2.2Förslag till lag om ändring i lagen (2012:278) om inhämtning av uppgifter om elektronisk kommunikation i de brottsbekämpande myndigheternas underrättelseverksamhet

Härigenom föreskrivs i fråga om lagen (2012:278) om inhämtning av uppgifter om elektronisk kommunikation i de brottsbekämpande myndig- heternas underrättelseverksamhet

dels att nuvarande 4–9 §§ ska betecknas 3–8 §§,

dels att 2 § och de nya 3–5 §§ ska ha följande lydelse.

2 §

Prop. 2018/19:86

Uppgifter får hämtas in om omständigheterna är sådana att

1.åtgärden är av särskild vikt för att förebygga, förhindra eller upp- täcka brottslig verksamhet som innefattar brott för vilket inte är föreskrivet lindrigare straff än fängelse i två år, och

2.skälen för åtgärden uppväger det intrång eller men i övrigt som åtgärden innebär för den som åtgärden riktar sig mot eller för något annat motstående intresse.

Uppgifter får hämtas in om omständigheterna är sådana att åtgärden är av särskild vikt för att förebygga, förhindra eller upp- täcka brottslig verksamhet som innefattar

1.brott för vilket det inte är föreskrivet lindrigare straff än fängelse i två år,

2.sabotage enligt 13 kap. 4 § brottsbalken,

3.kapning, sjö- eller luftfarts- sabotage eller flygplatssabotage enligt 13 kap. 5 a § första eller andra stycket eller 5 b § första stycket brottsbalken, om brottet innefattar sabotage enligt 4 § samma kapitel,

4.brott mot medborgerlig frihet enligt 18 kap. 5 § brottsbalken,

5.spioneri, grov obehörig befattning med hemlig uppgift eller grov olovlig underrättelseverk- samhet mot Sverige, mot främ- mande makt eller mot person enligt 19 kap. 5 eller 8 §, 10 § andra stycket, 10 a § andra stycket eller 10 b § andra stycket brottsbalken,

6.företagsspioneri enligt 26 § lagen (2018:558) om företags-

Prop. 2018/19:86

4 §

Beslut om inhämtning av uppgifter fattas av myndigheten. Myndighetschefen får delegera rätten att fatta beslut om in- hämtning till en annan anställd vid myndigheten som har den särskilda kompetens, utbildning och erfaren- het som behövs.

Den som rätten att fatta beslut har delegerats till, får inte fatta beslut om inhämtning i sådan operativ verksamhet som han eller hon deltar i.

hemligheter, om det finns anled- ning att anta att den brottsliga verksamheten utövas på uppdrag av eller understöds av en främ- mande makt eller av någon som agerar för en främmande makts räkning,

7.grovt brott enligt 3 § andra stycket lagen (2002:444) om straff för finansiering av särskilt allvarlig brottslighet i vissa fall eller grovt brott enligt 6 § lagen (2010:299) om straff för offentlig uppmaning, rekrytering och utbildning av- seende terroristbrott och annan särskilt allvarlig brottslighet,

8.grov misshandel eller olaga frihetsberövande enligt 3 kap. 6 §

eller 4 kap. 2 § första stycket brottsbalken i avsikt att påverka offentliga organ eller den som yrkesmässigt bedriver nyhetsför- medling eller annan journalistik att vidta eller avstå från att vidta en åtgärd eller att hämnas en åtgärd.

Uppgifter får bara hämtas in om skälen för åtgärden uppväger det intrång eller men i övrigt som åtgärden innebär för den som åtgärden riktar sig mot eller för något annat motstående intresse.

3 §1

Beslut om inhämtning av uppgifter fattas av åklagare vid Åklagarmyndigheten efter ansökan av Polismyndigheten, Säkerhets- polisen eller Tullverket.

8

1Tidigare 3 § upphävd genom 2019:000.

5 §

I ett beslut om inhämtning av uppgifter ska det anges vilken brottslig verksamhet och vilken tid beslutet avser samt vilket telefon- nummer eller annan adress, vilken elektronisk kommunikationsutrust- ning eller vilket geografiskt område beslutet avser. Tiden får inte be- stämmas längre än nödvändigt och får, när det gäller tid som infaller efter beslutet, inte överstiga en månad från dagen för beslutet.

Om det inte längre finns skäl för ett beslut om inhämtning av upp- gifter, ska beslutet omedelbart hävas.

6 §

Säkerhets- och integritetsskydds- nämnden ska underrättas om ett beslut om inhämtning av uppgifter enligt denna lag. Underrättelsen ska lämnas senast en månad efter det att ärendet om inhämtning avslutades.

uppgifter ska det anges vilken brottslig verksamhet och vilken tid beslutet avser samt vilket telefon- nummer eller vilken annan adress, vilken elektronisk kommunika- tionsutrustning eller vilket geo- grafiskt område beslutet avser. Tiden får inte bestämmas längre än nödvändigt och får, när det gäller tid som infaller efter beslutet, inte överstiga en månad från dagen för beslutet.

Om det inte längre finns skäl för ett beslut om inhämtning av upp- gifter ska den ansökande myndig- heten omedelbart häva beslutet.

5 §

Den ansökande myndigheten ska underrätta Säkerhets- och inte- gritetsskyddsnämnden om ett beslut om inhämtning av uppgifter enligt denna lag. Underrättelsen ska läm- nas senast en månad efter det att ärendet om inhämtning avslutades.

Prop. 2018/19:86

10

2.3Förslag till lag om ändring i lagen (2017:718) om ändring i lagen (2012:279) om ändring i lagen (2012:278) om inhämtning av uppgifter om elektronisk kommunikation i de brottsbekämpande myndigheternas underrättelseverksamhet

Härigenom föreskrivs att lagen (2017:718) om ändring i lagen (2012:279) om ändring i lagen (2012:278) om inhämtning av uppgifter om elektronisk kommunikation i de brottsbekämpande myndigheternas underrättelse- verksamhet ska ha följande lydelse.

3 § lagen (2012:278) om inhämtning av uppgifter om elektronisk kommunikation i de brottsbekämpande myndigheternas underrättelse- verksamhet ska upphöra att gälla vid utgången av september 2019.

cell (antenn på basstation) som utrustningen kopplat upp sig mot. De olika uppgiftskategorierna är delvis överlappande.

Uppgifter om elektronisk kommunikation är mycket viktiga för brotts- bekämpningen. Det finns därför regler i lagen om elektronisk kom- munikation och i förordningen (2003:396) om elektronisk kommunikation som har till syfte att säkerställa att dessa uppgifter lagras av dem som tillhandahåller elektroniska kommunikationstjänster och att de brotts- bekämpande myndigheterna under vissa förutsättningar kan få tillgång till dem. Samtidigt är huvudregeln enligt 6 kap. 5 § lagen om elektronisk kommunikation, som syftar till att skydda användarnas grundläggande rättigheter, att trafikuppgifter ska utplånas eller avidentifieras när de inte längre behövs för att överföra ett elektroniskt meddelande.

Lagringsskyldigheten omfattar vissa uppräknade uppgifter som genereras eller behandlas vid tillhandahållande av telefonitjänster (fasta och mobila), vid meddelandehantering samt vid internetåtkomst. Skyldig- heten gäller i sex månader räknat från den dag kommunikationen avslutades. Lagringsskyldigheten omfattar inte innehållet i kommunika- tionen.

Skyldigheten att lagra dessa uppgifter inkräktar på rättigheter som enskilda är tillförsäkrade enligt regeringsformen, Europakonventionen och EU:s rättighetsstadga, däribland skyddet av den personliga integriteten. För att en sådan åtgärd ska vara godtagbar krävs att den vidtas för ett ändamål som är godtagbart i ett demokratiskt samhälle, att den objektivt sett är ägnad att uppnå syftet med åtgärden och att den är proportionerlig.

De brottsbekämpande myndigheternas verksamhet och tillgången till de uppgifter som lagrats

Brottsbekämpande verksamhet består av två övergripande delar, under- rättelseverksamhet och utredande verksamhet. Underrättelseverksamheten är i huvudsak inriktad på att avslöja om en viss inte närmare specificerad brottslighet har ägt rum, pågår eller kan antas komma att begås. Ett övergripande mål med underrättelseverksamheten är att förse de brottsbekämpande myndigheterna med kunskap som kan omsättas i operativ verksamhet. Den utredande verksamheten utgår från en redan uppkommen händelse. Myndigheten ska, oftast inom en förundersökning, utreda om brott har begåtts och vem som i så fall skäligen kan misstänkas för brottet samt skaffa tillräckligt material för bedömning av frågan om åtal ska väckas.

För både brottsutredande verksamhet och underrättelseverksamhet finns det bestämmelser om hemliga tvångsmedel som reglerar förutsättningarna för att t.ex. få tillgång till lagrade uppgifter. Hur de brottsbekämpande myndigheterna kan få tillgång till de uppgifter som omfattas av lagringsskyldigheten – och andra uppgifter som behandlas i verksamheten, t.ex. på grund av operatörernas faktureringsbehov – beror på vilken typ av uppgift det är och i vilket syfte tillgång begärs.

För trafik- och lokaliseringsuppgifter regleras tillgången i rättegångs- balken (RB) och i lagen (2012:278) om inhämtning av uppgifter om elektronisk kommunikation i de brottsbekämpande myndigheternas underrättelseverksamhet (inhämtningslagen). Härtill kommer lagen (1991:572) om särskild utlänningskontroll och lagen (2007:979) om

Prop. 2018/19:86

13

kan knytas till en brottsplats eller en misstänkt kan användas tillsammans med annan information för att föra utredningen framåt.

Uppgifter om elektronisk kommunikation kan svara på frågor om vilka nummer som haft kontakt med varandra, hur intensiv kommunikationen har varit och var användarna av t.ex. mobiltelefoner har befunnit sig. Även uppgifter från anonyma kontantkort kan ha betydelse för att kunna kartlägga en misstänkt och på så sätt försöka få fram en identitet, ett skeende eller andra misstänkta. Inhämtade uppgifter kan i många fall också få till följd att personer avförs från utredningen genom att misstankarna mot dem visar sig sakna substans.

När det gäller planeringsskedet av ett brott är det genom tillgången till trafikuppgifter ofta möjligt att ta reda på t.ex. hur gärningsmännen har sammanträffat och hur de har rekognoserat vid gömställen, längs flyktvägar och vid brottsplatsen samt hur de införskaffat brottsverktyg eller stulit flyktbilar. Genom tillgången till historiska trafik- och lokaliseringsuppgifter kan de brottsbekämpande myndigheterna således klarlägga händelser som anknyter såväl till själva brottstillfället som till planläggningen och flykten från brottsplatsen. Dessa uppgifter kan leda till att gömställen upptäcks, att stulna pengar, flyktbilar eller annat gods påträffas och att bortförda personer eller döda kroppar hittas.

Vid utredningen av internetrelaterad brottslighet är uppgifter om elektronisk kommunikation ofta avgörande för att möjliggöra identifiering av en misstänkt gärningsman. Möjligheten till anonymitet och frånvaro av annan teknisk bevisning vid sådan brottslighet medför därför att uppgifter om elektronisk kommunikation i många fall inte kan undvaras vid utredningen, om sådan brottslighet ska kunna utredas. Från de brottsbekämpande myndigheterna har i flera sammanhang också framhållits att tillgången till uppgifter om elektronisk kommunikation i brottsutredningarna fått allt större betydelse i takt med den ökade användningen av kryptering, som innebär att innehållet i meddelanden inte blir åtkomligt för myndigheterna vid hemlig avlyssning av elektronisk kommunikation (SOU 2015:31 s. 85). Utredningen om hemlig data- avläsning har i sitt delbetänkande Hemlig dataavläsning – ett viktigt verktyg i kampen mot allvarlig brottslighet (SOU 2017:89) föreslagit att det ska införas en ny lag som, om vissa förutsättningar är uppfyllda, ger de brottsbekämpande myndigheterna möjlighet till hemlig dataavläsning. Med hemlig dataavläsning avses i utredningen en metod för de brottsbekämpande myndigheterna att med någon form av tekniskt hjälpmedel i hemlighet bereda sig tillgång till en dator eller annan teknisk utrustning som kan användas för kommunikation, och därigenom få besked om hur utrustningen används eller har använts och vilken information som finns i den. Utredningens förslag bereds nu i Regerings- kansliet. Hemlig dataavläsning, liksom andra hemliga tvångsmedel eller polisiära metoder som t.ex. fysisk spaning, kan dock inte ses som en ersättning för datalagringen. De skilda metoderna bör snarare ses som olika verktyg i den brottsbekämpande verksamheten som kan komplettera varandra.

När det gäller nyttan av inhämtningen av uppgifter om elektronisk kommunikation i underrättelseverksamhet, har Polismyndigheten och Tullverket konstaterat att information om elektronisk kommunikation är väsentlig för myndigheternas underrättelseverksamhet och att de möjlig-

Prop. 2018/19:86

15

16

Sammanfattningsvis finns det alltså ett påtagligt behov av uppgifter om elektronisk kommunikation för brottsbekämpningen och uppgifterna ger de brottsbekämpande myndigheterna stor nytta. Däremot är inte nyttan och behovet desamma för alla uppgifter och inte heller desamma över tid, eftersom beteendemönster och teknik hela tiden förändras. Som exempel kan nämnas den minskade användningen av fast telefoni och den ökande användningen av internet i mobiltelefoner.

4.2Datalagring i ett EU-rättsligt sammanhang

Datalagringsdirektivet och Digital Rights-domen

Europaparlamentets och rådets direktiv 2006/24/EG av den 15 mars 2006 om lagring av trafikuppgifter som genererats eller behandlats i samband med tillhandahållande av allmänt tillgängliga elektroniska kommunika- tionstjänster eller allmänna kommunikationsnät och om ändring av direktiv 2002/58/EG, i det följande datalagringsdirektivet, syftade till att harmonisera medlemsstaternas regler om skyldigheter för leverantörer av allmänt tillgängliga elektroniska kommunikationstjänster eller allmänna kommunikationsnät att lagra vissa uppgifter om elektronisk kommunika- tion för att säkerställa att uppgifterna finns tillgängliga för avslöjande, utredning och åtal av allvarliga brott. De bestämmelser som genomförde direktivet i svensk rätt finns huvudsakligen i lagen om elektronisk kommunikation.

I april 2014 meddelade EU-domstolen dom i målen C-293/12 och C-594/12, Digital Rights Ireland m.fl. (Digital Rights-domen) angående giltigheten av datalagringsdirektivet. EU-domstolen förklarade i domen datalagringsdirektivet ogiltigt (punkt 71). Domstolen konstaterade att direktivet innebar ett långtgående och synnerligen allvarligt intrång i rätten till respekt för privatlivet och skyddet av personuppgifter (punkt 37). Domstolen ansåg att ingreppet svarade mot ett mål av allmänt samhälls- intresse, bl.a. då syftet med direktivet var att bidra till bekämpandet av grov brottslighet och bidra till den allmänna säkerheten (punkterna 41– 44). Domstolen ansåg också att lagringen var ägnad att uppnå det mål som eftersträvades med direktivet eftersom lagringen innebär att brotts- bekämpande myndigheter får ytterligare möjligheter att klara upp grova

brott och utgör ett värdefullt verktyg i brottsutredningar (punkt 49). När det gäller frågan om huruvida lagringen som föreskrevs enligt direktivet var nödvändig, konstaterade domstolen att bekämpandet av grov brottslighet, särskilt av organiserad brottslighet och terrorism, är av största betydelse för att garantera allmän säkerhet och att dess effektivitet i stor utsträckning kan bero på användningen av moderna utredningstekniker. Ett sådant mål av allmänt samhällsintresse kan emellertid inte, trots dess grundläggande betydelse, i sig ensamt motivera att en sådan lagringsåtgärd ska anses vara nödvändig för nämnda bekämpande (punkt 51). Intrånget var enligt domstolen inte begränsat till vad som var strängt nödvändigt bl.a. då direktivet generellt omfattade samtliga personer, samtliga elektroniska kommunikationsmedel och samtliga trafikuppgifter utan att det gjordes några åtskillnader, begränsningar eller undantag utifrån syftet att bekämpa allvarliga brott (punkt 57). Domstolen pekade på olika brister i direktivet och fann att direktivet inte föreskrev några tydliga och precisa regler som reglerade räckvidden av ingreppen i de grundläggande rättigheterna enligt artikel 7 (privatliv) och 8 (personuppgifter) i EU:s rättighetsstadga. Direktivet innebar således ett ingrepp i dessa rättigheter som var långtgående och synnerligen allvarligt. Ingreppet var inte noggrant avgränsat genom bestämmelser som gjorde det möjligt att säkerställa att det verkligen var begränsat till vad som var strängt nödvändigt (punkt 65). Domstolen fann vid en samlad bedömning att unionslagstiftaren överskridit de gränser som proportionalitetsprincipen uppställer mot bakgrund av de aktuella rättigheterna (punkt 69).

Med anledning av att datalagringsdirektivet ogiltigförklarades gav chefen för Justitiedepartementet en utredare i uppdrag att analysera konsekvenserna för den svenska lagstiftningen (Ds 2014:23). Som en uppföljning av analysen i departementspromemorian gav regeringen därefter en utredare i uppdrag att överväga ytterligare rättssäkerhets- och integritetsstärkande åtgärder bl.a. för reglerna om lagring av uppgifter om elektronisk kommunikation (SOU 2015:31). Den svenska lagstiftningen bedömdes i båda analyserna som förenlig med EU-rätten, även om vissa förslag på förändringar presenterades.

Tele2-domen och domen från Kammarrätten i Stockholm

Kammarrätten i Stockholm begärde i april 2015 ett förhandsavgörande av EU-domstolen med anledning av ett överklagat föreläggande från Post- och telestyrelsen (PTS) mot ett lagringsskyldigt företag om att lagra uppgifter om elektronisk kommunikation. I december 2016 besvarade EU- domstolen kammarrättens begäran genom dom i målen C-203/15 och C- 698/15, Tele2 Sverige AB m.fl. (Tele2-domen).

EU-domstolen ansåg att direktiv 2002/58 är tillämpligt på nationell lagstiftning som reglerar lagring och tillgång till trafikuppgifter och lokaliseringsuppgifter i brottsbekämpande syfte (punkterna 65–81). Artikel 15.1 i direktivet, som i viss utsträckning tillåter lagring och tillgång till uppgifter om elektronisk kommunikation för t.ex. brottsbekämpande syften och för att skydda nationell säkerhet, ska enligt domstolen tolkas strikt och mot bakgrund av EU:s rättighetsstadga. Sådan lagstiftning be- dömdes utgöra inskränkningar i rättigheterna enligt artiklarna 7 (privatliv), 8 (personuppgifter) och 11 (yttrandefrihet) i stadgan (punkterna 88–93).

Prop. 2018/19:86

17

Prop. 2018/19:86

22

5.2Det är nödvändigt att anpassa den svenska lagstiftningen

Regeringens bedömning: Det är nödvändigt att anpassa reglerna om datalagring för att dessa ska vara förenliga med EU-rätten.

Lagring kan endast motiveras av intresset att bekämpa grov brotts- lighet, men inte ens detta ändamål kan ensamt motivera en generell och odifferentierad lagring av samtliga trafikuppgifter och lokaliserings- uppgifter avseende samtliga abonnenter och registrerade användare och samtliga elektroniska kommunikationsmedel.

Det finns ett fortsatt utrymme för en begränsad lagringsskyldighet. Lagringsskyldigheten måste dock göras mindre omfattande än i dag och anpassas till vad som är strängt nödvändigt. En begränsad och differentierad lagring, sett till antalet uppgiftstyper, bör därför före- skrivas.

