SOU 2015:31
Datalagring och integritet
Till statsrådet Anders Ygeman
Regeringen beslutade den 26 juni 2014 att tillkalla en särskild utredare med uppdrag att utvärdera lagen (2012:278) om inhämtning av uppgifter om elektronisk kommunikation i de brottsbekämpande myndigheternas underrättelseverksamhet och analysera Säkerhetspolisens behov av en möjlighet enligt lagen att hämta in uppgifter om brottslig verksamhet som innefattar vissa samhällsfarliga brott. I uppdraget har även ingått att överväga om de rättssäkerhets- och integritetsstärkande åtgärder som vidtogs när inhämtningslagen infördes har varit tillräckliga eller om det finns behov av andra sådana åtgärder. Vidare har det ingått i uppdraget föreslå de förändringar i övrigt som bedöms lämpliga för att stärka skyddet för den personliga integriteten när det gäller reglerna om lagring av uppgifter om elektronisk kommunikation för brottsbekämpande ändamål.
F.d. justitierådet och ordföranden i Högsta förvaltningsdomstolen Sten Heckscher förordnades att fr.o.m. den 1 oktober 2014 vara särskild utredare.
Förordnade experter under hela eller delar av utredningstiden har varit polisöverintendenten Sören Clerton (Polismyndigheten), operative ledaren Fredrik Hallström (Säkerhetspolisen), advokaten Tomas Nilsson (Advokatsamfundet), enhetschefen Emily Alfvén Nickson och föredraganden Ulf Malm (Säkerhets- och integritetsskyddsnämnden), juristen Staffan Lindmark (Post- och telestyrelsen), enhetschefen Lars Korsell och utredaren Nicole Thorell (Brottsförebyggande rådet), professorn Iain Cameron (Uppsala universitet) samt kanslirådet Eva Bloch (Justitiedepartementet).
Rättssakkunnige Daniel Eriksson har varit sekreterare. Förordnande- respektive anställningstider för experterna och sekreteraren framgår av en förteckning som bifogas.
Utredningen har antagit namnet Datalagringsutredningen.
Sten Heckscher är ensam utredningsman och svarar ensam för innehållet i betänkandet. Experterna har emellertid deltagit i arbetet i sådan utsträckning att det är befogat att använda vi-form i betänkandet. Skilda uppfattningar i enskildheter och beträffande formuleringar kan dock förekomma utan att detta har behövt komma till uttryck i något särskilt yttrande.
Härmed överlämnas betänkandet Datalagring och integritet (SOU 2015:31). I och med detta är utredningens uppdrag slutfört.
Stockholm i mars 2015
Sten Heckscher
/Daniel Eriksson
Förteckning över förordnande- respektive anställningstider
Förordnade experter
Polisöverintendenten Sören Clerton, fr.o.m. den 3 december 2014 Operative ledaren Fredrik Hallström, fr.o.m. den 20 oktober 2014 Advokaten Tomas Nilsson, fr.o.m. den 20 oktober 2014 Enhetschefen Emily Alfvén Nickson, fr.o.m. den 20 oktober 2014 till den 1 januari 2015 Föredraganden Ulf Malm, fr.o.m. den 7 januari 2015 Juristen Staffan Lindmark, fr.o.m. den 20 oktober 2014 Enhetschefen Lars Korsell, fr.o.m. den 20 oktober 2014 Utredaren Nicole Thorell, fr.o.m. den 20 oktober 2014 Professorn Iain Cameron, fr.o.m. den 20 oktober 2014 Kanslirådet Eva Bloch, fr.o.m. den 3 december 2014
Sekreterare
Rättssakkunnige Daniel Eriksson, anställd som sekreterare fr.o.m. den 13 oktober 2014
7
Innehåll
1 Författningsförslag...................................................... 33
1.1 Förslag till lag om ändring i rättegångsbalken ....................... 33 1.2 Förslag till lag om ändring i lagen (2003:389) om elektronisk kommunikation .................................................... 35
1.3 Förslag till lag om ändring i lagen (2007:979) om åtgärder för att förhindra vissa särskilt allvarliga brott ......... 37 1.4 Förslag till lag om ändring i offentlighets- och sekretesslagen (2009:400) ........................................................ 38
1.5 Förslag till lag om ändring i postlagen (2010:1045) .............. 39 1.6 Förslag till lag om ändring i lagen (2012:278) om inhämtning av uppgifter om elektronisk kommunikation i de brottsbekämpande myndigheternas underrättelseverksamhet .......................................................... 41
1.7 Förslag till förordning om ändring i förordningen (2003:396) om elektronisk kommunikation .......................... 45
2 Utredningens uppdrag och arbete ................................ 47
2.1 Vårt uppdrag ............................................................................. 47 2.2 Utredningsarbetet .................................................................... 47 2.3 Betänkandets disposition ......................................................... 48
Innehåll SOU 2015:31
8
3 Bakgrund ................................................................... 51
3.1 Rätten till personlig integritet ................................................ 51 3.1.1 Integritetsbegreppet ..................................................... 51 3.1.2 Skyddsintressen ............................................................ 52 3.1.3 Regleringen av skyddet för privatlivet ........................ 53 3.2 Skyddet för personuppgifter ................................................... 59 3.2.1 EU:s primärrätt ............................................................ 59 3.2.2 Dataskyddsdirektivet ................................................... 60 3.2.3 Personuppgiftslagen ..................................................... 62 3.2.4 Polisdatalagen ............................................................... 63 3.2.5 Överföring av personuppgifter till tredje land ........... 67 3.3 Elektronisk kommunikation ................................................... 70 3.3.1 Allmänt om elektronisk kommunikation ................... 70 3.3.2 Integritetsskydd och tystnadsplikt vid
