Datalagring och åtkomst till elektronisk information

2021 års datalagringsutredning

Stockholm 2023

SOU 2023:22

SOU och Ds finns på regeringen.se under Rättsliga dokument.

Svara på remiss – hur och varför

Statsrådsberedningen, SB PM 2021:1.

Information för dem som ska svara på remiss finns tillgänglig på regeringen.se/remisser.

Layout: Kommittéservice, Regeringskansliet

Omslag: Elanders Sverige AB

Tryck och remisshantering: Elanders Sverige AB, Stockholm 2023

ISBN 978-91-525-0611-0 (tryck)

ISBN 978-91-525-0612-7 (pdf)

ISSN 0375-250X

Till statsrådet och chefen för Justitiedepartementet

Regeringen beslutade den 5 augusti 2021 att tillkalla en särskild ut- redare med uppdraget att se över den lagstiftning som medför en skyl- dighet för tillhandahållare av elektroniska kommunikationstjänster att lagra uppgifter om elektronisk kommunikation för brottsbekämpande syften, samt vissa anknytande frågor om myndigheternas tillgång till sådana uppgifter. (dir. 2021:58). Till särskild utredare förordnades samma dag f.d. lagmannen Sigurd Heuman.

Rättssakkunniga Staffan Uhlmann (Justitiedepartementet) samt kansliråden Felisa Krzyzanski och Susanna Mattsson (Infrastruktur- departementet, numera Finansdepartementet) förordnades som sak- kunniga att biträda utredningen från och med den 23 september 2021. Som experter förordnades från och med samma dag advokaten Johanna Björkman (Advokatsamfundet), enhetschefen Cecilia Agnehall (Säker- hets- och integritetsskyddsnämnden), vice chefsåklagaren Måns Biörklund (Åklagarmyndigheten), kammaråklagaren Johan Lengholm (Åklagarmyndigheten), vice chefsåklagaren Ted Murelius (Ekobrotts- myndigheten), juristen Peder Cristvall (Post- och telestyrelsen), råd- mannen Christofer Gatenheim (Göteborgs tingsrätt), juristerna Sofie Klahr och Anna Olander Selldén (Polismyndigheten), enhetschefen Robert Nygren och verksjuristen Carl Rundström Frödén (Säkerhets- polisen), verksjuristen Micaela Nordberg (Tullverket) och juristen Lisa Zettervall (Integritetsskyddsmyndigheten).

Måns Biörklund entledigades från och med den 24 februari 2022 och ersattes av kammaråklagaren Christoffer Östlind (Åklagarmyn- digheten). Cecilia Agnehall entledigades från och med den 8 juli 2022 och ersattes av verksjuristen Jessica Öhlund Andersson (Säkerhets- och integritetsskyddsnämnden). Carl Rundström Frödén entlediga-

des från och med den 21 oktober 2022 och ersattes av verksjuristen Maria Sertcanli (Säkerhetspolisen).

Som sekreterare anställdes från och med den 16 augusti 2021 rätts- chefen Eva Melander Tell. Från och med den 25 juli 2022 anställdes rättsutvecklaren Soheil Roshanbin som sekreterare varvid Eva Melander Tell blev huvudsekreterare. Eva Melander Tell entledigades från upp- draget från och med den 6 februari 2023.

Utredningen har antagit namnet 2021 års datalagringsutredning. Sigurd Heuman svarar som utredare ensam för innehållet i betänkan- det även om också experterna har ställt sig bakom det, i den mån inte annat framgår av ett särskilt yttrande. Särskilda uppfattningar i en- skildheter och i formuleringar kan dock förekomma utan sådant yttrande. Härmed överlämnas betänkandet Datalagring och åtkomst till elektronisk information (SOU 2023:22).

Stockholm i maj 2023

Sigurd Heuman

/ Eva Melander Tell

Soheil Roshanbin

Innehåll

Förkortningar.....................................................................

15

Sammanfattning ................................................................

21

Summary ..........................................................................

31

1

Författningsförslag.....................................................

41

1.1Förslag till lag (2024:000) om inhämtning

av elektronisk information som är lagrad utanför

Sverige vid användning av straffprocessuella

 

tvångsmedel .............................................................................

41

1.2Förslag till lag (2025:000) om lagring av och åtkomst till uppgifter om elektronisk kommunikation i syfte

att skydda Sveriges säkerhet ...................................................

42

1.3Förslag till lag (2025:000) om lagring av uppgifter om elektronisk kommunikation i syfte att bekämpa

grov brottslighet .....................................................................

47

1.4Förslag till lag om ändring i lagen (2007:980) om tillsyn

över viss brottsbekämpande verksamhet...............................

50

1.5Förslag till lag om ändring i offentlighets-

och sekretesslagen (2009:400)................................................

52

1.6Förslag till lag om ändring i lagen (2012:278) om inhämtning av uppgifter om elektronisk

kommunikation i de brottsbekämpande

 

myndigheternas underrättelseverksamhet.............................

59

5

Innehåll

SOU 2023:22

1.7Förslag till lag om ändring i lagen (2022:482)

om elektronisk kommunikation ............................................

60

1.8Förslag till förordning om ändring i förordningen

(2007:951) med instruktion för Post- och telestyrelsen......

76

1.9Förslag till förordning om ändring i förordningen

 

(2007:1141) med instruktion för Säkerhets- och

 

 

integritetsskyddsnämnden .....................................................

79

1.10

Förslag till förordning om ändring i förordningen

 

 

(2022:511) om elektronisk kommunikation.........................

82

2

Utredningens uppdrag och arbete ................................

89

2.1

Utredningens uppdrag ...........................................................

89

2.2

Utredningsarbetet ..................................................................

90

2.3

Betänkandets disposition .......................................................

91

3

Grundläggande rättigheter ..........................................

93

3.1

Rätten till personlig integritet ...............................................

93

3.2

Skyddet för privatlivet............................................................

94

 

3.2.1

FN:s konventioner..................................................

94

 

3.2.2

Europakonventionen ..............................................

94

 

3.2.3

EU:s rättighetsstadga..............................................

97

 

3.2.4

Regeringsformen .....................................................

97

3.3

Skyddet för personuppgifter..................................................

98

 

3.3.1

Dataskyddskonventionen .......................................

98

 

3.3.2

EU-rättslig reglering ...............................................

98

 

3.3.3

Nationell lagstiftning ............................................

100

3.4

Yttrandefrihet .......................................................................

101

4

Elektronisk kommunikation.......................................

103

4.1

Allmänt om elektronisk kommunikation ...........................

103

4.2Integritetsskydd och tystnadsplikt

vid elektronisk kommunikation...........................................

105

6

SOU 2023:22

Innehåll

4.3

Nya lagen om elektronisk kommunikation.........................

107

5

Uppgifter om elektronisk kommunikation

 

 

i brottsbekämpande verksamhet ................................

113

5.1

Brottsbekämpande verksamhet ............................................

113

5.2

Allmänt om straffprocessuella tvångsmedel........................

115

5.3Tillgången till uppgifter om elektronisk

kommunikation.....................................................................

117

5.3.1

Tillgången till uppgift om abonnemang, m.m. ....

117

5.3.2Tillgången till trafik- och lokaliseringsuppgifter

inom en förundersökning......................................

120

5.3.3Tillgången till trafik- och lokaliseringsuppgifter

 

utanför en förundersökning....................................

122

5.3.4

Hemlig dataavläsning ............................................

126

5.3.5

Genomsökning på distans.....................................

127

5.4 Svensk jurisdiktion och internationell rättslig hjälp ...........

128

5.4.1

Svensk jurisdiktion ................................................

128

5.4.2

Internationell rättslig hjälp ...................................

130

5.5Nyttan och behovet av uppgifter om elektronisk

 

kommunikation.....................................................................

132

6

Lagring och tillgång till uppgifter i syfte

 

 

att bekämpa brott ....................................................

135

6.1

Inledning................................................................................

135

6.2

Bakgrunden till nuvarande reglering....................................

136

 

6.2.1

Tele2-domen ..........................................................

136

 

6.2.2

Tolkningen av Tele2-domen i Sverige ..................

139

6.3

EU-domstolens praxis efter Tele2-domen ..........................

142

 

6.3.1

Ministerio Fiscal-domen .......................................

142

 

6.3.2

La Quadrature du Net-domen..............................

143

 

6.3.3

Privacy International-domen ................................

146

 

6.3.4

Prokuratuur-domen ..............................................

147

 

6.3.5

Garda Síochána-domen .........................................

150

 

6.3.6

SpaceNet-domen ...................................................

153

7

Innehåll

SOU 2023:22

6.4 Europadomstolens praxis.....................................................

159

6.4.1Domen (2021-05-25) i målet Big Brother

Watch m.fl. mot Storbritannien ...........................

160

6.4.2Domen (2021-05-25) i målet Centrum

 

 

för Rättvisa mot Sverige........................................

161

6.5

Internationell utblick ...........................................................

162

 

6.5.1

Danmark ................................................................

162

 

6.5.2

Frankrike ...............................................................

164

 

6.5.3

Belgien ...................................................................

166

6.6

Överväganden och förslag....................................................

167

6.6.1Lagring av uppgifter om abonnemang

 

för att bekämpa brottslighet .................................

167

6.6.2

Särskilt om begreppet trafikuppgift.....................

174

6.6.3Behov av anpassningar till EU-rätten

 

 

och teknikutvecklingen.........................................

177

 

6.6.4

Sanktionsavgifter...................................................

179

7

Särskilt om lagring och tillgång till uppgifter

 

 

i syfte att skydda nationell säkerhet ...........................

181

7.1

Inledning ...............................................................................

181

7.2

Vad menas med nationell säkerhet? ....................................

182

7.2.1Uttrycket nationell säkerhet i EU-rätten

 

och Europarätten...................................................

182

7.2.2

Uttrycket nationell säkerhet i Sverige .................

184

7.3 Överväganden och förslag....................................................

185

7.3.1Den behöriga myndigheten och bedömningen

 

av hotet mot Sveriges säkerhet .............................

185

7.3.2

Förvaltningslagens tillämplighet ..........................

191

7.3.3

Säkerhetspolisens beslut om lagring ....................

193

7.3.4

En effektiv kontroll av lagringsskyldigheten.......

196

7.3.5

Kontrollorganet.....................................................

203

7.3.6

Lagringsskyldighetens omfattning.......................

211

7.3.7

Tillgången till lagrade uppgifter ...........................

224

7.3.8Personuppgiftsbehandling vid lagring

 

för nationell säkerhet ............................................

231

7.3.9

Sekretess och tystnadsplikt m.m..........................

234

8

SOU 2023:22Innehåll

8

Särskilt om lagring och tillgång till uppgifter i syfte

 

 

att bekämpa grov brottslighet....................................

249

8.1

Inledning................................................................................

249

8.2

Vad menas med grova brott och grov brottslighet? .............

250

8.3

Överväganden och förslag ....................................................

251

 

8.3.1

Geografiskt riktad lagring .....................................

251

 

8.3.2

Utökad riktad lagring ............................................

274

8.3.3Lagringsskyldighetens omfattning vid

 

geografiskt riktad lagring och utökad riktad

 

 

lagring.....................................................................

304

8.3.4

En ny lag om riktad lagring av uppgifter

 

 

om elektronisk kommunikation ...........................

313

8.3.5Tillgången till lagrade uppgifter vid riktad

lagring och rättssäkerhetsgarantier.......................

314

8.3.6Personuppgiftsbehandling vid riktad lagring

 

 

i syfte att bekämpa grov brottslighet....................

316

 

8.3.7

Sekretess och tystnadsplikt...................................

319

9

Särskilt om lagring och tillgång till uppgifter

 

 

från s.k. OTT-tjänster ................................................

325

9.1

Inledning................................................................................

325

9.2OTT-tjänster och nummeroberoende interpersonella

kommunikationstjänster (Noik) .........................................

326

9.3 Närmare om Noik.................................................................

326

9.3.1

Definitioner ...........................................................

326

9.3.2

Ip-adress i stället för telefonnummer ...................

330

9.3.3

”Svenska” ip-adresser ............................................

332

9.3.4

Hur sker kommunikation via Noik? ....................

333

9.3.5

Totalsträckskryptering vid kommunikation........

336

9.3.6Vilka uppgifter har tillhandahållare av Noik

tillgång till? ............................................................

336

9

Innehåll

SOU 2023:22

9.4 Pågående och genomfört arbete inom EU..........................

338

9.4.1Förslaget till förordning om tillgång

till e-bevisning .......................................................

338

9.4.2Särskild teknik för att bekämpa sexuella

övergrepp mot barn på nätet.................................

339

9.4.3Nya förordningar om digitala tjänster

och marknader.......................................................

340

9.5Lagringsskyldighet för tillhandahållare

av Noik i vissa länder ............................................................

341

9.6 Överväganden och förslag....................................................

342

9.6.1En lagringsskyldighet för tillhandahållare

 

av Noik ..................................................................

342

9.6.2

En tystnadsplikt för tillhandahållare av Noik .....

364

9.6.3Åtkomsten till lagrade uppgifter

hos tillhandahållare av Noik .................................

371

9.6.4Krav på säkerhet och villkor för behandlingen

av uppgifter m.m. för tillhandahållare av Noik ... 382

10

En modernisering av anpassningsskyldigheten, m.m. ....

389

10.1

Inledning ...............................................................................

389

10.2

Gällande rätt .........................................................................

390

10.3

Frågans tidigare behandling .................................................

393

10.4

Överväganden och förslag....................................................

398

 

10.4.1 Verksamheter som bör omfattas

 

 

 

av anpassningsskyldigheten ..................................

398

 

10.4.2

Utformningen av anpassningsskyldigheten.........

406

 

10.4.3 En anpassningsskyldighet för tillhandahållare

 

 

 

av Noik ..................................................................

418

 

10.4.4 Rätten till ersättning för tillhandahållare

 

 

 

av Noik ..................................................................

425

 

10.4.5

Medverkansskyldighet för tillhandahållare

 

 

 

av Noik vid hemlig dataavläsning .........................

426

10.5

Sanktionsavgifter ..................................................................

428

10

SOU 2023:22Innehåll

11

Vissa frågor om exekutiv jurisdiktion ..........................

431

11.1

Inledning................................................................................

431

11.2

Folkrättsliga källor................................................................

432

11.3

Exekutiv jurisdiktion ............................................................

433

11.4

Regler i svensk rätt om internationellt straffrättsligt

 

 

samarbete...............................................................................

435

 

11.4.1 Lagen om internationell rättslig hjälp

 

 

 

i brottmål................................................................

435

 

11.4.2 Lagen om en europeisk utredningsorder .............

437

 

11.4.3 Andra författningar som rör internationell

 

 

 

rättslig hjälp om bevisinhämtning.........................

439

11.5

Arbetet inom Europarådet ...................................................

440

 

11.5.1

Budapestkonventionen..........................................

440

 

11.5.2 Fortsatt arbete inom Europarådet ........................

442

11.6

Arbetet inom Europeiska unionen ......................................

447

 

11.6.1 Förslaget till förordning om tillgång

 

 

 

till e-bevisning m.m. ..............................................

447

11.7

Frågans tidigare behandling..................................................

448

11.8

Internationell utblick ............................................................

450

 

11.8.1 Nationell praxis i vissa länder ...............................

451

 

11.8.2 Nationell lagstiftning i vissa länder ......................

454

 

11.8.3 Förhandlingar mellan EU och USA

 

 

 

om ett avtal om tillgång till e-bevisning ...............

456

11.9

Överväganden och förslag ....................................................

457

 

11.9.1 Behovet av åtkomst till elektronisk

 

 

 

information oavsett var informationen lagras......

457

 

11.9.2 En grundläggande förutsättning för exekutiv

 

 

 

jurisdiktion .............................................................

460

 

11.9.3

Folkrättsliga överväganden ...................................

465

11.9.4Omfattningen av exekutiv jurisdiktion

 

bör klargöras genom att lagfästas .........................

471

11.9.5

Närmare om lagregleringen ..................................

472

11.9.6

Rättssäkerhetsgarantier m.m. ...............................

478

11

Innehåll

SOU 2023:22

12

Ikraftträdande- och övergångsbestämmelser ...............

483

12.1

Ikraftträdande och övergångsbestämmelser .......................

483

13

Förslagens konsekvenser...........................................

485

13.1

Inledning ...............................................................................

485

13.2

Vilka berörs av våra förslag? ................................................

486

13.3

Om marknaden för tillhandahållare av allmänt

 

 

tillgängliga elektroniska kommunikationstjänster

 

 

och tillhandahållare av Noik ................................................

488

13.4

Konsekvenser........................................................................

489

 

13.4.1

Samhällspolitiska konsekvenser ...........................

490

 

13.4.2

Konsekvenser för företagen .................................

497

 

13.4.3

Konsekvenser för myndigheter ............................

500

 

13.4.4

Övriga konsekvenser ............................................

508

14

Författningskommentar ............................................

511

14.1

Förslaget till lag (2024:000) om inhämtning

 

 

av elektronisk information som är lagrad utanför

 

 

Sverige vid användning av straffprocessuella

 

 

tvångsmedel...........................................................................

511

14.2

Förslaget till lag (2025:000) om lagring av och åtkomst

 

 

till uppgifter om elektronisk kommunikation i syfte att

 

 

skydda Sveriges säkerhet ......................................................

514

14.3Förslaget till lag (2025:000) om lagring av uppgifter om elektronisk kommunikation i syfte att bekämpa

 

grov brottslighet ...................................................................

524

14.4

Förslaget till lag om ändring i lagen (2007:980)

 

 

om tillsyn över viss brottsbekämpande verksamhet...........

535

14.5

Förslaget till lag om ändring i offentlighets-

 

 

och sekretesslagen (2009:400) .............................................

536

12

SOU 2023:22

Innehåll

14.6Förslaget till lag om ändring i lagen (2012:278) om inhämtning av uppgifter om elektronisk kommunikation i de brottsbekämpande

myndigheternas underrättelseverksamhet...........................

542

14.7 Förslaget till lag om ändring i lagen (2022:482)

 

om elektronisk kommunikation ..........................................

543

14.8 Förslaget till förordning om ändring i förordningen

 

(2022:511) om elektronisk kommunikation .......................

561

Särskilt yttrande ..............................................................

569

Källförteckning ................................................................

587

Bilagor

 

 

Bilaga 1

Kommittédirektiv 2021:58 ...........................................

593

Bilaga 2

Kommittédirektiv 2023:2 .............................................

615

Bilaga 3

Jämförelsetabell.............................................................

617

13

Förkortningar

anmälnings-

Europaparlamentets och rådets direktiv (EU)

direktivet

2015/1535 av den 9 september 2015 om ett in-

 

formationsförfarande beträffande tekniska före-

 

skrifter och beträffande föreskrifter för infor-

 

mationssamhällets tjänster

Brå

Brottsförebyggande rådet

datalagrings-

Europaparlamentets och rådets direktiv 2006/

direktivet

24/EG av den 15 mars 2006 om lagring av upp-

 

gifter som genererats eller behandlats i sam-

 

band med tillhandahållande av allmänt tillgäng-

 

liga elektroniska kommunikationstjänster eller

 

allmänna kommunikationsnät

dataskydds-

Europaparlamentets och rådets direktiv 95/

direktivet

46/EG av den 24 oktober 1995 om skydd för

 

enskilda personer med avseende på behandling

 

av personuppgifter och om det fria flödet av

 

sådana uppgifter

E.164-nummer

Den internationella nummerplanen för telefoni

e-dataskydds-

Europaparlamentets och rådets direktiv 2002/

direktivet

58/EG av den 12 juli 2002 om behandling av

 

personuppgifter och integritetsskydd inom sek-

 

torn för elektronisk kommunikation (direk-

 

tivet om integritet och elektronisk kommuni-

 

kation) (EGT L 201, 2002, s. 37), i dess lydelse

 

enligt Europaparlamentets och rådets direktiv

 

2009/136/EG av den 25 november 2009

15

Förkortningar

SOU 2023:22

e-handels-

Europaparlamentets och rådets direktiv 2000/

direktivet

31/EG av den 8 juni 2000 om vissa rättsliga

 

aspekter på informationssamhällets tjänster,

 

särskilt elektronisk handel, på den inre mark-

 

naden

e-kodexen

Europaparlamentets och rådets direktiv (EU)

 

2018/1972 av den 11 december 2018 om in-

 

rättande av en europeisk kodex för elektro-

 

nisk kommunikation

eSIM

Embedded Subscriber Identity Module (in-

 

byggt simkort)

EU:s dataskydds-

Europaparlamentet och rådet förordning (EU)

förordning

2016/679 om skydd för fysiska personer med

 

avseende på behandling av personuppgifter och

 

om det fria flödet av sådana uppgifter och om

 

upphävande av direktiv 95/46/EG (allmän data-

 

skyddsförordning)

EU-domstolen

Europeiska unionens domstol

EUO

lagen (2017:1000) om en europeisk utrednings-

 

order

Europadomstolen

europeiska domstolen för de mänskliga rättig-

 

heterna

Europa-

den europeiska konventionen angående skydd

konventionen

för de mänskliga rättigheterna och de grund-

 

läggande friheterna, med de tillägg och änd-

 

ringar som gjorts genom de protokoll som

 

Sverige ratificerat

FEUF

fördraget om Europeiska unionens funktions-

 

sätt

FL

förvaltningslagen (2017:900)

Gamla FEK

förordningen (2003:396) om elektronisk kom-

 

munikation

Gamla LEK

lagen (2003:389) om elektronisk kommunika-

 

tion

16

SOU 2023:22Förkortningar

Gps

Global Positioning System (satellitbaserat sy-

 

stem för positioner)

HAK

hemlig avlyssning av elektronisk kommuni-

 

kation

HDA eller

hemlig dataavläsning eller lagen (2020:62) om

HDA-lagen

hemlig dataavläsning

HÖK

hemlig övervakning av elektronisk kommu-

 

nikation

ICCID

Integrated Circuit Card Identifier (serienum-

 

mer för sim-kort)

IMEI

International Mobile Equipment Identity (en

 

form av utrustningsidentitet)

IMSI

International Mobile Subscriber Identity (en

 

form av abonnemangsidentitet)

inhämtningslagen

lagen (2012:278) om inhämtning av uppgifter

 

om elektronisk kommunikation i de brotts-

 

bekämpande myndigheternas underrättelse-

 

verksamhet

IP

Internet Protocol (kommunikationsprotokoll

 

för internet)

IPv4

Internet Protocol version 4 (kommunikations-

 

protokoll för internet version 4)

IPv6

Internet Protocol version 6 (kommunikations-

 

protokoll för internet version 6)

JK

Justitiekanslern

JO

Riksdagens ombudsmän

LIRB

lagen (2000:562) om internationell rättslig hjälp

 

i brottmål

LSU

lagen (2022:700) om särskild kontroll av vissa

 

utlänningar

MAC-adress

Media Access Control Address (en form av ut-

 

rustningsidentitet)

17

Förkortningar

SOU 2023:22

MMS

Multimedia Messaging Service (meddelande-

 

tjänst)

NAT

Network Address Translation (adressöver-

 

sättning)

Noik

nummeroberoende interpersonella kommuni-

 

kationstjänster

Nya FEK

förordning (2022:511) om elektronisk kommu-

 

nikation

Nya LEK

lagen (2022:482) om elektronisk kommunika-

 

tion

OSL

offentlighets- och sekretesslagen (2009:400)

OTT-tjänster

Over-the-top (operatörsoberoende tjänster)

preventivlagen

lagen (2007:979) om åtgärder för att förhindra

 

vissa särskilt allvarliga brott

Prop.

regeringens proposition

PTS

Post och telestyrelsen

ramdirektivet

Europaparlamentets och rådets direktiv 2002/

 

21/EG av den 7 mars 2002 om ett gemensamt

 

regelverk för elektroniska kommunikationsnät

 

och kommunikationstjänster

RB

rättegångsbalken

RF

regeringsformen

rättighetsstadgan

Europeiska unionens stadga om de grundläg-

eller stadgan

gande rättigheterna (2012/c 326/02)

SFS

svensk författningssamling

sim

Subscriber Identity Module

SIN

Säkerhets- och integritetsskyddsnämnden

sms

Short Message Service

SOU

Statens offentliga utredningar

SUCI

Subscription Concealed Identifier (tillfällig

 

identifierare i 5G-nätet)

18

SOU 2023:22Förkortningar

SUPI

Subscription Permanent Identifier (permanent

 

 

identifierare i 5G-nätet)

Tele2-domen

EU-domstolens dom den 21 december 2016 i

 

 

de förenade målen C-203/15 och C-698/15

TF

 

tryckfrihetsförordningen

UTC (SP)

Coordinated Universal Time (den tillämpning

 

 

av den internationella tidsskalan UTC som

 

 

används i Sverige)

WLAN

Wireless Local Area Network (trådlöst lokalt

 

 

nätverk)

xDSL

Digital Subscriber Line (en form av bredbands-

 

 

uppkoppling)

YGL

yttrandefrihetsgrundlagen

3G

(UMTS)

Universal Mobile Telecommunications System

 

 

(tredje generationens mobilkommunikation)

4G

(LTE)

Long Term Evolution (fjärde generationens

 

 

mobilkommunikation)

5G

 

femte generationens mobilkommunikation

19

Sammanfattning

Utredningens uppdrag och arbete

Vi har haft i uppdrag att analysera och utvärdera nuvarande reglering om lagring av och tillgång till uppgifter om elektronisk kommuni- kation för brottsbekämpande syften, bl.a. i förhållande till ny praxis från EU-domstolen. I uppdraget har också ingått att analysera för- utsättningar för att leverantörer av s.k. OTT-tjänster ska kunna om- fattas av skyldigheten att lagra och ge tillgång till uppgifter om elek- tronisk information. Uppdraget har även omfattat att analysera och föreslå moderniseringar när det gäller tillhandahållarnas skyldighet att se till att hemliga tvångsmedel kan verkställas på ett effektivt sätt. Vi har också haft i uppdrag att se över vissa frågor om svenska myndighe- ters tillgång till elektroniska uppgifter, när de finns utanför Sveriges gränser (exekutiv jurisdiktion).

Syftet med uppdraget har varit att säkerställa att de brottsbekäm- pande myndigheternas tillgång till information förbättras och inte försämras över tid på grund av teknikutveckling och förändrade kom- munikationsvanor, samtidigt som respekten för mänskliga rättighe- ter säkerställs.

EU-rätten och datalagring

Förslag om ändring av svensk datalagringsreglering bör lämnas i anledning av ny domstolspraxis från EU-domstolen

Datalagring innebär en skyldighet för tillhandahållare av elektroniska kommunikationsnät och kommunikationstjänster, t.ex. mobiloperatö- rer, att lagra uppgifter om elektronisk kommunikation. Begreppet uppgifter om elektronisk kommunikation omfattar information om kommunikationen men inte själva innehållet. Information om kom-

21

Sammanfattning

SOU 2023:22

munikation kan exempelvis vara vem som kommunicerade med vem, när kommunikationen skedde och var de parter som kommunice- rade med varandra befann sig.

I Sverige har datalagring för brottsbekämpande ändamål funnits sedan 1990-talet. I dag spelar EU-rätten en stor roll för lagstiftningen om datalagring för brottsbekämpande ändamål.

Europaparlamentets och rådets direktiv 2002/58/EG om behand- ling av personuppgifter och integritetsskydd inom sektorn för elektro- nisk kommunikation (e-dataskyddsdirektivet) anger bl.a. att medlems- staterna ska säkerställa konfidentialitet vid elektronisk kommunikation och därmed förbundna trafikuppgifter. Uppgifter som inte längre be- hövs ska enligt direktivet utplånas eller avidentifieras. Medlemssta- terna får dock göra undantag från dessa skyldigheter om det behövs för bl.a. brottsbekämpande verksamhet. Direktivet är genomfört i svensk rätt främst genom bestämmelser i lagen (2022:482) om elektro- nisk kommunikation (LEK).

De svenska bestämmelserna om datalagring prövades av EU-dom- stolen i de förenade målen C-203/15 och C-698/15 (Tele2-domen). Lagringsskyldigheten vid tiden för domen var generell och obegrän- sad i den meningen att den omfattade alla telefoni-, meddelande- och bredbandstjänster som tillhandahölls av de traditionella teleoperatö- rerna. I Tele2-domen slog EU-domstolen fast att sådan lagringsskyl- dighet överskred gränserna för vad som är strängt nödvändigt och att den inte, i enlighet med e-dataskyddsdirektivet, kunde anses moti- verad i ett demokratiskt samhälle.

Den svenska lagstiftningen sågs därför över och den 1 oktober 2019 trädde nya regler om datalagring i kraft (prop. 2018/19:86). Anpass- ningarna till EU-rätten innebar bl.a. att lagringsskyldigheten begrän- sades och lagringstiderna differentierades.

Efter Tele2-domen har ny praxis kommit från EU-domstolen i flera mål som rör datalagring. Till följd av domarna har bl.a. Tyskland, Frankrike, Belgien och Danmark anpassat sina regler om datalagring till EU-rätten.

Vår analys visar att det kan finnas anledning att ändra den svenska regleringen med anledning av EU-domstolens praxis från senare tid. Vi har gjort bedömningen att förslag bör lämnas om datalagring för att skydda den nationella säkerheten. Vi har även kommit till slut- satsen att det finns anledning att lämna förslag om s.k. riktad lagring för att bekämpa grov brottslighet. Med begreppet riktad lagring avses

22

SOU 2023:22

Sammanfattning

normalt en lagring av uppgifter som är avgränsad, antingen till ett visst geografiskt område, till en viss personkrets eller med hjälp av något annat särskiljande kriterium, exempelvis tekniska kriterier.

Nationell säkerhetslagring

Vi har föreslagit regler om nationell säkerhetslagring. En sådan ska vara tillåten, om den bedöms vara absolut nödvändig för att bekämpa ett allvarligt hot mot nationell säkerhet som är verkligt och aktuellt eller förutsebart. Säkerhetspolisen ska bedöma hotet mot den natio- nella säkerheten och får, om ett säkerhetshot finns, besluta om en generell och odifferentierad lagringsskyldighet.

Ett beslut om nationell säkerhetslagring ska kunna bli föremål för en effektiv kontroll. Ett offentligt ombud ska bevaka enskildas intres- sen och kunna överklaga Säkerhetspolisens beslut till ett kontroll- organ. Kontrollorganet ska pröva om förutsättningarna för lagrings- skyldigheten är uppfyllda och om lagringsskyldigheten är proportionell. Kontrollorganet ska kunna fastställa eller upphäva Säkerhetspolisens beslut om lagring. Vi föreslår att ett nytt särskilt beslutsorgan inom Säkerhets- och integritetsskyddsnämnden (SIN), Datalagringsdele- gationen, ska vara kontrollorgan.

Lagringsskyldigheten, vid nationell säkerhetslagring, är mer om- fattande än dagens lagringsskyldighet, både vad gäller vilka slags upp- gifter som kan lagras och själva lagringstiden. Exempelvis ska lokaliser- ingsuppgifter som inte är trafikuppgifter kunna omfattas av nationell säkerhetslagring. Med lokaliseringsuppgifter som inte är trafikupp- gifter avses exempelvis gps-positioner som genereras i en mobiltele- fon. Lagringstiden ska vara två år och som huvudregel räknas från den dag kommunikationen avslutades.

Tillgången genom straffprocessuella tvångsmedel till uppgifter som har lagrats för att skydda den nationella säkerheten ska vara be- gränsad till bekämpning av brott och brottslighet som kan innebära ett allvarligt hot mot Sveriges säkerhet. De lagringsskyldiga, dvs. till- handahållarna, måste därför kunna särskilja uppgifter som lagras på denna grund från andra lagrade uppgifter.

Beslut om nationell säkerhetslagring ska omfattas av sekretess och tystnadsplikt ska gälla för tillhandahållarna.

23

Sammanfattning

SOU 2023:22

Lagring för att bekämpa grov brottslighet som inte utgör ett hot mot den nationella säkerheten

Vi har vidare lämnat förslag på två former av riktad lagring i syfte att bekämpa grov brottslighet, geografiskt riktad lagring och utökad rik- tad lagring. Dessa förslag skulle kunna ersätta dagens lagringsregler rörande uppgifter om elektronisk kommunikation i brottsbekäm- pande syfte.

Geografiskt riktad lagring

Geografiskt riktad lagring ska ske i områden där det utifrån objek- tiva kriterier går att konstatera att det finns en jämförelsevis större sannolikhet för förekomst av grov brottslighet än i andra områden. Geografiskt riktad lagring ska grunda sig på den officiella statistiken över anmälda brott som redovisas av Brottsförebyggande rådet (Brå) och med kommunerna som geografiska enheter. Post- och telesty- relsen (PTS) ska årligen föreskriva vilka kommuner som ska omfattas av den geografiskt riktade lagringen.

Utökad riktad lagring

Utökad riktad lagring ska komplettera den geografiskt riktade lag- ringen. Utökad riktad lagring kan avse

1.ett begränsat geografiskt område där grov brottslighet har före- kommit eller där det är sannolikt att grov brottslighet kommer att äga rum,

2.en skyddsvärd plats,

3.en person som dömts för grova brott,

4.en person som har varit föremål för hemliga tvångsmedel, eller

5.en utrustnings- eller abonnemangsidentitet som använts vid eller skäligen kan antas komma till användning vid ett grovt brott eller vid grov brottslig verksamhet.

24

SOU 2023:22

Sammanfattning

Polismyndigheten, Säkerhetspolisen och Tullverket ska få besluta om utökad riktad lagring och SIN ska utöva tillsyn över tillämpningen.

Geografiskt riktad lagring ska omfatta fler uppgiftstyper än den lagringsskyldighet som gäller i dag. Lagringsskyldigheten omfattar samma typer av uppgifter som får lagras vid nationell säkerhetslag- ring. Även ett beslut om utökad riktad lagring får omfatta samma uppgiftstyper. Lagringstiden för såväl geografiskt riktad lagring som utökad riktad lagring ska vara ett år, som huvudregel räknat från den dag kommunikationen avslutades.

Beslut om utökad riktad lagring ska omfattas av sekretess och för tillhandahållarna gäller tystnadsplikt.

Tillhandahållare av OTT-tjänster

De s.k. OTT-tjänsterna har i hög grad påverkat enskildas kommuni- kationsvanor. Det är i dag mycket vanligt att kommunikation sker genom internetbaserade tjänster som vissa e-posttjänster eller tjäns- ter som Apple Imessage, Apple Facetime, Discord, Snapchat, Google Messages, Google Meet, Kik Messenger, Line, Messenger from Meta, Skype, Slack, Telegram, Viber och Whatsapp, för att nämna några bland många. Inom den EU-rättsliga regleringen används begreppet allmänt tillgängliga nummeroberoende interpersonella kommunika- tionstjänster (Noik) som ett samlingsbegrepp för dessa tjänster.

Tillhandahållare av Noik har i dag inte någon lagringsskyldighet motsvarande den som de traditionella teleoperatörerna har. Det sker således ingen datalagring för brottsbekämpande ändamål vid använd- ning av Noik-tjänsterna. Vår analys visar att den tekniska utveck- lingen och ändrade kommunikationsvanor har inneburit försämrade möjligheter för de brottsbekämpande myndigheternas arbete. De brottsbekämpande myndigheterna har stor nytta och ett påtagligt be- hov av uppgifter om elektronisk kommunikation, även när kommu- nikationen sker i andra kanaler än via de traditionella teleoperatörerna. Vi har gjort bedömningen att nyttan och behovet av tillgång till upp- gifter om elektronisk kommunikation från tillhandahållare av Noik väger tyngre än de motstående intressen som talar emot en sådan tillgång.

25

Sammanfattning

SOU 2023:22

Skyldigheter för tillhandahållare av Noik

Vi har föreslagit att lagringsskyldighet ska gälla även för den som till- handahåller allmänt tillgängliga nummeroberoende interpersonella kommunikationstjänster (Noik) i Sverige.

Lagringsskyldigheten ska omfatta kommunikation som till någon del sker i Sverige. Detta kan exempelvis fastställas genom att kom- munikation skickas från eller mottas via en ip-adress i Sverige.

Lagringsskyldigheten och lagringstiden ska som huvudregel mot- svara det vi föreslår för övriga lagringsskyldiga, dvs. enligt våra förslag om nationell säkerhetslagring, geografiskt riktad lagring och utökad riktad lagring.

Tillhandahållare av Noik ska omfattas av sådan tystnadsplikt som gäller för tillhandahållare av andra elektroniska kommunikationstjänster.

Uppdraget att modernisera anpassningsskyldigheten

De som tillhandahåller allmänna elektroniska kommunikationsnät eller allmänt tillgängliga elektroniska kommunikationstjänster enligt LEK spelar en viktig roll när brottsbekämpande myndigheter hämtar in elektronisk kommunikation och uppgifter om sådan. För att under- lätta för de brottsbekämpande myndigheterna har tillhandahållarna ålagts en viss anpassningsskyldighet. Skyldigheten innebär att verk- samheten ska bedrivas så att hemliga tvångsmedel kan verkställas och att det ska kunna ske utan att verkställandet röjs.

Den teknikutveckling som skett och fortfarande pågår har dock medfört att regleringen av anpassningsskyldighet har blivit oklar och ålderdomlig. Med hänsyn till våra förslag om lagringsskyldighet för tillhandahållare av Noik finns ytterligare behov av förändring av anpass- ningsskyldigheten. Vi föreslår därför en modernisering av bestämmel- serna om anpassningsskyldighet för att åstadkomma en reglering som är tydlig, enhetlig och teknikneutral.

En modernisering av anpassningsskyldigheten

Vi har förslagit att anpassningsskyldigheten ska omfatta samma aktö- rer som enligt våra förslag ska omfattas av lagringsskyldighet enligt LEK. Ett undantag ska dock gälla för tillhandahållare av s.k. maskin-

26

SOU 2023:22

Sammanfattning

till-maskin-tjänster. Med maskin-till-maskin-tjänster avses tjänster som omfattar automatisk överföring av data mellan enheter eller mjuk- varubaserade tillämpningar, med liten eller ingen mänsklig medver- kan. Tjänsterna kan exempelvis användas för övervakning, mätning, styrning, transport och logistik i bl.a. bilar, tåg, elmätare, hemlarm och gräsklippare.

Även tillhandahållare av Noik ska alltså vara skyldiga att bedriva sin verksamhet så att beslut om hemliga tvångsmedel kan verkställas och så att verkställandet inte röjs. Det omfattar även de fall en till- handahållare för sina kunder möjliggör totalsträckskryptering, dvs. när bara sändare och mottagare har tillgång till meddelandena i läsbar form. I dessa fall innebär anpassningsskyldigheten att tillhandahållaren ska kunna göra uppgifterna tillgängliga för brottsbekämpande myn- digheter i läsbar form.

Vid ett utlämnande av uppgifter ska tillhandahållare av Noik även omfattas av rätten till ersättning.

Exekutiv jurisdiktion

Rätten för en stat att vidta åtgärder och verkställa beslut som har fattats inom ramen för lagstiftning och rättskipning kallas exekutiv jurisdiktion. Utgångspunkten i folkrätten är att det råder ett förbud för stater att vidta verkställighetsåtgärder, t.ex. att använda hemliga tvångsmedel, inom andra staters territorier. Detta baseras på den s.k. territorialitetsprincipen, som är en grundläggande folkrättslig prin- cip om staters suveränitet.

Elektroniskt lagrade uppgifter kan finnas i flera stater samtidigt eller ständigt förflyttas mellan olika stater. I många fall är det inte ens för den som tillhandahåller tjänsten möjligt att klargöra var upp- gifterna finns i varje givet ögonblick. Även när detta är möjligt kan förhållandena ändras på bråkdelen av en sekund.

För en effektiv brottsbekämpning är det viktigt att reglerna om tillgång till elektronisk kommunikation och annan elektronisk be- visning också kan tillämpas i praktiken, även när informationen finns utanför Sverige eller när det är okänt var den finns.

Vi har sett över förutsättningarna, inklusive de folkrättsliga aspek- terna, för att införa en särskild lagreglering för exekutiv jurisdiktion

27

Sammanfattning

SOU 2023:22

i förhållande till elektronisk information som finns utanför Sverige vid användning av straffprocessuella tvångsmedel.

Vi har gjort bedömningen att det under vissa förutsättningar inte finns några folkrättsliga hinder mot att de brottsbekämpande myn- digheterna inhämtar elektronisk information som är eller kan vara lagrad utanför Sverige. Högsta domstolen har den 30 mars 2023 avse- ende exekutiv jurisdiktion meddelat beslut om att genomsökning på distans får ske även om den eftersökta informationen kan vara lagrad i utlandet.1

Mot bakgrund av det har vi föreslagit en lagreglering som förtyd- ligar vad som gäller för viss inhämtning av elektronisk information som lagras utanför Sverige.

Inhämtning av elektronisk information som lagras utanför Sverige

Vi har föreslagit en lagreglering avseende möjligheten för brottsbe- kämpande myndigheter att inhämta elektronisk information som lag- ras eller kan vara lagrad utanför Sverige, t.ex. information på användar- konton till olika molntjänster.

För detta ska krävas

att de brottsbekämpande myndigheterna utan bistånd kan skaffa sig tillgång till uppgifterna,

att inhämtningen inte bedöms innebära mer än ett obetydligt in- trång i en annan stats suveränitet, och

att inhämtningen inte bedöms kunna orsaka någon skada på det avläsningsbara informationssystem som tvångsmedlet avser.

Konsekvenser och genomförande

Förslagen om nationell säkerhetslagring, lagringsskyldighet också för tillhandahållare av Noik, modernisering av anpassningsskyldig- heten och om exekutiv jurisdiktion kommer att vara klart positiva för brottsbekämpningen. Förslagen om riktad lagring kan ibland komma

1Se Högsta domstolens beslut den 30 mars 2023 i mål Ö 5686-22.

28

SOU 2023:22

Sammanfattning

att försvåra det brottsbekämpande arbetet. Sammantaget kommer dock förslagen att vara till fördel för brottsbekämpningen.

Våra förslag om nationell säkerhetslagring kan öka risken för in- trång i den personliga integriteten jämfört med i dag. Det gör inte för- slagen om en modernisering av anpassningsskyldigheten. Inte heller förslaget till reglering om exekutiv jurisdiktion kan sägas öka risken för intrång i den personliga integriteten. Förslagen om riktad lagring kan leda till en minskad risk för intrång i den personliga integriteten.

De tekniska anpassningar som behövs för en förändrad lagrings- skyldighet leder till kostnadsökningar för tillhandahållarna och för- slagen kan ha en viss påverkan på konkurrensen mellan företag. Polis- myndigheten, Säkerhetspolisen, Tullverket och SIN kommer att behöva ytterligare resurser.

De föreslagna reglerna om inhämtning av elektronisk informa- tion som är lagrad utanför Sverige föreslås träda i kraft den 1 juli 2024. Övriga författningsförslag föreslås träda i kraft den 1 juli 2025.

29

Summary

The Commission’s mandate and work

The Commission’s mandate involved analysing and evaluating the cur- rent regulations on retention of and access to electronic communi- cations data for law enforcement purposes, including in relation to new case law from the Court of Justice of the European Union. The mandate also included analysing the conditions under which pro- viders of OTT services could be covered by the obligation to retain and provide access to electronic data. It also included analysing and proposing modernisations relating to the obligation for providers to ensure that secret coercive measures can be implemented effectively. The Commission also had a mandate to review certain issues concern- ing Swedish authorities’ access to electronic data when it is located outside Sweden’s borders (executive jurisdiction).

The aim of the mandate was to ensure that law enforcement author- ities’ access to information is improved and does not deteriorate over time on account of technological developments and changes in com- munication habits, while ensuring respect for human rights.

EU law and data retention

A proposal to amend Swedish data retention rules should be submitted in the light of new case law from the Court of Justice of the European Union

Data retention is an obligation for providers of electronic communi- cations networks and services, such as mobile operators, to retain elec- tronic communications data. The term electronic communications data includes data about the communication but not the content itself. Data on communication may, for example, be who communicated with

31

Summary

SOU 2023:22

whom, when the communication took place and the location of the parties communicating with each other.

In Sweden, data retention for law enforcement purposes has existed since the 1990s. Today, EU law plays a major role in legislation on data retention for law enforcement purposes.

Directive 2002/58/EC of the European Parliament and of the Council concerning the processing of personal data and the protec- tion of privacy in the electronic communications sector (Directive on privacy and electronic communications) states, among other things, that Member States must ensure the confidentiality of electronic communications and related traffic data. Data that is no longer needed must, under the Directive, be erased or made anonymous. However, the Member States may make exceptions to these obligations if they are necessary for purposes such as law enforcement activities. The Directive has been implemented in Swedish law mainly through pro- visions in the Electronic Communications Act (2022:482).

The Swedish provisions on data retention were examined by the Court of Justice of the European Union in Joined Cases C-203/15 and C-698/15 (the Tele2 judgment). The retention obligation at the time of the judgment was general and unlimited in the sense that it covered all telephony, messaging and broadband services provided by the traditional telecoms operators. In the Tele2 judgment, the Court of Justice of the European Union ruled that such retention obligations exceeded the limits of strict necessity and could not, in accordance with the Directive on privacy and electronic communi- cations, be considered justified in a democratic society.

The Swedish legislation was therefore reviewed and, on 1 Octo- ber 2019, new rules on data retention entered into force (Govt. Bill 2018/19:86). The adaptations to EU law included limiting the reten- tion obligation and differentiating between the retention periods.

Following the Tele2 judgment, the Court of Justice of the Euro- pean Union has issued new case law in several cases related to data retention. As a result of the judgments, Member States including Germany, France, Belgium and Denmark have adapted their data reten- tion rules to EU law.

Our analysis shows that there may be reason to amend the Swedish rules in the light of recent case law from the Court of Justice of the European Union. We have concluded that proposals on data reten- tion should be submitted to protect national security. We have also

32

SOU 2023:22

Summary

come to the conclusion that there is reason to submit proposals on targeted retention to combat serious crime. The term targeted reten- tion normally refers to retention of data that is limited to a specific geographical area, to a specific group of people or by some other dis- tinguishing criterion, such as technical criteria.

National security retention

We have proposed rules on national security retention. This should be permitted if it is deemed strictly necessary to combat a serious threat to national security that is real and present or foreseeable. The Swedish Security Service must assess the threat to national security and may, if a security threat exists, decide to introduce a general, un- differentiated retention obligation.

A decision on national security retention must be subject to effec- tive supervision. A public representative must protect the interests of individuals and be able to appeal against the decisions of the Swedish Security Service to a supervisory body. The supervisory body must examine whether the conditions for the retention obligation are met and whether the retention obligation is proportionate. The super- visory body must be able to confirm or revoke the decision by the Swedish Security Service on retention. We propose that a new spe- cialist decision-making body within the Swedish Commission on Secu- rity and Integrity Protection (SIN), the Data Retention Delegation, be the supervisory body.

The retention obligation, in the case of national security reten- tion, is more extensive than the current retention obligation, both in terms of the types of data that can be retained and the duration of the retention. For example, it must be possible for location data that is not traffic data to be subject to national security retention. Loca- tion data that is not traffic data means, for example, GPS positions generated on a mobile phone. The retention period should be two years and, as a general rule, be counted from the date on which the communication ended.

Access to data retained by means of coercive measures for the pur- pose of protecting national security must be limited to combating offences and crime that may pose a serious threat to Sweden’s secu- rity. The persons responsible for retention, i.e. the providers, must

33

Summary

SOU 2023:22

therefore be able to distinguish between data retained on this basis and other data retained.

Decisions on national security retention must be subject to con- fidentiality, and professional secrecy must apply to the providers.

Retention to combat serious crime that does not constitute a threat to national security

We have also proposed two forms of targeted retention to combat serious crime: geographically targeted retention and extended tar- geted retention. These proposals could replace the current retention rules for electronic communications data for law enforcement pur- poses.

Geographically targeted retention

Geographically targeted retention must take place in areas in which objective criteria indicate that there is a comparatively higher proba- bility of serious crime than in other areas. Geographically targeted retention must be based on the official statistics on reported crimes presented by the Swedish National Council for Crime Prevention (Brå) and with the municipalities as geographical units. The Swedish Post and Telecom Authority (PTS) must annually prescribe the munic- ipalities that are to be subject to geographically targeted retention.