Utredningens bedömning överensstämmer med regeringens. Remissinstanserna: Remissutfallet är blandat. De brottsbekämpande

myndigheterna, t.ex. Polismyndigheten, Åklagarmyndigheten, Säkerhets- polisen och Tullverket, framhåller vikten av datalagring för att kunna upptäcka, förhindra, bekämpa, utreda och lagföra brott. Varje begränsning av lagringsskyldigheten kommer att få allvarliga konsekvenser för myndigheternas förmåga i detta avseende. De anser att gällande lagrings- skyldighet redan utgör en miniminivå. Säkerhetspolisen framhåller det förändrade säkerhetsläget och anser att en begränsning av lagrings- skyldigheten skulle kunna få mycket allvarliga konsekvenser. Säkerhets- polisen, Försvarsmakten och Försvarets radioanstalt anser att även en mer omfattande lagringsskyldighet skulle vara förenlig med EU-rätten, särskilt inom området för nationell säkerhet.

Rädda barnen och Ecpat Sverige påpekar att datalagring har stor betydelse för brott mot barn, särskilt sexualbrott mot barn. Även organisationer inom film-, tv- och musikbranschen – Ifpi, Rättighets- alliansen, Dataspelsbranschen, Sveriges Biografägareförbund, Musikför- läggarna, Sveriges filmuthyrareförening, Film- och TV-branschens sam- arbetskommitté och Sveriges Videodistributörers förening – framhåller datalagringens vikt för att upptäcka, utreda och lagföra immaterialrättsliga brott.

Datainspektionen, Journalistförbundet, Bahnhof AB, Com Hem AB, RISE SICS AB, Colt Technology Services AB, Dataskydd.net, Svenska stadsnätsföreningen, Föreningen Digitala fri- och rättigheter (Dfri), Stiftelsen för Internetsinfrastruktur och IT&Telekomföretagen anser att utredningens förslag även fortsättningsvis innebär en generell och odifferentierad lagring av trafik- och lokaliseringsuppgifter. I förslaget blir, trots föreslagna ändringar, lagring en huvudregel och inte ett undantag. Dessa remissinstanser anser att förslagen med största sannolikhet bryter mot EU-rätten och att det finns en risk att återigen hamna i en rättslig osäkerhet där företag åläggs nya skyldigheter som driver kostnader och blockerar utvecklingsresurser, tills det med stor sannolikhet kommer att konstateras att lagringsskyldigheten bryter mot EU-rätten och måste rivas upp. Hi3G Access AB (Tre) och Telia AB anser

är underrättad om detta kan enligt domstolen ge de berörda personerna en känsla av att deras privatliv står under ständig övervakning (punkt 100 i domen).

Även om en sådan lagstiftning inte medger lagring av innehållet i en kommunikation, och därför inte kan kränka det väsentliga innehållet i dessa grundläggande rättigheter, skulle lagringen av trafikuppgifter och lokaliseringsuppgifter emellertid kunna inverka på användningen av de elektroniska kommunikationsmedlen och följaktligen på användarnas utövande av sin i artikel 11 i stadgan garanterade yttrandefrihet (punkt 101 i domen).

Med hänsyn till det allvarliga ingrepp i de berörda grundläggande rättigheterna som en nationell lagstiftning som i brottsbekämpande syfte föreskriver lagring av trafikuppgifter och lokaliseringsuppgifter utgör, anför EU-domstolen att endast bekämpning av grov brottslighet kan motivera en sådan åtgärd (punkt 102 i domen). EU-domstolen bejakar i och för sig att en effektiv bekämpning av grov brottslighet, särskilt organiserad brottslighet och terrorism, i stor utsträckning kan vara beroende av användningen av moderna utredningstekniker. Trots att det syftet är av allmänt samhällsintresse kan det enligt domstolen inte i sig ensamt motivera en nationell lagstiftning som föreskriver en generell och odifferentierad lagring av samtliga trafikuppgifter och lokaliserings- uppgifter (punkt 103 i domen). En sådan lagstiftning skulle få till följd att lagringen av trafik- och lokaliseringsuppgifter blir huvudregeln, trots att direktiv 2002/58 kräver att en sådan lagring ska vara ett undantag.

EU-domstolen anför att den svenska lagstiftningen omfattar samtliga abonnenter och avser samtliga elektroniska kommunikationsmedel och samtliga trafikuppgifter, och att det inte görs några åtskillnader, begränsningar eller undantag utifrån det eftersträvade syftet. Domstolen konstaterar vidare att den på ett allomfattande sätt berör samtliga personer som använder elektroniska kommunikationstjänster, utan att dessa personer ens indirekt befinner sig i en situation som kan föranleda lagföring. Den är således även tillämplig på personer beträffande vilka det inte finns något indicium som ger anledning att tro att deras beteende ens kan ha ett indirekt eller avlägset samband med grov brottslighet. Den föreskriver inte heller några undantag, vilket innebär att den även är tillämplig på personer vilkas kommunikationer enligt nationell rätt omfattas av tystnadsplikt (punkt 105 i domen).

EU-domstolen konstaterar vidare att en sådan lagstiftning inte kräver något samband mellan de uppgifter som ska lagras och ett hot mot den allmänna säkerheten. Den är inte begränsad till lagring av uppgifter avseende en viss tidsperiod eller ett visst geografiskt område eller en viss krets av personer som på något sätt kan vara inblandade i ett allvarligt brott eller till personer beträffande vilka lagringen av uppgifter av andra skäl skulle kunna bidra till bekämpningen av brott (punkt 106 i domen).

EU-domstolen finner sammanfattningsvis att den svenska lagstiftningen överskrider gränserna för vad som är strängt nödvändigt och att den inte kan anses motiverad i ett demokratiskt samhälle, såsom krävs enligt artikel

15.1i direktiv 2002/58 jämförd med artiklarna 7, 8, 11 och 52.1 i EU:s rättighetsstadga (punkt 107 i domen).

Domstolen anför att inget hindrar att en medlemsstat antar lagstiftning som i förebyggande syfte tillåter en riktad lagring av trafikuppgifter och

Prop. 2018/19:86

25

26

Vad gäller de villkor som en nationell lagstiftning måste uppfylla för att säkerställa att den är begränsad till vad som är strängt nödvändigt, påpekar domstolen att även om villkoren kan variera utifrån vilka åtgärder som vidtas för att förebygga, undersöka, avslöja och väcka åtal för grov brottslighet, måste lagringen av uppgifterna alltid uppfylla objektiva kriterier, som fastställer ett samband mellan de uppgifter som ska lagras och det eftersträvade syftet. I synnerhet måste villkoren vara sådana att de klart avgränsar omfattning och följaktligen den berörda personkretsen (punkt 110 i domen).

Vad gäller avgränsningen av den personkrets och de situationer som kan komma att beröras av riktad lagring gör EU-domstolen följande bedömning. Den nationella lagstiftningen ska grunda sig på objektiva omständigheter som gör det möjligt att ta sikte på en personkrets vars uppgifter kan avslöja en, åtminstone indirekt, koppling till grov brottslighet och på ett eller annat sätt kan bidra till att bekämpa grov brottslighet eller förhindra en allvarlig risk för den allmänna säkerheten. En sådan avgränsning kan säkerställas genom ett geografiskt kriterium när behöriga myndigheter på grundval av objektiva omständigheter bedömer att det i ett eller flera geografiska områden finns en förhöjd risk för förberedelse eller genomförande av sådana handlingar (punkt 111 i domen).

Effektiva verktyg för brottsbekämpningen behövs även framöver

Mot bakgrund av EU-domstolens slutsatser i Tele2-domen kan det konstateras att EU-rätten ställer strängare krav på lagringen av uppgifter än vad svensk rätt gör. Svensk rätt behöver således anpassas för att vara förenlig med EU-rätten. Ett sätt att hantera detta på skulle kunna vara att upphäva de bestämmelser som föreskriver att operatörerna ska lagra uppgifter om elektronisk kommunikation. En sådan lösning är emellertid utesluten av både brottsbekämpande och folkrättsliga skäl.

Under senare år har den ökande internationaliseringen i kombination med teknikutvecklingen och en tilltagande internetanvändning inneburit att kriminaliteten delvis har ändrat karaktär. Internet erbjuder lättillgängliga kontaktytor för brottsplanering inom och utom landets gränser och utgör bl.a. en etablerad plattform för våldsbejakande extremism och terrorismpropaganda. Viss typ av kriminalitet, t.ex. barn-

pornografibrott, begås ofta med hjälp av it-verktyg och elektroniska kommunikationsnät, t.ex. via internet, och den webbaserade narkotika- handeln har ökat massivt de senaste åren. Utvecklingen innebär att förutsättningarna för att förhindra brott och säkra bevis för begångna brott har förändrats radikalt. Uppgifter om elektronisk kommunikation och andra elektroniska spår är i dag helt nödvändiga för brottsbekämpningen. Om de brottsbekämpande myndigheterna inte skulle ha tillgång till adekvata utredningsverktyg i den elektroniska miljön skulle brotten i vissa fall vara omöjliga att klara upp och brottsoffer i motsvarande omfattning vara rättslösa. En sådan situation är högst problematisk ur ett brotts- bekämpande perspektiv. Vissa brott skulle i praktiken kunna bli straffria och många målsägande skulle aldrig kunna få upprättelse.

Utöver detta brottsbekämpande perspektiv måste hänsyn tas till Sveriges internationella åtaganden enligt t.ex. Europakonventionen. Var och en som vistas i Sverige har rätt att göra anspråk på att staten vidtar effektiva åtgärder för att skydda hans eller hennes säkerhet. I detta ligger att staten måste anstränga sig för att se till att brott förebyggs, utreds och att gärningsmän ställs till svars för sina brottsliga handlingar. Staten har alltså en skyldighet att skydda enskildas privatliv och personliga integritet mot intrång som begås av andra enskilda och, om intrång görs, se till att brotten utreds. Detta följer bl.a. av artikel 8 i Europakonventionen (se t.ex. Europadomstolens mål Söderman mot Sverige, 12 november 2013, punkt 78 och von Hannover mot Tyskland, 24 juni 2004, punkt 57). Motsvarande skydd följer av EU:s rättighetsstadga inom EU-rättens tillämpningsområde (artikel 6, 7 och 52.3 i stadgan). Även om det inte har förekommit något ingripande från en myndighet eller en offentlig tjänsteman kan staten alltså bryta mot artikel 8 i Europakonventionen genom att tolerera en existerande situation eller genom att inte skapa tillräckligt rättsligt skydd. Staten kan då bli ansvarig för sin underlåtenhet trots att det specifika intrånget i någon enskilds rättighet har utförts av någon annan enskild, för vars handlande staten inte i och för sig är ansvarig. Vad som i huvudsak kan förväntas är att staten utfärdar lagar som ger ett tillfredsställande skydd åt privatliv, familjeliv, hem och korrespondens och att de rättsvårdande myndigheterna håller kontroll över att dessa lagar respekteras. En förutsättning för att staten ska kunna leva upp till kraven på att upprätthålla rättstryggheten för enskilda är att staten har en välfungerande och effektiv brottsbekämpning. Att ha en välfungerande brottsbekämpning innebär t.ex. att myndigheterna ska ha tillgång till effektiva utredningsverktyg – även i den elektroniska miljön. När så inte har varit fallet har staten ansetts kränka de rättigheter som följer av Europakonventionen. Ett exempel på detta var när en person som gjort sig skyldig till förtal eller möjligen sexuellt ofredande av ett 12- årigt barn i Finland inte kunde identifieras på grund av att det enligt den nationella lagstiftningen inte var möjligt att inhämta uppgift om vem som använt en ip-adress från operatören. I det aktuella fallet uttalade Europa- domstolen särskilt att konfidentialitet för kommunikation och yttrande- frihet ibland måste få vika för brottsbekämpande ändamål. (K.U. mot Finland, 2 december 2008, mål nr 2872/02, särskilt punkt 49). Statens skyldighet att upprätthålla ett straffrättsligt skydd och göra skyndsamma ingripanden mot allvarliga brott följer även av andra artiklar i Europa- konventionen och EU:s rättighetsstadga, exempelvis avseende frihets- berövanden, artikel 5 i Europakonventionen samt artiklarna 6 och 52.3 i

Prop. 2018/19:86

27

respekt för privatlivet kräver att undantag från och begränsningar av skyddet för personuppgifter ska inskränkas till vad som är strängt nödvändigt. Samtidigt måste lagstiftningen tillgodose Sveriges positiva förpliktelser enligt bl.a. Europakonventionen att skydda enskilda från ingrepp i de grundläggande fri- och rättigheterna från andra enskilda. Hur balansen mellan dessa olika skyldigheter bör göras utvecklas i det följande.

Samtliga trafikuppgifter och lokaliseringsuppgifter lagras inte enligt dagens regelverk

När det gäller lagringens omfattning slår EU-domstolen fast att EU:s rättighetsstadga utgör hinder för en nationell lagstiftning som i brottsbekämpande syfte föreskriver en generell och odifferentierad lagring av samtliga trafikuppgifter och lokaliseringsuppgifter avseende samtliga abonnenter och registrerade användare och samtliga elektroniska kommunikationsmedel (punkt 1 i domslutet).

När det gäller uttrycket ”samtliga trafikuppgifter och lokaliseringsupp- gifter” kan det – som utredningen och några remissinstanser påpekar – noteras att flera trafik- och lokaliseringsuppgifter inte ska lagras enligt den nu gällande svenska lagstiftningen, som har sin grund i det numera upphävda datalagringsdirektivet. Exempel på sådana uppgifter är position när ett meddelande skickades och när det mottogs, position under ett mobilsamtal, position vid fast telefoni, utrustningsidentitet vid skickade och mottagna meddelanden, utrustningsidentitet vid fast telefoni, abonnemangsidentitet vid skickade och mottagna meddelanden, uppgift om port vid internetåtkomst, meddelandehantering och ip-telefoni samt samtliga uppgifter om samtal som inte kopplas fram på grund av tekniskt fel eller dylikt (däribland uppringande och uppringt nummer eller användarnamn, tid, utrustning och position). Därtill ska några rena lokal- iseringsuppgifter, dvs. positioner som inte är kopplade till kommunikation, inte lagras. Det är således långt ifrån samtliga trafik- och lokaliserings- uppgifter som omfattas av lagringsskyldigheten.

Även om det inte har någon bäring på vad som utgör trafik- och lokaliseringsuppgifter enligt direktiv 2002/58, kan det också noteras att kommunikationsmönstren på senare tid alltmer har övergått till sådana tjänster som inte ger upphov till någon lagringsskyldighet hos operatörerna, dvs. till tjänster som inte tillhandahålls av en lagringsskyldig operatör utan av andra tjänsteleverantörer som t.ex. Apple I-message och Facetime, Facebook Messenger, Skype, G-mail och Hotmail. Lagrings- skyldigheten omfattar inte heller uppgifter om samtal med annat än vanliga telefonnummer, t.ex. appar som möjliggör samtal med användarnamn. Lagringsskyldigheten omfattar inte heller t.ex. webbplatsbesök (surfning), sökningar med sökmotorer, onlinespel eller uppgifter om filöverföring med hjälp av filöverföringsprotokoll (File Transfer Protocol, FTP).

Trots att det alltså är långt ifrån samtliga trafik- och lokaliserings- uppgifter som omfattas av lagringsskyldigheten, innebär den svenska lagstiftningens utformning en alltför omfattande lagringsskyldighet. Det är således inte möjligt att lämna de svenska lagringsreglerna oförändrade som vissa remissinstanser förespråkar. Däremot anser regeringen att EU- domstolens slutsatser bör kunna tolkas i ljuset av tolkningsfrågorna och

Prop. 2018/19:86

29

30

Lagringens omfattning behöver begränsas

Av Tele2-domens domslut framgår att EU-rätten hindrar en nationell lagstiftning som i brottsbekämpande syfte föreskriver en generell och odifferentierad lagring av samtliga trafikuppgifter och lokaliserings- uppgifter avseende samtliga abonnenter och registrerade användare och samtliga elektroniska kommunikationsmedel.

I domskälen motsvaras denna slutsats av det resonemang som domstolen för i punkterna 97–107 och som handlar om generell lagring. EU- domstolen resonerar här kring den svenska lagstiftningen om datalagring och konstaterar att den föreskriver en generell och odifferentierad lagring av samtliga trafikuppgifter och lokaliseringsuppgifter för samtliga abonnenter och registrerade användare avseende samtliga elektroniska kommunikationsmedel och ålägger leverantörer av elektroniska kom- munikationstjänster att systematiskt och kontinuerligt lagra dessa uppgifter, utan undantag. Därefter konstaterar EU-domstolen att denna mängd av uppgifter gör det möjligt att dra mycket precisa slutsatser om privatlivet för de personer vilkas uppgifter har lagrats. EU-domstolens slutsats är att en sådan lagstiftning utgör ingrepp i de rättigheter som följer av EU:s rättighetsstadga och att därför endast grov brottslighet kan motivera lagring. Dock kan inte ens grov brottslighet i sig ensamt motivera en generell och odifferentierad lagring av samtliga trafikuppgifter och lokaliseringsuppgifter. Vid beskrivningen av den svenska lagstiftningen konstaterar domstolen att lagringen på ett allomfattande sätt berör samtliga personer som använder elektroniska kommunikationstjänster, utan att dessa personer ens indirekt befinner sig i en situation som kan föranleda lagföring och att lagringen inte är begränsad till tid, geografiskt område eller krets av personer.

Domstolens slutsats är att den svenska lagringen överskrider gränsen för vad som är strängt nödvändigt och därför står i strid med artikel 15.1 i direktiv 2002/58 jämförd med artiklarna 7, 8, 11 och 52.1 i EU:s rättighetsstadga. Denna slutsats är också den som finns i domslutet.

Domstolen resonerar kring hur en möjlig nationell lagstiftning angående datalagring skulle kunna se ut. Resonemanget i denna del handlar om s.k. riktad lagring. Det anförs här att riktad lagring, vad gäller vilka slags uppgifter som ska lagras, vilka kommunikationsmedel som avses, vilka personer som berörs och hur länge lagringen ska ske, måste begränsas till vad som är strängt nödvändigt (punkt 108). För att uppfylla kraven behöver den nationella lagstiftningen föreskriva tydliga och precisa bestämmelser som reglerar omfattningen och tillämpligheten av en lagringsåtgärd och som slår fast minimikrav, så att de personer vars uppgifter lagrats har garantier som möjliggör ett effektivt skydd av deras personuppgifter mot riskerna för missbruk (punkt 109). Även om villkoren kan variera utifrån vilka åtgärder som vidtas för att förebygga, undersöka, avslöja och väcka åtal för grov brottslighet, måste lagringen alltid uppfylla objektiva kriterier som fastställer ett samband mellan de uppgifter som ska lagras och det eftersträvade syftet. Enligt domstolen behöver villkoren

vara sådana att de klart avgränsar åtgärdens omfattning och följaktligen den berörda personkretsen (punkt 110). När det gäller den berörda personkretsen och de situationer som det kan handla om uttalar domstolen att den nationella lagstiftningen ska grunda sig på objektiva omständig- heter som gör det möjligt att ta sikte på en personkrets vars uppgifter kan avslöja en åtminstone indirekt koppling till grov brottslighet och på ett eller på annat sätt bidra till att bekämpa grov brottslighet eller förhindra en allvarlig risk för den allmänna säkerheten. En sådan avgränsning skulle, enligt domstolen, kunna säkerställas genom att lagring sker inom särskilt brottsutsatta geografiska områden (punkt 111).

Några remissinstanser, t.ex. Bahnhof AB, Föreningen för Digitala fri- och rättigheter och Dataskydd.net, anför att endast en riktad lagring skulle vara förenlig med EU-rätten eftersom EU-domstolen i Tele2-domen uttalat att villkoren för den nationella lagringen måste vara sådana att de klart avgränsar åtgärdens omfattning och följaktligen den berörda personkretsen. Svea hovrätt anser att utredningens resonemang om att domstolens skrivningar om riktad lagring endast är ett exempel på en tillåten lagringsform, är EU-rättsligt främmande. Enligt regeringen är dock domstolens skrivningar om riktad lagring, som bl.a. Åklagarmyndigheten anför, just att se som en möjlig form av lagring. Att på angivet sätt dra slutsatser om tolkningen av en dom från EU-domstolen är inget främmande utan väl förenligt med hur den nationella lagstiftaren förutsätts verka inom ramen för EU-rätten. Uttalandena om avgränsning av den berörda personkretsen, t.ex. genom ett geografiskt kriterium, tar, enligt regeringens uppfattning, sikte på denna riktade lagring och således inte generellt på hur nationell lagstiftning om lagring måste vara utformad.

