsbekämpande myndigheterna har sett något större värde med en sådan lagring.

När det gäller den andra frågan (intrånget för de berörda perso- nerna) kan det noteras att all lagring innebär ett integritetsintrång. Att rikta lagringen till en viss person eller krets av personer (exem- pelvis i ett visst område eller personer med visst kön), utan att det finns någon konkret misstanke mot dessa personer, innebär rimligen en än större rättighetskränkning mot dessa människor. De brotts- bekämpande myndigheterna måste nämligen vid sådan lagring peka ut vissa personer eller personkategorier som mer brottsbenägna än andra så att lagring av just deras uppgifter ska utföras. Därtill innebär en sådan riktad lagring att förutsättningarna för att lösa allvarlig brottslighet blir olika för olika delar av landet, vilket är problema- tiskt. I vissa fall kan det dock vara så att brottsrisken ökar i ett visst område vid speciella händelser, t.ex. vid ett statsbesök i Stockholms innerstad. I sådana fall skulle man kunna tänka sig en riktad lagring mot dessa delar av staden utan att kränka någons rättigheter ur den nu redovisade synvinkeln. Dock är värdet av en sådan lagring mycket lågt. Både underrättelseverksamheten och – i värsta fall – förunder- sökningsverksamheten avseende sådan brottslighet måste rikta sig mot betydligt större områden än själva attentatsplatsen. Planering och kontakter mellan gärningsmän sker nämligen med största säkerhet inte enbart på själva brottsplatsen och inte sällan under en längre tid.

Det ovan anförda ger vid handen att riktad lagring skulle vara av ringa nytta för de brottsbekämpande myndigheterna samtidigt som integritetsintrånget för de berörda personerna skulle vara påtagligt.

Utöver den nu redovisade bristande proportionaliteten, är riktad lagring förknippad med ett annat problem. Om man ska rikta lagringen mot vissa tider eller områden så måste operatörerna under- rättas om detta beslut så att rätt uppgifter kan lagras. Antalet opera- törer överstiger 500 stycken. Även om antalet mobiloperatörer, som mest torde beröras av en riktad lagring, är väsentligt färre och vissa stora operatörer står för en mycket stor marknadsandel, så riskerar en underrättelse att behöva gå till många operatörer. Det skulle bli utmanande rent expeditionsmässigt samtidigt som uppgiften om att ett visst område är av intresse för den brottsbekämpande verksam- heten skulle spridas till en alltför stor krets av personer. Detta pro-

209

Överväganden

SOU 2017:75

blem är särskilt betonat i underrättelseverksamheten där sekretess- kraven gör sig gällande med särskilt stor kraft.

Det ska i sammanhanget även nämnas att den av Sverige under- tecknade (men ännu inte ratificerade) it-brottskonventionen5 inne- håller en bestämmelse om s.k. skyndsamt bevarande (artikel 16). Enligt den bestämmelsen ska varje part till konventionen vidta nöd- vändiga lagstiftningsåtgärder för att dess behöriga myndigheter genom förelägganden eller på liknande sätt ska kunna åstadkomma skyndsamt säkrande av särskilt angivna datorbehandlingsbara upp- gifter, innefattande trafikuppgifter, som har lagrats med hjälp av ett datorsystem, särskilt i de fall där det finns anledning att förmoda att de datorbehandlingsbara uppgifterna löper särskild risk att gå för- lorade eller förändras. För det fall misstankar riktas mot en viss person kan således en sorts riktad lagring komma till stånd genom ett föreläggande om bevarande i enlighet med reglerna i it-brotts- konventionen (SOU 2013:39, som bereds i Regeringskansliet).

Sammantaget leder det nu anförda till slutsatsen att riktad lagring varken framstår som proportionell eller lämplig. Utredningen lämnar därför inget förslag på riktad lagring. Det kan för övrigt noteras att slutsatsen om brist på nytta av riktad lagring överensstämmer med analysen i departementspromemorian Ds 2014:23 s. 53 (se av- snitt 8.3.1).

12.5.2Inget bevarandeföreläggande av uppgifter som operatörerna behöver för egna ändamål

I stället för att förordna att operatörerna ska lagra vissa uppgifter viss tid, skulle ett möjligt alternativ vara att ge myndigheterna behörighet att förelägga operatörerna att bevara de uppgifter som redan finns sparade (även kallat quick freeze). Som framgår ovan följer en sådan skyldighet av it-brottskonventionen, enligt vilken även innehållet i kommunikationen ska kunna bevaras. Liknande lag- stiftning återfinns också i flera andra länder.

Den uppenbara fördelen och nackdelen med ett sådant bevarande är att lagringen blir begränsad. Det kan bli lägre kostnader för opera- törerna och färre personers uppgifter omfattas i jämförelse med en

5 Europarådets konvention om it-relaterad brottslighet (ETS 185).

210

SOU 2017:75

Överväganden

ständigt pågående lagring av uppgifter. Däremot blir integritets- intrånget för de personer vars uppgifter ändå lagras lika stort som vid ett generellt lagringskrav. Ett sådant bevarandesystem kan vid en första anblick därför framstå som mer proportionerligt än ett som innebär generell lagring. Det är emellertid inte självklart, eftersom proportionaliteten måste bedömas utifrån nyttan av åtgärden. Det är nämligen inte givet att ett bevarandeföreläggande kommer att ge tillräckliga resultat för brottsbekämpningen i jämförelse med annan typ av lagring.

För att ett bevarandeföreläggande ska bli meningsfullt krävs det att det finns uppgifter att bevara. Eftersom direktiv 2002/58 före- skriver en skyldighet för operatörerna att förstöra uppgifterna när de inte längre behövs för vissa egna ändamål finns det en överhängande risk att utbudet av uppgifter bli alltför begränsat. Utbudet av upp- gifterna blir också varierande, beroende på hur varje operatör använ- der uppgifterna.

Inför förslaget till datalagringsdirektivet övervägde Kommissionen en reglering med endast en riktad bevarandeskyldighet. En sådan reglering bedömdes inte i tillräcklig grad kunna bidra till bekämp- ningen av organiserad brottslighet och terrorism, eftersom den i princip inte ger tillgång till historiska uppgifter och den kräver att det redan finns en misstänkt eller en krets av misstänkta (Kommis- sionens arbetsdokument ”Commission Staff Working Document”, som lades fram som bilaga till det förslag till direktiv som ledde fram till antagandet av datalagringsdirektivet, den 21 september 2005).

Kommissionens argument är riktigt för den typ av riktad lagring som beskrivits i avsnittet ovan. Ett bevarandeföreläggande skulle emellertid kunna användas även i andra situationer, som exempel skulle alla uppgifter kopplade till en mordplats eller mördad person kunna bevaras under viss tid. Nyttan av det förefaller dock vara begränsad; om utredarna vet vilka uppgifter som är intressanta är det mer logiskt att inhämta dem i stället för att förelägga operatören att bevara dem. Värdet blir något större om man skulle förelägga opera- törerna att lagra alla tillgängliga uppgifter hänförliga till de kom- munikationsutrustningar som befunnit sig i närheten av mordplatsen eller kontaktat offret strax före mordet. På så sätt skulle t.ex. trafik- uppgifter som man inte förrän senare i utredningen vet att de är intressanta finnas bevarade, dock bara avseende en kortare tid före gärningen på grund av förstörandeskyldigheten.

211

Överväganden

SOU 2017:75

Sammanfattningsvis framstår nyttan av en bevarandeskyldighet av detta slag som tydligt begränsad i jämförelse med en lagringsskyldig- het som går utöver vad operatörerna behöver bevara för egna ändamål. Något förslag på bevarandeföreläggande lämnas därför inte av utredningen. En bevarandeskyldighet som den som föreskrivs i it- brottskonventionen, som även omfattar innehåll, kan däremot utgöra ett komplement till en mer generell lagringsskyldighet. Som nämnts ovan bereds denna fråga redan i Regeringskansliet.

12.5.3Ingen lagring av senaste aktiviteten på abonnemanget

Ytterligare en alternativ lagringsform är att föreskriva att ett abonne- mangs senaste aktiviteter ska sparas i viss tid, t.ex. ett år. Många gärningsmän vid grova brott gör sig av med eller slutar att använda sin mobiltelefon eller sitt sim-kort efter att den brottsliga aktiviteten begåtts. Telefoner utan aktivitet kommer då att ha t.ex. de två senaste månadernas trafik- och lokaliseringsuppgifter sparade en längre tid. Uppgifter från ett aktivt abonnemang kommer däremot aldrig att vara äldre än två månader, eftersom de hela tiden ersätts av senare uppgifter. Modellen blir i praktiken en automatisk quick freeze kom- binerad med en mycket kort generell lagringsskyldighet. Fördelen med denna modell är att färre uppgifter lagras. Den största nack- delen är att utbudet av historiska uppgifter blir väldigt begränsat men även att modellen inte begränsar antalet personer som omfattas av lagringsskyldigheten utan endast differentierar tiden för lagring. Även om det finns undantag, uppmärksammas som regel grova brott närmast direkt efter att de begåtts och relevant inhämtning har antagligen då redan gjorts i nära anslutning till gärningen. Den enda nyttan som i så fall skulle bli följden av ett bevarande av senaste aktivitet är dels om telefonen använts i samband med brottet på en annan plats än vid gärningsplatsen och blivit intressant först senare i utredningen, dels om en inhämtning görs en tid efter gärningen i syfte att se vilka av de abonnemang som var uppkopplade vid gär- ningstillfället som därefter slutade användas. Det är dessutom långt ifrån alla kriminella som frekvent byter abonnemang. I synnerhet i underrättelseverksamheten kan också t.ex. vardagsmönster behöva kartläggas, varför även uppgifter från telefoner som inte använts vid brottslig verksamhet kan vara till stor nytta för brottsbekämpningen.

212

SOU 2017:75

Överväganden

Sammanfattningsvis blir nyttan begränsad och skillnaden i integri- tetsintrång i jämförelse med nuvarande lagstiftning inte betydande. Något förslag på en skyldighet att endast lagra senaste aktivitet lämnas därför inte av utredningen.

12.5.4Ingen bibehållen lagring med kryptering

Ett ytterligare alternativ är att bibehålla dagens omfattning på lagringen och i stället föreskriva krav på kryptering. Det skulle inne- bära att uppgifterna omedelbart vid lagring skulle krypteras och att de skulle avkrypteras först när det finns ett beslut om tillgång till uppgifterna för de brottsbekämpande myndigheterna. Härigenom skulle de lagrade personuppgifterna få ett skydd som skulle öka de berörda personernas integritetsskydd.

Frågan är om en sådan ordning skulle leva upp till domstolens krav i Tele2-domen.

Vid denna bedömning måste beaktas att kammarrätten i sin begäran om förhandsavgörande ställde just frågan om en generell och odifferentierad lagring kan vara tillåten om kraven på säkerhet för uppgifterna är utformade så som de är i Sverige, dvs. med bl.a. föreskrifter om tystnadsplikt, tillsyn och – viktigast i detta samman- hang – krav på tekniska och organisatoriska åtgärder för att skydda uppgifterna (p. 38–43 i begäran om förhandsavgörande). Härtill nämner kammarrätten kraven i 37 § FEK om att den lagringsskyldige ska vidta de åtgärder som krävs för att skydda uppgifterna mot oavsiktlig eller otillåten förstöring och oavsiktlig förlust eller ändring och att sådana åtgärder även ska vidtas för att förhindra otillåten lagring, behandling av eller tillgång till och otillåtet avslöjande av uppgifterna (p. 40 i domen).

EU-domstolen konstaterar att direktiv 2002/58 inte medger att medlemsstaterna avviker från bestämmelserna i direktivet som kräver att leverantörerna vidtar lämpliga tekniska och organisatoriska åtgärder för att säkerställa ett effektivt skydd av de lagrade uppgif- terna mot riskerna för missbruk och otillåten tillgång till uppgifterna (p. 122). EU-domstolen besvarar kammarrättens fråga i denna del utan samband med kammarrättens första fråga, dvs. om en generell och odifferentierad lagring över huvud taget är tillåten (p. 122 i domskälen och p. 2 i domslutet).

213

Överväganden

SOU 2017:75

Av det ovan nämnda framgår alltså att EU-domstolen har förut- satt att det finns nationella krav på tekniska och organisatoriska åtgärder som skyddar uppgifterna och att detta skydd inte påverkar tillåtligheten av en generell och odifferentierad lagring. Slutsatsen blir således att tillåtligheten av den svenska nuvarande lagringen inte skulle påverkas genom införandet av föreskrifter om kryptering.

Ett annat sätt att öka integritetsskyddet är att maskera de lagrade uppgifterna. Det har föreslagits att maskering ska användas vid lagring av flygpassageraruppgifter, för att uppfylla Sveriges åtagan- den enligt PNR-direktivet (SOU 2017:57 och artikel 12.2 i PNR- direktivet). Efter sex månader ska PNR-uppgifterna (uppgifter om flygresenärer) i databasen maskeras, vilket innebär att tillgängliga uppgifter som direkt kan hänföras till en fysisk person ska göras osynliga för en användare som saknar särskild behörighet för tillgång till uppgifterna. Detta system är mycket näraliggande kryptering och är egentligen bara ett annat sätt att avskära en alltför stor grupp personer från att ha tillgång till uppgifterna. Det saknas därför skäl att bedöma maskering på något annat sätt än kryptering. Ett införande av maskering skulle därför inte påverka bedömningen av om det svenska systemet är förenligt med EU-rätten.

Sammanfattningsvis skulle en bibehållen lagringsskyldighet men med kryptering eller maskering inte uppfylla de krav som EU-rätten ställer. Utredningen lämnar därför inte något förslag på sådan lagring.

12.5.5En begränsad lagringsskyldighet bör införas

Den enda rimliga kvarvarande modellen är en sorts ständigt bestående lagringsskyldighet men som inte omfattar alla kommunikationssätt, som är mindre omfattande än i dag och som är bättre anpassad efter vad som är strängt nödvändigt för att bekämpa grov brottslighet. Fördelarna med en sådan lagring är uppenbara och har redovisats tidigare i betänkandet. Nackdelarna är att den kommer att omfatta en stor mängd uppgifter och varav den allra största delen aldrig kom- mer att begäras tillgång till. Det betyder emellertid inte att lagrings- skyldigheten omfattar uppgifter hänförliga till någon person som det är onödigt att lagra uppgifter för. Eftersom man inte vet vem som kommer att begå ett allvarligt brott och det för alla personer finns en risk att de kan utsättas för eller bevittna ett sådant brott, är det

214

SOU 2017:75

Överväganden

omöjligt att på förväg veta vilka personer som på detta eller på annat sätt kommer att bli inblandade i grov brottslighet. Utredningen före- slår därför en lagring av beskrivet slag. En sådan lagring har också bedömts förenlig med EU-rätten av den ovan nämnda finska utred- ningen (avsnitt 11.2.5). I en näraliggande fråga rörande lagring, i brottsbekämpande syfte, av flygbolagens passageraruppgifter, har EU-domstolen bedömt att behandlingen av uppgifter inte har gått längre än vad som varit strängt nödvändigt, trots att den avsett samt- liga resenärer (till och från Kanada), oberoende av om det förelegat någon objektiv omständighet som gör det möjligt att anse att passa- gerarna kunnat utgöra en risk för den allmänna säkerheten eller inte (EU-domstolens yttrande 1/15, den 26 juli 2017 p. 41, 186 och 189).

Hur en begränsad lagringsskyldighet kan utformas redovisas i det följande.

En lagringsskyldighet av detta slag kan inte omfatta uppgifter som sällan eller aldrig inhämtas eller för vilka nyttan eller behovet inte är stort. Det är inte tillräckligt att den lagrade uppgiften är användbar eller bra att ha för de brottsbekämpande myndigheterna. Informationen från uppgifterna måste vara påtagligt viktig och inte möjlig att få del av genom en mindre ingripande åtgärd. Både infor- mationen och lagringen måste alltså vara nödvändiga. Även de olika uppgifternas karaktär som mer eller mindre integritetskänsliga måste beaktas. Det innebär inte bara att det måste göras ett noggrant urval av vilka uppgiftskategorier som ska lagras och vilka tjänster som ska omfattas av lagringsskyldigheten, utan även att lagringstiderna måste differentieras och anpassas till vad som är strängt nödvändigt för varje sorts uppgift. Slutligen får inte lagringen vara allomfattande i sådan mening att lagring blir huvudregel i stället för undantag. På detta sätt blir lagringsskyldigheten inte generell (i betydelsen huvud- regel) men differentierad, dvs. i varje del anpassad efter vad som är strängt nödvändigt (punkt 103–105 i Tele2-domen).

För att denna modell ska vara förenlig med EU-rätten krävs alltså begränsningar av lagringsskyldigheten. Av allt att döma är de allra flesta uppgifter som omfattas av lagringsskyldigheten i dag till stor nytta för brottsbekämpningen, både i underrättelse- och i utred- ningsverksamheten. Vidare har det framkommit att de äldsta av de lagrade uppgifterna i många fall används i utredningar rörande de grövsta brotten. Varje begränsning i lagringsskyldigheten torde där- för innebära att möjligheten att bekämpa grov brottslighet kommer

215

Överväganden

SOU 2017:75

att försämras i vissa fall, till förmån för skyddet för privatlivet, en fri och privat kommunikation och yttrandefriheten.

De brottsbekämpande myndigheterna har uppgett att behovet av uppgifter om elektronisk kommunikation ökar markant från år till år och om någon uppgift skulle tas bort från lagringsskyldigheten skulle det ge mycket allvarliga konsekvenser; det skulle minska möjligheterna att bekämpa allvarliga brott, urholka förmågan att skydda nationella säkerhetsintressen och göra Sverige till ett farligare land att vistas i. Det ska emellertid framhållas att en begränsad och proportionerlig lagringsskyldighet som är förenlig med EU-rätten gör det möjligt att behålla något slags lagring som verktyg åt de brottsbekämpande myndigheterna. En lagringsskyldighet som inte är förenlig med EU-rätten och andra grundläggande rättigheter kom- mer inte att kunna tillämpas (jfr kammarrättens dom, avsnitt 10.3.2) och innebär i så fall i praktiken att inga uppgifter kommer att lagras i syfte att bekämpa brott. En begränsad lagringsskyldighet kan således öka förmågan för de brottsbekämpande myndigheterna att förhindra allvarliga brott och skydda nationella säkerhetsintressen samt göra Sverige till ett säkrare land att vistas i.

12.6En begränsad lagringsskyldighet

12.6.1Sammanfattning

Utredningens förslag innebär att nuvarande modell för lagrings- skyldigheten reformeras kraftigt för telefonitjänst och meddelande- hantering samt i viss utsträckning för internetåtkomst. De uppgifter som inte längre ska lagras för telefonitjänst och meddelande- hantering enligt utredningens förslag finns sammanställda sist i avsnitt 12.6.3.

Genom de föreslagna förändringarna blir lagringsskyldigheten inte längre generell; en stor del av trafikuppgifterna kommer inte att omfattas av skyldigheten liksom alla lokaliseringsuppgifter som inte är trafikuppgifter. Lagringen blir därmed undantag och inte huvud- regel (Tele2-domen p. 104). Dessutom blir lagringsskyldigheten differentierad genom att den anpassas till att omfatta endast de upp- gifter som är strängt nödvändiga att lagra för att bekämpa grov brottslighet, med beaktande av nytta, behov, integritet och propor- tionalitet (Tele2-domen p. 105). Samtidigt differentieras lagrings-

216

SOU 2017:75

Överväganden

tiderna utifrån skillnader i behov och uppgifternas integritetskänslig- het (se avsnitt 12.7.2).

Förslaget innebär att integritetsintrånget för abonnenterna blir lägre men även att möjligheterna att förebygga, förhindra och utreda brott i vissa fall torde försämras.

Redaktionella ändringar och teknikneutralitet

Utredningen föreslår att lagringsskyldigheten delas upp i två delar, dels telefonitjänst och meddelandehantering, dels internetåtkomst. Bestämmelserna görs teknikneutrala. Det betyder bl.a. att opera- törernas användning av NAT-teknik (en teknik för att tillåta att flera abonnenter delar på en och samma publika ip-adress, se avsnitt 6.1) inte påverkar möjligheterna till identifiering av abonnenten.

Telefonitjänst och meddelandehantering

För telefonitjänst och meddelandehantering föreslås att endast uppgifter om kommunikation via en mobil nätanslutningspunkt ska lagras. Det betyder att det inte kommer att lagras några uppgifter om telefonitjänster eller meddelandehantering som sker inom det fasta telefonnätet eller genom fasta internetanslutningar. Om någon av parterna kommunicerar via en mobil nätanslutningspunkt kommer däremot information att lagras, men bara hos den partens operatör.

Trafikuppgifter ska fortfarande lagras. Men lagringsskyldigheten begränsas till uppgifter om vem som kontaktat vem (nummer och abonnent eller registrerad användare samt för telefonitjänst även abonnemangs- och utrustningsidentitet) och vid vilken tidpunkt.

Uppgift om ip-adress ska i sig inte lagras vid telefonitjänst och meddelandehantering. Om en ip-adress använts som adress för att skicka ett meddelande i stället för t.ex. telefonnummer eller e-post- adress kommer adressen däremot att lagras. Ip-adressen eller mot- svarande uppgift kommer också indirekt att lagras när internet- åtkomst krävs för kommunikationen (se nedan).

Uppgift om vilken tjänst som använts, tid för på- och avloggning i tjänsten samt uppgift om utrustning där kommunikationen vid ip- telefoni slutligt avskiljs (se dock avsnitt 12.6.4) ska inte längre omfattas av lagringsskyldigheten enligt förslaget.

217

Överväganden

SOU 2017:75

Lokaliseringsuppgifter ska fortfarande lagras vid ett samtals början och slut. Men precis som tidigare ska inga andra lokaliserings- uppgifter lagras.

För förbetalda anonyma tjänster (oregistrerade kontantkort) ska uppgifter för första aktivering fortfarande lagras.

Lagringsskyldigheten ska fortfarande omfatta misslyckade upp- ringningar, t.ex. obesvarade samtal – men inte samtal som inte kopp- las fram.6

Internetåtkomst

För internetåtkomst föreslår utredningen att lagringsskyldigheten ska omfatta uppgifter som gör det möjligt att identifiera abonnenten eller den registrerade användaren. Därmed ska det lagras ip-adress och annan teknisk uppgift som är nödvändig för att identifiera abonnenten eller den registrerade användaren, tidsuppgifter för på- och avloggning i tjänsten som ger internetåtkomst, uppgifter om abonnent och registrerad användare samt uppgifter som identifierar utrustningen där kommunikationen slutligt avskiljs. Det ska där- emot inte längre finnas någon skyldighet att lagra uppgifter om anslutningskapacitet.

12.6.2Bara uppgifter som är strängt nödvändiga

Lagringsskyldigheten kan inte begränsas till en viss personkrets, eftersom det är strängt nödvändigt att alla abonnenters och registrerade användares uppgifter omfattas av denna skyldighet (avsnitt 12.5.1). Däremot borde en differentiering kunna göras utifrån användar- kategori, t.ex. användare med anonyma abonnemang eller utrustning med mobil nätanslutningspunkt, om en sådan begränsning bedöms som meningsfull och proportionerlig. Dessutom måste lagringen begränsas till de trafik- och lokaliseringsuppgifter som de brotts- bekämpande myndigheterna verkligen behöver, har nytta av och som inte kan fås på lämpligare sätt. En proportionerlig och strängt nöd- vändig lagring kan således som utgångspunkt inte omfatta sådana

6 En mer utförlig beskrivning av skillnaderna mellan misslyckade uppringningar och samtal som inte kopplas fram finns i SOU 2007:76 s. 159–160.

218

SOU 2017:75

Överväganden

kategorier av uppgifter som sällan eller aldrig inhämtas i brotts- bekämpande syfte. Den kan inte heller omfatta uppgifter som med samma resultat kan inhämtas genom rimliga åtgärder som innebär ett mindre integritetsintrång. Vidare kan den inte omfatta uppgifter för vilken nyttan är liten. Denna bedömning är även i enlighet med Artikel 29-gruppens tolkning av direktivet.7 Även för abonnemangs- uppgifter krävs att lagringen av uppgifterna är strängt nödvändig och proportionerlig i ett demokratiskt samhälle (artikel 8 i Europa- konventionen, artiklarna 8 och 52.1 i rättighetsstadgan, Tele2-domen p. 96 samt EU-domstolens yttrande 1/15 den 26 juli 2017 p. 122–124; se även avsnitt 12.9 för ett utförligare resonemang.

Vid bedömningen av vilka uppgifter som är strängt nödvändiga att lagra måste således beaktas behovet och nyttan utifrån bl.a. typ av uppgift, typ av abonnemang och uppgiftens ålder. Samtidigt kan en lagringsskyldighet inte begränsas alltför hårt med beaktande av skyldigheterna att upprätthålla en välfungerande och effektiv brotts- bekämpning (avsnitt 12.3).

Vid en första anblick framstår alla begränsningar som ger möjlighet till alternativa kommunikationssätt, som inte omfattas av lagrings- skyldigheten, som handlingsdirigerande för den brottsbenägne och därmed som olämpliga. Det argumentet har emellertid inte den tyngd som det framstår vid ett första påseende. Redan i dag är lagringen så begränsad att det är möjligt för en person med högt säkerhetsmed- vetande att kommunicera på ett sätt som inte lämnar elektroniska fotspår som omfattas av lagringsskyldigheten. Begränsningar kom- mer därför inte att påverka möjligheterna till att utreda brott där dessa personer är inblandade på samma allvarliga sätt som det synes vid ett första påseende. Emellertid kommer varje begränsning att innebära en viss försämring för brottsbekämpningen, eftersom även den allra mest säkerhetsmedvetne förr eller senare gör misstag och ju färre uppgifter som lagras, desto svårare blir det att upptäcka dessa misstag.

Utredningens förslag till en förändrad lagringsskyldighet redo- visas i det följande.

7 Artikel 29-gruppens uttalande i WP 220 och WP 237.

219

Överväganden

SOU 2017:75

12.6.3Telefonitjänster och meddelandehantering

Utredningens förslag: Lagringsskyldigheten ska endast omfatta kommunikation via en mobil nätanslutningspunkt och avse uppgift om

1.uppringande och uppringt nummer eller motsvarande adress

2.såvitt avser telefonitjänst uppringandes och uppringds abon- nemangsidentitet och utrustningsidentitet

3.uppgifter om abonnent och registrerad användare som uppgifterna i 1 och 2 kan hänföras till

4.datum och spårbar tid då kommunikationen påbörjades och avslutades eller ett meddelande skickades och mottogs

5.såvitt avser telefonitjänst lokaliseringsuppgifter då kom- munikationen påbörjades och avslutades

6.datum, spårbar tid och lokaliseringsuppgifter för den första aktiveringen av en förbetald anonym tjänst.

Även misslyckade uppringningar ska omfattas av lagrings- skyldigheten.

En samlad bestämmelse för telefoni och meddelanden

Utredningen föreslår att bestämmelserna om telefoni-, mobiltele- foni- och ip-telefonitjänst samt meddelandehantering (39–42 §§ FEK) slås samman till en paragraf. Med de begränsningar som före- slås blir regleringen mer lättillgänglig utan en uppdelning.

Endast uppgifter om trafik via en mobil nätanslutningspunkt

Utredningen föreslår att lagringsskyldigheten begränsas till att, såvitt avser telefonitjänst (inklusive ip-telefoni) och meddelandehantering, endast avse kommunikation via en mobil nätanslutningspunkt. Detta gäller oavsett med vilken teknik utrustningen kommunicerar med det allmänna nätet. Således omfattas alltjämt t.ex. ip-telefoni via operatörernas wifi-zoner, men inte via ett privat trådlöst nätverk med fast anslutning till det allmänna nätet. På detta sätt skapas en teknikneutral reglering där lagringen differentieras till att omfatta endast de abonnenter och användare som inhämtningen främst avser.

220

SOU 2017:75

Överväganden

Tidigare analyser av vilka uppgifter som inhämtas vid hemlig övervakning och inhämtning enligt IHL ger vid handen att det nästan uteslutande är uppgifter hänförliga till mobiltelefontrafik som inhämtas.8 Denna bild är enligt de brottsbekämpande myndigheterna alltjämt korrekt, även om det också förekommer inhämtning av uppgifter från det fasta nätet. Det framstår vidare som logiskt att det främst är mobiltelefoner och inte fast telefoni som används i sam- band med grov brottslighet, jfr prop. 2010/11:46 s. 33. Lagring av telefoni- och meddelandeuppgifter hänförliga till annat än tjänster via en mobil nätanslutningspunkt framstår därmed som opropor- tionerlig.

Härtill kommer att en fast telefon typiskt sett används av fler personer än en mobiltelefon, som oftast är personlig. Integritets- intrånget vid lagring av uppgifter hänförliga till mobiltelefoner är därmed fokuserat till en snävare personkrets och det totala integ- ritetsintrånget blir därmed mindre vid varje lagringstillfälle, jfr SOU 2012:44 s. 447 och 518. Även av denna anledning blir en lagringsskyldighet som endast omfattar trafik via en mobil nät- anslutningspunkt mer riktad än den som följer av nuvarande lag- stiftning.

Utredningen vill vara tydlig med att det, som nämnts ovan, inhämtas uppgifter från det fasta nätet och att dessa uppgifter ibland kan vara det enda sättet att komma vidare i det brottsbekämpande arbetet. En begränsning till mobil kommunikation kommer därför att påverka statens möjligheter att bekämpa allvarlig brottslighet i någon mån. Ytterligare en nackdel med begränsningen är att vidare- koppling via det fasta nätet kan användas för att dölja kommuni- kationens mottagare och slutpunkt. Detta kan motverkas genom att uppgift om nummer som samtalet vidarekopplas till lagras. Utred- ningen föreslår emellertid att även denna uppgift tas bort från lagringsskyldigheten. Motiveringen till det går att läsa nedan.

Det ska slutligen betonas att den snabba tekniska utvecklingen kan göra att bedömningen utfaller annorlunda inom en relativt snar framtid. Om t.ex. fast ip-telefoni får en mer framträdande roll inom kommunikation är det möjligt att det blir strängt nödvändigt att låta även den omfattas av lagringsskyldigheten. Man kan även tänka sig motsatt bedömning, t.ex. att den meddelandehantering som om-

8 Se exv. SOU 2015:31 s. 215, 253 och 262 samt SOU 2012:44 s. 389, 447–448, 462 och 514.

221

Överväganden

SOU 2017:75

fattas av lagringsskyldigheten blir så undanträngd av andra med- delandetjänster att det inte längre framstår som strängt nödvändigt att den omfattas av lagringsskyldigheten.

Lagring av nummer, abonnemangsidentitet, abonnent och registrerad användare

Utredningen föreslår att nummer (och för meddelandehantering, även annan adress), uppgifter om abonnent och registrerad använ- dare och vid telefonitjänst abonnemangsidentitet även fortsättnings- vis ska omfattas av lagringsskyldigheten.

Möjligheten för de brottsbekämpande myndigheterna att få reda på vem som har haft kontakt med vem utgör en viktig hörnsten för den brottsbekämpande verksamheten. Samtidigt är uppgifterna täm- ligen integritetskänsliga, eftersom lagring av dem inkräktar på själva kärnan i rätten till en privat kommunikation (även om inte innehållet i kommunikationen framgår och tillgången till uppgifterna är begrän- sad). En lagring som inte omfattar uppgift om vem som kontaktat vem är emellertid utesluten, eftersom det är just den informationen (tillsammans med lokaliseringsuppgifter) som över huvud taget motiverar en lagringsskyldighet. I vart fall uppringande och uppringt nummer måste därför lagras.

Abonnemangsidentitet (i praktiken IMSI-nummer, som finns lagrat på sim-kortet) är ofta nödvändigt för att spåra en användare och kan behövas även om telefonnumret är känt. IMSI-numret är särskilt viktigt när myndigheterna ska inhämta uppgifter från en s.k. virituell mobiloperatör (en som inte äger några egna kommuni- kationsnät), eftersom IMSI-numret i dessa fall kan vara den enda sökvägen för att få tillgång till relevanta trafik-, lokaliserings- och abonnemangsuppgifter, SOU 2015:13 s. 163–164. Uppgift om abonnemangsidentitet gör det också möjligt att spåra användare som behållit sitt sim-kort men bytt telefonnummer, vilket emellertid inte torde vara särskilt vanligt förekommande. Det är av dessa anled- ningar nödvändigt att fortsätta lagra uppgift om abonnemangs- identitet vid telefonitjänst.

Även om andra adresser än telefonnummer kan användas vid kommunikation genom telefonitjänster bör lagringskravet inte utvidgas till att avse även sådana adresser (SOU 2007:76 s. 303 och

222

SOU 2017:75

Överväganden

prop. 2010/11:46 s. 29–30). Sådana andra adresser ska dock fort- farande lagras vid meddelandehantering.

Abonnemangsuppgifter, dvs. uppgifter om uppringande och upp- ringd abonnent och registrerad användare omfattas inte av Tele2- domen (avsnitt 12.2). Som tidigare nämnts krävs ändå att det är strängt nödvändigt att lagra uppgifterna, för att lagringsskyldigheten ska vara proportionerlig och förenlig med EU-rätten. Uppgifterna får även anses ha viss integritetskänslighet, i synnerhet när de lagras tillsammans med trafik- och lokaliseringsuppgifter, eftersom de utgör en länk mellan sådana uppgifter och en fysisk person. Det är också just denna egenskap som utgör den stora nyttan med upp- gifterna. Nyttan av lagringen i övrigt blir alltså betydligt mindre om inte abonnemangsuppgifter lagras, eftersom möjligheten att sam- manbinda en uppgift med en person då kraftigt begränsas. Uppgif- terna är även viktiga vid bekämpning av brott som begås genom elek- tronisk kommunikation, t.ex. hot över telefon, upprepade trakasse- rier och överträdelse av kontaktförbud. Det är av båda dessa anled- ningar strängt nödvändigt att uppgifter om abonnent och registrerad användare omfattas av lagringsskyldigheten.

Lagring av tidsuppgifter

Utredningen föreslår att uppgift om vid vilken tid kommunikationen påbörjades och avslutades fortfarande ska omfattas av lagrings- skyldigheten.

Information om vid vilken tidpunkt kommunikationen på- börjades är nödvändig bl.a. för att kunna knyta kommunikations- uppgifter till en gärning och för att kunna göra analyser inför spaningsåtgärder. Utan tidsinformation blir uppgiften om att kom- munikationen ägt rum betydligt mindre värdefull. Utifrån ett inte- gritetsperspektiv torde dessutom uppgiften om vem som kontaktat vem vara betydligt känsligare än informationen om vid vilken tid det skedde, även om också den informationen kan vara skyddsvärd. Den extra nytta som tidsuppgifter tillför övriga och mer känsliga kom- munikationsuppgifter är enligt utredningens bedömning så stor att en lagring av uppgifterna gör lagringen i sin helhet mer propor- tionerlig.

223

Överväganden

SOU 2017:75

Tid för när ett samtal ägde rum eller när ett meddelande skickades eller mottogs måste också lagras i någon form för att operatören ska veta när lagringstiden gått ut.

Ett sätt att begränsa lagringsskyldigheten skulle kunna vara att endast lagra tidpunkt för när kommunikationen påbörjades (men inte när den avslutades eller när ett meddelande mottogs). Även information om när kommunikationen avslutades (och därmed samtalets längd) är emellertid ofta mycket användbar och i vissa fall till och med avgörande. Den informationen gör det nämligen möjligt att kartlägga kommunikationsmönster och på så sätt bedöma när avvikelser sker. Den används också för att dra slutsatser om relationen mellan en person och den som han eller hon samtalar med. Vidare kan man genom samtalslängd filtrera fram intressanta nummer ur en omfattande samtalslista. Ytterligare ett sätt att använda upp- gifterna är för att avläsa mer komplexa kommunikationssätt som t.ex. används mellan en underrättelseofficer och en agent. Sådan kom- munikation sker inte sällan genom kodspråk; samtal av en viss förutbestämd längd kan i sig vara en informationsbärare, liksom förekomsten av ett visst antal korta respektive långa samtal per dag.

Tidsuppgift för samtalets slut bidrar också till förståelsen av den korresponderande lokaliseringsuppgiften (se nedan). Genom att både tidpunkt och lokalisering sparas vid kommunikationens början och slut blir det möjligt att dra slutsatser om i vilken riktning och fart som en gärningsman har färdats. Sådana uppgifter är extremt viktiga vid människorov men kan även vara avgörande vid andra situationer för att t.ex. hitta gärningsmän, övergivna fordon eller en skadad eller död målsägande. Uppgifterna kan även användas som kontrollinformation vid förhör eller för att dra andra slutsatser om t.ex. färdvägar och mötesplatser.

I sammanhanget kan noteras att tidsuppgifter ibland kan erhållas på andra sätt, exempelvis genom beslag av en mobiltelefon, men det förutsätter att samtals- och meddelandehistoriken finns sparad i telefonen. Det är också långt ifrån alltid som man kan beslagta en telefon, i synnerhet när det gäller underrättelseverksamhet. Som framgår av exempel i avsnitt 7.1 förekommer det dessutom att samtalshistorik raderas eller manipuleras i bevisförstörande syfte. Uppgifterna i en mobiltelefon kan även vara oriktiga av andra anled- ningar, t.ex. tekniska fel. Härutöver är det inte säkert att polisen, även om en mobiltelefon har tagits i beslag, kan komma åt uppgif-

224

SOU 2017:75

Överväganden

terna eftersom telefoner ofta är krypterade och lösenordsskyddade. Möjligheten att få uppgifter på annat sätt är således begränsad och de brottsbekämpande myndigheternas behov av uppgifterna bedöms därför som stort.

Lagring av uppgift om när ett samtal avslutades utgör ett något ökat integritetsintrång gentemot att endast lagra tidpunkt för sam- talets början. Det beror just på de ytterligare slutsatser som kan dras om t.ex. relation till samtalspartnern och den extra nytta som upp- gifterna tillför lokaliseringsuppgifter.

Tidpunkt för när ett meddelande mottogs framstår inte som en lika viktig uppgift för brottsbekämpningen som informationen om när ett samtal avslutades. Den uppgiften kan nämligen inte ge någon uppfattning om relation eller bidra till att förbättra förståelsen för någon lokaliseringsuppgift (uppgift om lokalisering vid meddelanden omfattas inte av lagringsskyldigheten, varken enligt nuvarande lag- stiftning eller med utredningens förslag). I de allra flesta fall mottas också meddelanden i mycket nära anslutning till att de skickades, i vart fall såvitt avser sms. Att ta bort uppgift om när ett meddelande mottogs framstår emellertid som problematiskt eftersom mot- svarande tidsuppgift ändå måste sparas för att den mottagande operatören ska kunna veta när uppgiften ska raderas. Därutöver ger uppgiften viss annan nytta. Den kan nämligen förklara varför en persons aktivitet inleddes vid en specifik tid (vid mottagandet av meddelandet) eller motsatt: varför personen inte reagerade i sam- band med att ett visst meddelande skickades. Särskilt i förhörssitua- tioner kan det vara en fördel för förhörsledaren (och den miss- tänkte) om det med objektiva uppgifter går att visa när ett visst med- delande mottogs. Uppgift om när ett meddelande mottogs är också av intresse i mer extrema situationer, som dock är mycket angelägna att kunna reda ut, t.ex. vid bomber som fjärrutlösts via sms. Uppgift om vid vilken tidpunkt som ett meddelande mottogs kan inte i sig anses utgöra något större ökat integritetsintrång, om uppgift att meddelandet mottagits ändå lagras.

Sammantaget har det framkommit att såväl nytta som behov av att lagra tidsuppgift, även vid kommunikationens slut, i många fall är mycket betydande. Uppgifterna bidrar även till att öka nyttan av lagringen av andra uppgifter. De används i princip vid varje analys av uppgifter från elektronisk kommunikation. Det ytterligare ingrepp i en persons integritet som följer av att det även lagras information

225

Överväganden

SOU 2017:75

om vid vilken tid ett samtal avslutades och i synnerhet när ett med- delande mottogs bedöms inte som stort. Sammantaget är det strängt nödvändigt att lagra uppgifterna. De bör därför fortfarande omfattas av lagringsskyldigheten.

Lagring av uppgift om utrustningsidentitet

Utredningen föreslår att uppgift om utrustningsidentitet fortfarande ska lagras för telefoni men inte för meddelanden.

Uppgift om utrustningsidentitet utgör, liksom många andra trafikuppgifter, en länk i kedjan som binder samman en persons elek- troniska fotspår.

Vissa brottslingar byter ofta sim-kort i sin telefon för att försvåra för de brottsbekämpande myndigheterna. Genom att lagra uppgift om telefonens identitet (t.ex. IMEI-nummer) vid kommunikation blir det möjligt att länka samman olika sim-kort som använts. Oavsett vilket av sim-korten som använts kommer nämligen numret för telefonens identitet att vara detsamma.

En stor del av de relevanta inhämtade uppgifterna hänför sig till oregistrerade kontantkort (förbetalda anonyma tjänster), SOU 2012:44 s. 447. I vart fall blir det allt vanligare bland gärningsmän som begår planerade brott att använda sådana anonyma abonnemang och det blir allt vanligare att kriminella förser sig med ett stort antal kon- tantkort, SOU 2015:31 s. 164–165. Dessa omständigheter talar för att uppgift om utrustningsidentitet är viktig att lagra men att lag- ringsskyldigheten skulle kunna begränsas till att bara omfatta upp- gifter hänförliga till dessa abonnemangstyper. Man skulle även kunna argumentera för att integritetsintrånget är mindre vid lagring av uppgifter för oregistrerade kontantkort, just eftersom de är anony- ma. Detta skulle sammantaget även kunna anföras som skäl för att lagringsskyldigheten i sin helhet endast ska gälla oregistrerade kon- tantkort. En sådan begränsning skulle emellertid leda till att en oförsvarligt stor mängd relevant data skulle gå förlorad och framstår därmed som alltför kraftig. Även om byte av sim-kort i syfte att försvåra för brottsbekämpningen i och för sig huvudsakligen lär avse anonyma kontantkort, begås en stor del av de grova brotten inte av personer med hög säkerhetsförmåga och föregås inte av noggrann planering. De brottsbekämpande myndigheterna har även uppgett

226

SOU 2017:75

Överväganden

att ett vanligt misstag som görs av kriminella är att kontantkortet sätts in i en telefon som annars används med ett registrerat abonne- mang. Det förekommer dels att kriminella har två sim-kort som används i en och samma telefon, ett sim-kort för sociala ändamål och ett för kriminella, dels att sim-kort som vanligtvis används i en särskild telefon flyttas till en ”abonnemangstelefon”, t.ex. på grund av batteribrist.

Därutöver används utrustningsnumret även för andra syften än att koppla samman abonnemang på nyss nämnda sätt. Ett exempel är att länka samman en MAC-adress med trafikuppgifter. MAC- adressen är ett unikt identifikationsnummer på nätverkskortet och används bl.a. när utrustningen (telefonen i detta exempel) kom- municerar med ett lokalt nätverk, t.ex. en trådlös router (wifi). MAC-adress och IMEI-nummer (telefonens utrustningsidentitet för mobilnätet) kan kopplas samman med hjälp av uppgifter från till- verkare, försäljare eller leverantörer av mobilappar. Lagras IMEI- numret eller annat utrustningsnummer utgör det således en vägvisare till rätt kommunikationsuppgifter. På detta sätt har flera misstänkta gärningsmän kunnat identifieras av de brottsbekämpande myndig- heterna. Lagring av uppgiften innebär alltså att nyttan av övriga lagrade uppgifter i vissa fall ökar.

Ytterligare en nytta med att känna till utrustningsidentitet är att det talar om vilken typ av utrustning som använts, såsom att det är en telefon av visst varumärke och modell. Det leder till flera fördelar, t.ex. att rätt utrustning tas i beslag och att det vid spaning blir lättare att identifiera användaren.

Enligt uppgift från de brottsbekämpande myndigheterna används information om utrustningsidentitet också i stor utsträckning i samband med att myndigheterna bistår andra länder i utredningar om t.ex. internationell terrorism.

Det kan också noteras att utrustningsnummer kan vara av stor vikt för att kunna verkställa hemlig dataavläsning, som det för när- varande utreds om det ska införas (dir. 2016:36). Den omständig- heten får emellertid i nuläget inte någon inverkan på bedömningen av om uppgiften bör omfattas av lagringsskyldigheten eller inte.

Utrustningsidentitet utgör för de flesta människor en inte särskilt integritetskänslig uppgift. Numret kan som nämnts vara ett insteg till andra uppgifter men i sig ger den i princip endast information om varumärke och modell på utrustningen som används.

227

Överväganden

SOU 2017:75

Sammantaget framstår det som strängt nödvändigt att uppgift om utrustningsidentitet vid telefonitjänst alltjämt omfattas av lagrings- skyldigheten för alla slags abonnemang som använder en mobil nätanslutning.

Enligt dagens lagstiftning ska inte utrustningsidentitet lagras vid meddelandehantering. Utredningen har svårt att se några bärande skäl för denna skillnad. Det finns två huvudargument för att låta lagringsskyldigheten för denna uppgift även omfatta meddelanden: dels blir bestämmelsen teknikneutral, dels tycks en stor del av de relevanta uppgifterna som inhämtas avse sms. Att på detta sätt utöka lagringsskyldigheten kan emellertid inte anses ligga i linje med det krav på begränsning som EU-rätten ställer. Utredningen föreslår därför inte någon sådan utökning.9

Lagring av lokaliseringsuppgifter

Utredningen föreslår att lokaliseringsuppgifter vid kommunika- tionens början och slut fortfarande ska lagras vid telefonitjänst men inte vid meddelandehantering.

Lokaliseringsuppgifter är nödvändiga för att kunna analysera såväl kända som okända gärningsmäns rörelsemönster. Det är också ett sätt att bekräfta andra källors uppgifter. Kartläggningen av miss- tänktas rörelser före, under och efter ett allvarligt brott gör att brottsutredarna kan få information om bl.a. förberedelser och flykt- vägar och hur andra tvångsmedel kan användas, t.ex. var spaning eller husrannsakan ska genomföras. Lokaliseringsuppgifter används även för att bedöma om den misstänkte har haft möjlighet att utföra gärningen och om personen befunnit sig på andra platser som kan kopplas till brottet, t.ex. där en flyktbil stals eller ett vapen inhand- lades, eller till någon person av speciellt intresse. Genom att se på vilka platser en okänd innehavare av en telefon har kommunicerat är det också möjligt att med hjälp av t.ex. bilder från övervaknings- kameror på dessa platser identifiera innehavaren. Utredningen bedömer det redan av dessa anledningar som strängt nödvändigt att

9 Se motsvarande resonemang för lokaliseringsuppgifter nedan. Samma skillnad finns också för abonnemangsidentitet.

228

SOU 2017:75

Överväganden

lagringsskyldigheten även fortsättningsvis ska omfatta lokaliserings- uppgifter av något slag.

Lokaliseringsuppgifter är även viktiga för att få reda på vilka mobiltelefoner som har varit på en viss plats, t.ex. där ett lik har hittats. Denna information kan fås genom basstationstömningar (avsnitt 6.2.3). Som beskrivs i avsnitt 6.2.1 och 12.8.6 får alla till- gängliga lokaliseringsuppgifter begäras in från operatören, inte bara dem som lagras för brottsbekämpande ändamål. Av vad som fram- kommit är det trots det i princip uteslutande de uppgifter som om- fattats av lagringsskyldigheten som myndigheterna får tillgång till vid en basstationstömning (möjligen med undantag för lokaliserings- uppgifter vid sms). Ett rimligt antagande är därför att andra lokali- seringsuppgifter förstörs relativt omgående efter att de genererats. Dessutom är det inte alltid ett brott upptäcks direkt efter att det har begåtts och det kan först senare i utredningen bli intressant att få information hänförlig till en viss plats. Det finns därför även av denna anledning skäl att låta lagringsskyldigheten fortsatt omfatta lokaliseringsuppgifter.

Ytterligare ett sätt att använda lokaliseringsuppgifter är för att identifiera en person som är inblandad i brottslig verksamhet (eller egentligen dennes telefon). Vet man t.ex. att en misstänkt eller en gärningsman använt sin mobiltelefon vid vissa tidpunkter på en eller flera specifika platser kan man samköra listor från basstations- tömningar och på så sätt få fram intressanta telefon- eller utrust- ningsnummer. Ju fler uppgifter som finns, desto träffsäkrare blir analysen.

Den kanske största nyttan av lokaliseringsuppgifter är att trafik- uppgifterna blir mer begripliga. Lokaliseringsuppgifter vid kom- munikation utgör därmed en mycket viktig pusselbit vid analysen av en misstänkts eller en målsägandes kommunikation; en uppgift om att A ringt B är betydligt mindre värd än en uppgift om att A ringde B just när A var på en specifik plats och B på en annan sådan plats. Det kan alltså sägas att lokaliseringsuppgifter bidrar till att öka nyttan av övriga trafikuppgifter och gör lagringen av dessa uppgifter mer proportionerlig. Det behöver knappast sägas att det därutöver i sig självt är av synnerligen stort intresse att få information om kommunikation som skett i anslutning till en känd brottsplats och brottstidpunkt, vilket uppenbarligen kräver att positionen för kom- munikationen är lagrad. De lokaliseringsuppgifter som ska omfattas

229

Överväganden

SOU 2017:75

av lagringsskyldigheten bör sammanfattningsvis fortsatt vara kopp- lade till kommunikation.

När det gäller skyldighet att lagra lokaliseringsuppgifter vid sam- talets avslut bör följande beaktas. Nyttan av att lagra position både när kommunikationen påbörjas och avslutas utgör även det en viktig beståndsdel i analysen för att upptäcka, utreda och beivra allvarlig brottslighet. Information om att en person avslutar ett samtal just när han eller hon kommit till en specifik plats kan ha stor betydelse och t.ex. ge indikationer om intressanta platser och ge upphov till spaningsuppslag. Ett samtal kan t.ex. avslutas när två personer möts, när någon kommit hem eller till arbetet eller när en person nått fram till den plats som samtalspartnern gett en vägbeskrivning till. Därtill gör två positioner kopplade till samma samtal det möjligt att få fram en riktning i vilken personen har rört sig, vilket gör det enklare att spåra personen. Tillsammans med tidsuppgifter kan man också upp- skatta hastighet och därmed bedöma om personen använt sig av ett fordon och i hur stort område personen kan ha rört sig. Vidare bidrar fler lokaliseringsuppgifter till att analysen av vardagsmönster blir mer pricksäker. Det gör både att nyttan blir större för de brotts- bekämpande myndigheterna i såväl underrättelse- som förunder- sökningsverksamheten men även att uppgifterna blir mer integritets- känsliga.

I sammanhanget ska noteras att ett genomsnittligt samtal för en privatperson från mobiltelefon är omkring tre minuter långt (avsnitt 7.3.1). Det ska också nämnas att en begränsning till att bara lagra uppgift om position vid samtalets början redan finns i andra länder och att datalagringsdirektivet endast föreskrev en sådan lagring (artikel 5.1 f) 1). Utredningen bedömer också att lokaliserings- uppgifter generellt sett är tämligen integritetskänsliga. Som EU- domstolen nämner i Tele2-domen, kan man dra mycket precisa slutsatser om privatlivet för de personer vars uppgifter lagras. Sam- tidigt används informationen vid i princip varje analys av elek- troniska kommunikationsuppgifter. Just att man kan dra mycket precisa slutsatser gör att lokaliseringsuppgifter utgör ett välanvänt och extremt värdefullt verktyg, inte minst i underrättelseverksam- heten. Som nämnts följer många fördelar av att mer än en position sparas vid varje samtal.

Vid en sammantagen bedömning finner utredningen att det är strängt nödvändigt att uppgifterna sparas och föreslår därför att lag-

230

SOU 2017:75

Överväganden

ringsskyldigheten alltjämt ska omfatta uppgift om lokalisering vid samtalets början och slut. Det är dock viktigt att lagringstiden anpassas till uppgifternas höga integritetskänslighet (avsnitt 12.7.2).

Enligt den nuvarande lagstiftningen ska inte några lokaliserings- uppgifter lagras vid meddelandehantering. Av vad som framkommit finns det för de brottsbekämpande myndigheterna ett minst lika stort behov av att få del av uppgifter om lokalisering vid meddelande- hantering som vid telefoni; det är t.ex. vanligt att sms används som det enda kommunikationssättet mellan gärningsmän vid allvarlig brottslig verksamhet. Det skulle därför kunna argumenteras för att även lokaliseringsuppgift vid meddelandehantering borde omfattas av lagringsskyldigheten, dels för att en mycket stor mängd relevanta uppgifter annars går om intet, dels för att bestämmelsen blir mer teknikneutral.10 Det synes också ha varit lagstiftarens avsikt, efter- som begränsningen till telefonitjänst endast finns i FEK; lokali- seringsuppgifter får nämligen lagras enligt LEK. Ytterligare ett argument för att införa en sådan skyldighet är att uppgifterna kan ge mervärde åt andra lagrade uppgifter, vilket i sin tur kan göra den övriga lagringen mer proportionerlig. En förutsättning för att en lagringsskyldighet alls ska vara förenlig med EU-rätten är emellertid att färre uppgifter lagras. I linje härmed föreslår utredningen inte att lokaliseringsuppgifter vid meddelandetjänst ska omfattas av lagrings- förslaget. Ett förändrat kommunikationsmönster kan dock framöver leda till att det blir strängt nödvändigt att lagra lokaliseringsuppgifter även vid meddelandehantering, jfr även de trender om meddelande- hantering som beskrivs i avsnitt 7.3.1.

Uppgift om ip-adress ska inte lagras

Utredningen föreslår att ip-adress inte ska omfattas av lagrings- skyldigheten för telefonitjänst och meddelandehantering.

Vid ip-telefoni ska det enligt dagens lagstiftning lagras upp- ringande och uppringds ip-adresser. Motsvarande gäller vid med- delandehantering. De brottsbekämpande myndigheterna har värderat denna information högt och man kan se exempel där informationen varit till nytta.

10 Se motsvarande resonemang för uppgift om utrustningsidentitet ovan.

231

Överväganden

SOU 2017:75

Ip-adresser utgör en länk mellan å ena sidan internetanvändande och å andra sidan telefoni och meddelandehantering. Eftersom ip- adress kan användas vid samtliga dessa tjänster kan ett spår från internetanvändning därför användas för att hitta rätt kommuni- kationsuppgifter, om ip-adressen finns sparad. En ip-adress kan också ge en uppfattning om positionen för den som kommunicerar.

I relation till andra uppgifter är det dock svårt att se att det är strängt nödvändigt att uppgift om ip-adress ska omfattas av lagrings- skyldigheten. Behovet av att använda ip-adress för att länka samman internetanvändning med uppgifter om samtal och meddelanden minskar dessutom med utredningens förslag om en mer teknik- neutral reglering för lagring vid internetåtkomst, avsnitt 12.6.4. Den regleringen kommer att leda till att det oftare går att identifiera abonnenten bakom en ip-adress. Därtill har ip-adresser i vissa fall ett skyddsvärde, eftersom de kan utgöra en nyckel till en persons inter- netanvändning (under förutsättning att information om hur ip- adressen trafikerat internet finns tillgänglig). Sammantaget får därför uppgiften ge vika för att kunna möjliggöra en proportionerlig lagringsskyldighet för högre prioriterade uppgifter.

Om ip-adressen har använts som adress för att skicka ett med- delande, dvs. angetts av användaren i stället för t.ex. ett telefonnum- mer (något som, om det alls förekommer, torde vara ovanligt), så ska den däremot lagras.

Uppgifter om tjänst som använts samt datum och spårbar tid för på- och avloggning i tjänsten ska inte lagras

Utredningen föreslår att uppgifter om den eller de tjänster som har använts samt datum och spårbar tid för på- och avloggning i de tjänsterna tas bort från lagringsskyldigheten.

Värdet av att få information om använd tjänst värderas generellt lågt i förhållande till andra uppgifter, av de brottsbekämpande myndig- heterna.

Uppgifterna kan bidra till förståelsen vid analys av kommuni- kationsmönster och det kan ibland vara avgörande att veta om kom- munikationen utgjordes av t.ex. sms, mms eller videosamtal eller om samtalet vidarekopplades till röstbrevlådan. Uppgifterna är således nyttiga men sällan av mycket stor vikt.

232

SOU 2017:75

Överväganden

Det har framförts att uppgift om vilken typ av tjänst som använts kan vara bra att ha för att veta om det t.ex. är ett meddelande som har skickats och myndigheten därmed kan begära tillstånd att få del av innehållet i meddelandet genom hemlig avlyssning. För det fall innehållet i ett meddelande fortfarande finns sparat hos operatören lär emellertid även uppgiften om tjänst göra det. Motsvarande torde gälla vidarekoppling till röstbrevlåda. Argumentet ter sig därför inte övertygande.

Även om uppgift om tjänst får anses ha en relativt låg integritets- känslighet är utredningens sammantagna bedömning att en lagring av uppgiften inte är strängt nödvändig. Utredningen föreslår därför att uppgiften tas bort från lagringsskyldigheten.

Vad gäller datum och spårbar tid för på- och avloggning i den eller de tjänster som använts är det svårare att konkretisera nyttan av uppgiften. Ett exempel som dock framförts är s.k. dead drop. Om t.ex. en underrättelseofficier och en agent vill utbyta information med varandra kan de skriva e-postmeddelanden och spara dem som utkast, men välja att inte skicka dem. Om den andre har tillgång till inloggningsuppgifterna kan han eller hon därefter logga in på samma konto och läsa utkastet. På så sätt lämnas färre elektroniska spår. Uppgift om på- och avloggning i e-posttjänsten, i kombination med uppgift om ip-adress, gör det därför möjligt att enklare upptäcka detta upplägg och identifiera författare och läsare av den hemliga informationen. Eftersom uppgift om såväl ip-adress som använd tjänst tas bort från lagringsskyldigheten utgör denna nytta inte ett bärande skäl att behålla lagringen av uppgiften. Därtill får det antas att den som planerar ett sådant relativt sofistikerat kommunikationssätt inte använder sig av en operatörs e-posttjänst utan en i samman- hanget anonymare tjänst, tillhandahållen av andra aktörer på internet.

Nummer som samtalet styrs till ska inte lagras

Utredningen föreslår att nummer som samtalet styrs till tas bort från lagringsskyldigheten.

Vad gäller vidarekopplade samtal har det inte framkommit något omfattande behov av att veta vilket nummer som samtalet styrts till. Det har t.ex. inte framkommit något stöd för att vidarekoppling är

233

Överväganden

SOU 2017:75

särskilt vanligt förekommande. Däremot står det klart att uppgiften i vissa fall kan bidra till stor nytta för brottsbekämpningen.