Extended targeted retention

Extended targeted retention is designed to complement geographically targeted retention. Extended targeted retention may concern

1.a limited geographical area in which serious crime has occurred or in which it is probable that serious crime will occur,

2.a site worthy of protection,

3.a person convicted of serious offences,

4.a person that has been subject to secret coercive measures, or

34

SOU 2023:22

Summary

5.an equipment or subscription identity that has been used in a seri- ous crime or serious criminal activity or that it may reasonably be assumed may be used in a serious crime or serious criminal activity.

The Swedish Police Authority, the Swedish Security Service and Swedish Customs will be able to decide on extended targeted reten- tion, and SIN will supervise its application.

Geographically targeted retention will cover more types of data than the current retention obligation. The retention obligation cov- ers the same types of data as those that may be stored in national secu- rity retention. A decision on extended targeted retention may also cover the same types of data. The retention period for both geo- graphically targeted retention and extended targeted retention should be one year, as a general rule from the date on which the communi- cation ended.

Decisions on extended targeted retention must be subject to con- fidentiality, and professional secrecy must apply to the providers.

Providers of OTT services

OTT services have greatly influenced the communication habits of individuals. It is now very common for communication to take place through internet-based services such as certain email services or ser- vices like Apple iMessage, Apple FaceTime, Discord, Snapchat, Google Messages, Google Meet, Kik Messenger, Line, Messenger from Meta, Skype, Slack, Telegram, Viber and Whatsapp, to name just a few. The EU regulatory framework uses the concept of publicly available num- ber-independent interpersonal communications services (NI-ICS) as an umbrella term for these services.

NI-ICS providers do not currently have a retention obligation equivalent to that of traditional telecoms operators. Consequently, there is no data retention for law enforcement purposes when using NI-ICS services. Our analysis shows that technological develop- ments and changing communication habits have had a negative impact on the possibilities for law enforcement authorities to do their work. Law enforcement authorities benefit greatly from and have a great need for electronic communications data, even when the communica- tion takes place via channels other than the traditional telecoms oper-

35

Summary

SOU 2023:22

ators. We have concluded that the benefit from and need for access to electronic communications data from NI-ICS providers outweighs the opposing interests against such access.

Obligations of NI-ICS providers

We have proposed that a retention obligation should also apply to pro- viders of publicly available number-independent interpersonal commu- nications services (NI-ICS) in Sweden.

The retention obligation must cover communications that take place to some extent in Sweden. This can be established, for example, by ver- ifying that communications are sent from or received via an IP address in Sweden.

As a general rule, the retention obligation and the duration of re- tention should correspond to what we propose for other parties obli- ged to retain data, i.e. according to our proposals for national security retention, geographically targeted retention and extended targeted retention.

Providers of NI-ICS must be subject to the same professional secrecy obligation as providers of other electronic communications services.

Mandate to modernise the adaptation obligation

Providers of public electronic communications networks or publicly available electronic communications services as defined in the Elec- tronic Communications Act play an important role when law en- forcement authorities obtain electronic communications and related data. To facilitate the work of law enforcement authorities, a certain adaptation obligation has been imposed on providers. The obligation means that activities must be conducted in such a way that secret coercive measures can be implemented, and that it must be possible to do so without such implementation being disclosed.

However, the technological developments that have taken place and are still ongoing have meant that the rules on the adaptation obligation have become unclear and outdated. In view of our proposals on the retention obligation for NI-ICS providers, there is a further need to change the adaptation obligation. We therefore propose to

36

SOU 2023:22

Summary

modernise the provisions on the adaptation obligation to provide clear, consistent and technology-neutral regulation.

Modernisation of the adaptation obligation

We have proposed that the adaptation obligation should cover the same actors as those who, according to our proposals, should be subject to the retention obligation under the Electronic Communi- cations Act. However, an exemption should apply to providers of machine-to-machine services. Machine-to-machine services are ser- vices involving the automatic transfer of data between devices or soft- ware-based applications, with little or no human intervention. The services can be used, for example, for monitoring, measurement, con- trol, transport and logistics in cars, trains, electricity meters, home alarms and lawnmowers.

Consequently, providers of NI-ICS should also be obliged to conduct their activities in such a way that decisions on secret coer- cive measures can be implemented and such implementation is not disclosed. This also covers cases in which a provider enables its cus- tomers to use end-to-end encryption, i.e. where only the sender and the recipient have access to the messages in readable form. In these cases, the adaptation obligation means that the provider must be able to make the data available to law enforcement authorities in readable form.

If data is made available, NI-ICS providers should also be entitled to compensation.

Executive jurisdiction

The right of a state to take action and enforce decisions made in the context of legislation and the administration of justice is called exec- utive jurisdiction. The basic premise of international law is that states are prohibited from implementing enforcement measures, such as the use of secret coercive measures, in the territory of other states. This is based on the principle of territoriality, which is a fundamental prin- ciple of international law on state sovereignty.

Electronically stored data may exist in several states at the same time or be constantly moving between different states. In many cases,

37

Summary

SOU 2023:22

it is not even possible for the service provider to establish where the data is at any given moment. Even when this is possible, conditions may change in a fraction of a second.

For effective law enforcement, it is important that the rules on access to electronic communications and other electronic evidence can also be applied in practice, even when the information is located outside Sweden or when its location is unknown.

We have reviewed the conditions, including the aspects of inter- national law, for introducing a special legal regulation for executive jurisdiction in relation to electronic information located outside Sweden when using coercive measures.

We have concluded that, under certain conditions, there are no obstacles under international law to the law enforcement authorities obtaining electronic information that is or may be stored outside Sweden. On 30 March 2023, regarding executive jurisdiction, the Swedish Supreme Court ruled that remote searches may be carried out even if the information sought may be stored abroad.1

Against this background, we have proposed legislation that clari- fies what applies to obtaining electronic information stored outside Sweden in certain cases.

Obtaining electronic information stored outside Sweden

We have proposed a legal regulation regarding the possibility for law enforcement authorities to obtain electronic information that is stored or may be stored outside Sweden, such as information in user accounts for various cloud services.

This presupposes:

that law enforcement authorities can access the data without assis- tance,

that obtaining the data is judged to involve no more than insig- nificant infringement of the sovereignty of another state, and

that obtaining the data is not expected to cause any damage to the scannable information system to which the coercive measure relates.

1See the Supreme Court decision of 30 March 2023 in case Ö 5686-22.

38

SOU 2023:22

Summary

Impact and implementation

The proposals on national security retention, a retention obligation that also applies to NI-ICS providers, modernisation of the adap- tation obligation and executive jurisdiction will clearly have a posi- tive impact on law enforcement. The proposals on targeted retention may sometimes complicate the work of law enforcement. Overall, however, the proposals will be beneficial to law enforcement.

Our proposals on national security retention may increase the risk of invasion of privacy compared to today. The proposals on mod- ernisation of the adaptation obligation do not. Nor can the proposed regulation on executive jurisdiction be said to increase the risk of invasion of privacy. The proposals on targeted retention may lead to a lower risk of invasion of privacy.

The technical adaptations needed for a change in the retention obligation entail cost increases for providers, and the proposals may have some impact on competition between companies. The Swedish Police Authority, the Swedish Security Service, Swedish Customs and SIN will need additional resources.

The proposed rules on obtaining electronic information that is stored outside Sweden are proposed to enter into force on 1 July 2024. It is proposed that other statutory proposals enter into force on 1 July 2025.

39

1 Författningsförslag

1.1Förslag till lag (2024:000) om inhämtning

av elektronisk information som är lagrad utanför Sverige vid användning av straffprocessuella tvångsmedel

Härigenom föreskrivs följande.

1 § Med de begränsningar som följer av 2 och 3 §§ denna lag får brottsbekämpande myndigheter genom straffprocessuella tvångsmedel inhämta elektronisk information som är lagrad utanför Sverige.

2 § Inhämtning enligt 1 § får avse endast sådan information som de brottsbekämpande myndigheterna utan bistånd kan skaffa sig till- gång till i det informationssystem som tvångsmedlet avser.

3 § Inhämtning enligt 1 § får inte innebära mer än ett obetydligt intrång i en annan stats suveränitet. Information får inte inhämtas, om inhämtningen bedöms kunna orsaka någon skada på det informa- tionssystem som tvångsmedlet avser.

Denna lag träder i kraft den 1 juli 2024.

41

Författningsförslag

SOU 2023:22

1.2Förslag till lag (2025:000) om lagring

av och åtkomst till uppgifter om elektronisk kommunikation i syfte att skydda Sveriges säkerhet

Härigenom föreskrivs följande.

1 § Denna lag innehåller bestämmelser om när uppgifter om elektro- nisk kommunikation får lagras och lämnas ut för att skydda Sveriges säkerhet.

Föreläggande om nationell säkerhetslagring

2 § Säkerhetspolisen får, om det föreligger ett allvarligt hot mot Sveriges säkerhet som är verkligt och aktuellt eller förutsebart, före- lägga den som är skyldig att lagra uppgifter enligt 9 kap. 19 § lagen (2022:482) om elektronisk kommunikation att lagra uppgifter om elektronisk kommunikation i enlighet med vad som följer av denna lag (nationell säkerhetslagring). Säkerhetspolisen ska inför sin bedöm- ning av hotet mot Sveriges säkerhet samråda med Försvarsmakten.

Ett föreläggande enligt första stycket får gälla i högst ett år. Säker- hetspolisen får genom ett nytt föreläggande förlänga lagringsskyl- digheten om hotet mot Sveriges säkerhet består. Om det inte längre finns skäl för nationell säkerhetslagring, ska Säkerhetspolisen upp- häva föreläggandet.

Av 9 kap. 19 b och 22 §§ lagen om elektronisk kommunikation framgår vilka uppgifter som får omfattas av ett föreläggande enligt första stycket respektive hur länge uppgifterna ska lagras.

3 § Ett föreläggande enligt 2 § får meddelas endast när det är abso- lut nödvändigt för att skydda Sveriges säkerhet. Föreläggandet ska begränsas till vad som är absolut nödvändigt för syftet med lagringen i fråga om

1.vilka tillhandahållare som ska omfattas av lagringsskyldigheten,

2.beslutets giltighetstid, och

3.vilka typer av uppgifter som ska omfattas av lagringsskyldig- heten.

42

SOU 2023:22

Författningsförslag

Offentligt ombud

4 § Ett offentligt ombud ska bevaka enskildas intressen i ärenden om nationell säkerhetslagring.

5 § Regeringen förordnar för en period om högst tre år en person som ska tjänstgöra som ordinarie offentligt ombud samt en person som i första hand ska vara det ordinarie ombudets ställföreträdare och en annan person som i andra hand ska vara det ordinarie ombudets ställföreträdare.

Ett offentligt ombud ska vara svensk medborgare och ska ha varit ordinarie domare, vara eller ha varit advokat eller ha motsvarande juridisk erfarenhet. Ett offentligt ombud får inte vara i konkurstill- stånd eller ha förvaltare enligt 11 kap. 7 § föräldrabalken.

Regeringen ska inhämta förslag på lämpliga personer från Domar- nämnden och Sveriges advokatsamfund.

Ett offentligt ombud får trots att regeringens förordnande har upp- hört slutföra uppdraget i ett specifikt ärende om nationell säkerhets- lagring.

6 § I fråga om ersättning till ett offentligt ombud tillämpas bestäm- melserna i 21 kap. 10 § första och andra styckena rättegångsbalken. Säkerhetspolisen beslutar om ersättning till det offentliga ombudet. Om Säkerhetspolisens beslut om nationell säkerhetslagring överklagas, ska Säkerhets- och integritetsskyddsnämnden besluta om ersättning till det offentliga ombudet. Om beslutet om nationell säkerhetslag- ring inte överklagas, får det offentliga ombudet överklaga Säkerhets- polisens beslut om ersättning till Säkerhets- och integritetsskydds- nämnden.

7 § Den som förordnats som offentligt ombud får inte obehörigen röja vad han eller hon har fått kännedom om i ett ärende om nationell säkerhetslagring.

Beslut och överklagande

8 § När Säkerhetspolisen avser att fatta ett beslut om nationell säkerhetslagring ska myndigheten så snart som möjligt hålla ett sam- manträde till vilket det offentliga ombudet ska kallas. Det offentliga

43

Författningsförslag

SOU 2023:22

ombudet har vid sammanträdet rätt att ta del av det tilltänkta beslutet om nationell säkerhetslagring och de omständigheter som ligger till grund för detta. Vid sammanträdet ska Säkerhetspolisen redogöra för beslutet och det offentliga ombudet har rätt att ställa frågor. Säker- hetspolisen får därefter besluta om nationell säkerhetslagring.

Det offentliga ombudet har rätt att inom en vecka från beslutet om nationell säkerhetslagring överklaga detta till Säkerhets- och integ- ritetsskyddsnämnden. Det offentliga ombudet får avge en skriftlig för- klaring om att beslutet inte kommer att överklagas.

9 § Säkerhetspolisen ska underrätta Säkerhets- och integritetsskydds- nämnden om att ett beslut om nationell säkerhetslagring har över- klagats. Säkerhets- och integritetsskyddsnämnden ska så snart som möjligt därefter hålla ett sammanträde. Vid sammanträdet ska Säker- hetspolisen och det offentliga ombudet närvara. Säkerhets- och in- tegritetsskyddsnämnden har vid sammanträdet rätt att ta del av de omständigheter som ligger till grund för beslutet om nationell säker- hetslagring. Vid sammanträdet ska Säkerhetspolisen redogöra för be- slutet och det offentliga ombudet har rätt att yttra sig.

10 § Säkerhets- och integritetsskyddsnämnden ska pröva om Säker- hetspolisens beslut om nationell säkerhetslagring ska fastställas eller upphävas. Säkerhets- och integritetsskyddsnämndens beslut får inte överklagas.

Säkerhetspolisens beslut om nationell säkerhetslagring får verk- ställas om det inte har överklagats inom föreskriven tid, om det offent- liga ombudet har avgett en förklaring enligt 8 § andra stycket eller om det har fastställts av Säkerhets- och integritetsskyddsnämnden.

Tillgång till lagrade uppgifter

11 § Uppgifter som har lagrats med stöd av ett föreläggande enligt 2 § får endast inhämtas efter ett tillstånd till hemlig avlyssning av elektronisk kommunikation eller till hemlig övervakning av elektro- nisk kommunikation enligt 27 kap. 18 § eller 19 § rättegångsbalken eller ett tillstånd till inhämtning enligt lagen (2012:278) om inhämt- ning av uppgifter om elektronisk kommunikation i de brottsbekäm- pande myndigheternas underrättelseverksamhet.

44

SOU 2023:22

Författningsförslag

Inhämtning enligt första stycket får ske endast om det i tillstån- det har angetts att inhämtningen får avse uppgifter som har lagrats med stöd av denna lag.

12 § Inhämtning av uppgifter enligt 11 § får endast ske i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet som inne- fattar brott som anges i andra stycket eller för att utreda och beivra sådana brott.

De brott som ger rätt till inhämtning av uppgifter som lagrats med stöd av ett föreläggande enligt 2 § är:

1.sabotage eller grovt sabotage enligt 13 kap. 4 eller 5 § brotts- balken,

2.mordbrand, grov mordbrand, allmänfarlig ödeläggelse, kapning, sjö- eller luftfartssabotage eller flygplatssabotage enligt 13 kap. 1, 2, 3, 5 a eller 5 b § brottsbalken, om brottet innefattar sabotage enligt 4 § samma kapitel,

3.uppror, väpnat hot mot laglig ordning eller brott mot medbor- gerlig frihet enligt 18 kap. 1, 3 eller 5 § brottsbalken,

4.högförräderi, krigsanstiftan, spioneri, grovt spioneri, obehörig befattning med hemlig uppgift, grov obehörig befattning med hem- lig uppgift eller olovlig underrättelseverksamhet mot Sverige, mot främmande makt eller mot person enligt 19 kap. 1, 2, 5, 6, 7, 8, 10, 10 a eller 10 b § brottsbalken,

5.företagsspioneri enligt 26 § lagen (2018:558) om företagshem- ligheter, om det finns anledning att anta att gärningen har begåtts på uppdrag av eller har understötts av en främmande makt eller av någon som har agerat för en främmande makts räkning,

6.terroristbrott, samröre med en terroristorganisation, finansier- ing av terrorism eller särskilt allvarlig brottslighet, offentlig uppma- ning till terrorism eller särskilt allvarlig brottslighet, rekrytering till terrorism eller särskilt allvarlig brottslighet, utbildning för terrorism eller särskilt allvarlig brottslighet eller resa för terrorism eller särskilt allvarlig brottslighet enligt 4, 5, 6, 7, 8, 9 eller 10 § terroristbrotts- lagen (2022:666),

7.andra brott än de som anges i 1–6 och som på grund av sin om- fattning eller karaktär utgör ett allvarligt hot mot Sveriges säkerhet, om det för brottet inte är föreskrivet lindrigare straff än fängelse i två år, eller

45

Författningsförslag

SOU 2023:22

8.försök, förberedelse eller stämpling till brott som avses i 1–7, om en sådan gärning är belagd med straff.

Denna lag träder i kraft den 1 juli 2025.

46

SOU 2023:22

Författningsförslag

1.3Förslag till lag (2025:000) om lagring

av uppgifter om elektronisk kommunikation i syfte att bekämpa grov brottslighet

Härigenom föreskrivs följande.

1 § Denna lag innehåller bestämmelser om när uppgifter om elek- tronisk kommunikation får lagras för att bekämpa grov brottslighet.

Geografiskt riktad lagring

2 § Uppgifter om elektronisk kommunikation får lagras i vissa kom- muner för att bekämpa grov brottslighet (geografiskt riktad lagring). Bestämmelser om sådan lagringsskyldighet finns, förutom i denna lag, i 9 kap. 19 c § lagen (2022:482) om elektronisk kommunikation.

3 § Lagring enligt 2 § ska avse de kommuner där antalet brotts- anmälningar är samma eller högre än genomsnittet i landet.

Beräkningen enligt första stycket ska grunda sig på den slutliga årsstatistiken över anmälda brott som tas fram enligt lagen (2001:99) om den officiella statistiken och ska göras utifrån ett genomsnitt av anmälda brott delat med befolkningsmängden under den treårs- period som föregår lagringsskyldigheten.

4 § Post- och telestyrelsen ska årligen, senast den 1 juni, föreskriva vilka kommuner som omfattas av geografiskt riktad lagring enligt 3 §.

Utökad riktad lagring

5 § Geografiskt riktad lagring får kompletteras med utökad riktad lagring enligt 9 kap. 19 d § lagen (2022:482) om elektronisk kommu- nikation avseende

1.ett begränsat geografiskt område där brott som avses i 27 kap. 19 § tredje stycket rättegångsbalken har förekommit eller där det är sannolikt att sådant brott kommer att äga rum,

2.en skyddsvärd plats,

3.en person som är eller har varit föremål för

hemliga tvångsmedel som avses i rättegångsbalken,

47

Författningsförslag

SOU 2023:22

hemlig dataavläsning enligt lagen (2020:62) om hemlig data- avläsning, eller

beslut enligt lagen (2012:278) om inhämtning av uppgifter om elektronisk kommunikation i de brottsbekämpande myndigheternas underrättelseverksamhet,

4. en person som genom lagakraftvunnen dom eller godkänt straff- föreläggande ålagts påföljd för brott som avses i 1, eller

5. sådan utrustnings- eller abonnemangsidentitet som använts vid eller skäligen kan antas komma till användning vid brott som avses i 1 eller vid brottslig verksamhet som innefattar sådana brott.

Ett beslut om lagring enligt första stycket 3 får inte grunda sig på ett tvångsmedelsbeslut som är äldre än tre år. Ett beslut om lagring enligt första stycket 4 får inte grunda sig på en dom eller ett godkänt strafföreläggande senare än tre år efter det att den ålagda påföljden till fullo har verkställts.

6 § Vid bedömningen av vad som är en skyddsvärd plats enligt 5 § första stycket 2 ska särskilt beaktas om

1.platsen är ett skyddsobjekt enligt skyddslagen (2010:305),

2.det bedrivs säkerhetskänslig verksamhet enligt säkerhetsskydds- lagen (2018:585) på platsen, eller

3.platsen annars bedöms vara särskilt betydelsefull från brotts- bekämpningssynpunkt.

7 § Polismyndigheten, Säkerhetspolisen och Tullverket får besluta om utökad riktad lagring enligt 5 §. Ett sådant beslut ska innehålla de skäl som beslutet grundas på. Innan beslut fattas ska myndig- heterna samråda med varandra om behovet av utökad riktad lagring. I brådskande fall, eller om samråd är olämpligt av sekretesskäl, får beslut fattas utan samråd. Om det behövs, ska samråd äga rum även med andra myndigheter.

Den beslutande myndigheten ska underrätta Säkerhets- och integ- ritetsskyddsnämnden om beslutet och skälen för detta senast en vecka efter det att beslutet fattades.

48

SOU 2023:22

Författningsförslag

8 § Ett beslut om utökad riktad lagring får gälla

1.högst ett år om beslutet avser ett område enligt 5 § första stycket 1,

2.högst tre år om beslutet avser en skyddsvärd plats enligt 5 § första stycket 2,

3.högst ett år om beslutet avser en person enligt 5 § första stycket 3 och 4, och

4.högst ett år om beslutet avser utrustnings- eller abonnemangs- identitet enligt 5 § första stycket 5.

Om det föreligger ett fortsatt behov av lagring, får lagringsskyl- digheten förlängas genom ett nytt beslut. Beslut om lagring enligt 5 § första stycket 3 och 4, får inte fattas senare än tre år efter det tvångsmedelsbeslutet meddelades eller den ålagda påföljden till fullo har verkställts.

9 § Ett beslut om utökad riktad lagring får fattas endast när det är absolut nödvändigt för att bekämpa grov brottslighet. Beslutet ska begränsas till vad som är absolut nödvändigt för syftet med lagringen i fråga om

1.vilka tillhandahållare som ska omfattas av lagringsskyldigheten,

2.beslutets giltighetstid, och

3.vilka typer av uppgifter som ska omfattas av lagringsskyldig- heten.

10 § Om det inte längre finns skäl för utökad riktad lagring, ska beslutet upphävas av den myndighet som har fattat beslutet.

11 § Polismyndighetens, Säkerhetspolisens och Tullverkets beslut enligt denna lag får inte överklagas.

Denna lag träder i kraft den 1 juli 2025.

49

Nämnden ska också utöva till- syn över Polismyndighetens och Säkerhetspolisens tillämpning av lagen (2019:547) om förbud mot användning av vissa uppgifter för att utreda brott samt Polismyndig- hetens, Säkerhetspolisens och Tull- verkets tillämpning av bestämmel- serna om utökad riktad lagring enligt lagen (2025:000) om lagring av uppgifter om elektronisk kom-

Författningsförslag

SOU 2023:22

1.4Förslag till lag om ändring i lagen (2007:980) om tillsyn över viss brottsbekämpande verksamhet

Härigenom föreskrivs i fråga om lagen (2007:980) om tillsyn över viss brottsbekämpande verksamhet att 1 § ska ha följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

1 §1

Säkerhets- och integritetsskyddsnämnden (nämnden) ska utöva tillsyn över

1.brottsbekämpande myndigheters användning av hemliga tvångs- medel och kvalificerade skyddsidentiteter,

2.Säkerhetspolisens användning av hemliga tvångsmedel vid sär- skild kontroll av vissa utlänningar, och

3.därmed sammanhängande verksamhet.

Nämnden ska även utöva tillsyn över den behandling av person- uppgifter som utförs av Polismyndigheten, Säkerhetspolisen och Eko- brottsmyndigheten enligt brottsdatalagen (2018:1177) och lagen (2018:1693) om polisens behandling av personuppgifter inom brotts- datalagens område för de syften som anges i 1 kap. 1 § i den sistnämnda lagen, och lagen (2019:1182) om Säkerhetspolisens behandling av personuppgifter. Tillsynen ska särskilt avse behandling enligt 2 kap. 11 § brottsdatalagen och 2 kap. 9 § lagen om Säkerhetspolisens behand- ling av personuppgifter.

Nämnden ska också utöva till- syn över Polismyndighetens och Säkerhetspolisens tillämpning av lagen (2019:547) om förbud mot användning av vissa uppgifter för att utreda brott.

1Senaste lydelse 2022:707.

50

SOU 2023:22

Författningsförslag

munikation i syfte att bekämpa grov brottslighet.

Tillsynen ska särskilt syfta till att säkerställa att verksamhet enligt första-tredje styckena bedrivs i enlighet med lag eller annan för- fattning.

Denna lag träder i kraft den 1 juli 2025.

51

Författningsförslag

SOU 2023:22

1.5Förslag till lag om ändring i offentlighets- och sekretesslagen (2009:400)

Härigenom föreskrivs i fråga om offentlighets- och sekretesslagen (2009:400) att 10 kap. 10 §, 18 kap. 19 §, 29 kap. 2 §, 35 kap. 1 och 24 §§, och 44 kap. 4 och 5 §§ ska ha följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

10 kap.

10 §1

Sekretess hindrar inte att den som är knuten till en myndighet på det sätt som anges i 2 kap. 1 § andra stycket och som är misstänkt för brott eller mot vilken rättegång eller annat jämförbart rättsligt förfarande har inletts, lämnar uppgift till sitt ombud eller biträde i saken eller till någon annan enskild, om det behövs för att han eller hon ska kunna ta till vara sin rätt.

Sekretess hindrar inte att uppgift i ett ärende hos domstol eller i ett beslut i ett sådant ärende lämnas till ett offentligt ombud enligt rättegångsbalken eller till ett integritetsskyddsombud enligt lagen (2009:966) om Försvarsunderrättelsedomstol.

Sekretess hindrar inte att upp- gift i ett ärende om nationell säker- hetslagring lämnas till ett offentligt ombud enligt lagen (2025:000) om lagring av och åtkomst till uppgifter om elektronisk kommunikation i syfte att skydda Sveriges säkerhet.

18 kap.

19 §2

Den tystnadsplikt som följer av 5–8, 9 och 10 §§, 11 § första stycket och 12 och 13 §§ inskränker rätten enligt 1 kap. 1 och 7 §§ tryckfrihetsförordningen och 1 kap. 1 och 10 §§ yttrandefrihetsgrund- lagen att meddela och offentliggöra uppgifter.

Den tystnadsplikt som följer

Den tystnadsplikt som följer

av 1–3 §§ inskränker rätten att

av 1–3 §§ inskränker rätten att

1Senaste lydelse 2009:1020.

2Senaste lydelse 2020:66.

52

SOU 2023:22Författningsförslag

meddela och offentliggöra upp-

meddela och offentliggöra upp-

gifter, när det är fråga om uppgift

gifter, när det är fråga om uppgift

om kvarhållande av försändelse

om kvarhållande av försändelse

på befordringsföretag, hemlig av-

på befordringsföretag, hemlig av-

lyssning av elektronisk kommu-

lyssning av elektronisk kommu-

nikation, hemlig övervakning av

nikation, hemlig övervakning av

elektronisk kommunikation, hem-

elektronisk kommunikation, hem-

lig kameraövervakning,

hemlig

lig kameraövervakning,

hemlig

rumsavlyssning eller hemlig data-

rumsavlyssning, hemlig

data-

avläsning på grund av beslut av

avläsning på grund av beslut av

domstol, undersökningsledare eller

domstol, undersökningsledare eller

åklagare eller inhämtning av upp-

åklagare eller inhämtning av upp-

gifter enligt lagen (2012:278) om

gifter enligt lagen (2012:278) om

inhämtning av uppgifter om elek-

inhämtning av uppgifter om elek-

tronisk kommunikation

i de

tronisk

kommunikation

i de

brottsbekämpande myndigheter-

brottsbekämpande myndigheter-

nas underrättelseverksamhet.

nas

underrättelseverksamhet,

 

 

nationell säkerhetslagring

enligt

 

 

lagen (2025:000) om lagring av

 

 

och åtkomst till uppgifter om elek-

tronisk kommunikation i syfte att skydda Sveriges säkerhet, eller ut- ökad riktad lagring enligt lagen (2025:000) om lagring av uppgifter om elektronisk kommunikation i syfte att bekämpa grov brottslighet.

Den tystnadsplikt som följer av 17 § inskränker rätten att med- dela och offentliggöra uppgifter, när det är fråga om uppgift om kvar- hållande av försändelse på befordringsföretag, hemlig avlyssning av elektronisk kommunikation, hemlig övervakning av elektronisk kom- munikation, hemlig kameraövervakning, hemlig rumsavlyssning eller hemlig dataavläsning på grund av beslut av domstol eller åklagare.

Att den tystnadsplikt som följer av 1–3 §§ i vissa fall inskränker rätten att meddela och offentliggöra uppgifter utöver det som anges i andra stycket följer av 7 kap. 10 §, 12–18 §§, 20 § 3 och 22 § första stycket 1 och andra stycket tryckfrihetsförordningen samt 5 kap. 1 § och 4 § första stycket 1 och andra stycket yttrandefrihetsgrundlagen.

53

FörfattningsförslagSOU 2023:22

29 kap.

2 §3

Sekretess gäller hos en myn-

Sekretess gäller hos en myn-

dighet som tillhandahåller ett

dighet som tillhandahåller ett

elektroniskt kommunikationsnät

elektroniskt kommunikationsnät

eller en elektronisk kommunika-

eller en elektronisk kommunika-

tionstjänst för uppgift om inne-

tionstjänst för uppgift om inne-

hållet i ett elektroniskt medde-

hållet i ett elektroniskt medde-

lande eller annan uppgift som

lande eller trafikuppgift. Om

angår ett särskilt elektroniskt med-

sekretess inte följer av någon

delande. Om sekretess inte följer

annan bestämmelse, får dock

av någon annan bestämmelse, får

sådan uppgift lämnas till den som

dock sådan uppgift lämnas till

har tagit del i utväxlingen av ett

den som har tagit del i utväx-

elektroniskt meddelande eller som

lingen av ett elektroniskt med-

på något annat sätt har sänt eller

delande eller som på något annat

tagit emot ett sådant meddelande.

sätt har sänt eller tagit emot ett

Detsamma gäller innehavaren av

sådant meddelande. Detsamma

ett abonnemang som använts för

gäller innehavaren av ett abonne-

ett elektroniskt meddelande när

mang som använts för ett elek-

det är fråga om uppgift om något

troniskt meddelande när det är

annat än innehållet i meddelandet.

fråga om uppgift om något annat

 

än innehållet i meddelandet.

 

35 kap.

1 §4

Sekretess gäller för uppgift om en enskilds personliga och ekono- miska förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till honom eller henne lider skada eller men och uppgiften förekommer i

1.utredning enligt bestämmelserna om förundersökning i brott-

mål,

2.angelägenhet som avser användning av tvångsmedel i brottmål eller i annan verksamhet för att förebygga brott,

3.angelägenhet som avser säkerhetsprövning enligt säkerhets- skyddslagen (2018:585),

3Senaste lydelse 2012:288.

4Senaste lydelse 2019:1184.

54

SOU 2023:22

Författningsförslag

4.annan verksamhet som syftar till att förebygga, uppdaga, ut- reda eller beivra brott eller verkställa uppbörd och som bedrivs av en åklagarmyndighet, Polismyndigheten, Säkerhetspolisen, Skatteverket, Tullverket eller Kustbevakningen,

5.register som förs av Polismyndigheten enligt 5 kap. lagen (2018:1693) om polisens behandling av personuppgifter inom brotts- datalagens område eller som annars behandlas med stöd av de bestäm- melserna, eller uppgifter som behandlas av Säkerhetspolisen eller Polismyndigheten med stöd av lagen (2019:1182) om Säkerhetspolisens behandling av personuppgifter,

6.register som förs enligt lagen (1998:621) om misstankeregister,

7.register som förs av Skatteverket enligt lagen (2018:1696) om Skatteverkets behandling av personuppgifter inom brottsdatalagens område eller som annars behandlas där med stöd av samma lag,

8. särskilt ärenderegister över

8. särskilt ärenderegister över

brottmål som förs av åklagarmyn-

brottmål som förs av åklagarmyn-

dighet, om uppgiften inte hänför

dighet, om uppgiften inte hänför

sig till registrering som avses i

sig till registrering som avses i

5 kap. 1 §, eller

5 kap. 1 §,

 

 

 

9. register som förs av Tull-

9. register som förs av Tull-

verket enligt lagen (2018:1694)

verket enligt lagen (2018:1694)

om Tullverkets behandling av

om Tullverkets

behandling av

personuppgifter inom brottsdata-

personuppgifter inom brottsdata-

lagens område eller som annars

lagens område eller som annars

behandlas där med stöd av samma

behandlas där med stöd av samma

lag.

lag,

 

 

 

 

 

10. angelägenhet

som

avser

 

nationell

säkerhetslagring

enligt

 

lagen (2025:000) om lagring av

 

och åtkomst till uppgifter om elek-

 

tronisk kommunikation i syfte att

 

skydda Sveriges säkerhet, eller

 

11. angelägenhet

som

avser

 

utökad

riktad

lagring

lagen

 

(2025:000) om lagring av upp-

 

gifter om elektronisk kommunika-

 

tion i syfte att bekämpa grov

 

brottslighet.

 

 

 

55

Författningsförslag

SOU 2023:22

Sekretessen enligt första stycket 2 gäller hos domstol i dess rätts- kipande eller rättsvårdande verksamhet endast om det kan antas att den enskilde eller någon närstående till honom eller henne lider skada eller men om uppgiften röjs. Vid förhandling om användning av tvångs- medel gäller sekretess för uppgift om vem som är misstänkt endast om det kan antas att fara uppkommer för att den misstänkte eller någon närstående till honom eller henne utsätts för våld eller lider annat allvarligt men om uppgiften röjs.

Första stycket gäller inte om annat följer av 2, 6 eller 7 §.

För uppgift i en allmän handling gäller sekretessen i högst sjuttio år.

24 §5

Den tystnadsplikt som följer

Den tystnadsplikt som följer

av 11 § och den tystnadsplikt som

av 1 § 10 och 11, 11 § och den

följer av ett förbehåll som har

tystnadsplikt som följer av ett för-

gjorts med stöd av 9 § andra

behåll som har gjorts med stöd av

stycket inskränker rätten enligt

9 § andra stycket inskränker rät-

1 kap. 1 och 7 §§ tryckfrihets-

ten enligt 1 kap. 1 och 7 §§ tryck-

förordningen och 1 kap. 1 och

frihetsförordningen och 1 kap. 1

10 §§ yttrandefrihetsgrundlagen

och 10 §§ yttrandefrihetsgrund-

att meddela och offentliggöra

lagen att meddela och offentlig-

uppgifter.

göra uppgifter.

Den tystnadsplikt som följer av 15 och 16 §§ inskränker rätten att meddela och offentliggöra uppgifter, när det är fråga om uppgift vars röjande kan antas medföra fara för att någon utsätts för våld eller lider annat allvarligt men.

44 kap.

4 §6

Rätten enligt 1 kap. 1 och 7 §§ tryckfrihetsförordningen och

1kap. 1 och 10 §§ yttrandefrihetsgrundlagen att meddela och offent- liggöra uppgifter inskränks av den tystnadsplikt som följer av

1.2 kap. 14 § första stycket 1 och 3–5 postlagen (2010:1045),

2.9 kap. 31 § lagen (2022:482) om elektronisk kommunikation, när det är fråga om uppgift om innehållet i ett elektroniskt medde- lande eller som annars rör ett särskilt sådant meddelande, och

5Senaste lydelse 2018:1919.

6Senaste lydelse 2022:1495.

56

SOU 2023:22

Författningsförslag

3.9 kap. 32 § lagen om elektro- nisk kommunikation, när det är fråga om uppgift om kvarhållande av försändelse på befordrings- företag, om hemlig avlyssning av elektronisk kommunikation eller hemlig övervakning av elektronisk kommunikation på grund av be- slut av domstol, undersöknings- ledare eller åklagare eller om in- hämtning av uppgifter enligt lagen (2012:278) om inhämtning av uppgifter om elektronisk kom- munikation i de brottsbekämpande myndigheternas underrättelse- verksamhet.

3.9 kap. 32 § lagen om elektro- nisk kommunikation, när det är fråga om uppgift om kvarhållande av försändelse på befordrings- företag, om hemlig avlyssning av elektronisk kommunikation eller hemlig övervakning av elektronisk kommunikation på grund av be- slut av domstol, undersöknings- ledare eller åklagare, om in- hämtning av uppgifter enligt lagen (2012:278) om inhämtning av uppgifter om elektronisk kom- munikation i de brottsbekämpande myndigheternas underrättelse- verksamhet, om nationell säkerhets- lagring enligt lagen (2025:000) om lagring av och åtkomst till uppgifter om elektronisk kommunikation i syfte att skydda Sveriges säkerhet, eller om utökad riktad lagring en- ligt lagen (2025:000) om lagring av uppgifter om elektronisk kommu- nikation i syfte att bekämpa grov brottslighet.

5 §7

Rätten enligt 1 kap. 1 och 7 §§ tryckfrihetsförordningen och

1kap. 1 och 10 §§ yttrandefrihetsgrundlagen att meddela och offent- liggöra uppgifter inskränks av den tystnadsplikt som följer

1.av beslut som har meddelats med stöd av 7 § lagen (1999:988) om förhör m.m. hos kommissionen för granskning av de svenska säkerhetstjänsternas författningsskyddande verksamhet,

2.av 7 kap. 1 § 1 lagen (2006:544) om kommuners och regioners åtgärder inför och vid extraordinära händelser i fredstid och höjd beredskap,

3.av 4 kap. 16 § försäkringsrörelselagen (2010:2043),

7Senaste lydelse 2022:1495.

57

Författningsförslag

SOU 2023:22

4.av 5 kap. 15 § lagen (1998:293) om utländska försäkrings- givares och tjänstepensionsinstituts verksamhet i Sverige,

5.av 32 § lagen (2020:62) om hemlig dataavläsning,

6. av 11 a § lagen (1996:701)

6. av 11 a § lagen (1996:701)

om Tullverkets befogenheter vid

om Tullverkets befogenheter vid

Sveriges gräns mot ett annat land

Sveriges gräns mot ett annat land

inom Europeiska unionen, och

inom Europeiska unionen,

7. av 4 kap. 23 a § tullagen

7. av 4 kap. 23 a § tullagen

(2016:253).

(2016:253), och

 

8. av 7 § lagen (2025:000) om

 

lagring av och åtkomst till uppgif-

 

ter om elektronisk kommunikation

 

i syfte att skydda Sveriges säkerhet.

Denna lag träder i kraft den 1 juli 2025.

58

SOU 2023:22

Författningsförslag

1.6Förslag till lag om ändring i lagen (2012:278) om inhämtning av uppgifter om elektronisk kommunikation i de brottsbekämpande myndigheternas underrättelseverksamhet

Härigenom föreskrivs att 1 § lagen (2012:278) om inhämtning av uppgifter om elektronisk kommunikation i de brottsbekämpande myn- digheternas underrättelseverksamhet ska ha följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

1 §1

Polismyndigheten, Säkerhets-

Polismyndigheten, Säkerhets-

polisen eller Tullverket får, under

polisen eller Tullverket får, under

de förutsättningar som anges i

de förutsättningar som anges i

denna lag, i underrättelseverk-

denna lag, i underrättelseverk-

samhet i hemlighet från den som

samhet i hemlighet från den som

enligt lagen (2022:482) om elek-

enligt lagen (2022:482) om elek-

tronisk kommunikation tillhanda-

tronisk kommunikation tillhanda-

håller ett elektroniskt kommu-

håller ett elektroniskt kommu-

nikationsnät eller en elektronisk

nikationsnät eller en elektronisk

kommunikationstjänst som inte

kommunikationstjänst hämta in

är en nummeroberoende interper-

uppgifter om

sonell kommunikationstjänst hämta

 

in uppgifter om

 

1.meddelanden som i ett elektroniskt kommunikationsnät har överförts till eller från ett telefonnummer eller annan adress,

2.vilka elektroniska kommunikationsutrustningar som har funnits inom ett visst geografiskt område, eller

3.i vilket geografiskt område en viss elektronisk kommunika- tionsutrustning finns eller har funnits.

Denna lag träder i kraft den 1 juli 2025.

1Senaste lydelse 2022:501.

59

Författningsförslag

SOU 2023:22

1.7Förslag till lag om ändring i lagen (2022:482) om elektronisk kommunikation

Härigenom föreskrivs i fråga om lagen (2022:482) om elektronisk kommunikation

dels att 9 kap. 20 §1 ska upphöra att gälla,

dels att 8 kap. 5 §, 9 kap. 1, 10, 19, 21–23, 29–29 b, 31–33 §§ och

12 kap. 1 § ska ha följande lydelse,

dels att det ska införas fem nya paragrafer, 9 kap. 19 a–e §§ och närmast före 9 kap. 19–23 §§ nya rubriker av följande lydelse.

Nuvarande lydelseFöreslagen lydelse

8 kap.

5 §2

Den som enligt 9 kap. 19 § är skyldig att lagra uppgifter ska vidta de särskilda tekniska och organisatoriska åtgärder som behövs för att skydda de lagrade uppgifterna vid behandling.

Den som bedriver verksamhet

Den som enligt 27 kap. 16 §

som ska anmälas enligt 2 kap. 1 §

rättegångsbalken har förelagts att

och som har förelagts enligt 27 kap.

bevara en viss lagrad uppgift ska

16 § rättegångsbalken att bevara

avseende den uppgiften vidta så-

en viss lagrad uppgift ska avse-

dana åtgärder som anges i första

ende den uppgiften vidta sådana

stycket.

åtgärder som anges i första stycket.

 

Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om sådana skyddsåtgärder.

9 kap.

1 §3

Den som tillhandahåller ett allmänt elektroniskt kommunikations- nät eller en allmänt tillgänglig elektronisk kommunikationstjänst ska utplåna eller avidentifiera trafikuppgifter som har lagrats eller be- handlats på något annat sätt när de inte längre behövs för överföring av ett elektroniskt meddelande. Detta gäller under förutsättning att uppgifterna avser användare som är fysiska personer eller abonnenter.

1Senaste lydelse av 20 § 2022:482.

2Senaste lydelse 2022:1086.

3Senaste lydelse 2022:482.

60

SOU 2023:22

Författningsförslag

Första stycket avser inte upp- gifter som sparas för sådan be- handling som anges i 2, 15, 19 eller 21 § eller om uppgifterna behövs för en sådan behandling som är tillåten enligt Europaparla- mentets och rådets förordning (EU) 2021/1232 av den 14 juli 2021 om ett tillfälligt undantag från vissa bestämmelser i direktiv 2002/58/EG vad gäller använd- ning av teknik hos tillhandahållare av nummeroberoende interper- sonella kommunikationstjänster för behandling av personuppgif- ter och andra uppgifter i syfte att bekämpa sexuella övergrepp mot barn på nätet

Första stycket avser inte upp- gifter som sparas för sådan be- handling som anges i 2, 15, 19 b– 19 d eller 21 § eller om uppgifterna behövs för en sådan behandling som är tillåten enligt Europaparla- mentets och rådets förordning (EU) 2021/1232 av den 14 juli 2021 om ett tillfälligt undantag från vissa bestämmelser i direktiv 2002/58/EG vad gäller använd- ning av teknik hos tillhandahållare av nummeroberoende interper- sonella kommunikationstjänster för behandling av personuppgif- ter och andra uppgifter i syfte att bekämpa sexuella övergrepp mot barn på nätet.

10 §4

Lokaliseringsuppgifter som ska lagras enligt 19 b–19 d §§ får be- handlas trots 7–9 §§.

Lokaliseringsuppgifter som omfattas av ett beslut om inhämtning av uppgifter enligt 27 kap. rättegångsbalken, eller lagen (2012:278) om inhämtning av uppgifter om elektronisk kommunikation i de brottsbekämpande myndigheternas underrättelseverksamhet får be- handlas trots 7–9 §§.

4Senaste lydelse 2022:482.

61

Den som bedriver verksamhet som ska anmälas enligt 2 kap. 1 § och den som tillhandahåller en allmänt tillgänglig nummerobero- ende interpersonell kommunika- tionstjänst ska utan dröjsmål lagra uppgifter enligt vad som anges i 19 a–19 d §§.
För den som bedriver verksam- het som ska anmälas enligt 2 kap. 1 § omfattar lagringsskyldigheten uppgifter som genereras eller be- handlas vid tjänster som tillhanda- håller
1. telefonitjänst eller medde- landehantering, eller
För den som tillhandahåller en allmänt tillgänglig nummerobero- ende interpersonell kommunika- tionstjänst omfattar lagringsskyl- digheten uppgifter som genereras eller behandlas vid tjänster som tillhandahåller samtal och med- delandehantering vid sådan kom-

Författningsförslag

SOU 2023:22

Lagring och annan behandling

Lagringsskyldiga och tjänster som

av trafikuppgifter m.m. för

omfattas av lagringsskyldighet

brottsbekämpande ändamål

 

19 §5

Den som bedriver verksamhet som ska anmälas enligt 2 kap. 1 § ska lagra sådana uppgifter som avses i 31 § första stycket 1 och 3 som är nödvändiga för att spåra och identifiera kommunikations- källan, slutmålet för kommunika- tionen, datum, tidpunkt och var- aktighet för kommunikationen, typ av kommunikation, kommunika- tionsutrustning samt lokalisering av mobil kommunikationsutrust- ning vid kommunikationens början och slut.

Lagringsskyldigheten omfattar uppgifter som genereras eller be- handlas vid

1. telefonitjänst eller medde- landehantering via mobil nätan- slutningspunkt, eller

2. internetåtkomst.

Även vid misslyckad uppring- ning gäller skyldigheten att lagra uppgifter som genereras eller be- handlas. För telefonitjänst gäller lagringsskyldigheten inte uppgift om nummer som ett samtal styrts till.

5Senaste lydelse 2022:482.

62

SOU 2023:22

Författningsförslag

Den som enligt denna paragraf någon annan att utföra lagringen.

munikation som sker till, från eller inom Sverige.

ska lagra uppgifter får uppdra åt

Lagring av uppgift om abonnemang

19 a §

Den som är skyldig att lagra uppgifter enligt 19 § ska lagra så- dana uppgifter som avses i 31 § första stycket 1 som kan användas för att identifiera en abonnent och registrerad användare.

Regeringen eller den myndig- het som regeringen bestämmer får meddela föreskrifter om vilka upp- gifter som ska lagras enligt första stycket.

Nationell säkerhetslagring

19 b §

Den som är skyldig att lagra uppgifter enligt 19 § ska lagra de uppgifter som framgår av ett före- läggande enligt 2 § lagen (2025:000) om lagring av och åtkomst till uppgifter om elektronisk kommu- nikation i syfte att skydda Sveriges säkerhet. Ett sådant föreläggande får omfatta sådana uppgifter som avses i 31 § första stycket 1, 3 och 4 som är nödvändiga för att spåra och identifiera kommunikations- källan och slutmålet för kommu- nikationen, datum, tidpunkt och varaktighet för kommunikationen,

63

Författningsförslag

SOU 2023:22

typ av kommunikation, kommu- nikationsutrustning, lokalisering av kommunikationsutrustning vid kommunikationen samt lokaliser- ingsuppgifter som inte är trafikupp- gifter.

Geografiskt riktad lagring

19 c §

Den som är skyldig att lagra uppgifter enligt 19 § ska i de kom- muner som föreskrivs enligt 4 § lagen (2025:000) om lagring av upp- gifter om elektronisk kommunika- tion i syfte att bekämpa grov brotts- lighet lagra sådana uppgifter som anges i 19 b §.

Utökad riktad lagring

19 d §

Den som är skyldig att lagra uppgifter enligt 19 § ska lagra de uppgifter som framgår av ett beslut enligt 5 § lagen (2025:000) om lag- ring av uppgifter om elektronisk kommunikation i syfte att bekämpa grov brottslighet. Ett sådant beslut får omfatta sådana uppgifter som anges i 19 b §.

Lagringsskyldighet vid misslyckad uppringning

19 e §

Lagringsskyldigheten enligt 19 c § ska även omfatta uppgifter som genereras eller behandlas vid miss-

64

SOU 2023:22Författningsförslag

 

lyckad uppringning. Sådana upp-

 

gifter får även lagras enligt 19 b och

 

19 d §§.