I detta sammanhang kan det vidare noteras att EU-domstolen efter Tele2-domen i en näraliggande fråga har accepterat att lagring som sker i brottsbekämpande syfte av flygbolags passageraruppgifter omfattar samtliga flygpassagerare och således inte är riktad till sådana passagerare om vilka det förelåg någon misstanke att de kunde hota den allmänna säkerheten (EU-domstolens yttrande 1/15, den 26 juli 2017 punkterna 41, 186 och 189). I yttrandet konstaterar domstolen att behandlingen av samtliga passagerares personuppgifter syftar till att identifiera den risk för säkerheten som vissa personer skulle utgöra, vilket inte vid lagringen är känt för myndigheterna. Att utesluta vissa personer eller vissa ursprungs- områden skulle, enligt domstolen, kunna utgöra hinder för uppnåendet av ändamålet med behandlingen av uppgifterna, nämligen identifieringen bland samtliga passagerare av de personer som kan utgöra risk för den allmänna säkerheten, och skulle kunna göra det möjligt att kringgå kontrollen. Trots att yttrandet endast tar sikte på registrering av passageraruppgifter och således inte avser samma situation som lagring av uppgifter om elektronisk kommunikation, anser regeringen att EU- domstolens övergripande resonemang i yttrandet även kan vara av visst intresse för lagring av uppgifter om elektronisk kommunikation i brottsbekämpande syfte. Om lagringen skulle riktas mot vissa i förväg utpekade personkretsar eller geografiska områden skulle nämligen syftet med lagringen kunna förfelas eftersom det inte på förhand går att veta av vem, var eller när ett brott kommer att begås.

Vid sitt konstaterande att den svenska regleringen avseende datalagring inte är förenlig med EU:s rättighetsstadga betonar EU-domstolen i Tele2-

Prop. 2018/19:86

31

32

Datalagringsutredningen (SOU 2015:31), som kom med sitt betänkande efter Digital Rights-domen men före Tele2-domen, bedömde att det inte behövde göras några förändringar av lagringsskyldighetens omfattning. Med anledning av Tele2-domens uttalanden gällande den svenska regleringen får denna bedömning anses ha förlorat sin aktualitet. Regeringen redogör därför inte särskilt för de remissvar som kommit in med anledning av Datalagringsutredningens bedömning i denna fråga.

En riktad lagring bör inte införas

Som framgår ovan har EU-domstolen uttalat sig om riktad lagring som en möjlig form av lagring. Riktad lagring innebär en situationsanpassad förebyggande lagring av uppgifter hänförliga till vissa personer, nummer, kommunikationsutrustningar eller platser. Frågan är om en sådan lagring bör införas i Sverige. Utredningen kommer fram till att en riktad lagring skulle vara till ringa nytta för de brottsbekämpande myndigheterna och lämnar därför inget förslag på en sådan lagring. Denna bedömning får stöd från flera remissinstanser, bl.a. Åklagarmyndigheten, Säkerhetspolisen, Tullverket, Stockholms tingsrätt och Rädda barnen. Andra remiss- instanser, t.ex. Datainspektionen, Svea hovrätt, IT&Telekomföretagen, Bahnhof AB och Civil Rights Defenders, anser dock att frågan om riktad lagring behöver belysas och övervägas närmare och efterlyser en mer ingående analys av förutsättningarna att införa ett system med riktad lagring.

Vid analysen av denna fråga måste nyttan och behovet av en riktad lagring vägas mot intrånget för de berörda personerna.

När det gäller nyttan och behovet av en riktad lagring kan det konstateras att det är komplicerat att med någon större precision i förväg veta hur man ska rikta lagringen. Det är t.ex. svårt att veta vilka som kan komma att begå olaga hot över internet, barnpornografibrott eller misshandel. När det

gäller den brottsbekämpande verksamheten syftar datalagring framför allt till att i efterhand, när ett brott har begåtts, kunna få ta del av information som t.ex. kan klarlägga händelser som anknyter såväl till själva brotts- tillfället som till planläggningen och flykten från brottsplatsen. Dessa uppgifter syftar bl.a. till att kunna ta reda på vem eller vilka som kan misstänkas för brottet eller för att kunna avföra sådana misstankar. Att i förväg ringa in vissa personer eller vissa områden skulle alltså, som framhålls i det föregående, innebära en påtaglig risk för att ändamålet med lagringen skulle hindras, eftersom det inte på förhand går att veta av vem, var eller när ett brott kommer att begås.

När det gäller frågan om riktad lagring gentemot vissa personer har Europadomstolen i ett mål om bl.a. avlyssning av mängddata (eng. bulk interception) i underrättelseverksamhet, gjort vissa uttalanden som också kan vara relevanta i detta sammanhang. Europadomstolen ansåg i målet att det inte är lämpligt att kräva att det ska finnas en viss misstankegrad (eng. reasonable suspicion) mot de personer som information får hämtas från, något som klagandena hade gjort gällande borde införas. Domstolen uttalade att det vore fel att automatiskt förutsätta att avlyssning av mängddata skulle innebära ett större intrång i privatlivet än en riktad avlyssning mot misstänkta personer, eftersom den senare till sin natur mer sannolikt skulle resultera i inhämtning och undersökning av stora mängder data gällande den ifrågavarande personens kommunikationer. Avlyssning av mängddata är också per definition inte riktad, och att kräva att det ska finnas en viss misstankegrad gentemot den avlyssnade skulle, enligt domstolen, omöjliggöra ett sådant system (Big Brother Watch m.fl. mot Förenade Kungariket, 13 september 2018, mål nr 58170/13, 62322/14 och 24960/15, punkterna 316–317). Europadomstolen beslutade den 4 februari 2019 att målet – som rör en rad olika frågor om avlyssning och inhämtning av mängddata – ska prövas i stor sammansättning (eng. Grand Chamber).

När det gäller en riktad lagring som begränsar sig till vissa geografiska områden skulle det innebära att förutsättningarna för att lösa allvarlig brottslighet blir olika för olika delar av landet, vilket skulle vara mycket problematiskt. Att införa ett regelverk som får till följd att allvarliga brott skulle bli väsentligt svårare, och i vissa fall kanske omöjliga, att klara upp beroende på var själva brottet begicks eller planerades är enligt regeringens mening oacceptabelt. Det skulle också kunna innebära att viss brottslighet anpassar sig till detta och förläggs på en plats där lagring inte sker i syfte att förhindra eller försvåra upptäckt. En geografisk avgränsning är också problematisk vid sådan brottslighet som inte kan sägas vara kopplad till geografiska förhållanden överhuvudtaget, t.ex. internet- relaterad brottslighet. I vissa fall kan det dock vara så att brottsrisken ökar i ett visst område vid speciella händelser, t.ex. vid statsbesök, högnivå- möten eller större evenemang som innebär att många människor samlas på en och samma plats. I sådana fall skulle man kunna tänka sig en riktad lagring kring den plats där mötet eller evenemanget ska äga rum. Dock är värdet av en sådan lagring inte särskilt stort. Både underrättelse- verksamheten och – i värsta fall – förundersökningsverksamheten avseende sådan brottslighet måste rikta sig mot betydligt större områden än själva attentatsplatsen. Planering och kontakter mellan gärningsmän

Prop. 2018/19:86

33

borttagandet av lagring gällande fast telefoni, inklusive ip-telefoni, kommer att leda till negativa konsekvenser för brottsbekämpningen. Polismyndigheten anser att om man gör skillnad på fast och mobil telefon respektive fasta och mobila anslutningspunkter riskerar det föra med sig svårigheter att rekonstruera en trafikväg men också att kunna knyta en person till en viss plats vid en viss tid. Säkerhetspolisen påpekar att det kan innebära svåra gränsdragningar mellan vad som är en fast respektive en mobil anslutningspunkt. Ip-telefoni kan t.ex. användas från såväl fast telefon som mobiltelefon. Hi3G Access AB är inne på samma linje och avstyrker därför förslaget eftersom det skulle göra regleringen mindre teknikneutral och inte beakta den konvergens mellan fast och mobil telefoni som pågått ett antal år och som kommer öka ytterligare framöver. Även Göteborgs tingsrätt ifrågasätter om förslaget främjar ett långsiktigt och hållbart regelverk eftersom teknikutvecklingen innebär att gränsen mellan fast och mobil anslutningspunkt alltmer kommer att suddas ut.

Hi3G Access AB anser att förslaget att ta bort lagringen av vissa uppgifter vid samtal och meddelanden, bl.a. uppgifter om vidarekoppling, om vilken tjänst som använts samt datum och spårbar tid för på- och avloggning i tjänsten, innebär att lagstiftningen blir mer proportionerlig. Åklagarmyndigheten, Säkerhetspolisen, Tullverket, Ecpat Sverige och Rädda barnen anser att uppgift om lokalisering vid meddelandehantering såsom sms, också måste anses vara en sådan uppgift som är strängt nödvändig att lagra. Dessa uppgifter är minst lika viktiga som lokaliseringsuppgifter vid samtal.

Åklagarmyndigheten, Polismyndigheten, Säkerhetspolisen, Tullverket, Ecpat Sverige, Rädda Barnen, IFPI Sverige, Rättighetsalliansen, Dataspelsbranschen, Sveriges Biografägareförbund, Musikförläggarna, Sveriges filmuthyrareförening, Film- och TV-branschens samarbets- kommitté och Sveriges Videodistributörers förening välkomnar förslaget om att möjliggöra identifiering av slutanvändare vid internetåtkomst genom s.k. NAT-teknik. Åklagarmyndigheten anser att förslaget innebär en ändamålsenlig uppdatering och att reglerna blir teknikneutrala. Genom förslaget motverkas den tilltagande anonymiseringen på internet som kriminella personer på senare år i ökad utsträckning har kunnat dölja sig bakom. Ecpat Sverige betonar problemet med NAT-tekniken i ärenden om sexuella övergrepp mot barn och att polisen i dag har mycket svårt att identifiera slutanvändaren i dessa fall. Även Hi3G Access AB är positiv till förslaget eftersom det är viktigt att de uppgifter som måste lagras också faktiskt kan användas för att bekämpa brott. Post- och Telestyrelsen (PTS) ser positivt på en reglering som möter problematiken med att det i dag är valet av teknisk lösning som avgör om det går att spåra källan till en kommunikation på internet. PTS påpekar dock att mängden uppgifter som lagras kommer att öka betydligt för de operatörer som använder NAT- teknik. Ur ett integritetsperspektiv kan denna lagring vara känslig eftersom uppgifter om varje internetsession i praktiken kommer att behöva lagras. Netnod Internet Exchange i Sverige AB, RISE SICS AB, Telia AB, Svenska stadsnätsföreningen, Dataskydd.net, Colt Technology Services AB och The Business Carrier Coalition (BCC) anför att förslaget om att NAT- adresser ska lagras kommer innebära att mycket stor mängd data kommer att behöva lagras. Mot bakgrund av osäkerheten kring förslagets fören- lighet med EU-rätten bör en kraftigt utökad lagring inte införas. Umeå

Prop. 2018/19:86

37

Prop. 2018/19:86

38

universitet (Juridiska institutionen) anser att det är olämpligt att utvidga lagringsskyldigheten gällande NAT-tekniken. Skrivningen möjliggör en långtgående lagringsskyldighet och delegation av normgivningsmakt på ett område som påtagligt påverkar individens rättighetsskydd. Data- inspektionen anser att det är oklart hur förslaget om att internetåtkomst ska vara teknikneutralt kommer att påverka anonymiseringstjänster och VPN- tunnlar som tillhandahålls av operatörerna. Inspektionen anför att det är oklart hur långtgående effekten av en sådan bestämmelse kan bli.

Skälen för regeringens förslag och bedömning

Lagringsskyldighetens rättsliga struktur

Som framgår i föregående avsnitt anser regeringen, i likhet med utredningen, att nuvarande modell för lagringsskyldigheten bör anpassas för telefonitjänst, meddelandehantering och internetåtkomst genom att vissa uppgiftsslag inom dessa kategorier tas bort från lagrings- skyldigheten. Samtidigt bör lagringstiderna differentieras utifrån skillnader i behov och uppgifternas integritetskänslighet, vilket regeringen återkommer till i avsnitt 5.4. Innan regeringen går in på vilka förändringar som nu bör göras i regelverket bör det dock inledningsvis betonas att området för elektronisk kommunikation är i ständig förändring med nya kommunikationstjänster som tillkommer samtidigt som andra tjänster försvinner eller används mindre. Dessa nya tjänster leder till nya kommunikationsmönster hos användarna. Det leder i sin tur till att bedömningen av vad som är strängt nödvändigt att lagra kan förändras över tid. Det är alltså nödvändigt att utvärdera regelverket kring lagringsskyldigheten i takt med sådana förändringar, dels för att enskilda inte ska utsättas för lagring som inte längre är strängt nödvändig, dels för att de brottsbekämpande myndigheterna måste kunna bibehålla sin brottsutredande förmåga även när tekniken utvecklas. Som framgår i avsnitt 10 anser regeringen därför att regelverket bör ses över senast inom fyra år från ikraftträdandet av nu föreslagna ändringar.

Enligt 2 kap. 6 § andra stycket regeringsformen är var och en gentemot det allmänna skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Inskränkningar genom lag är tillåtna enligt de förutsättningar som anges i 2 kap. 20–22 §§ regerings- formen. Det innebär bl.a. att en begränsning av rätten till skydd för den personliga integriteten är tillåten endast under förutsättning att den tillgodoser ett ändamål som är godtagbart i ett demokratiskt samhälle. Det innebär också att en begränsning inte får gå utöver vad som är nödvändigt med hänsyn till det ändamål som har föranlett den eller sträcka sig så långt att den utgör ett hot mot den fria åsiktsbildningen.

Lagringsskyldighetens omfattning anges i lagen om elektronisk kommunikation (6 kap. 16 a §), medan den tekniska beskrivningen av vad som ska lagras anges i förordningen om elektronisk kommunikation (39– 43 §§). Förhållandet mellan vad som med hänsyn till integritetsintrånget bör regleras i lag respektive i förordning var föremål för överväganden i samband med att datalagringsbestämmelserna infördes (prop. 2010/11:46

s.19–20 och 28). Regeringen bedömde att principen bör vara att lagringsskyldighetens omfattning bör regleras i lag, men däremot inte den

mer tekniska specifikationen av lagringskravet, som i stället kunde regleras i förordning. I lagen anges därför vilka teknikområden som omfattas av lagringsskyldigheten, t.ex. telefonitjänst, och ändamålet med lagringen, t.ex. identifiera eller spåra en kommunikationskälla. Den tekniska beskrivningen av vad som ska lagras anges genom verkställig- hetsföreskrifter i förordning. Denna ordning bedömdes vid införandet av datalagringsbestämmelserna vara förenlig med regeringsformens skydd av den personliga integriteten. Regeringen gör inte någon annan bedömning nu.

Utredningen anser att samtliga författningsändringar som behöver göras med anledning av att vissa uppgiftskategorier inte längre bör omfattas av lagringsskyldigheten bör göras i förordningen om elektronisk kom- munikation. För att lagringsskyldighetens ramar även fortsättningsvis ska framgå av lag gör emellertid regeringen bedömningen att vissa av de ändringar som utredningen föreslår bör göras i lagen om elektronisk kommunikation. Det gäller t.ex. den föreslagna ändringen om att kommunikation som sker helt i det fasta nätet ska tas bort från lagrings- skyldigheten, vilket innebär att 6 kap. 16 a § lagen om elektronisk kommunikation bör ändras så att det av lagen framgår att det endast är telefonitjänst och meddelandehantering via mobil nätanslutningspunkt som får lagras framöver (se mer nedan). I likhet med vad som är fallet i dag kan emellertid de mer detaljerade specifikationerna av lagringskravet även fortsättningsvis göras i förordning. Den författningsmässiga struk- turen, där riksdagen beslutar ramarna för datalagringen och regeringen den mer exakta utformningen, bör således behållas. Regeringen redogör nedan närmare för lagringens föreslagna omfattning vad gäller dels telefonitjänst och meddelandehantering, dels internetåtkomst.

Telefonitjänst och meddelandehantering

Enligt 6 kap. 16 a § lagen om elektronisk kommunikation ska uppgifter som genereras eller behandlas vid telefonitjänst och meddelandehantering lagras. Utredningen föreslår att endast uppgifter om kommunikation via en mobil nätanslutningspunkt bör lagras framöver. Det betyder att det inte lagras några uppgifter om telefonitjänster eller meddelandehantering som sker helt inom det fasta telefonnätet eller genom fasta internetanslutningar enligt datalagringsreglerna. Om någon av parterna kommunicerar via en mobil nätanslutningspunkt bör däremot information lagras, men bara hos den partens operatör. Regeringen delar utredningens bedömning i denna del. Såsom flera av de brottsbekämpande myndigheterna – t.ex. Ekobrotts- myndigheten, Polismyndigheten, Skatteverket och Tullverket – påpekar kommer borttagandet av lagring gällande den s.k. fasta telefonin påverka statens möjligheter att utreda allvarlig brottslighet. Samtidigt kan det konstateras att det av tidigare analyser framgår att det nästan uteslutande är uppgifter hänförliga till mobiltelefontrafik som inhämtas (se t.ex. SOU 2015:31 s. 215, 253 och 262 och SOU 2012:44 s. 389, 447–448, 462 och 514). Enligt de brottskämpande myndigheterna är denna bild fortfarande korrekt, även om det också förekommer inhämtning från det fasta nätet. Mot denna bakgrund framstår det inte som strängt nödvändigt att lagra telefoni- och meddelandeuppgifter hänförliga till annat än tjänster via en mobil nätanslutningspunkt. Härtill kommer att den fasta telefonin typiskt

Prop. 2018/19:86

39

som inte omfattar uppgift om vem som kontaktat vem och när är emellertid utesluten, eftersom det är just den informationen som över huvud taget motiverar en lagringsskyldighet. I likhet med utredningen anser regeringen därför att dessa uppgifter alltjämt bör lagras.

Utredningen bedömer dock att det nummer som ett samtal styrts till (dvs. vidarekopplade samtal) bör tas bort från lagringsskyldigheten. Regeringen delar denna bedömning. Även om uppgifterna i vissa fall kan bidra till brottsbekämpningen har det inte framkommit något omfattande behov av att veta vilket nummer ett samtal vidarekopplats till. Uppgifterna bör därför inte längre omfattas av lagringsskyldigheten. I enlighet med vad Lagrådet föreslår bör detta återspeglas i lagtexten genom att det i ett nytt tredje stycke i 6 kap. 16 a § lagen om elektronisk kommunikation före- skrivs att för telefonitjänst ska lagringsskyldigheten inte gälla uppgift om nummer som ett samtal styrts till.

Lagringsskyldigheten enligt 6 kap. 16 a § första stycket lagen om elektronisk kommunikation omfattar vidare lokalisering av mobil kommunikationsutrustning vid kommunikationens början och slut. När det gäller nyttan av lokaliseringsuppgifter är det naturligtvis av stort intresse att få information om kommunikation som skett i anslutning till en känd brottsplats och brottstidpunkt, vilket kräver att positionen för kommunika- tionen är lagrad. Denna information kan fås genom basstationstömningar. Genom att på så sätt få information om på vilka platser en okänd innehavare av en telefon har kommunicerat är det också möjligt att med hjälp av t.ex. bilder från övervakningskameror på dessa platser identifiera innehavaren. Lokaliseringsuppgifter är också nödvändiga för att kunna analysera såväl kända som okända gärningsmäns rörelsemönster. Det är också ett sätt att bekräfta eller vederlägga andra källors uppgifter. Kartläggningen av misstänktas rörelser före, under och efter ett allvarligt brott gör att brottsutredarna kan få information om bl.a. förberedelser och flyktvägar och hur andra tvångsmedel kan användas, t.ex. var spaning eller husrannsakan ska genomföras. Lokaliseringsuppgifter används även för att bedöma om den misstänkte har haft möjlighet att utföra gärningen och om personen befunnit sig på andra platser som kan kopplas till brottet, t.ex. där en flyktbil stals eller ett vapen inhandlades, eller till någon person av speciellt intresse.

