SOU 2015:31

Datalagring och integritet

Till statsrådet Anders Ygeman

Regeringen beslutade den 26 juni 2014 att tillkalla en särskild utredare med uppdrag att utvärdera lagen (2012:278) om inhämtning av uppgifter om elektronisk kommunikation i de brottsbekämpande myndigheternas underrättelseverksamhet och analysera Säkerhetspolisens behov av en möjlighet enligt lagen att hämta in uppgifter om brottslig verksamhet som innefattar vissa samhällsfarliga brott. I uppdraget har även ingått att överväga om de rättssäkerhets- och integritetsstärkande åtgärder som vidtogs när inhämtningslagen infördes har varit tillräckliga eller om det finns behov av andra sådana åtgärder. Vidare har det ingått i uppdraget föreslå de förändringar i övrigt som bedöms lämpliga för att stärka skyddet för den personliga integriteten när det gäller reglerna om lagring av uppgifter om elektronisk kommunikation för brottsbekämpande ändamål.

F.d. justitierådet och ordföranden i Högsta förvaltningsdomstolen Sten Heckscher förordnades att fr.o.m. den 1 oktober 2014 vara särskild utredare.

Förordnade experter under hela eller delar av utredningstiden har varit polisöverintendenten Sören Clerton (Polismyndigheten), operative ledaren Fredrik Hallström (Säkerhetspolisen), advokaten Tomas Nilsson (Advokatsamfundet), enhetschefen Emily Alfvén Nickson och föredraganden Ulf Malm (Säkerhets- och integritetsskyddsnämnden), juristen Staffan Lindmark (Post- och telestyrelsen), enhetschefen Lars Korsell och utredaren Nicole Thorell (Brottsförebyggande rådet), professorn Iain Cameron (Uppsala universitet) samt kanslirådet Eva Bloch (Justitiedepartementet).

Rättssakkunnige Daniel Eriksson har varit sekreterare. Förordnande- respektive anställningstider för experterna och sekreteraren framgår av en förteckning som bifogas.

Utredningen har antagit namnet Datalagringsutredningen.

Sten Heckscher är ensam utredningsman och svarar ensam för innehållet i betänkandet. Experterna har emellertid deltagit i arbetet i sådan utsträckning att det är befogat att använda vi-form i betänkandet. Skilda uppfattningar i enskildheter och beträffande formuleringar kan dock förekomma utan att detta har behövt komma till uttryck i något särskilt yttrande.

Härmed överlämnas betänkandet Datalagring och integritet (SOU 2015:31). I och med detta är utredningens uppdrag slutfört.

Stockholm i mars 2015

Sten Heckscher

/Daniel Eriksson

Förteckning över förordnande- respektive anställningstider

Förordnade experter

Polisöverintendenten Sören Clerton, fr.o.m. den 3 december 2014 Operative ledaren Fredrik Hallström, fr.o.m. den 20 oktober 2014 Advokaten Tomas Nilsson, fr.o.m. den 20 oktober 2014 Enhetschefen Emily Alfvén Nickson, fr.o.m. den 20 oktober 2014 till den 1 januari 2015 Föredraganden Ulf Malm, fr.o.m. den 7 januari 2015 Juristen Staffan Lindmark, fr.o.m. den 20 oktober 2014 Enhetschefen Lars Korsell, fr.o.m. den 20 oktober 2014 Utredaren Nicole Thorell, fr.o.m. den 20 oktober 2014 Professorn Iain Cameron, fr.o.m. den 20 oktober 2014 Kanslirådet Eva Bloch, fr.o.m. den 3 december 2014

Sekreterare

Rättssakkunnige Daniel Eriksson, anställd som sekreterare fr.o.m. den 13 oktober 2014

7

Innehåll

1 Författningsförslag...................................................... 33

1.1 Förslag till lag om ändring i rättegångsbalken ....................... 33 1.2 Förslag till lag om ändring i lagen (2003:389) om elektronisk kommunikation .................................................... 35

1.3 Förslag till lag om ändring i lagen (2007:979) om åtgärder för att förhindra vissa särskilt allvarliga brott ......... 37 1.4 Förslag till lag om ändring i offentlighets- och sekretesslagen (2009:400) ........................................................ 38

1.5 Förslag till lag om ändring i postlagen (2010:1045) .............. 39 1.6 Förslag till lag om ändring i lagen (2012:278) om inhämtning av uppgifter om elektronisk kommunikation i de brottsbekämpande myndigheternas underrättelseverksamhet .......................................................... 41

1.7 Förslag till förordning om ändring i förordningen (2003:396) om elektronisk kommunikation .......................... 45

2 Utredningens uppdrag och arbete ................................ 47

2.1 Vårt uppdrag ............................................................................. 47 2.2 Utredningsarbetet .................................................................... 47 2.3 Betänkandets disposition ......................................................... 48

Innehåll SOU 2015:31

8

3 Bakgrund ................................................................... 51

3.1 Rätten till personlig integritet ................................................ 51 3.1.1 Integritetsbegreppet ..................................................... 51 3.1.2 Skyddsintressen ............................................................ 52 3.1.3 Regleringen av skyddet för privatlivet ........................ 53 3.2 Skyddet för personuppgifter ................................................... 59 3.2.1 EU:s primärrätt ............................................................ 59 3.2.2 Dataskyddsdirektivet ................................................... 60 3.2.3 Personuppgiftslagen ..................................................... 62 3.2.4 Polisdatalagen ............................................................... 63 3.2.5 Överföring av personuppgifter till tredje land ........... 67 3.3 Elektronisk kommunikation ................................................... 70 3.3.1 Allmänt om elektronisk kommunikation ................... 70 3.3.2 Integritetsskydd och tystnadsplikt vid

elektronisk kommunikation ........................................ 70

3.3.3 Lagen om elektronisk kommunikation ....................... 72

3.4 Brottsbekämpande verksamhet .............................................. 74 3.4.1 Brottsutredande verksamhet ....................................... 74 3.4.2 Underrättelseverksamhet ............................................. 75 3.5 Uppgifter om elektronisk kommunikation i brottsbekämpande verksamhet ............................................... 81 3.5.1 Allmänt om straffprocessuella tvångsmedel ............... 81 3.5.2 Hur används uppgifter om elektronisk

kommunikation i brottsbekämpande verksamhet? .................................................................. 83

3.5.3 Regleringen av tillgången till uppgifter ....................... 88 3.5.4 Kontrollmekanismer .................................................... 97

4 Datalagring .............................................................. 107

4.1 Datalagringsdirektivet ........................................................... 107 4.1.1 Direktivets syfte och tillämpningsområde ............... 107 4.1.2 Lagringsskyldighetens omfattning ............................ 107 4.1.3 Hanteringen av lagrade uppgifter .............................. 108

4.2 Den svenska regleringen ....................................................... 110 4.2.1 Genomförandeprocessen ........................................... 110

Innehåll

9

4.2.2 Lagringsskyldighetens omfattning ............................ 110 4.2.3 Utlämnande av uppgifter ............................................ 111 4.2.4 Säkerheten för lagrade uppgifter ................................ 112

4.3 EU-domstolens dom ............................................................. 114 4.4 Analysen ................................................................................. 117 4.4.1 Analysens utgångspunkter ......................................... 117 4.4.2 Lagringsskyldighetens omfattning ............................ 118 4.4.3 Tillgången till lagrade uppgifter ................................. 121 4.4.4 Lagringstiden .............................................................. 128 4.4.5 Säkerheten för lagrade uppgifter ................................ 130 4.4.6 Samlad bedömning ...................................................... 133 4.5 Reaktioner på domen ............................................................. 133 4.5.1 Reaktioner i Sverige .................................................... 133 4.5.2 Andra reaktioner ......................................................... 139

5 Vilka uppgiftskategorier ska lagras? ............................ 159

5.1 Inledning................................................................................. 159 5.2 Uppgifter som lagras ............................................................. 159 5.2.1 Lagringsskyldigheten enligt

datalagringsdirektivet ................................................. 159

5.2.2 Lagringsskyldigheten enligt svensk rätt .................... 161

5.3 Behovet av lagrade uppgifter ................................................. 162 5.4 Utredningens bedömning ...................................................... 167

6 Krav på lagring inom EU? .......................................... 169

6.1 Inledning................................................................................. 169 6.2 De svenska reglerna om säkerhet och tillsyn ....................... 169 6.2.1 Säkerhet ....................................................................... 169 6.2.2 Tillsyn .......................................................................... 171 6.3 Överföring av personuppgifter till tredje land ..................... 172 6.3.1 Bedömningen av skyddsnivån enligt

dataskyddsdirektivet ................................................... 172

Innehåll SOU 2015:31

10

6.3.2 Europeiska kommissionens beslut om adekvat skyddsnivå ................................................................... 174 6.3.3 Förhållandet mellan dataskyddsdirektivet och dataskyddskonventionen ........................................... 176

6.4 Utredningens bedömning ..................................................... 178

7 Inhämtning av abonnemangsuppgifter ........................ 183

7.1 Inledning ................................................................................ 183 7.2 Vilket integritetsintrång innebär utlämnandet av abonnemangsuppgifter? ........................................................ 184

7.3 Rutiner för dokumentation och loggning ............................ 187 7.4 Kontrollsystemet ................................................................... 188 7.5 Utredningens förslag ............................................................. 190 7.5.1 En särskild tillsynsuppgift?........................................ 190 7.5.2 Underrättelse till enskild? .......................................... 192 7.5.3 Parlamentarisk kontroll?............................................ 194 7.5.4 Beslut om inhämtning av abonnemangsuppgifter

bör fattas på en viss nivå ............................................ 195

7.5.5 Krav på dokumentation ............................................. 197 7.5.6 Verkställighet .............................................................. 197 7.5.7 Utlämnande för andra ändamål ................................. 198 7.5.8 Utlämnande av abonnemangsuppgifter i underrättelseverksamhet ............................................ 198

8 Uppgifter som omfattas av yrkesmässig tystnadsplikt ... 201

8.1 Inledning ................................................................................ 201 8.2 Skyddet för yrkesmässig tystnadsplikt ................................ 202 8.2.1 Tystnadsplikt .............................................................. 202 8.2.2 Undantag från vittnesplikt ........................................ 202 8.2.3 Avlyssningsförbud ..................................................... 203 8.2.4 Skyldighet att förstöra upptagningar och

uppteckningar ............................................................. 204

8.2.5 Proportionalitetsprincipen ........................................ 206

8.3 Utredningens förslag ............................................................. 208

Innehåll

11

8.3.1 Förbud mot att hämta in uppgifter om kommunikation med personer som omfattas av yrkesmässig tystnadsplikt? ......................................... 208 8.3.2 Förstörandeskyldighet ............................................... 209

9 Inhämtningslagen ..................................................... 211

9.1 Direktiven ............................................................................... 211 9.2 Utredningens kartläggning .................................................... 212 9.2.1 Metod .......................................................................... 212 9.2.2 Säkerhetspolisens användning av

inhämtningslagen ........................................................ 213

9.2.3 Polismyndighetens och Tullverkets användning av inhämtningslagen ................................................... 261

9.3 Åtgärder för att stärka rättssäkerheten eller integritetsskyddet? ................................................................. 283 9.3.1 Integritetsstärkande åtgärder vidtogs när

inhämtningslagen infördes ......................................... 283

9.3.2 Bör inhämtningslagens beslutsordning ändras? ........ 284 9.3.3 Åtgärder inom ramen för den befintliga beslutsordningen ......................................................... 294

9.4 Säkerhetspolisens behov av en särskild möjlighet att inhämta uppgifter om viss brottslig verksamhet .................. 304 9.4.1 Nuvarande ordning ..................................................... 304 9.4.2 Tidigare överväganden ................................................ 305 9.4.3 Säkerhetspolisens behovsbeskrivning ........................ 307 9.4.4 Utredningens förslag .................................................. 309

10.1 Tystnadsplikt för kvarhållande av försändelse enligt lagen om preventiva tvångsmedel ......................................... 313 10.2 Ekobrottsmyndighetens behov av en möjlighet att hämta in uppgifter enligt inhämtningslagen ......................... 314

10.3 Brottslig verksamhet som innefattar spridning av massförstörelsevapen ............................................................. 317

Innehåll SOU 2015:31

12

10.4 NAT-teknik ........................................................................... 320

11.1 Ikraftträdande m.m................................................................ 321 11.2 Konsekvenser ......................................................................... 321 11.2.1 Inledning ..................................................................... 322 11.2.2 Ekonomiska konsekvenser ........................................ 322 11.2.3 Övriga konsekvenser .................................................. 323

12.1 Förslaget till lag om ändring i rättegångsbalken .................. 325 12.2 Förslaget till lag om ändring i lagen om elektronisk kommunikation ..................................................................... 326 12.3 Förslaget till lag om ändring i lagen om åtgärder för att förhindra vissa särskilt allvarliga brott ................................. 327

12.4 Förslaget till lag om ändring i offentlighets- och sekretesslagen ........................................................................ 328 12.5 Förslaget till lag om ändring i postlagen .............................. 329 12.6 Förslaget till lag om ändring i lagen om inhämtning av uppgifter om elektronisk kommunikation i de brottsbekämpande myndigheternas underrättelseverksamhet ....................................................... 330 12.7 Förslaget till förordning om ändring i förordningen om elektronisk kommunikation ................................................. 332

Bilaga

Kommittédirektiv 2014:101 ........................................................... 335

13

Sammanfattning

Vårt uppdrag

I lagen om elektronisk kommunikation finns bestämmelser som anger att leverantörer av allmänt tillgängliga elektroniska kommunikationstjänster ska lagra vissa uppgifter som genereras eller behandlas i samband med att sådana tjänster tillhandahålls för att uppgifterna ska kunna användas vid brottsbekämpning. Vårt uppdrag har varit att föreslå de förändringar som bedöms lämpliga för att stärka skyddet för den personliga integriteten i förhållande till den regleringen.

Den s.k. inhämtningslagen reglerar Polismyndighetens, Säkerhetspolisens och Tullverkets möjligheter att få tillgång till uppgifter om elektronisk kommunikation i sin underrättelseverksamhet. Utredningen har haft i uppdrag att kartlägga och utvärdera hur lagen har tillämpats samt att överväga om den bör förändras för att stärka rättssäkerheten eller skyddet för den personliga integriteten. Ett annat syfte med uppdraget har varit att analysera Säkerhetspolisens behov av en särskild möjlighet att inhämta uppgifter om viss brottslig verksamhet som inte omfattas av inhämtningslagens huvudregel samt lämna förslag på hur ett sådant behov bör tillgodoses och balanseras mot integritetsintresset.

Bakgrund

Skyddet för privatlivet m.m.

I betänkandets bakgrundsavsnitt redogör vi för de regler om skydd för enskildas privatliv som finns i regeringsformen, Europakonventionen och EU:s rättighetsstadga. Där behandlas också vissa bestämmelser om skydd för enskildas personuppgifter. Vidare innehåller bakgrundsavsnittet beskrivningar av de brottsbekämpande myndig-

Sammanfattning SOU 2015:31

14

heternas verksamhet och de bestämmelser som reglerar dessa myndigheters möjligheter att få tillgång till vissa uppgifter om elektronisk kommunikation som behövs i verksamheten.

Datalagring

Det s.k. datalagringsdirektivet (Europaparlamentets och rådets direktiv 2006/24/EG om lagring av trafikuppgifter som genererats eller behandlats i samband med tillhandahållande av allmänt tillgängliga elektroniska kommunikationstjänster eller allmänna kommunikationsnät och om ändring av direktiv 2002/58/EG) syftade till att harmonisera medlemsstaternas regler om skyldigheter för leverantörer av allmänt tillgängliga elektroniska kommunikationstjänster eller allmänna kommunikationsnät att lagra vissa uppgifter om elektronisk kommunikation för att säkerställa att uppgifterna finns tillgängliga för avslöjande, utredning och åtal av allvarliga brott. De bestämmelser som genomförde direktivet i svensk rätt finns i lagen om elektronisk kommunikation.

Den 8 april 2014 meddelade EU-domstolen dom i målen C-293/12 och C-594/12, Digital Rights Ireland m.fl., angående giltigheten av datalagringsdirektivet. EU-domstolen förklarade i domen datalagringsdirektivet ogiltigt. Domstolen konstaterade att direktivet innebar ett omfattande och särskilt allvarligt intrång i rätten till privatliv och skyddet av personuppgifter. Domstolen konstaterade dock att en skyldighet att lagra uppgifter är en ändamålsenlig åtgärd för att uppnå syftet att bekämpa allvarlig brottslighet och upprätthålla allmän säkerhet. Eftersom direktivet inte fastställde tydliga och preciserade regler för omfattningen av intrånget i de aktuella rättigheterna ansåg domstolen emellertid att intrången inte begränsades till vad som var absolut nödvändigt för att uppnå sitt syfte. I domen pekade domstolen ut vissa omständigheter som beaktades särskilt vid bedömningen av om direktivet levde upp till kraven på proportionalitet. Domstolen fann vid en samlad bedömning att EU:s lagstiftande församlingar överskridit sina befogenheter då direktivet antogs eftersom det inte lever upp till proportionalitetsprincipen med avseende på de aktuella rättigheterna.

SOU 2015:31 Sammanfattning

15

Vilka uppgiftskategorier ska lagras?

Lagringsskyldighetens omfattning enligt svensk rätt regleras av bestämmelser i lagen och förordningen om elektronisk kommunikation. Enligt dessa bestämmelser ska leverantörer av elektroniska kommunikationsnät och kommunikationstjänster lagra vissa uppgifter om bl.a. telefonsamtal, internettrafik och meddelandehantering. Skyldigheten gäller i sex månader räknat från den dag kommunikationen avslutades.

Skyldigheten att lagra dessa uppgifter inkräktar på rättigheter som enskilda är tillförsäkrade enligt regeringsformen, Europakonventionen och EU:s rättighetsstadga. För att en sådan åtgärd ska vara godtagbar krävs att den objektivt sett är ägnad att uppnå syftet med åtgärden och att den är proportionerlig.

Av uppgifter som vi har inhämtat från polisen framgår att samtliga uppgiftskategorier som lagras enligt dagens regler är av stor vikt för den brottsbekämpande verksamheten. Vår bedömning är därför att lagringsskyldighetens inte omfattar annat än vad som är strikt nödvändigt för att uppnå syftet med regleringen. Det bör därför inte göras några förändringar i fråga om vilka uppgiftskategorier som ska lagras.

Krav på lagring inom EU?

Enligt EU-domstolen är den oberoende myndighetskontrollen en grundläggande beståndsdel i skyddet för enskilda individer i samband med behandlingen av personuppgifter. Domstolen pekade i datalagringsdomen på att en brist i datalagringsdirektivet var att den oberoende myndighetskontrollen av att skydds- och säkerhetskraven för de lagrade uppgifterna följs inte fullt ut kunde anses vara garanterad i direktivet. Detta var enligt domstolen en konsekvens av att direktivet inte krävde att uppgifterna skulle lagras inom unionen.

Vi har mot den bakgrunden övervägt om det bör införas ett förbud mot att uppgifter som lagras enligt de svenska reglerna förs över till ett s.k. tredje land för lagring där. Emellertid har vi funnit att det svenska regelverket är utformat på ett sådant sätt att tillsynsmyndigheten, Post- och telestyrelsen, har möjligheter att bedriva en aktiv och ändamålsenlig tillsynsverksamhet även gentemot leverantörer som väljer att lagra uppgifter utanför unionen. Vidare har vi

Sammanfattning SOU 2015:31

16

beaktat att personuppgifter får föras över till tredje land endast om landet i fråga säkerställer en adekvat nivå av skydd för uppgifterna. Kravet på adekvat skydd innebär bl.a. att det tredje landet ska ha inrättat kontrollmekanismer som bevakar att landets skyddsregler i fråga om personuppgifter följs. Vår bedömning är därför att den oberoende myndighetskontrollen är garanterad i svensk rätt även i förhållande till leverantörer som skulle välja att lagra uppgifter utanför EU. Vidare har vi funnit att ett krav i nationell rätt på lagring inom EU eller EES inte går att förena med den övriga EU-regleringen på området samt med Sveriges åtaganden enligt dataskyddskonventionen.

Mot den bakgrunden gör vi bedömningen att det inte bör införas något generellt förbud mot att uppgifter som lagras enligt de svenska datalagringsreglerna förs över till tredje land för lagring där.

Inhämtning av abonnemangsuppgifter

En av de brister i datalagringsdirektivet som EU-domstolen pekade på i sin dom var att direktivet inte angav några objektiva kriterier för att avgränsa de nationella myndigheternas tillgång till och användning av de lagrade uppgifterna. Domstolen noterade också att direktivet inte krävde att tillgången till uppgifter skulle vara underkastad någon förhandskontroll av en domstol eller oberoende myndighet som har till uppgift är att se till att tillgången begränsas till vad som är strikt nödvändigt.

Abonnemangsuppgifter som lagras med stöd av de svenska datalagringsreglerna får lämnas ut till brottsbekämpande myndigheter utan krav på att den brottslighet som uppgifterna lämnas ut för ska vara av någon viss svårhetsgrad. Vidare får uppgifter hämtas in efter beslut av den brottsbekämpande myndigheten och således utan föregående kontroll av en oberoende instans.

Vi har mot den bakgrunden övervägt ett flertal olika åtgärder som skulle kunna bidra till att stärka kontrollen över de brottsbekämpande myndigheternas tillämpning av reglerna om inhämtning av abonnemangsuppgifter. Bland annat har vi övervägt om ett tillsynsorgan bör få i uppgift att utöva tillsyn som specifikt tar sikte på tillämpningen av dessa regler. Vi gör dock bedömningen att nackdelarna med en sådan ordning överväger fördelarna. Däremot

SOU 2015:31 Sammanfattning

17

föreslår vi att beslut om inhämtning av abonnemangsuppgifter ska få fattas endast av vissa särskilt utpekade befattningshavare inom den myndighet som begär uppgifterna. Vidare föreslår vi att beslut om inhämtning av sådana uppgifter ska dokumenteras på visst sätt. Dessa åtgärder bedöms kunna bidra till högre kvalitet i beslutsfattandet och till att den tillsyn som bedrivs av JO, JK, Datainspektionen och SIN blir mer effektiv. Vidare lämnar vi förslag på vissa förtydliganden i bestämmelsen om inhämtning av abonnemangsuppgifter. Syftet är att göra det tydligt att bestämmelsen kan tillämpas i de brottsbekämpande myndigheternas underrättelseverksamhet.

Uppgifter som omfattas av yrkesmässig tystnadsplikt

EU-domstolen lyfte i sin dom fram att en brist i datalagringsdirektivet var att det inte innehöll några undantag från lagringskravet, vilket innebar att det var tillämpligt även på personer vilkas kommunikation enligt nationell rätt omfattas av tystnadsplikt.

Vi har därför övervägt om det bör införas ett förbud mot att hämta in uppgifter om kommunikation med personer som omfattas av yrkesmässig tystnadsplikt. I svensk rätt är det emellertid en uppgifts innehåll som avgör om den omfattas av tystnadsplikt. Vid inhämtning av s.k. metadata känner den myndighet som hämtar in uppgifterna normalt inte till innehållet i kommunikationen. Vår bedömning är därför att ett sådant förbud skulle vara mycket svårt att tillämpa. Vidare bedömer vi att ett sådant förbud skulle vara av begränsad praktisk betydelse. Detta eftersom proportionalitetsprincipen normalt hindrar att uppgifter hämtas in, om myndigheterna i något undantagsfall på förhand skulle känna till att kommunikationen omfattas av tystnadsplikt. Däremot föreslår vi att det ska införas regler om att uppgifter om sådan kommunikation ska förstöras i de fall myndigheterna i efterhand får kännedom om att kommunikationen omfattas av sådan tystnadsplikt.

Sammanfattning SOU 2015:31

18

Inhämtningslagen

Kartläggningen

En del av vårt uppdrag har varit att kartlägga den hittillsvarande tillämpningen av inhämtningslagen. Den undersökningsmetod som vi har valt innebär att vi på djupet har granskat ett urval av underrättelseärenden där inhämtningslagen har tillämpats av Polismyndigheten, Säkerhetspolisen eller Tullverket. I samband med undersökningen har utredningen, i vart och ett av de utvalda ärendena, tagit del av de beslut enligt inhämtningslagen som fattats i ärendena samt bakomliggande skriftligt material. Därefter har företrädare för utredningen intervjuat den ansvarige handläggaren om ärendet. Syftet har varit att på djupet tränga in i frågorna om nytta, behov och integritetsintrång.

Resultatet av kartläggningen redovisas i detalj i betänkandet och har varit en viktig del av underlaget för vår analys, våra bedömningar och våra förslag i fråga om inhämtningslagen. Vi har kunnat konstatera att de brottsbekämpande myndigheterna hanterar ärenden enligt inhämtningslagen på ett i allt väsentligt tillfredsställande sätt. Vidare har vi funnit att lagen är ett viktigt redskap i myndigheternas underrättelseverksamhet. Tillämpningen av lagen leder i de allra flesta fall till att myndigheterna får tillgång till relevant information som bidrar till att föra underrättelseärendena framåt. Det finns därför underlag för bedömningen att lagen innebär beaktansvärd nytta i underrättelseverksamheten. Lagen leder dock även till integritetsintrång, både för de personer som ärendena avser och de personer som dessa har kontakt med.

Inhämtningslagens beslutsordning

EU-domstolen pekade i datalagringsdomen på att direktivet inte föreskrev att de behöriga nationella myndigheternas tillgång till lagrade uppgifter skulle vara underkastad någon förhandskontroll utförd av en domstol eller oberoende myndighet. Vi har därför, och i enlighet med våra direktiv, övervägt bl.a. om allmän domstol bör anförtros uppgiften att fatta beslut om inhämtning av uppgifter. Emellertid har vi funnit att frågor om inhämtning av uppgifter i underrättelseverksamhet lämpar sig mindre väl för prövning i allmän

SOU 2015:31 Sammanfattning

19

domstol. I underrättelseverksamheten, som är skild från och ligger i tiden före en förundersökning, är syftet att genom en bred informations- och kunskapsinsamling ge underlag för bearbetning och analys. Utgångspunkten för underrättelseverksamheten är, ofta utifrån en mer övergripande ansats, att studera och kartlägga en befarad brottslig verksamhet för att förebygga eller förhindra att brottsligheten genomförs. Eftersom verksamheten inte som i en förundersökning, är inriktad mot någon specifik brottslig gärning – och ofta inte heller mot någon särskild utpekad person – gör sig partsintresset inte heller gällande på samma sätt i underrättelseverksamheten som under en förundersökning. Integritetsaspekten i underrättelseskedet präglas därför mer av ett medborgarperspektiv än av ett sådant tvåpartsförfarande som lämpar sig för prövning i allmän domstol. Det finns också anledning att vara tveksam till om domstolarna skulle ha möjlighet att tillgodose behovet av snabba beslut.

Vi har också övervägt om beslutsbefogenheten enligt inhämtningslagen bör anförtros åklagare eller ett nytt beslutsorgan, t.ex. en nämnd. Sådana alternativ har samma svagheter som en domstolsprövning. Det finns också andra nackdelar. Vi bedömer t.ex. att en uppgift för åklagare att fatta beslut om den aktuella inhämtningen skulle vara svår att förena med den roll åklagarna har i det straffprocessuella systemet. Mot bakgrund av att dagens beslutsordning fungerar väl gör vi därför bedömningen att beslut enligt inhämtningslagen även i fortsättningen bör fattas av de brottsbekämpande myndigheterna.

Åtgärder inom ramen för den befintliga beslutsordningen

Vi har också övervägt vissa åtgärder som skulle kunna vidtas inom ramen för den befintliga beslutsordningen och som skulle kunna bidra till att förstärka kontrollen över tillämpningen. Bland annat har vi övervägt om möjligheten att delegera beslutsbefogenhet inom den beslutande myndigheten kan skärpas. Vi har dock funnit att den nuvarande delegationsbestämmelsen har en så strikt utformning som man rimligen kan begära. Vi föreslår därför inte några ändringar av den.

Inom både Polismyndigheten och Tullverket finns numera centralt placerade enheter som har ett övergripande ansvar för att skapa en-

Sammanfattning SOU 2015:31

20

hetliga riktlinjer för handläggningen av ärenden enligt inhämtningslagen och följa upp hur denna verksamhet hanteras inom respektive myndighet. Vi bedömer att detta med stor sannolikhet kommer att bidra till att höja och garantera kvaliteten i beslutsprocessen hos myndigheterna. Vidare arbetar såväl Polismyndigheten som Tullverket f.n. med att utarbeta nya system för delegation av beslutsbeslutsbefogenhet enligt lagen. Vi anser oss kunna utgå från att myndigheterna i det arbetet kommer att se till att besluten fattas på en tillräckligt hög nivå för att garantera en beslutsordning som uppfyller höga krav på kompetens och rättssäkerhet.

Vidare har vi övervägt om det skulle vara möjligt att vidta någon eller några åtgärder för att förbättra förutsättningarna för SIN:s tillsynsverksamhet. Vi har då kommit fram till att det bör föreskrivas att myndigheternas skyldighet att underrätta nämnden om beslut som fattats enligt inhämtningslagen bör fullgöras genom att myndigheten ger in själva beslutet till nämnden. Däremot bedömer vi att det inte vore lämpligt att förändra kraven på vilka uppgifter besluten ska innehålla. Vi bedömer också att det inte är nödvändigt att förändra kraven på dokumentation i ärenden enligt inhämtningslagen. Anledningen till det är att det har kommit fram att skälen för inhämtningsbesluten i regel finns dokumenterade i ärendena och att de således är tillgängliga för SIN.

Slutligen har vi också övervägt om det finns anledning att öka möjligheterna för teleoperatörerna att lämna uppgifter till SIN angående verkställigheten av beslut enligt inhämtningslagen. Vi bedömer dock att en sådan möjlighet inte skulle leda till någon förbättring av förutsättningarna för SIN:s tillsyn.

Säkerhetspolisens behov av en särskild möjlighet att inhämta uppgifter om viss brottslig verksamhet

Enligt inhämtningslagens huvudregel får uppgifter hämtas in, om omständigheterna är sådana att åtgärden är av särskild vikt för att förebygga, förhindra eller upptäcka brottslig verksamhet som innefattar brott för vilket inte är föreskrivet lindrigare straff än fängelse i två år. Enligt en särskild tidsbegränsad bestämmelse får uppgifter hämtas in också om brottslig verksamhet som innefattar vissa brott med lägre straffminimum än fängelse i två år (3 §). De brott som omfattas av bestämmelsen utgör sådan samhällsfarlig brottslighet

SOU 2015:31 Sammanfattning

21

som bekämpas av Säkerhetspolisen. En del av vårt uppdrag har varit att analysera Säkerhetspolisens behov av en sådan möjlighet och att lämna förslag på hur detta behov bör tillgodoses och balanseras mot integritetsintresset.

Genom vår kartläggning har det kommit fram att tillämpningen av inhämtningslagen har lett till beaktansvärd nytta i samband med underrättelsearbete avseende brottslig verksamhet som innefattar flera av de brott som i dagsläget omfattas av bestämmelsen. Vi bedömer därför att möjligheten att hämta in uppgifter om brottslig verksamhet som innefattar dessa brott bör finnas kvar och att den i fortsättningen bör gälla permanent.

Vidare har det kommit fram att Säkerhetspolisen har ett stort behov av att kunna hämta in uppgifter om brottslig verksamhet som innefattar s.k. statsstyrt företagsspioneri samt grov misshandel och olaga frihetsberövande som begås i avsikt att påverka offentliga organ eller den som yrkesmässigt bedriver nyhetsförmedling eller annan journalistik att vidta eller avstå från att vidta en åtgärd eller att hämnas en åtgärd (s.k. systemhotande brottslighet). Vi föreslår därför att möjligheten att hämta in uppgifter ska omfatta även dessa brott.

23

Summary

Our remit

The Electronic Communications Act contains provisions stating that suppliers of publicly available electronic communications services are to retain certain data generated or processed in connection with providing such services so that these data can be used for law enforcement purposes. Our remit has been to propose the changes deemed appropriate to strengthen the protection of privacy with respect to these regulations.

The Data Collection Act regulates the powers of the Police Authority, the Swedish Security Service and the Swedish Customs to access such information. The Inquiry has had instructions to survey and evaluate the application of the Act in practice and to consider whether it should be changed. Another purpose of our remit has been to analyse the Swedish Security Service’s need for special powers to collect data about some forms of criminal activity that are not covered by the general rule in the Data Collection Act and to present proposals on how such a need should be met and the balance to be struck with the interests of privacy.

Background

Protection of private life etc.

In the background section of the report, we describe the rules on the protection of individuals’ private lives contained in the Swedish Instrument of Government, the European Convention for the Protection of Human Rights and Fundamental Freedoms and the EU Charter of Fundamental Rights. This section also discusses certain provisions on the protection of individuals’ personal data.

Summary SOU 2015:31

24

In addition, it describes the activities of the various law enforcement authorities and the provisions regulating these authorities’ powers to demand access to certain information about electronic communications that they need in their activities.

Data retention

The Data Retention Directive (Directive 2006/24/EC of the European Parliament and of the Council on the retention of data generated or processed in connection with the provision of publicly available electronic communications services or of public communications networks and amending Directive 2002/58/EC) aimed to harmonise EU Member States’ regulations on the obligations of suppliers of publicly available electronic communications services or of public communications networks to retain certain data about electronic communications to ensure that the data is available for detecting, investigating and prosecuting serious crime. The provisions implementing the Directive in Swedish law are contained in the Electronic Communications Act.

On 8 April 2014 the Court of Justice of the European Union delivered its judgment in joined cases C 293/12 and C 594/12, Digital Rights Ireland et al., concerning the validity of the Data Retention Directive. In its judgment, the Court declared the Directive invalid. The Court noted that the Directive entailed a wide-ranging and particularly serious interference in the right to respect for private life and the protection of personal data. However, the Court found that an obligation to retain data is an effective measure for achieving the purpose of fighting serious crime and maintaining public safety. Nonetheless, since the Directive did not lay down clear and precise rules governing the scope of the interference in the rights at issue, the Court considered that the interference was not limited to what was strictly necessary to achieve its purpose. In its judgment, the Court identified certain circumstances to which particular attention was paid in assessing whether the Directive satisfied the requirements of proportionality. On balance, the Court found that the legislative assemblies of the European Union had exceeded their authority when the Directive was adopted, since it does not satisfy the principle of proportionality with regard to the rights concerned.

Summary

25

Which categories of data should be retained?

The obligation to retain data is regulated in Swedish law by provisions in the Electronic Communications Act and Ordinance. These provisions require suppliers of electronic communications networks and communications services to retain certain data concerning telephone calls, internet traffic, message processing and other matters. The obligation applies for six months calculated from the date on which the communications concluded.

The obligation to retain this data is a measure that infringes on rights that are guaranteed to individuals in accordance with the Instrument of Government, the European Convention for the Protection of Human Rights and Fundamental Freedoms and the EU Charter of Fundamental Rights. For such a measure to be acceptable, it must be objectively appropriate for achieving the measure’s purpose and it must be proportionate.

It is evident from information obtained from the police that all the categories of data retained under current rules are of great importance for law enforcement activities. Our assessment is therefore that the data retention obligation does not cover anything other than what is strictly necessary to achieve the purpose of the regulations. Consequently, no changes should be made in the categories of data that are to be retained.

Requirement for retention within the EU?

According to the Court of Justice, control by an independent authority is a fundamental component of the protection provided to individuals in connection with the processing of personal data. In the data retention judgment, the Court pointed out that one deficiency in the Data Retention Directive was that it could not be held that the Directive fully ensured the control by an independent authority of compliance with the requirements of protection and security. According to the Court, this was a consequence of the fact that the Directive did not require the data to be retained within the European Union.

Against this backdrop, we considered whether a prohibition should be introduced against data that is retained under Swedish rules being transferred to a third country for storage there. However, we

Summary SOU 2015:31

26

found that the way in which the Swedish regulations are designed enables the supervisory authority, the Swedish Post and Telecom Authority, to conduct active and effective supervision even of suppliers that choose to store data outside the EU. We have also taken into consideration that personal data may only be transferred to a third country if the country concerned ensures an adequate level of protection for the data. The adequate protection requirement means, among other things, that the third country must have established control mechanisms that monitor compliance with the country’s rules on protection of personal data. Our assessment is therefore that control by an independent authority is guaranteed in Swedish law even with regard to suppliers that might choose to store data outside the EU. Moreover, we have found that a requirement in national law for retention within the EU or the EEA is incompatible with other EU regulations in the area and with Sweden’s commitments under the Data Protection Convention.

Against this backdrop, our assessment is that no general prohibition should be introduced against data that is retained under Swedish data retention rules being transferred to a third country for storage there.

Collection of subscription data

One of the deficiencies in the Data Retention Directive that the Court of Justice pointed out in its judgment was that the Directive did not give any objective criteria for limiting the access of the national authorities to the retained data or their use of that data. The Court also noted that the Directive did not require that access to data was made dependent on a prior review carried out by a court or by an independent body tasked with ensuring that access is limited to what is strictly necessary.

Subscription data retained under the Swedish data retention rules may be released to law enforcement authorities without any requirement that the crime for which the data are released is of any particular degree of severity. Moreover, data may be collected following a decision of the law enforcement authority, without prior control by an independent body.

Summary

27

Against this backdrop, we have considered several different measures that could contribute to strengthening controls over the application by the law enforcement authorities of the rules on collecting subscription data. For example, we have considered whether a supervisory body ought to be instructed to exercise supervision specifically focused on the application of these rules. However, our assessment is that the disadvantages of such a system outweigh the advantages. On the other hand, we propose that the authority to make decisions on collecting subscription data should be limited to certain specially designated officials at the authority requesting the data. In addition, we propose that decisions on collecting such data should be documented in a certain manner. The Inquiry considers that these measures could contribute to higher quality in the decision-making process and to more effective supervision by the Parliamentary Ombudsmen, the Chancellor of Justice, the Data Inspection Board and the Swedish Commission on Security and Integrity Protection. We also present proposals on certain clarifications in the provision on collecting subscription data. The purpose of this will be to make it clear that the provision can be applied in the law enforcement authorities’ intelligence activities.

Information covered by professional confidentiality

In its judgment, the Court of Justice underlined that one of the deficiencies of the Data Retention Directive was that it did not contain any exceptions to the data retention requirement, which meant that it applied even to persons whose communications are subject to confidentiality under national law.

We have therefore considered whether a prohibition should be introduced against collecting data concerning communications with persons subject to professional confidentiality. However, in Swedish law it is normally the contents of the data that determine whether it is subject to confidentiality. When collecting metadata, the authority collecting the data normally has no knowledge of the contents of the communications. Our assessment is therefore that a prohibition of this kind would be very difficult to apply. Moreover, in our view, it would have very little practical significance. This is because the principle of proportionality normally prevents data being collected

Summary SOU 2015:31

28

if the authorities, by way of exception, should be aware in advance that the communications are subject to confidentiality. On the other hand, we propose the introduction of rules requiring the data concerning such communications to be destroyed in cases where the authorities later learn that the communications are subject to such confidentiality.

Data Collection Act

Survey

Part of our remit was to survey the application of the Data Collection Act until now. The method that we chose to investigate this issue was an in-depth examination of a sample of intelligence cases in which the Data Collection Act had been applied by the Police Authority, the Swedish Security Service or Swedish Customs. In connection with the investigation, in each of the cases selected, the Inquiry studied the decision taken in the cases under the Data Collection Act and background written material. After that, a representative of the Inquiry interviewed the case officer responsible for the case. The purpose was to gain an in-depth understanding of the issues of benefit, need and interference in privacy.

The results of the survey are presented in detail in the report and were an important part of the material on which we based our analysis, assessments and proposals concerning the Data Collection Act. We found that the way in which the law enforcement authorities process cases under the Data Collection Act is essentially satisfactory. We also found that the Act is an important tool in the authorities’ intelligence activities. In the vast majority of cases, the Act is applied so as to give the authorities access to relevant information that helps to advance the intelligence cases. There are therefore grounds for concluding that the Act is of considerable benefit for intelligence activities. However, it also leads to interference in the privacy of both the individuals concerned in the cases and those with whom they have been in contact.

Summary

29

Decision-making procedure in the Data Collection Act

The Court of Justice pointed out in the data retention judgment that the Directive did not prescribe that the access of the competent national authorities to retained data should be subject to prior review carried out by a court or an independent authority. Therefore, and in accordance with our terms of reference, we have considered whether a general court should be entrusted with taking decisions on collecting data. However, we have found that matters concerning the collection of data in intelligence activities are not particularly well-suited for review by a general court. The purpose of intelligence activities, which are separate from and precede a preliminary investigation, is to obtain material for processing and analysis through a broad collection of information and knowledge. The basic purpose of intelligence activities is to study and identify potential criminal activities in order to prevent the crime from being carried out. These activities are often part of a more wideranging approach. Since the activities, unlike a preliminary investigation, do not focus on any specific criminal act – and often not on any specifically identified person either – the interest of the parties does not play the same kind of role in intelligence activities as in a preliminary investigation. Consequently, in the intelligence phase the privacy aspect is characterised more by the perspective of citizens’ interests than by the type of two party procedure that is wellsuited for review by a general court. There is also reason to doubt whether the courts would be able to satisfy the need for speedy decisions.

We have also considered whether the decision-making powers under the Data Collection Act should be entrusted to a prosecutor or a new decision-making body, such as a special board. These options have the same weaknesses as a court review. There are also other disadvantages. In our assessment, for example, giving prosecutors the task of taking decisions to order collection of data would be difficult to reconcile with the role prosecutors have in the criminal law system. Given that the current decision-making procedure works well, our assessment is therefore that decisions under the Data Collection Act should be taken by the law enforcement authorities.

Summary SOU 2015:31

30

Measures within the framework of existing decision-making procedures

We have also considered certain measures that could be taken within the framework of existing decision-making procedures and that could contribute to strengthening controls over the application of these procedures. Among other things, we have considered whether it is possible to tighten up the possibility of delegating decision-making powers within the decision-making authority. However, we have found that the current provision on delegation is formulated as strictly as can reasonably be demanded. We therefore do not propose any changes in this provision.

Both the Police Authority and Swedish Customs now have centrally placed units that have a broad responsibility for creating standard guidelines for processing cases under the Data Collection Act and following up how these activities are managed within the authority. We consider that this is highly likely to help raise and guarantee the quality of the decision making process at these authorities. Furthermore, both the Police Authority and the Swedish Customs are now developing new systems for delegating decisionmaking powers under the Act. We believe we can assume that in this process, the authorities will ensure that decisions are taken at a sufficiently high level to guarantee a decision-making procedure that meets high standards of competence and legal certainty.

We have also considered whether it would be possible to take any measure or measures to improve the conditions for supervision by the Swedish Commission on Security and Integrity Protection. Our conclusion is that it should be prescribed that the authorities’ obligation to inform the Commission of decisions taken under the Data Collection Act should be met by the authority concerned submitting the actual decision to the Commission. On the other hand, we do not consider it would be appropriate to change the requirements concerning the information the decisions must contain. We also do not consider it necessary to change the requirements concerning documentation in cases under the Data Collection Act. The reason for this is that it has emerged that the grounds for data collection decisions are generally documented in the cases and are therefore available to the Commission.

Summary

31

Finally, we have also considered whether there is reason to increase the possibilities for telecommunications operators to provide information to the Commission concerning the enforcement of decisions under the Data Collection Act. However, in our assessment, such a possibility would not lead to any improvement in the conditions for supervision by the Commission.

The need of the Swedish Security Service for special powers to collect information about certain criminal activities

According to the general rule in the Data Collection Act, data may be collected if the circumstances are such that the measure is of particular importance for preventing or detecting criminal activities that include crimes for which the law does not envisage a more lenient sentence than imprisonment for two years. The Act also contains a special time-limited provision allowing data to be collected concerning criminal activities that include certain crimes with lower minimum sentences than imprisonment for two years (Section 3). The crimes covered by this provision are the types of criminal activity that pose a threat to society and that are targeted by the Swedish Security Service. Part of our remit has been to analyse the extent to which the Swedish Security Service needs such an option and to present proposals on how this need should be met while striking a balance with the interests of privacy.

It has emerged from our review that the way in which the Data Collection Act has been applied has led to considerable benefits in connection with intelligence activities relating to criminal activities that include several of the crimes that are now covered by this section of the law. In our opinion, the possibility of collecting data concerning criminal activities that include these crimes should therefore be retained and should have permanent application in the future.

Moreover, it has emerged that the Swedish Security Service has a great need to be able to collect data concerning criminal activities that include state-sponsored industrial espionage and gross assault and unlawful deprivation of liberty committed with the intention of influencing public bodies or a person professionally engaged in news coverage or other journalism to take or refrain from taking a measure or to take revenge for a measure (‘system-threatening

Summary SOU 2015:31

32

crime’). We therefore propose that the possibility of collecting data should also extend to these crimes.

33

1 Författningsförslag

1.1 Förslag till lag om ändring i rättegångsbalken

Härigenom föreskrivs att 27 kap. 22 § rättegångsbalken ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

27 kap.

22 §1

Hemlig avlyssning av elektronisk kommunikation får inte avse telefonsamtal eller andra meddelanden där någon som yttrar sig, på grund av bestämmelserna i 36 kap. 5 § andra–sjätte styckena, inte skulle ha kunnat höras som vittne om det som har sagts eller på annat sätt kommit fram. Om det under avlyssningen kommer fram att det är fråga om ett sådant samtal eller meddelande, ska avlyssningen omedelbart avbrytas.

Hemlig rumsavlyssning får inte avse samtal eller annat tal där någon som angetts i första stycket talar. Om det under rumsavlyssningen kommer fram att det är fråga om ett sådant samtal eller tal, ska avlyssningen omedelbart avbrytas.

Upptagningar och uppteckningar ska omedelbart förstöras i de delar som de omfattas av förbud enligt första eller andra stycket.

Uppteckningar från hemlig övervakning av elektronisk kommunikation ska omedelbart förstöras i de delar innehållet avser uppgifter som, på grund av be-

1 Senaste lydelse 2014:1419.

Författningsförslag SOU 2015:31

34

stämmelserna i 36 kap. 5 § andra– sjätte styckena, inte skulle ha kunnat inhämtas genom vittnesförhör i domstol.

Denna lag träder i kraft den 1 juli 2016.

SOU 2015:31 Författningsförslag

35

1.2 Förslag till lag om ändring i lagen ( 2003:389 ) om elektronisk kommunikation

Härigenom föreskrivs att 6 kap. 22 § lagen (2003:389) om elektronisk kommunikation ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

6 kap.

22 §2

Den som tillhandahåller ett elektroniskt kommunikationsnät eller en elektronisk kommunikationstjänst och därvid har fått del av eller tillgång till uppgift som avses i 20 § första stycket ska på begäran lämna

1. uppgift som avses i 20 § första stycket 1 till en myndighet som i ett särskilt fall behöver en sådan uppgift för delgivning enligt delgivningslagen (2010:1932), om myndigheten finner att det kan antas att den som söks för delgivning håller sig undan eller att det annars finns synnerliga skäl,

2. uppgift som avses i 20 § första stycket 1 och som gäller misstanke om brott till en åklagarmyndighet, Polismyndigheten, Säkerhetspolisen eller någon annan myndighet som ska ingripa mot brottet,

2. uppgift som avses i 20 § första stycket 1 och som gäller misstanke om brott eller brottslig

verksamhet till en åklagarmyn-

dighet, Polismyndigheten, Säkerhetspolisen eller någon annan myndighet som ska ingripa mot brottet eller den brottsliga verk-

samheten,

3. uppgift som avses i 20 § första stycket 1 och 3 samt uppgift om i vilket geografiskt område en viss elektronisk kommunikationsutrustning finns eller har funnits till Polismyndigheten, om myndigheten finner att uppgiften behövs i samband med efterforskning av personer som har försvunnit under sådana omständigheter att det kan befaras att det finns fara för deras liv eller allvarlig risk för deras hälsa,

2 Senaste lydelse 2014:734.

Författningsförslag SOU 2015:31

36

4. uppgift som avses i 20 § första stycket 1 till Kronofogdemyndigheten om myndigheten behöver uppgiften i exekutiv verksamhet och myndigheten finner att uppgiften är av väsentlig betydelse för handläggningen av ett ärende,

5. uppgift som avses i 20 § första stycket 1 till Skatteverket, om verket finner att uppgiften är av väsentlig betydelse för handläggningen av ett ärende som avser kontroll av skatt eller avgift eller rätt folkbokföringsort enligt folkbokföringslagen (1991:481),

6. uppgift som avses i 20 § första stycket 1 till Polismyndigheten, om myndigheten finner att uppgiften behövs i samband med underrättelse, efterforskning eller identifiering vid olyckor eller dödsfall eller för att myndigheten ska kunna fullgöra en uppgift som avses i 12 § polislagen (1984:387),

7. uppgift som avses i 20 § första stycket 1 till Polismyndigheten eller en åklagarmyndighet, om myndigheten finner att uppgiften behövs i ett särskilt fall för att myndigheten ska kunna fullgöra underrättelseskyldighet enligt 33 § lagen (1964:167) med särskilda bestämmelser om unga lagöverträdare, och

8. uppgift som avses i 20 § första stycket 1 och 3 till regional alarmeringscentral som avses i lagen (1981:1104) om verksamheten hos vissa regionala alarmeringscentraler.

