RK 2018:1

En operatör är inte skyldig att ge Polismyndigheten tillgång till sådana uppgifter om abonnemang som sparats på grund av de bestämmelser om skyldighet att lagra uppgifter för brottsbekämpande ändamål som tidigare bedömts strida mot EU-rätten och därför inte kunde tillämpas. Operatören ska emellertid lämna ut uppgifter om abonnemang som sparats hos bolaget enligt de regler som ska tillämpas och som gäller misstanke om brott. I denna del hade Post- och telestyrelsen därför rätt att förelägga operatören att lämna ut uppgifter till brottsbekämpande myndigheter som ska ingripa mot brottet oavsett det misstänkta brottets svårhetsgrad.

Polismyndigheten lämnade i oktober 2015 in en anmälan till Post- och telestyrelsen (PTS) där Polismyndigheten angav att Bahnhof AB underlåter att efterleva vissa skyldigheter enligt lagen (2003:389) om elektronisk kommunikation, LEK. I anmälan angavs bl.a. att Bahnhof inte lämnar ut uppgifter om abonnemang som Polismyndigheten begär att få tillgång till enligt 6 kap. 22 § första stycket 2 LEK såvida inte begäran rör misstanke om sådant brott som anges i 27 kap. 19 § rättegångsbalken, RB. Bahnhof gavs tillfälle att yttra sig över anmälan jämte bilagor och framförde då bl.a. att bolaget lagrade på grund av viteshot från PTS och att det var riktigt att Bahnhof inte generellt lämnar ut lagrade abonnemangsuppgifter som Polismyndigheten begärt med stöd av 6 kap. 22 § första stycket 2 LEK såvida inte misstanken rör brott som anges i 27 kap. 19 § RB.

PTS beslutade den 31 mars 2016 att med stöd av 7 kap. 5 § LEK förelägga Bahnhof att, vid vite om fem miljoner kronor, senast den 7 april 2016,

• lämna ut de uppgifter om abonnemang som Polismyndigheten begärt ut den 15 december 2015, den 26 januari 2016, den 2 februari 2016, den 5 februari 2016 och den 8 februari 2016 (första delen), samt

• säkerställa att uppgifter om abonnemang som efterfrågas av Polismyndigheten eller annan myndighet som ska ingripa mot brottet i de fall där det är fråga om misstanke om brott hädanefter lämnas ut, oavsett brottets eventuella påföljd (andra delen).

PTS angav att föreläggandet enligt 8 kap. 22 § LEK gäller omedelbart.

Som skäl för beslutet angav PTS bl.a. följande. Bahnhof har vid ett antal tillfällen vägrat att lämna ut uppgifter till Polismyndigheten med hänvisning till att de svenska reglerna om utlämnande av uppgifter om abonnemang är oförenliga med Europeiska unionens stadga om de grundläggande rättig-heterna (EU:s rättighetsstadga). Bahnhof har också vitsordat att bolaget inte lämnar ut uppgifter som Polismyndigheten begär med stöd av 6 kap. 22 § första stycket 2 LEK såvida inte misstanken rör brott som anges i 27 kap. 19 § RB. Bestämmelsen i 6 kap. 22 § första stycket 2 LEK är inte direkt kopplad till skyldigheten att lagra trafikuppgifter m.m. utan stadgar en skyldighet för operatörer att lämna ut de uppgifter om abonnemang som operatören faktiskt har, oavsett om operatören innehar dessa på grund av lagringsskyldigheten eller av annan anledning. Bahnhof saknar grund att kräva att brottet ska vara av allvarligare art och agerandet bryter därför mot skyldigheten att lämna ut uppgifter om abonnemang. Bolaget ska därför föreläggas att lämna ut de uppgifter om abonnemang som efterfrågas oavsett brottets eventuella påföljd.

Bahnhof överklagade PTS:s beslut till förvaltningsrätten och yrkade att föreläggandet skulle upphävas helt eller delvis. Bahnhof förde fram bl.a. följande. Bestämmelsen i 6 kap. 22 § första stycket 2 LEK om att en internetoperatör är skyldig att på begäran lämna ut lagrade abonnentuppgifter till Polismyndigheten och andra brottsbekämpande myndigheter vid misstanke om brott innehåller inget krav på att uppgifterna rör grov brottslighet eller att det sker någon förhandskontroll av domstol eller oberoende myndighet. Bestämmelsen uppfyller därför inte de krav som EU-domstolen fastställt och den är därmed inte förenlig med EU-rätten. Genom dom den 8 april 2014 i de förenade målen C-293/12 och C-594/12 (Digital Rights Ireland m.fl., EU:C:2014:238) ogiltigförklarade EU-domstolen direktiv 2006/24/EG (det s.k. datalagringsdirektivet) efter att ha funnit att direktivet stred mot EU:s rättighetsstadga. Härefter har EU-domstolen, i förhandsavgörande den 21 december 2016 i de förenade målen C-203/15 och C-698/15 (Tele2 Sverige och Watson m.fl., EU:C:2016:970) slagit fast att det står i strid med rådets direktiv 2002/58/EG om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation, i dess lydelse enligt direktiv 2009/136/EG (direktiv 2002/58/EG) om en nationell lagstiftning tillåter att brottsbekämpande myndigheter får tillgång till lagrade uppgifter om tillgången inte begränsas till att enbart gälla åtgärder för att bekämpa grov brottslighet, inte föreskriver att tillgången är underkastad förhandskontroll av en domstol eller en oberoende myndighet och inte kräver att uppgifterna lagras inom unionen. EU-domstolens uttalanden om kriterierna för myndigheters tillgång till lagrade uppgifter gäller lagrad data i allmänhet och det görs ingen skillnad på om lagringen har skett på grund av skyldighet att lagra eller inte. Det klargörs vidare att de lagrade uppgifter som avses gäller uppgifter om abonnenter eller registrerade användare.