Lokaliseringsuppgifter vid kommunikation utgör en mycket viktig pusselbit vid analysen av en misstänkts kommunikation. En uppgift om att A ringt B är t.ex. betydligt mindre värd än en uppgift om att A ringde B just när A var på en specifik plats och B på en annan plats. Det kan alltså sägas att lokaliseringsuppgifter bidrar till att öka nyttan av övriga uppgifter och således gör lagringen av dessa uppgifter mer proportionerlig. Lokaliseringsuppgifter är emellertid generellt sett tämligen integritets- känsliga. Som EU-domstolen nämner i Tele2-domen, kan man dra mycket precisa slutsatser om personers geografiska förflyttningar och därmed om privatlivet för de personer vars uppgifter lagras. Det är emellertid det som gör lokaliseringsuppgifter till ett välanvänt och extremt värdefullt verktyg, både i den vanliga brottsbekämpande verksamheten och i underrättelse- verksamheten. Sammanfattningsvis bedömer regeringen, i likhet med utredningen, det som strängt nödvändigt att lagringsskyldigheten även i fortsättningen ska omfatta lokaliseringsuppgifter. Någon lagring under en

Prop. 2018/19:86

41

42

Åklagarmyndigheten, Säkerhetspolisen, Tullverket, Ecpat Sverige och Rädda barnen påpekar att det i förordningen om elektronisk kommunika- tion inte finns någon skyldighet att lagra uppgifter om lokalisering vid meddelandehantering (såsom sms) och anser att sådana uppgifter bör lagras framöver. Som remissinstanserna påpekar finns det för de brotts- bekämpande myndigheterna ett minst lika stort behov av att få del av uppgifter om lokalisering vid meddelandehantering som vid telefoni; det är t.ex. vanligt att sms används som det enda kommunikationssättet mellan gärningsmän vid allvarlig brottslig verksamhet. Som remissinstanserna framhåller är det, enligt de ramar som 6 kap. 16 a § lagen om elektronisk kommunikation ställer upp, möjligt att i förordning föreskriva en sådan lagringsskyldighet. Regeringen har för avsikt att närmare överväga en sådan ordning.

Det kan också noteras att lagstiftningens ramar medger lagring av uppgifter om första aktiveringen av förbetalda anonyma tjänster (oregistrerade kontantkort). Det bör vara fallet även fortsättningsvis. Det blir nämligen allt vanligare att personer använder sig av anonyma kontantkort som aktiveras innan ett grovt brott ska begås. En analys av vilka av de kontantkortsabonnemang som kan kopplas till en brottsplats och som nyligen har aktiverats kan därför ge en bild av vilka telefoner som är särskilt intressanta. Första aktiveringen kan ge indikationer om inköpsställe eller bostadsort, som i sin tur kan leda till identifiering av innehavaren. Vidare används uppgifterna ofta i det inledande skedet av vissa utredningar och när andra spaningsuppslag saknas. Uppgifterna kan också användas för att hitta bomber som kan fjärraktiveras genom elektronisk kommunikation (SOU 2015:31 s. 164–165). Uppgifterna bedöms inte som särskilt integritetskänsliga eftersom de avser anonyma tjänster och avslöjar mycket lite om personens övriga kommunikation, aktiviteter eller privatliv.

Slutligen omfattar lagringsskyldigheten enligt 6 kap. 16 a § andra stycket lagen om elektronisk kommunikation även misslyckade upp- ringningar, dvs. obesvarade samtal. Regeringen delar utredningens bedömning att denna lagringsskyldighet bör gälla även framöver. Som utredningen konstaterar bör lagringsskyldigheten inte vara beroende av om den uppringda parten svarar eller inte. Ett försök att kontakta någon kan betyda lika mycket som att personerna har haft kontakt med varandra. Obesvarade samtal används dessutom för att meddela medgärningsmän förutbestämd information, t.ex. att en målsägande är på plats eller att gärningen eller en förberedelse är utförd (SOU 2007:76 s. 159). På liknande sätt kan de användas som koder mellan en underrättelseofficer och en agent. Det bedöms därför som strängt nödvändigt att uppgifter om misslyckade uppringningar ska omfattas av lagringsskyldigheten. Lagringsskyldigheten bör dock, liksom hittills, inte omfatta samtal som inte kopplas fram, t.ex. på grund av tekniskt fel.

Internetåtkomst

Enligt 6 kap. 16 a § andra stycket lagen om elektronisk kommunikation ska uppgifter som genereras eller behandlas vid internetåtkomst lagras. I

likhet med vad som gäller för telefonitjänst och meddelandehantering omfattar lagringsskyldigheten uppgifter som är nödvändiga för att spåra och identifiera kommunikationskällan. Vid internetåtkomst är det alltså enligt lagen möjligt att lagra uppgifter som gör det möjligt att identifiera abonnenten eller den registrerade användaren, t.ex. ip-adress och andra tekniska uppgifter som är nödvändiga för identifiering av abonnenten eller den registrerade användaren. För utredningen av brott begångna över internet är sådana uppgifter om abonnemang (se vidare avsnitt 7), dvs. vilken person som innehar en specifik ip-adress eller annan unik användaradress vid varje tillfälle, den absolut viktigaste informationen. Denna information är nödvändig för att kunna få fram identiteten på den som över internet t.ex. tillgängliggör barnpornografi eller upphovs- rättsskyddat material, säljer narkotika och vapen, hotar och förtalar, tar kontakt med barn i sexuellt syfte eller gör dataintrång och andra digitala attacker mot privatpersoner, företag eller myndigheter. Uppgifterna är också viktiga för att kunna identifiera dem som använder internet för att kommunicera med t.ex. medgärningsmän eller sin underrättelseofficer eller för att rekrytera andra till terrorism. Som anförs i avsnitt 5.2 ökar internetbrottsligheten och därmed behovet av verktyg för brotts- bekämpningen på denna arena i takt med att fler och fler använder internet och användningsområdet för internet utökas. Nyttan av uppgifterna är således mycket stor. Det saknas dessutom i praktiken ofta andra möjligheter att identifiera en aktör på internet än genom uppgift om ip- adress i kombination med andra uppgifter om abonnemang. Även behovet av uppgifterna är således påtagligt. Uppgifter om abonnemang för internet utgörs i princip av uppgift om vilken abonnent som vid varje tidpunkt var användare av en specifik ip-adress. Som framgår i avsnitt 7 bedöms dessa uppgifter inte som särskilt integritetskänsliga, eftersom de endast anger att ett abonnemang någon gång har getts internetåtkomst. Men med hjälp av uppgifterna går det att sammankoppla en fysisk person med de eventuella avtryck som användaren har lämnat efter sig vid besök på webben eller andra delar av internet, vilket gör uppgifterna mer integritetskänsliga. Vid bedömningen av hur integritetskänsliga uppgifterna är bör det emellertid beaktas att det huvudsakligen är dynamiska ip-adresser som används, åtminstone av privatpersoner. Det innebär att en ensam uppgift om vilken abonnent som använt en viss ip-adress bara gör det möjligt att sammankoppla abonnenten med avtryck på internet under en begränsad tid. Ska man kunna följa en abonnents internetanvändning krävs således, förutom tillgång till digitala avtryck, även tillgång till en stor mängd uppgifter om abonnemang. Det bör också påpekas att inga uppgifter om t.ex. besök på webbplatser omfattas av lagringsskyldigheten. Sådana uppgifter är operatörerna skyldiga att förstöra, om de inte behöver dem för vissa egna ändamål. Tillgång till endast de uppgifter som ska lagras enligt datalagringsreglerna kan således aldrig innebära att det kan kartläggas hur en person har trafikerat internet.

För att de brottsbekämpande myndigheterna ska kunna bekämpa brott som begåtts eller planlagts över internet bedömer regeringen, i likhet med utredningen, att det i enlighet med vad som anförs ovan är strängt nödvändigt att lagra sådana uppgifter som gör att det vid internetåtkomst går att spåra och identifiera kommunikationskällan, såsom uppgift om ip- adress och uppgift om abonnent och registrerad användare. Nyttan och

Prop. 2018/19:86

43

på att en användare med en viss ip-adress vid en viss tidpunkt har kontaktat barn i sexuellt syfte kan polisen, genom att bl.a. ip-adress och tidsuppgift lagras, få information om vilken abonnent som använt ip-adressen vid just den tidpunkten. Precis som vid telefonitjänst och meddelandehantering blir uppgiften om internetåtkomst betydligt mindre värdefull om det inte finns någon tid kopplad till den.

För mobil uppkoppling blir tidsuppgifterna särskilt viktiga. Eftersom utrustningen kopplar upp sig direkt mot en cell (mast) lagras en lokaliseringsuppgift vid internetåtkomsten, se strax nedan. För att den lokaliseringsuppgiften ska medföra någon större nytta krävs att det finns en tidsuppgift kopplad till den. Det är också nödvändigt för att uppgiften ska vara tillgänglig vid en basstationstömning. Då begärs det ut uppgifter om vilka uppkopplingar som gjorts mot en viss cell under en specifik tidsperiod.

Av vad som framkommit är nyttan av tidsuppgifter för på- och avloggning i tjänsten som ger internetåtkomst mycket stor. Utan uppgifter om tid blir den övriga lagringen av uppgifter om internetåtkomst betydligt mindre värdefull. Sedda för sig själva är uppgifterna inte särskilt integritetskänsliga, eftersom de inte ger någon information om hur användaren har använt internet, utan endast om vilken tid som abonnenten haft internetåtkomst. Informationen kan visserligen säga något om en persons kommunikationsmönster och uppgifterna är i viss mån integritets- känsliga eftersom de tillsammans med annan information möjliggör att en ip-adress kan sammankopplas med en abonnent. I likhet med utredningen bedömer regeringen – vid en sammantagen bedömning av nyttan av uppgifterna och det begränsade integritetsintrång som lagringen av uppgifterna innebär – dock att det är strängt nödvändigt att lagrings- skyldigheten även fortsättningsvis omfattar uppgifterna i fråga.

Vidare omfattar lagringsskyldigheten i 6 kap. 16 a § första stycket lagen om elektronisk kommunikation uppgifter som är nödvändiga för att spåra och identifiera kommunikationskällan och kommunikationsutrustning. Vid internetåtkomst avses i detta sammanhang t.ex. uppgifter som identifierar utrustningen där kommunikationen slutligt avskiljs. Denna utrustning är den sista punkten som den lagringsskyldige ansvarar för. Om den som slutligt avskiljer kommunikationen till den enskilda abonnenten inte är lagringsskyldig lagras i stället uppgifter som identifierar utrustningen vid den punkt där kommunikationen avskiljs till den som slutligt avskiljer kommunikationen till den enskilda abonnenten. Här handlar det alltså om punkten mellan å ena sidan det sista i kedjan av nät som ägs av någon som omfattas av lagringsskyldigheten och å andra sidan ett nät som inte omfattas av lagringsskyldigheten. Uppgifterna är viktiga för att kunna hitta den geografiska plats som användaren kommunicerar från. Eftersom det blir allt vanligare med samtals- och meddelande- kommunikation genom appar och tjänster från leverantörer som inte omfattas av lagringsskyldigheten är uppgifterna hänförliga till internet- åtkomst ännu viktigare än tidigare. Uppgifterna används också för att säkra uppgifter om hela kommunikationskedjan. Det är inte ovanligt att kommunikationskedjans sista del är ett nät som inte omfattas av lagringsskyldigheten, t.ex. en bostadsrättsförenings egna nät. De punkter där kommunikationen avskiljs är viktiga att få information om för att kunna gå till nätägaren för att få ytterligare uppgifter som kan leda fram

Prop. 2018/19:86

45

46

Sammanfattningsvis är uppgifterna i många fall nödvändiga för att hitta rätt slutanvändare. De är också nyttiga för att de gör bestämmelserna om lagring av kommunikation mer teknikneutrala och anpassade till dagens teknik och användning av kommunikationstjänster. Samtidigt innebär uppgifterna, i vart fall vid mobil internetåtkomst, ett relativt stort integritetsintrång, eftersom de i praktiken utgör lokaliseringsuppgifter. Intrånget är emellertid mindre än vid telefonitjänst och meddelande- hantering, eftersom det inte finns någon korresponderande uppgift om t.ex. vem som personen kommunicerat med eller när kommunikationen ägt rum. Vid en sammantagen bedömning anser regeringen, i likhet med utredningen, att det är strängt nödvändigt att uppgifterna lagras.

Enligt 6 kap. 16 a § lagen om elektronisk kommunikation ska uppgifter som genereras eller behandlas vid tillhandahållande av kapacitet för att få internetåtkomst (anslutningsform) lagras. Utredningen bedömer att denna lagringsskyldighet bör tas bort. Information om kapacitet för överföring vid internetåtkomst har i jämförelse med andra uppgifter värderats lägre av de brottsbekämpande myndigheterna. Som skäl för att behålla lagrings- skyldigheten för uppgifterna har angetts att uppgifterna ger information om huruvida anslutningsformen är fast eller mobil, vilket i sig kan ge lokaliseringsinformation och uppgift om vem som är abonnent. Vidare har det angetts att uppgiften kan vara av intresse för att verkställa andra hemliga tvångsmedel. Uppgiften torde främst vara relevant för att enklare kunna identifiera rätt anslutning när kommunikationen övergår i ett nät som tillhandahålls av någon som inte är lagringsskyldig, t.ex. ett lokalt nät för en bostadsrättsförening. Som utredningen konstaterar har något omfattande behov av uppgifterna emellertid inte framkommit. Samman- taget är det regeringens bedömning att det inte är strängt nödvändigt att behålla lagringsskyldigheten för uppgifter som genereras eller behandlas vid tillhandahållande av kapacitet för att få internetåtkomst. Detta bör återspeglas i lagtexten genom att uppgift om tillhandahållande av kapacitet för att få internetåtkomst (anslutningsform) tas bort från lagrings- skyldigheten.

Sammanfattande bedömning av lagringsskyldigheten

Genom de förändringar som beskrivs ovan anser utredningen att man uppnår en lagringsskyldighet som är förenlig med EU-rätten. Remissinstanserna har olika uppfattningar i denna fråga. En del remissinstanser, bl.a. Säkerhets- och integritetsskyddsnämnden, Sveriges advokatsamfund, Stockholms tingsrätt och Göteborgs tingsrätt, ställer sig bakom utredningens bedömning och anser att begränsningarna kommer att innebära att systemet blir förenligt med EU-rätten. Andra remissinstanser, bl.a. Svea hovrätt, Stockholms universitet (Juridiska fakulteten), Datainspektionen, Journalistförbundet, Bahnhof AB, Com Hem AB,

sådana uppgifter i princip utgör en lokaliseringsuppgift som därför är mer integritetskänslig än andra uppgifter med motsvarande lagringstid och efterfrågar en utförligare analys av lagringstidens proportionalitet.

Skälen för regeringens förslag: I det numera upphävda datalagrings- direktivet föreskrevs att medlemsstaterna skulle se till att uppgifter lagrades under en viss tid. Denna tid för lagring överläts till medlems- staterna att bestämma, men skulle ligga i intervallet sex till tjugofyra månader räknat från dagen för kommunikationen. Sverige valde den kortaste tiden för lagring, dvs. sex månader. I 6 kap. 16 d § lagen om elektronisk kommunikation görs det inte någon skillnad på vilken uppgift det är fråga om, utan alla uppgifter som faller under lagringsskyldigheten enligt 6 kap. 16 a § lagen om elektronisk kommunikation ska lagras i sex månader. Vid utgången av denna tid ska uppgifterna utplånas om de inte dessförinnan begärts utlämnade.

Som framgår i avsnitt 5.2 och 5.3 måste lagringen vara anpassad till vad som är strängt nödvändigt. En viktig komponent i en sådan anpassning är att differentiera lagringstiderna utifrån hur gamla uppgifter det finns ett påtagligt behov av. Remissinstanserna tillstyrker eller har inte någon invändning mot att lagringstiderna differentieras. Genom att differentiera lagringstiden för respektive uppgiftsslag kan man för varje uppgifts- kategori väga hur integritetskänslig uppgiftsslaget är mot brottskämp- ningens behov och nytta av uppgiften. Detta har inte varit möjligt tidigare och är en viktig del för att regleringen ska bli proportionerlig. För att lagringen ska vara förenlig med EU-rätten måste lagringstiderna således bestämmas efter vad som är proportionerligt och får inte vara längre än vad som är strängt nödvändigt. De lagringstider som ska gälla för de olika uppgiftskategorierna måste alltså vara motiverade på objektivt godtagbara grunder. Att en proportionalitetsbedömning utifrån ovannämnda aspekter ska göras följer direkt av EU-rätten och regeringen ser därför inte något behov av att också i lagtexten ange detta, såsom Stockholms tingsrätt föreslår.

För att åstadkomma en differentiering föreslår utredningen en ordning där det i lag föreskrivs en längsta lagringsfrist om tio månader och att regeringen inom denna ram får föreskriva kortare lagringsfrister. Några remissinstanser, t.ex. Malmö tingsrätt och Umeå universitet (Juridiska institutionen), ifrågasätter om det är lämpligt att bemyndiga regeringen att utvidga lagringstiden till tio månader avseende samtliga uppgifter. Umeå universitet anser att det vore lämpligare att fastslå tidsgränserna i lag. Regeringen delar denna bedömning och anser, till skillnad från utred- ningen, att de lagringstider som ska gälla framöver bör framgå direkt i lagen om elektronisk kommunikation. I likhet med den modell som gäller för lagringsskyldighetens omfattning, bör det dock finnas möjlighet för regeringen eller den myndighet regeringen bestämmer att meddela närmare föreskrifter om lagringstiderna om det behövs, t.ex. om vad som närmare ska hänföras till de olika uppgiftskategorierna och därmed precisera vilken information som faller under respektive lagringstid.

Vissa remissinstanser framför synpunkter på utredningens bedömning av vilka lagringstider som bör gälla framöver, där en del remissinstanser vill behålla eller utvidga tiden för vissa uppgiftsslag, medan andra vill begränsa den ytterligare.

Prop. 2018/19:86

49

lagringsutredningens förslag om att införa en förstörandeskyldighet för uppgifter som omfattas av yrkesmässig tystnadsplikt övervägas.

Remissinstanserna: De flesta remissinstanser uttalar sig inte särskilt i denna fråga. Åklagarmyndigheten delar utredningens bedömning att det inte bör införas något undantag från lagringen för personer med tystnadsplikt. Myndigheten tillstyrker Datalagringsutredningens förslag om förstörandeskyldighet men har vissa lagtekniska påpekanden på förslaget. Sveriges advokatsamfund anser att det bör införas en regel som undantar lagring av uppgifter som omfattas av advokatsekretess. Sam- fundet föreslår att det kan ske genom att de abonnemang eller andra elektroniska anslutningar som en advokat använder sig av i sin verksamhet anmäls i förväg. Om ett lagringsförbud inte kan införas förordar samfundet att det införs hinder mot att inhämta uppgifter som omfattas av tystnadsplikt och att en förstörandeskyldighet införs. Svenska journalist- förbundet är kritiskt till att det inte föreslås ett undantag från lagringsskyldigheten för personer som omfattas av tystnadsplikt, såsom t.ex. journalister. Förbundet anser att man bortsett från det faktum att skadan redan är skedd i det ögonblick ett samtal mellan en källa och en journalist lagras.