Ersättning för att lämna ut andra uppgifter enligt första stycket 8 än lokaliseringsuppgifter ska vara skälig med hänsyn till kostnaderna för utlämnandet.

Denna lag träder i kraft den 1 juli 2016.

SOU 2015:31 Författningsförslag

37

1.3 Förslag till lag om ändring i lagen ( 2007:979 ) om åtgärder för att förhindra vissa särskilt allvarliga brott

Härigenom föreskrivs att 11 § lagen (2007:979) om åtgärder för att förhindra vissa särskilt allvarliga brott ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

11 §3

Hemlig avlyssning av elektronisk kommunikation får inte ske av telefonsamtal eller andra meddelanden där den som yttrar sig inte skulle ha kunnat höras som vittne, enligt 36 kap. 5 § andra–sjätte styckena rättegångsbalken, om det som har sagts eller på annat sätt framkommit. Om det av avlyssningen framgår att det är fråga om ett sådant samtal eller meddelande, ska avlyssningen omedelbart avbrytas.

Upptagningar och uppteckningar från en hemlig avlyssning av elektronisk kommunikation ska, i den utsträckning de omfattas av förbudet, omedelbart förstöras.

Uppteckningar från hemlig övervakning av elektronisk kommunikation ska omedelbart förstöras i de delar innehållet avser uppgifter som, på grund av bestämmelserna i 36 kap. 5 § andra– sjätte styckena rättegångsbalken , inte skulle ha kunnat inhämtas genom vittnesförhör i domstol.

Denna lag träder i kraft den 1 juli 2016.

3 Senaste lydelse 2012:286.

Författningsförslag SOU 2015:31

38

1.4 Förslag till lag om ändring i offentlighets- och sekretesslagen (2009:400)

Härigenom föreskrivs att 44 kap. 4 § offentlighets- och sekretesslagen (2009:400) ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

44 kap.

4 §4

Rätten enligt 1 kap. 1 § tryckfrihetsförordningen och 1 kap.1 och 2 §§yttrandefrihetsgrundlagen att meddela och offentliggöra uppgifter inskränks av den tystnadsplikt som följer av

1. 2 kap. 14 § första stycket 1

1. 2 kap. 14 § första stycket 1, 3 och 4 postlagen (2010:1045),

2. 6 kap. 20 § lagen (2003:389) om elektronisk kommunikation, när det är fråga om uppgift om innehållet i ett elektroniskt meddelande eller som annars rör ett särskilt sådant meddelande, och

3. 6 kap. 21 § lagen om elektronisk kommunikation, när det är fråga om uppgift om kvarhållande av försändelse på befordringsföretag, om hemlig avlyssning av elektronisk kommunikation eller hemlig övervakning av elektronisk kommunikation på grund av beslut av domstol, undersökningsledare eller åklagare eller om inhämtning av uppgifter enligt lagen (2012:278) om inhämtning av uppgifter om elektronisk kommunikation i de brottsbekämpande myndigheternas underrättelseverksamhet.

Denna lag träder i kraft den 1 juli 2016.

4 Senaste lydelse 2012:288.

SOU 2015:31 Författningsförslag

39

1.5 Förslag till lag om ändring i postlagen (2010:1045)

Härigenom föreskrivs att 2 kap. 14 § postlagen (2010:1045) ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

2 kap.

14 §

Den som i postverksamhet har fått del av eller tillgång till någon av de uppgifter som anges i 1–3 får inte obehörigen röja eller utnyttja vad han eller hon därigenom har fått veta. De uppgifter som omfattas av tystnadsplikten är

Den som i postverksamhet har fått del av eller tillgång till någon av de uppgifter som anges i 1–4 får inte obehörigen röja eller utnyttja vad han eller hon därigenom har fått veta. De uppgifter som omfattas av tystnadsplikten är

1. uppgifter som rör ett särskilt brev som befordras inom verksamheten,

2. andra uppgifter som rör en enskild persons förbindelse med verksamheten när det gäller befordran av brev, eller

2. andra uppgifter som rör en enskild persons förbindelse med verksamheten när det gäller befordran av brev,

3. uppgifter som handlar om att kvarhålla eller beslagta försändelser enligt 27 kap. rättegångsbalken.

3. uppgifter som handlar om att kvarhålla eller beslagta försändelser enligt 27 kap. rättegångsbalken, eller

4. uppgifter som handlar om att undersöka, öppna, granska eller kvarhålla försändelser enligt lagen ( 2007:979 ) om åtgärder för att förhindra vissa särskilt allvarliga brott.

Tystnadsplikten enligt första stycket 1 och 2 gäller inte i förhållande till avsändaren och mottagaren av brevet.

Författningsförslag SOU 2015:31

40

För uppgifter om en enskild persons adress gäller tystnadsplikt endast om det kan antas att ett röjande av adressen skulle medföra fara för att någon utsätts för övergrepp eller annat allvarligt men.

Denna lag träder i kraft den 1 juli 2016.

SOU 2015:31 Författningsförslag

41

1.6 Förslag till lag om ändring i lagen ( 2012:278 ) om inhämtning av uppgifter om elektronisk kommunikation i de brottsbekämpande myndigheternas underrättelseverksamhet

Härigenom föreskrivs i fråga om lagen (2012:278) om inhämtning av uppgifter om elektronisk kommunikation i de brottsbekämpande myndigheternas underrättelseverksamhet

dels att nuvarande 4–9 §§ ska betecknas 3–8 §§,

dels att 2, 5 och 8 §§ ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

2 §

Uppgifter får hämtas in om omständigheterna är sådana att

Uppgifter får hämtas in om omständigheterna är sådana att

åtgärden är av särskild vikt för att förebygga, förhindra eller upptäcka brottslig verksamhet som innefattar

1. åtgärden är av särskild vikt

för att förebygga, förhindra eller upptäcka brottslig verksamhet som innefattar brott för vilket inte är

föreskrivet lindrigare straff än fängelse i två år, och

1. brott för vilket inte är föreskrivet lindrigare straff än fängelse i två år,

2. skälen för åtgärden uppväger

det intrång eller men i övrigt som åtgärden innebär för den som åtgärden riktar sig mot eller för något annat motstående intresse.

2. sabotage enligt 13 kap. 4 § brottsbalken ,

3. kapning, sjö- eller luftfartssabotage eller flygplatssabotage enligt 13 kap. 5 a § första eller andra stycket eller 5 b § första stycket brottsbalken , om brottet innefattar sabotage enligt 4 § samma kapitel,

Författningsförslag SOU 2015:31

42

4. brott mot medborgerlig frihet enligt 18 kap. 5 § brottsbalken ,

5. spioneri, grov obehörig befattning med hemlig uppgift eller grov olovlig underrättelseverksamhet mot Sverige, mot främmande makt eller mot person enligt 19 kap. 5 eller 8 §, 10 § andra stycket, 10 a § andra stycket eller 10 b § andra stycket brottsbalken ,

6. företagsspioneri enligt 3 § lagen ( 1990:409 ) om skydd för företagshemligheter, om det finns anledning att anta att den brottsliga verksamheten utövas på uppdrag av eller understödjs av en främmande makt eller av någon som agerar för en främmande makts räkning,

7. grovt brott enligt 3 § andra stycket lagen ( 2002:444 ) om straff för finansiering av särskilt allvarlig brottslighet i vissa fall eller grovt brott enligt 6 § lagen ( 2010:299 ) om straff för offentlig uppmaning, rekrytering och utbildning avseende terroristbrott och annan särskilt allvarlig brottslighet, eller

8. grov misshandel eller olaga frihetsberövande enligt 3 kap. 6 § eller 4 kap. 2 § första stycket brottsbalken i avsikt att påverka offentliga organ eller den som yrkesmässigt bedriver nyhetsförmedling eller annan journalistik att vidta eller avstå från att vidta en åtgärd eller att hämnas en åtgärd.

SOU 2015:31 Författningsförslag

43

Uppgifter får hämtas in bara om skälen för åtgärden uppväger det intrång eller men i övrigt som åtgärden innebär för den som åtgärden riktar sig mot eller för något annat motstående intresse.

5 §

Säkerhets- och integritetsskyddsnämnden ska underrättas om ett beslut om inhämtning av uppgifter enligt denna lag.

Underrättelsen ska lämnas senast

en månad efter det att ärendet om inhämtning avslutades.

Säkerhets- och integritetsskyddsnämnden ska underrättas om ett beslut om inhämtning av uppgifter enligt denna lag.

Underrättelseskyldigheten ska fullgöras genom att beslutet lämnas till nämnden senast en månad

efter det att ärendet om inhämtning avslutades.

8 §

Uppteckningar av uppgifter ska granskas snarast möjligt. Uppteckningar ska, i de delar de är av betydelse för att förebygga, förhindra eller upptäcka brottslig verksamhet som omfattas av beslutet om inhämtning eller för att förhindra annat brott, bevaras så länge det behövs för något av dessa syften. De ska därefter förstöras.

Uppteckningar ska dock omedelbart förstöras i de delar innehållet avser uppgifter som, på grund av bestämmelserna i 36 kap. 5 § andra–sjätte styckena rättegångsbalken , inte skulle ha kunnat inhämtas genom vittnesförhör i domstol.

Andra stycket hindrar inte att brottsbekämpande myndigheter behandlar uppgifter från uppteckningar i enlighet med vad som är särskilt föreskrivet i lag.

1. Denna lag träder i kraft den 1 juli 2016.

Författningsförslag SOU 2015:31

44

2. Genom lagen upphävs lagen (2012:279) om ändring i lagen (2012:278) om inhämtning av uppgifter om elektronisk kommunikation i de brottsbekämpande myndigheternas underrättelseverksamhet.

SOU 2015:31 Författningsförslag

45

1.7 Förslag till förordning om ändring i förordningen ( 2003:396 ) om elektronisk kommunikation

Härigenom föreskrivs att det i förordningen (2003:396) om elektronisk kommunikation ska införas en ny paragraf, 36 b §, av följande lydelse.

Nuvarande lydelse Föreslagen lydelse

36 b §

Beslut om inhämtning av uppgifter enligt 6 kap. 22 § första stycket 2 lagen ( 2003:389 ) om elektronisk kommunikation fattas av den myndighet som ska ingripa mot brottet eller den brottsliga verksamheten. Myndighetschefen får delegera rätten att fatta beslut om inhämtning till annan anställd vid myndigheten som har den särskilda kompetens, utbildning och erfarenhet som behövs. Ett beslut om att delegera beslutsbefogenhet ska dokumenteras av myndigheten.

Även utan särskild delegation enligt första stycket får förundersökningsledaren fatta beslut om sådan inhämtning av uppgifter som sker inom ramen för en förundersökning.

I ett beslut om inhämtning av uppgifter enligt 6 kap. 22 § första stycket 2 lagen ( 2003:389 ) om elektronisk kommunikation ska det anges vem som har fattat beslutet samt vilket brott eller vilken brottslig verksamhet och vilka

Författningsförslag SOU 2015:31

46

abonnemangsuppgifter beslutet avser. Skälen för beslutet ska också anges.

Denna förordning träder i kraft den 1 juli 2016.

47

2 Utredningens uppdrag och arbete

2.1 Vårt uppdrag

Regeringen beslutade den 26 juni 2014 att ge en särskild utredare i uppdrag att utvärdera lagen om inhämtning av uppgifter om elektronisk kommunikation i de brottsbekämpande myndigheternas underrättelseverksamhet (inhämtningslagen). Enligt utredningens direktiv ska vi bl.a. kartlägga tillämpningen av lagen och analysera vilken nytta den har lett till i den brottsbekämpande verksamheten och vilken inverkan lagen har haft på enskildas personliga integritet. Med utgångspunkt i kartläggningen och analysen ska vi överväga om de rättssäkerhetsåtgärder och integritetsstärkande åtgärder som vidtogs när lagen infördes har varit tillräckliga eller om det finns behov av andra sådana åtgärder. Vi ska också analysera Säkerhetspolisens behov av en möjlighet enligt inhämtningslagen att hämta in uppgifter i underrättelseverksamhet avseende brottslig verksamhet som innefattar vissa samhällsfarliga brott och lämna förslag på hur detta behov bör tillgodoses och balanseras mot integritetsintresset. Slutligen ska vi också föreslå de förändringar som bedöms lämpliga för att stärka skyddet för den personliga integriteten i förhållande till reglerna om lagring av uppgifter enligt vissa bestämmelser i lagen om elektronisk kommunikation.

2.2 Utredningsarbetet

Utredaren har haft såväl möten som mer informella kontakter med experterna.

Vi har också samrått med företrädare för Ekobrottsmyndigheten, Polismyndigheten, Säkerhetspolisen, Säkerhets- och integritets-

Utredningens uppdrag och arbete SOU 2015:31

48

skyddsnämnden, Tullverket samt Post- och Telestyrelsen. Vidare har utredningen hållit ett möte med företrädare för leverantörer av elektroniska kommunikationstjänster.

För att kartlägga tillämpningen av inhämtningslagen har – vid sidan av de kontakter som nämnts ovan – uppgifter hämtats in från Polismyndigheten, Säkerhetspolisen och Tullverket i enskilda fall. Detta har skett genom att företrädare för utredningen har gått igenom handlingar i underrättelseärenden på plats hos myndigheterna samt intervjuat ett stort antal handläggare.

Utredningens kartläggning har genomförts i nära samarbete med Brottsförebyggande rådet. Sålunda har en forskare från Brå (tillika expert i utredningen) svarat för att gå igenom och hålla intervjuer i de ärenden som handlagts av Säkerhetspolisen. Samme forskare har även författat det avsnitt i betänkandet där kartläggningen av Säkerhetspolisens tillämpning redovisas. Vad avser Polismyndighetens och Tullverkets ärenden har motsvarande arbete utförts av en utredare från Brå (tillika expert i utredningen) tillsammans med utredningens sekreterare.

2.3 Betänkandets disposition

Betänkandet består, förutom av detta avsnitt och utredningens författningsförslag, av tio avsnitt. I avsnitt 3 beskrivs översiktligt de regler som gäller för skyddet för privatlivet och avseende personuppgiftsbehandling. Vidare innehåller avsnittet beskrivningar av de brottsbekämpande myndigheternas verksamhet och av de regler som gäller för inhämtning av uppgifter om elektronisk kommunikation i sådan verksamhet. Därefter följer i avsnitt 4 en beskrivning av det s.k. datalagringsdirektivet och den dom från april 2014 genom vilken EU-domstolen ogiltigförklarade direktivet. Avsnittet innehåller också en beskrivning av den analys av svensk rätts förhållande till EU-rätten som gjordes efter att domen meddelades (Ds 2014:23).

I avsnitt 5 gör vi vissa överväganden i fråga om vilka kategorier av uppgifter som bör lagras enligt de svenska reglerna. Nästa avsnitt, avsnitt 6, innehåller överväganden i fråga om det bör införas ett förbud mot att datalagrade uppgifter förs över till ett land utanför EU för lagring.

SOU 2015:31 Utredningens uppdrag och arbete

49

Avsnitt 7 innehåller överväganden och förslag i fråga om hur kontrollsystemet när det gäller inhämtning av uppgifter om abonnemang bör vara utformat. I avsnitt 8 finns vissa överväganden och förslag i fråga om skyddet för uppgifter som omfattas av yrkesmässig tystnadsplikt. Därefter följer i avsnitt 9 en redovisning av vad som kommit fram genom vår kartläggning av inhämtningslagen samt våra överväganden och förslag vad gäller den lagen.

I avsnitt 10 tar vi upp några övriga frågor som kommit upp under vårt arbete. Därefter behandlar vi i avsnitt 11 frågor om genomförande och konsekvenser, och i det avlutande avsnitt 12 finns kommentarer till författningsförslagen.

51

3 Bakgrund

3.1 Rätten till personlig integritet

3.1.1 Integritetsbegreppet

Det finns i svensk rätt inte någon allmängiltig definition av begreppet personlig integritet. Olika utredningar (se t.ex. Tvångsmedelskommitténs betänkande Tvångsmedel – Anonymitet – Integritet, SOU 1984:54 s. 42) har med utgångspunkt i bl.a. de grundläggande fri- och rättigheterna i regeringsformens andra kapitel försökt klargöra begreppet genom att skilja mellan den rumsliga integriteten (hemfriden), den materiella integriteten (egendomsskyddet), den kroppsliga integriteten (skydd för liv och hälsa samt mot ingrepp i eller mot kroppen), den personliga integriteten i fysisk mening (skyddet för den personliga friheten och rörelsefriheten) och den personliga integriteten i ideell mening (skyddet för privatlivet och för personligheten inklusive den privata ekonomin). Ett annat sätt att bestämma begreppet personlig integritet är att ange vilka handlingar som utgör kränkningar av densamma. Enligt denna modell kan kränkningarna delas in i tre huvudgrupper: 1) intrång i en persons privata sfär i fysisk eller annan mening; 2) insamlande av uppgifter om en persons privata förhållanden; 3) offentliggörande eller annan användning (t.ex. som bevisning i rättegång) av uppgifter om en persons privata förhållanden (se prop. 2006/07:63 s. 61).

Utformningen av integritetsskyddet i svensk rätt synes inte i praktiken ha tagit sin utgångspunkt i en viss definition av begreppet, utan skyddet har i stället kommit att bestämmas av summan av ett stort antal skyddsregler av varierande slag (se SOU 2007:22 s. 52). I förarbetena till regeringsformen (RF) och personuppgiftslagen (1998:205) har lagstiftaren dock försökt att beskriva kärnan i vad som avses skyddas av lagstiftningen genom att slå fast att kränkningar av den personliga integriteten utgör intrång i den fredade sfär

Bakgrund SOU 2015:31

52

som enskilde bör vara tillförsäkrad och där ett oönskat ingrepp bör kunna avvisas (prop. 2005/06:173 s. 15 och prop. 2009/10:80 s. 175). Denna beskrivning ligger också väl i linje med den definition av begreppet som ges i t.ex. Nationalencyklopedins ordbok; rätten att ha ett visst eget område som är skyddat mot intrång.

3.1.2 Skyddsintressen

Det är viktigt i en rättsstat att den offentliga maktutövningen är bunden av förutsebara normer och underkastad vissa begränsningar. Detta gäller inte minst de metoder som används i statens brottsbekämpande verksamhet. Den som är misstänkt för ett brott har rätt att ställa krav på att staten respekterar hans eller hennes berättigade krav på respekt för de grundläggande fri- och rättigheterna samt skydd mot godtycke.

Samtidigt har var och en som vistas i Sverige även rätt att göra anspråk på att staten vidtar effektiva åtgärder för att skydda hans eller hennes säkerhet. I detta ligger bl.a. att staten måste anstränga sig för att se till att brott förebyggs och utreds och att gärningsmän ställs till svars för sina brottsliga handlingar. Staten har alltså ett ansvar för att skydda enskildas privatliv och personliga integritet mot intrång som begås av andra enskilda. Till exempel innebär artikel 8 i Europakonventionen inte bara ett skydd mot ingrepp i privatlivet från statens sida, utan ålägger också staten att vidta positiva åtgärder för att skydda den enskildes privatsfär. Även utan att det förekommit något ingripande från en myndighet eller en offentlig tjänsteman kan staten således bryta mot artikel 8 genom att tolerera en existerande situation eller genom att inte skapa tillräckligt rättsligt skydd. Staten kan då bli ansvarig för sin underlåtenhet trots att det specifika övergrepp som visat att det rättsliga skyddet var otillräckligt har utförts av en enskild person, för vars handlande staten inte i och för sig är ansvarig. Vad som i huvudsak kan förväntas är att staten utfärdar lagar som ger ett tillfredsställande skydd åt privatliv, familjeliv, hem och korrespondens och att de rättsvårdande myndigheterna håller kontroll över att dessa lagar respekteras.1 En förutsättning för att staten ska kunna leva

1 Danelius, Hans, Mänskliga rättigheter i Europeisk praxis, Norstedts Juridik, 4 uppl. 2012, s. 347.

Bakgrund

53

upp till kraven på att upprätthålla rättstryggheten för enskilda är att staten har en välfungerande och effektiv brottsbekämpning.

3.1.3 Regleringen av skyddet för privatlivet

3.1.3.1 Grundläggande bestämmelser

Grundläggande bestämmelser som har betydelse för det allmännas ansvar att skydda enskildas privatliv och integritet finns i bl.a. regeringsformen (RF). Av målsättningsstadgandet i 1 kap. 2 § framgår att den offentliga makten ska utövas med respekt för den enskilda människans frihet och värdighet samt att det allmänna ska värna den enskildes privatliv och familjeliv. Enligt 2 kap. 6 § första stycket RF gäller vidare att var och en gentemot det allmänna är skyddad mot undersökning av förtroliga brev och andra förtroliga försändelser samt mot hemlig avlyssning eller upptagning av telefonsamtal eller andra förtroliga meddelanden. Därtill gäller enligt paragrafens andra stycke ett skydd mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden.

Europakonventionen och konventionens samtliga ändrings- och tilläggsprotokoll utom ändringsprotokoll 15 och tilläggsprotokoll 12 och 16 har ratificerats av Sverige. Konventionen, med de ändringar och tillägg som gjorts genom dessa protokoll, gäller sedan den 1 januari 1995 som svensk lag (lagen [1994:1219] om den europeiska konventionen angående skydd för de mänskliga rättigheterna och de grundläggande friheterna). Av 2 kap. 19 § RF följer att lag eller annan författning inte får meddelas i strid med Sveriges åtaganden enligt konventionen. Detta innebär att en föreskrift som står i strid med konventionen i princip också kommer i konflikt med grundlagen.

Av artikel 8 i Europakonventionen följer att var och en har rätt till skydd för sitt privat- och familjeliv, sitt hem och sin korrespondens. Begreppet privatliv tolkas i Europadomstolens praxis vitt. Domstolen har flera gånger framhållit att det inte är möjligt att definiera begreppet genom en uttömmande beskrivning av olika aspekter som rör den enskildes privata förhållanden (se t.ex. S. och

Marper mot Förenade kungariket [GC], nr 30562/04, § 66 och Gillberg mot Sverige [GC], nr 41723/06, § 66). Begreppet täcker

Bakgrund SOU 2015:31

54

olika aspekter av en enskild individs såväl fysiska som psykiska integritet. Det omfattar bl.a. uppgifter om den enskildes identitet, inklusive namn och kön, uppgifter om hälsa och sexuell läggning och information som rör den personliga utvecklingen och relationer till andra individer. Respekten för privatlivet omfattar inte enbart skydd av rent privata relationer utan kan även omfatta relationer och aktiviteter som är relaterade till den enskildes yrkesliv (se t.ex. Rotaru

mot Rumänien [GC], nr 28341/95, § 43). Till privatlivet hör vidare

en rätt till skydd mot angrepp av den enskildes ära och ryktbarhet och mot spridning av information som rör privata förhållanden (se t.ex. K.U. mot Finland, nr 2872/02, §§ 42 och 43, och von Hannover

mot Tyskland, nr 59320/00, § 50). Vidare omfattar rätten till respekt

för privatlivet ett skydd mot registrering och utlämnande av uppgifter ur allmänna register (se t.ex. Leander mot Sverige, nr 9248/81, § 48 och Segerstedt-Wiberg m.fl. mot Sverige, nr 62332/00, § 72).

En bestämmelse om rätt till respekt för bl.a. privatlivet finns också i artikel 7 Europeiska unionens stadga om de grundläggande rättigheterna av den 7 december 2000, anpassad den 12 december 2007 i Strasbourg (rättighetsstadgan). Av artikel 52.3 i stadgan följer att i den mån stadgan omfattar rättigheter som motsvarar sådana som garanteras av Europakonventionen ska de ha samma innebörd och räckvidd som enligt konventionen. Rättighetsstadgan riktar sig till medlemsstaterna endast när de tillämpar unionsrätten (artikel 51.1). Av EU-domstolens praxis framgår att detta innebär att rättigheterna i stadgan måste iakttas inte bara vid tillämpningen av nationell lagstiftning som genomför EU-rätt, utan så snart nationell lagstiftning omfattas av unionens tillämpningsområde (se t.ex.

Åkerberg Fransson, C-617-10, punkt 21).

Frågor om skydd för privatlivet tilldrar sig stort intresse runt om i världen. Detta gäller inte minst i förhållande till frågor om övervakning av elektronisk kommunikation. Exempelvis har ett stort antal organisationer som arbetar för integritetsfrågor tillsammans arbetat fram ett antal principer som stater uppmanas att följa vid sådan övervakning.2 Dessa principer innehåller bl.a. uppmaningar om att övervakningsåtgärder ska regleras i lag och endast vara tillåtna när det är nödvändigt, lämpligt och proportionerligt i förhållande till ett legitimt ändamål. Vidare ska åtgärderna beslutas av en behörig

2 Principerna finns att läsa på https://en.necessaryandproportionate.org/

Bakgrund

55

rättslig myndighet. Den som utsätts för åtgärderna ska underrättas om dem. Staterna ska också inrätta kontrollmekanismer som ska säkerställa transparens och ansvar för åtgärderna.

3.1.3.2 Inskränkningar i skyddet får göras

Rätten till skydd av privatlivet och den personliga integriteten är inte absolut. En individ som lever i ett samhälle och sålunda ingår i en gemenskap med andra människor kan inte göra gällande något absolut anspråk på att i alla situationer få leva i fred för andra individer eller ostört av samhällets organ. I syfte att tillförsäkra medborgarna ökad trygghet och säkerhet mot yttre och inre hot kan det i bland vara nödvändigt med vissa inskränkningar av integritetsskyddet. Regler som syftar till att skydda den enskildes personliga integritet måste sålunda förses med olika, i skilda situationer mer eller mindre vittgående undantag eller på annat sätt begränsas till sin giltighet, så att andra människors och samhällets intressen i övrigt inte träds för när.

Det är en svår uppgift att avväga integritetsintresset mot nödvändigheten av att se till att myndigheterna har effektiva metoder till sin hjälp för att bedriva den verksamhet de är skyldiga att utföra. En viktig utgångspunkt är att myndigheterna inte får ges sådana befogenheter att medborgarnas tilltro till dem påverkas negativt. Förtroendet kan skadas om medborgarna upplever att det finns risk för att myndigheterna utan deras vetskap samlar information om enskilda och deras privatliv utan att detta motiveras av tungt vägande allmänna intressen. Medborgarnas bild av det allmännas verksamhet påverkas dock också av i vilken utsträckning myndigheterna ges förutsättningar att använda effektiva arbetsmetoder. Myndigheterna är samhällsorgan som ytterst har till uppgift att värna medborgarna. Om medborgarna upplever att myndigheterna inte har förmåga eller tillräckliga medel för att hantera hot mot samhället och enskilda kan även detta leda till minskat förtroende.

Enligt 2 kap. 20 § RF får det integritetsskydd som följer av regeringsformen endast begränsas genom lag. En begränsning får göras endast för att tillgodose ett ändamål som är godtagbart i ett demokratiskt samhälle. En begränsning får aldrig gå utöver vad som är nödvändigt med hänsyn till det ändamål som har föranlett den och får inte heller sträcka sig så långt att den utgör ett hot mot den fria

Bakgrund SOU 2015:31

56

åsiktsbildningen såsom en av folkstyrelsens grundvalar (2 kap. 21 § RF). En begränsning måste alltså vara proportionerlig.

På liknande sätt får rättigheter enligt artikel 8 i Europakonventionen inskränkas endast genom lag. Kravet på lagstöd är inte endast formellt. Det krävs även att den rättighetsbegränsande lagen uppfyller rimliga anspråk på rättssäkerhet och skydd mot godtycke. Den måste vara tillgänglig för allmänheten, och den måste vara utformad med tillräcklig precision, så att inskränkningarna i den grundläggande konventionsrättigheten kan i rimlig utsträckning förutses. En nationell lag som ger de rättstillämpande organen ett tolkningsutrymme och en rätt till skönsmässig prövning är emellertid inte i och för sig oförenlig med kravet på förutsebarhet, under förutsättning att gränserna för den skönsmässiga bedömningen är tillräckligt klara för att ge individen skydd mot godtyckliga ingrepp.3

När det gäller dolda spaningsåtgärder innebär kravet på förutsebarhet visserligen inte att en person bör kunna veta på förhand t.ex. när myndigheterna sannolikt avlyssnar dennes samtal, så att han eller hon kan anpassa sitt beteende därefter. Lagstiftningen om sådana åtgärder måste däremot vara så tydlig att den ger medborgarna en tillräcklig indikation om vilka omständigheter som krävs för att myndigheterna ska få använda sig av åtgärderna. Europadomstolen har utarbetat en minimistandard som ställer följande krav på lagstiftning om dolda spaningsåtgärder (se t.ex. Europadomstolens dom den 2 september 2010 i målet Uzun mot Tyskland, p. 61 med hänvisningar):

• Arten av de brott som skulle kunna leda till en begäran om avlyssning måste framgå.

• Det ska finnas en definition av de personkategorier som skulle kunna riskera att t.ex. få sin telefon avlyssnad.

• Avlyssningens varaktighet ska vara begränsad.

• Det måste finnas förfaranderegler för undersökning, användning och lagring av de uppgifter som inhämtas.

• Försiktighetsåtgärder vid överföring av information till andra parter ska vidtas.

3 Danelius, a.a. s. 351.

Bakgrund

57

• De omständigheter under vilka inspelningarna kan eller måste raderas ska anges.

Det kan dock konstateras att den grad av förutsebarhet som krävs varierar beroende på vilken typ av spaningsåtgärd som lagstiftningen avser och hur ingripande åtgärden är. I det ovan nämnda målet Uzun mot Tyskland, vilket rörde övervakning via GPS av förflyttningar på offentliga platser, uttalade domstolen att de relativt strikta krav som minimistandarden ställer har utarbetats i mål om telefonavlyssning. Domstolen fann att dessa krav inte var tillämpliga i målet eftersom övervakning av en persons rörelser med hjälp av GPS-utrustning, i jämförelse med telefonavlyssning, utgjorde ett mindre intrång i dennes privatliv. En rimlig slutsats är att verksamhet och åtgärder som utgör större intrång i privatlivet borde tillhandahållas med tydligare bemyndiganden och bli föremål för fler restriktioner än verksamhet som utgör mindre sådana intrång.

Europadomstolen har också slagit fast att nationell lagstiftning om dolda spaningsåtgärder måste innehålla kontrollmekanismer för att skydda mot missbruk av den prövningsrätt som finns. Vad som krävs i det avseendet beror på omständigheter som åtgärdernas karaktär, räckvidd och varaktighet, vilka motiv som krävs för att besluta, utföra och övervaka dem samt vilken typ av rättsmedel som finns i den nationella lagstiftningen. Beträffande telefonavlyssning har Europadomstolen ansett att beslutet normalt sett ska kontrolleras av domstol, åtminstone i sista instans.4 Den nationella lagstiftningen måste också, såvitt avser telefonavlyssning, innehålla tillfredsställande mekanismer för att övervaka vad som sker med överskottsinformation. När det gäller mindre ingripande åtgärder ställer konventionen däremot lägre krav. Som ett exempel på detta kan nämnas Europadomstolens dom den 25 september 2001 i målet

P.G. och J.H. mot Storbritannien. I målet uttalade domstolen att

vad som krävs i fråga om skyddsåtgärder beror, åtminstone i viss utsträckning, på det aktuella intrångets natur och omfattning. Domstolen fann att de brittiska reglerna om telefonövervakning innehöll tillräckliga garantier mot missbruk, trots att det saknades lagregler

4 Frågan om det är förenligt med Europakonventionen att beslut om vissa former av avlyssning kan fattas av ett annat organ än domstol är f.n. föremål för Europadomstolens prövning i målen Máté SZABÓ och Beatrix VISSY mot Ungern (37138/14) och Roman ZAKHAROV mot Ryssland (47143/06)

Bakgrund SOU 2015:31

58

(i motsats till interna riktlinjer för polisen) om lagring och förstörande av den information som samlades in.

Det kan sägas att domstolen i det aktuella målet satte en låg standard för ”med stöd av lag” eftersom det inte fanns något uttryckligt bemyndigande för hemlig övervakning av elektronisk kommunikation i det brittiska systemet. Uppfattningen har också framförts att det är mycket sannolikt att Europadomstolen i framtiden kommer att kräva någon form av system för efterföljande kontroll av hemlig övervakning av elektronisk kommunikation om och när den konfronteras med denna fråga igen.5

En inskränkning i rättigheter som skyddas av artikel 8 får vidare göras endast om det i ett demokratiskt samhälle är nödvändigt med hänsyn till statens säkerhet, den allmänna säkerheten, landets ekonomiska välstånd eller till förebyggande av oordning eller brott eller till skydd för hälsa eller moral eller för andra personers fri- och rättigheter. Av Europadomstolens praxis följer att en inskränkning måste kunna motiveras av ett angeläget samhälleligt behov och den måste stå i rimlig proportion till det syfte som ska tillgodoses genom inskränkningen. Konventionsstaterna har visst utrymme – margin

of appreciation – att själva avgöra om en inskränkning är nödvändig.

Europadomstolen förbehåller sig dock rätten att övervaka om staternas avvägningar uppfyller konventionens krav på proportionalitet. Domstolens kontroll i detta avseende varierar beroende bl.a. på vilka ändamål som utgör grund för inskränkningen och är typiskt sett något mindre strikt när en stats vitala intressen motiverar en inskränkning eller när det saknas en enhetlig europeisk rättsuppfattning om hur en fråga ska bedömas.6

När det gäller unionsrätten följer av artikel 52.1 i rättighetsstadgan att varje begränsning i utövandet av de fri- och rättigheter som erkänns i stadgan måste vara föreskriven i lag och vara förenlig med det väsentliga innehållet i dessa fri- och rättigheter. Begränsningar får, med beaktande av proportionalitetsprincipen, göras endast om de är nödvändiga och faktiskt svarar mot mål av allmänt samhällsintresse som erkänns av unionen eller behovet av skydd för andra människors fri- och rättigheter. Enligt EU-domstolens fasta praxis kräver proportionalitetsprincipen att unionsinstitutionernas

5 Se Cameron, Expertrapport åt Polismetodutredningen, SOU 2010:103 s. 547 f. 6 Danelius, a.a. s. 351.

Bakgrund

59

åtgärder, för att vara godtagbara, för det första måste vara ägnade att uppnå de legitima mål som eftersträvas. För det andra får åtgärderna inte gå utöver vad som är lämpligt och nödvändigt för att uppnå de eftersträvade målen. Utrymmet för unionslagstiftaren att bedöma om proportionalitetsprincipens krav är uppfyllda kan begränsas på grund av omständigheter som t.ex. vilken rättighet som begränsas, hur omfattande och allvarlig ingreppet är, vilket syfte ingreppet har etc.7Ju mer långtgående ett ingrepp är, desto mer strikt blir EU-domstolens kontroll av att proportionalitetsprincipens krav följs.

3.2 Skyddet för personuppgifter

3.2.1 EU:s primärrätt

Bestämmelser om skydd av personuppgifter finns i unionsrättens primärrätt och sekundärrätt. I artikel 8.1 i rättighetsstadgan slås fast att var och en har rätt till skydd av de personuppgifter som rör honom eller henne. Enligt artikel 8.2 i stadgan ska personuppgifter behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund. Var och en har vidare rätt att få tillgång till insamlade uppgifter som rör honom eller henne och att få rättelse av dem. Av artikel 8.3 i stadgan följer att en oberoende myndighet ska kontrollera att dessa regler efterlevs. Begränsningar i rätten till skydd av personuppgifter får – i likhet med vad som gäller för andra fri- och rättigheter enligt stadgan – göras på de grunder som anges i artikel 52 (se föregående avsnitt).

Rätten till skydd för enskilda personer med avseende på behandlingen av personuppgifter kommer till uttryck även i artikel 16 i fördraget om Europeiska unionens funktionssätt (FEUF) där den rättsliga grunden för lagstiftningsåtgärder inom unionsrättens tillämpningsområde slås fast. I artikel 16.2 FEUF anges att oberoende myndigheter ska kontrollera att de bestämmelser som Europaparlamentet och rådet antar följs. En särskild rättslig grund för lagstiftning på området för den gemensamma utrikes- och säkerhetspolitiken finns i

7 Jfr Europadomstolens resonemang i S. och Marper mot Förenade kungariket.

Bakgrund SOU 2015:31

60

artikel 39 FEUF. Även där slås fast att oberoende myndigheter ska kontrollera att bestämmelserna följs.

3.2.2 Dataskyddsdirektivet

En allmän reglering om skydd av personuppgifter inom EU finns i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (dataskyddsdirektivet). Det är ett fullharmoniseringsdirektiv som har antagits med stöd av fördragens bestämmelser om inre marknadens upprättande och funktion. Direktivet omfattar inte juridiska personer utan gäller bara i fråga om uppgifter som direkt eller indirekt kan hänföras till fysiska personer.

Dataskyddsdirektivet syftar dels till att skydda fysiska personers grundläggande fri- och rättigheter, särskilt rätten till privatliv, i samband med behandling av personuppgifter, dels till att säkerställa det fria flödet av personuppgifter mellan medlemsstaterna (artikel 1). I direktivet regleras ett antal allmänna principer om uppgifternas kvalitet och godtagbara grunder för behandling av personuppgifter i allmänhet och vissa särskilda uppgiftsslag i synnerhet (artiklarna 6– 8). Vidare finns i direktivet bestämmelser om enskildas rätt till information och tillgång till uppgifter för att kunna ta till vara sin rätt (artiklarna 10–12), om rätt att motsätta sig behandlingen (artikel 14) och om krav på en nationell reglering rörande skadestånd och sanktioner vid överträdelser av de nationella genomförandebestämmelserna (artiklarna 23 och 24). Räckvidden av principerna om uppgiftsskydd och de rättigheter som slås fast för enskilda får enligt direktivet begränsas genom undantag i nationell rätt. Begränsningar får göras bl.a. om det är nödvändigt med hänsyn till statens säkerhet, allmän säkerhet eller förebyggande, undersökning, avslöjande av brott eller åtal för brott (artikel 13).

När det gäller kraven på säkerhet vid behandlingen av personuppgifter följer av direktivet att registeransvariga ska genomföra lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifter från förstöring genom olyckshändelse eller otillåtna handlingar eller förlust genom olyckshändelse samt mot ändringar, otillåten spridning av eller otillåten tillgång till uppgifterna, särskilt

Bakgrund

61

om behandlingen innefattar överföring av uppgifter i ett nätverk, och mot varje annat slag av otillåten behandling. Dessa åtgärder ska åstadkomma en lämplig säkerhetsnivå i förhållande till de risker som är förknippade med behandlingen och arten av de uppgifter som ska skyddas (artikel 17.1). Åtgärderna ska väljas med beaktande av såväl de tekniska möjligheter som finns för att åstadkomma en lämplig säkerhetsnivå som de kostnader som är förenade med att genomföra åtgärderna. Om den registeransvarige anlitar en registerförare – någon som utför behandlingen för den registeransvariges räkning – förutsätts att registerföraren kan ge tillräckliga garantier för att nödvändiga organisatoriska och tekniska säkerhetsåtgärder inrättas och följs (artikel 17.2). Några möjligheter att i nationell rätt göra undantag från dessa krav finns inte.

Regleringen i dataskyddsdirektivet begränsar förutsättningarna för överföring av personuppgifter till tredje land, dvs. till en stat som varken ingår i EU eller är ansluten till EES. Sådan överföring av personuppgifter är som regel tillåten bara om tredje landet, med beaktande av bl.a. uppgifternas art, behandlingens ändamål och varaktighet och de rättsregler och regler för yrkesverksamhet och säkerhet som gäller i det landet, kan anses säkerställa en adekvat skyddsnivå för uppgifterna (artikel 25). Det finns dock ett visst utrymme för avsteg från kravet på adekvat skyddsnivå i överföringslandets lagstiftning, bl.a. om den registeransvarige ställer tillräckliga garantier för att enskilda personers grundläggande fri- och rättigheter skyddas och för utövningen av motsvarande rättigheter. Sådana garantier kan framgå t.ex. av lämpliga klausuler i bindande avtal (artikel 26). De kan också skapas genom bindande företagsinterna regler inom en koncern.

Den registeransvarige bestämmer normalt själv för vilka ändamål personuppgifter ska få behandlas. Om den registeransvarige avtalar med någon annan att t.ex. lagra uppgifter för den registeransvariges räkning, får uppdragstagaren som utgångspunkt behandla uppgifterna – t.ex. lämna ut dessa – endast i enlighet med instruktion från den registeransvarige. Biträdet är dock skyldig att också utföra annan behandling, om detta följer av en förpliktelse enligt lag (artikel 16).

Varje medlemsstat ska enligt artikel 28.1 i dataskyddsdirektivet utse en eller flera myndigheter som har till uppgift att inom dess territorium övervaka tillämpningen av de bestämmelser som med-

Bakgrund SOU 2015:31

62

lemsstaterna antar till följd av direktivet. Dessa myndigheter ska fullständigt oberoende utöva de uppgifter som åläggs dem.

Dataskyddsdirektivet har genomförts i svensk rätt genom framför allt personuppgiftslagen (1998:204). Lagen är i första hand tillämplig på personuppgiftsansvariga (registeransvariga) som är etablerade i Sverige (4 §). Det innebär att lagen tillämpas på sådana fysiska eller juridiska personer som ensamma eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter och som har en effektiv och faktisk verksamhet med en stabil struktur i Sverige (se skäl 19 i ingressen till direktivet).

Lagen, som i huvudsak följer direktivets text och disposition, omfattar all automatiserad behandling av personuppgifter och manuell behandling av personregister. Rent privat användning av personuppgifter är dock undantagen. Det görs även undantag med hänsyn till offentlighetsprincipen och tryck- och yttrandefriheten. Särregler i annan lagstiftning tar över bestämmelserna i personuppgiftslagen.

Lagen innehåller bestämmelser om när behandling av personuppgifter är tillåten och när sådana uppgifter får föras över till en stat utanför EES (se vidare nedan avsnitt 3.2.5). För behandling av känsliga personuppgifter gäller särskilt stränga regler. Även vissa grundläggande krav på den som behandlar personuppgifter regleras, t.ex. att personuppgifter som samlats in för ett ändamål inte får behandlas för något annat oförenligt ändamål. Det finns i lagen vidare bestämmelser om information till de registrerade, om korrigering av personuppgifter och om säkerheten vid behandlingen. Den enskilde har, i fråga om s.k. automatiserade beslut, rätt att på begäran få manuell omprövning av beslutet och information om den automatiserade behandling som ligger bakom det. Automatiserad behandling av personuppgifter måste i princip anmälas till en tillsynsmyndighet, men omfattande undantag från denna anmälningsskyldighet medges, t.ex. när den ansvarige för behandlingen har tillsatt ett s.k. personuppgiftsombud med uppgift att självständigt kontrollera den ansvariges behandling. Den som bryter mot lagen kan drabbas av ingripanden från tillsynsmyndigheten, t.ex. ett vitesföreläggande,

Bakgrund

63

eller skadestånd och straff. Lagen innehåller också bestämmelser om säkerhet vid behandlingen.

Av 2 § personuppgiftsförordningen (1998:1191) framgår att Datainspektionen är tillsynsmyndighet enligt personuppgiftslagen. Det uppdraget utövas på ett sätt som är oberoende i förhållande till andra myndigheter. Att varken någon annan myndighet eller riksdagen får bestämma hur inspektionen ska besluta i ett särskilt fall som rör myndighetsutövning mot någon enskild eller mot en kommun eller som rör tillämpningen av lag följer av 12 kap. 2 § RF.

Polisdatalagen (2010:361) gäller vid behandling av personuppgifter i brottsbekämpande verksamhet vid bl.a. Polismyndigheten och i Ekobrottsmyndighetens polisiära verksamhet. Lagen gäller i stället för personuppgiftslagen, men hänvisar till ett antal bestämmelser i personuppgiftslagen som alltså gäller vid behandling av personuppgifter i polisens brottsbekämpande verksamhet. Till exempel gäller, enligt 2 kap. 2 § polisdatalagen, personuppgiftslagens bestämmelser om information till den registrerade, om rättelse, om säkerhet vid behandlingen, om skadestånd vid felaktig behandling och om överklagande. För den personuppgiftsbehandling som inte avser brottsbekämpande verksamhet, exempelvis tillståndsgivning eller mer renodlad övervakning och ordningshållande verksamhet, gäller personuppgiftslagen. Polismyndigheten är enligt 2 kap. 4 § polisdatalagen personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför och den behandling som utförs i polisiär verksamhet vid Ekobrottsmyndigheten.

I polisdatalagen anges för vilka ändamål personuppgifter får behandlas i polisens brottsbekämpande verksamhet. Ändamålen delas in i primära och sekundära, där de primära avser behandling av personuppgifter för att tillgodose de behov som finns inom polisens brottsbekämpande verksamhet och de sekundära anger när personuppgifter, som får behandlas i polisens brottsbekämpande verksamhet, får användas i andra delar av polisens verksamhet eller lämnas ut till andra myndigheter eller organisationer för dessas behov. De primära ändamålen är uttömmande angivna i 2 kap. 7 § polisdatalagen. Personuppgifter får enligt den bestämmelsen behandlas om de behövs för

Bakgrund SOU 2015:31

64

att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott eller fullgöra förpliktelser som följer av internationella åtaganden.

De sekundära ändamålen regleras i 2 kap. 8 § polisdatalagen. Enligt den bestämmelsen får personuppgifter behandlas om det är nödvändigt för att tillhandahålla information som behövs i brottsbekämpande verksamhet hos Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket, Kustbevakningen och Skatteverket, eller hos utländsk myndighet eller mellanfolklig organisation. Personuppgifter får vidare behandlas om det är nödvändigt för att tillhandahålla information som behövs i polisens handräckningsverksamhet eller, om det finns särskilda skäl, att tillhandahålla information i annan verksamhet som polisen ansvarar för. Personuppgifter får även behandlas om det är nödvändigt för att tillhandahålla information som behövs i verksamhet hos Kriminalvården för att förebygga brott och upprätthålla säkerheten, eller i en myndighets verksamhet i övrigt, om polisen är skyldig att bistå myndigheten med viss uppgift, eller informationen tillhandahålls inom ramen för myndighetsöverskridande samverkan mot brott. Uppgifter som behandlas för ett primärt ändamål får även behandlas om det är nödvändigt för att lämna information till riksdagen och regeringen samt, i den utsträckning det finns en uppgiftsskyldighet i lag eller förordning, till andra. I ett enskilt fall får personuppgifter behandlas genom att lämnas ut även för något annat ändamål, under förutsättning att ändamålet inte är oförenligt med det ändamål för vilket uppgifterna samlades in (finalitetsprincipen). Uppgifter om en person får inte behandlas enbart på grund av vad som är känt om personens ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv (2 kap. 10 §). Om uppgifter om en person behandlas på annan grund får de kompletteras med sådana uppgifter när det är absolut nödvändigt för syftet med behandlingen. Tillgången till personuppgifter ska begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter (2 kap. 11 §).