elektronisk kommunikation ........................................ 70
3.3.3 Lagen om elektronisk kommunikation ....................... 72
3.4 Brottsbekämpande verksamhet .............................................. 74 3.4.1 Brottsutredande verksamhet ....................................... 74 3.4.2 Underrättelseverksamhet ............................................. 75 3.5 Uppgifter om elektronisk kommunikation i brottsbekämpande verksamhet ............................................... 81 3.5.1 Allmänt om straffprocessuella tvångsmedel ............... 81 3.5.2 Hur används uppgifter om elektronisk
kommunikation i brottsbekämpande verksamhet? .................................................................. 83
3.5.3 Regleringen av tillgången till uppgifter ....................... 88 3.5.4 Kontrollmekanismer .................................................... 97
4 Datalagring .............................................................. 107
4.1 Datalagringsdirektivet ........................................................... 107 4.1.1 Direktivets syfte och tillämpningsområde ............... 107 4.1.2 Lagringsskyldighetens omfattning ............................ 107 4.1.3 Hanteringen av lagrade uppgifter .............................. 108
4.2 Den svenska regleringen ....................................................... 110 4.2.1 Genomförandeprocessen ........................................... 110
Innehåll
9
4.2.2 Lagringsskyldighetens omfattning ............................ 110 4.2.3 Utlämnande av uppgifter ............................................ 111 4.2.4 Säkerheten för lagrade uppgifter ................................ 112
4.3 EU-domstolens dom ............................................................. 114 4.4 Analysen ................................................................................. 117 4.4.1 Analysens utgångspunkter ......................................... 117 4.4.2 Lagringsskyldighetens omfattning ............................ 118 4.4.3 Tillgången till lagrade uppgifter ................................. 121 4.4.4 Lagringstiden .............................................................. 128 4.4.5 Säkerheten för lagrade uppgifter ................................ 130 4.4.6 Samlad bedömning ...................................................... 133 4.5 Reaktioner på domen ............................................................. 133 4.5.1 Reaktioner i Sverige .................................................... 133 4.5.2 Andra reaktioner ......................................................... 139
5 Vilka uppgiftskategorier ska lagras? ............................ 159
5.1 Inledning................................................................................. 159 5.2 Uppgifter som lagras ............................................................. 159 5.2.1 Lagringsskyldigheten enligt
datalagringsdirektivet ................................................. 159
5.2.2 Lagringsskyldigheten enligt svensk rätt .................... 161
5.3 Behovet av lagrade uppgifter ................................................. 162 5.4 Utredningens bedömning ...................................................... 167
6 Krav på lagring inom EU? .......................................... 169
6.1 Inledning................................................................................. 169 6.2 De svenska reglerna om säkerhet och tillsyn ....................... 169 6.2.1 Säkerhet ....................................................................... 169 6.2.2 Tillsyn .......................................................................... 171 6.3 Överföring av personuppgifter till tredje land ..................... 172 6.3.1 Bedömningen av skyddsnivån enligt
dataskyddsdirektivet ................................................... 172
Innehåll SOU 2015:31
10
6.3.2 Europeiska kommissionens beslut om adekvat skyddsnivå ................................................................... 174 6.3.3 Förhållandet mellan dataskyddsdirektivet och dataskyddskonventionen ........................................... 176
6.4 Utredningens bedömning ..................................................... 178
7 Inhämtning av abonnemangsuppgifter ........................ 183
7.1 Inledning ................................................................................ 183 7.2 Vilket integritetsintrång innebär utlämnandet av abonnemangsuppgifter? ........................................................ 184
7.3 Rutiner för dokumentation och loggning ............................ 187 7.4 Kontrollsystemet ................................................................... 188 7.5 Utredningens förslag ............................................................. 190 7.5.1 En särskild tillsynsuppgift?........................................ 190 7.5.2 Underrättelse till enskild? .......................................... 192 7.5.3 Parlamentarisk kontroll?............................................ 194 7.5.4 Beslut om inhämtning av abonnemangsuppgifter
bör fattas på en viss nivå ............................................ 195
7.5.5 Krav på dokumentation ............................................. 197 7.5.6 Verkställighet .............................................................. 197 7.5.7 Utlämnande för andra ändamål ................................. 198 7.5.8 Utlämnande av abonnemangsuppgifter i underrättelseverksamhet ............................................ 198
8 Uppgifter som omfattas av yrkesmässig tystnadsplikt ... 201