Skälen för regeringens bedömning

Skyddet för yrkesmässig tystnadsplikt och frågeförbudet

Vissa person- eller yrkeskategorier är underkastade tystnadsplikt i fråga om uppgifter som de har erfarit i sin yrkesutövning. Exempelvis finns regler om tystnadsplikt för advokater i 8 kap. 4 § första stycket RB. Ett annat exempel är den tystnadsplikt som följer av reglerna om meddelar- skydd enligt 3 kap. 3 § tryckfrihetsförordningen (TF) och 2 kap. 3 § yttrandefrihetsgrundlagen (YGL). Enligt dessa bestämmelser har den som tar befattning med tillkomsten eller utgivningen av tryckta skrifter eller framställningar som är avsedda att tas in i tryckta skrifter m.m. eller framställningar i radio och tv etc. som huvudregel tystnadsplikt för uppgifter som röjer identiteten hos den som lämnar uppgifter avsedda att offentliggöras i sådana medier. Tillämpningsområdet omfattar t.ex. journalister och andra som arbetar på en tidnings- eller tv-redaktion eller på företag där framställningar som skyddas av grundlagarna produceras. Tystnadsplikten gäller också för den som arbetar på en nyhetsbyrå och den som bedriver verksamhet på internet med s.k. frivilligt grundlagsskydd med stöd av ett utgivningsbevis enligt 1 kap. 4 § YGL. Tystnadsplikten gäller alltså för en relativt stor grupp av personer som inte alltid är helt lätt att definiera och avgränsa. Som ett ytterligare led i meddelarskyddet gäller ett principiellt efterforskningsförbud. Myndigheter och andra allmänna organ får som huvudregel inte efterforska vem som har lämnat meddelandet och som har rätt att vara anonym (3 kap. 5 § TF och

2kap. 5 § YGL). Ytterligare exempel är den tystnadsplikt som gäller inom hälso- och sjukvården enligt 25 kap. offentlighets- och sekretesslagen (2009:400) och 6 kap. patientsäkerhetslagen (2010:659).

Det är en allmän medborgerlig plikt att inställa sig som vittne vid domstol och där avlägga vittnesmål. Vittnesplikten är av grundläggande betydelse för domstolarnas möjligheter att få ett fullgott underlag för prövningen av mål och ärenden. I flera fall får tystnadsplikten ge vika för

Prop. 2018/19:86

53

eller inhämtning av elektronisk kommunikation finns följaktligen inte heller någon motsvarande regel om att uppgifter som omfattas av ett sådant förbud ska förstöras.

Ett grundläggande krav för att tillstånd till hemlig övervakning av elektronisk kommunikation och inhämtning av uppgifter enligt inhämtningslagen ska kunna meddelas är att åtgärden är proportionerlig (27 kap. 1 § tredje stycket RB och 2 § inhämtningslagen). Vid bedömningen av om en åtgärd kan anses proportionerlig har det betydelse vilken typ av kommunikation uppgifterna avser. Bland annat ska det beaktas om åtgärden innebär intrång i ett rättsligt skyddat intresse, t.ex. meddelarskyddet enligt tryckfrihetsförordningen och yttrandefrihets- grundlagen. Innebär inhämtningen ett kringgående av förbudet för massmedier att röja sina källor eller för det allmänna att efterforska vem som är meddelare, får inhämtning inte ske (prop. 2011/12:55 s. 122). Detta innebär alltså att risken för att uppgifter om skyddad kommunikation kommer att hämtas in då åtgärden verkställs ska beaktas vid tillstånds- givningen. Vidare gäller proportionalitetsprincipen under hela verkställig- hetsförfarandet och ska således, även sedan tillstånd har meddelats, beaktas av den verkställande myndigheten. Integritetsintrånget under verkställigheten kan bli så stort att åtgärden inte längre är tillåten, trots att rekvisiten för åtgärden fortfarande är uppfyllda (a. prop. s. 122). Trots att det inte finns något uttryckligt förbud är alltså möjligheten att hämta in uppgifter om elektronisk kommunikation avseende personer som omfattas av yrkesmässig tystnadsplikt begränsad jämfört med kommunikation som avser andra personer. Däremot kan det givetvis hända att en åtgärd som riktar sig mot någon som inte omfattas av yrkesmässig tystnadsplikt får till följd att även uppgifter om dennes kontakter med personer inom skyddade yrkeskategorier samlas in. Vidare kan uppgifter som avser personer inom skyddade yrkeskategorier komma att inhämtas genom t.ex. basstations- tömningar.

Sammanfattningsvis är det i svensk rätt alltså huvudsakligen uppgiftens innehåll som avgör om uppgiften omfattas av skydd mot att de brotts- bekämpande myndigheterna eller någon annan tar del av den. Förekomsten av kommunikation är däremot normalt inte skyddad. Tystnadsplikten omfattar inte heller vissa personer utan endast uppgifter som personerna fått del av i sin yrkesutövning (36 kap. 5 § RB, se även NJA 2010 s. 122, särskilt punkterna 8–9). Vid beslut om tillstånd till inhämtning av elektronisk kommunikation ska proportionalitetsprincipen beaktas.

Något undantag från lagring eller inhämtning av uppgifter för personer med yrkesmässig tystnadsplikt eller en förstörandeskyldighet bör inte införas

EU-domstolen noterar i Tele2-domen att den svenska lagstiftningen om datalagring inte innehåller något undantag för personer vilkas kommunikationer enligt nationell rätt omfattas av tystnadsplikt (punkt 105, jfr även Digital Rights-domen punkt 58). Däremot uppställer inte domstolen något krav på en sådan begränsning av lagringsskyldigheten. Mot bakgrund av domstolens konstaterande har fråga uppkommit om det finns anledning att göra nya överväganden om den svenska regleringen

Prop. 2018/19:86

55

hemlig avlyssning. I en sådan situation gäller emellertid proportionalitets- principen som innebär att inhämtning inte får ske om det skulle innebära ett kringgående av tystnadsplikten eller efterforskningsförbudet (jfr prop. 2011/12:55 s. 122). Ett uttryckligt förbud mot inhämtning av uppgifter i sådana situationer skulle således vara av begränsat praktiskt värde.

I detta sammanhang bör även påpekas att det råder ett grundlagsskyddat förbud för det allmänna att efterforska vem som lämnat uppgifter till t.ex. en journalist. Regeringen instämmer dock i den bedömning som utredningarna gör att efterforskningsförbudet i sådana situationer över- träds endast i den mån som syftet från det allmännas sida är att efterforska en författare, utgivare eller meddelare. När sådan information i stället råkar inhämtas av en myndighet som en icke avsedd bieffekt av annan verksamhet kan det således inte anses att efterforskningsförbudet över- träds.

Datalagringsutredningen föreslår att uppgifter som omfattas av yrkesmässig tystnadsplikt ska förstöras i efterhand om de är sådana att de inte hade kunnat inhämtas genom vittnesförhör i domstol på grund av frågeförbudet i rättegångsbalken. Flera remissinstanser, såsom t.ex. Institutet för Juridik och Internet, Tullverket, Tele2 Sverige AB och Svenska kyrkan, tillstyrker förslaget eller har ingen invändning mot det. Som Datalagringsutredningen konstaterar skulle tillämpningen av en sådan regel normalt förutsätta att myndigheten efter att en inhämtning skett får reda på innehållet i kommunikationen och på så vis kan sluta sig till att uppgiften omfattas av yrkesmässig tystnadsplikt. Det är alltså här fråga om att uppgiften oavsiktligt kommit att röjas genom tvångsmedels- användningen (de s.k. bieffektsfallen). Som framgår ovan kan en sådan situation uppstå endast undantagsvis och det torde därför sällan bli aktuellt att tillämpa en sådan regel. Dessutom gäller även i denna situation proportionalitetsprincipen, som ger skydd mot obehörigt röjande av uppgifter (jfr prop. 1988/89:124 s. 36). En parallell kan här också dras till beslagsförbudet i 27 kap. 2 § RB som innebär att en skriftlig handling inte får tas i beslag när den innehåller skyddad information. Vad som gäller om ett beslag har skett i strid mot förbudet är inte lagreglerat. Enligt grunderna för bestämmelsen har det dock ansetts att myndigheten inte får använda den skyddade informationen och har att verka för att den inte finns bevarad inom myndigheten (NJA 2015 s. 631). Enligt riktlinjer för åklagararbetet framgår att dessa principer ska iakttas. Mot denna bakgrund kan det ifrågasättas om det finns ett så stort behov av en uttrycklig lagreglering om en förstörandeskyldighet. Till detta kommer att det finns vissa svårigheter med en sådan ordning, som också Ekobrottsmyndigheten, Säkerhets- polisen och Polismyndigheten påpekar. Exempelvis kan uppgifter som skulle omfattas av en förstörandeskyldighet kunna tala till den misstänktes fördel. Som ett exempel kan nämnas att uppgifter från hemlig övervakning av elektronisk kommunikation kan ge stöd för att den misstänkte inte var på t.ex. en brottsplats vid tidpunkten för samtalet. Europadomstolen har i ett par avgöranden fällt Finland för att material från hemliga tvångsmedel förstörts under utredningsstadiet (Janatuinen mot Finland, 8 december 2009, mål nr 28552/05, och Natunen mot Finland, 30 juni 2009, mål nr 21022/04). Europadomstolen fann att agerandet hade inneburit en kränkning av den misstänktes rätt till en rättvis rättegång, eftersom

Prop. 2018/19:86

57

är skäligen misstänkt för brottet. Tillstånd till tvångsmedlet kan emellertid meddelas även utan att det finns en skäligen misstänkt person om syftet med övervakningen är att utreda vem som skäligen kan misstänkas för brottet. Det krävs då att förundersökningen avser brott som kan leda till hemlig avlyssning av elektronisk kommunikation. Det ska alltså vara fråga om ett brott vars minimistraff är fängelse i två år, vissa särskilt angivna samhällsfarliga brott som bekämpas av Säkerhetspolisen, försök, för- beredelse eller stämpling till sådana brott om detta är straffbart, eller ett annat brott om brottets straffvärde med hänsyn till omständigheterna kan antas överstiga två års fängelse.

När hemlig övervakning av elektronisk kommunikation används för att hämta in uppgifter om meddelanden i syfte utreda vem som skäligen kan misstänkas för ett brott får övervakningen bara avse uppgifter i förfluten tid (27 kap. 20 § andra stycket RB). En basstationstömning får avse kommunikationsutrustning, telefonnummer eller annan adress och göras även när utrustningens identifikationsnummer är okänt (27 kap. 20 § första stycket 1 RB samt prop. 2011/12:55 s. 128).

Hemlig övervakning av elektronisk kommunikation som avser en skäligen misstänkt person får endast avse ett telefonnummer, en annan adress eller en elektronisk kommunikationsutrustning som innehas eller har innehafts eller annars kan antas ha använts eller komma att användas av den misstänkte under den tid tillståndet till övervakning gäller (27 kap. 20 § första stycket 1 RB).

Tvångsmedlet får enligt huvudregeln användas endast efter förhands- prövning och beslut av domstol. Tingsrätten prövar frågan efter ansökan av en åklagare (27 kap. 21 § RB). Om det kan befaras att det skulle innebära en fördröjning av väsentlig betydelse för utredningen att inhämta rättens tillstånd, får tillstånd ges interimistiskt av åklagaren i avvaktan på domstolens prövning. Ett sådant beslut ska utan dröjsmål anmälas till rätten som skyndsamt ska pröva om det finns skäl för åtgärden. Om domstolen vid sin prövning bedömer att det inte finns skäl för åtgärden ska den upphäva beslutet. I sådana fall får uppgifter som redan har inhämtats med stöd av det interimistiska beslutet inte användas i en förundersökning till nackdel för den som har omfattats av övervakningen (27 kap. 21 a § RB).

I ett beslut att tillåta hemlig övervakning av elektronisk kommunikation ska det anges vilken tid åtgärden avser. Tiden får inte bestämmas längre än nödvändigt och får, när det gäller tid som infaller efter beslutet, inte överstiga en månad. Tiden kan dock förlängas genom ett nytt beslut. I beslutet ska också anges vilket telefonnummer eller annan adress, vilken elektronisk kommunikationsutrustning eller vilket geografiskt område tillståndet avser (27 kap. 21 § RB).

Möjligheterna att använda uppgifter som kommit fram vid hemlig övervakning av elektronisk kommunikation för att inleda förundersökning om ett annat brott än det som legat till grund för beslutet (överskotts- information) är begränsade. Förundersökning får nämligen normalt endast inledas om det är föreskrivet fängelse ett år eller mer för brottet (27 kap. 23 a § RB). Uppgifterna får dock alltid användas för att förhindra förestående brott eller i pågående förundersökningar. Frågan om hur överskottsinformation ska få användas är föremål för överväganden (SOU 2018:61).

Prop. 2018/19:86

59

Prop. 2018/19:86

60

Inhämtningslagen

Inhämtningslagen reglerar Polismyndighetens, Säkerhetspolisens och Tullverkets möjligheter att hämta in uppgifter om elektronisk kommunikation i underrättelseverksamhet. Lagen reglerar enbart inhämtning från den som enligt lagen om elektronisk kommunikation tillhandahåller ett elektroniskt kommunikationsnät eller en elektronisk kommunikationstjänst och ger alltså inte stöd för de brottsbekämpande myndigheterna att hämta in uppgifter med hjälp av egna tekniska hjälpmedel. Inhämtning av uppgifter enligt lagen utgör definitionsmässigt ett hemligt tvångsmedel (prop. 2011/12:55 s. 111).

De uppgifter som får hämtas in med stöd av lagen är:

•historiska uppgifter om meddelanden

•uppgifter om vilka elektroniska kommunikationsutrustningar som har funnits inom ett visst geografiskt område (basstationstömning)

•uppgift om i vilket geografiskt område en viss elektronisk kommunika- tionsutrustning finns eller har funnits.

Uppgifter får hämtas in om omständigheterna är sådana att åtgärden är av särskild vikt för att förebygga, förhindra eller upptäcka brottslig verksamhet som innefattar brott vilka har ett straffminimum på fängelse två år (2 §). Enligt en särskild bestämmelse (3 §) är inhämtning av uppgifter också möjlig vid brottslig verksamhet som innefattar vissa särskilt angivna samhällsfarliga brott inom Säkerhetspolisens ansvars- område med ett lägre straffminimum, t.ex. sabotage och spioneri. Denna bestämmelse är tidsbegränsad och gäller till utgången av 2019. Regeringen föreslår nu att denna bestämmelse ska permanentas, se avsnitt 6.8.

Genom rekvisitet brottslig verksamhet framgår att det inte ställs krav på att det ska finnas en misstanke om ett specifikt brott (prop. 2011/12:55 s. 123). Det föreligger därmed en principiell skillnad i förhållande till tillämpningsområdet för straffprocessuella tvångsmedel enligt rättegångs- balken, vilket beror på att inhämtningslagen är tillämplig redan på underrättelsestadiet.

Beslut om inhämtning fattas av myndigheten själv. Utgångspunkten är att det är myndighetschefen som ska besluta om inhämtningen. Myndighetschefen får dock delegera rätten att fatta beslut till en annan anställd vid myndigheten som har den särskilda kompetens, utbildning och erfarenhet som behövs. Den som har fått sådan delegation får inte fatta beslut om inhämtning i operativ verksamhet som han eller hon själv deltar i (4 §). Regeringen föreslår i avsnitt 6.5 att beslutsordningen ska ändras så att beslut framöver ska fattas av åklagare efter ansökan av myndigheten.

Säkerhets- och integritetsskyddsnämnden utövar tillsyn över inhämt- ningen. Samtliga beslut om inhämtning av uppgifter ska anmälas till nämnden när underrättelseärendet har avslutats (6 §). Inhämtade uppgifter får användas i en förundersökning endast efter tillstånd av domstol till hemlig övervakning av elektronisk kommunikation. Utan ett sådant tillstånd får dock inhämtade uppgifter ligga till grund för beslut om att inleda en förundersökning (8 §).

Preventivlagen

I vissa fall får hemlig övervakning av elektronisk kommunikation användas också utan att en förundersökning pågår, då i syfte att förhindra vissa särskilt allvarliga brott. Enligt preventivlagen får tillstånd till bl.a. hemlig övervakning av elektronisk kommunikation meddelas om det finns en påtaglig risk för att en person kommer att utöva brottslig verksamhet som innefattar vissa särskilt angivna brott. Det rör sig främst om sådan samhällsfarlig brottslighet som bekämpas av Säkerhetspolisen, t.ex. sabo- tage, spioneri och terroristbrottslighet, men även vissa våldsbrott och brott mot frihet och frid som begås i syfte att påverka offentliga organ eller journalister (systemhotande brottslighet). Även om lagen främst rör brottslig verksamhet inom Säkerhetspolisens område kan också Polismyndigheten använda lagen. Det sker dock mycket sällan. Under 2015, 2016 och 2017 förekom ingen användning av hemliga tvångsmedel enligt preventivlagen i Polismyndighetens verksamhet (skr. 2017/18:69

s.26 och skr. 2018/19:19 s. 26). Tillstånd får meddelas endast om åtgärden är proportionerlig och av synnerlig vikt för att förhindra sådan brottslig verksamhet (1 och 5 §§).

Hemlig övervakning enligt preventivlagen får avse endast ett telefon- nummer eller annan adress eller en viss elektronisk kommunikations- utrustning som under den tid tillståndet omfattar innehas eller har innehafts av den som kan antas komma att utöva den brottsliga verksamheten eller som annars kan antas ha använts eller komma att användas av honom eller henne. Hemlig övervakning får också avse ett telefonnummer, en annan adress eller en viss kommunikationsutrustning som det finns synnerlig anledning att anta att han eller hon under den tid tillståndet avser har kontaktat eller kommer att kontakta.

Frågan om tillstånd till tvångsmedel enligt lagen prövas av Stockholms tingsrätt efter ansökan av åklagare (6 §). Tillståndet får – som för övriga hemliga tvångsmedel – inte ges för längre tid än nödvändigt och får, i fråga om tid efter beslutet, inte överstiga en månad från dagen för beslutet (7 §). Om tiden inte räcker, får tillstånd sökas på nytt. Om det inte längre finns skäl för ett tillstånd till tvångsmedelsanvändning, ska åklagaren eller rätten omedelbart häva beslutet. Polisen ska omedelbart underrätta åklagaren om omständigheter som har betydelse för om beslutet ska hävas (10 §). Reglerna i rättegångsbalken om handläggning vid domstol av frågor om tvångsmedel i brottmål och om överklagande av beslut i sådana frågor tillämpas på förfarandet, om inte annat sägs i lagen. Handläggningen ska ske skyndsamt (15 §).

Lagen om särskild utlänningskontroll

Enligt lagen (1991:572) om särskild utlänningskontroll (LSU) får en utlänning utvisas ur landet bl.a. om det med hänsyn till vad som är känt om utlänningens tidigare verksamhet och övriga omständigheter kan befaras att han eller hon kommer att begå eller medverka till terroristbrott enligt 2 § lagen (2003:148) om straff för terroristbrott eller försök, förberedelse eller stämpling till sådant brott (1 §). Om ett beslut om sådan utvisning tills vidare inte ska verkställas på grund av inhibition eller ett tidsbegränsat uppehållstillstånd, får Migrationsverket eller regeringen besluta att vissa tvångsmedelsregler som finns i 19–22 §§ LSU ska

Prop. 2018/19:86

61

Prop. 2018/19:86

64

6.3Tillgång endast för att bekämpa grov brottslighet

Regeringens bedömning: Tillgång till lagrade trafik- och lokaliseringsuppgifter får endast ges för bekämpning av grov brottslighet. Reglerna i rättegångsbalken, preventivlagen, inhämtnings- lagen och lagen om särskild utlänningskontroll uppfyller EU-rättens krav i detta avseende.