För uppgifter som görs eller har gjorts gemensamt tillgängliga i polisens brottsbekämpande verksamhet finns särskilda och mer begränsande regler i 3 kap. polisdatalagen. Avgörande för om uppgifter ska anses gemensamt tillgängliga är hur många personer som har rätt att ta del av dem. Uppgifter som endast ett fåtal personer

Bakgrund

65

har rätt att ta del av anses inte som gemensamt tillgängliga (3 kap. 1 §). Vid bedömning av om en uppgift har gjorts gemensamt tillgänglig saknar det betydelse hur många personer som rent faktiskt tar del av de aktuella uppgifterna. Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket, Kustbevakningen och Skatteverket får medges direktåtkomst till personuppgifter i polisens brottsbekämpande verksamhet som gjorts gemensamt tillgängliga.

Personuppgifter får inte bevaras under längre tid än vad som behövs för något eller några av de i lagen angivna ändamålen (2 kap. 12 §). Vidare gäller följande för uppgifter i ärenden om utredning eller beivrande av brott som har gjorts gemensamt tillgängliga. Om en brottsanmälan avskrivs på grund av att den påstådda gärningen inte utgör brott, får personuppgifterna i anmälan inte längre behandlas i polisens brottsbekämpande verksamhet. Om en brottsanmälan i annat fall inte har lett till förundersökning eller annan motsvarande utredning, får personuppgifterna inte behandlas i polisens brottsbekämpande verksamhet när åtal inte längre får väckas för brottet (3 kap. 10 §). Om en förundersökning har lett till åtal eller annan domstolsprövning, får personuppgifterna i förundersökningen inte behandlas i polisens brottsbekämpande verksamhet när det har förflutit fem år efter utgången av det kalenderår då domen, eller det beslut som meddelades med anledning av talan, vann laga kraft. Om en förundersökning har lagts ned eller avslutats på annat sätt än genom åtal, får personuppgifterna i förundersökningen inte behandlas i polisens brottsbekämpande verksamhet när det har förflutit fem år efter utgången av det kalenderår då åklagarens eller förundersökningsledarens beslut meddelades (3 kap. 11 §).

Uppgifter som inte har gjorts gemensamt tillgängliga eller behandlas i särskilda register ska, om de behandlas i ett ärende, normalt gallras senast ett år efter det att ärendet avslutades. Om de inte kan hänföras till ett ärende ska uppgifterna gallras senast ett år efter det att de behandlades automatiserat första gången (2 kap. 13 §). Detta gäller dock inte personuppgifter i ärenden om utredning eller beivrande av brott. I fråga om uppgifter i sådana ärenden tillämpas i stället arkivlagens (1990:782) bestämmelser om gallring (prop. 2009/10:85 s. 328).

I 5 kap. polisdatalagen finns bestämmelser om behandling av personuppgifter i Säkerhetspolisens brottsbekämpande verksamhet. Dessa bestämmelser reglerar framför allt ändamålen för Säkerhets-

Bakgrund SOU 2015:31

66

polisens personuppgiftsbehandling, vilka delvis avviker från regleringen för den övriga polisen. De primära ändamålen för behandlingen anges i 5 kap. 1 §. Bestämmelsen innebär att personuppgifter får behandlas i Säkerhetspolisens brottsbekämpande verksamhet, om det behövs för att förebygga, förhindra eller upptäcka brottslig verksamhet som innefattar brott mot rikets säkerhet, tryckfrihetsbrott och yttrandefrihetsbrott med rasistiska eller främlingsfientliga motiv eller vissa former av terroristbrottslighet.

De sekundära ändamålen för Säkerhetspolisens behandling regleras i 5 kap. 2 §. Enligt den bestämmelsen får personuppgifter som behandlas enligt 1 § även behandlas när det är nödvändigt för att tillhandahålla information som behövs i brottsbekämpande verksamhet hos Polismyndigheten, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket, Kustbevakningen och Skatteverket, eller hos utländsk myndighet eller mellanfolklig organisation. Personuppgifter får vidare behandlas om det är nödvändigt för att tillhandahålla information som behövs i Försvarsmaktens försvarsunderrättelseverksamhet och militära säkerhetstjänst, om det finns särskilda skäl att tillhandahålla informationen, eller i en myndighets verksamhet i övrigt, om informationen tillhandahålls inom ramen för myndighetsöverskridande samverkan mot brott. Personuppgifter som behandlas enligt 1 § får även behandlas, om det är nödvändigt för att tillhandahålla information till riksdagen och regeringen samt, i den utsträckning skyldighet att lämna uppgifter följer av lag eller förordning, till andra. I ett enskilt fall får personuppgifter behandlas genom att lämnas ut även för något annat ändamål, under förutsättning att ändamålet inte är oförenligt med det ändamål för vilket uppgifterna samlades in.

Det finns även särskilda bestämmelser om bevarande och gallring av personuppgifter som behandlas av Säkerhetspolisen. Enligt 5 kap. 12 § första stycket ska uppgifter som har gjorts gemensamt tillgängliga som huvudregel gallras senast tio år efter utgången av det kalenderår då den senaste registreringen avseende personen gjordes. Om det finns särskilda skäl får dock Säkerhetspolisen besluta att personuppgifter får bevaras längre tid, om uppgifterna fortfarande behövs för det ändamål för vilket de behandlas (tredje stycket).

När det gäller behandlingen av känsliga uppgifter, utlämnande av personuppgifter och uppgiftsskyldighet gäller samma bestämmelser som för polisen i övrigt. Säkerhetspolisen är enligt 5 kap. 5 § person-

Bakgrund

67

uppgiftsansvarig för den personuppgiftsbehandling som Säkerhetspolisen utför.

3.2.5 Överföring av personuppgifter till tredje land

3.2.5.1 Den EU-rättsliga regleringen

Regleringen i dataskyddsdirektivet begränsar förutsättningarna för överföring av personuppgifter till ett s.k. tredje land, dvs. till en stat som varken ingår i EU eller är ansluten till EES. Enligt artikel 25.1 i direktivet ska medlemsstaterna föreskriva att överföring av personuppgifter till tredje land endast får ske om det tredje landet säkerställer en adekvat skyddsnivå för uppgifterna. Bedömningen av om skyddsnivån är adekvat ska ske på grundval av alla de förhållanden som har samband med en överföring eller en grupp av överföringar av uppgifter. Härvid ska särskilt beaktas uppgifternas art, den eller de avsedda överföringarnas ändamål och varaktighet, ursprungslandet och det slutliga bestämmelselandet, de allmänna respektive särskilda rättsregler som gäller i det tredje landet liksom de regler för yrkesverksamhet som gäller där (artikel 25.2). Det finns dock ett visst utrymme för avsteg från kravet på adekvat skyddsnivå i överföringslandets lagstiftning, bl.a. om den registrerade har samtyckt till överföringen eller om den registeransvarige ställer tillräckliga garantier för att enskilda personers grundläggande fri- och rättigheter skyddas och för utövningen av motsvarande rättigheter (artikel 26). Sådana garantier kan framgå t.ex. av lämpliga klausuler i bindande avtal. De kan också skapas genom bindande företagsinterna regler inom en koncern.

Enligt artikel 25.6 i dataskyddsdirektivet kan EU-kommissionen besluta att ett tredje land genom sin interna lagstiftning eller på grund av sina internationella åtaganden har en skyddsnivå som är adekvat i den mening som avses i artikeln. Medlemsstaterna ska i sådana fall vidta de åtgärder som är nödvändiga för att följa kommissionens beslut. Kommissionen har fattat ett antal sådana beslut, bl.a. avseende Andorra, Argentina, Israel, Nya Zealand, Schweiz och Uruguay. Vidare har kommissionen i förhållande till USA beslutat att de s.k. Safe Harbour Privacy Principles, tillämpade i enlighet med den vägledning som ges i de frågor och svar som utfärdats av Förenta staternas handelsministerium, ska anses utgöra en adekvat skyddsnivå för

Bakgrund SOU 2015:31

68

personuppgifter som överförs från gemenskapen till organisationer som är etablerade i Förenta staterna. Överföring av uppgifter till organisationer som har åtagit sig att följa dessa principer är följaktligen tillåtet. Överföring till Kanada är också tillåten, om mottagaren omfattas av landets lagstiftning om skydd för personuppgifter. Tillämpningen av dessa beslut har dock ifrågasatts av bl.a. Europaparlamentet som i kölvattnet av avslöjandena om den amerikanska försvarsunderrättelsemyndigheten NSA:s (National Security Agency) övervakning av elektronisk kommunikation har antagit en resolution som uppmanar kommissionen att omedelbart upphäva Safe Harbour-beslutet och överväga detsamma när det gäller besluten rörande Kanada och Nya Zealand.8

3.2.5.2 Dataskyddskonventionen

Europarådets konvention från 1981 om skydd för enskilda vid automatisk behandling av personuppgifter (CETS 108) trädde i kraft den 1 oktober 1985. Konventionen syftar till att säkerställa den enskildes rätt till personlig integritet i samband med behandling av personuppgifter och till att förbättra förutsättningarna för ett fritt informationsflöde över gränserna.

Dataskyddskonventionen innehåller principer för dataskydd som de konventionsanslutna staterna ska iaktta i sin nationella lagstiftning. Personuppgifter som är föremål för automatiserad behandling ska hämtas in och behandlas på ett korrekt sätt för särskilt angivna ändamål. Vidare ska uppgifterna vara relevanta för ändamålen och får inte senare användas på ett sätt som är oförenligt med dessa. Uppgifterna måste också vara riktiga och aktuella och de får inte bevaras längre än vad som är nödvändigt för ändamålen.

Av artikel 12.2 i konventionen följer som huvudregel att en konventionsstat inte av integritetsskyddsskäl får hindra att personuppgifter förs över till en annan konventionsstat för att användas där. En konventionsstat har rätt att göra undantag från den bestämmelsen om statens lagstiftning innehåller särskilda bestämmelser för vissa kategorier av personuppgifter eller automatiserade personregister på grund av uppgifternas eller registrens natur (artikel 12.3).

8 Europaparlamentets resolution den 12 mars 2014, P7_TA-PROV (2014)0230.

Bakgrund

69

Sådana undantag får dock göras bara när den andra partens föreskrifter inte ger ett likvärdigt skydd.

Europarådets ministerkommitté antog år 2001 ett tilläggsprotokoll till dataskyddskonventionen. Det innehåller bestämmelser om tillsynsmyndigheter och överföring av personuppgifter till länder som inte är bundna av konventionen. Tilläggsprotokollet trädde i kraft den 1 juli 2004.

Konventionen har ratificerats av samtliga medlemsstater i EU, samt flera andra stater, t.ex. Albanien, Azerbajdzjan, Island, Norge, och Ryssland.

3.2.5.3 Den svenska regleringen

Artikel 25 i dataskyddsdirektivet har genomförts i svensk rätt genom bestämmelsen i 33 § personuppgiftslagen. Av den bestämmelsen framgår att det som huvudregel är förbjudet att föra över personuppgifter som är under behandling till ett tredje land om landet inte har en adekvat skyddsnivå för uppgifterna. Frågan om skyddsnivån är adekvat ska bedömas med hänsyn till samtliga omständigheter varvid särskild vikt ska läggas vid uppgifternas art, ändamålet med behandlingen, hur länge behandlingen ska pågå, ursprungslandet, det slutliga bestämmelselandet och de regler som finns för behandlingen i det tredje landet. Det är alltså fråga om en individuell bedömning som i princip ska göras för varje enskild överföring eller grupp av överföringar. I förarbetena framhålls att frågan om skyddsnivån i ett visst land är adekvat kan bedömas på olika sätt beroende på omständigheterna i det enskilda fallet, och att det mycket väl tänkas att ett land har adekvat skyddsnivå på vissa områden men inte på andra (prop. 1999/2000:11 s. 15).

Trots förbudet är det enligt 34 § personuppgiftslagen tillåtet att föra över personuppgifter till tredje land, om den registrerade har gett sitt samtycke till överföringen eller om överföringen är nödvändig för att den registrerades rättigheter ska kunna tas till vara eller skyddas. Det är också tillåtet att föra över personuppgifter för användning enbart i en stat som har anslutit sig till dataskyddskonventionen.

Regeringen eller den myndighet som regeringen bestämmer får enligt 35 § personuppgiftslagen under vissa förutsättningar meddela

Bakgrund SOU 2015:31

70

undantag från förbudet att föra över personuppgifter till tredje land. Enligt samma bestämmelse får regeringen meddela föreskrifter om att överföring av personuppgifter till tredje land är tillåten, om överföringen regleras av ett avtal som ger tillräckliga garantier till ett skydd för de registrerades rättigheter. Regeringen har bemyndigat Datainspektionen att meddela föreskrifter om sådana undantag (14 § personuppgiftsförordningen [1998:1191]).

3.3 Elektronisk kommunikation

3.3.1 Allmänt om elektronisk kommunikation

Elektronisk kommunikation innebär överföring av signaler i elektronisk form. Elektronisk kommunikation omfattar telefoni, datakommunikation samt utsändningar till allmänheten genom radio och TV. Gradvis växer dessa tre delar samman. Denna utveckling har framför allt möjliggjorts genom den s.k. digitaliseringen och den tekniska standardiseringen genom framväxten av internet. Detta innebär att olika infrastrukturer och tekniker för överföring av kommunikation och tjänster som tidigare kunde tillhandahållas genom endast en teknik nu kan tillhandahållas genom flera. Det gör att det exempelvis är möjligt att ringa via datorn, använda internet via tv:n och se på tv i mobiltelefonen (jfr prop. 2002:03:110 s. 58).

Via elektroniska kommunikationsnät överförs ständigt en mycket stor mängd information. Där förmedlas bl.a. telefonsamtal, telefaxmeddelanden, elektronisk post, datakommunikation och annan kommunikation som innehåller meddelanden, dvs. information i form av text, bild eller ljud.

3.3.2 Integritetsskydd och tystnadsplikt vid elektronisk kommunikation

Europaparlamentets och rådets direktiv 2002/58/EG av den 12 juli 2002 om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation (direktivet om integritet och elektronisk kommunikation) innehåller regler som syftar till att harmonisera medlemsstaternas bestämmelser för att säkerställa ett likvärdigt skydd av de grundläggande fri- och rättigheterna, i synner-

Bakgrund

71

het rätten till integritet, när det gäller behandling av personuppgifter inom sektorn för elektronisk kommunikation. De syftar även till att säkerställa fri rörlighet för sådana uppgifter samt för utrustning och tjänster avseende elektronisk kommunikation inom unionen. Direktivets bestämmelser preciserar och kompletterar dataskyddsdirektivet och är därutöver avsedda även att skydda berättigade intressen för de abonnenter som är juridiska personer (artikel 1).

Bestämmelser om säkerhet vid behandlingen av uppgifter finns i artikel 4 i direktivet. Enligt artikel 4.1 ska leverantören av en allmänt tillgänglig elektronisk kommunikationstjänst vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa säkerheten i sina tjänster, om nödvändigt tillsammans med leverantören av det allmänna kommunikationsnätet när det gäller nätsäkerhet. Dessa åtgärder ska säkerställa en säkerhetsnivå som är anpassad till den risk som föreligger, med beaktande av dagens tillgängliga teknik och kostnaderna för att genomföra åtgärderna. Om det föreligger särskilda risker för brott mot nätsäkerheten, ska leverantören enligt artikel 4.2 informera abonnenterna om sådana risker och, om risken ligger utanför tillämpningsområdet för de åtgärder som tjänsteleverantören ska vidta, om hur de kan avhjälpas, inbegripet en uppgift om de sannolika kostnader som detta kan medföra.

Enligt artikel 5 ska medlemsstaterna genom nationell lagstiftning säkerställa konfidentialitet vid kommunikation och därmed förbundna trafikuppgifter via allmänna kommunikationsnät och allmänt tillgängliga elektroniska kommunikationstjänster. Medlemsstaterna ska särskilt förbjuda avlyssning, uppfångande med tekniskt hjälpmedel, lagring eller andra metoder som andra metoder som innebär att kommunikationen och de därmed förbundna trafikuppgifterna kan fångas upp eller övervakas av andra personer än användarna utan de berörda användarnas samtycke, utom när de har laglig rätt att göra detta i enlighet med direktivet.

I artikel 6 finns bestämmelser om för vilka begränsade ändamål trafikuppgifter får behandlas och krav på begränsningar i fråga om tillgången till uppgifter för dem som behöver det för att utföra vissa närmare angivna arbetsuppgifter. Som huvudregel ska trafikuppgifter om abonnenter och användare som behandlas och lagras av en leverantör utplånas eller avidentifieras när de inte längre behövs för sitt syfte att överföra kommunikation. Trafikuppgifter som krävs för abonnentfakturering och betalning av samtrafikavgifter

Bakgrund SOU 2015:31

72

får dock behandlas. Om abonnenten har samtyckt till det får uppgifter också behandlas för vissa marknadsföringsändamål.

Vidare finns i artikel 15 ett stöd för medlemsstaterna att – för vissa närmare specificerade ändamål – föreskriva undantag från de skyddsregler som finns i bl.a. artiklarna 5 och 6. Bland annat får undantag göras om det i ett demokratiskt samhälle är nödvändigt, lämpligt och proportionerligt för att skydda nationell säkerhet, försvaret och allmän säkerhet samt för förebyggande, undersökning, avslöjande av och åtal för brott.

Direktivet om integritet och elektronisk kommunikation har genomförts i svensk rätt främst genom bestämmelser som tagits in i lagen (2003:389) om elektronisk kommunikation (LEK).

3.3.3 Lagen om elektronisk kommunikation

Lagen om elektronisk kommunikation trädde i kraft i juli 2003 och syftade bl.a. till att genomföra flera EG-direktiv om elektronisk kommunikation. Lagen är en i huvudsak näringsrättslig lagstiftning som syftar till att enskilda och myndigheter ska få tillgång till säkra och effektiva elektroniska kommunikationer och största möjliga utbyte vad gäller urvalet av elektroniska kommunikationstjänster samt deras pris och kvalitet.

Lagen om elektronisk kommunikation gäller elektroniska kommunikationsnät och kommunikationstjänster med tillhörande installationer och tjänster samt annan radioanvändning (1 kap. 4 § första stycket). Elektroniskt kommunikationsnät definieras i lagen som system för överföring och i tillämpliga fall utrustning för koppling eller dirigering samt andra resurser som medger överföring av signaler, via tråd eller radiovågor, på optisk väg eller via andra elektromagnetiska överföringsmedier oberoende av vilken typ av information som överförs (1 kap. 7 §). Med elektronisk kommunikationstjänst avses i lagen en tjänst som vanligen tillhandahålls mot ersättning och som helt eller huvudsakligen utgörs av överföring av signaler i elektroniska kommunikationsnät (1 kap. 7 §).

Bestämmelser om säkerhet vid tillhandahållande av allmänt tillgänglig elektroniska kommunikationstjänster finns i 6 kap. 3–4 b §§ LEK. Dessa bestämmelser genomför regleringen i artikel 4 i direktivet om integritet och elektronisk kommunikation. Konfidentialiteten

Bakgrund

73

enligt artikel 5 i direktivet säkerställs bl.a. genom bestämmelser om förbud mot avlyssning i 6 kap. 17 § LEK och bestämmelser om tystnadsplikt i 20 § samma kapitel. I 20 § föreskrivs således att den som i samband med tillhandahållande av ett elektroniskt kommunikationsnät eller en elektronisk kommunikationstjänst har fått del av eller tillgång till vissa närmare angivna uppgifter som rör ett meddelande inte obehörigen får föra vidare eller utnyttja det han eller hon har fått del av eller tillgång till. Tystnadsplikten omfattar uppgift om abonnemang, innehållet i ett elektroniskt meddelande eller annan uppgift som angår ett särskilt elektroniskt meddelande. Enligt lagen har operatörerna dessutom tystnadsplikt för uppgift som hänför sig till användning av vissa hemliga tvångsmedel, nämligen hemlig avlyssning av elektronisk kommunikation, hemlig övervakning av elektronisk kommunikation, kvarhållande av försändelser samt inhämtning av uppgifter enligt inhämtningslagen (6 kap. 21 §). Ett obehörigt röjande eller utnyttjande av sådana uppgifter i strid med denna bestämmelse är straffsanktionerat som brott mot tystnadsplikten enligt 20 kap. 3 § brottsbalken.

Vidare innehåller LEK bestämmelser om under vilka förutsättningar trafikuppgifter får behandlas (6 kap. 5–8 §§). Som utvecklas närmare i avsnitt 4 finns även bestämmelser i lagen som anger att vissa uppgifter måste lagras under en närmare angiven tidsperiod för att de ska finnas tillgängliga för brottsbekämpande ändamål (6 kap. 16 a–f §§).

Vissa bestämmelser i LEK knyter an till rättegångsbalkens regler om hemlig avlyssning av elektronisk kommunikation och hemlig övervakning av elektronisk kommunikation. I 6 kap. 19 § LEK regleras anpassningsskyldigheten för operatörerna. Den innebär att vissa verksamheter ska bedrivas så att beslut om hemlig avlyssning av elektronisk kommunikation och hemlig övervakning av elektronisk kommunikation kan verkställas under sådana former att verkställandet inte röjs. Innehållet i och uppgifter om avlyssnade eller övervakade meddelanden ska göras tillgängliga så att informationen enkelt kan tas om hand.

I lagen finns dessutom bestämmelser som ger såväl de brottsbekämpande som andra myndigheter möjligheter att utan domstolsprövning få tillgång till vissa uppgifter (6 kap. 22 §). Reglerna innebär bl.a. att operatörerna i vissa fall är skyldiga att på begäran lämna ut uppgifter om abonnemang, dvs. uppgifter som identifierar

Bakgrund SOU 2015:31

74

en abonnent eller ett abonnemang, framför allt namn, titel, adress och abonnentnummer.

Enligt 2 § förordningen om elektronisk kommunikation är Post- och telestyrelsen (PTS) tillsynsmyndighet enligt lagen om elektronisk kommunikation.

3.4 Brottsbekämpande verksamhet

3.4.1 Brottsutredande verksamhet

Till polisens uppgifter hör bl.a. att förebygga brott och att bedriva spaning och utredning i fråga om brott som hör under allmänt åtal. Polisen har således – tillsammans med åklagaren – en brottsutredande funktion. Även vissa andra myndigheter, däribland Tullverket, har vissa självständiga brottsutredande uppgifter.

Förfarandet vid den utredning som föregår ett beslut om åtal, förundersökningen, regleras i rättegångsbalken och i förundersökningskungörelsen (1947:948). Förundersökning ska, enligt 23 kap. 1 § rättegångsbalken, inledas så snart det på grund av angivelse eller av annat skäl finns anledning att anta att ett brott som hör under allmänt åtal har förövats. Beslut att inleda förundersökning fattas oftast av Polismyndigheten eller av åklagare. Om förundersökning har inletts av Polismyndigheten eller annan och saken inte är av enkel beskaffenhet, ska ledningen av förundersökningen övertas av åklagare så snart någon är skäligen misstänkt för brottet eller om det finns särskilda skäl. Så är bl.a. fallet om det blir aktuellt att använda sig av hemliga tvångsmedel.

Förundersökningen har enligt 23 kap. 2 § rättegångsbalken huvudsakligen två syften. Det ena syftet är att utreda om brott har begåtts, vem som skäligen kan misstänkas för brottet och att skaffa tillräckligt material för bedömning av frågan om åtal ska väckas. Det andra syftet är att bereda målet så att bevisningen kan förebringas i ett sammanhang vid en huvudförhandling i domstol. Utifrån detta brukar förundersökningen indelas i ett spanings- respektive ett utredningsstadium.

De i lagen angivna syftena understryker förundersökningens förberedande karaktär och klargör att den primära uppgiften för polisens brottsutredande verksamhet är att ge åklagaren underlag för sitt åtalsbeslut. Huruvida åklagaren kan väcka åtal är helt bero-

Bakgrund

75

ende av vad som har kommit fram under förundersökningen. Därför blir resultatet av förundersökningen i praktiken helt avgörande för utgången av målet.9

3.4.2 Underrättelseverksamhet

De brottsbekämpande myndigheternas underrättelseverksamhet beskrivs utförligt i Polismetodutredningens betänkande En mer rätts-

säker inhämtning av elektronisk kommunikation i brottsbekämpningen

3.4.2.1 Allmänt om underrättelseverksamhet

Polisen, Säkerhetspolisen, Ekobrottsmyndigheten, Kustbevakningen, Tullverket och Skatteverket bedriver också underrättelseverksamhet. Denna verksamhet är i huvudsak inriktad på att avslöja om en viss, inte närmare specificerad brottslighet har ägt rum, pågår eller kan antas komma att begås. Ett övergripande mål med underrättelseverksamheten är att förse de brottsutredande myndigheterna med kunskap som kan omsättas i operativ verksamhet. Till exempel ska polisens kriminalunderrättelsetjänst vara delaktig i strategisk och operativ verksamhetsplanering och utgöra ett direkt stöd för operativ polisverksamhet, ge underlag till ledningsverksamheten på olika nivåer inom polisen och medverka när effekterna av genomförda insatser analyseras. I underrättelseverksamheten samlar myndigheterna in, bearbetar och analyserar uppgifter som senare kan ha betydelse för att utreda, förebygga och förhindra brott. Det framtagna underrättelsematerialet kan också läggas till grund för ett beslut om att inleda en förundersökning.

Det första ledet i underrättelseprocessen där information förädlas till underrättelser är planeringsfasen. I planeringsfasen tas ställning t.ex. till vilka områden som är prioriterade för underrättelseverksamheten och vilka uppgifter som ska inhämtas.

Information kan inhämtas från olika källor. Det kan t.ex. ske genom rutinmässig rapportering, spaning eller användning av över-

9 Bring, Thomas och Diesen, Christian, Förundersökning, Norstedts Juridik, 4 uppl., 2009, s. 65.

Bakgrund SOU 2015:31

76

skottsinformation från hemliga tvångsmedel. Information kan inhämtas även genom nationell och internationell samverkan samt från tipsare och informatörer. En annan källa för inhämtning är information som publicerats i tidningar eller på internet.

När informationen inhämtats bearbetas den genom att informationen struktureras, systematiseras och värderas, t.ex. genom jämförelser med sedan tidigare tillgängliga uppgifter. Därefter vidtar den avgörande fasen i underrättelseprocessen – analysen. Genom analysen tydliggörs sammanhang och den bearbetade informationen tillförs mervärden. Det kan handla om t.ex. hot- och riskanalys, analys av brottsmönster samt kartläggning av mer eller mindre löst sammansatta kriminella nätverk och grupperingar.

Efter inhämtning, bearbetning och analys delges informationen lämpliga mottagare. Det framtagna underrättelsematerialet kan läggas till grund för t.ex. beslut om att inleda förundersökning eller beslut om att vidta särskilda åtgärder för att förebygga, förhindra eller upptäcka brott. Det kan alltså handla om allt från en redovisning till berörda chefer till att gå ut i media för att förebygga ett visst brottsligt tillvägagångssätt. En annan form av förebyggande verksamhet är att de berörda personerna kontaktas och därigenom blir medvetna om den brottsbekämpande myndighetens intresse, vilket många gånger leder till att den brottsliga verksamhet som var i görningen aldrig kommer till stånd.

Genom att slutligen utvärdera resultatet av vidtagna åtgärder och underrättelsernas betydelse i sammanhanget kan verksamheten tillföras ny kunskap för det fortsatta arbetet.

3.4.2.2 Polisens underrättelseverksamhet

Polismyndighetens underrättelseverksamhet utgör en del av beslutsstödprocessen inom den brottsbekämpande verksamheten. Arbetet beskrivs i termer av planera, inhämta, bearbeta, analysera och delge information. Resultatet är underrättelser, rapporter eller andra underlag, som syftar till att möjliggöra proaktiva och kunskapsbaserade beslut, planering och verksamhet i övrigt – strategisk, operativ och taktisk – på alla nivåer i polisorganisationen.

Till skillnad från Polismyndighetens utredande verksamhet fokuserar inte underrättelseverksamheten på enskilda brott, utan på

Bakgrund

77

brottslig verksamhet. Utredande verksamhet i form av en förundersökning eller primärutredning är att betrakta som bakåtblickande, då utredningen avser ett specifikt brott som har begåtts. Underrättelseverksamheten är framåtblickande, då den förutser viss brottslighet, brottsutveckling eller ett visst fenomen. Material i förundersökning syftar vanligtvis till bevisföring. Information som hanteras i underrättelseverksamheten syftar oftast till att användas som underlag för bedömningar och analys avseende kommande brottslighet, brottsutveckling eller fenomen.

I enlighet med underrättelseprocessen bearbetar och registrerar Polismyndighetens underrättelsetjänst inkommen eller inhämtad information i kriminalunderrättelseregistret och i så kallade särskilda uppgiftssamlingar. Information kommer bland annat direkt från allmänheten i form av tips, från särskilda informatörer, i form av underrättelseuppslag från enskilda poliser, från andra myndigheter i Sverige, från polisens sambandsmän i andra länder samt från Europol och Interpol.

Inhämtad information bedöms för registrering i kriminalunderrättelseregistret och de särskilda uppgiftssamlingarna. Genom analys länkas uppgifter samman och sammanhang, nätverk och skeenden värderas. Resultatet blir ett underlag för strategiska och operativa beslut i polisverksamheten som sedan delges berörd beslutsfattare. Genom att utvärdera resultatet av vidtagna operativa åtgärder och underrättelsernas betydelse för dessa tillförs verksamheten ny kunskap som kan användas i framtiden.

Polisens underrättelseverksamhet bedrivs i huvudsak vid Polismyndighetens underrättelsetjänst. Underrättelsetjänsten är verksam på alla nivåer i organisationen.

På nationell nivå finns en underrättelseenhet vid Nationella operativa avdelningen, NOA. Underrättelseenheten vid NOA har processansvaret för polisens underrättelseverksamhet, ansvar för en nationell underrättelsebild, polisens underrättelsemodell och samordning samt beslutar om inriktningen för underrättelseverksamhet i hela polisorganisationen. Underrättelseverksamhet vid nationella underrättelseenheten är huvudsakligen inriktad mot organiserad brottslighet på nationell och internationell nivå. Inom vissa prioriterade områden bedrivs långsiktiga operativa underrättelseprojekt samt strategiska projekt.

Bakgrund SOU 2015:31

78

Underrättelseenheten vid NOA innefattar Nationellt underrättelsecentrum, NUC, som samordnar myndigheters underrättelsearbete mot organiserad brottslighet på nationell nivå. I centret ingår Polismyndigheten, Ekobrottsmyndigheten, Kriminalvården, Kronofogdemyndigheten, Kustbevakningen, Skatteverket, Säkerhetspolisen, Tullverket, Åklagarmyndigheten, Försäkringskassan, Migrationsverket och Arbetsförmedlingen.

På regional nivå finns underrättelseenheter som ska bedriva underrättelseverksamhet med strategiskt och operativt fokus. Förutom bearbetning av underrättelseinformation ska enheterna också tillhandahålla strategiska och operativa analyser. De regionala enheterna ska upprätthålla en regional lägesbild.

De regionala enheterna innefattar även myndighetsgemensamma regionala underrättelsecenter, RUC. I likhet med NUC samordnar RUC myndigheters underrättelsearbete men på regional nivå.

På polisområdesnivå finns underrättelseenheter som ska bedriva underrättelseverksamhet med operativt och taktiskt fokus samt ha en arbetsprocess som stödjer inhämtning, bearbetning och delgivning på lokalpolisområdesnivå och regional nivå.

På lokalpolisområdena ska det finnas kontaktfunktioner gentemot underrättelseenheten i polisområdet för att säkerställa underrättelseprocessen såväl lokalt som regionalt och nationellt.

3.4.2.3 Säkerhetspolisens underrättelseverksamhet

Säkerhetspolisen har i uppdrag att leda och bedriva polisverksamhet för att förebygga och avslöja brott mot rikets säkerhet, bekämpa terrorism samt fullgöra uppgifter enligt säkerhetsskyddslagen (1996:627) och säkerhetsskyddsförordningen (1996:633). Med säkerhetsskydd avses skydd mot bl.a. spioneri liksom mot terroristbrott. Säkerhetspolisen har också i uppdrag att leda och bedriva det bevaknings- och säkerhetsarbete som avser den centrala statsledningen eller som har samband med statsbesök och liknande händelser.

Uppdraget att förebygga och avslöja brott mot rikets säkerhet innebär att Säkerhetspolisen ska motverka olaglig eller oanmäld underrättelseverksamhet som bedrivs i Sverige. Likaså ska Säkerhetspolisen förhindra att organisationer, grupper, nätverk eller enskilda individer bedriver säkerhetshotande verksamhet som syftar till att

Bakgrund

79

hota eller störa det demokratiska styrelseskicket eller enskildas rätt att utöva sina demokratiska rättigheter. Uppdraget att bekämpa terrorism innebär att Säkerhetspolisen ska minska risken för att terroristbrott begås i Sverige och utomlands samt motverka att Sverige och svenska förhållanden utnyttjas som bas för stöd till terroristverksamhet. När det gäller skyddet av den centrala statsledningen ska Säkerhetspolisen verka för att den och de personer i övrigt som omfattas av Säkerhetspolisens personskyddsverksamhet ska kunna utföra sina åtaganden under trygga och säkra former. Säkerhetspolisens uppdrag är således i allt väsentligt brottsförebyggande. Den brottsutredande verksamheten kommer härigenom i andra hand och utgör en mycket begränsad del av uppdraget. Detta avspeglar sig också tydligt i Säkerhetspolisens resursfördelning mellan brottsförebyggande och brottsutredande arbete.

För att Säkerhetspolisen ska kunna fullgöra sitt uppdrag måste myndighetens verksamhet inriktas utifrån den hotbild som finns mot de företeelser som Säkerhetspolisen ska skydda. Det är dels fråga om en strategisk hotbild för att inrikta verksamheten långsiktigt, dels hotbilder som är knutna till en viss person, en viss händelse eller vissa företeelser. Hotbilden bestäms utifrån en bedömning av vilken avsikt och förmåga som en aktör har när det gäller att begå aktuella brott.

Säkerhetspolisens underrättelseverksamhet syftar i allt väsentligt till att lägga grunden för hotbildsbedömningarna och därigenom det brottsförebyggande arbetet. Tillförlitliga hotbilder och relevanta skyddsåtgärder förutsätter att underrättelseverksamheten kan följa olika aktörer och fånga upp varningssignaler redan innan en viss person vidtagit konkreta åtgärder för att begå ett brott. Det kan handla om att kartlägga utländsk underrättelseverksamhet i Sverige eller grupper som tydligt manifesterat en vilja att hota eller begå andra brott för att störa personer i syfte att få dem att sluta bedriva en viss politik. Det kan naturligtvis förekomma att Säkerhetspolisen får uppgifter som gör att en förundersökning ska inledas. Syftet med underrättelseverksamheten är dock inte att få fram uppgifter till underlag för en sådan bedömning.

Säkerhetspolisen tillämpar i princip samma modell som den övriga polisen för att styra underrättelsearbetet. Modellen innebär i korthet att ett väl definierat underrättelsebehov leder till en beställning av uppgifter. Beställningen resulterar i att olika inhämtningsåtgärder

Bakgrund SOU 2015:31

80

vidtas. De inhämtade uppgifterna bearbetas och analyseras varefter resultatet rapporteras till beställaren. Resultatet ligger sedan till grund för beslut om fortsatta åtgärder. Genom att tillämpa modellen blir inhämtningen aldrig slumpartad. Underrättelseverksamheten är tydligt avgränsad och det finns ett väl definierat mål för arbetet.

Liksom beträffande den öppna polisen sätter de allmänna principer för polisingripande som anges i 8 § polislagen (1984:387) den yttre ramen för verksamheten. Säkerhetspolisen har alltså att beakta såväl behovs- som proportionalitetsprincipen innan en åtgärd beslutas. Säkerhetspolisens inhämtningsmetoder skiljer sig härigenom inte från de metoder som används inom polisen i övrigt. Det kan exempelvis vara fråga om inhämtning genom fysisk spaning, liksom genom öppna eller egna källor. Även såväl nationell som internationell samverkan med andra myndigheter har stor betydelse för underrättelseverksamheten.

3.4.2.4 Tullverkets underrättelseverksamhet

Underrättelseverksamhet i Tullverket utgör ett stöd för den brottsbekämpande verksamheten genom att tillföra aktuell och bearbetad information om förväntad eller pågående brottslig verksamhet samt kunskap om och förståelse av brottslig verksamhet.

Underrättelseverksamhet i Tullverket bedrivs genom insamling/inhämtning, bearbetning och analys av uppgifter. Syftet är att förhindra eller upptäcka brottslig verksamhet.

Resultatet av underrättelseverksamhet, de slutsatser eller produkter som tas fram, delges beslutsfattare på olika nivåer och ingår som beslutsunderlag dels vid beslut om inriktning och prioriteringar av Tullverkets brottsbekämpande verksamhet (strategisk underrättelse), dels vid beslut om direkt operativa åtgärder (operativ underrättelse).

Det finns fyra kärnområden för Tullverkets underrättelseverksamhet.

• Att utarbeta och löpande uppdatera profiler på objekt i de olika trafikflöden som från smugglingssynpunkt bör kontrolleras. Arbetet bygger bl.a. på återrapporter och iakttagelser från kontrollerande personal, på uppgifter i tillgängliga register och på uppgifter från samverkansmyndigheter.

Bakgrund

81

• Att utarbeta underlag för beslut om direkt operativ åtgärd mot viss person eller grupp eller för beslut om att påbörja tullkriminalärende eller förundersökning. Detta sker genom inhämtning och bearbetning av uppgifter som kan förknippas med brottslig verksamhet.

• Att utarbeta underlag för beslut om inriktning och prioritering på något längre sikt av brottsbekämpande åtgärder. Dessa underlag kan avse visst trafikflöde, viss typ av transportmedel eller visst geografiskt område. Underlagen bygger på inhämtning och bearbetning av uppgifter som kan förknippas med brottslig verksamhet.

• Att löpande inhämta, kvalitetssäkra och systematisera uppgifter om misstänkt brottslighet.

I begreppet ”förhindra eller upptäcka” ligger att underrättelseverksamhet inte avser åtgärd mot ett redan begånget konkret brott utan i stället avser att söka avslöja om viss brottslighet har förekommit, pågår eller kan förutses. Man kan säga att verksamheten ofta börjar med en låg misstankegrad (anledning anta) om viss brottslig verksamhet. Genom riktad inhämtning och bearbetning av ytterligare uppgifter kan man antingen verifiera och komplettera till en högre misstankegrad, identifiera misstänkta och ett mer konkret brott eller avskriva den ursprungliga misstanken. Ju tidigare man kan komma fram till en grundad uppfattning i dessa avseenden desto bättre.

3.5 Uppgifter om elektronisk kommunikation i brottsbekämpande verksamhet

3.5.1 Allmänt om straffprocessuella tvångsmedel

Rättegångsbalken innehåller inte någon definition av vad ett straffprocessuellt tvångsmedel är. Det rör sig dock om åtgärder som har en funktion inom straffprocessen men som inte utgör straff eller andra sanktioner. Åtgärderna företas i myndighetsutövning och innebär intrång i en persons rättssfär utan att personen har lämnat

Bakgrund SOU 2015:31

82

sitt samtycke. Vanligtvis – men inte beträffande alla tvångsmedel – innefattar användningen tvång mot person eller egendom.10

Under en förundersökning används straffprocessuella tvångsmedel i brottsutredande syfte eller för att en rättegång i brottmål ska kunna genomföras. Exempel på sådana tvångsmedel husrannsakan, kroppsvisitation, kroppsbesiktning, beslag, gripande, anhållande och häktning.

Bland de straffprocessuella tvångsmedlen intar de hemliga tvångsmedlen en särställning. Dessa är hemlig avlyssning av elektronisk kommunikation, hemlig övervakning av elektronisk kommunikation, hemlig kameraövervakning, kvarhållande (och kontroll) av försändelse samt hemlig rumsavlyssning. Även inhämtning av uppgifter enligt lagen (2012:278) om inhämtning av uppgifter om elektronisk kommunikation i de brottsbekämpande myndigheternas underrättelseverksamhet (inhämtningslagen, IHL) utgör ett hemligt tvångsmedel (prop. 2011/12:55 s. 111). Den berörde är inte medveten om dessa åtgärder, men det antas att de äger rum mot hans eller hennes vilja. De intrång i den personliga integriteten som åtgärderna innebär medför att de, även i avsaknad av tvång, betecknas som tvångsmedel .11

En grundläggande förutsättning för att använda straffprocessuella tvångsmedel är normalt att en förundersökning har inletts. Användningen ska då ytterst ha till syfte att utreda eller lagföra ett visst brott. Regleringen ger dock stöd även för att i vissa fall använda hemliga tvångsmedel för att förebygga, avslöja eller förhindra brottslig verksamhet utan att förundersökning har inletts, dvs. i underrättelseverksamhet.

När lagstiftaren har preciserat i vilka fall en viss myndighet ska ha rätt att få tillgång till en viss typ av uppgifter gäller enligt tolkningsprincipen om lex specialis att de begränsningar som följer av denna reglering inte ska kunna kringgås genom att myndigheten väljer att tillämpa t.ex. de allmänna bestämmelserna om husrannsakan och beslag. Regeringen har mot den bakgrunden uttalat att uppgifter som angår ett särskilt elektroniskt meddelande som finns hos en leverantör inte kan inhämtas med stöd av ett editionsföre-

10 Se t.ex. Lindberg, Straffprocessuella tvångsmedel, 3 uppl. 2012, s. 5 f. samt Ekelöf, Rättegång, tredje häftet, 7 uppl. 2006, s. 38 f. 11 Ekelöf, s. 42.

Bakgrund

83

läggande eller husrannsakan i förening med beslag i fall där annars andra regler för utfående av sådana uppgifter gäller (prop. 2002/03:74 s. 45 f.).

Villkoren för att använda de olika tvångsmedlen skiljer sig åt beroende på vilken slags åtgärd som avses och för vilket ändamål den vidtas. För all användning av tvångsmedel gäller dock – vid sidan av kravet på uttryckligt lagstöd (legalitetsprincipen) – tre allmänna principer: ändamålsprincipen, behovsprincipen och proportionalitetsprincipen. Dessa principer innebär kortfattat att en myndighets befogenheter att använda tvångsmedel ska vara bundna till de ändamål för vilket tvångsmedlet har beslutats (ändamålsprincipen). Tvångsmedel ska bara få användas när det finns ett påtagligt behov av det och en mindre ingripande åtgärd inte är tillräcklig (behovsprincipen). En tvångsmedelsåtgärd måste vidare, när det gäller åtgärdens art, styrka, räckvidd och varaktighet, stå i rimlig proportion till vad som står att vinna med åtgärden (proportionalitetsprincipen).

3.5.2 Hur används uppgifter om elektronisk kommunikation i brottsbekämpande verksamhet?

Vid bedömningen av hur långtgående inskränkningar i enskildas fri- och rättigheter som kan tolereras i ett demokratiskt samhälle för att förebygga och utreda brott är det av vikt att klargöra vilken betydelse en åtgärd som innebär intrång i en skyddad rättighet kan ha för att uppnå målet att förhindra och lagföra brott. En proportionalitetsavvägning måste därefter göras mellan åtgärdens betydelse för det eftersträvande ändamålet (samhällsnyttan) å ena sidan och den grad av intrång i enskildas skyddade rättigheter – t.ex. rätten till yttrande- och informationsfrihet eller rätten till självbestämmande och personlig integritet – som åtgärden innebär å andra sidan. När utformningen av regler som innebär intrång i enskildas personliga integritet övervägs är det därför viktigt att undersöka hur reglerna används i den brottsbekämpande verksamheten och vilka behov av reglerna som finns.

För att de brottsbekämpande myndigheterna ska kunna fullgöra sina uppgifter att förebygga, förhindra och utreda brott har myndigheterna behov av information. Detta behov kan vara olika stort beroende på vilken brottslighet och vilka aktörer det är fråga om. Brottsbekämparna kan använda olika metoder för att skaffa sig

Bakgrund SOU 2015:31

84

relevant information, t.ex. spaning och förhör samt kontakter med anmälare och tipsare. Behovet av information i såväl utredningsverksamheten som i underrättelseverksamheten innefattar ett behov av uppgifter om elektronisk kommunikation.

Det kan inte längre råda någon som helst tvekan om att uppgifter om elektronisk kommunikation har mycket stor betydelse i nästan all verksamhet som rör utredning av allvarlig brottslighet. Beredningen för rättsväsendets utveckling (BRU) konstaterade redan 2005 i betänkandet Tillgång till elektronisk kommunikation i

brottsutredningar m.m. (SOU 2005:38 s. 323 f.) att trafikuppgifter

ofta utgjorde den information som var viktigast för att föra utredningar om grövre brott framåt och att sådana uppgifter också används i princip i varje utredning rörande grova brott som t.ex. mord, människorov, grovt rån, grov mordbrand, allmänfarlig ödeläggelse, grov våldtäkt, människohandel för sexuella ändamål, grovt barnpornografibrott och grovt narkotikabrott samt brott som faller inom Säkerhetspolisens område. Trafikuppgifterna är ofta av stor betydelse redan i utredningsarbetets inledningsskede, då en kontroll av de trafikuppgifter som har genererats i anslutning till en brottsplats och sådana uppgifter som kan knytas till ett brottsoffer eller en eventuell misstänkt person kan användas tillsammans med annan information för att föra utredningen framåt.

Trafikuppgifterna kan svara på frågor om vilka nummer som haft kontakt med varandra, hur intensiv kommunikationen har varit och var användarna av t.ex. mobiltelefoner eller annan kommunikationsutrustning har befunnit sig. Vid användning av anonyma tjänster, som t.ex. förbetalda kontantkort som saknar registrerad användare, kan informationen vara av stor betydelse i ett senare skede i utredningen då ett beslag av en mobiltelefon från en misstänkt person kan avslöja vilka kontakter den personen har haft och var han eller hon har befunnit sig vid olika tidpunkter i samband med att ett brott har begåtts. BRU konstaterade även att uppgifterna i många fall kan få till följd att personer avförs från utredningen genom att misstankarna mot dem visar sig sakna substans.

När det gäller planeringsskedet av ett brott är det genom tillgången till trafikuppgifter ofta möjligt att ta reda på t.ex. hur gärningsmännen har sammanträffat och hur de har rekognoserat vid gömställen, längs flyktvägar och vid brottsplatsen samt hur de införskaffat brottsverktyg eller stulit flyktbilar (SOU 2005:38 s. 324). Genom

Bakgrund

85

tillgången till historiska trafik- och lokaliseringsuppgifter kan de brottsbekämpande myndigheterna således klarlägga händelser som anknyter såväl till själva brottstillfället som till planläggningen och flykten. Dessa uppgifter kan t.ex. leda till att gömställen upptäcks, att stulna pengar, flyktbilar eller annat gods påträffas och att bortförda personer eller döda kroppar hittas.

Vid utredningen av internetrelaterad brottslighet är trafikuppgifter ofta helt avgörande information för att möjliggöra identifiering av en misstänkt gärningsman. Möjligheten till anonymitet och begränsningen av forensisk bevisning för att utreda brott medför därför att trafikuppgifter i många fall inte kan undvaras vid utredning om internetrelaterad brottslighet, om sådan brottslighet alls ska kunna bekämpas. Från de brottsbekämpande myndigheterna har i flera sammanhang också framhållits att tillgången till trafikuppgifter i brottsutredningarna fått allt större betydelse i takt med den ökade användningen av kryptering, som innebär att innehållet i meddelanden inte blir åtkomligt för myndigheterna vid hemlig avlyssning av elektronisk kommunikation.