Det får inledningsvis antas att den som initierat kommuni- kationen vanligtvis vill ha kontakt med den som använder det upp- ringda numret. I normalfallet vid vidarekoppling styrs troligen också samtalet vidare till något annat nummer som tillhör samma använ- dare. Nyttan av att få information om det nummer som samtalet styrts till gör sig därför främst gällande om samtalet omstyrts i syfte att försvåra för de brottsbekämpande myndigheterna. Som nämnts ovan, skulle det t.ex. kunna vara möjligt att ”tvätta” ett nummer via det fasta nätet, för att på så sätt dölja kommunikationen. Det ska emellertid noteras att personer med ett högt säkerhetsmedvetande har möjlighet att kommunicera på andra och mindre komplicerade sätt, som inte lämnar sådana elektroniska spår som ska lagras.

Ytterligare ett exempel på uppgiftens nytta utgörs av att den kan användas för avkodning av mer sofistikerade kommunikationssätt. Tidigare i detta avsnitt har det redogjorts för hur förutbestämd information kan kommuniceras genom samtalsmönster. Vidare- koppling kan också vara del av den informationen.

Om vidarekoppling görs till någon annan persons telefonnummer kan det ge en antydan om att personerna har en nära relation. Görs det till ett eget nummer, som inte är registrerat i personens namn, utgör vidarekoppling en länk till ytterligare uppgifter om personen. Det kan också vara intressant för den brottsbekämpande myndig- heten att veta om samtalet styrts till röstbrevlådan, eftersom det då kan finnas meddelanden som myndigheten kan söka tillstånd att få del av.

Uppgiftens integritetskänslighet är beroende av till vilket nummer som samtalet kopplas till. En vidarekoppling till ett registrerat num- mer för samma person eller till röstbrevlådan är i normalfallet inte en särskilt integritetskänslig uppgift medan en uppgift om en vidare- koppling till en annan persons nummer normalt måste bedömas som något mer känslig.

Vid en sammantagen bedömning kan det inte bedömas vara strängt nödvändigt att lagra uppgift om vidarekoppling. Även om den bidrar till viss nytta, finns det flera uppgifter som är betydligt viktigare att lagra. Det saknas därför tillräckliga skäl att låta uppgifter om det nummer som samtalet styrs till omfattas av lagringsskyldigheten.

234

SOU 2017:75

Överväganden

Uppgift om utrustning där kommunikationen avskiljs ska inte lagras

Utredningen föreslår att uppgift som identifierar den utrustning där kommunikationen slutligt avskiljs inte ska omfattas av lagrings- skyldigheten för telefonitjänst och meddelandehantering.

Uppgift som identifierar den utrustning där kommunikationen slutligt avskiljs från den lagringsskyldige ska enligt dagens lag- stiftning lagras vid ip-telefoni. Vid fast telefoni kan denna utrustning vara t.ex. ett telefonjack eller ett fibermodem, medan det vid mobil ip-telefoni ofta är en cell i en basstation (mobilmast), men den kan även vara en router, om det är ett allmänt trådlöst nätverk. Uppgiften används bl.a. för att ge information om var utrustningen geografiskt finns och har av de brottsbekämpande myndigheterna bedömts som oerhört viktig för att kunna lokalisera den plats varifrån någon kommunicerar.

Den nytta som uppgiften genererar torde kunna erhållas på annat sätt. Samma uppgift genereras och lagras nämligen vid internet- åtkomst, låt vara att det kan vara vid en annan tidpunkt än när ip- telefonisamtalet ringdes. Eftersom lokaliseringsuppgifter, vid kom- munikation från en mobil nätanslutningspunkt, ska lagras vid sam- talets början och slut kan lokaliseringsuppgift även fås på detta sätt.

Även om uppgifterna kan ge stor nytta är behovet av att lagra dem inte påtagligt. Redan av denna anledning framstår en skyldighet att lagra uppgiften inte som proportionerlig. Sammantaget bör uppgiften inte omfattas av lagringsskyldigheten.

Lagring av misslyckade uppringningar

Utredningen föreslår att misslyckade uppringningar (obesvarade samtal) fortfarande ska omfattas av lagringsskyldigheten, men inte samtal som inte kopplats fram.

Enligt nuvarande lagstiftning ska även obesvarade samtal omfattas av lagringsskyldigheten. Dessa samtal ska inte blandas ihop med sådana som över huvud taget inte kopplats fram, t.ex. på grund av tekniskt fel. Dessa omfattas inte av lagringsskyldigheten enligt dagens lagstiftning.

Lagringsskyldigheten bör inte vara beroende av om den upp- ringda parten svarar eller inte. Ett försök att kontakta någon kan

235

Överväganden

SOU 2017:75

betyda lika mycket som att personerna har haft kontakt med varandra. Obesvarade samtal används dessutom för att meddela medgärningsmän förutbestämd information, t.ex. att en målsägande är på plats eller att gärningen eller en förberedelse är utförd SOU 2007:76 s. 159. På liknande sätt kan de användas som koder mellan en underrättelseofficier och en agent. Det bedöms därför som strängt nödvändigt att uppgifter från misslyckade uppringningar ska omfattas av lagringsskyldigheten.

Det har inte framkommit något behov av att utöka lagrings- skyldigheten till att även omfatta uppgifter om samtal som på grund av tekniskt fel inte har kopplats fram. Det får dessutom antas att det i de allra flesta fall görs ett nytt försök att initiera samtalet, varvid motsvarande uppgifter kommer att genereras och lagras.

Lagring av uppgifter för första aktiveringen av en förbetald anonym tjänst

Utredningen föreslår att uppgifter för första aktiveringen av en för- betald anonym tjänst fortfarande ska lagras.

Uppgifterna används bl.a. efter basstationstömningar. Som nämnts ovan blir det allt vanligare att brottslingar använder anonyma kontantkort, som aktiveras innan ett grovt brott ska begås. En analys av vilka av de kontantskortsabonnemang som kan kopplas till en gärningsplats och som nyligen har aktiverats kan därför ge en bild av vilka telefoner som är särskilt intressanta. Första aktiveringen kan ge indikationer om inköpsställe eller bostadsort, som i sin tur kan leda till identifiering av innehavaren. Sådana uppgifter kan också användas för att hitta bomber, som kan fjärraktiveras genom elektronisk kommunikation. (SOU 2015:31 s. 164–165)

Dessa uppgifter är inte särskilt integritetskänsliga. De avser anonyma tjänster och avslöjar mycket lite om personens övriga kommunikation, aktiviteter eller privatliv. Även om några av de brottsbekämpande myndigheterna inte har värderat dessa uppgifter särskilt högt i förhållande till andra uppgifter, är det utredningens uppfattning att nyttan med råge överträffar det ringa integritets- intrång som en lagring av uppgifterna innebär. Det har även fram- kommit att uppgifterna ofta används i det inledande skedet av vissa utredningar och när andra spaningsuppslag saknas. Även behovet av

236

SOU 2017:75

Överväganden

uppgifterna framstår därmed som påtagligt. Det bedöms samman- taget som strängt nödvändigt att fortsätta lagra dessa uppgifter.

Uppgifter som tas bort för telefonitjänst och meddelandehantering

Kommunikation som inte går via en mobil nätanslutningspunkt

Fast telefoni (ej ip-telefoni), 39 § FEK

1.uppringande nummer

2.uppringt nummer och nummer som samtalet styrts till

3.uppgifter om uppringande och uppringd abonnent och, i före- kommande fall, registrerad användare

4.datum och spårbar tid då kommunikationen påbörjades och avslutades

5.uppgifter om den eller de tjänster som har använts

Fast ip-telefoni, 39 och 41 §§ FEK

1.uppringande nummer

2.uppringt nummer och nummer som samtalet styrts till

3.uppgifter om uppringande och uppringd abonnent och, i före- kommande fall, registrerad användare

4.datum och spårbar tid då kommunikationen påbörjades och avslutades

5.uppgifter om den eller de tjänster som har använts

6.uppringandes och uppringds ip-adresser

7.datum och spårbar tid för på- och avloggning i den eller de tjänster som använts

8.uppgifter som identifierar den utrustning där kommunikationen slutligt avskiljs från den lagringsskyldige till den enskilda abon- nenten

237

Överväganden

SOU 2017:75

Lagring av ip-adress och uppgifter om abonnent och registrerad användare

Utredningen föreslår att uppgift om ip-adress samt uppgifter om abonnent och registrerad användare fortfarande ska lagras.

Abonnemangsuppgifter omfattas inte av Tele2-domen men väl av skyddet för personuppgifter i såväl Europakonventionen och rättig- hetsstadgan, avsnitt 12.2. En skyldighet att lagra uppgifterna måste därför vara strängt nödvändig för att den ska kunna godtas, avsnitt 12.6.2.

För brott begångna över internet är abonnemangsuppgifterna, dvs. vilken person som innehar en specifik ip-adress eller annan unik användaradress vid varje tillfälle, den absolut viktigaste informa- tionen. Denna information är uppenbart nödvändig för att kunna få fram identiteten på den som över internet t.ex. tillgängliggör barn- pornografi eller upphovsrättsskyddat material, säljer narkotika och vapen, hotar och förtalar, tar kontakt med barn i sexuellt syfte eller gör dataintrång och andra digitala attacker mot privatpersoner, före- tag eller myndigheter. Uppgifterna är också viktiga för att kunna identifiera dem som använder internet för att kommunicera med t.ex. medgärningsmän eller sin underrättelseofficier eller för att rekrytera andra till terrorbejakande organisationer.

I takt med att fler och fler använder internet och användnings- området för internet utökas, ökar också internetbrottsligheten och därmed behovet av verktyg för brottsbekämpningen även på denna arena, se avsnitt 7.3, 12.3 och 12.9 (särskilt hänvisningen till Europa- domstolens mål K.U. mot Finland). Nyttan av uppgifterna är således synnerligen stor. Det saknas i praktiken ofta andra möjligheter att identifiera en aktör på internet på annat sätt än genom uppgift om ip-adress i kombination med andra abonnemangsuppgifter. Även behovet av uppgifterna är således påtagligt.

Abonnemangsuppgifter för internet utgörs i princip av uppgift om vilken abonnent som vid varje tidpunkt var användare av en specifik ip-adress. Dessa uppgifters integritetskänslighet har varit föremål för diskussion. I sig själv är uppgifterna inte särskilt känsliga, eftersom de bara berättar att ett abonnemang någon gång har getts internetåtkomst. Men med hjälp av uppgifterna går det att samman- koppla en fysisk person med de eventuella avtryck som användaren har lämnat efter sig vid besök på webben eller andra delar av internet,

240

SOU 2017:75

Överväganden

vilket gör uppgifterna mer skyddsvärda. Vid bedömningen av känsligheten ska vidare beaktas att det huvudsakligen är dynamiska ip-adresser som används, åtminstone av privatpersoner. Det innebär att en ensam uppgift om vilken abonnent som använt en viss ip- adress bara gör det möjligt att sammankoppla abonnenten med avtryck på internet under en begränsad tid. Ska man kunna följa en abonnents internetanvändning krävs således, förutom tillgång till digitala avtryck, även tillgång till en stor mängd abonnemangsupp- gifter. Det ska också påpekas att inga uppgifter om t.ex. besök på webbsidor eller annat internetanvändande, förutom operatörens egna tjänster för telefoni och meddelandehantering, omfattas av lagrings- skyldigheten, varken enligt dagens lagstiftning eller enligt utred- ningens förslag. Sådana uppgifter är operatörerna i stället skyldiga att förstöra, om de inte behövs för vissa egna ändamål. Tillgång till endast de uppgifter som enligt utredningens förslag ska lagras kan således aldrig innebära att det kan kartläggas hur en person har trafikerat internet.

För att inte helt slå undan de brottsbekämpande myndigheternas möjlighet att bekämpa brott som begåtts eller planlagts över internet är det strängt nödvändigt att ip-adress och uppgifter om abonnent och registrerad användare lagras (se även avsnittet Bestämmelsen blir teknikneutral nedan). Nyttan och behovet av att lagra uppgifterna är så stora att de tydligt uppväger det integritetsintrång som lagringen innebär. Uppgifterna bör således alltjämt omfattas av lagringsskyldig- heten.

Lagring av tidsuppgifter

Utredningen föreslår att datum och spårbar tid för på- och avlogg- ning i tjänsten som ger internetåtkomst ska omfattas av lagrings- skyldigheten.

Uppgifterna har värderats högt av de brottsbekämpande myndig- heterna.

Uppgift om på- och avloggning är ofta avgörande för att kunna spåra rätt internetanvändare, eftersom samma publika ip-adress kan tilldelas olika användare vid olika tidpunkter. Som framgår nedan är emellertid inte alltid ens det tillräckligt för att kunna hitta rätt användare. Om t.ex. polisen genom en leverantör av en chattapp får

241

Överväganden

SOU 2017:75

reda på att en användare med en viss ip-adress vid en viss tidpunkt har kontaktat barn i sexuellt syfte kan polisen, genom att bl.a. ip- adress och tidsuppgift lagras, få information om vilken abonnent som använt ip-adressen vid just den tidpunkten. Detta fungerar även åt motsatt håll. Vet man om att en misstänkt person varit upp- kopplad mot internet en viss tid, kan man ta kontakt med t.ex. en appleverantör och fråga om ip-adressen varit inloggad den aktuella tiden och vilka som den då varit i kontakt med. Det ska dock understrykas att den information som chattjänsten kan bidra med inte omfattas av lagringsskyldigheten. Den här nyttan av uppgifterna gäller förstås inte bara i förhållande till chattjänster och sexualbrott mot barn. Även i andra fall kan det vara viktigt att kunna sam- mankoppla tid för internetåtkomst eller användande av en ip-adress med brottsliga aktiviteter som begåtts över internet.

Precis som vid telefonitjänst och meddelandehantering blir upp- giften om internetåtkomst betydligt mindre nyttig om det inte finns någon tid kopplad till den. Genom tidsuppgiften kan bl.a. kom- munikationsmönster och i viss mån vanor i vardagen analyseras.

I sammanhanget ska emellertid noteras att nyttan, med undan- tag för möjligheten att göra ip-spårningar, begränsas av att många användare i princip har en ständig uppkoppling mot internet. Kom- munikationsutrustningar, såsom en laptop, är ofta uppkopplade mot internet genom en privat router med trådlöst nätverk, som i sin tur är kopplat till ett modem med fast nätanslutning. Tidpunk- ten för när just laptopen kopplade upp sig mot internet kommer då inte att lagras. Vid användning av fast internetanslutning är det således vanskligt att ens indirekt genom uppgifter om på- och av- loggningstid få fram några tidpunkter för när en viss aktivitet på internet ägde rum. Vad gäller datorer och mobiltelefoner som kopplar upp sig direkt mot internet (och inte via ett privat trådlöst nätverk) är internetsessionerna kortare.

För mobil uppkoppling blir tidsuppgifterna särskilt viktiga. Efter- som utrustningen kopplar upp sig direkt mot en cell (mast) lagras en lokaliseringsuppgift vid internetåtkomsten, se avsnittet strax nedan. För att den lokaliseringsuppgiften ska medföra någon större nytta krävs att det finns en tidsuppgift kopplad till den. Det är också nöd- vändigt för att uppgiften ska vara tillgänglig vid en basstationstöm- ning. Då begärs det ut uppgifter om vilka uppkopplingar som gjorts mot en viss cell under en specifik tidsperiod.

242

SOU 2017:75

Överväganden

Vidare måste någon form av tidsuppgift lagras för att operatören ska veta när lagringstiden för uppgiften har gått ut och uppgiften ska förstöras.

Av vad som framkommit är nyttan av tidsuppgifter för på- och avloggning i tjänsten som ger internetåtkomst mycket stor, i syn- nerhet såvitt avser ip-spårning. Utan uppgifter om tid blir den övriga lagringen av uppgifter om internetåtkomst betydligt mindre nyttig. Uppgifterna är sedda för sig själva inte särskilt integritetskänsliga, eftersom de inte ger någon information om hur användaren har brukat internet, utan endast om vilken tid som abonnenten haft internetåtkomst. Den informationen kan visserligen säga något om en persons kommunikationsmönster, men som nämnts ovan är det vanskligt att dra några säkra slutsatser, eftersom internetsessionerna inte behöver korrespondera mot användandet av internet. Därutöver har uppgifterna ett visst skyddsvärde, eftersom de tillsammans med annan information möjliggör att en ip-adress kan sammankopplas med en abonnent. Sammantaget bedömer utredningen uppgifterna som strängt nödvändiga att lagra. Uppgifterna ska därför fortfarande omfattas av lagringsskyldigheten.

Lagring av uppgifter som identifierar utrustning där kommunikationen avskiljs

Utredningen föreslår att uppgifter som identifierar den utrustning där kommunikationen slutligt avskiljs från den lagringsskyldige till den enskilde abonnenten ska omfattas av lagringsskyldigheten. Denna utrustning är den sista punkten som den lagringsskyldige ansvarar för. Om den som slutligt avskiljer kommunikationen till den enskilda abonnenten inte är lagringsskyldig ska det i stället lagras uppgifter som identifierar utrustningen vid den punkt där kommu- nikationen avskiljs till den som slutligt avskiljer kommunikationen till den enskilda abonnenten. Bestämmelsen gäller alltså punkten mellan å ena sidan det sista i kedjan av nät som ägs av någon som omfattas av lagringsskyldigheten och å andra sidan ett nät som inte omfattas av lagringsskyldigheten.

Den utrustning som finns där kommunikationen slutligt avskiljs kan vid fast internetförbindelse vara t.ex. ett fibermodem, ett telefon- jack eller en router. Det lär då oftast vara utrustningens identifierings- nummer, t.ex. MAC-nummer, som lagras. Vid mobil internet-

243

Överväganden

SOU 2017:75

åtkomst torde den sista utrustningen oftast vara en viss cell i en bas- station. Uppgifterna motsvarar då de uppgifter som lagras för loka- lisering vid telefonitjänst (prop. 2010/11:46 s. 33).

Uppgifterna är viktiga för att kunna hitta den geografiska plats som användaren kommunicerar från. Värdet av lokaliseringsupp- gifter har beskrivits i avsnitt 12.6.3. Eftersom det blir allt vanligare med samtals- och meddelandekommunikation genom appar och tjänster från leverantörer som inte omfattas av lagringsskyldigheten (avsnitt 7.3.1) blir uppgifterna hänförliga till internetåtkomst ännu viktigare än tidigare.

Internetåtkomst är inte bara kopplat till webbesök, samtal och meddelanden; fler och fler maskiner och fordon behöver åtkomst till internet (7.3.4). I hemmet är de flesta uppkopplade produkter an- slutna genom samma internetmodem som används för datorer och annan kommunikationsutrustning. De genererar därmed som regel inte några ytterligare uppgifter som lagras. Uppkopplade fordon däremot begär internetåtkomst genom en egen mobil uppkoppling. Vid en mer utbredd användning av internet i fordon skulle det där- med kunna bli möjligt att dra än mer långtgående slutsatser om folks privatliv, om uppgifterna lagras. Det skulle självklart bli till stor nytta för de brottsbekämpande myndigheterna om de kan få tillgång till uppgifter om var ett fordon ansluter till eller kopplar från internet. Men det skulle också innebära ett stort integritetsintrång. Lagringen skulle därigenom kunna bidra till att rörelsefriheten (2 kap. 8 § RF) i praktiken inskränks. Sammanfattningsvis finns det vissa betänklig- heter med att låta dessa uppgifter lagras, om fordon i framtiden kom- mer att använda internet i större omfattning, i vart fall utan någon begränsning.

Uppgifterna används också för att säkra uppgifter om hela kom- munikationskedjan, då främst enligt bestämmelsen i 43 § andra stycket FEK. Det är inte ovanligt att kommunikationskedjan sista del är ett nät som inte omfattas av lagringsskyldigheten, t.ex. en bostadsrättsförenings egna nät. De punkter där kommunikationen avskiljs är viktiga att få information om för att kunna gå till nät- ägaren för att få ytterligare uppgifter som kan leda fram till abonnen- ten. För att bestämmelserna ska bli meningsfulla och oberoende av infra- och bolagsstrukturella lösningar bör lagringsskyldigheten där- för även omfatta uppgifter som identifierar utrustningen där kom- munikationen slutligt avskiljs mellan den lagringsskyldige och den

244

SOU 2017:75

Överväganden

som slutligt avskiljer kommunikationen till den enskilde abonnen- ten, om den senare inte är lagringsskyldig.

Sammanfattningsvis är de nu diskuterade uppgifterna i många fall nödvändiga för att hitta rätt slutanvändare, vilket gör dem viktiga. De är också nyttiga för att de i någon mån gör bestämmelserna om lagring av kommunikation mer teknikneutrala och anpassade till dagens teknik och användning av kommunikationstjänster. Upp- gifterna är således strängt nödvändiga att lagra. Samtidigt innebär uppgifterna, i vart fall vid mobil internetåtkomst, ett relativt stort integritetsintrång, eftersom de i praktiken utgör lokaliseringsupp- gifter. Intrånget är emellertid mindre än vid telefonitjänst och med- delandehantering, eftersom det inte finns någon korresponderande uppgift om t.ex. vem som personen kommunicerat med eller när kommunikationen ägt rum. Vid en sammantagen bedömning är det därför ändå proportionellt att uppgifterna lagras. Det ska emellertid noteras att om användandet av internet i fordon blir mer omfattande och mer utbrett kan det finnas anledning att göra en annan bedöm- ning och införa någon form av begränsning i lagringen.

Kapacitet för överföring av internetåtkomst ska inte lagras

Utredningen föreslår att uppgift om den typ av kapacitet för över- föring som har använts ska tas bort från lagringsskyldigheten.

Information om kapacitet för överföring vid internetåtkomst har i jämförelse med andra uppgifter värderats lägre av de brottsbekäm- pande myndigheterna. Uppgiften har även tidigare bedömts som mindre viktiga men bra att ha vid brottsbekämpning, Ds 2014:23 s. 52 (se dock SOU 2015:31 s. 166–167).

Som skäl för att behålla lagringsskyldigheten för uppgifterna har angetts att uppgifterna ger information om huruvida anslutnings- formen är fast eller mobil, vilket i sig kan ge lokaliseringsinformation och uppgift om vem som är abonnent. Vidare har angetts att upp- giften kan vara av intresse för att verkställa andra hemliga tvångs- medel.

Uppgiften torde främst vara relevant för att enklare kunna identi- fiera rätt anslutning när kommunikationen övergår i ett nät som tillhandahålls av någon som inte är lagringsskyldig, t.ex. ett lokalt nät

245

Överväganden

SOU 2017:75

för en bostadsrättsförening. Något omfattande behov av uppgiften har emellertid inte framkommit.

Uppgifterna bedöms inte som särskilt integritetskänsliga. Sammantaget är utredningens bedömning att det inte är strängt

nödvändigt att behålla lagringsskyldigheten för uppgift om den typ av kapacitet för överföring som har använts.

Bestämmelsen blir teknikneutral

Utredningen föreslår att uppgift som är nödvändig för att identifiera abonnent och registrerad användare ska omfattas av lagringsskyldig- heten.

Möjligheten att koppla en användare till en viss uppgift bör inte skilja sig åt beroende på vilken teknik en operatör använder sig av. Som uppmärksammades i Datalagringsutredningens betänkande, på- verkar användandet av NAT-teknik (dvs. en teknik för att låta flera användare dela på en och samma publika ip-adress) om de brotts- bekämpande myndigheterna kan identifiera den slutliga användaren eller inte (SOU 2015:31 s. 320). Detta framstår som orimligt och även oavsiktligt, se prop. 2010/11:46, särskilt s. 30. Lagstiftningen bör i stället vara teknikneutral. Även om en sådan förändring inte är omedelbart föranledd av EU-domstolens dom har den ett sådant samband med övriga föreslagna förändringar att den bör genomföras samtidigt. Det bör således införas en skyldighet att lagra uppgifter som gör det möjligt att identifiera en abonnent.11 En mer teknik- neutral bestämmelse är även rimlig med beaktande av att det aktuella teknikområdet är under konstant metamorfos och alltför specifika bestämmelser riskerar att snabbt bli inaktuella, SOU 2007:76 s. 137.

Det har tidigare i detta betänkande anförts att en utvidgning av lagringsskyldigheten inte ligger i linje med bedömningen att färre uppgifter måste omfattas av en lagringsskyldighet för att den alls ska vara förenlig med EU-rätten (se t.ex. angående lokaliseringsuppgifter vid meddelandehantering, avsnitt 12.6.3). Den nu aktuella ändringen av lagringsskyldigheten kan visserligen föranleda att fler uppgifter lagras (om leverantörens teknik så kräver), men skiljer sig ändå

11 Se även den av PTS beställda rapporten från ÅF: NAT i mobila nätverk, 23 november 2015.

246

SOU 2017:75

Överväganden

markant från en utvidgning av det slag som avses i föregående mening. De ytterligare uppgifter som eventuellt behöver lagras avser nämligen samma sakförhållande och krävs för att huvudinfor- mationen (ip-adressen) inte ska vara värdelös. Den begränsning som dagens lagstiftning leder till är, som nämnts ovan, oavsedd och för- anledd av att operatörerna nu använder sig av en viss teknik. Av samma anledning ökar inte integritetsintrånget i sig särskilt mycket av att dessa uppgifter lagras. De extra uppgifter som behöver lagras torde oftast vara portnummer och ytterligare en ip-adress.

En teknikneutral bestämmelse har fördelar även utifrån den lagringsskyldiges perspektiv, eftersom det blir tydligt att det finns en skyldighet att lagra uppgifter som möjliggör identifikation av abonnenten. Nackdelen är dock att lagringsskyldighetens exakta om- fattning inte går att utläsa direkt ur författning. Eftersom det är fråga om ett offentligrättsligt åliggande gentemot de lagringsskyldiga kan det finnas en poäng i att mer tydligt ange exakt vad som ska lagras. Eftersom den tekniska utvecklingen snabbt kan förändra förutsätt- ningarna för vad som behöver lagras bör den exakta tekniska utform- ningen av lagringsskyldigheten fastställas i myndighetsföreskrifter. Ramarna av föreskriftsrätten bör dock alltjämt finnas i lag och förordning.

Enligt utredningen bör PTS vara den myndighet som utformar de tekniska detaljerna för vad som ska lagras. Ett sådant bemyndigande torde PTS redan ha, 6 kap. 16 a § fjärde stycket LEK och 44 § FEK. Detta bemyndigande bör dock förtydligas (se avsnitt 12.6.6).

Man kan förmoda att ipv6-adresser kommer att bli vanligare framöver. Ipv6 är en senare version av internetprotokollet, som gör det möjligt att använda 128 bitar långa ip-adresser, vilket möjliggör omkring 340 sextiljoner (3,4 · 1038) unika adresser. Det skulle inne- bära att användandet av NAT-teknik, utifrån brist på ip-adresser som enda grund, blir obehövligt. Däremot kan det ändå finnas anled- ning för operatörerna att fortsätta att använda tekniken. Om endast ipv6-adresser används borde någon annan uppgift än ip-adress och tillhörande uppgift om abonnent inte behöva lagras för att det ska vara möjligt att identifiera rätt abonnent eller registrerad användare. Det lär emellertid inte bli verklighet inom överskådlig framtid (Europols rapport IOCTA 2016, Internet Organised Crime Threat Assessment, s. 58).

247

Överväganden

SOU 2017:75

Slutligen ska nämnas att lagring av destinations-ip, dvs. den adress som användaren kontaktat, vilket t.ex. kan vara en webbsida eller en mail-, chatt- eller spelserver, skulle kunna användas för att identifiera rätt användare vid användning av NAT-teknik. Lagras den uppgiften och tiden för kontakten begränsas nämligen antalet användare till dem med samma publika ip-adress som samtidigt haft kontakt med samma destinations-ip (t.ex. besökt samma webbsida). En sådan lagring skulle innebära ett alltför stort integritetsintrång, eftersom en användares trafik över internet skulle finnas lagrad och tillgänglig. I linje med att innehållet av kommunikationen inte ska lagras bör därför inte heller sådan information tillåtas att lagras för att uppfylla lagringsskyldigheten i denna del.

12.6.5Inget undantag för personer med tystnadsplikt

Utredningens bedömning: Det bör inte införas något undantag från lagringen för personer med tystnadsplikt. Datalagringsutred- ningens förslag om att införa en förstörandeskyldighet för upp- gifter som omfattas av yrkesmässig tystnadsplikt bör övervägas.

EU-domstolen noterar i domen att den svenska lagstiftningen inte innehåller något undantag för personer vilkas kommunikationer enligt nationell rätt omfattas av tystnadsplikt (p. 105, jfr även Digital Rights-domen p. 58). Däremot uppställer inte domstolen något krav på en sådan begränsning av lagringsskyldigheten.

Som Datalagringsutredningen konstaterade (se avsnitt 8.4.3) är det i svensk rätt huvudsakligen uppgiftens innehåll som avgör om den omfattas av skydd mot att de brottsbekämpande myndigheterna eller någon annan tar del av uppgiften. Förekomsten av kommuni- kation är däremot normalt inte skyddad. Tystnadsplikten omfattar inte heller vissa personer utan endast uppgifter som personerna fått del av i sin yrkesutövning (jfr 36 kap. 5 § RB, se även rättsfallet NJA 2010 s. 122, särskilt punkten 8). Ett förbud mot att lagra eller hämta in uppgifter som enligt svensk rätt omfattas av tystnadsplikt skulle därför kräva att man tar del av innehållet i kommunikationen, vilket framstår som ogörligt, både praktiskt och utifrån ett integritets- perspektiv. Ett förbud mot att lagra uppgifter av nu aktuellt slag

248

SOU 2017:75

Överväganden

skulle alltså innebära ett ökat integritetsintrång samtidigt som det inte är något som krävs enligt EU-rätten.

I vissa fall kan redan det faktum att det förevarit en kontakt mellan en person med tystnadsplikt och någon annan vara känsligt. Exempel på det kan vara kontakter med advokater, läkare eller präster. I detta sammanhang måste följande beaktas. För det första innehåller samtliga brottsbekämpande myndigheternas datalagar ett ramverk kring hur personuppgifter får behandlas, se polisdatalagen (2010:361), åklagardatalagen (2015:433) och tullbrottsdatalagen (2017:447). Det ger ett skydd för att uppgifter där behandlas korrekt, gallras om de inte behövs och inte sprids. För det andra skulle det vara en administrativt svår uppgift att ha ett system för att undanta vissa abonnenter från operatörernas lagringsskyldighet. Även om en sådan ordning skulle kunna införas är det ändå inte önskvärt att göra så. Skälet till det är att även advokater, läkare och präster kan miss- tänkas för brott. När de uppträder som brottsmisstänkta har de i princip ingen privilegierad ställning. Det är dock viktigt att notera att tystnadsplikten till förmån för klienten alltjämt gäller.

Mot bakgrund av det nu anförda lämnar utredningen inget förslag på något undantag för personer med tystnadsplikt. Bedömningen om en uppgift ska inhämtas från en person vars uppgifter kan omfattas av tystnadsplikt bör i stället göras i varje enskilt fall med utgångspunkt i proportionalitetsprincipen (jfr även prop. 1988/89:124 s. 28 och NJA 2015 s. 631 p. 29).

I sammanhanget bör även påpekas att det råder ett grundlags- skyddat förbud för det allmänna att efterforska vem som lämnat uppgifter till t.ex. en journalist (3 kap. 4 § tryckfrihetsförordningen och 2 kap. 4 § yttrandefrihetsgrundlagen). Utredningen instämmer i Datalagringsutredningens bedömning att endast förekomsten av strukturerad data eller ens inhämtning av uppgifterna inte kan leda till att efterforskningsförbudet överträds, om det inte funnits ett syfte att efterforska en källa. Samtidigt delar utredningen slutsatsen att myndigheternas insyn i att kommunikation förevarit i någon mån kan riskera att hota meddelarskyddet eller sekretessen. Även om innehållet i informationen inte direkt framgår av de uppgifter som ska lagras, kan den som får tillgång till uppgifterna dra slutsatser och göra kvalificerade gissningar om sekretessbelagd information utifrån både lokaliseringsuppgifter, exempelvis vilka som varit på en viss klinik, och trafikuppgifter, t.ex. en journalists, advokats eller utredande polis

249

Överväganden

SOU 2017:75

samtalslista. Datalagringsutredningens förslag om en skyldighet att förstöra uppteckningar från hemlig övervakning av elektronisk kommunikation och inhämtning enligt IHL i de delar de innehåller uppgifter som omfattas av frågeförbudet i 36 kap. 5 § andra–sjätte styckena RB bör därför övervägas. Det ska dock i sammanhanget noteras att en sådan skyldighet är behäftad med vissa svårigheter. Som Ekobrottsmyndigheten anför i sitt remissvar över Datalagrings- utredningens betänkande SOU 2015:31 så är frågeförbudet i vissa fall (t.ex. när det gäller advokater och läkare) utformat på så sätt att det avser vad som har ”anförtrotts” befattningshavaren i sin yrkes- utövning, eller vad han eller hon i samband därmed har ”erfarit” I fråga om rättegångsombud, biträden och försvarare gäller dock frågeförbudet endast vad som har ”anförtrotts” dem, och alltså inte vad de har ”erfarit”. Det är svårt att se hur det ska vara möjligt att – när det gäller just trafikuppgifter – bedöma vad som ska anses ha anförtrotts t.ex. en advokat under ett samtal. Därtill kan det finnas en rättssäkerhetsproblematik med att uppgifter som inhämtats av en brottsbekämpande myndighet raderas efter att de analyserats. Även i denna del hänvisas till vad som anförs i remissyttranden över Data- lagringsutredningens betänkande från Ekobrottsmyndigheten, Polis- myndigheten och Säkerhetspolisen.

12.6.6Lagringskyldighetens ramar bör framgå av lag

Utredningens bedömning: Lagringsskyldighetens yttre ramar bör framgå av lag och de mer detaljerade föreskrifterna av för- ordning. I viss utsträckning ska regeringen kunna delegera denna föreskriftsrätt.

Som ovan beskrivits är området för elektronisk kommunikation i ständig förändring med nya kommunikationstjänster som till- kommer. Dessa nya kommunikationstjänster leder till nya kom- munikationsmönster hos användarna (avsnitt 7.3). Det leder i sin tur till att bedömningen av vad som är strängt nödvändigt att lagra kan förändras över tid (avsnitt 12.6.3). Sådana förändringar kan komma snabbt och regelverket kring lagringsskyldigheten måste därför kunna ändras snabbt, dels för att människor inte ska utsättas för lagring som inte längre är strängt nödvändig, dels för att de brotts-

250

SOU 2017:75

Överväganden

bekämpande myndigheterna måste kunna bibehålla sin brotts- utredande förmåga även vid teknisk utveckling. Av dessa skäl bör riksdagen i lag föreskriva de yttre ramarna för lagringen medan de mer detaljerade föreskrifterna huvudsakligen bör regleras i för- ordning. Det gör att även om många uppgifter nu tas bort från lagringsskyldigheten så bör ramarna för lagringen i LEK inte ändras mer än nödvändigt.

När det gäller lagring av abonnemangsuppgifter vid internet- åtkomst kräver föreskrifternas utformning särskilt god och aktuell kunskap om tekniska lösningar hos operatörerna. Det är därför lämpligt att regeringen får rätt att delegera föreskriftsrätten till PTS i dessa fall, jfr 6 kap. 16 a § fjärde stycket LEK. Ett förtydligande om PTS behörighet kan därför behöva göras (avsnitt 12.6.4).

12.7En differentierad lagringstid

Utredningens förslag: Det ska i lag anges att de uppgifter som omfattas av lagringsskyldigheten ska lagras den tid regeringen föreskriver dock som längst i tio månader räknat från den dag då kommunikationen avslutades.

Lokaliseringsuppgifter vid samtal ska lagras i två månader. Uppgifter om internetåtkomst, förutom uppgifter som identi- fierar utrustningen där kommunikationen slutligt avskiljs, ska lagras i tio månader. Övriga uppgifter ska lagras i sex månader.

12.7.1Riksdagen ger en ram för lagringstiden

Som framgår ovan måste lagringen vara anpassad till vad som är strängt nödvändigt. En viktig komponent i en sådan anpassning är att differentiera lagringstiderna utifrån hur gamla uppgifter det finns ett påtagligt behov av. Som nämnts tidigare, är en differentiering av lagringstiderna emellertid ensamt inte en tillräcklig åtgärd för att göra den svenska lagstiftningen förenlig med EU-rätten.

Utredningen föreslår att det skapas en flexibel ordning där riks- dagen i lag föreskriver en längsta lagringsfrist och att regeringen inom denna ram får föreskriva kortare lagringsfrister. Härigenom differentieras lagringsskyldigheten för respektive uppgiftsslag.

251

Överväganden

SOU 2017:75

12.7.2Inom den av riksdagen angivna ramen bör regeringen föreskriva kortare frister för vissa uppgifter

Utredningen föreslår att lokaliseringsuppgifter vid samtal ska lagras i två månader. Uppgifter om internetåtkomst, förutom uppgifter som identifierar utrustningen där kommunikationen slutligt avskiljs, ska lagras i tio månader och övriga uppgifter ska lagras i sex månader.

De uppgifter om elektronisk kommunikation som inhämtas av polisen i underrättelseverksamheten är i de flesta fall yngre än en månad. I polisens utredningsverksamhet är den största andelen yngre än tre månader, endast omkring 20–25 procent är äldre och ungefär en tiondel av den totala mängden är äldre än fem månader. De utred- ningar i vilka det finns ett behov av äldre uppgifter avser främst grova våldsbrott av spaningskaraktär samt bekämpning av grova seriebrott som våldtäkter och mordförsök. (SOU 2015:31 s. 129) Detta bör beaktas vid bestämmandet av lagringstiden. En annan faktor att beakta är att – som framgår av avsnitt 7.5 – de brotts- bekämpande myndigheterna har behov av längre lagringstid för ip- adresser vid ärenden som har internationell koppling, t.ex. barn- pornografibrott.

Ytterligare en utgångspunkt vid dessa resonemang är att data- lagringsdirektivet ålade medlemsstaterna att i en viss tid se till att uppgifter skulle lagras. Denna tid för lagring överläts till medlems- staterna att bestämma men skulle ligga i intervallet sex till tjugofyra månader räknat från dagen för kommunikationen. Sverige valde den kortaste tiden för lagring, dvs. sex månader.

Som framgår ovan är de flesta uppgifterna som inhämtas i poli- sens verksamhet yngre än fem månader. Tullverkets verksamhet torde inte kräva några särskilt annorlunda lagringstider, vilket också stämmer med vad Tullverket har uppgett. Det talar för att man inte behöver föreskriva en lagringstid som överskrider fem månader. Samtidigt måste några andra viktiga faktorer beaktas. När nu lagringsskyldighetens omfattning sett till vilka uppgifter som ska lagras minskar så minskar nyttan av tillgång till de datalagrade uppgifterna. Denna minskade omfattning av lagringen kan leda till att kartläggningen av elektroniska spår i brottsutredningar blir något långsammare. Dessutom – och kanske viktigare – är det, som fram- går ovan, framför allt vid bekämpning av grova brott som de äldre uppgifterna behövs. I underrättelseverksamheten är behovet av äldre

252

SOU 2017:75

Överväganden

uppgifter inte särskilt stort, möjligen med undantag av vissa delar av Säkerhetspolisens verksamhet.

Mot bakgrund av det sagda bör lagringstiden alltjämt som huvud- regel vara sex månader. De allra flesta uppgifterna för telefonitjänst och meddelandehantering bör omfattas av huvudregeln. Vad gäller lokaliseringsuppgifter bör dock lagringstiden vara betydligt kortare.

Lokaliseringsuppgifter kan potentiellt ge mer integritetskänslig information om en person än övriga uppgifter. En kortare lagringstid bör därför föreskrivas för dessa uppgifter. Enligt den tyska lagstift- ningen gäller en lagringsskyldighet för lokaliseringsuppgifter i fyra veckor. Det är dock svårt att jämföra en viss rättsordning med den svenska och utifrån det göra bedömningar om hur det ska vara här. Lagringsskyldighetens längd är nämligen en del i en helhet där bl.a. den övriga regleringen kring tvångsmedel spelar in. Med detta sagt är det emellertid klart att det bör införas en kortare lagringsskyldighet för lokaliseringsuppgifter än för andra uppgifter. En rimlig avvägning mellan den nytta uppgifterna innebär för de brottsbekämpande myndigheterna och det integritetsintrång uppgiften innebär ger enligt utredningen att en lagringstid om två månader bör föreskrivas för lokaliseringsuppgifter.

Uppgifter för den första aktiveringen av en förbetald anonym tjänst bör behandlas som en enhet, dvs. även inkluderat lokali- seringsuppgiften. Uppgifterna är inte särskilt integritetskänsliga. Det finns ett behov hos de brottsbekämpande myndigheterna att få till- gång till i vart fall sex månader gamla uppgifter, avsnitt 7.5. Någon bärande anledning att lagra uppgifterna längre än huvudregeln om sex månader har inte framkommit.

De flesta uppgifter kopplade till internetåtkomst är mindre inte- gritetskänsliga eftersom de i sig inte innefattar uppgifter om kom- munikation (t.ex. vem internetanvändaren har haft kontakt med). Myndigheterna har – liksom vid övriga uppgifter – olika behov av dessa uppgifter. Polismyndigheten står för den absolut största delen av brottsbekämpningen varför lagringstiden främst bör anpassas till den. Som nämnts i avsnitt 7.5 är det flera av polisens utredningar som behöver läggas ned på grund av att lagringstiden om sex månader är för kort när det gäller ip-adresser, eftersom dessa uppgifter ofta är helt avgörande för att kunna identifiera misstänkta gärningsmän. Uppgifter om ip-adresser (och andra uppgifter som krävs för att identifiera abonnenten) ger också ett tidsbegränsat användnings-

253

Överväganden

SOU 2017:75

område, eftersom uppgifterna ofta byts ut med korta mellanrum (avsnitt 12.6.4). Det leder både till att uppgifternas integritets- känslighet är lägre än annars och att det finns ett större behov av att spara uppgifterna en längre tid. Övriga uppgifter om internetåtkomst krävs för att öka förståelsen och nyttan av de lagrade ip-uppgifterna. Utredningen finner att en lagringstid om tio månader för uppgifter hänförliga till internetåtkomst (förutom uppgifter som identifierar utrustningen, se nedan) utgör en rimlig avvägning mellan de olika myndigheternas behov samtidigt som hänsyn tas till integritets- aspekten.

När det gäller uppgifter som identifierar den utrustning där kom- munikationen slutligt avskiljs från den lagringsskyldige till den enskilda abonnenten, är de uppgifterna mer integritetskänsliga än övriga uppgifter om internetåtkomst eftersom uppgifterna i princip utgör en lokaliseringsuppgift. I vart fall gäller det vid mobil åtkomst till internet. Även om dessa uppgifter inte har samband med någon kommunikation och därför inte är lika integritetskänsliga som lagrade lokaliseringsuppgifter för telefonitjänst, får de alltså anses mer känsliga än övriga uppgifter. En kortare lagringstid än tio månader bör därför föreskrivas. Sådana uppgifter bör i stället sparas i sex månader.

12.8Tillgången till trafik- och lokaliseringsuppgifter

12.8.1Endast för att bekämpa grov brottslighet

Utredningens bedömning: Tillgång till lagrade trafik- och loka- liseringsuppgifter ska endast ges för bekämpning av grov brotts- lighet. Med grov brottslighet avses samma kategorier av brott som i dag möjliggör hemlig övervakning av elektronisk kom- munikation i en förundersökning, för att förhindra vissa särskilt allvarliga brott och för särskild utlänningskontroll samt in- hämtning av uppgifter om elektronisk kommunikation i de brotts- bekämpande myndigheternas underrättelseverksamhet.

254

SOU 2017:75

Överväganden

Som anges ovan menar EU-domstolen att endast bekämpning av grov brottslighet12 kan motivera att brottsbekämpande myndigheter ges tillgång till lagrade uppgifter (avsnitt 9.8.1).

Det finns inte någon generell definition av grov brottslighet inom EU-rätten eller inom svensk rätt. Däremot förekommer i olika sammanhang, både i EU-rätten och i svensk rätt, uppräkningar av brott som – i det sammanhanget uppräkningen förekommer – ska jämställas med grova brott eller som på annat sätt ska särbehandlas. Ett exempel på en sådan uppräkning är bilagan till lagen (2003:1156) om överlämnande från Sverige enligt en europeisk arresteringsorder. I den bilagan finns angivet brott som spänner över en stor del av straffskalan; från mord och våldtäkt till förfalskning, piratkopiering och barnpornografi. Just denna uppräkning har rådet uppmanat medlemsstaterna att ta ”vederbörlig hänsyn” till vid införandet av det numera upphävda datalagringsdirektivet (prop. 2010/11:46 s. 21).

Inom EU-lagstiftningen finns ytterligare exempel. I Europapar- lamentets och rådets direktiv 2016/681 av den 27 april 2016 (direk- tivet om PNR-uppgifter) definieras grov brottslighet som brott som anges i direktivets bilaga vilka kan leda till fängelse i minst tre år enligt en medlemsstats nationella rätt, artikel 3.9. De brott som finns med i bilagan är inte identiska men i huvudsak desamma som i bilagan till lagen om överlämnande från Sverige enligt en europeisk arresteringsorder.

Ett exempel på en sådan uppräkning i svensk rätt är den som finns i bestämmelsen om när hemlig övervakning av elektronisk kom- munikation är tillåten trots att det aktuella straffbudet inte innehåller straffminimum på minst sex månaders fängelse, 27 kap. 19 § RB. I den uppräkningen finns t.ex. narkotikabrott och barnpornografi- brott.

Hemlig övervakning av elektronisk kommunikation kan före- komma även inom ramen för förhindrande av vissa särskilt allvarliga brott. De brott som kan berättiga till hemlig övervakning tillhör de absolut grövsta brotten i vårt samhälle, som t.ex. mord, terrorist- brott och spioneri, 1 § lagen (2007:979) om åtgärder för att för- hindra vissa särskilt allvarliga brott.

12 Det kan noteras att den svenska språkversionen av domen varierar mellan ”grov brotts- lighet” och ”allvarligt brott” medan de engelska och franska språkversionerna är mer konse- kventa i sin respektive begreppsanvändning (”serious crime” och ”criminalité grave”).

255

Överväganden

SOU 2017:75

Ytterligare ett annat exempel förekommer i IHL. Inhämtning enligt IHL kräver som utgångspunkt att det är fråga om brottslig verksamhet som innefattar brott för vilket det inte är föreskrivet lindrigare straff än fängelse i två år. Härutöver finns en uppräkning av vissa brott inom främst Säkerhetspolisens verksamhetsområde som t.ex. spioneri och brott mot medborgerlig frihet, 3 § IHL.

Enligt LSU finns möjligheter att tillgripa hemlig övervakning av elektronisk kommunikation vid misstankar om medverkan till terroristbrott enligt 2 § lagen (2003:148) om straff för terroristbrott eller försök, förberedelse eller stämpling till sådant brott.

Den brottslighet som omfattas av de ovan uppräknade tvångs- medelslagarna har lagstiftaren ansett vara så grova att utrednings- intresset av den väger tyngre än det integritetsintrång som drabbar dem som blir föremål för tvångsmedlet. Inget i avgörandet från EU- domstolen ger anledning att tro att de avvägningar som gjorts beträffande detta måste rubbas.

Mot bakgrund av det nu anförda är utredningens bedömning att de brott som ger rätt att använda tvångsmedel enligt RB, IHL, 2007 års preventivlag och LSU är att betrakta som grov brottslighet. Det ska i detta sammanhang nämnas att regeringen och riksdagen nyligen – och alltså efter Tele2-domen – har ansett att unionsrätten inte hindrar en förlängning av den tidsbegränsade bestämmelsen i 3 § IHL och att domen måste anses innebära att det finns ett utrymme för att hämta in uppgifter för att förebygga, förhindra eller upptäcka sådan brottslig verksamhet som avses i paragrafen, prop. 2016/17:186 s. 9, bet. 2016/17:JuU28 och rskr. 2016/17:343.

12.8.2Precisa krav måste fastställas

Utredningens bedömning: Reglerna som styr tillgången till de lagrade uppgifterna för de brottsbekämpande myndigheterna måste ange tydliga och precisa villkor för när tillgång ska ges.

Enligt EU-domstolen måste medlemsstaterna föreskriva klara och precisa bestämmelser som anger under vilka omständigheter och på vilka villkor leverantörer av elektroniska kommunikationstjänster måste ge behöriga nationella myndigheter tillgång till uppgifterna (avsnitt 9.8.2). Både materiella och formella villkor för de behöriga

256

SOU 2017:75

Överväganden

nationella myndigheternas tillgång till de lagrade uppgifterna måste anges i den nationella lagstiftningen.

Detta krav som EU-domstolen uppställer är inte möjligt att resonera kring självständigt; i stället måste man vid utformningen av respektive lagrum se till att kravet möts.

12.8.3Tillgång bara till uppgifter om personer som på något sätt är inblandade i brott – som huvudregel

Tillgång till lagrade uppgifter kan enligt domstolen i princip bara beviljas till uppgifter om personer som misstänks planera, begå eller ha begått ett allvarligt brott eller på något sätt vara inblandade i ett sådant brott. I särskilda fall, som när vitala intressen för nationell säkerhet, försvar eller allmän säkerhet hotas av terrorism, skulle dock enligt domstolen tillgång kunna ges även till uppgifter om andra personer när det finns objektiva omständigheter som ger skäl att anta att de uppgifterna i ett konkret fall effektivt skulle kunna bidra till att bekämpa terrorism (avsnitt 9.8.3).

Inledningsvis kan noteras att det i sig inte är tillräckligt att det finns en indirekt koppling till bekämpning av allvarlig brottslighet för att myndigheterna ska få tillgång till uppgifterna. Det krävs, som huvudregel, att personen på något sätt är inblandad i den allvarliga brottsligheten. Domstolen beskriver denna personkrets, för vilka uppgifter kan inhämtas, med de exakta orden som används av Europadomstolen i målet Roman Zakharov mot Ryssland, 4 decem- ber 2015, som EU-domstolen hänvisar till. Därtill lägger domstolen ”på något sätt inblandad”13, vilket alltså innebär att personkretsen är vidare än endast misstänkta gärningsmän och medhjälpare. Detta stöds även av att Europadomstolen i samma dom (§ 245), med hänvisning till tidigare praxis, konstaterade att det kan vara berättigat med en hemlig övervakningsåtgärd även mot en person som kan ha upplysningar om ett brott, utan att vara misstänkt. I begreppet måste t.ex. även en målsägande ingå. Eftersom en hänvisning görs till Europadomstolens praxis torde dock begreppet vara vidare än så. I Greuter mot Nederländerna, 19 mars 2002, som hänvisades till från Roman Zakharov mot Ryssland (§ 245), bedömdes det nämligen

13 “being implicated in one way or another in such a crime” i den engelska versionen.

257

Överväganden

SOU 2017:75

befogat att avlyssna en telefon tillhörande partnern till en dödad person, eftersom det fanns misstankar om att gärningsmannen skulle kunna kontakta henne.

I särskilda fall kan det, enligt EU-domstolen, vara befogat att ge myndigheterna tillgång även till andra personers uppgifter. Det bör särskilt noteras att det uppenbarligen inte endast är när vitala intressen för nationell säkerhet, försvar eller allmän säkerhet hotas av terrorism som tillgång kan beviljas till uppgifter som rör personer som inte är inblandade i ett allvarligt brott. Av domstolens formu- lering framgår att det endast är fråga om ett exempel.14

Vad avser personer med tystnadsplikt bör inte något specifikt undantag göras avseende tillgången till dessa personers uppgifter. I denna del hänvisas till vad som anförs i avsnitt 12.6.5.

Hemlig övervakning av elektronisk kommunikation

Utredningens bedömning: Nuvarande tillgångsregler i RB upp- fyller de krav som EU-rätten ställer.

Huvudsakligen beviljas åtkomst till lagrade uppgifter vid hemlig övervakning endast avseende misstänkta personer (27 kap. 20 § första stycket 1 RB). I de fall övervakningen riktar sig mot ett telefonnummer som inte innehas eller har innehafts av den miss- tänkte så krävs att det föreligger synnerlig anledning att anta att den misstänkte kommer att kontakta eller har kontaktat det aktuella telefonnumret (27 kap. 20 § första stycket 2 RB). Även om den person som på detta sätt blir föremål för tvångsmedlet inte behöver ha något samröre med brottet så riktar sig det hemliga tvångsmedlet fortfarande mot den misstänkte. På ett principiellt plan skiljer sig således inte denna typ av övervakning från när man övervakar ett telefonnummer som tillhör den misstänkte eftersom man även i sådana fall fångar upp trafikuppgifter avseende personer som inte alls har med brottet att göra. För att minimera antalet trafikuppgifter som inte har med brottsutredningen att göra begränsas typiskt sett

14 Detta framgår tydligt av den engelska versionen av Tele2-domen: ”access can, as a general rule, be granted […] However, in particular situations, where for example vital national security, defence or public security interests are threatened by terrorist activities […]”.

258

SOU 2017:75

Överväganden

ett tillstånd till nu nämnd övervakning till att endast avse in- kommande samtal (prop. 2002/03:74 s. 38–39).

Som redogjorts för ovan tillåter EU-rätten i viss utsträckning övervakning även mot andra än misstänkta. Mot denna bakgrund gör utredningen bedömningen att den övervakning som regleras i 27 kap. 20 § första stycket är förenlig med de krav som EU-rätten uppställer.

Enligt 27 kap. 20 § andra stycket RB får hemlig övervakning av elektronisk kommunikation även utföras i syfte att utreda vem som skäligen kan misstänkas för ett brott om åtgärden är av synnerlig vikt för utredningen. För att tillstånd till sådan övervakning ska ges krävs att det är fråga om mycket allvarlig brottslighet med ett straff- minimum på fängelse två år (27 kap. 19 § fjärde stycket RB).

Exempel på en sådan åtgärd är basstationstömning (mast- tömning). En sådan utförs t.ex. om polisen hittar en mördad person och vill undersöka vilka som har befunnit sig vid platsen (eller egentligen vilka mobiltelefoner som har funnits där). En sådan åtgärd avser i bästa fall en (eller flera) misstänkta personer men med- för samtidigt att uppgifter inhämtas om personer som inte är miss- tänkta. Sådan basstationstömning har av regeringen bedömts inte innebära ett betydande ingrepp i den enskildes privata sfär och att det inte omfattas av RF:s skydd av den personliga integriteten i 2 kap. 6 §, eftersom det normalt endast är fråga om en positionsbestämning vid ett specifikt tillfälle (prop. 2011/12:55 s. 97). Dessutom är personuppgifter som behandlas hos de brottsbekämpande myndig- heterna omgärdade av integritetsskyddande lagstiftning, se polisdata- lagen (2010:361), åklagardatalagen (2015:433) och tullbrottsdatalagen (2017:447).

Det ska i detta sammanhang noteras att nu aktuell övervakning endast får utföras om det är av synnerlig vikt för utredningen. Dess- utom är inhämtningen begränsad, såvitt avser meddelande, till historisk information.

Utrymmet för att använda hemlig övervakning av elektronisk kommunikation för att utreda vem som är misstänkt är som ovan beskrivits begränsat enligt EU-rätten. EU-domstolen lämnar dock ett utrymme för att få tillgång till lagrade uppgifter även avseende icke misstänkta personer. Mot bakgrund av att inhämtningen är begränsad (sett till de uppgifter som får inhämtas) och till att den brottslighet som berättigar till sådan övervakning måste vara mycket allvarlig, gör utredningen bedömningen att det utrymme som EU-

259

Överväganden

SOU 2017:75

domstolen ger är tillräckligt för att de svenska reglerna i detta hän- seende ska lämnas oförändrade.

Reglerna om tillgång genom hemlig övervakning av elektronisk kommunikation är tydliga och precisa och uppfyller de krav som EU-rätten ställer.

Inhämtning av uppgifter i underrättelseverksamhet

Utredningens bedömning: Nuvarande tillgångsregler i IHL uppfyller de krav som EU-rätten ställer.

Som ovan beskrivits inhämtas uppgifter enligt IHL endast i under- rättelseverksamhet. På det stadiet saknas kunskap om ett specifikt brott (avsnitt 6.2.4). Av naturliga skäl blir det därmed svårt att tala om någon ”misstänkt” person, i vart fall så som uttrycket används i RB.

Enligt EU-domstolen kan tillgång i princip bara beviljas, i sam- band med bekämpning av brott, till uppgifter om personer som misstänks planera, begå eller ha begått ett allvarligt brott eller på något sätt vara inblandade i ett sådant brott.

Även om underrättelseanalysen inte alltid kan peka ut ett speci- fikt brott eller en misstänkt person så inriktas underrättelsearbetet i någon mening mot en viss person när inhämtning ska göras av dennes uppgifter. Trots att denna person inte är misstänkt på sätt som avses i t.ex. 23 kap. 18 § RB så finns det i många fall en miss- tanke om att den person som är föremål för inhämtningen på något sätt är inblandad i den brottsliga verksamheten som underrättelse- verksamheten avser. Det är i dessa fall dessutom inte möjligt att precisera personkretsen mer. Den svenska rätten får därmed anses uppfylla de villkor som nu har uppställts av EU-domstolen.

IHL tillåter emellertid även inhämtning av uppgifter avseende personer som inte är inblandade i brottslig verksamhet. Det ska då hållas i minne att, för att inhämtning ska få utföras, det krävs att åtgärden är av särskild vikt för syftet med inhämtningen och att brottet är av mycket allvarlig art (2 § IHL). I de fall brottsligheten avser sådant som utreds inom Säkerhetspolisens verksamhetsområde behöver dock inte brottsligheten vara av fullt så grovt slag, i vart fall om man ser till straffvärdet (3 § IHL). Däremot är samtliga dessa brott allvarliga med hänsyn till att de är samhällsfarliga. EU-dom-

260

SOU 2017:75

Överväganden

stolens tolkning av rättighetsstadgan tillåter också en mer vidsträckt inhämtning i dessa fall (p. 119 i domen och avsnitt 9.8.3). Utred- ningen gör mot denna bakgrund bedömningen att regelverket i IHL i denna del inte står i strid med EU-rätten och därför kan behållas.

2007 års preventivlag

Utredningens bedömning: Nuvarande tillgångsregler i 2007 års preventivlag uppfyller de krav som EU-rätten ställer.