Utredningens bedömning överensstämmer med regeringens. Remissinstanserna kommenterar inte utredningens bedömning. Skälen för regeringens bedömning: Som anges i föregående avsnitt

anför EU-domstolen att endast bekämpning av grov brottslighet kan motivera att brottsbekämpande myndigheter ges tillgång till lagrade uppgifter. Det finns dock inte någon generell definition av grov brottslighet inom EU-rätten eller inom svensk rätt. Däremot förekommer i olika sammanhang, både i EU-rätten och i svensk rätt, uppräkningar av brott som – i det sammanhanget uppräkningen förekommer – anses som så allvarliga att de på olika sätt ska särbehandlas. Ett exempel på en sådan uppräkning är bilagan till lagen (2003:1156) om överlämnande från Sverige enligt en europeisk arresteringsorder. I den bilagan finns angivet brott som spänner över en stor del av straffskalan; från mord och våldtäkt till förfalskning, piratkopiering och barnpornografi. Just denna uppräkning har rådet uppmanat medlemsstaterna att ta ”vederbörlig hänsyn” till vid införandet av det numera upphävda datalagringsdirektivet (prop. 2010/11:46 s. 21). Inom EU-lagstiftningen finns ytterligare exempel. I Europaparlamentets och rådets direktiv 2016/681/EU av den 27 april 2016 om användning av passageraruppgiftssamlingar (PNR-uppgifter) för att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet (PNR-direktivet) definieras grov brottslighet som brott som anges i direktivets bilaga vilka kan leda till fängelse i minst tre år enligt en medlemsstats nationella rätt (artikel 3.9). Därutöver är direktivet tillämpligt på vissa terrorismrelaterade brott, trots att de har en straffskala som inte når upp till detta minimikrav. De brott som finns med i bilagan är inte identiska men i huvudsak desamma som i bilagan till lagen om överlämnande från Sverige enligt en europeisk arresteringsorder.

Ett exempel på en sådan uppräkning i svensk rätt är den som finns i bestämmelsen om när hemlig övervakning av elektronisk kommunikation är tillåten trots att det aktuella straffbudet inte har straffminimum på minst sex månaders fängelse (27 kap. 19 § RB). I den uppräkningen finns t.ex. narkotikabrott och barnpornografibrott.

Som framgår i avsnitt 6.1 kan hemlig övervakning av elektronisk kommunikation förekomma även inom ramen för förhindrande av vissa särskilt allvarliga brott. Bland de brott som kan berättiga till hemlig övervakning ingår de absolut grövsta brotten i vårt samhälle, som t.ex. mord, terroristbrott och spioneri (1 § preventivlagen).

Ytterligare ett exempel förekommer i inhämtningslagen. Inhämtning enligt den lagen kräver som utgångspunkt att det är fråga om brottslig verksamhet som innefattar brott för vilket det inte är föreskrivet lindrigare straff än fängelse i två år (2 §). Härutöver finns en uppräkning av vissa

66

I det följande beskrivs de svenska reglerna i fråga om vilken personkrets som tillgång kan beviljas och regeringens bedömning av om dessa regler uppfyller EU-rättens krav i detta avseende.

Hemlig övervakning av elektronisk kommunikation

Huvudsakligen beviljas åtkomst till lagrade uppgifter vid hemlig övervakning av elektronisk kommunikation endast avseende misstänkta personer (27 kap. 20 § första stycket 1 RB). I de fall övervakningen riktar sig mot ett telefonnummer som inte innehas eller har innehafts eller som kan antas ha använts eller komma att användas av den misstänkte så krävs att det föreligger synnerlig anledning att anta att den misstänkte kommer att kontakta eller har kontaktat det aktuella telefonnumret (27 kap. 20 § första stycket 2 RB). Även om den person som på detta sätt blir föremål för tvångsmedlet inte behöver ha något samröre med brottet så riktar sig det hemliga tvångsmedlet fortfarande mot den misstänkte. På ett principiellt plan skiljer sig således inte denna typ av övervakning från när man övervakar ett telefonnummer som tillhör den misstänkte eftersom man även i sådana fall fångar upp trafikuppgifter avseende personer som inte alls har med brottet att göra. För att minimera antalet trafikuppgifter som inte har med brottsutredningen att göra kan ett tillstånd till nu nämnd övervakning begränsas till att endast avse inkommande samtal (prop. 2002/03:74 s. 38–39).

Som redogörs för ovan tillåter EU-rätten i viss utsträckning övervakning även mot andra än misstänkta. Mot denna bakgrund gör regeringen, i likhet med utredningen, bedömningen att den övervakning som regleras i 27 kap. 20 § första stycket är förenlig med de krav som EU-rätten uppställer. Ingen remissinstans invänder mot denna bedömning.

Enligt 27 kap. 20 § andra stycket RB får hemlig övervakning av elektronisk kommunikation även utföras i syfte att utreda vem som skäligen kan misstänkas för ett brott om åtgärden är av synnerlig vikt för utredningen. För att tillstånd till sådan övervakning ska ges krävs att det är fråga om mycket allvarlig brottslighet, huvudsakligen brott med ett straffminimum på fängelse två år eller samhällsfarlig brottslighet såsom t.ex. spioneri, sabotage eller mordbrand (27 kap. 19 § fjärde stycket RB).

Exempel på en sådan åtgärd är basstationstömning (masttömning) som utförs t.ex. om polisen hittar en mördad person och vill undersöka vilka som har befunnit sig vid platsen. En basstationstömning avser i bästa fall en eller flera misstänkta personer, men medför samtidigt att uppgifter inhämtas om personer som inte är misstänkta. Det har i förarbetena inte bedömts innebära ett betydande ingrepp i den enskildes privata sfär eftersom det normalt endast är fråga om en positionsbestämning vid ett specifikt tillfälle. En sådan inhämtning har därför inte ansetts innebära ett sådant betydande intrång i den personliga integriteten som avses i 2 kap. 6 § regeringsformen (prop. 2011/12:55 s. 97). Dessutom är personuppgifter som behandlas hos de brottsbekämpande myndigheterna omgärdade av integritetsskyddande lagstiftning, se lagen (2018:1697) om åklagarväsendets behandling av personuppgifter inom brottsdatalagens område (åklagarväsendets brottsdatalag), lagen (2018:1693) om polisens behandling av personuppgifter inom brottsdatalagens område (polisens brottsdatalag) och lagen (2018:1694) om Tullverkets behandling av personuppgifter inom brottsdatalagens område (Tullverkets brottsdatalag). I fråga om uppgifter som rör meddelanden är inhämtningen dessutom begränsad till att enbart avse historiska uppgifter. Till det kommer att nu aktuell övervakning endast får utföras om det är av synnerlig vikt för utredningen. Det innebär att uppgifterna som tvångsmedlet förväntas leda till ska vara av viss kvalitet och inte inskränka sig till obetydliga detaljer. Däremot behöver uppgiften inte vara avgörande utan kan indirekt bidra till att föra förundersökningen framåt, t.ex. genom kartläggning av kontakter och förehavanden. I kravet på synnerlig vikt inryms också ett behovskrav. Det man vill åstadkomma ska i princip inte vara åtkomligt med mindre ingripande metoder. Brottsutredningen ska som huvudregel inte kunna föras framåt med andra medel och det ska finnas skäl att räkna med att åtgärden verkligen kan få effekt (prop. 2013/14:237 s. 94–95). Genom kravet på synnerlig vikt för utredningen skapas därmed indirekt en koppling mellan de övervakade adresserna eller utrustningarna och brottet. Möjligheten att använda hemlig övervakning i detta syfte infördes främst för att det fanns ett stort behov av uppgifterna redan i ett tidigt skede av utredningen, innan det fanns någon misstänkt. I förarbetena till bestämmelsen anges det tydligt att regleringen inte skulle innebära någon utvidgning av möjligheterna att använda tvångsmedlet mot en skäligen misstänkt person. I motiven till bestämmelsen anges även att åklagare och domstol bör begränsa tillståndet så att mängden överskottsinformation minimeras (prop. 2011/12:55 s. 73–74 och 130). Detta följer också av proportionalitetsprincipen.

Utrymmet för att använda hemlig övervakning av elektronisk kommunikation för att utreda vem som är misstänkt är som beskrivs ovan begränsat enligt EU-rätten. EU-domstolen lämnar dock ett utrymme för att få tillgång till lagrade uppgifter även avseende icke misstänkta personer. Mot bakgrund av att det finns en indirekt koppling till brottsligheten genom kravet på synnerlig vikt, att inhämtningen är begränsad (sett till de uppgifter som får inhämtas) och till att den brottslighet som berättigar till sådan övervakning är mycket allvarlig eller samhällsfarlig, delar regeringen utredningens bedömning att det utrymme som EU-domstolen ger är tillräckligt för att de svenska reglerna i detta hänseende ska lämnas oförändrade. Ingen remissinstans invänder mot denna bedömning.

Prop. 2018/19:86

67

Prop. 2018/19:86

68

Reglerna om tillgång genom hemlig övervakning av elektronisk kommunikation uppfyller således de krav som EU-rätten ställer i detta avseende.

Inhämtningslagen

Enligt inhämtningslagen inhämtas uppgifter endast i underrättelse- verksamhet. Inhämtning får ske om åtgärden är av särskild vikt för att förebygga, förhindra eller upptäcka brottslig verksamhet för brott där det inte är föreskrivet lindrigare straff än fängelse i två år (2 §) eller vissa samhällsfarliga brott som t.ex. sabotage, spioneri eller grov terrorism- relaterad brottslighet (3 §).

På underrättelsestadiet saknas kunskap om ett specifikt brott. Av naturliga skäl blir det därmed svårt att tala om någon misstänkt person på det sätt som uttrycket används i rättegångsbalken. Även om underrättelseanalysen inte alltid kan peka ut ett specifikt brott eller en misstänkt person så inriktas underrättelsearbetet ändå mot en viss person när inhämtning ska göras av dennes uppgifter. Trots att denna person inte är misstänkt på sätt som avses i t.ex. 23 kap. 18 § RB finns det i många fall en misstanke om att den person som är föremål för inhämtningen på något sätt är inblandad i den brottsliga verksamheten som underrättelse- verksamheten avser. Det är i dessa fall inte möjligt att precisera personkretsen mer. Kravet att åtgärden ska vara av särskild vikt för att förebygga, förhindra eller upptäcka viss brottslig verksamhet innefattar dessutom både ett kvalitetskrav på de upplysningar som åtgärden kan ge och ett krav på behovet av inhämtningen i det enskilda fallet. Bedömningen får inte bygga enbart på spekulationer eller allmänna antaganden utan måste grundas på faktiska omständigheter. Det kan således inte bli fråga om att rutinmässigt inhämta uppgifter i syfte att kartlägga personer enbart på grund av att de är kriminellt belastade eller ingår i en viss grupp eller ett visst nätverk (prop. 2011/12:55 s. 121). På samma sätt som beskrivs ovan angående hemlig övervakning av elektronisk kommunikation enligt rättegångsbalken finns det således indirekt en koppling mellan de övervakade adresserna eller utrustningarna och brottet. Brottsligheten det är fråga om är dessutom av mycket allvarlig art eller samhällsfarlig. Regeringen delar utredningens bedömning att de svenska reglerna får anses uppfylla de villkor som har uppställts av EU- domstolen. Ingen remissinstans invänder mot denna bedömning.

Preventivlagen

Som anges i avsnitt 6.1 får tillstånd till hemlig övervakning av elektronisk kommunikation enligt preventivlagen endast ges om det finns en påtaglig risk för att en person kommer att utöva brottslig verksamhet som avser en rad närmare preciserade allvarliga eller samhällshotande brott såsom t.ex. mord, människorov, terroristbrott eller sabotage (1 § första stycket).

Tillstånd får också ges om det finns påtaglig risk för att det inom en organisation eller grupp kommer att utövas sådan brottslig verksamhet som omfattas av lagen och det kan befaras att en person som tillhör eller verkar för organisationen eller gruppen medvetet kommer att främja denna verksamhet (1 § andra stycket). Även om det inte uttryckligen framgår av bestämmelsens ordalydelse så är det endast mot den personen som

Prop. 2018/19:86

70

6.5Förhandskontroll av domstol eller oberoende myndighet

Regeringens förslag: Åklagare vid Åklagarmyndigheten ska besluta om tillstånd för inhämtning av uppgifter om elektronisk kommunikation i de brottsbekämpande myndigheternas underrättelse- verksamhet enligt inhämtningslagen.

Ansökan ska göras av Polismyndigheten, Säkerhetspolisen respektive Tullverket.

Skyldigheten att omedelbart häva ett beslut som det inte finns skäl för och skyldigheten att underrätta Säkerhets- och integritetsskydds- nämnden om ett beslut om inhämtning enligt inhämtningslagen ska även fortsättningsvis vila på Polismyndigheten, Säkerhetspolisen respektive Tullverket. Detta ska tydliggöras i lagtexten.

Regeringens bedömning: Beslut om tillstånd för inhämtning enligt inhämtningslagen bör inte kunna överklagas. Det finns inte heller behov av interimistiska beslut enligt inhämtningslagen. Det behövs ingen uttrycklig bestämmelse i inhämtningslagen om att underrättelse- skyldigheten till Säkerhets- och integritetsskyddsnämnden ska fullgöras genom att beslutet lämnas till nämnden.

Reglerna i rättegångsbalken, preventivlagen och lagen om särskild utlänningskontroll uppfyller EU-rättens krav på att inhämtning av lagrade uppgifter ska beslutas av domstol eller en oberoende myndighet.

Datalagringsutredningens förslag överensstämmer inte med regeringens. Utredningen föreslår att det ska framgå av lagtexten att underrättelseskyldigheten om ett beslut om inhämtning till Säkerhets- och integritetsskyddsnämnden ska fullgöras genom att beslutet lämnas till nämnden.

Remissinstanserna: De flesta remissinstanser kommenterar inte förslaget särskilt. Tele2 Sverige AB och Sveriges advokatsamfund till- styrker förslaget.

Utredningens förslag och bedömning överensstämmer med regeringens.

Remissinstanserna: Hovrätten för Övre Norrland, Stockholms tings- rätt, Säkerhetspolisen, Datainspektionen, Sveriges advokatsamfund och Tele2 Sverige AB tillstyrker eller har ingen invändning mot att beslut om inhämtning enligt inhämtningslagen ska fattas av åklagare. Stockholms tingsrätt anser att utredningens resonemang om varför allmänna domstolar inte bör fatta beslut enligt inhämtningslagen framstår som väl underbyggt. Om en ordning med domstolsprövning skulle införas, finns det dock ingen invändning mot att Stockholms tingsrätt blir exklusivt forum. Tele2 Sverige AB poängterar att det måste säkerställas att de åklagare som tilldelas beslutsbehörighet genomgår relevant utbildning och att beslutsbehörigheten inte sprids bland de olika åklagarkamrarna, utan tilldelas en centralt placerad grupp med särskild kompetens. Telia Sverige AB anser att det är väsentligt att det finns förhandsbeslut av domstol eller oberoende myndighet för att få tillgång till lagrade uppgifter.

72

Domstolsbeslut krävs också för tillstånd till hemlig övervakning av elektronisk kommunikation enligt lagen om särskild utlänningskontroll (21 §). Någon möjlighet till interimistiska beslut finns inte enligt denna lag.

Utredningen bedömer att reglerna om domstolsprövning i rättegångs- balken, preventivlagen och lagen om särskild utlänningskontroll lever upp till EU-rättens krav. Ingen remissinstans invänder mot detta. Regeringen instämmer i utredningens bedömning.

Beslutsordningen enligt inhämtningslagen bör ändras

Inhämtning av uppgifter om elektronisk kommunikation i underrättelse- verksamhet enligt inhämtningslagen får beslutas av Polismyndigheten, Säkerhetspolisen och Tullverket. Datalagringsutredningen bedömer att det inte finns skäl att göra några förändringar i beslutsordningen. Bedömningen var föremål för sedvanligt remissförfarande. Därefter meddelades Tele2-domen. Mot bakgrund av uttalandena i Tele2-domen bedömer Utredningen om datalagring och EU-rätten att beslutsordningen i inhämtningslagen bör ändras. Remissinstanserna delar denna bedömning eller har ingen invändning mot den. I likhet med utredningen och remissinstanserna anser regeringen att beslutsfattandet enligt inhämtnings- lagen bör ändras och anförtros en domstol eller annan oberoende myndighet. Regeringen väljer mot denna bakgrund att inte redogöra för de remissvar som lämnats med anledning av Datalagrings-utredningens betänkande i denna fråga.

Frågan är då vilken myndighet som bör anförtros beslutsfattandet enligt inhämtningslagen. För den här typen av beslutsfattande om hemliga tvångsmedel står valet mellan allmän domstol, särskild nämnd eller åklagare. Dessa olika alternativ behandlas nedan. En utgångspunkt för regeringen är att verksamhet, om möjligt, bör organiseras inom ramen för den befintliga myndighetsorganisationen. En ny myndighet bör inrättas bara om det är nödvändigt med hänsyn till EU-rättens krav.

Allmän domstol fattar beslut om inhämtning av elektronisk kom- munikation i förundersökningsverksamhet. Att allmän domstol fattar beslut om hemliga tvångsmedel under en förundersökning är lämpligt och väl förenligt med det tvåpartsförfarande och de möjligheter till rättslig prövning som gäller där. I underrättelseverksamheten är dock situationen en annan. Som anfördes i förarbetena till inhämtningslagen (prop. 2011/12:55 s. 88–89) och som båda utredningarna konstaterar finns det nackdelar med att låta domstolar ha en roll som beslutsorgan enligt inhämtningslagen. Beslut enligt lagen fattas i underrättelseverksamhet, där andra intressen gör sig gällande än under en förundersökning. Under- rättelseverksamheten är nämligen främst inriktad mot att, utifrån en mer övergripande ansats, studera och kartlägga en befarad brottslig verksamhet för att förebygga eller förhindra att brottsligheten genomförs, till skillnad från förundersökningen som inriktar sig mot ett redan begånget konkret brott och vem som kan misstänkas för det. Integritetsaspekten präglas i underrättelseskedet mer av ett medborgarperspektiv än av ett sådant tvåpartsförfarande som särskilt lämpar sig för rättslig prövning i allmän

domstol. Trots att beslutsfattande enligt preventivlagen ligger på domstol så är underrättelseverksamhet typiskt sett främmande för de allmänna domstolarna. I preventivlagens fall är det dessutom så att den huvudsakligen tillämpas i situationer när en förundersökning är nära förestående, vilket inte kan sägas vara fallet när det gäller inhämtnings- lagen. Slutligen är inte domstolsväsendet ordnat på så sätt att det kan erbjuda det snabba beslutsfattande som kan behövas i ärenden enligt inhämtningslagen. Regeringen, liksom Stockholms tingsrätt, delar därför utredningens bedömning att allmän domstol inte bör utses som besluts- organ.

Utredningen överväger om Säkerhets- och integritetsskyddsnämnden (SIN) skulle kunna fatta beslut enligt inhämtningslagen men kommer fram till att detta vore olämpligt dels mot bakgrund av myndighetens uppdrag att utöva tillsyn över verksamheten, dels då SIN inte är organiserad för en sådan beredskap som skulle behövas för att kunna fatta de snabba beslut som ibland behövs i underrättelseverksamhet. Regeringen delar den bedömningen.

Av redan existerande myndigheter återstår då att överväga om åklagare bör bli beslutsfattare enligt inhämtningslagen. Åklagare utgör en central del i rättskedjan. Trots att de främst är vana att agera under en för- undersökning har de god vana att ta beslut om tvångsåtgärder och att göra bedömningar om i vilket skede (underrättelse- eller förundersöknings- stadiet) som ett ärende befinner sig i. Trots att åklagarnas kärnverksamhet är förundersökningsverksamheten och rollen som processförare i domstol, finns det redan i dag i viss utsträckning åklagare som har uppgifter inom ramen för underrättelseverksamhet. Det rör sig här främst om tillämpningen av preventivlagen. Därutöver har åklagare i viss begränsad utsträckning en roll i polisens regionala underrättelsecenter (RUC). Åklagare utför således i dag arbetsuppgifter på relevant område för inhämtningslagen. Även om just dessa arbetsuppgifter inte är särskilt spridda i organisationen kan det dock konstateras att de beslut som nu är aktuella på ett principiellt plan ligger nära de beslut som åklagare fattar inom ramen för förundersökningsverksamhet. Det är nämligen i båda fallen fråga om att väga effektiviteten i brottsbekämpningen mot intresset av att värna den personliga integriteten. Regeringen anser därför att den omständigheten att beslutsfattandet rör ett område utanför kärnverksam- heten inte i sig bör utgöra något hinder mot en ordning med åklagare som beslutsfattare.