21 §6

 

Behandling av trafik-

 

och lokaliseringsuppgifter

Uppgifter som har lagrats en-

Uppgifter som har lagrats en-

ligt 19 § får behandlas endast för

ligt 19 c och d §§ får behandlas

att lämnas ut enligt

endast för att lämnas ut enligt

1.33 § första stycket 2 eller 5,

2.27 kap. 19 § rättegångsbalken, eller

3.lagen (2012:278) om inhämtning av uppgifter om elektronisk kommunikation i de brottsbekämpande myndigheternas underrättelse- verksamhet.

Uppgifter som har lagrats enligt

19 b § får behandlas enbart för att lämnas ut enligt 11 § lagen (2025:000) om lagring av och åtkomst till uppgifter om elektro- nisk kommunikation i syfte att skydda Sveriges säkerhet.

22§7

Lagringstider

Uppgifter som avses i 19 § ska lagras enligt följande:

Uppgifter som genereras eller behandlas vid telefonitjänst och meddelandehantering via mobil nätanslutningspunkt ska lagras i sex månader. Lokaliseringsuppgifter ska dock lagras i endast två månader.

Uppgifter som genereras eller behandlas vid internetåtkomst ska

Uppgifter som avses i 19 a–

d§§ ska lagras enligt följande.

Uppgifterna som avses i 19 a § ska lagras till dess att ett år har förflutit sedan abonnemanget upphörde eller tilldelningen av en tillfällig identifierare upphörde.

Uppgifter som avses i 19 b § ska lagras i två år.

6Senaste lydelse 2022:482.

7Senaste lydelse 2022:482.

65

lagras i tio månader. Om uppgif- terna identifierar den utrustning där kommunikationen slutligt av- skiljs från den lagringsskyldige till den enskilda abonnenten, ska de dock lagras i endast sex månader.
Lagringstiden räknas från den dag kommunikationen avslutades.

Författningsförslag

SOU 2023:22

– Uppgifter som avses i 19 c och

19 d §§ ska lagras i ett år.

Lagringstiden räknas från den dag kommunikationen avslutades. Om uppgift saknas om när kom- munikationen avslutades, ska lag- ringstiden räknas från den dag då uppgifterna genererades. Beträffande lokaliseringsuppgift som inte är tra- fikuppgift räknas lagringstiden från den dag då uppgiften genererades.

Vid meddelandehantering via en allmänt tillgänglig nummer- oberoende interpersonell kommu- nikationstjänst räknas lagringstiden från den dag meddelandet skickades.

När lagringstiden har löpt ut ska den lagringsskyldige genast ut- plåna uppgifterna. Om en begäran om utlämnande i fall som avses i 21 § har kommit in eller ett föreläggande enligt 27 kap. 16 § rätte- gångsbalken att bevara en viss lagrad uppgift har meddelats innan lagringstiden löpt ut, ska den lagringsskyldige dock fortsätta lagra upp- gifterna till dess att de har lämnats ut eller tiden för bevarande har löpt ut. Därefter ska uppgifterna genast utplånas.

23 §8

Upplysning om verkställighetsföreskrifter

Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om

1. vilka uppgifter som ska lag-

1. vilka uppgifter som ska lag-

ras enligt 19 §, och

ras enligt 19 b–19 d §§, och

2. lagringstiden enligt 22 §

2. lagringstiden enligt 22 §

första stycket.

första, andra och tredje stycket.

8Senaste lydelse 2022:1086.

66

SOU 2023:22Författningsförslag

29 §9

En verksamhet ska bedrivas

Den som är skyldig att lagra

att beslut om hemlig avlyssning

uppgifter enligt 19 § ska bedriva

av elektronisk kommunikation

sin verksamhet så att beslut om

och hemlig övervakning av elek-

hemlig avlyssning av elektronisk

tronisk kommunikation kan verk-

kommunikation, hemlig övervak-

ställas och så att verkställandet

ning av elektronisk kommunika-

inte röjs, om verksamheten avser

tion och inhämtning enligt lagen

tillhandahållande av

(2012:278) om inhämtning av upp-

1. ett allmänt elektroniskt kom-

gifter om elektronisk kommunika-

munikationsnät som inte enbart är

tion i de brottsbekämpande myndig-

avsett för utsändning till allmän-

heternas underrättelseverksamhet

heten av program som avses i 1 kap.

kan verkställas och så att verk-

2 § yttrandefrihetsgrundlagen, eller

ställandet inte röjs.

2. tjänster inom ett allmänt elek-

 

troniskt kommunikationsnät som

 

består av

 

a) en allmänt tillgänglig telefoni-

 

tjänst till en fast nätanslutnings-

 

punkt som medger överföring av

 

lokala, nationella och internatio-

 

nella samtal, telefax och datakom-

 

munikation med en sådan lägsta

 

datahastighet som medger funktio-

 

nell tillgång till internet, eller

 

b) en allmänt tillgänglig elek-

 

tronisk kommunikationstjänst till

 

en mobil nätanslutningspunkt.

 

Första stycket gäller inte vid tillhandahållande av maskin-till- maskin-tjänster.

Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrif- ter om frågor som avses i första stycket samt får i enskilda fall besluta om undantag från kravet i första stycket.

9Senaste lydelse 2022:1086.

67

Författningsförslag

SOU 2023:22

29 a §10

 

Den som bedriver verksamhet

Den som är skyldig att lagra

som ska anmälas enligt 2 kap. 1 §

uppgifter enligt 19 § har rätt till

har rätt till ersättning för kost-

ersättning för kostnader som

nader som uppstår när uppgifter

uppstår när uppgifter som avses i

som avses i 31 § första stycket

31 § första

stycket lämnas ut

lämnas ut till Ekobrottsmyndig-

till Ekobrottsmyndigheten, Polis-

heten, Polismyndigheten, Säker-

myndigheten,

Säkerhetspolisen,

hetspolisen, Tullverket, Åklagar-

Tullverket, Åklagarmyndigheten

myndigheten eller någon annan

eller någon

annan myndighet

myndighet som ska ingripa mot

som ska ingripa mot brott. I de

brott. I de fall det är särskilt före-

fall det är särskilt föreskrivet ska

skrivet ska ersättningen beräknas

ersättningen beräknas enligt scha-

enligt schablon. Ersättningen ska

blon. Ersättningen ska betalas av

betalas av den myndighet som

den myndighet som har begärt

har begärt uppgifterna.

uppgifterna.

 

Första stycket gäller även loka-

 

 

liseringsuppgifter som inte är trafik-

 

 

uppgifter.

 

 

Regeringen eller den myndighet som regeringen bestämmer får meddela ytterligare föreskrifter om ersättningen och schablonberäk- ningen.

29 b §11

När den som bedriver verksam-

När den som är skyldig att lagra

het som ska anmälas enligt 2 kap.

uppgifter enligt 19 § lämnar ut

1 § lämnar ut uppgifter som avses

uppgifter som avses i 31 § första

i 31 § första stycket till Ekobrotts-

stycket till Ekobrottsmyndigheten,

myndigheten, Polismyndigheten,

Polismyndigheten, Säkerhetspoli-

Säkerhetspolisen, Tullverket, Åkla-

sen, Tullverket, Åklagarmyndig-

garmyndigheten eller någon annan

heten eller någon annan myndig-

myndighet som ska ingripa mot

het som ska ingripa mot brott,

brott, ska utlämnandet, om upp-

ska utlämnandet, om uppgifterna

gifterna gäller brottslig verksam-

gäller brottslig verksamhet eller

het eller misstanke om brott, göras

misstanke om brott, göras utan

utan dröjsmål och på ett sådant

dröjsmål och på ett sådant sätt

sätt att utlämnandet inte röjs.

att utlämnandet inte röjs.

10Senaste lydelse 2022:1086.

11Senaste lydelse 2022:1086.

68

Den som tillhandahåller ett elektroniskt kommunikationsnät eller en elektronisk kommunika- tionstjänst, får inte obehörigen föra vidare eller utnyttja det som han eller hon i samband med tillhandahållandet har fått del av eller tillgång till i form av
2. innehållet i ett elektroniskt meddelande,
3. en trafikuppgift, eller
4. en lokaliseringsuppgift som inte är en trafikuppgift och som rör användare som är fysiska personer eller abonnenter.
För tillhandahållare av num- meroberoende interpersonella kom- munikationstjänster gäller tystnads- plikten enligt första stycket endast vid sådan kommunikation som sker till, från eller inom Sverige samt för lokaliseringsuppgifter i Sverige som inte är trafikuppgifter.
69

SOU 2023:22

Författningsförslag

Uppgifterna ska ordnas och göras tillgängliga i ett format som gör att de enkelt kan tas om hand.

Första och andra styckena gäller även lokaliseringsuppgifter som inte är trafikuppgifter.

Tillsynsmyndigheten får i enskilda fall besluta om undantag från kravet i andra stycket, om det finns särskilda skäl för det.

Regeringen eller den myndighet som regeringen bestämmer får meddela ytterligare föreskrifter om hur uppgifterna ska lämnas ut.

31§12

Den som tillhandahåller ett elektroniskt kommunikationsnät eller en elektronisk kommunika- tionstjänst som inte är en num- meroberoende interpersonell kom- munikationstjänst, får inte obehö- rigen föra vidare eller utnyttja det som han eller hon i samband med tillhandahållandet har fått del av eller tillgång till i form av

1. en uppgift om abonnemang,

2. innehållet i ett elektroniskt meddelande, eller

3. en annan uppgift som angår ett särskilt elektroniskt meddelande.

12Senaste lydelse 2022:482.

FörfattningsförslagSOU 2023:22

Tystnadsplikt som följer av första stycket gäller inte i förhållande till den som har tagit del i utväxlingen av ett elektroniskt meddelande eller som på något annat sätt har sänt eller tagit emot ett sådant

meddelande.

 

Tystnadsplikt som följer av

Tystnadsplikt som följer av

första stycket 1 och 3 gäller inte

första stycket 1, 3 och 4 gäller

heller i förhållande till innehava-

inte heller i förhållande till inne-

ren av ett abonnemang som har

havaren av abonnemanget.

använts för ett elektroniskt med-

 

delande.

 

32 §13

Tystnadsplikt som följer av 31 § första stycket gäller även för en uppgift som hänför sig till

1.en åtgärd att med stöd av 27 kap. 9 § rättegångsbalken hålla kvar försändelser,

2.en angelägenhet som avser användning av hemlig avlyssning av elektronisk kommunikation eller hemlig övervakning av elektronisk kommunikation enligt 27 kap. 18 eller 19 § rättegångsbalken eller som gäller tekniskt bistånd med hemlig avlyssning av elektronisk kom- munikation eller med hemlig övervakning av elektronisk kommuni- kation enligt 4 kap. 25 b § lagen (2000:562) om internationell rättslig hjälp i brottmål,

3.en angelägenhet som avser inhämtning av signaler i elektronisk form enligt lagen (2008:717) om signalspaning i försvarsunderrät- telseverksamhet,

4.inhämtning av uppgifter enligt lagen (2012:278) om inhämt- ning av uppgifter om elektronisk kommunikation i de brottsbekäm- pande myndigheternas underrättelseverksamhet,

5.en begäran enligt 33 § första stycket 2 om att en uppgift om abonnemang ska lämnas,

6. ett föreläggande enligt

6. ett föreläggande enligt

27 kap. 16 § rättegångsbalken att

27 kap. 16 § rättegångsbalken att

bevara en viss lagrad uppgift, eller

bevara en viss lagrad uppgift,

7. en begäran enligt 33 § första

7. en begäran enligt 33 § första

stycket 5 om att en uppgift om

stycket 5 om att en uppgift om

tillhandahållare av elektroniska

tillhandahållare av elektroniska

kommunikationsnät eller elektro-

kommunikationsnät eller elektro-

13Senaste lydelse 2022:482.

70

SOU 2023:22Författningsförslag

niska kommunikationstjänster ska

niska kommunikationstjänster ska

lämnas.

lämnas,

 

8. en angelägenhet som avser

 

nationell säkerhetslagring enligt

 

lagen (2025:000) om lagring av

 

och åtkomst till uppgifter om elek-

 

tronisk kommunikation i syfte att

 

skydda Sveriges säkerhet, eller

 

9. en angelägenhet som avser

 

utökad riktad lagring enligt lagen

 

(2025:000) om lagring av upp-

 

gifter om elektronisk kommunika-

 

tion i syfte att bekämpa grov brotts-

 

lighet.

33§14

Den som tillhandahåller ett

Den som tillhandahåller ett

elektroniskt kommunikationsnät

elektroniskt kommunikationsnät

eller en elektronisk kommunika-

eller en elektronisk kommunika-

tionstjänst som inte är en num-

tionstjänst och som har fått del

meroberoende interpersonell kom-

av eller tillgång till en uppgift som

munikationstjänst och som har

avses i 31 § första stycket ska på

fått del av eller tillgång till en upp-

begäran lämna

gift som avses i 31 § första stycket

 

ska på begäran lämna

 

1. en uppgift som avses i 31 § första stycket 1 till

a)en myndighet som i ett särskilt fall behöver en sådan uppgift för delgivning enligt delgivningslagen (2010:1932), om myndigheten bedömer att det kan antas att den som söks för delgivning håller sig undan eller att det annars finns synnerliga skäl,

b)Finansinspektionen, om inspektionen bedömer att uppgiften är av väsentlig betydelse för utredningen av en misstänkt överträdelse av Europaparlamentets och rådets förordning (EU) nr 596/2014 av den 16 april 2014 om marknadsmissbruk (marknadsmissbruksförordning) och om upphävande av Europaparlamentets och rådets direktiv 2003/6/EG och kommissionens direktiv 2003/124/EG, 2003/125/EG och 2004/72/EG,

14Senaste lydelse 2022:1086.

71

Författningsförslag

SOU 2023:22

c)Finansinspektionen, om inspektionen bedömer att uppgiften är av väsentlig betydelse i ett ärende om tillsyn när det gäller någon av bestämmelserna i 4 a kap. 1–8 §§ lagen (2010:751) om betaltjänster eller 1 kap. 5 § eller 4 kap. 7, 8, 9, 10, 11 eller 14 § lagen (2016:1024) om verksamhet med bostadskrediter,

d)Konsumentombudsmannen, om ombudsmannen bedömer att uppgiften är av väsentlig betydelse i ett ärende om tillsyn enligt lagen (1994:1512) om avtalsvillkor i konsumentförhållanden eller mark- nadsföringslagen (2008:486), när det är fråga om en misstänkt över- trädelse av unionslagstiftning som skyddar konsumenternas intres- sen enligt bilagan till Europaparlamentets och rådets förordning (EU) 2017/2394 av den 12 december 2017 om samarbete mellan de natio- nella myndigheter som har tillsynsansvar för konsumentskyddslag- stiftningen och om upphävande av förordning (EG) nr 2006/2004,

e)Konsumentverket, om verket bedömer att uppgiften är av väsentlig betydelse i ett ärende om tillsyn enligt lagen (2019:59) med kompletterande bestämmelser till EU:s geoblockeringsförordning,

f)Kronofogdemyndigheten, om myndigheten behöver uppgiften

iexekutiv verksamhet och myndigheten bedömer att uppgiften är av väsentlig betydelse för handläggningen av ett ärende,

g)Läkemedelsverket, om verket bedömer att uppgiften är av väsentlig betydelse i ett ärende om tillsyn när det gäller bestämmel- serna om marknadsföring i 12 kap. läkemedelslagen (2015:315),

h)Polismyndigheten, om myndigheten bedömer att uppgiften be- hövs i samband med underrättelse, efterforskning eller identifiering vid olyckor eller dödsfall eller för att myndigheten ska kunna full- göra en uppgift som avses i 12 § polislagen (1984:387),

i)Polismyndigheten eller en åklagarmyndighet, om myndigheten bedömer att uppgiften behövs i ett särskilt fall för att myndigheten ska kunna fullgöra en underrättelseskyldighet enligt 33 § lagen (1964:167) med särskilda bestämmelser om unga lagöverträdare, och

j)Skatteverket, om verket bedömer att uppgiften är av väsentlig betydelse för handläggningen av ett ärende som avser kontroll av skatt eller avgift eller rätt folkbokföringsort enligt folkbokförings- lagen (1991:481),

2. en uppgift som avses i 31 § första stycket 1 och som gäller brottslig verksamhet eller misstanke om brott till Ekobrottsmyndig- heten, Polismyndigheten, Säkerhetspolisen, Tullverket, Åklagarmyn-

72

SOU 2023:22

Författningsförslag

digheten eller någon annan myndighet som ska ingripa mot brottet eller den brottsliga verksamheten,

3.en uppgift som avses i 31 § första stycket 1 eller 3 till en regio- nal alarmeringscentral som avses i lagen (1981:1104) om verksam- heten hos vissa regionala alarmeringscentraler,

4.en uppgift som avses i 31 § första stycket 1 eller 3 samt uppgift om i vilket geografiskt område en viss elektronisk kommunikations- utrustning finns eller har funnits till Polismyndigheten, om myn- digheten bedömer att uppgiften behövs i samband med efterforsk- ning av personer som har försvunnit under sådana omständigheter att det kan antas att det då fanns eller fortfarande finns fara för deras liv eller allvarlig risk för deras hälsa, och

5.en uppgift som avses i 31 § första stycket 3 om vilka övriga till- handahållare av elektroniska kommunikationsnät eller elektroniska kommunikationstjänster som har deltagit vid överföringen av ett meddelande som omfattas av ett föreläggande enligt 27 kap. 16 § rätte- gångsbalken att bevara en viss lagrad uppgift till den myndighet som meddelat föreläggandet.

Ersättning för att lämna ut andra uppgifter enligt första stycket 3 än lokaliseringsuppgifter ska vara skälig med hänsyn till kostnaderna för utlämnandet.

12kap.

1 §15

Tillsynsmyndigheten ska ta ut en sanktionsavgift av den som

1.inte tillhandahåller en sammanfattning av avtalet i enlighet med 7 kap. 1 §, föreskrifter som har meddelats med stöd av den para- grafen och genomförandeakter som Europeiska kommissionen har meddelat med stöd av artikel 102.3 i direktiv (EU) 2018/1972, i den ursprungliga lydelsen,

2.inte tillämpar villkor om bindningstid och uppsägningstid i enlighet med 7 kap. 8, 13 eller 14 §,

3.inte uppfyller kraven på nummerportabilitet i enlighet med 7 kap. 19 och 20 §§ och föreskrifter om nummerportabilitet som har meddelats med stöd av 7 kap. 21 § första stycket,

4.inte vidtar åtgärder för att hantera risker som hotar säkerheten

inät och tjänster i enlighet med 8 kap. 1 §, föreskrifter som har med- delats med stöd av den paragrafen och genomförandeakter som

15Senaste lydelse 2022:1086.

73

Författningsförslag

SOU 2023:22

Europeiska kommissionen har meddelat med stöd av artikel 40.5 i direktiv (EU) 2018/1972, i den ursprungliga lydelsen,

5.inte rapporterar om säkerhetsincidenter i enlighet med 8 kap. 3 §, föreskrifter som har meddelats med stöd av den paragrafen och genomförandeakter som Europeiska kommissionen har meddelat med stöd av artikel 40.5 i direktiv (EU) 2018/1972, i den ursprungliga lydelsen,

6.inte informerar om hot om säkerhetsincidenter i enlighet med 8 kap. 4 §, föreskrifter som har meddelats med stöd av den paragrafen och genomförandeakter som Europeiska kommissionen har med- delat med stöd av artikel 40.5 i direktiv (EU) 2018/1972, i den ur- sprungliga lydelsen,

7.inte vidtar skyddsåtgärder enligt 8 kap. 5 § och föreskrifter som har meddelats med stöd av den paragrafen,

8.inte vidtar åtgärder för att säkerställa skydd av uppgifter som behandlas i samband med tillhandahållandet av en tjänst i enlighet med 8 kap. 6 § och föreskrifter som har meddelats med stöd av den paragrafen,

9.inte informerar abonnenten om särskilda risker för bristande skydd av behandlade uppgifter i enlighet med 8 kap. 7 §,

10.inte underrättar om integritetsincidenter i enlighet med 8 kap. 8 § och föreskrifter som har meddelats med stöd av den paragrafen,

11.inte behandlar uppgifter i ett elektroniskt meddelande eller trafikuppgifter som hör till detta meddelande i enlighet med 9 kap.

27 §,

 

12. inte bedriver sin verksam-

12. inte bedriver sin verksam-

het så att beslut om hemlig av-

het så att beslut om hemlig av-

lyssning av elektronisk kommu-

lyssning av elektronisk kommu-

nikation och hemlig övervakning

nikation, hemlig övervakning av

av elektronisk kommunikation

elektronisk kommunikation och

kan verkställas och så att verk-

inhämtning enligt lagen (2012:278)

ställandet inte röjs i enlighet med

om inhämtning av uppgifter om

9 kap. 29 § första stycket och

elektronisk kommunikation i de

föreskrifter som har meddelats i

brottsbekämpande myndigheternas

anslutning till det stycket,

underrättelseverksamhet kan verk-

 

ställas och så att verkställandet

 

inte röjs i enlighet med 9 kap.

 

29 § första stycket och föreskrif-

74

SOU 2023:22

Författningsförslag

ter som har meddelats i anslut- ning till det stycket,

13.inte ordnar uppgifter och gör dem tillgängliga i ett format som gör att de enkelt kan tas om hand i enlighet med 9 kap. 29 b § andra stycket och föreskrifter som har meddelats i anslutning till det stycket,

14. inte överför signaler till

14. inte överför signaler till

samverkanspunkter i enlighet med

samverkanspunkter i enlighet med

9 kap. 30 § och föreskrifter som

9 kap. 30 § och föreskrifter som

har meddelats med stöd av den

har meddelats med stöd av den

paragrafen, eller

paragrafen,

15. inte lämnar ut en uppgift i

15. inte lämnar ut en uppgift i

enlighet med 9 kap. 33 §.

enlighet med 9 kap. 33 §, eller

 

16. inte lagrar uppgifter i en-

 

lighet med 9 kap. 19 a–d och 22 §§

 

och föreskrifter som har meddelats

 

i anslutning till dessa paragrafer.

En sanktionsavgift enligt första stycket 2 ska, när det är fråga om ett paket enligt 7 kap. 26 §, tas ut endast om överträdelsen avser en allmänt tillgänglig elektronisk kommunikationstjänst som inte är en nummeroberoende interpersonell kommunikationstjänst eller en överföringstjänst som används för tillhandahållande av maskin-till- maskin-tjänster.

1.Denna lag träder i kraft den 1 juli 2025.

2.Uppgifter som lagrats enligt 9 kap. 19 § ska lagras enligt 9 kap. 22 § efter ikraftträdandet av denna lag.

75

Författningsförslag

SOU 2023:22

1.8Förslag till förordning om ändring i förordningen (2007:951) med instruktion för Post- och telestyrelsen

Härigenom föreskrivs i fråga om förordning om ändring i förord- ningen (2007:951) med instruktion för Post- och telestyrelsen att 4 § ska ha följande lydelse

Nuvarande lydelse

Föreslagen lydelse

4 §1

Post- och telestyrelsen har till uppgift att

1.främja tillgången till säkra och effektiva elektroniska kommu- nikationer, inbegripet att se till att samhällsomfattande tjänster finns tillgängliga, och att främja tillgången till ett brett urval av elektroniska kommunikationstjänster,

2.främja utbyggnaden av och följa tillgången till bredband och mobiltäckning i alla delar av landet, inbegripet att skapa förutsättningar för samverkan mellan myndigheter som kan bidra till utbyggnaden av bredband,

3.svara för att möjligheterna till radiokommunikation och andra användningar av radiovågor utnyttjas effektivt,

4.svara för att nummer ur nationella nummerplaner utnyttjas på ett effektivt sätt,

5.främja en effektiv konkurrens,

6.övervaka pris- och tjänsteutvecklingen,

7.bedriva informationsverksamhet riktad till konsumenter,

8.följa utvecklingen när det gäller säkerhet vid elektronisk kom- munikation och uppkomsten av eventuella miljö- och hälsorisker,

9.pröva frågor om tillstånd och skyldigheter, fastställa och analy- sera marknader samt utöva tillsyn och pröva tvister enligt lagen (2022:482) om elektronisk kommunikation,

10.meddela föreskrifter enligt förordningen (2022:511) om elek- tronisk kommunikation,

11.upprätta och offentliggöra planer för frekvensfördelning till ledning för radioanvändningen samt offentliggöra information av all-

1Senaste lydelse 2022:515.

76

SOU 2023:22

Författningsförslag

mänt intresse om rättigheter, villkor, förfaranden och avgifter som rör radiospektrumanvändningen,

12.tillhandahålla information om frekvensanvändning till Euro- peiska radiokommunikationskontorets frekvensinformationssystem (EFIS),

13.vara marknadskontrollmyndighet enligt radioutrustningslagen (2016:392),

14.vara tillsynsmyndighet enligt lagen (2016:561) med komplet- terande bestämmelser till EU:s förordning om elektronisk identi- fiering och ge stöd och information till myndigheter och enskilda när det gäller betrodda tjänster,

15.följa utvecklingen när det gäller toppdomäner med geografiska namn som har anknytning till Sverige,

16.vara tillsynsmyndighet enligt lagen (2006:24) om nationella toppdomäner för Sverige på internet samt meddela föreskrifter en- ligt förordningen (2006:25) om nationella toppdomäner för Sverige på internet,

17.verka för robusta elektroniska kommunikationer och minska risken för störningar, inbegripet att upphandla förstärkningsåtgär- der, och verka för ökad krishanteringsförmåga,

18.verka för ökad nät- och informationssäkerhet i fråga om elek- tronisk kommunikation, genom samverkan med myndigheter som har särskilda uppgifter inom informationssäkerhets-, säkerhetsskydds- och integritetsskyddsområdet samt med andra berörda aktörer,

19.lämna råd och stöd till myndigheter, kommuner och regioner och till företag, organisationer och andra enskilda i frågor om nät- säkerhet,

20. vara tvistlösnings-

och

20. vara tvistlösnings-

och

tillsynsmyndighet enligt

lagen

tillsynsmyndighet enligt

lagen

(2016:534) om åtgärder för ut-

(2016:534) om åtgärder för ut-

byggnad av bredbandsnät och an-

byggnad av bredbandsnät och an-

svara för informationstjänsten för

svara för informationstjänsten för

utbyggnad av bredbandsnät en-

utbyggnad av bredbandsnät en-

ligt samma lag, och

 

ligt samma lag,

 

21. vara tillsynsmyndighet en-

21. vara tillsynsmyndighet en-

ligt lagen (2018:1174) om infor-

ligt lagen (2018:1174) om infor-

mationssäkerhet för samhällsvik-

mationssäkerhet för samhällsvik-

tiga och digitala tjänster.

 

tiga och digitala tjänster, och

77

Författningsförslag

SOU 2023:22

22. meddela föreskrifter om vilka kommuner som omfattas av geo- grafiskt riktad lagring enligt 4 § lagen (2025:000) om lagring av uppgifter om elektronisk kommu- nikation i syfte att bekämpa grov brottslighet.

Denna förordning träder i kraft den 1 juli 2025.

78

SOU 2023:22

Författningsförslag

1.9Förslag till förordning om ändring i förordningen (2007:1141) med instruktion för Säkerhets- och integritetsskyddsnämnden

Härigenom föreskrivs i fråga om förordningen (2007:1141) med in- struktion för Säkerhets- och integritetsskyddsnämnden

dels att 1, 8, och 13 §§ ska ha följande lydelse,

dels att det ska införas tre nya paragrafer, 3 a §, 26 a och 26 b §§, och närmast före 26 a § en ny rubrik av följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

1 §1

Säkerhets- och integritets-

Säkerhets- och integritets-

skyddsnämnden är en myndighet

skyddsnämnden är en myndighet

som ansvarar för de uppgifter som

som ansvarar för de uppgifter som

framgår av 1 § lagen (2007:980)

framgår av 1 § lagen (2007:980)

om tillsyn över viss brotts-

om tillsyn över viss brotts-

bekämpande verksamhet och av

bekämpande verksamhet och av

2 och 3 §§ denna förordning.

2–3 a §§ denna förordning.

3 a §

Myndigheten har till uppgift att överpröva Säkerhetspolisens beslut om nationell säkerhetslagring en- ligt lagen (2025:000) om lagring av och åtkomst till uppgifter om elektronisk kommunikation i syfte att skydda Sveriges säkerhet.

8 §2

Inom myndigheten ska det

Inom myndigheten ska det

finnas två särskilda beslutsorgan,

finnas tre särskilda beslutsorgan,

som benämns Registerkontroll-

som benämns Registerkontroll-

delegationen och Skyddsregistrer-

delegationen, Skyddsregistrerings-

ingsdelegationen.

delegationen och Datalagringsdele-

 

gationen.

1Senaste lydelse 2007:1141.

2Senaste lydelse 2009:1516.

79

Författningsförslag

SOU 2023:22

Registerkontrolldelegationen har till uppgift att besluta i frågor som avses i 2 §.

Skyddsregistreringsdelegationen har till uppgift att besluta i frågor som avses i 3 §.

Datalagringsdelegationen har till uppgift att besluta i frågor som av- ses i 3 a.

Varje delegation består av en ordförande, en vice ordförande samt högst tre andra ledamöter.

 

13 §3

Ledamöterna i

Registerkon-

Ledamöterna i Registerkon-

trolldelegationen

och Skydds-

trolldelegationen, Skyddsregistrer-

registreringsdelegationen utses av

ingsdelegationen och Datalagrings-

regeringen för en bestämd tid.

delegationen utses av regeringen

Ordföranden och vice ordföran-

för en bestämd tid. Ordföranden

den ska vara eller ha varit ordi-

och vice ordföranden ska vara

narie domare eller ha annan mot-

eller ha varit ordinarie domare eller

svarande juridisk erfarenhet.

ha annan motsvarande juridisk

 

 

erfarenhet.

Av de övriga ledamöterna i Skyddsregistreringsdelegationen ska en av dem ha särskild erfarenhet av verksamhet som avser folkbok- föring.

Bland de övriga ledamöterna i Datalagringsdelegationen ska det finnas personer med särskild erfa- renhet av integritetsskyddsfrågor, frågor som avser elektronisk kom- munikation och verksamhet som rör nationell säkerhet.

3Senaste lydelse 2009:1516.

80

SOU 2023:22

Författningsförslag

Handläggning av ärenden i Datalagringsdelegationen

26 a §

När Säkerhetspolisens beslut om nationell säkerhetslagring har över- klagats ska Datalagringsdelegatio- nen sammanträda så snart som möjligt.

26 b § Datalagringsdelegationen är be-

slutför när ordföranden och minst två andra ledamöter är närvarande.

Om både ordföranden och vice ordföranden i delegationen har för- hinder får nämndens ordförande träda in som delegationens ord- förande.

Denna förordning träder i kraft den 1 juli 2025.

81

Författningsförslag

SOU 2023:22

1.10Förslag till förordning om ändring i förordningen (2022:511) om elektronisk kommunikation

Härigenom föreskrivs i fråga om förordningen (2022:511) om elek- tronisk kommunikation

dels att 9 kap. 10 §1 ska upphöra att gälla,

dels att 9 kap. 6, 7 och 8 § ska ha följande lydelse,

dels att det ska införas tre nya paragrafer, 9 kap. 6 a–c §§ och närmast före 6, 7–9 §§ nya rubriker av följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

9kap.

6 §2

Lagring av uppgift om abonnemang

För att uppfylla lagringsskyl-

Lagringsskyldigheten

enligt

digheten i 9 kap. 19 § lagen

9 kap. 19 a § lagen (2022:482) om

(2022:482) om elektronisk kom-

elektronisk kommunikation

om-

munikation ska den lagringsskyl-

fattar uppgifter som är nödvändiga

dige lagra de uppgifter som anges i

för att identifiera abonnent och

7 och 8 §§.

registrerad användare och som är

 

uppgift om

 

 

 

 

1. abonnent och registrerad an-

 

vändare,

 

 

 

 

2. användares

ip-adress

och

 

andra uppgifter,

 

 

 

 

3. användares

abonnemangs-

 

och utrustningsidentiteter samt

 

4. koppling mellan

tillfälliga

 

och permanenta identifierare för

 

utrustning och abonnemang.

 

Post- och telestyrelsen får med- dela ytterligare föreskrifter om vilka uppgifter som ska lagras enligt första stycket.

1Senaste lydelse av 10 § 2022:511.

2Senaste lydelse 2022:511.

82

SOU 2023:22

Författningsförslag

Nationell säkerhetslagring

6 a §

Lagringsskyldigheten i 9 kap.

19 b § lagen (2022:482) om elek- tronisk kommunikation får om- fatta de uppgifter som anges i 6 b och 6 c §§.

6 b §

När det gäller telefonitjänst, samtal och meddelandehantering får följande lagras:

1.i fråga om telefonitjänst och samtal, uppringande och uppringt nummer, ip-adress eller annan meddelandeadress, abonnemangs- och utrustningsidentitet,

2.i fråga om meddelanden, avsändares och mottagares

nummer, ip-adress eller annan meddelandeadress,

abonnemangs-, konto- eller utrustningsidentitet,

3.nummer, ip-adress eller andra meddelandeadresser som kommunikationen styrts till vid överflyttning, vidareförmedling eller transport av 1 och 2,

4.uppgifter om abonnent och registrerad användare som upp- gifterna i 1–3 kan hänföras till,

5.kopplingen mellan tillfäl- liga och permanenta identifierare för utrustning eller abonnemang,

6.uppgifter om den eller de tjänster som använts,

7.datum och spårbar tid för då kommunikationen påbörjades

83

Författningsförslag

SOU 2023:22

och avslutades eller ett medde- lande skickades och togs emot,

8.lokaliseringsuppgifter vid kommunikationen,

9.lokaliseringsuppgifter som inte är trafikuppgifter samt loka- liseringsuppgifter som genererats

ianvändares utrustning, och

10.uppgifter som identifierar den utrustning där kommunika- tionen slutligt avskiljs från den lagringsskyldige till den enskilda abonnenten.

Om den som slutligt avskiljer kommunikationen till den en- skilda abonnenten inte omfattas av lagringsskyldighet, ska första stycket 10 gälla för den som av- skiljer kommunikationen till den som slutligt avskiljer kommuni- kationen till den enskilda abon- nenten.

6 c §

När det gäller internetåtkomst får följande lagras:

1.användares ip-adress och andra uppgifter som är nödvän- diga för att identifiera abonnent och registrerad användare,

2.uppgifter om abonnent och registrerad användare,

3.användares abonnemangs- och utrustningsidentiteter,

4.koppling mellan tillfälliga och permanenta identifierare för utrustning och abonnemang,

5.den typ av kapacitet för över- föring som har använts,

84

SOU 2023:22

Författningsförslag

6.datum och spårbar tid för åtkomsten,

7.lokaliseringsuppgifter vid åt- komsten,

8.lokaliseringsuppgifter som inte är trafikuppgifter samt lokaliser- ingsuppgifter som genererats i an- vändares utrustning,

9.uppgifter som identifierar den utrustning där kommunikationen slutligt avskiljs från den lagrings- skyldige till den enskilda abon- nenten.

Om den som slutligt avskiljer kommunikationen till den enskilda abonnenten inte omfattas av lag- ringsskyldighet, ska första stycket 9 gälla för den som avskiljer kom- munikationen till den som slutligt avskiljer kommunikationen till den enskilda abonnenten.

7 §3

Geografiskt riktad lagring

När det gäller telefonitjänst och meddelandehantering via mobil nätanslutningspunkt ska följande lagras:

1.uppringande och uppringt nummer, avsändares och mottagares nummer eller annan meddelande- adress,

2.i fråga om telefonitjänst, upp- ringandes och uppringds abonne- mangsidentitet och utrustnings- identitet,

Lagringsskyldigheten i 9 kap.

19 c § lagen (2022:482) om elek- tronisk kommunikation ska om- fatta de uppgifter som anges i 6 b och 6 c §§.

3Senaste lydelse 2022:511.

85

Författningsförslag

SOU 2023:22

3.uppgifter om abonnent och registrerad användare som upp- gifterna i 1 och 2 kan hänföras till,

4.datum och spårbar tid då kommunikationen påbörjades och avslutades eller ett meddelande skickades och togs emot,

5.lokaliseringsuppgifter då kom- munikationen påbörjades och av- slutades eller ett meddelade skicka- des och togs emot, och

6.datum, spårbar tid och loka- liseringsuppgifter för den första akti- veringen av en förbetald anonym tjänst.

8 §4

När det gäller internetåtkomst ska följande lagras:

1.användares ip-adress och andra uppgifter som är nödvän- diga för att identifiera abonnent och registrerad användare,

2.uppgifter om abonnent och registrerad användare,

3.datum och spårbar tid för på- och avloggning i tjänsten som ger internetåtkomst, och

4.uppgifter som identifierar den utrustning där kommunika- tionen slutligt avskiljs från den lagringsskyldige till den enskilda abonnenten.

Om den som slutligt avskiljer kommunikationen till den enskilda abonnenten inte omfattas av 9 kap.

Utökad riktad lagring

Lagringsskyldigheten i 9 kap.

19 d § lagen (2022:482) om elek- tronisk kommunikation får om- fatta de uppgifter som anges 7 §.

4Senaste lydelse 2022:511.

86

SOU 2023:22

Författningsförslag

19 § lagen (2022:482) om elektro- nisk kommunikation, ska första stycket 4 gälla för den som avskiljer kommunikationen till den som slut- ligt avskiljer kommunikationen till den enskilda abonnenten.

9§5

Föreskriftsrätt

Post- och telestyrelsen får med- dela närmare föreskrifter om vilka uppgifter som ska lagras enligt 7 och 8 §§.

Post- och telestyrelsen får med- dela närmare föreskrifter om vilka uppgifter som ska lagras enligt 6 b och 6 c §§.

Denna förordning träder i kraft den 1 juli 2025.

5Senaste lydelse 2022:511.

87

2Utredningens uppdrag och arbete

2.1Utredningens uppdrag

Regeringen beslutade den 5 augusti 2021 att ge en särskild utredare i uppdrag att se över den lagstiftning som medför en skyldighet för tillhandahållare av elektroniska kommunikationstjänster att lagra upp- gifter om elektronisk kommunikation för brottsbekämpande syften, samt vissa anknytande frågor om myndigheternas tillgång till sådana uppgifter. Uppdraget syftar till att säkerställa att de brottsbekämpande myndigheternas tillgång till information förbättras och upprätthålls över tid i takt med teknikutvecklingen och förändrade kommunika- tionsvanor, samtidigt som respekten för mänskliga rättigheter säkerställs.

Enligt utredningens direktiv ska nuvarande reglering om lagring av och tillgång till uppgifter om elektronisk kommunikation analy- seras och utvärderas i förhållande till bl.a. ny praxis från EU-dom- stolen och ställning tas till om regelverket behöver förändras. Vi ska också analysera förutsättningarna för och ta ställning till om leveran- törer av s.k. OTT-tjänster (dvs. nummeroberoende interpersonella kommunikationstjänster, Noik) ska omfattas av denna reglering.

Vi ska vidare analysera och föreslå moderniseringar av regleringen när det gäller tjänsteleverantörers skyldighet att anpassa sin verksam- het så att hemliga tvångsmedel kan verkställas på ett effektivt sätt.

Slutligen ska vi analysera vissa frågor om jurisdiktion, inklusive folkrättsliga överväganden, i förhållande till elektronisk information som finns eller kan finnas utanför Sverige och ta ställning till om det bör införas en särskild lagreglering för exekutiv jurisdiktion.

Det ingår i uppdraget att noga väga behovet av en effektiv brotts- bekämpning mot den enskildes rätt till skydd för sin personliga integ- ritet, analysera förslagens påverkan på skyddet för mänskliga rättig- heter, inklusive rätten till respekt för privatlivet, ta ställning till om

89

Utredningens uppdrag och arbete

SOU 2023:22

skyddet för privat- och familjelivet respektive den personliga integ- riteten bör stärkas, och se till att de förslag som lämnas uppfyller högt ställda krav på rättssäkerhet.

Uppdraget innefattar också att säkerställa att en välfungerande systematik i regelverket kring hemliga tvångsmedel upprätthålls. Det innebär att vi även ska bedöma behovet av följdändringar i rättegångs- balken, lagen (2012:278) om inhämtning av uppgifter om elektronisk kommunikation i de brottsbekämpande myndigheternas underrät- telseverksamhet (inhämtningslagen), lagen (2007:979) om åtgärder för att förhindra vissa särskilt allvarliga brott (preventivlagen), lagen (2022:700) om särskild kontroll av vissa utlänningar (LSU), lagen (2020:62) om hemlig dataavläsning (HDA) och lagen (2022:482) om elektronisk kommunikation (nya LEK). Vi ska även bedöma behovet av följdändringar i lagen (2000:562) om internationell rättslig hjälp i brottmål (LIRB) och lagen (2017:1000) om en europeisk utrednings- order.

2.2Utredningsarbetet

Uppdraget har inrymt överväganden inom ett mycket komplext om- råde, både juridiskt och tekniskt. Utredningen har haft elva expert- gruppssammanträden. Därutöver har företrädare för utredningen haft flera separata möten med experter från Polismyndigheten, Säker- hetspolisen och Post- och telestyrelsen (PTS). Företrädare har även även haft sammanträden med branchorganisationen TechSverige (tidi- gare IT & Telekomföretagen) tillsammans med företrädare för Meta (tidigare Facebook), Microsoft, Google, Internetstiftelsen, Hi3G, Tele2, Telenor och Telia. Utredningen har också haft separata möten med Apple, Meta, Microsoft, Hi3G, Tele2, Telenor och Telia. Före- trädare för utredningen har också haft separata möten med Apple, Meta, Microsoft, Hi3G, Tele2, Telenor och Telia.

Företrädare har haft underhandskontakter med bl.a. Brottsföre- byggande rådet (Brå), Säkerhets- och integritetsskyddsnämnden (SIN), Internetstiftelsen, Netnod och ISOC-SE. Utredningen har haft kon- takt med personer som arbetar med motsvarande frågor i andra länder. Därtill har utredningen samrått med bl.a. Utredningen om utökade möjligheter att använda hemliga tvångsmedel (Ju 2020:20) och Utred- ningen om preventiva tvångsmedel (Ju 2021:15).

90

SOU 2023:22

Utredningens uppdrag och arbete

Vi har inte kunnat beakta material som tillkommit efter den 31 mars 2023.

2.3Betänkandets disposition

Fortsättningen av betänkandet inleds med avsnitt 3, om enskildas grundläggande rättigheter. Därefter beskrivs i avsnitt 4 relevant gällande rätt kring elektronisk kommunikation. Avsnitt 5 utgör en översikt- lig beskrivning av de brottsbekämpande myndigheternas utredande verksamhet och underrättelseverksamhet. I avsnitt 6 gör vi en över- syn av reglerna om lagring och tillgång till uppgifter om elektronisk kommunikation. I samma avsnitt finns våra överväganden och för- slag om lagring av abonnemangsuppgifter och behovet av anpassning av den svenska datalagringsregleringen. I avsnitt 7–9 finns våra över- väganden och förslag om nationell säkerhetslagring, riktad lagring och om lagring av och tillgång till elektroniska uppgifter om elek- tronisk kommunikation från tillhandahållare av Noik. I avsnitt 10 och 11 finns överväganden och förslag om modernisering av anpass- ningsskyldigheten och frågor om exekutiv jurisdiktion. Den sista delen av betänkandet utgörs av förslag på ikraftträdande, avsnitt 12, en beskrivning av förslagens konsekvenser, avsnitt 13 och en författ- ningskommentar, avsnitt 14. Våra författningsförslag finns i avsnitt 1.

91

3 Grundläggande rättigheter

3.1Rätten till personlig integritet

Svensk rätt innehåller ingen allmängiltig definition av begreppet per- sonlig integritet. Någon enhetlig definition finns inte heller i inter- nationell rätt.1 Begreppet personlig integritet har beskrivits som att kränkningar av den personliga integriteten utgör intrång i den fre- dade sfär som den enskilde bör vara tillförsäkrad och där intrång bör kunna avvisas. Det har vidare inte ansetts nödvändigt att formulera en allmängiltig definition av begreppet personlig integritet för att kunna bedöma vilka intressen som har ett sådant skyddsvärde att de bör om- fattas av ett särskilt starkt skydd mot omotiverade ingrepp.2 Utform- ningen av integritetsskyddet i svensk rätt har kommit att bestämmas av summan av ett stort antal skyddsregler av varierande slag.3

IIntegritetsskyddsmyndighetens integritetsrapport 2020 analy- seras begreppet och myndigheten konstaterar bl.a. följande.4

Även om någon fast definition inte slås fast och även om rättigheten inte är absolut, bör personlig integritet i det digitala samhället samman- fattningsvis kunna förstås som den enskildes rätt till

Privatliv. Rätten att få vara ifred, ha privata tankar och kunna kom- municera förtroligt med andra utan att bli kartlagd, spårad eller över- vakad.

Självbestämmande. Att själv kunna kontrollera personuppgifter som rör en själv, vem som använder uppgifterna och för vilka syften. Detta är särskilt angeläget när det handlar om vem som ska få ta del av känsliga uppgifter som rör till exempel hälsa eller sexualliv.

1Se SOU 2016:65 s. 34.

2Se bl.a. prop. 2009/10:80 s. 175.

3Se bl.a. SOU 2015:31 s. 51 och SOU 2017:75 s. 59.

4Se Integritetsskyddsmyndighetens integritetsrapport 2020, IMY rapport 2021:1, s. 27 f.

93

Grundläggande rättigheter

SOU 2023:22

3.2Skyddet för privatlivet

3.2.1FN:s konventioner

Förenta nationernas (FN) allmänna förklaring om de mänskliga rättig- heterna antogs 1948. Ingen får utsättas för godtyckligt ingripande i fråga om privatliv, familj, hem eller korrespondens (artikel 12). En person får endast underkastas sådana inskränkningar som har fast- ställts i lag och enbart i syfte att trygga tillbörlig hänsyn till och respekt för andras fri- och rättigheter samt för att tillgodose ett demokra- tiskt samhälles berättigade krav på moral, allmän ordning och allmän välfärd (artikel 29). Motsvarande skydd för den personliga integri- teten finns i FN:s konvention om medborgerliga och politiska rättig- heter, som antogs 1966. Även FN:s konvention om ekonomiska, sociala och kulturella rättigheter, som antogs 1966, innehåller regler om skydd för bl.a. privat- och familjelivet.

FN:s konvention om barns rättigheter (barnkonventionen) antogs 1989 och artiklarna 1–42 är sedan den 1 januari 2020 inkorporerad i svensk lag.5 Inget barn får utsättas för godtyckliga eller olagliga in- gripanden i sitt privat- eller familjeliv, sitt hem eller sin korrespon- dens och inte heller för olagliga angrepp på sin heder och sitt anse- ende (artikel 16). I artikel 40 (b) (vii) nämns särskilt att ett barn som misstänks eller åtalas för brott ska få sitt privatliv till fullo respek- terat under alla stadier av förfarandet. Vid samtliga åtgärder som rör barn ska i första hand beaktas vad som bedöms vara barnets bästa (artikel 3). Barn ska skyddas från alla former av fysiskt eller psykiskt våld, narkotika, sexuella övergrepp och annat utnyttjande. Det ska finnas effektiva medel för bl.a. förebyggande, identifiering, undersök- ning och uppföljning samt förfaranden för rättsligt ingripande om barn farit illa (se artiklarna 19 och 32–36).

3.2.2Europakonventionen

Europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna (Europakonventionen) är inkorpo- rerad i svensk rätt och gäller som svensk lag.6 Enligt 2 kap. 19 § RF

5Se lagen (2018:1197) om Förenta nationernas konvention om barnets rättigheter.

6Se lagen (1994:1219) om den europeiska konventionen angående skydd för de mänskliga rättigheterna och de grundläggande friheterna.