Som anges ovan får hemlig övervakning av elektronisk kommuni- kation enligt 2007 års preventivlag endast avse en teleadress som under den tid tillståndet omfattar innehas eller har innehafts av den som kan antas komma att utöva den brottsliga verksamheten, en teleadress som annars kan antas ha använts eller komma att användas av honom eller henne, eller en teleadress som det finns synnerlig anledning att anta att han eller hon under den tid tillståndet avser har kontaktat eller kommer att kontakta (avsnitt 6.2.5).

På samma sätt som tillgångsreglerna vid hemlig övervakning av elektronisk kommunikation bedöms förenliga med EU-rätten gör utredningen bedömningen att även 2007 års preventivlag uppfyller EU-rättens krav i detta hänseende.

LSU

Utredningens bedömning: Nuvarande tillgångsregler vid sär- skild utlänningskontroll uppfyller de krav som EU-rätten ställer.

Som framgår ovan får rätten meddela tillstånd till hemlig övervak- ning av elektronisk kommunikation om det är av betydelse för att utröna om den aktuella utlänningen eller en organisation eller grupp som han eller hon tillhör eller verkar för planlägger eller förbereder terroristbrott enligt 2 § lagen (2003:148) om straff för terroristbrott och det finns synnerliga skäl (avsnitt 6.2.6).

På samma sätt som tillgångsreglerna vid hemlig övervakning av elektronisk kommunikation bedöms förenliga med EU-rätten gör

261

Överväganden

SOU 2017:75

utredningen bedömningen att även LSU uppfyller EU-rättens krav i detta hänseende.

12.8.4Förhandskontroll av domstol eller oberoende myndighet

Som framgår ovan ställer EU-rätten upp ett krav på att de brotts- bekämpande myndigheternas tillgång till datalagrade uppgifter, utom i motiverade brådskande fall, ska föregås av en kontroll av domstol eller en oberoende myndighet (avsnitt 9.8.4).

Hemlig övervakning av elektronisk kommunikation

Utredningens bedömning: De svenska reglerna om förhands- kontroll vid hemlig övervakning av elektronisk kommunikation uppfyller de krav som EU-rätten ställer.

Frågor om hemlig övervakning av elektronisk kommunikation prövas av rätten efter ansökan av en åklagare, 27 kap. 21 § RB. Om det kan befaras att det skulle medföra en fördröjning av väsentlig betydelse för utredningen att inhämta rättens tillstånd till hemlig övervakning av elektronisk kommunikation får tillstånd till åtgärden ges av åklagaren i avvaktan på rättens beslut, 27 kap. 21 a § RB. Rätten ska därefter skyndsamt pröva ärendet och kan upphäva beslutet om den finner att det inte finns skäl för åtgärden.

Enligt utredningens bedömning lever det svenska regelverket på detta område upp till EU-rättens krav.

Inhämtning av uppgifter i underrättelseverksamhet

Utredningens förslag: Åklagare ska besluta om tillstånd för inhämtning av trafik- och lokaliseringsuppgifter i underrättelse- verksamhet. Ansökan ska upprättas av Polismyndigheten, Säker- hetspolisen respektive Tullverket.

Utredningens bedömning: Besluten bör inte kunna överklagas. Inga interimistiska beslut bör tillåtas. Skyldigheten att omedel-

262

SOU 2017:75

Överväganden

bart häva ett beslut som det inte längre finns skäl för bör alltjämt ankomma på Polismyndigheten, Säkerhetspolisen respektive Tullverket. Skyldigheten att underrätta SIN om ett beslut om inhämtning bör alltjämt ankomma på Polismyndigheten, Säker- hetspolisen respektive Tullverket.

Som framgår ovan får inhämtning av uppgifter om elektronisk kom- munikation i underrättelseverksamhet beslutas utan förhandskon- troll av domstol eller annan oberoende myndighet (avsnitt 6.2.4). Inhämtningen beslutas i stället av myndigheten själv.

EU-domstolens krav på att inhämtningen ska beslutas av en domstol eller en oberoende myndighet har uppenbarligen ett slags rättssäkerhetssyfte; en myndighet ska inte tillåtas att fatta beslut som är ingripande mot den enskilde samtidigt som beslutet underlättar myndighetens egen verksamhet. Oavsett hur korrekt än ett sådant beslut skulle vara skulle det kunna uppfattas som om myndigheten offrar den enskildes integritet för att kunna uppnå fördelar för den egna verksamheten.

Den nuvarande beslutsordningen i IHL innehåller andra rätts- säkerhetsgarantier för att säkerställa att besluten fattas på riktiga grunder.

För det första följer det redan av lagtexten att ett beslut om in- hämtning som utgångspunkt ska fattas av myndighetschefen och att dennes delegeringsmöjligheter är begränsade till sådana personer som har den särskilda kompetens, utbildning och erfarenhet som behövs. I förarbetena anges att beslutanderätten bör kunna delegeras endast till en tämligen begränsad skara. De som nämns är myndig- hetschefens ställföreträdare, rikskriminalchefen, biträdande riks- kriminalchefen, biträdande säkerhetspolischefen, biträdande läns- polismästare, länskriminalchefer, chefer för operativ verksamhet och chefer för underrättelseverksamhet (prop. 2011/12:55 s. 123). Redan det förhållandet att beslutsnivån finns tämligen högt upp i organi- sationen utgör i viss mån en garant för att besluten fattas på ett korrekt sätt.

För det andra, får den som har fått beslutanderätt delegerad till sig inte fatta beslut om inhämtning i sådan operativ verksamhet som han eller hon själv deltar i. Härigenom undviks jävssituationer.

Genom det ovan beskrivna skyddet mot felaktigt grundade beslut skulle det kunna argumenteras för att den svenska ordningen upp-

263

Överväganden

SOU 2017:75

fyller de krav som EU-rätten ställer. Med beaktande av uttalandena i Tele2-domen och vad Europadomstolen uttalat i Roman Zakharov mot Ryssland, 4 december 2015, §§ 268-270, bör dock den ytter- ligare rättssäkerhetsgaranti som följer av att anförtro beslutsbehörig- heten till en oberoende myndighet tas till vara. I detta sammanhang kan det vara värt att notera att SIN:s granskningar har visat att myndigheternas tillämpning av IHL i vissa fall är bristfällig. Som exempel på sådana brister kan nämnas inhämtning trots att det för angiven brottslighet inte var rättsligt möjligt med inhämtning15 och inhämtning i strid med 5 § IHL av lokaliseringsuppgifter för en tid som överstigit en månad från dagen för besluten16.

Utredningen bedömer mot bakgrund av det nu anförda att besluts- behörigheten enligt IHL bör anförtros en domstol eller annan oberoende myndighet. Det ska härvid inledningsvis konstateras att den svenska förvaltningsmodellen gör att samtliga svenska myndig- heter uppfyller kravet på oberoende. Av 12 kap. 2 § RF framgår nämligen att en myndighet inte får bestämma hur en annan för- valtningsmyndighet i ett särskilt fall ska besluta i ett ärende som rör myndighetsutövning mot en enskild.

Frågan är vilken myndighet som ska ha denna uppgift. Som fram- går ovan övervägde Datalagringsutredningen om domstol, särskild nämnd eller åklagare skulle ha en roll vid beslutsfattandet enligt IHL (avsnitt 8.4.4). Datalagringsutredningen avfärdade samtliga alter- nativ. Utredningen delar i och för sig de argument som Datalagrings- utredningen förde fram mot att involvera någon annan myndighet i beslutsprocessen men som ovan konstateras finns det ett rätts- säkerhetskrav på att låta beslutsbefogenheten tillkomma en extern myndighet.

Domstolar bör inte fatta beslut enligt IHL

Som Datalagringsutredningen konstaterade och som redogörs för ovan finns det nackdelar med att låta domstolar ha en roll som besluts- organ enligt IHL (avsnitt 8.4.4). De mest framträdande argumenten mot en domstolsinblandning, som också redovisas i förarbetena till

15Nämndens uttalanden den 14 september 2016, dnr 130-2016, och den 18 november 2015, dnr 169-2015.

16Nämndens uttalande den 16 mars 2016, dnr 206-2015.

264

SOU 2017:75

Överväganden

IHL (prop. 2011/12:55 s. 88–89), är följande. Beslut enligt IHL fattas i underrättelseverksamhet, vilket gör att domstolsmiljön, som har kontradiktion som utgångspunkt, blir onaturlig. Underrättelse- verksamheten är nämligen främst inriktad mot en företeelse till skillnad från förundersökningen, som inriktar sig mot en person (23 kap. 2 § RB). Även om beslutsfattande enligt 2007 års preventiv- lag ligger på domstolar så är underrättelseverksamhet typiskt sett främmande för domstolarna. Slutligen är inte domstolsväsendet ordnat på så sätt att det kan erbjuda det snabba beslutsfattande som kan behövas i ärenden enligt IHL. Enligt utredningen bör därför domstolar inte komma i fråga som beslutsorgan. Längre ner i detta avsnitt beskrivs ändå, för fullständighetens skull, hur en ordning med domstol som beslutsfattare skulle kunna vara utformad.

SIN bör inte fatta beslut enligt IHL

En myndighet som skulle kunna fatta beslut enligt IHL är SIN. Det finns dock två bärande argument mot en sådan ordning.

För det första är SIN tämligen långt ifrån att ha organisatoriskt nödvändig beredskap för att kunna fatta de snabba beslut som ibland behövs i underrättelseverksamhet.

För det andra har SIN i uppdrag att utöva tillsyn över de brotts- bekämpande myndigheternas användning av hemliga tvångsmedel, 1 § lag (2007:980) om tillsyn över viss brottsbekämpande verksam- het. Att anförtro beslutsfattandet till SIN samtidigt som nämnden skulle utöva tillsyn över verksamheten inger starka betänkligheter (jfr Europadomstolens dom Roman Zakharov mot Ryssland, 4 december 2015, § 280).

Mot bakgrund av det ovan nämnda bör SIN inte bli besluts- myndighet enligt IHL.

Åklagare bör fatta beslut enligt IHL

Av redan existerande myndigheter är det enda rimliga kvarvarande alternativet åklagare. Åklagare utgör en central del i rättskedjan. Även om de främst är vana att agera under en förundersökning har de god vana att ta beslut om tvångsåtgärder och att göra bedöm- ningar om i vilket skede (underrättelse- eller förundersöknings-

265

Överväganden

SOU 2017:75

skedet) som ett ärende befinner sig i. Även viktiga bedömningar där effektivitet vägs mot integritet har en naturlig plats i åklagarens vardag. Av redan existerande myndigheter är det därför rimligt att överväga åklagare som beslutsfattare enligt IHL. Det finns emellertid en del viktiga argumentet även mot att involvera åklagare. Enligt utredningen är ett av de mest bärande argumenten mot detta att åklagare inte bör befatta sig med underrättelseverksamhet, eftersom det är artfrämmande för åklagarnas kärnverksamhet. Samtidigt kan det konstateras att åklagare redan i dag i olika författningar har ålagts vissa arbetsuppgifter som ligger utanför det brottsutredande områ- det. Här kan nämnas beslut om förstörande enligt lagen (2011:111) om förstörande av vissa hälsofarliga missbrukssubstanser samt de sällan eller närmast aldrig förekommande ärendena om hävande av mönsterrätt i vissa fall och talan om äktenskapsskillnad i vissa fall. Av större praktisk betydelse och intresse är att åklagare redan i dag har uppgifter inom ramen för underrättelseverksamhet. Det rör sig här främst om tillämpningen av 2007 års preventivlag. Därutöver har åklagare i viss begränsad utsträckning en roll i polisens regionala underrättelsecenter (RUC).

Åklagare utför således i dag arbetsuppgifter på relevant område för IHL. Även om just dessa arbetsuppgifter inte är särskilt spridda i organisationen kan dock konstateras att de beslut som nu är aktuella på ett principiellt plan ligger nära de beslut som åklagare fattar inom ramen för förundersökningsverksamhet. Det är nämligen i båda fallen fråga om att väga effektiviteten i brottsbekämpningen mot intresset av att värna den personliga integriteten. Argumentet om att IHL skulle innebära ett artfrämmande inslag i åklagarnas verksamhet kan således inte anses utgöra något hinder mot en ordning med åklagare som beslutsfattare.

Ett annat argument mot att involvera åklagare i beslutsprocessen är att det skulle vara systemfrämmande att låta åklagare besluta om ett hemligt tvångsmedel när alla övriga hemliga tvångsmedel beslutas av domstol. Samtidigt som en sådan ordning ur ett perspektiv alltså skulle bryta mot systemet kan likväl påstås att det ur ett annat per- spektiv skulle vara väl förenligt med systemet. Beslutsfattande av åklagare enligt IHL skulle nämligen följa den ansvarsfördelning som gäller rent hierarkiskt i rättskedjan. Om en åklagare vill utverka ett beslut som han eller hon inte har rätt att fatta själv (t.ex. häktning eller hemlig avlyssning av elektronisk kommunikation) så vänder sig

266

SOU 2017:75

Överväganden

åklagaren till nästa instans i rättskedjan, dvs. domstol. När det nu har konstaterats att det finns ett värde i att flytta beslutsbehörigheten från Polismyndigheten, Säkerhetspolisen och Tullverket så är det naturligt att dessa myndigheter vid önskan om ett beslut enligt IHL ska vända sig till nästa instans i rättskedjan, dvs. åklagare. På så sätt är också regelsystemet uppbyggt i de flesta andra fall som t.ex. vid anhållande.

Ytterligare ett argument mot att involvera åklagare i besluts- processen är att det kan påstås att avståndet mellan underrättelse- verksamhet och förundersökningsverksamhet minskar, vilket skulle kunna göra det svårare för åklagaren att leva upp till sin objekti- vitetsplikt. Sådana tankegångar lyftes fram av Åklagarmyndigheten i sitt remissvar över betänkandet En mer rättssäker inhämtning av elektronisk kommunikation i brottsbekämpningen (SOU 2009:1). Enligt utredningen är det viktigt att åklagarnas objektivitetsplikt inte på något sätt blir urholkad av föreslagna förändringar. Det är därför grundläggande att analysera om en beslutanderätt enligt IHL skulle kunna äventyra åklagarnas objektivitetsplikt. Utredningen gör i denna del följande bedömning. Den lagstadgade objektivitetsplikten gäller inte bara under förundersökningen utan även i underrättelse- stadiet (23 kap. 4 § tredje stycket RB). Även om åklagarna skulle få en uppgift i underrättelseskedet så skulle de alltså ha samma lag- stadgade objektivitetsplikt att förhålla sig till. Frågan är då om det allmännas förtroende för åklagarnas objektivitetsplikt skulle kunna undergrävas enbart genom att åklagare skulle kunna påstås vara frestade att hålla kvar ett ärende i underrättelsestadiet för att där- igenom lättare få tillgång till övervakningsuppgifter enligt IHL i stället för att behöva vända sig till domstol och utverka ett tillstånd till hemlig övervakning av elektronisk kommunikation. Denna risk ska enligt utredningen inte överdrivas. Det saknas nämligen helt tecken på att åklagare av någon sorts bekvämlighetsskäl generellt sett skulle ha en tendens att tillämpa regelverk i strid med sin ande- mening för att på så sätt underlätta för sig. Inte heller detta argu- ment har därför någon större bärkraft.

Datalagringsutredningen framhöll att det har ansetts olämpligt att tilldela åklagare (och domstolar) beslutsfunktioner i de brotts- bekämpande myndigheternas allmänna underrättelsearbete. Detta hängde enligt Datalagringsutredningen samman med att under- rättelseåtgärderna kan leda vidare till förundersökning (och rätte-

267

Överväganden

SOU 2017:75

gång), vilket innebär att frågorna på nytt skulle hamna på åklagarnas (och domstolarnas) bord. Det skulle därmed finnas en risk för att det tidigare ställningstagandet skulle påverka också det senare skedet (SOU 2015:31 s. 285–286). Enligt utredningen är detta argument inte särskilt bärkraftigt. Det tillhör nämligen den normala gången i rättskedjan att beslut i olika stadier fattas på olika nivåer och att ärendena sedan åter kan hamna hos beslutsfattaren. Exempel på detta är anhållande och häktning, beslut om husrannsakan i vissa fall, beslut om hemliga tvångsmedel i förundersökning och beslut enligt 2007 års preventivlag. Det finns inget stöd för att det inte skulle vara en fungerande ordning. En åklagare som vid beslutsfattandet fått del av information som inte bör ingå i en förundersökning kan också lämna ärendet vidare till en kollega, som inte besitter samma kunskaper.

Som ovan noteras så är samtliga svenska myndigheter oberoende och självständiga. När det gäller just åklagarnas oberoende finns det skäl att lyfta fram en rapport av Venedigkommissionen17 från 2010.18 Rapporten synes främst ha fokus på åklagares verksamhet i för- undersökningsfasen. Det hindrar dock inte att några generella rekommendationer om åklagare är intressanta även i relation till åklagares arbete inom underrättelseverksamheten.

En viktig komponent i ett oberoende är anställningsformen och här finns det skäl att uppmärksamma att den svenska riksåklagaren har ett mycket starkt anställningsskydd och anställs som en av få myndighetschefer med fullmakt (7 kap. 3 § RB). En sådan anställ- ningsordning går mycket väl i linje med Venedigkommissionens rekommendationer (p. 73). Möjligheterna att skilja riksåklagaren från ämbetet är klart definierade i lagen (1994:261) om fullmakts- anställning (4 §), vilket även det går väl i linje med rekommen- dationerna från Venedigkommissionen (p. 39). Även om övriga åklagare har ett svagare anställningsskydd så anställs de tills vidare, vilket innebär att de är anställda till pensionen, vilket också är en rekommendation av kommissionen (p. 50).

Till oberoendet hör också det viktiga förhållandet att en åklagare i sitt beslutsfattande är helt självständig. Även om åklagarväsendet är hierarkiskt uppbyggt så får inte en överordnad åklagare ge bindande

17Venedigkommissionen är en rådgivande kommission till Europarådet i konstitutionella frågor.

18European Standards as regards the independence of judicial system: Part II – The Prosecution Service, European Commission for Democracy Through Law (Venice Commission).

268

SOU 2017:75

Överväganden

instruktioner till en underordnad åklagare om vilka beslut han eller hon ska fatta. En annan sak är att en överordnad åklagare kan överta en arbetsuppgift av en lägre åklagare (7 kap. 5 § RB).

Det sagda leder till slutsatsen att i valet mellan de olika alternativ som finns för beslutsfattande enligt IHL, så framstår åklagare som det mest rimliga. Enligt utredningens bedömning bör därför åklagare anförtros uppgiften att fatta beslut om inhämtning enligt IHL. Åklagare har som utgångspunkt generell befogenhet att utöva sitt ämbete, 6 § åklagarförordningen (2004:1265). Som utvecklas i författningskommentaren finns dock skäl att för de nu aktuella ärendena begränsa kretsen av behöriga åklagare genom myndighets- interna föreskrifter (avsnitt 14.2).

De särskilda regler som i dag finns i 4 § IHL om att endast befatt- ningshavare på vissa nivåer får fatta beslut och att dessa inte får fatta beslut om inhämtning i operativ verksamhet som de själva deltar i, behövs inte vid den nu föreslagna beslutsordningen. De kan därför utgå ur lagstiftningen. En annan sak är att det finns ett värde i att uppgifterna utförs av utvalda personer inom myndigheten med sär- skild kunskap om förutsättningarna för inhämtning. Den närmre strukturen för ansökningsförfarandet bör emellertid bestämmas inom respektive myndighet.

Den närmare ordningen för hur beslutsfattande av åklagare bör vara utformad redogörs för nedan.

Ansökan ska upprättas av Polismyndigheten, Säkerhetspolisen respektive Tullverket

Eftersom IHL föreskriver att myndigheterna själva får fatta beslut om inhämtning finns det av uppenbara skäl inga regler i IHL om vilken myndighet som ska upprätta ansökningar om tillstånd. När nu beslutsbehörigheten placeras på åklagare måste det dock finnas sådana regler. Eftersom inhämtning enligt IHL görs i Polismyndig- hetens, Säkerhetspolisens respektive Tullverkets intresse finns det inga andra rimliga alternativ än att föreskriva att ansökningarna ska upprättas av respektive myndighet.

269

Överväganden

SOU 2017:75

Inga interimistiska beslut

EU-rätten lämnar ett utrymme för interimistiska beslut i brådskande fall. En sådan ordning skulle ge Polismyndigheten, Säkerhetspolisen och Tullverket rätt att i brådskande fall själva besluta om inhämt- ning. Frågan är om det finns skäl att införa en sådan ordning.

Datalagringsutredningen analyserade hur en interimistisk bes- lutsordning skulle fungera i underrättelseverksamhet (avsnitt 8.4.4). Det mest framträdande argumentet mot en interimistisk ordning är att ett ändrat beslut av den ordinarie beslutsinstansen inte i praktiken kan leda till rättning hos den operativa myndigheten som har fattat det interimistiska beslutet. Utredningen instämmer i Datalagrings- utredningens analys och bedömer därför att det inte bör införas någon interimistisk beslutsmöjlighet. Behovet av interimistiska beslut är inte heller särskilt påtagligt om beslutet om inhämtning fattas av åklagare, eftersom det för dem finns rutiner för jour- och beredskapstjänstgöring, 13 § åklagarförordningen (2004:1265).

Besluten ska inte vara överklagbara

Åklagarbeslut är som huvudregel inte överklagbara. Det har inte framkommit något skäl att behandla beslut om inhämtning enligt IHL på annat sätt. Det kommer i normalfallet inte heller vara möjligt för den ansökande myndigheten att få till stånd en överprövning av beslutet inom Åklagarmyndigheten, även om det i undantagsfall skulle kunna förekomma (Riksåklagarens riktlinjer RåR 2013:1 s. 15). Eftersom överklagande endast kan bli aktuellt vid avslags- beslut, såvida inte ett offentligt ombud skulle delta i processen, skulle inte heller en överklagandemöjlighet innebära någon rättssä- kerhetsgaranti för den enskilde. Att införa offentliga ombud vid en prövning inför åklagare är inte aktuellt.

Plikten att omedelbart häva beslut ska åvila den ansökande myndigheten

IHL innehåller en föreskrift med innebörd att ett beslut om in- hämtning omedelbart ska hävas om det inte längre finns skäl för det (5 §). Även om det initiala beslutet nu föreslås ska fattas av åklagare

270

SOU 2017:75

Överväganden

bör skyldigheten att häva beslutet alltjämt vila på Polismyndigheten, Säkerhetspolisen och Tullverket. Skälet till det är att de nämnda myndigheterna har bäst förutsättningar att bedöma om det saknas skäl för ett beslut om inhämtning. För den beslutande åklagaren är det varken lämpligt eller möjligt att följa ett underrättelseärende så nära att denna bedömning kan göras med någon större precision.

Underrättelse till SIN ska göras av den ansökande myndigheten

Dagens reglering innebär att Polismyndigheten, Säkerhetspolisen och Tullverket har en skyldighet att underrätta SIN om ett beslut om inhämtning enligt IHL. Underrättelsen ska lämnas senast en månad efter det att ärendet om inhämtning avslutades, 6 § IHL.

En första fråga att besvara är om det även med utredningens för- slag, att åklagare ska fatta beslut enligt IHL, ska finnas en skyldighet att underrätta SIN. Ett argument för att ta bort denna skyldighet är att om besluten fattas av en oberoende myndighet så tunnas behovet av tillsyn ut (prop. 2011/12:55 s. 90 och 111). Det talar för att under- rättelsekravet skulle kunna slopas. Emellertid är det så att tillsynen inte är det enda argumentet för en underrättelse. Som utvecklas när- mare i avsnitt 12.8.5 kan underrättelseskyldigheten till SIN kompen- sera för att någon underrättelse till den enskilde inte görs vid beslut enligt IHL. Enligt utredningen bör därför underrättelseskyldigheten till SIN alltjämt finnas kvar.

Även om beslutsrätten enligt IHL skulle placeras hos åklagare bör skyldigheten att underrätta SIN även fortsättningsvis ligga kvar hos respektive myndighet. Skälet till det är att tidpunkten för under- rättelseskyldighetens fullgörande är kopplad till när ärendet om in- hämtning avslutas. Det är endast Polismyndigheten, Säkerhetspolisen och Tullverket som har kännedom om när ett ärende avslutas.

Personuppgifts- och sekretessregler utgör inget hinder för beslutsfattande av åklagare

Om åklagare får en roll som beslutsfattare enligt IHL så kommer personuppgifter och sekretessbelagd information att behöva lämna Polismyndigheten, Säkerhetspolisen och Tullverket för att skickas till den åklagare som ska fatta beslutet. De berörda myndigheternas

271

Överväganden

SOU 2017:75

personuppgiftsbehandling är emellertid kringgärdade med integri- tetsskyddande lagstiftning som reglerar både den egna myndighetens personuppgiftsbehandling och hur personuppgifter får lämnas ut till någon annan. Exempel på sådana lagar är polisdatalagen (2010:361) och åklagardatalagen (2015:433). Härutöver finns bestämmelser om sekretess i offentlighets- och sekretesslagen (2009:400).

Enligt utredningens bedömning finns inget hinder i någon av de nämnda lagarna för att uppgifter (även sekretessbelagda) ska kunna skickas till åklagare i anslutning till att denne ska fatta beslut. Åklagardatalagen utgör tillräckligt stöd för att åklagare ska kunna behandla personuppgifterna på automatiserad väg. Någon särskild sekretessbestämmelse för uppgifterna bedöms inte heller behövas, eftersom uppgifterna även hos åklagaren omfattas av sekretess- bestämmelserna i 18 kap. offentlighets- och sekretesslagen.

En särskild nämnd skulle vara mer lämpad än åklagare

När det gäller val av beslutsmyndighet finner utredningen skäl att lyfta fram följande. Polismetodutredningen föreslog i sitt betän- kande Särskilda spaningsmetoder (SOU 2010:103) att det skulle inrättas en särskild nämnd som skulle fatta beslut i underrättelse- verksamhet om tillstånd till särskilt ingripande åtgärder, t.ex. ljud- eller bildupptagning, identifiering av mobil elektronisk kommuni- kation och störning av sådan kommunikation (s. 311–313). Detta förslag bereds alltjämt i Regeringskansliet, vilket innebär att någon sådan nämnd inte finns för närvarande. En sådan nämnd skulle vara mer lämpad än åklagare att besluta om tillstånd till inhämtning enligt IHL. Enligt utredningens bedömning bör därför – om Polismetod- utredningens förslag genomförs i denna del – regeringen överväga att då lägga beslutsbefogenheten på denna nämnd i stället för på åklagare.

Särskilt om alternativet med domstol som beslutsorgan

Som ovan beskrivits gör utredningen bedömningen att domstol inte bör komma på fråga som beslutsorgan för ärenden enligt IHL. För det fall det i den fortsatta beredningen av detta betänkande skulle bedömas vara mer lämpligt med en domstolsprövning lämnas nedan en grund- struktur för hur en sådan ordning skulle kunna vara utformad.

272

SOU 2017:75

Överväganden

Ansökningar bör göras av respektive myndighet

Om domstol skulle bli beslutsmyndighet enligt IHL måste avgöras vilken myndighet som ska göra ansökan hos domstolen. Det som ligger närmast till hands är att respektive myndighet gör ansökan. Det är dock inte självklart att en sådan ordning är den mest lämpliga. Vid införandet av 2007 års preventivlag övervägdes nämligen om Polismyndigheten och Säkerhetspolisen skulle få ansöka direkt hos domstol (efter samråd med åklagare) eller om åklagare i stället skulle ha denna behörighet (prop. 2005/06:177 s. 67–68). Det noterades i det sammanhanget som en parallell att Polismyndigheten och Säker- hetspolisen har rätt att framställa yrkanden om hemliga tvångsmedel i domstol i ärenden enligt LSU (21 § LSU). Regeringen pekade dock på att i de större utredningar om allvarlig brottslighet som utförts med framgång regelmässigt har förevarit samarbete mellan åklagare, spanings- och underrättelseavdelning samt utredningsenheter på ett mycket tidigt stadium. Regeringen pekade också på att en ansökning enligt 2007 års preventivlag inrymmer svåra juridiska avvägningar. Regeringen bedömde därför att åklagare var mest lämpade att göra ansökan hos rätten enligt 2007 års preventivlag.

Det finns emellertid inte stöd för antagandet att behovet av att involvera åklagare är lika omfattande vid ärenden enligt IHL som vid ärenden enligt 2007 års preventivlag. Även om ärenden enligt IHL inrymmer svåra överväganden så har myndigheterna egen besluts- befogenhet i dag och ärendenas komplexitet är inte ensamt skäl att förlägga rätten att göra ansökningar hos åklagare. Enligt utredningen finns det, om domstolar ska få beslutsbefogenhet enligt IHL, i stället skäl att ta tillvara den vinst det innebär att inte behöva låta åklagare ha en större roll än nödvändigt i underrättelseprocessen. Ansök- ningen bör därför göras direkt av respektive myndighet.

Stockholms tingsrätt bör vara exklusivt forum

Det är svårt att hitta någon lämplig behörig domstol. På grund av ärendenas mycket känsliga natur där i princip hela ärendet är sekre- tessbelagt bör inte samtliga tingsrätter kunna handlägga ansökningar enligt IHL. Samtidigt kan det på grund av ärendenas potentiellt brådskande natur innebära en nackdel om det inte finns behöriga domstolar i en stor del av landet. Det kan dock samtidigt noteras att

273

Överväganden

SOU 2017:75

2007 års preventivlag har Stockholms tingsrätt som ensamt behörigt forum. För det fall allmän domstol ska få en roll som beslutsfattare enligt IHL gör utredningen samantaget bedömningen att Stock- holms tingsrätt bör vara exklusivt forum.

Offentliga ombud bör inte delta i handläggningen

Om beslutsbefogenheten i ärenden enligt IHL ska ligga hos allmän domstol är frågan om förfarandet, liksom vid vissa andra beslut om hemliga tvångsmedel, ska utformas som ett slags kontradiktorisk process (prop. 2002/03:74 s. 23). Av uppenbara skäl skulle i så fall inte den berörda kunna uppträda som part i domstolen. Dessutom finns inte alltid någon tydligt berörd person. För att uppnå det kontradiktoriska inslaget skulle det i stället kunna övervägas att inrätta en funktion med offentliga ombud (27 kap. 26–30 §§ RB). Ett sådant ombud skulle inte primärt ha till uppgift att företräda den enskilde som utsätts för tvångsmedlet utan i stället att företräda enskildas integritetsintressen i allmänhet. Ett offentligt ombud deltar i handläggningen vid domstol när det gäller hemlig avlyssning av elektronisk kommunikation, hemlig kameraövervakning och hemlig rumsavlyssning, men inte när det är fråga om hemlig övervakning av elektronisk kommunikation.

När bestämmelserna om offentligt ombud infördes bedömde regeringen att behovet av offentliga ombud var mindre för hemlig övervakning av elektronisk kommunikation än för andra hemliga tvångsmedel. Offentliga ombud skulle därför inte delta vid sådana ärenden men regeringen ansåg att frågan behövde övervägas ytter- ligare (prop. 2002/03:74 s. 24). Efter att Utredningen om vissa hem- liga tvångsmedel lämnat sitt betänkande SOU 2012:44 övervägde regeringen frågan på nytt (prop. 2013/14:237 avsnitt 7.2). Det bedömdes då att det integritetsintrång som tvångsmedlet kan med- föra typiskt sett är mindre än när det gäller de övriga tvångsmedlen samt att sådana frågor som offentliga ombud särskilt bevakar (t.ex. att ett tillstånd utformas på ett sådant sätt att legitima integritets- intressen tillgodoses) mer sällan torde komma upp vid hemlig över- vakning av elektronisk kommunikation; de möjliga variationerna av integritetsintrånget är typiskt sett avsevärt mindre för hemlig över- vakning av elektronisk kommunikation än för andra hemliga tvångs-

274

SOU 2017:75

Överväganden

medel. Dessutom ansåg regeringen att det finns ett värde i att de offentliga ombudens medverkan koncentreras till ärenden där behoven och funktionen av detta har visat sig vara starka.

De uppgifter som hämtas in enligt IHL är i princip samma uppgifter som kan erhållas genom hemlig övervakning av elektronisk kommunikation. De är dock något färre eftersom inhämtningen i fråga om uppgifter om meddelanden är begränsad till historiska upp- gifter som finns hos den som tillhandahåller ett elektroniskt kom- munikationsnät eller en elektronisk kommunikationstjänst. Integri- tetsintrånget blir därför i motsvarande utsträckning mindre. Utred- ningen anser att det är en välmotiverad ordning att offentliga ombud inte deltar i ärenden om hemlig övervakning av elektronisk kom- munikation; det har inte framkommit något, vare sig genom Tele2- domen eller i övrigt, som ger anledning till någon annan bedömning än den som regeringen gjorde efter översynen av Utredningen om vissa hemliga tvångsmedel. Eftersom inhämtning enligt IHL får anses mindre integritetskränkande än hemlig övervakning av elek- tronisk kommunikation bör det inte föreskrivas mer långtgående rättssäkerhetsgarantier i IHL. Om domstol skulle anförtros upp- giften som beslutsmyndighet enligt IHL är det därför utredningens uppfattning att offentliga ombud inte bör delta i beslutsprocessen.

Interimistiska beslut bör inte tillåtas

Som utvecklas ovan lämnar EU-rätten ett utrymme för interi- mistiska beslut. Tillämpat på IHL skulle det innebära att Polismyn- digheten, Säkerhetspolisen och Tullverket vid brådskande fall själva skulle få fatta beslut om inhämtning av uppgifter om elektronisk kommunikation i underrättelseverksamhet (alltså som i dag).

Vid val av domstol som beslutsorgan blir behovet av interi- mistiska beslut större än om åklagare skulle vara beslutsfattare, efter- som det får förmodas att domstolarna inte kan förmå att ha samma beredskap för ett snabbt beslutsfattande. Det gäller i än högre grad om förfarandet utformas med krav på muntlig förhandling. Sam- tidigt måste beaktas att om interimistiska beslut tillåts så blir i många fall den efterföljande domstolsprövningen en chimär. Det beror på att de flesta fall av inhämtning enligt IHL avser historiska uppgifter

275

Överväganden

SOU 2017:75

och om tjänstemannen på den brottsbekämpande myndigheten redan har tagit del av informationen så går det inte att göra ogjort.

Att inrätta en ordning där en överprövning av interimistiska beslut i många fall endast blir en illusion rimmar illa med rättsstatliga principer. Det nu anförda leder utredningen till slutsatsen att inga interimistiska beslut bör tillåtas. Den rättssäkerhetsvinst som uppnås genom ett förbud mot interimistiska beslut betalar sig olyckligtvis genom en något sämre effektivitet i inhämtningen.

Underrättelse till SIN ska göras av den ansökande myndigheten

I SIN:s uppdrag ingår bl.a. att utöva tillsyn över de brottsbekämpande myndigheternas användning av hemliga tvångsmedel (avsnitt 6.4.2). Det finns därför ett intresse för SIN att bli informerad om att dom- stolen gett en brottsbekämpande myndighet tillstånd att inhämta uppgifter om elektronisk kommunikation. På samma sätt som om beslutsrätten läggs på åklagare skulle en underrättelseskyldighet till SIN också kompensera för att någon underrättelse till enskild inte görs vid beslut enligt IHL (se även avsnitt 12.8.5). Enligt utred- ningen bör därför underrättelseskyldigheten till SIN alltjämt finnas kvar även om domstol fattar besluten.

Även om beslutsrätten enligt IHL skulle placeras hos domstol bör skyldigheten att underrätta SIN även fortsättningsvis ligga kvar hos respektive myndighet. Skälet till det är desamma som om åklagare skulle haft beslutsrätten, dvs. att tidpunkten för underrättelseskyldig- hetens fullgörande är kopplat till när ärendet om inhämtning avslutas.

RB bör tillämpas på förfarandet

På förfarandet bör tillämpas de regler i RB om styr handläggning av frågor om hemliga tvångsmedel i brottmål och om överklagande av beslut i sådana frågor. Procedurreglerna blir då i överensstämmelse med vad som gäller för andra hemliga tvångsmedel. Det innebär t.ex. att rättens beslut blir möjligt att överklaga för den ansökande myndigheten.

276

Överväganden

SOU 2017:75

Hemlig övervakning av elektronisk kommunikation

Utredningens bedömning: Reglerna om information till de berörda när det gäller hemlig övervakning av elektronisk kom- munikation uppfyller de krav som EU-rätten ställer.

Som framgår ovan finns det föreskrivet en underrättelseskyldighet i RB gentemot den enskilde vid användningen av hemliga tvångsmedel (avsnitt 6.4.2). Det finns dock vissa möjligheter att skjuta upp underrättelsen om de uppgifter som den ska innehålla omfattas av vissa typer av sekretess (27 kap. 33 § första stycket RB). Om sekre- tess fortfarande gäller ett år efter att förundersökningen avslutades behöver underrättelse inte lämnas. I sådana fall ska dock SIN under- rättas om beslutet att underlåta underrättelse, 14 b § andra stycket förundersökningskungörelsen (1947:948). Vissa brott som faller inom Säkerhetspolisens ansvarsområde är helt undantagna från underrättelseskyldighet (27 kap. 33 § tredje stycket RB).

EU-domstolen anger att risk för skada för utredningen kan moti- vera en uppskjuten underrättelse till den enskilde (p. 121 i domen). De svenska bestämmelserna är dock bredare och ger även möjlighet att skjuta upp underrättelse t.ex. vid sekretess på grund av risker för skada för landets försvar, 27 kap. 33 § RB och 15 kap. 2 § offentlig- hets- och sekretesslagen (2009:400). Det får dock anses att EU- domstolen inte uttömmande har angett vilka sekretessgrunder som kan anföras som skäl för att skjuta upp underrättelse. Det skulle nämligen vara svårbegripligt om den nu angivna sekretessgrunden (skydd för landets försvar) inte skulle få åberopas men man skulle få skjuta upp underrättelse för att skydda en enda brottsutredning. Även sekretess för att skydda polisens arbetsmetoder måste rimligen få åberopas till stöd för att skjuta upp underrättelse (18 kap. 1 § offentlighets- och sekretesslagen). Att EU-domstolen inte uttöm- mande har angett i vilka fall underrättelse får skjutas upp framgår också av hänvisningen till ”tillämpliga nationella förfaranden” (p. 121 i domen). Enligt utredningens bedömning bör således de svenska reglerna för att kunna skjuta upp underrättelse bibehållas.

EU-domstolen gör ingen bedömning i fråga om helt underlåten underrättelse. Domstolen berör endast uppskjuten underrättelse. Att den svenska rättordningen i vissa fall föreskriver att underrättelse till den enskilde helt kan underlåtas är dock inget som enligt utred-

278

SOU 2017:75

Överväganden

ningen står i strid med EU-rätten. För det första måste nämligen syftet med underrättelsen beaktas vid denna bedömning. Syftet är att bereda den enskilde möjlighet till en rättslig prövning vid kränkning av dennes rättigheter. Ju längre tiden går desto mer klingar intresset av en rättslig prövning av. För det andra så säkerställs att det utförs en kontroll av att tvångsmedelsanvändningen har skett på ett korrekt sätt genom att SIN underrättas i de fall den enskilde inte underrättas (14 b § förundersökningskungörelsen). Endast i de fall tvångs- medelsanvändningen avser vissa brott som utreds av Säkerhets- polisen kan underrättelse underlåtas helt och hållet (27 kap. 33 § tredje stycket RB och 14 b § andra stycket förundersöknings- kungörelsen). Utrymmet för staten att avvika från skyddsreglerna för att värna sina vitala intressen är också något som bejakas av dom- stolen (p. 119 i domen, som i och för sig rör för vilka personer myndigheterna ska få tillgång till uppgifter om).

När det gäller basstationstömning, dvs. vilka mobiltelefoner m.m. som har funnits inom ett visst geografiskt område, kan många icke misstänkta omfattas av åtgärden. Dessa personer underrättas typiskt sett inte om inhämtningen (27 kap. 31 § andra stycket RB). Enligt utredningen finns det två skäl som talar för att EU-rätten inte utgör hinder för en bibehållen sådan ordning. Det första är att EU-dom- stolen själv synes ge medlemsstaterna visst nationellt handlings- utrymme i denna fråga genom att hänvisa till ”tillämpliga nationella förfaranden” (p. 121). Det andra är att underrättelseinstitutet enligt EU-domstolen är avsett att möjliggöra för personer att kunna utöva sin rätt till rättslig prövning vid kränkning av deras rättigheter (p. 121). I fallet med basstationstömning som drabbar icke miss- tänkta är integritetsintrånget för varje enskild individ mycket begränsat, eftersom det normalt endast är fråga om en positions- bestämning vid ett specifikt tillfälle (avsnitt 12.8.3). Något egentligt behov av att ha tillgång till rättslig prövning finns därför inte för dessa personer. Det ska även i sammanhanget noteras att den behandling av de icke misstänktas personuppgifter som utförs hos polisen och Tullverket är kringgärdad av ett integritetsskyddande regelverk i form av polisdatalagen (2010:361) och tullbrottsdatalagen (2017:447).

Utredningen gör mot bakgrund av det nu anförda bedömningen att de svenska reglerna om uppskjuten och underlåten underrättelse är förenliga med de krav som EU-rätten uppställer.

279

Överväganden

SOU 2017:75

Inhämtning av uppgifter i underrättelseverksamhet

Utredningens bedömning: Reglerna om information till de berörda när det gäller inhämtning av uppgifter om elektronisk kommunikation i underrättelseverksamhet uppfyller de krav som EU-rätten ställer.

När det gäller inhämtning av uppgifter i underrättelseverksamhet enligt IHL finns ingen motsvarighet till RB:s krav på underrättelse till enskild. Frågan om ett sådant krav borde införas övervägdes i samband med att lagen infördes. Regeringen uttalade då, med hänvisning till SOU 2009:1, att en skyldighet att underrätta enskilda om inhämtning av uppgifter i underrättelseverksamhet, med hänsyn till verksamhetens framåtblickande perspektiv och övergripande natur, skulle riskera att motverka huvudsyftet med underrättelse- verksamheten. Vidare uttalade regeringen att en sådan skyldighet därför skulle behöva förses med en rad undantag och det skulle i många fall kunna ta lång tid innan en underrättelse kunde lämnas, och den eventuella identifiering och granskning av kommuni- kationen som måste föregå en underrättelse skulle kunna innebära ett ytterligare integritetsintrång. Det beaktades även att använd- ningen av uppgifterna i en förundersökning förutsätter tillstånd av domstol till hemlig övervakning av elektronisk kommunikation. I dessa fall, där uppgifterna innebär en påtaglig integritetspåverkan för en enskild, skulle därmed bestämmelserna om underrättelseskyldig- het i RB bli tillämpliga (prop. 2011/12:55 s. 107).

Det ska också noteras att i vissa fall är identiteten på den som omfattas av inhämtning enligt IHL inte känd på annat sätt än genom t.ex. ett smeknamn. I dessa fall är underrättelse omöjlig att lämna.

Som regeringen konstaterade vid införandet av IHL omfattas uppgifterna av sekretess – i många fall dessutom av sekretess som är särskilt viktig att bibehålla. Dessutom är den brottslighet som är aktuell vid inhämtning enligt IHL mycket angelägen att bekämpa effektivt. Det rör sig nämligen om grov brottslighet, antingen sett till de straff som kan utdömas (2 § IHL) eller sett till att brotten riktar sig mot centrala delar av samhället och staten (3 § IHL).

Som ovan anförs när det gäller hemlig övervakning av elektronisk kommunikation torde det finnas ett nationellt utrymme att underlåta underrättelse. Enligt utredningens bedömning täcker detta undantag

280

SOU 2017:75

Överväganden

in ett system där information till de berörda över huvud taget inte föreskrivs vid inhämtning av uppgifter om elektronisk kommuni- kation i underrättelseverksamhet. Vid denna bedömning har även beaktats att det finns en möjlighet för den enskilde att vända sig till SIN med en begäran att nämnden ska kontrollera om vederbörande har utsatts för inhämtning enligt IHL och om inhämtningen och behandlingen av uppgifterna varit lagenlig, 3 § lagen (2007:980) om tillsyn över viss brottsbekämpande verksamhet) samt att SIN under- rättas om beslut om inhämtning av uppgifter enligt IHL (6 §). Europadomstolen har godtagit att underrättelse inte lämnas till den berörde när liknande kontrollsystem funnits att tillgå (jfr Kennedy mot Förenade kungariket, 18 maj 2010, § 167 Roman Zakharov mot Ryssland, 4 december 2015, § 288). Enligt utredningens bedömning innebär det nu beskrivna regelsystemet således att det svenska regel- verket lever upp till de krav som EU-rätten ställer enligt EU-dom- stolen.

2007 års preventivlag

Utredningens bedömning: Reglerna om information till de berörda när det gäller hemlig övervakning av elektronisk kom- munikation enligt 2007 års preventivlag uppfyller de krav som EU-rätten ställer.

Som framgår ovan gäller att den som varit utsatt för övervakning enligt 2007 års preventivlag avseende vissa brott som huvudsakligen utreds av Polismyndigheten ska underrättas om tvångsmedels- användningen (avsnitt 6.4.2). Underrättelseskyldigheten gäller alltså inte för de brott som huvudsakligen utreds av Säkerhetspolisen.

Underrättelse kan skjutas upp om det gäller sekretess för upp- gifterna. Underrättelse får även underlåtas helt i vissa fall. Reglerna kring detta är utformade på motsvarande sätt som för underrättelse vid hemlig övervakning av elektronisk kommunikation enligt RB. De skäl som redovisas till stöd för utredningens uppfattning att under- rättelsereglerna i RB är förenliga med EU-rätten har giltighet även vid bedömningen av underrättelseskyldigheten enligt 2007 års preventivlag. Utredningens bedömning är därför att underrättelse- skyldigheten enligt 2007 års preventivlag är förenlig med EU-rätten.

281

Överväganden

SOU 2017:75

LSU

Utredningens bedömning: Avsaknaden av regler om infor- mation till de berörda vid särskild utlänningskontroll är inte i strid med EU-rätten.

Som redovisas ovan finns det ingen underrättelseskyldighet till enskild när hemlig övervakning av elektronisk kommunikation sker som ett led i en särskild utlänningskontroll. Det som kan bli aktuellt inom ramen för en särskild utlänningskontroll är utredning om ut- länningen eller en organisation eller grupp som han eller hon tillhör eller verkar för planlägger eller förbereder terroristbrott enligt 2 § lagen (2003:148) om straff för terroristbrott. Sådana brott är riktade mot statens centrala och vitala intressen och tillhör Säkerhetspolisens verksamhetsområde. Det finns därför starka sekretesskäl att vara restriktiv med underrättelser till enskild.

Som framgår ovan får EU-rätten anses vara mer tillåtande för undantag när det gäller så vitala statsintressen som det nu är fråga om, i synnerhet när dessa hotas av terrorism. Utredningen gör därför bedömningen att en underlåten underrättelseskyldighet vid tvångs- medelsanvändningen vid särskild utlänningskontroll är förenlig med EU-rätten.

I sammanhanget kan nämnas att hemlig övervakning av elektro- nisk kommunikation i samband med särskild utlänningskontroll är en mycket begränsad företeelse. Redovisningsperioden den 1 juli 2015–30 juni 2016 förordnades endast om tre fall av sådan över- vakning (skr. 2016/17:72 s. 4).

12.8.6Tillgången ska avse även uppgifter som lagras för operatörernas egna ändamål

Utredningens bedömning: De brottsbekämpande myndigheter- nas tillgång till uppgifter om elektronisk kommunikation ska alltjämt avse inte bara de uppgifter som sparas enligt datalagrings- reglerna utan också den information som sparas för operatörernas egna ändamål, t.ex. uppgifter som behövs för fakturering.

282

SOU 2017:75

Överväganden

Enligt direktiv 2002/58 gäller att operatörerna ska utplåna uppgifter när de inte längre behövs för sitt syfte att överföra kommunikation (artikel 6). Av samma artikel framgår att operatörerna, trots denna utplåningsskyldighet, får spara uppgifter i vissa fall. Utöver dessa uppgifter som enligt direktivet får sparas för egna ändamål finns det ett regelverk för lagring av uppgifter för brottsbekämpande ändamål. Man skulle alltså kunna uttrycka det som att operatörerna har två uppgiftsmängder: en för egna ändamål (som t.ex. fakturering) och en som de är ålagda att lagra enligt datalagringsreglerna (uppgifter som sparas för brottsbekämpande ändamål).

Tudelningen av de lagrade uppgifterna framgår för svenskt vid- kommande genom 6 kap. 16 a och 16 c §§ LEK. Av dessa bestäm- melser kan utläsas att de trafikuppgifter som lagras för brottsbekäm- pande ändamål endast får behandlas vid tillämpning av reglerna om hemliga tvångsmedel. Detta innebär att om Polismyndigheten efter- forskar en försvunnen person (utan misstanke om brott) eller Skatteverket behöver uppgifter i ett ärende om kontroll av skatt så får myndigheten inte tillgång till de uppgifter som är lagrade för brottsbekämpande ändamål, men däremot de uppgifter som finns lagrade för operatörens eget behov (6 kap. 22 § LEK jämförd med 16 a och 16 c §§ samma kapitel).

Det står alltså klart att endast de brottsbekämpande myndig- heterna har rätt att få tillgång till de uppgifter som är föremål för lagring enligt de speciella datalagringsreglerna. Vid det omvända förhållandet – alltså att de brottsbekämpande myndigheterna vill få åtkomst till uppgifter som lagras av operatörerna för eget behov – så finns inga begränsningar. De brottsbekämpande myndigheterna är alltså inte avskurna från tillgång till de uppgifter som en operatör lagrar för egna ändamål. En annan sak är att en sådan tillgång förut- sätter tillämpning av ett annat regelverk, t.ex. hemlig övervakning av elektronisk kommunikation med de begränsningar som följer av det regelverket (detta gäller självklart även vid tillgång till uppgifter som omfattas av lagringsskyldigheten).

Från det ovanstående måste skiljas de uppgifter som operatörerna behandlar på grund av sina åligganden att medverka till att förmedla meddelanden som är av vikt för allmänheten vid en olycka eller en annan allvarlig händelse (5 kap. 7 d § LEK). Dessa uppgifter får användas endast för att förmedla sådana meddelanden och får således

283

Överväganden

SOU 2017:75

inte tillgängliggöras för de brottsbekämpande myndigheterna (5 kap. 10 b § LEK).

Det ska i detta sammanhang nämnas att regleringen i 6 kap. 16 e § LEK innebär att operatörernas prissättning för att lämna ut uppgifter som inte omfattas av lagringsskyldigheten inte omfattas av PTS normgivningsbemyndigande. Det innebär att ett utlämnande av mycket likartade uppgifter kan skilja sig åt väsentligt i pris för de brottsbekämpande myndigheterna. Det är enligt utredningen en otillfredsställande ordning. Utredningen har dock inte inom ramen för sitt uppdrag haft möjlighet att lämna något förslag i denna del.

12.9Tillgången till abonnemangsuppgifter

Utredningens bedömning: Regleringen kring abonnemangs- uppgifter är förenlig med Sveriges internationella åtaganden.

Som tidigare nämnts omfattar inte Tele2-domen abonnemangs- uppgifter (avsnitt 12.2). Som framhålls där går det dock inte att i detta sammanhang underlåta att anlysera regleringen kring dessa uppgifter. Det ska inledningsvis konstateras att tillgång till abonnemangs- uppgifter inte utgör ett hemligt tvångsmedel (prop. 2013/14:237 s. 134) och sådana uppgifter har i sig inte ansetts vara särskilt integri- tetskänsliga, eftersom de endast ger uppgift om att personen är registrerad abonnent eller användare av ett visst abonnemang eller en ip-adress vid en viss tidpunkt (avsnitt 6.2.2). Det bör emellertid poängteras att abonnemangsuppgifter utgör kopplingen mellan annars relativt anonyma uppgifter och en fysisk person. I den egen- skapen är abonnemangsuppgifter både skyddsvärda och integritets- känsliga, ungefär på samma sätt som en krypteringsnyckel. De kan dock inte likställas med trafik- och lokaliseringsuppgifter, av vilka man kan dra betydligt mer precisa slutsatser om personers privatliv (p. 99 i Tele2-domen). Det är därmed inte heller möjligt att analogt tillämpa EU-domstolens resonemang om de brottsbekämpande myndigheternas tillgång till lagrade trafik- och lokaliseringsuppgif- ter. I stället måste utgångspunkt tas ur mer generella regler kring behandling av personuppgifter. I sammanhanget ska även poängteras att den begränsningen av tillgång till lagrade uppgifter som EU-dom- stolen uppställer i Tele2-domen, till att endast omfatta bekämpning

284

SOU 2017:75

Överväganden

av grov brottslighet, har sin utgångspunkt i artikel 15.1, som inte är relevant för abonnemangsuppgifter (p. 115 i Tele2-domen). Där- emot bör det även för abonnemangsuppgifter gälla att syftet med tillgångsbestämmelsen ska stå i proportion till hur allvarligt ingrepp i de grundläggande rättigheterna det innebär att ge tillgång till de lagrade uppgifterna.

På liknande sätt blir inte heller de höga krav som Europa- konvention ställer på hemliga tvångsmedel tillämpbara (jfr hänvis- ningarna i avsnitt 3.1.3 till Europadomstolens domar i målen Uzun mot Tyskland samt P.G. och J.H. mot Förenade kungariket, båda målen avsåg dessutom hemliga övervakningsåtgärder). Med den breda omfattning som skyddet för privatliv har (Europadomstolens dom den 16 februari 2000 i målet Amann mot Schweiz, § 65) får tillgången till abonnemangsuppgifter ändå anses innebära ett visst ingrepp i skyddet enligt artikel 8 i Europakonventionen och artikel 8 i rättighetsstadgan. Det krävs därför att tillgången är begränsad till vad som är strängt nödvändigt och proportionerligt i ett demokra- tiskt samhälle (artikel 8.2 i Europakonventionen och artikel 52.1 i rättighetsstadgan, Tele2-domen p. 96 och p. 122–124 i EU-dom- stolens yttrande 1/15 den 26 juli 2017).

Utifrån Europadomstolens praxis följer att Europakonventionen betraktar abonnemangsuppgifter som ett viktigt verktyg för att skydda brottsoffers rätt till upprättelse. Europadomstolen har näm- ligen i ett avgörande tolkat konventionen på så sätt att den innebär en förpliktelse för staterna att ha en lagstiftning som möjliggör åtkomst till abonnemangsuppgifter. Omständigheterna i avgörandet var i korthet följande. En okänd person hade gjort sig skyldig till förtal eller möjligen sexuellt ofredande av ett 12-årigt barn i Finland genom att lägga ut en påhittad kontaktannons av sexuell natur i 12- åringens namn. Gärningsmannen kunde inte identifieras på grund av att den nationella lagstiftningen inte möjliggjorde att uppgiften om förövarens identitet kunde inhämtas från operatören. I det aktuella fallet uttalade domstolen särskilt att konfidentialitet för kommuni- kation och yttrandefrihet ibland måste få vika för brottsbekämpande ändamål. Domstolen ansåg att Finland inte hade levt upp till sina skyldigheter enligt konventionen då det saknades lagstiftning som möjliggjorde för polisen att komma åt abonnemangsuppgifterna. (Europadomstolens dom den 2 december 2008 i målet K.U. mot Finland, särskilt § 49).

285

Överväganden

SOU 2017:75

Det kan alltså sägas att Europakonventionen inte bara tillåter en rättsordning där de brottsbekämpande myndigheterna i någon form ges tillgång till abonnemangsuppgifter, den påbjuder en sådan ord- ning. Utrymmet för Sverige att ha ett regelverk som över huvud taget inte tillåter de brottsbekämpande myndigheterna att komma åt abonnemangsuppgifter är således tämligen begränsat.

Eftersom det inte är fråga om en hemlig övervakningsåtgärd och ingreppet i privatlivet är begränsat i jämförelse med tillgång till trafik- och lokaliseringsuppgifter, finns det inte heller något krav på för- handskontroll av domstol eller annan oberoende myndighet, eller på underrättelse till de berörda (angående förhandskontroll jfr även analysen i Ds 2014:23 s. 23–24 och avseende underrättelse, se SOU 2015:31 s. 192–194 och prop. 2011/12:55 s. 108). Vid en jäm- förelse med t.ex. husrannsakan, som normalt får beslutas av under- sökningsledaren, är inhämtning av abonnemangsuppgifter betydligt mindre integritetskränkande, både i utförande och med beaktande av vilken information som kan fås fram. I någon mån kan också en jäm- förelse göras med inhämtande av annan identitetsinformation som omfattas av tystnadsplikt, såsom uppgift om innehavaraen av ett visst bankkort eller ännu mer integritetskänslig information, såsom hur bankkortet har använts, 1 kap. 10 och 11 §§ lagen (2004:297) om bank- och finansieringsrörelse.

Enligt utredningens bedömning behöver myndigheternas tillgång till abonnemangsuppgifter inte heller begränsas till misstanke om grov brottslighet. Ett intrång i skyddet för privatlivet torde normalt vara godtagbart om uppgifterna är nödvändiga för att det över huvud taget ska finnas förutsättningar för myndigheterna att utreda brottet, även om brottet har ett förhållandevis lågt straffvärde (Ds 2014:23 s. 68). När tillgångsbestämmelserna i 6 kap. 22 § första stycket 2 LEK utökades till att avse alla slags brott gjordes övervägandena bl.a. utifrån att trakasserier över internet och vuxnas kontakter med barn i sexuellt syfte blivit allt vanligare fenomen. Vid bedömningen av integritetsintrånget avseende utlämnande av abonnemangsinfor- mation om ip-adresser beaktades att privatpersoner ofta använder dynamiska ip-adresser. Det gjordes en avvägning mellan det integri- tetsintrång som ett utlämnande av abonnemangsuppgifter innefattar och den stora betydelse uppgifterna ofta kan ha för polisens möjlig- het att över huvud taget utreda brott som begås på internet. (prop. 2011/12:55 s. 102–103) Som framgår i avsnitt 7.3 fortsätter

286

SOU 2017:75

Överväganden

användandet av internet och telekommunikation att växa och det finns ingenting som talar för att it- och telekombrottsligheten avtar eller att de brottsbekämpande myndigheternas behov av abonne- mangsuppgifter minskat. Avvägandena framstår därmed fortfarande som giltiga. Mot bakgrund av detta framstår de brottsbekämpande myndigheternas tillgång till abonnemangsuppgifter som både strängt nödvändig och proportionell (se även avsnitt 12.6.4). Det gäller oav- sett om det gäller uppgifter som operatörerna lagrar för egna ända- mål eller endast i brottsbekämpande syfte.