EU-domstolen har i Tele2 Sverige och Watson m.fl. uttalat sig generellt om lagrade uppgifter, oavsett hur dessa klassificeras i svensk rätt. Det har inte funnits någon anledning för domstolen att uttala sig specifikt om uppgifter om abonnemang och domen kan inte tolkas på annat sätt än att lagrade uppgifter om abonnemang ska ses på samma sätt som övriga lagrade uppgifter. Lagrade IP-nummer är inga triviala uppgifter om vem som är kund hos en viss internetoperatör utan ett medel som gör det möjligt att kartlägga en persons aktiviteter på internet. Lagrade IP- nummer och kopplingen till en viss abonnent är därför typiskt sett sådana integritetskänsliga uppgifter som EU-domstolen anser skyddsvärda. Polismyndighetens begäran i de nu aktuella fallen och bestämmelsen i 6 kap. 22 § LEK, såvitt angår abonnentuppgifter som är kopplade till lagrade IP-nummer, uppfyller därför inte de krav som enligt EU-domstolen gäller enligt EU-rätten eftersom uppgifterna inte avser utredning av i lag definierad allvarlig brottslighet.

PTS ansåg att överklagandet skulle avslås och förde fram bl.a. följande. De åtgärder som PTS har förelagt Bahnhof att vidta följer av 6 kap. 22 § första stycket 2 LEK. Det saknas skäl för att inte tillämpa lagrummet i detta fall. PTS har förelagt Bahnhof att lämna ut uppgifter om abonnemang till Polismyndigheten vid misstanke om brott. Det handlar alltså om uppgifter såsom IP-adresser, men även mindre känsliga uppgifter som telefonnummer och namn. Syftet med att tillåta inhämtning av uppgifter redan vid misstanke om brott, och alltså inte vid misstanke om allvarligare brottslighet, var enligt förarbetena att möjliggöra utredning av internetrelaterade brott.

Kammarrättens avgörande den 7 mars 2017 i mål nr 7380-14 och det förhandsavgörande från EU-domstolen som kammarrättens avgörande bygger på avser skyldigheten att lagra uppgifter och är således inte direkt tillämpligt i detta mål. Den aktuella frågeställningen i förevarande mål är om Bahnhof är skyldigt att lämna ut abonnemangsuppgifter i enlighet med 6 kap. 22 § första stycket 2 LEK. Skyldigheten att lämna ut uppgifter gäller oavsett av vilken anledning operatören innehar uppgifterna. Det är vanligt att operatörerna sparar uppgifter av andra skäl än som en följd av de särskilda lagringsreglerna som numera har underkänts. Bestämmelser om utlämnande av abonnemangsuppgifter har funnits i den svenska lagstiftningen redan före datalagringsdirektivet. Det är alltför långtgående att dra slutsatsen att kammarrättens avgörande och EU-domstolens förhandsavgörande även innebär ett underkännande av de svenska reglerna om utlämnande av uppgifter, som inte innehas på grund av en lagringsskyldighet, till brottsbekämpande myndigheter.

EU-domstolens avgöranden i målen Digital Rights Ireland m.fl. och Tele2 Sverige och Watson m.fl. tar i första hand sikte på hur en obligatorisk lagring av uppgifter ska bedömas samt på uppgifter av en annan karaktär än de som är föremål för bedömning i det här målet. I nämnda avgöranden har EU-domstolen bedömt regler som ålagt operatörer att lagra främst trafik- och lokaliseringsuppgifter. Domstolen har poängterat att lagring av sådana uppgifter kan ge möjlighet att göra en mycket ingående kartläggning av enskilda personer samt att en generell och odifferentierad lagring kan ge människor en känsla av att deras privatliv står under ständig övervakning.

Datalagringsdirektivet och de nationella regler som genomför det omfattade i och för sig också uppgifter om abonnemang i LEK:s mening. EU-domstolen har inte gjort uttalanden som specifikt handlar om regler av innebörden att operatörer ska lämna just uppgifter om abonnemang som finns tillgängliga hos operatören och som operatören sparar av annan anledning än åligganden enligt lag. De uppgifter om abonnemang som är aktuella i detta mål har i stora delar en annan karaktär än de trafik- och lokaliseringsuppgifter som EU-domstolen har fokuserat på i sina avgöranden och uppgifterna sparas av operatören för dennes egna syften, inte utifrån ändamålet att de ska kunna lämnas ut till brottsbekämpande myndigheter. Det kan inte redan på grund av dessa domar anses finnas grund för slutsatsen att 6 kap. 22 § första stycket 2 LEK inte längre går att tillämpa.

Uppgifter om abonnemang går enbart i mer begränsad utsträckning att använda för det slags ingående kartläggning av enskilda personer som EU- domstolen ansett utgöra en mycket ingripande begränsning av enskildas rättigheter samtidigt som uppgifterna är av stor betydelse för brottsbekämpningen. Den proportionalitetsprövning som ska göras i fråga om rätten för brottsbekämpande myndigheter att få ut sådana uppgifter bör därför kunna falla ut på ett annat sätt än vad som blev fallet i målen Digital Rights Ireland m.fl. och Tele2 Sverige och Watson m.fl. Det är därmed inte nödvändigt att begränsa utlämnande av uppgifter om abonnemang till utredning av allvarliga brott samt kräva förhandskontroll av domstol. Bestämmelsen i 6 kap. 22 § första stycket 2 LEK är därför förenlig med de krav på integritetsskydd som följer av EU:s rättighetsstadga och unionsrätten i övrigt och det saknas grund för att underlåta att tillämpa den i Sverige. Bahnhof har inte följt bestämmelsen och PTS har då haft grund för att utfärda det överklagade föreläggandet.

