SOU 2014:92
Viktigt meddelande till allmänheten via mobil telefoni
Till statsrådet Anders Ygeman
Regeringen beslutade den 28 november 2013 (dir. 2013:110) att tillkalla en särskild utredare med uppdrag att föreslå strategi och mål för hantering och överföring av information i elektroniska kommunikationsnät och it-system.
Som särskild utredare förordnades från och med den 2 december 2013 generaldirektören Erik O. Wennerström.
Utredningens uppdrag utökades genom tilläggsdirektiv (dir. 2014:66) beslutat den 8 maj 2014. Den särskilde utredaren fick utöver det ursprungliga uppdraget i uppgift att undersöka de rättsliga förutsättningarna för SOS Alarm Sverige AB (SOS Alarm) att inrätta och driva ett system för viktigt meddelande till allmänheten (VMA) via mobil och fast telefoni vid allvarliga olyckor och kriser.
Som sakkunniga förordnades från och med den 6 februari 2014 departementssekreteraren Ingolf Berg, Näringsdepartementet, ämnessakkunnige John Billow, Justitiedepartementet, departementssekreteraren Andreas Dahlqvist och kanslirådet Jonas Norling, Utrikesdepartementet. Den 17 februari 2014 förordnades utredningschefen Lars Nicander, Försvarshögskolan, som expert i utredningen. Som sakkunniga i utredningen förordnades från och med den 18 februari 2014 kanslirådet Henrik Moberg, Socialdepartementet respektive den 1 maj samma år departementssekreteraren Linda Ericson, Försvarsdepartementet. John Billow entledigades från och med den 6 oktober 2014. Som sakkunniga förordnades den 10 november 2014 ämnessakkunnige Martin Munkelt, Justitiedepartementet och ämnessakkunnige Kristofer Jones, Försvarsdepartementet. Samma dag förordnades som experter säkerhetschefen Anne-Marie Eklund Löwinder, Stiftelsen för internetinfrastruktur, juristen Victoria Ekstedt, Post- och telestyrelsen och säkerhetsansvarige Tommy Svensson, Svenskt Näringsliv.
Utredningen har till sitt arbete knutit en referensgrupp med företrädare för olika myndigheter.
Som sekreterare i utredningen anställdes från och med den 22 januari 2014 numera rådmannen Ann-Kristin Lidström. Med verkan från och med den 1 maj 2014 entledigades Ann-Kristin Lidström från sitt uppdrag. Som huvudsekreterare anställdes från och med den 26 maj 2014 hovrättsassessorn Pernilla Arrland. Som utredningssekreterare anställdes från och med den 1 juni 2014 hovrättsassessorn Margareta Sandén.
Utredningen, som har antagit namnet NISU 2014 (Fö 2013:04), överlämnar härmed sitt delbetänkande Viktigt meddelande till allmän-
heten via mobil telefoni (SOU 2014:92).
Stockholm i december 2014
Erik O. Wennerström
/Margareta Sandén
Pernilla Arrland
Sammanfattning
Utredningens uppdrag
Utredningen har i denna del enligt tilläggsdirektiv (dir. 2014:66) haft i uppdrag att undersöka de rättsliga förutsättningarna för SOS Alarm att inrätta och driva ett system för VMA via mobil och fast telefoni vid allvarliga olyckor och kriser samt vid behov av ny eller ändrad lagstiftning lämna författningsförslag. Bakgrunden till direktiven är att SOS Alarm Sverige AB (SOS Alarm) fått i uppdrag av regeringen att under 2013 och 2014 inrätta ett nytt tekniskt system för viktigt meddelande till allmänheten (VMA) via mobil och fast telefoni och därefter svara för driften och underhållet av systemet. SOS Alarm har för VMA via mobil telefoni utvecklat en tjänst baserad på sms-teknik.
Viktigt meddelande till allmänheten
VMA är ett varnings- och informationssystem som används vid olyckor och allvarliga händelser för att varna och informera om svåra störningar i viktiga samhällsfunktioner och vid krishantering i samband med extraordinära händelser. Hittills har VMA omfattat meddelanden i radio och TV samt i vissa fall tyfoner, alltså signaler utomhus (”Hesa Fredrik”). I radio och TV sänds dels varningsmeddelanden, dels informationsmeddelanden.
Systemet för VMA via telefoni ska vara ett komplement till VMA via radio och TV. Systemet består av VMA dels genom förinspelade samtal till fast telefoni, dels genom sms till mobil telefoni. När det gäller mobil telefoni ska sms-meddelanden skickas till mobiltelefoner med registrerad adress inom ett geografiskt område som berörs av ett VMA men också till mobiltelefoner som faktiskt finns inom området. För att kunna skicka sms till mobiltelefoner som
finns i ett område behöver uppgifter om position användas. Särskilda servrar ska placeras hos nätägarna Telia Sonera Sverige Aktiebolag, Telenor Sverige AB, Tele2 AB och Hi3G Access AB (med varumärket ”3”). I dessa servrar kommer uppgifter om användarna i respektive nät att uppdateras kontinuerligt såvitt avser mobiltelefonnummer, geografisk cellanknytning för mobiltelefonen och tid för cellanknytningen. Mobiloperatörerna ska använda dessa uppgifter för att kunna medverka till att förmedla VMA till de mobilterminaler som används inom det angivna geografiska området.
Nuvarande reglering
I lagen (2003:389) om elektronisk kommunikation (LEK) finns bestämmelser som rör behandling av positionsuppgifter, nämligen trafikuppgifter och lokaliseringsuppgifter som inte är trafikuppgifter. Lokaliseringsuppgifter som inte är trafikuppgifter kan t.ex. avse positionsbestämning av en mobiltelefon via satellit genom GPSsystemet när tjänster som t.ex. kartor och appar används. Trafikuppgifter är uppgifter som behandlas i syfte att befordra ett elektroniskt meddelande via ett elektroniskt kommunikationsnät eller för att fakturera detta meddelande. Till trafikuppgifter hör således information om i vilken cell i mobilkommunikationssystemet som en mobilterminal finns. Behandling av sådana uppgifter för att förmedla VMA är i dag inte tillåtet enligt LEK, såvida inte samtycke föreligger.
Utöver positionsuppgifter ska mobiltelefonnummer behandlas. Även i de delar av systemet som gäller VMA till fast telefoni samt sms till mobilabonnemang baserat på registrerad adress behandlas uppgifter om abonnemang. Behandling av sådana uppgifter regleras av personuppgiftslagen (PuL).
Överväganden och förslag
VMA via fast telefoni m.m.
Enligt utredningens mening krävs ingen lagändring för att möjliggöra inrättande och drift av de delar av systemet som avser VMA via fast telefoni eller via sms till abonnemang med registrerad adress i ett
område. I dessa delar behandlas inga positionsuppgifter, utan enbart uppgifter om adress och telefonnummer. Behandlingen av personuppgifter regleras i denna del av PuL. En bedömning av huruvida behandlingen är tillåten får därmed göras enligt 10 § PuL. Utgångspunkten enligt den bestämmelsen är att personuppgifter får behandlas bara om den registrerade har lämnat sitt samtycke till behandlingen. Om samtycke inte har inhämtats för ändamålet skulle behandling i samband med utskick av VMA i många fall kunna anses nödvändig för att vitala intressen för den registrerade ska kunna skyddas (10 c § PuL). I övriga fall får en intresseavvägning enligt 10 f § PuL göras, varvid intresset av att skicka ut ett VMA vid allvarliga olyckor och kriser torde väga tyngre än den registrerades intresse av skydd av den personliga integriteten. Enligt utredningens bedömning finns därför inte behov av någon särskild reglering och några författningsförslag lämnas därför inte i denna del.
Kan VMA via sms utifrån position baseras på samtycke?
Behandling av trafikuppgifter och lokaliseringsuppgifter som inte är trafikuppgifter är tillåten enligt LEK, om samtycke föreligger.
Enligt utredningens mening är det inte lämpligt att införa ett system för VMA via sms utifrån position baserat på krav på samtycke. Skälen för detta är bl.a. tidsåtgången som skulle krävas för inhämtande av samtycken, risken för att samtliga terminaler i ett aktuellt område inte skulle kunna nås i händelse av en allvarlig olycka eller kris samt de informationsinsatser som skulle krävas.
Behandling av trafikuppgifter m.m. för förmedling av VMA
Utredningen föreslår att en lagändring i LEK införs som möjliggör att mobiloperatörer får behandla positionsuppgifter vid medverkan till förmedling av VMA. Eftersom det kan bli aktuellt att använda såväl trafikuppgifter och lokaliseringsuppgifter som inte är trafikuppgifter föreslås att behandling av båda dessa typer av positionsuppgifter tillåts. Uppgifter om abonnemang, i detta fall mobiltelefonnummer, bör enligt utredningens mening få behandlas för samma ändamål, så att en särreglering införs för all behandling av uppgifter inom ramen för denna del av systemet.
Med hänsyn till skyddet av den personliga integriteten vid behandling särskilt av positionsuppgifter föreslår utredningen att det regleras vem som har rätt att behandla uppgifterna samt för vilket ändamål och i vilken omfattning uppgifterna får behandlas. Utredningen föreslår att endast den som tillhandahåller en allmänt tillgänglig telefonitjänst till mobil nätanslutningspunkt och har tillgång till de aktuella uppgifterna ska ha rätt att behandla dessa. Behandling ska endast tillåtas i den utsträckning och under den tid som är nödvändig för ändamålet att förmedla VMA till terminalutrustning som används inom ett angivet geografiskt område. Vidare föreslås att positionsuppgifterna därefter ska utplånas om det inte finns någon annan grund för behandling enligt LEK.
Säkerhetsbestämmelserna i LEK som gäller i samband med tillhandahållande av en elektronisk kommunikationstjänst bedöms av utredningen omfatta behandling av uppgifter för förmedling av VMA till terminalutrustning som används inom ett angivet geografiskt område.
Skyldighet att på begäran förmedla VMA
Utredningen föreslår att det införs en skyldighet för samtliga aktörer som tillhandahåller en allmänt tillgänglig telefonitjänst till mobil nätanslutningspunkt att medverka till förmedling av VMA till terminalutrustning som används inom ett angivet geografiskt område. Skyldigheten bör införas för att tydliggöra behovet av mobiloperatörernas medverkan för att systemet ska fungera. I första hand riktar sig skyldigheten till de mobiloperatörer som kommer att ha särskilda servrar placerade hos sig. Eftersom det är möjligt att även andra mobiloperatörer behöver medverka till förmedlingen bör dock samtliga mobiloperatörer omfattas av skyldigheten.
Föreskriftsrätt
Utredningen föreslår att Post- och telestyrelsen ges föreskriftsrätt i anslutning till bestämmelsen om skyldighet att förmedla VMA till terminalutrustning som används inom ett angivet geografiskt område. Föreskrifter kan t.ex. komma att behövas angående på vilket sätt skyldigheterna ska fullgöras, undantag från dessa, hur länge upp-
gifterna får behandlas samt vilka uppgifter som omfattas av skyldigheterna.
1. Författningsförslag
1.1. Förslag till lag om ändring i lagen (2003:389) om elektronisk kommunikation
Härigenom föreskrivs i fråga om lagen (2003:389) om elektronisk kommunikation
dels att 5 kap. 7 § ska ha följande lydelse,
dels att det i lagen ska införas en ny bestämmelse, 6 kap. 10 b §,
med följande lydelse.
Nuvarande lydelse Föreslagen lydelse
5 kap.
7 §1
Den som tillhandahåller ett allmänt kommunikationsnät eller en allmänt tillgänglig telefonitjänst ska
1. medverka till att nödsamtal utan avbrott kan förmedlas avgiftsfritt för användaren,
2. avgiftsfritt lämna lokaliseringsuppgifter till den som tar emot nödsamtal,
3. på villkor som är rättvisa, kostnadsorienterade och ickediskriminerande tillgodose varje rimlig begäran om att lämna ut abonnentuppgifter som inte omfattas av sekretess eller tystnadsplikt enligt lag till den som bedriver eller avser att bedriva abonnentupplysning,
1 Senaste lydelse 2011:590.
4. avgiftsfritt tillhandahålla en abonnent specificerade telefonräkningar som gäller användningen av ett allmänt kommunikationsnät eller därtill hörande allmänt tillgängliga telefonitjänster, om inte abonnenten har begärt att räkningen ska vara ospecificerad, och
5. se till att slutanvändare kan nå samtliga nummer som tillhandahålls inom Europeiska ekonomiska samarbetsområdet, om det är tekniskt och ekonomiskt genomförbart och den uppringde abonnenten inte av kommersiella skäl har valt att begränsa tillträdet för uppringande från vissa geografiska områden.
På begäran av regeringen eller efter förmedling av den som regeringen bestämt ska den som tillhandahåller en allmänt tillgänglig telefonitjänst till mobil nätanslutningspunkt medverka till att viktiga meddelanden till allmänheten förmedlas till terminalutrustning som används inom ett angivet geografiskt område.
Samtal som är avgiftsfria för den uppringande abonnenten får inte anges på dennes telefonräkning.
Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om
1. på vilket sätt skyldigheterna ska fullgöras,
2. undantag från skyldigheterna,
3. i fråga om första stycket 2–4, vilka uppgifter som omfattas av skyldigheterna, och
3. i fråga om första stycket 2–4 samt andra stycket, vilka uppgifter som omfattas av skyldigheterna, och
4. i fråga om första stycket 2, de krav som ska uppfyllas vid tillhandahållandet av uppgifterna.
6 kap.
Viktigt meddelande till allmänheten
10 b §
Den som enligt 5 kap. 7 § andra stycket är skyldig att medverka till förmedling av viktiga meddelanden till allmänheten får för detta ändamål behandla trafikuppgifter och lokaliseringsuppgifter som inte är trafikuppgifter samt uppgifter om abonnemang. Behandlingen får ske endast i den utsträckning och under den tid som är nödvändig för ändamålet. Trafikuppgifterna och lokaliseringsuppgifterna som inte är trafikuppgifter ska därefter genast utplånas, om inte annat följer av denna lag.
Bestämmelserna i 5–7 och 9– 10 §§ gäller inte för behandling enligt första stycket.
Denna lag träder i kraft den 1 januari 2016.
1.2. Förslag till förordning om ändring i förordningen (2003:396) om elektronisk kommunikation
Härigenom föreskrivs i fråga om förordningen (2003:396) om elektronisk kommunikation att 30 § ska ha följande lydelse,
Nuvarande lydelse Föreslagen lydelse
30 §
Post- och telestyrelsen får meddela föreskrifter om
1. på vilket sätt skyldigheterna enligt 5 kap.6 b, 6 c och 6 e– 7 b §§ lagen (2003:389) om elektronisk kommunikation ska fullgöras,
2. undantag från skyldigheten enligt 1, utom i fråga om 5 kap. 6 e §,
3. vilka uppgifter som omfattas av skyldigheterna enligt 5 kap. 7 § första stycket 2–4, och
3. vilka uppgifter som omfattas av skyldigheterna enligt 5 kap. 7 § första stycket 2–4 samt
andra stycket, och
4. de krav som ska uppfyllas vid tillhandahållandet av uppgifter enligt 5 kap. 7 § första stycket 2.