8.1 Inledning ................................................................................ 201 8.2 Skyddet för yrkesmässig tystnadsplikt ................................ 202 8.2.1 Tystnadsplikt .............................................................. 202 8.2.2 Undantag från vittnesplikt ........................................ 202 8.2.3 Avlyssningsförbud ..................................................... 203 8.2.4 Skyldighet att förstöra upptagningar och
uppteckningar ............................................................. 204
8.2.5 Proportionalitetsprincipen ........................................ 206
8.3 Utredningens förslag ............................................................. 208
Innehåll
11
8.3.1 Förbud mot att hämta in uppgifter om kommunikation med personer som omfattas av yrkesmässig tystnadsplikt? ......................................... 208 8.3.2 Förstörandeskyldighet ............................................... 209
9 Inhämtningslagen ..................................................... 211
9.1 Direktiven ............................................................................... 211 9.2 Utredningens kartläggning .................................................... 212 9.2.1 Metod .......................................................................... 212 9.2.2 Säkerhetspolisens användning av
inhämtningslagen ........................................................ 213
9.2.3 Polismyndighetens och Tullverkets användning av inhämtningslagen ................................................... 261
9.3 Åtgärder för att stärka rättssäkerheten eller integritetsskyddet? ................................................................. 283 9.3.1 Integritetsstärkande åtgärder vidtogs när
inhämtningslagen infördes ......................................... 283
9.3.2 Bör inhämtningslagens beslutsordning ändras? ........ 284 9.3.3 Åtgärder inom ramen för den befintliga beslutsordningen ......................................................... 294
9.4 Säkerhetspolisens behov av en särskild möjlighet att inhämta uppgifter om viss brottslig verksamhet .................. 304 9.4.1 Nuvarande ordning ..................................................... 304 9.4.2 Tidigare överväganden ................................................ 305 9.4.3 Säkerhetspolisens behovsbeskrivning ........................ 307 9.4.4 Utredningens förslag .................................................. 309
10.1 Tystnadsplikt för kvarhållande av försändelse enligt lagen om preventiva tvångsmedel ......................................... 313 10.2 Ekobrottsmyndighetens behov av en möjlighet att hämta in uppgifter enligt inhämtningslagen ......................... 314
10.3 Brottslig verksamhet som innefattar spridning av massförstörelsevapen ............................................................. 317
Innehåll SOU 2015:31
12
10.4 NAT-teknik ........................................................................... 320
11.1 Ikraftträdande m.m................................................................ 321 11.2 Konsekvenser ......................................................................... 321 11.2.1 Inledning ..................................................................... 322 11.2.2 Ekonomiska konsekvenser ........................................ 322 11.2.3 Övriga konsekvenser .................................................. 323
12.1 Förslaget till lag om ändring i rättegångsbalken .................. 325 12.2 Förslaget till lag om ändring i lagen om elektronisk kommunikation ..................................................................... 326 12.3 Förslaget till lag om ändring i lagen om åtgärder för att förhindra vissa särskilt allvarliga brott ................................. 327
12.4 Förslaget till lag om ändring i offentlighets- och sekretesslagen ........................................................................ 328 12.5 Förslaget till lag om ändring i postlagen .............................. 329 12.6 Förslaget till lag om ändring i lagen om inhämtning av uppgifter om elektronisk kommunikation i de brottsbekämpande myndigheternas underrättelseverksamhet ....................................................... 330 12.7 Förslaget till förordning om ändring i förordningen om elektronisk kommunikation ................................................. 332
Bilaga
Kommittédirektiv 2014:101 ........................................................... 335
13
Sammanfattning
Vårt uppdrag
I lagen om elektronisk kommunikation finns bestämmelser som anger att leverantörer av allmänt tillgängliga elektroniska kommunikationstjänster ska lagra vissa uppgifter som genereras eller behandlas i samband med att sådana tjänster tillhandahålls för att uppgifterna ska kunna användas vid brottsbekämpning. Vårt uppdrag har varit att föreslå de förändringar som bedöms lämpliga för att stärka skyddet för den personliga integriteten i förhållande till den regleringen.
Den s.k. inhämtningslagen reglerar Polismyndighetens, Säkerhetspolisens och Tullverkets möjligheter att få tillgång till uppgifter om elektronisk kommunikation i sin underrättelseverksamhet. Utredningen har haft i uppdrag att kartlägga och utvärdera hur lagen har tillämpats samt att överväga om den bör förändras för att stärka rättssäkerheten eller skyddet för den personliga integriteten. Ett annat syfte med uppdraget har varit att analysera Säkerhetspolisens behov av en särskild möjlighet att inhämta uppgifter om viss brottslig verksamhet som inte omfattas av inhämtningslagens huvudregel samt lämna förslag på hur ett sådant behov bör tillgodoses och balanseras mot integritetsintresset.
Bakgrund
Skyddet för privatlivet m.m.