Förvaltningsrätten i Stockholm (2018-01-29, ordförande Lundmark och Danielsson samt nämndemän), avslog överklagandet med bl.a. följande motivering. EU-domstolens uttalanden i målen Tele2 Sverige och Watson m.fl. ska inte tolkas som att de enbart avser uppgifter som lagrats på grund av åligganden enligt lag, utan kan även ha bäring på uppgifter som lagras av en operatör på frivillig basis. EU-domstolen har inte uttalat sig specifikt i frågan om brottsbekämpande myndigheters tillgång till enbart den begränsade mängd uppgifter som är i fråga i detta mål, dvs. abonnemangsuppgifter. EU-domstolens uttalanden om vilka villkor som ska gälla för att behöriga nationella myndigheter ska få tillgång till lagrade uppgifter tar, enligt förvaltningsrättens mening, sikte på den större samlade mängd av mer integritetskänsliga uppgifter som varit i fråga i EU-domstolens mål. Förvaltningsrätten finner därmed att EU- domstolens uttalanden inte ger ledning i frågan om vilka krav som måste uppställas vid utlämnande av enbart abonnemangsuppgifter. Mot denna bakgrund anser förvaltningsrätten att det med hänvisning till målen Tele2 Sverige och Watson m.fl. inte går att dra slutsatsen att de svenska bestämmelserna om utlämnande av abonnemangsuppgifter står i strid med EU-rätten. Förvaltningsrätten anser inte heller att EU- domstolen i målen Digital Rights Ireland m.fl. har uttalat sig om vilka krav som ska ställas vid utlämnande av enbart uppgifter om abonnemang. Det kan därför inte av de av Bahnhof åberopade avgörandena utläsas att den svenska regleringen vad gäller tillgång till abonnemangsuppgifter är oförenlig med EU-rätten.

Ett krav på utlämnande av abonnemangsuppgifter utgör dock en inskränkning i rätten till personlig integritet. För att en sådan inskränkning ska vara tillåten krävs att bestämmelsen lever upp till det krav på proportionalitet som bl.a. uppställs inom unionsrätten avseende inskränkningar av fri- och rättigheter. Även i regeringsformen och Europakonventionen finns bestämmelser med sådan innebörd. Vid bedömningen av om bestämmelsen i 6 kap. 22 § första stycket 2 LEK uppfyller kravet på proportionalitet måste hänsyn tas till att staten har ett ansvar för att skydda enskildas privatliv och personliga integritet mot intrång som begås av andra enskilda. Sverige är folkrättsligt förpliktat att ha en nationell lagstiftning som ger brottsbekämpande myndigheter en möjlighet att inhämta uppgifter om abonnemang vid utredning av vissa internetrelaterade brott, i synnerhet om brotten riktas mot ett barn.

Vid proportionalitetsbedömningen måste också beaktas att abonnemangs- uppgifter typiskt sett är mindre integritetskänsliga än t.ex. trafik- och lokaliseringsuppgifter. Vid en avvägning mellan intresset av brottsbekämpning och integritetsintresset finner förvaltningsrätten att de brottsbekämpande myndigheternas behov av att få tillgång till de aktuella uppgifterna väger tyngre än det intrång i den personliga integriteten som ett utlämnande innebär. Förvaltningsrätten anser därför att bestämmelsen i LEK om utlämnande av abonnemangsuppgifter till brottsbekämpande myndigheter inte överskrider vad som får anses proportionerligt med beaktande av det bakomliggande syftet med bestämmelsen. Inte heller i övrigt har det i målet framkommit att det aktuella föreläggandet skulle vara rättsstridigt.

Bahnhof överklagade domen och yrkade att kammarrätten skulle upphäva PTS föreläggande, åtminstone såvitt avser uppgifter om abonnemang där begäran om uppgifter antingen gäller en IP-adress som kan härledas till en viss abonnent eller vem som har haft ett abonnemang till vilket en viss IP-adress kan härledas vid ett visst tillfälle. Bahnhof yrkade även att kammarrätten skulle inhämta ett förhandsavgörande från EU-domstolen i fråga om svenska myndigheters rätt att inhämta uppgifter om abonnemang enligt 6 kap. 22 § första stycket 2 LEK är förenlig med artikel 15.1 i direktiv 2002/58/EG med beaktande av artiklarna 7, 8 och 52.1 i EU:s rättighetsstadga. Detta i ljuset av EU-domstolens domar i målen Digital Rights Ireland m.fl. och Tele2 Sverige och Watson m.fl. Bahnhof hänvisade till det som anförts i förvaltningsrätten och tillade bl.a. följande.