Denna förordning träder i kraft den 1 januari 2016.
2. Inledning
2.1. Uppdraget
Regeringen beslutade den 28 november 2013 kommittédirektiv om strategi och mål för hantering och överföring av information i elektroniska kommunikationsnät och it-system (dir. 2013:110).
Den 8 maj 2014 fattade regeringen beslut om tilläggsdirektiv till utredningen (dir. 2014:66). Utredningens uppdrag enligt tilläggsdirektivet har varit att undersöka de rättsliga förutsättningarna för SOS Alarm Sverige AB (SOS Alarm) att inrätta och driva ett system för viktigt meddelande till allmänheten (VMA) via mobil och fast telefoni vid allvarliga olyckor och kriser samt vid behov av ny eller ändrad lagstiftning lämna författningsförslag. I uppdraget har ingått att särskilt uppmärksamma behovet av skydd för den personliga integriteten.
Inför inrättandet av ett system för VMA via mobil telefoni har dels sms(short message service)-tekniken, dels en teknik benämnd Cell Broadcast diskuterats. I detta uppdrag har inte ingått att bedöma eller ta ställning till olika tekniska lösningar som kan användas för att inrätta eller driva VMA. SOS Alarm har påbörjat ett arbete med inrättande och drift av ett system för VMA via mobil och fast telefoni. Detta system bygger bland annat på sms-teknik. Utredningens uppdrag utgår därför från förutsättningarna för att driva ett sådant system.
SOS Alarm ska även undersöka förutsättningarna för att med det nya tekniska systemet nå svenska mobilabonnenter som befinner sig i annat land i händelse av en allvarlig olycka eller kris. I utredningens uppdrag har emellertid inte ingått att utreda frågan om de rättsliga förutsättningarna för SOS Alarm att inrätta en sådan tjänst.
2.2. Bakgrund till uppdraget
Regeringen angav redan år 2006 i propositionen Samverkan vid kris – för ett säkrare samhälle (prop. 2005/06:133) att ett system för varning och information genom mobiltelefoner bör införas stegvis. SOS Alarm har enligt tillägg till alarmeringsavtalet mellan SOS Alarm och staten fått uppdraget att under 2013 och 2014 inrätta ett nytt tekniskt system för VMA via mobil och fast telefoni vid allvarliga olyckor och kriser och därefter svara för driften och underhållet av systemet (se bilaga 4). Tjänsten ska vara en del av det särskilda informationsnumret 113 13 och vara tillgänglig dygnet runt.
Efter att frågan om bland annat val av tekniskt system varit föremål för utredningar hos Myndigheten för samhällsskydd och beredskap (MSB) och Försvarets materielverk (FMV) har SOS Alarm när det gäller mobil telefoni beslutat att utveckla en tjänst där allmänheten får meddelanden via sms.
SOS Alarm har i en hemställan om lagändring, daterad den 13 mars 2014, uppmärksammat regeringen på att det krävs vissa ändringar i nuvarande lagstiftning för att införa det nya systemet eftersom det kräver att positionsuppgifter behandlas. SOS Alarm har därför begärt att lagen om elektronisk kommunikation ändras på så sätt att behandling av lokaliseringsuppgifter tillåts i syfte att sända VMA.
2.3. Utredningsarbetet
Under utredningsarbetet har utredningen haft möten med och inhämtat synpunkter från SOS Alarm, Post- och telestyrelsen (PTS), MSB och Datainspektionen. Vidare har samtal förts med representanter för mobiloperatörerna Telia Sonera Sverige Aktiebolag, Telenor Sverige AB, Tele2 AB och Hi3G Access AB, med varumärket ”3”.
2.4. Betänkandets disposition
Betänkandet är disponerat på följande sätt. I kapitel 1 redovisas författningsförslagen. I kapitel 3 redogörs för hur systemet för VMA är uppbyggt och fungerar i dag. I kapitel 4 ges en beskrivning av det nya systemet för VMA via fast och mobil telefoni. I kapitel 5 görs en kort genomgång av den nuvarande regleringen på området.
Kapitel 6 innehåller utredningens överväganden och förslag. I kapitel 7 behandlas konsekvenser av förslagen och i kapitel 8 finns författningskommentarerna. Som bilagor finns utredningens direktiv, bilaga 1–3, och bilaga 7 till alarmeringsavtalet enligt 2014 års lydelse.
3. Viktigt meddelande till allmänheten (VMA)
3.1. Allmänt
Viktigt meddelande till allmänheten, VMA, är ett varnings- och informationssystem som används vid olyckor och allvarliga händelser, för att varna och informera om svåra störningar i viktiga samhällsfunktioner och vid krishantering i samband med extraordinära händelser. Systemet är en del av samhällets krisberedskap. Hittills har VMA innefattat meddelanden i radio och TV samt i vissa fall signaler utomhus. Cirka 20 gånger per år sänds VMA via radio och TV. Av dessa är det varje år ungefär en händelse som är så allvarlig att även utomhusvarning används. Regeringen har beslutat att systemet för VMA ska kompletteras med meddelanden via fast och mobil telefoni (se vidare avsnitt 4.1).
3.2. Viktigt meddelande till allmänheten via radio och TV
VMA via radio och TV består av två nivåer av meddelanden: varning och information. Varningsmeddelanden sänds genast när det finns en omedelbar risk för skada på liv, hälsa, egendom eller i miljön eller vid risk för spridning av en allvarlig sjukdom. Varningsmeddelande avser att göra allmänheten uppmärksam på den omedelbara risken eller det omedelbara hotet och ge direkt vägledning om de åtgärder som omedelbart behöver vidtas för att skydda liv, hälsa, egendom eller miljö. Informationsmeddelanden sänds ut för att förebygga eller begränsa väsentliga och omfattande skador på liv, hälsa, egendom eller i miljön och vid smittspridning. Faran övermeddelande sänds när den överhängande faran inte längre före-
ligger. Varningsmeddelande ska sändas omedelbart och informationsmeddelande skyndsamt.
Programföretag som sänder radio och tv har under lång tid omfattats av krav att sända viktiga meddelanden till allmänheten. Den som begär meddelandet avgör efter dialog med Sveriges Radio AB:s sändningsledning innehållet i meddelandet och vilken meddelandetyp som ska användas. Den som begär ett VMA ansvarar för informationens innehåll och för att de uppgifter som lämnas är korrekta. Korta, precisa fakta lämnas till SOS-centralen, som drivs av SOS Alarm, som i sin tur förmedlar informationen till Sveriges Radios sändningsledning. Sändningsledningen ser till att Sveriges Radios alla kanaler sänder meddelandet och distribuerar underlag för textremsa till medverkande TV-bolag. Sändningsledningen tjänstgör dygnet runt och är garanten för att meddelandet når alla som ingår i VMA-systemet. Om tyfoner ska användas ska Sveriges Radio AB informeras om detta så att tyfonsignalen och meddelandet kan koordineras.
Sändning av varning och information via radio och TV vid olyckor och andra allvarliga händelser grundas för närvarande på riksdagens beslut med anledning av regeringens proposition Radio och TV under höjd beredskap och vid svåra påfrestningar i fred (prop. 1996/97:158, bet. 1996/97:KU3, rskr. 1996/97:18). I detta beslut framgår de grundläggande beredskapskraven för programbolagen.
Av 4 kap. 9 § 15 radio-_och_tv-lagen (2010:696) framgår att ett tillstånd att sända tv eller sökbar text-tv får förenas med villkor om skyldighet att kostnadsfritt sända meddelanden som är av vikt för allmänheten, om en myndighet begär det. Det finns möjlighet att ställa sådana villkor även för annan ljudradio än närradio och kommersiell radio, se 11 kap. 3 § 15 samma lag. Vidare ska enligt 14 kap. 5 § radio-_och_tv-lagen varningsmeddelanden som är av vikt för allmänheten och som ska skydda människor, egendom eller miljö, om en myndighet begär det, sändas kostnadsfritt i kommersiell radio.
Enligt sändningstillstånden för Sveriges Radio och Sveriges Television, vilka beslutades av regeringen den 19 december 2013, ska bolagen kostnadsfritt sända varnings- och informationsmeddelanden (Beslut nr. 82 och 83, dnr. Ku2013/2524-2525/MFI).
I Myndigheten för radio och tv:s beslut den 31 mars 2014 (dnr. 13/01812 m.fl.) framgår att flera svenska programföretag kostnadsfritt ska sända varningsmeddelanden som är av vikt för allmän-
heten och som ska skydda människor, egendom och miljö, om en myndighet begär det.
Överenskommelse för sändning av VMA har ingåtts mellan programbolagen Sveriges Radio AB, Sveriges Television AB, Sveriges Utbildningsradio AB, MSB och SOS Alarm (MSB dnr. 2012-6387). Överenskommelsen benämns Överenskommelse angående varnings- och informationssystemet Viktigt Meddelande till Allmänheten (VMA) och trädde i kraft den 1 januari 2013 och gäller tills vidare med tre månaders ömsesidig uppsägningstid, dock längst till den 31 december 2019. Av överenskommelsen framgår bland annat vilka som har behörighet att begära varnings- och informationsmeddelande, se nedanstående tabeller. Uppgifterna i tabellerna är hämtade från överenskommelsen samt från MSB:s hemsida.
Tabell 3.1 Sammanställning över vilka som är behöriga att begära varningsmeddelande och vilka händelser det rör sig om
Vilka har behörighet? Vilka händelser rör det sig om?
Räddningschef/räddningsledare för kommunal räddningstjänst med hänvisning till lagen (2003:778) om skydd mot olyckor
Olyckshändelser eller överhängande fara för olyckshändelser (giftig brandrök, utsläpp av kemikalier, explosionsrisk)
Räddningsledare för statlig räddningstjänst med hänvisning till lagen (2003:778) om skydd mot olyckor
Räddningstjänst
Strålsäkerhetsmyndigheten med hänvisning till förordningen (2003:789) om skydd mot olyckor
Rådgivning vid utsläpp av radioaktiva ämnen
Polismyndighet med hänvisning till polislagen (1984:387)
Grov störning av allmän ordning eller svår brottslighet, som innebär fara
Smittskyddsläkare med hänvisning till smittskyddslagen (2004:168)
Överhängande fara för spridning av allvarlig smittsam sjukdom
Företag som äger eller utövar verksamhet vid anläggning där verksamheten innebär fara för att en olycka ska orsaka allvarliga skador på människor eller miljö, med hänvisning till lagen (2003:778) om skydd mot olyckor
Utsläpp av giftiga eller skadliga ämnen i mark, vatten och luft, vid risk för ras, skred och dammbrott vid anläggningar med farlig verksamhet (av länsstyrelsen beslutade anläggningar)
SOS Alarm med hänvisning till lagen (1981:1104) om vissa regionala alarmeringscentraler
Vid allvarliga störningar i alarmeringsfunktionen, till exempel vid blockering av 112-numret
Tabell 3.2 Sammanställning över vilka som är behöriga att begära informationsmeddelande och vilka händelser det rör sig om
Vilka har behörighet? Vilka händelser rör det sig om?
Regeringen med Regeringskansliet Vid extraordinära händelser (sådana händelser som avviker från det normala, innebär en allvarlig störning eller överhängande risk för allvarlig störning i viktiga samhällsfunktioner och kräver skyndsamma insatser) De myndigheter som anges i bilagan till förordningen (2006:942) om krisberedskap och höjd beredskap
Vid extraordinära händelser
Kommuner och landsting enligt lagen (2006:544) om kommuners och landstings åtgärder inför och vid extraordinära händelser i fredstid och höjd beredskap
Vid extraordinära händelser
Koncessionshavare enligt ellagen (1997:857),
Vid elavbrott
Teleoperatörer enligt lagen (2003:389) om elektronisk kommunikation
Vid avbrott i telekommunikationerna
Myndigheter och företag som får begära sändning av varningsmeddelande
Vid händelser som tidigare föranlett varningsmeddelande
Utöver vad som ovan nämnts har överenskommelser om att sända VMA träffats med TV4 AB, SBS Discovery Media UK Ltd, Kanal 5 och Kanal 9. Vissa lokalradiostationer som har en mottagare för VMA bryter automatiskt för sändning av varnings- och informationsmeddelanden trots att det inte finns någon aktuell överenskommelse för detta.
3.3. Utomhusvarningssystemet (tyfoner)
Varning utomhus kan ske i princip i alla orter med mer än 1 000 invånare samt runt kärnkraftverken. Utomhusvarningssystemet består av totalt cirka 4 500 ljudsändare, så kallade tyfoner eller ”Hesa Fredrik”, som är installerade i de flesta större tätorter i Sverige samt inom särskilda områden runt kärnkraftverk. De kan användas för varning vid alla typer av faror och för beredskapslarm och flyg-
larm om landet skulle råka i krig (23 och 24 §§ förordningen [2006:942] om krisberedskap och höjd beredskap) samt för viktigt meddelande till allmänheten. Signalen i utomhuslarmet följs alltid av information i radio och TV.
Utrustningen i utomhusvarningssystemet ägs av staten genom MSB. Kommunerna är användare och ansvarar för drift och underhåll. Ljudsändarna sitter vanligtvis monterade på hustak på offentliga byggnader. För att styra och övervaka dessa finns ett radiobaserat manöversystem, M95. Manöversystemet ger möjlighet att varna inom de områden som är aktuella från fall till fall och möjliggör kontinuerlig övervakning av varningssystemets status. Systemet kan också hantera samarbete mellan olika räddningstjänster och SOS-centraler för att kunna larma invånare i exempelvis grannkommuner. Information om vilka tätorter som har utomhusvarningssystem kan man få av kommunernas räddningstjänster.
Enligt 3 kap. 6 c § förordningen (2003:789) om skydd mot olyckor får MSB meddela föreskrifter för kommunens användning av utomhusvarningssystemet. Av MSB:s föreskrifter om varning utomhus (MSBFS 2011:5) framgår bland annat att kommunen ska kunna utlösa signalen beredskapslarm enligt 24 § förordningen (2006:942) om krisberedskap och höjd beredskap samt signalerna
flyglarm, viktigt meddelande och faran över enligt Svensk Standard
SS 03 17 11 (utgåva 2) från de varningsanläggningar som kommunen förfogar över. Av föreskriften framgår även hur kommunerna ska prova varningsanläggningarna. Signalen för viktigt meddelande består av sju sekunder långa ljudstötar med fjorton sekunders paus emellan.
Av 2 kap. 5 § förordningen (2003:789) om skydd mot olyckor framgår att den som äger eller utövar verksamhet på en anläggning där verksamheten innebär fara för att en olycka ska orsaka allvarliga skador på människor eller miljön får, efter tillstånd från kommunen, använda utomhusvarningssystemet vid brand eller olycka som innebär fara för någons liv eller allvarlig risk för någons hälsa eller för miljön.