I betänkandets bakgrundsavsnitt redogör vi för de regler om skydd för enskildas privatliv som finns i regeringsformen, Europakonventionen och EU:s rättighetsstadga. Där behandlas också vissa bestämmelser om skydd för enskildas personuppgifter. Vidare innehåller bakgrundsavsnittet beskrivningar av de brottsbekämpande myndig-
Sammanfattning SOU 2015:31
14
heternas verksamhet och de bestämmelser som reglerar dessa myndigheters möjligheter att få tillgång till vissa uppgifter om elektronisk kommunikation som behövs i verksamheten.
Datalagring
Det s.k. datalagringsdirektivet (Europaparlamentets och rådets direktiv 2006/24/EG om lagring av trafikuppgifter som genererats eller behandlats i samband med tillhandahållande av allmänt tillgängliga elektroniska kommunikationstjänster eller allmänna kommunikationsnät och om ändring av direktiv 2002/58/EG) syftade till att harmonisera medlemsstaternas regler om skyldigheter för leverantörer av allmänt tillgängliga elektroniska kommunikationstjänster eller allmänna kommunikationsnät att lagra vissa uppgifter om elektronisk kommunikation för att säkerställa att uppgifterna finns tillgängliga för avslöjande, utredning och åtal av allvarliga brott. De bestämmelser som genomförde direktivet i svensk rätt finns i lagen om elektronisk kommunikation.
Den 8 april 2014 meddelade EU-domstolen dom i målen C-293/12 och C-594/12, Digital Rights Ireland m.fl., angående giltigheten av datalagringsdirektivet. EU-domstolen förklarade i domen datalagringsdirektivet ogiltigt. Domstolen konstaterade att direktivet innebar ett omfattande och särskilt allvarligt intrång i rätten till privatliv och skyddet av personuppgifter. Domstolen konstaterade dock att en skyldighet att lagra uppgifter är en ändamålsenlig åtgärd för att uppnå syftet att bekämpa allvarlig brottslighet och upprätthålla allmän säkerhet. Eftersom direktivet inte fastställde tydliga och preciserade regler för omfattningen av intrånget i de aktuella rättigheterna ansåg domstolen emellertid att intrången inte begränsades till vad som var absolut nödvändigt för att uppnå sitt syfte. I domen pekade domstolen ut vissa omständigheter som beaktades särskilt vid bedömningen av om direktivet levde upp till kraven på proportionalitet. Domstolen fann vid en samlad bedömning att EU:s lagstiftande församlingar överskridit sina befogenheter då direktivet antogs eftersom det inte lever upp till proportionalitetsprincipen med avseende på de aktuella rättigheterna.
SOU 2015:31 Sammanfattning
15
Vilka uppgiftskategorier ska lagras?
Lagringsskyldighetens omfattning enligt svensk rätt regleras av bestämmelser i lagen och förordningen om elektronisk kommunikation. Enligt dessa bestämmelser ska leverantörer av elektroniska kommunikationsnät och kommunikationstjänster lagra vissa uppgifter om bl.a. telefonsamtal, internettrafik och meddelandehantering. Skyldigheten gäller i sex månader räknat från den dag kommunikationen avslutades.
Skyldigheten att lagra dessa uppgifter inkräktar på rättigheter som enskilda är tillförsäkrade enligt regeringsformen, Europakonventionen och EU:s rättighetsstadga. För att en sådan åtgärd ska vara godtagbar krävs att den objektivt sett är ägnad att uppnå syftet med åtgärden och att den är proportionerlig.
Av uppgifter som vi har inhämtat från polisen framgår att samtliga uppgiftskategorier som lagras enligt dagens regler är av stor vikt för den brottsbekämpande verksamheten. Vår bedömning är därför att lagringsskyldighetens inte omfattar annat än vad som är strikt nödvändigt för att uppnå syftet med regleringen. Det bör därför inte göras några förändringar i fråga om vilka uppgiftskategorier som ska lagras.
Krav på lagring inom EU?
Enligt EU-domstolen är den oberoende myndighetskontrollen en grundläggande beståndsdel i skyddet för enskilda individer i samband med behandlingen av personuppgifter. Domstolen pekade i datalagringsdomen på att en brist i datalagringsdirektivet var att den oberoende myndighetskontrollen av att skydds- och säkerhetskraven för de lagrade uppgifterna följs inte fullt ut kunde anses vara garanterad i direktivet. Detta var enligt domstolen en konsekvens av att direktivet inte krävde att uppgifterna skulle lagras inom unionen.