Abonnemangsuppgifter omfattas av domen i målen Tele2 Sverige och Watson m.fl. Begreppet abonnemangsuppgift finns inte definierat i direktiv 2002/58/EG utan är ett begrepp som återfinns i LEK. Ur ett EU-perspektiv är det ointressant hur en viss uppgift betecknas i svensk lagstiftning. Det viktiga är om uppgiften kan klassificeras som en konfidentiell personuppgift som ska skyddas av direktiv 2002/58/EG och därför inte ska röjas eller lämnas ut till myndighet på andra villkor än som gäller enligt artikel 15.1 i direktivet som den uttolkats av EU-domstolen. Det ligger närmast till hands att anse att en IP-adress är en i direktivet definierad trafikuppgift. Påståendet om att abonnemangsuppgifter typiskt sett är mindre integritetskänsliga än t.ex. trafik- och lokaliseringsuppgifter saknar grund, i synnerhet när det är fråga om IP- adresser. Någon proportionalitetsprövning utöver den som EU-domstolen har gjort är inte nödvändig. Om en sådan ska göras ska den bestå av en prövning av om åtgärderna är ägnade att uppfylla de mål som eftersträvas och inte går ut över vad som är lämpligt och nödvändigt för att uppnå de eftersträvade målen. Den proportionalitetsprövning som förvaltningsrätten har gjort är felaktig. Det ska inte tas särskild hänsyn till statens intresse av att få tillgång till uppgifterna för att skydda enskildas privatliv och personliga integritet eftersom statens intresse av att bekämpa brott redan är den naturliga utgångspunkten för proportionalitetsprövningen.

EU-domstolens dom i målen Tele2 Sverige och Watson m.fl. medför att personuppgifter som omfattas av PTS föreläggande får lämnas ut av Bahnhof till brottsbekämpande myndigheter endast om uppgifterna ska användas för att bekämpa grov brottslighet och dessutom endast om begäran om utlämning förhandsprövats av domstol eller en oberoende myndighet. Kraven på förhandskontroll och att uppgifterna endast får lämnas ut för att bekämpa grov brottslighet innebär att bestämmelsen i 6 kap. 22 § första stycket 2 LEK strider mot tvingande EU-rätt, vilket medför att PTS inte har haft rätt att utfärda något föreläggande mot Bahnhof.

PTS ansåg att överklagandet skulle avslås. PTS hänvisade till vad myndigheten fört fram hos förvaltningsrätten och tillade bl.a. följande. Förvaltningsrätten kom till rätt slut. Skyldigheten enligt 6 kap. 22 § första stycket 2 LEK att lämna ut abonnemangsuppgifter gäller oavsett av vilken anledning operatören innehar uppgiften. Bestämmelsen måste vara förenlig med den grundläggande rätten till konfidentiell kommunikation och skydd för den personliga integriteten för att få tillämpas. Den måste leva upp till det krav på proportionalitet som bl.a. ställs upp i unionsrätten avseende inskränkningar av fri- och rättigheter. PTS har funnit att bestämmelsen ska tillämpas.

Kammarrätten i Stockholm (2018-12-14, Benson, Briheim Fällman, referent, och Reimers / föredragande Zetterqvist), yttrade:

1. Förhandsavgörande från EU-domstolen

De bestämmelser i EU:s rättighetsstadga och EU-direktiv som aktualiseras i målet har uttolkats av EU-domstolen. Kammarrätten bedömer att det inte finns behov av ytterligare klargöranden från EU-domstolen av de EU- rättsliga frågorna för att avgöra målet. Yrkandet om att hämta in ett förhandsavgörande ska därför avslås.

2. Vad målet gäller

Det kammarrätten ska pröva är om PTS haft fog för sitt beslut att förelägga Bahnhof att lämna ut uppgifter enligt 6 kap. 22 § första stycket 2 LEK och om det nu finns förutsättningar att upprätthålla föreläggandets båda delar.

3. Lagstiftning m.m.

3.1. Nationella bestämmelser

Enligt 6 kap. 20 § första stycket LEK får den som i samband med tillhandahållande av ett elektroniskt kommunikationsnät eller en elektronisk kommunikationstjänst har fått del av eller tillgång till

1. uppgift om abonnemang,

2. innehållet i ett elektroniskt meddelande, eller

3. annan uppgift som angår ett särskilt elektroniskt meddelande,

inte obehörigen föra vidare eller utnyttja det han eller hon fått del av eller tillgång till.

I 6 kap. 22 § första stycket 2 LEK anges att den som tillhandahåller ett elektroniskt kommunikationsnät eller en elektronisk kommunikationstjänst och därvid har fått del av eller tillgång till uppgift som avses i 20 § första stycket på begäran ska lämna uppgift som avses i 20 § första stycket 1 och som gäller misstanke om brott till en åklagarmyndighet, Polismyndigheten, Säkerhetspolisen eller någon annan myndighet som ska ingripa mot brottet.

Av 7 kap. 4 § LEK följer att PTS, om myndigheten finner skäl att misstänka att den som bedriver verksamhet enligt denna lag inte efterlever lagen, ska underrätta den som bedriver verksamheten om detta förhållande och ge denne möjlighet att yttra sig inom skälig tid.

Enligt 7 kap. 5 § första stycket LEK får PTS meddela de förelägganden som behövs för att rättelse av en överträdelse som avses i 4 § ska ske omedelbart eller inom skälig tid. Av fjärde stycket framgår att ett föreläggande enligt första stycket får förenas med vite.

3.2. Unionsrättsliga bestämmelser

Av artikel 1.1 i direktiv 2002/58/EG framgår att syftet med direktivet är att harmonisera medlemsstaternas bestämmelser för att säkerställa ett likvärdigt skydd av de grundläggande fri- och rättigheterna, särskilt rätten till integritet och konfidentialitet, när det gäller behandling av personuppgifter inom sektorn för elektronisk kommunikation. Enligt artikel 1.2 ska bestämmelserna i direktivet precisera och komplettera direktiv 95/46/EG (det äldre dataskyddsdirektivet) för de ändamål som avses i punkt 1.

I artikel 3 i direktiv 2002/58/EG anges att direktivet ska tillämpas på behandling av personuppgifter i samband med att allmänt tillgängliga elektroniska kommunikationstjänster tillhandahålls i allmänna kommunikationsnät inom unionen.