Sammantaget är det utredningens bedömning att varken EU-dom- stolens dom eller Sveriges internationella åtaganden ger anledning att förändra förutsättningarna för de brottsbekämpande myndigheternas tillgång till uppgifter om abonnemang.

Utredningen noterar att Datalagringsutredningen har kommit med motiverade förslag på bl.a. beslutsbehörighet inom myndig- heten och dokumentationskrav samt att dessa förslag alltjämt bereds inom Regeringskansliet (SOU 2015:31 avsnitt 7.5). Utredningen kan konstatera att en reformerad beslutsordning kan leda till ökad rätts- säkerhet, ökade möjligheter att ta fram tillförlitlig statistik och att förfrågningarna till operatörerna blir mer enhetligt utformade.

12.10Skydds- och säkerhetsnivåer, lagring inom Sverige och utplåning

Utredningens förslag: Uppgifterna som omfattas av lagrings- skyldigheten får inte lagras utanför Sverige.

Utredningens bedömning: Reglerna om skydds- och säkerhets- nivå uppfyller de krav som EU-rätten ställer. Reglerna om ut- plåning uppfyller de krav som EU-rätten ställer.

12.10.1 Skydds- och säkerhetsnivåer

Som framgår ovan måste leverantörerna av elektroniska kommu- nikationstjänster enligt EU-domstolen garantera en särskilt hög skydds- och säkerhetsnivå för trafik- och lokaliseringsuppgifter genom lämpliga tekniska och organisatoriska åtgärder (avsnitt 9.9).

287

Överväganden

SOU 2017:75

Artikel 4 i direktiv 2002/58, som avser säkerhet i samband med behandling av uppgifter, berör personuppgifter generellt. EU-dom- stolens uttalanden om skydd och säkerhet för uppgifterna kan där- med få viss betydelse även för regleringen kring abonnemangsupp- gifter. Den särskilt höga skydds- och säkerhetsnivån som nämns i domen motiveras emellertid främst av att det är en stor mängd upp- gifter av känslig natur, vilket inte får samma bäring för abonne- mangsuppgifter.

I analysen i departementspromemorian Datalagring, EU-rätten och svensk rätt konstaterades att de svenska leverantörerna, genom regleringen i 6 kap. 3 a § LEK, som tar sikte på uppgifter lagrade enligt 16 a § samma kapitel, har en skyldighet att vidta de särskilda tekniska och organisatoriska åtgärder som behövs för att skydda uppgifterna, utan att de i den bedömningen tillåts ta några ekono- miska hänsyn. Den kritik EU-domstolen riktade mot direktivet i det hänseendet bedömdes därför inte relevant för den svenska regler- ingen. (Ds 2014:23 s. 90) Det saknas enligt utredningen anledning att göra någon annan bedömning nu. De svenska reglerna i detta avseende uppfyller alltså de krav EU-rätten uppställer.

När det gäller säkerhetsnivå konstaterades i analysen efter Digital Rights-domen att de svenska regler som ska säkerställa skyddet för de lagrade uppgifterna var tillräckligt strikta och precisa; bl.a. beak- tades de krav som följer av PTS föreskrifter. Enligt föreskrifterna gäller bl.a. att den lagringsskyldige ska bedriva ett kontinuerligt och systematiskt säkerhetsarbete samt att rutiner och processer i detta avseende ska dokumenteras. Vidare ska endast personal med särskild behörighet ha tillgång till de lagrade uppgifterna och all behandling av uppgifterna ska loggas. (Post- och telestyrelsens föreskrifter och allmänna råd om skyddsåtgärder i samband med lagring och annan behandling av uppgifter för brottsbekämpande ändamål, PTSFS 2012:4).

EU-domstolen har inte gjort något uttalande i den nu aktuella domen som gör att analysen efter Digital Rights-domen behöver frångås. Enligt utredningens bedömning uppfyller således den svenska regleringen i detta hänseende EU-rättens krav.

288

SOU 2017:75

Överväganden

12.10.2 Lagring inom Sverige

EU-domstolen anger att den nationella lagstiftningen måste före- skriva att datalagrade uppgifter inte ska få lagras utanför unionen (avsnitt 9.9). Vid den inledande analysen efter Digital Rights-domen föreslogs att frågan om ett förbud mot lagring utanför EU/EES borde utredas vidare (Ds 2014:23 s. 101). I den efterföljande analysen gjordes bedömningen att det inte bör införas något uttryckligt för- bud mot att uppgifter som lagras enligt de svenska datalagrings- reglerna förs över till tredje land (SOU 2015:31 s. 178). Genom EU- domstolens tydliga ställningstagande blir den nu nämnda bedöm- ningen inte längre hållbar. Enligt utredningen bör det därför i vart fall införas ett förbud mot att lagra de nu aktuella uppgifterna utan- för EU. För att regleringen ska bli enhetlig bör detsamma gälla abonnemangsuppgifter.

Som nämnts ovan (avsnitt 8.4.2) menade Datalagringsutredningen att lagring utomlands inte minskar möjligheterna att bedriva en aktiv och ändamålsenlig tillsynsverksamhet (se även prop. 2010/11:46 s. 58–60 och bet. 2010/11:JuU14 s. 13–14). Datalagringsutredningen noterade i och för sig att PTS befogenhet att få tillträde till områden, lokaler och andra utrymmen i praktiken endast kan utövas i Sverige. Däremot påverkades enligt samma utredning inte möjligheterna att utöva de övriga befogenheter myndigheten har till sitt förfogande, t.ex. att begära upplysningar eller att meddela förelägganden och förbud, av var leverantören väljer att lagra uppgifterna. Mot den bakgrunden kom Datalagringsutredningen till slutsatsen att PTS har möjlighet att bedriva en aktiv och ändamålsenlig tillsynsverksamhet även gentemot leverantörer som väljer att lagra uppgifter utanför unionen.

Även om man kan instämma i Datalagringsutredningens bedöm- ning är det ofrånkomligt att en skyldighet för operatörerna att lagra uppgifterna i Sverige skulle göra PTS tillsyn ännu mer potent. När nu regelsystemet måste förändras vore det enligt utredningen värde- fullt om den ytterligare förstärkning av tillsynen, som det skulle innebära med ett lagringskrav i Sverige, skulle tas till vara (se även p. 241 i generaladvokatens förslag till avgörande i Tele2-målet). Här- utöver finns det skäl att tro att konfidentialiteten skyddas på ett bättre sätt om uppgifter endast lagras i Sverige.

289

Överväganden

SOU 2017:75

Vidare blir det inte möjligt att i lagstiftningsarbetet göra en rättvis proportionalitetsbedömning, om det inte är möjligt att avgränsa vilka myndigheter (eller andra) som kan beredas tillgång till upp- gifterna och för vilket syfte. Någon närmare harmonisering av lagrings- och tillgångsbestämmelser avseende uppgifter om elektro- nisk kommunikation mellan staterna finns nämligen inte. Om uppgifterna lagras i ett annat land, som har en snävare lagrings- skyldighet men generösare tillgångsbestämmelser, kan användnings- området för uppgifterna bli oproportionerligt stort. En bestämmelse om att lagring inte får ske utanför Sverige kan således motiveras utifrån flera syften.

En nackdel med en begränsning till Sverige är att operatörer som har verksamhet i flera EU-länder inte kan centralisera sin lagring och på så sätt kostnadseffektivisera processen. Motsvarande nackdel gäller för operatörer som verkar både i och utanför EU.

Vid bedömningen av om det nu diskuterade lagringskravet ska införas är frågan om Sveriges åtaganden enligt dataskyddskon- ventionen hindrar det. Som beskrivs ovan förbjuder nämligen data- skyddskonventionen en nationell lagstiftning som endast av integri- tetsskyddsskäl (”for the sole purpose of the protection of privacy”, artikel 12.2) hindrar att personuppgifter förs över till en annan konventionsstat för att behandlas där (avsnitt 3.2.3).

Datalagringsutredningen synes närmast ha kommit till slutsatsen att en lagstiftning som påbjuder lagring endast inom EU inte skulle vara förenlig med Sveriges åtaganden enligt dataskyddskonventionen (SOU 2015:31 s. 181–182). Det finns dock skäl att numera ifråga- sätta den slutsatsen eftersom EU-domstolen i Tele2-domen har före- skrivit att lagring måste ske inom unionen och att lagring i kon- ventionsstater utanför EU alltså inte är tillåten. Vid ett första påseende kan EU-domstolens slutsats synas svårförenlig med data- skyddskonventionen, men EU-domstolen har uppenbarligen inte ansett att konventionen hindrar en sådan ordning. (I sammanhanget bör påpekas att samtliga EU-medlemsstater har ratificerat kon- ventionen). Förklaringen till EU-domstolens resonemang måste sökas i domskälen. Domstolen lyfter här fram inte bara integritets- aspekter utan även t.ex. konfidentialitet (p. 122). I resonemanget pekar även EU-domstolen på vikten av en effektiv tillsyn (p. 123) och hänvisar till Digital Rights-domen p. 68, i vilken myndighets- kontrollen anförs som det bärande skälet för att förbjuda lagring

290

SOU 2017:75

Överväganden

utanför unionen (se även generaladvokatens förslag till avgörande i Tele2-målet p. 241). Det kan visserligen argumenteras för att även tillsyn omfattas av ”protection of privacy”. Med beaktande av att bestämmelserna om tillsyn infördes först genom tilläggsprotokollet till dataskyddskonventionen och att detta inte har ratificerats av alla konventionsstater framstår emellertid inte det ha varit syftet. I förslaget till en ny dataskyddskonvention är kapitlet om tillsyn också placerat efter den motsvarande bestämmelsen om fri rörlighet för personuppgifter. Det framgår alltså att även om integritetsintresset har vägts in i EU-domstolens resonemang så har det inte varit ensamt avgörande (således inte ”the sole purpose”). Vid en sådan bedömning hindrar inte dataskyddskonventionen en ordning där lagring inte tillåts i andra konventionsstater.

Dataskyddskonventionen är för närvarande under reform men det finns inget som tyder på att nu aktuell bestämmelse i dataskydds- konventionen skulle få ett så annorlunda innehåll att bedömningen skulle bli annorlunda när den nya konventionen börjar tillämpas.

I sammanhanget ska noteras att direktiv 95/46 innehåller en reglering som i detta hänseende i stora drag motsvarar konventio- nens (skäl 9 och artikel 1.2) och som skulle kunna utgöra ett hinder mot att förbjuda att lagring sker i andra unionsländer. Detsamma gäller den kommande dataskyddsreformen (avsnitt 3.2.2). Det är inte möjligt att inom ramen för detta betänkande göra en tillräckligt djup analys av dataskyddsregleringen för att kunna bedöma om det utifrån ett EU-rättligt perspektiv är möjligt att förbjuda lagring i andra EU-länder.

Oavsett hur det dataskyddsrättsliga regelverket förhåller sig till olika former av geografiska begränsningar för lagringen måste beaktas att sektorn för elektronisk kommunikation i Sverige omfattas av säkerhetsskydd, dvs. skydd mot brott som riktar sig mot totalför- svaret eller rikets säkerhet i övrigt, säkerhetsskyddslagen (1996:627). PTS har tillsynsansvar över säkerhetsskyddet för bolag som verkar inom området för elektronisk kommunikation, 40 § säkerhets- skyddsförordningen (1996:633).

Av det nu sagda följer alltså att området för elektronisk kom- munikation är av vikt för rikets säkerhet och att PTS har ett till- synsuppdrag att fullfölja på området. Även om det som är mest skyddsvärt i telekomsektorn är själva driftsäkerheten i de allmänna näten så är utformningen av lagringsystemen en så integrerad del av

291

Överväganden

SOU 2017:75

driften att även den får anses vara en del av det som är skyddsvärt för rikets säkerhet. För att PTS ska kunna fullgöra sitt tillsynsansvar på säkerhetsskyddsområdet på ett effektivt sätt fordras att lagringen görs i Sverige. (Hur tillsynen enligt säkerhetsskyddslagen ska vara utformad är för närvarande föremål för överväganden, dir. 2017:32). Eftersom de centrala intressena för staten inte omfattas av EU-rätten utgör inte heller EU-rätten något hinder mot en sådan ordning.

Enligt utredningen bör det således införas ett förbud för opera- törerna att lagra uppgifterna utanför Sverige. Det ska i samman- hanget nämnas att lagring utanför Sverige inte torde förekomma alls eller endast i mycket liten utsträckning.

12.10.3 Utplåning

EU-domstolen har fastslagit att EU-rätten kräver att uppgifter som är föremål för datalagring oåterkalleligen ska förstöras när deras lagringstid har gått ut.

Bestämmelsen i 6 kap. 16 d § LEK ställer krav på leverantörerna att utplåna uppgifterna vid lagringstidens utgång eller, om en begäran om utlämnande inkommit men inte hunnit behandlas, så fort upp- gifterna har lämnats ut.

Den svenska regleringen är således i överensstämmelse med EU- rättens krav.

12.11 Tillsyn

Utredningens bedömning: Reglerna om tillsyn uppfyller de krav som EU-rätten ställer.

Som beskrivs ovan måste medlemsstaterna enligt EU-domstolen garantera att en oberoende myndighet kontrollerar att den skyddsnivå som säkerställs i unionsrätten iakttas vad gäller skyddet för fysiska personer vid behandlingen av personuppgifter (avsnitt 9.10).

I Sverige är tillsyn över personuppgiftsbehandling delvis upp- delad. När det gäller tillsynen över personuppgiftsbehandling gene- rellt är Datainspektionen tillsynsmyndighet. När det gäller den per- sonuppgiftsbehandling som utförs i brottsbekämpande verksamhet

292

Konsekvenser och genomförande

SOU 2017:75

13.1.1Beskrivning av branschen

De företag som är relevanta för förslagen i detta betänkande utgör tillsammans en mycket heterogen grupp bestående av cirka 500 före- tag. De erbjuder olika tjänster i segmentet och har en mycket varie- rande marknadsandel. Dessutom varierar deras storlek mätt i om- sättning kraftigt.

Bland mobiloperatörerna märks en tydlig fokusering kring fyra stora företag som tillsammans har en marknadsandel på cirka 95 procent. Den årliga omsättningen för det företag med störst marknadsandel ligger på 13 miljarder kronor samtidigt som ett av de företag med minst marknadsandel har en omsättning på 8 miljoner kronor. Av naturliga skäl varierar resultatet och balansomslutningen kraftigt mellan företagen. Även antalet abonnemang varierar kraftigt. Vissa av de små företagen räknar sina kunder i hundratal samtidigt som de största företagen har miljontals kunder.

I segmentet fast telefoni (inklusive ip-telefoni) finns ett företag med nästan 60 procent av marknaden. Det näst största har en marknadsandel som är på knappt 10 procent. Den årliga omsätt- ningen för det största företaget uppgår till 92 miljarder kronor samtidigt som ett av de minsta omsätter 14 miljoner kronor. Även i denna del av segmentet varierar resultatet och balansomslutningen kraftigt mellan företagen. Några redovisar sina kunder i hundratal, de flesta i tusental och några i hundratusental. Endast ett företag har över en miljon kunder.

Även i det segment som erbjuder internetabonnemang finns en fokusering kring några stora företag. De tre största har en mark- nadsandel på drygt 70 procent. Det närmast därefter har en andel på drygt 5 procent av marknaden. Därutöver finns det en stor mängd företag med en marknadsandel som understiger en procent. Det största företaget omsätter 92 miljarder kronor och ett av de minsta 12 miljoner kronor. På samma sätt som för övriga segment varierar resultat och balansomslutning kraftigt. Antalet abonnemang redo- visas för de flesta företagen i hundra- eller tusental. Fem av företagen räknar sina kunder i hundratusental och endast fyra i miljontal.

296

SOU 2017:75

Konsekvenser och genomförande

13.1.2Samhällsekonomiska konsekvenser

Stärkt integritets- och personuppgiftsskydd för medborgarna

Genom förslaget på en mindre omfattande lagring stärks skyddet för den enskildes privatliv och kommunikation; såväl intrånget som risken för intrång minskar. Färre uppgifter kommer att lagras om människors kommunikationer och rörelser och därmed lagras mindre information som gör det möjligt att dra slutsatser om indivi- ders vanor och företeelser. En mindre omfattande lagring och även begränsningen i sig torde också innebära att folks eventuella känsla av att vara konstant övervakade minskar.

Utöver att antalet känsliga uppgifter minskar förstärks skyddet för uppgifterna genom förslaget på ett förbud att lagra uppgifterna utanför Sverige. Skyddet ökar också genom att det inte längre blir möjligt i något fall för myndigheterna att få tillgång till de lagrade trafik- och lokaliseringsuppgifterna utan en förhandsprövning av en åklagare eller oberoende myndighet. Härigenom omgärdas upp- gifterna av ytterligare en rättssäkerhetsgaranti. Det kan därigenom antas att förtroendet för statens tvångsmedelsanvändning ökar.

En mindre omfattande lagring kan även få negativa följder för integritetsskyddet för den som är misstänkt för ett allvarligt brott. Ett sämre utbud av uppgifter och därmed en minskad nytta av hem- lig övervakning av elektronisk kommunikation kan i något fall leda till att mer integritetskränkande tvångsmedel måste användas i stället. Sammantaget bedöms dock förslaget innebära integritetsvinster.

En minskad brottsuppklarning för narkotika- och våldsbrottslighet

Lagringsskyldigheten minskar tämligen kraftigt.1 Effekten av hemlig övervakning av elektronisk kommunikation, som är beroende av till- gång till lagrade uppgifter, kommer därför att minska. Det kommer att påverka brottsuppklarningen på ett negativt sätt. I motsatt rikt-

1 Denna analys utgår i sin helhet från en jämförelse med dagens lagstiftning. I vart fall delar av den nuvarande lagstiftningen har inte tillämpats efter Tele2-domen och Kammarrätten i Stockholms dom. En i sin helhet tillämpbar lagstiftning innebär självklart att bekämpningen av brott förstärks kraftigt i förhållande till en motsvarande lag som inte tillämpas.

297

Konsekvenser och genomförande

SOU 2017:75

ning verkar utredningens förslag att NAT-teknik nu inte längre kommer att hindra en meningsfull inhämtning av uppgifter.

För att bedöma hur stora effekter förslagen får på brottsuppklar- ningen är en rimlig utgångspunkt att ställa tvångsmedelsanvänd- ningen i relation till den totala brottsutredande verksamheten. Där- efter måste försöka skattas hur stor påverkan förändringarna har på den brottutredande verksamheten. Dessutom bör fastställas för vilka brottstyper detta får störst effekt.

En uppenbar svårighet med denna analys är att hitta något mått på den brottutredande verksamheten som är rimligt att jämföra med tvångsmedelsanvändningen. Ett mått som redovisas både för tvångs- medelansvändningen och för den brottsutredande verksamheten är antalet personer som varit föremål för hemliga tvångsmedel respek- tive lagföring. Detta mått är dock förenat med en viss svaghet efter- som uttrycket lagföring endast omfattar åklagarens beslut om åtal, strafföreläggande och åtalsunderlåtelse samt beslut om företagsbot som ersättning för straff, men alltså inte nedlagda förundersök- ningar. Dock kan det självklart ha förekommit hemlig övervakning av elektronisk kommunikation även i en nedlagd förundersökning. Oavsett vilket mått man väljer så kommer det vara behäftat med svagheter och det är svårt att se att något annat mått skulle vara sär- skilt mycket bättre.

Under år 2016 lagfördes drygt 100 000 misstänkta personer genom Åklagarmyndigheten. För Ekobrottsmyndigheten var mot- svarande siffra knappt 2 000. Hemlig övervakning av elektronisk kommunikation användes mot drygt 2 000 personer. Säkerhets- polisen ingår inte i denna statistik. Myndigheterna använde alltså hemlig övervakning av elektronisk kommunikation mot cirka två procent av dem som var föremål för förundersökningar. Det är mot denna grupp utredningarna riskerar att försämras.

Nästa svårighet är att försöka skatta hur stor effekt förändrings- förslagen har på den brottsutredande verksamheten. Även om viktiga uppgifter så som lokalisering och tid för kommunikationen fortfarande lagras så kommer en stor andel av uppgifterna inte längre att omfattas av lagringskravet. Dessutom ska lokaliseringsuppgifter bara lagras en tredjedel av tiden, jämfört med dagens lagstiftning. Det ska dock noteras att de brottsbekämpande myndigheterna fort- farande kommer att ha tillgång till den uppgiftsmängd som sparas för operatörernas egna ändamål. Därtill kan det antas att andra infor-

298

SOU 2017:75

Konsekvenser och genomförande

mationskällor kan komma att användas i högre utsträckning i vissa fall och därmed minska de negativa effekterna av en minskad lagring. Om andra informationskällor kommer att användas kan det innebära en omfördelning av resurser, som får till följd att t.ex. färre mindre allvarliga brott klaras upp. Till analysen hör också att NAT-teknik inte längre att vara ett hinder för meningsfull inhämtning. Att problemet med NAT-teknik betraktats som ett stort problem av myndigheterna framgår t.ex. av Säkerhetspolisens remissvar på Data- lagringsutredningens betänkande. Däri lyfts farhågan att bestäm- melserna om hemlig övervakning av elektronisk kommunikation i praktiken kan bli helt meningslösa på grund av NAT-tekniken. När nu detta problem åtgärdas torde det vara en tämligen verkningsfull förstärkning av de brottsbekämpande myndigheternas förmåga att klara upp brott, särskilt när den begåtts med hjälp av internet. Icke desto mindre gör utredningen bedömningen att brottsuppklarningen torde komma att påverkas negativt i viss omfattning. Det är i princip omöjligt att göra en bedömning av hur många ouppklarade brott som blir följden av detta, men det är rimligt att tro att ytterligare ett antal brottslingar kommer att gå fria på grund av förslaget om en förändrad lagringsskyldighet.

Den brottslighet som kan komma att påverkas mest är narkotika- och våldsbrottslighet eftersom det är i dessa förundersökningar som hemlig övervakning av elektronisk kommunikation används mest. Dessutom är dessa utredningar ofta tidsödande och därmed behovet av äldre uppgifter större där än i andra utredningar.

Den minskade brottsuppklarning som möjligen kan inträffa torde inte vara tillräcklig för att påverka brottsligheten i samhället.

Vad gäller förslaget om förhandskontroll vid inhämtning enligt IHL bedöms det inte påverka brottsbekämpningen alls. Datalagringsutred- ningen fann inga tecken på att lagen överanvänts eller på annat sätt missbrukats av de brottsbekämpande myndigheterna (SOU 2015:31 avsnitt 9.2.3.10, jfr dock om viss kritik av SIN mot hur lagen tillämpas av de brottsbekämpande myndigheterna i avsnitt 12.8.4). Det kan därför inte antas att ett krav på förhandsprövning av en åklagare, i sig skulle innebära att inhämtningarna skulle minska.

299

Konsekvenser och genomförande

SOU 2017:75

En försämrad underrättelseverksamhet

Underrättelseverksamheten kommer att påverkas av den förändrade lagringsskyldigheten. De lagar som ger de brottsbekämpande myndig- heterna tillgång till uppgifter hos operatörerna i underrättelseverk- samheten är IHL och 2007 års preventivlag. Även effektiviteten i dessa lagar påverkas av en minskad lagringsskyldighet. Men på sam- ma sätt som i den brottsutredande verksamheten gynnas effektivi- teten av att NAT-tekniken inte längre kommer att vara ett hinder för meningsfull inhämtning. Även denna aspekt har lyfts fram av Säker- hetspolisen i sitt remissvar över Datalagringsutredningens betän- kande där myndigheten har pekat på att inhämtning enligt IHL kan bli helt meningslös på grund av NAT-tekniken.

Problemet med att kvantifiera påverkan på underrättelseverk- samheten är att den innehåller ännu färre mått på sin omfattning än vad utredningsverksamheten gör. Även om man skulle kunna kvanti- fiera omfattningen är det möjligen än svårare att bedöma hur under- rättelseverksamheten påverkas. Det som dock kan konstateras är att det i princip saknas straffprocessuella tvångsmedel som kan kompen- sera för sänkt effektivitet i de hemliga tvångsmedlen enligt IHL och 2007 års preventivlag. De försämringar i underrättelseverksamheten som blir följden av en minskad lagringsskyldighet kommer således inte att kunna kompenseras med andra åtgärder i någon större utsträckning. Påverkan på underrättelseverksamheten kommer därför sannolikt att bli större än på förundersökningsverksamheten.

Ingen påverkan på utlänningskontrollen

Antalet fall av användande av hemliga tvångsmedel vid LSU är mycket få, skr. 2016/17:72. Någon mätbar påverkan av en minskad lagringsskyldighet kommer därför inte att uppstå.

Kostnader för företagen

För de lagringsskyldiga inom it- och telekomområdet kommer det verka kostnadsdrivande att behöva anpassa sina datasystem till de nya förslagen. Operatörerna kommer även i vissa fall att behöva lagra många fler uppgifter än förut (om de använder NAT-teknik). Även

300

SOU 2017:75

Konsekvenser och genomförande

detta verkar kostnadsdrivande. Samtidigt innebär förslagen att många uppgifter som förut lagrades nu inte längre omfattas av lagrings- skyldigheten. I sin helhet bedöms dock lagringsmassan öka och där- med operatörernas löpande kostnader. Det är svårt att ens uppskatta den ökade lagringsmassan som är hänförlig till NAT-tekniken. Olika beräkningar ger olika svar och om de ingående parametrarna varierar något så ger det stor påverkan på den slutliga produkten. Det finns uppskattningar på att en miljon kunder genrerar en NAT-relaterad lagring på 150 terabyte per månad.2 En annan uppgift som förekom- mit är att NAT-relaterad lagring för samtliga svenska mobilabonne- mang skulle uppgå till drygt 80 terabyte per månad.3 Operatörerna själva har för utredningen uppgett att den extra lagringen för NAT skulle uppgå till 30 terabyte per månad för en normalstor internet- leverantör. Oavsett vilken siffra som hamnar närmast verkligheten kan det konstateras att själva lagringskapaciteten inte kommer att medföra särskilt betungande investeringar även om man beaktar att särskilda krav ställs på stabilitet och säkerhet. Det ska anmärkas att datautrymme är billigare i dag än vad det var när datalagringsskyldig- heten infördes.

I samband med att den nya regleringen införs kan det komma att behövas kostnadskrävande anpassningar för att datasystemen ska kunna klara av att hantera de potentiellt miljardtals uppgifter kopp- lade till NAT-teknik som kan bli nödvändiga att lagra. Operatörerna har å ena sidan för utredningen uppgett att ett sådant genomförande skulle medföra att kostnaderna skulle skjuta i höjden och hamna på helt orimliga nivåer, inte minst mot bakgrund av att operatörerna redan har gjort dyra investeringar i datalagringssystem grundat på den lagringsskyldighet som följer av dagens reglering. Å andra sidan har någon operatör uppgett att systemet i princip redan finns på plats, eftersom NAT-tekniken infördes medan datalagringsdirektivet fortfarande var gällande.

Även om operatörerna inte har förmått att kvantifiera kost- naderna som kommer att uppstå på grund av utredningens förslag är det uppenbart att de kommer att öka – i vart fall för de operatörer

2The Internet Engineering Task Force, Network Working Group https://tools.ietf.org/id/draft-donley-behave-deterministic-cgn-01.html, 18 januari 2012.

3PTS rapport från ÅF: NAT i mobila nätverk, 23 november 2015.

301

Konsekvenser och genomförande

SOU 2017:75

som använder NAT-teknik. Frågan är hur dessa kostnader ska för- delas.

Den nuvarande modellen för kostnadsfördelning mellan det all- männa och operatörerna innebär att operatörerna står för kostnaderna för anpassning, drift och underhåll och de brottsbekämpande myndig- heterna betalar en ersättning till operatörerna vid varje utlämnande av uppgifter. Denna ordning har sin utgångspunkt i ställningstagandet att det finns verksamhetsområden där samhället, som en förutsättning för att tillåta ett företag att driva näringsverksamhet, kräver att vissa samhälleliga intressen beaktas (prop. 2010/11:46 s. 67). Förutom att vila på detta principiella ställningstagande har en sådan modell för kostnadsfördelning även samhällsekonomiska fördelar. Den part som har möjlighet att påverka kostnaden har nämligen också ett ansvar för den. Operatörernas tekniska och administrativa kompe- tens på området utnyttjas härigenom, samtidigt som de har ett tydligt incitament att hålla kostnaderna för anpassning och drift nere. Med denna modell får de brottsbekämpande myndigheterna dessutom ett incitament att inhämta trafik- och lokaliseringsuppgifter bara då de anser det vara en effektiv metod som kan förväntas föra utredningsarbetet framåt. En sådan modell har tidigare bedömts som samhällsekonomiskt kostnadseffektiv (prop. 2010/11:46 s. 68). Utredningen delar denna bedömning. Eftersom ingen av de författ- ningsändringar som utredningen föreslår rubbar den ovan redovisade utgångspunkten eller de ovan redovisade fördelarna bör den gällande modellen för kostnadsfördelning inte frångås. Det innebär att operatörerna alltjämt ska stå för kostnader för anpassning (och drift och underhåll) samtidigt som det allmänna ska ersätta operatörerna för de kostnader som hänför sig till utlämnande av uppgifter i enskilda ärenden.

Som redovisas ovan är operatörsbranschen mycket heterogen och består av en mängd olika företag sett till t.ex. verksamhetsnisch, om- sättning och marknadsandel (avsnitt 13.1.1). Det skulle därför kunna antas att de har olika förutsättningar för att kunna anpassa sig till de förändrade reglerna. Det ska emellertid vägas in att datasystem kon- tinuerligt behöver översyn och uppdateringar, varför de förändringar som behövs med anledning av förslagen inte nödvändigtvis driver kostnaderna särskilt mycket utöver vad som annars skulle blivit fallet.

302

SOU 2017:75

Konsekvenser och genomförande

Utredningens bedömning är att både små och stora företag kom- mer att ha liknande förutsättningar att kunna anpassa sig till ett för- ändrat regelverk. Utredningen bedömer alltså att förslagen inte kommer att få någon betydande konkurrenspåverkan inom gruppen av operatörer och nätägare.

Det ska framhållas att verksamheter som enbart erbjuder tjänster inom fast telefoni helt kommer att undantas från lagringsskyldighet. Dessa företag måste genomföra systemanpassningar för att upphöra med lagringen samtidigt som de nu föreslagna ändringarna medför en viss besparing i längden. Någon större sammantagen påverkan på dessa operatörer förväntas därför inte.

13.1.3Offentligfinansiella effekter

Ingen förändrad kostnad för inhämtningen

Den nuvarande regleringen för inhämtning av uppgifter från opera- törerna innehåller regler om ersättning för kostnader som uppstår när lagrade uppgifter lämnas ut (6 kap. 16 e § LEK). Hur stor denna ersättning är bestäms av PTS (46 § FEK).

Det kan å ena sidan antas att förändringarna gör att myndig- heterna i något enstaka fall avstår ifrån att ställa en fråga till en operatör om den uppgift de eftersöker inte längre lagras. Å andra sidan kan det antas att myndigheterna i vissa andra fall kommer att behöva ställa fler frågor för att få den fullständiga bilden eftersom svaret på varje fråga nu blir något mindre informationsrik. Samman- taget gör utredningen bedömningen att kostnaderna som uppstår för myndigheterna när lagrade uppgifter begärs ut inte kommer att påverkas på något märkbart sätt.

Ökade kostnader för Åklagarmyndigheten

Åklagare föreslås få en roll vid beslutsfattande enligt IHL. Förslaget innebär att Åklagarmyndigheten kommer att få ökade kostnader, dels i form av ökade löpande kostnader för personal, dels i form av engångskostnader för it-anpassningar och utbildningar.

Totalt sett meddelades det 855 beslut enligt IHL under år 2016. Det vill säga cirka 16 beslut i veckan. Även om kostnaden för den

303

Konsekvenser och genomförande

SOU 2017:75

personalförstärkning som behövs för detta inte fullt ut motsvarar en heltidsarbetskraft måste det tas med i beräkningen att vissa beslut kommer att behöva fattas under obekväm arbetstid; i vart fall måste det finnas en beredskap för att kunna fatta sådana beslut. Åklagar- myndigheten bör därför få ett årligt tillskott om 1 miljon kronor.

Härutöver måste Åklagarmyndigheten anpassa sina it-system, ta fram nya beslutsmallar och utöka kompetensen på området. I viss ut- sträckning kan anpassningen av it-systemen göras inom ramen för sedvanlig uppdatering och utveckling. Det är emellertid nu fråga om att införa ett system som skiljer sig från vad som används i förunder- sökningsverksamheten och som möjligen kommer att kräva en högre grad av säkerhet. Kostnaden för systemanpassning kommer därför inte helt att kunna tas inom ramen för den sedvanliga it-utveck- lingen.

Det är svårt att närmare uppskatta de framtida kostnaderna för Åklagarmyndigheten för att anpassa sina it-system och utbilda sin personal. Som en jämförelse kan nämnas att när Ekobrottsmyndig- heten ålades att utföra statens talan i fråga om skattetillägg så upp- skattades kostnaden för it-anpassning och utbildning till en engångs- kostnad om 4 miljoner kronor (prop. 2014/15:131 s. 239). I sam- manhanget bör dock beaktas att arbetsuppgiften att föra talan om skattetillägg ligger något längre ifrån Ekobrottsmyndighetens kärn- område än vad beslut enligt IHL ligger jämfört med Åklagarmyndig- hetens kärnområde. Det får antas att en verksamhetsanpassning blir billigare ju närmare den nya arbetsuppgiften ligger den verksamhet som redan bedrivs inom myndigheten.

Mot den ovan tecknade bakgrunden gör utredningen bedöm- ningen att Åklagarmyndigheten kommer att behöva 3 miljoner kronor extra för de initiala kostnaderna i form av utbildning och it- anpassningar.

Även om det nu inte är fråga om en verksamhetsflytt i den meningen att saken ska underställas riksdagens prövning enligt budgetregelverket så innebär den nya beslutsordningen enligt IHL vissa besparingar för Polismyndigheten, Säkerhetspolisen och Tull- verket, men förmodligen inte fullt ut i samma utsträckning som kostnader uppstår för Åklagarmyndigheten. Trots detta föreslår utredningen att de resurser som Åklagarmyndigheten ska tillföras tillgängliggörs genom en höjning av Åklagarmyndighetes ramanslag och motsvarande minskning hos de nämnda myndigheterna. Med

304

Författningskommentar

SOU 2017:75

14.2Förslaget till lag om ändring i lagen (2012:278) om inhämtning av uppgifter om elektronisk kommunikation i de brottsbekämpande myndigheternas underrättelseverksamhet

4 §

Beslut om inhämtning av uppgifter fattas av åklagare efter ansökan av Polismyndigheten, Säkerhetspolisen eller Tullverket.

Ändringen innebär att åklagare pekas ut som ansvariga för att fatta beslut enligt IHL. Det klargörs också att ansökan ska komma från respektive myndighet. Övervägandena finns i avsnitt 12.8.4.

Som framgår av avsnitt 12.8.4 har åklagare som utgångspunkt generell befogenhet att utöva sitt ämbete, 6 § åklagarförordningen (2004:1265). Det finns dock skäl att för de nu aktuella ärendena begränsa kretsen av behöriga åklagare genom myndighetsinterna föreskrifter. Den skulle t.ex. kunna begränsas till åklagare vid Riks- enheten för säkerhetsmål, någon funktion på huvudkontoret eller på något annat sätt. Det ankommer på Åklagarmyndigheten att tillse att lämpliga sådana förskrifter beslutas. Det bör för tydlighets skull nämnas att det inte nu är fråga om att anförtro beslutanderätten till s.k. tullåklagare vid Tullverket.

5 §

I ett beslut om inhämtning av uppgifter ska det anges vilken brottslig verksamhet och vilken tid beslutet avser samt vilket telefonnummer eller annan adress, vilken elektronisk kommunikationsutrustning eller vilket geografiskt område beslutet avser. Tiden får inte bestämmas längre än nödvändigt och får, när det gäller tid som infaller efter beslutet, inte överstiga en månad från dagen för beslutet.

Om det inte längre finns skäl för ett beslut om inhämtning av uppgifter, ska beslutet omedelbart hävas av den ansökande myndigheten.

Paragrafen ändras som en följd av att åklagare blir behöriga att fatta beslut enligt IHL. Övervägandena finns i avsnitt 12.8.4.

I andra stycket anges att det fortfarande är Polismyndigheten, Säkerhetspolisen och Tullverket som har en rätt och en skyldighet

308

SOU 2017:75

Författningskommentar

att bevaka behovet av inhämtningen och att beslutet omedelbart ska hävas om det inte längre finns behov av åtgärden.

6 §

Säkerhets- och integritetsskyddsnämnden ska underrättas om ett beslut om inhämtning av uppgifter enligt denna lag. Underrättelsen ska lämnas senast en månad efter det att ärendet om inhämtning avslutades.

Underrättelse enligt första stycket ska fullgöras av den ansökande myndig- heten.

Andra stycket är nytt. Ändringen innebär att det alltjämt är de ansökande myndigheterna (Polismyndigheten, Säkerhetspolisen och Tullverket) som har ansvar för att SIN underrättas om ett beslut om inhämtning. Övervägandena finns i avsnitt 12.8.4.

14.3Förslaget till förordning om ändring

i förordningen (2003:396) om elektronisk kommunikation

37 §

Den lagringsskyldige ska vidta de åtgärder som krävs för att skydda uppgifterna mot oavsiktlig eller otillåten förstöring och oavsiktlig förlust eller ändring. Sådana åtgärder ska även vidtas för att förhindra otillåten lagring, behandling av eller tillgång till och otillåtet avslöjande av uppgif- terna. Uppgifterna får göras tillgängliga endast för personal med särskild behörighet.

Uppgifterna får inte lagras utanför Sverige.

Post- och telestyrelsen får, efter att ha hört Polismyndigheten, Säker- hetspolisen och Datainspektionen, meddela närmare föreskrifter om de åtgärder som ska vidtas enligt första och andra styckena.

309

Författningskommentar

SOU 2017:75

Tredje stycket är nytt. Övervägandena finns i avsnitt 12.10.2. Änd- ringen innebär att de uppgifter som lagras enligt 6 kap. 16 a § LEK inte får lagras utanför Sverige.

38 §

För att fullgöra lagringsskyldigheten i 6 kap. 16 a § lagen (2003:389) om elektronisk kommunikation ska den lagringsskyldige lagra de uppgifter som anges i 39 och 40 §§.

Paragrafen är ändrad till följd av att 39 § ersatt tidigare 43 § och 40 § ersatt tidigare 39–42 §§.

39 §

När det gäller internetåtkomst ska följande lagras:

1.användares ip-adress och annan uppgift som är nödvändig för att identifiera abonnent och registrerad användare,

2.uppgifter om abonnent och registrerad användare,

3.datum och spårbar tid för på- och avloggning i tjänsten som ger internet- åtkomst, och

4.uppgifter som identifierar den utrustning där kommunikationen slutligt avskiljs från den lagringsskyldige till den enskilda abonnenten.

Om den som slutligt avskiljer kommunikationen till den enskilda abon- nenten är någon som inte omfattas av 6 kap. 16 a § lagen (2003:389) om elek- tronisk kommunikation, ska första stycket 4 gälla för den som avskiljer kommunikationen till den som slutligt avskiljer kommunikationen till den enskilda abonnenten.

Paragrafen reglerar vilka uppgifter som ska lagras för internetåtkomst. Den ersätter tidigare 43 §. Övervägandena finns i avsnitt 12.6.4.

De uppgifter som ska lagras regleras i första stycket och är med något undantag desamma som i nuvarande 43 §, även om någon språklig ändring gjorts. En betydande ändring har emellertid gjorts av styckets första punkt.

Enligt första punkten ska användarens ip-adress lagras. Till skillnad från vad som gäller i dag, ska även uppgift som är nödvändig för att identifiera abonnent och registrerad användare lagras. Ändringen är föranledd av att många operatörer använder sig av NAT-teknik där

310

SOU 2017:75

Författningskommentar

flera abonnenter använder samma publika ip-adress. För att kunna identifiera rätt abonnent eller registrerad användare krävs därför i vissa fall att även flera ip-adresser och andra uppgifter lagras. Vilka uppgifter som ska lagras är beroende av vilken teknik som opera- tören använder men det kan t.ex. vara publik och lokal ip-adress (dvs. den som används mellan abonnent och internetleverantör) och port. Innehållet i kommunikation, destinations-ip (t.ex. vilka webb- sidor en person besökt) eller annan information om hur användaren trafikerat internet får inte lagras med stöd av denna bestämmelse. Detsamma gäller uppgifter som kan härleda hur trafiken gått efter att den avskilts till abonnenten eller den registrerade användaren, t.ex. den ip-adress som tilldelas en enhet inom ett hemmanätverk. Tidsuppgifter torde däremot vara nödvändiga att lagra. Om ip-adress eller annan uppgift som omfattas av bestämmelsen ändras under pågående uppkoppling ska även de nya uppgifterna lagras. Att både ip-adress och uppgift står i singular utesluter inte att flera ip-adresser eller att flera andra uppgifter kan behöva lagras för att uppfylla kravet på att uppgifterna ska möjliggöra identifikation av abonnen- ten eller den registrerade användaren. Bestämmelsen innebär inte att uppgifter ska lagras om anonymiseringstjänster som aktiveras först efter internetåtkomst, t.ex. VPN (Virtual Private Network). PTS bör i enlighet med 44 § utfärda närmare föreskrifter om vilka närmare uppgifter som enligt denna bestämmelse ska lagras.

Av andra punkten följer att uppgifter om abonnent och registrerad användare ska lagras. De uppgifter som avses är t.ex. namn, adress och person- eller organisationsnummer. Att ”i förekommande fall” inte längre anges för registrerad användare beror på att alla uppgifter ska lagras endast i förekommande fall. Någon ändring i sak är alltså inte avsedd. Finns det flera abonnenter eller registrerade användare ska uppgifter om samtliga dessa lagras.

I tredje punkten regleras vilka tidsuppgifter som ska lagras. Med spårbartid avses tidsangivelse där förhållandet till UTC (SP) (den tillämpning av den internationella tidsskalan UTC som används i Sverige) framgår. Uppgiften ska vara så precis som möjligt.

Fjärde punkten innebär att uppgifter som identifierar den utrust- ning där kommunikationen slutligt avskiljs från den lagringsskyldige till den enskilda abonnenten ska lagras. Den utrustning som avses är den sista utrustningen inom den lagringsskyldiges kontroll. Vid fast internetåtkomst innebär det t.ex. fibermodem eller telefonjack och

311

Författningskommentar

SOU 2017:75

vid mobil internetåtkomst utrustning i baststationen, oftast en cell, eller en router vid ett allmänt trådlöst nätverk. Uppgift som kan identifiera utrustningen kan vara ett unikt identitetsnummer, t.ex. MAC-adress, eller annan uppgift om utrustningens identitet som genereras eller behandlas av den lagringsskyldige i samband med internetåtkomsten. Vid mobil internetåtkomst motsvarar uppgifterna i princip lokaliseringsuppgifter vid telefonitjänst.

Av andra stycket framgår att om den som slutligt avskiljer kom- munikationen till den enskilda abonnenten är någon som inte omfattas av 6 kap. 16 a § (dvs. inte omfattas av lagringsskyldigheten) ska det lagras uppgifter som identifierar utrustningen vid den punkt där kommunikationen avskiljs till den som slutligt avskiljer kom- munikationen till den enskilda abonnenten, i stället för vid den punkt där kommunikationen avskiljs till den enskilda abonnenten. Bestäm- melsen gäller alltså punkten mellan å ena sidan det sista i kedjan av nät som ägs av någon som omfattas av lagringsskyldigheten och å andra sidan ett nät som inte omfattas av lagringsskyldigheten.

40 §

När det gäller telefonitjänst och meddelandehantering via en mobil nät- anslutningspunkt ska följande lagras:

1.uppringande och uppringt nummer eller motsvarande adress,

2.såvitt avser telefonitjänst uppringandes och uppringds abonne- mangsidentitet och utrustningsidentitet,

3.uppgifter om abonnent och registrerad användare som uppgifterna i 1 och 2 kan hänföras till,

4.datum och spårbar tid då kommunikationen påbörjades och avslutades eller ett meddelande skickades och mottogs,

5.såvitt avser telefonitjänst lokaliseringsuppgifter då kommunikationen påbörjades och avslutades, och

6.datum, spårbar tid och lokaliseringsuppgifter för den första aktiveringen av en förbetald anonym tjänst.

Paragrafen reglerar vilka uppgifter som ska lagras för telefoni- och meddelandetjänster. Den ersätter nuvarande 39–42 §§. Övervägan- dena finns i avsnitt 12.6.3.

Av paragrafens inledning framgår att endast kommunikation via en mobil nätanslutningspunkt omfattas av lagringsskyldigheten. Med mobil nätanslutningspunkt avses t.ex. en mobiltelefon som kopplar

312

SOU 2017:75

Författningskommentar

upp mot en mobilmast eller ett mot wifi som tillhandahålls av någon som omfattas av lagringsskyldigheten, men inte när en mobiltelefon ansluter till ett privat trådlöst nätverk. Om endast en av parterna kommunicerar mobilt (t.ex. med en mobiltelefon eller en dator med mobilt bredband) ska den partens operatör lagra uppgifterna, men inte operatören för den part som kommunicerar via fast anslutning. Det torde i vissa fall kunna uppstå situationer när den lagrings- skyldige inte har all information som krävs för att avgöra om lagringsskyldighet har inträtt för en viss kommunikation. Det kan t.ex. vara så att det saknas information om huruvida ett meddelande har skickats från en mobil eller fast nätanslutning. Ett sådant exem- pel kan, beroende på teknisk lösning, vara att en operatörs e-post- tjänst används av någon som är uppkopplad mobilt genom en annan operatör. I dessa fall ska inte uppgifterna lagras.

Flera uppgifter omfattas inte längre av lagringsskyldigheten. De uppgifter som fortfarande ska lagras motsvarar respektive uppgift enligt nuvarande lydelser, även om någon språklig ändring gjorts.

Första punkten innebär att det nummer eller annan adress som har använts för att inleda kommunikationen och som är målet för kom- munikationen ska lagras. Oftast är uppringande och uppringd adressen av samma slag. Uppringt nummer eller motsvarande adress avser den adress som användaren anger för att initiera en kommuni- kation med motparten. För telefonitjänst är det ett telefonnummer (E.164-nummer) och för meddelandehantering kan det t.ex. vara ett telefonnummer, användarnamn eller en e-postadress. Lagrings- skyldigheten innefattar även icke fullständiga nummer som slagits och s.k. skräppost (som hamnar direkt i mottagarens mapp för skräppost eller borttagna meddelanden). Däremot omfattas inte meddelanden som filtreras bort av tjänsteleverantören och därmed aldrig når mottagaren. Kommunikation via telefoni- och med- delandetjänster som tillhandadahålls av någon som inte omfattas av 6 kap. 16 a § LEK, t.ex. via Whatsapp eller Hotmail, omfattas inte av lagringsskyldigheten.

Av andra punkten följer att abonnemangs- och utrustningsidenti- tet ska lagras vid telefonitjänst. En vanligt förekommande abonne- mangsidentitet för mobiltelefoner är IMSI-nummer. Utrustnings- identitet kan vara t.ex. IMEI-nummer och MAC-adress.

Enligt tredje punkten ska uppgifter om abonnent och registrerad användare lagras. De uppgifter som avses är t.ex. namn, adress och

313

Författningskommentar

SOU 2017:75

person- eller organisationsnummer. Att ”i förekommande fall” inte längre anges för registrerad användare beror på att alla uppgifter ska lagras endast i förekommande fall. Någon ändring i sak är alltså inte avsedd. Finns det flera abonnenter eller registrerade användare ska uppgifter om samtliga dessa lagras.

I fjärde punkten regleras vilka tidsuppgifter som ska lagras. Med spårbar tid avses tidsangivelse där förhållandet till UTC (SP) (den tillämpning av den internationella tidsskalan UTC som används i Sverige), framgår. Uppgiften ska vara så precis som möjligt.

Av femte punkten framgår att lokaliseringsuppgifter ska lagras, men bara vid telefonitjänst. Så precis uppgift som möjligt ska lagras, vilket för närvarande oftast torde vara kommunicerande cell tillsam- mans med cellens position och riktning, dvs. det geografiska område som cellen täcker. Även vid t.ex. publika trådlösa nätverk, som till- handahålls av en lagringsskyldig, ska motsvarande uppgifter lagras.

Enligt sjätte punkten ska uppgifter som genereras vid den första aktiveringen av en förbetald anonym tjänst (oregistrerat kontant- kort) lagras. Uppgifterna ska fortsätta lagras hela lagringstiden även om den förbetalda tjänsten registreras efter aktiveringen.

41 §

Med stöd av 6 kap. 16 d § lagen (2003:389) om elektronisk kommunikation förordnas att:

1.uppgifter som avses i 39 § första stycket 1–3 ska lagras i tio månader,

2.uppgifter som avses 39 § första stycket 4 och andra stycket samt 40 § 1–4 och 6 ska lagras i sex månader, och

3.uppgifter som avses i 40 § 5 ska lagras i två månader.

Paragrafen reglerar lagringstiderna för uppgifterna som ska lagras enligt 39 och 40 §§. Övervägandena finns i avsnitt 12.7.2.

44 §

Post- och telestyrelsen får meddela närmare föreskrifter som rör de uppgifter som ska lagras enligt 39 och 40 §§. Post- och telestyrelsen får också meddela föreskrifter om vilka närmare uppgifter som ska lagras enligt 39 och 40 §§.

314

SOU 2017:75

Författningskommentar

Övervägandena finns i avsnitt 12.6.6.

Paragrafen är ändrad till följd av att 39 § ersatt tidigare 43 § och 40 § ersatt tidigare 39–42 §§.

Ändringen i första meningen till formuleringen ”som rör” är endast för paragrafen ska bli mer lättläst med den nya andra meningen. PTS behörighet har förtydligats i andra meningen. PTS har enligt bestäm- melsen behörighet att föreskriva vilka exakta uppgifter som ska lagras för att lagringsskyldigheten enligt respektive paragraf och punkt ska vara uppfylld. Bestämmelsen blir främst relevant för 39 § första stycket 1, se ovan kommentar till den bestämmelsen. Man kan dock tänka sig att teknikutveckling eller andra omständigheter nöd- vändiggör föreskrifter även för andra delar av lagringsskyldigheten. Som framgår av avsnitt 12.6.6 ska lagringsskyldighetens ramar framgå i lag. PTS kan alltså inte utvidga lagringsskyldigheten med stöd av denna bestämmelse, varken i förhållande till lag eller för- ordning.

1.Denna förordning träder i kraft den 1 december 2018.

2.Lagringsskyldigheten enligt 39 § första stycket 1 om annan uppgift som är nödvändig för att identifiera abonnent och registrerad använ- dare behöver inte tillämpas förrän den 1 april 2019.

Övervägandena kring övergångsbestämmelserna finns i avsnitt 13.2. Övergångsbestämmelserna innebär att förordningen träder i kraft

den 1 december 2018. Den del av 39 § första stycket 1 FEK som innebär att de lagringsskyldiga ska lagra annan uppgift som är nöd- vändig för att identifiera abonnent och registerad användare behöver inte tillämpas före den 1 april 2019. Det innebär att de övriga upp- gifter som avses i 39 § första stycket 1 (t.ex. portnummer) omfattas av lagringsskyldigheten först från och med den 1 april 2019. Det finns dock inget hinder för en lagringsskyldig, som är klar med sin systemanpassning, att påbörja lagringen dessförinnan.

315

Källförteckning

SOU 2017:75

Ds 2014:23 Datalagring, EU-rätten och svensk rätt. SOU 2015:31 Datalagring och integritet.

SOU 2016:65 Ett samlat ansvar för tillsyn över den personliga integriteten.

SOU 2017:29 Brottsdatalag.

SOU 2017:57 Lag om flygpassageraruppgifter i brottsbekämpningen. SOU 2017:52 Så stärker vi den personliga integriteten.

Propositioner och regeringens skrivelser

Prop. 1988/89:124 Om vissa tvångsmedelsfrågor.

Prop. 1990/91:118 Förslag till lag om särskild kontroll av vissa utlänningar, m.m.

Prop. 2002/03:74 Hemliga tvångsmedel – offentliga ombud och en mer ändamålsenlig reglering.

Prop. 2002/03:110 Lagen om elektronisk kommunikation, m.m. Prop. 2005/06:173 Översyn av personuppgiftslagen.

Prop. 2005/06:177 Åtgärder för att förhindra vissa särskilt allvarliga brott.

Prop. 2006/07:63 En anpassad försvarsunderrättelseverksamhet.

Prop. 2006/07:133 Ytterligare rättssäkerhetsgarantier vid användan- det av hemliga tvångsmedel, m.m.

Prop. 2009/10:80 En reformerad grundlag.

Prop. 2009/10:85 Integritet och effektivitet i polisens brottsbekäm- pande verksamhet.

Prop. 2010/11:46 Lagring av trafikuppgifter för brottsbekämpande ändamål – genomförande av direktiv 2006/24/EG.

Prop. 2011/12:55 De brottsbekämpande myndigheternas tillgång till uppgifter om elektronisk kommunikation.

Prop. 2011/12:146 Skyddsåtgärder för trafikuppgifter lagrade för brottsbekämpande ändamål.

Skr. 2012/13:47 Hemlig teleavlyssning, hemlig teleövervakning och hemlig kameraövervakning vid förundersökning i brottmål under år 2011.

318

SOU 2017:75

Källförteckning

Prop. 2013/14:237 Hemliga tvångsmedel mot allvarliga brott.

Skr. 2016/17:69 Redovisning av användningen av hemliga tvångs- medel under år 2015.

Skr. 2016/17:72 2016 års redogörelse för tillämpningen av lagen om särskild utlänningskontroll.

Prop. 2016/17:113 Viktigt meddelande till allmänheten via telefon.

Prop. 2016/17:180 En modern och rättssäker förvaltning – ny för- valtningslag.

Prop. 2016/17:186 Fortsatt giltighet av en tidsbegränsad bestäm- melse i inhämtningslagen.

Utskottsbetänkanden

Bet. 1981/82:JuU54 Om parlamentarisk kontroll i fråga om tele- fonavlyssning.

Bet. 2011/12:JuU8 De brottsbekämpande myndigheternas tillgång till uppgifter om elektronisk kommunikation.

Bet. 2011/12:JuU26 Skyddsåtgärder för trafikuppgifter lagrade för brottsbekämpande ändamål.

Bet. 2016/17:FöU12 Viktiga meddelanden till allmänheten via telefon.

Bet. 2017/18:KU2 En modern och rättssäker förvaltning – ny förvaltningslag.

Rättsfall

Högsta domstolen

NJA 2010 s. 122.

NJA 2015 s. 631.

Kammarrätten

RK 2010:1.

Tele2 Sverige AB mot Post- och telestyrelsen, mål 7380-14, 12 maj 2015. Post- och telestyrelsen mot Bahnhof AB, mål 2699-16, 16 juni 2016.

319

Källförteckning

SOU 2017:75

Post- och telestyrelsen mot Bahnhof AB, mål 3256-17, 9 juni 2017.

Tele2 Sverige AB mot Post- och telestyrelsen, mål 7380-14, 22 december 2016.

Förvaltningsrätten

Tele2 Sverige AB mot Post- och telestyrelsen, mål 14891-14, 13 oktober 2014.

Bahnhof AB mot Post- och telestyrelsen, mål 6895-16, 7 april 2016. Bahnhof AB mot Post- och telestyrelsen, mål 6895-16, 5 maj 2017.

EU-domstolen

Åkerberg Fransson, mål C-617/10, 26 februari 2013.

Digital Rights Ireland Ltd, mål C-293/12, och Kärntner Landesregierung m.fl., C-594/12, 8 april 2014.

Maximillian Schrems, mål C-362/14, 6 oktober 2015.

Tele2 Sverige AB, mål C-203/15, och Tom Watson m.fl. mål C-698/15, 21 december 2016.

Tele2 Sverige AB, mål C-203/15, och Tom Watson m.fl. mål C-698/15, förslag till avgörande av generaladvokaten Henrik Saugmandsgaard Øe, 19 juli 2016.

EU-domstolens yttrande 1/15, 26 juli 2017.

Europadomstolen

Klass m.fl. mot Tyskland, mål 5029/71, 6 september 1978. Leander mot Sverige, mål 9248/81, 26 mars 1987.

Kopp mot Schweiz, mål 23224/94, 25 mars 1998.

Osman mot Förenade kungariket, mål 23452/94, 28 oktober 1998. Amann mot Schweiz, mål 27798/95, 16 februari 2000.

Rotaru mot Rumänien, mål 28341/95, 4 maj 2000.

P.G. och J.H. mot Förenade kungariket, mål 44787/98, 25 september 2001.

320

SOU 2017:75

Källförteckning

Greuter mot Nederländerna, mål 40045/98, beslut den 19 mars 2002. von Hannover mot Tyskland, mål 59320/00, 24 juni 2004.

Segerstedt-Wiberg m.fl. mot Sverige, mål 62332/00, 6 juni 2006. Weber och Saravia mot Tyskland, mål 54934/00, 29 juni 2006.

Dumitru Popescu mot Rumänien, (nr 2), mål 71525/01, 26 april 2007.

Liberty m.fl. mot Förenade Kungariket, mål 58243/00, 1 juli 2008.

K.U. mot Finland, mål 2872/02, 2 december 2008.

S.och Marper mot Förenade kungariket, mål 30562/04 och 30566/04, 4 december 2008.

Iordachi m.fl. mot Modaliven, mål 25198/02, 10 februari 2009. Natunen mot Finland, mål 21022/04, 31 mars 2009. Janatuinen mot Finland, mål 28552/05, 8 december 2009.

Kennedy mot Förenade kungariket, mål 26839/05, 18 maj 2010.

Uzun mot Tyskland, mål 35623/05, 2 september 2010. Gillberg mot Sverige, mål 41723/06, 2 november 2010. Söderman mot Sverige, mål 5786/08, 12 november 2013. Dragojević mot Kroatien, mål 68955/11, 15 januari 2015.

Roman Zakharov mot Ryssland, mål 47143/06, 4 december 2015. Szabó och Vissy mot Ungern, mål 37138/14, 12 januari 2016.

Övriga domstolar

Oberverwaltungsgericht für das Land Nordrhein-Westfalen (Tyskland), mål 13 B 238/17, interimistiskt beslut, 22 juni 2017.

Acordam na 1.ª Secção do Tribunal Constitucional (Portugal), dom 420/2017, 13 juli 2017.