Vi har mot den bakgrunden övervägt om det bör införas ett förbud mot att uppgifter som lagras enligt de svenska reglerna förs över till ett s.k. tredje land för lagring där. Emellertid har vi funnit att det svenska regelverket är utformat på ett sådant sätt att tillsynsmyndigheten, Post- och telestyrelsen, har möjligheter att bedriva en aktiv och ändamålsenlig tillsynsverksamhet även gentemot leverantörer som väljer att lagra uppgifter utanför unionen. Vidare har vi
Sammanfattning SOU 2015:31
16
beaktat att personuppgifter får föras över till tredje land endast om landet i fråga säkerställer en adekvat nivå av skydd för uppgifterna. Kravet på adekvat skydd innebär bl.a. att det tredje landet ska ha inrättat kontrollmekanismer som bevakar att landets skyddsregler i fråga om personuppgifter följs. Vår bedömning är därför att den oberoende myndighetskontrollen är garanterad i svensk rätt även i förhållande till leverantörer som skulle välja att lagra uppgifter utanför EU. Vidare har vi funnit att ett krav i nationell rätt på lagring inom EU eller EES inte går att förena med den övriga EU-regleringen på området samt med Sveriges åtaganden enligt dataskyddskonventionen.
Mot den bakgrunden gör vi bedömningen att det inte bör införas något generellt förbud mot att uppgifter som lagras enligt de svenska datalagringsreglerna förs över till tredje land för lagring där.
Inhämtning av abonnemangsuppgifter
En av de brister i datalagringsdirektivet som EU-domstolen pekade på i sin dom var att direktivet inte angav några objektiva kriterier för att avgränsa de nationella myndigheternas tillgång till och användning av de lagrade uppgifterna. Domstolen noterade också att direktivet inte krävde att tillgången till uppgifter skulle vara underkastad någon förhandskontroll av en domstol eller oberoende myndighet som har till uppgift är att se till att tillgången begränsas till vad som är strikt nödvändigt.
Abonnemangsuppgifter som lagras med stöd av de svenska datalagringsreglerna får lämnas ut till brottsbekämpande myndigheter utan krav på att den brottslighet som uppgifterna lämnas ut för ska vara av någon viss svårhetsgrad. Vidare får uppgifter hämtas in efter beslut av den brottsbekämpande myndigheten och således utan föregående kontroll av en oberoende instans.
Vi har mot den bakgrunden övervägt ett flertal olika åtgärder som skulle kunna bidra till att stärka kontrollen över de brottsbekämpande myndigheternas tillämpning av reglerna om inhämtning av abonnemangsuppgifter. Bland annat har vi övervägt om ett tillsynsorgan bör få i uppgift att utöva tillsyn som specifikt tar sikte på tillämpningen av dessa regler. Vi gör dock bedömningen att nackdelarna med en sådan ordning överväger fördelarna. Däremot
SOU 2015:31 Sammanfattning
17
föreslår vi att beslut om inhämtning av abonnemangsuppgifter ska få fattas endast av vissa särskilt utpekade befattningshavare inom den myndighet som begär uppgifterna. Vidare föreslår vi att beslut om inhämtning av sådana uppgifter ska dokumenteras på visst sätt. Dessa åtgärder bedöms kunna bidra till högre kvalitet i beslutsfattandet och till att den tillsyn som bedrivs av JO, JK, Datainspektionen och SIN blir mer effektiv. Vidare lämnar vi förslag på vissa förtydliganden i bestämmelsen om inhämtning av abonnemangsuppgifter. Syftet är att göra det tydligt att bestämmelsen kan tillämpas i de brottsbekämpande myndigheternas underrättelseverksamhet.
Uppgifter som omfattas av yrkesmässig tystnadsplikt
EU-domstolen lyfte i sin dom fram att en brist i datalagringsdirektivet var att det inte innehöll några undantag från lagringskravet, vilket innebar att det var tillämpligt även på personer vilkas kommunikation enligt nationell rätt omfattas av tystnadsplikt.
Vi har därför övervägt om det bör införas ett förbud mot att hämta in uppgifter om kommunikation med personer som omfattas av yrkesmässig tystnadsplikt. I svensk rätt är det emellertid en uppgifts innehåll som avgör om den omfattas av tystnadsplikt. Vid inhämtning av s.k. metadata känner den myndighet som hämtar in uppgifterna normalt inte till innehållet i kommunikationen. Vår bedömning är därför att ett sådant förbud skulle vara mycket svårt att tillämpa. Vidare bedömer vi att ett sådant förbud skulle vara av begränsad praktisk betydelse. Detta eftersom proportionalitetsprincipen normalt hindrar att uppgifter hämtas in, om myndigheterna i något undantagsfall på förhand skulle känna till att kommunikationen omfattas av tystnadsplikt. Däremot föreslår vi att det ska införas regler om att uppgifter om sådan kommunikation ska förstöras i de fall myndigheterna i efterhand får kännedom om att kommunikationen omfattas av sådan tystnadsplikt.
Sammanfattning SOU 2015:31
18
Inhämtningslagen
Kartläggningen
En del av vårt uppdrag har varit att kartlägga den hittillsvarande tillämpningen av inhämtningslagen. Den undersökningsmetod som vi har valt innebär att vi på djupet har granskat ett urval av underrättelseärenden där inhämtningslagen har tillämpats av Polismyndigheten, Säkerhetspolisen eller Tullverket. I samband med undersökningen har utredningen, i vart och ett av de utvalda ärendena, tagit del av de beslut enligt inhämtningslagen som fattats i ärendena samt bakomliggande skriftligt material. Därefter har företrädare för utredningen intervjuat den ansvarige handläggaren om ärendet. Syftet har varit att på djupet tränga in i frågorna om nytta, behov och integritetsintrång.