3.4. Varning kring kärnkraftverk
Inom den så kallade inre beredskapszonen kring kärnkraftverken varnas allmänheten både utomhus och inomhus. För inomhusvarning används särskilda radiomottagare avsedda för varningsmeddelande. Radiomottagaren kallas RDS-mottagare, vilket står för Radio Data System. Den är statlig egendom och ska finnas i alla hushåll inom beredskapszonen kring kärnkraftverk i Sverige. RDS-mottagaren larmar hushållen vid en kärnkraftsolycka och vid andra VMA-larm. En larmsignal åtföljs av ett talat meddelande.
För att undvika att alla VMA behöver sändas i mottagarna har programvaran utvecklats så att larmet endast ska nå ut till de närboende vid eventuella kärnkraftsolyckor samt vid tester av larmanordningen. Alla RDS-mottagarna kommer därför att bytas ut mot en modernare version under 2015.
Länsstyrelserna i de län där det finns kärnkraftverk, det vill säga Halland, Kalmar och Uppsala, ansvarar för information till allmänheten vad gäller kärnkraftsvarningar.
4. VMA via fast och mobil telefoni
4.1. Bakgrund
I propositionen Samverkan vid kris – för ett säkrare samhälle anges att ett system för varning och information genom mobiltelefoner bör införas stegvis (prop. 2005/06:133, bet. 2005/06:FöU9, rskr. 2005/06:295–296).
I regleringsbrevet för 2009 fick MSB, i egenskap av ansvarig myndighet när det gäller samhällets förmåga att förebygga och hantera olyckor och kriser, i uppdrag att se över och lämna förslag på hur VMA kan utvecklas som en del i samhällets risk- och kriskommunikation. Redovisningen skulle belysa den informationstekniska utveckling som sker inom radio- och TV-området samt möjligheterna att använda andra kommunikationskanaler såsom telefoni, internet och trådlös överföring. Uppdraget redovisades den 22 december 2009 (Fö2009/2562/SSK). MSB föreslog bl.a. att VMA via mobiltelefon införs genom att utnyttja Cell Broadcast-teknik. PTS lämnade i yttrande daterat den 28 april 2010 (PTS dnr. 10-1642) bl.a. den synpunkten att det fordras ytterligare utredning av såväl Cell Broadcast-tekniken som andra tekniska lösningar, däribland sms.
Den 23 februari 2012 gavs FMV i uppdrag av regeringen att utvärdera och lämna förslag avseende system för VMA via mobil telefoni. Uppdraget redovisades den 11 juni 2012 (Fö2012/1188/SSK). FMV angav då att ett system för sms-baserade meddelanden kan och bör införas omgående, för användning såväl inom som utom landet. Beträffande Cell Broadcast gjorde FMV bedömningen att detta system inte bör införas i Sverige förrän om några år när utvecklingen av tekniken hunnit längre.
4.2. SOS Alarms uppdrag
SOS Alarm bildades år 1972 i syfte att samordna samhällets alarmeringsfunktioner och möjliggöra effektiva hjälpinsatser samt vara en resurs i samhällets krisberedskap. Bolaget ägs i dag gemensamt med 50 procent vardera av svenska staten och SKL Företag AB, ett dotterbolag inom Sveriges Kommuner och Landsting. Verksamheten bedrivs i SOS-centraler.
Mellan staten och SOS Alarm finns ett alarmeringsavtal som reglerar SOS-tjänsten för nödnumret 112 och vissa alarmeringstjänster. Regeringen bemyndigade den 20 november 2008 (Fö2008/3431/SSK) chefen för Försvarsdepartementet att underteckna alarmeringsavtalet (Fö2008/3587/SSK) mellan svenska staten och SOS Alarm. Av regeringsbeslut den 28 februari 2013 (Fö2013/468/SSK) framgår att parterna enats om ett tillägg till alarmeringsavtalet med inriktningen att SOS Alarm gavs i uppdrag att under 2013 inrätta ett nytt tekniskt system för VMA via mobil och fast telefoni vid allvarliga olyckor och kriser. SOS Alarm ska därefter svara för driften och underhållet av systemet. Det nya tekniska systemet ska enligt avtalet komplettera de befintliga systemen för varning. VMA via fast och mobil telefoni ska således kunna sändas i samband med att VMA sänds i radio och TV.
SOS Alarm ska i samverkan med berörda aktörer undersöka förutsättningarna att med det nya tekniska systemet nå svenska mobilabonnenter som befinner sig i annat land i händelse av en allvarlig olycka eller kris. SOS Alarm skulle vidare under 2013 inrätta en tjänst för att säkerställa att ansvariga aktörer bereds möjlighet att leverera samordnad och kvalitetssäkrad VMA vid allvarliga olyckor och kriser. Tjänsten ska vara en del av det totala VMA-systemet. Samordning ska ske med det särskilda informationsnumret 113 13 och vara tillgänglig dygnet runt. Vidare ska tjänsten utformas i samverkan med berörda aktörer.
I bilaga till regeringsbeslut den 13 februari 2014 (Fö2014/280/SSK) framgår att parterna enats om att ovan nämnda uppdrag ska fortsätta under 2014 (se aktuell bilaga 7 till alarmeringsavtalet, bilaga 4). I MSB:s regleringsbrev för budgetåret 2013 angavs som ett villkor för MSB:s anslag avseende krisberedskap att myndigheten skulle betala ut högst 25 miljoner kronor till SOS Alarm för att påbörja inrättandet av ett system för varningar till mobila och fasta tele-
foner. Enligt regleringsbrevet för budgetåret 2014 ska anslaget för krisberedskap belastas med högst 25 miljoner kronor avseende ersättning till SOS Alarm för inrättande av ett system för varningar till mobila och fasta telefoner i enlighet med bilaga 7 till alarmeringsavtalet mellan svenska staten och SOS Alarm. Beloppen har hittills betalats ut år 2013 och 2014. SOS Alarm har, enligt uppgift från MSB, angett att utvecklingen av sms-tjänsten kommer att kosta 25 miljoner kronor per år under sju års tid.
Enligt bilaga 7 till alarmeringsavtalet ska SOS Alarm svara för driften och underhållet av systemet. Närmare detaljer kring drift och underhåll kan förväntas bli föremål för avtal mellan SOS Alarm och aktuella mobiloperatörer.
Mot bakgrund av att sms-tjänsten enligt MSB:s mening inte uppfyller de grundläggande kraven för varning utan endast kan användas för att sprida information har MSB i sitt budgetunderlag för perioden 2015–2017 (MSB dnr. 2014-1024) tillkännagett att myndigheten anser att SOS Alarms nuvarande uppdrag att inrätta en ny funktion för information till allmänheten via mobil och fast telefoni bör kompletteras så att tjänsten även innehåller en varningsfunktion enligt gällande specifikation för EU-alert (Cell Broadcast). Som skäl för detta pekar MSB på att informationstjänsten via mobil och fast telefoni då kompletteras med ett varningssystem vilket gör att förutsättningarna för att varna allmänheten väsentligt förbättras. Det anges att merkostnaden för att komplettera nuvarande uppdrag med utrustning för EU-Alert skulle innefatta en merkostnad om engångsvis ca 40 miljoner kronor vilket bör finansieras inom ramen för anslaget för krisberedskap i likhet med nuvarande uppdrag till SOS Alarm.
4.3. Meddelanden till mobil och fast telefoni baserade på adressuppgifter
SOS Alarm har den 1 september 2014 driftsatt systemet för VMA via telefoni i den del det avser röstmeddelanden till fasta telefoner. När denna del av systemet används skickas ett förinspelat röstmeddelande till de fasta telefoner som registrerats till en adress inom det geografiska område som meddelandet rör. Samtliga registrerade
fasta nummer, bortsett från hemliga telefonnummer, kan ringas upp på detta sätt.
Systemet för VMA via mobil telefoni består av varnings- eller informationsmeddelanden som dels skickas till mobiltelefonnummer med registrerad adress inom det aktuella geografiska området, dels till de mobiltelefoner som faktiskt finns i området (se avsnitt 4.4). I det första fallet används allmänt tillgängliga uppgifter om telefonnummer och abonnemangets registrerade adressuppgifter. Telefonnummer och adressuppgifter hämtas ur en databas som är placerad hos SOS Alarm och utskick av VMA görs därmed från SOS Alarm. SOS Alarm har förklarat att bolaget den 1 februari 2015 kommer att driftsätta den del av systemet som avser VMA via sms till adressregistrerade mobiltelefoner.
VMA via sms till adressregistrerade abonnenter testades i samband med skogsbranden i Västmanlands län under sommaren 2014. Då skickade SOS Alarm sms till mobiltelefoner i 74 hushåll som påverkades av vattenbombningarna.
4.4. Meddelanden baserade på aktuell position
Möjligheteten att skicka VMA baserat på mobiltelefoners aktuella position utgår från terminalutrustningars (mobiltelefoners) placering i celler. Cellsystemet, som är en av grunderna för mobil telefoni, är en geografisk uppdelning i ett stort antal delvis överlappande täckningsområden, celler, där mobilanvändaren kommunicerar via en basstation i cellen.
I enlighet med SOS Alarms uppdrag i alarmeringsavtalet har bolaget tagit fram ett system för att kunna använda uppgifter om aktuell position för att skicka sms till berörda personer. Den tekniska lösningen levereras av det norska bolaget Unified Messaging Systems AS.
De uppgifter som behöver behandlas för att skicka ut meddelandena är mobiltelefonnummer, geografisk cellanknytning och tid för cellanknytningen. Detta är uppgifter som redan i dag behandlas av mobiloperatörerna.
Mobiloperatörerna behandlar abonnentuppgifter såsom mobiltelefonnummer och abonnenternas övriga personuppgifter samt trafikuppgifter och lokaliseringsuppgifter som inte är trafikuppgifter.
I Sverige finns fyra mobiloperatörer som också är nätägare och som enligt SOS Alarm kommer att behöva medverka för att systemet ska fungera, nämligen Telia Sonera Sverige Aktiebolag, Telenor Sverige AB, Tele2 AB och Hi3G Access AB, med varumärket ”3”. Enligt SOS Alarm ska det aktuella tekniska systemet fungera på så sätt att uppgifterna om mobiltelefonnummer, cellanknytning och tid för cellanknytningen hos de fyra mobiloperatörerna kontinuerligt uppdateras i särskilda servrar. Dessa ska vara placerade hos de fyra mobiloperatörerna. De uppgifter som speglas till de nya servrarna kommer att visa inom vilken cell en mobiltelefon senast var påslagen men någon positionering av mobilterminalen inom den aktuella cellen sker inte. Uppgifterna uppdateras kontinuerligt i servern och information äldre än åtta timmar betraktas som inaktuell och raderas.
Vid en allvarlig kris eller olycka ska SOS Alarm via det nya tekniska systemet ange en avgränsad geografisk yta till respektive mobiloperatör. Med hjälp av positionsuppgifterna i den särskilda servern skickar mobiloperatören ut ett VMA till de terminaler som används inom det angivna geografiska området. Mobiloperatörerna kommer således att från den som förmedlar VMA-meddelandet få dels en meddelandetext, dels uppgift om inom vilket område meddelandet ska förmedlas. Meddelanden baseras på information från den som begärt att det ska sändas (exempelvis räddningsledaren.) Mobiloperatörerna ska skicka vidare meddelandet till de mobiltelefonnummer som enligt informationen på de särskilda servrarna finns i området. Abonnentuppgifter eller positionsuppgifter lämnas alltså inte ut utan dessa uppgifter behandlas enbart av respektive mobiloperatör. Statistik skickas från servern till den som förmedlar VMA från exempelvis räddningsledaren till mobiloperatörerna. Av statistiken framgår hur många mobiltelefoner som befunnit sig i området och fått sms skickade till sig.
Enligt SOS Alarm kommer även de användare som är kunder till mobiloperatörer utan egna nät samt användare med utländska SIMkort att nås av meddelandena. Meddelandet är avsett att skickas på svenska till svenska telefonnummer och på engelska till utländska telefonnummer.
SOS Alarm har schematiskt beskrivit tjänsten enligt följande.
Figur 4.1 SOS Alarms system för VMA via sms baserat på positionsuppgifter
5. Nuvarande reglering
5.1. Reglering avseende positionsuppgifter och abonnemangsuppgifter
Vid ett införande av systemet för VMA via sms baserat på position ska positionsuppgifter och mobiltelefonnummer användas. Mobiltelefonnummer är att anse som personuppgifter enligt personuppgiftslagen (1998:204) (PuL) då personuppgifter enligt 3 § är all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet.
Av 6 kap. 2 § lagen om elektronisk kommunikation (2003:389) (LEK) framgår att PuL gäller i fråga om behandling av personuppgifter vid tillhandahållande av elektroniska kommunikationsnät och elektroniska kommunikationstjänster samt vid abonnentupplysning, om inte annat följer av LEK. Begreppet behandling har samma innebörd i 6 kap. LEK som i personuppgiftslagen (1998:204). Definitionen finns i 3 § personuppgiftslagen.
Uppgifter om mobiltelefonnummer är ett exempel på uppgifter om abonnemang. För abonnemangsuppgifter innehåller LEK endast tystnadspliktsregler samt regler som avser behandling i abonnentupplysningssyfte. Det innebär att behandling för andra syften, t.ex. för förmedling av VMA, i nuläget inte skulle regleras av LEK utan av PuL.
Systemet för VMA via sms som tagits fram av SOS Alarm baseras på behandling av positionsuppgifter i syfte att nå mobilanvändare som faktiskt befinner sig i det område som meddelandet avser. I LEK finns bestämmelser som rör behandling av lokaliseringsuppgifter. Bestämmelserna avser behandling av dels trafikuppgifter, dels lokaliseringsuppgifter som inte är trafikuppgifter. Lokaliseringsuppgifter som inte är trafikuppgifter kan t.ex. avse positionsbestäm-
ning av en mobiltelefon via satellit genom GPS-systemet när tjänster med GPS används, t.ex. kartor och olika appar.
Trafikuppgifter är enligt definitionen i 6 kap. 1 § LEK uppgifter som behandlas i syfte att befordra ett elektroniskt meddelande via ett elektroniskt kommunikationsnät eller för att fakturera detta meddelande. För att kunna befordra elektroniska meddelanden samlar respektive mobiloperatör kontinuerligt in uppgifter om var varje användares mobiltelefon för tillfället befinner sig. Till trafikuppgifter hör således information om i vilken cell i mobilkommunikationssystemet som en mobilterminal finns.