Myndighetspraxis

Säkerhets-	och	integritetsskyddsnämnden	uttalande,	dnr	169-2015,
18 november 2015.
Säkerhets-	och	integritetsskyddsnämnden	uttalande,	dnr	206-2015,
16 mars 2016.

321

Källförteckning SOU 2017:75

Säkerhets- och integritetsskyddsnämnden uttalande, dnr 130-2016, 14 september 2016.

Litteratur

Danelius, Hans (2015) Mänskliga rättigheter i europeisk praxis, 5:e uppl.

Lindberg, Gunnel (2012) Straffprocessuella tvångsmedel, 3:e uppl.

Lindberg, Håkan (2009) Introduktion till IP – Internet Protocol, version 2.0.

Naarttijärvi, Markus (2013), För din och andras säkerhet, Kon- stitutionella proportionalitetskrav och Säkerhetspolisens preven- tiva tvångsmedel.

Naarttijärvi, Markus (2016), Övervakning av metadata som spelplan för rättsliga principkonflikter, ingår i antologin Övervakning och integritet : teknik, skydd och aktörer i det nya kontrollandskapet.

Övrigt

Article 29 data protection working party WP 220, 1 augusti 2014. Article 29 data protection working party WP 237, 13 april 2016.

Cameron, Iain Balancing data protection and law enforcement needs: Tele2 Sverige and Watson, Common Market Law Review, kommande artikel 2017.

Europarådet resolution 1970, 29 januari 2014. Europarådet rekommendationer 2033, 29 januari 2014.

Europarådet Report on European standards as regards the indepen- dence of the judicial system: Part II – The prosecution service adopted by the Venice commission, 17–18 december 2010.

Europarådet www.coe.int/en/web/portal/28-january-data- protection-day-factsheet

European Police Office (Europol) IOCTA 2016 Internet Organised Crime Threat Assessment, 2016.

Europeiska kommissionen Commission Staff Working Document, bilaga till det förslag till direktiv som ledde fram till antagandet av

322

SOU 2017:75

Källförteckning

direktiv 2006/24, SEK(2005) 1131, 21 september 2005, celex- nummer: 52005SC1131.

Europeiska kommissionen Utvärderingsrapport av direktiv 2006/24, celexnummer: 52011DC0225.

Europeiska unionens råd Rådets slutsatser om vägen till ett förbättrat informationsutbyte och säkerställande av interoperabiliteten mellan EU:s informationssystem, 10151/17, 8 juni 2017.

Finska Kommunikationsministeriet Rapporter och utredningar 9/2017.

Förenta nationerna Annual report of the United Nations High Commissioner for Human Rights and reports of the Office of the High Commissioner and the Secretary-General, A/HRC/27/37, 30 juni 2014.

The Internet Engineering Task Force Network Working Group https://tools.ietf.org/id/draft-donley-behave-deterministic-cgn- 01.html, 18 januari 2012.

Internetstiftelsen i Sverige Svenskarna och internet 2016.

Leswing, Kif Apple says people send as many as 200,000 iMessages per second, Business insider, 12 februari 2016.

Necessary and Proportionate https://necessaryandproportionate.org OECD OECD Digital Economy Outlook 2015, december 2015. Polismyndigheten och Tullverket Drogsituationen i Sverige, 2016.

Post- och telestyrelsen skrivelse till Ekobrottsmyndigheten, dnr 15-1185, 26 februari 2015.

Post- och telestyrelsen NAT i mobila nätverk, 23 november 2015.

Post- och telestyrelsen Svenskarnas användning av telefoni och inter- net 2015, PTS-ER-2015:29, 10 december 2015.

Post- och telestyrelsen Svensk Telekommarknad 2016, PTS-ER- 2017:10, 22 maj 2017.

Privacy International National Data Retention Laws since the CJEU’s Tele-2/Watson Judgment, september 2017.

Säkerhets- och integritetsskyddsnämnden årsredovisning 2015. Säkerhets- och integritetsskyddsnämnden årsredovisning 2016.

Åklagarmyndigheten Redovisning av användningen av vissa hemliga tvångsmedel under 2016, 31 maj 2017.

323

Särskilda yttranden

SOU 2017:75

Datalagring och integritet (SOU 2015:31) hänvisat till 29-gruppens uttalande med anledning av Digital Rights-domen4, i vilken det framhålls särskilt att datalagringsreglerna bör utformas på ett sådant sätt att masslagring av alla typer av uppgifter undviks och att lagringen i stället blir föremål för lämpliga differentieringar, begräns- ningar eller undantag5.

Enligt min mening innebär utredningens förslag till ändrade bestämmelser att lagringen av information om kommunikationen fortfarande kommer att vara en huvudregel, vilket i enlighet med vad EU-domstolen uttalat i Tele2-målet går utöver vad som är accepta- belt enligt direktiv 2002/58 och EU:s rättighetsstadga. Den differen- tiering som utredningen föreslår är långt ifrån tillräcklig. Vad lagringsskyldigheten kallas är inte väsentligt, det är dess effekter som är avgörande. Jag kan konstatera att det fortfarande är fråga om en generell och till stor del odifferentierad lagring som omfattar väldigt stora mängder trafikuppgifter och lokaliseringsuppgifter för samtliga abonnenter och nästan alla elektroniska kommunikationsmedel. De nya begränsningar som föreslås av utredningen, t.ex. att fast telefoni inte ska omfattas, är närmast att betrakta som marginella i samman- hanget i förhållande till den tekniska utvecklingen och användar- mönster. Lagringen berör fortfarande på ett allomfattande sätt personer som använder elektroniska kommunikationstjänster utan att dessa personer ens indirekt befinner sig i en situation som kan föranleda lagföring. Det går inte ihop med EU-domstolens tolkning vilken bland annat uttalar att de materiella villkoren i den nationella lagstiftningen måste vara sådana att den klart avgränsar åtgärdens omfattning och följaktligen den berörda personkretsen6.

Vilka möjligheter finns då för fortsatt lagring av information? I skälen för EU-domstolen ett resonemang kring riktad lagring. Utredningen har dock avfärdat en riktad lagring som en framkomlig lösning.

För det första anser utredningen att EU-domstolens argumen- tation kring riktad lagring är att närmast betrakta som obiter dictum dvs. uttalande som inte är relevant för rättsfrågan som prövas. Utredningens resonemang framstår här som forcerat, där syftet med

4Domstolens dom den 8 april 2014 i de förenade målen C-293/12 och C-594/12.

5Se Datainspektionens remissyttrande daterat den 28 augusti 2015, dnr 902-2015.

6Se skäl 110.

326

SOU 2017:75

Särskilda yttranden

att EU-domstolen för en argumentation kring riktad lagring inte har analyserats tillräckligt. Utredningen har även bort analysera argument för att domen innebär ett krav på riktad lagring och inte fokuserat på argument mot.

För det andra anser utredningen att en riktad lagring inte möter behovet från de brottsbekämpande myndigheterna. Experterna från de brottsbekämpande myndigheterna har i utredningen med stor tyngd visat på ett starkt behov av att uppgifter lagras i minst samma omfattning som före EU-domstolens dom. En riktad lagring kräver ett aktivt beslut att ”slå på” lagringen och det framhålls, utifrån ett verksamhetsperspektiv, som ett stort problem. Skälet är att det är svårt att i förväg veta hur man ska rikta lagringen. Jag delar utred- ningens bedömning att ett verksamhetsperspektiv starkt talar mot en riktad lagring men konstaterar samtidigt att lagringen måste rymmas inom de juridiska ramar som EU-domstolen och lagstiftningen satt upp.

Vad talar då för att EU-domstolen förespråkar en riktad lagring?

För det första bygger hela domstolens resonemang på att det måste finnas en begränsning i lagringsskyldigheten och att begränsningen måste vara så pass omfattande att huvudregeln inte kan anses vara att uppgifter ska lagras. En riktad lagring har alla förutsättningar att uppfylla detta.

För det andra framför EU-domstolen i skäl 108 att en nationell lagstiftning inte hindrar en riktad lagring, som differentieras utifrån personkrets, tidsperiod och situation. Även i skäl 105-106 och i skäl 108-111 argumenterar EU-domstolen kring en riktad lagring.

För det tredje måste det finnas en koppling, om än indirekt, mellan lagringskyldigheten och grov brottslighet. Här konstaterar EU-domstolen i skäl 105 och 111 bl.a. att den nationella lagstift- ningen i målet är tillämplig på personer beträffande vilka de inte föreligger något indicium som ger anledning att tro att deras beteende ens kan ha ett indirekt eller avlägset samband med grov brottslighet. Det ligger i sakens natur att en generell lagring aldrig kan uppfylla detta kriterium medan en riktad lagring kan göra det.

Jämfört med de argument som utredningen presenterar och de faktorer som enligt min uppfattning talar för en riktad lagring, väger

327

Särskilda yttranden

SOU 2017:75

de förstnämnda lätt. Min tolkning av EU-domstolens dom är således att det utrymme som finns för nationell lagstiftning är begränsat till en riktad lagring.

Särskilt om abonnemangsuppgifter och räckvidden av EU- domstolens dom

EU-domstolen konstaterar i domen att de uppgifter som leveran- törer av elektroniska kommunikationstjänster är skyldiga att lagra gör det möjligt att få kännedom om med vilken person en abonnent eller registrerad användare har kommunicerat med och på vilket sätt, hur länge kommunikationen varat och från vilken plats kommuni- kationen skett7. Enligt EU-domstolen gör uppgifterna det möjligt att kartlägga de berörda personerna på ett sätt som är lika känsligt ur integritetssynpunkt som själva innehållet i kommunikationen8. Det är noterbart att bland uppgifterna som räknas upp av domstolen så finns ip-adresser med9.

Det sagda väcker frågan i vilken omfattning som utredningens slutsats att abonnemangsuppgifter inte omfattas av EU-domstolens dom är korrekt. Det är också den slutsatsen som ligger till grund för att utredningen inte föreslår några förändringar i den svenska hanteringen av abonnemangsuppgifter. Enligt utredningen omfattas endast trafikuppgifter och lokaliseringsuppgifter av domen.

Jag anser att utredningen inte problematiserar tillräckligt kring förhållandet hur framförallt ip-adresser och andra abonnemangs- uppgifter ska betraktas enligt EU-rätten och inte heller analyserar detta tillräckligt. För att analysen ska bli fullständig krävs t.ex. att den behandlar de argument som talar för att ip-adresser omfattas av domen. Det finns enligt min bedömning skäl som talar för att ip- adresser, som lagras i trafikloggar, är trafikuppgifter och att lagringen därför omfattas av domen.

Det som idag omfattas av det svenska begreppet abonnemangs- uppgift, där ip-adresser med tiden kommit att ingå, är en rest från telelagen. Som utredningen konstaterar har abonnemangsuppgifter ibland kallats för kataloguppgifter eftersom informationen som kan

7Se skäl 98.

8Se skäl 99.

9Se skäl 98.

328

Särskilda yttranden

SOU 2017:75

Särskilt yttrande av Anders Ahlqvist, Anna Olander Selldén, Katarina Bigovic Apitzsch, Carin Ewald Möller och Hans Harding

Inledning

Grova brott orsakar stora skador för enskilda och samhället. Sam- hället ansvarar för medborgarnas trygghet och rättssäkerhet. Både för medborgarna i allmänhet och för brottsoffren är det angeläget att förutsättningarna för att klara upp grova brott och för att kunna förhindra brott redan på planeringsstadiet är så goda som möjligt.

Att de brottsbekämpande myndigheterna har tillgång till trafik- och lokaliseringsuppgifter är avgörande för en effektiv bekämpning av grov brottslighet, inklusive sådan som är kopplad till nationell säkerhet. Utredaren anger att om de brottsbekämpande myndig- heterna inte skulle ha tillgång till adekvata utredningsverktyg i den elektroniska miljön så skulle grova brott i vissa fall vara omöjliga att klara upp och brottsoffer i motsvarande omfattning vara skyddslösa (avsnitt 12.3). Vissa brott skulle i praktiken bli straffria och många målsägande skulle aldrig kunna få upprättelse. Utredaren konstaterar också att staten har en skyldighet att skydda enskildas privatliv och personliga integritet mot intrång som begås av andra enskilda och, om intrång görs, se till att brotten utreds. Enligt utredaren skulle det inte vara förenligt med Sveriges internationella åtaganden att inte ge de brottsbekämpande myndigheterna möjlighet att effektivt utreda brott i den elektroniska miljön. Dessa utgångspunkter bör vara fundamentala för lagstiftarens syn på frågan om datalagring.

Lagringsskyldigheten infördes för att säkerställa att uppgifterna kommer brottsbekämpningen till del genom de aktuella tvångsmed- len. I de delar lagringsskyldigheten begränsas kommer den garantin inte att finnas kvar. Resultatet blir att myndigheterna vid bekämp- ning av den grova brottsligheten får hoppas på turen att operatörerna ändå har sparat uppgifterna, t.ex. för fakturering. Detta kommer i många fall att få allvarliga följder, inte minst eftersom lagrings- skyldigheten redan idag innebär att enbart ett minimum av strängt nödvändiga uppgifter ska lagras.

330

SOU 2017:75

Särskilda yttranden

oumbärliga. Det gäller i såväl underrättelse- som förundersöknings- verksamhet. Uppgifterna används i stort sett i varje utredning av grov brottslighet. Ofta är uppgifterna dessutom den första och enda ingången i utredningarna och ger nyckeln till det vidare arbetet. Utan denna nyckel kommer dörren till framgång många gånger att förbli stängd.

Lagringsskyldigheten i Sverige är redan begränsad

Utredarens uppdrag har varit att anpassa det svenska regelverket till EU-rätten såsom den uttolkas i EU-domstolens förhandsavgörande den 21 december 2016 i de förenade målen C-203/15 och C-698/15. EU-domstolen har i sin tur tolkat EU-rätten i skenet av den beskriv- ning av den svenska lagstiftningen som Kammarrätten i Stockholm har presenterat i sin begäran om förhandsavgörande.

Kammarrätten har i sin beskrivning av de svenska bestämmelserna om lagring av uppgifter om elektroniska kommunikation olyckligtvis gett EU-domstolen intrycket att den svenska lagringsskyldigheten omfattar ”samtliga personer, samtliga kommunikationsmedel och samtliga trafikuppgifter”. EU-domstolen konstaterar utifrån detta att den svenska lagstiftningen avser samtliga elektroniska kommuni- kationsmedel och samtliga trafikuppgifter. Den slutsatsen kan dock ifrågasättas. Sanningen är att lagringsskyldigheten omfattar endast en del därav. Det kan inte uteslutas att kammarrättens beskrivning har lett EU-domstolen fel, då domstolen i sina domskäl kommer fram till att den svenska lagstiftningen har gjort undantaget (från princi- pen att säkerställa konfidentialiteten för kommunikation) till huvud- regel (se domskäl 89 och 97–104).

Man måste därför, som utredaren anger (avsnitt 12.4.2), tolka EU-domstolens slutsatser i ljuset av hur kammarrätten ställde sina frågor.

Många av de kommunikationsmedel som den moderna män- niskan idag använder och många av de trafik- och lokaliserings- uppgifter som operatörerna behandlar omfattas inte av den svenska lagringsskyldigheten.

Exempelvis omfattas inte följande uppgifter av lagringsskyldig- heten (se avsnitt 12.4.2):

331

Särskilda yttranden

SOU 2017:75

–position när ett meddelande skickades och när det mottogs,

–position under ett mobilsamtal,

–position vid fast telefoni,

–utrustningsidentitet vid skickade och mottagna meddelanden,

–utrustningsidentitet vid fast telefoni,

–abonnemangsidentitet vid skickade och mottagna meddelanden,

–abonnemangsidentitet vid internetåtkomst,

–uppgifter om samtal med annat än vanligt telefonnummer (där- ibland uppringande och uppringt nummer, tid och position),

–uppgift om port och lokal ip-adress (dvs. den som används mellan abonnent och internetleverantör) vid internetåtkomst,

–meddelandehantering och ip-telefoni,

–uppgifter om samtal som inte kopplas fram på grund av tekniskt fel eller dylikt (däribland uppringande och uppringt nummer, tid, utrustning och position) och

–rena lokaliseringsuppgifter (positioner som inte är kopplade till kommunikation eller internetåtkomst).

Lagringsskyldigheten omfattar inte heller

–web-surf (besök på hemsida),

–kommunikation mellan två ip-adresser som inte är telefoni (t.ex. Skype- och Vibersamtal),

–internetbaserad e-post såsom hotmail och g-mail,

–VPN-tjänst,

–FTP (filöverföring),

–chat (meddelandetjänst),

–sociala medietjänster (såsom Facebook, Twitter, Viber, Whatsapp m.fl.) och

–informationssamhällestjänster (såsom Blocket, E-bay m.fl.).

332

SOU 2017:75

Särskilda yttranden

Som utredaren konstaterar (avsnitt 12.4.2) är det alltså långt ifrån samtliga trafik- och lokaliseringsuppgifter som omfattas av lagrings- skyldigheten. Den är redan idag klart begränsad.

Lagringsskyldigheten innefattar i stället enbart en minimilista, som, redan när den kom till, uppfyllde bara de absolut mest grund- läggande behoven vid utredning av grov brottslighet. Teknikutveck- lingen för dessutom med sig att minimilistan relativt sett blir mindre och mindre i förhållande till samtliga de trafik- och lokaliserings- uppgifter som operatörerna behandlar och som brottsbekämpande myndigheter skulle kunna ha nytta av i sitt arbete. Sett ur denna synvinkel kan man därför ifrågasätta riktigheten av EU-domstolens beskrivning av den svenska lagstiftningen som att lagringen har gjorts till huvudregel i stället för att vara ett undantag (jfr dom- skäl 104). Enligt vår uppfattning är lagring redan idag ett undantag och inte en huvudregel.

EU-domstolens bedömning av vad som är en acceptabel omfatt- ning av lagringsskyldigheten hade rimligen kunnat få ett annat utfall, om domstolen hade utgått från det riktiga förhållandet, att den svenska lagringsskyldigheten inte på långa vägar omfattar ”samtliga kommunikationsmedel och samtliga trafikuppgifter”.

Det som nu sagts innebär bl.a. att bedömningsutrymmet är stort i fråga om vad som är en acceptabel omfattning av lagringsskyldig- heten. I avvägningen mellan samhällsnyttan och graden av intrång i enskildas skyddade rättigheter är vår uppfattning att det finns större utrymme för en lagringsskyldighet än vad utredarens förslag ger uttryck för.

EU-domstolen kräver en ändring av svensk rätt

Likväl går det nu inte att tolka EU-domstolens dom på ett annat vis än att den fordrar att den svenska lagstiftningen på datalagrings- området reformeras och lagringen relativt sett begränsas. Utredarens uppdrag har således varit att utifrån tolkning av EU-domstolens dom finna en ny balans mellan tillvaratagandet av den personliga integri- teten och en effektiv brottsbekämpning. Även om det förväntade resultatet av utredningen från vårt perspektiv var en försämring av datalagringen, vill vi likväl uttrycka vår uppskattning för utredarens arbete och hans ambition att bevara någon form av datalagring för

333

Särskilda yttranden

SOU 2017:75

brottsbekämpningsändamål värd namnet. Utredningen vittnar om ett gediget arbete utfört inom en snävt begränsad tidsram.

Synpunkter på förslagen i utredningen

Vi kommer i det följande att lämna några synpunkter på förslagen i utredningen. Vi vill med detta särskilt belysa att varje form av ned- skärning av datalagring för brottsbekämpningsändamål kommer att få allvarliga återverkningar på vår förmåga att förebygga, förhindra och utreda brott.

Minskad effektivitet i brottsbekämpningen

För brottsbekämpningen i Sverige är konsekvensen av EU-dom- stolens tolkning av EU-rätten att effektiviteten i arbetet minskar. Detta märktes redan kort tid efter EU-domstolens dom, då flera operatörer, som en följd av domen, slutade lagra trafik- och lokali- seringsuppgifter för brottsbekämpande ändamål. Detta har för brottsbekämpningen under innevarande år redan inneburit tillkom- mande svårigheter att utreda grova brott såsom mord, människorov och grov narkotikasmuggling, för att nämna några konkreta exempel.

Någon enstaka operatör har tolkat EU-domstolens dom som gällande även abonnemangsuppgifter och ip-adresser och har därför slutat att lagra även dessa uppgifter. Detta har fått till följd att vissa brottstyper blivit praktiskt taget omöjliga att utreda. Det har bl.a. lämnat dörren öppen för pedofiler att straffritt ladda ner och sprida övergreppsmaterial, med andra ord att begå grovt barnpornografi- brott.

En forskningsstudie som tagits fram av barnrättsorganisationen ECPAT Sverige visar att det finns ett starkt samband mellan barn- pornografibrott och sexuella övergrepp på barn. Forskningen om- fattade en granskning av drygt 100 avgöranden från tingsrätt och hovrätt, mellan åren 2014 och 2016. Av dessa visade det sig att de personer som dömdes för barnpornografibrott i omkring hälften av fallen (48 %) även dömdes för sexualbrott mot barn. Detta gör det än mer angeläget att säkerställa möjligheter att bekämpa denna brottstyp.

334

SOU 2017:75

Särskilda yttranden

Frågan om vad som ska omfattas av begreppet abonnemangs- uppgifter, och särskilt om ip-adresser omfattas av detta, har redan tidigare varit föremål för delade meningar, eftersom lagstiftningen har varit otydlig på den punkten.

Viktigt om abonnemangsuppgifter

Vi instämmer i utredarens bedömning att EU-domstolens avgörande inte rör abonnemangsuppgifter utan enbart trafik- och lokaliserings- uppgifter, och vi delar till fullo hans bedömning av vilka uppgifter som ska anses omfattas av begreppet abonnemangsuppgifter, där- ibland återfinns IMSI-nummer och ip-adresser. Vi välkomnar särskilt att utredaren på ett tydligt sätt slår fast att ip-adresser är abonne- mangsuppgifter. Det är välgörande att utredaren tar tydlig ställning i frågan och inte lämnar fältet öppet för operatörer att tolka sin lagringsskyldighet på ett sätt som underlättar för deras kunder att ostraffat begå brott på internet. Det är ur principiell synvinkel viktigt att möjligheten för kunderna att komma undan straffansvar inte får bli en konkurrensfördel bland operatörerna.

I detta sammanhang vill vi framhålla utredarens förslag att möjlig- göra identifiering av slutanvändare vid internetåtkomst genom s.k. NAT-teknik, dvs. en teknik som låter flera användare dela på en och samma publika ip-adress. Utredaren har här identifierat en betydande inkonsekvens i nuvarande lagstiftning som är en följd av senare teknikutveckling. Enbart en skyldighet för operatörerna att lagra uppgifter för att kunna identifiera användaren av en viss ip-adress är alltså inte tillräcklig vid användning av denna teknik. NAT-tekniken innebär i nuläget att alla slutanvändare (kunder) förblir omöjliga för brottsbekämpande myndigheter att identifiera. Denna inkonsekvens har påtalats i tidigare betänkanden utan att leda fram till lagändring. För att främja teknikneutraliteten beträffande identifiering av slutanvändare vid internetåtkomst har utredaren därför föreslagit att det ska lagras uppgifter för att kunna identifiera en slutanvändare även då operatören använder NAT-teknik (se avsnitt 12.6.4). Vi är eniga med utredaren i denna del. Det är helt nödvändigt att motverka den anonymisering som användandet av NAT-tekniken innebär för slutanvändarna. Operatörens val av teknik bör rimligen inte möjlig-

335

Särskilda yttranden SOU 2017:75

göra för dess kunder att i skydd av anonymitet begå brott på internet.

En begränsad lagringsskyldighet är lösningen – alternativ saknas

Vi står bakom utredarens bedömning att det är möjligt att lösa upp- draget genom att föreslå en begränsad lagringsskyldighet i för- hållande till idag. Vi har inte funnit något alternativ till sådan lagring som ger möjligheter att förutsättningslöst utreda brott som redan inträffat eller skaffa sig underrättelser om brottslighet som kan vara å färde. Därför har vi avfärdat möjligheten att införa någon form av sådan riktad lagring, som EU-domstolen i ett obiter dictum framställt som ett tänkbart alternativ till generell lagring (domskäl 108 och 111 tredje meningen). Anledningen är, som också framgår av utred- ningen, att en riktad lagring kräver att man redan på förhand vet var eller av vem som brott ska begås, vilket mycket sällan är fallet.

Att, som EU-domstolen föreslår (jfr domskäl 111), på förhand peka ut brottsbenägna personer eller brottsbelastade områden för en riktad lagring skulle enligt vår mening vara förenat med praktiska svårigheter och bl.a. innebära en dubbel diskriminering, där alla personer i vissa områden (dit lagringen riktas) pekas ut som mer brottsbenägna än andra (där lagring inte förekommer) samtidigt som alla personer i områden där lagring inte förekommer skulle ned- prioriteras från ett brottsbekämpningsperspektiv (där skulle grova brott inte kunna utredas lika effektivt).

Enligt vår kännedom tillämpar inte något annat land inom EU riktad lagring i likhet med EU-domstolens förslag. En plausibel anledning till detta är att en sådan form av riktad lagring helt enkelt inte anses utgöra ett effektivt brottsbekämpningsverktyg.

Det av utredaren framförda förslaget innebär, vilket han själv på- pekar, att lagringsskyldigheten minskar tämligen kraftigt (av- snitt 13.1.2). Det för med sig att möjligheterna att förebygga, för- hindra och utreda brott försämras. Begränsningen kommer enligt vår bedömning att få klart negativa effekter på det brottsbekämpande arbetet i Sverige. I många fall kan konsekvenserna beskrivas som mycket allvarliga.

En av orsakerna till att trafik- och lokaliseringsuppgifter har så stor betydelse vid utredningar av grov brottslighet är att den infor-

336

SOU 2017:75

Särskilda yttranden

mation som uppgifterna ger är unik, dvs. den kan i praktiken sällan inhämtas genom andra metoder. De brottsbekämpande myndig- heterna har ingen möjlighet att t.ex. börja arbeta på annat sätt för att kompensera för ett bortfall.

Visst kan fysisk spaning vid något tillfälle användas i stället för att lokaliseringsuppgifter inhämtas i realtid från operatörer, men det är inget alternativ till inhämtning av uppgifter från förfluten tid. Den fysiska spaningen är en mycket begränsad och även resurskrävande metod som knappast kan kallas ett alternativ till information från operatörerna. Snarare är spaningen ibland ett komplement. Utredaren anger också i avsnitt 7.2 att det i princip inte går att ersätta in- hämtning av trafik- och lokaliseringsuppgifter med fysisk spaning.

Det sägs ibland att kriminaltekniska undersökningar av telefoner och datorer skulle vara ett alternativt sätt för de brottsbekämpande myndigheterna att få information. Det är en sanning med modi- fikation. För det första kräver en sådan undersökning att telefonen eller datorn finns tillgänglig för undersökning – att den är i beslag. Beslag är dock ett tvångsmedel som enbart får användas under för- undersökning, alltså inte i underrättelseverksamhet. För det andra är det inte alls säkert att de telefoner eller datorer som kan kopplas till brottsligheten påträffas och kan tas i beslag. För det tredje är beslag inte hemligt för den som innehar föremålet. För det fjärde är trafik- och lokaliseringsuppgifter ofta en förutsättning för att över huvud taget rättsligt och praktiskt kunna genomföra husrannsakan, ta föremål såsom telefoner och datorer i beslag och andra åtgärder med lyckat resultat. För det femte kan det inträffa att informationen i telefonen eller datorn inte är helt identisk med den som ges från operatörerna och således inte är tillförlitlig utan kanske rent miss- visande. För det sjätte kan en telefon eller dator vara krypterad så att det inte går att komma åt informationen.

Risker med att bryta kommunikationskedjan

337

Särskilda yttranden

SOU 2017:75

åtkomsten kan komma från annan och ip-telefonin från en tredje. Alla operatörerna behandlar enbart uppgifter om sin egen del i kom- munikationskedjan. För att de brottsbekämpande myndigheterna ska kunna kartlägga kommunikationen krävs att de får uppgifter från respektive operatör som gör det möjligt att gå vidare till nästa opera- tör i kedjan. Uppgifterna fungerar således som länkar som myndig- heterna behöver i arbetet. Om lagringsskyldighet för en typ av upp- gift tas bort kan den brygga mellan operatörerna som gör det möjligt att nå framgång försvinna. Detta påtalades också av företrädare för operatörerna i Trafikuppgiftsutredningen som en förutsättning för att kunna spåra deltagare i en kommunikation (SOU 2007:76). Den nuvarande minimilistan bygger också på den förutsättningen att kommunikationskedjan ska kunna följas.

Som exempel innebär utredarens förslag att ip-adresser ska lagras vid internetåtkomst men inte vid telefonitjänst och meddelande- hantering. Om myndigheterna t.ex. har tillgång till en ip-adress som används av en viss person för internetåtkomst blir det i stort sett omöjligt att sedan knyta den adressen till telefoni- eller meddelande- tjänster hos en annan operatör. Det innebär att vem personen kom- municerat med samt när, var och hur kommunikationen skedde inte kan klarläggas. Nackdelarna för brottsbekämpningen kan alltså bli mer omfattande än man vid en första anblick kan tro när lagrings- skyldigheten försvinner för vissa typer av uppgifter. Det är nöd- vändigt att beakta sådana negativa effekter.

Utredaren föreslår att uppgifter om vem som kommunicerade med vem inte längre ska lagras när det gäller fast telefoni (inklusive fast ip-telefoni) och meddelandehantering via fast nätanslutnings- punkt (t.ex. meddelanden från en ”fast” dator).

Uppgifter om vem som har haft kontakt med vem är funda- mentala i de brottsbekämpande myndigheternas arbete med kart- läggning av brottslighet, oavsett om det är fråga om förundersökning eller underrättelseverksamhet och oavsett kommunikationsmedel. Saknas de uppgifterna finns en stor risk att bevisning missas eller att den vidare analysen och bedömningen får stora svagheter. Många gånger kommer det inte ens att finns skäl att begära trafik- och lokaliseringsuppgifter från operatörerna, eftersom det vidare arbetet med uppgifterna bedöms som meningslöst.

Fast ip-telefoni kommer, till skillnad mot den ”vanliga” fasta tele- fonin, inte att försvinna inom några år. Vi vill understryka att fast ip-

338

SOU 2017:75

Särskilda yttranden

telefoni är en modern tjänst som till stor del kan jämföras med mobil telefoni. Utvecklingen går mot att all telefoni blir ip-baserad och där- med mobil i olika avseenden. Ett och samma ip-telefoniabonnemang kan utnyttjas såväl från en fast telefon som från en mobil.

Sannolikt kommer också gränsen mellan fast och mobil nät- anslutningspunkt att suddas ut eller bli diffus och medföra tolk- ningssvårigheter. Med en utökad anslutning av optofiber till både hem och företag med möjlighet att använda samma ip-telefonitjänst både hemma och på jobbet kan det redan idag konstateras att exem- pelvis telefonitjänster blir mer frikopplade från både geografisk plats och fysisk utrustning. Det skulle innebära allvarliga förluster av information för brottsbekämpningen om inte lagringsskyldigheten skulle omfatta den mest moderna typen av telefoni.

Det är bl.a. på grund av det sagda förenat med en stor risk för brottsbekämpningen att göra en differentiering mellan fast och mobil telefoni, eller fast och mobil nätanslutningspunkt. Det blir svårt att överblicka följderna framöver av en sådan gränsdragning, i synnerhet på ett område som elektronisk kommunikation där den tekniska utvecklingen går mycket fort.

I detta sammanhang vill vi framhålla att det är positivt att utredaren föreslår att utrustningsidentitet, som är en abonnemangs- uppgift, ska lagras även i fortsättningen vid mobil telefoni. IMEI- nummer och MAC-adress är mycket viktiga för att identifiera hård- varan som används vid en kommunikation. De uppgifterna ger, på samma sätt som uppringande eller uppringt nummer, information om vem som kommunicerat med vem.

Utredaren föreslår att uppgifter om när kommunikation skett inte längre ska lagras när det gäller fast telefoni (inklusive fast ip- telefoni) och meddelandehantering via fast nätanslutningspunkt (t.ex. meddelanden från en ”fast” dator).

Att få uppgift om vem som kommunicerat med vem är, som nyss framgick, fundamentalt i brottsbekämpningen. Den kunskapen riskerar att få liten betydelse om inte kontakten kan knytas till en viss tidpunkt genom datum och spårbar tid då kommunikationen på- börjades och avslutades eller ett meddelande skickades och mottogs.

Det är alltså många gånger avgörande att veta tidpunkterna för en kommunikation. Uppgifterna är viktiga pusselbitar i arbetet med att klarlägga personers kontakter, relationer och beteenden, och kan visa ”närheten” mellan personer och deras ageranden vid olika händelser.

339

Särskilda yttranden

SOU 2017:75

Utredaren föreslår att uppgifter om var kommunikation skedde, dvs. lokaliseringsuppgifter, inte längre ska lagras när det gäller fast telefoni (inklusive fast ip-telefoni) och meddelandehantering via fast nätanslutningspunkt (t.ex. meddelanden från en ”fast” dator). Även uppgifter om var en viss utrustning befann sig när kommunikation skedde är fundamentala uppgifter i brottsbekämpningen. De är ofta avgörande i både förundersökning och underrättelseverksamhet och kan i vissa fall vara av större värde än uppgifter om vilka som har kommunicerat med varandra. Utan dessa uppgifter blir det mycket svårare att lokalisera brottsplatser, mötesplatser, gärningsmän, vapen- och narkotikagömmor.

Lokaliseringsuppgifter är alltså strängt nödvändiga i såväl för- undersöknings- som underrättelsearbetet.

Som utredaren påpekar omfattar lagringsskyldigheten enligt nuvarande lagstiftning (förordningen om elektronisk kommuni- kation) inte lokaliseringsuppgifter vid meddelandehantering såsom sms (avsnitt 12.6.3). Detta måste bero på ett förbiseende hos lag- stiftaren. Hittills har operatörerna lagrat och lämnat ut dessa upp- gifter till brottsbekämpande myndigheter. Dessa uppgifter är lika viktiga som motsvarande uppgifter vid telefonitjänster (telefon- samtal). I många brottsutredningar har det visat sig att kommuni- kationen mellan gärningsmännen skett nästan uteslutande via sms, och utan tillgång till lokaliseringsuppgifter vid sms-kontakter hade utredningarna inte nått framgång. Vi har förståelse för att utredaren i sitt uppdrag ansett sig förhindrad att föreslå en utökning av lagrings- skyldigheten i denna del, även om han anser att denna uppgift är strängt nödvändig. Om operatörerna i framtiden inte lämnar ut denna uppgift kommer dock behovet av en lagringsskyldighet för den att bli akut.

Differentierad lagringstid

Utredarens förslag innebär att lagringstiderna differentieras utifrån hur gamla uppgifter det finns ett påtagligt behov av. Han föreslår att lokaliseringsuppgifter vid samtal ska lagras i två månader. Uppgifter om internetåtkomst, förutom uppgifter som identifierar utrust- ningen där kommunikationen slutligt avskiljs, ska lagras i tio måna- der och övriga uppgifter i sex månader.

340

Särskilda yttranden

SOU 2017:75

Särskilt yttrande av Staffan Lindmark

Inledning

Inledningsvis vill jag framhålla att utredningen är väl genomförd, särskilt med hänsyn till den snäva tidsramen för denna del av upp- draget. Jag delar flertalet av utredningens slutsatser men har i några frågor en avvikande uppfattning.

Utredningens förslag innebär att lagring av uppgifter förblir huvudregel

Utredningen har föreslagit en modell för lagring av uppgifter om elektronisk kommunikation som enligt utredningen innebär en kraftig reformering av de hittillsvarande lagringskraven och som medför att lagringsskyldigheten inte längre blir generell utan anpassad till vad som är strängt nödvändigt utifrån nytta, behov och proportionalitet. Jag ställer mig dock tveksam till att de förändringar av lagringsskyldigheten som utredningen föreslår är tillräckligt långt- gående för att leva upp till de EU-rättsliga krav som EU-domstolen gett uttryck för i sin dom av den 21 december 2016 i de förenade målen C-203/15 och C-698/15. Även om förslaget innebär att vissa uppgiftstyper och vissa kommunikationsslag inte längre ska omfattas av kravet på lagring, så måste ändå den föreslagna lagringen anses vara generell, i det att den gäller samtliga användare av de berörda kommunikationstjänsterna utan avgränsning till vissa tidpunkter, platser eller andra faktorer som kan relateras till risken för grov brottslig verksamhet. Liksom enligt hittillsvarande reglering kom- mer lagring av uppgifter enligt utredningens förslag att vara huvud- regel, snarare än undantag.

Jag ifrågasätter inte att en mer generell lagring ger betydligt större nytta för de brottsbekämpande myndigheterna än en mer avgränsad och riktad lagring. Det är trots detta en brist att utredningen inte närmare har analyserat och lagt fram förslag till hur en riktad lagring skulle kunna utformas. EU-domstolen har slagit fast att EU-rätten tillåter just en riktad lagring i syfte att bekämpa grov brottslighet, under förutsättning att lagringen också begränsas till vad som är strängt nödvändigt. I domen utvecklas vidare vilka krav som måste

342

SOU 2017:75

Särskilda yttranden

vara uppfyllda för att en sådan riktad lagring ska anses förenlig med EU-rätten.11

Utredningen har avfärdat EU-domstolens resonemang om riktad lagring som uttalanden obiter dicta. Jag menar dock att ett för- handsavgörande till sin natur utgör ett abstrakt besked om rättsläget utan stark koppling till sakomständigheterna i de enskilda nationella målen. Det gäller särskilt när domen, som i förevarande fall, har med- delats i stor avdelning. Samtidigt har EU-domstolen relativt specifikt och detaljerat angett vilka brister den nuvarande svenska regleringen lider av samt hur regleringen istället bör utformas, vilket ytterligare talar för att domstolens uttalanden bör anses vara bindande.12

Reglerna om lagring och inhämtning av uppgifter om IP-adresser behöver utredas ytterligare

EU-domstolen har i sin dom slagit fast ett antal kriterier som måste vara uppfyllda för att regler om lagring respektive inhämtning av uppgifter om elektronisk kommunikation ska kunna anses leva upp till EU-rättens krav på respekt för grundläggande rättigheter. Utred- ningen har dock kommit till slutsatsen att domen inte ens indirekt påverkar den svenska regleringen om lagring respektive tillgång till s.k. uppgifter om abonnemang. Jag delar inte den uppfattningen. Utredningens slutsats förefaller vila på det felaktiga antagandet att uppgifter om abonnemang utgör en kategori uppgifter som ur ett EU-rättsligt perspektiv kan skiljas från kategorierna trafik- och lokaliseringsuppgifter.

I själva verket har begreppet uppgift om abonnemang – som idag återfinns i bestämmelsen om tystnadsplikt i 6 kap. 20 § lagen (2003:389) om elektronisk kommunikation (LEK) – sitt ursprung i sekretessregler som gällde för den verksamhet som bedrevs av det dåvarande statliga Telegrafverket, sedermera Televerket. Regleringen av brottsbekämpande myndigheters möjlighet att inhämta uppgifter om abonnemang från operatörerna har på motsvarande sätt sin grund i regler om undantag från sekretess. Dessa undantag vilade på

11Se skäl 108-111 i EU-domstolens dom av den 21 december 2016.

12Se Hettne, J. och Otken Eriksson, I., EU-rättslig metod – Teori och genomslag i svensk rättstillämpning (2011), 2 uppl., s. 53 samt även Munck, J. Rättskällor förr och nu, Juridisk Publikation jubileumsnummer 2014 (2014), s 206f, Dickson, J. och Eleftheriadis, P., Philoso- phical Foundations of European Union Law (2012), s. 314 f.

343

Särskilda yttranden

SOU 2017:75

en avvägning mellan intresset av brottsbekämpning och intresset av sekretess för de uppgifter som vid denna tid ansågs utgöra uppgifter om abonnemang.13 Enligt förarbetena till den dåvarande regleringen skulle begreppet omfatta vissa uppgifter rörande enskilda abonnen- ters affärsangelägenheter och personliga angelägenheter, i fråga om telefoni främst uppgift om namn, titel, adress och telefonnummer. Från dessa uppgifter skulle skiljas innehållet i meddelanden samt andra uppgifter som angick särskilda meddelanden.14

Begreppet uppgifter om abonnemang härrör således från en tid långt före utvecklingen av de elektroniska kommunikationstjänster – såsom mobiltelefoni och internetåtkomst – som idag dominerar marknaden. När det s.k. e-dataskyddsdirektivet (2002/58/EG) inför- livades i svensk rätt tillfördes den svenska regleringen nya begrepp för att beskriva de olika uppgifter som förekommer i samband med tillhandahållande av elektroniska kommunikationstjänster. Samtidigt bibehölls de äldre reglerna och de äldre begrepp som där används. I förarbetena uttalade regeringen att det nytillkomna begreppet ”trafikuppgift” i princip torde avse samma slag av uppgifter som i den befintliga nationella regleringen kallades för ”uppgifter som angår särskilda meddelanden”. Detta uttalande implicerar att trafik- uppgifter skulle utgöra en kategori uppgifter som är distinkt skild från kategorin uppgift om abonnemang.15

I takt med den tekniska utvecklingen och tillkomsten av nya elek- troniska kommunikationstjänster har emellertid allt fler uppgifter kommit att hänföras till kategorin uppgift om abonnemang. T.ex. kan nämnas s.k. IMSI-nummer för mobiltelefoni och IP-adresser för internetåtkomst. I praxis har bestämmelsen i 6 kap. 22 § första stycket 2 om inhämtning av uppgifter om abonnemang ansetts om- fatta sådana uppgifter som kan leda till att en abonnent kan identi- fieras eller kontaktas. Denna utveckling har medfört att bedöm- ningen av vilka uppgifter som anses utgöra uppgifter om abonne- mang har kommit att utgå från syftet med inhämtningen och värdet för brottsbekämpningen av uppgifterna snarare än uppgifternas karaktär. Många av de uppgifter som idag anses höra till kategorin

13Se prop. 1983/84:142 s. 29.

14Se prop. 1979/80:2 del A s. 272 och prop. 1992/93:200 s. 310.

15Se prop. 2002/03:100 s. 389 f.

344

SOU 2017:75

Särskilda yttranden

uppgift om abonnemang är av en helt annan natur än de som ursprungligen avsågs med begreppet.16

Någon motsvarighet till begreppet uppgift om abonnemang åter- finns inte i e-dataskyddsdirektivet och den utveckling av begreppets omfattning som skett i Sverige under senare år kan inte heller hänföras till någon motsvarande förändring inom EU-rätten. Det rör sig alltså om två parallella begreppsfloror och det går inte att med säkerhet säga vilka av de uppgifter som i Sverige anses utgöra upp- gifter om abonnemang som omfattas av de EU-rättsliga reglerna i bl.a. e dataskyddsdirektivet.

Enligt min mening är frågan om lagring och inhämtning av uppgifter om internetåtkomst, såsom IP-adresser och andra upp- gifter som kan vara nödvändiga för att möjliggöra spårning av källan till internetbaserad kommunikation, särskilt problematisk. Det finns numera sällan en beständig koppling mellan en viss IP-adress och en viss abonnent. Ett stort antal abonnenter kan samtidigt nyttja samma IP-adress och kopplingen mellan en viss abonnent och en viss IP- adress kan i vissa fall förändras på sekundbasis. För att kunna spåra källan till en viss kommunikation över internet så krävs ofta att upp- gifter om flera olika IP-adresser och andra tekniska data kombineras, och relationen mellan abonnent och IP-adress är i dessa fall mycket flyktig. Samtidigt kan de uppgifter som således måste behandlas sammantaget lämna mycket exakt information om abonnenternas internetkommunikation.

I EU-domstolens dom anges uttryckligen att IP-adressen för internettjänster är en av de uppgifter som kan bidra till att dra mycket precisa slutsatser om privatlivet för berörda personer och att regler om lagring av dessa uppgifter utgör ett långtgående ingrepp i grund- läggande rättigheter.17 Att EU-domstolen senare i domen använder begreppen trafik- och lokaliseringsuppgifter för att beskriva de uppgifter, vars lagring och inhämtning måste leva upp till de krav som följer av EU-stadgan och e-dataskyddsdirektivet, kan inte tolkas som att t.ex. IP-adresser inte skulle omfattas. Denna uppfattning stärks av att kammarrätten i sin dom i mål nr 7380-14 har dragit slutsatsen att de svenska reglerna om lagring av uppgifter för brottsbekäm-

16Se bl.a. uttalanden i SOU 2005:38 s. 131, Kammarrättens i Stockholm dom i mål 3138-09 och prop. 2011/12:55 s. 101 ff.

17Se skäl 98-100 i EU-domstolens dom den 21 december 2016 i de förenade målen C-203/15 och C-698/15.

345

SOU 2017:75

Särskilda yttranden

Särskilt yttrande av Kurt Alavaara och Per Lagerud

Allmänt om förslagen

Inledning

Lagringsskyldigheten och samtliga uppgifter som den omfattar enligt förordningen om elektronisk kommunikation är strängt nöd- vändiga för brottsbekämpningen. Enligt utredarens förslag ska lagringsskyldigheten minska tämligen kraftigt. Det kommer att få till följd att möjligheterna att förebygga, förhindra och utreda brott försämras avsevärt. I många fall kan konsekvenserna betecknas som mycket allvarliga. Med det särskilda yttrandet vill vi göra tydligt i den fortsatta beredningen vilka effekterna blir om lagringsskyldig- heten minskas. Vi vill också framhålla att det är synnerligen ange- läget att Sverige inom EU verkar för en lagringsskyldighet som svarar mot de behov som staten har av en både effektiv och rätts- säker brottsbekämpning.

Syftet med lagringsskyldigheten

Allvarliga brott orsakar stora skador för enskilda och samhället. Det finns ett stort värde i att brotten kan förhindras eller klaras upp, kanske redan på planeringsstadiet. För samhället i stort, för med- borgarna i allmänhet och för brottsoffren är det därför angeläget att förutsättningarna för att klara upp brotten är så goda som möjligt.

Att de brottsbekämpande myndigheterna har tillgång till trafik- och lokaliseringsuppgifter är avgörande för en effektiv bekämpning av grov brottslighet, inklusive sådan som är kopplad till nationell säkerhet. Utredaren anger att om de brottsbekämpande myndig- heterna inte skulle ha tillgång till adekvata utredningsverktyg i den elektroniska miljön så skulle grova brott i vissa fall vara omöjliga att klara upp och brottsoffer i motsvarande omfattning vara skyddslösa. Vissa brott skulle i praktiken bli straffria och många målsägande skulle aldrig kunna få upprättelse. Utredaren konstaterar också att staten har en skyldighet att skydda enskildas privatliv och personliga integritet mot intrång som begås av andra enskilda och, om intrång görs, se till att brotten utreds. Enligt utredaren skulle det inte vara förenligt med Sveriges internationella åtaganden att inte ge de brotts-

347

Särskilda yttranden

SOU 2017:75

bekämpande myndigheterna möjlighet att effektivt utreda brott i den elektroniska miljön.

Trafik- och lokaliseringsuppgifter har med tiden blivit ett allt viktigare verktyg i brottsbekämpningen. I nuläget, där en stor del av brottsligheten lämnar digitala spår i någon form, är uppgifterna fundamentala. Det gäller i såväl underrättelse- som förundersök- ningsverksamhet. Uppgifterna används i stort sett i varje utredning av grov brottslighet. Ofta är uppgifterna dessutom den första och enda ingången i utredningarna och ger nyckeln till det vidare arbetet. Utan de nycklarna kommer dörren till framgång många gånger att vara stängd.

Bestämmelserna i bl.a. rättegångsbalken om tillgången till trafik- och lokaliseringsuppgifter syftar till att ge de brottsbekämpande myndigheterna information som kan klarlägga

–vem som kommunicerade med vem (dvs. källan och slutmålet). Det framgår av uppgifter om telefonnummer och ip-adresser (vid telefoni), e-postadresser, ip-adresser, SMS-nummer och MMS- nummer (vid meddelandehantering) och ip-adresser (vid inter- netåtkomst).

–när kommunikationen skedde. Det framgår av uppgifter om datum, spårbar tid vid start och slut (vid telefoni och meddelande- hantering) och tid för på- och avloggning (vid internetåtkomst).

–var kommunikationen skedde. Det framgår främst av uppgifter om lokalisering (vid telefoni, meddelandehantering [indirekt genom ip-adress], internetåtkomst och tillhandahållande av kapa- citet för internetåtkomst).

–hur kommunikationen skedde. Exempelvis om det är frågan om fast telefoni (inkl. fast ip-telefoni), mobil telefoni (inkl. mobil ip- telefoni), SMS, MMS, e-post eller om tjänsten vidarekoppling har använts.

Lagringsskyldigheten infördes för att säkerställa att uppgifterna kommer brottsbekämpningen till del genom de aktuella tvångs- medlen. I de delar lagringsskyldigheten begränsas kommer den garantin inte att finnas kvar. Resultatet blir att myndigheterna vid bekämpning av den grova brottsligheten får hoppas på turen att operatörerna ändå har sparat uppgifterna, t.ex. för fakturering. Detta

348

SOU 2017:75

Särskilda yttranden

kommer i många fall att få allvarliga följder, inte minst eftersom lagringsskyldigheten redan idag innebär att enbart ett minimum av strängt nödvändiga uppgifter ska lagras.

Lagringsskyldigheten behöver inte begränsas

EU-domstolen bygger sitt avgörande på att den svenska regleringen ”… föreskriver en generell och odifferentierad lagring av samtliga trafikuppgifter och lokaliseringsuppgifter för samtliga abonnenter och registrerade användare avseende samtliga elektroniska kom- munikationsmedel...” (p. 97). Den beskrivningen är felaktig. Som utredaren konstaterar kan EU-domstolens uppfattning härledas från hur kammarrätten formulerade förfrågan till EU-domstolen (p. 51), och man måste därför, som utredaren anger, tolka EU- domstolens slutsatser i ljuset av hur kammarrätten ställde sina frågor.

Många av de kommunikationsmedel som ”den moderna män- niskan” idag använder och många av de trafik- och lokaliserings- uppgifter som operatörerna behandlar omfattas inte av lagrings- skyldigheten. Exempelvis omfattas inte

–web-surf (besök på hemsida),

–kommunikation mellan två ip-adresser som inte är telefoni (t.ex. Skype- och Vibersamtal),

–internetbaserad e-post såsom hotmail och g-mail,

–FTP (filöverföring),

–chat (meddelandetjänst),

–iMessage (meddelandetjänst),

–sociala medietjänster (såsom Facebook, Twitter, Viber, Whatsapp m.fl.) och

–informationssamhällestjänster (såsom Blocket, E-bay m.fl.). Inte heller omfattas följande uppgifter av lagringsskyldigheten.

–position när ett meddelande skickades och när det mottogs,

–position under ett mobilsamtal,

–position vid fast telefoni,

349

Särskilda yttranden

SOU 2017:75

–utrustningsidentitet vid skickade och mottagna meddelanden,

–utrustningsidentitet vid fast telefoni,

–abonnemangsidentitet vid skickade och mottagna meddelanden,

–abonnemangsidentitet vid internetåtkomst,

–uppgifter om samtal med annat än vanligt telefonnummer (däribland uppringande och uppringt nummer, tid och position),

–uppgift om port och lokal ip-adress (dvs. den som används mellan abonnent och internetleverantör) vid internetåtkomst, med- delandehantering och ip-telefoni,

–uppgifter om samtal som inte kopplas fram på grund av tekniskt fel eller dylikt (däribland uppringande och uppringt nummer, tid, utrustning och position) och

–rena lokaliseringsuppgifter (positioner som inte är kopplade till kommunikation eller internetåtkomst).

Det är uppenbart att dagens lagringsskyldighet enbart innefattar en minimilista, som, redan när den kom till, bara uppfyllde de absolut mest grundläggande behoven vid utredning av grov brottslighet. Teknikutvecklingen för dessutom med sig att minimilistan relativt sett blir mindre och mindre i förhållanden till samtliga de trafik- och lokaliseringsuppgifter som operatörerna behandlar och de kom- munikationsmedel som finns. Enligt vår uppfattning är lagring redan idag ett undantag och inte en huvudregel.

För oss står det klart att EU-domstolens avgörande bygger på fel- aktiga antaganden om hur den rättsliga regleringen förhåller sig till den tekniska verkligheten och den snabba utvecklingen på området. Lagringsskyldigheten omfattar inte på långa vägar samtliga uppgifter och kommunikationsmedel. Vi har förståelse för att utredaren valt att tolka avgörandet på det sätt han gjort. Samtidigt menar vi att det finns utrymme för att behålla dagens lagringsskyldighet oförändrad.

350

SOU 2017:75

Särskilda yttranden

Att begränsa lagringsskyldigheten kan få mycket allvarliga konsekvenser

Efter EU-domstolens avgörande har operatörerna i stort slutat att lagra trafik- och lokaliseringsuppgifter för brottsbekämpande ända- mål. I stället följer man huvudregeln i lagen om elektronisk kom- munikation om att uppgifterna omedelbart ska raderas när de inte längre behövs i den egna verksamheten.

Tillgången till samtliga de uppgifter som lagringsskyldigheten omfattar är idag fundamental och strängt nödvändig för att Sveriges förmåga att bekämpa grov brottslighet och skydda nationella säkerhetsintressen inte ska urholkas. Tillgången fyller de absolut mest grundläggande behoven. Det kan i många fall få mycket all- varliga konsekvenser att begränsa den ytterligare.

Det är inte enbart förmågan att bekämpa brott i Sverige som kommer att påverkas negativt. Grov brottslighet är många gånger internationell till sin karaktär, vilket innebär att även det inter- nationella brottsbekämpande arbetet påverkas negativt. Gärnings- män reser mellan länder eller har kontakter med, och kanske styrs av, personer i andra länder. Det internationella samarbetet inom brotts- bekämpning är mycket omfattande och kommer att försvåras avse- värt när man t.ex. inte längre kan hitta svenska kopplingar till gräns- överskridande grov brottslighet eller, på samma sätt som tidigare, lämna biträde när utländska myndigheter skickar rättshjälpsbegäran till Sverige.

En av orsakerna till den mycket stora betydelse som trafik- och lokaliseringsuppgifter har vid utredningar av grov brottslighet är att den information som uppgifterna ger är unik, dvs. den kan inte ges genom andra metoder. De brottsbekämpande myndigheterna har ingen möjlighet att t.ex. börja arbeta på annat sätt för att kompen- sera för ett bortfall.

Visst kan fysisk spaning vid något tillfälle användas i stället för att lokaliseringsuppgifter inhämtas från operatörer. Den fysiska spaningen är dock vid jämförelse en mycket begränsad och även resurskrävande metod som knappast kan kallas ett alternativ till information från operatörerna. Snarare är spaningen ibland ett komplement. Utredaren anger också det självklara att det inte går att ersätta inhämtning av historiska trafik- och lokaliseringsuppgifter med fysisk spaning i realtid.

351

Särskilda yttranden

SOU 2017:75

Det sägs också ibland att kriminaltekniska undersökningar av telefoner och datorer skulle vara ett alternativt sätt för de brotts- bekämpande myndigheterna att få information. Det är en sanning med modifikation. För det första är beslag ett tvångsmedel som enbart får användas under förundersökning, alltså inte i under- rättelseverksamhet. För det andra är det inte alls säkert att de tele- foner eller datorer som kan kopplas till brottsligheten påträffas och kan tas i beslag. För det tredje är beslag inte hemligt för den som innehar föremålet. För det fjärde är trafik- och lokaliseringsuppgifter ofta en förutsättning för att över huvud taget rättsligt och praktiskt kunna genomföra husrannsakan, beslag och andra åtgärder med lyckat resultat. För det femte kan det inträffa att informationen i telefonen eller datorn inte är helt identisk med den som ges från operatörerna. För det sjätte kan en telefon eller dator vara krypterad så att det inte går att komma åt informationen.

Kedjan av uppgifter får inte brytas

Tillhandahållandet av elektroniska kommunikationstjänster sker idag på annat sätt än när telefonitjänst tillhandahölls av Televerket som enda operatör på marknaden. Idag kan många operatörer vara invol- verade i en och samma kommunikation. Till exempel kan en person ha abonnemang på fiberanslutning från en operatör, internetåtkomst- en kan komma från annan och ip-telefonin från en tredje. Operatö- rerna behandlar enbart uppgifter om sin egen del i kommunikations- kedjan. För att de brottsbekämpande myndigheterna ska kunna kartlägga kommunikationen krävs att myndigheterna får uppgifter från respektive operatör som gör det möjligt att gå vidare till nästa operatör i kedjan. Uppgifterna fungerar således som länkar som myndigheterna behöver i arbetet. Om lagringsskyldighet för en typ av uppgift tas bort kan den brygga mellan operatörerna som gör det möjligt att nå framgång försvinna. Detta påtalades också av företrädare för operatörerna i Trafikuppgiftsutredningen som en förutsättning för att kunna spåra deltagare i en kommunikation (SOU 2007:76). Den nuvarande minimilistan bygger också på den förutsättningen att kommunikationskedjan ska kunna följas.

Som exempel innebär utredarens förslag att ip-adresser ska lagras vid internetåtkomst men inte vid telefonitjänst och meddelande-

352

SOU 2017:75

Särskilda yttranden

hantering. Om myndigheterna t.ex. har tillgång till en ip-adress som används av en viss person för internetåtkomst blir det i stort sett omöjligt att sedan knyta den adressen till telefoni- eller meddelande- tjänster hos en annan operatör. Det innebär att vem personen kommunicerat med samt när, var och hur kommunikationen skedde inte kan klarläggas. Det logiska innehåll som minimilistan har bryts alltså om vissa uppgifter inte ska lagras i framtiden. Nackdelarna för brottsbekämpningen kan alltså bli än mer omfattande än man vid en första anblick kan tro när lagringsskyldigheten försvinner för vissa typer av uppgifter. Det är nödvändigt att beakta sådana negativa effekter.

Övrigt om några av förslagen

När det gäller frågan om riktad lagring är det, som utredaren anger, mycket svårt att i förväg veta när, var eller av vem ett allvarligt brott kommer att begås. Det är många gånger inte meningsfullt att i förväg rikta in lagringsskyldigheten mot vissa tider, områden eller personer. Vi instämmer med utredaren att det, vid en jämförelse, inte finns någon större nytta av en möjlighet till riktad lagring. Vi håller också med om att integritetsintrånget för de berörda personerna skulle vara påtagligt med en riktad lagring, och att sekretesskäl i princip skulle hindra att åtgärden genomförs. Orsaken till det sistnämnda är att både enskilda personer och myndigheternas verksamhet med stor sannolikhet skulle drabbas av skada om uppgifterna behöver lämnas till samtliga omkring 600 operatörer och deras anställda. En riktad lagring, enligt EU-domstolens tanke, skulle alltså föra med sig uppen- bara begränsningar i det brottsbekämpande arbetet. Till det kommer att vi instämmer i utredarens tolkning av EU-domstolens yttrande den 26 juli 2017 (1/15) om PNR-uppgifter och möjligheter till gene- rell lagring.