Resultatet av kartläggningen redovisas i detalj i betänkandet och har varit en viktig del av underlaget för vår analys, våra bedömningar och våra förslag i fråga om inhämtningslagen. Vi har kunnat konstatera att de brottsbekämpande myndigheterna hanterar ärenden enligt inhämtningslagen på ett i allt väsentligt tillfredsställande sätt. Vidare har vi funnit att lagen är ett viktigt redskap i myndigheternas underrättelseverksamhet. Tillämpningen av lagen leder i de allra flesta fall till att myndigheterna får tillgång till relevant information som bidrar till att föra underrättelseärendena framåt. Det finns därför underlag för bedömningen att lagen innebär beaktansvärd nytta i underrättelseverksamheten. Lagen leder dock även till integritetsintrång, både för de personer som ärendena avser och de personer som dessa har kontakt med.
Inhämtningslagens beslutsordning
EU-domstolen pekade i datalagringsdomen på att direktivet inte föreskrev att de behöriga nationella myndigheternas tillgång till lagrade uppgifter skulle vara underkastad någon förhandskontroll utförd av en domstol eller oberoende myndighet. Vi har därför, och i enlighet med våra direktiv, övervägt bl.a. om allmän domstol bör anförtros uppgiften att fatta beslut om inhämtning av uppgifter. Emellertid har vi funnit att frågor om inhämtning av uppgifter i underrättelseverksamhet lämpar sig mindre väl för prövning i allmän
SOU 2015:31 Sammanfattning
19
domstol. I underrättelseverksamheten, som är skild från och ligger i tiden före en förundersökning, är syftet att genom en bred informations- och kunskapsinsamling ge underlag för bearbetning och analys. Utgångspunkten för underrättelseverksamheten är, ofta utifrån en mer övergripande ansats, att studera och kartlägga en befarad brottslig verksamhet för att förebygga eller förhindra att brottsligheten genomförs. Eftersom verksamheten inte som i en förundersökning, är inriktad mot någon specifik brottslig gärning – och ofta inte heller mot någon särskild utpekad person – gör sig partsintresset inte heller gällande på samma sätt i underrättelseverksamheten som under en förundersökning. Integritetsaspekten i underrättelseskedet präglas därför mer av ett medborgarperspektiv än av ett sådant tvåpartsförfarande som lämpar sig för prövning i allmän domstol. Det finns också anledning att vara tveksam till om domstolarna skulle ha möjlighet att tillgodose behovet av snabba beslut.
Vi har också övervägt om beslutsbefogenheten enligt inhämtningslagen bör anförtros åklagare eller ett nytt beslutsorgan, t.ex. en nämnd. Sådana alternativ har samma svagheter som en domstolsprövning. Det finns också andra nackdelar. Vi bedömer t.ex. att en uppgift för åklagare att fatta beslut om den aktuella inhämtningen skulle vara svår att förena med den roll åklagarna har i det straffprocessuella systemet. Mot bakgrund av att dagens beslutsordning fungerar väl gör vi därför bedömningen att beslut enligt inhämtningslagen även i fortsättningen bör fattas av de brottsbekämpande myndigheterna.
Åtgärder inom ramen för den befintliga beslutsordningen
Vi har också övervägt vissa åtgärder som skulle kunna vidtas inom ramen för den befintliga beslutsordningen och som skulle kunna bidra till att förstärka kontrollen över tillämpningen. Bland annat har vi övervägt om möjligheten att delegera beslutsbefogenhet inom den beslutande myndigheten kan skärpas. Vi har dock funnit att den nuvarande delegationsbestämmelsen har en så strikt utformning som man rimligen kan begära. Vi föreslår därför inte några ändringar av den.
Inom både Polismyndigheten och Tullverket finns numera centralt placerade enheter som har ett övergripande ansvar för att skapa en-
Sammanfattning SOU 2015:31
20
hetliga riktlinjer för handläggningen av ärenden enligt inhämtningslagen och följa upp hur denna verksamhet hanteras inom respektive myndighet. Vi bedömer att detta med stor sannolikhet kommer att bidra till att höja och garantera kvaliteten i beslutsprocessen hos myndigheterna. Vidare arbetar såväl Polismyndigheten som Tullverket f.n. med att utarbeta nya system för delegation av beslutsbeslutsbefogenhet enligt lagen. Vi anser oss kunna utgå från att myndigheterna i det arbetet kommer att se till att besluten fattas på en tillräckligt hög nivå för att garantera en beslutsordning som uppfyller höga krav på kompetens och rättssäkerhet.