Det bör i sammanhanget även noteras att trafikuppgifternas betydelse i brottsutredningar också hänger samman med att den information som kommer fram vid hemlig övervakning och hemlig avlyssning av elektronisk kommunikation ofta bedöms ha ett betydande bevisvärde i rättegångar som rör grov allvarlig och organiserad brottslighet.

I Åklagarmyndighetens redovisning av användningen av vissa hemliga tvångsmedel under 2013 (ÅM-A-2013/1962) ges några exempel på situationer där hemlig övervakning av elektronisk kommunikation har varit till nytta för brottsutredningar:

Under utredning av ett rån på allmän plats kan med hjälp av positionering av den misstänktes telefon fastslås att telefonen varit på platsen för brottet. Med hjälp av uppgifter om vilka samtal eller meddelanden som skett vid tiden för brottet eller i nära anslutning till denna kan utredas om det är den misstänkte som just vid tillfället förfogat över telefonen. Dessa uppgifter har stor betydelse vid förhör med den misstänkte för att ställas mot dennes eventuella förnekande av att ha varit på platsen. Uppgifterna kan också ha stor betydelse som bevisning vid en rättegång.

Bakgrund SOU 2015:31

86

Vid utredning av grov kvinnofridskränkning kan det vara av stor betydelse att med hjälp av samtalslistor kunna visa på omfattningen av och tidpunkterna för en misstänkt mans kontakter med sin tidigare hustru.

När det gäller underrättelseverksamheten anges i Åklagarmyndighetens redovisning att den typiskt sett vanligaste nyttan med inhämtade uppgifter om elektronisk kommunikation är att underrättelser om hantering av stora mängder narkotika vid ett flertal tillfällen på olika orter i och utanför Sverige, i kombination med inhämtade uppgifter om elektronisk kommunikation, lett till att förundersökningar kunnat inledas efter att rörelsemönster och kontakter mellan inblandade kunnat kartläggas samt att brottsmisstankar kunnat verifieras. Därefter har användning av andra hemliga tvångsmedel i kombination med spaning och utredningsarbete lett till frihetsberövanden och beslag av stora mängder narkotika. Inte sällan har samverkan skett mellan polisen och Tullverket samt med andra länders brottsbekämpande myndigheter.

Enligt redovisningen har Rikspolisstyrelsen och Tullverket kunnat konstatera att information om elektronisk kommunikation är väsentlig för myndigheternas underrättelseverksamhet och att de inhämtningsmöjligheter som inhämtningslagen medger har varit avgörande för att inleda förundersökning avseende en lång rad grova brott. Uppgifter om elektronisk kommunikation redan på underrättelsestadiet anges ofta vara avgörande för att koppla samman aktörer, platser och tidpunkter samt stärka misstankar så att en väl grundad förundersökning kan inledas.

Åklagarmyndighetens redovisning innehåller också några konkreta exempel på fall där inhämtade uppgifter om elektronisk kommunikation har använts i underrättelseverksamheten. Några av dessa återges nedan:

Underrättelser avseende leveranser av stora mängder narkotika, från Malmö till Stockholm, ledde i kombination med uppgifter om elektronisk kommunikation till att en person greps på Stockholms Central. Initialt togs 15 kg marijuana i beslag. Slutligen dömdes tio personer till närmare 40 års fängelse och ca 50 kg olika cannabispreparat togs i beslag.

Underrättelser gjorde gällande att personer hemmahörande i Skåne, tidigare dömda för narkotikabrott, sysslade med framställning av cannabis i stor skala. Framställningen skulle ske i antingen Danmark eller

Bakgrund

87

Sverige. Underrättelserna tillsammans med inhämtning av uppgifter om elektronisk kommunikation ledde till att två personer greps då de transporterade 10 kg narkotika från Danmark till Sverige.

Inhämtning av uppgifter om elektronisk kommunikation, i kombination med underrättelser avseende omfattande hantering av narkotika i Stockholmsområdet, ledde till att ett kriminellt nätverk kunde kartläggas. Förundersökning kunde inledas och efter en tids spanings- samt utredningsåtgärder greps personerna varvid ett mycket stort parti narkotika kunde beslagtas.

Inhämtning av uppgifter om elektronisk kommunikation i kombination med underrättelser avseende att en utpekad person förfogade över stora mängder förfalskade tusenkronorssedlar ledde i kombination med annan spaning till inledande av förundersökning. Tre personer frihetsberövades och dömdes till fängelse för en rad olika brott. Avancerad utrustning för penningförfalskning togs i beslag.

Efter underrättelser avseende att ett stort antal bränder tidigare inträffat, utan att dessa anmälts och därmed inte heller förundersökning kunnat inledas, inhämtades uppgifter om elektronisk kommunikation i syfte att upptäcka och förhindra fortsatt brottslighet. Inhämtningsbeslutet ledde i sin tur till att förundersökning kunde inledas och inriktas mot en misstänkt person. Därefter kunde ytterligare beslut om hemliga tvångsmedel enligt rättegångsbalken användas.

Säkerhetspolisen har framfört till utredningen att analys av telefontrafik – oavsett verksamhetsområde – bedöms vara av ovärderlig vikt för myndighetens arbete. Exempelvis har Säkerhetspolisens spaningsresurser i vissa ärenden kunnat användas mer effektivt efter en telefonanalys som visat användarens dygnsmönster och geografiskt återkommande platser. I underrättelsesyfte bidrar telefontrafikdata också med mycket värdefull information bl.a. för att kartlägga aktörer och nätverk som har en avsikt och förmåga att begå brott som är allvarliga för rikets säkerhet. Lagstiftningen möjliggör således att på ett tidigt stadium fånga upp eventuella grupperingar, skeenden och modus i syfte att förhindra sådan brottslighet.

Bakgrund SOU 2015:31

88

3.5.3 Regleringen av tillgången till uppgifter

3.5.3.1 Abonnemangsuppgifter, trafikuppgifter och lokaliseringsuppgifter

Av regleringen i 6 kap. LEK följer att trafikuppgifter som lagras av en leverantör med stöd av den tvingande regleringen i 16 a § i nämnda kapitel (se vidare avsnitt 4.2.2) får behandlas – vid sidan av själva lagringen och den efterföljande raderingen – endast för att lämnas ut enligt 6 kap. 22 § första stycket 2 LEK (abonnemangsuppgifter), 27 kap. 19 § rättegångsbalken och enligt inhämtningslagen. Villkoren för denna inhämtning av uppgifter, som alltså är uppdelad på tre olika regelverk, berörs mer ingående nedan.

Det kan nämnas att uppgifter som inte lagrats med stöd av den tvingande regleringen i 6 kap. 16 a § LEK ändå kan finnas tillgängliga hos leverantören exempelvis för att denne behöver uppgifterna för sin fakturering. Sådana uppgifter kan också hämtas in av de brottsbekämpande myndigheterna enligt gällande regelverk. Uppgifter som inte lagras enligt de tvingande reglerna kan i vissa situationer också lämnas ut enligt andra regelverk än de som nämns ovan. Ett exempel på det är reglerna om informationsföreläggande enligt 53 c § lagen (1960:729) om upphovsrätt till litterära och konstnärliga verk.

Vidare finns, när det gäller andra uppgifter som rör leverantörernas kunder än de uppgifter som lagras enligt 6 kap. 16 a § LEK, bestämmelser som genombryter leverantörens tystnadsplikt i situationer som omfattar utlämnande för bl.a. delgivning i vissa fall, efterforskning av försvunna personer, identifiering vid olyckor och dödsfall samt underrättelse av vårdnadshavare till en underårig som misstänks för brott (6 kap. 22 § första stycket 1, 3, 6 och 7 LEK). I dessa fall genombryts tystnadsplikten – med ett undantag – enbart i fråga om uppgifter om abonnemang. För ändamålet att eftersöka försvunna personer ska även andra uppgifter som angår ett elektroniskt meddelande, t.ex. lokaliseringsuppgifter, på begäran lämnas ut.

Med uppgifter om abonnemang i 6 kap. 20 § LEK avses t.ex. uppgifter om abonnentens nummer, namn, titel och adress (prop. 1992/93:200 s. 310). Sådana uppgifter finns ofta tillgängliga i elektronisk form i abonnentförteckningar som leverantörerna upprättar. För att uppgifter om en fysisk person ska tas in i en abonnentförteckning som görs allmänt tillgänglig krävs att den enskilde lämnat sitt samtycke till det (6 kap. 16 § LEK). I den utsträckning uppgifter

Bakgrund

89

finns tillgängliga i sådana allmänt tillgängliga förteckningar omfattas de, till följd av abonnentens samtycke, i praktiken inte av tystnadsplikten. Bestämmelserna om skyldighet att lämna ut uppgifter om abonnenter får därför betydelse i första hand i fråga om uppgifter som rör abonnenter som inte har lämnat sitt samtycke till att uppgifterna offentliggörs och när det gäller nummer som normalt inte offentliggörs, t.ex. ip-adresser.

En ip-adress (Internet Protocol Address) är en unik adress som en dator eller ett lokalt nätverk tilldelas för att datapaket ska kunna skickas och tas emot över internet genom det tekniska kommunikationsprotokollet Internet Protocol. Den kan därför liknas med en postadress för vanliga brevförsändelser. Ip-adressen är en teknisk uppgift som behövs för att ett datapaket ska nå sin destination på internet och ingår därför som en del av dessa datapaket.

En ip-adress kan vara fast eller dynamisk och tilldelas en användare via t.ex. en internetleverantör. Av praktiska skäl tilldelas privatpersoner vanligen dynamiska ip-adresser. Dessa är inte konstant knutna till specifika datorer eller annan utrustning som kommunicerar över internet utan tilldelas olika datorer beroende på vilka enheter som vid varje given tidpunkt är uppkopplade mot internet. Eftersom ip-adressen hänför sig till internetuppkopplingen som sådan och inte uteslutande rör ett visst elektroniskt meddelande kan ipadressens huvudsakliga syfte sägas vara att identifiera abonnenten. Mot den bakgrunden anses ip-adressen, oberoende av om den är fast eller dynamisk, vara en uppgift om abonnemang (prop. 2011/12:55 s. 101).

Med trafikuppgifter avses i detta sammanhang enkelt uttryckt de uppgifter som behövs för att förmedla ett elektroniskt meddelande i ett elektroniskt kommunikationsnät eller för att fakturera ett sådant meddelande (6 kap. 1 § LEK). De trafikuppgifter som genereras vid elektronisk kommunikation kan avslöja t.ex. vilken typ av kommunikation som förekommit, vilken utrustning som har använts, vilka nummer eller adresser som har kommunicerat med varandra och hur länge kommunikationen har pågått. Utanför begreppet trafikuppgifter faller information som avslöjar meddelandets innehåll. Vid sidan av begreppet trafikuppgifter används även uttrycket lokaliseringsuppgifter för att beteckna uppgifter som genereras vid elektronisk kommunikation och som är knutna till

Bakgrund SOU 2015:31

90

lokaliseringen av den kommunikationsutrustning som används vid överföringen av ett elektroniskt meddelande.

En uppgift om vilket abonnentnummer som har använts för att skicka eller ta emot ett visst meddelande utgör en trafikuppgift då uppgifterna behövs för att överföra meddelandet. En uppgift om vem som innehar detta nummer är däremot en abonnemangsuppgift. Dessa uppgifter finns normalt tillgängliga i leverantörernas kund- och faktureringssystem under den tid som de behövs för att fakturera för utnyttjade tjänster, erbjuda andra mervärdestjänster eller övervaka nätsäkerheten.

3.5.3.2 Tidigare regler om tillgången till trafikuppgifter

Lagen om elektronisk kommunikation trädde i kraft i juli 2003 och ersatte telelagen (1993:597) och lagen (1993:599) om radiokommunikation.

Telelagen infördes i samband med att verksamheten i Televerket överfördes till Telia AB. Eftersom den huvudsakliga televerksamheten inte längre skulle bedrivas av en myndighet utan av enskilda företag, infördes det i telelagen regler om bl.a. tystnadsplikt. Dessa överensstämde till stora delar med motsvarande regler i sekretesslagen (1980:100).

Tidigare kunde brottsbekämpande myndigheter få tillgång till historiska trafikuppgifter enligt två olika regelverk; bestämmelserna om hemlig teleövervakning (numera hemlig övervakning av elektronisk kommunikation) i rättegångsbalken och utlämnande av uppgifterna från leverantörer enligt lagen om elektronisk kommunikation. Myndigheterna kunde då få i princip samma uppgifter oavsett vilka bestämmelser som tillämpades. Förutsättningarna för att få ut uppgifter skiljde sig dock åt en del. För hemlig teleövervakning krävdes bl.a. att det fanns en skäligen misstänkt person, att åtgärden var av synnerlig vikt för utredningen, att åtgärden avsåg en teleadress med viss anknytning till den misstänkte och att åtgärden beslutades av domstol. Vidare krävde hemlig teleövervakning att misstanken avsåg antingen ett brott med minimistraff fängelse i minst sex månader eller ett sådant brott som pekades ut särskilt i bestämmelserna om hemlig teleövervakning.

Bakgrund

91

För att få tillgång till uppgifter enligt LEK krävdes att misstanken avsåg brott med lägsta minimistraff fängelse i två år. I detta avseende var alltså kravet i LEK strängare än i rättegångsbalken. Däremot saknade reglerna i LEK motsvarigheter till de övriga kraven i rättegångsbalken. LEK ställde t.ex. inte upp några krav på att det skulle finnas en skäligen misstänkt person, att åtgärden skulle vara av någon viss vikt för utredningen, att åtgärden bara fick avse vissa teleadresser eller att den skulle beslutas av domstol. Det fanns inte heller några krav på att enskilda skulle underrättas om inhämtningen eller att Säkerhets- och integritetsskyddsnämnden skulle utöva tillsyn.

I samband med att reglerna i LEK om utlämnande av trafikuppgifter vid misstanke om vissa brott upphävdes uttalade regeringen att den aktuella regleringen i LEK inte framstod som ändamålsenligt utformad och att den inte heller i tillräcklig grad uppfyllde de krav på rättssäkerhet och integritetsskydd som måste ställas på sådana integritetskänsliga åtgärder (prop. 2011/12:55 s. 66). Enligt regeringen borde trafikuppgifter få inhämtas i förundersökningar endast efter beslut om hemlig övervakning av elektronisk kommunikation. Befogenheten att inhämta uppgifter i underrättelseverksamhet skulle däremot regleras i en ny lag (inhämtningslagen).

3.5.3.3 Tillgången till abonnemangsuppgifter

En leverantör som har fått del av eller har tillgång till uppgifter om abonnemang, innehållet i ett elektroniskt meddelande och andra uppgifter som angår ett särskilt elektroniskt meddelande har – med vissa undantag i förhållande till innehavaren av ett abonnemang och den som tagit del i utväxlingen av meddelandet – tystnadsplikt för dessa uppgifter (6 kap. 20 § LEK). Uppgifter som angår ett särskilt elektroniskt meddelande anses enligt praxis vara uppgifter om vilka som har deltagit i utväxlingen av ett elektroniskt meddelande, uppgifter om när och under hur lång tid utväxlingen ägde rum och uppgifter om positionen hos den utrustning som använts vid kommunikationen. Tystnadsplikten omfattar i förekommande fall även t.ex. information om att uppgifter i hemlighet har inhämtats av de brottsbekämpande myndigheterna (6 kap. 21 § LEK).

En åklagarmyndighet, Polismyndigheten, Säkerhetspolisen eller annan myndighet som ska ingripa mot brott (Tullverket, Kustbevak-

Bakgrund SOU 2015:31

92

ningen och Skatteverket) har trots tystnadsplikten rätt att få tillgång till abonnemangsuppgifter, om uppgiften gäller misstanke om brott som myndigheten ska ingripa mot (6 kap. 22 § första stycket 2 LEK). Regleringen innebär att de brottsbekämpande myndigheterna i princip har rätt att inhämta abonnemangsuppgifter för att beivra alla typer av brott utom sådana brott som åtalas enbart av målsäganden. En begränsning av tillgången följer dock av ändamåls-, behovs- och proportionalitetens krav. Inhämtning av uppgifter om abonnemang enligt LEK anses inte vara hemlig tvångsmedelsanvändning (se prop. 2013/14:237 s. 134).

Fram till den 1 juli 2012 gällde att tystnadsplikten för abonnemangsuppgifter genombröts bara om fängelse var föreskrivet för brottet och det enligt myndighetens bedömning kunde föranleda annan påföljd än böter. På grund av denna begränsning kunde abonnemangsuppgifter i realiteten inte hämtas in för många brott av normalgraden med böter i straffskalan. I förarbetena till 2012 års ändring i lagen om elektronisk kommunikation konstaterade regeringen bl.a. att det hade skett en betydande teknisk utveckling och förändring av i vilken omfattning enskilda använder bl.a. datorer och mobiltelefoner (prop. 2011/12:55 s. 102). Trakasserier via internet av olika slag, nätmobbning och förtal, liksom vuxnas kontakter med barn i sexuella syften (grooming) bedömdes ha blivit ett allt större problem. Det framhölls att när sådant beteende misstänktes utgöra brott hade de brottsutredande myndigheterna ofta begränsade möjligheter att utreda brotten, bl.a. eftersom möjligheterna att identifiera den som stått bakom kommunikationen många gånger var små på grund av begränsningarna i rätten att få tillgång till abonnemangsuppgifter. Detsamma ansågs gälla i fråga om de reella möjligheterna för polisen att ingripa mot internetrelaterade immaterialrättsbrott. Vid bedömningen av det intrång som ett enskilt utlämnande av uppgifter om en abonnent innebär beaktade regeringen särskilt att privatpersoner vanligen använder dynamiska ip-adresser. Möjligheterna till kartläggning av en abonnents kontakter via internet vid andra tillfällen bedömdes därmed bli begränsade vid ett enstaka utlämnande. Vidare menade regeringen att de brottsbekämpande myndigheternas intresse av tillgång till uppgifter om abonnemang hade förändrats på grund av utvecklingen av den internetrelaterade brottsligheten. Regeringen ansåg att intresset av att lämna ut abonnemangsuppgifter för att bekämpa brott vägde tyngre än det mot-

Bakgrund

93

stående intresset av att skydda enskildas integritet och föreslog därför att kravet på fängelse i straffskalan och det särskilda kravet i fråga om brottets straffvärde skulle tas bort (prop. 2011/12:55 s. 103). Riksdagen ställde sig bakom denna bedömning (bet. 2011/12:JuU8, rskr. 2011/12:212).

3.5.3.4 Hemlig övervakning av elektronisk kommunikation

Hemlig övervakning av elektronisk kommunikation innebär att uppgifter i hemlighet hämtas in om meddelanden som i ett elektroniskt kommunikationsnät överförs eller har överförts till eller från ett telefonnummer eller annan adress (t.ex. en ip-adress), vilka elektroniska kommunikationsutrustningar som har funnits inom ett visst geografiskt område (s.k. basstationstömning), eller i vilket geografiskt område en viss elektronisk kommunikationsutrustning finns eller har funnits (27 kap. 19 § första stycket rättegångsbalken). De uppgifter som kan hämtas in genom tvångsmedlet är alltså s.k. trafikuppgifter och lokaliseringsuppgifter. Tvångsmedlet ger inte tillgång till uppgifter om innehållet i meddelanden. Hemlig övervakning av elektronisk kommunikation omfattar såväl inhämtning av uppgifter från telefoni- och internetoperatörer som inhämtning genom egna tekniska medel som de brottsbekämpande myndigheterna förfogar över. Tvångsmedlet kan användas också för att hindra meddelanden som överförs i ett elektroniskt kommunikationsnät från att nå fram.

Hemlig övervakning av elektronisk kommunikation får enligt 27 kap. 19 § tredje stycket rättegångsbalken användas vid förundersökning om brott för vilket det inte är föreskrivet lindrigare straff än fängelse i sex månader, vid förundersökning som avser dataintrång, barnpornografibrott som inte är ringa eller narkotikabrott eller narkotikasmuggling av normalgraden. Därutöver får tvångsmedlet användas vid förundersökning om vissa samhällsfarliga brott som bekämpas av Säkerhetspolisen, t.ex. sabotage, spioneri och vissa former av terroristbrottslighet. Tvångsmedlet får också användas vid förundersökning om försök, förberedelse eller stämpling till nämnd brottslighet i den mån sådana förstadier till brott är straffbelagda.

En förutsättning för att hemlig övervakning av elektronisk kommunikation ska få användas vid förundersökning är att åtgärden är

Bakgrund SOU 2015:31

94

av synnerlig vikt för utredningen. Som huvudregel krävs även att det finns någon som är skäligen misstänkt för brottet. Sedan den 1 juli 2012 kan tillstånd till tvångsmedlet emellertid meddelas även utan att det finns en skäligen misstänkt person om syftet med övervakningen är att utreda vem som skäligen kan misstänkas för brottet. Det krävs då att förundersökningen avser brott som kan leda till hemlig avlyssning av elektronisk kommunikation. Det ska alltså vara fråga om

• ett brott vars minimistraff är fängelse i minst två år,

• vissa särskilt angivna samhällsfarliga brott som bekämpas av

Säkerhetspolisen,

• försök, förberedelse eller stämpling till sådana brott om detta är straffbart, eller

• ett annat brott om brottets straffvärde med hänsyn till omständigheterna kan antas överstiga två års fängelse

När hemlig övervakning av elektronisk kommunikation används för att hämta in uppgifter om meddelanden i syfte utreda vem som skäligen kan misstänkas för ett brott får övervakningen bara innebära inhämtning av uppgifter i förfluten tid (27 kap. 20 § andra stycket rättegångsbalken).

Hemlig övervakning av elektronisk kommunikation som avser en skäligen misstänkt person får endast avse ett telefonnummer, en annan adress eller en elektronisk kommunikationsutrustning som innehas eller har innehafts eller annars kan antas ha använts eller komma att användas av den misstänkte under den tid tillståndet till övervakning gäller (27 kap. 20 § första stycket 1 rättegångsbalken).

Tvångsmedlet får enligt huvudregeln användas endast efter förhandsprövning och beslut av domstol. Tingsrätten prövar frågan efter ansökan av åklagare (27 kap. 21 § rättegångsbalken). Om det kan befaras att det skulle innebära en fördröjning av väsentlig betydelse för utredningen att inhämta rättens tillstånd, får tillstånd ges interimistiskt av åklagaren i avvaktan på domstolens prövning. Ett sådant beslut ska utan dröjsmål anmälas till rätten som skyndsamt ska pröva om det finns skäl för åtgärden. Om domstolen vid sin prövning bedömer att det inte finns skäl för åtgärden ska den upphäva beslutet. I sådana fall får uppgifter som redan har inhämtats

Bakgrund

95

med stöd av det interimistiska beslutet inte användas i en förundersökning till nackdel för den som har omfattats av övervakningen (27 kap. 21 a § rättegångsbalken).

I ett beslut att tillåta hemlig övervakning av elektronisk kommunikation ska det anges vilken tid åtgärden avser. Tiden får inte bestämmas längre än nödvändigt och får, när det gäller tid som infaller efter beslutet, inte överstiga en månad. Tiden kan dock förlängas genom ett nytt beslut. I beslutet ska också anges vilket telefonnummer eller annan adress, vilken elektronisk kommunikationsutrustning eller vilket geografiskt område tillståndet avser (27 kap. 21 § rättegångsbalken).

Möjligheterna att använda uppgifter som kommit fram vid hemlig övervakning av elektronisk kommunikation för att inleda förundersökning om ett annat brott än det som legat till grund för beslutet (s.k. överskottsinformation) är begränsade på så sätt att brott som kan antas leda till enbart en bötespåföljd normalt inte får användas (27 kap. 23 a § rättegångsbalken). Uppgifterna får dock alltid användas för att förhindra förestående brott.

I vissa fall får hemlig övervakning av elektronisk kommunikation användas också utan att en förundersökning pågår, då i syfte att förhindra vissa särskilt allvarliga brott. Enligt lagen (2007:979) om åtgärder för att förhindra vissa särskilt allvarliga brott (lagen om preventiva tvångsmedel) får tillstånd till bl.a. hemlig övervakning av elektronisk kommunikation meddelas om det finns en påtaglig risk för att en person kommer att utöva brottslig verksamhet som innefattar vissa särskilt angivna brott. Det rör sig främst om sådan samhällsfarlig brottslighet som bekämpas av Säkerhetspolisen, t.ex. sabotage, spioneri och terroristbrottslighet, men även vissa våldsbrott och brott mot frihet och frid som begås i syfte att påverka offentliga organ eller journalister (s.k. systemhotande brottslighet). I övrigt gäller i huvudsak samma regler för tvångsmedlen som när de används under en förundersökning. Till exempel krävs att åtgärden är av synnerlig vikt för att förhindra den brottsliga verksamheten och att den är proportionerlig.

Bakgrund SOU 2015:31

96

3.5.3.5 Inhämtning av uppgifter enligt inhämtningslagen

Inhämtningslagen reglerar Polismyndighetens, Säkerhetspolisens och Tullverkets möjligheter att hämta in uppgifter om elektronisk kommunikation i underrättelseverksamhet. Lagen reglerar enbart inhämtning från den som enligt LEK tillhandahåller ett elektroniskt kommunikationsnät eller en elektronisk kommunikationstjänst, och ger alltså inte stöd för de brottsbekämpande myndigheterna att hämta in uppgifter med hjälp av egna tekniska hjälpmedel. Inhämtning av uppgifter enligt lagen utgör definitionsmässigt ett hemligt tvångsmedel (prop. 2011/12:55 s. 111).

De uppgifter som får hämtas in med stöd av lagen är

1. historiska uppgifter om meddelanden,

2. uppgifter om vilka elektroniska kommunikationsutrustningar som

har funnits inom ett visst geografiskt område (s.k. basstationstömning), och

3. uppgift om i vilket geografiskt område en viss elektronisk kom-

munikationsutrustning finns eller har funnits (1 §).

Uppgifter får hämtas in om omständigheterna är sådana att åtgärden är av särskild vikt för att förebygga, förhindra eller upptäcka brottslig verksamhet som innefattar brott vilka har ett straffminimum på fängelse minst två år (2 §). Enligt en särskild bestämmelse (3 §) är inhämtning av uppgifter också möjlig vid brottslig verksamhet som innefattar vissa särskilt angivna samhällsfarliga brott inom Säkerhetspolisens ansvarsområde vilka har lägre straffminimum, t.ex. sabotage och spioneri. Denna bestämmelse är tidsbegränsad och gäller till utgången av 2016.

Beslut om inhämtning enligt lagen fattas av myndigheten själv och är inte föremål för någon utomstående förhandskontroll (4 §). Det är myndighetschefen eller annan person som har fått uppgiften delegerad till sig som fattar beslutet. Myndighetschefen får delegera uppgiften att fatta beslut bara till sådana personer som har den särskilda kompetens, utbildning och erfarenhet som behövs. Den som enligt delegation har fått rätt att hämta in uppgifter får inte fatta beslut om inhämtning i sådan operativ verksamhet som han eller hon deltar i. Beslutet ska vara preciserat och tiden för beslutet

Bakgrund

97

får, när det gäller tid som infaller efter beslutet, inte överstiga en månad (5 §).

Säkerhets- och integritetsskyddsnämnden (SIN) utövar tillsyn över de brottsbekämpande myndigheternas användning av lagen (se vidare avsnitt 3.5.4.2). Nämnden ska också underrättas om samtliga beslut som fattas enligt lagen. Underrättelsen ska lämnas senast en månad efter det att ärendet om inhämtning avslutades (6 §). Nämnden är vidare skyldig att på begäran av enskild kontrollera om han eller hon har varit föremål för inhämtning enligt lagen.

Så kallad överskottsinformation som kommit fram om annan brottslighet får användas för att förhindra brott (7 §). Om uppgifter som kommit fram vid inhämtning ska användas i en förundersökning, krävs ett tillstånd till hemlig övervakning av elektronisk kommunikation (8 §). Ett sådant tillstånd ges av domstol.

3.5.4 Kontrollmekanismer

3.5.4.1 Förhandskontroll

De brottsbekämpande myndigheternas tillgång till trafik- och lokaliseringsuppgifter i en förundersökning om brott – och i vissa fall även tillgången till sådana uppgifter i Säkerhetspolisens och polisens underrättelseverksamhet – förutsätter som regel att tingsrätten, efter prövning av en ansökan från åklagaren, har meddelat tillstånd till inhämtningen (27 kap. 21 § rättegångsbalken). Vid denna prövning har domstolen att kontrollera om de villkor som gäller för övervakningen av elektronisk kommunikation är uppfyllda, bl.a. vilken typ av gärning som brottsmisstanken avser, vilka telefonnummer och andra adresser som ska övervakas, om övervakningen avser en person som är skäligen misstänkt eller i stället syftar till att klarlägga vem som skäligen kan misstänkas för brottet, om åtgärden är av synnerlig vikt för utredningen etc. Prövningen görs med utgångspunkt i ett konkret brott, och en bedömning görs normalt även av om omständigheterna i det enskilda fallet med tillräcklig grad av styrka (skälig misstanke) talar för att en viss person kan misstänkas för brottet.

Genom en förhandskontroll av domstol inrymmer systemet ett inslag som skapar starka garantier för att de åtgärder som brottsbekämpande myndigheter vidtar i varje enskilt fall uppfyller lagens

Bakgrund SOU 2015:31

98

stränga begränsningar och skyddsregler. De brottsbekämpande myndigheterna tvingas noga motivera behovet av åtgärden för att övertyga domstolen om att övervakningsåtgärden ska tillåtas.

Som argument för att kräva förhandskontroll när det gäller åtgärder som inte är så resurskrävande för de offentliga organen kan också framhållas att resursargumenten, som annars i praktiken ofta är av stor betydelse för verksamheten (se t.ex. SOU 2012:44 s. 648) i sådana fall inte får någon påtaglig återhållande effekt. Vidare kan konstateras att en tillsyn som sker i efterhand normalt måste genomföras utifrån några slags urvalskriterier och knappast kan bli heltäckande.

För att förhandsprövningen ska kunna vara ett effektivt kontrollinstrument vid tvångsmedelsanvändning är det emellertid också viktigt att komma ihåg att domstolens prövning bygger på att de motstående intressen som ska balanseras mot varandra – brottsbekämpningsintresset och integritetsintresset – på något sätt kan relateras till varandra. En förhandskontroll av de brottsbekämpande myndigheternas underrättelsearbete kan således knappast inrymma annat än en ganska övergripande prövning av om myndigheterna har fog för sin misstanke att viss brottslig verksamhet planeras eller pågår, och bedömningen av integritetsintresset kan inte göras på ett lika konkret sätt, utifrån ett partsperspektiv, som i en förundersökning om brott. Betydelsen, effektiviteten och behovet av förhandskontroll kan därför variera beroende bl.a. på vilket typ av aktivitet som de brottsbekämpande myndigheterna ägnar sig åt och hur väl en efterhandskontroll – liksom regler om skadestånd och ansvar för tjänstefel – kan verka avhållande och disciplinerande i den brottsbekämpande verksamheten.

3.5.4.2 Efterhandskontroll

Tillsyn

Tillsynen över polisens och övriga brottsbekämpande myndigheters tillämpning av lagar och andra författningar i den brottsbekämpande verksamheten delas mellan flera myndigheter.

Säkerhets- och integritetsskyddsnämnden har i uppdrag att utöva tillsyn bl.a. över de brottsbekämpande myndigheternas användning av hemliga tvångsmedel, däribland hemlig övervakning av elektronisk

Bakgrund

99

kommunikation (1 § lagen [2007:980] om tillsyn över viss brottsbekämpande verksamhet). Tillsynen omfattar även verksamhet hos dessa myndigheter som hänger samman med själva tvångsmedelsanvändningen. Det innebär att tillsynen ska avse även den vidare hanteringen av inhämtade uppgifter hos myndigheterna, bl.a. när det gäller hantering av överskottsinformation. SIN:s uppdrag omfattar också tillsyn över polisens och Säkerhetspolisens behandling av personuppgifter enligt polisdatalagen (2010:361) och lagen (2010:362) om polisens allmänna spaningsregister.

SIN bedriver sin verksamhet genom inspektioner och andra utredningar som sker på eget initiativ (2 §). Till grund för tillsynsverksamheten ligger bl.a. de anmälningar som de brottsbekämpande myndigheterna gör om inhämtning enligt inhämtningslagen (6 § inhämtningslagen) och om de fall då underrättelse till enskilda som varit föremål för en övervakningsåtgärd har underlåtits på grund av sekretess (14 b § förundersökningskungörelsen [1947:948] och förordningen [2007:1144] om fullgörande av underrättelseskyldighet enligt lagen [2007:979] om åtgärder för att förhindra vissa särskilt allvarliga brott). Urvalet av tillsynsärenden görs med utgångspunkt i nämndens bedömning av var risken för felaktig rättstillämpning hos de granskade myndigheterna är som störst och tillsynsmetodiken är i huvudsak tematisk (se t.ex. SIN:s årsredovisning för 2013, dnr 7-2014, s. 10). Nämnden får uttala sig om konstaterade förhållanden och sin uppfattning om behov av förändringar i verksamheten och ska verka för att brister i lag eller annan författning avhjälps.

SIN:s tillsyn avseende användningen av hemliga tvångsmedel har på senare tid särskilt inriktats på ärenden i vilka åklagare beslutat att underlåta underrättelse till enskild, frågor om förstöring av upptagningar och uppteckningar efter hemlig tvångsmedelsanvändning, dokumentationsfrågor samt beslut om inhämtning enligt inhämtningslagen. Under 2013 omfattande tillsynen även anmälningar till nämnden om interimistiska beslut enligt den nu upphävda lagen (2008:854) om åtgärder för att utreda vissa samhällsfarliga brott samt tillämpningen av 20 § förundersökningskungörelsen när det gäller protokollföringen av uppgifter som rör användningen av hemliga tvångsmedel. Tillsynen har enligt nämndens redovisningar visat att de brottsbekämpande myndigheterna överlag har bedrivit sin verksamhet i enlighet med lag och andra författningar. Brister har dock uppmärksammats, bl.a. har nämnden påpekat att åklagar-

Bakgrund SOU 2015:31

100

nas rättstillämpning av de regler som styr underrättelseskyldigheten till enskild inte förefaller vara enhetlig, att förstöringen av upptagningar och uppteckningar från hemliga tvångsmedel i vissa fall har dröjt för länge och att dokumentationen över vidtagna åtgärder brustit. När brister har upptäcks har nämnden följt upp frågan, och normalt har det då visat sig att den aktuella myndigheten har vidtagit åtgärder för att komma till rätta med problemet (se SOU 2012:44 s. 667).

När det gäller tillsynen över tillämpningen av inhämtningslagen framgår av SIN:s redovisning av tillsynsverksamheten under år 2013 (nämndens uttalande den 22 maj 2014 i ärende med dnr 891-2014) att nämnden under året fått en god bild av hur polismyndigheterna och Tullverket hanterar ärenden enligt lagen. Granskningen har enlig nämnden visat att myndigheterna i de flesta fallen handlägger inhämtningsärendena på ett tillfredsställande sätt. I ett tidigare initiativärende, som avsåg samtliga underrättelser som kom in till nämnden under år 2012, har nämnden bl.a. konstaterat att det i några underrättelser antingen angetts att den brottsliga verksamheten innefattat ett brott som inte omfattas av inhämtningslagen eller inte tydligt framgått vilken brottsrubricering som avsetts. Vid granskningen av de underrättelser som kom in till nämnden under år 2013 har inte några sådana brister iakttagits. Enligt nämnden har dock granskningen även detta år visat att hanteringen har vissa brister. I ett stort antal fall har nämnden underrättats om beslut enligt inhämtningslagen för sent. I flera fall har dröjsmålet uppgått till närmare ett år.

Under senare tid har SIN även gjort några uttalanden om tillämpningen av reglerna i inhämtningslagen i vissa specifika fall. I ett av dessa fann nämnden att flera lagliga förutsättningar för att tillämpa inhämtningslagen hade saknats, att de inhämtade uppgifterna hade använts i förundersökning utan lagstöd, att det fanns brister i dokumentationen, att beslut om förstöring hade fattats för sent avseende vissa uppgifter och att det beträffande andra uppgifter var oklart om och när dessa förstörts (nämndens uttalande den 11 september 2014 i ärende med dnr 156-2014). Enligt uppgift från SIN har detta ärende också anmälts till åklagare.

I ett annat ärende konstaterade nämnden att dokumentationen i de granskade inhämtningsärendena var undermålig, men hade därutöver inget att anmärka mot vad som kommit fram (nämndens

Bakgrund

101

uttalande den 9 oktober 2014 i ärende med dnr 158-2014). I ytterligare ett fall fann nämnden att två olika polismyndigheter hade fattat beslut om inhämtning av lokaliseringsuppgifter för en tid som överstigit en månad från dagen för besluten (nämndens uttalande den 9 oktober 2014 i ärenden med dnr 895-2014 och 896-2014). Nämnden framhöll dock i uttalandet att det inte fanns något som motsade att de felaktiga besluten hade sin grund i rena förbiseenden (inhämtningsperioden var en månad eller kortare, däremot rymdes inte beslutsdatumet inom denna period).

Datainspektionen är tillsynsmyndighet enligt personuppgiftslagen. Myndighetens tillsynsansvar omfattar all behandling av personuppgifter som är helt eller delvis automatiserad eller som ingår i manuella register. Datainspektionen och SIN har således delvis överlappande tillsynsansvar när det gäller polisens och Säkerhetspolisens behandling av personuppgifter. Frågan om hur tillsynen ska inrättas i framtiden när det gäller dessa myndigheter är för närvarande under utredning och hänger delvis samman med den pågående omorganisationen av polisen, se Polisorganisationskommitténs (Ju2010:09) betänkande Tillsyn över polisen (SOU 2013:42) och kommitténs tilläggsdirektiv från februari 2014 (dir. 2014:17). Övriga brottsbekämpande myndigheters behandling av personuppgifter står under tillsyn enbart av Datainspektionen. Datainspektionens och SIN:s tillsyn inriktas i första hand på att myndigheterna följer de föreskrifter som gäller för behandlingen av personuppgifter.

Därtill kommer att tillsyn över att statliga förvaltningsmyndigheter följer lagar och andra författningar samt i övrigt fullgör sina skyldigheter utövas även av Riksdagens ombudsmän (JO) och Justitiekanslern (JK).

JO:s arbete styrs av lagen (1986:765) med instruktion för Riksdagens ombudsmän. JO ska särskilt se till att de grundläggande fri- och rättigheterna inte överträds i den offentliga verksamheten, men också verka för att brister i lagstiftningen avhjälps. JO får därför göra framställningar till riksdag och regering om författningsändringar. Ombudsmännens tillsyn baseras på anmälningar som allmänheten skickar in samt på initiativärenden och inspektioner. I sin tillsyn får JO närvara vid en myndighets överläggningar och ha tillgång till myndighetens protokoll och handlingar. Myndigheter och tjänstemän är också skyldiga att lämna de upplysningar och yttranden som JO begär.

Bakgrund SOU 2015:31

102

JO avgör ärenden genom beslut. I ett beslut kan JO uttala sig om en åtgärd av en myndighet eller en befattningshavare strider mot lag eller annan författning eller annars är felaktig eller olämplig, en s.k. erinran. JO har inte befogenhet att själv meddela straffrättsliga sanktioner eller disciplinära påföljder. JO är inte heller någon besvärsmyndighet och får därför inte överpröva eller på annat sätt ändra de granskade besluten. Beslut i JO:s ärenden är inte rättsligt bindande. I formellt hänseende är besluten inte något annat än ett uttryck för ombudsmannens personliga uppfattning i de behandlade frågorna. JO får även göra uttalanden som avser att främja enhetlighet och ändamålsenlig rättstillämpning. Enligt sin instruktion kan JO överlämna ett ärende till en annan myndighet för handläggning, om ärendet är av sådan karaktär att det är lämpligt att det utreds och prövas av någon annan myndighet än JO, och den myndigheten inte tidigare prövat saken. Överlämnanden av detta slag sker ofta till tillsynsmyndigheter.

JK har i likhet med JO tillsyn över myndigheter och deras tjänstemän. Tillsynen har till syfte att kontrollera att lagar och andra författningar följs. JK:s tillsyn är, i jämförelse med JO:s, mer övergripande och främst inriktad på att upptäcka systematiska fel i den offentliga verksamheten (se SOU 2013:42 s. 87).

Som regel initieras JK:s granskning av en anmälan från en enskild eller en myndighet. Ett tillsynsärende kan också påbörjas i samband med en inspektion eller genom att JK på eget initiativ tar upp ett ärende. I de ärenden som JK handlägger föreligger en skyldighet för enskilda befattningshavare och myndigheter att lämna den information och de yttranden som JK begär.

JK kan inte ge direktiv om hur ett ärende hos en förvaltningsmyndighet ska handläggas eller avgöras. Inte heller kan JK ompröva beslut som har fattats av andra myndigheter eller ändra deras avgöranden i sak. Som särskild åklagare har JK dock rätt att väcka åtal mot befattningshavare som begått brottslig handling genom att ha åsidosatt vad som ålegat henne eller honom i tjänsten. Vidare får JK göra en anmälan om disciplinpåföljd, avsked eller avstängning och har också rätt att föra talan i domstol om ändring av en myndighets beslut i sådana frågor.

Bakgrund

103

Underrättelseskyldighet och kontroll på begäran av enskild

Den som har varit utsatt för hemliga tvångsmedel enligt rättegångsbalken ska som huvudregel underrättas om detta så snart det kan ske utan men för utredningen, dock senast inom en månad efter att förundersökningen avslutades (27 kap. 31 § rättegångsbalken). Det finns dock vissa möjligheter att skjuta upp underrättelsen om de uppgifter som den ska innehålla omfattas av vissa former av sekretess (27 kap. 33 § första stycket). Om sekretess fortfarande gäller ett år efter att förundersökningen avslutades behöver underrättelse inte lämnas. I sådana fall ska dock SIN underrättas om beslutet att underlåta underrättelse (14 b § andra stycket förundersökningskungörelsen). Vissa brott som faller inom Säkerhetspolisens ansvarsområde är också helt undantagna från underrättelseskyldighet (33 § tredje stycket rättegångsbalken). Motsvarande regler om underrättelseskyldighet gäller även för den öppna polisens tillämpning av lagen om åtgärder för att förhindra vissa särskilt allvarliga brott (16–18 §§). Däremot gäller inte någon underrättelseskyldighet enligt inhämtningslagen.

Som ett komplement till bestämmelserna om underrättelse till enskilda som utsatts för användning av hemliga tvångsmedel finns vidare en reglering som ålägger SIN en skyldighet att på begäran av en enskild kontrollera om han eller hon har utsatts för ett hemligt tvångsmedel och om användningen av detta tvångsmedel har skett i enlighet med lag eller annan författning. En sådan begäran får också avse frågan om polisens personuppgiftsbehandling varit författningsenlig. Den enskilde ska underrättas om att kontrollen har utförts (3 § lagen om tillsyn över viss brottsbekämpande verksamhet). Om nämnden bedömer att det förekommit felaktigheter som kan medföra skadeståndsansvar för staten gentemot den enskilde, anmäls sådana ärenden till JK som kan tillerkänna den enskilde ersättning för den skada och kränkning som en felaktig hantering av uppgifter eller en felaktig tillämpning av hemliga tvångsmedel inneburit. Om SIN i stället bedömer att det förekommit felaktigheter som innefattar misstanke om brott, ska ärendet anmälas till åklagare. Vidare ska nämnden, om den finner omständigheter som Datainspektionen bör uppmärksammas på, anmäla det till inspektionen (20 § förordningen [2007:1141] med instruktion för Säkerhets- och integritetsskyddsnämnden).

Bakgrund SOU 2015:31

104

Antalet kontrollärenden på begäran av enskilda har varierat över åren. Under åren 2011 och 2012 inkom omkring 50 framställningar per år. År 2013 inkom 411 framställningar medan antalet ökade till 1 946 år 2014. Av SIN:s årsredovisning för 2014 (dnr 9-2015) framgår att den huvudsakliga förklaringen till det ökande antalet kontrollärenden är den uppmärksamhet som nämnden fick i samband med kritiken mot Polismyndigheten i Skånes behandling av personuppgifter i det s.k. Kringresanderegistret.

Av de kontrollärenden som avslutades under 2014 har något fler än hälften avslutats med att den enskilde underrättats om att det vid kontrollen inte framkommit något som talar för att hantering skett i strid med lag eller annan författning. I fem ärenden har den enskilde underrättats om iakttagna brister utan att någon anmälan skett till annan myndighet. Anledningen var att nämnden bedömde att bristerna inte var sådana att de kunde medföra skadeståndsansvar för staten eller annan åtgärd.

Under år 2011–2013 överlämnade SIN sammanlagt åtta ärenden till JK för prövning av om det förekommit felaktigheter som kan medföra skadeståndsansvar för staten gentemot den enskilde. År 2014 överlämnades 914 sådana ärenden till JK. I 912 av dessa bestod felaktigheten i att personen varit registrerad i Kringresanderegistret. JK har i ett principbeslut fastställt att den som har varit föremål för personuppgiftsbehandling i Kringresanderegistret har rätt till ersättning av staten med 5 000 kr.12

Av de tio ärenden under år 2011–2014 som inte avsett registrering i Kringresanderegistret är det endast ett ärende som ännu inte är avslutat. Två ärenden har skrivits av utan åtgärd. I tre fall har JK beviljat ersättning för kränkning av artikel 8 i Europakonventionen på den grunden att personuppgifter inte gallrats ur Säkerhetspolisens register i föreskriven ordning (i likhet med vad som i några fall förekommit i Segerstedt-Wiberg m.fl. mot Sverige). I ett fall har JK beviljat ersättning eftersom personuppgifter inte gallrats ur en polismyndighets register i enlighet med polisdatalagen (2010:361) I tre fall har kränkning av artikel 8 Europakonventionen konstaterats på grund av att upptagningar från hemlig teleavlyssning bevarats under längre tid än vad som medgetts i lag, dvs. utan stöd i lag. I dessa tre fall har JK bedömt att konstaterandet av en rättighetskränkning

12 JK:s beslut den 7 maj 2014, diarienummer 1441-14-47.

Bakgrund

105

ansetts vara tillräcklig gottgörelse för den ideella skada kränkningen inneburit. År 2012 överlämnades också ett ärende till Åklagarmyndigheten.

Parlamentarisk kontroll

En parlamentarisk kontroll av tillämpningen av reglerna om hemliga tvångsmedel utövas av riksdagen på grundval av en årlig skrivelse från regeringen. Skrivelsen omfattar de brottsbekämpande myndigheternas tillämpning av reglerna om hemlig avlyssning och övervakning av elektronisk kommunikation, hemlig kameraövervakning samt inhämtning av uppgifter enligt inhämtningslagen. De tillstånd som avser Säkerhetspolisens ärenden redovisas dock inte. Regeringen har nyligen också föreslagit att redovisningen ska omfatta även hemlig rumsavlyssning och tillämpningen av lagen (2007:979) om åtgärder för att förhindra vissa särskilt allvarliga brott (prop. 2013/14:237 s. 133 f.). I skrivelsen redovisar regeringen bl.a. antalet tillstånd till respektive tvångsmedel, vilka brott som tillstånden avsett samt uppgifter om vilken nytta tvångsmedelsanvändningen har bedömts leda till.

107

4 Datalagring

4.1 Datalagringsdirektivet

4.1.1 Direktivets syfte och tillämpningsområde

Europaparlamentets och rådets direktiv 2006/24/EG om lagring av uppgifter som genererats eller behandlats i samband med tillhandahållande av allmänt tillgängliga elektroniska kommunikationstjänster eller allmänna kommunikationsnät och om ändring av direktiv 2002/58/EG (datalagringsdirektivet) antogs den 15 mars 2006. Direktivet syftade enligt artikel 1.1 till att harmonisera medlemsstaternas bestämmelser om skyldighet att lagra vissa uppgifter om elektronisk kommunikation för att på så sätt säkerställa att uppgifterna är tillgängliga för avslöjande, utredning och åtal av allvarliga brott. I direktivet definierades uppgifter som trafik- och lokaliseringsuppgifter samt de uppgifter som behövs för att identifiera en abonnent eller användare (artikel 2.2 a).