Vi instämmer även i utredarens bedömning att EU-domstolens avgörande inte rör abonnemangsuppgifter utan enbart trafik- och lokaliseringsuppgifter. Vi håller med om att det är åklagare som bör fatta beslut i IHL-ärenden, när beslutsordningen ska ändras. Det är också positivt att de brottsbekämpande myndigheternas tillgång till uppgifterna även fortsättningsvis ska avse uppgifter som opera-

353

Särskilda yttranden

SOU 2017:75

törerna sparar för egna ändamål och att lagringen inte får ske utanför Sverige.

Vidare är det positivt att utredaren föreslår att operatörernas eget val av teknisk lösning, dvs. användning av NAT-teknik, inte längre ska vara ett hinder för att identifiera vilken ip-adress en användare har tilldelats. Säkerhetspolisen har erfarenhet av att det inte har gått att identifiera målsägande på grund av att deras ip-adresser inte har kunnat knytas till en identifierbar person. Det har varit mycket olyckligt.

Det är ytterst angeläget att bestämmelser om lagringsskyldighet träder ikraft så snart som möjligt; senast den 1 juli 2018.

Ytterligare om konsekvenserna för Säkerhetspolisens verksamhet

Säkerhetspolisen arbetar mot kvalificerade aktörer

I betänkandet nämner utredaren att lagringsskyldigheten redan idag är så pass begränsad att det är möjligt för en person med högt säker- hetsmedvetande att kommunicera på ett sätt som inte lämnar elek- troniska spår som omfattas av skyldigheten, och att de begränsningar som föreslås av utredaren därför inte kommer att påverka möjlig- heterna att utreda brott där dessa personer är inblandade.

En mycket stor del av de utredningar som Säkerhetspolisen genomför, såväl i underrättelsearbetet som i förundersökningar, har en koppling till kvalificerade aktörer som är tränade och styrda av främmande makt eller av större organisationer, exempelvis terror- organisationer. Personerna har många gånger kvalificerad utbildning i att dölja elektroniska spår. Grunden i Säkerhetspolisens arbete i sådana fall är att hitta de mönster som aktörerna har i sin kom- munikation och de avvikelser som finns eller de misstag som faktiskt görs, samt att analysera vilka slutsatser som kan dras av dessa. Sådana mönster, avvikelser och misstag ses ofta och kan bli avgörande för hur Säkerhetspolisen ska agera. Detta är kärnan i arbetet mot aktörer som är tränade och medvetna om att deras brottslighet är under bevakning och påverkas i hög grad av om möjligheten att få del av trafik- och lokaliseringsuppgifter skulle minska. Utredarens slutsats är alltså felaktig. Att begränsa Säkerhetspolisens åtkomst till trafik- och lokaliseringsuppgifter i arbetet mot kvalificerade, resursstarka,

354

SOU 2017:75

Särskilda yttranden

uthålliga och systematiska aktörer kan därför få mycket allvarliga konsekvenser för Sveriges säkerhet.

Uppgifterna har avgörande betydelse även i underrättelseverksamheten

En förundersökning har ett bakåtblickande perspektiv, där de brotts- utredande myndigheterna försöker klarlägga vad som hände vid ett visst tillfälle. Underrättelseverksamheten har främst ett framåt- blickande perspektiv, där myndigheterna ska bedöma vad som kan komma att inträffa i framtiden, allt i syfte att förebygga och för- hindra brott men också att upptäcka brott som myndigheterna hittills inte har kunskap om.

Till skillnad mot vad som gäller vid Polismyndigheten får Säker- hetspolisen sällan in anmälningar från allmänheten om redan begångna brott. I stället måste myndigheten själv genom under- rättelsearbetet dels ”leta upp” intressanta personer och grupperingar samt företeelser, skeenden och modus som redan är eller som senare kan komma att utvecklas till brottslighet kopplad till nationell säker- het, dels ta ställning till bl.a. tips och hot som myndigheten får del av. Därför är underrättelseverksamheten tyngdpunkten i Säkerhets- polisens bekämpning av t.ex. spioneri och terrorism. Arbetet innebär att Säkerhetspolisen hämtar in eller får information från många olika håll samt att myndigheten bearbetar och analyserar informationen och gör en bedömning av det som kommit fram. Om det finns skäl delges resultatet utomstående, främst till svenska eller utländska myndigheter. Arbetet syftar till att brottsligheten ska förebyggas, förhindras eller i vart fall upptäckas innan den fullbordas. Ytterst är det fråga om att bedöma hur reellt ett eventuellt hot är, alltså att bekräfta eller avfärda ett misstänkt hot. Inte sällan är den bedömning som ska göras tidskritisk.

För att ge en bild av detta s.k. underrättelseflöde, där trafik- och lokaliseringsuppgifter är fundamentala vid analys och bedömning, lämnas här några verkliga exempel på uppgifter som kommer till Säkerhetspolisen relativt frekvent, både från enskilda och från svenska och utländska myndigheter. I flera fall finns både en namn- given person i informationen och en utpekad plats. Uppgifterna har anonymiserats för att inte avslöja sekretessbelagd information.

355

Särskilda yttranden

SOU 2017:75

–NN var med när en person fick erbjudande om att utföra attentat mot [viss plats i Sverige]

–NN har fått uppdrag att tillverka en bomb och detonera den mot [viss byggnad i Sverige]

–NN har lämnat uppgifter till IS:s attentatsplanerare

–NN planerar att utföra attentat på okänd plats i Sverige och har tillgång till vapen

–NN sympatiserar med IS och letar efter automatvapen

–NN har stridit för IS och bygger nu upp nätverk för att planera attack i Sverige

–NN vill få tag på en bomb och döda människor i Sverige

–NN ska placera ut en bomb i [en svensk stad]

–NN ska hämnas på [vissa personer] på [viss plats i Sverige]

–NN vill använda handgranater mot [vissa personer]

–NN är ansluten till IS, ligger bakom flera attentat och gömmer sig i Sverige

–NN kommer från [visst land] och ska vara redo för ”arbete” i Sverige

–NN har uppdrag från IS att genomföra attentat i Sverige

–NN vill placera ut bomber [på vissa platser i Sverige] och ta bort [vissa personer]

En central del av underrättelsearbetet innebär att personers kontak- ter och rörelsemönster kartläggs, alltså att aktörer, platser och tid- punkter kopplas samman. I det arbetet har trafik- och lokaliserings- uppgifter en mycket stor och ofta avgörande betydelse. Som Säker- hetspolisen tidigare angett är uppgifterna av ovärderlig vikt för myndighetens arbete (SOU 2015:31 s. 87). Även regeringen har ut- tryckt att Säkerhetspolisen har ett uppenbart behov av uppgifterna för att bedriva kontraspionageverksamhet och arbete mot terrorism (prop. 2016/17:186 s. 9). Resultatet av analysarbetet kan sedan ligga till grund för strategiska beslut eller operativa åtgärder från Säker- hetspolisens eller andras sida, bl.a. i syfte att reducera ett bekräftat

356

SOU 2017:75

Särskilda yttranden

hot eller lagföra begångna brott. Skulle trafik- och lokaliserings- uppgifterna inte längre ges till Säkerhetspolisen kommer förmågan att exempelvis bedöma de attentatshot som ligger i uppgifterna ovan att försämras avsevärt och i värsta fall leda till att terroristbrott, som hade kunnat förhindras, fullbordas.

Det är mot den bakgrunden av stor vikt att underrättelseverk- samheten, vars mål är att förebygga och förhindra att brott över huvud taget kommer att begås i framtiden, får lika stort fokus som förundersökningsverksamheten när omfattningen av lagringsskyldig- heten diskuteras. Det gäller inte minst då utredaren själv konstaterar att de försämringar i underrättelseverksamheten som blir följden av en minskad lagringsskyldighet inte kommer att kunna kompenseras med andra åtgärder i någon större utsträckning. Utredaren menar också att förslagens påverkan på underrättelseverksamheten sanno- likt kommer att bli större än på förundersökningsverksamheten. För Säkerhetspolisens del är det riktiga slutsatser.

Lagringsskyldigheten och tillgången till samtliga uppgifter är strängt nödvändiga

Säkerhetspolisen har visserligen under utredningsarbetet rangordnat trafik- och lokaliseringsuppgifterna, där vissa typer generellt sett har värderats högre respektive lägre än andra. Det måste dock under- strykas att lagringsskyldigheten och samtliga uppgifter som den omfattar är strängt nödvändiga i Säkerhetspolisens arbete. Det gäller inte bara i underrättelseverksamheten utan även i de förunder- sökningar som bedrivs inom kontraspionaget och kontraterrorismen (inkl. författningsskyddet).

Det är visserligen en självklarhet, men för att undvika missför- stånd ska dock sägas att samtliga typer av uppgifter inte samtidigt är strängt nödvändiga i varje utredning. Även om behovet varierar från ärende till ärende beroende bl.a. på vilken brottslighet det är fråga om och vilka personer som är inblandade, är lagringsskyldigheten och samtliga uppgifter den omfattar av avgörande betydelse i Säker- hetspolisens arbete med brottslighet som hotar Sveriges säkerhet.

Som framgick ovan har operatörerna efter EU-domstolens av- görande i stort slutat att lagra trafik- och lokaliseringsuppgifter för brottsbekämpande ändamål. I stället raderas uppgifterna när de inte längre behövs i respektive operatörs verksamhet. Det har lett till stora

357

Särskilda yttranden

SOU 2017:75

problem för Säkerhetspolisen i arbetet med att skydda Sveriges säker- het. Främmande makts illegala verksamhet mot Sverige har blivit svårare att bekämpa. Sverige har inte heller kunnat upprätthålla för- mågan att upptäcka terroristnätverk och förhindra terroristattentat.

Nationell säkerhet

Den brottslighet som Säkerhetspolisen hanterar rör Sveriges säker- het. I regeringens direktiv till utredaren (dir. 2017:16) anges att en särskild fråga är vilken effekt domen har på verksamhet som ligger inom Säkerhetspolisens ansvarsområde. Som utredaren konstaterar öppnar EU-domstolen för något mer tillåtande regler vad gäller nationell säkerhet.

Sedan EU-domstolens avgörande har terroristhotet mot Europa blivit än mer allvarligt, och Sverige har drabbats av ett fullbordat terroristattentat på Drottninggatan i Stockholm i april 2017. Det internationella samarbetet och utbytet av uppgifter mellan brotts- bekämpande myndigheter är intensivt och ökar ständigt. I det arbetet är utbyte av information som har sin grund i elektroniska spår, dvs. trafik- och lokaliseringsuppgifter fundamental. Bl.a. genom sådana uppgifter har det gått att klarlägga svenska kopplingar till flera av de storskaliga terrorattacker som genomförts runt om i Europa under senare tid. Till det kommer att främmande makts verksamhet mot Sverige satts i fokus genom att frågor om kontraspionage och bristande säkerhetsskydd hos myndigheter och företag har uppmärk- sammats. Detta bör beaktas vid bedömningen av vilket utrymme som finns att reglera lagringsskyldigheten. För vår del saknar vi dock ett uttryckligt resonemang från utredarens sida om lagringsskyldighetens omfattning och betydelse när det gäller Sveriges säkerhet.

Närmare om innehållet i förslagen

Vem kommunicerade med vem?

Utredaren föreslår att uppgifter om vem som kommunicerade med vem inte längre ska lagras när det gäller fast telefoni (inkl. fast ip- telefoni) och meddelandehantering via fast nätanslutningspunkt (t.ex. meddelanden från en ”fast” dator).

358

SOU 2017:75

Särskilda yttranden

Uppgifter om vem som har haft kontakt med vem är fundamen- tala i de brottsbekämpande myndigheternas arbete med kartläggning av brottslighet, oavsett om det är fråga om förundersökning eller underrättelseverksamhet och oavsett kommunikationsmedel. Saknas de uppgifterna finns en stor risk att omständigheter missas och den vidare analysen och bedömningen får svagheter. Många gånger kom- mer det inte ens att finnas skäl att begära andra trafik- och lokali- seringsuppgifter från operatörerna, eftersom det fortsatta arbetet med uppgifterna blir meningslöst.

Fast ip-telefoni kommer, till skillnad från den ”vanliga” fasta tele- fonin, inte att försvinna inom några år. Säkerhetspolisen vill under- stryka att fast ip-telefoni är en modern tjänst som till stor del kan jämföras med mobil telefoni. Utvecklingen går mot att all telefoni blir ip-baserad och därmed mobil i olika avseenden. Ett och samma ip-telefoniabonnemang kan utnyttjas såväl från en fast telefon som från en mobil.

Det kan vid en första anblick framstå som att, vid en jämförelse med andra uppgifter, borttagandet av lagringsskyldigheten för bl.a. fast telefoni inte skulle ge en särskilt stor skadlig effekt för brotts- bekämpningen. Det måste dock framhållas att det inte är ovanligt att man inom spionage- och terrorismverksamhet använder fasta tele- foner. Uppgifter kopplade till fast telefoni är fortfarande strängt nödvändiga i utredningarna och om lagringsskyldigheten begränsas kan det få mycket allvarliga konsekvenser. Inte minst kan man utgå

359

Särskilda yttranden

SOU 2017:75

från att de kvalificerade aktörer som finns kommer att uppmärk- samma en borttagen lagringsskyldighet och utnyttja den begräns- ningen i Sveriges förmåga att utifrån nationell säkerhet förhindra, försvåra, upptäcka och utreda brott mot Sveriges säkerhet. Att in- hämta historiska uppgifter för att t.ex. identifiera de agenter som underrättelseofficerare har kontakt med kommer sannolikt att för- svåras betydligt.

Avslutningsvis vill vi framålla att det är positivt att utredaren föreslår att utrustningsidentitet, som är en abonnemangsuppgift, ska lagras även i fortsättningen vid mobil telefoni. IMEI-nummer och MAC-adress är mycket viktiga för att identifiera hårdvaran som används vid en kommunikation. De uppgifterna ger, på samma sätt som uppringande eller uppringt nummer, information om vem som kommunicerat med vem.

När skedde kommunikationen?

Utredaren föreslår att uppgifter om när kommunikationen skedde inte längre ska lagras när det gäller fast telefoni (inkl. fast ip-telefoni) och meddelandehantering via fast nätanslutningspunkt (t.ex. med- delanden från en ”fast” dator).

Säkerhetspolisen arbetar med att kartlägga personer som ofta är mycket skickliga på att undvika att brottsligheten upptäcks. Som exempel kommunicerar spioner och terrorister ibland genom vissa samtalsmönster. Ett missat (ej besvarat) samtal kan betyda en sak, två uppringningar och ett kort samtal något annat osv. Ett kort eller missat samtal kan vara en kodad signal om att man ska prata på annat kommunikationsmedel, ett långt samtal kan indikera att man har en närmare relation och ett samtal som sker vid en viss tidpunkt kan

360

SOU 2017:75

Särskilda yttranden

peka mot att det finns en medgärningsman etc. Avsaknad av denna information skulle försvåra bedömningarna betydligt och riskera att Säkerhetspolisen, även i akuta skeden, tappar förståelsen för spioners och terroristers avsikt och förmåga.

För att på ett effektivt sätt kunna lägga det pussel arbetet med Sveriges säkerhet innebär, krävs alltså tillgång till detaljerade tids- angivelser för kommunikation vid alla kommunikationsmedel. Upp- gifterna är strängt nödvändiga i såväl förundersöknings- som under- rättelsearbetet, och om lagringsskyldigheten begränsas kan det få mycket allvarliga konsekvenser.

Allmänt ska också nämnas något om ärenden som rör elek- troniska angrepp. Där är tidsuppgifter om en aktörs internetanvänd- ning, tillsammans med tider då ”attacker” genomförts, avgörande pusselbitar för att kunna förebygga, förhindra och utreda sådana brott med kopplingar till nationell säkerhet. Cyberhot är ett priori- terat område och uppgifter om bl.a. spårbar tid är strängt nödvändiga för att bekämpa brottsligheten.

Var skedde kommunikationen?

Utredaren föreslår att uppgifter om var kommunikationen skedde, dvs. lokaliseringsuppgifter, inte längre ska lagras när det gäller fast telefoni (inkl. fast ip-telefoni) och meddelandehantering via fast nätanslutningspunkt (t.ex. meddelanden från en ”fast” dator). Efter- som utredaren även föreslår att uppringandes och uppringds ip- adress inte längre ska lagras, innebär det att uppgifter om var kom- munikationen skedde inte heller kommer fram vid mobil ip-telefoni och vid meddelandehantering (t.ex. sms-, mms- och e-postmed- delanden) via mobil internetåtkomst.

Även uppgifter om var en viss utrustning befann sig när kom- munikation skedde är fundamentala uppgifter i brottsbekämpningen. De är ofta avgörande i både förundersökning och underrättelse- verksamhet och kan i vissa fall vara av större värde än uppgifter om vilka som har kommunicerat med varandra. Om Säkerhetspolisen inte längre genom lokaliseringsuppgifter kan placera en person på en viss plats vid en given tidpunkt, kan det i många fall få mycket allvar- liga effekter i bekämpningen av brott kopplade till nationell säkerhet. Det blir mycket svårare att på olika sätt ingripa mot spioneri och

361

Särskilda yttranden

SOU 2017:75

terrorism, t.ex. genom att lokalisera brottsplatser, gärningsmän, ”safehouses”, vapengömmor, provsprängningsplatser m.m. Det kommer inte längre att gå att kartlägga hur en person rört sig över tid för att t.ex. planera, rekognosera, träffa medgärningsmän, utföra brottet, gömma sig etc. Att vara hänvisad till basstationstömningar är inte tillräckligt, bl.a. eftersom det ofta är oklart vilket geografiskt område som är aktuellt.

Inte minst i spioneriutredningar, där kvalificerade aktörer agerar, är rörelsemönster hos underrättelseofficerare och deras agenter av- görande uppgifter. I många fall kan tillgång till lokaliseringsuppgifter vara det enda sättet för Säkerhetspolisen att knyta personer till en viss plats vid en viss tidpunkt. Om uppgifterna inte lagras, skulle det göra Säkerhetspolisen nästan blind i dessa ärenden. Den negativa påverkan på Säkerhetspolisens arbete mot främmande makts under- rättelseverksamhet i Sverige skulle bli mycket stor. Inom Säkerhets- polisens kontraspionageverksamhet har effekterna beskrivits som närmast oöverblickbara.

I terrorutredningar händer det mycket ofta att Säkerhetspolisen får information som anger att ett visst telefonnummer eller liknande finns i Sverige och att den som använder adressen har för avsikt att, tillsammans med andra okända aktörer, genomföra attentat i Sverige eller närliggande länder. Skulle Säkerhetspolisen vid sådana tillfällen, ofta i tidskritiska skeden, inte få tillgång till historiska trafik- och lokaliseringsuppgifter för att klarlägga positioner och kontakter kan det finnas stor risk för att misstänkta hot inte kan bedömas och reduceras.

Lokaliseringsuppgifter är alltså strängt nödvändiga i såväl för- undersöknings- som underrättelsearbetet. I Ds 2014:23 (s. 52) anges att polisen bedömt att uppgifterna är extremt viktiga. Vi instämmer i det. Om lagringsskyldigheten begränsas kan det få mycket allvarliga konsekvenser.

För tydlighetens skull måste också sägas att lokaliseringsupp- gifter för kommunikationens slut oftast är lika viktiga som uppgifter som rör kommunikationens början, vilket utredaren också tagit med i sitt förslag rörande telefoni via mobil nätanslutningspunkt. Om uppgifter rörande kommunikationens slut inte lagras kommer ett modus att bli att spioner och terrorister startar kommunikation med andra gärningsmän för att därefter låta samtalet vara uppkopplat under t.ex. rekognosering, bevakning av tilltänkta brottsoffer, resor,

362

SOU 2017:75

Särskilda yttranden

möten eller andra ”konspirativa handlingar”, allt för att undgå att lämna uppgifter om positionen i samband med att brott begås eller vid ageranden som kan kopplas till brottsligheten.

Uppgifter om vilken typ av kapacitet som den enskilde abonnerar på för att få internetåtkomst är också av grundläggande betydelse i sammanhanget (t.ex. fast fiber, xDSL, GPRS eller UMTS). Upp- gifterna ger nämligen indirekt tillgång till lokaliseringsinformation. Förmågan att bekämpa brottslighet kommer alltså att påverkas nega- tivt, eftersom utredaren föreslår att dessa uppgifter inte längre ska omfattas av lagringsskyldigheten (se även nedan).

Hur skedde kommunikationen?

Utredaren föreslår att uppgifter om hur kommunikationen skedde inte längre ska lagras när det gäller fast telefoni (inkl. fast ip-telefoni) och meddelandehantering via fast nätanslutningspunkt (t.ex. med- delanden från en ”fast” dator). Sådana uppgifter kan röra att det är fråga om talkommunikation, att ett e-postkonto har använts, att vidarekoppling har använts, att flera operatörer har varit inblandade i kommunikationen, att det finns en röstbrevlåda kopplad till abonne- manget eller att samtal inte har besvarats. Vidare föreslår utredaren att uppgifter om kapacitet för att få internetåtkomst inte längre ska lagras.

Inom den brottslighet som Säkerhetspolisen bekämpar förekom- mer det ofta att personer vidarekopplar kommunikationen till andra adresser. Det är enkelt att vidarekoppla samtal till en fast telefon till en mobiltelefon eller liknande. En orsak kan vara att man vill dölja ageranden som har med brottsligheten att göra. Den enskilt största förlusten av en borttagen lagringsskyldighet skulle bli att möjlig- heten att spåra samtal som styrs till mobila telefoner upphör. Samt- liga uppgifter om kommunikationen blir ”tvättade” genom de fasta telefonerna. Det skulle innebära stora nackdelar i arbetet med att spåra de nummer som faktiskt används i kommunikationen och skulle öppna en möjlighet att komma undan brottsbekämpningen genom att fasta telefoner används som bryggor som bryter spårbar- heten i kommunikationskedjan. Det öppnas med andra ord en enkel möjlighet att dölja vem som är mottagare av ett samtal.

363

Särskilda yttranden

SOU 2017:75

Främmande makt som bedriver olaglig verksamhet i Sverige använder ofta olika samtalsmönster för att kommunicera, i stället för att kommunicera i klartext (se ovan). Att vidarekoppla kommuni- kation kan vara del av det. Vidarekoppling kan också användas för att dölja positionen vid ett visst tillfälle. Det förekommer dessutom ofta att gärningsmän stänger av sin telefon inför någon aktivitet som kopplas till brottsligheten. Eventuella samtal går då vidare till annan person eller till röstbrevlådan i syfte att dölja det faktiska användan- det av mobiltelefonen.

En annan tjänst som är viktig att få uppgifter om är om det finns abonnemang på röstbrevlåda och när den i så fall har varit inkopplad. Innehållet i röstbrevlådan omfattas inte av lagringsskyldigheten, men uppgiften är viktig för att bedöma om man ska gå vidare med bl.a. tillstånd till hemlig avlyssning av elektronisk kommunikation.

För Säkerhetspolisen är behovet av att veta vilken typ av kapacitet som den enskilde abonnerar på för att få internetåtkomst av grund- läggande betydelse (t.ex. fast fiber, xDSL, GPRS eller UMTS). Upp- gifterna ger information t.ex. om anslutningsformen är fast eller mobil, vilket i sig kan ge lokaliseringsinformation. När utredningen dessutom föreslår att lagringsskyldigheten för lokaliseringsuppgifter ska minska (se ovan), innebär borttagandet av de nu aktuella upp- gifterna en dubbel negativ effekt för brottsbekämpningen. Uppgif- terna kan också ge information om vem som är abonnent. Därutöver behövs uppgifterna vid verkställighet av hemlig avlyssning av elek- tronisk kommunikation så att rätt teknik används. Skulle hemlig dataavläsning bli tillåten i framtiden är uppgifter om kapacitet för internetåtkomst av stor betydelse för bedömningen av vilken teknik som ska användas i respektive fall.

Om lagringsskyldigheten skulle tas bort kommer det att bli mycket svårare att identifiera utländska hot som verkar i Sverige. Spioner och terrorister skulle få större möjligheter till säker kom- munikation. Säkerhetspolisen kan med visshet säga att de möjlig- heter som öppnas kommer att utnyttjas av spioner och terrorister som är inblandade i brottlighet som rör Sveriges säkerhet. Uppgif- terna är alltså strängt nödvändiga i såväl förundersöknings- som underrättelsearbetet. Om lagringsskyldigheten begränsas kan det få mycket allvarliga konsekvenser.

364

SOU 2017:75

Särskilda yttranden

Lagringstiden

Utredarens förslag innebär att lagringstiderna differentieras utifrån hur gamla uppgifter det finns ett påtagligt behov av. Han föreslår att lokaliseringsuppgifter vid samtal ska lagras i 2 månader. Uppgifter om internetåtkomst, förutom uppgifter som identifierar utrust- ningen där kommunikationen slutligt avskiljs, ska lagras i 10 måna- der och övriga uppgifter i 6 månader.

Vi har ingen invändning i sig mot principen att lagringstiderna differentieras men kan konstatera att utredaren inte berör Säker- hetspolisen i sina resonemang.

Brott mot nationell säkerhet, som spioneri och terrorism, är speciella till sin karaktär i den meningen att brottsligheten ofta pågår under mycket lång tid.

För främmande makt kan det ta flera år att värva en agent med tillgång till skyddsvärd information. Brottsligheten är utdragen i tiden och sker i flera steg med faser som karaktäriseras av analys, målsökning, kartläggning, närmande, vänskap, värvning och inhämt- ning av hemlig information.

Även terrorism präglas av att brottsligheten många gånger är utdragen i tiden och att den sker i samverkan mellan flera. En pro- cess där en person utvecklas till en ideologiskt motiverad aktör med terroravsikt kan ta lång tid. Dessutom måste personen skaffa sig förmåga att planera och fullborda brott. Det sistnämnda innefattar både kunskap och materiel.

Det är ofta inte möjligt att redan i ett inledningsskede av kart- läggningsarbetet förutse vilka trafik- och lokaliseringsuppgifter som bör inhämtas. Utredaren anger att behovet av äldre uppgifter än fem månader inte är särskilt stort i underrättelseverksamhet. Som utredaren antyder gäller det inte för Säkerhetspolisen. Trafikuppgifts- utredningen nämnde att bl.a. terroristbrott är en typ av brottslighet där mer än två år gamla uppgifter behövs (SOU 2007:76 s. 173 ff.).

Vi ser positivt på att utredaren föreslår att lagringstiden för vissa uppgifter ska förlängas från sex till tio månader. Däremot ser vi, utifrån perspektivet Sveriges säkerhet, allvarligt på att tiden för loka- liseringsuppgifter vid samtal ska minskas från sex till två månader.

Vi beskrev ovan hur grundläggande uppgifter om var kommuni- kation skedde är i Säkerhetspolisens arbete. Uppgifterna är strängt nödvändiga i såväl förundersöknings- som underrättelsearbetet och

365

Bilaga 1

SOU 2017:75

Reglerna om datalagring och om vissa hemliga tvångsmedel behöver ses över

Leverantörer av allmänna kommunikationsnät och allmänt tillgäng- liga elektroniska kommunikationstjänster (leverantörerna) ska enligt lagen (2003:389) om elektronisk kommunikation (LEK) lagra vissa uppgifter om bl.a. telefonsamtal, internettrafik och meddelande- hantering för att uppgifterna ska kunna användas vid brottsbekämp- ning. Villkoren för de brottsbekämpande myndigheternas inhämt- ning av dessa uppgifter regleras närmare i LEK, rättegångsbalken och lagen (2012:278) om inhämtning av uppgifter om elektronisk kom- munikation i de brottsbekämpande myndigheternas underrättelse- verksamhet (inhämtningslagen).

EU-domstolen har, efter en begäran om ett förhandsavgörande från Kammarrätten i Stockholm, nyligen prövat om de svenska reglerna om datalagring och om tillgången till lagrade uppgifter stämmer överens med EU-rätten. Avgörandet klargör att svensk rätt inte stämmer överens med EU-rätten på ett flertal punkter. Lag- stiftningen behöver därför ses över och ändras.

Den 1 januari 2015 permanentades ett antal bestämmelser om hemliga tvångsmedel som fram till dess varit tidsbegränsade. I sam- band med uppdraget att se över frågorna om datalagring och åtkomst till lagrade uppgifter finns det även skäl att se över hur rättssäker- hetsgarantierna och mekanismerna som ska skydda den personliga integriteten när man använder dessa hemliga tvångsmedel fungerar.

Uppdraget att se över den svenska datalagringsregleringen

i ljuset av EU-domstolens förhandsavgörande om datalagring

Den svenska regleringen har prövats av EU-domstolen

EU-domstolen (förenade målen C 293/12 och C 594/12) ogiltig- förklarade i april 2014 det s.k. datalagringsdirektivet (Europaparla- mentets och rådets direktiv 2006/24/EG om lagring av uppgifter som genererats eller behandlats i samband med tillhandahållande av all- mänt tillgängliga elektroniska kommunikationstjänster eller allmänna kommunikationsnät och om ändring av direktiv 2002/58/EG). Syftet med direktivet var att harmonisera medlemsstaternas bestämmelser om skyldighet att lagra vissa uppgifter om elektronisk kommuni-

368

SOU 2017:75

Bilaga 1

kation för att säkerställa att uppgifterna är tillgängliga för utredning, avslöjande och åtal av brott som medlemsstaterna anser vara allvarliga. Enligt domstolens bedömning överskred EU:s lagstiftande församlingar sina befogenheter när direktivet antogs, eftersom det inte levde upp till proportionalitetsprincipen när det gällde artik- larna 7, 8 och 52.1 i EU:s stadga om de grundläggande rättigheterna (EU-stadgan). Artikel 7 reglerar rätten till respekt för bl.a. privat- och familjelivet och artikel 8 rätten till skydd av personuppgifter. Enligt artikel 52.1 måste varje begränsning i utövandet av fri-och rättigheter som erkänns i EU-stadgan vara föreskriven i lag och vara förenlig med det väsentliga innehållet i dessa fri- och rättigheter. Begränsningar får, med beaktande av proportionalitetsprincipen, endast göras om de är nödvändiga och faktiskt svarar mot mål av allmänt samhällsintresse som erkänns av unionen eller behovet av skydd för andra människors fri- och rättigheter.

Till följd av ogiltigförklaringen faller nu EU-rätten när det gäller datalagring för brottsbekämpning tillbaka på artikel 15.1 i Europa- parlamentets och rådets direktiv 2002/58/EG om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation (direktiv om integritet och elektronisk kommuni- kation) (direktiv 2002/58). Där anges närmare under vilka förutsätt- ningar medlemsstaterna får vidta åtgärder för att begränsa omfatt- ningen av de rättigheter och skyldigheter som anges i direktivet. Direktivet är inte tillämpligt på verksamheter som avser allmän säkerhet, försvar, statens säkerhet och statens verksamhet på straff- rättens område (artikel 1.3).

Det ogiltigförklarade direktivet genomfördes i svensk rätt genom ändringar i framför allt LEK (prop. 2010/11:46, bet. 2011/12:JuU28, rskr. 2011/12:166). Enligt 6 kap. 16 a § i den lagen är leverantörerna skyldiga att lagra vissa uppgifter som genereras eller behandlas i sam- band med att tjänster tillhandahålls, för att uppgifterna ska kunna användas vid brottsbekämpning. Lagringsskyldigheten gäller i sex månader från den dag kommunikationen avslutades. Som huvudregel ska den lagringsskyldige sedan genast utplåna uppgifterna (6 kap. 16 d § LEK).

Skyldigheten att lagra data enligt de svenska bestämmelserna ifrågasattes efter EU-domstolens dom där datalagringsdirektivet ogiltigförklarades. Flera leverantörer meddelade att de tänkte sluta lagra uppgifter enligt de tvingande reglerna i LEK, och i vissa fall att

369

Bilaga 1

SOU 2017:75

man tänkte radera redan lagrade uppgifter. Post- och telestyrelsen förelade därför flera leverantörer att fortsätta med sin lagring. Med anledning av ett överklagande av ett sådant föreläggande begärde Kammarrätten i Stockholm ett förhandsavgörande från EU-dom- stolen (mål nr 7380-14). Frågorna tog sikte på rättsläget enligt artikel 15.1 i direktiv 2002/58, i dess lydelse enligt Europaparlamen- tets och rådets direktiv 2009/136/EG, och artiklarna 7, 8 och 52.1 i EU-stadgan.

EU-domstolen besvarade kammarrättens begäran om förhands- avgörande genom en dom den 21 december 2016 (förenade målen C- 203/15 och C-698/15). EU-domstolens slutsats var bl.a. att en gene- rell och odifferentierad lagring av uppgifter om elektronisk kom- munikation inte är förenlig med EU-rätten. Domstolen framhöll bl.a. att dessa uppgifter sammantagna kan göra det möjligt att dra mycket precisa slutsatser om privatlivet för de personer vars upp- gifter har lagrats, och att kartlägga de berörda personerna på ett sätt som är lika känsligt ur integritetssynpunkt som själva innehållet i kommunikationerna. Domstolen gjorde även vissa uttalanden om förutsättningarna för de brottsbekämpande myndigheternas åtkomst till lagrade uppgifter samt om säkerheten för uppgifterna.

Kammarrätten beslutade dagen därpå att Post- och telestyrelsens föreläggande om fortsatt lagring tills vidare inte ska gälla. Kammar- rätten har inte slutligt avgjort målet.

Uppgifter som kan lagras

Den centrala bestämmelsen om lagringsskyldighetens omfattning finns i 6 kap. 16 a § LEK. Skyldigheten omfattar uppgifter som anges som nödvändiga för vissa bestämda syften.

Dessa är preciserade som uppgifter som är nödvändiga för att spåra och identifiera kommunikationskällan, slutmålet för kom- munikationen, datum, tidpunkt och varaktighet för den, typ av kom- munikation, kommunikationsutrustning samt lokalisering av mobil kommunikationsutrustning vid kommunikationens början och slut. Även uppgifter som genereras eller behandlas vid misslyckade upp- ringningar ska lagras. Innehållet i kommunikationen lagras däremot inte. Lagringsskyldigheten är närmare strukturerad i vissa teknikslag. Dessa är angivna som telefonitjänst, meddelandehantering, internet-

370

SOU 2017:75

Bilaga 1

åtkomst och tillhandahållande av kapacitet för att få internetåtkomst (anslutningsform). I 39–43 §§ förordningen (2003:396) om elektro- nisk kommunikation (FEK) finns ytterligare bestämmelser om vilka uppgifter som ska lagras.

EU-domstolen har i förhandsavgörandet slagit fast att lagrings- skyldigheten enligt LEK överskrider gränserna för vad som är strängt nödvändigt och att den inte kan anses motiverad i ett demo- kratiskt samhälle i enlighet med artikel 15.1 i direktiv 2002/58 jäm- förd med artiklarna 7, 8, 11 och 52.1 i EU-stadgan. En generell och odifferentierad lagring av uppgifter – utan att det görs någon åtskill- nad, begränsning eller undantag utifrån syftet att bekämpa brott – är alltså inte tillåten. I sammanhanget påpekas bl.a. att den omständig- heten att lagringen och den senare användningen av uppgifterna sker utan att abonnenten är underrättad om det kan ge de berörda perso- nerna en känsla av att deras privatliv står under ständig övervakning. Det finns enligt EU-domstolen däremot inget hinder mot att i före- byggande syfte tillämpa en riktad lagring i syfte att bekämpa grov brottslighet. En sådan datalagring förutsätter dock att lagringen begränsas till vad som är strängt nödvändig när det gäller vilka slags uppgifter som ska lagras, vilka kommunikationsmedel som avses, vilka personer som berörs och hur länge lagringen ska ske.

Att kunna få tillgång till lagrade uppgifter om elektronisk kom- munikation är av mycket stort värde för rättsväsendets myndigheter i arbetet med att förebygga, förhindra, upptäcka, utreda och lagföra brott, inte minst när det gäller grov brottslighet. Genom att sådana uppgifter finns lagrade – och därmed kan hämtas in av de brotts- bekämpande myndigheterna – går det att klarlägga händelser som anknyter till såväl själva brottstillfället som till t.ex. planläggning eller flykt. I många fall, t.ex. vid barnpornografibrott, kan uppgifter om elektronisk kommunikation vara avgörande för att man ska kunna identifiera en misstänkt gärningsman. Uppgifterna har även stor betydelse för att man ska kunna bekräfta brottsmisstankar.

Inom ramen för de riktlinjer EU-domstolen drar upp bör det även i fortsättningen, vid sidan av de uppgifter leverantörerna lagrar frivilligt, finnas ett utrymme för att i lagstiftningen kunna ha tvingande regler för leverantörernas lagring av uppgifter om elektro- nisk kommunikation. Hur stort detta utrymme är och vilket behov det finns av det måste dock utredas. Målsättningen är att upprätt- hålla ett starkt skydd för de grundläggande rättigheterna som står sig

371

Bilaga 1

SOU 2017:75

väl vid en rättslig prövning, samtidigt som de brottsbekämpande myndigheternas möjligheter att upprätthålla sin förmåga att före- bygga, förhindra, upptäcka, utreda och lagföra brott kan tillgodoses. En särskild fråga i sammanhanget är också vilken effekt domen har på verksamhet som avser Sveriges säkerhet, dvs. sådan verksamhet som ligger inom Säkerhetspolisens ansvarsområde.

Utredaren ska

•analysera hur reglerna om lagring av uppgifter enligt 6 kap. 16 a § LEK och 39–43 §§ FEK förhåller sig till EU-domstolens dom,

•med beaktande av skyddet för den personliga integriteten och yttrandefriheten, överväga olika alternativ till förändringar i de delar reglerna inte bedöms vara förenliga med domen och belysa fördelarna och nackdelarna med dessa alternativ, och

•föreslå de författningsändringar och andra åtgärder som behövs.

Tillgången till lagrade uppgifter

EU-domstolen uttalar sig i domen också om vilka villkor som ska gälla för att behöriga nationella myndigheter ska få tillgång till lagrade uppgifter. För att begränsa tillgången till vad som är strängt nödvändigt krävs, enligt EU-domstolen, i princip att uppgifterna rör personer som misstänks planera, begå eller ha begått ett allvarligt brott eller som på något annat sätt är inblandade i ett sådant brott. När vitala intressen för nationell säkerhet, försvar eller allmän säker- het hotas av terrorism kan tillgång dock även ges till uppgifter om andra personer. Vidare ska tillgången normalt – utom i brådskande fall – kräva förhandskontroll av en domstol eller en oberoende myndighet. Den person som de inhämtade uppgifterna rör ska dess- utom underrättas om åtgärden så snart en sådan upplysning inte riskerar att skada utredningen.

Bestämmelser om tillgången till uppgifter som ska lagras finns i flera olika regleringar. Regler om inhämtning av abonnemangs- uppgifter finns i 6 kap. 22 § första stycket 2 LEK, regler om inhämt- ning av trafik- och lokaliseringsuppgifter under förundersökning i 27 kap. 19 § rättegångsbalken och regler om inhämtning av trafik- och lokaliseringsuppgifter i underrättelseverksamhet finns i inhämt- ningslagen.

372

SOU 2017:75

Bilaga 1

Det stora flertalet av de brottstyper som omfattas av regleringen om hemlig övervakning av elektronisk kommunikation har ett straffminimum på sex månaders fängelse. Tvångsmedlet får dock även användas i vissa andra fall, t.ex. vid dataintrång, barnpornografi- brott och samhällsfarliga brott inom Säkerhetspolisens verksamhets- område. Det får dessutom i förekommande fall användas vid för- undersökning om försök, förberedelse eller stämpling till sådan brottslighet. Det finns också vissa bestämmelser i andra lagar som ut- vidgar tillämpningsområdet för tvångsmedlet. Enligt lagen (2007:979) om åtgärder för att förhindra vissa särskilt allvarliga brott får exempelvis hemlig övervakning av elektronisk kommunikation användas för brott som inte uppfyller kraven på brottets svårhet enligt reglerna i rättegångsbalken.

Huvudregeln är att hemlig övervakning av elektronisk kommuni- kation bara får användas efter förhandsprövning och beslut av dom- stol. Tillstånd får under vissa förutsättningar dock även ges interi- mistiskt av åklagare i avvaktan på domstolens prövning. Enskilda som har utsatts för användning av tvångsmedlet ska enligt huvudregeln underrättas om åtgärden i efterhand.

I princip motsvarande uppgifter som kan hämtas in enligt reglerna om hemlig övervakning av elektronisk kommunikation kan i Polismyndighetens, Säkerhetspolisens och Tullverkets under- rättelseverksamhet hämtas in enligt inhämtningslagen. Uppgifterna får under vissa förutsättningar hämtas in för att förebygga, förhindra eller upptäcka brottslig verksamhet som innefattar brott med ett straffminimum på två års fängelse, eller som avser vissa särskilt angivna brott inom Säkerhetspolisens ansvarsområde. Till skillnad från regleringen om hemlig övervakning av elektronisk kommuni- kation är beslut om inhämtning av uppgifter enligt inhämtningslagen inte föremål för någon utomstående förhandsprövning utan fattas på egen hand av respektive myndighet. Lagen innehåller inte heller någon motsvarighet till rättegångsbalkens krav på underrättelse till enskilda.

Inte heller vid inhämtning av abonnemangsuppgifter enligt LEK finns det något krav på föregående kontroll av en oberoende instans. Uppgifterna får alltså hämtas in efter beslut av den brottsbekämpande myndigheten själv. Regleringen ställer inte heller några krav på underrättelse i efterhand eller att den brottslighet som uppgifterna lämnas ut för ska vara av en viss svårhetsgrad. De brottsbekämpande

373

Bilaga 1

SOU 2017:75

myndigheterna har således rätt att få tillgång till uppgifter om abonnemang – t.ex. abonnentens nummer, namn och adress – vid alla typer av brott utom sådana brott där åtal enbart får väckas av målsäganden. Bestämmelsens utformning motiverades med att trakasserier via internet av olika slag, nätmobbning och förtal liksom vuxnas kontakter med barn i sexuella syften (grooming), hade blivit ett allt större problem och att möjligheten att ingripa mot sådana brott ofta var begränsade eftersom det saknades tillgång till abonne- mangsuppgifter som kunde identifiera abonnenten (prop. 2011/12:55, s. 102). Abonnemangsuppgifter hämtas även in i underrättelseskedet (SOU 2015:31, s. 198 f.)

EU-domstolens dom innebär att regelverkens nuvarande utform- ning behöver ses över när det gäller de närmare förutsättningarna för myndigheternas tillgång till uppgifter. Det gäller t.ex. vilka krav som bör ställas på brottets allvar för att uppgifterna ska få hämtas in. En annan sådan fråga är vad som sägs i domen om krav på underrättelse till enskilda. Även beslutsordningen för att få hämta in lagrade upp- gifter behöver ses över liksom frågan om det behövs ett särskilt skydd för uppgifter som omfattas av yrkesmässig tystnadsplikt.

Utredaren ska

•analysera hur dagens regler om tillgång till uppgifter som lagras förhåller sig till EU-domstolens dom,

•överväga olika alternativ till förändringar i de delar reglerna inte bedöms vara förenliga med domen och belysa fördelarna och nackdelarna med dessa alternativ, och

•föreslå de författningsändringar och andra åtgärder som behövs.

Vid utformningen av förslagen bör den gräns som i dag råder mellan underrättelseverksamhet och brottsutredande verksamhet inom ramen för en förundersökning beaktas så långt som möjligt.

Skyddet och säkerheten för de lagrade uppgifterna

Den som är skyldig att lagra uppgifter enligt reglerna i LEK är också ansvarig för att skydda uppgifterna. Den lagringsskyldige ska vidta de särskilda tekniska och organisatoriska åtgärder som behövs för att skydda de lagrade uppgifterna vid behandling (6 kap. 3 a § första

374

SOU 2017:75

Bilaga 1

stycket LEK). Ytterligare föreskrifter om säkerheten för de lagrade uppgifterna finns i bl.a. 37 § FEK. Det finns inget krav i Sverige på att uppgifterna ska lagras inom ett visst område, t.ex. inom EU.

Uppgifterna ska vidare utplånas vid lagringstidens slut eller, om en begäran om utlämnande har inkommit men inte hunnit behandlas inom denna tid, så fort uppgifterna har lämnats ut (6 kap. 16 d § LEK). Att reglerna följs står under tillsyn av Post- och telestyrelsen.

EU-domstolen uttalar sig i förhandsavgörandet även i dessa frågor. Med hänsyn till att det bl.a. handlar om en stor mängd upp- gifter av känslig natur måste leverantörerna av elektroniska kom- munikationstjänster, för att säkerställa fullständig integritet och konfidentialitet för uppgifterna, garantera en särskilt hög skydds- och säkerhetsnivå. EU-domstolen konstaterar också att den natio- nella lagstiftningen i synnerhet måste föreskriva att lagringen sker inom unionen och att uppgifterna oåterkalleligen förstörs när deras lagringstid gått ut. I domen pekas även på vikten av kontroll av en oberoende myndighet.

Utredaren ska

•analysera hur nuvarande regler om skydd av och säkerhet för uppgifter som lagras förhåller sig till EU-domstolens dom,

•överväga olika alternativ till förändringar i de delar reglerna inte bedöms vara förenliga med domen och belysa fördelarna och nackdelarna med dessa alternativ, och

•föreslå de författningsändringar och andra åtgärder som behövs.

Internationell utblick

Utredaren ska redovisa gällande rätt och pågående arbete i Finland och Danmark och de övriga länder som bedöms vara relevanta för utredningsuppdraget, t.ex. Österrike, Tyskland och Nederländerna, och i övrigt göra de internationella jämförelser som utredaren bedömer befogade.

Utredaren ska även följa arbetet med EU-kommissionens förslag till förordning om integritet och elektronisk kommunikation (COM [2017], 10 final, 2017/0003 [COD]) och, i den mån det bedöms nöd- vändigt, eventuellt arbete på EU-nivå med anledning av EU-dom- stolens förhandsavgörande.

375

Bilaga 1

SOU 2017:75

Målet i kammarrätten

Enligt EU-domstolen ankommer det på Kammarrätten i Stockholm att pröva om och i så fall i vilken utsträckning den svenska regler- ingen uppfyller kraven enligt artikel 15.1 i direktiv 2002/58 jämfört med artiklarna 7, 8, 11 och artikel 52.1 i EU-stadgan, såsom de preciseras i förhandsavgörandet, när det gäller behöriga nationella myndigheters tillgång till lagrade uppgifter och skyddet av och säker- heten för uppgifterna.

Utredaren ska vid utformningen av sina förslag, i den mån utredaren bedömer det relevant, beakta utfallet av kammarrättens prövning.

Närliggande frågor

Utredaren får ta upp sådana närliggande frågor som har samband med de frågeställningar som ska utredas, under förutsättning att uppdraget ändå bedöms kunna redovisas i tid. Exempel på sådana frågor är vilken efterhandskontroll som bör finnas samt om någon myndighet bör ha tillsyn över att uppgifter om elektronisk kom- munikation lämnas ut på ett korrekt sätt.

Uppdraget att se över rättssäkerhetsgarantierna och mekanismerna som ska skydda den personliga integriteten

vid användning av hemliga tvångsmedel för vissa allvarliga brott

Permanentningen av reglerna om hemliga tvångsmedel

Under senare år har kriminaliteten blivit alltmer komplex och svår- utredd. Att information kan hämtas in är som nämnts centralt för att de brottsbekämpande myndigheterna på ett effektivt sätt ska kunna förebygga, förhindra och utreda brott. När det gäller särskilt allvarlig eller på annat sätt samhällsfarlig brottslighet är inhämtning av infor- mation genom användning av hemliga tvångsmedel i många fall de enda verktyg som kan användas för att driva en brottsutredning framåt.

Regler om hemliga tvångsmedel för den typen av brottslighet finns framför allt i rättegångsbalken och i lagen (2007:979) om åtgär- der för att förhindra vissa särskilt allvarliga brott. Lagen, som regle-

376

SOU 2017:75

Bilaga 1

rar möjligheten att använda hemliga tvångsmedel utan att en för- undersökning pågår, var tidigare tidsbegränsad men gjordes perma- nent genom lagändringar som trädde i kraft den 1 januari 2015. Genom en överflyttning till rättegångsbalken permanentades sam- tidigt även bestämmelserna i två andra tidsbegränsade lagar med bestämmelser om hemliga tvångsmedel för särskilt allvarlig eller på annat sätt samhällsfarlig brottslighet, nämligen lagen (2007:978) om hemlig rumsavlyssning och lagen (2008:854) om åtgärder för att utreda vissa samhällsfarliga brott (prop. 2013/14:237, bet. 2014/15:JuU2, rskr. 2014/15:22).

En avvägning mellan enskildas rätt till integritet och rättssäkerhet och behovet av en effektiv brottsbekämpning

Det är samtidigt av grundläggande betydelse i en rättsstat att rätten till skydd för privat- och familjelivet respekteras. De hemliga tvångs- medlen inskränker de rättigheter som var och en har enligt regerings- formen och den europeiska konventionen om skydd för de mänsk- liga rättigheterna och de grundläggande friheterna (Europakon- ventionen). Varje befogenhet för staten att i hemlighet bereda sig tillgång till personlig information, och varje utnyttjande av denna befogenhet, leder till ingrepp i den personliga integriteten. Graden av integritetsintrång varierar med befogenhetens (tvångsmedlets) ut- formning och tillämpning. Regleringen om hemliga tvångsmedel bygger på en avvägning mellan å ena sidan samhällets behov av en effektiv brottsbekämpning till skydd för medborgarna och å andra sidan enskildas rätt till integritet och rättssäkerhet i förhållande till staten.

Rättssäkerhetsgarantier och mekanismer till skydd för den personliga integriteten

Avvägningen har resulterat i att regleringen omgärdas av ett antal rättssäkerhetsgarantier och mekanismer för att säkerställa att reglerna och deras tillämpning lever upp till högt ställda krav på rättssäkerhet och att intrånget i den personliga integriteten minime- ras. De har tillkommit bl.a. för att möta de krav som regerings- formen och Europakonventionen ställer i dessa avseenden. För till-

377

Bilaga 1

SOU 2017:75

stånd till hemliga tvångsmedel krävs det normalt prövning i domstol. Vid domstolsprövningen av flertalet av de hemliga tvångsmedlen ska ett offentligt ombud kallas att närvara för att bevaka enskildas integritetsintressen. Det offentliga ombudet ska ha tillgång till allt material som ligger till grund för domstolens prövning och har rätt att överklaga domstolens beslut. I samband med permanentningen av de tidsbegränsade reglerna togs möjligheten för domstolen att fatta beslut om hemliga tvångsmedel, utan att ett offentligt ombud har medverkat, bort. Till rättssäkerhetsgarantierna räknas också skyl- digheten att i efterhand underrätta vissa personer om att hemliga tvångsmedel har använts. Även den tillsyn och kontroll som Säker- hets- och integritetsskyddsnämnden utövar över de brottsbekäm- pande myndigheterna räknas hit. Nämnden har som övergripande mål att bidra till att värna rättssäkerheten och skyddet för den personliga integriteten inom den brottsbekämpande verksamheten. Tillsynen ska särskilt syfta till att säkerställa att verksamheten bedrivs i enlighet med lag eller annan författning. Nämnden är också på begäran av en enskild skyldig att kontrollera om han eller hon har utsatts för hemliga tvångsmedel och om hanteringen i så fall har varit lagenlig. Den enskilde underrättas om att kontrollen har utförts men kan p.g.a. sekretess som regel inte informeras närmare om vad som har funnits vid kontrollen.

Även regleringen av användningen av överskottsinformation har tillkommit mot bakgrund av regeringsformens och Europakonven- tionens krav. Vidare finns det av integritetshänsyn ett förbud mot avlyssning av vissa samtal eller meddelanden. Utgångspunkten för förbudet – som utvidgades i samband med permanentningen av de tidsbegränsade bestämmelserna – är att uppgifter som inte får in- hämtas genom vittnesförhör i domstol inte heller ska kunna inhämtas genom avlyssning.

Tidigare översyner

Rättssäkerhetsgarantierna och mekanismerna till skydd för den personliga integriteten har setts över i olika sammanhang. Utred- ningen om rättssäkerhet vid hemliga tvångsmedel gjorde t.ex. bedömningen att systemet med offentliga ombud fungerade väl och att inga förändringar behövdes (SOU 2006:98). Några år senare

378

SOU 2017:75

Bilaga 1

konstaterade Utredningen om utvärdering av vissa hemliga tvångs- medel att befintliga rättssäkerhetsgarantier och kontrollmekanismer utgör ett tillräckligt gott skydd mot otillbörliga intrång i den personliga integriteten (SOU 2009:70). Även Utredningen om vissa hemliga tvångsmedel gjorde en översyn i samband med att man tog ställning till de tre tidsbegränsade lagarnas fortsatta giltighet och hur den framtida regleringen av hemliga tvångsmedel för särskilt allvarlig eller annars samhällsfarlig brottslighet borde utformas. Enligt utred- ningen lever rättssäkerhetsgarantierna upp till regeringsformens och Europakonventionens krav (SOU 2012:44).

Rättssäkerhetsgarantierna och mekanismerna till skydd för den personliga integriteten bör ses över på nytt

Det är viktigt att rättssäkerhetsgarantierna och mekanismerna till skydd för den personliga integriteten fungerar. Den senaste över- synen sträcker sig till utgången av 2011. Det finns när det gäller de bestämmelser om hemliga tvångsmedel för särskilt allvarlig eller på annat sätt samhällsfarlig brottslighet, som permanentades den 1 januari 2015, skäl att nu följa upp tillämpningen av befintliga rätts- säkerhetsgarantier och mekanismer till skydd för enskildas person- liga integritet. Syftet är att säkerställa att de tillämpas på ett sådant sätt att systemet lever upp till de krav som Europakonventionen och regeringsformen ställer på rättssäkerhet och skydd för den person- liga integriteten. Det är i detta sammanhang särskilt angeläget att bedöma effekterna avseende skyddet för enskildas personliga integri- tet med anledning av permanentningen (prop. 2014/15:1, uo 4, s. 23). Bland annat bör utredaren göra en analys av om det sedan permanentningen har uppstått något behov av att justera rättssäker- hetsgarantierna och mekanismerna till skydd för enskildas personliga integritet. Vid genomförandet av uppdraget ska beaktas vad som tidigare har uttalats om att en sådan ingående undersökning som gjordes inför permanentningen av de tidsbegränsade reglerna inte kan förväntas ske löpande (se prop. 2013/14:237, s. 168).

Utredaren ska

•undersöka hur rättssäkerhetsgarantierna och mekanismerna till skydd för den personliga integriteten vid användning av hemliga

379

Bilaga 2

Rättsfallssamlingen

DOMSTOLENS DOM (stora avdelningen)

den 21 december 2016*

”Begäran om förhandsavgörande — Elektronisk kommunikation — Behandling av personuppgifter — Konfidentialitet vid elektronisk kommunikation — Skydd — Direktiv 2002/58/EG — Artiklarna 5, 6, 9 och 15.1 — Europeiska unionens stadga om de grundläggande rättigheterna — Artiklarna 7, 8, 11 och 52.1 — Nationell lagstiftning — Leverantörer av elektroniska kommunikationstjänster — Skyldighet som avser en generell och odifferentierad lagring av trafikuppgifter och lokaliseringsuppgifter — Nationella myndigheter — Tillgång till uppgifter — Ingen förhandskontroll av en domstol eller en oberoende förvaltningsmyndighet — Fråga om förenlighet med unionsrätten”

I de förenade målen C-203/15 och C-698/15,

angående beslut att begära förhandsavgörande enligt artikel 267 FEUF, från Kammarrätten i Stockholm (Sverige) och Court of Appeal (England & Wales) (Civil Division) (Appellationsdomstolen för England och Wales, avdelningen för tvistemål och förvaltningsmål, Förenade kungariket) av den 29 april 2015 respektive den 9 december 2015 som inkom till domstolen den 4 maj 2015 respektive den 28 december 2015, i målen

Tele2 Sverige AB (C-203/15)

mot

Post- och telestyrelsen,

och

Secretary of State for the Home Department (C-698/15)

mot

Tom Watson,

Peter Brice,

Geoffrey Lewis,

ytterligare deltagare i rättegången:

Open Rights Group,

Privacy International,

The Law Society of England and Wales,

* * Rättegångsspråk: svenska och engelska.

SV	1
ECLI:EU:C:2016:970

381

Bilaga 2

SOU 2017:75

DOM AV DEN 21.12.2016 – FÖRENADE MÅLEN C-203/15 OCH C-698/15

TELE2 SVERIGE OCH WATSON M.FL.

meddelar

DOMSTOLEN (stora avdelningen)

sammansatt av ordföranden K. Lenaerts, vice ordföranden A. Tizzano, avdelningsordförandena R. Silva de Lapuerta, T. von Danwitz (referent), J.L. da Cruz Vilaça, E. Juhász och M. Vilaras samt domarna A. Borg Barthet, J. Malenovský, E. Levits, J.-C. Bonichot, A. Arabadjiev, S. Rodin, F. Biltgen och C. Lycourgos,

generaladvokat: H. Saugmandsgaard Øe,

justitiesekreterare: handläggaren C. Strömholm,

med hänsyn till beslutet av domstolens ordförande av den 1 februari 2016 att handlägga mål C-698/15 skyndsamt i enlighet med artikel 105.1 i domstolens rättegångsregler,

efter det skriftliga förfarandet och förhandlingen den 12 april 2016,

med beaktande av de yttranden som avgetts av:

— Tele2 Sverige AB, genom M. Johansson och N. Torgerzon, advokater, samt E. Lagerlöf och

S.Backman,

—Tom Watson, genom J. Welch och E. Norton, solicitors, I. Steele, advocate, B. Jaffey, barrister, samt

D.Rose, QC,

—Peter Brice och Geoffrey Lewis, genom A. Suterwalla och R. de Mello, barristers, R. Drabble, QC, samt S. Luke, solicitor,

— Open Rights Group och Privacy International, genom D. Carey, solicitor, samt R. Mehta och

J.Simor, barristers,

—The Law Society of England and Wales, genom T. Hickman, barrister, samt N. Turner,

—Sveriges regering, genom A. Falk, C. Meyer-Seitz, U. Persson, N. Otte Widgren och L. Swedenborg, samtliga i egenskap av ombud,

—Förenade kungarikets regering, genom S. Brandon, L. Christie och V. Kaye, samtliga i egenskap av ombud, biträdda av D. Beard, G. Facenna och J. Eadie, QC, samt S. Ford, barrister,

—Belgiens regering, genom J.-C. Halleux, S. Vanrie och C. Pochet, samtliga i egenskap av ombud,

—Tjeckiens regering, genom M. Smolek och J. Vláčíl, båda i egenskap av ombud,

—Danmarks regering, genom C. Thorning och M. Wolff, båda i egenskap av ombud,

—Tysklands regering, genom T. Henze, M. Hellmann och J. Kemper, samtliga i egenskap av ombud, biträdda av M. Kottmann och U. Karpenstein, Rechtsanwälte,

—Estlands regering, genom K. Kraavi-Käerdi, i egenskap av ombud,

—Irland, genom E. Creedon, L. Williams och A. Joyce, samtliga i egenskap av ombud, biträdda av

D.Fennelly, BL,

2	ECLI:EU:C:2016:970

382

SOU 2017:75

Bilaga 2

DOM AV DEN 21.12.2016 – FÖRENADE MÅLEN C-203/15 OCH C-698/15

TELE2 SVERIGE OCH WATSON M.FL.