Behandling av trafikuppgifter regleras i 6 kap. 5–8 §§ LEK. Huvudregeln i 6 kap. 5 § LEK innebär att trafikuppgifter som avser användare och abonnenter som är fysiska personer ska utplånas eller avidentifieras när de inte längre behövs för att överföra ett elektroniskt meddelande. Uppgifterna får dock sparas för sådan behandling som anges i 6 kap. 6, 13, 16 a eller 16 c § LEK. Undantagen gäller för behandling av trafikuppgifter som krävs för fakturering, för att på begäran av en abonnent kunna identifiera störande samtal samt för att tillhandahålla lokaliseringsuppgifter vid nödsamtal. Vidare är det för brottsbekämpande ändamål tillåtet att lagra uppgifter som är nödvändiga för att spåra och identifiera kommunikationskällan, slutmålet för kommunikationen, datum, tidpunkt och varaktighet för kommunikationen, typ av kommunikation, kommunikationsutrustning samt lokalisering av mobil kommunikationsutrustning vid en kommunikations början och slut. För uppgifter som lagras för brottsbekämpande ändamål finns begränsningar avseende bl.a. under vilka förutsättningar de får lämnas ut.
I 6 kap. 6 § andra stycket LEK stadgas att den som tillhandahåller en allmänt tillgänglig elektronisk kommunikationstjänst får behandla trafikuppgifter för att marknadsföra elektroniska kommunikationstjänster eller för att tillhandahålla andra tjänster där uppgifterna behövs. Sådan behandling förutsätter att den som uppgifterna rör har lämnat sitt samtycke.
Efter inhämtat samtycke skulle trafikuppgifter även kunna få behandlas för att sända VMA via sms. Behandling av trafikuppgifter i syfte att skicka VMA utan att samtycke först inhämtats medges inte enligt nu gällande lagstiftning.
Behandling av lokaliseringsuppgifter som inte är trafikuppgifter regleras i 6 kap. 9–10 a §§ LEK. Beträffande lokaliseringsuppgifter
som inte är trafikuppgifter krävs att de avidentifieras eller att abonnenten gett sitt samtycke för att de ska få behandlas. Inte heller sådana uppgifter får alltså utan samtycke behandlas för att skicka VMA via sms.
5.2. EU-rätt
Europaparlamentets och rådets direktiv 2002/58/EG om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation anger förutsättningarna för medlemsstaterna att lagstifta på området för elektronisk kommunikation. Direktivet har implementerats i svensk lag genom LEK. I artiklarna 6 och 9 stadgas de villkor för behandling av trafikuppgifter och andra lokaliseringsuppgifter som också är införda i LEK. I artikel 15 föreskrivs rätten för medlemsstaterna att lagstifta om undantag från de nämnda bestämmelserna givet att begränsningen är nödvändig, lämplig och proportionell för bl.a. att skydda nationell säkerhet (dvs. statens säkerhet), försvaret och allmän säkerhet. Det anges att medlemsstaterna för detta ändamål bl.a. får vidta lagstiftningsåtgärder som innebär att uppgifter får bevaras under en begränsad period som motiveras av de skäl som fastställts.
6. Överväganden och förslag
6.1. Allmänna utgångspunkter
Utredningens uppdrag är att undersöka de rättsliga förutsättningarna för SOS Alarm att inrätta och driva ett system för VMA via mobil och fast telefoni vid allvarliga olyckor och kriser. Utredningen utgår i sina överväganden ifrån den beskrivning av det tekniska systemet som SOS Alarm har lämnat (se avsnitt 4.5). En förutsättning för att det tekniska systemet i sin helhet ska fungera är att positionsuppgifter behandlas.
6.2. VMA via fast telefoni m.m.
Bedömning: Ingen lagändring krävs för att möjliggöra inrättande
och drift av den del av systemet som avser VMA via fast telefoni eller via sms till abonnemang med registrerad adress i ett område.
Delar av systemet har redan driftsatts av SOS Alarm, respektive kommer inom kort att driftsättas, och avser VMA via sms till abonnenter med registrerad adress inom ett aktuellt område respektive VMA genom förinspelade samtal till fasta telefoner. I dessa delar av systemet behandlas inga positionsuppgifter. Däremot behandlas uppgifter om adress och telefonnummer. De abonnenter eller användare som har registrerad adress inom ett område som berörs av ett VMA får ett meddelande skickat till sig oavsett om de för tillfället befinner sig där eller inte.
Behandlingen av personuppgifter regleras i denna del av PuL. En bedömning av huruvida behandlingen är tillåten får därmed göras enligt 10 § PuL. Utgångspunkten enligt den bestämmelsen är att personuppgifter får behandlas bara om den registrerade har lämnat
sitt samtycke till behandlingen. Om samtycke inte har inhämtats skulle behandling i samband med utskick av VMA i många fall kunna anses nödvändig för att vitala intressen för den registrerade ska kunna skyddas (10 c § PuL). I övriga fall får en intresseavvägning enligt 10 f § PuL göras, varvid intresset av att skicka ut ett VMA vid allvarliga olyckor och kriser torde väga tyngre än den registrerades intresse av skydd av den personliga integriteten. Enligt utredningens bedömning finns således redan rättsliga förutsättningar för SOS Alarm att inrätta och driva dessa delar av systemet. Behov av någon särskild reglering beträffande VMA via fast telefoni eller via sms till abonnemang med registrerad adress i ett område bedöms alltså inte föreligga. Några förslag lämnas därför inte i denna del. Skulle ett sådant behov uppkomma kan en bestämmelse införas i LEK med innebörden att den som förmedlar viktiga meddelanden till allmänheten får behandla de personuppgifter som är nödvändiga för ändamålet.
6.3. Kan VMA via sms utifrån position baseras på samtycke?
Bedömning: Det är inte lämpligt att införa ett system för VMA
via sms utifrån position baserat på krav på samtycke.
Det system som tagits fram av SOS Alarm baseras på information om i vilken mobilcell en viss mobilterminalutrustning befinner sig (se avsnitt 4.4). Såsom angetts i avsnitt 5.1 hindrar bestämmelserna i LEK som reglerar behandling av trafikuppgifter och lokaliseringsuppgifter som inte är trafikuppgifter att sådana uppgifter behandlas utan föregående samtycke från abonnenter eller användare. En första fråga är därför om det finns behov av ny eller ändrad lagstiftning eller om ett system för VMA via sms kan inrättas och drivas genom att samtycke först inhämtas.
Den tid och den administration som skulle krävas för att inhämta samtycke från varje enskild abonnent eller användare skulle innebära att införandet av systemet fördröjs avsevärt. Vidare skulle ett krav på samtycke leda till att det måste accepteras att inte alla mobilanvändare ger sitt samtycke, vilket i sin tur skulle kunna innebära att meddelandena inte kan förmedlas till samtliga terminaler i ett
aktuellt område. Vidare skulle det krävas omfattande informationsinsatser så att abonnenterna förstår konsekvenserna av att samtycke inte lämnas. Ett samtycke kan också när som helst återkallas. Dessutom skulle ett krav på samtycke göra att VMA inte skulle kunna skickas till utländska abonnenter som befinner sig i Sverige.
Att bygga systemet på inhämtade samtycken skulle alltså dels fördröja införandet av systemet, dels innebära att det inte får önskad effekt eftersom ett krav på samtycke skulle riskera att meddelandena inte når allmänheten i tillräckligt hög grad.
6.4. EU-rättsliga förutsättningar
Bedömning: Europaparlamentets och rådets direktiv 2002/58/EG
om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation hindrar inte tillåtande av behandling av lokaliseringsuppgifter i syfte att sända VMA.
Som angetts i avsnitt 5.2 finns enligt artikel 15 i Europaparlamentets och rådets direktiv 2002/58/EG om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation en möjlighet för medlemsstaterna att lagstifta om undantag från villkor för behandling av trafikuppgifter och andra lokaliseringsuppgifter bl.a. på grund av allmän säkerhet.
Att varna och informera allmänheten vid allvarliga olyckor och kriser är viktigt för att hindra och begränsa skador på liv, hälsa, egendom eller miljö. En lagändring för att möjliggöra att VMA skickas via sms måste därför, om avvägningar mellan nyttan av systemet och skyddet för den personliga integriteten görs, anses nödvändig, lämplig och proportionell för att skydda allmän säkerhet. Utredningen bedömer därför att det inte, under ovan angivna förutsättningar, finns något hinder mot att föreskriva om rätt att behandla positionsuppgifter i syfte att sända VMA.
6.5. Behandling av trafikuppgifter m.m. för förmedling av VMA
6.5.1. Skyddet för den personliga integriteten
Utredningen ska i sitt arbete särskilt uppmärksamma behovet av skydd för den personliga integriteten. Systemet för VMA via sms baserat på position bygger på uppgifter om i vilken mobilcell varje påslagen mobilterminal i Sverige finns. Mobiltelefonnummer, lokaliseringsuppgifter och tidsangivelser uppdateras i en särskild server och lagras där. Det är alltså fråga om behandling av integritetskänslig information. Systemet kommer dock inte att samla in några nya typer av uppgifter. Det handlar således om uppgifter som redan i dag behandlas av mobiloperatörerna.
Behandlingen av positionsuppgifter i syfte att förmedla VMA innebär en ny form av behandling genom att uppgifter som anger i vilken cell samtliga mobilterminaler finns lagras för ett visst ändamål. En sådan lagring är till sin natur integritetskänslig. I dagsläget sparas uppgifterna endast undantagsvis, i enlighet med reglerna i LEK, såsom exempelvis för lagring av trafikuppgifter i sex månader för brottsbekämpande ändamål enligt 6 kap. 16 d § LEK. Enligt SOS Alarm är tanken att uppgifterna ska lagras i åtta timmar och därefter automatiskt raderas. I systemet finns därför aldrig uppgifter som är äldre än så oavsett om terminalen har förflyttats eller befinner sig i samma cell. Uppgifterna kommer därmed i vissa fall att lagras längre tid än vad som är fallet i dag. Lagringen av dessa uppgifter kommer att centraliseras i särskilda för ändamålet avsedda servrar.
Utöver att systemet för VMA via sms baserat på position innebär en ökad och centraliserad behandling av integritetskänslig information kan ett meddelande som skickats till en terminal baserat på dess position ge innehavaren av terminalen en känsla av att vara övervakad. Vidare kan det av ett sparat VMA-sms framgå att abonnentens terminalutrustning befunnit sig inom ett visst område vid en viss tidpunkt, vilket skulle kunna vara oönskat i vissa situationer.
Med hänsyn till det anförda måste det ställas höga krav på säkerhet i samband med den behandling av positionsuppgifter som kommer att ske vid förmedling av VMA via sms som inte har anknytning till abonnemangets registrerade adress. Vidare är det av stor vikt att det i lag är klart avgränsat för vilket syfte och i vilken omfattning uppgifterna får behandlas samt vem som har rätt att behandla
uppgifterna. Det måste klart definieras vilka uppgifter som får behandlas samt i vilken utsträckning detta får ske. Dessa avgränsningar blir den yttre ram som ska garantera att uppgifterna endast behandlas om det är motiverat och nödvändigt.
Det är också lämpligt att de bestämmelser i LEK som ger skydd för den personliga integriteten kan tillämpas på det nya systemet. Lagändringarna bör därför konstrueras så att LEK blir tillämplig på all behandling av personuppgifter i systemet för förmedling av VMA via sms baserat på trafikuppgifter och lokaliseringsuppgifter som inte är trafikuppgifter.
6.5.2. Vilka uppgifter ska få behandlas för förmedling av VMA?
Förslag: Trafikuppgifter och lokaliseringsuppgifter som inte är
trafikuppgifter samt uppgifter om abonnemang får behandlas vid medverkan till förmedling av VMA till terminalutrustning som används inom ett angivet geografiskt område.
I systemet för VMA via sms baserat på terminalutrustningens aktuella position kommer såväl abonnentuppgifter som trafikuppgifter att behöva behandlas. Det kan även bli aktuellt att använda lokaliseringsuppgifter som inte är trafikuppgifter. En lagändring som tillåter behandling av såväl trafikuppgifter som lokaliseringsuppgifter som inte är trafikuppgifter i syfte att sända VMA möjliggör att samtliga lokaliseringsuppgifter kan användas för det aktuella syftet. För att möjliggöra för operatörerna att medverka till förmedling av VMA i dessa fall bör därför lagen om elektronisk kommunikation ändras så att mobiloperatörerna får behandla abonnentuppgifter, trafikuppgifter och lokaliseringsuppgifter som inte är trafikuppgifter utan samtycke från abonnenten eller användaren för detta ändamål.
När det gäller uppgifter om abonnemang, såsom i förevarande fall mobiltelefonnummer, bör föreskrivas att behandling tillåts för att förmedla VMA via mobil telefoni baserat på position. På så sätt skapas en särreglering för all behandling av uppgifter som behöver ske inom ramen för systemet för VMA till terminalutrustning som används inom ett angivet geografiskt område. Detta leder till att LEK i enlighet med 6 kap. 2 § första stycket blir tillämplig avseende behandling
av personuppgifter i syfte att medverka till förmedling av VMA via sms baserat på mobiltelefoners aktuella position.
6.5.3. Vem ska ha rätt att behandla uppgifterna?
Förslag: Endast den som tillhandahåller en allmänt tillgänglig tele-
fonitjänst till mobil nätanslutningspunkt och har tillgång till trafikuppgifter, lokaliseringsuppgifter som inte är trafikuppgifter och uppgifter om abonnemang tillåts behandla dessa uppgifter för förmedling av VMA till terminalutrustning som används inom ett angivet geografiskt område.
Någon särskild reglering av utlämning av uppgifterna införs inte.
För att den enskildes personliga integritet ska garanteras erforderligt skydd anser utredningen att det är av väsentlig betydelse att antalet aktörer som får behandla de uppgifter som behöver användas för utskick av VMA via sms baserat på mobiltelefoners aktuella position begränsas. Respektive mobiloperatör har tillgång till de uppgifter – trafikuppgifter, lokaliseringsuppgifter som inte är trafikuppgifter och uppgifter om abonnemang – som behövs för att kunna förmedla VMA i dessa fall. Det är därför lämpligt att uppgifterna endast får behandlas av den som redan i dag behandlar dessa, dvs. den som tillhandahåller en allmänt tillgänglig telefonitjänst till mobil nätanslutningspunkt (mobiloperatör). En sådan lösning innebär att de aktuella uppgifterna inte behöver lämnas ut till någon annan aktör eller myndighet.
Så länge behandlingen utförs av mobiloperatörerna i samband med tillhandahållandet av en elektronisk kommunikationstjänst så gäller exempelvis säkerhetskraven i 6 kap. 3 § och tystnadsplikten i 6 kap. 20 § LEK. Vidare är det önskvärt att det är tydligt vem som är personuppgiftsansvarig. För det fall endast respektive mobiloperatör behandlar uppgifterna är det enligt utredningens mening klart att mobiloperatören är personuppgiftsansvarig.
Med beaktande av integritetsaspekterna är det alltså enligt utredningens mening olämpligt att uppgifterna lämnas ut. Därtill skulle det innebära ökade kostnader att säkerställa att säkerhetskraven uppfylls både hos sändaren, under överföringen och hos mottagaren.