Vidare har vi övervägt om det skulle vara möjligt att vidta någon eller några åtgärder för att förbättra förutsättningarna för SIN:s tillsynsverksamhet. Vi har då kommit fram till att det bör föreskrivas att myndigheternas skyldighet att underrätta nämnden om beslut som fattats enligt inhämtningslagen bör fullgöras genom att myndigheten ger in själva beslutet till nämnden. Däremot bedömer vi att det inte vore lämpligt att förändra kraven på vilka uppgifter besluten ska innehålla. Vi bedömer också att det inte är nödvändigt att förändra kraven på dokumentation i ärenden enligt inhämtningslagen. Anledningen till det är att det har kommit fram att skälen för inhämtningsbesluten i regel finns dokumenterade i ärendena och att de således är tillgängliga för SIN.
Slutligen har vi också övervägt om det finns anledning att öka möjligheterna för teleoperatörerna att lämna uppgifter till SIN angående verkställigheten av beslut enligt inhämtningslagen. Vi bedömer dock att en sådan möjlighet inte skulle leda till någon förbättring av förutsättningarna för SIN:s tillsyn.
Säkerhetspolisens behov av en särskild möjlighet att inhämta uppgifter om viss brottslig verksamhet
Enligt inhämtningslagens huvudregel får uppgifter hämtas in, om omständigheterna är sådana att åtgärden är av särskild vikt för att förebygga, förhindra eller upptäcka brottslig verksamhet som innefattar brott för vilket inte är föreskrivet lindrigare straff än fängelse i två år. Enligt en särskild tidsbegränsad bestämmelse får uppgifter hämtas in också om brottslig verksamhet som innefattar vissa brott med lägre straffminimum än fängelse i två år (3 §). De brott som omfattas av bestämmelsen utgör sådan samhällsfarlig brottslighet
SOU 2015:31 Sammanfattning
21
som bekämpas av Säkerhetspolisen. En del av vårt uppdrag har varit att analysera Säkerhetspolisens behov av en sådan möjlighet och att lämna förslag på hur detta behov bör tillgodoses och balanseras mot integritetsintresset.
Genom vår kartläggning har det kommit fram att tillämpningen av inhämtningslagen har lett till beaktansvärd nytta i samband med underrättelsearbete avseende brottslig verksamhet som innefattar flera av de brott som i dagsläget omfattas av bestämmelsen. Vi bedömer därför att möjligheten att hämta in uppgifter om brottslig verksamhet som innefattar dessa brott bör finnas kvar och att den i fortsättningen bör gälla permanent.
Vidare har det kommit fram att Säkerhetspolisen har ett stort behov av att kunna hämta in uppgifter om brottslig verksamhet som innefattar s.k. statsstyrt företagsspioneri samt grov misshandel och olaga frihetsberövande som begås i avsikt att påverka offentliga organ eller den som yrkesmässigt bedriver nyhetsförmedling eller annan journalistik att vidta eller avstå från att vidta en åtgärd eller att hämnas en åtgärd (s.k. systemhotande brottslighet). Vi föreslår därför att möjligheten att hämta in uppgifter ska omfatta även dessa brott.
23
Summary
Our remit
The Electronic Communications Act contains provisions stating that suppliers of publicly available electronic communications services are to retain certain data generated or processed in connection with providing such services so that these data can be used for law enforcement purposes. Our remit has been to propose the changes deemed appropriate to strengthen the protection of privacy with respect to these regulations.
The Data Collection Act regulates the powers of the Police Authority, the Swedish Security Service and the Swedish Customs to access such information. The Inquiry has had instructions to survey and evaluate the application of the Act in practice and to consider whether it should be changed. Another purpose of our remit has been to analyse the Swedish Security Service’s need for special powers to collect data about some forms of criminal activity that are not covered by the general rule in the Data Collection Act and to present proposals on how such a need should be met and the balance to be struck with the interests of privacy.
Background
Protection of private life etc.
In the background section of the report, we describe the rules on the protection of individuals’ private lives contained in the Swedish Instrument of Government, the European Convention for the Protection of Human Rights and Fundamental Freedoms and the EU Charter of Fundamental Rights. This section also discusses certain provisions on the protection of individuals’ personal data.
Summary SOU 2015:31
24
In addition, it describes the activities of the various law enforcement authorities and the provisions regulating these authorities’ powers to demand access to certain information about electronic communications that they need in their activities.
Data retention
The Data Retention Directive (Directive 2006/24/EC of the European Parliament and of the Council on the retention of data generated or processed in connection with the provision of publicly available electronic communications services or of public communications networks and amending Directive 2002/58/EC) aimed to harmonise EU Member States’ regulations on the obligations of suppliers of publicly available electronic communications services or of public communications networks to retain certain data about electronic communications to ensure that the data is available for detecting, investigating and prosecuting serious crime. The provisions implementing the Directive in Swedish law are contained in the Electronic Communications Act.