—Spaniens regering, genom A. Rubio González, i egenskap av ombud,

—Frankrikes regering, genom G. de Bergues, D. Colas, F.-X. Bréchot och C. David, samtliga i egenskap av ombud,

—Cyperns regering, genom K. Kleanthous, i egenskap av ombud,

—Ungerns regering, genom M. Fehér och G. Koós, båda i egenskap av ombud,

—Nederländernas regering, genom M. Bulterman, M. Gijzen och J. Langer, samtliga i egenskap av ombud,

—Polens regering, genom B. Majczyna, i egenskap av ombud,

—Finlands regering, genom J. Heliskoski, i egenskap av ombud,

—Europeiska kommissionen, genom H. Krämer, K. Simonsson, H. Kranenborg, D. Nardi, P. Costa de Oliveira och J. Vondung, samtliga i egenskap av ombud,

och efter att den 19 juli 2016 ha hört generaladvokatens förslag till avgörande,

följande

Dom

1Respektive begäran om förhandsavgörande avser tolkningen av artikel 15.1 i Europaparlamentets och rådets direktiv 2002/58/EG av den 12 juli 2002 om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation (direktiv om integritet och elektronisk kommunikation) (EGT L 201, 2002, s. 37), i dess lydelse enligt Europaparlamentets och rådets direktiv 2009/136/EG av den 25 november 2009 (EUT L 337, 2009, s. 11) (nedan kallat direktiv 2002/58), jämförd med artiklarna 7, 8 och 52.1 i Europeiska unionens stadga om de grundläggande rättigheterna (nedan kallad stadgan).

2Den ena begäran har framställts i ett mål (C-203/15) mellan Tele2 Sverige AB och Post- och telestyrelsen (nedan kallad PTS), om ett föreläggande från PTS för Tele2 Sverige att lagra trafikuppgifter och lokaliseringsuppgifter avseende bolagets abonnenter och registrerade användare. Den andra begäran har framställts i ett mål (C-698/15) mellan Tom Watson, Peter Brice och Geoffrey Lewis, å ena sidan, och Secretary of State for the Home Department (inrikesministern i Förenade konungariket Storbritannien och Nordirland), å andra sidan, om huruvida section 1 i Data Retention and Investigatory Powers Act 2014 (2014 års lag om datalagring och utredningsbefogenheter, nedan kallad Dripa) är förenlig med unionsrätten.

ECLI:EU:C:2016:970

383

Bilaga 2

SOU 2017:75

DOM AV DEN 21.12.2016 – FÖRENADE MÅLEN C-203/15 OCH C-698/15

TELE2 SVERIGE OCH WATSON M.FL.

Tillämpliga bestämmelser

Unionsrätt

Direktiv 2002/58

3I skälen 2, 6, 7, 11, 21, 22, 26 och 30 i direktiv 2002/58 anges följande:

”(2) I detta direktiv eftersträvas respekt för de grundläggande rättigheterna och iakttagande av de principer som erkänns i synnerhet i [stadgan]. I synnerhet eftersträvas i detta direktiv att säkerställa full respekt för rättigheterna i artiklarna 7 och 8 i … stadgan.

…

(6)Internet bryter upp traditionella marknadsstrukturer genom att tillhandahålla en gemensam, global infrastruktur för leverans av en mängd olika elektroniska kommunikationstjänster. Allmänt tillgängliga kommunikationstjänster via Internet öppnar nya möjligheter för användarna, men för även med sig nya risker för deras personuppgifter och integritet.

(7)När det gäller allmänna kommunikationsnät bör särskilda rättsliga och tekniska bestämmelser antas för att skydda fysiska personers grundläggande fri- och rättigheter samt juridiska personers berättigade intressen, särskilt med hänsyn till den ökade kapaciteten för automatisk lagring och behandling av uppgifter om abonnenter och användare.

…

(11)I likhet med [Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (EGT L 281, 1995, s. 31)] omfattar det här direktivet inte sådana frågor om skydd av grundläggande fri- och rättigheter som rör verksamhet som inte regleras av gemenskapslagstiftningen. Det ändrar därför inte den befintliga jämvikten mellan den enskildes rätt till integritet och medlemsstaternas möjligheter att vidta sådana åtgärder, enligt artikel 15.1 i det här direktivet, som krävs för att skydda allmän säkerhet, försvar, statens säkerhet (inbegripet statens ekonomiska välstånd när verksamheten rör statens säkerhet) och brottsbekämpning. Det här direktivet påverkar följaktligen inte medlemsstaternas möjlighet att utföra laglig avlyssning av elektronisk kommunikation eller att vidta andra åtgärder om det är nödvändigt för något av dessa ändamål och sker i enlighet med Europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna i den tolkning dessa fått i rättspraxis från Europeiska domstolen för de mänskliga rättigheterna. Sådana åtgärder måste vara lämpliga, i strikt proportion till det avsedda ändamålet och nödvändiga i ett demokratiskt samhälle. De bör omfattas av lämpliga skyddsmekanismer i överensstämmelse med Europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna.

…

(21)Åtgärder bör vidtas för att förhindra obehörig åtkomst av kommunikation, så att konfidentialiteten vid kommunikation via allmänna kommunikationsnät och allmänt tillgängliga elektroniska kommunikationstjänster skyddas såväl i fråga om innehåll som uppgifter som har samband med sådan kommunikation. Den nationella lagstiftningen i vissa medlemsstater förbjuder endast obehörig åtkomst av kommunikation om detta sker avsiktligen.

4	ECLI:EU:C:2016:970

384

SOU 2017:75

Bilaga 2

DOM AV DEN 21.12.2016 – FÖRENADE MÅLEN C-203/15 OCH C-698/15

TELE2 SVERIGE OCH WATSON M.FL.

(22)Förbudet mot lagring av kommunikationer och tillhörande trafikuppgifter av andra än användarna eller utan deras samtycke är inte avsett att förbjuda någon automatisk, mellanliggande och tillfällig lagring av denna information, i den mån lagringen enbart görs för att utföra överföringen i det elektroniska kommunikationsnätet och under förutsättning att informationen inte lagras längre än vad som är nödvändigt för överföringen och trafikstyrningen och att konfidentialiteten förblir garanterad under lagringsperioden. …

…

(26)De uppgifter om abonnenter som behandlas inom elektroniska kommunikationsnät i samband med uppkoppling och överföring av information innehåller upplysningar om fysiska personers privatliv och gäller rätten till skydd för deras korrespondens eller omsorgen om juridiska personers berättigade intressen. Sådana uppgifter får endast lagras i den utsträckning det är nödvändigt för att tillhandahålla tjänsten när det gäller fakturering och betalning av samtrafikavgifter, och endast under en begränsad tid. [Ytterligare behandling av sådana uppgifter får] endast ske om abonnenten givit sitt samtycke till detta efter att ha erhållit korrekt och uttömmande information av den berörda leverantören om vilka typer av ytterligare behandling som denne avser att företa och om abonnentens rätt att inte ge sitt samtycke eller att återkalla sitt samtycke till en sådan behandling. …

…

(30)Systemen för tillhandahållande av elektroniska kommunikationsnät och elektroniska kommunikationstjänster bör utformas så att mängden nödvändiga personuppgifter begränsas till ett absolut minimum. …”

4I artikel 1 i direktiv 2002/58, med rubriken ”Tillämpningsområde och syfte”, föreskrivs följande:

”1. Genom detta direktiv möjliggörs en harmonisering av nationella bestämmelser för att säkerställa ett likvärdigt skydd av de grundläggande fri- och rättigheterna, särskilt rätten till integritet och konfidentialitet, när det gäller behandling av personuppgifter inom sektorn för elektronisk kommunikation, samt för att säkerställa fri rörlighet för sådana uppgifter samt för utrustning och tjänster avseende elektronisk kommunikation inom gemenskapen.

2.Bestämmelserna i detta direktiv skall precisera och komplettera direktiv [95/46] för de ändamål som avses i punkt 1. Bestämmelserna är vidare avsedda att skydda berättigade intressen för de abonnenter som är juridiska personer.

3.Detta direktiv skall inte tillämpas på verksamheter som faller utanför tillämpningsområdet för Fördraget om upprättandet av Europeiska gemenskapen, t.ex. de som omfattas av avdelningarna V och VI i Fördraget om Europeiska unionen, och inte i något fall på verksamheter som avser allmän säkerhet, försvar, statens säkerhet (inbegripet statens ekonomiska välstånd när verksamheten rör statens säkerhet) och statens verksamhet på straffrättens område.”

5I artikel 2 i direktiv 2002/58, som har rubriken ”Definitioner”, anges följande:

”Om inte annat anges skall definitionerna i Europaparlamentets och rådets direktiv 95/46/EG och 2002/21/EG av den 7 mars 2002 om ett gemensamt regelverk för elektroniska kommunikationsnät och kommunikationstjänster (ramdirektiv) [(EGT L 108, 2002, s. 33)] gälla i detta direktiv.

Dessutom skall följande definitioner gälla:

…

ECLI:EU:C:2016:970

385

Bilaga 2

SOU 2017:75

DOM AV DEN 21.12.2016 – FÖRENADE MÅLEN C-203/15 OCH C-698/15

TELE2 SVERIGE OCH WATSON M.FL.

b)trafikuppgifter: alla uppgifter som behandlas i syfte att överföra en kommunikation via ett elektroniskt kommunikationsnät eller för att fakturera den.

c)lokaliseringsuppgifter: alla uppgifter som behandlas i ett elektroniskt kommunikationsnät eller av en elektronisk kommunikationstjänst och som visar den geografiska positionen för terminalutrustningen för en användare av en allmänt tillgänglig elektronisk kommunikationstjänst.”

d)kommunikation: all information som utbyts eller överförs mellan ett begränsat antal parter genom en allmänt tillgänglig elektronisk kommunikationstjänst. Detta inbegriper inte information som överförs som del av en sändningstjänst för rundradio eller TV till allmänheten via ett elektroniskt kommunikationsnät utom i den mån informationen kan sättas i samband med den enskilde abonnenten eller användaren av informationen.

…”

6I artikel 3 i direktiv 2002/58, med rubriken ”Berörda tjänster”, föreskrivs följande:

”Detta direktiv ska tillämpas på behandling av personuppgifter i samband med att allmänt tillgängliga elektroniska kommunikationstjänster tillhandahålls i allmänna kommunikationsnät inom gemenskapen, inbegripet allmänna kommunikationsnät som stöder datainsamling och identifieringsutrustning.”

7Artikel 4 i detta direktiv, med rubriken ”Säkerhet i samband med behandlingen av uppgifter”, har följande lydelse:

”1. Leverantören av en allmänt tillgänglig elektronisk kommunikationstjänst skall vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa säkerheten i sina tjänster, om nödvändigt tillsammans med leverantören av det allmänna kommunikationsnätet när det gäller nätsäkerhet. Dessa åtgärder skall säkerställa en säkerhetsnivå som är anpassad till den risk som föreligger, med beaktande av dagens tillgängliga teknik och kostnaderna för att genomföra åtgärderna.

1a. Utan att det påverkar tillämpningen av direktiv 95/46/EG ska de åtgärder som avses i punkt 1 minst

—säkerställa att endast auktoriserad personal, och endast i lagligen tillåtna syften, får tillgång till personuppgifter,

—skydda personuppgifter som lagrats eller överförts mot oavsiktlig eller olaglig förstörelse, oavsiktlig förlust eller ändring samt mot icke auktoriserad eller olaglig lagring och behandling eller icke auktoriserat eller olagligt tillträde eller offentliggörande, och

—säkerställa införandet av en säkerhetsstrategi för behandling av personuppgifter.

…”

8I artikel 5 i direktiv 2002/58, som har rubriken ”Konfidentialitet vid kommunikation”, anges följande:

”1. Medlemsstaterna skall genom nationell lagstiftning säkerställa konfidentialitet vid kommunikation och därmed förbundna trafikuppgifter via allmänna kommunikationsnät och allmänt tillgängliga elektroniska kommunikationstjänster. De skall särskilt förbjuda avlyssning, uppfångande med tekniskt hjälpmedel, lagring eller andra metoder som innebär att kommunikationen och de därmed förbundna trafikuppgifterna kan fångas upp eller övervakas av andra personer än användarna utan de berörda

6	ECLI:EU:C:2016:970

386

SOU 2017:75

Bilaga 2

DOM AV DEN 21.12.2016 – FÖRENADE MÅLEN C-203/15 OCH C-698/15

TELE2 SVERIGE OCH WATSON M.FL.

användarnas samtycke, utom när de har laglig rätt att göra detta i enlighet med artikel 15.1. Denna punkt får inte förhindra teknisk lagring som är nödvändig för överföring av kommunikationen utan att det påverkar principen om konfidentialitet.

…

3. Medlemsstaterna ska se till att lagring av information eller tillgång till information som redan är lagrad i en abonnents eller användares terminalutrustning endast är tillåten på villkor att abonnenten eller användaren i fråga har gett sitt samtycke efter att ha fått tillgång till tydlig och fullständig information, i enlighet med direktiv [95/46/], bland annat om ändamålen med behandlingen av uppgifterna. Detta får inte förhindra någon teknisk lagring eller åtkomst som endast sker för att utföra överföringen av en kommunikation via ett elektroniskt kommunikationsnät eller det som är absolut nödvändigt för att leverantören ska kunna tillhandahålla en av informationssamhällets tjänster som användaren eller abonnenten uttryckligen har begärt.”

9I artikel 6 i direktiv 2002/58, med rubriken ”Trafikuppgifter”, anges följande:

”1. Trafikuppgifter om abonnenter och användare som behandlas och lagras av leverantören av ett allmänt kommunikationsnät eller en allmänt tillgänglig elektronisk kommunikationstjänst skall utplånas eller avidentifieras när de inte längre behövs för sitt syfte att överföra en kommunikation, utan att det påverkar tillämpningen av punkterna 2, 3 och 5 i den här artikeln samt artikel 15.1.

2.Trafikuppgifter som krävs för abonnentfakturering och betalning av samtrafikavgifter får behandlas. Sådan behandling är tillåten endast fram till utgången av den period under vilken det lagligen går att göra invändningar mot fakturan eller kräva betalning.

3.I syfte att saluföra elektroniska kommunikationstjänster eller i syfte att tillhandahålla mervärdestjänster får en leverantör av en allmänt tillgänglig elektronisk kommunikationstjänst behandla de uppgifter som avses i punkt 1 i den utsträckning och under den tidsperiod som är nödvändig för sådana tjänster eller sådan marknadsföring, om den abonnent eller användare som uppgifterna gäller i förväg har samtyckt till detta. Användare eller abonnenter skall ha möjlighet att när som helst dra tillbaka sitt samtycke till behandling av trafikuppgifter.

…

5. Behandlingen av trafikuppgifter skall, i enlighet med punkterna 1, 2, 3 och 4, begränsas till sådana personer som av leverantören av allmänna kommunikationsnät och allmänt tillgängliga elektroniska kommunikationstjänster getts i uppdrag att sköta fakturering, trafikstyrning, kundförfrågningar, spårning av bedrägerier, marknadsföring av elektroniska kommunikationstjänster eller tillhandahållande av en mervärdestjänst, och behandlingen skall begränsas till sådant som är nödvändigt för dessa verksamheter.”

10Artikel 9 i direktivet har rubriken ”Andra lokaliseringsuppgifter än trafikuppgifter”. Artikel 9.1 stadgar följande:

”Om andra lokaliseringsuppgifter än trafikuppgifter som rör användare eller abonnenter av allmänna kommunikationsnät eller allmänt tillgängliga elektroniska kommunikationstjänster kan behandlas, får dessa uppgifter endast behandlas sedan de har avidentifierats eller om användarna eller abonnenterna givit sitt samtycke, i den utsträckning och för den tid som krävs för tillhandahållandet av en mervärdestjänst. Innan användaren eller abonnenten ger sitt samtycke skall tjänsteleverantören informera denne om vilken typ av andra lokaliseringsuppgifter än trafikuppgifter som kommer att behandlas, behandlingens syfte och varaktighet samt om uppgifterna kommer att vidarebefordras till tredje part för tillhandahållande av mervärdestjänsten. …”

ECLI:EU:C:2016:970

387

Bilaga 2

SOU 2017:75

DOM AV DEN 21.12.2016 – FÖRENADE MÅLEN C-203/15 OCH C-698/15

TELE2 SVERIGE OCH WATSON M.FL.

11Artikel 15 i direktivet, med rubriken ”Tillämpningen av vissa bestämmelser i direktiv [95/46]”, har följande lydelse:

”1. Medlemsstaterna får genom lagstiftning vidta åtgärder för att begränsa omfattningen av de rättigheter och skyldigheter som anges i artikel 5, artikel 6, artikel 8.1, 8.2, 8.3 och 8.4 och artikel 9 i detta direktiv när en sådan begränsning i ett demokratiskt samhälle är nödvändig, lämplig och proportionell för att skydda nationell säkerhet (dvs. statens säkerhet), försvaret och allmän säkerhet samt för förebyggande, undersökning, avslöjande av och åtal för brott eller vid obehörig användning av ett elektroniskt kommunikationssystem enligt artikel 13.1 i direktiv [95/46]. Medlemsstaterna får för detta ändamål bland annat vidta lagstiftningsåtgärder som innebär att uppgifter får bevaras under en begränsad period som motiveras av de skäl som fastställs i denna punkt. Alla åtgärder som avses i denna punkt skall vara i enlighet med de allmänna principerna i gemenskapslagstiftningen, inklusive principerna i artikel 6.1 och 6.2 i Fördraget om Europeiska unionen.

…

1b. Leverantörerna ska införa interna förfaranden för att besvara förfrågningar om tillgång till användarnas personuppgifter, på grundval av nationella bestämmelser som antagits i enlighet med punkt 1. De ska på begäran förse den behöriga nationella myndigheten med information om dessa förfaranden, antalet förfrågningar som mottagits, vilken juridisk motivering som framförts och vilket svar leverantören lämnat.

2. Bestämmelserna om rättslig prövning, ansvar och sanktioner i kapitel III i direktiv [95/46] skall gälla för de nationella bestämmelser som antas i enlighet med det här direktivet och för de individuella rättigheter som kan härledas från det här direktivet.

…”

Direktiv 95/46

12Artikel 22 i direktiv 95/46, som ingår i direktivets kapitel III, har följande lydelse:

”Medlemsstaterna skall – utan att det påverkar möjligheten att utnyttja något administrativt förfarande, till exempel vid den tillsynsmyndighet som avses i artikel 28, som kan användas innan ett ärende anhängiggörs hos en rättslig instans – föreskriva att var och en har rätt att föra talan inför domstol om sådana kränkningar av rättigheter som skyddas av den nationella lagstiftning som är tillämplig på ifrågavarande behandling.”

Direktiv 2006/24/EG

13Artikel 1 i Europaparlamentets och rådets direktiv 2006/24/EG av den 15 mars 2006 om lagring av uppgifter som genererats eller behandlats i samband med tillhandahållande av allmänt tillgängliga

elektroniska kommunikationstjänster eller allmänna kommunikationsnät och om ändring av direktiv 2002/58/EG (EUT L 105, 2006, s. 54), med rubriken ”Syfte och tillämpningsområde”, föreskrev följande i punkt 2:

”Detta direktiv skall gälla trafik- och lokaliseringsuppgifter om såväl fysiska som juridiska personer och enheter, samt de uppgifter som är nödvändiga för att kunna identifiera abonnenten eller den registrerade användaren. Det skall inte vara tillämpligt på innehållet i elektronisk kommunikation, inklusive sådan information som användaren sökt med hjälp av ett elektroniskt kommunikationsnät.”

8	ECLI:EU:C:2016:970

388

SOU 2017:75

Bilaga 2

DOM AV DEN 21.12.2016 – FÖRENADE MÅLEN C-203/15 OCH C-698/15

TELE2 SVERIGE OCH WATSON M.FL.

14Artikel 3 i direktivet, med rubriken ”Skyldighet att lagra uppgifter”, hade följande lydelse:

”1. Genom avvikelse från artiklarna 5, 6 och 9 i direktiv [2002/58] skall medlemsstaterna anta åtgärder för att säkerställa lagring enligt bestämmelserna i det här direktivet av de uppgifter som specificeras i artikel 5 i detta, i den utsträckning som de genereras eller behandlas av leverantörer av allmänt tillgängliga elektroniska kommunikationstjänster eller allmänna kommunikationsnät inom statens territorium i samband med att leverantörerna levererar de kommunikationstjänster som berörs.

2. Den lagringsskyldighet som anges i punkt 1 skall inbegripa lagring av sådana uppgifter som anges i artikel 5 rörande misslyckade uppringningsförsök där uppgifter genereras eller behandlas, och lagras (uppgifter rörande telefoni) eller loggas (uppgifter rörande Internet) av leverantörer av allmänt tillgängliga elektroniska kommunikationstjänster eller allmänna kommunikationsnät inom den berörda medlemsstatens jurisdiktion i samband med att de levererar de berörda kommunikationstjänsterna. Detta direktiv skall inte innebära krav på lagring av uppgifter rörande samtal som inte kopplats fram.”

Svensk rätt

15Det framgår av begäran om förhandsavgörande i mål C-203/15 att den svenska lagstiftaren, i syfte att införliva direktiv 2006/24 med nationell rätt, ändrade lagen (2003:389) om elektronisk kommunikation (nedan kallad LEK) och förordningen (2003:396) om elektronisk kommunikation. Båda dessa författningar, i deras tillämpliga lydelse i det nationella målet, innehåller bestämmelser om lagring av uppgifter om elektronisk kommunikation och om de nationella myndigheternas tillgång till dessa uppgifter.

16Tillgång till uppgifterna regleras även i lagen (2012:278) om inhämtning av uppgifter om elektronisk kommunikation i de brottsbekämpande myndigheternas underrättelseverksamhet (nedan kallad inhämtningslagen) och i rättegångsbalken (nedan kallad RB).

Skyldigheten att lagra uppgifter om elektronisk kommunikation

17Enligt vad Kammarrätten i Stockholm (nedan kallad Kammarrätten) har uppgett föreskriver 6 kap. 16 a § jämförd med 2 kap. 1 § LEK att leverantörer av elektroniska kommunikationstjänster är skyldiga att lagra sådana uppgifter som skulle lagras enligt direktiv 2006/24. Det gäller sådana uppgifter om abonnemang och om all elektronisk kommunikation som är nödvändiga för att finna och identifiera kommunikationskällan, slutmålet för kommunikationen, datum, tidpunkt och varaktighet för kommunikationen, typen av kommunikation, kommunikationsutrustning samt lokalisering av mobil kommunikationsutrustning vid kommunikationens början och slut. Skyldigheten att lagra uppgifterna omfattar uppgifter som genereras eller behandlas vid telefonitjänst, telefonitjänst via mobil anslutningspunkt, meddelandehantering, internetåtkomst och tillhandahållande av kapacitet för att få internetåtkomst (anslutningsform). Denna skyldighet innefattar även uppgifter om misslyckad uppringning. Den gäller dock inte kommunikationens innehåll.

18I 38–43 §§ i förordningen (2003:396) om elektronisk kommunikation preciseras vilka kategorier av uppgifter som ska lagras. Beträffande telefonitjänster ska bland annat uppringande och uppringt nummer samt datum och spårbar tid då kommunikationen påbörjades och avslutades lagras. När det gäller telefonitjänster via mobil anslutningspunkt framgår att ytterligare krav gäller, till exempel att även lokaliseringsuppgifter för kommunikationens början och slut ska lagras. När det gäller telefonitjänster som använder IP-paket ska utöver vad som anges ovan bland annat även den uppringandes och den uppringdes IP-adresser lagras. När det gäller meddelandehantering ska bland annat avsändares och mottagares nummer, IP-adress eller annan meddelandeadress lagras. När det gäller internetåtkomst ska exempelvis användares IP-adress samt datum och spårbar tid för på- och avloggning i den tjänst som ger internetåtkomst lagras.

ECLI:EU:C:2016:970

389

Bilaga 2

SOU 2017:75

DOM AV DEN 21.12.2016 – FÖRENADE MÅLEN C-203/15 OCH C-698/15

TELE2 SVERIGE OCH WATSON M.FL.

Lagringstid för uppgifterna

19Av 6 kap. 16 d § LEK framgår att leverantörer av elektroniska kommunikationstjänster ska lagra sådana uppgifter som avses i 6 kap. 16 a § LEK i sex månader räknat från den dag kommunikationen avslutades. Därefter ska uppgifterna genast utplånas, om inte annat följer av 6 kap. 16 d § andra stycket LEK.

Tillgång till lagrade uppgifter

20Tillgång till uppgifter som har lagrats av nationella myndigheter regleras i bestämmelser i inhämtningslagen, LEK och RB.

–Inhämtningslagen

21Polismyndigheten, Säkerhetspolisen och Tullverket får med stöd av 1 § inhämtningslagen, under de förutsättningar som anges i denna lag, i underrättelseverksamhet i hemlighet från den som enligt LEK tillhandahåller ett elektroniskt kommunikationsnät eller elektroniska kommunikationstjänster hämta in uppgifter om meddelanden som har överförts i ett elektroniskt kommunikationsnät, vilka elektroniska kommunikationsutrustningar som har funnits inom ett visst geografiskt område, eller i vilket geografiskt område en viss elektronisk kommunikationsutrustning finns eller har funnits.

22Uppgifterna får enligt 2 och 3 §§ inhämtningslagen hämtas in om omständigheterna är sådana att åtgärden är av särskild vikt för att förebygga, förhindra eller upptäcka brottslig verksamhet som innefattar brott för vilket inte är föreskrivet lindrigare straff än fängelse i två år, eller sådana brott som omfattas av uppräkningen i 3 §, vilket inkluderar brott för vilka lindrigare straff än fängelse i två år kan utdömas. Skälen för åtgärden ska uppväga det intrång eller men i övrigt som åtgärden innebär för den som åtgärden riktar sig mot eller för något annat motstående intresse. Enligt 5 § inhämtningslagen får den tid som åtgärden avser inte överstiga en månad.

23Beslut om en sådan åtgärd fattas av myndighetschefen eller en annan anställd vid myndigheten som myndighetschefen delegerar beslutanderätten till. Beslutet är inte underkastat förhandskontroll av en domstol eller oberoende förvaltningsmyndighet.

24Säkerhets- och integritetsskyddsnämnden ska enligt 6 § inhämtningslagen underrättas om ett beslut om inhämtning av uppgifter. Enligt 1 § lagen (2007:980) om tillsyn över viss brottsbekämpande verksamhet ska Säkerhets- och integritetsskyddsnämnden utöva tillsyn över brottsbekämpande myndigheters tillämpning av lagen.

–LEK

25Av 6 kap. 22 § första stycket 2 LEK framgår att en leverantör av elektroniska kommunikationstjänster på begäran ska lämna ut abonnemangsuppgifter till åklagarmyndighet, Polismyndigheten, Säkerhetspolisen eller någon annan myndighet som ska ingripa mot brott, om uppgifterna gäller misstanke om brott. Enligt de upplysningar som Kammarrätten har lämnat krävs det inte att det är fråga om ett allvarligt brott.

–RB

26RB reglerar kommunikation av uppgifter som lagrats av nationella myndigheter inom ramen för förundersökningar. Enligt 27 kap. 19 § RB får hemlig ”övervakning av elektronisk kommunikation” i

princip användas vid en förundersökning om bland annat brott för vilket det inte är föreskrivet lindrigare straff än fängelse i sex månader. ”Övervakning av elektronisk kommunikation” innebär

10	ECLI:EU:C:2016:970

390

SOU 2017:75

Bilaga 2

DOM AV DEN 21.12.2016 – FÖRENADE MÅLEN C-203/15 OCH C-698/15

TELE2 SVERIGE OCH WATSON M.FL.

enligt 27 kap. 19 § RB att uppgifter i hemlighet hämtas in om meddelanden som överförs eller har överförts i ett elektroniskt kommunikationsnät, om vilka elektroniska kommunikationsutrustningar som har funnits inom ett visst geografiskt område eller om i vilket geografiskt område en viss elektronisk kommunikationsutrustning finns eller har funnits.

27Enligt de upplysningar som Kammarrätten har lämnat i mål C-203/15, kan uppgifter om innehållet i meddelanden inte inhämtas med stöd av 27 kap. 19 § RB. Av 27 kap. 20 § RB framgår att hemlig övervakning av elektronisk kommunikation som huvudregel endast får ske om någon är skäligen misstänkt för brottet och åtgärden är av synnerlig vikt för utredningen. Utredningen ska avse brott för vilket det inte är föreskrivet lindrigare straff än fängelse i två år eller försök, förberedelse eller stämpling till sådant brott, om en sådan gärning är belagd med straff. Enligt 27 kap. 21 § RB måste åklagaren, utom i brådskande fall, först inhämta rättens tillstånd till hemlig övervakning av elektronisk kommunikation.

Säkerhet och skydd för lagrade uppgifter

28Av 6 kap. 3 a § LEK framgår att leverantörer av elektroniska kommunikationstjänster som är skyldiga att lagra uppgifter ska vidta de särskilda tekniska och organisatoriska åtgärder som behövs för att skydda de lagrade uppgifterna vid behandling. Enligt de upplysningar som Kammarrätten har lämnat saknas emellertid i svensk rätt bestämmelser om var lagring av uppgifterna får ske.

Lagstiftningen i Förenade kungariket

Dripa

29Section 1 i Dripa, med rubriken ”Befogenheter vad gäller lagring av uppgifter om kommunikation som omfattas av säkerhetsåtgärder”, stadgar följande:

”(1) Inrikesministern får genom beslut (nedan kallat föreläggande om lagring) förelägga en offentlig teleoperatör att lagra relevanta uppgifter om kommunikation om denne finner att detta är nödvändigt och proportionerligt mot bakgrund av ett eller flera av de syften som avses i punkterna a–h i section 22(2) i Regulation of Investigatory Powers Act 2000 (2000 års lag om utredningsbefogenheter) (syften för vilka uppgifter får inhämtas).

(2)Ett föreläggande om lagring får

(a)riktas mot en viss operatör eller en viss kategori av operatörer,

(b)avse samtliga uppgifter eller vissa kategorier av uppgifter,

(c)avse en specifikt angiven period under vilken uppgifter ska lagras,

(d)innehålla andra krav eller begränsningar avseende lagringen av uppgifter,

(e)innehålla olika föreskrifter för olika syften,

(f)avse uppgifter oberoende av huruvida de existerar när föreläggandet utfärdas eller träder i kraft.

(3)Inrikesministern får i förordning utfärda ytterligare föreskrifter om lagring av relevanta uppgifter om kommunikation.

(4)Sådana föreskrifter kan särskilt avse

ECLI:EU:C:2016:970

391

Bilaga 2

SOU 2017:75

DOM AV DEN 21.12.2016 – FÖRENADE MÅLEN C-203/15 OCH C-698/15

TELE2 SVERIGE OCH WATSON M.FL.

(a)villkor som ska vara uppfyllda innan ett föreläggande om lagring får utfärdas,

(b)den längsta tid under vilken uppgifter ska lagras enligt ett föreläggande om lagring,

(c)innehållet i ett föreläggande om lagring samt utfärdande, ikraftträdande, omprövning, ändring eller återkallande av ett sådant föreläggande,

(d)integriteten hos, säkerheten för eller skydd av uppgifter som lagrats med stöd av förevarande section samt tillgång till, utlämnande eller utplånande av sådana uppgifter,

(e)genomförandet av relevanta krav eller begränsningar, eller kontrollen av detta genomförande,

(f)riktlinjer rörande relevanta krav, begränsningar eller befogenheter,

(g)återbetalning från inrikesministern (eventuellt underkastad villkor) av utgifter som offentliga teleoperatörer haft för att följa relevanta krav eller begränsningar, eller

(h)den omständigheten att [Data Retention (EC Directive) Regulations 2009 (2009 års förordning om datalagring (EG-direktiv))] upphör att gälla, samt övergången till lagring av uppgifter enligt förevarande section.

(5) Den längsta lagringstid som fastställs enligt punkt 4 b får inte överskrida 12 månader från och med den dag som anges i fråga om sådana uppgifter som avses med bestämmelserna i punkt 3.

…”

30Section 2 i Dripa definierar begreppet ”relevanta uppgifter om kommunikation” som ”relevanta uppgifter om sådan kommunikation som avses i bilagan till 2009 års förordning om datalagring (EG-direktiv) i den utsträckning dessa uppgifter har genererats eller behandlats i Förenade kungariket av offentliga teleoperatörer i samband med tillhandahållandet av de berörda telekommunikationstjänsterna”.

Ripa

31Section 21 i Regulation of Investigatory Powers Act 2000 (2000 års lag om utredningsbefogenheter, nedan kallad Ripa) ingår i kapitel II i den lagen och har rubriken ”Inhämtning och utlämnande av uppgifter om kommunikation”. Section 21.4 har följande lydelse:

”I detta kapitel avses med ’uppgifter om kommunikation’ något av följande:

(a)alla trafikuppgifter som ingår i eller bifogats en kommunikation (av avsändaren eller annan) i fråga om varje system för posttjänster eller telekommunikation genom vilket uppgifter överförs eller kan överföras,

(b)all information som inte innefattar något innehåll i en kommunikation (förutom information som avses i punkt a och som rör en persons användande av

(i)en post- eller telekommunikationstjänst, eller

(ii)någon del av ett telekommunikationssystem i samband med tillhandahållande till en person eller en persons användande av en telekommunikationstjänst,

12	ECLI:EU:C:2016:970

392

SOU 2017:75

Bilaga 2

DOM AV DEN 21.12.2016 – FÖRENADE MÅLEN C-203/15 OCH C-698/15

TELE2 SVERIGE OCH WATSON M.FL.

(c)all information som inte omfattas av punkt a eller b som, i förhållande till tjänstemottagarna, innehas eller erhålls av en person som tillhandahåller en post- eller telekommunikationstjänst.”

32Enligt upplysningarna i begäran om förhandsavgörande i mål C-698/15 omfattar dessa uppgifter lokaliseringsuppgifterna för en användare men däremot inte innehållet i en kommunikation.

33Vad gäller tillgång till lagrade uppgifter föreskriver section 22 i Ripa följande:

”(1) Denna section gäller när en ansvarig person enligt detta kapitel finner det nödvändigt, av skäl som omfattas av punkt 2 i denna section, att inhämta uppgifter om kommunikation.

(2)Det är nödvändigt att inhämta uppgifter om kommunikation av skäl som omfattas av denna punkt, om de är nödvändiga med hänsyn till

(a)skyddet av nationell säkerhet,

(b)förebyggande och upptäckande av brott eller förebyggande av störningar av den allmänna ordningen,

(c)Förenade kungarikets ekonomiska välstånd,

(d)skyddet av allmän säkerhet,

(e)skyddet av folkhälsan,

(f)fastställande och uppbörd av skatter och andra avgifter till offentliga myndigheter,

(g)förebyggande, i en nödsituation, av fara för liv eller skada på en persons fysiska eller psykiska hälsa eller lindring av skada på en persons fysiska eller psykiska hälsa, eller

(h)varje annat syfte (utöver vad som anges i punkterna a–g) som inrikesministern fastställer i föreskrifter.

(4)Om inte annat följer av punkt 5 kan den ansvariga personen, när denne bedömer att en teleoperatör eller postoperatör innehar, skulle kunna inneha eller skulle kunna ha kapacitet att inneha uppgifter, framställa en begäran till operatören om att denne

(a)ska inhämta uppgifterna, om denne inte redan innehar dem, och

(b)i alla händelser ska utlämna alla uppgifter som denne innehar eller som denne sedermera har inhämtat.

(5)Den ansvariga personen får endast ge tillstånd enligt punkt 3 eller framställa en begäran enligt punkt 4 om denne anser att inhämtning av uppgifterna i fråga genom ett handlande som är godkänt eller som fordras enligt ett tillstånd eller en begäran är proportionerlig mot det mål som eftersträvas med inhämtning av uppgifterna.”

34Enligt section 65 i Ripa kan klagomål ges in till Investigatory Powers Tribunal (domstol för utredningsbefogenheter, Förenade kungariket) om det finns misstanke om att uppgifter har inhämtats på felaktiga grunder.

ECLI:EU:C:2016:970

393

Bilaga 2

SOU 2017:75

DOM AV DEN 21.12.2016 – FÖRENADE MÅLEN C-203/15 OCH C-698/15

TELE2 SVERIGE OCH WATSON M.FL.

Data Retention Regulations 2014

35Data Retention Regulations 2014 (2014 års förordning om datalagring), som antagits med stöd av Dripa, är indelad i tre delar. Den andra delen omfattar sections 2–14 i förordningen. Section 4, med rubriken ”Föreläggande om lagring”, föreskriver följande:

”(1) Ett föreläggande om lagring ska ange

(a)den offentliga teleoperatör (eller en beskrivning av de operatörer) som föreläggandet är riktat till,

(b)de relevanta uppgifter om kommunikation som ska lagras,

(c)den period eller de perioder under vilken eller vilka uppgifterna ska lagras, och

(d)övriga krav eller begränsningar avseende lagringen av uppgifter.

(2)Ett föreläggande om lagring kan inte fordra att en uppgift lagras i mer än 12 månader, räknat från

(a)dagen för den berörda kommunikationen, när det gäller trafikuppgifter eller uppgifter om användningen av tjänsten, och

(b)den dag då den berörda personen avslutar kommunikationstjänsten i fråga, alternativt den dag då uppgiften ändras (om detta inträffar dessförinnan), när det gäller abonnentuppgifter.

…”

36Enligt section 7 i förordningen, med rubriken ”Uppgifternas integritet och säkerhet”, gäller följande:

”(1) En offentlig teleoperatör som lagrar uppgifter i enlighet med section 1 i [Dripa] ska

(a)säkerställa att de lagrade uppgifterna har samma integritet och ges samma säkerhet och skydd som uppgifterna i de system de härrör från,

(b)säkerställa, genom lämpliga tekniska och organisatoriska åtgärder, att endast personal med särskilt tillstånd kan få tillgång till uppgifterna, och

(c)genom lämpliga tekniska och organisatoriska åtgärder, skydda uppgifterna mot olaglig förstöring och oavsiktlig förlust eller ändring och mot otillåten eller olaglig lagring av, behandling av, tillgång till eller avslöjande av uppgifterna.

(2)En offentlig teleoperatör som lagrar uppgifter om kommunikation i enlighet med section 1 i [Dripa] måste förstöra uppgifterna om lagringen inte längre är tillåten enligt den bestämmelsen och inte heller i övrigt är tillåten enligt lag.

(3)Kravet i punkt 2 att förstöra uppgifter innebär att uppgifterna ska raderas på ett sådant sätt att det är omöjligt att få tillgång till dessa uppgifter.

(4)Det räcker för operatören att vidta åtgärder för att radera uppgifter månatligen eller med kortare mellanrum alltefter operatörens praktiska möjligheter.”

14	ECLI:EU:C:2016:970

394

SOU 2017:75

Bilaga 2

DOM AV DEN 21.12.2016 – FÖRENADE MÅLEN C-203/15 OCH C-698/15

TELE2 SVERIGE OCH WATSON M.FL.

37Section 8 i förordningen har rubriken ”Utlämnande av lagrade uppgifter” och föreskriver följande:

”(1) En offentlig teleoperatör ska inrätta lämpliga säkerhetssystem (inbegripet tekniska och organisatoriska åtgärder) för att bestämma tillgången till uppgifter om kommunikation som lagrats i enlighet med section 1 i [Dripa] för att förhindra att uppgifter lämnas ut om så inte föreskrivs i section 1.6 a i [Dripa].

(2) En offentlig teleoperatör som lagrar uppgifter i enlighet med section 1 i [Dripa] ska lagra uppgifterna på ett sådant sätt att operatören utan oskäligt dröjsmål kan föra över dem på begäran.”

38I section 9 i samma förordning, under rubriken ”Datainspektionens tillsyn”, anges följande:

”Datainspektionen (Information Commissioner) ska tillse att de krav eller begränsningar som föreskrivs i denna del iakttas, rörande integriteten hos och säkerheten för samt förstörelse av lagrade uppgifter enligt section 1 i [Dripa].”

Riktlinjerna

39 Acquisition and Disclosure of Communications Data Code of Practice (riktlinjer för inhämtning och utlämnande av uppgifter om kommunikation, nedan kallade riktlinjerna) innehåller, i punkterna 2.5–2.9 och 2.36–2.45, hållpunkter rörande nödvändighet och proportionalitet vid inhämtning av uppgifter om kommunikation. Enligt de upplysningar som den hänskjutande domstolen i mål C-698/15 har lämnat, ska enligt punkterna 3.72–3.77 i riktlinjerna särskild vikt läggas vid kriterierna rörande nödvändighet och proportionalitet när de eftersökta uppgifterna avser en person som tillhör en yrkeskår som handhar information som erhållits under tystnadsplikt eller annan konfidentiell information.

40För att inhämta uppgifter om kommunikation i syfte att identifiera en journalists källa krävs enligt punkterna 3.78–3.84 i riktlinjerna beslut av domstol. Enligt punkterna 3.85–3.87 i riktlinjerna krävs tillstånd av domstol i fråga om en ansökan om tillgång till uppgifter som inges av lokala myndigheter. Däremot finns det inte något krav på tillstånd från en domstol eller ett oberoende organ för tillgång till uppgifter om kommunikation som omfattas av advokatsekretess eller som rör läkare, parlamentsledamöter eller präster.

41Enligt punkt 7.1 i riktlinjerna måste uppgifter om kommunikation som har inhämtats eller erhållits med stöd av Ripa samt alla kopior, utdrag och sammanfattningar av uppgifterna hanteras och förvaras på ett säkert sätt. Vidare måste kraven i Data Protection Act (dataskyddslagen) iakttas.

42När en myndighet i Förenade kungariket överväger att lämna ut uppgifter om kommunikation till utländska myndigheter, ska den enligt punkt 7.18 i riktlinjerna bland annat pröva om uppgifterna kommer att få tillräckligt skydd. Det framgår dock av punkt 7.22 i riktlinjerna att uppgifter får föras över till ett tredjeland om det behövs med hänsyn till ett viktigt allmänt intresse, även när tredjelandet inte garanterar en lämplig skyddsnivå. Enligt de upplysningar som den hänskjutande domstolen i mål C-698/15 har lämnat, får inrikesministern utfärda ett nationellt säkerhetscertifikat som undantar vissa uppgifter från lagstiftningens krav.

43I punkt 8.1 i riktlinjerna erinras om att det genom Ripa inrättats en tillsynsmyndighet för avlyssning av kommunikation (Interception of Communications Commissioner) i Förenade kungariket, som ska utöva oberoende tillsyn över utövandet och genomförandet av befogenheter och skyldigheter enligt kapitel II i del I i Ripa. Som framgår av punkt 8.3 i riktlinjerna, får den myndigheten underrätta en person om en misstänkt felaktig användning av befogenheter om myndigheten kan ”styrka att en enskild har lidit skada till följd av ett uppsåtligt eller grovt oaktsamt åsidosättande”.

ECLI:EU:C:2016:970

395

Bilaga 2

SOU 2017:75

DOM AV DEN 21.12.2016 – FÖRENADE MÅLEN C-203/15 OCH C-698/15

TELE2 SVERIGE OCH WATSON M.FL.

Målen vid de nationella domstolarna och tolkningsfrågorna

Mål C-203/15

44Den 9 april 2014 underrättade Tele2 Sverige – en leverantör av elektroniska kommunikationstjänster etablerad i Sverige – PTS om att bolaget, efter att direktiv 2006/24 förklarats ogiltigt genom dom av den 8 april 2014, Digital Rights Ireland m.fl. (C-293/12 och C-594/12, nedan kallad Digital Rights-domen, EU:C:2014:238), från den 14 april 2014 avsåg att upphöra med att lagra uppgifter om elektronisk kommunikation i enlighet med LEK samt radera de uppgifter som lagrats fram till den tidpunkten.

45Den 15 april 2014 inkom Rikspolisstyrelsen med en anmälan till PTS av vilken det framgick att Tele2 Sverige hade upphört med leveranser av dessa uppgifter till polisen.

46Den 29 april 2014 tillsatte justitieministern en särskild utredare som skulle granska de svenska reglernas tillämplighet mot bakgrund av Digital Rights-domen. I en promemoria av den 13 juni 2014 (”Datalagring, EU-rätten och svensk rätt”, Ds 2014:23) (nedan kallad promemorian) fann utredaren att det svenska regelverket avseende lagring enligt 6 kap. 16 a–f §§ LEK inte strider mot unionsrätten eller mot Europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna, som undertecknades i Rom den 4 november 1950 (nedan kallad Europakonventionen). Enligt den särskilda utredaren kunde Digital Rights-domen inte tolkas som att den kritiserade själva grundtanken med en generell och odifferentierad lagring av uppgifter. Domen skulle inte heller tolkas på så sätt att domstolen där presenterat en lista där alla punkter måste vara uppfyllda för att regleringen ska anses vara proportionerlig. Den svenska lagstiftningens förenlighet med unionsrätten kan avgöras först vid en sammantagen bedömning av alla omständigheter. Bland dessa omständigheter ingår lagringens omfattning i förhållande till bestämmelserna om tillgång till uppgifterna, lagringstiden samt skydd och säkerhet för uppgifterna.

47Mot bakgrund av ovanstående underrättade PTS den 19 juni 2014 Tele2 Sverige om att bolaget inte uppfyllde skyldigheten enligt nationell lagstiftning att för brottsbekämpande ändamål lagra de uppgifter som avses i LEK i sex månader. PTS förelade den 27 juni 2014 bolaget att senast den 25 juli 2014 lagra dessa uppgifter.

48Tele2 Sverige ansåg att promemorian grundade sig på en felaktig tolkning av Digital Rights-domen och att skyldigheten att lagra uppgifterna stred mot de grundläggande rättigheterna enligt stadgan. Bolaget överklagade därför föreläggandet av den 27 juni 2014 till Förvaltningsrätten i Stockholm. Förvaltningsrätten ogillade överklagandet genom dom av den 13 oktober 2014. Tele2 Sverige överklagade den domen till Kammarrätten.

49Enligt Kammarrätten måste den svenska lagstiftningens förenlighet med unionsrätten prövas mot bakgrund av artikel 15.1 i direktiv 2002/58. Utgångspunkten enligt det direktivet är att trafikuppgifter och lokaliseringsuppgifter ska utplånas eller avidentifieras när de inte längre behövs för sitt syfte att överföra kommunikationen. Artikel 15.1 i direktivet innehåller emellertid ett undantag från den utgångspunkten, såtillvida att medlemsstaterna tillåts att begränsa ovan nämnda krav på utplåning eller avidentifiering eller rentav föreskriva att uppgifter måste lagras. Unionsrätten medger således att uppgifter om elektronisk kommunikation lagras i vissa fall.

50Kammarrätten frågar sig emellertid om en generell och odifferentierad skyldighet att lagra uppgifter om elektronisk kommunikation, såsom den som är i fråga i det nationella målet, mot bakgrund av Digital Rights-domen är förenlig med artikel 15.1 i direktiv 2002/58 jämförd med artiklarna 7, 8 och 52.1 i stadgan. Med hänsyn till att parterna har olika uppfattningar i frågan, är det lämpligt att EU-domstolen uttalar sig entydigt om huruvida, som Tele2 Sverige anser, en generell och odifferentierad lagring av uppgifter om elektronisk kommunikation i sig är oförenlig med artiklarna 7,

16	ECLI:EU:C:2016:970

396

SOU 2017:75

Bilaga 2

DOM AV DEN 21.12.2016 – FÖRENADE MÅLEN C-203/15 OCH C-698/15

TELE2 SVERIGE OCH WATSON M.FL.

8 och 52.1 i stadgan, eller huruvida, såsom anges i promemorian, förenligheten av en sådan lagring måste bedömas utifrån bestämmelserna om tillgång till uppgifterna, skydd och säkerhet för uppgifterna samt lagringstiden.

51Mot denna bakgrund beslutade Kammarrätten att vilandeförklara målet och ställa följande frågor till EU-domstolen:

”1) Är en generell skyldighet att lagra trafikuppgifter som omfattar samtliga personer, samtliga elektroniska kommunikationsmedel och samtliga trafikuppgifter utan att det görs några åtskillnader, begränsningar eller undantag utifrån syftet att bekämpa brott … förenlig med artikel 15.1 i direktiv 2002/58 med beaktande av artiklarna 7, 8 och 52.1 i stadgan?

2)Om svaret på fråga 1 är nej, kan lagringen ändå vara tillåten

a)om de nationella myndigheternas tillgång till de uppgifter som lagras är fastställd så som beskrivs i punkterna 19–36 [i begäran om förhandsavgörande], och

b)om kraven på säkerhet regleras så som beskrivs i punkterna 38–43 [i begäran om förhandsavgörande], samt då

c)samtliga aktuella uppgifter ska lagras i sex månader räknat från den dag kommunikationen avslutades och därefter utplånas så som beskrivs i punkt 37 [i begäran om förhandsavgörande]?”

Mål C-698/15

52Tom Watson, Peter Brice och Geoffrey Lewis har var och en väckt talan vid High Court of Justice (England & Wales), Queens’ Bench Division (Divisional Court) (Överdomstolen för England och Wales, avdelningen för överprövning av rättsfrågor, Förenade kungariket) och begärt en laglighetsprövning av section 1 i Dripa. De har bland annat anfört att den bestämmelsen är oförenlig med artiklarna 7 och 8 i stadgan och med artikel 8 i Europakonventionen.

53I dom av den 17 juli 2015 fann High Court of Justice (England & Wales), Queens’ Bench Division (Divisional Court) (Överdomstolen för England och Wales, avdelningen för överprövning av rättsfrågor) att Digital Rights-domen uppställde ”tvingande unionsrättsliga krav” som gäller medlemsstaternas bestämmelser om lagring av uppgifter om kommunikation och tillgången till sådana uppgifter. Enligt nämnda domstol kunde en nationell lagstiftning med samma innehåll som direktiv 2006/24 inte längre vara förenlig med proportionalitetsprincipen, eftersom EU-domstolen i Digital Rights-domen slagit fast att direktivet var oförenligt med den principen. Av den underliggande logiken i Digital Rights-domen följer att en lagstiftning som inrättar ett generellt system för lagring av uppgifter om kommunikation kränker de rättigheter som garanteras i artiklarna 7 och 8 i stadgan, såvida inte den lagstiftningen kompletteras med ett i nationell rätt definierat system för tillgång till uppgifter som ger tillräckliga garantier för skydd av dessa rättigheter. Section 1 i Dripa är således inte förenlig med artiklarna 7 och 8 i stadgan, då den inte innehåller tydliga och precisa bestämmelser om tillgång till och användning av lagrade uppgifter och då den inte villkorar tillgången till dessa uppgifter med en förhandskontroll av en domstol eller ett oberoende förvaltningsorgan.

54Inrikesministern överklagade den domen till Court of Appeal (England & Wales) (Civil Division) (Appellationsdomstolen för England och Wales, avdelningen för tvistemål och förvaltningsmål, Förenade kungariket) (nedan kallad Court of Appeal).

ECLI:EU:C:2016:970

397

Bilaga 2

SOU 2017:75

DOM AV DEN 21.12.2016 – FÖRENADE MÅLEN C-203/15 OCH C-698/15

TELE2 SVERIGE OCH WATSON M.FL.

55Den domstolen har anfört att inrikesministern enligt section 1.1 i Dripa utan förhandstillstånd från en domstol eller ett oberoende förvaltningsorgan får föreskriva en allmän ordning som ålägger offentliga teleoperatörer att lagra alla uppgifter i fråga om varje system för posttjänster eller telekommunikationer under högst 12 månader, om ministern bedömer att ett sådant krav är nödvändigt och proportionerligt för att uppnå de mål som anges i Förenade kungarikets lagstiftning. Även om dessa uppgifter inte innefattar innehållet i en kommunikation, skulle de kunna vara särskilt ingripande i privatlivet för kommunikationstjänsternas användare.

56 Den hänskjutande domstolen har i beslutet om hänskjutande och i sitt avgörande av den 20 november 2015, som meddelades inom ramen för målet om överklagande och där den beslutade att begära förhandsavgörande från EU-domstolen anfört att de nationella bestämmelserna om lagring av uppgifter med nödvändighet omfattas av artikel 15.1 i direktiv 2002/58 och således måste iaktta de krav som följer av stadgan. Enligt artikel 1.3 i direktivet har unionslagstiftaren emellertid inte harmoniserat bestämmelserna om tillgång till lagrade uppgifter.

57Vad gäller Digital Rights-domens inverkan på de frågor som aktualiserats i det nationella målet, har den hänskjutande domstolen anfört att EU-domstolen i det mål som avgjordes genom Digital Rights-domen hade att pröva giltigheten av direktiv 2006/24, inte giltigheten av den nationella lagstiftningen. Med hänsyn bland annat till det nära sambandet mellan lagring av uppgifter och tillgång till uppgifterna, var det nödvändigt att direktivet åtföljdes av en rad garantier och att EU-domstolen i Digital Rights-domen, som ett led i prövningen av lagenligheten av direktivets bestämmelser om lagring av uppgifter, även bedömde bestämmelserna om tillgången till dessa uppgifter. Domstolen hade således i den domen inte i åtanke att formulera några tvingande krav på nationell lagstiftning rörande tillgång till uppgifter som inte genomför unionsrätten. Domstolens resonemang var vidare nära kopplat till direktivets syfte. En nationell lagstiftning måste dock bedömas utifrån syftena med den lagstiftningen och det sammanhang den ingår i.

58Vad gäller behovet av att begära ett förhandsavgörande från EU-domstolen, har den hänskjutande domstolen betonat att vid den tidpunkt då den fattade beslut om hänskjutande, hade sex domstolar i andra medlemsstater, däribland fem i högsta instans, ogiltigförklarat nationell lagstiftning med stöd av Digital Rights-domen. Svaret på de frågor som aktualiseras är således inte uppenbart, och det är nödvändigt att besvara dem för att kunna avgöra de nationella målen.

59Mot denna bakgrund beslutade Court of Appeal (England & Wales) (Civil Division) (Appellationsdomstolen för England och Wales, avdelningen för tvistemål och förvaltningsmål) att vilandeförklara målen och ställa följande frågor till EU-domstolen:

”1) Innebär Digital Rights-domen (särskilt punkterna 60–62) att det i unionsrätten uppställs tvingande krav som en medlemsstats nationella bestämmelser om tillgång till uppgifter som lagrats i enlighet med nationell lagstiftning måste uppfylla för att vara förenliga med artiklarna 7 och 8 i stadgan?

2)Innebär Digital Rights-domen att artikel 7 och/eller artikel 8 i stadgan ges ett mer vidsträckt tillämpningsområde än artikel 8 i Europakonventionen såsom den bestämmelsens tillämpningsområde har fastställts i praxis från Europeiska domstolen för de mänskliga rättigheterna (Europadomstolen)?”

Förfarandet vid domstolen

60Genom beslut av den 1 februari 2016, Davis m.fl. (C-698/15, ej publicerat, EU:C:2016:70) biföll domstolens ordförande begäran från Court of Appeal (England & Wales) (Civil Division) (Appellationsdomstolen för England och Wales, avdelningen för tvistemål och förvaltningsmål) om att mål C-698/15 skulle handläggas skyndsamt i enlighet med artikel 105.1 i domstolens rättegångsregler.

18	ECLI:EU:C:2016:970

398

SOU 2017:75

Bilaga 2

DOM AV DEN 21.12.2016 – FÖRENADE MÅLEN C-203/15 OCH C-698/15

TELE2 SVERIGE OCH WATSON M.FL.

61 Genom beslut av domstolens ordförande av den 10 mars 2016 förenades målen C-203/15 och C-698/15 vad gäller det muntliga förfarandet och domen.

Prövning av tolkningsfrågorna

Den första frågan i mål C-203/15

62Kammarrätten har ställt den första frågan i mål C-203/15 för att få klarhet i huruvida artikel 15.1 i direktiv 2002/58 jämförd med artiklarna 7, 8 och 52.1 i stadgan ska tolkas på så sätt att den utgör hinder för en nationell lagstiftning – som den i det nationella målet – som i brottsbekämpande syfte föreskriver en generell och odifferentierad lagring av samtliga trafikuppgifter och lokaliseringsuppgifter avseende samtliga abonnenter och registrerade användare och samtliga elektroniska kommunikationsmedel.

63Frågan har uppkommit bland annat av den anledningen att direktiv 2006/24, som den berörda svenska lagstiftningen syftade till att införliva, förklarades ogiltigt genom Digital Rights-domen, men parterna är oense om räckvidden av den domen och dess inverkan på nämnda lagstiftning, vilken reglerar lagring av trafikuppgifter och lokaliseringsuppgifter samt de nationella myndigheternas tillgång till dessa uppgifter.

64Domstolen ska inledningsvis pröva om sådan nationell lagstiftning som den som är i fråga i målet omfattas av unionsrättens tillämpningsområde.

Tillämpningsområdet för direktiv 2002/58

65De medlemsstater som har yttrat sig skriftligen till domstolen har uttryckt skilda meningar om huruvida, och i så fall i vilken utsträckning, nationell lagstiftning som reglerar lagring av trafikuppgifter och lokaliseringsuppgifter samt nationella myndigheters tillgång till sådana uppgifter, i brottsbekämpande syfte, omfattas av tillämpningsområdet för direktiv 2002/58. Enligt den belgiska, den danska, den tyska, den estniska regeringen och Irland samt den nederländska regeringen bör denna fråga besvaras jakande, medan den tjeckiska regeringen har föreslagit att den ska besvaras nekande, eftersom sådan lagstiftning har brottsbekämpning som enda syfte. Förenade kungarikets regering har gjort gällande att endast lagstiftning om lagring av uppgifter, men däremot inte lagstiftning om behöriga nationella brottsbekämpande myndigheters tillgång till sådana uppgifter, omfattas av direktivets tillämpningsområde.