Enligt artikel 5.1 i direktiv 2002/58/EG ska medlemsstaterna genom nationell lagstiftning säkerställa konfidentialitet vid kommunikation och därmed förbundna trafikuppgifter via allmänna kommunikationsnät och allmänt tillgängliga elektroniska kommunikationstjänster.

Av artikel 15.1 i direktiv 2002/58/EG framgår att medlemsstaterna genom lagstiftning får vidta åtgärder för att begränsa omfattningen av de rättigheter och skyldigheter som anges i bl.a. artikel 5 när en sådan begränsning i ett demokratiskt samhälle är nödvändig, lämplig och proportionell för bl.a. förebyggande, undersökning, avslöjande av och åtal för brott. Medlemsstaterna får för detta ändamål bland annat vidta lagstiftningsåtgärder som innebär att uppgifter får bevaras under en begränsad period som motiveras av de skäl som fastställs i denna punkt. Alla åtgärder som avses ska vara i enlighet med de allmänna principerna i unionslagstiftningen, inklusive principerna i artikel 6.1 och 6.2 i fördraget om Europeiska unionen.

Enligt artikel 7 i EU:s rättighetsstadga har var och en rätt till respekt för sitt privatliv och familjeliv, sin bostad och sina kommunikationer.

Av artikel 8 i EU:s rättighetsstadga framgår att var och en har rätt till skydd av de personuppgifter som rör honom eller henne och att uppgifterna ska behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund.

I artikel 11 i EU:s rättighetsstadga regleras rätten till yttrande- och informationsfrihet.

Enligt artikel 52.1 i EU:s rättighetsstadga ska varje begränsning i utövandet av de rättigheter och friheter som erkänns i stadgan vara föreskriven i lag och förenlig med det väsentliga innehållet i dessa rättigheter och friheter. Begränsningar får, med beaktande av proportionalitetsprincipen, endast göras om de är nödvändiga och faktiskt svarar mot mål av allmänt samhällsintresse som erkänns av unionen eller behovet av skydd för andra människors rättigheter och friheter.

3.3. Förarbeten

LEK trädde i kraft den 25 juli 2003 och ersatte dåvarande telelagen (1993:597) och lagen (1993:599) om radiokommunikation. Av förarbetena framgår att telelagens bestämmelser om tystnadsplikt och om undantag från denna fördes över till LEK med endast mindre ändringar (prop. 2002/03:110 s. 271 och 272). I författningskommentaren till 6 kap. 20–23 §§ LEK anges att bestämmelserna motsvaras av vissa bestämmelser i telelagen och att en anpassning av terminologin till den nya lagens begrepp har skett (s. 397).

Genom en ändring den 1 juli 2012 av 6 kap. 22 § första stycket 2 LEK utökades skyldigheten för operatörer att lämna uppgift om abonnemang till de brottsbekämpande myndigheterna i samband med brott. De tidigare kraven att fängelse ska vara föreskrivet för brottet i fråga och att det enligt myndighetens bedömning kan föranleda annan påföljd än böter togs bort, vilket medförde att de brottsbekämpande myndigheterna kan få ut abonnemangsuppgifter även när det gäller misstanke om brott för vilket endast är föreskrivet böter eller som bedöms föranleda böter (prop. 2011/12:55 s. 145).

3.4. Praxis

I RK 2017:1 konstaterade kammarrätten, efter att ha hämtat in förhands- avgörande från EU-domstolen, att det med hänsyn till EU-domstolens uttalanden (målen Tele2 Sverige och Watson m.fl.) är klarlagt att de svenska bestämmelserna om lagring av trafikuppgifter m.m. för brottsbekämpande ändamål i LEK och förordningen (2003:396) om elektronisk kommunikation, FEK, inte är förenliga med artikel 15.1 i direktiv 2002/58/EG och artiklarna 7, 8, 11 och 52.1 i EU:s rättighetsstadga. Eftersom de svenska bestämmelserna alltså står i strid med unionsrätten bedömde kammarrätten att bestämmelserna i LEK och FEK om lagring av trafikuppgifter m.m. för brottsbekämpande ändamål inte kunde tillämpas och att PTS inte haft rätt att förelägga Tele2 att lagra uppgifter i enlighet med 6 kap. 16 a § LEK och 37–43 §§ FEK.

EU-domstolen uttalade i målen Tele2 Sverige och Watson m.fl. följande. Artikel 15.1 i direktiv 2002/58/EG jämförd med artiklarna 7, 8, 11 och 52.1 i EU:s rättighetsstadga ska tolkas på så sätt att den utgör hinder för en nationell lagstiftning som i brottsbekämpande syfte föreskriver en generell och odifferentierad lagring av samtliga trafikuppgifter och lokaliseringsuppgifter avseende samtliga abonnenter och registrerade användare och samtliga elektroniska kommunikationsmedel. Vidare uttalade domstolen att samma bestämmelser utgör hinder för nationell lagstiftning som reglerar skydd och säkerhet för trafikuppgifter och lokaliseringsuppgifter och, i synnerhet, behöriga nationella myndigheters tillgång till lagrade uppgifter som inte – inom ramen för brottsbekämpning – begränsar denna tillgång till enbart åtgärder som syftar till att bekämpa grov brottslighet, inte föreskriver att tillgången ska vara underkastad förhandskontroll av en domstol eller en oberoende myndighet och inte kräver att uppgifterna ska lagras inom unionen.