Direktivet gällde, enligt artikel 1.2, trafik- och lokaliseringsuppgifter om såväl fysiska som juridiska personer samt uppgifter som är nödvändiga för att kunna identifiera abonnenten eller den registrerade användaren.

4.1.2 Lagringsskyldighetens omfattning

Artikel 3 i direktivet ålade medlemsstaterna att anta åtgärder för att säkerställa lagring av sådana uppgifter som specificerades i artikel 5. Lagringsskyldigheten omfattade uppgifter som genereras eller behandlas av leverantörer av allmänt tillgängliga elektroniska kommunikationstjänster eller allmänna kommunikationsnät vid leverans av kommunikationstjänster, i den utsträckning det sker inom statens territorium.

Datalagring SOU 2015:31

108

Medlemsstaterna ålades enligt artikel 6 att säkerställa att uppgifterna lagras under en period av minst sex månader och högst två år från det datum kommunikationen ägde rum.

De uppgifter som omfattades av lagringsskyldigheten angavs i artikel 5. Bestämmelsen var uppdelad utifrån olika ändamål för vilka uppgifterna skulle lagras. Det rörde sig om uppgifter som är nödvändiga för att spåra och identifiera en kommunikationskälla och för att identifiera slutmålet för kommunikationen. Lagringsskyldigheten omfattade dessutom uppgifter om datum, tidpunkt och varaktighet för kommunikationen, typen av kommunikation samt vilken utrustning som använts. Slutligen omfattade lagringsskyldigheten uppgifter som är nödvändiga för att identifiera lokalisering av mobil kommunikationsutrustning vad avser kommunikationens början. I anslutning till respektive ändamål angavs i detalj de kategorier av uppgifter som skulle lagras för respektive kommunikationssätt.

Inga uppgifter som avslöjar kommunikationens innehåll fick lagras enligt direktivet. Av skäl 13 i ingressen framgick att lagringen också borde ske på ett sådant sätt att man undviker att uppgifter lagras mer än en gång.

4.1.3 Hanteringen av lagrade uppgifter

Enligt artikel 4 i direktivet skulle medlemsstaterna vidta åtgärder för att säkerställa att lagrade uppgifter görs tillgängliga endast för behöriga nationella myndigheter i vissa närmare angivna fall. De närmare förutsättningarna för när och under vilka förutsättningar uppgifterna får lämnas ut skulle fastställas i respektive medlemsstat. I skäl 25 i ingressen klargjordes att direktivet inte påverkade hur medlemsstaterna reglerar frågan om de nationella myndigheternas tillgång till och användning av trafikuppgifter. I skäl 17 i ingressen framhölls dock att medlemsstaterna måste anta lagstiftning som säkerställer att lagrade uppgifter är tillgängliga bara för behöriga nationella myndigheter i enlighet med nationell lagstiftning och som respekterar grundläggande rättigheter för berörda personer fullt ut.

Medlemsstaterna skulle säkerställa att de lagrade uppgifterna på begäran kan överföras till behöriga myndigheter utan dröjsmål (artikel 8).

SOU 2015:31 Datalagring

109

Frågan om uppgiftsskydd och datasäkerhet reglerades i artikel 7 i direktivet. Där angavs att varje medlemsstat, utan att det påverkar tillämpningen av de bestämmelser som antagits i enlighet med direktiv 95/46 och direktiv 2002/58, ska säkerställa att leverantörerna som lagrar uppgifter enligt direktivet som ett minimum respekterar vissa principer om datasäkerhet. Dessa var närmare angivna så att de lagrade uppgifterna dels skulle vara av samma kvalitet och föremål för samma säkerhet och skydd som uppgifterna i nätverket, dels skulle omfattas av lämpliga tekniska och organisatoriska åtgärder som säkerställer att de skyddas mot förstöring, förlust, ändring eller olaglig lagring, behandling av, tillgång till eller avslöjande av uppgifterna samt som säkerställer att tillgång ges endast till bemyndigad personal. Vidare angavs att uppgifterna skulle förstöras vid slutet av lagringstiden, utom de uppgifter för vilka tillgång har medgetts och som har bevarats. I artikel 9 angavs vidare att varje medlemsstat skulle utse en eller flera oberoende myndigheter för att övervaka leverantörernas tillämpning av artikel 7.

I skäl 16 i ingressen erinrades om tjänsteleverantörernas skyldigheter att vid behandlingen garantera uppgifternas kvalitet, sekretess och säkerhet i enlighet med dataskyddsdirektivet. Enligt artikel 13 i datalagringsdirektivet skulle medlemsstaterna också se till att de nationella åtgärder som genomför bestämmelserna om rättslig prövning, ansvar och sanktioner i dataskyddsdirektivet blir tillämpliga även på de uppgifter som avsågs i datalagringsdirektivet. Den rätt till ersättning som enligt dataskyddsdirektivet tillkommer varje person som lidit skada till följd av otillåten behandling eller någon annan handling som är oförenlig med de nationella bestämmelser som genomför direktivet skulle enligt skäl 19 i datalagringsdirektivet gälla även för personuppgifter enligt det sist nämnda direktivet.

Medlemsstaterna ålades vidare att införa sanktioner för att beivra otillåten avsiktlig tillgång till eller överföring av lagrade trafikuppgifter (artikel 13). Europarådskonventionen om IT-brottslighet från 2001 (CETS 185) liksom dataskyddskonventionen skulle också omfatta uppgifter som lagras i enlighet med direktivet om lagring av trafikuppgifter (skäl 20).

Datalagring SOU 2015:31

110

4.2 Den svenska regleringen

4.2.1 Genomförandeprocessen

Datalagringsdirektivet genomfördes i svensk rätt genom lag- och förordningsändringar som trädde i kraft den 1 maj 2012. Bestämmelserna om lagring finns i 6 kap. 16 a–f §§ LEK (prop. 2010/11:46, bet. 2011/12:JuU28, rskr. 2011/12:165–166). Kompletterande bestämmelser finns i 37–46 §§ förordningen om elektronisk kommunikation.

Till grund för genomförandet fanns förslag från Trafikuppgiftsutredningen som hade överlämnat sitt betänkande Lagring av tra-

fikuppgifter för brottsbekämpning (SOU 2007:76) i november 2007.

När riksdagen under våren 2011 behandlade regeringens proposition återförvisades förslaget med stöd av 2 kap. 22 § RF till justitieutskottet för att där vila i minst ett år. När förslaget togs upp för förnyad behandling i kammaren den 21 mars 2012 bifölls det med kvalificerad majoritet. Riksdagen beslutade även på eget initiativ att de föreskrifter om skyddsåtgärder som regeringen bemyndigades att meddela snarast skulle underställas riksdagen för prövning (8 kap. 6 § RF). Detta skedde genom att en proposition underställdes riksdagen där det föreslogs att riksdagen skulle godkänna regeringens föreskrifter om särskilda tekniska och organisatoriska åtgärder för att skydda de lagrade trafikuppgifterna vilka hade förts in i förordningen om elektronisk kommunikation (prop. 2011/12:146, bet. 2011/12:JuU26, rskr. 2011/12:288–289). Riksdagen biföll förslaget den 19 juni 2012.

4.2.2 Lagringsskyldighetens omfattning

Den centrala bestämmelsen avseende lagringsskyldighetens omfattning finns i 6 kap. 16 a § LEK. Lagringsskyldiga är enligt den bestämmelsen de som bedriver anmälningspliktig verksamhet enligt 2 kap. 1 § samma lag. Därigenom omfattas leverantörer av allmänt tillgängliga kommunikationsnät av sådant slag som vanligen tillhandahålls mot ersättning och av allmänt tillgängliga elektroniska kommunikationstjänster. Lagringsskyldigheten omfattar uppgifter som anges som nödvändiga för vissa preciserade syften. Dessa är formulerade som uppgifter som är nödvändiga för att kunna spåra och

SOU 2015:31 Datalagring

111

identifiera en kommunikationskälla, slutmålet för kommunikationen, datum, tid och varaktighet för kommunikationen, typ av kommunikation, kommunikationsutrustning samt lokalisering av mobil kommunikationsutrustning. Lagringsskyldigheten omfattar uppgifter som leverantören genererar eller behandlar i sin verksamhet. Det innebär att leverantören inte har någon skyldighet att skapa uppgifter som denne annars inte genererar eller behandlar. Lagringsskyldigheten är närmare strukturerad i vissa teknikslag. Dessa är angivna som telefoni, meddelandehantering, internetåtkomst och tillhandahållande av kapacitet för att få internetåtkomst (anslutningsform). I 39–43 §§ förordningen om elektronisk kommunikation anges på en mer tekniskt detaljerad nivå vilka uppgifter som ska lagras inom respektive teknikslag. PTS får också meddela närmare föreskrifter om de uppgifter som ska lagras (44 §).

Av 6 kap. 16 a § LEK följer vidare att den svenska regleringen på två punkter går längre än vad direktivet krävde. Lagringsskyldigheten omfattar nämligen även uppgifter som behövs för att lokalisera mobil kommunikationsutrustning vid kommunikationens slut samt uppgifter som genererats eller behandlats vid misslyckad uppringning.

En lagringsskyldig leverantör får enligt 6 kap. 16 a § tredje stycket LEK uppdra åt någon annan att utföra själva lagringen. Enligt 6 kap. 16 b § kan en leverantör, om det finns synnerliga skäl för det, undantas från lagringsskyldigheten.

Lagringsskyldigheten gäller enligt 6 kap. 16 d § LEK under sex månader från den dag då kommunikationen avslutades. Därefter ska uppgifterna omedelbart utplånas, om det inte är så att de har begärts utlämnade men ännu inte hunnit lämnas ut. I sådana fall ska uppgifterna i stället utplånas så snart de har lämnats ut.

4.2.3 Utlämnande av uppgifter

Som framgår ovan omfattas bl.a. uppgifter om abonnemang och andra uppgifter som angår ett särskilt elektroniskt meddelande som huvudregel av tystnadsplikt hos den som tillhandahåller ett elektroniskt kommunikationsnät eller en elektronisk kommunikationstjänst. De uppgifter som lagras enligt 6 kap. 16 a § LEK får, enligt 6 kap. 16 c §, lämnas ut till brottsbekämpande myndigheter endast

Datalagring SOU 2015:31

112

enligt 22 § första stycket 2 i samma kapitel (abonnemangsuppgifter), 27 kap. 19 § rättegångsbalken eller inhämtningslagen (för en närmare redogörelse för dessa regler, se avsnitt 3.5.3). De lagringsskyldiga leverantörerna ska enligt 6 kap. 16 f § LEK bedriva sin verksamhet så att uppgifterna kan lämnas ut utan dröjsmål och så att det inte röjs att uppgifterna lämnats ut. Uppgifterna ska också göras tillgängliga på ett sådant sätt att informationen enkelt kan tas om hand av de brottsbekämpande myndigheterna.

De kostnader som uppstår vid utlämnande av lagrade trafikuppgifter ska leverantören få ersättning för av den myndighet som begärt ut uppgifterna (6 kap. 16 e § LEK). Enligt 46 § förordningen om elektronisk kommunikation får PTS, efter att ha hört Polismyndigheten, Säkerhetspolisen och Tullverket, meddela föreskrifter om ersättningen. PTS har meddelat sådana föreskrifter (PTSFS 2013:5). Övriga kostnader för lagring, säkerhet och anpassning av tekniska system m.m. ska leverantörerna själva stå för.

4.2.4 Säkerheten för lagrade uppgifter

Vid genomförandet av direktivet i Sverige konstaterades att det i lagen om elektronisk kommunikation redan fanns regler om såväl driftsäkerhet (5 kap. 6 a §) som integritetsskydd (6 kap. 3 §). Sist nämnda bestämmelse, som genomför artikel 4.1 i direktiv 2002/58/EG, reglerar leverantörernas skyldighet att vidta lämpliga åtgärder för att säkerställa att behandlade uppgifter skyddas. Åtgärderna ska vara ägnade att säkerställa en säkerhetsnivå som, med beaktande av tillgänglig teknik och kostnaderna för åtgärderna, är anpassad till risken för integritetsintrång. Detta grundskydd ansågs dock inte tillräckligt för uppgifter som skulle lagras enligt datalagringsdirektivet (prop. 2010/11:46 s. 54). Det angavs, mot bakgrund av det nya syfte för vilket uppgifter skulle lagras samt den mängd uppgifter det rörde sig om, att kravet på säkerheten borde höjas samt att säkerhetsnivån borde preciseras. Resultatet blev att det infördes en ny bestämmelse i 6 kap. 3 a § LEK av vilken det framgår att den som är lagringsskyldig enligt 6 kap. 16 a § samma lag ska vidta de särskilda tekniska och organisatoriska åtgärder som behövs för att skydda de lagrade uppgifterna vid behandling. I förarbetena angavs att det därav följer att bestämmelsen, till skillnad

SOU 2015:31 Datalagring

113

från vad som gäller enligt 6 kap. 3 § LEK, inte lämnar något utrymme att bestämma säkerhetsnivån genom en avvägning mellan teknik, kostnader och risken för integritetsintrång (prop. 2010/11:46 s. 75).

I 6 kap. 3 a § andra stycket LEK bemyndigas regeringen eller den myndighet regeringen bestämmer att komplettera lagbestämmelsen med ytterligare föreskrifter om säkerheten. Detta har regeringen gjort i 37 § förordningen om elektronisk kommunikation. Av bestämmelsen, som har godkänts av riksdagen, framgår att den som är lagringsskyldig ska vidta åtgärder för att säkerställa att de lagrade uppgifterna är av samma kvalitet och föremål för samma säkerhet och skydd som vid den behandling som skett före lagringen. Vidare framgår att åtgärder ska vidtas för att skydda uppgifterna mot oavsiktlig eller otillåten förstöring och oavsiktlig förlust eller ändring samt för att förhindra otillåten lagring, behandling av eller tillgång till och otillåtet avslöjande av uppgifterna. Slutligen får uppgifterna göras tillgängliga endast för personal med särskild behörighet. PTS får efter att ha hört Polismyndigheten, Säkerhetspolisen och Datainspektionen meddela närmare föreskrifter om de åtgärder som ska vidtas.

PTS har med stöd av 37 § i förordningen meddelat sådana föreskrifter (PTSFS 2012:4). Dessa går i korthet ut på att den lagringsskyldige ska bedriva ett kontinuerligt och systematiskt säkerhetsarbete med beaktande av de särskilda risker lagringsskyldigheten medför (3 §). Rutiner ska finnas som säkerställer att bara personal med särskild behörighet har tillgång till lagrade uppgifter och de system som hanterar uppgifterna (4 §). Den utrustning som används för att lagra uppgifter ska också placeras i ett särskilt skyddat utrymme för att förhindra förlust av eller otillåten tillgång till uppgifterna (5 §). Vidare ska all behandling av lagrade uppgifter loggas i krypterad form och på ett sådant sätt att det går att följa upp vem som har haft tillgång till uppgifterna och vid vilken tidpunkt (6 §). Lagrade uppgifter ska också säkerhetskopieras (7 §).

PTS fick därutöver i uppdrag att utöva tillsyn över leverantörernas lagring av trafikuppgifter. Det ansågs att myndighetens befintliga tillsynsbefogenheter var ändamålsenliga och tillräckliga (prop. 2010/11:46 s. 55 f.). Av dessa följer att myndigheten bl.a. har rätt att förelägga en leverantör som bedriver verksamhet som omfattas av LEK att tillhandahålla myndigheten upplysningar och handlingar som behövs för att kontrollera lagens efterlevnad, att meddela före-

Datalagring SOU 2015:31

114

lägganden och förbud som får förenas med vite och, om ingen rättelse sker, återkalla ett tillstånd att bedriva verksamhet. De tillsynsbeslut som PTS fattar får överklagas hos allmän förvaltningsdomstol. När det gäller behandlingen av personuppgifter utövar även Datainspektionen tillsyn.

Vad slutligen gäller frågan om hanteringen av lagrade uppgifter vid lagringstidens slut anges i 6 kap. 6 d § LEK att den lagringsskyldige vid denna tidpunkt genast ska utplåna uppgifterna. Om uppgifterna har begärts utlämnade före utgången av lagringstiden men innan uppgifterna har hunnit lämnas ut, följer dock av bestämmelsen att leverantören ska fortsätta lagra uppgifterna till dess ett utlämnande har skett. Därefter ska leverantören genast utplåna dem.

4.3 EU-domstolens dom

EU-domstolen meddelade den 8 april 2014 dom i de förenade målen C-293/12 och C-594/12, Digital Rights Ireland m.fl., angående giltigheten av datalagringsdirektivet med anledning av begäran av förhandsavgöranden från nationella domstolar i Irland respektive Österrike. EU-domstolen förklarade i domen datalagringsdirektivet ogiltigt.

EU-domstolen konstaterade att de uppgifter som ska lagras enligt direktivet sammantaget gör det möjligt att dra mycket precisa slutsatser om enskildas privatliv, bl.a. om deras vanor i vardagslivet, om dagliga förflyttningar och sociala relationer (punkt 27). Domstolen slog fast att redan lagringsskyldigheten i fråga om de aktuella uppgifterna avseende personers privatliv och kommunikationer utgör ett ingrepp i de rättigheter som skyddas enligt artikel 7 i rättighetsstadgan (punkt 34). Ett ytterligare ingrepp i denna rättighet görs när nationella myndigheter medges tillgång till lagrade uppgifter (punkt 35). Det kunde alltså konstateras att det här rörde sig om två olika former av ingrepp i rätten till respekt för privatlivet. Eftersom direktivet föreskrev en behandling av personuppgifter innefattade regleringen också ett ingrepp i den i artikel 8 i rättighetsstadgan skyddade rättigheten (punkt 36).

Domstolen slog fast att direktivet innebar ett långtgående och synnerligen allvarligt ingrepp i rätten till privatliv och skyddet av personuppgifter. Domstolen noterade i samband med det bl.a. att

SOU 2015:31 Datalagring

115

lagringen och den senare användningen kan ge berörda personer en känsla av att deras privatliv står under ständig övervakning (punkt 37). Domstolen konstaterade trots det att skyldigheten för leverantörer av allmänt tillgängliga kommunikationstjänster eller allmänna kommunikationsnät att lagra uppgifter och de nationella myndigheternas tillgång till dessa uppgifter inte kränkte det väsentliga innehållet i de skyddade rättigheterna och att datalagringsdirektivets materiella syfte – tillgängliggörandet av uppgifter för bekämpning av allvarlig brottslighet – motsvarade ett mål av allmänt samhällsintresse som erkänns av unionen (punkterna 39–42). Var och en har enligt stadgan rätt inte bara till frihet utan även till personlig säkerhet. Kravet att en inskränkning av en rättighet faktiskt måste svara mot ett allmänt samhällsintresse var därmed enligt EU-domstolen uppfyllt (punkt 44).

EU-domstolen gjorde därefter en noggrann prövning av om direktivet levde upp till den unionsrättsliga proportionalitetsprincipen. Domstolen konstaterade inledningsvis att lagringen är ägnad att nå det eftersträvade målet eftersom de nationella myndigheternas tillgång till lagrade trafikuppgifter innebär att myndigheterna ges ytterligare ett värdfullt verktyg för att klara upp brott (punkt 49). För att lagringen skulle kunna anses vara en proportionerlig åtgärd för bekämpningen av brott noterade domstolen att en sådan inskränkning av de grundläggande friheterna enligt fast praxis måste begränsas till vad som är strikt nödvändigt (punkt 52). Det innebar enligt domstolen att unionslagstiftningen måste föreskriva tydliga och precisa bestämmelser som reglerar räckvidden och tillämpningen av den aktuella åtgärden och som uppfyller vissa minimikrav för att möjliggöra ett effektivt skydd mot riskerna för missbruk och otillåten tillgång och användning av enskildas personuppgifter (punkt 54).

De förhållanden som domstolen särskilt uppmärksammade vid sin proportionalitetsbedömning var för det första att det i direktivet inte fanns några generella begränsningar i lagringsskyldigheten då det i fråga om de uppgifter som skulle lagras inte gjordes någon åtskillnad eller några undantag som tog sin utgångspunkt i syftet att bekämpa brott (punkterna 57–59). Lagringskravet enligt direktivet omfattade nästintill all kommunikation – alla personer, alla kommunikationsmedel och alla trafikuppgifter – mellan enskilda i hela Europa. Domstolen konstaterade för det andra att det i direktivet inte angavs några objektiva kriterier för att avgränsa de nationella myndigheternas tillgång till och användning av de lagrade upp-

Datalagring SOU 2015:31

116

gifterna för bekämpning av brott som kunde anses vara av tillräckligt allvarligt slag för att motivera det aktuella ingreppet. Det lämnades i stället till medlemsstaterna att själva bestämma vad som utgjorde allvarlig brottslighet i detta sammanhang (punkt 60). Inte heller reglerades i direktivet vilka formella och materiella villkor som skulle gälla och vilka krav som skulle ställas på förfarandet för tillgång till uppgifterna. Domstolen noterade också att tillgången till uppgifter inte var underkastad någon förhandskontroll av en domstol eller oberoende myndighet som har till uppgift är att se till att tillgången begränsas till vad som är strikt nödvändigt (punkterna 61 och 62). Domstolen pekade vidare på att direktivet inte innehöll några bestämmelser som innebar att en åtskillnad skulle göras i fråga om lagringstiden för olika slags trafikuppgifter utifrån den nytta dessa har för att tillgodose syftet med lagringen och att det inte heller föreskrevs att lagringstiden måste bestämmas utifrån objektiva kriterier för att säkerställa att den inte går utöver vad som är strikt nödvändigt (punkterna 63 och 64). Slutligen uppmärksammade domstolen att det i direktivet saknades specifika regler om skydd av och säkerhet för lagrade personuppgifter som anpassade kraven till såväl mängden och arten av uppgifter som riskerna för otillåten tillgång till dessa. Domstolen menade i detta sammanhang att det inte fanns några garantier för att leverantörerna inte tar ekonomiska hänsyn när de bestämmer säkerhetsnivån eller för att uppgifterna förstörs när lagringstiden har gått ut. Domstolen ansåg också att kravet på en oberoende tillsyn inte kan garanteras om uppgifterna lagras utanför EU (punkterna 66–68).

Domstolen fann vid en samlad bedömning av nämnda förhållanden att EU:s lagstiftande församlingar överskridit sina befogenheter då direktivet antogs eftersom regleringen inte ansågs leva upp till proportionalitetsprincipen mot bakgrund av artiklarna 7, 8 och 52.1 i rättighetsstadgan (punkt 69).

EU-domstolens dom i det aktuella målet har tillbakaverkande (retroaktiv) effekt. Det innebär att domen får till följd att rättsläget numera är detsamma som om datalagringsdirektivet aldrig hade funnits. Detta gäller om inte domstolen i det enskilda fallet beslutar att ogiltigförklaringen inte ska få omedelbar och tillbakaverkande effekt. Innebörden av att domen får tillbakaverkande effekt är inte att nationella genomförandeåtgärder också omedelbart blir ogiltiga.

SOU 2015:31 Datalagring

117

Däremot bortfaller med retroaktiv verkan medlemsstaternas unionsrättsliga skyldighet att lojalt genomföra unionsrättsakten.

4.4 Analysen

4.4.1 Analysens utgångspunkter

Den 29 april 2014 gav chefen för Justitiedepartementet en utredare1i uppdrag att biträda departementet med att, i ljuset av EU-domstolens dom, bl.a. grundligt analysera reglerna om lagring av uppgifter enligt 6 kap. 16 a–f §§ LEK, samt övriga bestämmelser om tillgång till och behandling av sådana uppgifter, och deras förhållande till unionsrätten. Analysen redovisades den 13 juni 2014 (Ds 2014:23).

Analysen är upplagd på samma sätt som EU-domstolens dom vilket innebär att svensk rätt analyserades i förhållande till de omständigheter som domstolen pekade särskilt på i domen. I analysen betonades att domstolens slutsats – att direktivet står i strid med rättigheter som garanteras av stadgan – bygger på en samlad bedömning av alla de behandlade frågorna. Domen ansågs alltså inte kunna tolkas så att domstolen presenterade en lista som i alla delar måste vara uppfylld för att regleringen inte ska anses oproportionerlig, utan det är först vid den sammantagna bedömningen som svensk rätts förenlighet med EU-rätten fullt ut kan avgöras. På samma sätt som EU-domstolen avslutades analysen därför med en samlad bedömning av om den svenska regleringen är proportionerlig och förenlig med Europarätten och EU-rätten. Det konstaterades därvid att det kan finnas skäl att överväga några närmare angivna frågor och vidta några åtgärder som skulle verka för att ytterligare stärka rättssäkerheten och integritetsskyddet i den svenska regleringen. Den samlade bedömningen var emellertid att det svenska regelverket avseende lagring av uppgifter samt övriga bestämmelser om tillgång till och behandling av sådana uppgifter, även utan sådana åtgärder, inte strider mot unionsrätten eller europarätten.

Slutsatserna i analysen redovisas närmare i det följande.

1 F.d. justitierådet och ordföranden i Högsta förvaltningsdomstolen Sten Heckscher.

Datalagring SOU 2015:31

118

4.4.2 Lagringsskyldighetens omfattning

4.4.2.1 Generellt om lagringsskyldigheten

EU-domstolen konstaterade i sin dom (punkterna 56–59) att omfattningen av den lagringsskyldighet som följer av artikel 3 och 5 i direktivet innebär att trafikuppgifter lagras för alla personer och alla elektroniska kommunikationssätt, utan att någon urskillning görs av de uppgifter som kan tänkas vara relevanta för att uppnå målet att bekämpa allvarlig brottslighet. Man kan därmed säga att den inskränkning i de grundläggande rättigheter som följer av artiklarna 7 och 8, som lagringen av domstolen konstaterades innebära, omfattar hela Europas befolkning. Domstolen angav att lagringsskyldigheten som följer av direktivet således omfattade även personer som inte misstänks ha någon koppling till allvarlig brottslighet och utan någon möjlighet till undantag ens för de yrkeskategorier vars kommunikation enligt nationella regler omfattas av tystnadsplikt. Inte heller ställdes det i direktivet upp några tidsmässiga eller geografiska begränsningar och/eller begränsningar till en viss grupp av människor som gjorde att lagringsskyldigheten bara omfattade sådana uppgifter som av något skäl kan antas ha relevans för att förhindra, utreda eller åtala allvarliga brott.

Som framgår ovan innehåller direktiv 2002/58/EG regler om i vilka situationer och för vilka syften trafikuppgifter får behandlas. Tidigare följde av artikel 11 i datalagringsdirektivet att artikel 15.1 i direktiv 2002/58/EG inte skulle tillämpas på de uppgifter som specifikt måste lagras enligt datalagringsdirektivets bestämmelser. I det lagstiftningsärende som behandlade genomförandet av datalagringsdirektivet gjordes en sådan prövning i förhållande till artikel 15.1 följaktligen endast beträffande de uppgiftskategorier som skulle lagras utan att det fanns ett krav i datalagringsdirektivet.

I analysen framhölls att när datalagringsdirektivet förklarats ogiltigt måste det prövas om lagringen av alla de aktuella trafikuppgifterna kan anses vara en lämplig och proportionerlig åtgärd för att skydda allmän säkerhet och/eller för att förebygga, undersöka, avslöja och lagföra brott. Det kunde därvid konstateras att uppgifter om elektronisk kommunikation är av stort värde för att kunna upptäcka och utreda brott, inte minst vad gäller grov och organiserad brottslighet. Det framhölls att för viss typ av internetrelaterad brottslighet, som exempelvis barnpornografibrott, trafikuppgifter

SOU 2015:31 Datalagring

119

också är av avgörande betydelse för att kunna identifiera en misstänkt gärningsman.

I denna del inhämtades uppgifter från polisen om behovet av de uppgifter som omfattas av lagringskravet enligt de svenska reglerna. Det framkom då att ingen lagrad information som i dag kan hämtas in kan anses som oviktig. Som extremt viktiga angavs uppgifter om lokaliseringen av var en telefon eller internetsession kopplat upp och riktningen till basstationen vara. Dessa uppgifter används för att positionera offer och misstänkta, kontrollera alibin och för att hitta vittnen eller misstänkta i ett område. Några få uppgifter bedömdes som mindre viktiga. Dessa var, såvitt avser telefoni, uppgifter om s.k. IMSI-nummer (del av 40 § punkten 1 förordningen om elektronisk kommunikation) eftersom denna information går att få fram genom SIM-kortets telefonnummer, uppgifter om den första aktiveringen av en förbetald anonym tjänst (del av 40 § punkten 3 förordningen om elektronisk kommunikation) och uppgifter som identifierar den utrustning där kommunikationen slutligt avskiljs från den lagringsskyldige till den enskilda abonnenten (41 § punkten 3 förordningen om elektronisk kommunikation). När det gäller internetåtkomst och tillhandahållande av internetåtkomst ansågs uppgifter om typ av kapacitet för överföring och uppgifter som identifierar den utrustning där kommunikationen slutligt avskiljs från den lagringsskyldige till den enskilde abonnenten (43 § punkterna 4 och 5 förordningen om elektronisk kommunikation) inte som viktiga utan som bra att ha i vissa fall. Samtliga övriga uppgifter bedömdes som viktiga.

Sammanfattningsvis ansågs denna redovisning stärka slutsatsen att de lagrade uppgifterna är ägnade att fylla en viktig funktion i de brottsbekämpande myndigheternas verksamhet med att skydda allmän säkerhet och förebygga, undersöka, avslöja och lagföra brott. Lagringen av uppgifterna för brottsbekämpande ändamål bedömdes därför som en lämplig åtgärd för att nå det eftersträvade målet.

I proportionalitetsprövningen beaktades de aspekter som EUdomstolen särskilt lyfte fram i sin dom. Domstolens resonemang i denna del gick sammanfattningsvis ut på att det kan ifrågasättas om en lagring av trafikuppgifter som omfattar samtliga personer och samtliga elektroniska kommunikationsslag är en proportionerlig åtgärd, trots att de uppgifter som lagras i de allra flesta fallen inte har någon som helst koppling till brottslig verksamhet av allvarligt

Datalagring SOU 2015:31

120

slag eller kan förväntas komma att användas vid utredande och lagföring av brott.

I analysen konstaterades att det är svårt att se någon annan rimlig väg för att på förhand begränsa lagringens omfattning till att omfatta endast uppgifter med koppling till brottslig verksamhet än att låta lagringsskyldigheten uppkomma först sedan någon form av misstanke riktats mot en viss person. En sådan begränsning bedömdes dock inte kunna göras utan att en mängd uppgifter som är av stor vikt för brottsbekämpningen försvinner. Inga historiska trafikuppgifter från tiden före ett brott begåtts och inga av de uppgifter som i dag inhämtas i polisens underrättelseverksamhet för att förebygga, förhindra eller upptäcka allvarlig brottslighet skulle då med säkerhet finnas att tillgå. Datalagring som metod bedömdes kort sagt förutsätta att alla uppgifter lagras, bl.a. eftersom det inte är möjligt att i förväg veta eller misstänka vilka uppgifter som kan vara viktiga.

EU-domstolen ansågs i denna del sätta fingret på själva grundtanken med lagringen av trafikuppgifter enligt datalagringsdirektivet, nämligen att säkerställa att uppgifterna finns tillgängliga för det fall de skulle behövas för att bekämpa allvarliga brott. Domen bedömdes dock inte kunna tolkas så att denna grundtanke, sedd för sig, hade underkänts av domstolen, utan det var den omfattande lagringen kombinerat med i första hand bristen på regler som begränsar tillgången till uppgifterna som gjorde lagringen oproportionerlig. Det konstaterades att de svenska tillgångsreglerna därför var av avgörande betydelse även för bedömningen av frågan om lagringens omfattning kan anses proportionerlig. Även skyddet för den merpart av alla uppgifter som lagras men aldrig begärs utlämnade måste också konstateras vara tillräckligt högt.

4.4.2.2 Särskilt om uppgifter som omfattas av yrkesmässig tystnadsplikt

Domstolen lyfte i sin dom också fram att det inte fanns någon begränsning i direktivet som möjliggjorde att kommunikation med personer som enligt nationell lag omfattas av yrkesmässig tystnadsplikt undantogs från lagringskravet. I analysen konstaterades att svenska regler om undantag från vittnesplikt för exempelvis advokater

SOU 2015:31 Datalagring

121

och läkare omfattar uppgifter som anförtrotts dem i deras yrkesutövning. Vidare noterades att regeringen nyligen föreslagit att reglerna om avlyssningsförbud vid hemlig avlyssning av elektronisk kommunikation i 27 kap. 22 § rättegångsbalken ska utökas från att avse endast kommunikation med försvarare till att omfatta alla de yrkeskategorier som undantas från vittnesplikt enligt 36 kap. 5 § andra– sjätte styckena rättegångsbalken (prop. 2013/14:237 s. 131 f.). Det konstaterades samtidigt att det aldrig har varit aktuellt med något motsvarande förbud för uppgifter som inhämtas genom hemlig övervakning av elektronisk kommunikation. Med det synsätt som således kommer till uttryck i svensk lagstiftning – att det är uppgiftens innehåll som avgör om den omfattas av yrkesmässig tystnadsplikt – bedömdes det långsökt med en modell där exempelvis vissa telefonnummer på förhand skulle undantas från ett lagringskrav som i övrigt gäller generellt. Det ansågs i stället lämpligast att säkerställa en proportionell avvägning mellan brottsbekämpnings- och integritetsintresset genom en balanserad reglering om brottsbekämpande myndigheters tillgång till lagrade uppgifter. Det framhölls också att EU-rätten tillåter att medlemsstaterna löser frågor på olika sätt och enligt egna traditioner.

Sammanfattningsvis gjordes bedömningen att det ur ett EUrättsligt perspektiv inte finns något som tyder på en konflikt mellan reglerna om yrkesmässig tystnadsplikt och ett generellt lagringskrav avseende trafikuppgifter.

4.4.3 Tillgången till lagrade uppgifter

4.4.3.1 Direktivet och EU-domstolens dom

I artikel 4 i datalagringsdirektivet föreskrevs att medlemsstaterna ska vidta åtgärder för att säkerställa att uppgifter som lagras i enlighet med direktivet görs tillgängliga endast för behöriga nationella myndigheter i närmare angivna fall och i enlighet med nationell lagstiftning. De förfaranden som skulle följas och de villkor som skulle uppfyllas för att få tillgång skulle fastställas av varje medlemsstat för sig i enlighet med nödvändighets- och proportionalitetskraven samt i enlighet med EU-rätten och folkrätten, särskilt med beaktande av Europakonventionen. Av artikel 1.1 framgick att syftet med lagringen var att säkerställa att uppgifterna finns tillgängliga för ut-

Datalagring SOU 2015:31

122

redning, avslöjande och åtal av allvarliga brott såsom de definieras av varje medlemsstat i deras nationella i lagstiftning. Tillgången var därigenom begränsad till brottsbekämpande myndigheter och brottsbekämpande syften (se prop. 2010/11:46 s. 47 f.). Enligt ett uttalande från rådet skulle medlemsstaterna, vid bedömningen av om de nationella brott som möjliggör ett utlämnande är tillräckligt allvarliga, ta ”vederbörlig hänsyn” till de brott som förtecknas i den lista som finns i artikel 2 i rådets rambeslut den 13 juni 2002 om en europeisk arresteringsorder och överlämnande mellan medlemsstaterna (2002/548/RIF) och till brott där telekommunikation ingår. Listbrotten i rambeslutet är till övervägande del mycket allvarliga brott såsom terrorism, mord och våldtäkt, men även ett antal brott som i och för sig är av något mindre allvarlig karaktär men kan sägas vara typiska för organiserad brottslighet, såsom exempelvis it-brottlighet, förfalskning och hjälp till olovlig inresa finns på listan.

I domen kritiserade EU-domstolen på ett antal punkter det faktum att datalagringsdirektivet inte närmare reglerade hur tillgång gavs till de uppgifter som lagrades enligt direktivet, utan i stor utsträckning lämnade fritt för medlemsstaterna att själva reglera den frågan (punkterna 60–62). Domstolen pekade på att det inte fanns något objektivt kriterium som begränsade tillgången till uppgifter i förhållande till brottets svårhetsgrad. Inte heller reglerade direktivet närmare hur de nationella myndigheterna kan få tillgång till uppgifterna. Vidare innehöll direktivet inga bestämmelser som begränsade antalet personer som kan få tillgång till uppgifterna till vad som kan anses absolut nödvändigt. Domstolen lyfte också fram att de nationella myndigheternas tillgång till lagrade trafikuppgifter inte var beroende av en föregående kontroll, antingen av en domstol eller av ett annat organ vars uppgift är att begränsa tillgången till vad som kan anses strikt nödvändigt.

4.4.3.2 Tillgången till abonnemangsuppgifter

Som framgår ovan (avsnitt 3.5.3.3) har en åklagarmyndighet, Polismyndigheten, Säkerhetspolisen eller annan myndighet som ska ingripa mot brott (Tullverket, Kustbevakningen och Skatteverket) rätt att få tillgång till abonnemangsuppgifter, om uppgiften gäller brott som myndigheten ska ingripa mot (6 kap. 22 § första stycket 2 LEK).

SOU 2015:31 Datalagring

123

Regleringen innebär att de brottsbekämpande myndigheterna i princip har rätt att inhämta abonnemangsuppgifter för att beivra alla typer av brott utom sådana brott som åtalas enbart av målsäganden.

I analysen påpekades att en uppgift om vem som innehar eller använder ett visst nummer för kommunikation inte är information som i sig är särskilt integritetskänslig. Sett isolerade i förhållandet till annan information om hur numret har använts kan sådana uppgifter nämligen inte användas för att kartlägga och analysera en individs privatliv. Uppgifterna kan emellertid användas tillsammans med andra uppgifter om trafik som förekommer i de allmänna kommunikationsnäten och därigenom indirekt utnyttjas för att kartlägga integritetskänsliga uppgifter om den enskildes privatliv. Ibland kan uppgifter om vilka personer eller organisationer en individ har haft kontakt med i sig vara mycket integritetskänsliga, t.ex. om uppgifterna kan avslöja att kontakter har förekommit med stödorganisationer för psykiatriska hälsoproblem eller med medicinska institutioner av olika slag. Samtidigt noterades att även om trafikanalys av metadata i vissa fall kan avslöja integritetskänsliga uppgifter, kan uppgifterna inte avslöja själva innehållet i kommunikationen. En enstaka uppgift om vem som är abonnent kan inte heller användas för att kartlägga sociala kontakter. Det påpekades också att uppgiften om vem som innehar ett visst internetabonnemang inte med säkerhet säger något om identiteten på användaren av en ip-adress eftersom en viss adress kan användas av flera personer. Möjligheterna att kartlägga enskildas privatliv med utgångspunkt i enstaka kontaktuppgifter bedömdes därför i många fall bli begränsade.

Det konstaterades också att möjligheten till utlämnande av uppgifter om en telefoni- eller internetanvändares identitet för brottsbekämpande ändamål svarar mot ett viktigt samhällsintresse som kan rättfärdiga ett intrång i privatlivet. Det framhölls att intrånget måste begränsas till vad som är strikt nödvändigt och att ju allvarligare ett misstänkt brott är, desto större integritetsintrång måste den enskilde typiskt sett tåla. Samtidigt påpekades att enskilda kan bli tvungna att tåla intrång även när det gäller brott med förhållandevis låga straffvärden, t.ex. i de fall uppgifterna är nödvändiga för att det överhuvudtaget ska finnas förutsättningar för myndigheterna att utreda misstankar om brott.

När det sedan gäller proportionaliteten bedömdes att medlemsstaterna, trots EU-domstolens generella uttalanden om att myn-

Datalagring SOU 2015:31

124

digheternas tillgång ska begränsas till brott som är av tillräckligt allvarlig natur, måste anses ha ett visst utrymme för att reglera vad som ska gälla för att lämna ut olika typer av uppgifter. Det konstaterades att domen inte kan tolkas så att varje form av utlämnande av någon lagrad uppgift som sker för att bekämpa mindre allvarlig brottslighet än sådan brottslighet som ursprungligen motiverat lagringsskyldigheten kommer i konflikt med unionsrätten. En nationell lagstiftning som tillåter att s.k. kataloguppgifter–uppgifter om vem som har en viss adress eller ett visst telefonnummer–kontrolleras och lämnas ut till brottsbekämpande myndigheter för att bekämpa även annan brottslighet än sådan som objektivt sett kan betecknas som allvarlig ansågs inte i sig stå i strid med den unionsrättsliga proportionalitetsprincipen. I den bedömningen beaktades att enbart kataloguppgifter inte är särskilt integritetskänsliga och att en enstaka uppgift om t.ex. en dynamisk ip-adress inte möjliggör någon mer omfattande kartläggning av den enskildes personliga förhållanden.

Slutligen analyserades frågan om kontrollen över utlämnandet av abonnemangsuppgifter. Inledningsvis framhölls att det av EUdomstolens dom inte kan utläsas att rättighetsstadgan och unionsrättens allmänna principer innebär att det är nödvändigt att inrätta en ordning med förhandsprövning av varje slag av åtkomst till uppgifter. Tvärtom ansågs det rimligt att skilda kontrollmekanismer bör kunna inrättas beroende bl.a. på vilket integritetsintrång som uppkommer till följd av utlämnandet och användningen av uppgifterna (se t.ex. Europadomstolens dom i P.G. och J.H. mot Förenade kungariket, nr 44787/98, § 46). Mot bakgrund av att abonnemangsuppgifter, tagna för sig, inte är särskilt integritetskänsliga bedömdes det tillräckligt med en oberoende kontroll och tillsyn i efterhand för att utlämnandet ska vara förenligt med regleringen om skydd för privatlivet och den personliga integriteten i Europakonventionen, rättighetsstadgan och unionsrättens allmänna principer.

Vid bedömningen av kontrollsystemet noterades i analysen att tillsynen över polisens och övriga brottsbekämpande myndigheters tillämpning av lagar och andra författningar i den brottsbekämpande verksamheten delas mellan flera myndigheter och att Datainspektionen och SIN har delvis överlappande tillsynsansvar när det gäller polisens och Säkerhetspolisens behandling av personuppgifter (se avsnitt 3.5.4.2). Slutsatsen var dock att den svenska regleringen torde rymmas inom ramen för vad som är godtagbart. Samtidigt

SOU 2015:31 Datalagring

125

påpekades att det inte är möjligt att vara helt säker på att den nuvarande utformningen av tillsynsansvaret och de brottsbekämpande myndigheternas rutiner för dokumentation och loggning av inhämtning av abonnemangsuppgifter fullt ut tillgodoser kraven på effektiv kontroll. Vidare framhölls att unionsrätten och europarätten bara anger en miniminivå för skyddet av de grundläggande fri- och rättigheterna, och att utgångspunkten är att den svenska regleringen inte bör balansera på gränser för vad som är tillåtet enligt unionsrätten och Europakonventionen.

4.4.3.3 Tillgången till uppgifter enligt rättegångsbalken

Hemlig övervakning av elektronisk kommunikation kan användas av de brottsbekämpande myndigheterna för att få tillgång till trafikuppgifter och lokaliseringsuppgifter under förundersökning och, i vissa fall, för att förhindra vissa särskilt allvarliga brott (se avsnitt 3.5.3.4).

I analysen konstaterades inledningsvis att det stora flertalet brott som omfattas av tillämpningsområdet för hemlig övervakning av elektronisk kommunikation har ett minimistraff på minst sex månaders fängelse. Det ansågs inte råda någon tvekan om att dessa brott är att betrakta som allvarliga och att samhällsintresset av att förebygga och utreda brotten är starkt.

Det noterades vidare att hemlig övervakning av elektronisk kommunikation därutöver får användas i förundersökning om narkotikabrott och narkotikasmuggling av normalgraden och för att utreda dataintrång och barnpornografibrott av normalgraden trots att dessa brott har lägre minimistraff än fängelse i sex månader. Det framhölls att det vid hantering av betydande mängder narkotika i överlåtelsesyfte inte sällan döms till straff i den övre delen av straffskalan. Samhällsintresset av att förebygga och utreda narkotikabrott ansågs vara betydande, inte minst för att denna brottstyp är vanligt förekommande inom ramen för organiserad brottslighet. Brotten bedömdes i dessa fall som allvarliga i objektiv mening.

När det gäller barnpornografibrott och dataintrång framhölls att straffskalorna för dessa brottstyper stödjer slutsatsen att brotten inte är att betrakta som lika allvarliga som de övriga brottstyper som berättigar till användning av hemlig övervakning av elektronisk

Datalagring SOU 2015:31

126

kommunikation. Det kunde dock konstateras att tillgången till trafikuppgifter många gånger kan vara helt avgörande för att det över huvud taget ska vara möjligt att utreda och lagföra dessa brott, något som naturligtvis påverkar proportionalitetsbedömningen. Mot bakgrund av samhällets starka intresse av att skydda barn mot sexuell exploatering ansågs en ordning som innebär att barnpornografibrott inte kan utredas knappast kunna godtas. Vid motsvarande avvägning när det gäller dataintrång beaktades att brottet i vissa fall kan leda till omfattande integritetsintrång för enskilda och även andra omfattande skadeverkningar, bl.a. vid olika former av affärsspionage eller intrång i samhällsviktiga elektroniska uppgiftssamlingar. Samhällsintresset av att utreda brotten bedömdes därför vara betydande.

I analysen noterades vidare att hemlig övervakning av elektronisk kommunikation får användas även för att utreda – samt i vissa fall också för att förhindra – vissa samhällsfarliga brott som inte har ett straffminimum på fängelse i minst sex månader, exempelvis sabotage och spioneri. Dessa brott betraktas som särskilt allvarliga eftersom de riktar sig mot samhällsstrukturen och mot rikets säkerhet. Det ansågs därför finnas ett starkt samhällsintresse av att brotten effektivt kan utredas och förhindras.

I analysen beaktades också att den svenska regleringen inte bara innehåller specifika begränsningar i fråga om vilka brott som kan motivera en övervakningsåtgärd, utan även att de principer som gäller för all användning av straffprocessuella tvångsmedel innebär ytterligare begränsningar i möjligheterna till övervakning. Bland annat får en hemlig övervakningsåtgärd enligt 27 kap. rättegångsbalken användas bara när det är av synnerlig vikt för utredningen och en mindre ingripande åtgärd inte är tillräcklig. Tvångsmedlet måste även i fråga om sin art, styrka, räckvidd och varaktighet stå i rimlig proportion till vad som står att vinna med åtgärden. Vidare är myndigheternas befogenheter att använda ett tvångsmedel bundna till de ändamål för vilket tvångsmedlet har beslutats.

I analysen framhölls också att den svenska regleringen av de brottsbekämpande myndigheternas tillgång till trafik- och lokaliseringsuppgifter under pågående förundersökning bygger på att en allmän domstol i det enskilda fallet ska pröva om förutsättningarna för att lämna ut uppgifterna är uppfyllda innan uppgifterna lämnas ut och att undantag från denna regel gäller bara i vissa brådskande

SOU 2015:31 Datalagring

127

fall. Vidare påpekades att tillsyn bedrivs även i efterhand av SIN genom inspektioner och genom kontroller på begäran av enskild. Systemet med domstolsprövning och tillsyn ansågs säkerställa att det finns en mycket effektiv kontroll som uppfyller europarättens och unionsrättens krav.

Sammantaget bedömdes i analysen att den lagring av uppgifter som sker för utlämnande av trafik- och lokaliseringsuppgifter i enlighet med bestämmelserna i 27 kap. rättegångsbalken uppfyller de krav som följer av den unionsrättsliga proportionalitetsprincipen.