94

SOU 2023:22

Grundläggande rättigheter

får lag eller annan föreskrift inte meddelas i strid med Sveriges åtagan- den på grund av Europakonventionen. Genom att underteckna Europa- konventionen har staten garanterat var och en, som befinner sig under dess jurisdiktion, de fri- och rättigheter som anges i konventionen. Var och en har rätt till respekt för sitt privat- och familjeliv, sitt hem och sin korrespondens (artikel 8). Rätten till respekt för privat- och familjeliv omfattar bl.a. kommunikation via telefon. Rätten innefattar även skyddet av personuppgifter. Offentlig myndighet får inte in- skränka dessa rättigheter annat än med stöd av lag och om det i ett demokratiskt samhälle är nödvändigt med hänsyn till statens säker- het, den allmänna säkerheten, landets ekonomiska välstånd eller till förebyggande av oordning eller brott eller till skydd för hälsa eller moral eller för andra personers fri- och rättigheter. Det innebär att en inskränkning måste ha stöd i inhemsk lag som i sin tur måste upp- fylla rimliga anspråk på rättssäkerhet, såsom att skydda mot godtycke, vara tillgänglig för allmänheten och vara förutsebar. Att inskränk- ningen måste vara nödvändig i ett demokratiskt samhälle för något av de i artikeln skyddade intressena innebär i huvudsak att det ska finnas ett angeläget samhälleligt behov av åtgärden och att den måste stå i rimlig proportion till det syfte som ska tillgodoses.7 Konven- tionsstaterna har ett visst handlingsutrymme att själva avgöra om be- gränsningarna är nödvändiga för ett givet syfte. Europadomstolen för- behåller sig dock rätten att överpröva denna bedömning inom ramen för prövningen av någons enskilda klagomål hos domstolen.

Europadomstolen har utarbetat en minimistandard som ställer föl- jande krav på lagstiftning om hemliga övervakningsåtgärder.8

Arten av de brott som skulle kunna leda till en begäran om åt- gärden måste framgå.

Det ska finnas en definition av de personkategorier som skulle kunna riskera att bli föremål för åtgärden.

Åtgärdens varaktighet ska vara begränsad.

Det måste finnas förfaranderegler för undersökning, användning och lagring av de uppgifter som inhämtas.

7Se Danelius, Mänskliga rättigheter i europeisk praxis, 5 uppl. 2015, s. 369 f.

8Se t.ex. Roman Zakharov mot Ryssland (nr 47143/06), 4 december 2015, § 231 med hän- visningar.

95

Grundläggande rättigheter

SOU 2023:22

Försiktighetsåtgärder vid överföring av information till andra par- ter ska vidtas.

De omständigheter under vilka inhämtade uppgifter (t.ex. inspel- ningar) kan eller måste raderas ska anges.

De viktigaste punkterna har bedömts vara de två förstnämnda. Det kan konstateras att den grad av förutsebarhet som krävs varierar bero- ende på vilken typ av åtgärd som lagstiftningen avser och hur ingri- pande åtgärden är. Europadomstolen har också slagit fast att nationell lagstiftning om dolda spaningsåtgärder måste innehålla kontrollmeka- nismer för att skydda mot missbruk. Vad som krävs i det avseendet beror på omständigheter som åtgärdernas karaktär, räckvidd och var- aktighet, vilka motiv som krävs för att besluta, utföra och övervaka dem samt vilken typ av rättsmedel som finns i den nationella lag- stiftningen.

Artikel 8 i Europakonventionen ger enligt praxis inte bara upp- hov till en negativ förpliktelse för det allmänna att avhålla sig från omotiverade inskränkningar i denna rättighet utan även en positiv skyldighet för det allmänna att se till att enskilda tillförsäkras en rätt till skydd för privat- och familjeliv. Ett sådant skydd tillförsäkras bl.a. genom kriminalisering av olika åtgärder som innefattar intrång i den personliga integriteten. En förutsättning för att staten ska kunna leva upp till kraven på att upprätthålla rättstryggheten för enskilda är att staten har en väl fungerande och effektiv brottsbekämpning.9 Att ha en väl fungerande brottsbekämpning innebär t.ex. att myndig- heterna ska ha tillgång till effektiva utredningsverktyg, även i den elektroniska miljön. När så inte varit fallet har staten ansetts kränka de rättigheter som följer av Europakonventionen. Ett exempel på detta var när en person som gjort sig skyldig till förtal eller möjligen sexu- ellt ofredande av ett 12-årigt barn i Finland inte kunde identifieras på grund av att den nationella lagstiftningen inte möjliggjorde att upp- gift om vem som använt en ip-adress kunde hämtas in från operatören. I det aktuella fallet uttalade Europadomstolen att konfidentialitet för kommunikation och yttrandefrihet ibland måste få ge vika för brotts- bekämpande ändamål.10

9Se t.ex. SOU 2015:31 s. 52 f. och SOU 2017:75 s. 60 f.

10Se Europadomstolens dom den 2 december 2008 i mål K.U. mot Finland, mål nr 2872/02.

96

SOU 2023:22

Grundläggande rättigheter

3.2.3EU:s rättighetsstadga

En bestämmelse om rätt till respekt för bl.a. privatlivet finns också i artikel 7 i Europeiska unionens stadga om de grundläggande rättig- heterna. Av artikel 52.3 i stadgan följer att i den mån stadgan omfattar rättigheter som motsvarar sådana som garanteras av Europakonven- tionen, ska de ha samma innebörd och räckvidd som enligt konven- tionen eller ett mer långtgående skydd. Varje begränsning i utövandet av de fri- och rättigheter som erkänns i stadgan måste vara föreskri- ven i lag och förenlig med det väsentliga innehållet i dessa fri- och rättigheter. Begränsningar får, med beaktande av proportionalitets- principen, göras endast om de är nödvändiga och faktiskt svarar mot mål av allmänt samhällsintresse som erkänns av unionen eller behovet av skydd för andra människors fri- och rättigheter (artikel 52.1). Rättig- hetsstadgan riktar sig till medlemsstaterna endast när de tillämpar unionsrätten (artikel 51.1). Av EU-domstolens praxis framgår att detta innebär att rättigheterna i stadgan måste iakttas inte bara vid tillämpningen av nationell lagstiftning som genomför EU-rätt utan så snart nationell lagstiftning omfattas av unionens tillämpnings- område.11 Ingen bestämmelse i stadgan får tolkas som att den inskränker eller inkräktar på de mänskliga rättigheter och grundläggande friheter som inom respektive tillämpningsområde erkänns i unionsrätten, inter- nationell rätt och de internationella konventioner i vilka unionen eller samtliga medlemsstater är parter, särskilt europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande fri- heterna, samt i medlemsstaternas författningar (artikel 53).

3.2.4Regeringsformen

Grundläggande bestämmelser som har betydelse för det allmännas ansvar att skydda enskildas privatliv och integritet finns bl.a. i reger- ingsformen (RF). Av 1 kap. 2 § RF framgår att den offentliga makten ska utövas med respekt bl.a. för den enskilda människans frihet och värdighet samt att det allmänna ska värna den enskildes privatliv och familjeliv. Enligt 2 kap. 6 § första stycket RF är var och en gentemot det allmänna skyddad mot bl.a. husrannsakan och liknande intrång, undersökning av brev eller annan förtrolig försändelse samt hemlig avlyssning eller upptagning av telefonsamtal eller annat förtroligt

11Se t.ex. Åkerberg Fransson, mål C-617/10.

97

Grundläggande rättigheter

SOU 2023:22

meddelande. Vidare gäller enligt paragrafens andra stycke ett skydd mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Dessa grundläggande fri- och rättigheter får begränsas endast genom lag och endast för att tillgodose ändamål som är godtagbara i ett demokratiskt samhälle. Begränsningarna får aldrig gå utöver vad som är nödvändigt eller utgöra ett hot mot den fria åsiktsbildningen (2 kap. 20 och 21 §§ RF). För utländska med- borgare som är bofasta i riket gäller att särskilda begränsningar i dessa rättigheter får göras genom lag (2 kap. 25 § RF).

3.3Skyddet för personuppgifter

3.3.1Dataskyddskonventionen

De dataskyddsregler som har antagits inom ramen för Europarådet finns i första hand i Europarådets konvention till skydd för enskilda vid automatisk behandling av personuppgifter (den s.k. dataskydds- konventionen). Konventionen trädde i kraft i oktober 1985. Sverige har, liksom övriga EU-medlemsstater, anslutit sig till konventionen. Dataskyddskonventionen innehåller principer för dataskydd som de konventionsanslutna staterna måste iaktta i sin nationella lagstift- ning. Syftet med konventionen är att säkerställa respekten för grund- läggande fri- och rättigheter, särskilt den enskildes rätt till personlig integritet i samband med automatiserad behandling av personupp- gifter. Konventionen kompletteras av ett antal icke-bindande rekom- mendationer om hur personuppgifter bör behandlas inom olika om- råden. I syfte att modernisera konventionen antogs i maj 2018 ett ändringsprotokoll till konventionen. Sverige har undertecknat men inte ratificerat protokollet. Ändringarna träder i kraft när alla parter till dataskyddskonventionen har ratificerat ändringsprotokollet eller den 11 oktober 2023 om 38 parter då har ratificerat protokollet.

3.3.2EU-rättslig reglering

Bestämmelser om behandling av personuppgifter finns i unionsrättens primärrätt och sekundärrätt. I artikel 8 i rättighetsstadgan föreskrivs att var och en har rätt till skydd av de personuppgifter som rör honom

98

SOU 2023:22

Grundläggande rättigheter

eller henne. Sådana uppgifter ska behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund. Var och en har rätt att få till- gång till insamlade uppgifter som rör honom eller henne och att få rättelse av dem.

Den allmänna regleringen om behandling av personuppgifter inom EU fanns tidigare i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avse- ende på behandling av personuppgifter och om det fria flödet av sådana uppgifter. Direktivet genomfördes i Sverige i huvudsak genom per- sonuppgiftslagen (1998:204).

Den 27 april 2016 antog Europaparlamentet och rådet förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana upp- gifter och om upphävande av direktiv 95/46/EG (allmän dataskydds- förordning), i det följande EU:s dataskyddsförordning. EU:s data- skyddsförordning är tillämplig i medlemsstaterna sedan den 25 maj 2018. Det huvudsakliga syftet med EU:s dataskyddsförordning är att ytterligare harmonisera och effektivisera skyddet för personuppgifter för att förbättra den inre marknadens funktion och öka enskildas kontroll över sina personuppgifter. EU:s dataskyddsförordning utgör numera den generella regleringen för personuppgiftsbehandling inom EU. Den gäller dock inte för behandlingen av personuppgifter i myn- digheters brottsförebyggande eller brottsutredande verksamhet. För den brottsbekämpande sektorn har i stället Europaparlamentet och rådet antagit direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF, i det följande dataskyddsdirektivet. Viss behandling av personuppgifter undantas från både EU:s dataskyddsförordning och dataskyddsdirektivets tillämpningsområden. Det gäller person- uppgiftsbehandling i verksamhet som inte omfattas av unionsrätten, däribland området nationell säkerhet.

För att säkerställa rätten till skydd för uppgifter inom sektorn för elektronisk kommunikation har EU antagit Europaparlamentets och rådets direktiv 2002/58/EG av den 12 juli 2002 om behandling av

99

Grundläggande rättigheter

SOU 2023:22

personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation (e-dataskyddsdirektivet, se också avsnitt 4.2).

3.3.3Nationell lagstiftning

EU:s dataskyddsförordning började tillämpas den 25 maj 2018. Samma dag trädde lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, (nedan kallad dataskyddslagen) i kraft. I dataskyddslagen finns kompletterande bestämmelser till EU:s data- skyddsförordning. Lagen är subsidiär i förhållande till andra lagar och förordningar och ska inte heller tillämpas i den utsträckning det skulle strida mot grundlagsbestämmelserna om tryck- och yttrandefrihet. Genom dataskyddslagen upphävdes den tidigare gällande personupp- giftslagen.

Dataskyddsdirektivet har i huvudsak genomförts genom en ny ramlag, brottsdatalagen (2018:1177), som trädde i kraft den 1 augusti 2018. Brottsdatalagen är generellt tillämplig inom det område som direktivet reglerar. Lagen är subsidiär i förhållande till annan lag eller förordning, vilket möjliggör avvikande bestämmelser i s.k. register- författningar. Brottsdatalagen gäller vid behandling av personupp- gifter som utförs av myndigheter som har till uppgift att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller verkställa straffrättsliga påföljder. Lagen gäller också för behand- ling av personuppgifter vid upprätthållande av allmän ordning och säkerhet.

I särskilda registerförfattningar finns bestämmelser som innebär preciseringar, undantag eller avvikelser från bestämmelserna i brotts- datalagen. Som exempel kan nämnas lagen (2018:1693) om polisens behandling av personuppgifter inom brottsdatalagens område, lagen (2018:1697) om åklagarväsendets behandling av personuppgifter inom brottsdatalagens område och lagen (2018:1694) om Tullverkets be- handling av personuppgifter inom brottsdatalagens område. För Säker- hetspolisen gäller lagen (2019:1182) om Säkerhetspolisens behandling av personuppgifter vid sådan behandling av personuppgifter som rör nationell säkerhet i Säkerhetspolisens brottsbekämpande och lag- förande verksamhet.

100

SOU 2023:22

Grundläggande rättigheter

Registerförfattningar förekommer också inom andra områden. Författningarna har till sitt huvudsakliga syfte att reglera hanteringen av register eller andra samlingar av personuppgifter.

Särskilda bestämmelser om behandling i personuppgifter finns även i 9 kap. nya LEK.

3.4Yttrandefrihet

EU:s rättighetsstadga skyddar yttrandefriheten (artikel 11). I arti- keln föreskrivs att var och en har rätt till yttrandefrihet. Denna rätt innefattar åsiktsfrihet samt frihet att ta emot och sprida uppgifter och tankar utan någon offentlig myndighets inblandning och obero- ende av territoriella gränser. Motsvarande skydd finns i artikel 10 i Europakonventionen, artikel 19 i FN:s konvention om medborger- liga och politiska rättigheter och artikel 13 i barnkonventionen. FN:s råd för mänskliga rättigheter (UNHCR) antog i juni 2012 en reso- lution om yttrandefrihet på Internet (HRC44). I resolutionen anges bl.a. att ”samma rättigheter som folk har offline måste även skyddas online, i synnerhet yttrandefriheten”.

I regeringsformen föreskrivs att var och en är gentemot det all- männa tillförsäkrad yttrandefrihet, dvs. frihet att i tal, skrift eller bild eller på annat sätt meddela upplysningar samt uttrycka tankar, åsikter och känslor (2 kap. 1 § RF).

Tryckfriheten innebär en frihet för var och en att i tryckt skrift uttrycka tankar, åsikter och känslor samt att offentliggöra allmänna handlingar och i övrigt lämna uppgifter i vilket ämne som helst samt en rätt att ge ut skrifter utan att en myndighet eller ett annat allmänt organ hindrar detta i förväg (1 kap. 1 § TF).

Vidare är var och en gentemot det allmänna tillförsäkrad rätt att i ljudradio, tv och vissa liknande överföringar, offentliga uppspelningar ur en databas samt filmer, videogram, ljudupptagningar och andra tekniska upptagningar offentligen uttrycka tankar, åsikter och käns- lor och i övrigt lämna uppgifter i vilket ämne som helst (1 kap. 1 § Yttrandefrihetsgrundlagen, YGL).

101

4 Elektronisk kommunikation

4.1Allmänt om elektronisk kommunikation

Elektronisk kommunikation innebär överföring av signaler i elektro- nisk form. Elektronisk kommunikation omfattar telefoni, datakom- munikation och utsändningar till allmänheten via radio eller tv. Den tekniska utvecklingen har medfört att dessa delar gradvis vuxit sam- man. Dessutom har de tjänster som används i kommunikationssyfte utvecklats på så sätt att traditionell taltelefoni, sms och e-posttjänster har ersatts med funktionsmässigt likvärdiga onlinetjänster, där över- föring av signaler inte ingår i tjänsten.

Uppgifter om elektronisk kommunikation har i svensk rätt delats in i tre olika och delvis överlappande grupper, nämligen

uppgifter om abonnemang,

trafikuppgifter, och

lokaliseringsuppgifter.

Någon definition av begreppet uppgift om abonnemang finns varken i EU-rätten eller i nationell rätt. Med uppgifter om abonnemang av- ses främst uppgifter om abonnentens nummer, namn, titel och adress, men även uppgifter om exempelvis avtal och fakturering. Vidare anses såväl fasta som dynamiska ip-adresser vara uppgifter om abonnemang, eftersom det huvudsakliga syftet med sådana adresser kan sägas vara att identifiera abonnenten. Vi återkommer till frågan om ip-adresser i avsnitt 6.6.1.

Även IMSI-nummer (nummer som är kopplade till abonnentens simkort och telefonnummer) och IMEI-nummer (nummer som är kopplade till själva kommunikationsenheten) kan vara uppgift om abonnemang. PTS har inom ramen för sin tillsyn av skyldigheten att lämna ut uppgifter till brottsbekämpande myndigheter bedömt att

103

Elektronisk kommunikation

SOU 2023:22

uppgifter om IMEI-nummer är att anse som uppgift om abonnemang, när det tydligt framgår av begäran att syftet är att identifiera ett abonnemang eller en abonnent.1

Uppgifter om abonnemang anses typiskt sett vara mindre integ- ritetskänsliga än trafik- och lokaliseringsuppgifter. Regeringen har anfört att det kan ifrågasättas om det är lämpligt eller ens möjligt att definiera uppgifter om abonnemang endast utifrån vilken uppgift det är fråga om. Det har i stället ansetts mer relevant att som utgångs- punkt definiera uppgifter om abonnemang som uppgifter som iden- tifierar abonnenten eller den registrerade användaren bakom ett visst nummer eller en viss adress, i motsats till uppgifter som redogör för hur numret eller adressen har använts.2

En trafikuppgift definieras i 1 kap. 7 § nya LEK som en uppgift som behandlas i syfte att befordra ett elektroniskt meddelande via ett elektroniskt kommunikationsnät eller för att fakturera detta med- delande. De trafikuppgifter som genereras vid elektronisk kommu- nikation kan avslöja t.ex. vilken typ av kommunikation som före- kommit (telefoni, sms, etc.), vilken utrustning som använts, vilka nummer eller adresser som kommunicerat med varandra samt när och hur länge kommunikationen har pågått. Utanför begreppet trafik- uppgifter faller information som avslöjar meddelandets innehåll. Vi återkommer till begreppet trafikuppgift i avsnitt 6.6.2.

En lokaliseringsuppgift definieras i nya LEK som en uppgift som behandlas i ett allmänt mobilt elektroniskt kommunikationsnät och som anger den geografiska positionen för en slutanvändares terminal- utrustning eller en uppgift i ett allmänt fast elektroniskt kommunika- tionsnät om nätanslutningspunktens fysiska adress (1 kap. 7 §). Det kan t.ex. vara fråga om vilken cell (antenn på basstation) som utrust- ningen kopplat upp sig mot, eller en gps-position.3

1Se PTS beslut den 17 mars 2021 i ärende dnr 20-3144 m.fl. Jfr SOU 2017:75 s. 98 och prop. 2018/19:86 s. 93.

2Se prop. 2018/19:86 s. 93.

3Se vidare om dessa begrepp exempelvis SOU 2017:75, avsnitt 6.2.

104

SOU 2023:22

Elektronisk kommunikation

4.2Integritetsskydd och tystnadsplikt vid elektronisk kommunikation

Som anförs ovan skyddas mellanmänsklig kommunikation av EU:s rättighetsstadga, som föreskriver att var och en har rätt till respekt för sitt privatliv och familjeliv, sin bostad och sina kommunikationer (artikel 7). Rättighetsstadgan föreskriver även ett skydd för person- uppgifter (artikel 8). I syfte att säkerställa full respekt för de rättig- heter som följer av artikel 7 och 8 har EU antagit Europaparlamentets och rådets direktiv 2002/58/EG av den 12 juli 2002 om behandling av personuppgifter och integritetsskydd inom sektorn för elektro- nisk kommunikation (direktiv om integritet och elektronisk kom- munikation), det s.k. e-dataskyddsdirektivet. E-dataskyddsdirektivet syftar även till att säkerställa fri rörlighet för sådana uppgifter samt för utrustning och tjänster avseende elektronisk kommunikation inom unionen.

E-dataskyddsdirektivet definierar trafikuppgifter och lokaliserings- uppgifter (artikel 2) men inte abonnemangsuppgifter.

Bestämmelser om säkerhet vid behandlingen av uppgifter finns i artikel 4 i direktivet. Enligt artikel 4.1 ska leverantören av en allmänt tillgänglig elektronisk kommunikationstjänst vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa säkerheten i sina tjäns- ter, om nödvändigt tillsammans med leverantören av det allmänna kommunikationsnätet när det gäller nätsäkerhet. Dessa åtgärder ska säkerställa en säkerhetsnivå som är anpassad till den risk som före- ligger, med beaktande av dagens tillgängliga teknik och kostnaderna för att genomföra åtgärderna. Enligt artikel 4.1 a i e-dataskyddsdirek- tivet ska, utan att det påverkar tillämpningen av dataskyddsförord- ningen, de åtgärder som avses i punkt 1 minst

säkerställa att endast auktoriserad personal, och endast i lagligen tillåtna syften, får tillgång till personuppgifter,

skydda personuppgifter som lagrats eller överförts mot oavsiktlig eller olaglig förstörelse, oavsiktlig förlust eller ändring samt mot icke auktoriserad eller olaglig lagring och behandling eller icke auktoriserat eller olagligt tillträde eller offentliggörande, och

säkerställa införandet av en strategi för behandling av personupp- gifter.

105

Elektronisk kommunikation

SOU 2023:22

De behöriga nationella myndigheterna ska kunna granska de åt- gärder som vidtas av leverantörer av allmänt tillgängliga elektroniska kommunikationstjänster och utfärda rekommendationer om bästa praxis beträffande den säkerhetsnivå som bör uppnås med hjälp av dessa åtgärder.

Enligt artikel 5 ska medlemsstaterna genom nationell lagstiftning säkerställa konfidentialitet vid kommunikation och därmed förbundna trafikuppgifter via allmänna kommunikationsnät och allmänt tillgäng- liga elektroniska kommunikationstjänster. Medlemsstaterna ska sär- skilt förbjuda avlyssning, uppfångande med tekniskt hjälpmedel, lagring eller andra metoder som innebär att kommunikationen och de därmed förbundna trafikuppgifterna kan fångas upp eller övervakas av andra personer än användarna utan de berörda användarnas sam- tycke, utom när de har laglig rätt att göra så i enlighet med direktivet.

I artikel 6 finns bestämmelser om för vilka ändamål trafikupp- gifter får behandlas och krav på begränsningar i fråga om tillgången till uppgifter för dem som behöver det för att utföra vissa närmare angivna arbetsuppgifter. Som huvudregel ska trafikuppgifter om abon- nenter och användare som behandlas och lagras av en leverantör ut- plånas eller avidentifieras när de inte längre behövs för sitt syfte att överföra kommunikation. Trafikuppgifter som krävs för abonnent- fakturering och betalning av samtrafikavgifter får dock behandlas. Om abonnenten har samtyckt till det, får uppgifter också behandlas för vissa marknadsföringsändamål.

I artikel 9 finns bestämmelser om andra lokaliseringsuppgifter än trafikuppgifter. Om sådana uppgifter kan behandlas, får dessa upp- gifter endast behandlas sedan de har avidentifierats eller om använ- darna eller abonnenterna gett sitt samtycke.

Vidare finns i artikel 15 ett stöd för medlemsstaterna att – för vissa närmare specificerade ändamål – föreskriva undantag från de skydds- regler som finns i bl.a. artiklarna 5, 6 och 9. Undantag får bl.a. göras om det i ett demokratiskt samhälle är nödvändigt, lämpligt och pro- portionerligt för att skydda nationell säkerhet, försvaret och allmän säkerhet samt för förebyggande, undersökning, avslöjande av och åtal för brott.

E-dataskyddsdirektivet genomfördes i svensk rätt främst genom bestämmelser som togs in i lagen (2003:389) om elektronisk kom- munikation (gamla LEK), se nedan.

106

SOU 2023:22

Elektronisk kommunikation

Europeiska kommissionen har lämnat ett förslag till en ny för- ordning om respekt för privatlivet och skydd för personuppgifter i samband med elektronisk kommunikation (förordning om integ- ritet och elektronisk kommunikation (COM(2017) 10 final)). För- ordningen ska ersätta e-dataskyddsdirektivet och utgöra en special- reglering i förhållande till dataskyddsförordningen. Det är i dagsläget oklart när förordningen kan antas och vilket innehåll den kommer att få.

4.3Nya lagen om elektronisk kommunikation

Gamla LEK trädde i kraft i juli 2003. Genom den lagen genomfördes i huvudsak den EU-rättsliga regleringen på området för elektronisk kommunikation.

Den 11 december 2018 antogs Europaparlamentets och rådets direktiv (EU) 2018/1972 om inrättande av en europeisk kodex för elek- tronisk kommunikation (e-kodexen). E-kodexen utgör en omarbet- ning av och ersätter

Europaparlamentets och rådets direktiv 2002/21/EG om ett gemen- samt regelverk för elektroniska kommunikationsnät och kommu- nikationstjänster (ramdirektivet),

Europaparlamentets och rådets direktiv 2002/19/EG om tillträde till och samtrafik mellan elektroniska kommunikationsnät och till- hörande faciliteter (tillträdesdirektivet),

Europaparlamentets och rådets direktiv 2002/20/EG om auktori- sation för elektroniska kommunikationsnät och kommunikations- tjänster (auktorisationsdirektivet), och

Europaparlamentets och rådets direktiv 2002/22/EG om samhälls- omfattande tjänster och användares rättigheter (USO-direktivet).

Medlemsstaterna skulle senast den 21 december 2020 anta och offent- liggöra de lagar och andra författningar som är nödvändiga för att genomföra kodexen.

Den 3 juni 2022 trädde nya LEK i kraft. Nya LEK, som ersatte gamla LEK, genomförde e-kodexen. I sak motsvarar nya LEK i stora delar gamla LEK, med de ändringar och tillägg som är föranledda av

107

Elektronisk kommunikation

SOU 2023:22

e-kodexen. Bland förändringarna kan noteras att definitionen av elek- tronisk kommunikationstjänst har fått en delvis annan utformning. Definitionen har ändrats så att den är funktionellt baserad snarare än baserad på enbart tekniska parametrar. Överföringen av signaler är fortfarande det centrala momentet för att fastställa vilka tjänster som omfattas av definitionen, men den omfattar även andra tjänster som möjliggör kommunikation. Vidare har sanktionsavgifter införts för vissa överträdelser av lagen.

Nya LEK syftar dels till att enskilda och myndigheter ska få till- gång till säkra och effektiva elektroniska kommunikationer, dels till största möjliga utbyte för alla av elektroniska kommunikationstjäns- ter sett till urvalet samt till deras pris, kvalitet och kapacitet. Syftet ska uppnås främst genom att konkurrens, innovation, internationell harmonisering samt säkerhet i nät och tjänster främjas. Samhällsom- fattande tjänster ska därutöver alltid finnas tillgängliga på för alla likvärdiga villkor i hela landet till överkomliga priser. Vid tillämp- ningen av lagen ska särskilt Sveriges säkerhet liksom elektroniska kom- munikationers betydelse för yttrandefrihet och informationsfrihet beaktas (1 kap. 1 §).

Lagen gäller elektroniska kommunikationsnät och elektroniska kom- munikationstjänster med tillhörande faciliteter och tjänster samt annan radioanvändning (1 kap. 2 §).

I 1 kap. 7 § nya LEK definieras bl.a. följande begrepp.

Ett elektroniskt kommunikationsnät definieras som ett system för överföring och i tillämpliga fall utrustning för koppling eller diriger- ing samt passiva nätdelar och andra resurser som medger överföring av signaler, via tråd eller radiovågor, på optisk väg eller via andra elek- tromagnetiska överföringsmedier oberoende av vilken typ av infor- mation som överförs.

Med en elektronisk kommunikationstjänst avses en tjänst som van- ligen tillhandahålls mot ersättning via elektroniska kommunikations- nät och som – med undantag för dels tjänster i form av tillhandahållande av innehåll som överförs med hjälp av elektroniska kommunikations- nät och elektroniska kommunikationstjänster, dels tjänster som inne- bär utövande av redaktionellt ansvar över sådant innehåll – är en

1.internetanslutningstjänst enligt artikel 2.2 i Europaparlamentets och rådets förordning (EU) 2015/2120 av den 25 november 2015 om åtgärder rörande en öppen internetanslutning och slutkunds-

108

SOU 2023:22

Elektronisk kommunikation

avgifter för reglerad kommunikation inom EU och om ändring av direktiv 2002/22/EG och förordning (EU) nr 531/2012,

2.interpersonell kommunikationstjänst, eller

3.tjänst som utgörs helt eller huvudsakligen av överföring av signa- ler, såsom överföringstjänster som används för tillhandahållande av maskin-till-maskin-tjänster eller för rundradio.

En interpersonell kommunikationstjänst definieras som en tjänst som vanligen tillhandahålls mot ersättning och som möjliggör ett direkt interpersonellt och interaktivt informationsutbyte via elektroniska kommunikationsnät mellan ett begränsat antal personer, varigenom de personer som inleder eller deltar i kommunikationen bestämmer vem eller vilka som ska vara mottagare av denna, dock inte en tjänst som möjliggör interpersonell och interaktiv kommunikation enbart som en extrafunktion av mindre betydelse som är direkt kopplad till en annan tjänst.

Det finns alltså inget krav på att interpersonella kommunikations- tjänster helt eller huvudsakligen ska utgöras av överföring av signaler.

De interpersonella kommunikationstjänsterna kan vara antingen nummerbaserade eller nummeroberoende. En nummerbaserad inter- personell kommunikationstjänst etablerar en förbindelse till nummer i nationella eller internationella nummerplaner eller möjliggör kom- munikation med sådana nummer. En nummeroberoende interperso- nell kommunikationstjänst etablerar inte en förbindelse till nummer i nationella eller internationella nummerplaner och möjliggör inte heller kommunikation med sådana nummer. En sådan tjänst använder alltså inte telefonnummer för att ställa upp kommunikationen utan andra identifierare som normalt bara fungerar mellan den aktörens kunder.

Bestämmelser om säkerhet i nät och tjänster finns i 8 kap. 1–4 §§ nya LEK. Här anges bl.a. att den som tillhandahåller ett allmänt elek- troniskt kommunikationsnät eller en allmänt tillgänglig elektronisk kommunikationstjänst ska vidta ändamålsenliga och proportionella tekniska och organisatoriska åtgärder för att på lämpligt sätt hantera risker som hotar säkerheten i nät och tjänster. Det kan i detta sam- manhang noteras att en revidering av det s.k. NIS-direktivet har an- tagits i november 2022 genom det s.k. NIS2-direktivet. NIS2-direk- tivet, som syftar till att ytterligare harmonisera medlemsstaternas arbete med informationssäkerhet, omfattar även tillhandahållare av allmänna

109

Elektronisk kommunikation

SOU 2023:22

elektroniska kommunikationsnät eller allmänt tillgängliga elektroniska kommunikationstjänster.

Vidare finns bestämmelser om skydd av uppgifter vid tillhanda- hållande av tjänster i 8 kap. 6–9 §§ nya LEK. Den som tillhandahåller en allmänt tillgänglig elektronisk kommunikationstjänst ska bl.a. vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa att uppgifter som behandlas i samband med tillhandahållandet av tjäns- ten skyddas.

Nya LEK innehåller vidare bestämmelser om under vilka för- utsättningar trafikuppgifter och lokaliseringsuppgifter får behandlas (9 kap. 1–10 §§). Generellt gäller att trafikuppgifter, och däribland uppgifter som behandlas för att fakturera elektroniska meddelanden, ska utplånas eller avidentifieras så snart de inte längre behövs. En leve- rantör får dock lagra sådana uppgifter för vissa specifika ändamål. Så är fallet t.ex. för abonnentfakturering och – om den som uppgifterna gäller har samtyckt till det – för marknadsföring.

Den centrala bestämmelsen om lagringsskyldighet finns i 9 kap.

19 § nya LEK. Lagringsskyldiga enligt den bestämmelsen är de som bedriver verksamhet som ska anmälas enligt 2 kap. 1 § samma lag. Allmänna elektroniska kommunikationsnät som vanligen tillhanda- hålls mot ersättning eller allmänt tillgängliga elektroniska kommu- nikationstjänster får tillhandahållas endast efter anmälan till tillsyns- myndigheten. Någon skyldighet att anmäla verksamheten gäller dock inte för nummeroberoende interpersonella kommunikationstjänster eller för verksamhet som består enbart i överföring av signaler via tråd för utsändning till allmänheten av program som avses i 1 kap. 2 § YGL.

Som en följd av EU-domstolens praxis ändrades de svenska reglerna om datalagring. Ändringarna, som trädde i kraft den 1 oktober 2019, innebär bl.a. att lagringens omfattning har begränsats och att lag- ringstiderna har differentierats. Lagringens omfattning är nu begrän- sad till uppgifter som genereras eller behandlas vid telefonitjänst och meddelandehantering via mobil nätanslutningspunkt samt vid inter- netåtkomst. Det betyder att det inte ska lagras några uppgifter om telefonitjänster eller meddelandehantering som sker inom det fasta telefonnätet eller genom fasta internetanslutningar. Med nätanslut- ningspunkt avses den fysiska punkt vid vilken en slutanvändare an- sluts till ett allmänt elektroniskt kommunikationsnät (1 kap. 7 § nya LEK). En mobil nätanslutningspunkt är t.ex. där en mobiltelefon

110

SOU 2023:22

Elektronisk kommunikation

kopplar upp sig mot en mast eller mot ett trådlöst lokalt nätverk (wifi) som tillhandahålls av någon som omfattas av lagringsskyldigheten.

Lagringsskyldigheten omfattar uppgifter som anges som nödvän- diga för vissa preciserade syften. Dessa är formulerade som uppgifter som är nödvändiga för att spåra och identifiera kommunikationskällan, slutmålet för kommunikationen, datum, tidpunkt och varaktighet för kommunikationen, typ av kommunikation, kommunikationsutrust- ning samt lokalisering av mobil kommunikationsutrustning vid kom- munikationens början och slut.

Skyldigheten att lagra uppgifter omfattar uppgifter som genere- ras eller behandlas i leverantörens verksamhet. Det innebär att leve- rantören inte har någon skyldighet att införskaffa uppgifter som inte genereras eller behandlas i verksamheten. Däremot ska en uppgift lagras så fort den har funnits hos leverantören, även om det bara rör sig om en ytterst kort tid.4

Lagringsskyldighetens längd regleras i 9 kap. 22 § nya LEK och varierar från två månader upp till tio månader beroende på uppgifts- slag. Lagringstiden räknas från den dag kommunikationen avslutades.

I 9 kap. 7 och 8 §§ förordningen (2022:511) om elektronisk kom- munikation (nya FEK) anges på en mer detaljerad nivå vilka upp- gifter som ska lagras när det gäller telefonitjänst och meddelande- hantering via mobil nätanslutningspunkt respektive när det gäller internetåtkomst.

Uppgifter som har lagrats enligt 9 kap. 19 § nya LEK får behand- las endast för att lämnas ut för brottsbekämpande ändamål enligt 9 kap. 33 § nya LEK, 27 kap. 19 § RB (hemlig övervakning av elektro- nisk kommunikation) eller inhämtningslagen (9 kap. 21 § nya LEK).

När lagringstiden har löpt ut ska uppgifterna omedelbart utplånas. Om en begäran om utlämnande har kommit in eller ett föreläggande att bevara en viss lagrad uppgift enligt 27 kap. 16 § RB har meddelats innan lagringstiden löpt ut, ska den lagringsskyldige fortsätta att lagra uppgifterna till dess de har lämnats ut respektive när tiden för be- varande har löpt ut. Därefter ska uppgifterna genast utplånas (9 kap. 22 § tredje stycket nya LEK).

I 9 kap. 29 och 29 b §§ nya LEK regleras den s.k. anpassnings- skyldigheten. Den innebär att vissa verksamheter ska bedrivas så att beslut om hemlig avlyssning av elektronisk kommunikation och hem- lig övervakning av elektronisk kommunikation kan verkställas under

4Se prop. 2010/11 :46 s. 77.

111

Elektronisk kommunikation

SOU 2023:22

sådana former att verkställandet inte röjs (9 kap. 29 § nya LEK). Anpassningsskyldigheten innebär också ett krav på skyndsamhet och format vid utlämnandet av uppgifter (9 kap. 29 b § nya LEK).

Den som bedriver verksamhet som ska anmälas enligt 2 kap. 1 § har rätt till ersättning för kostnader som uppstår när uppgifter läm- nas ut till brottsbekämpande myndigheter. I de fall det är särskilt föreskrivet ska ersättningen beräknas enligt schablon. Ersättningen ska betalas av den myndighet som har begärt uppgifterna (9 kap. 29 a § nya LEK).

I 9 kap. 31 § nya LEK föreskrivs att den som i samband med till- handahållande av ett elektroniskt kommunikationsnät eller en elek- tronisk kommunikationstjänst som inte är en nummeroberoende interpersonell kommunikationstjänst (Noik) har fått del av eller till- gång till vissa närmare angivna uppgifter inte obehörigen får föra vidare eller utnyttja det han eller hon har fått del av eller tillgång till. Tystnadsplikten omfattar uppgift om abonnemang, innehållet i ett elektroniskt meddelande eller annan uppgift som angår ett särskilt elektroniskt meddelande (dvs. en trafikuppgift, se avsnitt 6.6.2).

Dessutom finns för nyss nämnda tillhandahållare en tystnadsplikt för uppgift som hänför sig till användning av vissa hemliga tvångs- medel. Tystnadsplikt gäller även bl.a. för uppgift som hänför sig till en begäran om utlämnande av uppgifter för brottsbekämpande verk- samhet enligt 9 kap. 31 § första stycket 2 och 5 (se 9 kap. 32 § nya LEK). Ett obehörigt röjande eller utnyttjande av sådana uppgifter i strid med aktuella bestämmelser är straffsanktionerat som brott mot tystnadsplikten enligt 20 kap. 3 § brottsbalken.

I lagen finns dessutom bestämmelser som föreskriver en skyldig- het för nämnda tillhandahållare att i vissa fall på begäran lämna ut bl.a. uppgift om abonnemang (9 kap. 33 § första stycket nya LEK).

Regeringen bestämmer vilken myndighet som ska vara reglerings- myndighet respektive tillsynsmyndighet (1 kap. 6 § nya LEK). Regler- ingsmyndigheten ska pröva ansökningar, besluta om skyldigheter och i övrigt pröva frågor och handlägga ärenden enligt nya LEK och enligt föreskrifter meddelade i anslutning till den lagen. Tillsynsmyn- digheten ska ta emot anmälningar och utöva tillsyn enligt vad som fram- går av nya LEK. PTS är regleringsmyndighet och tillsynsmyndighet enligt nya LEK (1 kap. 5 § nya FEK).

112

5Uppgifter om elektronisk kommunikation i brottsbekämpande verksamhet

5.1Brottsbekämpande verksamhet

Brottsbekämpande verksamhet innefattar främst åtgärder för att dels förebygga, förhindra och upptäcka brottslig verksamhet, dels för att utreda och lagföra brott. Polismyndigheten och Säkerhetspolisen har en brottsbekämpande funktion. Även Åklagarmyndigheten, Ekobrotts- myndigheten, Tullverket, Kustbevakningen, Skatteverket och För- svarsmakten (militärpolisen) är brottsbekämpande myndigheter. Verk- samhet för att utreda och beivra brott omfattar framför allt åtgärder inom ramen för förundersökningar. Förfarandet vid en förundersök- ning regleras framför allt i rättegångsbalken och i förundersöknings- kungörelsen (1947:948). En förundersökning ska, enligt 23 kap. 1 § RB, inledas så snart det på grund av angivelse eller av annat skäl finns anledning att anta att ett brott som hör under allmänt åtal har förövats. Förundersökningen har huvudsakligen två syften (se 23 kap. 2 §). Det ena är att utröna om brott föreligger, vem som skäligen kan misstänkas för brottet och att skaffa tillräckligt material för bedöm- ning av om åtal ska väckas. Det andra syftet är att bereda målet så att bevisningen kan läggas fram i ett sammanhang vid en huvudförhand- ling i domstol. Under förundersökningen får straffprocessuella tvångs- medel enligt 24–28 kap. RB användas.

Verksamhet för att förebygga, förhindra och upptäcka brottslig verksamhet bedrivs i ett skede där det inte finns någon konkret upp- gift om att ett bestämt brott har begåtts. Med underrättelseverksam- het avses verksamhet som består i att samla in, bearbeta och analysera information för att klarlägga om brottslig verksamhet har utövats,

113

Uppgifter om elektronisk kommunikation i brottsbekämpande verksamhet

SOU 2023:22

eller kan komma att utövas, och som inte utgör förundersökning enligt 23 kap. rättegångsbalken.1

Underrättelseverksamheten är alltså i huvudsak inriktad på att upp- täcka om en viss, inte närmare specificerad brottslighet har ägt rum, pågår eller kan antas komma att begås. Ett övergripande mål är att förse de brottsutredande myndigheterna med kunskap som kan om- sättas i operativ verksamhet.

Polismyndigheten och Säkerhetspolisen bedriver underrättelse- verksamhet. Sådan verksamhet bedrivs också vid vissa andra myndig- heter, såsom Ekobrottsmyndigheten, Skatteverket och Tullverket.

Underrättelseverksamhet bedrivs enligt en viss process. Det första ledet i processen är planeringsfasen. I planeringsfasen tar man ställ- ning till t.ex. vilka områden som är prioriterade och vilka uppgifter som ska hämtas in. Nästa steg är inhämtningen, som kan ske på flera olika sätt. Trots att det ännu inte är fråga om verksamhet för att ut- reda brott finns det vissa möjligheter att använda tvångsmedel. När information har hämtats in bearbetas den genom att struktureras, systematiseras och värderas, t.ex. genom jämförelser med sedan tidi- gare kända uppgifter. Därefter vidtar analysen, som är den avgörande fasen i underrättelseprocessen. Det kan handla om t.ex. hot- och riskanalys, analys av brottsmönster och kartläggning av kriminella nätverk och grupperingar. Efter inhämtning, bearbetning och analys är ambitionen att det framtagna underrättelsematerialet ska kunna användas i operativt arbete. Det framtagna underrättelsematerialet kan t.ex. läggas till grund för beslut om att inleda förundersökning eller beslut om att vidta särskilda åtgärder för att förebygga, för- hindra eller upptäcka brott. Det kan också användas för att gå ut i media för att förebygga ett visst brottsligt tillvägagångssätt. En annan form av förebyggande verksamhet innebär att berörda personer kon- taktas och därigenom blir medvetna om den brottsbekämpande myn- dighetens intresse, vilket många gånger leder till att den planerade brottsliga verksamheten aldrig kommer till stånd.2

1Se prop. 2017/18:232 s. 430 och jämför med legaldefinitionen i 1 kap. 3 § i den numera upp- hävda Polisdatalagen (1998:622)

2Se SOU 2017:75 s. 84 f., Ds 2018:35 s. 34, prop. 2018/19:96 s. 14 och Ds 2020:12 s. 38.

114

SOU 2023:22

Uppgifter om elektronisk kommunikation i brottsbekämpande verksamhet

5.2Allmänt om straffprocessuella tvångsmedel

Straffprocessuella tvångsmedel är åtgärder som företas i myndighets- utövning och innebär intrång i en persons rättssfär utan att personen har lämnat sitt samtycke.3 Exempel på tvångsmedel är husrannsakan, kroppsvisitation, kroppsbesiktning, beslag, gripande, anhållande och häktning. En grundläggande förutsättning för att använda straffpro- cessuella tvångsmedel är normalt att en förundersökning har inletts. Användningen ska då ytterst ha till syfte att utreda eller lagföra ett visst brott. Regleringen ger dock stöd även för att i vissa fall använda hemliga tvångsmedel för att förebygga, förhindra eller upptäcka brotts- lig verksamhet utan att förundersökning har inletts, dvs. i under- rättelseverksamhet.

Bland de straffprocessuella tvångsmedlen intar de hemliga tvångs- medlen en särställning. Dessa är hemlig avlyssning av elektronisk kom- munikation, hemlig övervakning av elektronisk kommunikation, hem- lig kameraövervakning, kvarhållande (och kontroll) av försändelse, hemlig rumsavlyssning och hemlig dataavläsning. Till dessa kommer de s.k. osjälvständiga tvångsmedlen, dvs. tvångsmedlen enligt LSU och preventivlagen, som har sin tillämpning utanför en förundersök- ning. Även inhämtning av uppgifter enligt inhämtningslagen anses vara ett hemligt tvångsmedel.4 Den berörde är inte medveten om dessa åtgärder, men det antas att de äger rum mot hans eller hennes vilja. Inhämtning av uppgifter om abonnemang enligt nya LEK anses inte som ett hemligt tvångsmedel.5

De hemliga tvångsmedlen omgärdas av särskilda garantier och mekanismer som ska säkerställa att reglerna och tillämpningen av dem lever upp till högt ställda krav på rättssäkerhet och att intrånget i den personliga integriteten minimeras. För tillstånd till hemliga tvångsmedel krävs normalt prövning i domstol. Vid domstolspröv- ningen av flertalet av tvångsmedlen ska ett offentligt ombud närvara för att bevaka enskildas integritetsintressen. Det offentliga ombudet ska ha tillgång till allt material som ligger till grund för domstolens prövning och rätt att överklaga domstolens beslut. Till rättssäker- hetsgarantierna räknas också bl.a. en skyldighet att i efterhand under- rätta vissa personer om att hemliga tvångsmedel har använts samt

3Lindberg, Straffprocessuella tvångsmedel, 5:e uppl., 2022, s. 47.

4Se prop. 2011/12:55 s. 111.

5Se a. prop. s. 110–111.

115

Uppgifter om elektronisk kommunikation i brottsbekämpande verksamhet

SOU 2023:22

SIN:s tillsyn över de brottsbekämpande myndigheternas användning av tvångsmedlen.

När lagstiftaren har preciserat i vilka fall en viss myndighet ska ha rätt att få tillgång till en viss typ av uppgifter kan regleringen inte kringgås genom att myndigheten väljer att tillämpa andra tvångs- medel. Exempelvis regleras de brottsbekämpande myndigheternas tillgång till innehållet i ett särskilt elektroniskt meddelande som finns hos en teleoperatör6 exklusivt av reglerna om hemlig avlyssning av elektronisk kommunikation. Beslag, husrannsakan och edition får där- för inte användas för att få fram sådana uppgifter. När ett meddelande har nått fram till mottagaren är det däremot åtkomligt med stöd av reglerna om husrannsakan och beslag.7

Principerna om ändamål, behov och proportionalitet

För all användning av tvångsmedel gäller tre allmänna principer: ända- målsprincipen, behovsprincipen och proportionalitetsprincipen.

Enligt ändamålsprincipen får ett tvångsmedel användas endast för det ändamål som framgår av lagstiftningen. En ändamålsprövning bör ske före behovs- och proportionalitetsprövningen. Om tvångsmed- let inte ska användas för det ändamål det är till för, spelar det ingen roll om det finns ett påtagligt behov och åtgärden framstår som pro- portionerlig. I reglerna om hemliga tvångsmedel anges dock inte ut- tryckligen för vilket specifikt ändamål tvångsmedlen får användas. Ändamålet får i stället sökas i de allmänna ändamålen med förunder- sökning.8

Behovsprincipen innebär att ett tvångsmedel får användas endast om det finns ett påtagligt behov och en mindre ingripande åtgärd inte är tillräcklig. När det inte längre finns skäl för åtgärden ska den upphävas. Åtgärder som huvudsakligen har till syfte att underlätta för myndigheten anses strida mot principen.

Enligt proportionalitetsprincipen ska en tvångsåtgärd i fråga om art, styrka, räckvidd och varaktighet stå i rimlig proportion till vad som står att vinna med åtgärden. Proportionalitetsprincipen finns

6Med teleoperatör menar vi i detta betänkande sådana tillhandahållare som omfattas av skyl- digheten att anmäla sin verksamhet enligt 2 kap. 1 § nya LEK.

7Se prop. 2002/03:74 s. 45 och 46 och Lindberg, Straffprocessuella tvångsmedel, 5:e uppl. 2022, s. 600 och 601.

8Se Lindberg, Straffprocessuella tvångsmedel, 5:e uppl. 2022, s. 569 och SOU 2017:75 s. 90–92.