Det tekniska system som tagits fram av SOS Alarm innebär inte någon ny insamling av trafikuppgifter eller lokaliseringsuppgifter som inte är trafikuppgifter. Uppgifter som redan i dag finns hos mobiloperatörerna uppdateras i en särskild server hos mobiloperatören för att behandlas för ett nytt ändamål, nämligen för att möjliggöra att VMA sänds ut. Det är, enligt den beskrivning av tekniken som lämnats av SOS Alarm, inte nödvändigt att uppgifterna lämnas ut från mobiloperatörerna till SOS Alarm. Den aktuella tekniken bygger i stället på principen att mobiloperatörerna sparar uppgifterna under en begränsad tid i syfte att kunna förmedla VMA vid begäran och att det också är mobiloperatörerna som medverkar till sändningen av meddelandena. Tekniken förutsätter alltså inte att uppgifterna utlämnas. Tvärtom är det enbart mobiloperatörerna som kommer att behandla de aktuella uppgifterna.
Sammantaget är alltså lagändringar som skulle möjliggöra utlämnande av uppgifterna varken lämpliga eller nödvändiga för att den teknik som SOS Alarm har tagit fram ska kunna användas. Således bör endast den som tillhandahåller en allmänt tillgänglig telefonitjänst till mobil nätanslutningspunkt och som redan har tillgång till de aktuella uppgifterna få behandla dessa i syfte att medverka till förmedling av VMA till terminalutrustning baserat på aktuell position. Någon särskild rätt eller skyldighet att lämna ut uppgifterna för ändamålet bör inte införas.
6.5.4. Begränsning avseende ändamål
Förslag: Behandling av trafikuppgifter, lokaliseringsuppgifter som
inte är trafikuppgifter och uppgifter om abonnemang tillåts endast för förmedling av VMA till terminalutrustning som används inom ett angivet geografiskt område.
Syftet med behandlingen av trafikuppgifter, lokaliseringsuppgifter som inte är trafikuppgifter och uppgifter om abonnemang är att uppgifterna ska kunna användas för att skicka sms baserat på aktuell position som en del av VMA-systemet. Det tillåtna ändamålet för behandlingen bör begränsas till förmedling av VMA till terminalutrustning som används inom ett angivet geografiskt område. Behandling av uppgifterna ska således tillåtas endast för att möjliggöra att
VMA som ett komplement till sändning i radio och TV dessutom ska kunna sändas via mobil telefoni.
Systemet för VMA regleras till stor del genom avtal. Grunden för VMA via mobil och fast telefoni har fastslagits i bilaga 7 till alarmeringsavtalet mellan staten och SOS Alarm (se bilaga 4). För VMA i radio och TV gäller ”Överenskommelse angående varnings- och informationssystemet Viktigt Meddelande till Allmänheten (VMA)”. Överenskommelsen har träffats mellan å ena sidan programbolagen Sveriges Radio AB, Sveriges Television AB och Sveriges Utbildningsradio AB och å andra sidan MSB samt – när det gäller förmedling av begäran om VMA – SOS Alarm. Enligt överenskommelsen sänds varningsmeddelande då risk bedöms föreligga för omedelbar och allmän fara för liv och hälsa, betydande skada på egendom eller miljö eller vid risk för spridning av en allvarlig sjukdom. Informationsmeddelande sänds för att förebygga och begränsa väsentliga och omfattande skador på liv, hälsa, egendom eller miljö och vid smittspridning. Vidare sänds meddelande om att faran är över när den överhängande faran inte längre föreligger.
Systemet är avsett att fungera på så sätt att VMA via sms baserat på mobiltelefoners aktuella position ska kunna sändas i samband med att ett meddelande också sänds i radio och TV. Mobiloperatörerna ska därför tillåtas behandla de aktuella uppgifterna i de situationer då varnings-, informationsmeddelande eller meddelande om att faran är över sänds enligt den nämnda överenskommelsen.
Det skulle kunna finnas intresse av att skicka meddelanden till allmänheten via systemet även när det inte är frågan om varning eller information som innefattas i VMA-systemet, t.ex. för att nå ut med annan samhällsinformation. Det kan också finnas kommersiella eller andra intressen av att använda lokaliseringsuppgifter som sparats i syfte att möjliggöra förmedling av VMA. Något sådant ytterligare användningsområde för uppgifterna än VMA vid allvarliga olyckor och kriser är inte åsyftat. Ändamålet med behandlingen bör därför tydliggöras i lag. Det bör stadgas att behandling får ske för ändamålet att medverka till förmedling av VMA till terminalutrustning som används inom ett angivet område.
Regeringen har valt att reglera stora delar av VMA-systemet genom avtal, dels genom överenskommelsen som rör VMA via radio och TV, dels genom alarmeringsavtalet. SOS Alarms uppdrag att inrätta och driva ett tekniskt system för VMA via mobil och fast
telefoni framgår av bilaga 7 till alarmeringsavtalet som tecknats mellan staten och SOS Alarm (se bilaga 4).
Utredningens förslag till ändringar i LEK och förordningen (2003:396) om elektronisk kommunikation reglerar enbart den del av systemet som avser VMA via mobil telefoni baserat på terminalutrustnings aktuella position. Förslagen reglerar förhållandet mellan å ena sidan regeringen eller den som regeringen bestämt ska förmedla begäran om VMA till mobiloperatörerna, och å andra sidan mobiloperatörerna samt mobiloperatörernas rätt att behandla uppgifter för att förmedla VMA i denna del av systemet. Mobiloperatörerna blir enligt utredningens förslag skyldiga att förmedla VMA till terminalutrustning som används inom ett angivet geografiskt område på begäran av regeringen eller efter förmedling av den regeringen bestämt. Vidare får mobiloperatörerna rätt att för detta ändamål behandla abonnentuppgifter, trafikuppgifter och lokaliseringsuppgifter som inte är trafikuppgifter.
Eftersom systemet för VMA via fast och mobil telefoni ska vara ett komplement till VMA via radio och TV bör behörigheten att begära VMA via telefoni och avgränsningen av i vilka situationer detta får ske härledas ur rätten att begära VMA via radio och TV.
För att tydliggöra vad som gäller för VMA via telefoni, både såvitt avser vilka aktörer som är behöriga att begära VMA för vidarebefordring till mobiloperatörerna och i vilka situationer varningsmeddelanden, informationsmeddelanden och faran över-meddelanden får sändas, kan ett tillägg avseende dessa frågor göras i alarmeringsavtalet. Med ett tillägg kan även MSB:s tillsyn över alarmeringsavtalet tydligt omfatta dessa delar av systemet.
6.5.5. Begränsning avseende uppgifter och tid
Förslag: Behandlingen av uppgifter för att förmedla VMA till ter-
minalutrustning som används inom ett angivet geografiskt område tillåts endast i den utsträckning och under den tid som är nödvändig för ändamålet. Trafikuppgifterna och lokaliseringsuppgifterna som inte är trafikuppgifter ska därefter utplånas om inte annat följer av LEK.
Utredningen föreslår att det ska bli tillåtet att behandla såväl trafikuppgifter, lokaliseringsuppgifter som inte är trafikuppgifter samt uppgifter om abonnemang. Behandlingen bör dock av integritetsskäl begränsas till vad som är nödvändigt. Det innebär att endast de uppgifter som behövs för systemet får behandlas.
Syftet med systemet måste vara att nå så många berörda personer som möjligt som kan ha behov av meddelandena. För att kunna besvara frågan om under hur lång tid uppgifterna ska få behandlas behövs information om hur lång tid uppgifterna behöver sparas för att få önskad effekt när ett VMA sänds. En avvägning måste göras mellan behovet av uppgifterna för VMA-systemet och skyddet av enskildas integritet. Det framtagna systemet förutsätter kontinuerlig uppdatering och uppgifter som är äldre än åtta timmar raderas automatiskt. Lagringen blir därmed aldrig mer långvarig än så. Det kan tänkas att tekniken förändras eller att en annan bedömning görs avseende hur länge uppgifterna måste lagras för att det aktuella systemet ska fungera och vara effektivt. Enligt utredningens mening bör någon exakt tidsgräns avseende behandling inte införas i lag. I stället bör stadgas att behandlingen endast får ske i den utsträckning och under den tid som är nödvändig för ändamålet med behandlingen. Behandling bör således inte ske längre tid än vad som är nödvändigt för syftet. PTS bör ges möjlighet att föreskriva om hur länge uppgifterna får behandlas, för det fall behov av reglering skulle uppstå (se vidare avsnitt 6.9).
När det gäller trafikuppgifter och lokaliseringsuppgifter som inte är trafikuppgifter bör mobiloperatörerna av integritetsskäl förpliktas att radera uppgifterna när dessa inte längre behövs, om det inte finns någon annan grund enligt LEK för att behandla de aktuella uppgifterna. Det är lämpligt att föreskriva att uppgifterna ska utplånas eftersom syftet måste vara att uppgifterna ska förstöras på så sätt att de inte kan återskapas. Det kommer att vara upp till tillsynsmyndigheten att kontrollera att regelverket i denna del efterlevs.
6.5.6. Undantag från 6 kap. 5–7 och 9–10 §§ LEK
Förslag: 6 kap. 5–7 och 9–10 §§ LEK ska inte gälla för behandling
av uppgifter i syfte att medverka till förmedling av VMA till terminalutrustning som används inom ett angivet geografiskt område.
För behandling av lokaliseringsuppgifter för andra ändamål finns regler om begränsningar i 6 kap. 5–7 och 9–10 §§ LEK. Huvudregeln för behandling av trafikuppgifter finns i 5 § och huvudregeln för lokaliseringsuppgifter som inte är trafikuppgifter finns i 9 §.
Utredningen föreslår att trafikuppgifter och lokaliseringsuppgifter som inte är trafikuppgifter får användas för förmedling av VMA via sms till terminalutrustning som används inom ett angivet geografiskt område. Det måste alltså införas ett undantag från 5 §, som stadgar att lagrade eller på annat sätt behandlade trafikuppgifter ska utplånas eller avidentifieras när uppgifterna inte längre behövs för att överföra ett elektroniskt meddelande.
6 § innehåller en begränsning av hur länge trafikuppgifter får behandlas. Trafikuppgifter som krävs för abonnentfakturering och betalning av avgifter för samtrafik får behandlas till dess att fordran är betald eller preskription inträtt och det inte längre lagligen går att göra invändningar mot faktureringen eller avgiften. 7 § innehåller begränsningar av för vilka syften trafikuppgifter får behandlas samt vem som får behandla uppgifterna. Det stadgas att behandling av trafikuppgifter enligt 5 och 6 §§ får utföras endast av den som fått i uppdrag av den som bedriver verksamhet som är anmälningspliktig att sköta fakturering, trafikstyrning, kundförfrågningar, marknadsföring av elektroniska kommunikationstjänster eller tillhandahållande av andra tjänster där uppgifterna behövs. Vidare gäller att behandlingen ska begränsas till vad som är nödvändigt för verksamheten.
Dessutom måste ett undantag från 9 §, som stadgar att lokaliseringsuppgifter som inte är trafikuppgifter får behandlas endast sedan de avidentifierats eller samtycke lämnats, införas. 10 § innehåller en begränsning av vem som i enlighet med 9 § får behandla lokaliseringsuppgifter som inte är trafikuppgifter. Endast den som handlar på uppdrag av den som tillhandahåller ett allmänt kommunikationsnät eller en allmänt tillgänglig elektronisk kommunikations-
tjänst, eller av den som tillhandahåller den tjänst där uppgifterna behövs får behandla uppgifter i enlighet med 9 §.
När det gäller behandling i syfte att sända VMA via sms baserat på mobiltelefoners aktuella position bör, som angetts i tidigare avsnitt, andra begränsningar än de nu nämnda gälla. Det bör således föreskrivas att 6 kap. 5–7 och 9–10 §§ LEK inte gäller för behandlingen.
6.6. Skyldighet att på begäran förmedla VMA
Förslag: Det införs en skyldighet för samtliga aktörer som till-
handahåller en allmänt tillgänglig telefonitjänst till mobil nätanslutningspunkt att på begäran av regeringen eller efter förmedling av den regeringen bestämt medverka till förmedling av VMA till terminalutrustning som används inom ett angivet geografiskt område.
De representanter från mobiloperatörerna som utredningen varit i kontakt med har varit av uppfattningen att mobiloperatörerna bör vara skyldiga enligt lag att medverka till att meddelandena skickas. Som skäl för denna uppfattning har bl.a. framförts att ett tydligt krav i lag underlättar förståelsen från abonnenternas sida när det gäller att mobiloperatörerna behandlar uppgifterna på det aktuella sättet. Det har inte framkommit några skäl emot att i lag föreskriva om en skyldighet för mobiloperatörerna att vid begäran medverka till att VMA sänds. Utredningen anser tvärtom att det är av vikt att det tydliggörs att mobiloperatörerna har en laglig rätt att behandla lokaliseringsuppgifter och skyldighet att förmedla VMA i de fall det avser meddelanden till terminalutrustning som används inom ett angivet geografiskt område. På detta sätt tydliggörs behovet av mobiloperatörernas medverkan för att systemet ska fungera. Med hänsyn till det sagda föreslås att det införs en skyldighet att medverka till förmedling av VMA i dessa fall.
De nätägande mobiloperatörerna som kommer att ha särskilda servrar med uppgifter för att sända VMA via sms baserat på mobiltelefoners aktuella position, bör självfallet omfattas av skyldigheten. I den mån även andra mobiloperatörer på något sätt behöver medverka till förmedlingen för att samtliga mobilanvändare i Sverige
ska kunna nås genom systemet bör de också vara skyldiga att göra det. Skyldigheten bör därför enligt utredningens mening omfatta alla som tillhandahåller en allmänt tillgänglig telefonitjänst till mobil nätanslutningspunkt. Att skyldigheten omfattar samtliga mobiloperatörer kan också vara en fördel om den tekniska lösningen skulle ändras.
Skyldigheten för mobiloperatörerna att medverka till förmedlingen bör därför gälla på begäran av regeringen eller efter förmedling av den som regeringen bestämt.
6.7. Säkerhet
Bedömning: De säkerhetsbestämmelser i LEK som gäller i sam-
band med tillhandahållande av en elektronisk kommunikationstjänst omfattar även behandling av uppgifter för förmedling av VMA till terminalutrustning som används inom ett angivet geografiskt område.
Med hänsyn både till att systemet för VMA via sms baserat på mobiltelefoners aktuella position ska fungera tillfredsställande och till att den enskildes integritetsskydd ska upprätthållas måste det ställas höga krav på säkerhet kring det aktuella systemet. Hög säkerhet är också viktigt för medborgarnas förtroende för systemet.
I 6 kap. LEK finns bestämmelser rörande integritetsskydd m.m. som gäller i samband med tillhandahållandet av en elektronisk kommunikationstjänst. Systemet för VMA via sms baserat på mobiltelefoners aktuella position måste anses bli en del av den elektroniska kommunikationstjänst som respektive mobiloperatör tillhandahåller. Det betyder att de olika säkerhetsbestämmelserna också blir tillämpliga avseende behandlingen av uppgifter för VMA via sms till terminalutrustning som används inom ett angivet geografiskt område. Särskilt kan följande nämnas.