Både utredningen och några remissinstanser, t.ex. Åklagarmyndigheten, Polismyndigheten, Tullverket och Malmö tingsrätt, tar upp frågan om åklagares objektivitet skulle kunna ifrågasättas om de skulle ha till uppgift att pröva och godkänna olika åtgärder i underrättelseverksamheten. Åklagarmyndigheten påpekar att objektivitetsplikten gör att åklagare bör hålla distans till underrättelseverksamheten och att det kan uppstå svårigheter i avgränsningen mellan förundersökning och underrättelse- verksamhet. Enligt regeringen är det viktigt att åklagarnas objektivitets- plikt inte på något sätt urholkas av föreslagna förändringar. Frågan är då om det kan finnas en risk för att enskildas förtroende för åklagarnas objektivitetsplikt skulle kunna undergrävas genom att åklagare skulle kunna förmodas hålla kvar ett ärende i underrättelsestadiet för att därigenom lättare få tillgång till uppgifter om elektronisk kommunikation

Prop. 2018/19:86

73

Åklagarmyndighetens, Polismyndighetens och Tele2 Sverige AB:s inställning att det kan finnas skäl att inrätta en särskild organisation inom Åklagarmyndigheten där ett begränsat antal åklagare involveras i nu aktuellt beslutsfattande, bl.a. för att upprätthålla förtroendet för åklagarnas objektivitet och för att kunna säkerställa kunskapsnivån hos besluts- fattarna.

Om åklagare får en roll som beslutsfattare enligt inhämtningslagen kommer personuppgifter och sekretessbelagd information att behöva lämna Polismyndigheten, Säkerhetspolisen och Tullverket för att skickas till den åklagare som ska fatta beslutet. De berörda myndigheternas personuppgiftsbehandling är emellertid kringgärdade med integritets- skyddande lagstiftning som reglerar både den egna myndighetens personuppgiftsbehandling och hur personuppgifter får lämnas ut till någon annan. Exempel på sådana lagar är polisens brottsdatalag och åklagarväsendets brottsdatalag. Härutöver finns bestämmelser om sekretess i offentlighets- och sekretesslagen (2009:400), OSL. Enligt regeringens bedömning finns inget hinder i någon av de nämnda lagarna för att uppgifter (även sekretessbelagda) ska kunna skickas till åklagare i anslutning till att denne ska fatta beslut. Åklagarväsendets brottsdatalag utgör tillräckligt stöd för att åklagare ska kunna behandla person- uppgifterna på automatiserad väg. Någon särskild sekretessbestämmelse för uppgifterna bedöms inte heller behövas, eftersom uppgifterna även hos åklagaren omfattas av sekretessbestämmelserna i 18 kap. OSL.

Sammanfattningsvis leder det sagda till slutsatsen att i valet mellan de olika alternativ som finns för beslutsfattande enligt inhämtningslagen, framstår åklagare som det bästa alternativet av redan befintliga myndigheter. Enligt regeringens bedömning bör därför åklagare vid Åklagarmyndigheten anförtros uppgiften att fatta beslut om inhämtning enligt inhämtningslagen.

Några remissinstanser – Svea hovrätt, Malmö tingsrätt och Tullverket – förordar att en särskild nämnd ska stå för beslutsfattandet. Även utredningen för ett sådant resonemang utan att lämna något förslag i den delen. Polismetodutredningen föreslår i sitt betänkande Särskilda spaningsmetoder (SOU 2010:103) att det bör inrättas en särskild nämnd som ska fatta beslut i underrättelseverksamhet om tillstånd till särskilt ingripande åtgärder, t.ex. ljud- eller bildupptagning, identifiering av mobil elektronisk kommunikation och störning av sådan kommunikation. Det förslaget bereds alltjämt i Regeringskansliet, vilket innebär att någon sådan nämnd inte finns för närvarande. Det går därför inte att bedöma om en sådan nämnd skulle kunna vara mer lämpad än åklagare att besluta om tillstånd till inhämtning enligt inhämtningslagen. Enligt regeringens bedömning kan det – om Polismetodutredningens förslag genomförs i denna del – finnas skäl att överväga att lägga beslutsbefogenheten på denna nämnd i stället för på åklagare.

Ansökan om tillstånd enligt inhämtningslagen bör upprättas av Polismyndigheten, Säkerhetspolisen respektive Tullverket

Eftersom inhämtningslagen föreskriver att myndigheterna själva får fatta beslut om inhämtning finns det av uppenbara skäl inga regler i inhämtningslagen om vilken myndighet som ska upprätta ansökningar om

Prop. 2018/19:86

75

Skyldigheten att omedelbart häva beslut enligt inhämtningslagen bör ligga hos den ansökande myndigheten

I ett beslut om inhämtning ska det bl.a. anges vilken tid beslutet avser. Tiden får inte bestämmas längre än nödvändigt och får, när det gäller tid som infaller efter beslutet, inte överstiga en månad från dagen för beslutet. Om det inte längre finns skäl för ett beslut om inhämtning av uppgifter ska beslutet omedelbart hävas (5 §). Även om det initiala beslutet nu föreslås fattas av åklagare anser regeringen, i likhet med utredningen, att skyldigheten att häva beslutet fortfarande bör vila på Polismyndigheten, Säkerhetspolisen och Tullverket. Skälet till det är att de nämnda myndigheterna har bäst förutsättningar att bedöma om det inte längre finns skäl för ett beslut om inhämtning. För den beslutande åklagaren är det varken lämpligt eller möjligt att följa ett underrättelseärende så nära att denna bedömning kan göras med någon större precision. Ingen remissinstans invänder mot denna bedömning.

Underrättelse till Säkerhets- och integritetsskyddsnämnden bör göras av den ansökande myndigheten

Säkerhets- och integritetsskyddsnämnden (SIN) har i uppdrag att utöva tillsyn över bl.a. de brottsbekämpande myndigheternas användning av hemliga tvångsmedel och därmed sammanhängande verksamhet (1 § lagen [2007:980] om tillsyn över viss brottsbekämpande verksamhet). Att tillsynen även avser med tvångsmedelsanvändningen sammanhängande verksamhet innebär att både själva övervakningen och den vidare hanteringen av uppgifterna omfattas, t.ex. hantering av överskotts- information och att reglerna om underrättelseskyldighet följs.

Polismyndigheten, Säkerhetspolisen och Tullverket har alltså en skyldighet att bl.a. underrätta SIN om ett beslut om inhämtning enligt inhämtningslagen. Underrättelsen ska lämnas senast en månad efter det att ärendet om inhämtning avslutades (6 §). Även om beslutsrätten enligt inhämtningslagen placeras hos åklagare bör skyldigheten att underrätta SIN även fortsättningsvis ligga kvar hos respektive myndighet. Skälet till det är att tidpunkten för underrättelseskyldighetens fullgörande är kopplad till när ärendet om inhämtning avslutas. Det är endast Polismyndigheten, Säkerhetspolisen och Tullverket som har kännedom om när ett ärende avslutas. Ingen remissinstans invänder mot denna bedömning. Att underrättelseskyldigheten ska fullgöras av den ansökande myndigheten bör framgå av lagtexten.

Datalagringsutredningen föreslår att det i lagtexten även bör tydliggöras att underrättelseskyldigheten till SIN ska fullgöras genom att själva beslutet lämnas till nämnden. Av vad som upplysts till utredningen uppfyller de flesta sin underrättelseskyldighet genom att sända en kopia av besluten till SIN, men det har dock hänt att SIN underrättats om fattade beslut på annat sätt, t.ex. genom en särskild skrivelse som sannolikt inte utgör beslutet, och i vissa fall uppkommer frågan om SIN verkligen fått del av beslutet. Enligt SIN bör problemet dock inte överdrivas. Regeringen instämmer i att det bör vara själva beslutshandlingen som tillställs SIN, vilket också är det underrättelsesätt som använts i praktiken i huvuddelen av fallen. Regeringen anser dock inte att det finns ett behov av en särskild föreskrift om detta i lagen. SIN har dessutom rätt att få de uppgifter och

Prop. 2018/19:86

77

Förenade Kungariket, 18 maj 2010, mål nr 26839/05, punkt 167 och Roman Zakharov mot Ryssland, 4 december 2015, mål nr 47143/06, punkt 288).

Hemlig övervakning av elektronisk kommunikation

Den som har varit utsatt för hemliga tvångsmedel enligt rättegångsbalken ska som huvudregel underrättas om detta så snart det kan ske utan men för utredningen, dock senast inom en månad efter att förundersökningen avslutades (27 kap. 31 § RB). Det finns vissa möjligheter att skjuta upp underrättelsen om de uppgifter som den ska innehålla omfattas av vissa former av sekretess (27 kap. 33 § första stycket RB). Om sekretess fortfarande gäller ett år efter att förundersökningen avslutades behöver underrättelse inte lämnas. I sådana fall ska dock Säkerhets- och integritetsskyddsnämnden (SIN) underrättas om beslutet att avstå från underrättelse (14 b § andra stycket förundersökningskungörelsen [1947:948]). Vissa brott som faller inom Säkerhetspolisens ansvars- område, i fråga om utredningar om sabotagebrott, brott mot rikets inre och yttre säkerhet samt terroristbrott, är helt undantagna från underrättelse- skyldigheten (27 kap. 33 § tredje stycket RB).

Om övervakningen har avsett ett telefonnummer eller annan adress eller en viss elektronisk kommunikationsutrustning som innehas av någon annan än den misstänkte, ska även innehavaren underrättas. Om inhämtningen har skett i syfte att utreda vem som är skäligen misstänkt och integritetsintrånget för den enskilde kan antas vara ringa behöver underrättelse inte lämnas (27 kap. 31 § andra stycket RB). Någon underrättelse behöver inte heller lämnas till den som redan fått del av eller tillgång till uppgifterna eller om underrättelsen med hänsyn till omständigheterna uppenbart är utan betydelse (27 kap. 31 § femte stycket RB).

Vid användningen av hemlig övervakning av elektronisk kommunika- tion finns det alltså föreskrivet en underrättelseskyldighet gentemot den enskilde. EU-domstolen anger att risk för skada för utredningen kan motivera en uppskjuten underrättelse till den enskilde. De svenska bestämmelserna ger större möjligheter att skjuta upp underrättelse, t.ex. vid sekretess på grund av risker för skada för landets försvar (27 kap. 33 § RB och 15 kap. 2 § OSL). Det får dock anses att EU-domstolen inte uttömmande har angett vilka sekretessgrunder som kan anföras som skäl för att skjuta upp underrättelse. Det skulle nämligen inte vara rimligt om skydd för landets försvar inte skulle få åberopas medan det är möjligt att skjuta upp en underrättelse för att skydda en brottsutredning. Även sekretess för att skydda polisens arbetsmetoder bör rimligen få åberopas till stöd för att skjuta upp underrättelse (18 kap. 1 § OSL). I likhet med utredningen anser regeringen att de svenska reglerna för att kunna skjuta upp underrättelse bör kunna bibehållas.

Civil Rights Defenders ställer sig tveksamma till undantag från underrättelseskyldigheten som går längre än att endast skjuta upp en underrättelse till de berörda. EU-domstolen gör emellertid ingen bedömning av den situationen att det är fråga om att helt avstå från en underrättelse till den enskilde. Domstolen berör endast uppskjuten underrättelse. Att den svenska rättsordningen i vissa fall föreskriver en

Prop. 2018/19:86

79

82

Preventivlagen

Enligt preventivlagen ska en underrättelse lämnas till den som blivit utsatt för inhämtning av uppgifter om brottslig verksamhet som innefattar mord, dråp, grov eller synnerligen grov misshandel, människorov eller olaga frihetsberövande i avsikt att påverka ett offentligt organ eller den som yrkesmässigt bedriver nyhetsförmedling eller annan journalistik, att vidta eller avstå från att vidta en åtgärd eller att hämnas en åtgärd (16 §).

Om åtgärden har avsett ett telefonnummer eller annan adress, en viss elektronisk kommunikationsutrustning eller en plats som innehas av någon annan, ska även den personen underrättas.

Underrättelse ska lämnas så snart det kan ske efter det att det ärende som åtgärden vidtogs i har avlutats. En underrättelse behöver inte lämnas till den som redan har fått del av eller tillgång till uppgifterna. En underrättelse behöver inte heller lämnas om den med hänsyn till omständigheterna uppenbart är utan betydelse.

Underrättelse får skjutas upp om sekretess gäller. Om sekretess hindrar underrättelse i ett år behöver någon underrättelse inte lämnas (17 §).

För övrig brottslig verksamhet för vilken inhämtning kan ske enligt preventivlagen, föreskrivs ingen underrättelseskyldighet.

Underrättelseskyldigheten ska fullgöras av åklagare. Om sekretess hindrar underrättelse ska i stället SIN underrättas (förordningen [2007:1144] om fullgörande av underrättelseskyldighet enligt lagen [2007:979] om åtgärder för att förhindra vissa särskilt allvarliga brott).

Den som varit utsatt för övervakning enligt preventivlagen avseende vissa brott som huvudsakligen utreds av Polismyndigheten ska alltid underrättas om tvångsmedelsanvändningen. Underrättelseskyldigheten gäller dock inte för de brott som huvudsakligen utreds av Säkerhets- polisen. Reglerna kring detta är utformade på motsvarande sätt som för underrättelse vid hemlig övervakning av elektronisk kommunikation enligt rättegångsbalken. De skäl som redovisas ovan till stöd för regeringens uppfattning att underrättelsereglerna i rättegångsbalken är förenliga med EU-rätten har giltighet även vid bedömningen av

det givetvis inget som hindrar polisen från att ta detta i beslag om övriga förutsättningar för det är uppfyllda. Ett förbud mot tillgång till annat än uppgifter som lagras enligt datalagringsreglerna, synes inte heller ge någon större integritetsvinst eftersom uppgifterna ändå lagras av operatören. Bedömningen att tillgången till uppgifter även fortsatt ska avse de uppgifter som operatörerna sparar för egna ändamål stöds också av flertalet remissinstanser, bl.a. Åklagarmyndigheten, Säkerhetspolisen, Tullverket, Post- och telestyrelsen, Rädda barnen, Rättighetsalliansen och Musikförläggarna.

Flera organisationer inom film-, tv- och musikbranschen, t.ex. Film- och TV-branschens samarbetskommitté, Rättighetsalliansen och Sveriges Videodistributörers förening, anser att det bör införas ett juridiskt ansvar för operatörernas påstående om huruvida informationen finns eller inte. Regeringen anser att det inom ramen för detta lagstiftningsprojekt inte finns skäl att överväga en sådan regel, utan förutsätter att operatörerna följer det regelverk som finns. Om motsatsen skulle framkomma kan det dock finnas anledning att återkomma i frågan.

Den som är skyldig att lagra uppgifter enligt 6 kap. 16 a § lagen om elektronisk kommunikation har rätt till ersättning för kostnader som uppstår när lagrade uppgifter lämnas ut (6 kap. 16 e §). Det är Post- och telestyrelsen som bestämmer ersättningens storlek när det gäller sådana uppgifter som omfattas av lagringsskyldigheten. När det gäller utlämning av uppgifter som lagras för operatörernas egna ändamål finns inte någon motsvarande reglering av vilken ersättning som ska utgå. Ersättnings- nivåerna bestäms efter förhandlingar mellan de brottsbekämpande myndigheterna och berörda operatörer. Såsom utredningen konstaterar innebär detta att ersättningsnivåerna kan variera mellan olika operatörer. Utredningens uppfattning är att denna ordning inte är helt tillfredsställande och därför bör ändras. Utredningen lämnar dock inget sådant förslag. Utredningens uppfattning delas av Post- och telestyrelsen och Ecpat Sverige. Post- och telestyrelsen anser att det vore mer ändamålsenligt att reglera prissättningen på samma sätt som i dag gäller för utlämnande av uppgifter som omfattas av lagringsskyldigheten och att myndigheten bör ges mandat att fastställa även denna ersättning. Regeringen konstaterar att en ändring av denna reglering skulle kräva vissa lagändringar och att det inte finns något beredningsunderlag för att genomföra en sådan ändring i detta lagstiftningsärende. Det kan dock finnas anledning för regeringen att återkomma i frågan.

Prop. 2018/19:86

85

Prop. 2018/19:86

86

6.8Säkerhetspolisens inhämtning i underrättelseverksamhet för viss samhällsfarlig brottslighet

Regeringens förslag: Inhämtningslagens tidsbegränsade bestämmelse om inhämtning av uppgifter om elektronisk kommunikation för att förebygga, förhindra eller upptäcka brottslig verksamhet som innefattar vissa brott med lägre minimistraff än fängelse i två år ska göras permanent.

Möjligheten att hämta in uppgifter ska utvidgas till att gälla även vid misstanke om

•statsstyrt företagsspioneri

•grov misshandel och olaga frihetsberövande som begås i avsikt att påverka offentliga organ eller den som yrkesmässigt bedriver nyhetsförmedling eller annan journalistik att vidta eller avstå från att vidta en åtgärd eller i avsikt att hämnas en åtgärd.

Datalagringsutredningens förslag överensstämmer med regeringens. Remissinstanserna: Endast ett fåtal remissinstanser yttrar sig särskilt i denna del. Åklagarmyndigheten, Försvarsmakten, Juridiska institutionen på Handelshögskolan vid Göteborgs universitet och Stockholms universitet (Juridiska fakulteten) tillstyrker eller har ingen invändning mot förslaget. Malmö tingsrätt ifrågasätter om det finns ett reellt behov av att utvidga möjligheten att hämta in uppgifter om brottslig verksamhet enligt 3 § inhämtningslagen till att även omfatta statsstyrt företagsspioneri samt grov misshandel och olaga frihetsberövande som begås i vissa syften. Förslaget kan enligt tingsrätten även leda till tillämpningsproblem. Svenska Tidningsutgivareföreningen (TU) och Journalistförbundet anför att hoten mot massmedier ökar, men att de inte kan tillstyrka åtgärder som riskerar att negativt påverka meddelares anonymitet. De anser att det finns en risk att anonyma källor röjs i samband med kartläggning av misstänkt

brottslig verksamhet mot en journalist eller redaktion.

Polismyndigheten och Tullverket vill att det införs en straffvärdesventil för att bättre kunna bekämpa bl.a. grov organiserad brottslighet. Ekobrotts- myndigheten vill av samma skäl att även t.ex. grovt bokföringsbrott och grovt skattebrott ska omfattas av lagen. Enligt Försäkringskassan bör även grovt bidragsbrott omfattas.

Skälen för regeringens förslag

Säkerhetspolisens möjlighet att hämta in uppgifter om elektronisk kommunikation är tidsbegränsad

Säkerhetspolisens uppdrag är främst inriktat på att förhindra brott, och i mindre utsträckning på att utreda brott som redan har begåtts. Flera av de brott som Säkerhetspolisen bekämpar har lägre minimistraff än fängelse i två år och inhämtningslagens huvudregel kan då inte tillämpas. Det innebär att brott som exempelvis sabotage, spioneri, s.k. terrorism- finansiering (grovt brott) och s.k. terrorismrekrytering (grovt brott) faller utanför huvudregelns tillämpningsområde. För att kunna upptäcka och förhindra även sådana brott får, enligt en särskild bestämmelse i 3 §

inhämtningslagen, uppgifter om elektronisk kommunikation hämtas in vid brottslig verksamhet som innefattar vissa särskilt angivna brott med ett lägre straffminimum än fängelse i två år.

När bestämmelsen trädde i kraft gavs den begränsad giltighetstid till utgången av 2013. Skälet som regeringen angav för den begränsade giltighetstiden var att både lagen (2007:979) om åtgärder för att förhindra vissa särskilt allvarliga brott och lagen (2008:854) om åtgärder för att utreda vissa samhällsfarliga brott var tidsbegränsade till utgången av 2013 och föremål för utvärdering. Därför borde bestämmelsen i inhämtnings- lagen tills vidare ges samma giltighetstid som dem. Det angavs också att frågan om Säkerhetspolisens fortsatta tillgång till uppgifter om elektronisk kommunikation för tiden efter utgången av 2013 borde övervägas i det sammanhang då man överväger en framtida reglering av hemliga tvångsmedel för särskilt allvarlig eller samhällsfarlig brottslighet (prop. 2011/12:55 s. 87).