116

SOU 2023:22

Uppgifter om elektronisk kommunikation i brottsbekämpande verksamhet

lagstadgad i t.ex. 27 kap. 1 § RB och 2 § inhämtningslagen, men anses gälla vid all tvångsanvändning även utan lagstöd. Vid bedömningen om åtgärden är proportionerlig ska det intrång eller annat men som tvångsmedlet innebär för den misstänkte eller för något annat mot- stående intresse beaktas. Härmed inbegrips, förutom direkta följder för den som utsätts för tvångsmedlet, även indirekta verkningar av tvångsmedelsanvändningen. Det kan t.ex. röra sig om intrång i tredje mans rättsligt skyddade intressen. Det ska alltid ske en prövning huruvida tvångsmedlet över huvud taget är påkallat med hänsyn till förhållandena i det enskilda fallet och om syftet kan tillgodoses genom någon mindre ingripande åtgärd. Utgångspunkten bör vara att pröva om alternativa spaningsåtgärder kan användas och om det kan räcka med att exempelvis tillgripa hemlig övervakning av elektronisk kom- munikation i stället för hemlig avlyssning. Personlig frihet och integ- ritet ska också beaktas. Ingrepp i dessa intressen är till sin art allvar- ligare än ingrepp mot egendom eller andra ekonomiska intressen.9 Det är särskilt viktigt att proportionalitet iakttas vid långtgående in- trång i den privata sfären.

När begränsningar görs i rättigheter som följer av Europakon- ventionen eller EU-stadgan ska alltid proportionalitetsprincipen be- aktas. Endast om det finns ett rimligt förhållande mellan behovet av det som ska tillgodoses och ingreppet i den enskildes rätt kan in- greppet vara proportionerligt och därmed nödvändigt i ett demokra- tiskt samhälle.10

5.3Tillgången till uppgifter om elektronisk kommunikation

5.3.1Tillgången till uppgift om abonnemang, m.m.

Som nämnts i avsnitt 4.3 har den som tillhandahåller ett elektroniskt kommunikationsnät eller en elektronisk kommunikationstjänst som inte är en nummeroberoende interpersonell kommunikationstjänst (Noik) en tystnadsplikt för bl.a. uppgifter om abonnemang (9 kap.

31§ förstastycket 1 nya LEK). Trots tystnadsplikten har Ekobrotts- myndigheten, Polismyndigheten, Säkerhetspolisen, Tullverket, Åklagar- myndigheten eller någon annan myndighet som ska ingripa mot brottet

9Se SOU 1979:6 s. 294 och SOU 1984:54 s. 78.

10Se Hans Danelius, Mänskliga rättigheter i europeisk praxis, 5:e uppl., 2015, s. 57 och 58.

117

Uppgifter om elektronisk kommunikation i brottsbekämpande verksamhet

SOU 2023:22

eller den brottsliga verksamheten rätt att få tillgång till abonnemangs- uppgifter från dessa tillhandahållare, om uppgiften gäller brottslig verksamhet eller misstanke om brott som myndigheten ska ingripa mot (9 kap. 33 § förstastycket 2 nya LEK). Regleringen innebär att de brottsbekämpande myndigheterna i princip har rätt att hämta in abon- nemangsuppgifter för att beivra alla typer av brott utom sådana som åtalas enbart av målsäganden.11 Uppgifter om abonnemang får häm- tas in även i underrättelseverksamhet.12 Det saknas närmare regler om vem inom de brottsbekämpande myndigheterna som har rätt att hämta in abonnemangsuppgifterna och formen för hur uppgifterna ska hämtas in. Det kan noteras att Utredningen om utökade möjligheter att använda hemliga tvångsmedel (Ju 2020:20) i sitt slutbetänkande Bättre möjligheter att verkställa frihetsberövanden (SOU 2022:50) bl.a. har föreslagit en skyldighet för nämnda tillhandahållare att på begäran lämna ut uppgifter om abonnemang dels till Polismyndigheten om myndigheten bedömer att uppgiften behövs för att den ska kunna lokalisera personer i syfte att möjliggöra verkställighet av frihets- berövande påföljder, dels till Säkerhetspolisen om myndigheten be- dömer att uppgiften behövs för att myndigheten ska kunna lokali- sera en utlänning som inte har fullgjort sin anmälningsskyldighet enligt LSU.

Uppgifter om abonnemang anses typiskt sett vara mindre integ- ritetskänsliga än t.ex. trafik- och lokaliseringsuppgifter eftersom de endast ger uppgift om att personen är abonnent eller användare av en viss tjänst eller av en ip-adress vid en viss tidpunkt. Som nämnts ovan anses tillgången till abonnemangsuppgifter inte heller utgöra ett hemligt tvångsmedel.

Bestämmelserna om uppgiftsskyldighet i gamla LEK ändrades den 1 juli 2012. Tidigare gällde att tystnadsplikten för uppgifter om abonnemang bara bröts om fängelse var föreskrivet för brottet och det enligt myndighetens bedömning kunde föranleda annan påföljd än böter. I förarbetena till 2012 års ändring i gamla LEK konstate- rade regeringen att det skett en betydande teknisk utveckling och förändring av i vilken omfattning enskilda använder bl.a. datorer och mobiltelefoner.13 Trakasserier över internet och vuxnas kontakter med barn i sexuellt syfte bedömdes ha blivit ett allt vanligare feno-

11Se SOU 2015:31 s. 198 f. och SOU 2017:75 s. 101.

12Se prop. 2021/22 :183 s. 61.

13Se prop. 2011/12 :55 s. 102.

118

SOU 2023:22

Uppgifter om elektronisk kommunikation i brottsbekämpande verksamhet

men. Regeringen fann att intresset av att lämna ut abonnemangs- uppgifter för att bekämpa brott vägde tyngre än det motstående in- tresset av att skydda enskildas integritet och föreslog därför att kravet på fängelse i straffskalan och det särskilda kravet i fråga om brottets straffvärde togs bort.14

Vidare finns det en skyldighet i 9 kap. 33 § förstastycket 5 nya LEK för den som tillhandahåller ett elektroniskt kommunikations- nät eller en elektronisk kommunikationstjänst som inte är en Noik att lämna ut uppgifter som angår ett särskilt elektroniskt meddelande om vilka övriga tillhandahållare av elektroniska kommunikationsnät eller elektroniska kommunikationstjänster som har deltagit vid över- föringen av ett meddelande som omfattas av ett föreläggande enligt 27 kap. 16 § RB till den myndighet som meddelat föreläggandet. Denna skyldighet och möjligheten i rättegångsbalken att meddela ett sådant s.k. bevarandeföreläggande infördes i maj 2021 i samband med att Sverige skulle tillträda Europarådets konvention om it-relaterad brottslighet (den s.k. Budapestkonventionen).15 Budapestkonventionen ställer nämligen krav på att lagrade datorbehandlingsbara uppgifter ska kunna säkras oavsett om en eller flera tjänsteleverantörer har deltagit i överföringen. Konventionsstaterna ska därför garantera att en till- räcklig mängd sådana trafikuppgifter ska kunna röjas för myndig- heterna så att tjänsteleverantörerna, och den väg meddelandet över- förts, ska kunna identifieras (artikel 17). Det är genom bestämmelsen i 9 kap. 33 § förstastycket 5 nya LEK möjligt att ta reda på från vilken tillhandahållare som meddelandet sändes och, för det fall det har vidaresänts, till vilken tillhandahållare det vidaresändes. Det ankom- mer på tillhandahållaren att ta fram de uppgifter som begärs. Om leve- rantören inte har någon uppgift om vilka de övriga aktörerna är kan någon information inte lämnas ut. Bestämmelsen innebär inte heller något krav på att spara eller lagra uppgifter.16

Bestämmelserna i 9 kap. 33 § första stycket nya LEK omfattar även skyldigheter för tillhandahållarna att lämna ut uppgifter såväl till brottsbekämpande som till vissa andra myndigheter och till regio- nala alarmeringscentraler i annat än brottsbekämpande syfte.

För att uppgifter om en fysisk person ska tas in i en allmänt till- gänglig abonnentförteckning krävs att personen har samtyckt till det

14Se a. prop. s. 103.

15Se prop. 2020/21:72.

16Se a. prop. s. 38 f.

119

Uppgifter om elektronisk kommunikation i brottsbekämpande verksamhet

SOU 2023:22

(se 9 kap. 17 och 18 §§ nya LEK). I den utsträckning uppgifter finns tillgängliga i sådana allmänt tillgängliga förteckningar omfattas de, på grund av abonnentens samtycke, i praktiken inte av tystnadsplik- ten. Bestämmelserna om skyldighet att lämna ut uppgifter om abon- nenter får därför betydelse i första hand i fråga om uppgifter som rör abonnenter som inte har lämnat sitt samtycke till att uppgifterna offentliggörs och när det gäller sådana uppgifter som normalt inte offentliggörs, såsom t.ex. ip-adresser.17

5.3.2Tillgången till trafik- och lokaliseringsuppgifter inom en förundersökning

Hemlig avlyssning av elektronisk kommunikation

Hemlig avlyssning av elektronisk kommunikation (HAK) innebär att meddelanden, som i ett elektroniskt kommunikationsnät över- förs eller har överförts till eller från ett telefonnummer eller annan adress, i hemlighet avlyssnas eller tas upp genom ett tekniskt hjälp- medel för återgivning av innehållet i meddelandet (27 kap. 18 § första stycket RB). Definitionen omfattar alla former av kommunikation genom elektroniska kommunikationsnät, såväl muntlig som skrift- lig, och avser t.ex. telefontrafik, e-posttrafik och överföring av data- filer. Avlyssning kan, med vissa begränsningar, ske även utanför all- mänt tillgängliga telenät, t.ex. inom större företagsnät.

HAK får användas vid förundersökning om brott för vilket det inte är föreskrivet lindrigare straff än fängelse i två år. Därutöver får HAK användas vid förundersökning om vissa samhällsfarliga brott som bekämpas av Säkerhetspolisen, t.ex. sabotage, spioneri och vissa brott enligt terroristbrottslagen (2022:666). HAK får också använ- das vid förundersökning om försök, förberedelse eller stämpling till nu nämnd brottslighet i den mån sådana förstadier till brott är straff- belagda. Tvångsmedlet får också användas vid förundersökning i fråga om annat brott om det med hänsyn till omständigheterna kan antas att brottets straffvärde skulle överstiga fängelse i två år. Ett tillstånd till HAK ger också rätt att vidta åtgärder som avses i 27 kap. 19 § RB, dvs. att inhämta sådana uppgifter som omfattas av hemlig övervakning av elektronisk kommunikation.

17Se prop. 2018/19:86 s. 94.

120

SOU 2023:22

Uppgifter om elektronisk kommunikation i brottsbekämpande verksamhet

En förutsättning för att HAK ska få användas vid förundersök- ning är att någon är skäligen misstänkt för brottet. Åtgärden ska vidare vara av synnerlig vikt för utredningen (27 kap. 20 § första stycket RB). Avlyssning får avse ett telefonnummer eller annan adress eller en viss elektronisk kommunikationsutrustning som under den tid som tillståndet avser innehas eller har innehafts av den misstänkte eller annars kan antas ha använts eller komma att användas av den misstänkte. Avlyssningen får också avse ett telefonnummer eller annan adress eller en viss elektronisk kommunikationsutrustning som det finns synnerlig anledning att anta att den misstänkte under den tid som tillståndet avser har kontaktat eller kommer att kontakta.

Hemlig övervakning av elektronisk kommunikation

Hemlig övervakning av elektronisk kommunikation (HÖK) innebär att uppgifter i hemlighet hämtas in om meddelanden (både samtal och skriftliga meddelanden) som i ett elektroniskt kommunikations- nät överförs eller har överförts till eller från ett telefonnummer eller annan adress. Även uppgifter om vilka elektroniska kommunika- tionsutrustningar som har funnits inom ett visst geografiskt område (s.k. basstationstömning) eller i vilket geografiskt område en viss elektronisk kommunikationsutrustning finns eller har funnits kan hämtas in med stöd av hemlig övervakning av elektronisk kommu- nikation (27 kap. 19 § första stycket RB). Tvångsmedlet kan även användas för att hindra meddelanden som överförs i ett elektroniskt kommunikationsnät från att nå fram (27 kap. 19 § andra stycket RB).

Tvångsmedlet ger inte tillgång till innehållet i utväxlade meddelan- den. Det som kan hämtas in är trafikuppgifter och lokaliseringsupp- gifter. HÖK omfattar såväl inhämtning av uppgifter från teleoperatörer som inhämtning genom egna tekniska medel som de brottsbekäm- pande myndigheterna förfogar över.

HÖK får användas vid förundersökning om brott för vilket det inte är föreskrivet lindrigare straff än fängelse i sex månader, vid för- undersökning som avser dataintrång, barnpornografibrott som inte är att anse som ringa eller narkotikabrott och narkotikasmuggling av normalgraden. Därutöver får tvångsmedlet användas vid förunder- sökning om vissa samhällsfarliga brott som bekämpas av Säkerhets- polisen, t.ex. sabotage, spioneri och brott enligt terroristbrottslagen.

121

Uppgifter om elektronisk kommunikation i brottsbekämpande verksamhet

SOU 2023:22

HÖK får också användas vid förundersökning om försök, förbere- delse eller stämpling till nu nämnd brottslighet i den mån sådana förstadier till brott är straffbelagda (27 kap. 19 § andra stycket RB). HÖK får användas när någon är skäligen misstänkt för brottet eller, med vissa begränsningar, för att utreda vem som skäligen kan miss- tänkas för brottet (27 kap. 20 § andra stycket RB).

Utredningen om utökade möjligheter att använda hemliga tvångsmedel

Utredningen om utökade möjligheter att använda hemliga tvångs- medel (Ju 2020:20) har i delbetänkandet Utökade möjligheter att an- vända hemliga tvångsmedel (SOU 2022:19) föreslagit vissa ändringar i reglerna om hemliga tvångsmedel. Bl.a. föreslås att straffvärde- ventiler ska införas som gör det möjligt att i vissa situationer beakta en flerfaldig brottslighets samlade straffvärde vid bedömningen av om hemliga tvångsmedel ska få användas. Vidare föreslås att bl.a. HAK och HÖK ska få användas vid förundersökningar om grovt data- intrång, sexualbrott mot barn och barnpornografibrott, utpressning och grov utpressning, mened, övergrepp i rättssak, grovt jaktbrott och grovt insiderbrott. Dessutom föreslås att HAK i vissa fall ska få användas för att utreda vem som skäligen kan misstänkas för brottet.

I slutbetänkandet Bättre möjligheter att verkställa frihetsberövanden (SOU 2022:50) har utredningen bl.a. förslagit att det ska införas en möjlighet att använda HÖK i syfte att eftersöka en person som är anhållen eller häktad men inte frihetsberövad. Vidare föreslås att det ska införas en ny lag med tillhörande förordning med bestämmelser som möjliggör användning av bl.a. HÖK i syfte att lokalisera per- soner som håller sig undan från en frihetsberövande påföljd.

5.3.3Tillgången till trafik- och lokaliseringsuppgifter utanför en förundersökning

Lagen om åtgärder för att förhindra vissa särskilt allvarliga brott

Lagen om åtgärder för att förhindra vissa särskilt allvarliga brott (preventivlagen) ger myndigheterna en möjlighet att använda hem- liga tvångsmedel för att förhindra brott. Tillstånd till bl.a. HAK och

122

SOU 2023:22

Uppgifter om elektronisk kommunikation i brottsbekämpande verksamhet

HÖK får meddelas om det med hänsyn till omständigheterna finns en påtaglig risk för att en person kommer att utöva brottslig verk- samhet som innefattar bl.a. sabotage, spioneri och terroristbrott (1 § första stycket). Tillstånd får också meddelas om det finns en påtaglig risk för att det inom en organisation eller grupp kommer att utövas sådan brottslig verksamhet och det kan befaras att en person som tillhör eller verkar för organisationen eller gruppen medvetet kom- mer att främja denna verksamhet. HAK och HÖK får enligt lagen enbart avse

ett telefonnummer eller annan adress eller en viss elektronisk kommunikationsutrustning som under den tid tillståndet avser innehas eller har innehafts av den för tvångsmedlet aktuella per- sonen, eller som annars kan antas ha använts eller komma att an- vändas av honom eller henne, eller

ett telefonnummer eller annan adress eller en viss elektronisk kommunikationsutrustning som det finns synnerlig anledning att anta att personen under den tid tillståndet avser har kontaktat eller kommer att kontakta.

Även om lagen främst rör brottslig verksamhet inom Säkerhetspolisens område kan också Polismyndigheten använda lagen. Frågan om till- stånd till tvångsmedel enligt lagen prövas av Stockholms tingsrätt efter ansökan av åklagare. Tillstånd får meddelas endast om åtgärden är proportionerlig och av synnerlig vikt för att förhindra brottslig verk- samhet.

Den 2 november 2021 tillsatte regeringen en utredning om preven- tiva tvångsmedel för att förhindra allvarlig brottslighet (dir. 2021:102). Utredningen om preventiva tvångsmedel (Ju 2021:15) har i delbetän- kandet Utökande möjligheter att använda preventiva tvångsmedel (SOU 2022:52) övervägt i vilken utsträckning det ska införas utökade möjligheter att använda preventiva tvångsmedel för att förhindra all- varlig brottslighet som förekommer inom ramen för kriminella nät- verk. Utredningen har föreslagit ett utökat tillämpningsområde som avgränsas till brottslig verksamhet som utövas inom en organisation eller grupp och att tvångsmedelsanvändningen endast får riktas mot en person som tillhör eller verkar för organisationen eller gruppen och kan befaras medvetet främja den brottsliga verksamheten. Det utökade tillämpningsområdet föreslås omfatta brottslig verksamhet

123

Uppgifter om elektronisk kommunikation i brottsbekämpande verksamhet

SOU 2023:22

innefattande bl.a. mord, människorov, narkotikabrott, vapenbrott, sprängningsbrott och olovlig hantering av explosiva varor.

Genom tilläggsdirektiv den 7 juli 2022 (dir. 2022:104) ska utred- ningen även ta ställning till om, och i så fall vilka, ytterligare tvångs- medel och verkställighetsåtgärder som bör få användas av de brotts- bekämpande myndigheterna för att förhindra allvarlig brottslighet, till exempel hemlig rumsavlyssning, hemlig dataavläsning avseende rumsavlyssningsuppgifter, genomsökning på distans, biometrisk auten- tisering och kopiering. Utredaren ska dessutom ta ställning till om tillstånd till hemlig kameraövervakning och hemlig dataavläsning av- seende kameraövervakningsuppgifter utanför en förundersökning bör kunna knytas till en person. Uppdraget ska i denna del redovisas senast den 31 maj 2023.

Lagen om särskild kontroll av vissa utlänningar

Den 1 juli 2022 trädde lagen (2022:700) om särskild kontroll av vissa utlänningar (LSU) i kraft.18 Enligt 2 kap. 1 § LSU får en utlänning utvisas ur Sverige om utlänningen

1.med hänsyn till vad som är känt om hans eller hennes tidigare verksamhet och övriga omständigheter kan antas komma att begå eller på annat sätt medverka till ett brott enligt terroristbrotts- lagen (2022:666), eller

2.kan utgöra ett allvarligt hot mot Sveriges säkerhet.

Vissa tvångsmedel får användas om ett beslut om sådan utvisning tills vidare inte ska verkställas på grund av ett beslut om inhibition eller ett tidsbegränsat uppehållstillstånd. Detsamma gäller om ett beslut om utvisning enligt 8 eller 8 a kap. utlänningslagen (2005:716) inte kan verkställas och utlänningen skulle kunna utvisas enligt 2 kap. 1 § LSU (5 kap. 1 § LSU).

Om det finns särskilda skäl får tillstånd till vissa hemliga tvångs- medel meddelas om det är av betydelse för att klarlägga om

18Genom lagen upphävdes lagen (1991:572) om särskild utlänningskontroll.

124

SOU 2023:22

Uppgifter om elektronisk kommunikation i brottsbekämpande verksamhet

1.utlänningen tillhör eller verkar för en organisation eller grupp som planlägger eller förbereder brott enligt terroristbrottslagen (2022:666) eller om det finns en risk för att utlänningen kan komma att engagera sig i en sådan organisation eller grupp,

2.det finns risk för att utlänningen själv planlägger eller förbereder brott som avses i 1, eller

3.det finns risk för att utlänningen själv eller tillsammans med andra medverkar i eller på annat sätt främjar ett allvarligt brott som rör Sveriges säkerhet.

Säkerhetspolisen får hos Migrationsverket ansöka om godkännande att ansöka om tillstånd de hemliga tvångsmedlen (5 kap. 8 § andra- stycket 2 LSU). I samband med att regeringen beslutar om inhibition eller tidsbegränsat uppehållstillstånd får regeringen godkänna att Säkerhetspolisen får ansöka om tillstånd till de hemliga tvångsmed- len (5 kap. 9 § förstastycket 2 LSU).

Säkerhetspolisen får, efter godkännande enligt ovan, hos Stockholms tingsrätt ansöka om ett tillstånd till HAK, HÖK, hemlig kameraöver- vakning eller postkontroll (5 kap. 11 § LSU).

Det kan slutligen nämnas att det i slutbetänkandet Bättre möjlig- heter att verkställa frihetsberövanden (SOU 2022:50) har förslagits att det ska införas en möjlighet att använda HÖK i syfte att kunna loka- lisera en utlänning som inte har fullgjort sin anmälningsskyldighet.

Inhämtningslagen

Enligt lagen om inhämtning av uppgifter om elektronisk kommuni- kation i de brottsbekämpande myndigheternas underrättelseverk- samhet (inhämtningslagen) får Polismyndigheten, Säkerhetspolisen eller Tullverket i sin underrättelseverksamhet i hemlighet hämta in uppgifter om meddelanden som i ett elektroniskt kommunikations- nät har överförts till eller från ett telefonnummer eller annan adress, om vilka elektroniska kommunikationsutrustningar som har funnits inom ett visst geografiskt område eller uppgifter om inom vilket geografiskt område en viss elektronisk kommunikationsutrustning finns eller har funnits (1 §). Lagen reglerar enbart inhämtning från den som enligt lagen om elektronisk kommunikation tillhandahåller ett elektroniskt kommunikationsnät eller en elektronisk kommuni-

125

Uppgifter om elektronisk kommunikation i brottsbekämpande verksamhet

SOU 2023:22

kationstjänst som inte är en nummeroberoende interpersonell kom- munikationstjänst. Lagen ger alltså inte stöd för de brottsbekämpande myndigheterna att hämta in uppgifter med hjälp av egna tekniska hjälpmedel.

Uppgifter får enligt lagen hämtas in om omständigheterna är så- dana att åtgärden är av särskild vikt för att förebygga, förhindra eller upptäcka brottslig verksamhet som innefattar brott som har minst två års fängelse i straffskalan. Inhämtning av uppgifter är också möjlig vid brottslig verksamhet som innefattar vissa särskilt angivna sam- hällsfarliga brott inom Säkerhetspolisens ansvarsområde med lägre straffminimum, t.ex. sabotage och spioneri (2 §). Genom rekvisitet ”brottslig verksamhet” framgår att det inte ställs krav på att det ska finnas en misstanke om ett specifikt brott.19

Beslut om inhämtning av uppgifter fattas av åklagare vid Åklagar- myndigheten efter ansökan av Polismyndigheten, Säkerhetspolisen eller Tullverket.

Enligt tilläggsdirektiv den 28 april 2022 (dir. 2022:32) ska Utred- ningen om preventiva tvångsmedel ta ställning till om, och i så fall på vilket sätt, tillämpningsområdet för inhämtningslagen bör utvid- gas och till hur beslutsordningen bör se ut vid en eventuell utvidg- ning av inhämtningslagens tillämpningsområde. Uppdraget i denna del ska redovisas senast den 31 maj 2023.

5.3.4Hemlig dataavläsning

Hemlig dataavläsning (HDA) är ett relativt nytt tvångsmedel som innebär att uppgifter, som är avsedda för automatiserad behandling, i hemlighet och med ett tekniskt hjälpmedel läses av eller tas upp i ett avläsningsbart informationssystem (1 § lagen om hemlig dataav- läsning). Tvångsmedlet ger Polismyndigheten, Säkerhetspolisen, Tull- verket och Ekobrottsmyndigheten möjligheter att avlyssna och över- vaka personer som är misstänkta för eller förväntas begå allvarliga brott.

HDA kan användas såväl under en förundersökning som utanför. Med stöd av tvångsmedlet kan myndigheterna i hemlighet installera mjuk- eller hårdvara i en teknisk utrustning (till exempel en dator, mobiltelefon eller läsplatta) och med hjälp av mjuk- eller hårdvaran

19Se prop. 2011/12:55 s. 121.

126

SOU 2023:22

Uppgifter om elektronisk kommunikation i brottsbekämpande verksamhet

läsa av uppgifter som finns i utrustningen. Det kan till exempel handla om att installera en trojan för att läsa av meddelanden och avlyssna samtal i krypterade program och appar eller skaffa sig tillgång till ett konto i sociala medier. Det kan också handla om att aktivera mikro- fonen eller kameran i en utrustning och på så sätt hämta in tal och rörliga bilder. Det kan också handla om att myndigheterna, med till- gång till inloggningsuppgifter, kan logga in från sina egna datorer på ett användarkonto för att t.ex. ta del av e-postmeddelanden.

Om hårdvara behöver installeras i t.ex. någons dator, kan myn- digheterna få tillstånd att i hemlighet ta sig in i utrymmet där utrust- ningen finns för att installera hårdvaran.

Frågor om hemlig dataavläsning prövas av domstol. Lagen om hemlig dataavläsning är tidsbegränsad och upphör att gälla vid utgången av mars 2025. En särskild utredare har fått i uppdrag att utvärdera lagen inför ett ställningstagande till om den bör permanentas och om den i så fall bör ändras i något avseende (dir. 2022:82). Uppdraget ska redovisas senast den 1 december 2023.

I delbetänkandet Utökade möjligheter att använda hemliga tvångs- medel (SOU 2022:19) föreslås vissa ändringar i lagen om hemlig data- avläsning. Bl.a. föreslås en straffvärdeventil som gör det möjligt att i vissa situationer beakta en flerfaldig brottslighets samlade straffvärde vid bedömning av om hemlig dataavläsning ska få användas.

Som nämnts ovan ska Utredningen om preventiva tvångsmedel ta ställning till om hemlig dataavläsning avseende rumsavlyssnings- uppgifter bör få användas av de brottsbekämpande myndigheterna för att förhindra allvarlig brottslighet.

5.3.5Genomsökning på distans

Den 1 juni 2022 infördes tvångsmedlet genomsökning på distans. Tvångsmedlet innebär en möjlighet för de brottsbekämpande myn- digheterna att söka efter handlingar som finns lagrade i ett avläsnings- bart informationssystem utanför den elektroniska kommunikations- utrustning som används för att utföra genomsökningen (28 kap. 10 a § RB). Genomsökning på distans får ske endast i syfte att söka efter handlingar som kan ha betydelse för utredning av brott eller om förverkande av utbyte av brottslig verksamhet enligt 36 kap. 1 b § brottsbalken. För att genomsökning på distans ska få utföras krävs

127

Uppgifter om elektronisk kommunikation i brottsbekämpande verksamhet

SOU 2023:22

att det finns anledning att anta att brott har begåtts på vilket fängelse kan följa. Vidare krävs att det informationssystem som genomsök- ningen ska utföras i kan ha använts av den som skäligen kan miss- tänkas för brottet eller, i annat fall, om det finns synnerlig anledning att anta att det går att påträffa handlingar som kan vara av betydelse för utredning av brottet eller om förverkande av utbyte av brottslig verksamhet. Till skillnad mot HDA får genomsökningen endast ut- föras genom autentisering i det informationssystem som åtgärden avser (28 kap. 10 b § RB).

Om det finns anledning att anta att någon har möjlighet att öppna informationssystemet genom biometrisk autentisering, är han eller hon skyldig att på tillsägelse av en polisman medverka till detta under förutsättning att genomsökningen annars försvåras. Vid vägran att medverka vid sådan autentisering får en polisman genomföra auten- tiseringen (27 kap. 17 f § RB). Vad som nu sagts gäller även för tjänste- män vid Tullverket och kustbevakningstjänstemän i fråga om vissa brott (se 26 och 29 a §§ lagen [2000:1225] om straff för smuggling).

Genomsökning på distans får beslutas av undersökningsledaren, åklagaren eller rätten. En polisman får dock vidta åtgärden utan ett sådant beslut om det är fara i dröjsmål och genomsökningen inte kan antas bli av stor omfattning eller medföra synnerlig olägenhet för den som drabbas av åtgärden (28 kap. 10 d § RB). Den misstänktes sam- tycke får inte åberopas som stöd för genomsökningen, om inte den misstänkte själv har begärt att åtgärden ska utföras (28 kap. 1 § tredje stycket RB). Genomsökning på distans får beslutas endast om skälen för åtgärden uppväger det intrång eller men i övrigt som åtgärden innebär för den misstänkte eller något annat motstående intresse (28 kap. 3 a och 10 i §§ RB).

5.4Svensk jurisdiktion och internationell rättslig hjälp

5.4.1Svensk jurisdiktion

Ordet jurisdiktion används främst för att hänvisa till en stats makt- utövning över personer och egendom inom dess eget territorium. En stats jurisdiktion kan utövas genom rätten att stifta lagar och andra regler (legislativ jurisdiktion), rätten att tillämpa lagstiftningen eller skipa rätt (judiciell jurisdiktion) och rätten att verkställa åtgärder

128

SOU 2023:22

Uppgifter om elektronisk kommunikation i brottsbekämpande verksamhet

eller förverkliga beslut som fattats inom ramen för lagstiftning och rättskipning (exekutiv jurisdiktion).

I det s.k. Lotus-målet från år 1927 (som avgjordes av den Fasta mellanfolkliga domstolen, Permanent Court of International Justice, PCIJ, Ser. A, no. 10) slog domstolen fast att den viktigaste inskränk- ningen som folkrätten ålägger en stat är att inte utöva makt inom en annan stats territorium. Samtidigt konstaterade domstolen att det inte finns något hinder för en stat att utöva jurisdiktion inom sitt eget territorium över något som har inträffat utomlands om det inte finns ett uttryckligt folkrättsligt förbud mot det. Domstolen menade att en stat kan utöva lagstiftande och dömande makt över personer och egen- dom som befinner sig utomlands och över händelser som äger rum utanför statens territorium, så länge det handlar om egna medbor- gare eller egendom som har en länk till staten och förutsatt att det inte råder något folkrättsligt förbud mot ett sådant utövande av juris- diktion. Verkställigheten av nationella lagar och domar (t.ex. gripande eller beslag) kan dock äga rum endast inom det egna territoriet.

Domstolens avgörande i Lotus-målet har gett upphov till den s.k. Lotus-principen, som innebär att det som inte uttryckligen är för- bjudet i folkrätten är tillåtet. Principen handlar både om rätten att stifta nationella lagar och om rätten att verkställa nationella lagar.

En stats maktmonopol inom det egna territoriet vad gäller verk- ställande åtgärder har ett undantag. Sådana åtgärder får inte tillämpas på andra länders diplomatiska eller politiska företrädare, vilka åt- njuter immunitet.

När det gäller utövande av lagstiftande eller dömande straffrätts- lig jurisdiktion har en stat rätt att lagföra brott inom sitt eget terri- torium samt över egna medborgare, även om brottet i fråga begåtts i en annan stat. När det gäller utövningen av en stats straffrättsliga jurisdiktion mot en annan stats medborgare är folkrättsliga regler om jurisdiktion relevanta. Nationella domstolars behörighet att till- lämpa sina egna strafflagar bygger på ett antal principer som har stöd i statspraxis och i folkrättsdoktrinen, och som kan hänföras till ett antal anknytningspunkter, t.ex. om territoriet, nationalitet, skyddet av statens vitala intressen samt det universella intresset.20

I avsnitt 11 avhandlas vissa frågor om exekutiv jurisdiktion.

20Se Bring m.fl., Sverige och folkrätten, JUNO, version 6, s. 107 ff.

129

Uppgifter om elektronisk kommunikation i brottsbekämpande verksamhet

SOU 2023:22

5.4.2Internationell rättslig hjälp

Eftersom svenska brottsbekämpande myndigheter saknar exekutiv jurisdiktion för att verkställa beslut om utredningsåtgärder i en annan stat, får de i stället begära hjälp från den aktuella staten för att få åt- gärden utförd. Svenska brottsbekämpande myndigheters möjlighet till rättslig hjälp när det gäller straffprocessuella tvångsmedel regle- ras främst i lagen (2000:562) om internationell rättslig hjälp i brott- mål och i lagen (2017:1000) om en europeisk utredningsorder. Nedan redogörs för dessa lagar (se även avsnitt 11.4).

Lagen om internationell rättslig hjälp i brottmål

Lagen om internationell rättslig hjälp i brottmål (LIRB) är tillämplig på samarbete som tar sikte på rättsliga förfaranden som gäller utred- ning om och lagföring för brott. Lagen gäller inte om lagen om en europeisk utredningsorder är tillämplig (se nedan). Enligt 1 kap. 2 § LIRB kan rättslig hjälp omfatta bl.a. HAK, HÖK och hemlig data- avläsning (HDA).

Tillstånd till nämnda tvångsmedel lämnas under samma förutsätt- ningar som gäller för motsvarande åtgärder under en svensk för- undersökning, enligt rättegångsbalken eller annan lag eller författ- ning, med beaktande av de särskilda bestämmelser som finns i LIRB (2 kap. 1 §). Vid prövningen om åtgärden kan vidtas i Sverige ska gärningen bedömas enligt svensk rätt och de svenska strafftrösklarna gäller. Det föreligger ett krav på dubbel straffbarhet (2 kap. 2 § LIRB).

Det finns vissa allmänna regler som gäller för samtliga prövningar av ansökningar från andra länder. En ansökan ska enligt dessa be- stämmelser avslås om ett bifall till ansökan skulle kränka Sveriges suveränitet, medföra fara för rikets säkerhet eller strida mot svenska allmänna rättsprinciper eller andra väsentliga intressen. Ansökan får vidare avslås bl.a. om gärningen har karaktär av ett politiskt eller militärt brott, eller omständigheterna annars är sådana att ansökan inte bör bifallas. Om åklagaren eller domstolen finner att ansökan bör avslås på någon av de nu angivna grunderna ska ansökan över- lämnas till regeringen som beslutar i frågan (2 kap. 14 och 15 §§ LIRB).

Svenska åklagares möjligheter att begära rättslig hjälp utomlands är i huvudsak oreglerad, eftersom möjligheterna att få rättslig hjälp

130

SOU 2023:22

Uppgifter om elektronisk kommunikation i brottsbekämpande verksamhet

av andra stater främst styrs av dessa staters internationella åtaganden och nationella lagstiftning.

Lagen om en europeisk utredningsorder

Med en europeisk utredningsorder avses antingen

1.ett beslut i Sverige som innebär att en utredningsåtgärd ska vidtas i en annan medlemsstat i syfte att inhämta bevisning och som har meddelats av en åklagare eller domstol under en förundersökning eller rättegång i brottmål, eller

2.ett beslut i en annan medlemsstat som innebär att en utrednings- åtgärd ska vidtas i Sverige i syfte att inhämta bevisning och som har meddelats eller godkänts av en domare, domstol, undersök- ningsdomare eller allmän åklagare i ett straffrättsligt förfarande eller i ett annat förfarande avseende straffbara gärningar som in- leds vid en administrativ eller rättslig myndighet, när ett beslut i ett sådant annat förfarande kan leda till ett förfarande inför en domstol som är behörig att handlägga brottmål (1 kap. 3 § lagen om en europeisk utredningsorder).

I 1 kap. 4 § lagen om en europeisk utredningsorder anges vad en ut- redningsåtgärd enligt lagen ska avse eller motsvara. Där framgår att bl.a. HAK, HÖK och HDA är utredningsåtgärder som avses i lagen.

En europeisk utredningsorder får utfärdas i Sverige av åklagare om de förutsättningar som gäller för att vidta utredningsåtgärden under en svensk förundersökning är uppfyllda och åtgärden är nöd- vändig och proportionerlig. Dessutom krävs, när det är fråga om hem- liga tvångsmedel, att domstol har lämnat tillstånd till att utfärda ordern (se 2 kap. samma lag).

När det gäller erkännande och verkställighet i Sverige av en euro- peisk utredningsorder gäller att en utredningsorder som sänds över från en annan medlemsstat ska erkännas och verkställas i Sverige om vissa särskilda förutsättningar enligt lagen är uppfyllda och inte annat följer av lagen (3 kap. 1 § lagen om en europeisk utredningsorder). För hemliga tvångsmedel ställs som en särskild förutsättning upp att en utredningsorder får erkännas och verkställas endast om den gärning som avses i utredningsordern motsvarar ett brott enligt svensk lag

131

Uppgifter om elektronisk kommunikation i brottsbekämpande verksamhet

SOU 2023:22

och om övriga förutsättningar som gäller för en motsvarande åtgärd i en svensk förundersökning är uppfyllda (3 kap. 4 § samma lag).

Bland de obligatoriska vägransgrunderna nämns att utrednings- ordern skulle medföra fara för Sveriges säkerhet. Även att utrednings- åtgärden inte motsvarar en åtgärd som anges i 1 kap. 4 § lagen om en europeisk utredningsorder utgör en obligatorisk vägransgrund, dock inte om en annan utredningsåtgärd kan vidtas som ger motsvarande resultat som den åtgärd som utredningsordern avser (3 kap. 5 § samma lag).

5.5Nyttan och behovet av uppgifter om elektronisk kommunikation

För att de brottsbekämpande myndigheterna ska kunna fullgöra sina uppgifter att förebygga, förhindra, upptäcka, utreda och lagföra brott har myndigheterna behov av information. Detta behov kan vara olika stort beroende på vilken brottslighet och vilken sorts aktörer det är fråga om. Myndigheterna kan använda olika metoder för att skaffa relevant information, t.ex. spaning, förhör och kontakter med an- mälare och tipsare. Behovet av information i såväl utrednings- som underrättelseverksamhet innefattar också ett behov av uppgifter om elektronisk kommunikation.

I utredningar om allvarlig brottslighet är tillgången till uppgifter om elektronisk kommunikation ofta avgörande för att utredningarna ska kunna föras framåt. Trafik- och lokaliseringsuppgifter har med tiden blivit ett allt viktigare verktyg i brottsbekämpningen och an- vänds i princip i varje utredning rörande grova brott. Uppgifterna är ofta den första och enda ingången i ärenden som rör grov brotts- lighet. I många fall är uppgifterna också helt avgörande för att utred- ningarna ska nå det stadium där andra insatser kan sättas in.21 Upp- gifter om elektronisk kommunikation kan svara på frågor bl.a. om vilka nummer som har haft kontakt med varandra, när kommuni- kationen skett, hur intensiv kommunikationen har varit och var an- vändare av t.ex. mobiltelefoner har befunnit sig. Inhämtade uppgifter kan i många fall också få till följd att personer avförs från en utred- ning, eftersom misstankarna mot dem visar sig sakna substans.

21Se t.ex. SOU 2017:75 s. 120 f.

132

SOU 2023:22

Uppgifter om elektronisk kommunikation i brottsbekämpande verksamhet

Genom tillgången till historiska trafik- och lokaliseringsuppgifter kan de brottsbekämpande myndigheterna kartlägga händelser som anknyter såväl till själva brottstillfället som till planläggning och flykt. Det är inte möjligt att ersätta sådan inhämtning med t.ex. fysisk spa- ning, eftersom inhämtningen avser historiska uppgifter. Uppgifter om användning av kommunikationstjänster går inte heller att in- hämta på annat sätt då det sker i en miljö som de brottsbekämpande myndigheterna inte har tillgång till. De brottsbekämpande myndig- heterna är därför beroende av att tillhandahållaren lagrar uppgifter och att dessa uppgifter kan hämtas in när sådana behov uppstår i den brottsbekämpande verksamheten. Vid utredning av internetrelaterad brottslighet är uppgifter om elektronisk kommunikation ofta helt avgörande för att identifiera en misstänkt gärningsman och för att i övrigt driva utredningen framåt. Trafikuppgifternas betydelse i brotts- utredningar hänger också samman med att den information som kom- mer fram vid HÖK och HAK ofta bedöms ha ett betydande bevis- värde i rättegångar som rör grov och organiserad brottslighet.22

Uppgifter om elektronisk kommunikation kan även vara av största vikt för att i underrättelseverksamhet förebygga, förhindra och upp- täcka brottslig verksamhet. Tillgången till uppgifter om elektronisk kommunikation på underrättelsestadiet kan vara avgörande för att aktörer, platser och tidpunkter ska kunna kopplas samman och ge ett tillräckligt underlag för att inleda förundersökning. Uppgifterna är också väsentliga för en effektiv planering av fysisk spaning, som är resurskrävande och därför viktig att använda på rätt plats och vid rätt tillfälle.23

Lagringsskyldigheten i 9 kap. 19 § nya LEK syftar till att säker- ställa tillgången till vissa uppgifter om elektronisk kommunikation för brottsbekämpande ändamål.

22Se a.a. s. 121 f.

23Se skr. 2020/21:59 s. 39.

133

6Lagring och tillgång till uppgifter i syfte att bekämpa brott

6.1Inledning

Den 1 oktober 2019 trädde nya regler om datalagring för brotts- bekämpande ändamål i Sverige i kraft. Ändringarna var föranledda av den s.k. Tele2-domen. Ändringarna innebär bl.a. att lagringens om- fattning har begränsats och att lagringstiderna har differentierats i jämförelse med hur det var tidigare. I förarbetena uttalade regeringen att det senast inom fyra år efter ikraftträdandet kunde finnas anled- ning att se över regleringen, bl.a. mot bakgrund av den tekniska ut- vecklingen, ändrade kommunikationsvanor och nya mål om datalag- ring i EU-domstolen.1 Den tekniska utvecklingen har fortsatt i snabb takt och kommunikationsvanorna har förändrats. Det finns också ny praxis på området.

I samband med att de nya reglerna antogs tillkännagav Riksdagen för regeringen att den skyndsamt ska återkomma med förslag som dels innebär en mer omfattande skyldighet att lagra uppgifter med koppling till nationell säkerhet, dels innebär en mer omfattande lag- ringsskyldighet generellt.2 Vidare har riksdagen i ett tillkännagivande den 31 mars 2022 understrukit vikten av att denna utrednings arbete bedrivs skyndsamt och att regeringen så snart som möjligt därefter återkommer till riksdagen med ett förslag i enlighet med det tidigare tillkännagivandet.3

Enligt våra direktiv ska vi analysera hur dagens regler om lagring och tillgång till uppgifter om elektronisk kommunikation förhåller sig till ny praxis, överväga och ta ställning till vilka möjligheter som finns till förändringar av reglerna om lagring och tillgång till uppgifter

1Se prop. 2018/19:86 s. 38 och 108.

2Se bet. 2018/19: JuU27 punkt 6, rskr. 2018/19:296.

3Se bet. 2021/22:JuU24 punkt 5, rskr. 2021/22:216.

135

Lagring och tillgång till uppgifter i syfte att bekämpa brott

SOU 2023:22

om elektronisk kommunikation i syfte att tillgodose de brottsbekäm- pande myndigheternas möjligheter att upprätthålla och stärka sin för- måga, samtidigt som skyddet för de mänskliga rättigheterna säker- ställs, och lämna förslag på de författningsändringar och andra åtgärder som bedöms nödvändiga.

6.2Bakgrunden till nuvarande reglering

Den nu gällande lagringsskyldigheten regleras i 9 kap. 19 och 22 §§ nya LEK och i 9 kap. 7 och 8 §§ nya FEK. Bestämmelserna motsvarar fullt ut vad som tidigare reglerades i 6 kap. 16 a och 16 d §§ gamla LEK och 39 och 40 §§ gamla FEK. Eftersom de ändringar som trädde i kraft den 1 oktober 2019 var föranledda av den s.k. Tele2-domen finns det anledning att här sammanfatta den domen och de övervägan- den som regeringen gjorde med anledning av den.

6.2.1Tele2-domen

ITele2-domen den 21 december 2016 (förenade målen C-203/15 och C-698/15) besvarade EU-domstolen bl.a. en begäran om förhands- avgörande från Kammarrätten i Stockholm avseende tolkningen av artikel 15.1 i e-dataskyddsdirektivet jämförd med artiklarna 7, 8 och 52.1 i rättighetsstadgan. EU-domstolen uttalade att direktivet om- fattade både lagstiftning som reglerar lagringen av uppgifter och lag- stiftning som reglerar tillgången till dessa uppgifter (p. 75 och 76 i domen). Artikel 15.1 i direktivet, som i viss utsträckning tillåter data- lagring, ska enligt domstolen tolkas strikt och mot bakgrund av rättig- hetsstadgan (p. 91 i domen). Att proportionalitetsprincipen ska iakt- tas framgår av domstolens fasta praxis, enligt vilken skyddet av den grundläggande rätten till respekt för privatlivet på unionsnivå kräver att undantag från och begränsningar av skyddet för personuppgifter ska inskränkas till vad som är strängt nödvändigt (p. 96 i domen). De svenska reglerna om datalagring bedömdes utgöra inskränkningar i rättigheterna enligt stadgans artiklar 7 (rätten till respekt för privat- livet), 8 (skyddet för personuppgifter) och 11 (yttrandefriheten). Inskränkningar i rättigheterna får enligt EU-domstolen endast göras under vissa förutsättningar, däribland att de är proportionella och strängt nödvändiga. EU-domstolen uttalade vidare att en generell och

136

SOU 2023:22

Lagring och tillgång till uppgifter i syfte att bekämpa brott

odifferentierad lagring aldrig kan vara strängt nödvändig, inte ens för att bekämpa grov brottslighet. EU-domstolen konkluderade att den svenska lagstiftningen överskred gränserna för vad som är strängt nödvändigt och att den inte kan anses motiverad i ett demokratiskt samhälle, såsom krävs enligt artikel 15.1 i e-dataskyddsdirektivet jämförd med artiklarna 7, 8, 11 och 52.1 i stadgan (p. 107 i domen).

När det gäller tillgång till uppgifterna fastslog EU-domstolen att precisa krav måste föreskrivas, att tillgång endast får ges för att be- kämpa grov brottslighet och att tillgången i princip bara får avse per- soner som på något sätt är inblandade i grov brottslighet. I särskilda fall, som när vitala intressen för nationell säkerhet, försvar eller all- män säkerhet hotas av terrorism, skulle dock tillgång kunna ges även till uppgifter om andra personer när det finns objektiva omständig- heter som ger skäl att anta att de uppgifterna i ett konkret fall effek- tivt skulle kunna bidra till att bekämpa terrorism (p. 115–119 i domen). Tillgång ska enligt EU-domstolen som huvudregel ges först efter för- handskontroll av domstol eller annan oberoende myndighet och be- rörda ska informeras, så snart det inte längre skadar myndighetens utredningar (p. 120 och 121 i domen). Därutöver uttalade domstolen att leverantörerna av elektroniska kommunikationstjänster måste garantera en särskilt hög skydds- och säkerhetsnivå genom lämpliga tekniska och organisatoriska åtgärder, att uppgifterna måste för- störas när lagringstiden gått ut och att lagringen måste ske inom unionen (p. 122 i domen).

EU-domstolens slutsatser i Tele2-domen var att EU-rätten utgör hinder för (1) en nationell lagstiftning som i brottsbekämpande syfte föreskriver en generell och odifferentierad lagring av samtliga trafik- uppgifter och lokaliseringsuppgifter avseende samtliga abonnenter och registrerade användare och samtliga elektroniska kommunika- tionsmedel och för (2) en nationell lagstiftning som inte begränsar tillgången till trafik- och lokaliseringsuppgifter till enbart åtgärder som syftar till att bekämpa grov brottslighet, inte föreskriver att till- gången ska vara underkastad förhandskontroll av en domstol eller en oberoende myndighet och inte kräver att uppgifterna ska lagras inom unionen.