4.4.3.4 Tillgången till uppgifter enligt inhämtningslagen

Som framgår ovan är de brottsbekämpande myndigheternas tillgång enligt inhämtningslagen i princip begränsad till att avse uppgifter som är av särskild vikt för att förebygga, förhindra eller upptäcka brottslig verksamhet som innefattar brott för vilket det inte är föreskrivet lindrigare straff än fängelse i två år. Av SIN:s redovisning av tillsynsverksamheten under år 2013 (dnr 891-2014) framgår att de vanligast förekommande brottsrubriceringarna vid inhämtning enligt lagen har varit grovt narkotikabrott och grov narkotikasmuggling. Av uppgifter från polisen framgår att i övrigt har uppgifter hämtats in om grova rån, mord, grov allmänfarlig ödeläggelse, grov penningförfalskning, människohandel samt några enstaka beslut avseende andra brott såsom grov mordbrand, grov kapning och grovt spridande av gift eller smitta. Uppgifter får i vissa situationer inhämtas även avseende brott som inte har ett straffminimum på två års fängelse. Det handlar om vissa särskilt angivna samhällsfarliga brott, exempelvis sabotage och spioneri som bekämpas av Säkerhetspolisen.

I analysen framhölls inledningsvis att brott vars minimistraff är fängelse i minst två år tveklöst tillhör kategorin allvarliga brott. Vidare bedömdes även de samhällsfarliga brott som omfattas av lagens tillämpningsområde trots att de har lägre minimistraff som allvarliga eftersom de riktar sig mot samhällsstrukturen och mot rikets säkerhet. Det framhölls också att lagen innehåller regler som definierar förutsättningarna för en begäran och vilka uppgifter inhämtningsbeslutet ska innehålla. Lagen innehåller också en proportionalitetsregel.

Datalagring SOU 2015:31

128

Ett frågetecken kring de svenska reglerna i ljuset av EU-domstolens dom ansågs däremot vara det förhållandet att uppgifter hämtas in av myndigheterna själva utan föregående prövning av en oberoende instans. Samtidigt framhölls att frågor om rättssäkerhet och integritetsskydd hade varit föremål för ingående överväganden när inhämtningslagen infördes, och det system som då beslutades hade ansetts uppfylla såväl dessa krav som kraven på ett praktiskt fungerande system. Vidare konstaterades att den statistik som hittills har presenterats av SIN och de brottsbekämpande myndigheterna visar att inhämtning sker i ett relativt begränsat antal ärenden och vid arbete med mycket grova brott. En möjlig slutsats av detta ansågs vara att, även om ingen oberoende instans i förväg prövar inhämtandebesluten, så har systemet med en efterföljande tillsyn av SIN en disciplinerande effekt på myndigheternas verksamhet. Dessa aspekter ansågs tyda på att den svenska regleringen vid en helhetsbedömning uppfyller kravet på att tillgången till lagrade uppgifter är begränsad till vad som kan anses strikt nödvändigt. I den bedömningen lades också stor vikt vid att uppgifter enligt inhämtningslagen kan hämtas in bara för mycket allvarlig brottslighet för vilken samhällsintresset av att brotten upptäcks är betydande.

4.4.4 Lagringstiden

EU-domstolen konstaterade i sin dom att lagringskravet i direktivet hade ställts upp utan någon differentiering mellan olika kategorier av data, baserat på hur användbara uppgifterna kan tänkas vara. Inte heller angavs i direktivet, med hänsyn till att medlemsstaterna har tillåtits ett tidspann på sex månader upp till två år, några objektiva kriterier som tillgodoser att lagringstiden begränsas till vad som kan anses strikt nödvändigt (punkterna 63 och 64). Nämnas kan också att Generaladvokaten i sitt yttrande i målet hade kommit till slutsatsen att en lagringstid som överstiger ett år inte kan anses proportionerlig. Som ovan redovisats valdes i Sverige den kortaste lagringstid direktivet tillåter för samtliga uppgiftskategorier, dvs. uppgifterna ska lagras i sex månader räknat från den dag då kommunikationen avslutades (6 kap. 16 d § LEK).

I analysen noterades inledningsvis att, när datalagringsdirektivet förklarats ogiltigt, det inte längre finns några EU-rättsliga krav som

SOU 2015:31 Datalagring

129

hindrar att en kortare lagringstid än sex månader väljs. Det konstaterades dock att för att de lagrade uppgifterna ska tjäna sitt syfte, nämligen att kunna användas för att upptäcka, utreda och lagföra allvarliga brott, så måste de finnas tillgängliga under en så pass lång tid att de brottsbekämpande myndigheterna har en reell möjlighet att hinna begära ut dem innan de raderas. Av uppgifter som inhämtats från polisen framgick att teledata m.m. som inhämtas i underrättelseverksamhet i de flesta fall är yngre än en månad men att det även finns ärenden där historik upp till sex månader varit av stor vikt i analysarbetet. Det framgick också att den största andel uppgifter som begärs in i utredningsverksamheten är yngre än tre månader. Uppskattningsvis 20–25 procent angavs dock vara äldre än tre månader och cirka 10 procent av den totala mängden äldre än fem månader. Behovet av äldre uppgifter angavs särskilt gälla tidskrävande förundersökningar avseende grova våldsbrott av spaningskaraktär samt bekämpning av grova seriebrott som våldtäkter och mordförsök där det många gånger finns behov av äldre trafikdata för att kunna knyta en person till tidigare anmälda brott.

Mot bakgrund av detta ansågs slutsatsen kunna dras att en kortare lagringstid än sex månader skulle leda till att syftet med lagringen riskerade att inte kunna uppfyllas, särskilt vad gäller de grövsta brotten där det finns ett uttalat behov av äldre uppgifter. Det framhölls att det ur ett proportionalitetsperspektiv inte är acceptabelt med ett lagringskrav som tillgodoser behovet av uppgifter för att utreda mindre allvarlig brottslighet, samtidigt som uppgifter inte finns tillgängliga för att utreda grövre brott. Om en lagring för brottsbekämpande ändamål över huvud taget ska ske, ansågs det att tiden för lagringen måste vara sådan att det blir möjligt för de brottsbekämpande myndigheterna att använda de lagrade uppgifterna.

Sammanfattningsvis bedömdes därför en lagringstid om sex månader uppfylla EU-domstolens krav på att tiden ska begränsas till vad som kan anses strikt nödvändigt.

Datalagring SOU 2015:31

130

4.4.5 Säkerheten för lagrade uppgifter

4.4.5.1 Skyddsregler och utplåning av uppgifter

EU-domstolen fann i sin dom att direktivets regler om skydd för lagrade uppgifter var otillräckliga på flera punkter (se punkterna 66 och 67 i domen). Domstolen konstaterade att artikel 7 inte ställde upp säkerhetskrav anpassade till (i) den stora mängd data som ska lagras enligt direktivet, (ii) uppgifternas känsliga natur eller (iii) risken för att uppgifterna kommer i orätta händer, på ett sätt som kan sägas garantera att uppgifterna hålls konfidentiella. Inte heller hade medlemsstaterna förpliktats att själva föreskriva en sådan ordning. Domstolen fann vidare att artikel 7, läst tillsammans med artikel 4.1 i direktiv 2002/58 samt artikel 17.1 i direktiv 95/46, inte ställde krav på att en särskilt hög säkerhetsnivå upprätthålls hos leverantörerna vad gäller tekniska och organisatoriska åtgärder. Detta eftersom leverantörerna tilläts att ta ekonomiska hänsyn vid bestämmandet av lämplig säkerhetsnivå. Dessutom framhöll domstolen att direktivet inte ställde något absolut krav på att uppgifterna utplånas vid slutet av lagringstiden.

I analysen konstaterades inledningsvis att de svenska leverantörerna, genom regleringen i 6 kap. 3 a § LEK som tar sikte enbart på uppgifter lagrade enligt 16 a § samma kapitel, har en skyldighet att vidta de särskilda tekniska och organisatoriska åtgärder som behövs för att skydda uppgifterna, utan att de i den bedömningen tillåts ta några ekonomiska hänsyn. Den kritik EU-domstolen riktade mot direktivet i det hänseendet bedömdes därför inte relevant för den svenska regleringen.

Vidare kunde det konstateras att 37 § förordningen om elektronisk kommunikation har utformats i mycket nära anslutning till artikel 7 i direktivet. Det ansågs mot den bakgrunden, med hänsyn till EU-domstolens uttalanden, kunna ifrågasättas om enbart regleringen i 6 kap. 3 a § LEK och 37 § i förordningen ställer upp ett tillräckligt preciserat skydd för de lagrade uppgifterna. I den delen beaktades dock även de krav som följer av de föreskrifter som har meddelats av PTS. Det framhölls att dessa föreskrifter är detaljerade och de reglerar såväl frågor om behörighet och åtkomst som om fysiskt skydd för den utrustning som används för att lagra uppgifterna. De reglerar även i detalj frågor om loggning, som gör det möjligt att i efterhand se vem som haft tillgång till lagrade upp-

SOU 2015:31 Datalagring

131

gifter, samt säkerhetskopiering. Sammantaget ansågs detta inte kunna leda till någon annan slutsats än att det skydd som i Sverige regleras genom lag, förordning och myndighetsföreskrifter är betydligt mer omfattande och mer detaljerat än vad som följde av direktivets krav. Det påpekades också att skyddsnivån är betydligt högre och skyddsreglerna mer preciserade än när det gäller de uppgifter leverantörerna har tillstånd att lagra med stöd av direktiv 2002/58. Utifrån de kriterier domstolen lyfte fram bedömdes de svenska regler som ska säkerställa skyddet för de lagrade uppgifterna vara tillräckligt strikta och precisa.

I analysen framhölls också att bestämmelsen i 6 kap. 16 d § LEK ställer krav på leverantörerna att utplåna uppgifterna vid lagringstidens utgång eller, om en begäran om utlämnande inkommit men inte hunnit behandlas, så fort uppgifterna har lämnats ut.

När det däremot gäller det fortsatta bevarandet hos de brottsbekämpande myndigheterna av uppgifter som lämnats ut noterades att det av naturliga skäl inte finns någon bestämd frist föreskriven för hur länge uppgifterna får bevaras. Det påpekades dock att frågan om utplåning av uppgifter från hemlig övervakning inte är oreglerad, utan bestämmelser om detta finns i främst 27 kap. 24 § rättegångsbalken och 9 § inhämtningslagen. Det framhölls också att det av Europadomstolens praxis följer att förstörandet av material från hemliga tvångsmedel innan en rättegång är avslutad i vissa fall kan kränka den misstänktes rätt till en rättvis rättegång (se Europadomstolens domar i målen Natunen mot Finland, nr 21022/04, och

Janatuinen mot Finland, nr 28552/05, vilka båda avsåg material som

inhämtats vid hemlig avlyssning). Ett krav på utplåning av uppgifterna vid en viss bestämd tidpunkt, utan att hänsyn tas till var i processen ett ärende befinner sig, bedömdes därför kunna kränka den misstänktes rätt till en rättvis rättegång enligt artikel 47 i rättighetsstadgan och artikel 6 i Europakonventionen. Med hänsyn härtill ansågs det uteslutet att EU-domstolen kunde ha menat att det även borde finnas regler om utplåning av lagrade trafikuppgifter vid lagringstidens slut hos de brottsbekämpande myndigheterna.

Sammanfattningsvis bedömdes att regleringen i 6 kap. 16 d § LEK om utplåning av uppgifter vid lagringstidens slut hos leverantören uppfyller de krav på ett sådant oåterkalleligt förstörande av uppgifterna som EU-domstolen efterlyste.

Datalagring SOU 2015:31

132

4.4.5.2 Krav på lagring inom EU

EU-domstolen pekade i sin dom på att datalagringsdirektivet inte krävde att uppgifterna lagras inom unionen. Detta innebar enligt domstolen att den oberoende myndighetskontrollen av att skydds- och säkerhetskraven för de lagrade uppgifter följs – vilken föreskrivs i artikel 8.3 i stadgan – inte fullt ut kunde anses vara garanterad (punkt 68). Enligt domstolen är en sådan kontroll en grundläggande beståndsdel i skyddet för enskilda individer i samband med behandlingen av personuppgifter.

I analysen framhölls att det mot bakgrund av domstolens uttalanden om intresset av effektiv tillsyn finns mycket som talar för att det bör införas ett krav på att lagringen av uppgifter ska ske inom EU eller EES. I den bedömningen beaktades också risken för s.k. ändamålsglidning, dvs. att uppgifter som lagras för ett visst ändamål kommer till användning i annan verksamhet eller för andra ändamål. Det konstaterades att en leverantör som väljer att lagra uppgifter i en server på en annan stats territorium kan tvingas att lämna ut dessa till utländska myndigheter i enlighet med lagstiftningen i lagringslandet. Det ansågs därför inte kunna uteslutas att uppgifter som lagras med stöd av svensk lagstiftning enbart för ändamål som rör bekämpning av vissa närmare avgränsade typer av brott skulle kunna komma till användning i annan verksamhet eller för bekämpning av annan brottslighet. Ett rimligt antagande ansågs vara att riskerna för sådan ändamålsglidning generellt sett torde öka om lagringen sker i ett tredje land jämfört med om den sker inom EU eller EES.

Samtidigt konstaterades i analysen att en reglering som innebär att leverantörerna förbjuds att överföra uppgifter för lagring i ett tredje land skulle komma i konflikt med den generella regleringen på detta område, främst kommissionens beslut om adekvat skyddsnivå (se avsnitt 3.2.5.1). Det bedömdes dock att medlemsstaterna ändå kan rättfärdiga ett överföringsförbud med hänvisning till att den aktuella lagringen till sin art, omfattning och varaktighet innefattar ett så långtgående ingrepp i enskildas personliga integritet att kraven på säkerhet vid lagringen förutsätter att uppgifterna inte förs över till ett tredje land.

SOU 2015:31 Datalagring

133

4.4.6 Samlad bedömning

Sammanfattningsvis framhölls att slutsatserna i analysen innebär att det kan finnas skäl att närmare överväga några frågor. Det gäller dels lagringsskyldigheten avseende ett par uppgiftskategorier, dels reglerna om tillsyn såvitt avser inhämtning av abonnemangsuppgifter och reglerna om en oberoende kontroll såvitt gäller inhämtning av uppgifter i underrättelseskedet. Vidare ansågs att det kan övervägas om ett uttryckligt förbud mot lagring utanför EU/EES bör införas.

Det betonades att dessa åtgärder skulle verka för att ytterligare stärka rättssäkerheten och integritetsskyddet i den svenska regleringen. Som nämnts ovan var dock den samlade bedömningen i analysen att det svenska regelverket avseende lagring enligt 6 kap. 16 a–f §§ LEK samt övriga bestämmelser om tillgång och behandling av sådana uppgifter, även utan sådana åtgärder och med beaktande av EU-domstolens uttalanden, inte strider mot unionsrätten eller europarätten.

4.5 Reaktioner på domen

4.5.1 Reaktioner i Sverige

4.5.1.1 Inledande reaktioner på domen

I nära anslutning till att EU-domstolens dom offentliggjordes meddelade flera leverantörer av elektroniska kommunikationstjänster och kommunikationsnät i Sverige att de gjorde bedömningen att den svenska lagstiftning som genomför direktivet står i strid med EUrätten och att de därför avsåg att upphöra med lagringen av uppgifter enligt 6 kap. 16 a § LEK. Några av dem gick också ut med information om att lagrade uppgifter skulle komma att raderas. Ett par leverantörer begärde i anslutning till domen även besked från PTS om vilken bedömning myndigheten gjorde av domen. Många leverantörer vägrade också att tillämpa de föreskrifter om avgifter för utlämnande av uppgifter som PTS med stöd av 46 § förordningen om elektronisk kommunikation har beslutat ska gälla från och med den 1 januari 2014 (PTSFS 2013:5).

Datalagring SOU 2015:31

134

PTS informerade på sin hemsida på internet kort tid efter att domen hade meddelats att myndigheten ”i nuläget inte [kommer] att vidta några åtgärder utifrån datalagringsreglerna”.

4.5.1.2 Reaktioner efter analysen

Strax efter att analysen redovisades meddelade PTS leverantörerna att myndigheten utgick från att datalagringsreglerna skulle tillämpas. Trots det var det flera leverantörer som höll fast vid sin inställning att inte lagra uppgifter. PTS har därefter vidtagit tillsynsåtgärder. Bland annat har myndigheten förelagt flera leverantörer att lagra uppgifter för brottsbekämpande ändamål (beslut den 27 juni 2014, Dnr 14-4175, beslut den 1 oktober 2014, Dnr 14-4682 och beslut den 27 oktober 2014, Dnr 14-8147).

Av uppgifter som utredningen har inhämtat från polisen och PTS framgår att de flesta leverantörerna av elektroniska kommunikationstjänster och kommunikationsnät nu lagrar uppgifter enligt regleringen i LEK. Två av leverantörerna har emellertid överklagat PTS förelägganden till förvaltningsrätten. Hittills har förvaltningsrätten meddelat dom i ett av målen (Förvaltningsrättens i Stockholm dom den 13 oktober 2014 i mål nr 14891-14). I domen prövade förvaltningsrätten den svenska regleringens förenlighet med de aktuella fri- och rättigheterna i RF, Europakonventionen och rättighetsstadgan.

Förvaltningsrätten konstaterade inledningsvis i domen att den lagringsskyldighet som gäller enligt svensk rätt helt innefattar den lagringsskyldighet som datalagringsdirektivet föreskrev, och att den på några punkter går längre än direktivet. Förvaltningsrätten fann därför att de aktuella bestämmelserna om lagring i LEK och FEK innebär en inskränkning i rätten till respekt för privatlivet och skyddet för personuppgifter. Dessutom utgör enligt domstolen myndigheternas tillgång till uppgifterna ytterligare intrång i rättigheterna och att det mot bakgrund av den mängd uppgifter som lagras är fråga om ett betydande intrång. I likhet med EU-domstolen fann dock förvaltningsrätten att bestämmelserna om lagring inte kränker det väsentliga innehållet i de aktuella rättigheterna, att de motiveras av ett godtagbart ändamål – nämligen att bekämpa grov brottslighet

SOU 2015:31 Datalagring

135

och bidra till den allmänna säkerheten – och att regleringen får anses vara ägnad att uppnå detta ändamål.

Domstolen prövade sedan om inskränkningarna kan anses vara proportionerliga utifrån fyra områden: omfattningen av lagringen, tillgången till de lagrade uppgifterna, lagringstiden och säkerheten för de lagrade uppgifterna.

När det gäller omfattningen av lagringen konstaterade förvaltningsrätten att den kritik som EU-domstolen riktat mot direktivet i den delen kan göras gällande även mot den svenska lagstiftningen. Förvaltningsrätten framhöll att, vid bedömningen av om lagringsskyldigheten går utöver vad som kan anses nödvändigt och proportionerligt, hänsyn ska tas till om lagringen skulle kunna begränsas utan att syftet med bestämmelserna går förlorat. Mot bakgrund av att det inte är möjligt att på förhand veta vilka personer som kan bli inblandade i allvarliga brott eller på vilka platser brott kan komma att begås, ansåg förvaltningsrätten att en sådan begränsning av lagringsskyldigheten skulle äventyra syftet med lagringen. Detsamma gällde enligt rätten en eventuell avgränsning till vissa kommunikationsslag, eftersom det inte är möjligt att i förväg känna till vilken utrustning som kommer att användas. Lagringsskyldighetens omfattning ansågs därför inte i sig gå utöver vad som är nödvändigt för att uppnå syftet med bestämmelserna. Förvaltningsrätten framhöll också att det måste göras en sammantagen bedömning av reglernas proportionalitet, och att lagringens omfattning måste ses mot bakgrund av hur bestämmelserna om tillgång till uppgifter är utformade, hur länge uppgifterna ska lagras samt säkerheten kring de lagrade uppgifterna.

Vad avser frågan om tillgången till uppgifter prövade förvaltningsrätten, på samma sätt som gjordes i analysen, de tre olika regelverk som reglerar tillgången, dvs. bestämmelserna om tillgång till abonnemangsuppgifter enligt LEK, bestämmelserna om hemlig övervakning av elektronisk kommunikation enligt rättegångsbalken och bestämmelserna i inhämtningslagen.

När det gäller regleringen i LEK konstaterade förvaltningsrätten att bestämmelserna i viss mån kan kritiseras eftersom inhämtningen inte förutsätter att uppgifterna gäller misstanke om allvarliga brott, att flera myndigheter kan få tillgång till uppgifterna utan att det sker någon förhandskontroll och att kretsen av myndighetspersoner som kan få tillgång till uppgifterna inte är begränsad. Enligt förvalt-

Datalagring SOU 2015:31

136

ningsrätten ska dock den kritik som EU-domstolen riktade mot direktivet i det avseendet ses mot bakgrund av den mängd uppgifter som skulle lagras enligt direktivet och som därmed kunde lämnas ut under otydliga och oprecisa former. Förvaltningsrätten framhöll att abonnemangsuppgifter i sig inte är lika integritetskänsliga som några av de övriga uppgifter som skulle lagras enligt direktivet. Behovet av en begränsning av tillgången till enbart allvarligare brottslighet, en begränsning av kretsen av myndighetspersoner som kan få tillgång till uppgifter samt behovet av förhandskontroll kunde därför inte anses vara lika starkt. Domstolen påpekade också att tillgången till abonnemangsuppgifter är av stor betydelse för utredning av internetrelaterade brott. Förvaltningsrätten fann mot den bakgrunden att inhämtningen enligt LEK uppfyller de krav som kan ställas på lagstiftningen utifrån proportionalitetsprincipen.

Vad därefter gäller tillgången enligt rättegångsbalken konstaterade förvaltningsrätten att de uppgifter som kan inhämtas enligt regleringen är integritetskänsliga eftersom det är möjligt att utifrån uppgifterna dra slutsatser kring en persons vanor och privatliv. Enligt förvaltningsrätten är dock tillgångsbestämmelserna i rättegångsbalken tydliga och precisa samt begränsade till vad som är strängt nödvändigt.

När det slutligen gäller bestämmelserna i inhämtningslagen konstaterade förvaltningsrätten – av samma skäl som när det gäller tillgång enligt rättegångsbalken – att de uppgifter som lagen ger tillgång till är integritetskänsliga. Det ansågs därför vara av särskild vikt att möjligheterna att få tillgång till uppgifterna inte går utöver vad som är strikt nödvändigt. Domstolen framhöll i det sammanhanget att den brottslighet som lagen är avsedd att användas mot är mycket allvarlig och att den med god marginal är att betrakta som sådan allvarlig brottslighet som angavs i direktivet. Behovet av att möjliggöra utredning kring sådan brottslighet utgör enligt domstolens mening godtagbara skäl för mer långtgående inskränkningar i den personliga integriteten än om det hade varit fråga om mindre allvarlig brottslighet. Den kritik som förvaltningsrätten ansåg kunde riktas mot inhämtningslagen rörde främst antalet personer som är behöriga att få tillgång till uppgifterna samt avsaknaden av förhandskontroll. I den delen konstaterade domstolen att antalet personer som är behöriga att få tillgång till uppgifter är begränsad på så sätt att beslutsfattaren ska vara en myndighetschef eller någon som fått

SOU 2015:31 Datalagring

137

delegation av denne. Vad gäller förhandskontroll framhölls att en sådan i och för sig skulle medföra att risken för obefogad inhämtning skulle minska. Samtidigt konstaterade förvaltningsrätten att det ligger i sakens natur att underrättelseverksamhet kräver snabb tillgång till aktuella uppgifter och att en förhandskontroll skulle kunna riskera att fördröja denna tillgång. Slutligen påpekades även att SIN:s tillsyn över myndigheternas tillämpning av lagen utgör en ytterligare försäkran.

Sammantaget fann förvaltningsrätten att tillgångsbestämmelserna i såväl rättegångsbalken som inhämtningslagen är tydliga och precisa samt begränsade till vad som är strikt nödvändigt. Bestämmelserna bedömdes därför uppfylla de krav som kan ställas på lagstiftningen utifrån RF, Europakonventionen, EU:s rättighetsstadga och 2002 års direktiv om integritet och elektronisk kommunikation.

Förvaltningsrätten fortsatte sin prövning med att undersöka frågan om lagringstiden. I den delen framhölls inledningsvis att EUdomstolen inte hade anmärkt på en lagringstid om sex månader, utan vad som hade föranlett EU-domstolens kritik var i stället att direktivet inte ställde upp några kriterier för när en kortare respektive längre lagringstid kan godtas. Förvaltningsrätten konstaterade att enligt svensk rätt gäller samma korta lagringstid för alla typer av lagrade uppgifter och att en kortare lagringstid än sex månader inte kan anses meningsfull. För att kunna utreda brott måste myndigheterna enligt förvaltningsrätten ha en reell möjlighet att hinna inhämta relevanta uppgifter. Domstolen fann därför att bestämmelserna om lagringstiden i LEK är proportionerliga och att de uppfyller de krav som kan ställas på dem.

Därefter behandlade förvaltningsrätten frågan om säkerheten för

de lagrade uppgifterna. Det noterades att det vid implementeringen

av direktivet hade införts en bestämmelse i LEK som innebär att lagringsskyldiga leverantörer ska vidta de särskilda tekniska och organisatoriska åtgärder som behövs för att skydda de lagrade uppgifterna. Domstolen framhöll att det framgår av förarbetena att bestämmelsen inte lämnar något utrymme för att bestämma säkerhetsnivån genom en avvägning mellan teknik, kostnader och risken för integritetsintrång (prop. 2010/11:46 s. 75). Det påpekades även att PTS föreskrifter om säkerheten bl.a. innebär att leverantörer ska vidta åtgärder för att skydda uppgifterna mot oavsiktlig eller otillåten förstöring, mot otillåten lagring, behandling av eller tillgång till och

Datalagring SOU 2015:31

138

otillåtet avslöjande av uppgifterna. Leverantörerna ska även bedriva ett kontinuerligt och systematiskt säkerhetsarbete med beaktande av de särskilda risker som lagringsskyldigheten medför. Förvaltningsrätten ansåg därför att den svenska regleringen kring säkerheten för uppgifterna är mer omfattande och preciserad än motsvarande regler i datalagringsdirektivet, och att de också medför ett högre krav på skyddsnivå. Den korta lagringstiden ansågs dessutom medföra mindre risker för konkreta integritetsskador. Den kritik som EU-domstolen riktade mot direktivet kunde därför enligt förvaltningsrätten inte göras gällande mot de svenska reglerna. Vidare konstaterade domstolen att regleringen i LEK ställer krav på att uppgifterna ska utplånas efter utgången av lagringstiden.

Förvaltningsrätten noterade att det i svensk rätt saknas bestämmelser som reglerar frågan om var uppgifterna ska lagras. Frågan var därför om den oberoende myndighetskontrollen som föreskrivs i artikel 8.3 i EU:s rättighetsstadga kan garanteras samt om svensk rätt ger tillräckliga garantier för att säkerställa ett effektivt skydd mot riskerna för missbruk och otillåten tillgång eller användning av uppgifterna. I denna del konstaterade domstolen att leverantörerna ska uppfylla de höga krav som ställs på säkerheten oavsett var dessa väljer att lagra uppgifterna. Det framhölls att det ingår i PTS tillsynsansvar att leverantörerna följer LEK och de föreskrifter som har meddelats med stöd av lagen, samt att PTS har omfattande befogenheter för att säkerställa att leverantörerna gör detta. Förvaltningsrätten ansåg att dessa regler möjliggör en tillfredsställande oberoende myndighetskontroll av skyddet för personuppgifter och att de även utgör tillräckliga garantier, vilka säkerställer ett effektivt skydd mot riskerna för missbruk och otillåten tillgång eller användning av uppgifterna. Domstolen framhöll dock att en reglering om var uppgifter får lagras skulle förtydliga och i viss mån höja säkerheten för uppgifterna. Avsaknaden av en sådan reglering bedömdes emellertid inte medföra att säkerheten var så låg att lagringen borde upphöra.

Avslutningsvis gjorde förvaltningsrätten en samlad bedömning av den svenska regleringens proportionalitet. Domstolen påpekade att den funnit att tillgångs- och säkerhetsbestämmelserna, trots vissa svagheter, uppfyller de krav som proportionalitetsprincipen ställer. Den fråga som återstod var därför om lagringens omfattning är förenlig med de fri- och rättigheter som ska garanteras enskilda. Förvaltningsrätten beaktade att, även om den svenska regleringen

SOU 2015:31 Datalagring

139

möjliggör en omfattande lagring, reglerna om tillgång och säkerhet är tydliga och precisa samt begränsade till vad som är strikt nödvändigt. Till detta kom enligt domstolen att lagringen är motiverad av det mycket angelägna behovet av att tillhandahålla de brottsbekämpande myndigheterna effektiva verktyg vid utredning av brott. Med beaktande av detta behov fann förvaltningsrätten att de inskränkningar som de aktuella bestämmelserna innebär i rätten till respekt för privatliv samt skydd för personuppgifter uppfyller proportionalitetskravet och är förenliga med RF, Europakonventionen, EU:s rättighetsstadga samt 2002 års direktiv om integritet och elektronisk kommunikation. Förvaltningsrätten avslog därför överklagandet.

Den aktuella leverantören har överklagat förvaltningsrättens dom till kammarrätten. En annan leverantör har också anmält till EU-kommissionen att Sverige begår fördragsbrott genom att fortsätta att genomdriva en lagstiftning om datalagring som står i strid med artiklarna 7 och 8 i stadgan.

4.5.2 Andra reaktioner

4.5.2.1 Uttalande från artikel 29-gruppen

Den 1 augusti 2014 antog den s.k. artikel 29-gruppen2 ett uttalande med anledning av EU-domstolens dom om datalagringsdirektivet (14/EN/WP 220). I uttalandet konstaterades att nationell lagstiftning baserad på direktivet inte direkt påverkas av domen. Trots det uppmanade gruppen medlemsstaterna och EU:s institutioner att utvärdera domens konsekvenser för nationell lagstiftning och tillämpning av regler om datalagring. Det påpekades därvid att nationell lagstiftning måste stå i överensstämmelse med artikel 15(1) i direktiv 2006/24/EU, rättighetsstadgan och EU-rättens allmänna principer. Gruppen framhöll särskilt att nationella datalagringsregler bör utformas på ett sådant sätt att masslagring av alla typer av uppgifter undviks, och att lagringen i stället blir föremål för lämpliga differentieringar, begränsningar eller undantag. Enligt gruppen bör nationella myndigheters tillgång till lagrade uppgifter begränsas till det strikt nödvändiga vad gäller kategorier av uppgifter och personer som

2 Se vidare om artikel 29-gruppen i avsnitt 6.3.1.

Datalagring SOU 2015:31

140

berörs. Vidare bör tillgången vara föremål för materiella och processuella villkor.

Slutligen framhölls i uttalandet att den nationella lagstiftningen bör erbjuda ett effektivt skydd mot risken för otillåten tillgång eller annat missbruk av uppgifter. Ett sådant system bör innehålla krav på att datalagringen kontrolleras av en oberoende myndighet som garanterar att EU:s dataskyddslagstiftning följs.

4.5.2.2 Danmark

I Danmark regleras skyldigheten att lagra uppgifter om elektronisk kommunikation i § 786 i retsplejeloven. Enligt den bestämmelsen är leverantörer av telenät och teletjänster skyldiga att registrera och bevara uppgifter om elektronisk kommunikation i ett år för att kunna användas vid utredning och lagföring av brott. Lagringsplikten gäller både tele- och internetkommunikation och omfattar upplysningar om vem som har haft kontakt med vem, däremot inte upplysningar om innehållet i meddelanden. Lagringspliktens omfattning definieras närmare i förordning och omfattar en rad olika uppgiftskategorier i fråga om fast och mobil telefoni, kommunikation med sms, ems och mms samt internettrafik och e-post (Bekendtgørelse nr. 988 af 28 september 2006 om udbydere af elektroniske kommunikationsnets og elektroniske kommunikationstjenesters registrering og opbevaring af oplysninger om teletrafik [logningsbekendtgørelsen]).

De uppgifter om elektronisk kommunikation som leverantörerna är skyldiga att lagra är till största delen historiska trafikuppgifter. Det innebär enligt dansk rättspraxis att utlämnande av uppgifter kan ske med stöd av retsplejelovens regler om edition. Normalt krävs då att även förutsättningarna för ingrepp i meddelandehemligheten är uppfyllda. I vissa fall är det dock tillräckligt att enbart förutsättningar för edition föreligger. Det gäller i de fall det begärs uppgifter om vilka master en mobiltelefon har varit uppkopplad mot eller uppgifter om vem som varit brukare av en specifik internetadress vid en viss tidpunkt.

Enligt retsplejeloven är det endast polisen som kan få tillstånd till att göra ingrepp i meddelandehemligheten och därigenom få tillgång till uppgifter om historisk teletrafik (§ 780). De närmare förutsättningarna för sådana ingrepp framgår av § 781. För att ingrepp

SOU 2015:31 Datalagring

141

ska få göras krävs enligt den bestämmelsen att det föreligger viss misstanke (misstankekravet) och ett behov av att göra ingreppet (behovskravet) samt att den brottslighet som utreds är av visst allvar (kriminalitetskravet). Sålunda krävs att det finns särskilda skäl (bestemte grunde) att anta att åtgärden kommer att ge upplysningar om meddelanden eller försändelser som har skickats till eller från en misstänkt, och att ingreppet kan antas vara av avgörande betydelse för utredningen. Det är vidare ett krav att utredningen avser ett brott som kan leda till fängelse i sex år eller mer eller uppsåtliga brott mot straffelovens kapitel 12 (brott mot statens självständighet och säkerhet) eller 13 (brott mot statsförfattningen och de översta statsmyndigheterna, terrorism m.m.). Möjligheten att göra ingrepp i meddelandehemlighet omfattar vidare ett antal särskilt uppräknade brott där behovet av en sådan möjlighet har ansetts vara särskilt stort. Det gäller bl.a. barnpornografibrott, koppleri och brott mot utlänningslagen (udlændingeloven). Gemensamt för de särskilt uppräknade brotten är att de har lägre straffskala än sex års fängelse.

Ett ingrepp i meddelandehemligheten kräver att åtgärden står i proportion till föremålet för ingreppet, sakens betydelse och den kränkning och olägenhet som ingreppet kan antas vålla den som ingreppet rör (§ 782). Vidare får ingrepp göras endast efter beslut av domstol, om inte situationen är sådan att ändamålet med åtgärden går förlorat om domstolens beslut avvaktas. I sådana fall ska åtgärden läggas fram inför domstol senast 24 timmar från verkställigheten av ingreppet (§ 783). Innan rätten beslutar i frågor om ingrepp i meddelandehemligheten ska en advokat utses för den som ingreppet rör. Advokaten ska ha möjlighet att yttra sig (§ 784).

Enligt retsplejelovens § 788 ska den som ingreppet riktas mot som huvudregel underrättas om åtgärden i efterhand. Detta gäller dock inte om underrättelsen skulle vara till skada för en utredning om brott som kan leda till ingrepp i meddelandehemligheten.

När det gäller reglerna om edition framgår av retsplejelovens § 804 att rätten, som ett led i utredningen av en lagöverträdelse som faller under allmänt åtal, kan förelägga en person som inte är misstänkt att visa upp eller ge in ett föremål som han eller hon har rådighet över. Förutsättningarna för ett sådant föreläggande är att det finns anledning att anta att föremålet antingen kan tjäna som bevis, bör beslagtas eller vid lagöverträdelsen har frånhänts någon som kan kräva det tillbaka. I motsats till reglerna om ingrepp i

Datalagring SOU 2015:31

142

meddelandehemligheten kräver editionsreglerna inte att lagöverträdelsen ska vara av någon viss svårhetsgrad. Beslut om edition fattas av domstol. Om ändamålet med åtgärden skulle gå förlorat om domstolen beslut avvaktas får dock polisen besluta om åtgärden (retsplejelovens § 806). Om den som beslutet riktas mot i ett sådant fall motsätter sig beslutet ska frågan snarast möjligt och inom 24 timmar läggas fram inför domstolen.

Säkerheten för lagrade uppgifter regleras i dansk rätt av persondataloven. Av lagen framgår att den registeransvariga ska vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder för att skydda mot oavsiktlig eller otillåten förstörelse, förlust eller försämring av uppgifter samt mot obehörigt röjande, missbruk eller annan behandling i strid med lagen (§ 41 och 42). I lagens förarbeten förutsätts att dessa åtgärder, med hänsyn till aktuell teknisk nivå och de kostnader som är förknippade med åtgärderna, ska säkerställa en tillräckligt hög säkerhetsnivå i förhållande till de risker som behandlingen innebär och arten av de uppgifter som ska skyddas. Av lagen framgår också att personuppgifter bara får föras över till ett tredje land om landet i fråga säkerställer en tillräcklig säkerhetsnivå (§ 27). Bedömningen av om skyddsnivån är tillräcklig ska göras på grundval av samtliga omständigheter som påverkar överföringen, särskilt uppgifternas art, behandlingens syfte och varaktighet, ursprungslandet och det slutliga destinationslandet samt de rättsregler som tillämpas i det tredje landet. Enligt lagens § 55 utövar Datatillsynsmyndigheten (Datatilsynet) tillsyn över all personuppgiftsbehandling som omfattas av lagen. Myndigheten utövar sina befogenheter helt oberoende (§ 56).

Den 2 juni 2014 publicerade Danmarks justitieministerium en rapport där EU-domstolens dom och de danska datalagringsreglernas förhållande till EU-rätten analyserades grundligt (Saknr. 2014-6140-0620, dokument 1188632). Bakgrunden till rapporten var att det efter att domen meddelades hade rests frågor om huruvida de danska reglerna kan upprätthållas (se rapporten s. 19).

Inledningsvis noterades i rapporten att lagringsplikten enligt de danska reglerna tar sin utgångspunkt i det upphävda direktivet och att den således gäller samma typer av uppgifter och att syftet med lagringen är detsamma som enligt direktivet, dvs. att möjliggöra användning av uppgifterna vid utredning och lagföring av brott. Med utgångspunkt i EU-domstolens dom bedömde Justitieministeriet

SOU 2015:31 Datalagring

143

därför att även de danska reglerna utgör ett ingrepp i rätten till privatliv och rätten till skydd för personuppgifter enligt artiklarna 7 och 8 i EU-stadgan. Vidare gjorde ministeriet bedömningen att lagringsplikten har ett legitimt ändamål och att majoriteten av reglerna är ägnade att uppnå detta ändamål.

Därefter gjordes en bedömning av om de danska reglerna kan anses tillräckligt avgränsade när det gäller lagringsskyldighetens omfattning, reglerna om tillgång till uppgifterna samt lagringstiden.

När det gäller lagringspliktens omfattning konstaterades att de danska reglerna i vissa avseenden går längre än vad direktivet krävde, t.ex. kräver dansk rätt att vissa uppgifter om mobiltelefonsamtal lagras vilket inte krävdes enligt direktivet. Det påpekades också att de danska reglerna, på samma sätt som reglerna i direktivet, är generella och utan någon form av begränsning som tar hänsyn till målet att bekämpa brott.

Såvitt avser tillgången till lagrade uppgifter framhöll Justitieministeriet att de materiella villkor som gäller för att ingrepp i meddelandehemligheten ska få göras innebär att viss misstanke ska föreligga (misstankekravet), att det ska finns ett behov av uppgifterna (indikationskravet) och att den brottslighet som utreds ska vara av viss svårhetsgrad (kriminalitetskravet). Det påpekades att kriminalitetskravet som huvudregel kräver att brottet har minst sex års fängelse i straffskalan, men att även en rad andra brott med lägre straffskala omfattas av möjligheten till ingrepp. Det framhölls därtill att ett ingrepp också förutsätter att åtgärden bedöms proportionerlig i det enskilda fallet.

Vidare konstaterades att inhämtning av historiska teleuppgifter kräver att förutsättningar för såväl ingrepp i meddelandehemligheten som edition föreligger. I rapporten påpekades att dansk rätt i dessa situationer innehåller en rad processuella förutsättningar som t.ex. krav på domstolsbeslut, krav på att det utses en advokat för den som ingreppet gäller samt krav på underrättelse till den enskilde i efterhand. Det påpekades också att det även vid inhämtning av andra uppgifter, där endast reglerna om edition gäller, finns processuella krav. Till exempel fattas beslut om edition som huvudregel av rätten på begäran av polisen.

Sammanfattningsvis konstaterades i rapporten att dansk rätt innehåller ett antal garantier avseende lagringen av uppgifter och tillgången till dessa. Särskilt vad gäller tillgången ansågs de danska

Datalagring SOU 2015:31

144

reglerna skilja sig väsentligt från det upphävda direktivet som till stor del lämnade regleringen av dessa frågor till medlemsstaterna.

När det sedan gäller lagringstiden hänvisades till de överväganden som gjorts när reglerna infördes. Det noterades att den bedömning som då hade gjorts var att en lagringstid om ett år inte går utöver vad som är nödvändigt med hänsyn till intresset av att förebygga, utreda och lagföra brott. Det framhölls också att dansk rätt även på denna punkt skiljer sig från det upphävda direktivet som överlät till medlemsstaterna att själva bestämma en lagringstid mellan sex månader och två år. Justitieministeriet bedömde mot den bakgrunden att Danmark på denna punkt har fastslagit en klar avgränsning i lag som är baserad på hänsyn till möjligheterna att bekämpa brott.

I rapporten noterades också att EU-domstolen riktat anmärkningar mot att datalagringsdirektivet, i fråga om säkerheten för de lagrade uppgifterna, inte innehöll tillräckliga garantier mot risken för missbruk och olovlig tillgång till uppgifterna. I den delen framhölls att dansk rätt kräver att tjänsteleverantörerna fastställer en säkerhetspolicy vilken som minimum ska säkerställa att det endast är en begränsad personkrets som kan få tillgång till uppgifterna för legitima ändamål och att obehörig lagring, bearbetning, tillgång eller utlämnande av uppgifter inte kan ske. Det påpekades också att leverantörerna ska följa persondatalovens bestämmelser om nödvändiga tekniska och organisatoriska säkerhetsåtgärder. Vidare påpekades att dansk rätt innehåller en skyldighet att radera eller anonymisera uppgifterna vid utgången av lagringstiden.

Vad avser EU-domstolens påpekande om att direktivet inte krävde att uppgifterna lagras inom EU framhölls i rapporten att dansk rätt innebär att personuppgifter får föras över till tredje land endast om det tredje landet säkerställer en adekvat skyddsnivå för uppgifterna, om förutsättningarna i § 27 stycke 3 i persondataloven är uppfyllda, om Datatillsynsmyndigheten har gett tillstånd till överföringen eller om överföringen görs i enlighet med ett avtal som bygger på sådana standardklausuler som godkänts av kommissionen.

I rapportens slutsatsavsnitt framhöll Justitieministeriet att de danska reglerna – på samma generella sätt som direktivet – omfattar alla personer, alla elektroniska kommunikationsmedel och alla trafikdata utan någon form differentiering, begränsning eller undantag som tar hänsyn till målet att bekämpa allvarlig brottslighet. Med

SOU 2015:31 Datalagring

145

hänsyn till att EU-domstolens dom bygger på en samlad bedömning kunde denna omständighet enligt ministeriets uppfattning emellertid inte ensamt anses innebära att de danska reglerna står i strid med rättighetsstadgan. Det framhölls att de danska reglerna är klara och precisa och att de innehåller en rad väsentliga garantier som tar sikte på att effektivt skydda de lagrade uppgifterna mot missbruk och olovlig tillgång. Det påpekades också att dansk rätt, till skillnad från direktivet, innehåller flera materiella och processuella bestämmelser som reglerar tillgången till uppgifterna. Särskilt framhölls att tillgången sker enligt retsplejelovens regler om ingrepp i meddelandehemligheten och/eller edition, vilket medför att flera sådana materiella och processuella bestämmelser blir tillämpliga. Därutöver fastställer dansk rätt en lagringstid om ett år med skyldighet för leverantörerna att därefter radera eller anonymisera uppgifterna. På dessa grunder fann Justitieministeriet vid en samlad bedömning att det inte finns anledning att anta att de danska reglerna om lagring av och tillgång till uppgifter står i strid med rättighetsstadgans bestämmelser om rätt till privatliv och rätt till skydd för personuppgifter.

4.5.2.3 Finland

I Finland har ett lagstiftningsarbete nyligen genomförts vilket har inneburit bl.a. att ett stort antal bestämmelser som reglerar frågor om elektronisk kommunikation har samlats i en ny informationssamhällesbalk. Enligt den proposition som låg till grund för förslaget om balken (RP 221/2013 rd) skulle även det centrala innehållet i den finska datalagringsregleringen föras över i oförändrad form till den nya balken. Propositionen överlämnades emellertid till den finska riksdagen i tiden före EU-domstolens dom och innehåller därför inte några resonemang om finsk rätts förhållande till domen. När lagstiftningsärendet behandlades av den finska riksdagens kommunikationsutskott (KoUB 10/2014 rd) inhämtade utskottet ett utlåtande från grundlagsutskottet vilket däremot innehåller en analys av EU-domstolens dom och dess konsekvenser för den nationella regleringen (GrUU 18/2014 rd s. 4 ff.).

Grundlagsutskottet konstaterade inledningsvis i utlåtandet att det inte följer av domen att en fråga som berörs av ett ogiltigförklarat

Datalagring SOU 2015:31

146

direktiv inte kan vara föremål för nationell lagstiftning. Det framhölls dock att den nationella lagstiftningen i den aktuella situationen måste bedömas inte bara utifrån de nationella grundlagsbestämmelserna utan också med hänsyn till den i domen nämnda EU-stadgan om de grundläggande rättigheterna och dess bestämmelser om respekt för privatlivet (artikel 7) och skydd av personuppgifter (artikel 8). Enligt utskottet måste de anmärkningar som EU-domstolen gjorde läggas till grund för den konstitutionella bedömningen av de finska reglerna. Därmed måste också den nationella regleringen uppfylla de förutsättningar som nämns i domen, även om domen inte direkt gäller den nationella genomförandelagstiftningen. Det framhölls samtidigt att domen inte ger något direkt svar på hur den nationella lagstiftningen ska utformas för att uppfylla kraven på proportionalitet när det gäller privatlivet och personuppgifter. Man måste enligt utskottet dock utgå från att åtminstone sådana bestämmelser strider mot proportionalitetskravet som innebär omfattande, ospecificerad och långvarig lagring av uppgifter i kombination med att myndigheter har ospecificerad och obegränsad tillgång till uppgifterna. Den nationella lagstiftningen måste i vart fall ha betydligt mer exakta bestämmelser om begränsningar i fråga om förvaring och användning än vad som fanns i det ogiltigförklarade direktivet.

När det gäller lagringsskyldighetens utformning konstaterade utskottet att redan omfattningen av de uppgifter som lagras – samtliga personer, samtliga elektroniska kommunikationsmedel och samtliga trafikuppgifter – är problematisk med hänsyn till proportionaliteten. Utskottet ansåg dock att en reglering som avgränsar lagringsskyldigheten i fråga om såväl personkrets som innehåll i meddelanden uppenbarligen skulle vara mycket svårgenomförbar såväl innehållsmässigt som tekniskt. Utskottet menade också att domen inte direkt sätter hinder för en reglering där proportionalitetskraven tillgodoses på andra sätt. Vidare stod det enligt utskottet klart att intresset av att bekämpa allvarlig brottslighet är en grund som talar för bestämmelserna. Regleringen borde därför bedömas även i det perspektivet.

Utskottet konstaterade vidare att innehållet i lagringsskyldigheten inte längre kan anges genom en hänvisning till det ogiltigförklarade direktivet. De uppgifter som ska lagras måste därför specificeras i lagen. Utskottet påpekade därvid att det i lagförslaget måste preciseras vilka uppgifter som är nödvändiga med hänsyn till det bakomliggande syftet med regleringen, dvs. att undersöka, utreda

SOU 2015:31 Datalagring

147

och åtalspröva allvarliga brott. Detta eftersom det inte ansågs kunna förutsättas att uppgifter som inte är nödvändiga för det syftet ska få lagras.

Såvitt avser användningen av de lagrade uppgifterna konstaterade utskottet att den finska lagstiftningen är klart mer exakt än direktivet. Utskottet beaktade i den delen att uppgifterna får användas endast för att undersöka vissa specificerade brott och att endast myndigheter som enligt någon annan lag har rätt att få uppgifterna har tillgång till dem. Den regleringen ansågs uppfylla domens krav på ett objektivt kriterium som gör det möjligt att begränsa antalet personer som är behöriga att få tillgång till och använda de lagrade uppgifterna och endast använda dem i samband med allvarliga brott. Utskottet anförde vidare att det, för att få tillgång till sådana teleövervakningsuppgifter som avses i tvångsmedelslagen och polislagen, krävs domstolstillstånd och att regleringen därför är problemfri även i den delen.