Sådana överväganden har gjorts, och resulterade i att bestämmelserna i de tidsbegränsade lagarna om hemliga tvångsmedel permanentades (prop. 2013/14:237). Under det pågående lagstiftningsarbetet förlängdes giltighetstiden för 3 § inhämtningslagen till utgången av 2014 (prop. 2012/13:180, bet. 2013/14:JuU7, rskr. 2013/14:38). När lagstiftnings- ärendet sedan slutfördes förlängdes giltighetstiden – trots förslag om att permanenta bestämmelsen – ytterligare en gång, till utgången av 2016. Som skäl för förlängningen angav regeringen att den hittillsvarande tillämpningen av inhämtningslagen borde kartläggas och analyseras ytterligare innan slutlig ställning togs till hur Säkerhetspolisens behov av uppgifter om elektronisk kommunikation i underrättelseverksamhet borde tillgodoses (prop. 2013/14:237 s. 116).

En sådan utvärdering av inhämtningslagen har gjorts av Datalagrings- utredningen. Utredningen förslår att bestämmelsen i 3 § inhämtningslagen ska gälla permanent. Innan slutlig ställning tas till en permanentning av 3 § har regeringen velat avvakta utgången av processen i EU-domstolen om den svenska datalagringsregleringen. För att inte bestämmelsen ska upphöra att gälla har giltighetstiden därför förlängts ytterligare två gånger, först till utgången av 2017 och sedan till utgången av 2019 (prop. 2015/16:177, bet. 2015/16:JuU35, rskr. 2015/16:320 och prop. 2016/17:186, bet. 2016/17:JuU28, rskr. 2016/17:343).

Säkerhetspolisens möjlighet att hämta in uppgifter om elektronisk kommunikation bör gälla permanent

Bestämmelsen i 3 § inhämtningslagen upphör alltså att gälla vid årsskiftet 2019/2020. Förslaget om att bestämmelsen ska gälla permanent tar avstamp i en ingående kartläggning av den hittillsvarande tillämpningen av lagen. Utredningen har tittat på dels vilket behov som finns av tvångsmedelsanvändning enligt lagen, dels vilken nytta den har inneburit för den brottsbekämpande verksamheten. Även frågan om vilken inverkan lagen har haft på enskildas personliga integritet har utvärderats. Av kartläggningen framgår att tillämpningen av lagen har lett till beaktansvärd nytta i samband med underrättelsearbete avseende brottslig verksamhet som innefattar flera av de brott som för närvarande omfattas av den tidsbegränsade bestämmelsen. Flera av brotten anses dessutom

Prop. 2018/19:86

87

88

De brott som omfattas av den tidsbegränsade bestämmelsen riktar sig på olika sätt mot samhällsstrukturen och Sveriges säkerhet. Sådana brott är särskilt angelägna att upptäcka och förhindra. Det finns ingenting som tyder på att Säkerhetspolisens behov av en särskild inhämtningsmöjlighet skulle minska inom överskådlig tid. Tvärtom talar den senaste utvecklingen i omvärlden, men även i Sverige, för att det behövs effektiva och ändamålsenliga verktyg för att förebygga, förhindra och upptäcka brottslighet som direkt eller indirekt hotar vitala samhällsintressen. En försämring i det avseendet skulle kunna medföra allvarliga risker för Sveriges säkerhet. Det har inte heller i övrigt kommit fram något som ger skäl att anta att de sakförhållanden som ligger till grund för regeringens bedömning är av tillfällig natur. Enligt regeringen väger samhällets och medborgarnas intresse av att den aktuella brottsligheten upptäcks och förhindras tyngre än integritetsintresset för dem som kan komma att bli föremål för tvångsmedlet. Möjligheten att hämta in uppgifter om elektronisk kommunikation om brott med lägre minimistraff än två års fängelse bör alltså finnas kvar och bör inte längre vara tidsbegränsad. Remissinstanserna motsätter sig inte heller detta. Bestämmelsen bör alltså göras permanent. Liksom utredningen föreslår, och som ingen remissinstans invänder mot, bör bestämmelsen även i fortsättningen gälla de brott som den omfattar i dagsläget. Av lagtekniska skäl bör dock nuvarande föreskrifter i 3 § arbetas in i 2 § inhämtningslagen.

Bör bestämmelsen omfatta fler brott?

Datalagringsutredningen föreslår att den brottskatalog som finns i 3 § inhämtningslagen ska utvidgas till att omfatta vissa ytterligare brott. Det handlar dels om s.k. statsstyrt företagsspioneri, dels om grov misshandel och olaga frihetsberövande som begås i avsikt att påverka offentliga organ eller den som yrkesmässigt bedriver nyhetsförmedling eller annan journalistik att vidta eller avstå från att vidta en åtgärd eller i avsikt att hämnas en åtgärd.

Vid utvidgning av området för ett hemligt tvångsmedel måste behovet och nyttan av att använda tvångsmedlet alltid vägas mot det integritets- intrång som åtgärden kan innebära. Vid en sådan avvägning får brottets allvar en stor betydelse. Detta kan mätas främst genom brottets straffskala eller förväntade straffvärde. I tidigare lagstiftningsärenden har dock även styrkan i det skyddsintresse som motiverar kriminaliseringen beaktats. Vissa brott har då, utan att detta direkt avspeglats i straffskalan, betecknats som särskilt allvarliga eftersom de har ansetts som samhällsfarliga (prop. 2007/08:163 s. 29–30 och prop. 2013/14:237 s. 78).

Statsstyrt företagsspioneri innebär att främmande makt bedriver spionage mot svenska företag med avsikt att få tillgång till företags- hemligheter. Till skillnad från traditionellt spionage, som syftar till att

underminera ett lands säkerhet, är företagsspioneriets motiv främst att skaffa ekonomisk vinning och inhämta teknisk kunskap. Sådant spioneri kan få allvarliga konsekvenser för svenska företag och i förlängningen kan viktiga svenska samhällsintressen som är avgörande för vårt välstånd drabbas. Brottsligheten kan även försämra förutsättningarna att utveckla och upprätthålla skyddet för landets säkerhet. Civil forskning har fått allt större betydelse för att driva teknikutvecklingen och även för att ta fram teknik som kan användas i militära syften. Exempel på detta är bioteknisk forskning som kan användas för att utveckla och tillverka biologiska och kemiska massförstörelsevapen. Eftersom resultaten av sådan forskning kan missbrukas är det av stor vikt att den skyddas. Även här står alltså stora samhällsvärden på spel. Vidare är de personer som deltar i spioneri- verksamhet ofta välutbildade underrättelseofficerare som tränats och dessutom understöds av främmande makt. Dessa personer är i allmänhet mycket säkerhetsmedvetna vilket gör brottsligheten svår att upptäcka och förhindra.

Bland annat av dessa skäl har regeringen gjort bedömningen att statsstyrt företagsspioneri är så allvarligt att hemlig rumsavlyssning – som ur ett integritetsperspektiv typiskt sett anses som det mest ingripande tvångsmedlet – bör tillåtas för att bekämpa brottet, låt vara att det är begränsat till brott som inte kan antas leda till endast böter (27 kap. 20 d § 3 RB, prop. 2013/14:237 s. 89–90). Av samma skäl har brottet även lagts till i brottskatalogen i preventivlagen (1 § första stycket 5, prop. 2013/14:237 s. 114–115). Redan i skedet innan en förundersökning har inletts är det alltså möjligt att använda de betydligt mer integritetskänsliga tvångsmedlen hemlig avlyssning av elektronisk kommunikation och hemlig kameraövervakning. Det kan ur ett systematiskt perspektiv anses rimligt och logiskt att statsstyrt företags- spioneri även omfattas av den särskilda inhämtningsmöjligheten enligt inhämtningslagen.

En fråga som emellertid kan ställas är om Säkerhetspolisens behov av uppgifter om elektronisk kommunikation i underrättelseverksamheten i tillräcklig utsträckning tillgodoses genom möjligheten till hemlig övervakning av elektronisk kommunikation enligt preventivlagen. Som utredningen konstaterar skiljer sig emellertid rekvisiten för att få tillgång till information väsentligt mellan de två lagarna. En viktig skillnad är att det i inhämtningslagen inte finns något krav på att inhämtningen ska kunna kopplas till en viss person. Enligt utredningen är informationsinhämtning utan ett krav på koppling till en viss person särskilt ägnad att tillgodose vissa behov hos Säkerhetspolisen, t.ex. att identifiera det okända hotet genom att identifiera okända aktörer och bedöma vilket hot de utgör. Preventivlagen är inte heller något allmänt underrättelseverktyg, utan när den lagen tillämpas är det uteslutande i situationer där det handlar om att förhindra att en på visst sätt konkretiserad risk förverkligas. Utredningen bedömer mot den bakgrunden att behovet av en möjlighet att hämta in uppgifter enligt inhämtningslagen inte påverkas i någon större utsträck- ning av att preventivlagen innehåller en möjlighet att använda hemlig övervakning av elektronisk kommunikation beträffande det aktuella brottet. Regeringen har ingen annan uppfattning. Inte heller remiss- instanserna framför några synpunkter i den delen.

Prop. 2018/19:86

89

Skälen för regeringens bedömning

Vad innefattas i uttrycket uppgift om abonnemang?

Med uppgift om abonnemang i 6 kap. 20 § lagen om elektronisk kom- munikation avses t.ex. uppgifter om abonnentens nummer, namn, titel och adress (prop. 1992/93:200 s. 310). Vidare har det ansetts innefatta såväl fasta som dynamiska ip-adresser och IMSI-nummer (ett nummer som är kopplat till abonnentens simkort och därmed telefonnummer) (se t.ex. prop. 2011/12:55 s. 101 och Kammarrätten i Stockholms dom den

19januari 2010 i RK 2010:1). I de bakomliggande EU-direktiven till lagen om elektronisk kommunikation anges inte uppgifter om abonnemang som en särskild kategori uppgifter. I motsats till vad som gäller i fråga om trafik- och lokaliseringsuppgifter ger EU-rätten därför inte någon direkt ledning för hur uppgift om abonnemang ska definieras, se vidare nedan.

I likhet med utredningen anser regeringen att det kan ifrågasättas om det är lämpligt eller ens möjligt att definiera uppgifter om abonnemang endast utifrån vilken uppgift det är fråga om. I stället är det mer relevant att som utgångspunkt definiera uppgifter om abonnemang som uppgifter som identifierar abonnenten eller den registrerade användaren bakom ett visst nummer eller en viss adress, i motsats till uppgifter som redogör för hur numret eller adressen har använts. Med en sådan definition utgör t.ex. uppgift om vilken abonnent som är kopplad till ett visst IMSI-nummer en uppgift om abonnemang, medan information om vilka andra nummer eller adresser som ett visst IMSI-nummer har kommunicerat med inte gör det.

Ett annat exempel är ip-adresser. En ip-adress är en adress som en dator eller ett lokalt nätverk tilldelas för att datapaket (en datamängd som behandlas som en enhet när data skickas från sändare till mottagare över datornät) ska kunna skickas och tas emot över internet genom den tekniska kommunikationsstandarden Internet Protocol. Ip-adressen kan därför, något förenklat, liknas vid en postadress för vanliga brevförsändelser. Ip- adressen är en teknisk uppgift som ingår i varje datapaket och som behövs för att datapaketet ska nå sin destination på internet. En ip-adress kan vara fast eller dynamisk och tilldelas en användare via t.ex. en internet- leverantör. Av praktiska skäl tilldelas privatpersoner vanligen dynamiska ip-adresser. Dessa är inte konstant knutna till specifika datorer eller annan utrustning som kommunicerar över internet, utan tilldelas olika datorer beroende på vilka enheter som vid varje given tidpunkt är uppkopplade mot internet. Eftersom ip-adressen hänför sig till internetuppkopplingen som sådan och inte till något särskilt meddelande, kan ip-adressens huvudsakliga syfte sägas vara att identifiera abonnenten. Mot den bak- grunden anses ip-adressen, oberoende av om den är fast eller dynamisk, vara en uppgift om abonnemang (prop. 2011/12:55 s. 101). Det förtjänar också att påpekas att uppgifter som går utöver vad som kan anses som identitetsuppgifter, t.ex. vilka andra ip-adresser som innehavaren har kommunicerat med, vilka webbplatser som en viss ip-adress har besökt och liknande uppgifter inte omfattas (prop. 2011/12:55 s. 102). Att ip- adresser, oavsett om de är fasta eller dynamiska, är att anse som uppgift om abonnemang har också bekräftats av Kammarrätten i Stockholm i en dom den 14 december 2018 (mål nr 2471-18), se vidare nedan.

Den beskrivna definitionen av uppgifter om abonnemang kan också sägas vara i linje med hur de olika uppgiftskategorierna exemplifierades i

Prop. 2018/19:86

93

betydelse uppgifterna ofta kan ha för polisens möjlighet att över huvud taget utreda brott som begås på internet. (prop. 2011/12:55 s. 102–103) Användandet av internet och telekommunikation har därefter fortsatt att växa och det finns ingenting som talar för att användningen av it-verktyg och elektronisk kommunikation vid brottslighet avtar eller att behovet av uppgifter om abonnemang för brottsbekämpningen minskar. Avvägning- arna framstår därmed fortfarande som giltiga.

Eftersom tillgång till abonnemangsuppgifter inte utgör en hemlig övervakningsåtgärd och ingreppet i privatlivet är begränsat i jämförelse med tillgång till trafik- och lokaliseringsuppgifter, finns det inte något krav på förhandskontroll av domstol eller annan oberoende myndighet, eller på underrättelse till de berörda. Vid en jämförelse med t.ex. husrannsakan, som normalt får beslutas av undersökningsledaren, är inhämtning av uppgifter om abonnemang betydligt mindre integritetskränkande, både i utförande och med beaktande av vilken information som kan fås fram. I någon mån kan också en jämförelse göras med inhämtande av annan identitetsinformation som omfattas av tystnadsplikt, såsom uppgift om innehavaren av ett visst bankkort eller ännu mer integritetskänslig information, såsom hur bankkortet har använts, 1 kap. 10–12 §§ lagen (2004:297) om bank- och finansieringsrörelse. Enligt denna reglering krävs inte beslut av domstol och bestämmelserna ger undersökningsledare eller åklagare möjlighet att besluta att kreditinstitutet, dess styrelse- ledamöter eller anställda inte får röja för kunden eller för någon utomstående att uppgifter har lämnats eller att det pågår en förunder- sökning.

Några remissinstanser, t.ex. Post- och Telestyrelsen, Netnod Internet Exchange i Sverige AB och RISE SICS AB, påpekar att användningen av dynamiska ip-adresser och NAT-teknik (som gör det möjligt för flera abonnenter att använda samma publika ip-adress) har ökat. För att kunna veta vem som använt en ip-adress vid ett specifikt tillfälle kan det därför vara nödvändigt att ha tillgång till exakta tidsuppgifter för när adressen användes. Remissinstanserna anser därför att de uppgifter man måste behandla sammantaget kan lämna mycket exakt information om abonnenternas internetkommunikation och därmed vara mer integritets- känslig. Enligt regeringens mening torde det ur integritetssynpunkt dock inte vara någon större skillnad mellan att kartlägga någon via en fast ip- adress, via en dynamisk ip-adress eller via en ip-adress där trafiken styrs av NAT-teknik. Inte i något fall lagras vilka webbplatser som användaren har besökt eller annan motsvarande information. Det finns inte heller någon tidsmässig koppling mellan ip-adressen och överföringen av information. Ip-adressen kan vara fast eller tilldelas en användare i samband med internetåtkomsten. Normalt används sedan den (dynamiska) ip-adressen under en i förväg bestämd lånetid eller tills användaren kopplar ner från internet; någon direkt koppling till trafik finns därför inte.

Den svenska regleringen om abonnemangsuppgifter är förenlig med EU- rätten

Med anledning av EU-domstolens dom i Tele2-målet har frågan väckts om uppgifter om abonnemang, och i synnerhet ip-adresser, omfattas av domen eller inte. Bedömningen av denna fråga får bl.a. betydelse för vilka regler

Prop. 2018/19:86

95

nationell säkerhet, försvaret och allmän säkerhet samt för förebyggande, undersökning, avslöjande av och åtal för brott. Som framgår i avsnitt 4.2 kommer EU-domstolen fram till att artikel 15.1 i direktiv 2002/58 jämförd med ovannämnda grundläggande rättigheter enligt EU:s rättighetsstadga utgör hinder för en nationell lagstiftning som inte begränsar behöriga nationella myndigheters tillgång till lagrade uppgifter till åtgärder som syftar till att bekämpa grov brottslighet och inte föreskriver att tillgången ska vara underkastad förhandskontroll av en domstol eller en oberoende förvaltningsmyndighet.

I förhandsavgörandet uttalar sig domstolen generellt om helheten i det svenska systemet kring lagring och tillgång till uppgifter om elektronisk kommunikation. De uttalanden som domstolen gör tar i första hand sikte på de mer integritetskänsliga trafik- och lokaliseringsuppgifterna. EU- domstolen har inte gjort uttalanden som specifikt handlar om regleringen kring uppgifter om abonnemang. EU-domstolens uttalanden i Tele2- domen ger således t.ex. inte ledning i frågan om vilka krav som ska upp- ställas vid utlämnande av enbart uppgifter om abonnemang. Det går alltså inte att, med hänvisning till Tele2-domen, dra slutsatsen att de svenska bestämmelserna om lagring och tillgång till uppgifter om abonnemang står i strid med EU-rätten.

I linje med detta har EU-domstolen i förhandsavgörandet i Ministerio Fiscal (dom den 2 oktober 2018, mål nr C-207/16) slagit fast att tillgång till vissa typer av abonnemangsuppgifter (identitetsuppgifter för inne- havare av SIM-kort som aktiverats med en stulen mobiltelefon, såsom för- och efternamn och adress) visserligen utgör ett ingrepp i berörda personers grundläggande rättigheter enligt artikel 7 och 8 EU:s rättighetsstadga, men att ingreppet inte är så allvarligt att tillgången till uppgifterna i samband med brottsbekämpning måste begränsas till kampen mot allvarlig brottslighet (punkt 63). EU-domstolen konstaterar att domstolens tidigare uttalanden i Tele2-domen om att endast kampen mot allvarlig brottslighet kan motivera att myndigheterna får tillgång till lagrade uppgifter, avser sådana uppgifter som sammantagna kan göra det möjligt att dra mycket precisa slutsatser om privatlivet för de personer vilkas uppgifter lagrats. Denna tolkning motiveras med att syftet med en lagstiftning måste stå i rimlig proportion till hur allvarligt ingrepp åtgärden innebär. I enlighet med proportionalitetsprincipen kan ett allvarligt ingrepp i samband med brottsbekämpning endast motiveras av syftet att bekämpa brottslighet, som då också måste kvalificeras som allvarlig. När det ingrepp som en tillgång innebär däremot inte är allvarligt, kan det dock motiveras av syftet att förebygga, utreda, upptäcka och lagföra brott i allmänhet (punkterna 54– 57). Eftersom det i det aktuella fallet var fråga om uppgifter som inte gjorde det möjligt att dra precisa slutsatser om privatlivet för de personer vars uppgifter berörs, var ingreppet inte så allvarligt att tillgången till dessa uppgifter behövde begränsas till allvarlig brottslighet (punkterna 60–62).

Kammarrätten i Stockholm har därefter tagit ställning i frågan om uppgift om abonnemang i den svenska lagstiftningen (dom den 14 december 2018, mål nr 2471-18). Kammarrätten konstaterar att uppgifter om abonnemang enligt 6 kap. 20 § första stycket 1 lagen om elektronisk kommunikation utgörs av exempelvis uppgifter om namn, adress, abonnentnummer och uppgifter om ip-adress som kan användas för att identifiera en abonnent. Kammarrätten pekar vidare på att det i

Prop. 2018/19:86

97