137

Lagring och tillgång till uppgifter i syfte att bekämpa brott

SOU 2023:22

EU-domstolens uttalanden om riktad lagring

Domstolen anförde att det inte finns något hinder mot att en med- lemsstat antar lagstiftning som i förebyggande syfte tillåter en riktad lagring av trafikuppgifter och lokaliseringsuppgifter, i syfte att be- kämpa grov brottslighet. Förutsättningen för detta är att lagringen av uppgifterna, vad gäller vilka slags uppgifter som ska lagras, vilka kommunikationsmedel som avses, vilka personer som berörs och hur länge lagringen ska ske, begränsas till vad som är strängt nöd- vändigt (p. 108 i domen). För att en riktad lagring ska vara förenlig med EU-rätten måste den nationella lagstiftningen, enligt EU-dom- stolen, föreskriva tydliga och precisa bestämmelser som reglerar om- fattningen och tillämpligheten av en sådan lagringsåtgärd och som slår fast minimikrav. De personer vars uppgifter har lagrats ska ha till- räckliga garantier som möjliggör ett effektivt skydd av deras person- uppgifter mot riskerna för missbruk. Lagstiftningen måste särskilt precisera under vilka omständigheter och villkor en sådan lagrings- åtgärd får vidtas i förebyggande syfte, vilket säkerställer att lagringen begränsas till vad som är strängt nödvändigt (p. 109 i domen). Dom- stolen påpekade att även om villkoren kan variera utifrån vilka åt- gärder som vidtas för att förebygga, undersöka, avslöja och väcka åtal för grov brottslighet, måste lagringen av uppgifterna alltid uppfylla objektiva kriterier, som fastställer ett samband mellan de uppgifter som ska lagras och det eftersträvade syftet. I synnerhet måste vill- koren vara sådana att de klart avgränsar omfattning och följaktligen den berörda personkretsen (p. 110 i domen). Vad gäller avgränsningen av den personkrets och de situationer som kan komma att beröras av riktad lagring gjorde EU-domstolen följande bedömning. Den nationella lagstiftningen ska grunda sig på objektiva omständigheter som gör det möjligt att ta sikte på en personkrets vars uppgifter kan avslöja en, åtminstone indirekt, koppling till grov brottslighet och på ett eller annat sätt kan bidra till att bekämpa grov brottslighet eller förhindra en allvarlig risk för den allmänna säkerheten. En sådan av- gränsning kan säkerställas genom en bedömning att det i ett eller flera geografiska områden finns en förhöjd risk för förberedelse eller genomförande av sådana handlingar (p. 111 i domen).

138

SOU 2023:22

Lagring och tillgång till uppgifter i syfte att bekämpa brott

6.2.2Tolkningen av Tele2-domen i Sverige

Regeringens uttalanden om riktad lagring

I förarbetena till de ändringar i datalagringsregleringen som gjordes efter Tele2-domen uttalade regeringen bl.a. följande.4

Mot bakgrund av EU-domstolens slutsatser i Tele2-domen be- höver svensk rätt anpassas för att vara förenlig med EU-rätten. Att upphäva de bestämmelser som föreskriver att operatörerna ska lagra uppgifter om elektronisk kommunikation är uteslutet av både brotts- bekämpande och folkrättsliga skäl. Uppgifter om elektronisk kom- munikation och andra elektroniska spår är i dag helt nödvändiga för brottsbekämpningen. Om de brottsbekämpande myndigheterna inte skulle ha tillgång till adekvata utredningsverktyg i den elektroniska miljön, skulle brotten i vissa fall vara omöjliga att klara upp och brottsoffer i motsvarande omfattning vara rättslösa. Vissa brott skulle i praktiken kunna bli straffria. Utöver detta måste hänsyn tas till Sveriges internationella åtaganden enligt t.ex. Europakonventionen. Staten har en skyldighet att skydda enskildas privatliv och personliga integritet mot intrång som begås av andra enskilda och, om intrång görs, se till att brotten utreds. En förutsättning för att staten ska kunna leva upp till kraven på att upprätthålla rättstryggheten för enskilda är att staten har en välfungerande och effektiv brottsbekämpning vilket t.ex. innebär att myndigheterna ska ha tillgång till effektiva utredningsverktyg – även i den elektroniska miljön.

När det gäller nyttan och behovet av en riktad lagring är det kom- plicerat att i förväg ringa in vissa personer eller vissa områden som lagringen skulle riktas in mot, eftersom det inte på förhand går att veta av vem, var eller när ett brott kommer att begås. Europadom- stolen har i ett mål om bl.a. avlyssning av mängddata (eng. bulk interception) i underrättelseverksamhet uttalat att det vore fel att automatiskt förutsätta att avlyssning av mängddata skulle innebära ett större intrång i privatlivet än en riktad avlyssning mot misstänkta personer, eftersom den senare till sin natur mer sannolikt skulle resul- tera i inhämtning och undersökning av stora mängder data gällande den ifrågavarande personens kommunikationer.5

4Se prop. 2018/19:86 s. 26–36.

5Se Big Brother Watch m.fl. mot Förenade Kungariket, 13 september 2018, mål nr 58170/13, 62322/14 och 24960/15, punkterna 316–317. Målet har därefter prövats i stor sammansättning i en dom den 25 maj 2021.

139

Lagring och tillgång till uppgifter i syfte att bekämpa brott

SOU 2023:22

När det gäller en riktad lagring som begränsar sig till vissa geo- grafiska områden skulle det innebära att förutsättningarna för att lösa allvarlig brottslighet blir olika för olika delar av landet, vilket skulle vara mycket problematiskt. Att införa ett regelverk som får till följd att allvarliga brott skulle bli väsentligt svårare, och i vissa fall kanske omöjliga, att klara upp beroende på var själva brottet begicks eller planerades är enligt regeringens mening oacceptabelt. Det skulle också kunna innebära att viss brottslighet anpassar sig till detta och förläggs på en plats där lagring inte sker, i syfte att för- hindra eller försvåra upptäckt. En geografisk avgränsning är också problematisk vid sådan brottslighet som inte kan sägas vara kopplad till geografiska förhållanden över huvud taget, t.ex. internetrelaterad brottslighet. I vissa fall kan brottsrisken öka i ett visst område vid speciella händelser, varför en riktad lagring kring den platsen skulle vara tänkbar. Värdet av en sådan lagring skulle dock inte vara särskilt stort eftersom planering och kontakter mellan gärningsmän med största säkerhet inte äger rum enbart på själva brottsplatsen och inte sällan under en längre tid. En lagring som bara riktar sig mot per- soner som använder vissa specifika tekniker, t.ex. vissa mjukvaror för anonymisering, skulle bara fånga in en försvinnande liten del av de uppgifter som är nödvändiga för brottsbekämpningen. Dessutom skulle integritetsintrånget för den enskilde öka eftersom man skulle behöva ta del av vilken mjukvara som personen använder för kom- munikationen.

Regeringen kunde mot bakgrund av det anförda inte se någon större praktisk nytta eller något större behov av riktad lagring. Dess- utom menade regeringen att det inte är säkert att en riktad lagring skulle innebära integritetsvinster. Att rikta lagringen mot en viss person eller krets av personer (exempelvis i ett visst område), utan att det finns någon konkret misstanke mot dessa personer, innebär rimligen en än större rättighetskränkning mot dessa människor och skulle riskera att vara diskriminerande mot vissa grupper. Det är svårt att se hur en sådan urvalsprocess i praktiken ska kunna ske på objek- tiva grunder. Tvärtom torde risken för diskriminering eller i övrigt stötande effekter vara stor.

Dessutom är riktad lagring förknippad med problem, eftersom ett stort antal operatörer skulle behöva underrättas om lagringsbeslutet. Det skulle bli en praktiskt utmanande uppgift, samtidigt som upp- giften om att ett visst område eller vissa personer är av intresse för

140

SOU 2023:22

Lagring och tillgång till uppgifter i syfte att bekämpa brott

den brottsbekämpande verksamheten skulle spridas till en alltför stor krets. Sammantaget ansåg regeringen att en riktad lagring till en viss personkrets, ett visst geografiskt område eller till personer som an- vänder vissa specifika tekniker varken är en ändamålsenlig, propor- tionerlig eller lämplig lösning. Regeringen ansåg inte heller att lag- ring i form av bevarandeföreläggande, kryptering eller lagring av senaste abonnemangsaktivitet skulle vara en framkomlig väg i detta samman- hang. Den enda rimliga kvarvarande modellen var enligt regeringen en lagringsskyldighet som inte omfattar alla kommunikationssätt, som är mindre omfattande än i dag och som är anpassad efter vad som är strängt nödvändigt för att bekämpa grov brottslighet.

Ändringarna i lagringsskyldigheten

Den lagstiftning som infördes 2019 innebär att vissa typer av uppgifter inte längre omfattas av lagringsskyldigheten och att lagringstiden har differentierats. När det gäller telefonitjänster och meddelandehan- tering gäller lagringsskyldigheten i dag enbart kommunikation via mobil nätanslutningspunkt. Tidigare omfattades uppgifter från såväl fast telefoni som fast ip-telefoni av lagringsskyldigheten. Lagrings- skyldigheten omfattade tidigare också flera slags uppgifter vid kom- munikation via mobil nätanslutningspunkt än vad som i dag är fallet. När det gäller internetåtkomst omfattades tidigare uppgifter om den typ av kapacitet för överföring som hade använts. Dessa uppgifter om- fattas inte av dagens lagringsskyldighet (se jämförelsetabell i bilaga 3 för en översiktlig beskrivning av lagringsskyldigheten).

Vidare infördes en differentierad lagringstid beroende på vilken typ av uppgift det är fråga om. Uppgifter som gäller telefonitjänst och meddelandehantering via mobil nätanslutningspunkt ska lagras i sex månader medan lokaliseringsuppgifter ska lagras endast i två månader. Uppgifter om internetåtkomst ska lagas i tio månader, men om uppgifterna identifierar den utrustning där kommunikationen slutligt avskiljs från den lagringsskyldige till den enskilde abonnen- ten, ska de dock lagras endast i sex månader.

141

Lagring och tillgång till uppgifter i syfte att bekämpa brott

SOU 2023:22

6.3EU-domstolens praxis efter Tele2-domen

EU-domstolen har, efter Tele2-domen, meddelat ett antal domar som rör lagring och åtkomst till uppgifter om elektronisk kommunikation. De mest relevanta domarna redovisas nedan i kronologisk ordning.

6.3.1Ministerio Fiscal-domen

Den 2 oktober 2018 meddelade EU-domstolen den s.k. Ministerio Fiscal-domen (mål C-207/16) angående en begäran om förhands- avgörande från Provinsdomstolen i Tarragona i Spanien.

EU-domstolen prövade huruvida artikel 15.1 i e-dataskyddsdirek- tivet jämförd med artiklarna 7 och 8 i stadgan, ska tolkas på så sätt att myndigheters tillgång till identitetsuppgifter för innehavare av sim-kort som aktiverats med en stulen mobiltelefon, såsom för- och efternamn och eventuellt adress, utgör ett ingrepp i dessa personers grundläggande rättigheter enligt stadgan. Vidare prövades frågan om de eventuella ingreppen var av en sådan betydelse att denna tillgång i samband med förebyggande, utredning, upptäckt och lagföring av brott bör begränsas till kampen mot allvarlig brottslighet.

Domstolen konstaterade inledningsvis att den nationella lagstift- ningsåtgärden omfattas av tillämpningsområdet för e-dataskyddsdirek- tivet. Artikel 15.1 i direktivet förutsätter nämligen med nödvändig- het att de där avsedda nationella åtgärderna omfattas av direktivets tillämpningsområde, eftersom direktivet uttryckligen tillåter med- lemsstaterna att vidta sådana åtgärder endast under förutsättning att de däri angivna villkoren är uppfyllda. De lagstiftningsåtgärder som avses i artikel 15.1 i direktiv 2002/58 reglerar dessutom – för de syften som anges i bestämmelsen – verksamheten för leverantörer av elek- troniska kommunikationstjänster (p. 34 i domen). Lagstiftning som ålägger leverantörer av elektronisk kommunikation att lagra person- uppgifter eller ge de behöriga nationella myndigheterna tillgång till dessa uppgifter medför med nödvändighet behandling av person- uppgifter från leverantörernas sida (p. 37 i domen). Identitetsupp- gifter för innehavare av sim-kort ingår bland trafikuppgifter såsom de definieras i artikel 2 andra stycket b e-dataskyddsdirektivet och upp- gifterna omfattas följaktligen av tillämpningsområdet för direktivet (p. 42 i domen).

142

SOU 2023:22

Lagring och tillgång till uppgifter i syfte att bekämpa brott

Domstolen konstaterade vidare att begäran i det aktuella fallet syftade enbart till att identifiera innehavarna av de sim-kort som aktiverats med den stulna mobiltelefonens IMEI-kod. Begäran avsåg enbart tillgång till de telefonnummer som svarar mot sim-korten samt identitetsuppgifter för innehavarna av dessa kort. Dessa upp- gifter rör inte den kommunikation som ägt rum med den stulna mobiltelefonen eller telefonens geografiska position. Dessa uppgifter gör det inte möjligt att dra några mer precisa slutsatser om privatlivet för de personer vars uppgifter berörs. Tillgång till endast de upp- gifter som avses med begäran kan inte anses som ett ”allvarligt” in- grepp i de grundläggande rättigheterna för de personer som uppgif- terna avser. Det ingrepp som tillgång till sådana uppgifter innebär kan således vara motiverat av syftet att förebygga, utreda, upptäcka och lagföra brott i allmänhet, såsom nämns i artikel 15.1 första meningen i direktiv 2002/58, utan att dessa brott behöver kvalificeras som ”all- varliga” (p. 59–62 i domen).

6.3.2La Quadrature du Net-domen

I den s.k. La Quadrature du Net-domen den 6 oktober 2020 (de för- enade målen C-511/18, C-512/18 och C-520/18) besvarade EU-dom- stolen en begäran om förhandsavgöranden från Högsta förvaltnings- domstolen i Frankrike och Författningsdomstolen i Belgien. Målen rörde tolkningen dels av artikel 15.1 i e-dataskyddsdirektivet, dels av artiklarna 12–15 i Europaparlamentets och rådets direktiv 2000/31/EG av den 8 juni 2000 om vissa rättsliga aspekter på informationssam- hällets tjänster, särskilt elektronisk handel, på den inre marknaden (e-handelsdirektivet), jämförda med artiklarna 4, 6–8, 11 och 52.1 i stadgan och artikel 4.2 FEU.

Idomen konstaterade domstolen att e-dataskyddsdirektivet är tillämpligt också när det gäller lagring av eller tillgång till uppgifter i elektroniska kommunikationer som syftar till att skydda den natio- nella säkerheten (p. 104 i domen). Domstolen uttalade bl.a. att en annan tolkning av direktivet skulle innebära att artikel 15.1 i direk- tivet helt fråntogs sin ändamålsenliga verkan (p. 97 i domen) och att enligt domstolens fasta praxis kan den omständigheten att en åtgärd har vidtagits för att skydda nationell säkerhet inte kan befria med- lemsstaterna från skyldigheterna att iaktta unionsrätten (p. 99).

143

Lagring och tillgång till uppgifter i syfte att bekämpa brott

SOU 2023:22

Domstolen uttalade att betydelsen av målet att skydda nationell säkerhet är mer långtgående än betydelsen av de övriga mål som anges i artikel 15.1. Under förutsättning att övriga krav i artikel 51.2 i stadgan iakttas, kan målet att skydda nationell säkerhet motivera åtgärder som innebär mer långtgående ingrepp i de grundläggande rättigheterna än dem som dessa övriga mål skulle kunna motivera (p. 136 i domen). Under sådana förutsättningar utgör EU-rätten i princip inte hinder för en lagstiftning som ger behöriga myndigheter rätt att ålägga tjänsteleverantörer en generell och odifferentierad lag- ringsskyldighet avseende trafik- och lokaliseringsuppgifter under en begränsad tid. Detta gäller under förutsättning att det föreligger till- räckligt konkreta omständigheter för att anse att den berörda med- lemsstaten står inför ett allvarligt hot mot nationell säkerhet som visat sig vara verkligt, aktuellt eller förutsägbart (p. 137 i domen). En sådan lagring kan tillåtas under förutsättning att beslutet kan bli före- mål för en effektiv kontroll av en domstol eller av en oberoende myndighet och att den sker under en period som är tidsmässigt be- gränsad till vad som är strängt nödvändigt, men som kan förlängas om hotet består (p. 138 och 139 i domen).

När det gäller datalagring för bekämpning av grov brottslighet och för att förebygga allvarliga hot mot den allmänna säkerheten stod domstolen fast vid sina uttalanden i Tele2-domen om att en gene- rell och odifferentierad lagring av samtliga trafikuppgifter och loka- liseringsuppgifter om samtliga abonnenter och registrerade användare och samtliga elektroniska kommunikationsmedel inte är förenlig med EU-rätten (p. 141 i domen). Inte ens medlemsstaternas positiva skyldigheter att införa bestämmelser som möjliggör en effektiv bekämp- ning av brott kan motivera så allvarliga ingrepp i de grundläggande rättigheterna som en lagstiftning om lagring av praktiskt taget hela befolkningens trafik- och lokaliseringsuppgifter innebär, utan att det finns ett, åtminstone indirekt, samband mellan de berörda personerna och det eftersträvade målet (p. 145 i domen). Däremot kan målen att t.ex. bekämpa grov brottslighet motivera det synnerligen allvarliga ingrepp som en riktad lagring av trafik- och lokaliseringsuppgifter innebär (p. 146 i domen). Domstolen stod vidare fast vid sina tidigare uttalanden om att medlemsstaterna är oförhindrade att föreskriva om en tidsbegränsad riktad lagring vilken, på grundval av objektiva och icke-diskriminerande faktorer, är avgränsad genom de kategorier av personer som berörs eller genom ett geografiskt kriterium.

144

SOU 2023:22

Lagring och tillgång till uppgifter i syfte att bekämpa brott

Samtidigt uttalade domstolen att en generell och odifferentierad lagring av uppgifter om den fysiska identiteten (eng. civil identity) för användare av elektroniska kommunikationsmedel är tillåten utan någon specifik tidsbegränsning, i syfte att förebygga, undersöka, av- slöja och åtala för brott i allmänhet samt att skydda allmän säkerhet (p. 159 i domen).

Beträffande ip-adresser anförde domstolen att dessa genereras utan anknytning till en viss kommunikation och huvudsakligen har till syfte att, via leverantörer av elektroniska kommunikationstjänster, identifiera den fysiska personen som äger den terminalutrustning från vilken en kommunikation sker via internet. Ip-adresser har enligt domstolen en lägre grad av känslighet än andra trafikuppgifter (p. 152 i domen). I fråga om brott som begås på internet kan ip- adressen utgöra det enda som gör det möjligt att identifiera den per- son, till vilken denna adress var tilldelad vid den tidpunkt då brottet begicks. Det kan dessutom bli omöjligt att upptäcka brott som har begåtts på internet utan en lagstiftning enligt artikel 15.1 i e-data- skyddsdirektivet (p. 154 i domen). Domstolen konstaterade att EU- rätten i princip inte utgör ett hinder mot lagstiftning som föreskriver en generell och odifferentierad lagring av ip-adresser som har till- delats källan för en internetanslutning, om det sker i syfte att skydda den nationella säkerheten, bekämpa grov brottslighet och för att före- bygga allvarliga hot mot den allmänna säkerheten, och om lagringen är tidsmässigt begränsad till vad som är strängt nödvändigt (p. 155 och 156 i domen).

Domstolen uttalade sig också om möjligheterna att genom beslut från en behörig myndighet, vilket kan vara föremål för en effektiv domstolsprövning, ålägga tjänsteleverantörer att skyndsamt säkra de trafik- och lokaliseringsuppgifter som de har tillgång till (p. 161–163 i domen). Domstolen noterade att det i Europarådets konvention om it-relaterad brottlighet (Budapestkonventionen) föreskrivs att varje part, för utrednings- och lagföringsändamål, ska vidta vissa åt- gärder beträffande redan sparade uppgifter, såsom skyndsamt säkrande av dessa uppgifter. Domstolen uttalade bl.a. att medlemsstaterna i sin lagstiftning måste precisera det ändamål för vilket det får företas ett skyndsamt säkrande av uppgifter och att det endast är bekämp- ning av grov brottslighet och, i ännu högre grad, skyddet av nationell säkerhet som kan motivera detta ingrepp i de grundläggande rättig- heterna. Åtgärderna ska vidare begränsas till uppgifter som kan bidra

145

Lagring och tillgång till uppgifter i syfte att bekämpa brott

SOU 2023:22

till att klarlägga det aktuella grova brottet eller den aktuella hand- lingen till men för nationell säkerhet. Även lagringstiden för upp- gifterna måste begränsas till vad som är strängt nödvändigt (p. 164 i domen). Säkrandet av uppgifter behöver inte vara begränsat till upp- gifter om personer som misstänks ha begått ett brott utan kan även t.ex. avse uppgifter om offret, offrets sociala bekantskapskrets eller om geografiska områden.

6.3.3Privacy International-domen

I den s.k. Privacy International-domen den 6 oktober 2020 (mål

C623/17) besvarade EU-domstolen en begäran om förhandsavgörande från Domstolen för utredningsbefogenheter i Förenade kungariket. Målet rörde lagenligheten av en lagstiftning som tillåter att säker- hets- och underrättelsetjänsterna inhämtar och använder s.k. mängd- data (bulk communications data). Domstolen konstaterade, med liknande resonemang som i La Quadrature du Net-domen, att artik- larna 1.3, 3 och 15.1 i e-dataskyddsdirektivet, jämförda med artikel 4.2 FEU, ska tolkas på så sätt att direktivets tillämpningsområde om- fattar en nationell lagstiftning som ger en statlig myndighet rätt att ålägga leverantörer av elektroniska kommunikationstjänster att över- föra trafikuppgifter och lokaliseringsuppgifter till säkerhets- och underrättelsetjänsterna i syfte att skydda nationell säkerhet (p. 49 i domen). Med hänvisning till den nyss nämnda domen uttalade dom- stolen att under förutsättning att övriga krav i artikel 52.1 i rättig- hetsstadgan iakttas, kan målet att skydda nationell säkerhet motivera åtgärder som innebär mer långtgående ingrepp i de grundläggande rättigheterna än dem som dessa övriga mål skulle kunna motivera. För att uppfylla kravet på proportionalitet måste en nationell lagstift- ning som innebär ett ingrepp i de grundläggande rättigheterna upp- fylla de krav som följer av domstolens praxis.

Beträffande en myndighets åtkomst till personuppgifter fann dom- stolen att en lagstiftning inte kan vara begränsad till att kräva att myndigheternas åtkomst till uppgifterna svarar mot det ändamål som eftersträvas med lagstiftningen, utan den måste även fastställa de materiella och formella villkor som gäller för sådan användning (p. 76 och 77 i domen). En heltäckande tillgång till samtliga lagrade uppgifter, oberoende av om det finns någon koppling, ens indirekt, till det efter-

146

SOU 2023:22

Lagring och tillgång till uppgifter i syfte att bekämpa brott

strävade syftet, kan inte anses vara begränsad till vad som är strängt nödvändigt. En nationell lagstiftning som reglerar tillgång till trafik- och lokaliseringsuppgifter måste vara grundad på objektiva kriterier som avgör under vilka omständigheter och på vilka villkor behöriga nationella myndigheter ska ges tillgång till de aktuella uppgifterna (p. 78 i domen). Domstolen menade att kraven i ännu högre grad gäller för en lagstiftningsåtgärd, som den som var aktuell i det natio- nella målet, enligt vilken den behöriga nationella myndigheten får ålägga leverantörer av elektroniska kommunikationstjänster att genom generell och odifferentierad överföring lämna ut trafik- och lokaliser- ingsuppgifter till säkerhets- och underrättelsetjänsterna. Sådan över- föring är således även tillämplig på personer beträffande vilka det inte finns något indicium som ger anledning att tro att deras beteende skulle kunna ha ett samband, inte ens indirekt eller avlägset, med målet att skydda den nationella säkerheten och, i synnerhet, utan att det har visats att det finns ett samband mellan de uppgifter som ska överföras och ett hot mot den nationella säkerheten. Med hänsyn till att överföring av trafik- och lokaliseringsuppgifter till statliga myn- digheter motsvarar åtkomst till uppgifterna, fann domstolen att en lagstiftning som tillåter en generell och odifferentierad överföring av uppgifter till statliga myndigheter innebär en allmän åtkomst till upp- gifterna. En nationell lagstiftning som ålägger leverantörer av elek- troniska kommunikationstjänster att genom generell och odiffere- ntierad överföring lämna ut trafik- och lokaliseringsuppgifter till säkerhets- och underrättelsetjänsterna går utöver vad som är strängt nödvändigt och kan inte anses vara motiverad i ett demokratiskt sam- hälle, såsom krävs enligt artikel 15.1 i e-dataskyddsdirektivet, jäm- förd med artikel 4.2 FEU samt artiklarna 7, 8, 11 och 52.1 i stadgan (p. 79–81 i domen).

6.3.4Prokuratuur-domen

Den 2 mars 2021 meddelande EU-domstolen dom i mål C-746/18, (den s.k. Prokuratuur-domen) angående en begäran om förhands- avgörande från Högsta domstolen i Estland. Begäran framställdes i ett brottmål mot H.K. där hon åtalats för stölder, användning av tredje mans bankkort samt övergrepp i rättssak.

147

Lagring och tillgång till uppgifter i syfte att bekämpa brott

SOU 2023:22

Domstolen erinrade om sin praxis när det gäller brottsbekäm- pande myndigheters tillgång till trafik- och lokaliseringsuppgifter som leverantörer av elektroniska kommunikationstjänster har lagrat.

Domstolen uttalade bl.a. att endast målen att bekämpa grov brotts- lighet eller förebygga allvarliga hot mot den allmänna säkerheten kan motivera att offentliga myndigheter får tillgång till ett stort antal trafik- eller lokaliseringsuppgifter, såvida det inte finns andra fakto- rer för att bedöma huruvida ansökan om tillgång är proportionerlig för målet att bekämpa brott i allmänhet. Sådana faktorer kan vara t.ex. under hur lång tid en myndighet får tillgång till de begärda upp- gifterna. En offentlig myndighets tillgång till ett stort antal trafik- eller lokaliseringsuppgifter är dock, enligt domstolen, alltid av allvar- lig art om de samlade uppgifterna gör det möjligt att dra specifika slutsatser om den berörda personens privatliv, såsom var fallet i det nationella målet (p. 35–39 i domen). Eftersom det tillstånd till till- gång, som beviljas av domstol eller av en oberoende behörig myndig- het, meddelas innan det är möjligt att ta del av uppgifterna och den information som följer därav måste bedömningen av ingreppets all- varlighet göras utifrån den risk för den berörda personens privatliv som normalt sett är knuten till den kategori av uppgifter som begärs utlämnade.

Den hänskjutande domstolen frågade bl.a. om artikel 15.1 i e-data- skyddsdirektivet, jämförd med artiklarna 7, 8, 11 och 52.1 i rättighets- stadgan, ska tolkas så, att den utgör hinder mot nationell lagstiftning som ger en åklagarmyndighet, vars uppdrag är att leda förundersök- ningar och, i förekommande fall, väcka åtal i samband med ett senare förfarande, behörighet att ge offentliga myndigheter tillgång till trafik- och lokaliseringsuppgifter inom ramen för en brottsutredning. Dom- stolen besvarade denna fråga jakande och uttalade följande. En all- män tillgång till samtliga lagrade uppgifter, oberoende av om det finns någon koppling till det eftersträvade ändamålet, kan inte anses vara begränsad till vad som är strängt nödvändigt. Den nationella lagstiftningen måste vara grundad på objektiva kriterier som avgör under vilka omständigheter och på vilka villkor behöriga nationella myndigheter ska ges tillgång till de aktuella uppgifterna. För att säker- ställa att dessa villkor uppfylls i praktiken, är det väsentligt att till- gången till de lagrade uppgifterna är underkastad förhandskontroll av en domstol eller en oberoende myndighet som meddelar sina be- slut efter motiverade framställningar från myndigheterna. En sådan

148

SOU 2023:22

Lagring och tillgång till uppgifter i syfte att bekämpa brott

förhandskontroll innebär bl.a. att den domstol eller det organ som ska utföra kontrollen har alla befogenheter och lämnar alla nödvän- diga garantier för att kunna göra en vederbörlig avvägning mellan de olika intressen och rättigheter som är i fråga.

Vad särskilt gäller en brottsutredning kräver en sådan kontroll att denna domstol eller detta organ kan säkerställa en korrekt balans mellan de intressen som gör sig gällande för att svara mot utred- ningens behov, å ena sidan, och de grundläggande rättigheterna avse- ende respekt för privatlivet och skydd av personuppgifter, å den andra sidan. När denna kontroll inte utförs av en domstol utan av en obero- ende förvaltningsmyndighet måste denna myndighet ha en ställning som innebär att den kan fullgöra sitt uppdrag på ett objektivt och opartiskt sätt, och den måste därför vara fri från all yttre påverkan (p. 50–53 i domen). På det straffrättsliga området innebär kravet på oberoende att den myndighet som ska utföra förhandskontrollen dels inte får vara involverad i den aktuella brottsutredningen, dels ska ha en neutral ställning i förhållande till parterna i det straffrätts- liga förfarandet. Så är inte fallet med en åklagarmyndighet som leder utredningsförfarandet och, i förekommande fall, väcker åtal för det allmännas räkning. Åklagarmyndigheten har nämligen inte till upp- gift att helt oavhängigt avgöra en tvist utan att, i förekommande fall, hänskjuta tvisten till behörig domstol, i egenskap av part i målet. Den omständigheten att en åklagarmyndighet är skyldig att kontrollera både sådana omständigheter som är till den misstänktes nackdel och sådana som är till dennes fördel, säkerställa att utredningen är lag- enlig och endast agera i enlighet med lagen och sin egen övertygelse, är inte tillräcklig för att denna myndighet ska anses vara fristående i förhållande till de intressen som är i fråga (p. 54–56 i domen).

Domstolen erinrade också om att den oberoende kontrollen ska ske innan tillgång till uppgifterna beviljas, förutom i vederbörligen motiverade fall då denna kontroll ska ske utan dröjsmål. En sådan senare kontroll kan nämligen inte uppnå det mål som eftersträvas med en förhandskontroll, det vill säga att förhindra att det beviljas tillgång till de aktuella uppgifterna utöver vad som är strängt nödvändigt.

149

Lagring och tillgång till uppgifter i syfte att bekämpa brott

SOU 2023:22

6.3.5Garda Síochána-domen

Den 5 april 2022 meddelande EU-domstolen dom i mål C-140/20, (den s.k. Garda Síochána-domen) angående en begäran om förhands- avgörande från Högsta domstolen i Irland. Begäran framställdes i ett mål mellan å ena sidan G.D. och å andra sidan Commissioner of An Garda Síochána (Irlands rikspolischef) angående giltigheten av Com- munications (Retention of Data) Act 2011.

Domstolen hänvisade i stora delar till den praxis som finns när det gäller lagring av och tillgång till trafik- och lokaliseringsuppgifter. Domstolen erinrade således om att artikel 15.1 i e-dataskyddsdirek- tivet, jämförd med artiklarna 7, 8 och 11 samt 52.1 i stadgan, inte utgör hinder för en lagstiftningsåtgärd som, för att skydda nationell säkerhet, tillåter att leverantörer av elektroniska kommunikations- tjänster åläggs att på ett generellt och odifferentierat sätt lagra trafik- och lokaliseringsuppgifter i situationer där den berörda medlems- staten står inför ett allvarligt hot mot nationell säkerhet beträffande vilket det är visat att hotet är verkligt och aktuellt eller förutsebart. Beslut om sådant åläggande måste vara tidsmässigt begränsat till vad som är strängt nödvändigt, men som kan förlängas om hotet fort- farande kvarstår och måste kunna bli föremål för effektiv kontroll antingen av en domstol eller av en oberoende myndighet (p. 58 i domen). Domstolen förtydligade, efter ett påstående från Europeiska kommissionen, att särskilt allvarlig brottslighet inte kan likställas med ett hot mot den nationella säkerheten och att det alltså inte finns någon mellanliggande kategori mellan nationell säkerhet och allmän säkerhet (p. 62 och 63 i domen).

Domstolen erinrade också om att artikel 15.1 i e-dataskydds- direktivet, jämförd med artiklarna 7, 8 och 11 samt 52.1 i stadgan, däremot inte utgör hinder för lagstiftningsåtgärder som, i syfte att bekämpa grov brottslighet och förhindra allvarliga hot mot allmän säkerhet, föreskriver

en riktad lagring av trafik- och lokaliseringsuppgifter vilken, på grundval av objektiva och icke-diskriminerande faktorer, är av- gränsad genom de kategorier av personer som berörs eller genom ett geografiskt kriterium, för en period som är tidsmässigt begränsad till vad som är strängt nödvändigt men som kan förlängas,

150

SOU 2023:22

Lagring och tillgång till uppgifter i syfte att bekämpa brott

en generell och odifferentierad lagring av ip-adresser som har till- delats källan för en internetanslutning, för en period som är tids- mässigt begränsad till vad som är strängt nödvändigt,

en generell och odifferentierad lagring av uppgifter om den fysiska identiteten för användare av elektroniska kommunikationsmedel, och

som tillåter att leverantörer av elektroniska kommunikationstjäns- ter genom ett beslut från behörig myndighet, vilket är föremål för effektiv domstolskontroll, åläggs att, under en begränsad tids- period, skyndsamt säkra (quick freeze) de trafik- och lokaliserings- uppgifter som dessa tjänsteleverantörer har tillgång till,

förutsatt att denna lagstiftning, genom klara och precisa regler, säker- ställer att lagringen av uppgifterna i fråga iakttar tillämpliga mate- riella och formella villkor, och att de berörda personerna förfogar över effektiva garantier mot riskerna för missbruk (p. 67 i domen).

Domstolen bemötte den hänskjutande domstolens uppfattning att endast en allmän lagring av trafik- och lokaliseringsuppgifter gör det möjligt att, på ett effektivt sätt, bekämpa grov brottslighet och erinrade bl.a. om att e-dataskyddsdirektivet inte utgör hinder för en generell lagring av identitetsuppgifter om personer i syfte att be- kämpa brottslighet i allmänhet. Domstolen uttalade också bl.a. att det inte finns något hinder för en nationell lagstiftning som syftar till att bekämpa grov brottslighet, enligt vilken förvärv av elektroniska kom- munikationsmedel, såsom ett förbetalt sim-kort, förutsätter kontroll av officiella handlingar som visar köparens identitet och att säljaren registrerar den information som följer därav, varvid säljaren i före- kommande fall är skyldig att ge behöriga nationella myndigheter till- gång till dessa uppgifter (p. 72 i domen).

Domstolen påtalade vidare när det gäller riktad lagring att med- lemsstaterna bl.a. kan vidta lagringsåtgärder avseende personer som är föremål för utredning eller andra aktuella övervakningsåtgärder eller som förekommer i det nationella kriminalregistret på grund av en tidigare fällande dom för allvarliga brott som kan vara en indika- tion på att det föreligger en hög återfallsrisk (p. 78 i domen). En rik- tad lagringsåtgärd kan även grundas på ett geografiskt kriterium, såsom bland annat den genomsnittliga graden av brottslighet i ett geo- grafiskt område, utan att det nödvändigtvis finns några konkreta in-

151

Lagring och tillgång till uppgifter i syfte att bekämpa brott

SOU 2023:22

dikationer på att allvarliga brott ska förberedas eller begås i de be- rörda områdena. En riktad lagring som grundar sig på ett geografiskt kriterium är i princip inte av sådan art att den kan ge upphov till dis- kriminering, eftersom kriteriet avseende den genomsnittliga graden av allvarlig brottslighet i sig inte har något samband med potentiellt diskriminerande omständigheter (p. 80 i domen).

Domstolen uttalade att det inte kan uteslutas att andra objektiva och icke-diskriminerande kriterier än ett personligt eller geografiskt kriterium kan beaktas för att genomföra en riktad lagring av trafik- och lokaliseringsuppgifter. Det ankommer på medlemsstaterna och inte på EU-domstolen att identifiera sådana kriterier. Eventuella svå- righeter att exakt fastställa i vilka situationer och under vilka villkor en riktad lagring kan utföras kan i vilket fall som helst inte motivera att medlemsstaterna gör ett undantag till huvudregel genom att före- skriva en generell och odifferentierad lagring av trafik- och lokaliser- ingsuppgifter (p. 83 och 84 i domen).

Vad gäller skyndsam lagring av trafik- och lokaliseringsuppgifter kan endast bekämpningen av grov brottslighet, och i ännu högre grad, skyddet av den nationella säkerheten, motivera detta allvarliga ingrepp (p. 87 i domen). En sådan lagringsåtgärd kan utsträckas till uppgifter om andra personer än dem som t.ex. misstänks ha begått ett grovt brott, bl.a. personer som ett offer har haft kontakt med genom sina elektroniska kommunikationsmedel, innan en handling som utgör ett allvarligt hot mot den allmänna säkerheten eller ett allvarligt brott har begåtts. Ett skyndsamt säkrande kan också ut- sträckas till att avse geografiska områden (p. 88–90 i domen). Ett skyndsamt säkrande av uppgifter kan förordnas redan i första skedet av en utredning av ett allvarligt hot mot den allmänna säkerheten eller av ett eventuellt grovt brott (p. 91 i domen).

Inte ens de positiva skyldigheter för medlemsstaterna som avser införande av bestämmelser som möjliggör en effektiv bekämpning av brott, kan medföra att det anses motiverat med en lagstiftning om lagring av praktiskt taget hela befolkningens trafik- och lokaliserings- uppgifter, utan att det finns ett, åtminstone indirekt, samband mellan de berörda personerna och det eftersträvade målet (p. 95 i domen).

Domstolen klargjorde, efter ett påstående från den danska reger- ingen, att de nationella brottsbekämpande myndigheterna inom ramen för straffrättsliga förfaranden, inte kan få tillgång till trafik- och loka- liseringsuppgifter som har lagrats i syfte att skydda den nationella

152

SOU 2023:22

Lagring och tillgång till uppgifter i syfte att bekämpa brott

säkerheten mot ett verkligt och aktuellt eller förutsebart hot. Annars skulle förbudet mot en generell och odifferentierad lagring av upp- gifter i syfte att bekämpa allvarlig brottslighet förlora sin ändamåls- enliga verkan (p. 100 i domen).

6.3.6SpaceNet-domen

Den 20 september 2022 meddelade EU-domstolen dom i de förenade målen C-793/19 och C-794/19 (SpaceNet-domen) angående en be- gäran om förhandsavgörande från Federala högsta förvaltningsdom- stolen i Tyskland.

SpaceNet AG och Telekom Deutschland GmbH är tillhandahållare av bl.a. allmänt tillgängliga internetanslutningstjänster i Tyskland. Bolagen väckte var för sig talan och bestred skyldigheten i tysk lag- stiftning att lagra uppgifter om sina kunders telekommunikations- trafik fr.o.m. den 1 juli 2017.

Förvaltningsdomstolen i Köln biföll de båda bolagens talan. Domarna överklagades till den Federala högsta förvaltningsdomstolen i Tyskland, som beslutade att hänskjuta frågan till EU-domstolen.

Lagringsskyldighetens omfattning i Tyskland

Tyskland har anpassat sin lagstiftning om datalagring till EU-dom- stolens tidigare praxis och har en reglering som påminner om den svenska. Lagringstiderna är 10 veckor för trafikuppgifter och 4 veckor för lokaliseringsuppgifter. Den tyska lagringsskyldigheten föreskriver följande:

1.i samband med tillhandahållandet av allmänt tillgängliga telefoni- tjänster, inklusive kommunikation via sms, multimediameddelande eller liknande meddelande samt samtal som inte besvaras eller når fram ska följande uppgifter lagras:

a)telefonnumret eller något annat identifikationsnummer för det uppringande abonnemanget, det uppringda abonnemanget samt för om- och vidarekopplingar,

153

Lagring och tillgång till uppgifter i syfte att bekämpa brott

SOU 2023:22

b)datum och klockslag då kommunikationen inleddes och avslu- tades eller – om det rör sig om kommunikation via sms, multi- mediameddelande eller liknande meddelande – tidpunkter för sändande och mottagande av meddelandet, med uppgift om tids- zon,

c)uppgifter om vilken tjänst som använts, i de fall då det är möj- ligt att använda olika tjänster inom ramen för telefonitjänsten,

d)om det rör sig om mobiltelefonitjänster dessutom

e)det internationella identifikationsnumret för mobilabonnenter till det uppringande och det uppringda abonnemanget,

f)det internationella identifikationsnumret för den uppringande och den uppringda terminalutrustningen,

g)datum och klockslag för tjänstens första aktivering, med upp- gift om tidszon, när tjänsten har betalats på förhand,

h)beteckningar på de celler som användes via det uppringande och det uppringda abonnemanget i början av kommunikationen,

i)om det rör sig om internettelefonitjänster dessutom ip-adres- serna till det uppringande och det uppringda abonnemanget samt tilldelade identifieringsnummer, och

j)i samband med tillhandahållandet av allmänt tillgängliga inter- netanslutningstjänster ska följande uppgifter lagras:

k)den ip-adress som tilldelats abonnenten för internetanvändning,

l)en tydlig identifiering av den förbindelse som möjliggör inter- netanslutning, samt det tilldelade identifieringsnumret,

m)datum och klockslag då internetanvändningen på den tilldelade ip-adressen inleddes och avslutades, med uppgift om tidszon,

n)vid mobilanvändning, beteckningen på de celler som användes i början av internetanslutningen.

Lagringsskyldigheten omfattar inte kommunikationens innehåll, upp- gifter om besökta webbplatser, uppgifter om e-posttjänster eller upp- gifter som avser kommunikation till eller från vissa abonnemang som tillhör personer, myndigheter och organisationer inom den sociala eller kyrkliga sfären.

154

SOU 2023:22

Lagring och tillgång till uppgifter i syfte att bekämpa brott

Tolkningsfrågan

Ska artikel 15 i e-dataskyddsdirektivet, jämförd med dels artiklarna 7, 8 och 11 och artikel 52.1 i stadgan, dels artikel 6 i stadgan och artikel 4 i fördraget om Europeiska unionen, tolkas så, att den utgör hinder för en nationell lagstiftning som ålägger operatörer av allmänt till- gängliga elektroniska kommunikationstjänster att lagra trafik- och lokaliseringsuppgifter avseende slutanvändare av nämnda tjänster, när denna skyldighet inte villkoras av särskilda skäl i fråga om geo- grafiska, tidsmässiga eller territoriella aspekter och med det innehåll som den tyska regleringen har (p. 39 i domen).

Domstolens bedömning

Domstolen hänvisade i stora delar till den praxis som finns när det gäller lagring av och tillgång till trafik- och lokaliseringsuppgifter. Domstolen erinrade om att lagring av trafik- och lokaliseringsupp- gifter i sig utgör ett ingrepp i de grundläggande rättigheterna till respekt för privatlivet och skydd av personuppgifter, oberoende av om de uppgifter som avser privatlivet är av känslig art eller ej eller om de berörda har fått utstå eventuella olägenheter på grund av in- greppet samt oberoende av om de lagrade uppgifterna senare kom- mer eller inte kommer att användas (p. 60 i domen). Trafik- och loka- liseringsuppgifter kan avslöja information om ett stort antal aspekter av de berörda personernas privatliv som gör det möjligt att upprätta en profil för de berörda personerna, och denna information är lika känslig ur integritetssynpunkt som själva innehållet i kommunika- tionerna (p. 61 i domen). Vad gäller den effektiva bekämpningen av brott ska det beaktas att det av artikel 7 i stadgan kan följa positiva skyldigheter för statsmakten att vidta rättsliga åtgärder för att skydda bl.a. privatlivet och familjelivet. Det är därför, enligt domstolen, nöd- vändigt att göra en avvägning mellan de olika legitima intressen och rättigheter som är i fråga och att inrätta en rättslig ram som möjlig- gör denna avvägning (p. 65 i domen).

Domstolen uttalade att även om den tyska lagstiftningen undan- tar innehållet i kommunikationerna och uppgifter om de webbplat- ser som besökts från lagringsskyldigheten och endast föreskriver lagring av den cellidentifikationskod som använts i början av kom- munikationen, så är lagringsskyldigheten i princip densamma som

155

Lagring och tillgång till uppgifter i syfte att bekämpa brott

SOU 2023:22

gällde de nationella bestämmelser som var i fråga i de mål som av- gjordes La Quadrature du Net-domen (p. 78 i domen).

Domstolen konstaterade att även om den tyska lagstiftning inte omfattar information om vilka webbplatser som besökts, föreskriver den icke desto mindre att ip-adresserna ska lagras. Eftersom ip- adresser kan användas för att bl.a. på ett uttömmande sätt kartlägga en internetanvändares hela klickström, och därmed dennes online- aktivitet, är det emellertid möjligt att med användning av dessa upp- gifter upprätta en detaljerad profil för internetanvändaren. Den lagring och analys av dessa ip-adresser som krävs för en sådan kartläggning utgör således allvarliga ingrepp i internetanvändarens grundläggande rättigheter enligt artiklarna 7 och 8 i stadgan (p. 79 i domen).

Domstolen konstaterade vidare att endast 1 300 enheter fanns upptagna i den förteckning över personer, myndigheter eller organi- sationer av social eller kyrklig karaktär vilkas uppgifter om elektro- nisk kommunikation inte lagras samt att det är uppenbart att detta motsvarar en begränsad andel av de användare i Tyskland vilkas upp- gifter omfattas av den tyska lagringsskyldigheten. Sålunda lagras upp- gifter om användare som omfattas av tystnadsplikt, såsom advokater, läkare och journalister (p. 82 i domen).

Domstolen uttalade vidare att den tyska lagringsskyldigheten berör nästan alla personer som ingår i befolkningen, även om dessa inte, ens indirekt, befinner sig i en situation som kan leda till straff- rättsliga påföljder. Lagringsskyldigheten innebär att merparten av alla trafik- och lokaliseringsuppgifter ska lagras, generellt och utan diffe- rentiering i fråga om person, tidpunkt eller geografisk plats, utan krav på skäl. En sådan lagringsskyldighet kan inte anses utgöra en riktad lagring av uppgifterna, i motsats till vad den tyska regeringen har hävdat (p. 83 och 84 i domen).

Domstolen angav att lagringstiden för uppgifterna förvisso är en bland andra relevanta faktorer för att avgöra om unionsrätten utgör hinder mot en generell och odifferentierad lagring samt att den tyska lagstiftningen föreskriver en betydligt kortare lagringstid än de natio- nella lagstiftningar som prövats i Tele2-domen, La Quadrature du Net-domen och An Garda Síochána-domen (p. 85 och 86 i domen). Enligt domstolen är en lagring av trafik- eller lokaliseringsuppgifter dock alltid av allvarlig art, oberoende av lagringstidens längd och mäng- den eller arten av de uppgifter som lagras, för det fall att dessa sam- lade uppgifter gör det möjligt att dra mycket specifika slutsatser om

156

SOU 2023:22

Lagring och tillgång till uppgifter i syfte att bekämpa brott

den eller de berörda personernas privatliv (p. 88 i domen). Enligt den tyska lagstiftningen kan den mängd trafik- och lokaliseringsupp- gifter som lagrats under tio respektive fyra veckor göra det möjligt att dra mycket precisa slutsatser om privatlivet för de personer vilkas uppgifter lagrats, såsom deras vanor i vardagslivet, deras stadigvarande och tillfälliga uppehållsorter, deras dagliga förflyttningar och förflytt- ningar i övrigt, de aktiviteter de utövar, deras sociala relationer och de umgängeskretsar de rör sig i, och i synnerhet göra det möjligt att upprätta en profil för dessa personer (p. 90 i domen).

Den hänskjutande domstolen framhöll att det, på grund av den bristande överensstämmelsen mellan punkterna 155 och 168 i La Quadrature du Net-domen, råder osäkerhet om vad som är förenligt med unionsrätten när det gäller lagring av ip-adresser. Oklarheten består enligt den hänskjutande domstolen i huruvida det för sådan lagring krävs att skälet för lagringen ska vara kopplat till målet att skydda den nationella säkerheten, bekämpa allvarlig brottslighet eller att förhindra allvarliga hot mot den allmänna säkerheten, eller om sådan lagring är tillåten även utan konkret skäl och att kraven avse- ende nämnda mål endast begränsar användningen av de lagrade upp- gifterna. EU-domstolen menade dock att några sådana motsättningar inte finns i La Quadrature du Net-domen eftersom det av denna klart framgår att det endast är bekämpning av grov brottslighet och förebyggande av allvarliga hot mot allmän säkerhet som, i likhet med skyddet av den nationella säkerheten, kan motivera en generell lagring av ip-adresser som tilldelats källan till en internetanslutning, obero- ende av om de berörda personerna har en, åtminstone indirekt, kopp- ling till de eftersträvade målen.