När det gäller lagringstiden konstaterade utskottet att den finska regleringen anger att uppgifterna ska lagras i tolv månader från den dag kommunikationen ägde rum, och att denna tid är kortare än den som direktivet tillät. Utskottet ansåg dock att det i ljuset av EUdomstolens dom är betänkligt att lagringstiden inte är specificerad utifrån den möjliga nytta som uppgifterna kan ge när det gäller att bekämpa allvarlig brottslighet. Grundlagsutskottet rekommenderade därför kommunikationsutskottet att bedöma lagringstiden för uppgifterna med hänsyn till lagens syfte och vid behov gradera lagringstiden för olika uppgifter i antingen tolv månader eller kortare tid.

Kommunikationsutskottet hänvisade i sitt betänkande i stora delar till grundlagsutskottets utlåtande. Utskottet framhöll dock för egen del att skyldigheten att lagra uppgifter för myndigheternas behov endast ska gälla företag som anges genom särskilt beslut av inrikesministeriet. Enligt utskottets uppfattning minskar detta förslag sannolikt antalet lagringsskyldiga teleföretag, vilket samtidigt minskar mängden uppgifter som måste lagras. Vidare framhöll utskottet att lagringsplikten endast gäller sådana uppgifter som teleföretagen också annars lagrar för sina egna behov, t.ex. för att säkerställa att fakturor är korrekta, och att lagringsplikten i första hand säkerställer att uppgifterna finns tillgängliga under längre tid än vad som annars skulle ha varit fallet. Utskottet konstaterade därför att

Datalagring SOU 2015:31

148

lagförslaget ställer upp väsentligt strängare krav och förbehåll för lagringen av uppgifter än vad det ogiltigförklarade direktivet gjorde.

Kommunikationsutskottet menade vidare att det fortfarande finns ett klart och vägande samhälleligt behov av att för myndigheternas behov lagra uppgifter om kommunikation. Det påpekades att kommunikationsnäten och användningen av olika kommunikationsmedel utgör en väsentlig del av människornas vardag och samhället i stort. Utskottet anförde att uppgifter om kommunikation därför oundvikligen har en central roll för myndigheternas förutsättningar att bedriva brottsutredning. Utskottet såg det som nödvändigt att säkerställa att i synnerhet uppgifter som är oumbärliga i polisverksamhet och brottsutredningar fortsatt måste lagras.

När det gäller lagringsskyldighetens omfattning framhöll utskottet att de uppgifter som ska lagras måste preciseras i lag och att det i detta sammanhang måste bedömas vilka av de uppgifter som är nödvändiga med hänsyn till det bakomliggande syftet med regleringen, dvs. att undersöka, utreda och åtalspröva allvarliga brott. Kommunikationsutskottet menade därvid att vissa uppgifter, utifrån tillgänglig utredning, inte kunde anses nödvändiga för utredning av brott eller åtalsprövning. Detta ansågs gälla telefonitjänster i fasta nät (s.k. trådtelefon), e-posttjänster, tilläggstjänster, EMS-tjänster eller multimedietjänster i mobilnät. Utskottet föreslog därför att skyldigheten att lagra uppgifter för myndigheternas behov i fortsättningen ska gälla endast uppgifter som avser mobilnätets telefonitjänster och SMS-tjänster, internettelefonitjänster och internetaccesstjänster. Vidare föreslog utskottet att de uppgifter från respektive tjänst som ska lagras specificeras i en uttömmande förteckning i förordning eller myndighetsföreskrifter.

Kommunikationsutskottet gjorde också, utifrån viss statistik angående åldern på utlämnade uppgifter under 2013, en bedömning av möjligheterna att gradera lagringstiden för olika uppgifter i antingen tolv månader eller kortare tid. Med ledning av den bedömningen föreslog utskottet att lagringstiden införs stegvis så att uppgifter som avser telefonitjänster och textmeddelandetjänster i mobilnät ska lagras i tolv månader, uppgifter om internetaccesstjänster i nio månader och internettelefonitjänster i sex månader räknat från det att kommunikationen inleddes. Det framhölls i betänkandet att utskottet också hade diskuterat och bedömt möjligheten att införa ännu kortare förvaringstider. Utskottet betonade

SOU 2015:31 Datalagring

149

dock att teleföretagen redan nu lagrar uppgifter för egna behov så länge att kortare, enhetligare förvaringstider skulle ändra och försämra balansen mellan regleringens fördelar och nackdelar.

Vidare pekade utskottet på att regeringen föreslagit att lagringsskyldiga företag i fortsättningens ska få registrera också förmedlingsuppgifter och andra uppgifter, till exempel uppgifter som uppkommit genom bläddring av webbsidor, om det är nödvändigt för identifiering av en användare av internetaccesstjänster, elektroniska posttjänster eller internettelefonitjänster. Utskottet konstaterade att motiven till detta förslag pekar på praktiska, med brottsutredning förknippade behov som i sig är relevanta. Trots det ansåg utskottet att det inte är möjligt att efter unionsdomstolens avgörande godkänna att nuvarande lagringsskyldighet utvidgas till den typen av internetbaserade uppgifter. Utskottet föreslog därför att den föreslagna bestämmelsen stryks. Behovet av en sådan bestämmelse och möjligheterna att verkställa den kunde enligt utskottet bedömas senare i samband med uppföljningen av konsekvenserna av propositionen.

Slutligen föreslog kommunikationsutskottet att riksdagen godkänner följande uttalande:

Riksdagen förutsätter att det tillsätts en arbetsgrupp för utvärdering av regleringen av lagring av förmedlingsuppgifter för myndigheternas behov. Arbetsgruppen ska göra en heltäckande utredning av vilka myndighetsbehoven är, om lagringen av uppgifterna och om frågor som hänför sig till integritetsskyddet i samband med lagringen. Utifrån utredningen ska behovet av eventuella ändringar av bestämmelserna bedömas och vid behov utformas ändringsförslag utan onödiga dröjsmål.

Den 15 oktober 2014 godkände riksdagen slutligt förslagen enligt kommunikationsutskottets betänkande.

4.5.2.4 Norge

Norge är inte medlem i EU. Däremot är landet anslutet till avtalet om det europeiska ekonomiska samarbetsområdet (EES-avtalet) vilket syftar till att utvidga EU:s inre marknad till att även omfatta länder i Europeiska frihandelssammanslutningen (Efta). För att EU-rättsakter ska bli bindande för avtalsparterna krävs att lagstiftningen införlivas i avtalet genom att den inkluderas i förteckningen

Datalagring SOU 2015:31

150

över protokoll och bilagor till avtalet. För detta ändamål finns en gemensam EES-kommitté som består av företrädare för EU och de tre Efta-länderna Norge, Island och Schweiz. Kommittén har bl.a. i uppgift att granska nya EU-rättsakter om den inre marknaden och besluta i frågor om vilken lagstiftning som ska införlivas i EESavtalet(se artikel 98 i avtalet), vilket sker genom enhälligt beslut i kommittén (artikel 93.2). Flera tusen akter har på detta sätt införlivats i avtalet. Något beslut om att införliva datalagringsdirektivet har dock inte fattats.

Trots detta lade Norges regering år 2010 fram ett lagförslag till stortinget som syftade till att genomföra datalagringsdirektivet i norsk rätt (prop. 49 L [2010-2011]). Stortinget antog lagförslagen i april 2011 och regleringen skulle därmed ha trätt i kraft under april 2012 (Lovvedtak 46 [2010-2011]). Ikraftträdandet har dock skjutits upp flera gånger, bl.a. i avvaktan på EU-domstolens dom. Sedan domen meddelades har den norska regeringen uttalat att den avser att grundligt gå igenom domen (se t.ex. prop. 1 S [2014-2015] s. 75). Enligt uppgifter i norsk media har statsminister Erna Solberg också uppgett att arbetet med implementeringen har lagts på is tills vidare, men att regeringen har för avsikt att återkomma till stortinget med ett nytt lagförslag vid ett senare tillfälle.3

4.5.2.5 Österrike

I Österrike reglerades skyldigheten att lagra uppgifter om elektronisk kommunikation i 102 a § i telekommunikationslagen (Telekommunikationsgesetz 2003, TKG 2003). Enligt den bestämmelsen skulle leverantörer av allmänna kommunikationstjänster lagra uppgifter om användarnas kommunikation i sex månader från det att kommunikationen avslutades.

Den 27 juni 2014 förklarade Österrikes författningsdomstol (Verfassungsgerichtshof) att de österrikiska reglerna om datalagring, samt vissa regler om de brottsbekämpande myndigheternas tillgång till sådana uppgifter, stod i strid med Österrikes dataskyddslag, vilken har konstitutionell status (mål G 47/2012-49 m.fl.). Dom-

3 Dagbladet, 2014-04-11, Regjeringen legger DLD-arbeidet på is, http://www.dagbladet.no/2014/04/11/nyheter/samfunn/politikk/overvaking/dld/32780686/

SOU 2015:31 Datalagring

151

stolen konstaterade i domen att reglerna om datalagring och de brottsbekämpande myndigheternas tillgång till datalagrade uppgifter innebär intrång i rätten till skydd för personuppgifter enligt dataskyddslagen. Samtidigt påpekade domstolen att dessa regler syftar till att uppnå mål som nämns i artikel 8 i Europakonventionen och att intresset av att uppnå dessa mål väger tungt. Domstolen framhöll dock att gränserna för möjligheterna att inskränka skyddet för personuppgifter är snävare definierat i dataskyddslagen än i artikel 8 i Europakonventionen. Dataskyddslagen tillåter nämligen att intrång görs bara om det är nödvändigt för att skydda ett tyngre vägande legitimt intresse. Uppgifter som till sin natur är särskilt skyddsvärda får därutöver användas bara för att skydda viktiga allmänna intressen och att det i lag föreskrivs tillräckliga skyddsmekanismer som ska syfta till att skydda individens intresse av konfidentialitet. Enligt författningsdomstolen innebär dessa regler att den proportionalitetsbedömning som ska göras enligt Österrikes dataskyddslag är striktare än den som krävs enligt artikel 8 i Europakonventionen.

Författningsdomstolen prövade därefter om reglerna om tillgång till datalagrade uppgifter kunde anses leva upp till konstitutionens krav. Domstolen konstaterade att, enligt en bestämmelse i straffprocesslagen, utlämnande av uppgifter var tillåtet bl.a. om det kunde främja utredningen av ett uppsåtligt brott som kan leda till fängelse i mer än ett år. Sådana utlämnanden skulle begäras av åklagaren baserat på ett tillstånd av domstol, vilket kunde överklagas av rättsskyddsombudet (Rechtsschutzbeauftragter). Domstolen framhöll i den delen att det i och för sig är möjligt för lagstiftaren att knyta möjligheten att få tillgång till lagrade uppgifter till brottens straffskalor, men detta kräver enligt domstolen att lagstiftningen också innehåller bestämmelser som säkerställer att brottets allvar i det enskilda fallet är sådant att det rättfärdigar ett intrång i de konstitutionella rättigheterna. Enligt domstolen var den aktuella bestämmelsen alltför onyanserad i det avseendet, eftersom möjligheten att få tillgång till uppgifter inte var begränsad till brott som antingen leder till höga straff eller vars lösning med nödvändighet kräver tillgång till datalagrade uppgifter. Domstolen ansåg därför att den inte kunde garanteras att den aktuella bestämmelsen bara används i sådana fall där det är nödvändigt för ändamål som anges i artikel 8 i Europakonventionen. Bestämmelsen bedömdes därför vara oproportionerlig och därmed oförenlig med konstitutionen.

Datalagring SOU 2015:31

152

Vidare konstaterade domstolen att säkerhetsmyndigheter under vissa förutsättningar kunde få tillgång till uppgifter om namn och adress för en användare som tilldelats en ip-adress vid en specifik tidpunkt, om uppgiften behövdes för att myndigheten skulle kunna motverka en konkret fara som hotar en individs liv, hälsa eller frihet eller om den behövdes för att avvärja en allvarlig attack eller en kriminell sammanslutning. Domstolen noterade att säkerhetsmyndigheterna kunde få tillgång till dessa uppgifter utan domstolsprövning. Däremot krävdes att rättsskyddsombudet skulle underrättas så fort som möjligt. Vidare konstaterades att bestämmelsen saknade begränsningar relaterade till allvaret i en förestående händelse. Även denna reglering bedömdes därför vara oproportionerlig. Domstolen framhöll att den bedömningen inte förändrades av det faktum att reglerna endast gav säkerhetsmyndigheterna tillgång till uppgifter om namn och adress.

Vad därefter gäller själva lagringsplikten konstaterade författningsdomstolen inledningsvis att lagringen omfattade en stor del av Österrikes befolkning, och att den nästan uteslutande träffade enskilda individer som inte agerat på ett sätt som skulle ha kunnat rättfärdiga att deras uppgifter lagrades. Domstolen slog vidare fast att, även om innehållet i kommunikationen inte sparades, det inte kunde uteslutas att de lagrade uppgifterna skulle kunna användas för att dra slutsatser om enskilda som står i strid med den konstitutionella rätten till skydd för personuppgifter. I det sammanhanget beaktades även att antalet leverantörer av kommunikationstjänster med tillgång till lagrade uppgifter är stort, och att den österrikiska lagstiftningen, även om den innehöll skyddsbestämmelser som gick utöver vad datalagringsdirektivet krävde, inte innehöll något straffrättsligt skydd mot missbruk av uppgifterna. Vidare beaktades att det hade framkommit att varken Dataskyddskommissionen eller Dataskyddsmyndigheten hade gjort några kontroller för att säkerställa att skyddsreglerna efterlevs under den tid som regleringen hade varit i kraft. Domstolen tog också hänsyn till att de individer, vars uppgifter sparades utan att de gett någon anledning till det, inte hade någon möjlighet att utöva sin rätt enligt dataskyddslagen att kräva att uppgifterna raderades. Enligt domstolen var reglerna i det avseendet inte tillräckligt specificerade för att leva upp till dataskyddslagens krav. Domstolen ansåg också att det var oklart om skyldigheten att radera uppgifter efter lagrings-

SOU 2015:31 Datalagring

153

tidens slut innebar att uppgifterna måste utplånas rent fysiskt, eller om den endast innebar att vidare tillgång till uppgifterna skulle förhindras.

Slutligen framhöll författningsdomstolen särskilt att skyldigheten att lagra uppgifter helt skulle förlora sin mening i och med att domstolen funnit att reglerna om de brottsbekämpande myndigheternas tillgång till de lagrade uppgifterna skulle upphävas. Att lagra uppgifter utan ett specifikt syfte skulle enligt domstolen under alla förhållanden vara oförenligt med konstitutionen. Mot den bakgrunden fastslog domstolen att även reglerna om lagringsskyldigheten var oproportionerliga.

4.5.2.6 Nederländerna

I Nederländerna regleras skyldigheten att lagra uppgifter om elektronisk kommunikation i telekommunikationslagen (Telecommunicatiewet). Enligt lagen ska leverantörer av allmänna telekommunikationsnät och telekommunikationstjänster lagra uppgifter som genereras eller behandlas i verksamheten för att dessa ska kunna användas vid utredning och åtal av allvarliga brott. Lagringsperioden är ett år för uppgifter om fast och mobil telefoni samt för uppgifter om vissa former av internettelefoni. För andra uppgifter om internetanvändning är lagringsperioden sex månader. De uppgiftskategorier som ska lagras överensstämmer med de som skulle lagras enligt datalagringsdirektivet.

De brottsbekämpande myndigheternas tillgång till uppgifter som lagras regleras i straffprocesslagen (Wetboek van Strafvordering). Enligt den lagstiftningen har åklagare (officier van justitie) befogenhet att begära trafikuppgifter, under förutsättning att det föreligger antingen misstanke om ett brott som kan leda till häktning eller en rimlig misstanke om att ett allvarligt lagbrott planeras eller utförs i organiserade former. Vid sidan av åklagare får även utredare begära så kallade användaruppgifter, dvs. uppgifter om namn, adress, plats,

4 Den 11 mars 2015 ogiltigförklarade en distriktsdomstol i Haag de nederländska datalagringsreglerna (Rechtbank Den Haag, C09/480009/KG ZA 14/1575). I skrivandets stund är det fortfarande möjligt att överklaga domen (se t.ex. http://blogs.wsj.com/digits/2015/03/11/dutch-court-strikes-down-countrys-data-retentionlaw/). Eftersom domen meddelades först i samband med att detta betänkande lämnades till tryck har vi inte haft möjlighet att göra någon analys av domen i betänkandet.

Datalagring SOU 2015:31

154

nummer och typ av tjänst. Befogenheten att begära sådana uppgifter är inte begränsad till utredningar om allvarliga brott, däremot krävs att det föreligger antingen misstanke om brott eller en rimlig misstanke om att brott planeras eller utförs i organiserade former.

Vidare finns vissa särskilda befogenheter när det gäller kontraterrorism. Enligt dessa regler får åklagare begära ut trafikuppgifter i de fall där det finns indikationer på ett terroristbrott. Vid sidan av åklagare får även utredare begära ut användaruppgifter. Under en förberedande utredning som bedrivs med målet att förbereda för en förundersökning om terroristbrott, har åklagare också befogenhet att begära ut datafiler från allmänna och privata institutioner i syfte att söka efter vissa handlingsmönster hos individer som är av betydelse vid bekämpning av terrorism. Denna befogenhet, som kräver godkännande av en domare, gäller generellt och kan således användas även mot leverantörer av elektroniska kommunikationstjänster.

Säkerheten för de uppgifter som lagras enligt de nederländska reglerna regleras av dataskyddslagen (Wet bescherming persoonsgegevens) och telekommunikationslagen. Denna reglering kräver att leverantörerna vidtar lämpliga tekniska åtgärder för att skydda de lagrade uppgifterna från otillåten användning, för att säkerställa att tillgång till uppgifterna bara ges till särskilt utsedda personer och för att se till att uppgifterna omedelbart raderas efter lagringstidens utgång. Personuppgifter som lämnas ut till polisen ska behandlas i enlighet med polisdatalagen (Wet politiegegevens). Kontrollen över att skyddsreglerna följs utövas av Telekommyndigheten (Agentschap Telecom) och av Konsument- och marknadsmyndigheten (Autoriteit Consument en Markt) i samarbete med Dataskyddsmyndigheten (College bescherming persoonsgegevens).

Den 17 november 2014 överlämnade Nederländernas dåvarande säkerhets- och justitieminister Ivo Opstelten en skrivelse till det nederländska parlamentet.5 I skrivelsen redogjorde ministern för regeringens analys av konsekvenserna av EU-domstolens dom för det nationella regelverket om lagring av uppgifter om elektronisk kommunikation. Inledningsvis framhölls i analysen att EU-domstolens dom inte innebär att den nederländska lagstiftningen på området är ogiltig. Däremot påpekades att reglerna måste stå i överensstämmelse med de grundläggande rättigheterna till skydd för

5 Referensnummer 586638.

SOU 2015:31 Datalagring

155

privatliv och personuppgifter enligt den nya tolkning som dessa rättigheter har fått genom domen. Regeringen framhöll dock även att tvingande regler om datalagring är ett oumbärligt verktyg vid utredning och åtal av allvarliga brott.

När det gäller lagringsskyldighetens omfattning noterades att datalagringsreglerna syftar till att säkerställa att historiska uppgifter om elektronisk kommunikation finns tillgängliga, om det i efterhand visar sig att sådana uppgifter är relevanta för utredning och åtal för brott. Eftersom det inte är möjligt att på förhand skilja mellan misstänkta och icke misstänkta individer, bedömdes det nödvändigt att lagringsskyldigheten omfattar samtliga personers trafikuppgifter. Enligt regeringens uppfattning borde EU-domstolens kritik av direktivet i den delen, d.v.s. att direktivet träffar alla personer utan begränsningar i förhållande till syftet att bekämpa brott, tolkas i sitt sammanhang. Regeringen fastslog därvid att domen inte kan tolkas så att samtliga omständigheter som domstolen tog upp måste vara uppfyllda i nationell rätt för att kravet på proportionalitet ska kunna anses tillgodosett. I sådana fall skulle det ha varit tillräckligt för domstolen att konstatera att direktivet föreskrev lagring av samtliga personers uppgifter – utan begränsningar i förhållande till syftet att bekämpa brott – för att komma till slutsatsen att direktivet var ogiltigt. Regeringen framhöll att domstolen i stället gjorde en samlad bedömning av samtliga omständigheter som togs upp i domen. Enligt regeringens mening borde domen därför uppfattas på så sätt att domstolen ansett att det faktum, att direktivet inte krävde en koppling mellan den person vars uppgifter lagras och ett allvarligt brott, visserligen kan innebära ett allvarligt ingrepp i rätten till privatliv, men att allvaret i detta ingrepp kan vägas upp genom tillräckliga garantier och skyddsmekanismer när det gäller metoderna för lagring, behandling och tillgång till uppgifterna.

Vad därefter gäller lagringstiden framhölls i analysen att syftet med datalagringsregleringen är att vissa uppgifter om elektronisk kommunikation måste finnas tillgängliga för utredning av allvarliga brott. Ett krav på differentiering av lagringstiden för varje enskild uppgiftskategori bedömdes vara oförenligt med detta syfte, eftersom man inte på förhand kan veta för vilken typ av brottslighet som en viss uppgift eventuellt kommer att begäras ut. Regeringen fann därför att reglerna om lagringstiden borde kvarstå oförändrade. EU-domstolens krav på att lagringstiden ska styras av ett

Datalagring SOU 2015:31

156

objektivt kriterium som relaterar till syftet att bekämpa brott bedömdes i stället kunna tillgodoses på andra sätt. Regeringen framhöll att en möjlighet till differentiering skulle kunna vara att den tidsperiod, under vilken de brottsbekämpande myndigheterna har möjlighet att få tillgång till uppgifterna görs olika lång beroende på allvaret i det brott som utreds.

När det sedan gäller regleringen av tillgången till uppgifter framhöll regeringen att denna fråga redan är strikt reglerad i nederländsk rätt. Det konstaterades att, till skillnad från regleringen i direktivet, möjligheterna att få tillgång till trafikuppgifter är begränsade till fall som gäller allvarliga brott. Regeringen uttalade dock att den, med anledning av EU-domstolens dom, har för avsikt att föreslå några nya skyddsåtgärder i syfte att ytterligare begränsa tillgången. För det första anförde regeringen att det ska införas ett system för differentiering av den tidsperiod under vilken myndigheter kan få tillgång till uppgifter. Detta system kommer enligt regeringen att syfta till att hela lagringsperioden används endast vid de allvarligaste kategorierna av brottslighet som också har de strängaste straffen. I fråga om andra brott, där myndigheterna i och för sig kan begära uppgifter men som inte har lika stränga straff, ska möjligheten att få ut uppgifter gälla under en kortare tidsperiod.

För det andra anförde regeringen att ett system med rättslig prövning kommer att föreslås, i syfte att i högre grad säkerställa att lagrade uppgifter bara används i sådana situationer där det finns tillräcklig anledning till det. Enligt regeringen kommer straffprocesslagen därför att ändras på så sätt att en begäran om trafikuppgifter kommer att kräva förhandsgodkännande av en domare. Däremot ansåg regeringen att det inte finns anledning att ändra reglerna vad gäller möjligheten att begära s.k. användaruppgifter. I den delen beaktades att de uppgiftskategorierna är klart mer begränsade, och att det inte är möjligt att dra några slutsatser som rör privatlivet av uppgifterna. Regeringen ansåg därför att lagringen av dessa uppgifter måste bedömas annorlunda än lagringen av trafikuppgifter.

När det slutligen gäller säkerheten för de lagrade uppgifterna konstaterade regeringen att den nederländska lagstiftningen redan innehåller skyddsmekanismer och regler som innebär att de lagringsskyldiga leverantörerna måste vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa säkerheten för de nätverk och tjänster som de tillhandahåller. Dessa åtgärder ska syfta till att

SOU 2015:31 Datalagring

157

skydda uppgifterna mot förstöring, förlust, förändring och mot otillåten lagring, behandling, tillgång eller avslöjande. Vidare är leverantörerna skyldiga att se till att endast behöriga personer kan få tillgång till uppgifterna. Det framhölls att reglerna inte ger leverantörerna utrymme för att ta ekonomiska hänsyn vid utformningen av skyddet. Regeringen hänvisade även till en rapport, utgiven av näringsministern år 2013, av vilken det framgick att leverantörerna generellt sett följer säkerhetsreglerna. Mot den angivna bakgrunden ansåg regeringen att nederländsk rätt och dess tillämpning i huvudsak lever upp till EU-domstolens krav på säkerhet för uppgifter som lagras. Regeringen påpekade dock att de nederländska reglerna inte kräver att uppgifterna lagras inom EU, och att detta innebär att det inte fullt ut kan garanteras att Dataskyddsmyndigheten kan övervaka säkerheten och skyddet för uppgifterna. Regeringen uttalade att den därför har för avsikt att ändra regleringen så att leverantörerna blir skyldiga att lagra uppgifterna inom unionen.

159

5 Vilka uppgiftskategorier ska lagras?

5.1 Inledning

Enligt våra direktiv ska vi föreslå de förändringar som, utifrån analysen av datalagringsdomen och svensk rätt, bedöms lämpliga för att stärka skyddet för den personliga integriteten i förhållande till reglerna om lagring av uppgifter enligt 6 kap. 16 a–f §§ LEK och övriga bestämmelser om tillgång till och behandling av sådana uppgifter. I analysen gjordes bedömningen att det kan ifrågasättas om det finns behov av att lagra vissa av de uppgiftskategorier som lagras enligt dagens regler och att det finns anledning att analysera detta närmare i det fortsatta arbetet. En av de frågor som utredningen har att överväga är därför om lagringsskyldigheten bör begränsas avseende några av dessa uppgiftskategorier.

5.2 Uppgifter som lagras

5.2.1 Lagringsskyldigheten enligt datalagringsdirektivet

Artikel 5 i datalagringsdirektivet var uppdelad utifrån olika ändamål för vilka uppgifterna skulle lagras. I anslutning till respektive ändamål angavs exempel på den typ av trafikuppgifter som skulle lagras för respektive kommunikationssätt. Lagringsskyldigheten enligt datalagringsdirektivet omfattade uppgifter som genereras eller behandlas av leverantörer av allmänt tillgängliga elektroniska kommunikationstjänster eller allmänna kommunikationsnät inom statens territorium, under förutsättning att uppgifterna tillhör någon av de kategorier som specificerades i artikel 5 i direktivet.

Vilka uppgiftskategorier ska lagras? SOU 2015:31

160

Uppgifter som är nödvändiga för att spåra och identifiera en

kommunikationskälla (punkten 1a) omfattade, beträffande fast och

mobil telefoni, det uppringande telefonnumret och abonnentens eller den registrerade användarens namn och adress. När det gäller internetåtkomst, internetbaserad e-post och internettelefoni omfattades uppgift om tilldelad användar-id (som är en unikt id som tilldelas den som abonnerar på eller registrerar sig på en internetåtkomsttjänst eller en internetkommunikationstjänst, artikel 2.2d). Användar-id och telefonnummer som tilldelats kommunikationen i det allmänna telenätet liksom namn på och adress till den abonnent eller registrerade användare som ip-adressen, användar-id eller telefonnumret tilldelades vid tidpunkten för kommunikationen omfattades också av lagringsskyldigheten enligt direktivet.

Uppgifter som är nödvändiga för att identifiera slutmålet för en

kommunikation (punkten 1b) omfattade, beträffande fast och mobil

telefoni, det eller de nummer som slagits samt abonnentens eller den registrerade användarens namn och adress. Slutmålet för internetbaserad e-post och internettelefoni omfattade uppgifter om användarid eller telefonnummer som tilldelats den avsedda mottagaren av samtalet samt namn på och adress till abonnenten eller den registrerade användaren och den användar-id som tilldelats den avsedda mottagaren av kommunikationen.

När det gäller uppgifter som är nödvändiga för att identifiera

datum, tidpunkt och varaktighet för en kommunikation (punkten 1c)

avsågs beträffande fast och mobil telefoni datum och tid för ett samtals påbörjande och avslutande. För internetåtkomst, internetbaserad e-post och internettelefoni avsågs datum och tid för på- respektive avloggning i tjänsten inom en given tidszon samt beträffande internetåtkomsttjänsten även tilldelad ip-adress och användar-id.

För att identifiera typ av kommunikation (punkten 1d) skulle uppgift om telefoni- eller internettjänst lagras.

För att identifiera användarnas kommunikationsutrustning (punkten 1e) skulle lagring ske av det uppringande och det uppringda telefonnumret vid fast och mobil telefoni. När det gäller mobiltelefoni skulle lagringen därutöver omfatta den uppringande respektive den uppringda partens IMSI (International Mobile Subscriber Identity) och IMEI (International Mobile Equipment Identity) samt, vid förbetalda anonyma tjänster, datum och tid för den första aktiveringen av tjänsten och den lokaliseringsbeteckning (cell-id) från

SOU 2015:31 Vilka uppgiftskategorier ska lagras?

161

vilken tjänsten aktiverades. Lokaliseringsbeteckningen definierades i direktivet som identiteten hos den cell från vilken ett mobiltelefonsamtal påbörjades eller avslutades (artikel 2.2e). Varje basstation i kommunikationsnätet har nämligen en beteckning som är unik för stationen, ett cell-id. När det gäller internetåtkomst, internetbaserad e-post och internet-telefoni gällde lagringen uppringande telefonnummer och DSL (Digital Subscriber Line) eller annan slutpunkt för kommunikationens avsändare.

För att identifiera lokaliseringen av mobil kommunikations-

utrustning (punkten 1f) krävdes slutligen lagring av lokaliserings-

beteckning (cell-id) för kommunikationens början samt uppgifter som identifierar cellernas geografiska placering genom referens till deras cell-id under den period som kommunikationsuppgifterna lagras.

5.2.2 Lagringsskyldigheten enligt svensk rätt

Lagringsskyldighetens omfattning enligt svensk rätt regleras i 6 kap. 16 a § LEK samt i 39–43 §§ förordningen om elektronisk kommunikation. Dessa bestämmelser omfattar samtliga de uppgiftskategorier som angavs i artikel 5 i datalagringsdirektivet, men de är i viss mån annorlunda strukturerade och definierade. Skälet till detta angavs vid genomförandet främst vara att få till stånd en tydlig och teknikneutral reglering (prop. 2010/11:46 s. 27). Exempelvis användes det vidare begreppet lokaliseringsinformation i stället för direktivets ”lokaliseringsbeteckning (cell-id)” (a. prop. s. 33). Vid genomförande av direktivet beslutades även att lagringsskyldigheten på två punkter skulle gå utöver den lagringsskyldighet som direktivet krävde. Leverantörerna ålades att lagra även uppgifter om misslyckad uppringning och uppgifter om lokalisering av mobilsamtals slut. I motiven anfördes att dessa uppgifter var av stort värde för de brottsbekämpande myndigheterna och att det, även med beaktande av integritets-, kostnads- och konkurrensaspekter, bedömdes att en sådan lagringsskyldighet var proportionerlig i förhållande till ändamålet att beivra brott (a. prop. s. 31 f.). Ett lagringskrav som omfattade även lokaliseringsuppgifter beträffande pågående kommunikation, något som vissa brottsbekämpande myndigheter hade anfört att det

Vilka uppgiftskategorier ska lagras? SOU 2015:31

162

fanns ett behov av, ansågs däremot inte proportionerligt och infördes därför inte (a. prop. s. 35).

5.3 Behovet av lagrade uppgifter

Som redan har framhållits råder det inte någon tvekan om att uppgifter om elektronisk kommunikation är av stort värde för att kunna upptäcka och utreda brott, inte minst vad gäller grov och organiserad brottslighet. För vissa typer av internetrelaterad brottslighet, som exempelvis barnpornografibrott, är trafikuppgifter också av avgörande betydelse för att kunna identifiera en misstänkt gärningsman.

Digitala spår blir en allt viktigare del i polisiärt arbete. Allt oftare utgör t.ex. en ip-adress det första spåret i en utredning av ett anmält brott. Detta medför att uppgift om vem som var abonnent på den aktuella ip-adressen vid en specifik tidpunkt eller under en specifik tidsperiod blir helt avgörande för hur ärendet hanteras vidare. Polisen har vidare påpekat att det ofta är analys av historiska trafikuppgifter, kopplat mot andra underrättelser, som utgör grunden för att ärenden om t.ex. grovt narkotikabrott når framgång. Ofta är det inte möjligt att i ett senare skede använda sig av andra hemliga tvångsmedel som t.ex. hemlig avlyssning av elektronisk kommunikation utan att först ha tillgång till historiska trafikuppgifter som visar vilka abonnemang som en misstänkt person använder sig av. Uppgifter inhämtas enligt polisen främst vid brott som inte är spontana utan som föregås av planering, där trafikuppgifter kan leda fram till vilka personer som deltagit och var dessa har befunnit sig, samt vid brott där det typiskt sett är av betydelse var personer har befunnit sig. En begränsande faktor är det förhållandet att det är tidskrävande att gå igenom materialet vilket gör att man undviker att begära in uppgifter för längre tid än nödvändigt.

Enligt utredningens mening står det klart att lagringen av uppgifter som helhet fyller en viktig funktion i den brottsbekämpande verksamheten (se avsnitt 3.5.2). Vid prövningen av om lagringen också är proportionerlig, dvs. att den inte sträcker sig längre än vad som är strikt nödvändigt för att nå de eftersträvade målen, måste dock behovet av de enskilda kategorierna av uppgifter som lagras

SOU 2015:31 Vilka uppgiftskategorier ska lagras?

163

bedömas och vägas mot intresset av skydd för enskildas personliga integritet.

I samband med analysen identifierades några uppgiftskategorier beträffande vilka det ansågs kunna ifrågasättas om lagringen utgör en proportionerlig åtgärd (se Ds 2014:23 s. 52). Såvitt avser telefoni angavs detta gälla uppgifter om s.k. IMSI-nummer (del av 40 § punkten 1 förordningen om elektronisk kommunikation), eftersom denna information går att få fram genom SIM-kortets telefonnummer, lokaliseringsuppgifter om den första aktiveringen av en förbetald anonym tjänst (del av 40 § punkten 3 förordningen om elektronisk kommunikation) och uppgifter som identifierar den utrustning där kommunikation via ip-telefoni slutligt avskiljs från den lagringsskyldige till den enskilda abonnenten (41 § punkten 3 förordningen om elektronisk kommunikation). Såvitt avser internetåtkomst och tillhandahållande av internetåtkomst ansågs lagringsskyldigheten kunna ifrågasättas beträffande uppgifter om den typ av kapacitet för överföring som har använts och uppgifter som identifierar den utrustning där kommunikationen slutligt avskiljs från den lagringsskyldige till den enskilda abonnenten (43 § punkterna 4 och 5 förordningen om elektronisk kommunikation).

Utredningen har inhämtat uppgifter från både Polismyndigheten och Säkerhetspolisen vad gäller behovet av dessa kategorier av uppgifter.

När det gäller IMSI-nummer så kan denna uppgift enligt Säkerhetspolisen jämställas med telefonnummer eftersom uppgiften är unik och kan knytas till abonnemanget. IMSI är den identitet som mobiltelefonen använder sig av för att i luftgränssnittet identifiera sig mot basstationer. Det faktiska mobiltelefonnumret, MSISDN, är alltid knutet till en unik IMSI vilket gör att styrningen av samtal till och från mobiltelefonen går rätt.

Myndigheterna har framfört att det finns ett stort behov av att kunna få ut uppgifter om IMSI-nummer och vilket telefonnummer som IMSI-numret är knutet till. I fall där polisen ska inhämta trafikuppgifter från en operatör som i sitt elektroniska kommunikationsnät också hyr ut tjänster till en s.k. virtuell mobiloperatör, MVNO1, kan det vara så att IMSI-numret, som identitet på abonnemanget, är det sökbegrepp som krävs för att få tillgång till trafikuppgifterna. Likaså

1 Mobile Virtual Network Operator.

Vilka uppgiftskategorier ska lagras? SOU 2015:31

164

krävs IMSI för att hos en MVNO få tillgång till eventuella abonnentuppgifter, inklusive telefonnummer, som i de flesta fall endast finns hos MVNO och inte hos nätoperatören. I de fall som frågan ställs till en MVNO, så krävs det att MVNO har lagrat telefonnummer och IMSI och att sedan IMSI-numret används för att i efterföljande fråga till nätoperatören få ut trafikuppgifter. Polisen måste alltså först rikta frågan till den virtuelle operatören för att få fram IMSInumret och därefter till nätoperatören som baserat på IMSInumret kan ta fram trafikuppgifter. I de fall där polisen använder tekniska hjälpmedel i luftgränssnittet för att identifiera den misstänktes mobiltelefon, så erhålls IMSI-numret som sedan används för att hos operatören knyta det till ett telefonnummer och en eventuell abonnent. Det är viktigt att både telefonnummer och IMSI-nummer sparas av operatören då användaren vid byte till ett nytt SIM-kort kan erhålla ett nytt IMSI-nummer men behålla sitt gamla telefonnummer. Det blir allt vanligare att anonyma abonnemang används i brottslig verksamhet. Då krävs tekniska hjälpmedel för att i luftgränssnittet identifiera den misstänktes mobila kommunikationsutrustning. Det är därför inte tillräckligt med lagringsskyldighet enbart för uppgift om telefonnumret, utan både telefonnummer (MSISDN) och IMSI-nummer krävs för att möta de brottsbekämpande myndigheternas behov.

När det gäller uppgifter om den första aktiveringen av en förbetald anonym mobiltelefonitjänst har Säkerhetspolisen framhållit att det blir att vanligare att personer, som planerar att begå brottsliga handlingar, förser sig med ett stort antal mobiltelefoner med anonyma abonnemang. Mobiltelefonerna aktiveras men används inte för samtal förrän vid tidpunkten för brottet. Anledningen till att kravet på att dessa uppgifter ska lagras infördes i datalagringsdirektivet var terroristattackerna i Madrid. Den tekniska undersökningen visade att mobiltelefoner använts som utlösare till bomberna. Vid den fortsatta utredningen kunde man konstatera att de mobiltelefoner som använts hade varit aktiverade vid en särskild tidpunkt och i samma geografiska område vilket senare ledde till att gärningsmännen kunde lokaliseras och gripas. För att illustrera behovet av att uppgifter om den första aktiveringen av ett abonnemang lagras av operatörerna kan enligt Säkerhetspolisen ett hypotetiskt fall användas som exempel. Inkommer ett hot om en terroristattack mot exempelvis en flygplats, kan aktiverade men inte använda mobiltelefoner finnas

SOU 2015:31 Vilka uppgiftskategorier ska lagras?

165

i området. Har abonnemangen dessutom varit aktiva i området under längre tid, kan de misstänkas vara utlösare till bomber. En blockering av kommunikation, med stöd av hemlig övervakning av elektronisk kommunikation, till de aktuella mobiltelefonerna kan förhindra att bomberna utlöses. Användningen av anonyma abonnemang gör att uppgifter om mobiltelefonernas lokalisering blir allt viktigare för att knyta sådana abonnemang till den misstänkte. För att kunna göra detta krävs att datum, spårbar tid och lokaliseringsinformation lagras. Dessa uppgifter är nödvändiga för att kunna identifiera användarens kommunikationsutrustning eller den utrustning som denne tros ha använt. Det har enligt myndigheterna visat sig att uppgifter om vilka mobiltelefoner som befunnit sig i det geografiska område där ett brott begåtts i ibland kan vara det enda spår en utredning kan utgå ifrån.

Myndigheterna har också framfört att gärningsmän som begår planerade grova brott ofta har som praxis att använda anonyma abonnemang. Att få tillgång till de aktuella uppgifterna hjälper polisen att få reda på om det identifierade abonnemanget är en möjlig ”brottslur”, dvs. ett abonnemang som använts endast strax före, under och kanske direkt efter ett brott. Enligt polisen kan uppgifterna om kontantkorten på detta sätt skapa nya ingångar och föra utredningen framåt. Detta kan enligt Säkerhetspolisen exempelvis relateras till terrorattackerna i Paris där en gärningsman hade 13 mobiltelefoner. Behovet av att kunna få uppgifter om var dessa telefoner varit aktiverade, även om de inte använts, kan vara mycket värdefull information i det fortsatta kartläggningsarbetet för att eventuellt konstatera om det fanns medgärningsmän.

Uppgifter som vid ip-telefoni och internetåtkomst identifierar den utrustning där kommunikationen slutligt avskiljs från den lagringsskyldige till den enskilda abonnenten är enligt myndigheterna nödvändiga för att identifiera användares kommunikationsutrustning eller den utrustning som de förmodas ha använt. Det är ofta så att en operatör inte har ett ansvar för hela kommunikationskedjan, utan ansvaret avslutas vid en slutpunkt där kommunikationen avskiljs vilket kan vara en anslutningspunkt till ett privat fastighetsnät eller till en annan operatör, exempelvis ett stadsnät. Dessa punkter där kommunikationen avskiljs är viktiga för polisen att kunna få uppgifter om. Det kan innebära att kontakter kan tas med fastighetsägaren för vidare utredning eller att kontakter tas med stadsnätet

Vilka uppgiftskategorier ska lagras? SOU 2015:31

166

för att få tillgång till resterande uppgifter. Myndigheterna har framhållit att det i dessa fall skulle vara svårt – om inte omöjligt – att identifiera ”slututrustningen” om inte uppgifter som identifierar den utrustning där kommunikationen slutligt avskiljs från den lagringsskyldige finns att tillgå. Enligt myndigheterna är det alltså egentligen inte den ”första utrustningen” som är intressant. Men för att kunna få reda på vilken som är den ”sista utrustningen” behövs uppgiften för att på så sätt kunna leda fram till rätt slutanvändare.

Polisen har också framhållit att huvudregeln bör vara att leverantörerna så långt som möjligt ska lagra och lämna ut de uppgifter som kan identifiera slutanvändaren. Enligt polisen är detta ytterst en fråga om rättssäkerhet för att säkerställa att åtgärderna riktas mot rätt person. Alternativet kan vara att åtgärderna inte kan genomföras.

När det slutligen gäller uppgifter om den typ av kapacitet som har använts för internetåtkomst har myndigheterna framfört att behovet av sådana uppgifter hänger samman med att ansvaret för kommunikationskedjan blir allt mer uppsplittrat. Den som tillhandahåller internetåtkomst har inte alltid uppgifter om var användaren finns rent geografiskt utan endast om att han eller hon har anslutit via en operatör som tillhandhållit en fiberanslutning. Var fiberanslutningen terminerar har endast den som tillhandahåller kapacitet för internetåtkomst, dvs. fiberanslutningen, uppgifter om. Polisen måste därför kontakta den operatör som tillhandahåller fiberanslutningen för att få uppgift om den geografiska plats där användaren finns. Om inte uppgifter om kapacitet för internetåtkomst lagras, kan det innebära att myndigheten inte kan reda ut på vilken geografisk plats användaren befinner sig. Den som tillhandahåller internetåtkomst ska således lagra uppgifter om vilken operatör det är som tillhandahåller kapacitet för internetåtkomst, exempelvis fiber. Genom denna uppgift kan myndigheten få reda på vilken leverantör man ska vända sig till för att få uppgifter om användarens kommunikation. Enligt myndigheterna är det också nödvändigt att kunna göra en kartläggning över en misstänkt persons möjligheter till kommunikation. Om det till exempel kommer fram att den misstänkte har en fiberförbindelse, så kan det innebära att misstankarna stärks och att man kan misstänka att förbindelsen utnyttjas till att kommunicera i brottsliga syften. Möjligheten att få en bild av en misstänkts kommunikationsmöjligheter är alltså viktig och kan också vara underlag för att sätta in tvångsmedel på rätt ställen. Myndigheterna

SOU 2015:31 Vilka uppgiftskategorier ska lagras?

167

har vidare betonat att, om myndigheterna inte kan få uppgifter om kapacitet för internetåtkomst, så kan det – i de fall det rör sig om kriminella organisationer som hyr en fiberförbindelse till en lokal varifrån brottslig verksamhet bedrivs – innebära att både platsen för lokalen och den kriminella verksamheten kan döljas. Myndigheterna har samtidigt framhållit att de aktuella uppgifterna visserligen finns hos tjänsteleverantören utan ett krav på lagring. Men om de inte uttryckligen omfattas av lagringskravet, så kan det hända att leverantören vägrar att lämna ut uppgifterna eller lämnar ut dem i ett format som inte enkelt kan läsas.

5.4 Utredningens bedömning

Utredningens bedömning: Det bör inte göras några förändringar i

fråga om vilka uppgifter som ska lagras enligt datalagringsreglerna.

Lagring av uppgifter om elektronisk kommunikation är en åtgärd som inkräktar på rättigheter som enskilda är tillförsäkrade enligt regeringsformen, Europakonventionen och EU:s rättighetsstadga. För att en sådan åtgärd ska vara godtagbar krävs att den objektivt sett är ägnad att uppnå syftet med åtgärden och att den är proportionerlig (se även artikel 15 i direktiv 2002/58/EG). En åtgärd kan anses proportionerlig bara om den avgränsas på ett sådant sätt att integritetsintrånget inte blir större än vad som är strikt nödvändigt för att uppnå det eftersträvade målet.

Som nämnts ovan gjordes i analysen bedömningen att det kan ifrågasättas om det finns behov av att lagra vissa av de uppgiftskategorier som lagras enligt dagens regler. Av de uppgifter som polisen nu har lämnat till utredningen framgår dock att samtliga uppgiftskategorier som lagras enligt dagens regler bedöms vara av stor vikt för den brottsbekämpande verksamheten.

I samband med vår kartläggning av inhämtningslagen (se avsnitt 9) har det kommit fram att inhämtningen enligt den lagen i princip uteslutande avser uppgifter om mobiltelefoni. Genom de uppgifter som kommit fram vid kartläggningen – samt de uppgifter som Polismyndigheten och Säkerhetspolisen har lämnat – anser vi att det är klarlagt att det finns ett stort behov av att de uppgifts-

Vilka uppgiftskategorier ska lagras? SOU 2015:31

168

kategorier som lagras beträffande mobiltelefoni även i fortsättningen omfattas av lagringsskyldigheten.

När det gäller behovet av att vid internetåtkomst lagra uppgifter om den typ av kapacitet för överföring som har använts och uppgifter som identifierar den utrustning där kommunikationen slutligt avskiljs från den lagringsskyldige till den enskilda abonnenten ger det som kommit fram vid vår kartläggning inte någon ledning. Av de uppgifter som Polismyndigheten och Säkerhetspolisen har lämnat framgår dock att det i vissa situationer kan finnas ett stort behov av dessa uppgifter. Enligt vår mening saknas det anledning att ifrågasätta att det förhåller sig på det sättet.

Beträffande några uppgiftskategorier, nämligen uppgifter om typ av kapacitet som används för internetåtkomst samt i vissa fall uppgifter om IMSI-nummer, har det visserligen kommit fram att leverantörerna har tillgång till dessa även utan krav på obligatorisk lagring. För dessa uppgifter skulle det kunna övervägas att upphäva lagringsskyldigheten. Eftersom uppgifterna ändå finns tillgängliga skulle detta emellertid inte leda till någon förstärkning av skyddet för enskildas integritet. Utan ett lagringskrav finns det inte heller några garantier för att dessa uppgifter även i framtiden kommer att sparas av leverantörerna. Enligt utredningens uppfattning utgör dessa omständigheter tillräckliga skäl för att inte föreslå några förändringar beträffande de aktuella uppgifterna.

Sammantaget står det enligt utredningens uppfattning klart att lagringsskyldighetens inte omfattar annat än vad som är strikt nödvändigt för att uppnå syftet med regleringen. Det bör därför inte göras några förändringar i fråga om vilka uppgiftskategorier som ska lagras.