Enligt 6 kap. 3 § ska den som tillhandahåller en allmänt tillgänglig elektronisk kommunikationstjänst vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa att uppgifter som behandlas i samband med tillhandahållandet av tjänsten skyddas. Vidare ska den som tillhandahåller ett allmänt kommunikationsnät vidta de åtgärder som är nödvändiga för att upprätthålla detta skydd i
nätet. Det stadgas att åtgärderna ska vara ägnade att säkerställa en säkerhetsnivå som, med beaktande av tillgänglig teknik och kostnaderna för att genomföra åtgärderna, är anpassad till risken för integritetsincidenter. PTS har föreskriftsrätt avseende skyddsåtgärder enligt den nämnda paragrafen. PTS tillsyn över efterlevnaden av LEK kommer att gälla också för de nya bestämmelserna.
Även reglerna i 6 kap. 4, 4 a och 4 b §§ avseende information till abonnenten om risker för bristande skydd, rapportering och dokumentation av integritetsincidenter samt reglerna om tystnadsplikt i 6 kap. 20 § bedöms bli tillämpliga. Enligt utredningens bedömning är de säkerhetsbestämmelser som redan finns i LEK och som blir tillämpliga också avseende mobiloperatörernas hantering av uppgifter inom denna del av systemet för VMA tillräckliga.
Bestämmelserna i PuL om rättelse och skadestånd gäller enligt 6 kap. 2 § LEK även vid behandling av personuppgifter enligt LEK.
6.8. Ändringar i lag
Förslag: Regleringen avseende skyldigheten för mobiloperatör att
medverka till förmedling av VMA införs i 5 kap. 7 § LEK.
Det införs en ny bestämmelse, 6 kap. 10 b § LEK, avseende behandling av trafikuppgifter, lokaliseringsuppgifter som inte är trafikuppgifter och uppgifter om abonnemang.
Det föreslås att mobiloperatörerna tillåts behandla trafikuppgifter och lokaliseringsuppgifter som inte är trafikuppgifter samt uppgifter om abonnemang i den utsträckning och under den tid som är nödvändig för att medverka till förmedling av VMA till terminalutrustning som används inom ett angivet geografiskt område vid allvarliga olyckor och kriser. Det föreslås också att mobiloperatörerna ska vara skyldiga att på begäran av den regeringen eller efter förmedling av den som regeringen bestämt medverka till förmedling av VMA till terminalutrustning (mobiltelefoner) som används inom ett geografiskt område.
VMA via sms i dessa fall kommer att bli en samhällsomfattande tjänst till slutanvändare och skyldigheten att förmedla VMA passar därför systematiskt in i kapitel 5 i LEK.
I 7 § regleras att den som tillhandahåller ett allmänt tillgängligt kommunikationsnät eller en allmänt tillgänglig telefonitjänst ska medverka till att nödsamtal kopplas fram, avgiftsfritt lämna lokaliseringsuppgifter till den som tar emot nödsamtal, lämna ut abonnentuppgifter för abonnentupplysning, tillhandahålla specificerade telefonräkningar samt se till att slutanvändare, under vissa förutsättningar, kan nå samtliga nummer som tillhandahålls inom Europeiska ekonomiska samarbetsområdet. Vidare stadgas i 7 § att samtal som är avgiftsfria för den uppringande abonnenten inte får anges på dennes telefonräkning. Utredningen föreslår att skyldigheten för mobiloperatörer att vid begäran medverka till att VMA till terminalutrustning som används inom ett angivet geografiskt område förmedlas förs in i ett nytt andra stycke i 7 §.
Kapitel 6 i LEK rör behandling av trafikuppgifter samt integritetsskydd. Utredningen föreslår att en paragraf införs efter reglerna om behandling av trafikuppgifter och behandling av andra lokaliseringsuppgifter, dvs. som 6 kap. 10 b §. För att tydliggöra bestämmelsens innehåll bör den få rubriken ”Viktigt meddelande till allmänheten”.
6.9. Föreskriftsrätt
Förslag: Regeringen eller den myndighet som regeringen bestäm-
mer ska få meddela föreskrifter om på vilket sätt skyldigheten att medverka till förmedling av VMA ska fullgöras, undantag från denna skyldighet samt vilka uppgifter som omfattas av skyldigheten.
Mot bakgrund av att SOS Alarm har för avsikt att samverka med de fyra aktuella mobiloperatörerna och avtala om detaljer rörande systemets drift ser utredningen inte något omedelbart förestående behov av utfärdande av föreskrifter. Emellertid kan ett sådant behov uppkomma och utredningen föreslår därför ett stadgande om föreskriftsrätt i anslutning till bestämmelsen i 5 kap. 7 § LEK om skyldighet att förmedla VMA till terminalutrustning som används inom ett angivet geografiskt område.
I den nuvarande lydelsen av 5 kap. 7 § sista stycket LEK anges att regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om
1. på vilket sätt skyldigheterna ska fullgöras,
2. undantag från skyldigheterna,
3. i fråga om första stycket 2–4, vilka uppgifter som omfattas av
skyldigheterna, och
4. i fråga om första stycket 2, de krav som ska uppfyllas vid tillhanda-
hållandet av uppgifterna.
Föreskriftsrätten enligt 5 kap. 7 § sista stycket 1–3 LEK torde omfatta de frågor som i ett senare skede kan komma att behöva regleras genom föreskrifter. Eftersom det förslås att samtliga mobiloperatörer ska bli skyldiga att medverka till förmedling av VMA baserat på mobiltelefoners aktuella position kan det, om t.ex. oklarheter eller tekniska svårigheter uppstår, behövas föreskrifter angående på vilket sätt skyldigheterna ska fullgöras, undantag från dessa, hur länge uppgifterna får behandlas samt vilka uppgifter som omfattas av skyldigheterna.
Den fjärde punkten i sista stycket gäller föreskrifter om de krav som ska uppfyllas vid tillhandahållande av lokaliseringsuppgifter till den som tar emot nödsamtal. Eftersom det för förmedlingen inte blir fråga om att mobiloperatörerna ska lämna ut lokaliseringsuppgifter blir det inte aktuell med motsvarande föreskriftsrätt för detta.
Utredningen föreslår således att föreskriftsrätten i 5 kap. 7 § LEK utvidgas till att även omfatta skyldigheten att förmedla VMA. I enlighet härmed föreslås att 30 § i förordningen om elektronisk kommunikation ändras på så sätt att det av den bestämmelsen framgår att PTS får meddela förskrifter om skyldigheten att medverka till förmedling av VMA.
6.10. Ikraftträdande
Förslag: Författningsändringarna ska träda i kraft den 1 januari
2016.
Systemet för VMA via sms baserat på mobiltelefoners aktuella position är redan framtaget av SOS Alarm och tekniken är klar att driftsättas från SOS Alarms sida. Det bör emellertid beaktas att viss tid krävs för att SOS Alarm och samtliga aktuella mobiloperatörer ska träffa avtal. Vidare måste tekniken installeras hos mobiloperatörerna innan dessa kan uppfylla den föreslagna skyldigheten att medverka till förmedlingen av VMA. Med hänsyn till detta samt till den sedvanliga tidsåtgången för beredning av lagstiftningsärenden uppskattar utredningen att den tidigaste tidpunkten som de nya bestämmelserna kan träda i kraft är den 1 januari 2016.
7. Konsekvenser av förslagen
7.1. Inledning
Enligt 14–15 a §§kommittéförordningen (1998:1474) ska utredningen beräkna och redovisa de ekonomiska konsekvenserna av sitt förslag. Det gäller förslag som påverkar kostnaderna eller intäkterna för staten, kommuner, landsting, företag eller andra enskilda och förslag som innebär samhällsekonomiska konsekvenser i övrigt. När det gäller kostnadsökningar eller intäktsminskningar för staten, kommuner eller landsting ska utredningen föreslå en finansiering. Vidare följer av 15 § att om förslagen i ett betänkande har betydelse för den kommunala självstyrelsen, ska konsekvenserna i det avseendet anges i betänkandet. Detsamma gäller när ett förslag har betydelse för brottsligheten och det brottsförebyggande arbetet, för sysselsättning och offentlig service i olika delar av landet, för små företags arbetsförutsättningar, konkurrensförmåga eller villkor i övrigt i förhållande till större företags, för jämställdheten mellan kvinnor och män eller för möjligheterna att nå de integrationspolitiska målen.
Om ett betänkande innehåller förslag till nya eller ändrade regler, ska vidare enligt 15 a § förslagens kostnadsmässiga och andra konsekvenser anges i betänkandet. Konsekvenserna ska anges på ett sätt som motsvarar de krav på innehållet i konsekvensutredningar som finns i 6 och 7 §§ förordningen (2007:1244) om konsekvensutredning vid regelgivning.
Enligt 16 § kommittéförordningen anger regeringen närmare i utredningsuppdraget vilka konsekvensbeskrivningar som ska finnas i ett betänkande.
Enligt utredningens direktiv ska utredningen beskriva eventuella konsekvenser av förslagen för statliga myndigheter, landsting, kommuner, operatörer och andra relevanta aktörer som kan beröras.
7.2. Avgränsningar
Konsekvensanalysen ska i enlighet med vad som ovan angetts begränsas till att avse konsekvenser som följer av de författningsförslag som lämnas i detta betänkande. För tydligenhetens skull kan följande nämnas. Det är redan beslutat att VMA via fast och mobil telefoni ska införas och MSB belastar sedan 2013 del av sitt anslag för krisberedskap med 25 miljoner kronor per år avseende ersättning till SOS Alarm för inrättandet av systemet (se avsnitt 4.2). Eftersom de konsekvenser som det innebär att införa det aktuella systemet, såsom kostnader för den tekniska utrustningen och underhåll av denna samt samhällsnyttan av systemet, inte är en följd av de författningsförslag som lämnas i detta betänkande kommer dessa inte att gås igenom. Vidare har MSB respektive FMV analyserat konsekvenser – ekonomiska och andra – av att införa systemet samt av att välja sms-tekniken framför ett system baserat på Cell Broadcast. Med hänsyn till att det i utredningens uppdrag inte ingår att bedöma olika tekniska lösningar för att inrätta eller driva VMA berörs inte heller denna fråga i konsekvensanalysen.
Konsekvensanalysen begränsas alltså till att avse konsekvenser av de regler som föreslås för att ge rättsliga förutsättningar för att genomföra systemet, nämligen för att tillåta behandling av lokaliseringsuppgifter i syfte att medverka till förmedling av viktigt meddelande till allmänheten och för att förplikta mobiloperatörer att medverka till förmedlingen.
7.3. Överväganden och bedömningar
Förslagen syftar till att möjliggöra att SOS Alarm kan inrätta och driva ett system för VMA via fast och mobil telefoni. När det gäller alternativa lösningar avseende reglering kan följande konstateras. Utredningen har valt att föreslå att mobiloperatörerna förpliktas att medverka till förmedlingen. För att systemet skulle kunna införas utan lagliga hinder vore det tillräckligt att tillåta behandling av trafikuppgifter och lokaliseringsuppgifter som inte är trafikuppgifter i syfte att sända VMA. Att förplikta mobiloperatörerna genom lag att medverka är alltså inte nödvändigt för att det ska finnas rättsliga förutsättningar för systemet. Utöver de skäl för den valda lösningen som angetts i avsnitt 6.6 kan nämnas att systemet torde kunna införas
snabbare om det står klart att berörda mobiloperatörer är skyldiga att medverka eftersom ingen operatör då kan välja att stå utanför och därmed fördröja införandet.
För det fall det inte görs möjligt att behandla lokaliseringsuppgifter i syfte att förmedla VMA kan det nu aktuella systemet med den valda tekniken inte i sin helhet införas.
Utredningen föreslår att mobiloperatörerna ska förpliktas att medverka till förmedling av viktiga meddelanden till allmänheten. Skyldigheten avser att sända sms till användare i det egna nätet. Detta medför en kostnad. Vid utredningens kontakter med branschen har dock framkommit att kostnaden för att skicka sms i mobiloperatörens eget nät är försumbar.
Varje år sänds ca 20 VMA. Även om skyldigheten att sända VMA i första hand åläggs de nätagande mobiloperatörerna är, med hänsyn till antalet VMA, den sannolika inverkan på konkurrensen gentemot andra mobiloperatörer obetydlig.
Förslagen innebär ett visst ökat åtagande för PTS, som är tillsynsmyndighet enligt LEK. Antalet tillsynsärenden bedöms dock inte bli fler än ett fåtal. Hanteringen av dessa ska därför hanteras inom befintliga ekonomiska ramar för myndigheten. Beslut i tillsynsärenden enligt LEK överklagas till allmän förvaltningsdomstol. I och med att antalet tillsynsärenden antas bli litet torde det bli sällsynt med överklagade tillsynsbeslut. Handläggningen av sådana mål ska därför rymmas inom befintliga anslag för domstolarna.
Utredningen har i avsnitt 5.4 gjort bedömningen att förslagen överensstämmer med EU-rätten.
Förslagen bedöms sammantaget inte ha några effekter för statsbudgeten. Förslagen har inte några effekter för den kommunala självstyrelsen, brottsligheten och det brottsförebyggande arbetet, jämställdheten mellan kvinnor och män eller möjligheterna att uppnå de integrationspolitiska målen.
Med hänsyn till att de föreslagna reglerna möjliggör införandet av systemet är det lämpligt att det förekommer informationsinsatser i samband med ikraftträdandet så att mobilanvändarna underrättas om att VMA kommer att skickas på ett nytt sätt. Informationsinsatserna kan genomföras av MSB, som har i uppgift att utveckla samhällets förmåga att förebygga och hantera olyckor och kriser. Uppgiften bör kunna hanteras inom befintliga ekonomiska ramar för myndigheten.
8. Författningskommentar
Förslaget till lag om ändring i lagen (2003:389) om elektronisk kommunikation
5 kap. 7 §
Bestämmelsen reglerar skyldigheten för den som tillhandahåller en allmänt tillgänglig telefonitjänst till mobil nätanslutningspunkt att medverka till förmedling av viktiga meddelanden till allmänheten till terminalutrustning som används inom ett angivet geografiskt område. Samtliga operatörer som tillhandahåller en allmänt tillgänglig telefonitjänst till mobil anslutningspunkt förpliktas medverka till förmedlingen. I första hand avses nätägare men även andra operatörer är skyldiga att medverka utifrån sina förutsättningar. Skyldigheten gäller på begäran av regeringen eller efter förmedling av den som regeringen bestämt. Den som begär att ett meddelande ska sändas ska också ange vilket geografiskt område meddelandet gäller. Mobiloperatörerna ska förmedla meddelandena till de terminaler som enligt trafikuppgifter eller andra lokaliseringsuppgifter används i området.