EU-domstolen påpekade också att domarna från Europadom- stolen av den 25 maj 2021, Big Brother Watch m.fl. mot Förenade- kungariket och Centrum för Rättvisa mot Sverige, som vissa reger- ingar vid förhandlingen åberopade till stöd för att Europakonventionen inte utgör hinder för nationella bestämmelser som i huvudsak före- skriver en generell och odifferentierad lagring av trafik- och loka- liseringsuppgifter, inte påverkar den tolkning av artikel 15.1 i e-data- skyddsdirektivet som följer av resonemanget i den nu aktuella domen. I dessa domar var det nämligen fråga om massavläsning av uppgifter avseende internationell kommunikation. Europadomstolen uttalade sig i nämnda domar således inte om huruvida det var förenligt med Europakonventionen att generellt och odifferentierat lagra trafik-

157

Lagring och tillgång till uppgifter i syfte att bekämpa brott

SOU 2023:22

och lokaliseringsuppgifter på det nationella territoriet eller att göra en omfattande avläsning av dessa uppgifter i syfte att förebygga, upptäcka och utreda allvarliga brott. Under alla omständigheter syftar artikel 52.3 i stadgan till att säkerställa att rättigheterna i stadgan och motsvarande rättigheter enligt Europakonventionen stämmer överens med varandra, enligt vad som är påkallat, utan att undergräva unions- rättens och EU-domstolens autonomi. Detta innebär, enligt EU- domstolen, att det endast är i egenskap av en lägsta skyddsnivå som de motsvarande rättigheterna i Europakonventionen ska beaktas vid tolkningen av stadgan.

Domslut

Domstolen beslutade följande:

Artikel 15.1 i e-dataskyddsdirektivet, jämförd med artiklarna 7, 8, 11 och 52.1 i stadgan, ska tolkas på så sätt

att den utgör hinder för nationella lagstiftningsåtgärder som i före- byggande syfte, för att bekämpa grov brottslighet och förhindra all- varliga hot mot allmän säkerhet, föreskriver att det ska ske en gene- rell och odifferentierad lagring av trafik- och lokaliseringsuppgifter,

att den inte utgör hinder för lagstiftning

som, för att skydda nationell säkerhet, tillåter att leverantörer av elektroniska kommunikationstjänster åläggs att på ett generellt och odifferentierat sätt lagra trafik- och lokaliseringsuppgifter i situationer där den berörda medlemsstaten står inför ett allvarligt hot mot nationell säkerhet som har visat sig vara verkligt och aktuellt eller förutsebart, varvid beslutet om åläggande av nämnda lagringsskyldighet måste kunna bli föremål för effektiv kontroll antingen av en domstol eller av en oberoende myndighet, vars avgörande har bindande verkan, i syfte att kontrollera om någon av dessa situationer föreligger och att de villkor och garantier som måste ställas upp är uppfyllda, och varvid åläggandet endast får meddelas för en period som måste vara tidsmässigt begränsad till vad som är strängt nödvändigt, men som kan förlängas om hotet fortfarande kvarstår,

158

SOU 2023:22

Lagring och tillgång till uppgifter i syfte att bekämpa brott

som, för att skydda nationell säkerhet, bekämpa grov brottslighet och förhindra allvarliga hot mot allmän säkerhet, föreskriver en riktad lagring av trafik- och lokaliseringsuppgifter vilken, på grund- val av objektiva och icke-diskriminerande faktorer, är avgränsad genom de kategorier av personer som berörs eller genom ett geo- grafiskt kriterium, för en period som är tidsmässigt begränsad till vad som är strängt nödvändigt men som kan förlängas,

som, för att skydda nationell säkerhet, bekämpa grov brottslighet och förhindra allvarliga hot mot allmän säkerhet, föreskriver en generell och odifferentierad lagring av ip-adresser som har tilldelats källan till en internetanslutning, för en period som är tidsmässigt begränsad till vad som är strängt nödvändigt,

som, för att skydda nationell säkerhet, bekämpa brottslighet och skydda allmän säkerhet, föreskriver en generell och odifferentie- rad lagring av uppgifter om identiteten beträffande användare av elektroniska kommunikationsmedel, och

som, för att bekämpa grov brottslighet eller, i ännu högre grad, skydda nationell säkerhet, tillåter att leverantörer av elektroniska kommunikationstjänster genom ett beslut från behörig myndig- het, vilket ska kunna bli föremål för en effektiv domstolskontroll, åläggs att, under en begränsad tidsperiod, skyndsamt säkra de trafik- och lokaliseringsuppgifter som dessa tjänsteleverantörer har till- gång till,

förutsatt att denna lagstiftning, genom klara och precisa regler, säker- ställer att lagringen av uppgifterna i fråga iakttar tillämpliga materiella och formella villkor, och att de berörda personerna förfogar över effektiva garantier mot riskerna för missbruk.

6.4Europadomstolens praxis

Europadomstolen har i maj 2021 meddelat två domar som gäller av- lyssning av mängddata (eng. bulk interception) i underrättelseverk- samhet. Domarna redovisas i korthet nedan.

159

Lagring och tillgång till uppgifter i syfte att bekämpa brott

SOU 2023:22

6.4.1Domen (2021-05-25) i målet Big Brother Watch m.fl. mot Storbritannien

I Storbritannien regleras avlyssning av mängddata i underrättelse- verksamhet i RIPA-regleringen från år 2020. I det aktuella målet lämnade sökandena in ett klagomål mot bl.a. omfattningen och ut- bredningen av de övervakningsprogram som drivs av den brittiska regeringen enligt tidigare gällande RIPA och att informationen dela- des med andra stater. Domstolen övervägde om detta system och bestämmelserna i RIPA var förenliga med Europakonventionen. De tre huvudsakliga frågorna som domstolen behandlade var a) inhämt- ning av mängddata, b) inhämtning av uppgifter från leverantörer av kommunikationstjänster och c) delning av underrättelseinformation med utländska stater.

Domstolen, i stor sammansättning (eng. Grand Chamber), ansåg att inhämtning av mängddata i stor utsträckning kan motiveras av medlemsstaterna utifrån att de måste kunna skydda sig mot poten- tiella hot mot den nationella säkerheten. Om en stat implementerar en strategi för inhämtning av mängddata, så måste den dock se till att systemet innehåller fullständiga skyddsåtgärder (eng. end-to-end safeguards) mot den potentiella risken för missbruk. Domstolen bedömde att skyddsåtgärderna var otillräckliga och den brittiska regleringen ansågs därför utgöra en kränkning av artikel 8 i Europa- konventionen.

Bristerna kan sammanfattas som frånvaro av fristående organ för beviljande av åtgärderna, avsaknad av kategorier av sökord i tillstån- det och avsaknad av sökord kopplade till enskilda personer i till- ståndet. Bristerna gällde inte bara inhämtning av innehållsuppgifter utan även metadata. Bristerna kunde inte vägas upp av att det fanns en oberoende och effektiv tillsyn och ett robust rättsmedel.

Domstolen fann vidare att ingrepp i skyddet av journalistiska källor inte kan vara förenligt med artikel 10 i konventionen om det inte är motiverat av ett övergripande krav i allmänhetens intresse. Och när det är motiverat med sådant ingrepp så måste lämpliga förfaranden och skyddsåtgärder införas. Sådana skyddsåtgärder bör inkludera kravet på att söka tillstånd från en domstol eller annat oberoende organ när en begäran innehåller specifika söktermer kopp- lade till en journalist eller till journalistiskt material. Domstolen an-

160

SOU 2023:22

Lagring och tillgång till uppgifter i syfte att bekämpa brott

såg att det saknades lämpliga skyddsåtgärder och att det således hade skett ett åsidosättande av yttrandefriheten enligt artikel 10.

I målet behandlades också bl.a. frågan om inhämtning av upp- gifter från leverantörer av kommunikationstjänster och huruvida till- gång till sådana uppgifter utgjorde ett brott mot artiklarna 8 och 10 i Europakonventionen. Domstolen ansåg att tillgången till sådan in- formation bör begränsas till att bekämpa ”allvarlig brottslighet” och betonade behovet av att vidta lämpliga skyddsåtgärder vid åtkomst och behandling av sådana uppgifter. Domstolen fann att det hade skett ett intrång i rätten till privatliv enligt artikel 8 och rätten till yttrandefrihet enligt artikel 10.

6.4.2Domen (2021-05-25) i målet Centrum för Rättvisa mot Sverige

Den huvudsakliga frågan i målet var om den svenska lagstiftningen om signalspaning i försvarsunderrättelseverksamhet strider mot rätten till skydd för privatliv enligt artikel 8 och rätten till ett effektivt rätts- medel enligt artikel 13 i Europakonventionen.

Europadomstolen i stor sammansättning fann att den svenska lag- stiftningen om signalspaning i försvarsunderrättelseverksamhet i vissa delar var i strid med artikel 8 i Europakonventionen. Europadom- stolen uttalade att signalspaning i syfte att värna den nationella säker- heten inte i sig står i strid med artikel 8 i Europakonvention. Där- emot begränsas staternas bedömningsmarginal då det vid användandet av signalspaning ställs krav på nationella rättssäkerhetsgarantier till skydd för den personliga integriteten.

Europadomstolen framhöll att lagstiftningen innehåller tydliga regler avseende vilka syften som kan rättfärdiga signalspaning och hur förfarandet går till. Däremot identifierade domstolen följande tre brister i det svenska systemet: avsaknad av en tydlig reglering om när inhämtat material som inte innehåller personuppgifter ska för- störas, avsaknad av tydliga riktlinjer i signalspaningslagstiftningen eller annan relevant lagstiftning som anger att den personliga integriteten ska beaktas när beslut fattats om att dela insamlat material med andra stater samt avsaknad av en effektiv efterhandskontroll som ska utföras på begäran av en enskild. Europadomstolen fann därför att Sverige agerat utanför sin bedömningsmarginal och att det således skett en kränkning av artikel 8.

161

Lagring och tillgång till uppgifter i syfte att bekämpa brott

SOU 2023:22

6.5Internationell utblick

Såvitt vi har kunnat utröna har endast ett fåtal stater inom EU infört regler om generell och odifferentierad lagring i syfte att skydda den nationella säkerheten och om riktad lagring i syfte att bekämpa grov brottslighet. Nedan redovisas vad som gäller i Danmark, Frankrike och Belgien.

6.5.1Danmark

I Danmark ändrades reglerna om datalagring som en följd av La Quadrature du Net-domen. Med de nya reglerna gäller en tvådelad ordning för datalagring, en riktad lagring samt en generell och odiffe- rentierad lagring. Lagändringarna trädde i kraft den 30 mars 2022.

För det första infördes en ordning med personbestämd och geo- grafiskt riktad lagring för att bekämpa grov brottslighet. Med grov brottslighet avses bl.a. lagöverträdelser som kan straffas med fäng- else i tre år eller mer och vissa andra uppräknade brott.

För det andra infördes en ordning med generell och odifferentie- rad lagring i syfte att skydda den nationella säkerheten.

Riktad lagring

Polismyndigheten (Rigspolitiet) får förelägga tillhandahållare av elek- troniska kommunikationsnät- och tjänster (nedan tillhandahållare) att företa riktad lagring beträffande personer och geografiska platser (målrettet registrering og opbevaring).

Den riktade personbestämda lagringen kan gälla personer som dömts för grova brott. Skyldigheten att lagra uppgifter om personen ska gälla i tre, fem eller tio år beroende på strafflatituden på det be- gångna brottet. Lagringstiden räknas i regel från frigivning. Efter en bedömning kan dock lagring ske redan under avtjänande av straff. Uppgifterna ska lagras i ett år från kommunikationen/insamlingen. Dessutom kan lagringen avse personer som varit föremål för hemlig övervakning eller avlyssning av elektronisk kommunikation (tele- oplysning og telefonaflytning). Lagringsskyldigheten ska gälla i ett år från det att tvångsmedelsanvändningen avslutats och uppgifterna

162

SOU 2023:22

Lagring och tillgång till uppgifter i syfte att bekämpa brott

ska lagras i ett år från kommunikationen/insamlingen (786 b § rets- plejeloven).

Den geografiskt riktade lagringen får avse uppgifter från de delar av tillhandahållarens nät som är nödvändigt för att täcka områden på 3 gånger 3 kilometer. Sådan lagring får ske antingen om antalet anmälningar om grova brott begångna i området uppgår till minst 1,5 gånger genomsnittet för landet under de senaste tre åren eller om antalet medborgare dömda för grova brott i området uppgår till minst 1,5 gånger genomsnittet för landet under de senaste tre åren. Upp- gifter om vilka områden som omfattas av sådan lagring ska inte vara offentliga.

Polismyndigheten får därutöver få förelägga tillhandahållare en geografiskt riktad lagring som avser särskilt säkerhetskänsliga platser, t.ex. kungahusets residens, statsministerbostaden, ambassader, polisens fastigheter, kriminalvårdsanstalter, trafikknytpunkter, militära om- råden och offentligt godkända flygplatser. Uppgifterna ska lagras i ett år från kommunikationen/insamlingen (786 c § retsplejeloven).

Slutligen får riktad lagring användas beträffande kommunika- tionsutrustningar, personer eller bestämda områden om det finns anledning att anta att det finns en anknytning till grov brottslighet (riktad lagring på konkreta grunder). Ett sådant föreläggande om rik- tad lagring kräver domstolsbeslut. Vid geografiskt riktad lagring är storleken på området beroende av hur konkret anknytningen till grov brottslighet är. Är det fråga om en förestående gängkonflikt eller ett terrorbrott kan det vara fråga om mycket stora områden, såsom en landsdel. Domstolen ska ta ställning till under vilken tid lagrings- skyldigheten ska gälla. Den tiden ska vara så kort som möjligt och högt sex månader åt gången. Uppgifterna ska lagras i ett år från kom- munikationen/insamlingen (786 d § retsplejeloven). Uppgifter om vilka personer, enheter eller områden som omfattas av sådan lagring ska inte vara offentliga.

Generell och odifferentierad lagring

I de fall det föreligger tillräckligt konkreta omständigheter som ger anledning att anta att Danmark står inför ett allvarligt hot mot den nationella säkerheten som kan antas vara reellt, aktuellt eller förut- sebart får en generell och odifferentierad lagring ske. Justitieministern

163

Lagring och tillgång till uppgifter i syfte att bekämpa brott

SOU 2023:22

har bemyndigats att, efter förhandling med handels- och industri- ministern (erhvervsministern), besluta om sådan lagring (genom be- kendtgørelse). Beslutet ska grundas på en helhetsbedömning, där bl.a. Center for Terroranalyses årliga ”Vurderingen af Terrortruslen mod Danmark” ska beaktas. Lagringsskyldigheten ska fastställas för en period om ett år åt gången. Uppgifterna ska lagras i ett år från kommunikationen/insamlingen (786 e § retsplejeloven).

Ip-adresser och nummerupplysningsuppgifter m.m.

Lagring ska ske av ip-adresser, portnummer och tidpunkt för tilldel- ningen. Uppgifterna ska lämnas ut inte enbart i syfte att bekämpa grov brottslighet. Lagringen ska ske i ett år från inhämtningen. Justitie- ministern får, efter samråd med klimat-, energi- och försörjnings- ministern, besluta regler om lagring och verifiering av nummerupplys- ningsuppgifter. Nummerupplysningsdatabasen ska innehålla uppgifter om unikt ID och eventuella uppgifter om användaren, i syfte att stödja polisens möjligheter att identifiera en användare av ett visst kom- munikationsmedel (se 786 f, 786 g, 786 h §§ retsplejeloven).

6.5.2Frankrike

Den 21 april 2021 fattade Högsta förvaltningsdomstolen i Frankrike (Conseil d’État), efter La Quadrature Du Net-domen, beslut om huruvida de franska reglerna om datalagring var i överensstämmelse med EU-rätten.

Domstolen beslutade att det befintliga hotet mot den nationella säkerheten för närvarande motiverar en generell lagring av metadata. Domstolen konstaterade vidare att möjligheten att få tillgång till sådana uppgifter för att bekämpa grov brottslighet för närvarande gör det möjligt att säkerställa de konstitutionella kraven för att för- hindra brott mot lag och ordning och spårning av gärningsmän. Dom- stolen beordrade dock regeringen att regelbundet ompröva hotnivån i Frankrike och som kan motivera en generell lagring av uppgifter och att se till att underrättelsetjänsternas tillgång till dessa uppgifter prövas av en oberoende myndighet.

164

SOU 2023:22

Lagring och tillgång till uppgifter i syfte att bekämpa brott

Enligt fransk lag ska teleoperatörer lagra uppgifter om sina an- vändares metadata i syfte att bekämpa brottslighet och terrorism. Uppgifterna kan indelas i följande tre kategorier:

1.Identitetsuppgifter, som gör det möjligt att identifiera använda- ren av ett elektroniskt kommunikationssystem (t.ex. för- och efternamn kopplade till ett telefonnummer eller den ip-adress genom vilken en användare är ansluten till internet).

2.Trafikuppgifter, som spårar datum, tid och mottagare av elek- tronisk kommunikation, eller en förteckning över besökta webb- platser.

3.Platsdata som gör det möjligt att ”märka” en enhet med den bas- station som den är ansluten till.

Vid sin kontroll av att genomförandet av EU-rätten inte äventyrar de franska konstitutionella kraven undersökte Högsta författnings- domstolen det franska regelverkets överensstämmelse med EU-rätten. Domstolen klargjorde inledningsvis omfattningen av sin undersökning.

Åena sidan vägrade domstolen att bedöma om EU:s myndigheter, särskilt EU-domstolen, hade överskridit sina befogenheter. Å andra sidan erinrade domstolen om att den franska konstitutionen fortfa- rande är den högsta normen inom det franska nationella rättssyste- met. Följaktligen var domstolen tvungen att se till att tillämpningen av EU-rätten, såsom den har fastställts av EU-domstolen, i praktiken inte äventyrar franska konstitutionella krav som inte garanteras på ett likvärdigt sätt av EU-rätten.

Högsta författningsdomstolen konstaterade att de konstitutionella kraven på att skydda nationens grundläggande intressen, förhindra brott mot lag och ordning, bekämpa terrorism och söka efter brotts- förövare inte åtnjuter ett skydd i EU-rätten som motsvarar det som garanteras i den franska konstitutionen. Högsta författningsdom- stolen var därför tvungen att se till att de begränsningar som EU- domstolen har infört inte äventyrar dessa konstitutionella krav. Dom- stolen konstaterade att den generella lagringen av uppgifter, som för närvarande åläggs aktörerna enligt fransk lag, faktiskt är motiverad av ett hot mot den nationella säkerheten, i enlighet med EU-dom- stolens krav. EU-domstolen kräver att förekomsten av ett sådant hot prövas om med jämna mellanrum. Domstolen beslutade att den gene- rella skyldigheten att lagra uppgifter för andra ändamål än den natio-

165

Lagring och tillgång till uppgifter i syfte att bekämpa brott

SOU 2023:22

nella säkerheten, särskilt lagföring av brott, är olaglig (med undantag för mindre känsliga uppgifter, såsom civilstånd, ip-adress, konton och betalningar). Domstolen konstaterade att den av EU-domstolen föreslagna lösningen med en riktad lagring för ändamålet lagföring av brott varken är möjlig i praktiken eller operativt effektiv. Den metod för ”skyndsamt säkrande” som tillåts enligt EU-rätten kan dock grundas på de uppgifter som generellt lagras för nationella säkerhetsändamål och därmed användas för lagföring av brott. När det gäller EU-dom- stolens åtskillnad mellan grov brottslighet och vanlig brottslighet erinrade Högsta författningsdomstolen om att proportionalitetsprin- cipen medför att användningen av metadata är begränsad till lagför- ing av brott av tillräckligt allvarlig karaktär.

När det slutligen gäller tillgången till lagrade uppgifter i underrät- telsesyfte konstaterade Högsta författningsdomstolen att det franska regelverket inte är tillräckligt eftersom yttranden från den nationella kommissionen för kontroll av underrättelseteknik (CNCTR), som måste yttra sig innan ett godkännande ges, inte är bindande. Den franska lagstiftningen bör därför ändras på denna punkt.

Högsta författningsdomstolen beordrade premiärministern att inom sex månader ändra regelverket för att uppfylla dessa krav.

6.5.3Belgien

I Belgien har ny lagstiftning om datalagring införts. Reglerna gäller såväl riktad lagring för bekämpning av allvarlig brottslighet som gene- rell och odifferentierad lagring i syfte att skydda den nationella säkerheten.

Enligt regleringen får riktad lagring ske baserat på två olika geo- grafiska kriterier. Det första kriteriet är baserat på kriminalstatistik per rättsligt distrikt respektive poliszoner (det finns 12 sådana rätts- liga distrikt i Belgien.) För att trafik- och lokaliseringsuppgifter ska få lagras i ett sådant distrikt måste i genomsnitt tre allvarliga brott ha begåtts per 1 000 invånare och år baserat på genomsnittet för de tre föregående kalenderåren. Om ett sådant antal allvarliga brott bara förekommer i en del av distriktet (i en poliszon) får uppgifter lagras inom den zonen. Lagringstiden varierar mellan sex månader och ett år beroende på ”brottslighetens nivå”, dvs. hur många allvarliga brott som begåtts inom distriktet eller zonen. Det finns inget hinder mot

166

SOU 2023:22

Lagring och tillgång till uppgifter i syfte att bekämpa brott

att hela Belgiens territorium omfattas av en sådan lagringsskyldighet, om kriterierna i varje distrikt är uppfyllda. Den riktade lagringen i Belgien omfattar för närvarande hela landet.

Det andra geografiska kriteriet avser strategiska platser, såsom hamnar, flygplatser, tågstationer, polisstationer, fängelser, kraftverk, parlamentet och det kungliga slottet. Ett beslut om riktad lagring gäller i ett år.

En generell och odifferentierad lagringsskyldighet träder i kraft när hotnivån är på nivå 3 på en 4-gradig skala. Uppgifterna ska lagras så länge hotnivån är på lägst nivå 3.

Lagringsskyldigheten gäller även för s.k. OTT-leverantörer (om sådana leverantörer, se avsnitt 9).

Lagändringarna trädde i kraft den 18 augusti 2022. Lagringsskyl- digheten avseende strategiska platser träder dock i kraft först den 1 januari 2027, om inte annat bestäms.

Det pågår för närvarande en rättsprocess om giltigheten av den belgiska datalagringsregleringen vid landets konstitutionsdomstol.

6.6Överväganden och förslag

6.6.1Lagring av uppgifter om abonnemang för att bekämpa brottslighet

Utredningens bedömning: Begreppet uppgift om abonnemang bör finnas kvar i författning och ha samma innebörd som i dag.

Utredningens förslag: Uppgifter om abonnemang som genereras och behandlas i tillhandahållarnas verksamhet som behövs för att identifiera en abonnent och registrerad användare ska lagras.

Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om vilka uppgifter som ska lagras.

Lagringstiden ska pågå fram till ett år efter det att abonnemanget upphörde att gälla. I fråga om tillfälliga identifierare bör lagrings- tiden räknas från det att tilldelningen av identifieraren upphörde hos användaren.

Uppgifter som omfattas av lagringsskyldigheten ska få be- handlas även för andra syften än brottsbekämpning.

167

Lagring och tillgång till uppgifter i syfte att bekämpa brott

SOU 2023:22

Begreppet uppgift om abonnemang

Som framgår av avsnitt 4 finns det inte någon definition av begreppet uppgift om abonnemang varken i EU-rätten eller i svensk rätt. Reger- ingen har, som också nämnts i avsnitt 4, uttalat att uppgifter om abonnemang som utgångspunkt är uppgifter som identifierar abon- nenten eller den registrerade användaren bakom ett visst nummer eller en viss adress, i motsats till uppgifter som redogör för hur num- ret eller adressen har använts.6

I Sverige anses begreppet uppgifter om abonnemang innefatta uppgifter om abonnentens nummer, namn, titel och adress samt uppgifter om exempelvis avtal och fakturering. Vidare anses fasta, dynamiska eller ip-adresser styrda genom NAT-teknik7, IMSI-num- mer och IMEI-nummer vara uppgifter om abonnemang när syftet med uppgiften är att identifiera ett abonnemang eller en abonnent.

EU-domstolen har, bl.a. i SpaceNet-domen, uttalat att EU-rätten inte utgör ett hinder mot lagstiftning som, för att skydda nationell säkerhet, bekämpa brottslighet och skydda allmän säkerhet, före- skriver en generell och odifferentierad lagring av uppgifter om iden- titeten beträffande användare av elektroniska kommunikationsmedel. EU-domstolen har dock en annan hållning när det gäller ip-adresser. Ip-adresser som tilldelats källan till en internetanslutning får endast lagras generellt och odifferentierat, för syftet att skydda nationell säkerhet, bekämpa grov brottslighet och förhindra allvarliga hot mot allmän säkerhet, för en tid som är tidsmässigt begränsad till vad som är strängt nödvändigt. Domstolen angav bl.a. följande. Eftersom ip- adresser kan användas för att bl.a. på ett uttömmande sätt kartlägga en internetanvändares hela klickström8, och därmed dennes online- aktivitet, är det emellertid möjligt att med användning av dessa upp- gifter upprätta en detaljerad profil för internetanvändaren. Den lagring och analys av dessa ip-adresser som krävs för en sådan kartläggning utgör således allvarliga ingrepp i internetanvändarens grundläggande rättigheter enligt artiklarna 7 och 8 i stadgan.9

6Se prop. 2018/19:86 s. 93. Jfr med prop. 2011/12:55 s. 101–102.

7NAT (Network Address Translation) en adressöversättningsteknik som tillåter flera an- vändare att dela på samma ip-adress. Se även PTSFS 2019:2 – Föreskrifter om vilka andra upp- gifter som ska lagras för att identifiera abonnent och registrerad användare vid användning av NAT-teknik.

8Detta ord används i den svenska översättning av punkt 79 i SpaceNet-domen.

9Se SpaceNet-domen p. 79.

168

SOU 2023:22

Lagring och tillgång till uppgifter i syfte att bekämpa brott

Med anledning av EU-domstolens uttalanden finns det skäl att överväga om vi i Sverige bör revidera vår uppfattning om vad som innefattas i begreppet abonnemangsuppgift och om ip-adresser kan innefattas i begreppet. Man kan vidare överväga om man i stället bör använda begreppet uppgift om fysisk identitet.

Ip-adresser kan förenklat beskrivas som en länk mellan å ena sidan en användares enhet (exempelvis en dator eller mobiltelefon) och å andra sidan den som vill kommunicera med enheten. Ip-adressen fyller två huvudsakliga funktioner. Den första funktionen är att identifiera en enhet inom ett nätverk, vilket är förutsättning för att kunna till- handahålla tjänsten och ta betalt för den från den som äger enheten eller låter andra bruka den. Den andra funktionen är att återge en- hetens placering inom ett nätverk för att enheten ska kunna kom- municera med andra enheter, vilket är en förutsättning för internet- trafik.10 En internetleverantör utgör i praktiken en länk mellan en användares privata nätverk och interna ip-adresser (ofta i form av en router som genererar ip-adresser för enheterna i ett hem) och inter- net. Extern kommunikation blir möjligt genom att användaren får en extern ip-adress av sin internetleverantör. I de flesta fall ändras ip-adressen från gång till annan när enheten kopplar upp sig mot inter- netleverantörens infrastruktur (dynamiska ip-adresser) och i andra fall, i regel mot extra avgift, kan enheten få en fast ip-adress.

En närmare analys av hur en ip-adress ska kategoriseras bör där- för göras med utgångspunkt från att en ip-adress har olika funk- tioner. Det bör därför göras en skillnad mellan 1) frågan om vem som vid viss tidpunkt innehaft en ip-adress, dvs. uppgift om en per- son, och 2) situationer när en myndighet begär uppgifter om kom- munikation kopplad till en viss ip-adress och därigenom bl.a. får kun- skap om vilken ip-adress som vid en viss tidpunkt kommunicerat med en annan ip-adress.

Isolerat säger en ip-adress, exempelvis 193.11.1.15, inte mer än de uppgifter som kopplas samman med numret (se avsnitt 9.3 för en mer utförligare beskrivning av ip-adress). Det väsentliga är således vad som kopplas till ip-adressen. Om en ip-adress kompletteras med bl.a. information om datapaket, spårbar tid, sändande och motta- gande ip-adress, portnummer11, överföringsprotokoll m.m. kan det ge

10Internet Protocol, Darpa Internet Program, Protocol Specification, september 1981, upp- daterad februari 2013, https://www.rfc-editor.org/info/rfc791. Hämtat den 4 april 2023.

11Portnummer är ett nummer som tilldelas för att identifiera en slutpunkt för anslutning och för att styra data till en specifik tjänst.

169

Lagring och tillgång till uppgifter i syfte att bekämpa brott

SOU 2023:22

information om kommunikationen, exempelvis att en enhet har varit i förbindelse med en annan enhet. Vem som vid en viss tidpunkt innehaft en ip-adress säger däremot inte något om kommunikationen. Enligt den nuvarande svenska lagringsskyldigheten ska användares ip-adress och andra uppgifter som är nödvändiga för att identifiera abonnent och registrerad användare lagras. Däremot ska uppgifter om kommunikation kopplade till en ip-adress inte lagras. Sådana upp- gifter får alltså inte lagras av tjänsteleverantörerna för syftet att be- kämpa brottslighet.

De tyska datalagringsbestämmelserna som var föremål för EU- domstolens prövning i SpaceNet-domen, innehöll ett uttryckligt för- bud mot lagring av uppgifter som avslöjar trafik till och från webb- platser.

Mot denna bakgrund synes EU-domstolen mena att det med hjälp av externa källor går att kartlägga en internetanvändares hela klick- ström, dvs hos andra än tillhandahållarna eftersom dessa inte fick lagra uppgifter som avslöjar trafik till och från webbplatser. Uttalan- det vore annars oförenlig med vad domstolen gav uttryck för i mål C-597/19 M.I.C.M (punkt 121). I denna dom uttalar domstolen att kännedom om en innehavare av en ip-adress normalt inte gör det möjligt att få kännedom om datum, tid, geografisk plats, varaktighet eller mottagare av den kommunikation som ägt rum. Domstolen klargjorde i M.I.C.M. även att ip-adresser inte ger någon informa- tion om kommunikationen och därmed inte heller om användarnas privatliv.

Vi anser att det är svårt att utläsa vad EU-domstolen syftar på i SpaceNet-domen när den gör gällande att en ip-adress, trots avsak- nad av andra uppgifter om trafik, kan användas för att kartlägga en internetanvändares klickström.

Hur ip-adresser ska bedömas har aktualiserats i ett pågående mål vid EU-domstolen, mål C-470/21, begäran om förhandsavgörande den 30 juli 2021 från den Högsta förvaltningsdomstolen i Frankrike. Den svenska regeringen har i ett yttrande i detta mål anfört som sin inställning att en uppgift om innehavare av en ip-adress i första hand är att betrakta som en uppgift om fysisk identitet. Regeringen an- förde också i yttrandet bl.a. följande.

Det är i domstolens praxis inte klarlagt huruvida uppgift om fysisk identitet utgör en egen kategori av uppgifter, skild från trafik- och lokaliseringsuppgifter, eller om den ingår som en underkategori i

170

SOU 2023:22

Lagring och tillgång till uppgifter i syfte att bekämpa brott

begreppet trafikuppgift. Det kan ifrågasättas om uppgifter om fysisk identitet över huvud taget kan anses utgöra trafikuppgifter. Om upp- gifter om innehavare av ip-adresser anses utgöra trafikuppgifter, får de anses ha en betydligt lägre känslighetsgrad än andra trafikuppgifter. Eftersom uppgifterna inte är särskilt integritetskänsliga, bör de inte heller vara underkastade krav på förhandskontroll av domstol eller annan oberoende myndighet och vara möjliga att tillgå också för be- kämpande av brottslighet i allmänhet, inte enbart grov brottslighet.

Förhandling i mål C-470/21 är planerad den 15–16 maj 2023. Vår slutsats är att en ip-adress måste kategoriseras utifrån vilka

uppgifter som kopplas till ip-adressen, inte bara utifrån numret som sådant. Om frågan avser vem som har, eller hade, en ip-adress, utan koppling till trafik- och lokaliseringsuppgift bör numret kategori- seras som en uppgift om abonnemang. Uppgift om den fysiska inne- havarens identitet avseende en viss ip-adress är således en uppgift om abonnemang.

Även andra uppgifter kan vara uppgifter om abonnemang, exem- pelvis uppgift om kopplingen mellan permanenta och tillfälliga iden- tifierare i 5G-nätet. Som framgår av våra överväganden angående ut- formningen av anpassningsskyldigheten (se avsnitt 10.4.2) kommer möjligheten för de brottsbekämpande myndigheterna att kunna iden- tifiera kommunikationsutrustningar försvinna när permanenta iden- tifierare omvandlas till temporära identifierare i den luftburna delen av 5G-nätet. De permanenta identifierarna i 5G-nätet är motsvarig- heten till IMSI-nummer i 4G-nätet. Endast teleoperatören kan koppla ihop de temporära identifierarna med de permanenta. Uppgift om kopplingen mellan dessa identifierare är alltså en uppgift om abonne- mang när syftet med uppgiften är att identifiera abonnenten eller den registrerade användaren.

Av våra direktiv framgår att det kan finnas behov av att klarlägga hur vissa EU-rättsliga termer förhåller sig till nationella termer, exem- pelvis den närmare omfattningen av begreppet abonnemangsupp- gifter i förhållande till s.k. NAT-teknik. Som vi redogjort för om- fattas i dag NAT-styrda ip-adresser av begreppet abonnemangsuppgift. Vi har inte funnit att EU-rätten ger oss skäl att göra någon annan bedömning än vad som tidigare gjorts. Det väsentliga för bedömningen är inte valet av teknisk lösning. Det saknar för bedömningen bety- delse hur en ip-adress tilldelas (fast, dynamiskt eller genom NAT- teknik). Det väsentliga för bedömningen om huruvida en uppgift är

171

Lagring och tillgång till uppgifter i syfte att bekämpa brott

SOU 2023:22

en uppgift om abonnemang är i stället om det med ledning av upp- gifterna går att identifiera användaren.

Med denna utgångspunkt ser vi inget behov av att revidera vare sig den svenska innebörden av uppgifter om abonnemang eller be- greppet som sådant.

Lagringsskyldighet och lagringstid för abonnemangsuppgifter

Mot bakgrund av våra slutsatser i föregående avsnitt föreslår vi en reglering som anger att den lagringsskyldige ska lagra de uppgifter om abonnemang som genereras eller behandlas i deras verksamhet i syfte att skydda nationell säkerhet, bekämpa grov brottslighet och annan brottslighet samt skydda allmän säkerhet.

Vi menar att lagringstiden för dessa uppgifter rimligen bör sträcka sig till ett år efter det att abonnemanget upphörde att gälla. När det gäller uppgift om innehavare av en dynamisk ip-adress bör dock lag- ringstiden räknas från att den tilldelade ip-adressen upphör att vara knuten till den aktuella användaren. På samma sätt bör det förhålla sig med lagringstiden för uppgift om kopplingen mellan permanenta och tillfälliga identifierare i 5G-nätet. Det är i båda dessa fall fråga om tillfälliga identifieringsuppgifter.

Vi föreslår att denna lagringsskyldighet ska regleras i en ny para- graf, 9 kap. 19 a § nya LEK. Någon närmare reglering av lagrings- skyldigheten bör dock inte finnas i lag. Sådana föreskrifter bör finnas på lägre normnivå. Paragrafen bör därför innehålla ett bemyndigande för regeringen, eller den myndighet som regeringen bestämmer, att få meddela föreskrifter om vilka uppgifter som ska lagras enligt para- grafen. I förordning bör det finnas dels bestämmelser om vilka abon- nemangsuppgifter som ska lagras, dels en subdelegation för PTS att meddela ytterligare föreskrifter om vilka uppgifter som ska lagras. Det är lämpligt med en subdelegation till PTS att meddela ytterligare föreskrifter i ämnet. Behovet av ytterligare föreskrifter kan nämligen uppkomma inte minst med hänsyn till den snabba tekniska utveck- lingen och ändringar i kommunikationsvanor. På sätt kan PTS bidra till att undanröja eventuella framtida oklarheter om lagringsskyldig- hetens omfattning.

Lagringstiden bör liksom i dag regleras i 9 kap. 22 § nya LEK.

172

SOU 2023:22

Lagring och tillgång till uppgifter i syfte att bekämpa brott

Tjänsteleverantörernas behandling av abonnemangsuppgifter

Den lagringsskyldighet avseende uppgifter om abonnemang som vi föreslår ovan väcker frågan om det krävs någon särskild reglering av- seende tjänsteleverantörernas behandling av dessa uppgifter.

Enligt 9 kap. 21 § nya LEK får uppgifter som har lagrats enligt 9 kap. 19 § nya LEK behandlas endast för att lämnas ut enligt

1.9 kap. 33 § första stycket 2 och 5 nya LEK,

2.27 kap. 19 § RB, eller

3.inhämtningslagen.

Utlämnande av abonnemangsuppgifter i brottsbekämpande syfte görs med stöd av 9 kap. 33 § första stycket 2 och 5 nya LEK. Frågan är om uppgifter som har lagrats med stöd av den av oss föreslagna 9 kap. 19 a § nya LEK ska få behandlas endast för att lämnas ut enligt 9 kap. 33 § första stycket 2 och 5. Vi anser att så inte bör vara fallet. Som framgår av övriga delar av 9 kap. 33 § första stycket nya LEK ska uppgifter om abonnemang, trots den tystnadsplikt som gäller för dessa uppgifter enligt 9 kap. 31 § nya LEK, lämnas ut till ett flertal olika myndigheter. Utlämnandet av uppgifter om abonnemang enligt dessa senare bestämmelser har ingenting att göra med lagringsskyl- digheten i 9 kap 19 § nya LEK. Uppgifterna kan i dessa fall lämnas ut eftersom de lagras för tjänsteleverantörernas egna syften. Om det föreskrivs att uppgifter om abonnemang som lagras enligt 9 kap. 19 a § nya LEK får behandlas endast för att lämnas ut för brotts- bekämpande syften skulle tjänsteleverantörerna behöva lagra sina abon- nemangsuppgifter i olika uppgiftssamlingar, en för sina egna syften och en för brottsbekämpande syften. Vi anser att en sådan dubbel lag- ring av abonnemangsuppgifter är obefogad med hänsyn till att upp- gifterna, i jämförelse med trafikuppgifter och lokaliseringsuppgifter, inte är lika integritetskänsliga.

173

Lagring och tillgång till uppgifter i syfte att bekämpa brott

SOU 2023:22

6.6.2Särskilt om begreppet trafikuppgift

Utredningens förslag: Begreppet annan uppgift som angår ett sär- skilt elektroniskt meddelande i nya LEK ska ersättas med begreppet trafikuppgift. Motsvarande ändring ska göras i offentlighets- och sekretesslagen.

Enligt våra direktiv kan det behöva klargöras hur vissa EU-rättsliga termer förhåller sig till nationella termer, exempelvis hur det EU- rättsliga begreppet trafikuppgift förhåller sig till begreppet annan upp- gift som angår ett särskilt elektroniskt meddelande.

Innan förhållandet mellan ovanstående begrepp klargörs bör den närmare definitionen av ett elektroniskt meddelande klargöras. Begreppet elektronisk meddelande är hämtat från artikel 2 d i e-dataskydds- direktivet. I e-dataskyddsdirektivet används begreppet kommunika- tion, men regeringen valde att använda begreppet elektroniskt med- delande av följande skäl.

Direktivet om integritet och elektronisk kommunikation innehåller en rad definitioner i artikel 2. Av särskilt intresse är definitionen av kom- munikation, som i direktivet lyder ”all information som utbyts eller överförs mellan ett begränsat antal parter genom en allmänt tillgänglig elektronisk kommunikationstjänst. Detta inbegriper inte information som överförs som del av en sändningstjänst för rundradio eller TV till allmänheten via ett elektroniskt kommunikationsnät, utom i den mån informationen kan sättas i samband med den enskilde abonnenten eller användaren av informationen”. I ingresspunkt 16 i direktivet förklaras att information som ingår i en sändningstjänst för rundradio eller TV som tillhandahålls via ett allmänt kommunikationsnät är avsedd för en potentiellt obegränsad publik och utgör inte en kommunikation enligt direktivet. I sådana fall där den enskilde abonnenten eller användaren som får sådan information kan identifieras, till exempel när det gäller beställ-TV-tjänster, omfattas emellertid den överförda informationen av vad som i direktivet avses med kommunikation.

Begreppen användare och kommunikation är särpräglade för de be- stämmelser som finns i direktivet om integritet och elektronisk kom- munikation. Beträffande kommunikation finns risk för begreppsförvirr- ing med hänsyn till termen elektronisk kommunikation. Det föreslås därför det som i direktivet benämns ”kommunikation” i den nya lagen kallas ”elektroniskt meddelande”.

174

SOU 2023:22

Lagring och tillgång till uppgifter i syfte att bekämpa brott

I 1 kap. 7 § nya LEK har ett elektroniskt meddelande därför fått föl- jande definition.

elektroniskt meddelande: all information som utbyts eller överförs mellan ett begränsat antal parter genom en allmänt tillgänglig elektronisk kom- munikationstjänst, utom information som överförs som del av sänd- ningar av ljudradio- och tv-program som är riktade till allmänheten via ett elektroniskt kommunikationsnät om inte denna information kan sättas i samband med den enskilda abonnenten eller användaren av in- formationen.

Även begreppet trafikuppgift är hämtat från e-dataskyddsdirektivet. I artikel 2 i direktivet definieras trafikuppgifter som alla uppgifter som behandlas i syfte att överföra en kommunikation via ett elek- troniskt kommunikationsnät eller för att fakturera den. I skäl 15 i e-dataskyddsdirektivet sägs följande:

(15)En kommunikation kan innehålla alla slags uppgifter om namn, nummer eller adress från sändaren av en kommunikation eller använ- daren av en förbindelse för att genomföra kommunikationen. Trafik- uppgifter kan innefatta varje omvandling av denna information via det nät genom vilket kommunikationen överförs i syfte att utföra överför- ingen. Trafikuppgifter kan bland annat utgöras av uppgifter om en kom- munikations sändningsväg, varaktighet, tid eller volym, vilket protokoll som används, terminalutrustningens, sändarens eller mottagarens pla- cering, det nät där kommunikationen börjar eller slutar samt en förbin- delses början, slut eller varaktighet. De kan också bestå av det format i vilket kommunikationen överförs via nätet.

Definitionen finns i 1 kap. 7 § nya LEK. Enligt definitionen är en trafikuppgift en uppgift som behandlas i syfte att befordra ett elek- troniskt meddelande via ett elektroniskt kommunikationsnät eller för att fakturera detta meddelande. Den motsvarar alltså definitio- nen i direktivet trots användningen av begreppet elektronisk med- delande i lagen. Vid bedömningen av innebörden av begreppet trafik- uppgift bör det därför även beaktas definitionen av elektroniskt meddelande i nya LEK.

Frågan är då om det finns någon skillnad mellan begreppet trafik- uppgift och annan uppgift som angår ett särskilt elektroniskt med- delande.

Begreppet annan uppgift som angår ett särskilt elektroniskt medde- lande finns i 9 kap. 31 § nya LEK. I bestämmelsen regleras en tystnads- plikt för den som i samband med tillhandahållande av ett elektroniskt kommunikationsnät eller en elektronisk kommunikationstjänst som

175

Lagring och tillgång till uppgifter i syfte att bekämpa brott

SOU 2023:22

inte är en Noik har fått del av eller tillgång till vissa närmare angivna uppgifter. Tystnadsplikten gäller för

1.uppgift om abonnemang,

2.innehållet i ett elektroniskt meddelande, och

3.annan uppgift som angår ett särskilt elektroniskt meddelande.

Denna tystnadsplikt infördes redan i telelagen (1993:597) i samband med bolagiseringen av Televerket. I den ursprungliga lydelsen var formuleringen annan uppgift som angår ett telemeddelande. Med det avsågs bl.a. uppgift om mellan vilka abonnemang som ett telefon- samtal har förmedlats.12 I samband med anpassningar till gemenskaps- rätten ersattes begreppet telemeddelande med begreppet elektroniskt meddelande i 6 kap. 20 § gamla LEK, men någon förändring i sak av- sågs inte.13 Regeringen uttalade i samma lagstiftningsärende att be- greppet trafikuppgift i princip torde avse ha samma innebörd som uppgifter som angår ett särskilt telemeddelande.14

Med utgångspunkt från den breda definitionen av begreppet trafik- uppgift, särskilt med beaktande av vad som framgår av skälen i e-data- skyddsdirektivet och vad vi har redovisat ovan, gör vi bedömningen att begreppet trafikuppgift har samma innebörd som begreppet annan uppgift som angår ett särskilt elektroniskt meddelande. Begreppet trafikuppgift innefattar även lokaliseringsuppgifter som är trafik- uppgifter. Visserligen finns det nu fler typer av trafikuppgifter än vid telelagens tillkomst, men det beror på utvecklingen av den teknik som används för elektronisk kommunikation.

Det framstår som otillfredsställande att det i nya LEK finns två begrepp med samma innebörd. Begreppet trafikuppgift används exem- pelvis i 9 kap. 1 och 4 §§ nya LEK angående behandlingen av sådana uppgifter. I den nuvarande regleringen om vilka uppgifter som tjänste- leverantörerna ska lagra används emellertid begreppet annan uppgift som angår ett särskilt elektroniskt meddelande, genom hänvisning till 9 kap. 31 § första stycket 3 nya LEK.

Sammantaget kan förekomsten av de båda begreppen i nya LEK ge upphov till tolkningssvårigheter i fråga om omfattningen av tyst- nadsplikten och därmed om vad som omfattas av lagringsskyldigheten.

12Se prop. 1992/93:200 s. 162 f. och 310.

13Se prop. 2002/03:110 s. 269 och 397.

14Se prop. 2021/22:136 s. 411 och prop. 2002/03:110 s. 389 och 390.

176

SOU 2023:22

Lagring och tillgång till uppgifter i syfte att bekämpa brott

Mot denna bakgrund föreslår vi att begreppet trafikuppgift ska ersätta begreppet annan uppgift som angår ett särskilt elektroniskt med- delande. Begreppet trafikuppgift i den bestämmelsen blir också mer konsekvent i förhållande till våra kommande överväganden i av- snitt 7.3.9. om tystnadsplikt för lokaliseringsuppgifter som inte är trafikuppgifter. I sak avses inte någon ändring i fråga tystnadsplik- ten. Den tystnadsplikt som hittills gällt för annan uppgift som angår ett särskilt elektroniskt meddelande ska således alltjämt gälla.

Det bör avslutningsvis nämnas att begreppet annan uppgift som angår ett särskilt elektroniskt meddelande också förekommer i offent- lighets- och sekretesslagen bl. a. i anledning av den verksamhet som bedrevs av Televerket. När begreppet telemeddelande utmönstrades i lagstiftningen ändrades även bestämmelsen i 29 kap. 2 § OSL.15 Televerket finns inte längre kvar men på grund av bl.a. bestämmel- serna om överföring av sekretess i 11 kap. 6 § kan exempelvis Riks- arkivet ha att tillämpa 29 kap. 2 § OSL på äldre uppgifter.16 Som en konsekvens av våra förslag bör begreppet annan uppgift som angår ett särskilt elektroniskt meddelande ersättas av begreppet trafikupp- gift även i offentlighets- och sekretesslagen.

6.6.3Behov av anpassningar till EU-rätten och teknikutvecklingen

Utredningens bedömning: EU-domstolens praxis innebär att förslag bör lämnas om lagring av trafikuppgifter och lokaliser- ingsuppgifter för att skydda den nationella säkerheten. Det finns även anledning att lämna förslag om riktad lagring för att bekämpa grov brottslighet.

Något undantag från lagring avseende personer med tystnads- plikt bör inte införas.