EU-domstolen uttalade vidare i dom den 2 oktober 2018 i mål C-207/16 (Ministerio Fiscal, EU:C:2018:788) bl.a. följande. Direktiv 2002/58/EG reglerar enligt artiklarna 1.1 och 3 all behandling av personuppgifter i samband med tillhandahållande av elektroniska kommunikationstjänster. Identitetsuppgifter för innehavare av SIM-kort ingår bland trafikuppgifter såsom de definieras i artikel 2 andra stycket b och omfattas av tillämpningsområdet för direktivet (punkt 41 och 42). Att ge myndigheter tillgång till sådana uppgifter utgör ett ingrepp i de grundläggande rättigheterna enligt artikel 7 och 8 i EU:s rättighetsstadga (punkt 52). Syftet med en lagstiftning måste stå i proportion till hur allvarligt ingrepp i de grundläggande rättigheterna i fråga åtgärden innebär och i enlighet med proportionalitetsprincipen kan ett allvarligt ingrepp i samband med förebyggande, utredning, upptäckt och lagföring av brott endast motiveras av syftet att bekämpa brottslighet som då också måste kvalificeras som "allvarlig". När det ingrepp som en sådan tillgång innebär däremot inte är allvarligt, kan det emellertid motiveras av syftet att förebygga, utreda, upptäcka och lagföra "brott" i allmänhet (punkt 55-57). Eftersom den aktuella begäran avser uppgifter som inte gör det möjligt att dra några mer precisa slutsatser om privatlivet för de personer vars uppgifter berörs kan tillgång till endast dessa uppgifter inte anses som ett "allvarligt" ingrepp i de grundläggande rättigheterna för de personer som uppgifterna avser. Det ingrepp som tillgång till sådana uppgifter innebär kan således vara motiverat av syftet att förebygga, utreda, upptäcka och lagföra "brott" i allmänhet, utan att dessa brott behöver kvalificeras som "allvarliga" (punkt 60–62).

4. Kammarrättens bedömning

4.1. Utgångspunkter för prövningen

Svensk lagstiftning innehöll regler om bl.a. brottsbekämpande myndigheters rätt att begära uppgifter från operatörer även före det att direktiv 2002/58/EG implementerades i svensk rätt genom att LEK infördes. Bestämmelsen i 6 kap. 22 § första stycket 2 LEK är inte en följd av att EU-direktiv har genomförts i svensk rätt. Bestämmelser som ålägger operatörer att ge bl.a. Polismyndigheten tillgång till uppgifter om abonnemang som syftar till att identifiera en abonnent medför emellertid sådan behandling av personuppgifter från operatörernas sida som omfattas av tillämpningsområdet för direktiv 2002/58/EG (jfr Ministerio Fiscal, punkt 37 och 38). Artikel 5 i direktivet föreskriver konfidentialitet vid elektronisk kommunikation och 6 kap. 22 § första stycket 2 LEK om tillgång till uppgift om abonnemang innebär en avvikelse från denna princip. Bestämmelsen måste därför i enlighet med artikel 15.1 i direktiv 2002/58/EG vara förenlig med proportionalitetsprincipen, jämförd med artiklarna 7, 8 och 52.1 i EU:s rättighetsstadga.

Vid LEK:s tillkomst diskuterades inte uttryckligen frågan om bestämmelserna i 6 kap. 22 § LEK var förenliga med artikel 15.1 i direktiv 2002/58/EG (prop. 2002/03:110 s. 271 och 272 samt 397). Den omständigheten att motsvarande bestämmelser i telelagen i princip oförändrade överfördes till LEK får dock uppfattas som att de ansågs förenliga med direktivet.

Genom den ändring av 6 kap. 22 § första stycket 2 LEK som gjordes den 1 juli 2012 utökades skyldigheten för operatörer att lämna uppgift om abonnemang till de brottsbekämpande myndigheterna i samband med brott på så sätt att det inte längre behövde vara fråga om brott av viss svårhetsgrad. Även om varken artikel 15.1 i direktiv 2002/58/EG eller artiklarna 7, 8 och 52.1 i EU:s rättighetsstadga uttryckligen åberopades gjordes i förarbetena en avvägning mellan det integritetsintrång som ett utlämnande innefattar och den betydelse uppgifterna kan ha för möjligheterna att utreda brott. Vid denna avvägning ansågs skälen för att låta polisen få en mer omfattande tillgång till abonnemangsuppgifter väga klart tyngre än enskildas motsvarande intresse av integritetsskydd (prop. 2011/12:55 s. 102 och 103). I anslutning till detta uttalade regeringen även bl.a. följande. En uppgift om abonnemang kan avse namn, adress eller abonnentnummer (kataloguppgifter). Det har tidigare ifrågasatts om s.k. dynamiska IP-nummer är att anse som abonnemangsuppgifter. Ett IP-nummer är ett unikt nummer som kan användas för att identifiera en abonnent som är uppkopplad mot internet. IP- adressen hänför sig till internetuppkopplingen som sådan och inte till något särskilt meddelande. Det får anses stå klart att IP-nummer är att betrakta som en uppgift om abonnemang (prop. 2011/12:55 s. 101). Enligt kammarrättens mening har det inte kommit fram skäl för att nu göra någon annan bedömning.