On 8 April 2014 the Court of Justice of the European Union delivered its judgment in joined cases C 293/12 and C 594/12, Digital Rights Ireland et al., concerning the validity of the Data Retention Directive. In its judgment, the Court declared the Directive invalid. The Court noted that the Directive entailed a wide-ranging and particularly serious interference in the right to respect for private life and the protection of personal data. However, the Court found that an obligation to retain data is an effective measure for achieving the purpose of fighting serious crime and maintaining public safety. Nonetheless, since the Directive did not lay down clear and precise rules governing the scope of the interference in the rights at issue, the Court considered that the interference was not limited to what was strictly necessary to achieve its purpose. In its judgment, the Court identified certain circumstances to which particular attention was paid in assessing whether the Directive satisfied the requirements of proportionality. On balance, the Court found that the legislative assemblies of the European Union had exceeded their authority when the Directive was adopted, since it does not satisfy the principle of proportionality with regard to the rights concerned.
Summary
25
Which categories of data should be retained?
The obligation to retain data is regulated in Swedish law by provisions in the Electronic Communications Act and Ordinance. These provisions require suppliers of electronic communications networks and communications services to retain certain data concerning telephone calls, internet traffic, message processing and other matters. The obligation applies for six months calculated from the date on which the communications concluded.
The obligation to retain this data is a measure that infringes on rights that are guaranteed to individuals in accordance with the Instrument of Government, the European Convention for the Protection of Human Rights and Fundamental Freedoms and the EU Charter of Fundamental Rights. For such a measure to be acceptable, it must be objectively appropriate for achieving the measure’s purpose and it must be proportionate.
It is evident from information obtained from the police that all the categories of data retained under current rules are of great importance for law enforcement activities. Our assessment is therefore that the data retention obligation does not cover anything other than what is strictly necessary to achieve the purpose of the regulations. Consequently, no changes should be made in the categories of data that are to be retained.
Requirement for retention within the EU?
According to the Court of Justice, control by an independent authority is a fundamental component of the protection provided to individuals in connection with the processing of personal data. In the data retention judgment, the Court pointed out that one deficiency in the Data Retention Directive was that it could not be held that the Directive fully ensured the control by an independent authority of compliance with the requirements of protection and security. According to the Court, this was a consequence of the fact that the Directive did not require the data to be retained within the European Union.
Against this backdrop, we considered whether a prohibition should be introduced against data that is retained under Swedish rules being transferred to a third country for storage there. However, we
Summary SOU 2015:31
26
found that the way in which the Swedish regulations are designed enables the supervisory authority, the Swedish Post and Telecom Authority, to conduct active and effective supervision even of suppliers that choose to store data outside the EU. We have also taken into consideration that personal data may only be transferred to a third country if the country concerned ensures an adequate level of protection for the data. The adequate protection requirement means, among other things, that the third country must have established control mechanisms that monitor compliance with the country’s rules on protection of personal data. Our assessment is therefore that control by an independent authority is guaranteed in Swedish law even with regard to suppliers that might choose to store data outside the EU. Moreover, we have found that a requirement in national law for retention within the EU or the EEA is incompatible with other EU regulations in the area and with Sweden’s commitments under the Data Protection Convention.
Against this backdrop, our assessment is that no general prohibition should be introduced against data that is retained under Swedish data retention rules being transferred to a third country for storage there.
Collection of subscription data
One of the deficiencies in the Data Retention Directive that the Court of Justice pointed out in its judgment was that the Directive did not give any objective criteria for limiting the access of the national authorities to the retained data or their use of that data. The Court also noted that the Directive did not require that access to data was made dependent on a prior review carried out by a court or by an independent body tasked with ensuring that access is limited to what is strictly necessary.
Subscription data retained under the Swedish data retention rules may be released to law enforcement authorities without any requirement that the crime for which the data are released is of any particular degree of severity. Moreover, data may be collected following a decision of the law enforcement authority, without prior control by an independent body.
Summary
27
Against this backdrop, we have considered several different measures that could contribute to strengthening controls over the application by the law enforcement authorities of the rules on collecting subscription data. For example, we have considered whether a supervisory body ought to be instructed to exercise supervision specifically focused on the application of these rules. However, our assessment is that the disadvantages of such a system outweigh the advantages. On the other hand, we propose that the authority to make decisions on collecting subscription data should be limited to certain specially designated officials at the authority requesting the data. In addition, we propose that decisions on collecting such data should be documented in a certain manner. The Inquiry considers that these measures could contribute to higher quality in the decision-making process and to more effective supervision by the Parliamentary Ombudsmen, the Chancellor of Justice, the Data Inspection Board and the Swedish Commission on Security and Integrity Protection. We also present proposals on certain clarifications in the provision on collecting subscription data. The purpose of this will be to make it clear that the provision can be applied in the law enforcement authorities’ intelligence activities.
Information covered by professional confidentiality
In its judgment, the Court of Justice underlined that one of the deficiencies of the Data Retention Directive was that it did not contain any exceptions to the data retention requirement, which meant that it applied even to persons whose communications are subject to confidentiality under national law.
We have therefore considered whether a prohibition should be introduced against collecting data concerning communications with persons subject to professional confidentiality. However, in Swedish law it is normally the contents of the data that determine whether it is subject to confidentiality. When collecting metadata, the authority collecting the data normally has no knowledge of the contents of the communications. Our assessment is therefore that a prohibition of this kind would be very difficult to apply. Moreover, in our view, it would have very little practical significance. Thi