Nationell säkerhet

Som framgår av avsnitt 6.3.2 tillåter EU-rätten en mer omfattande lagringsskyldighet med koppling till nationell säkerhet. När det gäller nationell säkerhet kan behöriga myndigheter alltså ges rätt att ålägga

15Se prop. 2011/12:55 s. 58 och 59.

16Lenberg Eva, Tansjö Anna och Geijer Ulrika, kommentaren till 29 kap. 2 § offentlighets- och sekretesslagen (2 december 2022, version 26, JUNO).

177

Lagring och tillgång till uppgifter i syfte att bekämpa brott

SOU 2023:22

tjänsteleverantörer en generell och odifferentierad lagringsskyldig- het under en begränsad tid avseende trafik- och lokaliseringsupp- gifter, om målet är att skydda nationell säkerhet. Enligt nu gällande bestämmelser sker ingen datalagring för det uttalade syftet att skydda den nationella säkerheten. Vi bedömer att det finns ett behov av att införa en särskild möjlighet till lagring av trafik- och lokaliserings- uppgifter i syfte att skydda Sveriges säkerhet. Det ingår också i vårt uppdrag att se över regleringen och återkomma med förslag hur en sådan reglering kan utformas. Vi återkommer i avsnitt 7 till frågor om lagring och tillgång till trafik- och lokaliseringsuppgifter i syfte att skydda den nationella säkerheten.

Det blir allt vanligare att kommunikation sker genom tjänster som inte omfattas av någon rättslig skyldighet att lagra och tillhanda- hålla uppgifter, nämligen via tjänster som tillhandahålls av andra än de traditionella teleoperatörerna. Sådana tjänster kallas OTT-tjänster (over the top) eller nummeroberoende interpersonella kommunika- tionstjänster. Exempel på OTT-tjänster är Apple Imessage och Face- time, Messenger from Meta (tidigare Facebook Messenger) och Whats- app. Det ingår i vårt uppdrag att analysera om OTT-tjänster ska omfattas av samma skyldigheter som gäller för de traditionella tele- operatörerna. Vi återkommer till denna och nära anslutande frågor i avsnitt 9.

Riktad lagring

Den nu gällande lagringsskyldigheten är, som vi beskrivit i av- snitt 6.2, ett resultat av de anpassningar till EU-rätten som gjordes efter Tele2-domen. EU-domstolen har dock i flera avgöranden efter Tele2-domen entydigt underkänt nationella bestämmelser som ålägger tjänsteleverantörer att lagra trafik- och lokaliseringsuppgifter i en omfattning som berör alla eller nästan alla personer som ingår i be- folkningen, om syftet med lagringen är att bekämpa grov brottslig- het. EU-domstolen förordar i stället riktad lagring som modell för att bekämpa grov brottslighet.

Som framgår av avsnitt 6.2.2 har regeringen tidigare haft starka betänkligheter mot att införa riktad lagring i Sverige. En riktad lag- ringen ansågs varken vara en ändamålsenlig, proportionerlig eller lämp- lig lösning. Vi delar i allt väsentligt denna syn på riktad lagring. Detta

178

SOU 2023:22

Lagring och tillgång till uppgifter i syfte att bekämpa brott

talar mot riktad lagring som en modell för datalagring i Sverige. Frågan blir då om vi över huvud taget bör lämna förslag om riktad lagring.

Även om den svenska regleringen inte har prövats av EU-dom- stolen kan vi konstatera att den har likheter med de tyska reglerna om datalagring som prövades av EU-domstolen i SpaceNet-målet och som underkändes av domstolen. Det finns en risk för att EU- domstolen skulle kunna göra motsvarande bedömning beträffande den svenska regleringen, om den blev föremål för EU-domstolens prövning. Om datalagringen för att bekämpa grov brottslighet upp- hör, skulle förutsättningarna för det brottsbekämpande arbetet för- sämras avsevärt. Under sådana förhållanden anser vi att det finns skäl att lämna ett förslag om riktad lagring, som är förenligt med EU-dom- stolens krav. Vi gör sammanfattningsvis bedömningen att det finns ett behov av överväganden kring riktad lagring som vi redovisar i av- snitt 8. I avsnitt 9 överväger vi om OTT-tjänster ska omfattas av regler om riktad lagring.

Inget undantag från lagring för personer med tystnadsplikt

IUtredningen om datalagring och EU-rätten diskuterades om det borde införas något undantag från lagringen för personer med tyst- nadsplikt. Utredningen lämnade dock inget förslag på ett sådant undan- tag.17 Frågan har aktualiserats även i vår utredning. Vi delar den be- dömning som gjordes av Utredningen om datalagring och EU-rätten. Inte heller vi lämnar därför något förslag på ett sådant undantag.

6.6.4Sanktionsavgifter

I avsnitt 10.5 tar vi upp frågan om sanktionsavgifter för den som inte lagrar uppgifter i enlighet med vårt förslag ovan angående abonne- mangsuppgifter och våra förslag i avsnitt 7, 8 och 9.

17Se SOU 2017:75, s. 248–250.

179

7Särskilt om lagring och tillgång till uppgifter i syfte att skydda nationell säkerhet

7.1Inledning

Vi har i avsnitt 6 konstaterat att de svenska reglerna om lagring av uppgifter om elektronisk kommunikation för att bekämpa den grova brottsligheten kan behöva reformeras och att det finns behov av att införa en särskild möjlighet till lagring av trafik- och lokaliserings- uppgifter i syfte att skydda Sveriges säkerhet.

EU-rätten tillåter, en lagstiftning som ger behöriga myndigheter rätt att, med iakttagande kravet på proportionalitet, ålägga tillhanda- hållare av allmänt tillgängliga elektroniska kommunikationstjänster, härefter tillhandahållare, generell och odifferentierad lagringsskyldig- het under en begränsad tid avseende trafik- och lokaliseringsuppgifter, om målet är att skydda nationell säkerhet.

För en sådan lagringsskyldighet krävs

att det föreligger tillräckligt konkreta omständigheter för att anse att staten står inför ett allvarligt hot mot nationell säkerhet som visat sig vara verkligt och aktuellt eller förutsebart,

att den kan bli föremål för en effektiv kontroll av en domstol eller en oberoende myndighet, och

att den är tidsmässigt begränsad till vad som är strängt nödvän- digt (men kan förlängas om hotet består).

I detta avsnitt överväger vi hur en sådan lagringsskyldighet skulle kunna utformas och hur tillgången till de lagrade uppgifterna bör regleras.

181

Särskilt om lagring och tillgång till uppgifter i syfte att skydda nationell säkerhet

SOU 2023:22

7.2Vad menas med nationell säkerhet?

I våra överväganden om en lagringsskyldighet och tillgång till upp- gifter i syfte att skydda nationell säkerhet finns det anledning att be- lysa vad som avses med uttrycket nationell säkerhet. Det kan redan här konstateras att det inte finns någon tydlig definition av uttrycket nationell säkerhet i vare sig svensk eller internationell rätt.

7.2.1Uttrycket nationell säkerhet i EU-rätten och Europarätten

Utgångpunkten i fördraget om Europeiska unionen är att varje be- fogenhet som inte har tilldelats unionen i fördragen tillhör medlems- staterna, se artikel 5. Av artikel. 4.2 samma fördrag framgår att unionen ska respektera medlemsstaternas likhet inför fördragen samt deras nationella identitet, som kommer till uttryck i deras politiska och konstitutionella grundstrukturer, inbegripet det lokala och regionala självstyret. Unionen ska respektera medlemsstaternas väsentliga stat- liga funktioner, särskilt funktioner vars syfte är att hävda staternas territoriella integritet, upprätthålla lag och ordning och skydda den nationella säkerheten. I synnerhet ska den nationella säkerheten också i fortsättningen vara varje medlemsstats eget ansvar.

I artikel 72 i fördraget om Europeiska unionens funktionssätt an- ges att fördragets avdelning om ett område med frihet, säkerhet och rättvisa inte ska påverka medlemsstaternas ansvar för att upprätthålla lag och ordning och skydda den inre säkerheten.

Någon definition av begreppet nationell säkerhet finns dock inte i något av dessa fördrag. EU-domstolen har inte heller fastställt någon tydlig definition av begreppet nationell säkerhet.

I artikel 1.3 i e-dataskyddsdirektivet anges att direktivet inte i något fall ska tillämpas på verksamheter som avser allmän säkerhet, försvar, statens säkerhet (inbegripet statens ekonomiska välstånd när verksamheten rör statens säkerhet) och statens verksamhet på straff- rättens område. EU-domstolen har uttalat att de verksamheter som nämns som exempel i denna artikel i samtliga fall är verksamheter som endast kan bedrivas av staten eller statliga myndigheter och som inte kan bedrivas av enskilda.1

1Se La Quadrature du Net-domen p. 92 med hänvisningar till rättspraxis.

182

SOU 2023:22

Särskilt om lagring och tillgång till uppgifter i syfte att skydda nationell säkerhet

EU-domstolen har vidare slagit fast att målet att skydda den natio- nella säkerheten motsvarar det grundläggande intresset av att skydda statens väsentliga funktioner och samhällets grundläggande intres- sen och inbegriper förebyggande och beivrande av verksamhet som allvarligt kan störa de grundläggande konstitutionella, politiska, eko- nomiska eller sociala strukturerna i ett land och i synnerhet direkt hota samhället, befolkningen eller staten som sådan, såsom bland annat terrorverksamhet.2

Uttrycket nationell säkerhet används också i artiklarna 8, 10 och 11 i Europakonventionen som ett av de legitima mål som kan motivera en begränsning av rättigheter. Någon definition av begreppet nationell säkerhet finns dock inte heller i denna konvention. Europadomstolen har inte heller utvecklat vad begreppet innebär men har dock klar- gjort under vilka omständigheter som ingrepp i de grundläggande rättigheterna kan ske med hänsyn till nationell säkerhet. Europadom- stolen har bl.a. uttalat att de hot som finns mot nationell säkerhet kan variera och vara svåra att i förväg definiera.

Rådet för de europeiska advokatsamfunden (Council of Bars and Law Societies of Europe, CCBE)3 har 2019 tagit fram rekommenda- tioner när det gäller skyddet av grundläggande rättigheter inom ramen för nationell säkerhet. I rekommendationerna konstaterar CCBE att det saknas en definition av begreppet nationell säkerhet och att med- lemsstaterna ger begreppet olika innebörd. CCBE rekommenderar följande definition av nationell säkerhet.4

Nationell säkerhet förstås som statens inre och yttre säkerhet, som består av ett eller flera av följande element:

statens suveränitet,

integriteten hos dess territorium, dess institutioner och dess kritiska infrastruktur,

skyddet av statens demokratiska ordning,

2Se Garda Síochána-domen p. 61.

3CCBE är en internationell, icke-vinstdrivande organisation bestående av medlemmar från mer än 40 länder. Organisationen företräder advokater andra jurister inför europeiska och inter- nationella institutioner i frågor om regleringen av professionen samt försvaret av legalitets- principen, mänskliga rättigheter och demokratiska värden m.m.

4https://www.ccbe.eu/fileadmin/speciality_distribution/public/documents/SURVEILLAN CE/SVL_Guides_recommendations/EN_SVL_20190329_CCBE-Recommendations-on-the- protection-of-fundamental-rights-in-the-context-of-national-security.pdf. Hämtat den 20 april 2023.

183

Särskilt om lagring och tillgång till uppgifter i syfte att skydda nationell säkerhet

SOU 2023:22

skydd av dess medborgare och invånare mot allvarliga hot mot liv, hälsa och mänskliga rättigheter och

uppförande och främjande av dess utrikesförbindelser och engage- mang för fredlig samexistens mellan nationer.

7.2.2Uttrycket nationell säkerhet i Sverige

I svensk författning används uttrycken rikets säkerhet, Sveriges säker- het och nationell säkerhet synonymt. Uttrycken förekommer bl.a. i offentlighets- och sekretesslagen (2009:400), säkerhetsskyddslagen (2018:585), lagen (2019:1182) om Säkerhetspolisens behandling av personuppgifter och lagen (2022:700) om särskild kontroll av vissa utlänningar. I förarbetena till den sistnämnda lagen uttalade reger- ingen att det inte är lämpligt att inom ramen för det lagstiftnings- ärendet införa en legaldefinition av uttrycket Sveriges säkerhet, bl.a. eftersom det också förekommer i annan lagstiftning.5

I januari 2017 antog regeringen en svensk nationell säkerhets- strategi.6 I strategin anges bl.a. följande. Målen för vår säkerhet är att värna befolkningens liv och hälsa, liksom samhällets funktionalitet, samt förmågan att upprätthålla grundläggande värden som demo- krati, rättssäkerhet och mänskliga fri- och rättigheter. En förutsätt- ning för att kunna uppnå dessa mål är att vårt lands politiska obero- ende och självständighet säkras samt att vår territoriella integritet kan upprätthållas. Utmaningarna mot vår säkerhet är komplexa och kan snabbt växla. Samtidigt har förutsättningarna för att skydda befolk- ningen och upprätthålla de viktigaste samhällsfunktionerna föränd- rats i grunden. De aktörer som har betydelse för samhällets säkerhet är inte bara fler än tidigare, utan dessutom mer diversifierade. Infly- tande över centrala områden och samhällsfunktioner, som tidigare i högre grad låg hos staten, kan i dag delas av många. Som en följd av globaliseringen är sambandet mellan inre och yttre säkerhet mer direkt än tidigare.

5Se prop. 2021/22:131 s. 79.

6Nationell säkerhetsstrategi, publicerad januari 2017, Regeringskansliet, Statsrådsberedningen.

184

SOU 2023:22

Särskilt om lagring och tillgång till uppgifter i syfte att skydda nationell säkerhet

7.3Överväganden och förslag

I fortsättningen överväger vi hur en lagringsskyldighet i syfte att skydda Sveriges säkerhet kan utformas som ger en behörig myndig- het rätt att ålägga tillhandahållare en generell och odifferentierad lag- ring av trafik- och lokaliseringsuppgifter och hur tillgången till dessa uppgifter bör ordnas.

7.3.1Den behöriga myndigheten och bedömningen av hotet mot Sveriges säkerhet

Utredningens förslag: Säkerhetspolisen ska bedöma hotet mot den nationella säkerheten och får besluta om generell och odiffe- rentierad lagringsskyldighet. En sådan lagringsskyldighet är till- låten om den bedöms vara strängt nödvändig för att bekämpa brottslighet som kan utgöra ett allvarligt hot mot nationell säker- het som är verkligt och aktuellt eller förutsebart. Säkerhetspoli- sen ska i fråga om hotbilden samråda med Försvarsmakten.

Utredningens bedömning: Säkerhetspolisen får inhämta relevant information från andra myndigheter och organ. Myndigheter som har information om hot mot den nationella säkerheten kan på eget initiativ uppmärksamma Säkerhetspolisen på dessa förhållanden.

EU-rätten tillåter, som redovisats ovan, under vissa förutsättningar en lagstiftning som ger behöriga myndigheter rätt att ålägga tillhanda- hållare en generell och odifferentierad lagringsskyldighet under en begränsad tid i syfte att skydda nationell säkerhet.

Den behöriga myndighetens beslut om att ålägga tillhandahållare en sådan lagringsskyldighet ska vidare kunna bli föremål för en effek- tiv kontroll av en domstol eller en oberoende myndighet, vars av- görande har bindande verkan, i syfte att kontrollera om förutsätt- ningarna för en sådan lagringsskyldighet är uppfyllda. Hur denna kontroll bör utformas beror bl.a. på vilket eller vilka organ som ska vara behörig myndighet att besluta om lagringsskyldigheten och om den behöriga myndigheten även ska pröva huruvida det föreligger ett allvarligt hot mot den nationella säkerheten. Vi återkommer till frå- gan om hur den effektiva kontrollen bör utformas i avsnitt 7.3.4.

185

Särskilt om lagring och tillgång till uppgifter i syfte att skydda nationell säkerhet

SOU 2023:22

Den behöriga myndigheten ska bedöma hotet mot Sveriges säkerhet

Den behöriga myndighetens beslut att ålägga tillhandahållare en gene- rell och odifferentierad lagringsskyldighet ska grunda sig på bedöm- ningen att det föreligger ett allvarligt hot mot den nationella säker- heten. I någon mening handlar det alltså om två olika beslut, som i och för sig nog kan fattas av olika organ.

Ett alternativ är alltså att den behöriga myndigheten beslutar både i frågan om det föreligger ett allvarligt hot mot den nationella säker- heten och om lagringsskyldigheten. Det andra alternativet är att ett organ beslutar i frågan om det föreligger ett allvarligt hot mot den nationella säkerheten och att ett annat organ beslutar om lagrings- skyldigheten.

Det nära sambandet mellan dessa båda frågor talar för att samma myndighet bör pröva båda frågorna. Om det är en myndighet som bedömer säkerhetsläget och en annan som beslutar om datalagring, förutsätter det att den sistnämnda myndigheten har full insyn i den förstnämnda myndighetens bedömning av säkerhetsläget för att kunna besluta om lämplig lagringsskyldighet. Det är inte givet att förutsätt- ningar för detta alltid kommer att finnas. Vidare ska den domstol eller det oberoende organ som ska utgöra en effektiv kontroll när det gäller den beslutade lagringsskyldigheten kunna pröva om förut- sättningarna för lagringsskyldigheten är uppfyllda, vilket innefattar frågan om hotet mot den nationella säkerheten är sådant att lagrings- skyldigheten är påkallad. En sådan prövning kan bli svårare att göra om det är olika organ som har beslutat om säkerhetsläget och lag- ringsskyldigheten. Vi menar därför att det är mest lämpligt att samma myndighet prövar båda frågorna.

Det bör inte föreskrivas kriterier för bedömningen av säkerhetsläget

EU-domstolen har påpekat att det, för att kravet på proportionalitet ska vara uppfyllt, i lagstiftning måste föreskrivas klara och precisa bestämmelser som reglerar räckvidden och tillämpningen av åtgärder som inskränker rätten till respekt för privatlivet och skyddet för per- sonuppgifter. Det måste anges minimikrav, så att de personer vars personuppgifter berörs har tillräckliga garantier för att uppgifterna på ett effektivt sätt är skyddade mot riskerna för missbruk. Lagstift- ningen ska vara rättsligt bindande enligt nationell rätt och i synner-

186

SOU 2023:22

Särskilt om lagring och tillgång till uppgifter i syfte att skydda nationell säkerhet

het ange under vilka omständigheter och på vilka villkor en åtgärd avseende behandling av sådana uppgifter får vidtas, vilket säkerställer att ingreppet begränsas till vad som är strängt nödvändigt.7

När det gäller tvångsmedelsanvändning och andra övervaknings- åtgärder framgår det, bl.a. av Europadomstolens praxis, att det måste finnas klara och detaljerade regler som beskriver i vilka situationer och under vilka förutsättningar som sådana får användas. Det krävs enligt Europadomstolen inte en lista med namngivna brott som kan föranleda tvångsmedelsåtgärden men det är normalt inte tillräckligt att hänvisa till så generella begrepp som nationell säkerhet eller all- män ordning. Domstolen har samtidigt tydliggjort att de hot som finns mot nationell säkerhet kan variera och vara svåra att i förväg definiera.8

De krav på förutsebarhet och tydlighet som ställs på en reglering som gäller under vilka omständigheter som hemliga tvångsmedel får användas gör sig inte på samma sätt gällande vid en reglering av när en generell och odifferentierad lagringsskyldighet är tillåten. Det går nämligen inte med någon större säkerhet att förutse vilka företeelser som kan komma att innebära ett hot mot den nationella säkerheten. Vi anser att det skulle vara för onyanserat att föreskriva att en gene- rell och odifferentierad lagringsskyldighet kan beslutas exempelvis när terrorhotsnivån i Sverige är på en viss nivå. En sådan reglering skulle kunna innebära att en generell och odifferentierad lagring blir huvudregeln. Vi bedömer det inte lämpligt att i författning precisera vilka omständigheter som ska föreligga för att hotet mot den natio- nella säkerheten är sådant att en generell och odifferentierad lag- ringsskyldighet är påkallad. Det måste rimligen vara den behöriga myndigheten som, på ett så komplett underlag som möjligt, avgör om det finns tillräckligt konkreta omständigheter för att anse att det finns ett allvarligt och verkligt hot mot Sveriges som är aktuellt eller förutsebart. Omständigheter som kan vara av betydelse vid bedöm- ningen av hotet mot den nationella säkerheten är t.ex. om terror- hotsnivån i Sverige är förhöjd, om det finns ett hot om ett väpnat angrepp mot Sverige eller om det finns andra allvarliga hot mot den inre eller yttre säkerheten. Vid bedömningen av sådana hot kan exem- pelvis underrättelseinformation som rör brottslig verksamhet som innefattar terroristbrott och andra systemhotande brott beaktas.

7Se SpaceNet-domen p. 69.

8Se SOU 2018:61 s. 78 och 79.

187

Särskilt om lagring och tillgång till uppgifter i syfte att skydda nationell säkerhet

SOU 2023:22

Förutsättningarna för när en generell och odifferentierad lagrings- skyldighet ska vara tillåten bör alltså inte vara mer konkretiserade i författning än att lagringen bedöms vara strängt nödvändig när det föreligger ett allvarligt hot mot nationell säkerhet som är verkligt och aktuellt eller förutsebart.

I det här sammanhanget vill vi uppmärksamma att vi i betänkan- det genomgående använder uttrycket strängt nödvändigt eftersom uttrycket används av EU-domstolen. Uttrycket är emellertid inte etablerat i svensk lagstiftning. Vi kommer därför i våra författnings- förslag att använda uttrycket absolut nödvändigt. Vår avsikt är att ut- trycken ska ha samma innebörd. Med strängt eller absolut nödvändigt avser vi att bedömningen ska föregås av noggranna överväganden kring behov och att tillämpning ska ske restriktivt.

Valet av behörig myndighet

Det kan konstateras att uppgiften att bedöma om Sverige står inför ett allvarligt hot mot den nationella säkerheten kräver tillgång till den mest skyddsvärda information som finns i landet och att upp- gifterna ofta lär vara kvalificerat hemliga. För bedömningen måste den behöriga myndigheten och kontrollorganet få tillgång till om- fattande mängder uppgifter så att frågan får en allsidig belysning. Detta ställer krav på att såväl den behöriga myndigheten som kon- trollorganet på ett säkert sätt kan hantera den synnerligen skydds- värda informationen. En annan viktig aspekt är att den synnerligen känsliga informationen bör hållas inom en så snäv krets som möjligt inom den behöriga myndigheten och kontrollorganet.

Det finns, enligt vår uppfattning, en del som talar för att det bör vara regeringen som bedömer hotet mot den nationella säkerheten. Det är regeringen som styr riket (1 kap. 6 § RF). Frågor om landets säkerhetsläge får anses ligga inom den styrande uppgiften. Regeringen har möjlighet att få relevant information från alla myndigheter och torde alltså kunna få den mest kompletta bilden av hotet mot Sveriges säkerhet.

Det finns emellertid skäl som talar mot att regeringen ska besluta om hotet mot den nationella säkerheten. En omständighet som talar mot regeringen som beslutsfattare är att vi ovan gjort bedömningen att det bör vara samma myndighet som beslutar om säkerhetshotet

188

SOU 2023:22

Särskilt om lagring och tillgång till uppgifter i syfte att skydda nationell säkerhet

och om lagringsskyldigheten. Om regeringen prövar den nationella säkerheten, skulle regeringen i så fall även besluta om datalagringen. Det är emellertid inte en typisk uppgift för regeringen att förelägga tillhandahållare en lagringsskyldighet. Vidare är det förenat med svårig- heter att välja ett lämpligt och oberoende organ som skulle kunna utgöra ett effektivt kontrollorgan i förhållande till regeringens beslut. Mot denna bakgrund gör vi bedömningen att något annat organ än regeringen bör vara behörig myndighet.

Den behöriga myndigheten bör vara sådan att den har god kom- petens när det gäller att bedöma frågor om hotet mot rikets säkerhet. Myndigheten bör också ha en gedigen erfarenhet av behandling av personuppgifter i sin kärnverksamhet, särskilt när det gäller behand- ling av personuppgifter i brottsbekämpande verksamhet. En fördel är förstås om myndigheten också har erfarenhet av behandling av personuppgifter som rör nationell säkerhet.

De två myndigheter som mot denna bakgrund har störst möjlig- het att bedöma hotet mot Sveriges säkerhet är Säkerhetspolisen och Försvarsmakten. Säkerhetspolisens uppdrag är just att förebygga, för- hindra och upptäcka brottslig verksamhet som innefattar brott mot Sveriges säkerhet och terrorbrott, dvs. inre hot mot Sverige. Försvars- maktens uppdrag omfattar bl.a. att upptäcka och identifiera yttre hot mot Sverige och svenska intressen.

Det finns emellertid andra myndigheter som inom sitt verksam- hetsområde har kunskap om omständigheter som har betydelse för bedömningen av hotet mot Sveriges säkerhet, t.ex. Polismyndigheten, Försvarets radioanstalt (FRA), Försvarets materielverk (FMV), Total- försvarets forskningsinstitut (FOI), Myndigheten för psykologiskt försvar, Myndigheten för samhällsskydd och beredskap (MSB) och Post- och telestyrelsen (PTS). Vidare finns det myndighetsgemen- samma samverkansgrupper inom olika områden med god kännedom om den nationella säkerheten som Nationellt centrum för terrorhots- bedömning och Nationellt cybersäkerhetscenter.

Man kan överväga om exempelvis PTS, som är reglerings- och tillsynsmyndighet enligt nya LEK, skulle kunna vara behörig myn- dighet i nu aktuellt avseende. PTS har stor kompetens när det gäller frågor om elektronisk kommunikation och lagring av uppgifter från sådan. Myndigheten har även viss kompetens när det gäller bedöm- ningar av hotet mot Sveriges säkerhet. PTS är exempelvis besluts-

189

Särskilt om lagring och tillgång till uppgifter i syfte att skydda nationell säkerhet

SOU 2023:22

myndighet när det gäller tillstånd att använda radiosändare.9 Bland de frågor som PTS då ska bedöma är om radioanvändningen kommer att orsaka skada för Sveriges säkerhet.10 I ärenden om tillstånd att använda radiosändare ska PTS samråda med Försvarsmakten och Säker- hetspolisen i syfte att klarlägga om radioanvändningen kan antas orsaka skada för Sveriges säkerhet och om behovet av att förena ett tillstånd med villkor om krav som är av betydelse för Sveriges säker- het.11 Säkerhetspolisen och Försvarsmakten kan överklaga beslut av PTS i tillståndsfrågor som berör Sveriges säkerhet.12 I förarbetena till reglerna om skydd av Sveriges säkerhet vid radioanvändning anförde regeringen att det bara är Säkerhetspolisen och Försvarsmakten som tillsammans har en helhetsbild när det gäller säkerhetsläget och hot- bilden mot Sverige samt tillgång till de uppgifter som behövs för att bedöma om radioanvändning kan antas orsaka skada för Sveriges säkerhet.13

Frågan är om det är lämpligt att utse PTS till beslutsorgan i detta sammanhang. Bedömningen av om det föreligger ett allvarligt hot mot Sveriges säkerhet är betydligt vidare än frågan om tillstånd till radiosändare och rör frågor som ligger utanför PTS kompetensområde. Såväl Säkerhetspolisen som Försvarsmakten och eventuellt andra myndigheter eller organ skulle behöva till PTS lämna ett utförligt underlag i fråga om hotbilden mot Sverige. Vår bedömning är därför att ingen annan myndighet än Säkerhetspolisen eller Försvarsmakten bör komma i fråga som behörig myndighet.

I valet mellan Säkerhetspolisen och Försvarsmakten som behörig myndighet gör vi följande bedömning. Såväl Säkerhetspolisen som Försvarsmakten torde ha kompetensen att bedöma hotet mot den nationella säkerheten. För att underlaget till bedömningen av detta hot ska bli så komplett och allsidigt som möjligt bör bedömningen grundas på båda myndigheternas men vid behov även andra organs kunskap i frågan. Oavsett vilken av myndigheterna som ska vara be- hörig myndighet bör de alltså samråda med varandra och ha möjlig- het att inhämta information från alla organ som kan antas ha relevant information i frågan.

9Se 3 kap. nya LEK.

10Se 3 kap. 6 § första stycket 7 nya LEK.

11Se 3 kap. 13 § nya FEK.

12Se 15 kap. 2 § andra stycket nya LEK.

13Se prop. 2019/20:15 s. 35.

190

SOU 2023:22

Särskilt om lagring och tillgång till uppgifter i syfte att skydda nationell säkerhet

Frågan är dock om det är lämpligt att Försvarsmakten ska kunna ålägga tillhandahållare att lagra uppgifter från kommunikation inom landet. De uppgifter som kan omfattas av lagringsskyldigheten torde i första hand inte avse utländska förhållanden. Med hänsyn till att de uppgifter som kan komma att lagras i syfte att skydda den nationella säkerheten sannolikt i första hand kommer kunna inhämtas av Säker- hetspolisen (se avsnitt 7.3.7 nedan) framstår det som ändamålsenligt att det är Säkerhetspolisen som gör bedömningen av vad som ska omfattas av lagringsskyldigheten. Vi bedömer att Säkerhetspolisen har störst kompetens i dessa frågor.

Vi föreslår därför att Säkerhetspolisen ska vara den myndighet som ska kunna besluta om en generell och odifferentierad lagrings- skyldighet (nationell säkerhetslagring) när läget är sådant att Sverige står inför ett allvarligt hot mot den nationella säkerheten. För att Säkerhetspolisen ska ha ett så fullgott underlag som möjligt inför sitt beslutsfattande bör det föreskrivas att Säkerhetspolisen ska samråda med Försvarsmakten inför sin bedömning vad gäller hotet mot den nationella säkerheten.

Säkerhetspolisen kan också inhämta information från andra myn- digheter och organ som kan antas ha relevant kunskap om omstän- digheter som har betydelse för bedömningen av hotet mot Sveriges säkerhet. Det bör också påtalas att det inte föreligger något hinder mot att myndigheter som har information om hot mot den nationella säkerheten, exempelvis Försvarsmakten, Polismyndigheten, Tullverket eller Ekobrottsmyndigheten, på eget initiativ uppmärksammar Säker- hetspolisen på dessa förhållanden så länge detta sker med iakttagande av tillämpliga sekretessregler. En sådan inhämtning av information eller kontakt kan ske utan särskilda formkrav och inom ramen för det befintliga samarbete som myndigheterna har.

7.3.2Förvaltningslagens tillämplighet

Utredningens bedömning: De åtgärder som Säkerhetspolisen vid- tar inom ramen för ärenden om nationell säkerhetslagring utgör brottsbekämpande verksamhet. Förvaltningslagen är därför till- lämplig endast i vissa delar.

191

Särskilt om lagring och tillgång till uppgifter i syfte att skydda nationell säkerhet

SOU 2023:22

Säkerhetspolisen ska enligt vårt förslag bedöma hotet mot den natio- nella säkerheten och får besluta om nationell säkerhetslagring. Frå- gan är om arbetsuppgifterna motsvarar de åtgärder som vidtas inom ramen för myndighetens brottsbekämpande verksamhet.

I förvaltningslagen (2017:900) görs undantag från flertalet av lagens bestämmelser i den brottsbekämpande verksamheten. Enligt 3 § förvaltningslagen tillämpas inte 9 § andra stycket och 10–49 §§ i brottsbekämpande verksamhet hos bl.a. Säkerhetspolisen. Det inne- bär att de särskilda förfarandereglerna om partsinsyn, underrättelse- skyldighet före beslut, omröstning, motivering av beslut och rättelse

m.m.inte gäller i denna verksamhet. Vidare är inte heller de allmänna bestämmelserna om tolk, ombud och biträde, bestämmelserna om jäv eller bestämmelsen om när en handling ska anses inkommen till- lämpliga i den brottsbekämpande verksamheten. Paragrafen innebär att det enbart är bestämmelserna i förvaltningslagens 5–8 §§ om lega- litet, objektivitet, proportionalitet, service, tillgänglighet i förhållande till allmänheten och samverkan med andra myndigheter samt be- stämmelsen i 9 § första stycket om krav på enkel, snabb och kostnads- effektiv handläggning som ska tillämpas vid ärendehandläggning i den brottsbekämpande verksamheten hos Säkerhetspolisen.14

Det innebär naturligtvis inte att Säkerhetspolisens verksamhet är undantagen från grundläggande rättssäkerhetskrav. Regleringen finns i stället i andra författningar som är anpassade efter den brottsbekäm- pande verksamheten, exempelvis rättegångsbalken och polislagen (1984:387).

Skälet till att undantag gjordes för brottsbekämpande verksamhet vid genomförandet av förvaltningsrättsreformen 1971 var att lagstif- taren från lagens tillämpningsområde ville undanta handläggningen av ärenden som nära anknöt till rättegången i allmän domstol. För att uppnå detta ansågs det nödvändigt att undanta inte bara dom- stolarnas rättskipande verksamhet utan också handläggningen av ären- den i förfaranden som kunde mynna ut i, vara en följd av eller på annat sätt anknyta till rättegången.15 Denna begränsning behölls i 1986 års och 2017 års förvaltningslagar. Regeringen angav i de senaste lagmoti- ven att den nära koppling som finns mellan förfarandet hos myndig- heter i den brottsbekämpande verksamheten och rättegången i all-

14Se prop. 2016/17:180 s. 288.

15Se prop. 1971:30 del 2 s. 306 och 323.

192

SOU 2023:22

Särskilt om lagring och tillgång till uppgifter i syfte att skydda nationell säkerhet

män domstol medför att skälen för begränsningen av förvaltnings- lagens tillämpningsområde i detta avseende alltjämt är relevanta.16

Vi kan konstatera att nationell säkerhetslagring syftar till att skapa förutsättningar för användning av hemliga tvångsmedel. De åtgärder som ska vidtas inom ramen för ärenden om nationell säkerhetslag- ring innefattas enligt vår bedömning i sin helhet i den brottsbekäm- pande verksamheten, som beskrivits i avsnitt 5.2. Åtgärderna mynnar ytterst ut i att förhindra eller lagföra brott som innebär ett hot mot den nationella säkerheten. Förfarandet utgör med andra ord brotts- bekämpande verksamhet och är undantaget från förvaltningslagens tillämpningsområde i de delar som vi beskrivit ovan.

Nationell säkerhetslagring tillhör sådan verksamhet som måste tillgodose högt ställda krav på rättssäkerhet. Delar av förfarandet regle- ras som nämnts i de författningar som gäller för de brottsbekämpande myndigheternas verksamhet. Exempelvis blir bestämmelsen om jäv enligt 7 § polislagen (1984:387) även tillämplig vid arbete med frågor om nationell säkerhetslagring. I andra delar, särskilt vad gäller frågor om beslutsformer och möjligheterna till överklagande behövs särskilda överväganden för våra förslag. Vi återkommer till dessa frågor i kom- mande avsnitt.

7.3.3Säkerhetspolisens beslut om lagring

Utredningens förslag: Säkerhetspolisen ska, inom ramen för vad som anges i författning, besluta vilka tillhandahållare som ska omfattas av ett föreläggande om nationell säkerhetslagring och om lagringsskyldighetens närmare omfattning.

Ett sådant beslut ska begränsas till vad som är absolut nöd- vändigt för syftet med lagringen.

Ett föreläggande om lagring ska gälla så länge behovet kan för- väntas föreligga och längst under ett års tid. Lagringsskyldigheten ska därefter kunna förlängas om Säkerhetspolisen gör bedömningen att hotet mot den nationella säkerheten kvarstår. Säkerhetspoli- sen ska löpande ompröva om hotet består och upphäva lagrings- skyldigheten om förhållandena ändras.

16Se prop. 2016/17:180 s. 33.

193

Särskilt om lagring och tillgång till uppgifter i syfte att skydda nationell säkerhet

SOU 2023:22

Säkerhetspolisens uppgifter som behörig myndighet ska regleras i en ny lag benämnd lagen om lagring av och åtkomst till uppgifter om elektronisk kommunikation i syfte att skydda Sveriges säkerhet.

När Säkerhetspolisen gör bedömningen att den nationella säker- heten påkallar ett beslut om datalagring ska Säkerhetspolisen alltså kunna fatta ett sådant beslut. Frågan är vilken ordning som då bör gälla. Det finns närmast två alternativ att välja mellan. Det ena är att Säkerhetspolisen beslutar att en redan på förhand fastslagen författ- ningsreglering om datalagring ska träda i kraft. Det andra alterna- tivet är att Säkerhetspolisen får besluta om lagringsskyldighetens närmare omfattning. Det första alternativet har fördelen att det är transparent och förutsebart. En annan väsentlig fördel med det alter- nativet är att det är enklare för tillhandahållarna att förhålla sig till. Att lagringsskyldighetens omfattning bestäms med kort varsel och kanske också varierar från tid till annan ställer stora krav på till- handahållarna, vilket undviks om lagringsskyldighetens omfattning är fastställd i författning. En nackdel med det första alternativet är emellertid att det i det särskilda fallet inte medger någon proportio- nalitetsbedömning av lagringsskyldigheten. Risken är exempelvis att fler uppgiftstyper än vad som är strängt nödvändigt kan omfattas av lagringen och att regleringen inte lever upp till EU-rättens krav. Som

vibeskrivit i avsnitt 7.3.1 innebär proportionalitetsprincipen bl.a. att det genom författning ska säkerställas att ett ingrepp i enskildas grund- läggande rättigheter begränsas till vad som är absolut nödvändigt.

Vi föreslår därför att Säkerhetspolisen ska kunna fatta ett efter omständigheterna differentierat beslut inom ramen för vad som föreskrivs i författning. Säkerhetspolisen bör alltid kunna besluta om vilka tillhandahållare som ska lagra uppgifter. Omständigheterna kan vara sådana att det inte är strängt nödvändigt att alla tillhandahållare omfattas av lagringsskyldigheten. Säkerhetspolisen bör också kunna besluta om den närmare omfattningen av lagringsskyldigheten, när det gäller vilka typer av uppgifter som ska lagras. När det gäller frågan hur länge uppgifterna ska lagras gör vi dock bedömningen att detta ska regleras direkt i författning.

Vi har i avsnitt 7.3.1 beskrivit att Säkerhetspolisen ska samråda med Försvarsmakten, och i förekommande, även med andra myndigheter

ifråga om hotet mot den nationella säkerheten. Motsvarande samråd bör äga rum även i fråga om lagringsskyldighetens omfattning. Inför

194

SOU 2023:22

Särskilt om lagring och tillgång till uppgifter i syfte att skydda nationell säkerhet

ett beslut om lagring bör Säkerhetspolisen kunna samråda med andra myndigheter i frågan om lagringsskyldighetens omfattning, i första hand med Polismyndigheten, PTS och Tullverket. Det kan inte heller uteslutas att Säkerhetspolisen behöver ta kontakt med berörda till- handahållare inför ett beslut om lagring. Vi ser inget behov av att författningsreglera dessa samråd och kontakter. Normalt bör det inte bli aktuellt för Säkerhetspolisen att i dessa situationer röja sekre- tessbelagda uppgifter. Om så ändå skulle bli fallet, bör uppgifterna kunna lämnas ut med stöd av 10 kap. 2 § OSL (nödvändigt utläm- nande). En sekretessbelagd uppgift får också lämnas till en myndig- het, om det är uppenbart att intresset av att uppgiften lämnas har företräde framför det intresse som sekretessen ska skydda (10 kap. 27 § OSL). Vi återkommer nedan till frågan om tillhandahållarnas tystnadsplikt i avsnitt 7.3.9.

Ett föreläggande om nationell säkerhetslagring ska gälla under en viss tid. Som framgår av EU-domstolens praxis får denna tid inte vara längre än vad som är strängt nödvändigt. Det bör därför före- skrivas en längsta tid som ett föreläggande får gälla. Med hänsyn till att en generell lagringsskyldighet bara kan beslutas när det föreligger ett allvarligt hot mot den nationella säkerheten bör denna tid inte vara alltför kort. Det är sannolikt ofta så att de förhållanden som lagts till grund för bedömningen att Sverige står inför ett allvarligt hot mot den nationella säkerheten inte ändras särskilt snabbt. Vi föreslår därför att den generella lagringsskyldigheten ska få gälla i högst ett år. Om Säkerhetspolisen gör bedömningen att det allvarliga hotet mot den nationella säkerheten därefter kvarstår, ska den genom ett nytt föreläggande kunna förlänga lagringsskyldigheten. Säkerhets- polisen bör emellertid ha en skyldighet dels att löpande ompröva om hotet består, dels att upphäva lagringsskyldigheten om förhållandena ändras. Vi återkommer i avsnitt 7.3.6. till frågor om vilka uppgifter som ska kunna lagras och själva lagringstiden för uppgifterna.

Vi föreslår att Säkerhetspolisens uppgifter som behörig myndig- het regleras i en ny lag som lämpligen kan benämnas lagen om lagring av och åtkomst till uppgifter om elektronisk kommunikation i syfte att skydda Sveriges säkerhet. Som redovisas nedan kommer i lagen även förfarandet, lagringen och åtkomsten till uppgifterna att regleras.

195

Särskilt om lagring och tillgång till uppgifter i syfte att skydda nationell säkerhet

SOU 2023:22

7.3.4En effektiv kontroll av lagringsskyldigheten

Utredningens förslag: Ett beslut om nationell säkerhetslagring ska kunna bli föremål för en effektiv kontroll.

Ett offentligt ombud ska bevaka enskildas intressen och kunna överklaga Säkerhetspolisens beslut.

I huvudsak motsvarande regler som gäller för offentliga om- bud enligt rättegångsbalken ska tillämpas när det gäller kraven på samt nomineringen och förordnanden av ombuden, liksom be- träffande ersättning till och tystnadsplikt för ombuden.

Säkerhetspolisen ska besluta om ersättning till det offentliga ombudet. För det fall Säkerhetspolisens beslut överklagas, ska kon- trollorganet besluta om ersättning till det offentliga ombudet.

Kontrollorganet ska pröva om förutsättningarna för lagrings- skyldigheten är uppfyllda och om lagringsskyldigheten är propor- tionell. Kontrollorganet ska bara kunna fastställa eller upphäva Säkerhetspolisens beslut om lagring. Kontrollorganet ska även kunna pröva Säkerhetspolisens beslut om ersättning. Ett offent- ligt ombud bör få överklaga Säkerhetspolisens beslut om ersätt- ning även i situationer när beslutet om nationell säkerhetslagring inte överklagas. Ett sådant beslut får överklagas utan inskränk- ning i tid.

En av förutsättningarna för en lagstiftning som ger behöriga myn- digheter rätt att ålägga tillhandahållare en generell och odifferen- tierad lagringsskyldighet i syfte att skydda den nationella säkerheten är, som nämnts ovan, att lagringsskyldigheten kan bli föremål för en effektiv kontroll. Kontrollen ska utföras av en domstol eller ett obero- ende organ, vars avgörande har bindande verkan, i syfte att kontrol- lera om förutsättningarna för en sådan lagringsskyldighet är uppfyllda.

Vi har ovan föreslagit att Säkerhetspolisen ska vara den behöriga myndigheten som både ska bedöma om det föreligger ett allvarligt hot mot den nationella säkerheten och kunna förelägga tillhanda- hållarna en generell lagringsskyldighet. Frågan är hur denna kontroll ska utövas.

196

SOU 2023:22

Särskilt om lagring och tillgång till uppgifter i syfte att skydda nationell säkerhet

Vad menas med effektiv kontroll?

Enligt EU-domstolen ska den effektiva kontrollen syfta till en gransk- ning av att förutsättningarna för lagringsskyldigheten är uppfyllda. Eftersom den grundläggande förutsättningen för lagringsskyldig- heten är att det föreligger ett allvarligt hot mot den nationella säker- heten måste kontrollorganet ha möjlighet att göra en egen bedömning av denna fråga. Vidare ska kontrollorganets avgöranden ha bindande verkan. Kontrollorganet måste således ha möjlighet att upphäva en lagringsskyldighet i de fall förutsättningarna inte är uppfyllda. Frågan är om kravet på en effektiv kontroll innefattar något annat än en möj- lighet till sådan överprövning av lagringsskyldigheten, exempelvis ett krav på någon form av fortlöpande tillsyn. Enligt EU-domstolen ska en generell och odifferentierad lagringsskyldighet vara föremål för begränsningar och åtföljas av strikta garantier för att på ett effektivt sätt skydda de berördas personuppgifter från riskerna för miss- bruk.17 Den effektiva kontrollen ska, förutom att säkerställa att lag- ringen de facto är begränsad till situationer där det föreligger ett allvarligt hot mot nationell säkerhet, omfatta att de villkor och garan- tier som krävs är uppfyllda.18 Detta skulle visserligen kunna tala för att den effektiva kontrollen även ska innefatta någon form av fort- löpande tillsyn av själva lagringsskyldigheten. Å andra sidan är det enligt EU-domstolen själva beslutet om lagring som ska bli föremål för en effektiv kontroll och inte den efterföljande lagringen. Detta innebär, enligt vår uppfattning, att den effektiva kontrollen måste avse att de förutsättningar för lagringsskyldigheten som föreskrivs i nationell rätt är uppfyllda.

EU-domstolen har också i andra sammanhang ställt krav på kon- troll av domstol eller annan oberoende myndighet. Exempelvis ut- talade sig EU-domstolen om detta i den s.k. Prokuratuur-domen, där frågan gällde tillgången till lagrade trafik- och lokaliseringsupp- gifter för att bekämpa grov brottslighet.19 EU-domstolen konstate- rade att den nationella lagstiftningen måste vara grundad på objektiva kriterier som avgör under vilka omständigheter och på vilka villkor behöriga nationella myndigheter ska ges tillgång till de aktuella upp- gifterna. För att säkerställa att dessa villkor uppfylls i praktiken, är det väsentligt att tillgången till de lagrade uppgifterna är underkastad

17Se La Quadrature du Net-domen p. 138.

18Se a. dom p. 139.

19EU-domstolens dom den 2 mars 2021 i mål C-746/18.

197

Särskilt om lagring och tillgång till uppgifter i syfte att skydda nationell säkerhet

SOU 2023:22

förhandskontroll av en domstol eller en oberoende myndighet. En sådan förhandskontroll ska innebära att den domstol eller det organ som ska utföra kontrollen har alla befogenheter och lämnar alla nöd- vändiga garantier för att kunna göra en vederbörlig avvägning mellan de olika intressen och rättigheter som är i fråga (se p. 50–52 i domen). Inte heller i detta sammanhang synes en kontroll av en domstol eller ett annat oberoende organ ställa krav på någon form av fortlöpande tillsyn. Vår slutsats är därför att EU-rätten inte kräver att kontroll- organet ska bedriva någon form av fortlöpande tillsyn såvitt gäller själva lagringsskyldigheten.

Hur ska beslutet underställas kontrollorganet?

En central fråga i sammanhanget är på vilket sätt Säkerhetspolisens beslut om lagring ska kunna underställas kontrollorganet. Ett alter- nativ är att Säkerhetspolisens beslut alltid ska överprövas av kon- trollorganet. Vad som talar för denna lösning är främst arten och vikten av de frågor som ska prövas. Det kan därför anses lämpligt att kontrollorganet alltid kontrollerar om förutsättningarna för lagrings- skyldigheten är uppfyllda. Ett annat alternativ är att ett offentligt ombud ska kunna överklaga Säkerhetspolisens beslut när ombudet finner det påkallat. Det offentliga ombudet skulle kunna ges i upp- drag att bevaka enskildas intressen i allmänhet, dvs. utan att företräda någon särskild fysisk eller juridisk person. Ett offentligt ombud skulle också kunna bevaka att lagringsskyldigheten inte blir alltför betungande för tillhandahållarna, liksom eventuella andra motstående intressen.

En liknande ordning finns när det gäller beslut om vissa hemliga tvångsmedel, då ett offentligt ombud ska bevaka enskildas integri- tetsintressen i de aktuella ärendena.20 Vidare ska, vid Försvarsunder- rättelsedomstolens prövning av tillstånd till signalspaning, ett integ- ritetsskyddsombud bevaka enskildas integritetsintressen.21

Det kan konstateras att EU-rätten kräver att den behöriga myn- dighetens beslut kan bli föremål för en effektiv kontroll. Det kan därför framstå som överflödigt att besluten alltid ska bli föremål för kontroll. Om besluten per automatik blir föremål för kontrollorga- nets prövning, kan det dessutom ifrågasättas om det är kontroll-