Det kan alltså konstateras att det har bedömts förenligt med relevanta EU-rättsliga bestämmelser att bl.a. Polismyndigheten har en rätt att under vissa förutsättningar begära ut uppgifter som avser användare som är fysiska personer från operatörerna och att rätten att få tillgång till abonnemangsuppgifter även omfattar IP-nummer. I detta sammanhang måste också beaktas att den europeiska dataskyddsregleringen bygger på utgångspunkten att varje behandling av personuppgifter måste vila på en laglig grund, dvs. varje behandling måste uppfylla de förutsättningar som anges i lagstiftningen för att anses tillåten. Artikel 5.1 jämförd med artikel 15.1 i direktiv 2002/58/EG kan sägas vara ett uttryck för denna utgångspunkt (jfr artikel 5.1 b och artikel 23 i EU:s dataskyddsförordning [förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG]). Om uppgifter har samlats in för att behandlas i en operatörs verksamhet utan att det har funnits laglig grund måste detta enligt kammarrättens mening vara en omständighet som får betydelse för om en senare behandling av samma uppgifter kan anses tillåten.

Bestämmelsen om en generell och odifferentierad lagringsskyldighet för operatörerna avseende samtliga trafikuppgifter och lokaliseringsuppgifter avseende samtliga abonnenter och registrerade användare och samtliga elektroniska kommunikationsmedel för brottsbekämpande ändamål i 6 kap.

16 a § LEK infördes för att genomföra datalagringsdirektivet. EU- domstolen ogiltigförklarade detta direktiv i dom den 8 april 2014 i målen Digital Rights Ireland m.fl. Genom kammarrättens uttalanden i RK 2017:1 (dom den 7 mars 2017) står det klart att bestämmelserna om lagring av trafikuppgifter m.m. för brottsbekämpande ändamål i 6 kap. 16 a § LEK och 37-43 §§ FEK inte är förenliga med artikel 15.1 i direktiv 2002/58/EG och artiklarna 7, 8, 11 och 52.1 i EU:s rättighetsstadga och därför inte kan tillämpas. Domen innebär att lagring av uppgifter om t.ex. abonnemang för brottsbekämpande ändamål som sker på grund av den skyldighet som följer av 6 kap. 16 a § LEK inte är en tillåten behandling av uppgifterna (och det även om bestämmelsen i 6 kap.

16 a § inte upphävts). Laglig grund för operatörer att för tiden efter kammarrättens dom bevara trafikuppgifter m.m. som avser användare som är fysiska personer finns således nu i andra bestämmelser i 6 kap. LEK.

PTS:s föreläggande består av två delar. Den första delen innebär att Bahnhof ska lämna ut de uppgifter om abonnemang som Polismyndigheten vid fem angivna datum under 2015 och 2016 begärt att få tillgång till. Det är alltså frågan om tidpunkter som hänför sig till tiden före kammarrättens dom den 7 mars 2017 i RK 2017:1. Föreläggandets andra del innebär att Bahnhof ska säkerställa att uppgifter om abonnemang som efterfrågas av bl.a. Polismyndigheten lämnas ut i enlighet med vad som föreskrivs i 6 kap. 22 § första stycket 2 LEK. Eftersom PTS:s föreläggande tar sikte på såväl de rättsliga förhållanden som gällde före respektive efter kammarrättens dom prövar kammarrätten föreläggandets två delar var för sig.

4.2. Föreläggandets första del

I målet har det inte kommit fram något annat än att de uppgifter som Polismyndigheten begärde från Bahnhof vid fem angivna datum under 2015 och 2016 har lagrats på grund av lagringsskyldigheten enligt 6 kap. 16 a § LEK. Genom kammarrättens dom den 7 mars 2017 (RK 2017:1) står det klart att lagringen av uppgifterna gjorts med stöd av bestämmelser som strider mot unionsrätten och som inte får tillämpas. De uppgifter som omfattas av Polismyndighetens begäran har alltså lagrats av Bahnhof för brottsbekämpande ändamål på grund av en skyldighet att lagra som därefter genom kammarrättens dom har förklarats vara utan laglig grund. Ett utlämnande från Bahnhof till Polismyndigheten för brottsbekämpande ändamål av uppgifter som härrör från denna otillåtna lagring kan därför inte anses som en behandling som är förenlig med artikel 15.1 i direktivet och artiklarna 7, 8 och 52.1 i EU:s rättighetsstadga. Den omständigheten att en lagring av samma uppgifter hade kunnat vara tillåten enligt andra bestämmelser i 6 kap. LEK är inte i sig skäl för någon annan bedömning.

Oavsett om PTS vid tiden för beslutet haft fog för sitt beslut eller inte bedömer kammarrätten att krav på utlämnande enligt första delen av föreläggandet nu inte kan upprätthållas. PTS:s beslut och förvaltningsrättens dom ska därför upphävas i denna del.

4.3. Föreläggandets andra del

Föreläggandets andra del innebär att Bahnhof ska säkerställa att uppgifter om abonnemang som efterfrågas av bl.a. Polismyndigheten hädanefter lämnas ut. Eftersom det i och med RK 2017:1 inte längre finns någon skyldighet för operatörer att lagra bl.a. abonnemangsuppgifter enligt 6 kap. 16 a § LEK utgår kammarrätten från att de uppgifter som kan bli aktuella att lämna ut enligt denna del av föreläggandet är lagrade med stöd av en tillåten grund.

Kammarrätten konstaterar att de uttalanden som EU-domstolen gjorde i målen Tele2 Sverige och Watson m.fl. om tillgång till lagrade uppgifter gällde tillgång till uppgifter som fanns hos operatören på grund av en lagringsskyldighet. Uttalandena i domen har därför inte direkt betydelse för frågan om Polismyndighetens tillgång enligt 6 kap. 22 § första stycket 2 LEK till abonnemangsuppgifter som lagrats med stöd av bestämmelser som tillämpas nu.