6 kap. 10 b §
Paragrafen är ny och innebär att behandling av trafikuppgifter och andra lokaliseringsuppgifter tillåts för att uppfylla skyldigheten att förmedla viktiga meddelanden till allmänheten enligt 5 kap. 7 § andra stycket. Även uppgifter om abonnemang, såsom telefonnummer och adressuppgifter, får behandlas för detta ändamål. Av bestämmelsen följer att endast den som är skyldig att medverka till förmedlingen tillåts behandla uppgifterna. I bestämmelsen regleras också den tillåtna behandlingens omfattning. Utplåning av trafikuppgifter
och lokaliseringsuppgifter som inte är trafikuppgifter ska ske när behandlingen avslutats om det inte finns någon annan grund enligt LEK för att behandla de aktuella uppgifterna.
I andra stycket förtydligas att bestämmelserna i 5–7 och 9–10 §§ inte gäller för behandlingen.
Kommittédirektiv 2013:110
Strategi och mål för hantering och överföring av information i elektroniska kommunikationsnät och it-system
Beslut vid regeringssammanträde den 28 november 2013
Sammanfattning
En särskild utredare ges i uppdrag att föreslå strategi och mål för hantering och överföring av information i elektroniska kommunikationsnät och it-system.
Utredaren ska då
- föreslå en nationell strategi för hantering och överföring av information i elektroniska kommunikationsnät och it-system,
- föreslå övergripande mål för samhällets informationssäkerhetsarbete, och hur Sverige ska upprätthålla säkerhet och integritet i samhällsviktig it-infrastruktur,
- klargöra begrepp som används inom informationssäkerhetsområdet och vid behov föreslå förtydligande eller alternativa benämningar och definitioner, särskilt av sådana som används i förslaget till nationell strategi, och
- med utgångspunkt i uppdraget redovisa statliga myndigheters ansvar och roller utifrån de uppgifter och uppdrag på informationssäkerhetsområdet som de har i dag.
Nuvarande ansvarsförhållanden och åtaganden ska beaktas men inte begränsa utredningen, som ska utgå från ansvarsprincipen och gällande ekonomiska ramar. De begrepp eller benämningar som används i dessa direktiv ska inte föregripa eller begränsa utredarens arbete.
Uppdraget ska redovisas senast den 1 december 2014.
Bakgrund
Samhällets informationssäkerhet
Målen för Sveriges säkerhet är att värna befolkningens liv och hälsa, samhällets funktionalitet samt vår förmåga att upprätthålla grundläggande värden som demokrati, rättssäkerhet och mänskliga fri- och rättigheter (propositionen Ett användbart försvar, prop. 2008/09:140, bet. 2008/09:FöU10, rskr. 2008/09:292). Det finns ingen motsättning mellan frihet och säkerhet utan dessa är ömsesidigt förstärkande. Med utgångspunkt i dessa övergripande mål för vår säkerhet är målen för arbetet med samhällets krisberedskap att minska risker för, och konsekvenser av, allvarliga störningar, kriser och olyckor. Skulle en sådan händelse inträffa bör människors liv, personliga säkerhet och hälsa tryggas samt skador på egendom och miljö begränsas (budgetpropositionen för 2013, prop. 2012/13:1 utg.omr. 6, bet. 2012/13:FöU1, rskr. 2012/13:93–95).
All verksamhet är i dag beroende av fungerande informationssystem. Våra nätverk och system behöver vara säkra och stabila över tid. Näringslivet, offentlig förvaltning och medborgarna måste känna tillit till att de digitala tjänsterna i samhället fungerar. Näringslivet har en betydelsefull roll som den största ägaren och förvaltaren av samhällsviktig informationsinfrastruktur. Konsekvenserna av en allvarlig it-incident skulle med stor sannolikhet genom bl.a. spridningseffekter kunna drabba samhällsviktig verksamhet i flera sektorer. Informationssäkerhet berör således många olika verksamhetsområden bl.a. säkerhets- och utrikespolitiken, försvarspolitiken, näringsfrågor, socialfrågor och brottsbekämpning. För att nå målen för Sveriges säkerhet är det mot denna bakgrund viktigt att ett systematiskt informationssäkerhetsarbete genomförs på bred front i samhället.
Informationssäkerhet bör vara väl integrerat i arbetet med risk-, sårbarhets- och säkerhetsanalyser. Analyserna behandlar bl.a. sam-
hällets förmåga att motstå och hantera allvarliga händelser och verksamheters ömsesidiga beroendeförhållanden.
Förmåga att hantera it-angrepp är nödvändig främst för att minska risken för, och konsekvenser av, allvarliga it-incidenter som drabbar samhällsviktig verksamhet och kritiska infrastruktursystem. Allvarliga it-incidenter som drabbar dessa system och även förluster av mindre mängder information över tid, kan medföra allvarliga konsekvenser och stora kostnader för samhället oavsett om det sker genom medvetna angrepp, misstag eller av olycka.
Ökad digitalisering
Informationsteknikens utveckling har medfört nya former av kommunikation, datahantering och datalagring vilket också innebär nya former för interaktion mellan individer, organisationer och stater. I allt väsentligt är detta en positiv utveckling. Samtidigt medför itutvecklingen ett större beroende mellan olika sektorer och verksamheter och därmed också ökade sårbarheter. Detta har utvecklats till en av vår tids mest komplexa frågor.
En ökande hantering av personinformation i informationssystem medför också behov av funktioner för att tillgodose den personliga integriteten.
Den 29 september 2011 beslutade regeringen om It i människans
tjänst – en digital agenda för Sverige, (N II 2, N2011/342/ITP, m.fl.).
Av detta beslut framgår regeringens mål att Sverige ska vara bäst i världen på att använda digitaliseringens möjligheter. Detta mål har också antagits av riksdagen (budgetpropositionen för 2012, prop. 2011/12:1, bet. 2011/12:TU1, rskr. 2011/12:87).
Den 13 december 2012 beslutade regeringen om Med medborgaren
i centrum. Regeringens strategi för en digitalt samverkande statsförvaltning, (N II 10, N2012/6402/ITP m.fl.). Genom att samverka
digitalt kan myndigheternas kontakter med medborgarna förenklas, innovation och delaktighet stödjas, samtidigt som statsförvaltningens effektivitet och kvalitet ytterligare kan höjas. En viktig utgångspunkt i all utveckling av statsförvaltningens tjänster är att effektivitet och service alltid måste vägas mot skyddet för den enskildes integritet och behov av sekretesskydd och att medborgarna har tillit till att systemen är säkra.
I dag utgör säkerhet, öppenhet och integritet kopplat till informationssäkerhet en stor utmaning såväl nationellt som internationellt. En allvarlig it-incident, men även långvariga oupptäckta informationsförluster, bedöms kunna få stora konsekvenser för den svenska ekonomin, för samhällsviktig verksamhet, kritisk infrastruktur och för enskilda individer.
Internet används för både civila och militära ändamål och såväl staters som individers och organisationers säkerhet måste tillgodoses. Handel, immaterialrätt, tekniköverföring, nätsäkerhet, frågor om kritisk infrastruktur, demokrati, mänskliga rättigheter, bistånd och it-brott hänger samman med säkerhetspolitiska och försvarspolitiska överväganden och utgör delar av samma problemkomplex. Det medför att en ansats att hantera problem inom området bör koppla samman dessa frågeställningar.
Hot mot elektroniska kommunikationsnät och it-system
Hoten mot elektroniska kommunikationsnät och it-system är mångfacetterade, komplexa, svårdefinierade och föränderliga. Hot utgörs av allt ifrån tekniska fel till den mänskliga faktorn och medvetna handlingar. Utöver detta är det inte ovanligt att t.ex. väderfenomen, naturkatastrofer och olyckor orsakar incidenter med it-inslag.
It-angrepp kan utgöras av intrång som syftar till att störa funktionaliteten, förändra, stjäla eller manipulera information eller helt ta över ett informationssystem. It-angrepp mot samhällsviktig verksamhet och kritisk infrastruktur, såväl statlig som privat, kan också syfta till att begränsa tillgången till information eller funktioner. Ett exempel på sådana angrepp är överbelastningsattacker. En aktör kan också via it-angrepp störa, slå ut eller skaffa sig tillgång till styr- och kontrollsystem samt ledningscentraler för samhällsviktig verksamhet och kritiska infrastrukturer, exempelvis telenät, elnät, transportsystem, finanssystem, va-verk, processindustrier eller militära ledningssystem. Sådana it-angrepp kan förekomma såväl i fredstid som under kris eller krig och kan användas för att komplettera konventionella militära förmågor. Utvecklingen av militära it-förmågor internationellt innebär att även Sverige måste förhålla sig till nya krav på hur man försvarar sig mot en motståndare som har tillgång till sådana förmågor.
Det sker en ansenlig mängd brottsliga angrepp inriktade på att kompromettera informationssystem för att otillbörligen komma åt information. Spionage sker i ökad omfattning och utförs såväl av stater som av organisationer och enskilda.
Det är tydligt att verksamhetskritisk och känslig information inom både det offentliga och det privata är potentiella mål för olika typer av angrepp. Ett annat hot är att ökande krav på säkerhetsåtgärder i elektroniska kommunikationsnät, it-system och på internet riskerar att leda till inskränkningar av mänskliga rättigheter med stora politiska, sociala och ekonomiska konsekvenser som följd. Särskilt på det internationella planet är detta en oroväckande trend som ofta grundar sig i olika definitioner av begreppet säkerhet och där vissa regimer använder säkerhet som skäl för att kontrollera den egna befolkningen.
Ansvar och samverkan mellan samhällsaktörer
Att öka förmågan att förebygga och hantera allvarliga it-incidenter som drabbar samhällsviktig verksamhet är inte en uppgift för en enskild aktör eller myndighet utan något som privata och offentliga aktörer tillsammans bör bidra till. Nationell och internationell samverkan mellan militära och civila statliga myndigheter, inklusive försvarsunderrättelseverksamheten, och med kommuner och landsting är en förutsättning för att kunna förebygga, förhindra och hantera dessa risker. Övningar är ett viktigt instrument för att förbättra förutsättningarna för samverkan samt att identifiera, åtgärda och förebygga brister.
Grunden för samhällets krisberedskap är ansvarsprincipen (propositionen Stärkt krisberedskap – för säkerhets skull, prop. 2007/08:92, bet. 2007/08:FöU12, rskr. 2007/08:193–194). Det innebär att den som har ansvar för en verksamhet under normala förhållanden också har det under allvarliga händelser, kriser eller krig. I ansvarsprincipen ingår även att samverka och samordna sig med andra aktörer i den omfattning som krävs för att effektivt förebygga och hantera en allvarlig händelse.
Internationellt
It-utvecklingen utmanar många traditionella föreställningar om säkerhetspolitikens omfattning, aktörer och logik. Ökat beroende av elektroniska kommunikationsnät och it-system förutsätter internationell samverkan. Internationellt är det viktigt att Sverige har en tydlig inriktning på området för att kunna påverka den säkerhetspolitiska utvecklingen. En stor utmaning i arbetet är staters skilda syn på hotbilder, doktriner och definitioner kopplade till informationssäkerhet. En tydlig skiljelinje är staters olika syn på hur grundläggande mänskliga rättigheter som yttrandefrihet förhåller sig till nationellt definierade säkerhets- och suveränitetsaspekter. För att alla på bästa sätt ska kunna nyttja de möjligheter som informationstekniken ger behöver frihet, öppenhet och säkerhet för användarna baserat på rättsstatsprincipen utgöra en självklar grund för informationssäkerhetsarbetet.
Att kunna upprätthålla en öppen, säker, motståndskraftig och tillförlitlig elektronisk kommunikationsmiljö är betydelsefullt för alla länder, och säkerheten för Sverige är beroende av den globala utvecklingen.
I strategin för Europeiska unionens inre säkerhet (ISS) konstateras att it-brottslighet är ett hot särskilt mot medlemsstaternas informationssystem. EU-kommissionen och utrikestjänsten (EEAS) har presenterat en övergripande europeisk cybersäkerhetsstrategi som berör både EU-interna som EU-externa aspekter av it-frågor (JOIN(2013) 1 final). Den digitala agendan för Europa ägnar ett avsnitt åt it-brottslighet och it-attacker mot informationssystem samt ett avsnitt om tillit och säkerhet. OECD-länderna har antagit flera rekommendationer som berör informationssäkerhet och internetpolicy. Organisationen genomför också analyser av området, bl.a. av nationella informationssäkerhetsstrategier som under senare år antagits i ett flertal länder.
Uppdraget
Föreslå en strategi och mål för samhällets informationssäkerhet
Myndigheternas arbete med informationssäkerhet ska bedrivas utifrån en nationell strategi som tar sin utgångspunkt i att värna befolkningens liv och hälsa, samhällets funktionalitet samt förmågan att upprätthålla grundläggande värden som demokrati, rättsäkerhet och mänskliga fri- och rättigheter. Att stärka samhällets säkerhet kräver att skyddsvärden, hot och skyddsmedel ses i ett sammanhang. Denna helhetssyn bör genomsyra verksamhet över hela kedjan från orsaksförebyggande och sårbarhetsreducerade till hanterande och återuppbyggande verksamhet.
Informationssäkerhet är en betydelsefull del i arbetet med att nå målen för Sveriges säkerhet och samhällets krisberedskap. Därför bör arbetet med att stärka informationssäkerheten vara en del av det allmänna säkerhets- och krisberedskapsarbetet. För att hålla samman såväl det nationella som det internationella arbetet inom informationssäkerhetsområdet och för att nå Sveriges politiska mål är det viktigt med en nationell strategi som bl.a. tar sin utgångspunkt i en bred säkerhetspolitisk kontext. Strategin ska ta sin utgångspunkt i målen för Sveriges säkerhet och målen för samhällets krisberedskap.
Strategin ska utgå från, och även kunna bidra till, fortsatt utveckling av politiska prioriteringar på området. Strategin ska innehålla övergripande mål samt utgångspunkter för hur aktörer i samhället ska samverka i arbetet med att förebygga, upptäcka, ingripa mot och agera i samband med allvarliga it-incidenter som drabbar samhällsviktig verksamhet.
De övergripande målen ska utformas så att de ger mål, riktlinjer för och prioriteringar som kan ligga till grund för myndigheternas eget informationssäkerhetsarbete. Utredaren ska ta hänsyn till den internationella samverkan som existerar på området, åtaganden som ålagts Sverige till följd av internationella konventioner samt Sveriges förpliktelser som EU-medlem. Den nationella strategin för hantering och överföring av information i elektroniska kommunikationsnät och it-system ska ses som ett övergripande sammanhållet ramverk för hur arbetet med informationssäkerhet ska bedrivas i Sverige. Det förutsätts att mer nedbrutna detaljerade riktlinjer och handlingsplaner skapas för delområden och sektorer i samhället
inklusive det militära försvaret och försvarsunderrättelseverksamheten.
Den nationella strategin för hantering och överföring av information i elektroniska kommunikationsnät och it-system ska hantera risker på alla nivåer i samhället. Informationssäkerhetsområdet är tvärsektoriellt och omfattar många aktörer i samhället på lokal, regional och central nivå. Även näringslivet har en stor roll i detta arbete. Till detta kommer också den internationella dimensionen där olika aspekter måste beaktas. Den nationella strategin bör inkludera alla relevanta aspekter och aktörer.