66Slutligen har kommissionen, i sitt skriftliga yttrande till domstolen i mål C-203/15, hävdat att den svenska lagstiftning som är i fråga i det målet omfattas av tillämpningsområdet för direktiv 2002/58. Samtidigt har den i sitt skriftliga yttrande i mål C-698/15 anfört att direktivets tillämpningsområde endast omfattar nationella bestämmelser som reglerar lagring av uppgifter, och inte bestämmelser som reglerar nationella myndigheters tillgång till uppgifterna. De sistnämnda bestämmelserna ska dock enligt kommissionen beaktas vid bedömningen av om en nationell lagstiftning som reglerar lagring av uppgifter hos leverantörer av elektroniska kommunikationstjänster utgör ett proportionerligt ingrepp i de grundläggande rättigheter som garanteras i artiklarna 7 och 8 i stadgan.

67Domstolen vill i det sammanhanget påpeka att tillämpningsområdet för direktiv 2002/58 ska bedömas med hänsyn bland annat till direktivets allmänna systematik.

68Enligt lydelsen i artikel 1.1 i direktiv 2002/58 harmoniserar direktivet bland annat medlemsstaternas bestämmelser för att säkerställa ett likvärdigt skydd av de grundläggande fri- och rättigheterna, i synnerhet rätten till integritet och konfidentialitet, när det gäller behandling av personuppgifter inom sektorn för elektronisk kommunikation.

ECLI:EU:C:2016:970

399

Bilaga 2

SOU 2017:75

DOM AV DEN 21.12.2016 – FÖRENADE MÅLEN C-203/15 OCH C-698/15

TELE2 SVERIGE OCH WATSON M.FL.

69Enligt artikel 1.3 i direktiv 2002/58 ska direktivet inte tillämpas på ”statens verksamhet” på de områden som avses här, det vill säga bland annat statens verksamhet på straffrättens område och verksamheter

som avser allmän säkerhet, försvar och statens säkerhet, inbegripet statens ekonomiska välstånd när verksamheten rör statens säkerhet (se analogt, beträffande artikel 3.2 första strecksatsen i direktiv 95/46, dom av den 6 november 2003, Lindqvist, C-101/01, EU:C:2003:596, punkt 43, och dom av den 16 december 2008, Satakunnan Markkinapörssi och Satamedia, C-73/07, EU:C:2008:727, punkt 41).

70Artikel 3 i direktiv 2002/58 anger att direktivet ska tillämpas på behandling av personuppgifter i samband med att allmänt tillgängliga elektroniska kommunikationstjänster tillhandahålls i allmänna kommunikationsnät inom unionen, inbegripet allmänna kommunikationsnät som stöder datainsamling och identifieringsutrustning (nedan kallade elektroniska kommunikationstjänster). Direktivet ska därför anses reglera verksamheten för leverantörer av sådana tjänster.

71Artikel 15.1 i direktiv 2002/58 låter medlemsstaterna, på de villkor den föreskriver, ”genom lagstiftning vidta åtgärder för att begränsa omfattningen av de rättigheter och skyldigheter som anges i artikel 5, artikel 6, artikel 8.1, 8.2, 8.3 och 8.4 och artikel 9 i detta direktiv”. Artikel 15.1 andra meningen i samma direktiv nämner, som exempel på åtgärder som medlemsstaterna får vidta, åtgärder ”som innebär att uppgifter får bevaras”.

72De lagstiftningsåtgärder som avses i artikel 15.1 i direktiv 2002/58 avser förvisso sådan verksamhet som endast kan bedrivas av staten eller statliga myndigheter och som inte kan bedrivas av enskilda personer (se, för ett liknande resonemang, dom av den 29 januari 2008, Promusicae, C-275/06, EU:C:2008:54, punkt 51). De syften som dessa åtgärder ska ha enligt nämnda bestämmelse, det vill säga att skydda nationell säkerhet, försvaret och allmän säkerhet samt att förebygga, undersöka, avslöja och väcka åtal för brott eller vid obehörig användning av ett elektroniskt kommunikationssystem, sammanfattar också väsentligen syftena med de verksamheter som avses i artikel 1.3 i direktivet.

73Sett till den allmänna systematiken i direktiv 2002/58 betyder dock inte de omständigheter som nämns i föregående punkt att de lagstiftningsåtgärder som avses i artikel 15.1 i direktivet ska anses uteslutna från direktivets tillämpningsområde. Det skulle helt frånta den bestämmelsen dess ändamålsenliga verkan. Nämnda bestämmelse förutsätter nämligen med nödvändighet att de där avsedda nationella åtgärderna, såsom de om lagring av uppgifter i brottsbekämpande syfte, omfattas av direktivets tillämpningsområde, eftersom direktivet uttryckligen tillåter medlemsstaterna att vidta sådana åtgärder endast under förutsättning att de däri angivna villkoren är uppfyllda.

74De lagstiftningsåtgärder som avses i artikel 15.1 i direktiv 2002/58 reglerar dessutom – för de syften som anges i bestämmelsen – verksamheten för leverantörer av elektroniska kommunikationstjänster. Den bestämmelsen, jämförd med artikel 3 i samma direktiv, ska därför tolkas på så sätt att sådana lagstiftningsåtgärder omfattas av direktivets tillämpningsområde.

75I tillämpningsområdet ingår i synnerhet en lagstiftningsåtgärd, såsom den som är i fråga i det nationella målet, som ålägger sådana leverantörer en skyldighet att lagra trafikuppgifter och lokaliseringsuppgifter. Deras verksamhet innebär nämligen med nödvändighet att de behandlar personuppgifter.

76Tillämpningsområdet inkluderar även en lagstiftningsåtgärd som, såsom i det nationella målet, innebär att nationella myndigheter får tillgång till uppgifter som lagrats av leverantörer av elektroniska kommunikationstjänster.

77Skyddet för konfidentialitet vid elektronisk kommunikation och för därmed förbundna trafikuppgifter, som säkerställs i artikel 5.1 i direktiv 2002/58, gäller för åtgärder som vidtas av andra personer än användarna, oavsett om de är privatpersoner eller privata enheter eller om de är statliga enheter. Som

20	ECLI:EU:C:2016:970

400

SOU 2017:75

Bilaga 2

DOM AV DEN 21.12.2016 – FÖRENADE MÅLEN C-203/15 OCH C-698/15

TELE2 SVERIGE OCH WATSON M.FL.

bekräftas av skäl 21 i samma direktiv, syftar direktivet till att hindra obehörig åtkomst av kommunikation, inbegripet ”uppgifter som har samband med sådan kommunikation”, för att skydda konfidentialiteten vid elektronisk kommunikation.

78En lagstiftningsåtgärd genom vilken en medlemsstat med stöd av artikel 15.1 i direktiv 2002/58 ålägger leverantörer av elektronisk kommunikation att, för de syften som nämns i denna bestämmelse, ge de nationella myndigheterna tillgång till uppgifter som leverantörerna lagrat, på de villkor som föreskrivs genom åtgärden, rör följaktligen behandling av personuppgifter från leverantörernas sida, och denna behandling omfattas av direktivets tillämpningsområde.

79Då datalagringen endast sker för att i förekommande fall ge behöriga nationella myndigheter tillgång till uppgifterna, måste dessutom en nationell lagstiftning som föreskriver att uppgifter ska lagras i princip innehålla bestämmelser om behöriga nationella myndigheters tillgång till de uppgifter som lagrats av leverantörer av elektroniska kommunikationstjänster.

80Den tolkningen får också stöd av artikel 15.1b i direktiv 2002/58, enligt vilken leverantörerna ska införa interna förfaranden för att besvara förfrågningar om tillgång till användarnas personuppgifter, på grundval av nationella bestämmelser som antagits med stöd av artikel 15.1 i direktivet.

81Av vad som anförts följer att nationell lagstiftning av det slag som är i fråga i de båda nationella målen omfattas av tillämpningsområdet för direktiv 2002/58.

Tolkningen av artikel 15.1 i direktiv 2002/58, mot bakgrund av artiklarna 7, 8, 11 och 52.1 i stadgan

82Enligt artikel 1.2 i direktiv 2002/58 ska bestämmelserna i detta direktiv ”precisera och komplettera” direktiv 95/46. Som framgår av skäl 2 i direktiv 2002/58, eftersträvas i detta direktiv i synnerhet att säkerställa full respekt för rättigheterna i artiklarna 7 och 8 i stadgan. Det framgår av redogörelsen för skälen i förslaget till Europaparlamentets och rådets direktiv om behandling av personuppgifter och skydd för privatlivet inom sektorn för elektronisk kommunikation (KOM/2000/385 slutlig), som låg till grund för direktiv 2002/58, att unionslagstiftaren avsett att ”garantera en fortsatt hög skyddsnivå för personuppgifter och privatliv för alla elektroniska kommunikationstjänster, oavsett vilken teknik som används”.

83Direktiv 2002/58 innehåller specifika bestämmelser för detta ändamål, vilka – såsom framgår av bland annat skälen 6 och 7 – syftar till att skydda användarna av elektroniska kommunikationstjänster mot de risker för deras personuppgifter och integritet som ny teknik och den ökade kapaciteten för automatisk lagring och behandling av uppgifter medför.

84Enligt artikel 5.1 i direktiv 2002/58 ska medlemsstaterna genom nationell lagstiftning säkerställa konfidentialitet vid kommunikation via allmänna kommunikationsnät och allmänt tillgängliga elektroniska kommunikationstjänster liksom för därmed förbundna trafikuppgifter.

85Principen om konfidentialitet vid kommunikation som infördes genom direktiv 2002/58 innebär bland annat, som framgår av artikel 5.1 andra meningen i direktivet, i princip förbud för andra personer än användarna att utan användarnas samtycke lagra trafikuppgifter avseende elektronisk kommunikation. Undantag gäller endast för personer som har laglig rätt att göra detta i enlighet med artikel 15.1 i direktivet, samt för teknisk lagring som är nödvändig för överföring av kommunikationen (se, för ett liknande resonemang, dom av den 29 januari 2008, Promusicae, C-275/06, EU:C:2008:54, punkt 47).

86Enligt artikel 6 i direktiv 2002/58, och som också framgår av skälen 22 och 26 i direktivet, får trafikuppgifter behandlas och lagras i den utsträckning och under den tid som krävs för att kunna fakturera för tjänster, marknadsföra tjänster eller tillhandahålla kringtjänster (se, för ett liknande resonemang, dom av den 29 januari 2008, Promusicae, C-275/06, EU:C:2008:54, punkterna 47

ECLI:EU:C:2016:970

401

Bilaga 2

SOU 2017:75

DOM AV DEN 21.12.2016 – FÖRENADE MÅLEN C-203/15 OCH C-698/15

TELE2 SVERIGE OCH WATSON M.FL.

och 48). Vad specifikt gäller fakturering för tjänster, är sådan behandling endast tillåten fram till utgången av den period under vilken det lagligen går att göra invändningar mot fakturan eller kräva betalning. När den perioden har löpt ut, ska de behandlade och lagrade uppgifterna utplånas eller avidentifieras. Vad gäller andra lokaliseringsuppgifter än trafikuppgifter, föreskriver artikel 9.1 i direktivet att de endast får behandlas på vissa villkor och sedan de har avidentifierats eller om användarna eller abonnenterna gett sitt samtycke.

87Räckvidden av bestämmelserna i artiklarna 5, 6 och 9.1 i direktiv 2002/58, som syftar till att säkerställa konfidentialitet vid kommunikation och därmed förbundna trafikuppgifter och minimera riskerna för missbruk, ska vidare bedömas mot bakgrund av skäl 30 i direktivet. Där anges att ”[s]ystemen för tillhandahållande av elektroniska kommunikationsnät och elektroniska kommunikationstjänster bör utformas så att mängden nödvändiga personuppgifter begränsas till ett absolut minimum”.

88Artikel 15.1 i direktiv 2002/58 ger förvisso medlemsstaterna möjlighet att föreskriva undantag från deras principiella skyldighet enligt artikel 5.1 i samma direktiv att garantera konfidentialiteten för personuppgifter liksom från motsvarande skyldigheter enligt bland annat artiklarna 6 och 9 i direktivet (se, för ett liknande resonemang, dom av den 29 januari 2008, Promusicae, C-275/06, EU:C:2008:54, punkt 50).

89I och med att artikel 15.1 i direktiv 2002/58 ger medlemsstaterna möjlighet att begränsa omfattningen av den principiella skyldigheten att säkerställa konfidentialiteten för kommunikation och därmed förbundna trafikuppgifter, ska denna artikel emellertid enligt domstolens fasta praxis tolkas strikt (se, analogt, dom av den 22 november 2012, Probst, C-119/12, EU:C:2012:748, punkt 23). En sådan bestämmelse kan alltså inte motivera att undantaget från denna principiella skyldighet, i synnerhet förbudet i artikel 5 i direktivet mot att lagra dessa uppgifter, görs till huvudregel. Det skulle i stor utsträckning förta verkan av sistnämnda bestämmelse.

90Artikel 15.1 första meningen i direktiv 2002/58 föreskriver att de lagstiftningsåtgärder som den bestämmelsen avser och som avviker från principen om konfidentialitet för kommunikationer och därmed förbundna trafikuppgifter ska syfta till att ”skydda nationell säkerhet (dvs. statens säkerhet), försvaret och allmän säkerhet samt för förebyggande, undersökning, avslöjande av och åtal för brott eller vid obehörig användning av ett elektroniskt kommunikationssystem” eller ha ett annat syfte enligt

artikel 13.1 i direktiv 95/46, som artikel 15.1 första meningen i direktiv 2002/58 hänvisar till (se, för ett liknande resonemang, dom av den 29 januari 2008, Promusicae, C-275/06, EU:C:2008:54, punkt 53). Denna uppräkning av syftena är uttömmande, vilket också framgår av artikel 15.1 andra meningen i direktivet, enligt vilken lagstiftningsåtgärder ska vara motiverade av ”de skäl” som fastställs i artikel 15.1 första meningen. Medlemsstaterna kan alltså inte anta sådana åtgärder för andra syften än de som räknas upp i artikel 15.1 första meningen i direktiv 2002/58.

91Vidare föreskrivs i artikel 15.1 tredje meningen i direktiv 2002/58 att ”[a]lla åtgärder som avses i [artikel 15.1 i direktivet] skall vara i enlighet med de allmänna principerna i [union]slagstiftningen, inklusive principerna i artikel 6.1 och 6.2 [FEU]”. Bland dessa ingår de allmänna principer och

grundläggande rättigheter som numera garanteras i stadgan. Nämnda artikel 15.1 ska alltså tolkas mot

bakgrund av de grundläggande rättigheter som garanteras	i stadgan (se, analogt, beträffande
direktiv 95/46, dom av den 20 maj 2003, Österreichischer	Rundfunk m.fl., C-465/00, C-138/01
och C-139/01, EU:C:2003:294, punkt 68, dom av den 13 maj 2014,		Google	Spain och Google,
C-131/12, EU:C:2014:317, punkt 68, och dom av den 6	oktober	2015,	Schrems, C-362/14,
EU:C:2015:650, punkt 38).

92 Skyldigheten, enligt nationell lagstiftning av nu aktuellt slag, för leverantörer av elektroniska kommunikationstjänster att lagra trafikuppgifter i syfte att vid behov göra dem tillgängliga för behöriga nationella myndigheter väcker frågor om sådan lagstiftnings förenlighet inte bara med

22	ECLI:EU:C:2016:970

402

SOU 2017:75

Bilaga 2

DOM AV DEN 21.12.2016 – FÖRENADE MÅLEN C-203/15 OCH C-698/15

TELE2 SVERIGE OCH WATSON M.FL.

artiklarna 7 och 8 i stadgan, som uttryckligen nämns i tolkningsfrågorna, utan även med yttrandefriheten, som garanteras i artikel 11 i stadgan (se, analogt, beträffande direktiv 2006/24, Digital Rights-domen, punkterna 25 och 70).

93Betydelsen av såväl rätten till respekt för privatlivet, vilken garanteras i artikel 7 i stadgan, som rätten till skydd för personuppgifter, vilken garanteras i artikel 8 i stadgan, framgår av domstolens praxis (se, för ett liknande resonemang, dom av den 6 oktober 2015, Schrems, C-362/14, EU:C:2015:650, punkt 39 och där angiven rättspraxis) och ska beaktas vid tolkningen av artikel 15.1 i direktiv 2002/58. Detsamma gäller yttrandefriheten, med tanke på den särskilda betydelse den har i varje demokratiskt samhälle. Denna grundläggande rättighet, som garanteras i artikel 11 i stadgan, utgör en av grundvalarna för ett demokratiskt och pluralistiskt samhälle och ingår i de värden som unionen enligt artikel 2 FEU bygger på (se, för ett liknande resonemang, dom av den 12 juni 2003, Schmidberger, C-112/00, EU:C:2003:333, punkt 79, och dom av den 6 september 2011, Patriciello, C-163/10, EU:C:2011:543, punkt 31).

94Enligt artikel 52.1 i stadgan ska varje begränsning i utövandet av de rättigheter och friheter som erkänns i stadgan vara föreskriven i lag och vara förenlig med deras väsentliga innehåll. Begränsningar får, med beaktande av proportionalitetsprincipen, endast göras om de är nödvändiga och faktiskt svarar mot mål av allmänt intresse som erkänns av unionen eller mot behovet av skydd för andra människors rättigheter och friheter (dom av den 15 februari 2016, N., C-601/15 PPU, EU:C:2016:84, punkt 50).

95Artikel 15.1 första meningen i direktiv 2002/58 föreskriver att medlemsstaterna får vidta en åtgärd som avviker från principen om konfidentialitet vid kommunikation och därmed förbundna trafikuppgifter

om åtgärden ”i ett demokratiskt samhälle är nödvändig, lämplig och proportionell” för de syften som anges i den bestämmelsen. Skäl 11 i direktivet preciserar att en åtgärd av sådant slag måste stå i ”strikt” proportion till det avsedda ändamålet. Vad särskilt gäller lagring av uppgifter kräver artikel 15.1 andra meningen i direktivet att uppgifter endast bevaras ”under en begränsad period” och att lagringen ”motiveras” av de skäl som fastställs i artikel 15.1 första meningen i direktivet.

96Att proportionalitetsprincipen ska iakttas framgår även av domstolens fasta praxis, enligt vilken skyddet av den grundläggande rätten till respekt för privatlivet på unionsnivå kräver att undantag från och begränsningar av skyddet för personuppgifter ska inskränkas till vad som är strängt nödvändigt (dom

av den 16 december 2008, Satakunnan Markkinapörssi och Satamedia, C-73/07, EU:C:2008:727,

punkt 56, dom av den 9 november	2010, Volker und Markus	Schecke	och	Eifert,	C-92/09
och C-93/09, EU:C:2010:662, punkt	77, Digital Rights-domen,	punkt 52,	och	dom	av den
6 oktober 2015, Schrems, C-362/14, EU:C:2015:650, punkt 92).

97Vad gäller frågan huruvida en nationell lagstiftning som den som är i fråga i mål C-203/15 uppfyller de villkoren, påpekar domstolen att den lagstiftningen föreskriver en generell och odifferentierad lagring av samtliga trafikuppgifter och lokaliseringsuppgifter för samtliga abonnenter och registrerade användare avseende samtliga elektroniska kommunikationsmedel och ålägger leverantörer av elektroniska kommunikationstjänster att systematiskt och kontinuerligt lagra dessa uppgifter, utan undantag. Som framgår av begäran om förhandsavgörande, motsvarar de kategorier av uppgifter som avses med denna lagstiftning väsentligen dem för vilka lagring föreskrevs i direktiv 2006/24.

98De uppgifter som leverantörer av elektroniska kommunikationstjänster således är skyldiga att lagra är sådana som gör det möjligt att spåra och identifiera en kommunikationskälla, identifiera slutmålet för en kommunikation, identifiera en kommunikations datum, tidpunkt, varaktighet och typ, identifiera användarnas kommunikationsutrustning och identifiera lokaliseringen av mobil kommunikationsutrustning. Bland dessa uppgifter ingår abonnentens eller den registrerade användarens namn och adress, det uppringande telefonnumret, det uppringda numret och IP-adressen för internettjänster. Dessa uppgifter gör det möjligt att få kännedom om med vilken person en abonnent eller registrerad användare har kommunicerat och på vilket sätt, hur länge kommunikationen varat och från vilken plats kommunikationen skett. Uppgifterna gör det dessutom

ECLI:EU:C:2016:970

403

Bilaga 2

SOU 2017:75

DOM AV DEN 21.12.2016 – FÖRENADE MÅLEN C-203/15 OCH C-698/15

TELE2 SVERIGE OCH WATSON M.FL.

möjligt att få kännedom om hur ofta abonnenten eller den registrerade användaren kommunicerat med vissa personer under en viss tidsperiod (se analogt, beträffande direktiv 2006/24, Digital Rights-domen, punkt 26).

99Dessa uppgifter kan sammantagna göra det möjligt att dra mycket precisa slutsatser om privatlivet för de personer vilkas uppgifter har lagrats, såsom deras vanor i vardagslivet, deras stadigvarande och tillfälliga uppehållsorter, deras dagliga förflyttningar och förflyttningar i övrigt, de aktiviteter de utövar, deras sociala relationer och de umgängeskretsar de rör sig i (se analogt, beträffande direktiv 2006/24, Digital Rights-domen, punkt 27). Dessa uppgifter gör det möjligt att, som generaladvokaten påpekat i punkterna 253, 254 och 257–259 i sitt förslag till avgörande, kartlägga de berörda personerna på ett sätt som är lika känsligt ur integritetssynpunkt som själva innehållet i kommunikationerna.

100Det ingrepp som en sådan lagstiftning utgör i de grundläggande rättigheter som är stadfästa i artiklarna 7 och 8 i stadgan är långtgående och måste betraktas som synnerligen allvarligt. Den

omständigheten att lagringen av uppgifterna och den senare användningen av dem sker utan att abonnenten eller den registrerade användaren är underrättad om detta kan ge de berörda personerna en känsla av att deras privatliv står under ständig övervakning (se analogt, beträffande direktiv 2006/24, Digital Rights-domen, punkt 37).

101Även om en sådan lagstiftning inte medger lagring av innehållet i en kommunikation, och därför inte kan kränka det väsentliga innehållet i dessa grundläggande rättigheter (se analogt, beträffande direktiv 2006/24, Digital Rights-domen, punkt 39), skulle lagringen av trafikuppgifter och lokaliseringsuppgifter emellertid kunna inverka på användningen av de elektroniska kommunikationsmedlen och följaktligen på användarnas utövande av sin i artikel 11 i stadgan garanterade yttrandefrihet (se analogt, beträffande direktiv 2006/24, Digital Rights-domen, punkt 28).

102Med hänsyn till det allvarliga ingrepp i de berörda grundläggande rättigheterna som en nationell lagstiftning som i brottsbekämpande syfte föreskriver lagring av trafikuppgifter och lokaliseringsuppgifter utgör, kan endast bekämpning av grov brottslighet motivera en sådan åtgärd (se analogt, angående direktiv 2006/24, Digital Rights-domen, punkt 60).

103En effektiv bekämpning av grov brottslighet och särskilt av organiserad brottslighet och terrorism kan förvisso i stor utsträckning vara beroende av användningen av moderna utredningstekniker. Fastän det syftet är av allmänt samhällsintresse kan det emellertid inte, trots sin grundläggande betydelse, i sig ensamt motivera att en nationell lagstiftning som föreskriver en generell och odifferentierad lagring av samtliga trafikuppgifter och lokaliseringsuppgifter ska anses vara nödvändig för detta ändamål (se analogt, beträffande direktiv 2006/24, Digital Rights-domen, punkt 51).

104 För det första får en sådan lagstiftning till följd, sett till dess särdrag såsom de beskrivits i punkt 97 ovan, att lagring av trafikuppgifter och lokaliseringsuppgifter blir huvudregeln, trots att det system som inrättats genom direktiv 2002/58 kräver att sådan lagring ska vara ett undantag.

105För det andra innebär en nationell lagstiftning som den som är i fråga i det nationella målet, som på ett generellt sätt omfattar samtliga abonnenter och registrerade användare och avser samtliga elektroniska kommunikationsmedel och samtliga trafikuppgifter, att det inte görs några åtskillnader, begränsningar eller undantag utifrån det eftersträvade syftet. Den berör på ett allomfattande sätt samtliga personer som använder elektroniska kommunikationstjänster, utan att dessa personer ens indirekt befinner sig i en situation som kan föranleda lagföring. Den är således även tillämplig på personer beträffande vilka det inte föreligger något indicium som ger anledning att tro att deras beteende ens kan ha ett indirekt eller avlägset samband med grov brottslighet. Den föreskriver inte heller några undantag, vilket innebär att den även är tillämplig på personer vilkas kommunikationer enligt nationell rätt omfattas av tystnadsplikt (se analogt, beträffande direktiv 2006/24, Digital Rights-domen, punkterna 57 och 58).

24	ECLI:EU:C:2016:970

404

SOU 2017:75

Bilaga 2

DOM AV DEN 21.12.2016 – FÖRENADE MÅLEN C-203/15 OCH C-698/15

TELE2 SVERIGE OCH WATSON M.FL.

106En sådan lagstiftning kräver inte något samband mellan de uppgifter som ska lagras och ett hot mot den allmänna säkerheten. Den är inte begränsad till lagring av uppgifter avseende en viss tidsperiod och/eller ett visst geografiskt område och/eller en viss krets av personer som på något sätt kan vara inblandade i ett allvarligt brott eller till personer beträffande vilka lagringen av uppgifter av andra skäl skulle kunna bidra till bekämpningen av brott (se analogt, beträffande direktiv 2006/24, Digital Rights-domen, punkt 59).

107En nationell lagstiftning som den som är i fråga i det nationella målet överskrider således gränserna för vad som är strängt nödvändigt och kan inte anses motiverad i ett demokratiskt samhälle, såsom krävs enligt artikel 15.1 i direktiv 2002/58 jämförd med artiklarna 7, 8, 11 och 52.1 i stadgan.

108Artikel 15.1 i direktiv 2002/58 jämförd med artiklarna 7, 8, 11 och 52.1 i stadgan hindrar däremot inte att en medlemsstat antar lagstiftning som i förebyggande syfte tillåter en riktad lagring av trafikuppgifter och lokaliseringsuppgifter, i syfte att bekämpa grov brottslighet, förutsatt att lagringen av uppgifterna, vad gäller vilka slags uppgifter som ska lagras, vilka kommunikationsmedel som avses, vilka personer som berörs och hur länge lagringen ska ske, begränsas till vad som är strängt nödvändigt.

109För att uppfylla kraven i föregående punkt måste den nationella lagstiftningen för det första föreskriva tydliga och precisa bestämmelser som reglerar omfattningen och tillämpligheten av en sådan lagringsåtgärd och som slår fast minimikrav, så att de personer vars uppgifter har lagrats har tillräckliga garantier som möjliggör ett effektivt skydd av deras personuppgifter mot riskerna för missbruk. Den måste särskilt precisera under vilka omständigheter och villkor en sådan lagringsåtgärd får vidtas i förebyggande syfte, vilket säkerställer att lagringen begränsas till vad som är strängt nödvändigt (se analogt, beträffande direktiv 2006/24, Digital Rights-domen, punkt 54 och där angiven rättspraxis).

110Vad för det andra gäller de materiella villkor som en nationell lagstiftning som inom ramen för brottsbekämpning tillåter lagring i förebyggande syfte av trafikuppgifter och lokaliseringsuppgifter måste uppfylla för att säkerställa att den är begränsad till vad som är strängt nödvändigt, påpekar domstolen att även om de villkoren kan variera utifrån vilka åtgärder som vidtas för att förebygga, undersöka, avslöja och väcka åtal för grov brottslighet, måste lagringen av uppgifterna alltid uppfylla objektiva kriterier, som fastställer ett samband mellan de uppgifter som ska lagras och det eftersträvade syftet. I synnerhet måste villkoren vara sådana att de klart avgränsar åtgärdens omfattning och följaktligen den berörda personkretsen.

111Vad gäller avgränsningen av en sådan åtgärd beträffande den personkrets och de situationer som kan komma att beröras gör domstolen följande bedömning. Den nationella lagstiftningen ska grunda sig på objektiva omständigheter som gör det möjligt att ta sikte på en personkrets vars uppgifter kan avslöja en, åtminstone indirekt, koppling till grov brottslighet och på ett eller annat sätt kan bidra till att bekämpa grov brottslighet eller förhindra en allvarlig risk för den allmänna säkerheten. En sådan avgränsning kan säkerställas genom ett geografiskt kriterium när de behöriga nationella myndigheterna på grundval av objektiva omständigheter bedömer att det i ett eller flera geografiska områden finns en förhöjd risk för förberedelse eller genomförande av sådana handlingar.

112Den första frågan i mål C-203/15 ska mot denna bakgrund besvaras på följande sätt. Artikel 15.1 i direktiv 2002/58, jämförd med artiklarna 7, 8, 11 och 52.1 i stadgan, ska tolkas på så sätt att den utgör hinder för en nationell lagstiftning som i brottsbekämpande syfte föreskriver en generell och odifferentierad lagring av samtliga trafikuppgifter och lokaliseringsuppgifter avseende samtliga abonnenter och registrerade användare och samtliga elektroniska kommunikationsmedel.

ECLI:EU:C:2016:970

405

Bilaga 2

SOU 2017:75

DOM AV DEN 21.12.2016 – FÖRENADE MÅLEN C-203/15 OCH C-698/15

TELE2 SVERIGE OCH WATSON M.FL.

Den andra frågan i mål C-203/15 och den första frågan i mål C-698/15

113Kammarrätten i Stockholm har ställt sin andra fråga, i mål C-203/15, endast för det fall att den första frågan i målet besvaras nekande. Denna andra fråga är dock oberoende av om en lagring av uppgifter är generell eller riktad, i den mening som avses i punkterna 108–111 ovan. Den andra frågan i mål C-203/15 ska därför besvaras gemensamt med den första frågan i mål C-698/15, vilken ställts oberoende av omfattningen av den skyldighet att lagra uppgifter som ålagts leverantörer av elektroniska kommunikationstjänster.

114De hänskjutande domstolarna har ställt den andra frågan i mål C-203/15 respektive den första frågan i mål C-698/15 för att få klarhet i huruvida artikel 15.1 i direktiv 2002/58, jämförd med artiklarna 7, 8 och 52.1 i stadgan, ska tolkas på så sätt att den utgör hinder för en nationell lagstiftning som reglerar skydd och säkerhet för trafikuppgifter och lokaliseringsuppgifter samt, i synnerhet, behöriga nationella myndigheters tillgång till lagrade uppgifter och som inte begränsar denna tillgång till enbart syftet att bekämpa grov brottslighet, inte föreskriver att tillgången ska vara underkastad förhandskontroll av en domstol eller en oberoende förvaltningsmyndighet och inte kräver att uppgifterna ska lagras inom unionen.

115Vad gäller de syften som kan motivera en nationell lagstiftning som avviker från principen om konfidentialitet vid elektronisk kommunikation vill domstolen anföra följande. Såsom konstaterats i

punkterna 90 och 102 ovan är uppräkningen av syftena i artikel 15.1 första meningen i direktiv 2002/58 uttömmande. Därför måste tillgång till lagrade uppgifter vara faktiskt och strikt begränsad till de fall då tillgången krävs för ett av dessa syften. Då syftet med lagstiftningen måste stå i proportion till hur allvarligt ingrepp i de grundläggande rättigheterna det innebär att ge tillgång till de lagrade uppgifterna, är det vid förebyggande, undersökning, avslöjande av och åtal för brott endast bekämpning av grov brottslighet som kan motivera en sådan tillgång.

116 Vad gäller proportionalitetsprincipen, måste en nationell lagstiftning som reglerar på vilka villkor en leverantör av elektronisk kommunikation ska ge behöriga nationella myndigheter tillgång till lagrade uppgifter garantera – i enlighet med vad domstolen konstaterat i punkterna 95 och 96 ovan – att tillgång inte ges utöver vad som är strängt nödvändigt.

117Eftersom de lagstiftningsåtgärder som avses i artikel 15.1 i direktiv 2002/58 enligt skäl 11 i direktivet ska ”omfattas av lämpliga skyddsmekanismer”, måste en sådan åtgärd dessutom, som framgår av ovan i punkt 109 angiven rättspraxis, föreskriva klara och precisa bestämmelser som anger under vilka omständigheter och på vilka villkor leverantörer av elektroniska kommunikationstjänster måste ge behöriga nationella myndigheter tillgång till uppgifterna. En åtgärd av detta slag måste också vara rättsligt bindande i nationell rätt.

118För att säkerställa att behöriga nationella myndigheters tillgång till lagrade uppgifter begränsas till vad som är strängt nödvändigt, ankommer det förvisso på nationell rätt att fastställa på vilka villkor leverantörer av elektroniska kommunikationstjänster ska ge sådan tillgång. Det räcker dock inte att den berörda nationella lagstiftningen stadgar att tillgång enbart ska medges för något av de syften som avses i artikel 15.1 i direktiv 2002/58, även om det gäller bekämpning av grov brottslighet. Den måste även ange de materiella och formella villkoren för de behöriga nationella myndigheternas tillgång till de lagrade uppgifterna (se analogt, beträffande direktiv 2006/24, Digital Rights-domen, punkt 61).

119Eftersom en allmän tillgång till samtliga lagrade uppgifter, oberoende av om det finns någon koppling, ens indirekt, till det eftersträvade syftet, inte kan anses vara begränsad till vad som är strängt nödvändigt, måste den berörda nationella lagstiftningen således vara grundad på objektiva kriterier som avgör under vilka omständigheter och på vilka villkor behöriga nationella myndigheter ska ges

tillgång till uppgifter om abonnenter eller registrerade användare. Tillgång kan i princip bara beviljas, i samband med bekämpning av brott, till uppgifter om personer som misstänks planera, begå eller ha begått ett allvarligt brott eller på något sätt vara inblandade i ett sådant brott (se, analogt,

26	ECLI:EU:C:2016:970

406

SOU 2017:75

Bilaga 2

DOM AV DEN 21.12.2016 – FÖRENADE MÅLEN C-203/15 OCH C-698/15

TELE2 SVERIGE OCH WATSON M.FL.

Europadomstolens dom av den 4 december 2015, Zakharov mot Ryssland, CE:ECHR:2015:1204JUD004714306, § 260). I särskilda fall, som när vitala intressen för nationell säkerhet, försvar eller allmän säkerhet hotas av terrorism, skulle dock tillgång kunna ges även till uppgifter om andra personer när det finns objektiva omständigheter som ger skäl att anta att de uppgifterna i ett konkret fall effektivt skulle kunna bidra till att bekämpa terrorism.

120För att säkerställa att dessa villkor uppfylls fullt ut i praktiken, är det väsentligt att behöriga nationella myndigheters tillgång till de lagrade uppgifterna i princip, utom i vederbörligen motiverade brådskande fall, är underkastad förhandskontroll av en domstol eller en oberoende myndighet och att domstolen meddelar sitt avgörande eller myndigheten fattar sitt beslut efter det att de behöriga nationella

myndigheterna framställt en motiverad ansökan, vilket kan ske bland annat inom ramen för ett förfarande för förebyggande, avslöjande eller lagföring av brott (se analogt, beträffande direktiv 2006/24, Digital Rights-domen, punkt 62; se även analogt, vad gäller artikel 8 i Europakonventionen, Europadomstolen, 12 januari 2016, Szabó och Vissy mot Ungern, CE:ECHR:2016:0112JUD003713814, §§ 77 och 80).

121 Vidare krävs att de behöriga nationella myndigheter som beviljats tillgång till lagrade uppgifter informerar de berörda personerna om detta, enligt tillämpliga nationella förfaranden, så snart en sådan upplysning inte längre riskerar att skada myndigheternas utredningar. Den informationen är i själva verket nödvändig bland annat för att dessa personer ska kunna utöva sin rätt till rättslig prövning vid kränkning av deras rättigheter, såsom uttryckligen stadgas i artikel 15.2 i direktiv 2002/58, jämförd med artikel 22 i direktiv 95/46 (se, analogt, dom av den 7 maj 2009, Rijkeboer, C-553/07, EU:C:2009:293, punkt 52, och dom av den 6 oktober 2015, Schrems, C-362/14, EU:C:2015:650, punkt 95).

122Vad gäller bestämmelserna om skydd av och säkerhet för de uppgifter som lagras av leverantörer av elektroniska kommunikationstjänster, konstaterar domstolen att artikel 15.1 i direktiv 2002/58 inte medger att medlemsstaterna avviker från artikel 4.1 eller 4.1a i direktivet. De sistnämnda bestämmelserna kräver att leverantörerna vidtar lämpliga tekniska och organisatoriska åtgärder för att säkerställa ett effektivt skydd av de lagrade uppgifterna mot riskerna för missbruk och otillåten tillgång till uppgifterna. Med hänsyn till att det är fråga om en stor mängd uppgifter och att dessa är av känslig natur samt att det finns en risk för otillåten tillgång till uppgifterna, måste leverantörerna av elektroniska kommunikationstjänster, för att säkerställa fullständig integritet och konfidentialitet för uppgifterna, garantera en särskilt hög skydds- och säkerhetsnivå genom lämpliga tekniska och organisatoriska åtgärder. Den nationella lagstiftningen måste i synnerhet föreskriva att lagringen sker inom unionen och att uppgifterna oåterkalleligen förstörs när deras lagringstid gått ut (se analogt, beträffande direktiv 2006/24, Digital Rights-domen, punkterna 66–68).

123Medlemsstaterna måste i alla händelser garantera att en oberoende myndighet kontrollerar att den skyddsnivå som säkerställs i unionsrätten iakttas vad gäller skyddet för fysiska personer vid behandlingen av personuppgifter. En sådan kontroll krävs uttryckligen enligt artikel 8.3 i stadgan och utgör enligt domstolens fasta praxis en grundläggande beståndsdel i skyddet för enskilda i samband med behandlingen av personuppgifter. Annars skulle de personer vars personuppgifter har lagrats berövas sin rätt enligt artikel 8.1 och 8.3 i stadgan att vända sig till de nationella tillsynsmyndigheterna med begäran om skydd för sina personuppgifter (se, för ett liknande resonemang, Digital Rights-domen, punkt 68, och dom av den 6 oktober 2015, Schrems, C-362/14, EU:C:2015:650, punkterna 41 och 58).

124Det ankommer på de hänskjutande domstolarna att pröva huruvida och i så fall i vilken utsträckning de nu aktuella nationella lagstiftningarna uppfyller kraven enligt artikel 15.1 i direktiv 2002/58 jämförd med artiklarna 7, 8, 11 och 52.1 i stadgan, såsom de preciserats i punkterna 115–123 ovan, vad gäller såväl behöriga nationella myndigheters tillgång till lagrade uppgifter som skyddet och säkerhetsnivån för dessa uppgifter.

ECLI:EU:C:2016:970

407

Bilaga 2

SOU 2017:75

DOM AV DEN 21.12.2016 – FÖRENADE MÅLEN C-203/15 OCH C-698/15

TELE2 SVERIGE OCH WATSON M.FL.

125 Den andra frågan i mål C-203/15 och den första frågan i mål C-698/15 ska mot denna bakgrund besvaras på följande sätt. Artikel 15.1 i direktiv 2002/58 jämförd med artiklarna 7, 8, 11 och 52.1 i stadgan ska tolkas på så sätt att den utgör hinder för en nationell lagstiftning som reglerar skydd och säkerhet för trafikuppgifter och lokaliseringsuppgifter och, i synnerhet, behöriga nationella myndigheters tillgång till lagrade uppgifter och som inte – inom ramen för brottsbekämpning – begränsar denna tillgång till enbart åtgärder som syftar till att bekämpa grov brottslighet, inte föreskriver att tillgången ska vara underkastad förhandskontroll av en domstol eller en oberoende förvaltningsmyndighet och inte kräver att uppgifterna ska lagras inom unionen.

Den andra frågan i mål C-698/15

126 Court of Appeal (England & Wales) (Civil Division) (Appellationsdomstolen för England och Wales, avdelningen för tvistemål och förvaltningsmål) har ställt sin andra fråga för att få klarhet i huruvida domstolen i Digital Rights-domen tolkade artikel 7 och/eller artikel 8 i stadgan på så sätt att de bestämmelserna anses gå längre än artikel 8 i Europakonventionen enligt Europadomstolens tolkning.

127 Domstolen erinrar inledningsvis om att de grundläggande rättigheter som erkänns i Europakonventionen ingår i unionsrätten som allmänna principer, såsom bekräftas i artikel 6.3 FEU. Europakonventionen utgör emellertid inte något rättsligt instrument som formellt har införlivats med unionens rättsordning, så länge som unionen inte har anslutit sig till denna konvention (se, för ett liknande resonemang, dom av den 15 februari 2016, N., C-601/15 PPU, EU:C:2016:84, punkt 45 och där angiven rättspraxis).

128 Tolkningen av direktiv 2002/58, som är i fråga här, ska följaktligen göras enbart utifrån de grundläggande rättigheter som garanteras i stadgan (se, för ett liknande resonemang, dom av den 15 februari 2016, N., C-601/15 PPU, EU:C:2016:84, punkt 46 och där angiven rättspraxis).

129I förklaringarna avseende artikel 52 i stadgan anges att artikel 52.3 syftar till att trygga det nödvändiga sammanhanget mellan stadgan och Europakonventionen ”utan att detta inkräktar på unionsrättens och Europeiska unionens domstols autonomi” (dom av den 15 februari 2016, N., C-601/15 PPU, EU:C:2016:84, punkt 47). Som uttryckligen anges i artikel 52.3 andra meningen, hindrar inte första meningen i den bestämmelsen unionsrätten från att tillförsäkra ett mer långtgående skydd än Europakonventionen. Till detta kommer slutligen att artikel 8 i stadgan rör en grundläggande rättighet som är skild från den som slås fast i artikel 7 i stadgan och som saknar motsvarighet i Europakonventionen.

130Enligt domstolens fasta praxis är domstolens uppgift rörande en begäran om förhandsavgörande att bidra till den faktiska lösningen av en tvist som rör unionsrätten och inte att uttala sig om allmänna eller hypotetiska frågor (se, för ett liknande resonemang, dom av den 24 april 2012, Kamberaj, C-571/10, EU:C:2012:233, punkt 41, dom av den 26 februari 2013, Åkerberg Fransson, C-617/10, EU:C:2013:105, punkt 42, och dom av den 27 februari 2014, Pohotovost’, C-470/12, EU:C:2014:101, punkt 29).

131I förevarande fall finner domstolen mot bakgrund av övervägandena i bland annat punkterna 128 och 129 ovan att frågan huruvida skyddet enligt artiklarna 7 och 8 i stadgan går längre än det enligt artikel 8 i Europakonventionen inte påverkar tolkningen av direktiv 2002/58, jämförd med stadgan, vilket är vad den nationella domstolen har att ta ställning till i mål C-698/15.

132Att besvara den andra frågan i mål C-698/15 tycks således inte bidra till tolkningen av unionsrätten på ett sätt som är nödvändigt för att, i unionsrättsligt avseende, avgöra tvisten i det nationella målet.

133Den andra frågan i mål C-698/15 kan därför inte tas upp till prövning.

28	ECLI:EU:C:2016:970

408

SOU 2017:75

Bilaga 2

DOM AV DEN 21.12.2016 – FÖRENADE MÅLEN C-203/15 OCH C-698/15

TELE2 SVERIGE OCH WATSON M.FL.

Rättegångskostnader

134 Eftersom förfarandet i förhållande till parterna i de nationella målen utgör ett led i beredningen av samma mål, ankommer det på de hänskjutande domstolarna att besluta om rättegångskostnaderna. De kostnader för att avge yttrande till domstolen som andra än nämnda parter har haft är inte ersättningsgilla.

Mot denna bakgrund beslutar domstolen (stora avdelningen) följande:

1)Artikel 15.1 i Europaparlamentets och rådets direktiv 2002/58/EG av den 12 juli 2002 om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation (direktiv om integritet och elektronisk kommunikation), i dess lydelse enligt Europaparlamentets och rådets direktiv 2009/136/EG av den 25 november 2009, jämförd med artiklarna 7, 8, 11 och 52.1 i Europeiska unionens stadga om de grundläggande rättigheterna, ska tolkas på så sätt att den utgör hinder för en nationell lagstiftning som i brottsbekämpande syfte föreskriver en generell och odifferentierad lagring av samtliga trafikuppgifter och lokaliseringsuppgifter avseende samtliga abonnenter och registrerade användare och samtliga elektroniska kommunikationsmedel.

2)Artikel 15.1 i direktiv 2002/58, i dess lydelse enligt direktiv 2009/136, jämförd med artiklarna 7, 8, 11 och 52.1 i stadgan om de grundläggande rättigheterna ska tolkas på så sätt att den utgör hinder för en nationell lagstiftning som reglerar skydd och säkerhet för trafikuppgifter och lokaliseringsuppgifter och, i synnerhet, behöriga nationella myndigheters tillgång till lagrade uppgifter och som inte – inom ramen för brottsbekämpning – begränsar denna tillgång till enbart åtgärder som syftar till att bekämpa grov brottslighet, inte föreskriver att tillgången ska vara underkastad förhandskontroll av en domstol eller en oberoende förvaltningsmyndighet och inte kräver att uppgifterna ska lagras inom unionen.

3)Den andra frågan från Court of Appeal (England & Wales) (Civil Division)

(Appellationsdomstolen för	England och Wales, avdelningen	för tvistemål
och förvaltningsmål) avvisas.
Lenaerts	Tizzano	Silva de Lapuerta
von Danwitz	Da Cruz Vilaça	Juhász
Vilaras	Borg Barthet	Malenovský
Levits	Bonichot	Arabadjiev
Rodin	Biltgen	Lycourgos
Avkunnad vid offentligt sammanträde i Luxemburg den 21 december 2016.
A. Calot Escobar		K. Lenaerts
Justitiesekreterare		Ordförande

ECLI:EU:C:2016:970

409

Statens offentliga utredningar 2017

Kronologisk förteckning

1.För Sveriges landsbygder

–en sammanhållen politik för arbete, hållbar tillväxt och välfärd. N.

2.Kraftsamling för framtidens energi. M.

3.Karens för statsråd och statssekreterare. Fi.

4.För en god och jämlik hälsa. En utveckling av det folkhälsopolitiska ramverket. S.

5.Svensk social trygghet i en globaliserad värld. Del 1 och 2. S.

6.Se barnet! Ju.

7.Straffprocessens ramar och domstolens beslutsunderlag

i brottmål – en bättre hantering av stora mål. Ju.

8.Kunskapsläget på kärnavfallsområdet 2017. Kärnavfallet – en fråga i ständig förändring. M.

9.Det handlar om oss.

–unga som varken arbetar eller studerar. U.

10.Ny ordning för att främja god sed och hantera oredlighet i forskning. U.

11.Vägskatt. Volym 1 och 2. Fi.

12.Att ta emot människor på flykt. Sverige hösten 2015. Ju.

13.Finansiering av infrastruktur med privat kapital? Fi.

14.Migrationsärenden

vid utlandsmyndigheterna. Ju.

15.Kvalitet och säkerhet

på apoteksmarknaden. S.

16.Sverige i Afghanistan 2002–2014. UD.

17.Om oskuldspresumtionen och rätten att närvara vid rättegången. Genomförande av EU:s oskuldspresumtionsdirektiv. Ju.

18.En nationell strategi för validering. U.

19.Uppdrag: Samverkan. Steg på vägen mot fördjupad lokal samverkan

för unga arbetslösa. A.

20.Tillträde för nybörjare – ett öppnare och enklare system för tillträde till högskoleutbildning. U.

21.Läs mig! Nationell kvalitetsplan för vård och omsorg om äldre personer. Del 1 och 2. S.

22.Från värdekedja till värdecykel – så får Sverige en mer cirkulär ekonomi. M.

23.digitalforvaltning.nu. Fi.

24.Ett arbetsliv i förändring – hur påverkas ansvaret för arbetsmiljön? A.

25.Samlad kunskap – stärkt handläggning. S.

26.Delningsekonomi. På användarnas villkor. Fi.

27.Vissa frågor inom fastighets- och stämpelskatteområdet. Fi.

28.Ett nationellt centrum för kunskap om och utvärdering av arbetsmiljö. A.

29.Brottsdatalag. Ju

30.En omreglerad spelmarknad. Del 1 och 2. Fi.

31.Stärkt konsumentskydd

på bostadsrättsmarknaden. Ju.

32.Substitution i Centrum

–stärkt konkurrenskraft med kemikaliesmarta lösningar. M.

33.Stärkt ställning för hyresgäster. Ju.

34.Ekologisk kompensation – Åtgärder för att motverka nettoförluster av biologisk mångfald och ekosystem- tjänster, samtidigt som behovet av markexploatering tillgodoses. M.

35.Samling för skolan. Nationell strategi för kunskap och likvärdighet. U.

36.Informationssäkerhet för samhälls viktiga och digitala tjänster. Ju.

37.Kvalificerad välfärdsbrottslighet

–förebygga, förhindra, upptäcka och beivra. Ju.

38.Kvalitet i välfärden – bättre upphandling och uppföljning. Fi.

39.Ny dataskyddslag. Kompletterande bestämmelser till EU:s dataskydds förordning. Ju.

40.För dig och för alla. S.

41.Meddelarskyddslagen – fler verksam- heter med stärkt meddelarskydd. Ju.

42.Vem har ansvaret? M.

43.På lika villkor! Delaktighet, jämlikhet och effektivitet i hjälpmedelsförsörj- ningen. S.

44.Entreprenad, fjärrundervisning och distansundervisning. U.

45.Ny lag om företagshemligheter. Ju.

46.Stärkt ordning och säkerhet i domstol. Ju.

47.Nästa steg på vägen mot en mer jämlik hälsa. Förslag för ett långsiktigt arbete för en god och jämlik hälsa. S.

48.Kunskapsbaserad och jämlik vård. Förutsättningar för en lärande hälso- och sjukvård. S.

49.EU:s dataskyddsförordning och utbildningsområdet. U.

50.Personuppgiftsbehandling för forskningsändamål. U.

51.Utbildning, undervisning och ledning

– reformvård till stöd för en bättre skola. U.

52.Så stärker vi den personliga integriteten. Ju.

53.God och nära vård. En gemensam färdplan och målbild. S.

54.Fler nyanlända elever ska uppnå behörighet till gymnasiet. U.

55.En ny kamerabevakningslag. Ju.

56.Jakten på den perfekta ersättnings modellen. Vad händer med med arbetarnas handlingsutrymme? Fi.

57.Lag om flygpassageraruppgifter i brottsbekämpningen. Ju.

58.Amerikansk inresekontroll vid utresa från Sverige – så kan avtalen genom- föras. Ju.

59.Reglering av alkoglass m.fl. produkter. S.

60.Nästa steg? Förslag för en stärkt minoritetspolitik. Ku.

61.Villkorlig frigivning – förstärkta åtgärder mot återfall i brott. Ju.

62.Kärnavfallsrådets yttrande över SKB:s Fud-program 2016. M.

63.Miljötillsyn och sanktioner

–en tillsyn präglad av ansvar, respekt och enkelhet. M.

64.Detaljplanekravet. N.

65.Hyran vid nyproduktion

–en utvärdering och utveckling av modellen med presumtionshyra. Ju.

66.Dataskydd inom Socialdepartementets verksamhetsområde – en anpassning till EU:s dataskyddsförordning. S.

67.Våldsbejakande extremism. En forskarantologi. Ku.

68.Barnets rättigheter i ett straffrättsligt förfarande m.m. Genomförande av EU:s barnrättsdirektiv och två andra straffprocessuella frågor. Ju.

69.Marknadskontrollmyndigheter

–befogenheter och sanktionsmöjligheter. UD.

70.Förstärkt skydd för uppgifter

av betydelse för ett internationellt samarbete för fred och säkerhet som Sverige deltar i. Ju.

71.Bostäder på statens mark

–en möjlighet? N.

72.Genomförande av vissa straffrättsliga åtaganden för att förhindra och bekämpa terrorism. Ju.

73.En gemensam bild av bostads‑ byggnadsbehovet. N.

74.Brottsdatalag – kompletterande lagstiftning. Ju.

75.Datalagring – brottsbekämpning och integritet. Ju.

Statens offentliga utredningar 2017

Systematisk förteckning

Arbetsmarknadsdepartementet

Uppdrag: Samverkan. Steg på vägen mot fördjupad lokal samverkan för unga arbetslösa. [19]

Ett arbetsliv i förändring – hur påverkas ansvaret för arbetsmiljön? [24]

Ett nationellt centrum för kunskap om och utvärdering av arbetsmiljö. [28]

Finansdepartementet

Karens för statsråd och statssekreterare. [3] Vägskatt. Volym 1 och 2. [11]

Finansiering av infrastruktur med privat kapital? [13]

digitalforvaltning.nu. [23]

Delningsekonomi. På användarnas villkor. [26]

Vissa frågor inom fastighets- och stämpel- skatteområdet. [27]

En omreglerad spelmarknad. Del 1 och 2. [30]

Kvalitet i välfärden – bättre upphandling och uppföljning. [38]

Jakten på den perfekta ersättningsmodel- len. Vad händer med medarbetarnas handlingsutrymme? [56]

Justitiedepartementet

Se barnet! [6]

Straffprocessens ramar och domstolens beslutsunderlag i brottmål

– en bättre hantering av stora mål. [7]

Att ta emot människor på flykt. Sverige hösten 2015. [12]

Migrationsärenden

vid utlandsmyndigheterna.[14]

Om oskuldspresumtionen och rätten att närvara vid rättegången. Genomförande av EU:s oskuldspresumtionsdirektiv. [17]

Brottsdatalag. [29]

Stärkt konsumentskydd

på bostadsrättsmarknaden. [31] Stärkt ställning för hyresgäster. [33]

Informationssäkerhet för samhällsviktiga och digitala tjänster. [36]

Kvalificerad välfärdsbrottslighet

– förebygga, förhindra, upptäcka och beivra. [37]

Ny dataskyddslag. Kompletterande bestämmelser till EU:s dataskydds förordning. [39]

Meddelarskyddslagen – fler verksam- heter med stärkt meddelarskydd. [41]

Ny lag om företagshemligheter. [45] Stärkt ordning och säkerhet i domstol. [46] Så stärker vi den personliga integriteten. [52] En ny kamerabevakningslag. [55]

Lag om flygpassageraruppgifter i brotts- bekämpningen. [57]

Amerikansk inresekontroll vid utresa från Sverige – så kan avtalen genomföras. [58]

Villkorlig frigivning – förstärkta åtgärder mot återfall i brott. [61]

Hyran vid nyproduktion

– en utvärdering och utveckling av modellen med presumtionshyra. [65]

Barnets rättigheter i ett straffrättsligt förfarande m.m. Genomförande av EU:s barnrättsdirektiv och två andra straffprocessuella frågor. [68]

Förstärkt skydd för uppgifter av betydelse för ett internationellt samarbete för fred och säkerhet som Sverige deltar i. [70]

Genomförande av vissa straffrättsliga åtaganden för att förhindra och bekämpa terrorism. [72]

Brottsdatalag – kompletterande lagstiftning. [74]

Datalagring – brottsbekämpning och integritet. [75]

Kulturdepartementet

Nästa steg? Förslag för en stärkt minoritetspolitik. [60]

Våldsbejakande extremism. En forskarantologi. [67]

Miljö- och energidepartementet

Kraftsamling för framtidens energi. [2]

Kunskapsläget på kärnavfallsområdet 2017. Kärnavfallet – en fråga i ständig förändring. [8]

Från värdekedja till värdecykel – så får Sverige en mer cirkulär ekonomi. [22]

Substitution i Centrum

– stärkt konkurrenskraft med kemikaliesmarta lösningar. [32]

Ekologisk kompensation – Åtgärder för att motverka nettoförluster av biologisk mångfald och ekosystemtjänster, sam- tidigt som behovet av markexploatering tillgodoses. [34]

Vem har ansvaret? [42]

Kärnavfallsrådets yttrande över SKB:s Fud-program 2016. [62]

Miljötillsyn och sanktioner

– en tillsyn präglad av ansvar, respekt och enkelhet. [63]

Näringsdepartementet

För Sveriges landsbygder

– en sammanhållen politik för arbete, hållbar tillväxt och välfärd. [1]

Detaljplanekravet. [64]

Bostäder på statens mark

– en möjlighet? [71]

En gemensam bild av bostadsbyggnads‑ behovet. [73]

Socialdepartementet

För en god och jämlik hälsa. En utveckling av det

folkhälsopolitiska ramverket. [4]

Svensk social trygghet i en globaliserad värld. Del 1 och 2.[5]

Kvalitet och säkerhet

på apoteksmarknaden. [15]

Läs mig! Nationell kvalitetsplan

för vård och omsorg om äldre personer. Del 1 och 2. [21]

Samlad kunskap – stärkt handläggning. [25] För dig och för alla. [40]

På lika villkor! Delaktighet, jämlikhet och effektivitet i hjälpmedelsförsörjningen. [43]

Nästa steg på vägen mot en mer jämlik hälsa. Förslag för ett långsiktigt arbete för en god och jämlik hälsa. [47]

Kunskapsbaserad och jämlik vård. Förutsättningar för en lärande hälso- och sjukvård. [48]

God och nära vård. En gemensam färdplan och målbild. [53]

Reglering av alkoglass m.fl. produkter. [59]

Dataskydd inom Socialdepartementets verksamhetsområde – en anpassning till EU:s dataskyddsförordning. [66]

Utbildningsdepartementet

Det handlar om oss.

– unga som varken arbetar eller studerar. [9]

Ny ordning för att främja god sed

och hantera oredlighet i forskning. [10] En nationell strategi för validering [18]

Tillträde för nybörjare – ett öppnare och enklare system för tillträde till hög skoleutbildning. [20]

Samling för skolan.

Nationell strategi för kunskap och likvärdighet. [35]

Entreprenad, fjärrundervisning och distansundervisning. [44]

EU:s dataskyddsförordning och utbildningsområdet. [49]

Personuppgiftsbehandling

för forskningsändamål.[50]

Utbildning, undervisning och ledning

– reformvård till stöd för en bättre skola. [51]

Källförteckning ................................................................		317
Särskilda yttranden ...........................................................		325
Bilagor
Bilaga 1	Kommittédirektiv 2017:16............................................	367
Bilaga 2	Tele2-domen.................................................................	381