Myndigheters tillgång till uppgifter om abonnemang innebär ett ingrepp i den grundläggande rätten till respekt för privatlivet enligt artikel 7 och den grundläggande rätten till skydd av personuppgifter enligt artikel 8 i EU:s rättighetsstadga. Ingrepp i dessa rättigheter kan enligt artikel 15.1 i direktiv 2002/58/EG och artikel 52.1 i stadgan göras för vissa angivna ändamål och med beaktande av proportionalitetsprincipen (jfr Ministerio Fiscal, punkt 51 och 52). Syftet med bestämmelsen i 6 kap. 22 § första stycket 2 LEK som ger de brottsbekämpande myndigheterna tillgång till uppgifter om abonnemang är att möjliggöra undersökning och avslöjande av samt åtal för brott och utgör ett sådant syfte som enligt artikel 15.1 i direktivet kan motivera nationell lagstiftning som innebär en avvikelse från principen om konfidentialitet vid elektronisk kommunikation. Vad gäller den proportionalitetsbedömning som ska göras framgår av EU-domstolens praxis att syftet med en lagstiftning måste stå i proportion till hur allvarligt ingrepp i de grundläggande rättigheterna i fråga åtgärden innebär (se målen Tele2 Sverige och Watson m.fl., punkt 115, och Ministerio Fiscal, punkt 55). Ett allvarligt ingrepp i rättigheterna innebär att det ställs högre krav på de rättssäkerhetsgarantier som måste finnas för att tillgång till uppgifter ska ges, än i fall där ingreppet i rättigheterna inte är allvarligt (jfr Ministerio Fiscal, punkt 56 och 57).

Uppgifter om abonnemang enligt 6 kap. 20 § första stycket 1 LEK utgörs av exempelvis uppgifter om namn, adress, abonnentnummer och uppgifter om IP-adress som kan användas för att identifiera en abonnent. I förarbetena har framhållits att uppgifter som går utöver vad som kan anses som identitetsuppgifter - t.ex. vilka andra IP-nummer som innehavaren har kommunicerat med, vilka hemsidor som ett visst IP-nummer har besökt och liknande uppgifter - inte omfattas (prop. 2011/12:55 s. 102). De uppgifter som de brottsbekämpande myndigheterna därmed kan få tillgång till enligt 6 kap. 22 § första stycket 2 LEK utgör alltså en begränsad kategori uppgifter som enligt kammarrätten inte i sig kan användas för omfattande kartläggning av personers privatliv och som dessutom i många fall finns allmänt tillgängliga. Sådana uppgifter kan sägas vara av samma slag som den typ av uppgifter som EU-domstolen hade att bedöma i Ministerio Fiscal.

Den behandling av personuppgifter som föreläggandets andra del tar sikte på och som innebär att bl.a. Polismyndigheten ska ges tillgång till uppgifter om abonnemang kan enligt kammarrättens mening inte anses vara särskilt integritetskänslig. Det ingrepp som det är fråga om i de grundläggande rättigheterna enligt artiklarna 7 och 8 i EU:s rättighetsstadga bedöms därför inte vara av allvarlig art. Eftersom ingreppet inte är av allvarlig art följer det av EU-domstolens praxis att en lagstiftning som ger tillgång till uppgifter om abonnemang inte behöver begränsas till att endast gälla situationer då det rör sig om att utreda allvarliga brott. Av EU-rätten följer inte heller något krav på att den tillgång till uppgifter som avses i föreläggandets andra del ska vara underkastad förhandskontroll av en domstol eller en oberoende förvaltningsmyndighet. Det kan också konstateras att bestämmelserna i 6 kap. 22 § första stycket 2 LEK om tillgång till abonnemangsuppgifter har funnits under en lång tid och motiverats med att de brottsbekämpande myndigheterna, för att det ska vara möjligt att utreda brott, har ett stort intresse av att få tillgång till uppgifterna (se t.ex. prop. 2011/12:55 s. 102 och 103).

Mot bakgrund av vad som nu har sagts bedömer kammarrätten att intresset att ge bl.a. Polismyndigheten en sådan tillgång till uppgifter om abonnemang som nu är aktuell i syfte att undersöka, avslöja och väcka åtal för brott väger tyngre än enskildas integritetsintresse. Den skyldighet som avses i föreläggandet och som innebär att Bahnhof på begäran av bl.a. Polismyndigheten ska lämna ut uppgifter om abonnemang står därför inte i strid med artikel 15.1 i direktiv 2002/58/EG jämförd med artiklarna 7, 8 och 52.1 i EU:s rättighetsstadga.

Det är ostridigt att Bahnhof inte vid varje begäran har lämnat ut de uppgifter om abonnemang som Polismyndigheten begärt att få tillgång till. PTS hade därför fog för att förelägga Bahnhof att lämna ut uppgifter enligt 6 kap. 22 § första stycket 2 LEK. Av det underlag som finns i målet framgår att Bahnhof alltjämt anser att bolaget inte är skyldigt att lämna ut uppgifter om abonnemang annat än om det är fråga om att bekämpa grov brottslighet. Det finns därmed skäl att misstänka att Bahnhof inte heller framöver kommer att efterleva lagen och förutsättningarna för föreläggandets andra del är därför alltjämt uppfyllda. Överklagandet ska därför avslås i denna del.

Domslut

Kammarrättens avgörande. Kammarrätten avslår yrkandet om att hämta in förhandsavgörande från EU-domstolen. Kammarrätten bifaller överklagandet delvis och upphäver underinstansernas avgöranden i de delar som innebär att Bahnhof AB föreläggs att lämna ut de uppgifter om abonnemang som Polismyndigheten begärt ut den 15 december 2015 samt den 26 januari, den 2 februari, den 5 februari och den 8 februari 2016. Kammarrätten avslår överklagandet i övrigt.