Syftet med strategin ska vara att uppnå ett effektivare och mer samordnat arbete med informationssäkerhet i samhället. Strategin ska vara ett stöd för myndigheternas arbete och kopplas till styrmedel och åtgärder för att åstadkomma ett operativt och verksamt arbete med informationssäkerhet i hela samhället. Nuvarande ansvarsförhållanden och åtaganden ska beaktas men inte begränsa utredningen, som ska utgå från ansvarsprincipen och gällande ekonomiska ramar.
Utredaren ska
- föreslå en nationell strategi för hantering och överföring av information i elektroniska kommunikationsnät och it-system och
- föreslå övergripande mål för samhällets informationssäkerhetsarbete, och hur Sverige ska upprätthålla säkerhet och integritet i samhällsviktig it-infrastruktur.
Inför arbetet med strategin ska utredaren ta del av de nationella strategier som redan tagits fram av ett flertal länder. Utredaren ska också beakta det arbete som sker på informationssäkerhetsområdet inom bl.a. EU, Nato och OECD.
Definiera begrepp inom området
Uttrycket informationssäkerhet används bl.a. i regeringens propositioner, skrivelser och i vissa författningar, t.ex. myndighetsinstruktioner. Internationellt förekommer ”information security” och ”cyber security”. Dessa uttryck används delvis med överlapp-
ande betydelse, delvis med olika betydelse utifrån skilda utgångspunkter.
Informationssäkerhet är enligt terminologi för informationssäkerhet (SIS handbok 550 utgåva 3) säkerhet för informationstillgångar avseende förmågan att upprätthålla önskad konfidentialitet, riktighet och tillgänglighet (även ansvarighet och oavvislighet).
Informationssäkerhet är även ett legaldefinierat begrepp i säkerhetsskyddslagen (1996:627) där det finns bestämmelser om informationssäkerhet till skydd för rikets säkerhet. Säkerhetsskyddslagstiftningen är för närvarande under översyn och utredningen ska redovisa sitt uppdrag i april 2014 (dir. 2011:94).
Mot bakgrund av en ökad internationalisering och behov av interoperabilitet är även en jämförelse med andra nationer och organisationers syn på definitioner viktig. En särskild utmaning är staters skilda syn på hotbilder, regleringsbehov m.m. inom området som lett till skillnader i definitioner och begreppsanvändning. Begreppet informationssäkerhet kopplas av vissa länder till censur och statlig kontroll av medborgarna.
På senare tid har även andra begrepp börjat användas i det svenska språket, framför allt cybersäkerhet och cyberförsvar men även benämningar som digital säkerhet och it-säkerhet förekommer utan att den närmare innebörden av dessa förklarats.
Det finns således ett behov av att definiera begrepp och reda ut hur de förhåller sig till varandra samt vid behov ensa dessa begrepp för att undvika missförstånd. De begrepp eller benämningar som används i dessa kommittédirektiv ska inte föregripa eller begränsa utredarens arbete i detta avseende.
Utredaren ska
- klargöra begrepp som används inom informationssäkerhetsområdet och vid behov föreslå förtydligande eller alternativa benämningar och definitioner, särskilt sådana som används i förslaget till nationell strategi.
Utredningsuppdraget omfattar inte att föreslå förtydligande definitioner av begrepp som används inom ramen för säkerhetsskyddslagstiftningen.
Redovisa roller och ansvar på området
Grunden för samhällets krisberedskap är ansvarsprincipen. Det finns flera statliga myndigheter med särskilda uppgifter eller uppdrag på informationssäkerhetsområdet, såväl nationellt som internationellt, och frågorna spänner över en mängd olika områden och nivåer. De statliga myndigheterna bör utveckla sin förmåga att samverka inom informationssäkerhetsområdet. För att underlätta denna förmåga behövs en enhetlig och samlad beskrivning av respektive myndighets ansvar och roll utifrån dagens uppgifter och uppdrag på informationssäkerhetsområdet.
Utredaren ska
- med utgångspunkt i uppdraget redovisa statliga myndigheters ansvar och roller utifrån de uppgifter och uppdrag på informationssäkerhetsområdet som de har i dag.
Konsekvensbeskrivningar
Utredaren ska beskriva eventuella konsekvenser av sina förslag för statliga myndigheter, landsting, kommuner och andra relevanta aktörer som kan beröras.
Om förslagen påverkar kostnaderna eller intäkterna för staten, landstingen, kommunerna eller enskilda ska en beräkning av dessa konsekvenser redovisas och utredaren föreslå finansiering för detta. Om förslagen får samhällsekonomiska konsekvenser i övrigt ska dessa redovisas. När det gäller kostnadsökningar och intäktsminskningar för staten, landstingen eller kommunerna ska utredaren föreslå en finansiering. Sådan finansiering ska föreslås ske inom området och gällande ekonomiska ramar.
Om något av förslagen påverkar det kommunala självstyret ska utredaren särskilt redovisa dessa konsekvenser och de särskilda avvägningar som lett till förslagen, i enlighet med bestämmelserna i 14 kap.2 och 3 §§regeringsformen.
Samråd och redovisning av uppdraget
Utredaren ska löpande hålla Regeringskansliet (Försvarsdepartementet) informerat.
Vidare ska utredaren hålla sig informerad om och beakta relevant arbete om informationssäkerhetsfrågor som pågår inom Regeringskansliet och i utredningar, som t.ex. Försvarsberedningens arbete. Utredaren ska även hålla sig informerad om och beakta Utredningen om säkerhetsskyddslagen (Ju 2011:14), Utredningen om förbättrad tillgång till personuppgifter inom och mellan hälso- och sjukvården och socialtjänsten (S 2011:13), Sveriges Kommuner och Landstings insatser inom området eSamhället, den Digitala agendan för Sverige, e-förvaltningsstrategin, den europeiska cybersäkerhetsstrategin, kommissionens förslag till direktiv om åtgärder för att säkerställa en hög gemensam nivå av nät- och informationssäkerhet i hela unionen (COM (2013) 48 final), det arbete som pågår inom ramen för regeringens arbete med EU:s digitala agenda, e-förvaltning och allmän uppgiftsskyddsförordning (COM(2012) 11 final) samt andra relevanta internationella dokument. I det fall EU beslutar om direktiv om åtgärder för att säkerställa en hög gemensam nivå av nät- och informationssäkerhet i hela unionen ska det beaktas i arbetet med strategin. Utredaren ska också beakta andra länders samt nationella och internationella organisationers strategier för informationssäkerhet. Utredaren bör även beakta nuvarande politik som bedrivs på området.
Uppdraget ska redovisas senast den 1 december 2014.
(Försvarsdepartementet)
Kommittédirektiv 2014:66
Tilläggsdirektiv till NISU 2014 (Fö 2013:04)
Beslut vid regeringssammanträde den 8 maj 2014
Utvidgning av uppdraget
Regeringen beslutade den 28 november 2013 kommittédirektiv om strategi och mål för hantering och överföring av information i elektroniska kommunikationsnät och it-system (dir. 2013:110). Utredningen har tagit namnet NISU 2014.
Utöver det ursprungliga uppdraget ska utredaren undersöka de rättsliga förutsättningarna för SOS Alarm Sverige AB (SOS Alarm) att inrätta och driva ett system för viktigt meddelande till allmänheten (VMA) via mobil och fast telefoni vid allvarliga olyckor och kriser. Utredaren ska i det sammanhanget undersöka om det finns behov av ny eller ändrad lagstiftning och i så fall lämna fullständiga författningsförslag.
Detta tilläggsuppdrag ska redovisas senast den 31 december 2014. Det ursprungliga uppdraget ska fortfarande redovisas senast den 1 december 2014.
Viktigt meddelande till allmänheten
Programföretag som sänder radio och tv har under lång tid omfattats av krav att sända viktiga meddelanden till allmänheten. Av 4 kap. 9 § 15 radio-_och_tv-lagen (2010:696) framgår att ett tillstånd att sända tv eller sökbar text-tv får förenas med villkor om skyldighet att kostnadsfritt sända meddelanden som är av vikt för allmänheten, om en myndighet begär det. Det finns möjlighet att ställa
sådana villkor även för ljudradio, se 11 kap. 3 § 15 samma lag. Enligt sändningstillstånden för Sveriges Radio AB och Sveriges Television AB, vilka beslutades av regeringen den 19 december 2013, ska bolagen kostnadsfritt sända meddelanden som är av vikt för allmänheten om en myndighet begär det (Ku2013/2524/MFI och Ku2013/2525/MFI).
Att ett system för varning och information genom mobiltelefoner bör införas stegvis anges i propositionen Samverkan vid kris – för ett säkrare samhälle (prop. 2005/06:133, bet. 2005/06:FöU9, rskr. 2005/06:295–296).
Regeringen bemyndigade den 20 november 2008 (Fö2008/3431/SSK) chefen för Försvarsdepartementet att underteckna alarmeringsavtalet (Fö2008/3587/SSK) mellan Svenska staten och SOS Alarm. I regeringsbeslut den 28 februari 2013 (Fö2013/468/SSK) anges att parterna efter förhandling enats om tillägg till alarmeringsavtalet som innebär att SOS Alarm under 2013 ska inrätta ett nytt tekniskt system för VMA via mobil och fast telefoni vid allvarliga olyckor och kriser. SOS Alarm ska därefter svara för driften och underhållet av systemet. Det nya tekniska systemet ska komplettera de befintliga systemen för varning. SOS Alarm ska enligt tilläggsavtalet även i samverkan med berörda aktörer undersöka förutsättningarna för att med det nya tekniska systemet nå svenska mobilabonnenter som befinner sig i annat land i händelse av en allvarlig olycka eller kris. SOS Alarm ska vidare under 2013 säkerställa att ansvariga aktörer bereds möjlighet att leverera samordnad och kvalitetssäkrad VMA vid allvarliga olyckor och kriser. Tjänsten ska vara en del av det totala VMA-systemet. I regeringsbeslut den 13 februari 2014 (Fö2014/280/SSK) anges att parterna enats om att ovan nämnda uppdrag ska fortsätta under 2014.
Under arbetet med att inrätta ett system för VMA via mobil och fast telefoni vid allvarliga olyckor och kriser har SOS Alarm uppmärksammat regeringen på att det kan finnas behov av ändringar i befintlig lagstiftning för att SOS Alarm ska kunna inrätta och driva systemet. SOS Alarm gör bedömningen att föreslagen behandling av abonnentuppgifter kan ske med stöd av personuppgiftslagen (1998:204). Enligt SOS Alarm krävs det emellertid reglering i lagen (2003:389) om elektronisk kommunikation för att teleoperatörer ska kunna skicka VMA per sms till de mobilabonnenter som befinner sig inom ett visst drabbat område, (N2013/5082/ITP).
Tilläggsuppdraget om ett system för viktigt meddelande till allmänheten
Att varna eller informera allmänheten vid olyckor eller vid överhängande fara för olyckor, andra allvarliga händelser eller för spridning av allvarlig smittsam sjukdom är viktigt för att hindra och begränsa skador på liv, hälsa, egendom eller miljö. Utnyttjande av informationsteknik och elektroniska kommunikationsnät kan vara ett värdefullt komplement till det befintliga VMA-systemet. Det är angeläget att varnings- och informationsarbetet präglas av snabbhet och tydlighet. Detta ställer stora krav på de tekniska systemens tillgänglighet och säkerhet. Det är också viktigt att det finns rättsliga förutsättningar för att systemet ska kunna användas på ett lämpligt och effektivt sätt.
Utöver det ursprungliga uppdraget ska utredaren
- undersöka de rättsliga förutsättningarna för SOS Alarm att inrätta och driva ett system för VMA via mobil och fast telefoni vid allvarliga olyckor och kriser,
- i sitt arbete särskilt uppmärksamma behovet av skydd för den personliga integriteten, och
- undersöka om det finns behov av ny eller ändrad lagstiftning och i så fall lämna fullständiga författningsförslag.
I uppdraget ingår inte att bedöma eller ta ställning till olika tekniska lösningar som kan användas för att inrätta eller driva VMA.
Konsekvensbeskrivningar
Utredaren ska beskriva eventuella konsekvenser av sina förslag för statliga myndigheter, landsting, kommuner, operatörer och andra relevanta aktörer som kan beröras.
Om förslagen påverkar kostnaderna eller intäkterna för staten, landstingen, kommunerna eller enskilda ska en beräkning av dessa konsekvenser redovisas och utredaren ska föreslå finansiering för detta. Om förslagen får konkurrensmässiga eller samhällsekonomiska konsekvenser i övrigt ska dessa redovisas. När det gäller kostnadsökningar och intäktsminskningar för staten, landstingen eller kommunerna ska utredaren föreslå en finansiering. Sådan finan-
siering ska föreslås ske inom området och gällande ekonomiska ramar.
Om något av förslagen påverkar det kommunala självstyret ska utredaren särskilt redovisa dessa konsekvenser och de särskilda avvägningar som lett till förslagen, i enlighet med bestämmelserna i 14 kap.2 och 3 §§regeringsformen.
Samråd och redovisning av tilläggsuppdraget
Utredaren ska löpande hålla Regeringskansliet (Försvarsdepartementet) informerat om arbetet. Vid genomförande av tilläggsuppdraget ska utredaren inhämta synpunkter från SOS Alarm, Datainspektionen, Myndigheten för samhällsskydd och beredskap och Post- och telestyrelsen.
Detta tilläggsuppdrag ska redovisas senast den 31 december 2014. Det ursprungliga uppdraget ska fortfarande redovisas senast den 1 december 2014.
(Försvarsdepartementet)
Kommittédirektiv 2014:152
Tilläggsdirektiv till NISU 2014 (Fö 2013:04)
Beslut vid regeringssammanträde den 27 november 2014
Förlängd tid för uppdraget
Regeringen beslutade den 28 november 2013 kommittédirektiv om bl.a. en nationell strategi för hantering och överföring av information i elektroniska kommunikationsnät och it-system (dir. 2013:110).
Regeringen beslutade den 8 maj 2014 tilläggsdirektiv till utredaren. Enligt tilläggsdirektivet ska utredaren även undersöka de rättsliga förutsättningarna för SOS Alarm att inrätta och driva ett system för viktigt meddelande till allmänheten (VMA) via mobil och fast telefoni vid allvarliga olyckor samt undersöka om det finns behov av ny eller ändrad lagstiftning och i så fall lämna fullständiga författningsförslag (dir. 2014:66).
Det ursprungliga uppdraget (dir. 2013:110) skulle redovisas senast den 1 december 2014. Utredningstiden förlängs nu. Uppdraget ska istället redovisas senast den 1 mars 2015.
Tilläggsuppdraget enligt dir. 2014:66 ska fortfarande redovisas senast den 31 december 2014.
(Försvarsdepartementet)
Bilaga 4 Bilaga 4