169

6 Krav på lagring inom EU?

6.1 Inledning

Enligt EU-domstolen är den oberoende myndighetskontrollen en grundläggande beståndsdel i skyddet för enskilda individer i samband med behandlingen av personuppgifter. Domstolen pekade i datalagringsdomen på att en brist i datalagringsdirektivet var att denna kontroll av att skydds- och säkerhetskraven för de lagrade uppgifterna följs – vilket föreskrivs i artikel 8.3 i stadgan – inte fullt ut kunde anses vara garanterat i direktivet (punkt 68). Detta var enligt domstolen en konsekvens av att direktivet inte krävde att uppgifterna skulle lagras inom unionen.

I analysen framhölls att det mot bakgrund av de uttalanden EUdomstolen gjorde i domen om intresset av en effektiv tillsyn finns mycket som talar för att det i svensk rätt bör införas ett krav på att trafikuppgifter som genereras eller behandlas vid användningen av allmänna kommunikationsnät och kommunikationstjänster som omfattas av lagringsskyldigheten ska lagras inom EU eller EES. Detta skulle kunna göras t.ex. genom ett särskilt förbud mot överföring av sådana trafikuppgifter till ett tredje land (dvs. ett land som inte ingår i EU eller är anslutet till EES) för lagring där.

6.2 De svenska reglerna om säkerhet och tillsyn

6.2.1 Säkerhet

När datalagringsdirektivet genomfördes i Sverige konstaterade regeringen att de regler om driftsäkerhet och integritetsskydd som redan fanns i LEK inte var tillräckliga för de uppgifter som skulle lagras enligt direktivet (prop. 2010/11:46 s. 54). Det angavs, mot bakgrund av det nya syfte för vilket uppgifter skulle lagras samt den mängd

Krav på lagring inom EU? SOU 2015:31

170

uppgifter det rörde sig om, att kravet på säkerhet borde höjas och att säkerhetsnivån borde preciseras. Resultatet blev att det infördes en ny bestämmelse 6 kap. 3 a § LEK av vilken det framgår att den som är lagringsskyldig enligt 6 kap. 16 a § samma lag ska vidta de särskilda tekniska och organisatoriska åtgärder som behövs för att skydda de lagrade uppgifterna vid behandling. I förarbetena anges att det därav följer att bestämmelsen, till skillnad från vad som gäller enligt 6 kap. 3 § LEK, inte lämnar något utrymme att bestämma säkerhetsnivån genom en avvägning mellan teknik, kostnader och risken för integritetsintrång (prop. 2010/11:46 s. 75).

I 6 kap. 3 a § andra stycket LEK bemyndigas regeringen eller den myndighet regeringen bestämmer att komplettera lagbestämmelsen med ytterligare föreskrifter om säkerheten. Detta har regeringen gjort i 37 § förordningen om elektronisk kommunikation. Av bestämmelsen framgår att den som är lagringsskyldig ska vidta åtgärder för att säkerställa att de lagrade uppgifterna är av samma kvalitet och föremål för samma säkerhet och skydd som vid den behandling som skett före lagringen. Vidare framgår att åtgärder ska vidtas för att skydda uppgifterna mot oavsiktlig eller otillåten förstöring och oavsiktlig förlust eller ändring samt för att förhindra otillåten lagring, behandling av eller tillgång till och otillåtet avslöjande av uppgifterna. Slutligen får uppgifterna göras tillgängliga endast för personal med särskild behörighet. PTS får efter att ha hört Polismyndigheten, Säkerhetspolisen och Datainspektionen meddela närmare föreskrifter om de åtgärder som ska vidtas.

PTS har med stöd av 37 § i förordningen meddelat sådana föreskrifter (PTSFS 2012:4). Dessa går i korthet ut på att den lagringsskyldige ska bedriva ett kontinuerligt och systematiskt säkerhetsarbete med beaktande av de särskilda risker lagringsskyldigheten medför (3 §). Rutiner ska finnas som säkerställer att bara personal med särskild behörighet har tillgång till lagrade uppgifter och de system som hanterar uppgifterna (4 §). Den utrustning som används för att lagra uppgifter ska också placeras i ett särskilt skyddat utrymme för att förhindra förlust av eller otillåten tillgång till uppgifterna (5 §). Vidare ska all behandling av lagrade uppgifter loggas i krypterad form och på ett sådant sätt att det går att följa upp vem som har haft tillgång till uppgifterna och vid vilken tidpunkt (6 §). Lagrade uppgifter ska också säkerhetskopieras (7 §).

SOU 2015:31 Krav på lagring inom EU?

171

Vad slutligen gäller hanteringen av lagrade uppgifter vid lagringstidens slut anges i 6 kap. 16 d § LEK att den lagringsskyldige vid denna tidpunkt genast ska utplåna uppgifterna. Om uppgifterna har begärts utlämnade före utgången av lagringstiden, men inte har hunnit lämnas ut, ska dock leverantören fortsätta lagra uppgifterna till dess att de har lämnats ut. Därefter ska leverantören genast utplåna dem.

6.2.2 Tillsyn

PTS utövar tillsyn över verksamhet som bedrivs med stöd av LEK. Myndighetens tillsyn omfattar efterlevnaden av lagen och de beslut om skyldigheter eller villkor som har meddelats med stöd av lagen (7 kap. 1 § LEK).

För att kunna utöva en effektiv tillsyn har PTS en rad befogenheter till sitt förfogande. Enligt 7 kap. 2 § LEK har PTS rätt att för tillsynen få tillträde till områden, lokaler och andra utrymmen, dock inte bostäder, där verksamhet som omfattas av LEK bedrivs. Vidare får PTS förelägga en leverantör att tillhandahålla myndigheten de upplysningar och handlingar som behövs för kontrollen (7 kap. 3 §). Finner PTS skäl att misstänka att den som bedriver verksamhet enligt LEK inte efterlever lagen eller de föreskrifter som har meddelats med stöd av lagen, ska myndigheten underrätta den som bedriver verksamheten om detta förhållande och ge denne möjlighet att yttra sig (7 kap. 4 §). PTS får också meddela de förelägganden och förbud som behövs för att rättelse av en överträdelse ska ske omedelbart eller inom skälig tid. Ett sådant föreläggande eller förbud får förenas med vite (7 kap. 4 §). Om föreläggandet inte följs, får PTS återkalla ett tillstånd, ändra tillståndsvillkor eller ytterst besluta att den som har åsidosatt en skyldighet helt eller delvis ska upphöra med verksamheten. PTS beslut enligt lagen eller enligt en föreskrift som har meddelats med stöd av lagen får överklagas hos allmän förvaltningsdomstol (7 kap. 19 §).

Krav på lagring inom EU? SOU 2015:31

172

6.3 Överföring av personuppgifter till tredje land

6.3.1 Bedömningen av skyddsnivån enligt dataskyddsdirektivet

Som framgår ovan (avsnitt 3.2.5.1) innebär regleringen i dataskyddsdirektivet att överföring av personuppgifter till ett land utanför EU och EES får ske bara om landet i fråga säkerställer en adekvat skyddsnivå för uppgifterna. Bedömningen av om skyddsnivån är adekvat ska ske på grundval av alla de förhållanden som har samband med en överföring eller en grupp av överföringar av uppgifter. Härvid ska särskilt beaktas uppgifternas art, den eller de avsedda överföringarnas ändamål och varaktighet, ursprungslandet och det slutliga bestämmelselandet, de allmänna respektive särskilda rättsregler som gäller i det tredje landet liksom de regler för yrkesverksamhet som gäller där (artikel 25.2).

För att säkerställa att dataskyddsdirektivet tillämpas på ett enhetligt sätt i medlemsstaterna har den så kallade artikel 29-gruppen bildats. Gruppen har fått sitt namn av artikel 29 i direktivet. I artikel 30 finns bestämmelser om gruppens uppgifter. Gruppen är rådgivande och oberoende och ska se till att direktivet tillämpas enhetligt i medlemsstaterna. Gruppen ska också yttra sig till EU-kommissionen om skyddsnivån i gemenskapen och i tredje land samt ge råd till kommissionen om förslag till ändringar av direktivet. Gruppen har publicerat ett arbetsdokument1som innehåller riktlinjer för tillämpningen av artikel 25 och 26 i direktivet. Av arbetsdokumentet följer bl.a. att en bedömning av om ett tredje land erbjuder en adekvat skyddsnivå bör innehålla två grundläggande delar.

För det första bör innehållet i de tillämpliga reglerna i det tredje landet analyseras. För att skyddet ska kunna anses adekvat bör enligt arbetsdokumentet reglerna innehålla åtminstone följande kärna av dataskyddsprinciper:

Principen om avgränsning av ändamålet innebär att personuppgifter ska behandlas för ett specifikt ändamål och får därefter användas eller vidarebefordras endast om detta är förenligt med ändamålet för behandlingen.

1 Överföring av personuppgifter till tredje land: tillämpning av artiklarna 25 och 26 i EU:s dataskyddsdirektiv, GD XV D/5025/98.

SOU 2015:31 Krav på lagring inom EU?

173

Principerna om uppgifternas kvalitet och proportionalitet innebär att personuppgifter ska vara korrekta och, om nödvändigt, hållas aktuella. Uppgifterna ska vara adekvata, relevanta och inte mer omfattande än vad som krävs för ändamålet med behandlingen.

• Enligt öppenhetsprincipen ska enskilda informeras om ändamålet med behandlingen och om vissa andra förhållanden som är förknippade med personuppgiftsbehandlingen.

Säkerhetsprincipen innebär att tekniska och organisatoriska säkerhetsåtgärder ska vidtas av den personuppgiftsansvarige med hänsyn till den risk behandlingen innebär.

Rätten till tillgång, rättelse och invändningar innebär att den registrerade ska ha rätt att få en kopia av uppgifter som behandlas om honom eller henne och rätt att få dessa uppgifter rättade om de är felaktiga. I vissa situationer ska den enskilde också ha rätt att motsätta sig behandlingen.

• Enligt principen om restriktioner för vidare överföring till andra

tredje länder bör sådan överföring vara tillåten endast om mot-

tagaren också har att tillämpa bestämmelser som erbjuder ett adekvat skydd för uppgifterna.

På vissa särskilda kategorier av personuppgifter bör enligt arbetsdokumentet ytterligare principer tillämpas. Till exempel bör ytterligare säkerhetsåtgärder ha vidtagits om överföringen innefattar sådana personuppgifter som avslöjar etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening, uppgifter som rör hälsa och sexualliv samt uppgifter som rör lagöverträdelser, brottmålsdomar och säkerhetsåtgärder.

Det andra ledet i bedömningen av om ett tredje land säkerställer en adekvat skyddsnivå för personuppgifter är enligt arbetsdokumentet att analysera de mekanismer som finns för att säkerställa att reglerna tillämpas effektivt. Det påpekas i dokumentet att det i Europa finns en bred samsyn om att en nödvändig del av dataskyddet är förekomsten av ett system med extern tillsyn av ett oberoende organ som har till uppgift att övervaka dataskyddsreglernas efterlevnad. Det framhålls samtidigt att sådana mekanismer inte alltid finns i andra delar av världen. För att bedöma om skyddet i ett tredje land är tillräckligt bör analysen enligt dokumentet inrikta sig på att identi-

Krav på lagring inom EU? SOU 2015:31

174

fiera ändamålen med dataskyddsregleringen i landet och bedöma de judiciella och processuella mekanismer som används. För att kunna anses adekvat bör dataskyddssystemet innehålla mekanismer som har till ändamål att

• upprätthålla en hög nivå av efterlevnad av dataskyddsregleringen,

• erbjuda enskilda stöd och hjälp vid utövandet av deras rättigheter, och

• erbjuda enskilda möjligheter att få rättelse när reglerna inte följs.

Enligt dataskyddsdirektivet ska hänsyn tas inte bara till lagstadgade regler i det tredje landet utan även till t.ex. branschregler och andra självregleringsinstrument. En förutsättning för att sådana regler ska få någon relevans vid bedömningen av om skyddsnivån är adekvat är dock att det kan fastställas att reglerna följs.

6.3.2 Europeiska kommissionens beslut om adekvat skyddsnivå

Enligt artikel 25.6 i dataskyddsdirektivet kan kommissionen besluta att ett tredje land genom sin interna lagstiftning eller på grund av sina internationella åtaganden har en skyddsnivå som är adekvat i den mening som avses i artikeln. Medlemsstaterna ska i sådana fall vidta de åtgärder som är nödvändiga för att följa kommissionens beslut. Kommissionen har fattat ett antal sådana beslut avseende bl.a. Andorra, Argentina, Israel, Nya Zealand, Schweiz och Uruguay. Vidare har kommissionen i förhållande till USA beslutat att de s.k. Safe Harbour Privacy Principles, tillämpade i enlighet med den vägledning som ges i de frågor och svar som utfärdats av Förenta staternas handelsministerium, ska anses utgöra en adekvat skyddsnivå för personuppgifter som överförs från gemenskapen till organisationer som är etablerade i Förenta staterna. Överföring av uppgifter till organisationer som har åtagit sig att följa dessa principer är följaktligen tillåtet. Överföring till Kanada är också tillåten, om mottagaren omfattas av landets lagstiftning om skydd för personuppgifter.

SOU 2015:31 Krav på lagring inom EU?

175

Kommissionens olika beslut om adekvat skyddsnivå är i huvudsak uppbyggda på samma sätt.2 I beslutsskälen redogörs närmare för det aktuella tredje landets regler när det gäller hanteringen av och skyddet för personuppgifter. Därefter innehåller skälen en bedömning av om det tredje landets regler omfattar alla de grundprinciper som krävs för att skyddsnivån ska anses vara adekvat och om tillämpningen av reglerna garanteras genom administrativa och rättsliga medel samt genom någon form av kontrollorgan, tillsynsmyndighet eller liknande. Besluten innehåller sedan en artikel som anger att, för tillämpningen av artikel 25.2 i dataskyddsdirektivet, det tredje landet ska anses erbjuda en adekvat skyddsnivå för de personuppgifter som överförs från Europeiska unionen. Vidare innehåller besluten bestämmelser om att en medlemsstat under vissa specificerade omständigheter tills vidare får avbryta överföringen av personuppgifter till det tredje landet. Detta gäller om

1. en behörig myndighet i det aktuella tredje landet har funnit att

en viss mottagare bryter mot tillämpliga skyddsregler, eller

2. det är i hög grad sannolikt att skyddsreglerna överträds, det finns

välgrundad anledning att tro att en behörig myndighet i det aktuella tredje landet inte vidtar eller inte i tid kommer att vidta de åtgärder som behövs för att avgöra ärendet, en fortsatt överföring av uppgifterna skulle innebära en överhängande risk för att de registrerade åsamkas allvarlig skada, och medlemsstaternas behöriga myndigheter har gjort vad som under rådande omständigheter rimligen kan begäras för att anmärka mot den part som är ansvarig för behandlingen och ge denna möjlighet att svara.

Ett sådant tillfälligt avbrott i överföringen ska upphöra så snart det har säkerställts att skyddsreglerna följs och de behöriga myndigheterna i gemenskapen har underrättats om detta. Medlemsstaterna har en skyldighet att utan dröjsmål underrätta kommissionen om åtgärder som innebär att överföringen av personuppgifter till det tredje landet har avbrutits.

Kommissionens beslut har i svensk rätt genomförts genom bestämmelsen i 13 § personuppgiftsförordningen (1998:1191). Enligt

2 Se t.ex. Kommissionens beslut av den 19 oktober 2010 i enlighet med Europaparlamentet och rådets direktiv 95/46/EG om adekvat skydd för personuppgifter i Andorra (2010/625/EU)

Krav på lagring inom EU? SOU 2015:31

176

den bestämmelsen får personuppgifter föras över till ett tredje land om och i den utsträckning som Europeiska kommissionen har konstaterat att landet har en adekvat nivå för skyddet av personuppgifter i enlighet med artikel 25.6 i dataskyddsdirektivet. I en bilaga till personuppgiftsförordningen anges de beslut som kommissionen har fattat i det avseendet.

6.3.3 Förhållandet mellan dataskyddsdirektivet och dataskyddskonventionen

De principer om skydd för enskilda personers fri- och rättigheter, särskilt rätten till privatliv, som dataskyddsdirektivet innehåller utgör enligt skälen till direktivet en precisering och en förstärkning av principerna i dataskyddskonventionen (skäl 11).

Av artikel 12.2 i konventionen framgår att konventionsstaterna som huvudregel inte av integritetsskyddsskäl får hindra att personuppgifter förs över till en annan konventionsstat för att användas där. Frågan om förhållandet mellan denna bestämmelse och direktivets förbud mot överföring till länder som inte erbjuder en adekvat skyddsnivå har behandlats i olika sammanhang.

Av det ovan nämnda arbetsdokumentet från artikel 29-gruppen, som gavs ut år 1998, framgår att dataskyddskonventionen i materiellt avseende då bedömdes innehålla fem av de sex grundläggande dataskyddsprinciper som nämns ovan. Den del som ansågs saknas i konventionen var restriktioner för överföring av uppgifter till länder som inte är anslutna till konventionen. När det gäller processuella mekanismer framhölls att konventionen förpliktar staterna att lagfästa dataskyddsprinciperna och att lämpliga sanktioner och rättsmedel ska finnas mot överträdelser av dessa. Detta borde enligt dokumentet vara tillräckligt för att säkerställa en tillräcklig nivå av efterlevnad av reglerna. Det påpekades dock att konventionen inte ålägger staterna att etablera några mekanismer som möjliggör granskning av klagomål, även om konventionsstaterna i praktiken i regel har gjort så.

Slutsatsen i dokumentet var att de flesta överföringar till stater som har ratificerat konventionen kan presumeras vara tillåtna enligt artikel 25.1 i dataskyddsdirektivet, under förutsättning att det aktuella landet har lämpliga mekanismer som säkerställer att reglerna följs och att landet är den slutliga destinationen för överföringen.

SOU 2015:31 Krav på lagring inom EU?

177

Under hösten 2001 antogs ett tilläggsprotokoll till dataskyddskonventionen (ETS 181). Enligt artikel 1 i protokollet ska varje konventionsstat se till att en eller flera myndigheter ansvarar för att kontrollera att de åtgärder respekteras som inom dess nationella lagstiftning ger verkan åt de principer som anges i konventionen och i tilläggsprotokollet.3Myndigheten ska därvid bl.a. ha befogenhet att utreda, ingripa och inleda rättsliga förfaranden om de nationella reglerna överträds. Myndigheten ska utöva sina funktioner helt oberoende. Tilläggsprotokollet innehåller vidare bestämmelser som anger att konventionsstaterna ska vidta åtgärder för att säkerställa att överföring av personuppgifter till ett land som inte är konventionspart får ske bara om landet i fråga säkerställer en adekvat skyddsnivå för uppgifterna (artikel 2).

Frågan om förhållandet mellan dataskyddsdirektivet och konventionen behandlades också i samband med att personuppgiftslagen infördes. Datainspektionen vände sig då emot att ett generellt undantag som tillåter överföring för användning enbart i en stat som anslutit sig till dataskyddskonventionen skulle tas in i lagen. Detta eftersom det enligt inspektionens uppfattning inte enbart var en nationell fråga att avgöra i vilken omfattning överföring får ske till stater som inte är medlemmar i Europeiska unionen. Regeringen konstaterade dock att Sverige har skyldigheter inte bara gentemot Europeiska unionen utan också enligt Europarådets konvention, och att det vore oförenligt med konventionen att införa en ordning som innebär att överföringen till en konventionsstat kan hindras av det skälet att staten i någon mening inte skulle anses ha en adekvat skyddsnivå för personuppgifter. Enligt regeringen var det inte heller antagligt att medlemsstaterna inom Europeiska unionen, varav de allra flesta vid antagandet av direktivet hade anslutit sig till konventionen, genom direktivet skulle ha skapat en ordning som vore oförenlig med åtagandena enligt konventionen. De stater som anslutit sig till Europarådets konvention fick enligt regeringens mening anses ha en sådan adekvat skyddsnivå som krävs enligt EG-direktivet (prop. 1997/98:44 s. 95).

3 I Sverige fullgörs denna uppgift av Datainspektionen.

Krav på lagring inom EU? SOU 2015:31

178

6.4 Utredningens bedömning

Utredningens bedömning: Det bör inte införas något uttryck-

ligt förbud mot att uppgifter som lagras enligt de svenska datalagringsreglerna förs över till ett tredje land för lagring där.

EU-domstolen konstaterade i datalagringsdomen att datalagringsdirektivet inte krävde att uppgifterna skulle lagras inom unionen vilket enligt domstolen innebar att den i artikel 8.3 i stadgan uttryckligen föreskrivna oberoende myndighetskontrollen av att skydds- och säkerhetskraven följs inte fullt ut kunde anses vara garanterad (p. 68). Enligt domstolen är en sådan kontroll som ska utövas på grundval av unionsrätten en grundläggande beståndsdel i skyddet för enskilda i samband med behandlingen av personuppgifter. Det problem som domstolen satte fingret på var således inte i första hand att direktivet saknade ett krav på lagring inom EU, utan snarare de konsekvenser som domstolen ansåg att detta förde med sig för möjligheterna att utöva oberoende myndighetskontroll.

Ett sätt att garantera effektiviteten av myndighetskontrollen skulle givetvis kunna vara att införa ett krav i nationell rätt på att uppgifter som lagras med stöd av de tvingande datalagringsreglerna ska lagras inom EU eller EES. Ett sådant krav skulle också kunna bidra till att motverka risken för s.k. ändamålsglidning (se Ds 2014:23 s. 96 f.). Enligt utredningens uppfattning kan dock EU-domstolens dom inte tolkas på så sätt att det skulle finnas något principiellt hinder mot en nationell lagstiftning som tillåter att uppgifter lagras utanför unionen, så länge myndighetskontrollen ändå kan anses vara garanterad.

Enligt svensk rätt gäller leverantörens skyldigheter enligt de bestämmelser som anger hur lagringsskyldigheten ska fullgöras, t.ex. de krav som rör säkerheten för de lagrade trafikuppgifterna, även om lagringen förläggs utomlands (prop. 2010/11:46 s. 60). Detta måste särskilt beaktas av leverantörerna, om de överväger att lagra trafikuppgifter utomlands. Det ingår i PTS ansvar att kontrollera att leverantörerna följer regleringen i LEK och de föreskrifter som har meddelats med stöd av lagen. Även detta ansvar gäller oberoende av var leverantörerna väljer att lagra uppgifter. Som framgår ovan har PTS en rad befogenheter till sitt förfogande för att kontrollera att leverantörerna följer skydds- och säkerhetsreglerna. Regeringen

SOU 2015:31 Krav på lagring inom EU?

179

bedömde när datalagringsdirektivet genomfördes att de befogenheter PTS har får anses vara tillräckliga för att myndigheten ska kunna utöva en aktiv och ändamålsenlig tillsynsverksamhet (a. prop. s. 58).

PTS befogenhet att få tillträde till områden, lokaler och andra utrymmen där verksamhet som omfattas av LEK bedrivs kan i praktiken utövas endast i Sverige. Däremot torde möjligheterna att utöva de övriga befogenheter myndigheten har till sitt förfogande, t.ex. att begära upplysningar eller att meddela förelägganden och förbud, inte påverkas av var leverantören väljer att lagra uppgifterna. Mot den bakgrunden bedömer vi att PTS har vissa möjligheter att bedriva en aktiv och ändamålsenlig tillsynsverksamhet även gentemot leverantörer som väljer att lagra uppgifter utanför unionen.

I sammanhanget bör det framhållas att regleringen i dataskyddsdirektivet, dataskyddskonventionen och PUL innebär att personuppgifter inte får föras över till länder som inte erbjuder en adekvat nivå av skydd för uppgifterna. Vid bedömningen av om skyddet kan anses adekvat ska det beaktas om de tillämpliga reglerna i det tredje landet innehåller den kärna av dataskyddsprinciper som gäller inom EU. Dessa principer innebär bl.a. att kvaliteten på det aktuella landets skyddsmekanismer är en viktig omständighet vid bedömningen av skyddsnivån. Regleringen innebär således att uppgifter får föras över bara till sådana tredje länder som har tillräckliga skyddsmekanismer sett i förhållande till den aktuella typen av uppgifter. Kraven på skydd ska också ställas högre ju känsligare uppgifter det är fråga om. Enligt vår bedömning innebär det att det bör krävas att det tredje landet har inrättat någon form av system med fristående myndighetskontroll för att nivån av skydd för datalagrade uppgifter ska anses adekvat. I den mån uppgifter förs över till ett sådant land kommer således skyddet för uppgifterna att kontrolleras även av det tredje landets kontrollmyndighet. Det bör också nämnas att Datainspektionen har i uppgift att utöva tillsyn över att personuppgifter inte förs över till sådana länder som saknar en adekvat skyddsnivå.

Mot den bakgrunden bedömer vi sammantaget att den oberoende myndighetskontrollen är garanterad i svensk rätt även i förhållande till leverantörer som väljer att lagra uppgifter utanför unionen. Avsaknaden av ett krav på lagring inom EU eller EES innebär således inte att regleringen i svensk lag strider mot bestämmelserna om grundläggande rättigheter i EU-stadgan.

Krav på lagring inom EU? SOU 2015:31

180

Det kan också påpekas att en av de centrala principerna vid bedömningen av om ett land lever upp till kraven på adekvat skyddsnivå är principen om avgränsning av ändamålet. Som framgår ovan innebär principen att personuppgifter får behandlas endast för ett specifikt ändamål och därefter får användas eller vidarebehandlas endast om det är förenligt med detta ändamål. I den mån ett tredje land har infört regler som innebär att lagrade uppgifter i stor utsträckning kan lämnas ut för andra ändamål än det för vilket de samlades in, kan skyddsnivån i landet därför normalt inte anses vara adekvat. Dessa regler innebär således att risken för ändamålsglidning begränsas.

Ett krav i nationell rätt på lagring inom EU eller EES skulle vidare förutsätta att detta är förenligt med EU-regleringen på området och med Sveriges internationella åtaganden i övrigt. Av regleringen i dataskyddsdirektivet framgår att överföring av personuppgifter till tredje land i princip ska vara tillåten, om det tredje landet erbjuder en adekvat nivå av skydd för uppgifterna. Direktivet innehåller inte några bestämmelser som tillåter att medlemsstaterna förbjuder överföring till ett land trots att landet erbjuder en adekvat skyddsnivå. Ett generellt förbud mot överföring av uppgifter som lagras enligt de svenska datalagringsreglerna torde därför förutsätta att det kan konstateras att inget tredje land erbjuder en adekvat nivå av skydd för sådana uppgifter. Exempelvis skulle en möjlighet att motivera ett generellt förbud eventuellt kunna vara att resonera på så sätt att de nu aktuella uppgifterna är så integritetskänsliga att inget tredje land kan anses erbjuda ett adekvat skydd, helt oberoende av vilka skyddsregler som gäller i landet. Ett sådant resonemang är dock knappast hållbart. Regleringen i dataskyddsdirektivet förutsätter att bedömningen av skyddsnivån görs individuellt och med beaktande av samtliga omständigheter hänförliga till en viss överföring eller grupp av överföringar. En ståndpunkt som innebär att vissa uppgifter – oavsett omständigheterna – aldrig kan överföras till tredje land kan inte förenas med det synsättet.

Vidare är medlemsstaterna skyldiga att följa kommissionens beslut som innebär att vissa tredje länder ska anses erbjuda en adekvat skyddsnivå vid tillämpningen av artikel 25 i dataskyddsdirektivet. Som framhölls i analysen skulle ett förbud mot överföring av den typ som nu diskuteras visserligen inte innebära något generellt åsidosättande av kommissionens beslut. Vad det handlar om är i stället att ta ställning till om det finns utrymme för att i nationell

SOU 2015:31 Krav på lagring inom EU?

181

rätt, när det gäller en viss typ av noggrant avgränsad lagring av personuppgifter, inskränka möjligheterna till överföring med hänsyn till att säkerhetskraven måste ställas så högt att en lagring i tredje land inte kan godtas trots att landet generellt anses erbjuda en adekvat skyddsnivå. Som nämnts är den bedömning av skyddsnivån som ska göras enligt dataskyddsdirektivet i grunden individuell, och ett tredje land kan mycket väl anses ha en adekvat nivå av skydd när det gäller en viss typ av uppgifter medan bedömningen kan bli den motsatta när det gäller en annan typ av uppgifter. Samtidigt är kommissionens beslut utformade på ett sätt som inte lämnar något egentligt utrymme för individuella bedömningar när det gäller skyddsnivån i de tredje länder som omfattas av besluten. Besluten innehåller t.ex. inte några bestämmelser som gör det möjligt att undanta någon viss typ av uppgifter eller register. Därför talar det mesta för att kommissionens beslut i fråga om skyddsnivå ska gälla för alla former av överföringar, oberoende av vilka uppgifter det handlar om eller för vilka syften uppgifterna behandlas. Som framgår ovan innehåller besluten dessutom detaljerade bestämmelser om vilka förutsättningar som ska vara för handen för att medlemsstaterna ändå ska få hindra överföring till ett tredje land som omfattas av ett beslut. Dessa bestämmelser ger inte stöd för att generellt förbjuda överföring av någon viss typ av uppgifter. Det förutsätts också i besluten att en åtgärd som innebär att överföring hindras är tillfällig och följer ett särskilt förfarande med bl.a. underrättelse till kommissionen.

Möjligen skulle datalagringsdomen kunna tolkas så att den nu behandlade regleringen inte längre gäller för sådana uppgifter som skulle lagras enligt det upphävda direktivet. En sådan tolkning skulle i så fall kunna baseras på att EU-domstolen skulle ha menat att adekvat skydd enligt dataskyddsdirektivet inte är en tillräckligt hög skyddsnivå för datalagrade uppgifter (se domen p. 67). Enligt vår mening förefaller det emellertid mindre sannolikt att EU-domstolens avsikt har varit att ändra förutsättningarna för tillämpningen av kommissionens beslut om adekvat skyddsnivå. Om denna tolkning vore riktig, borde dessutom kommissionen rimligtvis ha tagit initiativ till att se över sina beslut i syfte att möjliggöra för medlemsstaterna att förbjuda lagring utanför EU. Några sådana initiativ har såvitt vi har erfarit inte tagits. Enligt vår mening framstår det därför som mest förnuftigt att inte på nationell nivå införa ett generellt förbud som står i strid med kommissionens beslut. Ett förbud mot lagring

Krav på lagring inom EU? SOU 2015:31

182

utanför EU skulle dessutom strida mot Sveriges åtaganden enligt dataskyddskonventionen.

Det kan i sammanhanget påpekas att leverantörernas tystnadsplikt och deras skyldighet att se till att beslut om inhämtning av uppgifter kan verkställas inte påverkas av var uppgifterna lagras. Även om uppgifterna skulle lagras i tredje land har leverantörerna således skyldighet att t.ex. se till att verkställigheten sker på ett sådant sätt att den inte röjs.

183

7 Inhämtning av abonnemangsuppgifter

7.1 Inledning

En av de brister i datalagringsdirektivet som EU-domstolen pekade på i sin dom var att direktivet inte angav några objektiva kriterier för att avgränsa de nationella myndigheternas tillgång till och användning av de lagrade uppgifterna. Domstolen ansåg därför att direktivet inte säkerställde att uppgifterna bara kunde användas för bekämpning av brott som kan anses vara av tillräckligt allvarligt slag för att motivera det aktuella ingreppet. Inte heller reglerades i direktivet vilka formella och materiella villkor som skulle gälla och vilka krav som skulle ställas på förfarandet för tillgång till uppgifterna. Domstolen noterade också att tillgången till uppgifter inte var underkastad någon förhandskontroll av en domstol eller oberoende myndighet som har till uppgift är att se till att tillgången begränsas till vad som är strikt nödvändigt.

Abonnemangsuppgifter som lagras med stöd av de svenska datalagringsreglerna får lämnas ut till de brottsbekämpande myndigheterna enligt bestämmelsen i 6 kap. 22 § första stycket 2 LEK. Bestämmelsen ställer inte några krav på att den brottslighet som uppgifterna lämnas ut för ska vara av någon viss svårhetsgrad. Vidare får uppgifter hämtas in efter beslut av den brottsbekämpande myndigheten och således utan föregående kontroll av en oberoende instans.

I analysen gjordes bedömningen att en nationell lagstiftning som tillåter att den aktuella typen av uppgifter – uppgifter om vem som har en viss adress eller ett visst telefonnummer – kontrolleras och lämnas ut till brottsbekämpande myndigheter för att bekämpa även annan brottslighet än sådan som objektivt sett kan betecknas som allvarlig inte i sig kan anses stå i strid med den unionsrättsliga proportionalitetsprincipen. Det framhölls också att det av EU-dom-

Inhämtning av abonnemangsuppgifter SOU 2015:31

184

stolens dom inte kan utläsas att rättighetsstadgan och unionsrättens allmänna principer innebär att det är nödvändigt att inrätta en ordning med förhandsprövning av varje slag av åtkomst till uppgifter. När det gäller inhämtning av abonnemangsuppgifter ansågs det tillräckligt med en oberoende kontroll och tillsyn i efterhand. Det framhölls dock att det inte är möjligt att vara helt säker på att den nuvarande utformningen av tillsynsansvaret och myndigheternas rutiner för dokumentation och loggning av beslut om inhämtning av abonnemangsuppgifter fullt ut tillgodoser kraven på en effektiv kontroll, och att svensk rätt under alla omständigheter inte bör balansera på gränser för vad som är tillåtet enligt unionsrätten och Europakonventionen (Ds 2014:23 s. 69 ff.).

Enligt våra direktiv ska vi, med utgångspunkt i den utförda analysen, föreslå de förändringar som bedöms lämpliga för att stärka skyddet för den personliga integriteten i förhållande till den svenska datalagringsregleringen. Mot bakgrund av vad som anfördes i analysen är en av de frågor som utredningen har att överväga således om det finns behov av åtgärder som förstärker kontrollen över de brottsbekämpande myndigheternas tillämpning av reglerna om inhämtning av abonnemangsuppgifter.

7.2 Vilket integritetsintrång innebär utlämnandet av abonnemangsuppgifter?

Vid bedömningen av vilket kontrollsystem som bör krävas när det gäller de brottsbekämpande myndigheternas tillgång till en viss typ av uppgift har det stor betydelse hur integritetskänslig uppgiften typiskt sett är och hur den används i den brottsbekämpande verksamheten.

Det integritetsintrång som en viss åtgärd som vidtas i brottsbekämpande verksamhet leder till är alltid beroende av omständigheterna i det enskilda fallet. Däremot har det ansetts möjligt att jämföra olika åtgärder utifrån det integritetsintrång som de typiskt sett kan leda till. Det handlar då om att värdera de möjligheter till integritetsintrång som lagstiftningen om de olika åtgärderna erbjuder.

När det gäller de hemliga tvångsmedlen brukar hemlig övervakning av elektronisk kommunikation anses medföra ett typiskt sett mindre integritetsintrång än hemlig avlyssning av elektronisk kom-

SOU 2015:31 Inhämtning av abonnemangsuppgifter

185

munikation eftersom det förstnämnda tvångsmedlet inte ger någon information om innehållet i kommunikationen (se t.ex. prop. 2002/03:74 s. 23 f). Hemlig kameraövervakning och hemlig avlyssning av elektronisk kommunikation har – trots att metoderna är olika varandra och därmed svåra att jämföra – ansetts kunna leda till integritetsintrång på typiskt sett likvärdiga nivåer (se t.ex. prop. 1995/96:85 s. 21 f.). Hemlig rumsavlyssning har pekats ut som det hemliga tvångsmedel som typiskt sett medför det största intrånget (se t.ex. prop. 2013/14:237 s. 70).

Med uppgifter om abonnemang avses t.ex. uppgifter om abonnentens nummer, namn, titel och adress. Även s.k. IMSI-nummer har ansetts falla in under kategorin uppgift om abonnemang. Det är självfallet så att de brottsbekämpande myndigheterna liksom andra inhämtar uppgifter om abonnemang genom att utnyttja öppna källor, t.ex. telefonkatalog och internet. För uppgifter som inte på det viset är öppna genom avtalet mellan leverantören och kunden, t.ex. hemliga telefonnummer och ip-adresser, utnyttjas i stället bestämmelserna i lagen om elektronisk kommunikation.

De olika typerna av abonnemangsuppgifter har det gemensamt att de – isolerade från andra uppgifter – inte kan användas för att kartlägga enskilda individer. För att abonnemangsuppgifter ska kunna användas på det sättet krävs att de kombineras med annan information. Till exempel kan abonnemangsuppgifter begäras ut för att få reda på vem som tilldelats en viss dynamisk ip-adress under en viss tidsperiod. Utan någon annan information, t.ex. i fråga om hur ip-adressen har använts under perioden, säger uppgiften ingenting om den aktuella abonnentens kommunikation. Om myndigheterna däremot känner till att en adress har använts för någon viss kommunikation, t.ex. för att skicka ett hotfullt meddelande, kan uppgiften om vem som abonnerade på adressen när kommunikationen ägde rum givetvis ha stor betydelse. På motsvarande sätt kan en uppgift om vilket telefonnummer en viss person använder kombineras med information om hur numret har använts. Uppgifterna kan då användas för att t.ex. kartlägga en misstänkts kontaktnät. En uppgift om att en misstänkt person abonnerar på ett visst telefonnummer kan också vara nödvändig för att ett beslut om t.ex. hemlig avlyssning eller övervakning av elektronisk kommunikation ska kunna meddelas. Utan tillgång till annan information kan uppgiften om

Inhämtning av abonnemangsuppgifter SOU 2015:31

186

vilket telefonnummer personen använder däremot inte användas för kartläggning.

Utlämnandet av abonnemangsuppgifter innebär ett visst integritetsintrång eftersom det innebär att abonnentens identitet röjs. Nivån av integritetsintrång kan också variera något beroende på vilken uppgift som lämnas ut. Vid användning av internet lämnar användaren ofta fler avtryck efter sig än vid t.ex. användning av telefoni. En uppgift om vem som har använt en viss ip-adress kan därför typiskt sett anses vara något mer känslig än motsvarande uppgift i fråga om ett telefonnummer. När de brottsbekämpande myndigheterna begär ut en uppgift om vem som använt en viss ip-adress vid ett visst tillfälle torde dock syftet ofta vara att kontrollera vem som t.ex. har skrivit ett specifikt meddelande eller liknande, snarare än att i allmänhet kartlägga den aktuella personens aktiviteter på internet.

Enligt vår uppfattning kan det sammantaget inte råda någon tvekan om att abonnemangsuppgifter typiskt sett är klart mindre integritetskänsliga än många andra kategorier av uppgifter, t.ex. trafik- och lokaliseringsuppgifter. Vid den bedömningen beaktar utredningen särskilt att enstaka abonnemangsuppgifter i sig inte gör det möjligt att kartlägga abonnentens kommunikationer, utan snarare är att betrakta som ett slags komplement till andra uppgifter. Vi bedömer därför att uppgifter om vem som innehar eller använder ett visst nummer – i jämförelse med många andra uppgifter – inte är särskilt integritetskänsliga. Abonnemangsuppgifter får också lämnas ut till flera olika myndigheter för andra ändamål än brottsbekämpande verksamhet. Till exempel får uppgifter under vissa förutsättningar lämnas ut till en myndighet som behöver uppgiften för delgivning (6 kap. 22 § första stycket 1 LEK), till Kronofogdemyndigheten om myndigheten behöver uppgiften i exekutiv verksamhet (första stycket 4) och till Skatteverket om verket finner att uppgiften har betydelse för ett ärende om kontroll av skatt eller avgift eller rätt folkbokföringsort (första stycket 5). Detta förhållande stödjer slutsatsen att abonnemangsuppgifter inte anses vara särskilt integritetskänsliga.

Det kan i sammanhanget också noteras att uppgifter som går utöver vad som kan anses som identitetsuppgifter, t.ex. vilka andra ip-adresser som användaren har kommunicerat med, vilka hemsidor som en viss ip-adress har besökt och liknande, inte omfattas av den aktuella bestämmelsen i LEK.

SOU 2015:31 Inhämtning av abonnemangsuppgifter

187

7.3 Rutiner för dokumentation och loggning

Den öppna polisen har uppgett att Rikspolisstyrelsen tidigare har tagit fram nationella riktlinjer för hanteringen av uppgifter om elektronisk kommunikation.1I tiden före den nya polisorganisationen hanterades beslut och dokumentation avseende inhämtning av uppgifter enligt LEK av respektive polismyndighet enligt lokal rutin.

Sedan den 1 januari 2015 gäller enligt myndighetens arbetsordning att möjligheterna till delegation har delats in i tre olika kompetensnivåer utifrån den beslutskompetens som ärendena kräver. Beslut om inhämtning av uppgifter enligt 6 kap. 22 § första stycket 2 LEK har delats in i kompetensnivå 2, vilket innebär ”förmåga att hantera

komplicerade och svårbedömda ärenden; Beslutsfattaren ska ha erfarenhet inom beslutsområdet och dessutom ha fördjupade kunskaper på området genom utbildning eller på annat sätt.” Detta är den miniminivå

som gäller nationellt. Vid delegation ska även lämplighet vägas in.

Den Nationella operativa avdelningen (NOA) har från och med den 1 januari 2015 ett processansvar och arbetar för att skapa en mer enhetlig hantering. Till exempel är avsikten att göra ett beställningsformulär som blir nationellt och generiskt. Däremot finns inga enhetliga rutiner om hur dessa förfrågningar dokumenteras eller loggas, utan hur det hanteras följer av gängse regler om diarieföring. Polisen har inte en sammanställning av dessa förfrågningar och kan därför inte få fram uppgifter om hur många eller hur dessa beställningar ser ut i dagsläget. Lösningen avseende detta kan i framtiden vara att ett elektroniskt system tas fram där man loggar förfrågningar och att en behörighetsgräns automatiskt byggs in i systemet för att kunna inhämta dessa typer av uppgifter. Polisen har ambitionen att detta ska genomföras i framtiden.

Säkerhetspolisen har framfört till utredningen att det inte finns någon myndighetsgemensam rutin för dokumentation av beslut om inhämtning av abonnemangsuppgifter. Ett exempel på ett system som används är att beslutsfattare på Säkerhetspolisen kontaktar den operatör som är berörd med en fråga kring abonnent på det eller de teledaresser som är av intresse. Om operatören kan lämna abonnentuppgifter till teleadresser, upprättas en notering om detta

1 dnr POA-102-4352/12

Inhämtning av abonnemangsuppgifter SOU 2015:31

188

i ärendets logg eller i en särskild promemoria i det digitala ärendehanteringssystemet. Av denna uppgift framgår vem som ställde frågan, vilken operatör som var mottagare, vilken teleadress och vilken abonnent som var aktuell.

7.4 Kontrollsystemet

Det finns i dagsläget inte några regler som specifikt tar sikte på tillsyn över de brottsbekämpande myndigheternas inhämtning av uppgifter om abonnemang enligt LEK. Möjligheten att hämta in sådana uppgifter anses inte vara ett hemligt tvångsmedel (se prop. 2013/14:273 s. 134) och omfattas därför inte av SIN:s tillsyn över användningen av sådana tvångsmedel. Däremot står tillämpningen av reglerna under den mer övergripande tillsyn som utövas av JO och JK.

Normalt är inhämtning av abonnemangsuppgifter ett led i en automatiserad behandling av personuppgifter. Sådan behandling står således under Datainspektionens tillsyn. Bestämmelser om personuppgiftsbehandling finns – vid sidan av i personuppgiftslagen – i t.ex. kustbevakningsdatalagen (2012:145), polisdatalagen, lagen om polisens allmänna spaningsregister, lagen (2005:787) om behandlingen av uppgifter i Tullverkets brottsbekämpande verksamhet och lagen (1999:90) om behandlingen av personuppgifter vid Skatteverkets medverkan i brottsutredningar och anknytande förordningar samt förordningen (2006:937) om behandling av personuppgifter inom åklagarväsendet. För Polisens och Säkerhetspolisens personuppgiftsbehandling enligt polisdatalagen har även SIN i uppgift att utöva tillsyn över behandlingen. Datainspektionens och SIN:s tillsyn inriktas i första hand på att kontrollera att myndigheterna följer de föreskrifter som gäller för behandlingen av personuppgifter.

Datainspektionens och SIN:s delvis överlappande tillsynsansvar när det gäller Polisens och Säkerhetspolisens personuppgiftsbehandling är för närvarande under utredning. Frågan hänger delvis samman med omorganisationen av polisen. I Polisorganisationskommitténs betänkande Tillsyn över polisen (SOU 2013:42) framhöll kommittén att det kan ifrågasättas om det är lämpligt att två granskningsorgan i vissa delar har identiska tillsynsuppdrag. Bland annat ansågs det vara mindre lämpligt att det råder oklarhet för de objekts-

SOU 2015:31 Inhämtning av abonnemangsuppgifter

189

ansvariga och för allmänheten om vilket tillsynsorgan som ytterst ansvarar för granskningen av så viktiga frågor som polisens behandling av känsliga personuppgifter. Det ansågs också sannolikt att överlappande granskningsuppdrag leder till en mindre effektiv tillsyn som orsakar störningar i den granskade verksamheten som sådan. Vidare ansågs det problematiskt att tillsynsorganen skulle kunna komma till olika slutsatser vid sina respektive granskningar och att det kunde vara svårare för polisen att tillgodogöra sig resultatet av granskningar från två olika tillsynsorgan.

Kommittén konstaterade sammanfattningsvis att det finns flera omständigheter som talar för att de tillsynsuppgifter som SIN har överlappande med Datainspektionen bör hanteras endast inom en av dessa organisationer. Enligt kommitténs mening var det dock för tidigt att utvärdera om tillsynen över polisens personuppgiftsbehandling – som vad avser den öppna polisen så sent som i mars 2012 lades till SIN:s tillsynsområde – bör utföras i annan ordning. Kommittén ansåg att denna fråga inom inte allt för lång tid borde följas upp och närmare utvärderas av regeringen.

Den 6 februari 2014 beslutade regeringen om tilläggsdirektiv till kommittén (dir. 2014:17). I det nya uppdraget ingår bl.a. att analysera hur tillsynen över polisens personuppgiftsbehandling kan organiseras så att överlappning mellan olika tillsynsmyndigheter i så stor utsträckning som möjligt undviks. Uppdraget ska redovisas senast den 30 april 2015.

Vidare beslutade regeringen den 22 december 2014 att ge en särskild utredare i uppdrag att överväga hur ett i högre grad samlat integritetsskydd kan fungera inom en och samma myndighetsstruktur genom att tillsynen över behandling av personuppgifter samlas hos en myndighet (dir 2014:164). I uppdraget ingår bl.a. att lämna förslag på hur tillsynen – helt eller delvis – kan samlas hos en myndighet samt hur myndighetens uppdrag bör vara utformat och vilka befogenheter myndigheten bör ha för att kunna upprätthålla en effektiv tillsynsverksamhet. Uppdraget ska redovisas senast den 31 januari 2016.

Inhämtning av abonnemangsuppgifter SOU 2015:31

190

7.5 Utredningens förslag

Utredningens förslag: Beslut om inhämtning av abonnemangs-

uppgifter ska fattas av myndigheten. Myndighetschefen ska dock få delegera uppgiften att fatta sådana beslut till en annan anställd vid myndigheten som har den särskilda kompetens, utbildning och erfarenhet som behövs. Delegationsbesluten ska dokumenteras av myndigheten. Därutöver ska beslut om inhämtning av abonnemangsuppgifter alltid kunna fattas av förundersökningsledaren.

Det ska införas en uttrycklig regel om att beslut om inhämtning av abonnemangsuppgifter i brottsbekämpande verksamhet ska dokumenteras. I ett beslut om inhämtning av uppgifter ska skälen för beslutet anges. Det ska också anges vem som har fattat beslutet samt vilken brottslighet och vilka abonnemangsuppgifter beslutet avser.

Det ska förtydligas i lagen om elektronisk kommunikation att uppgifter om abonnemang får, utöver i en förundersökning, hämtas in även i de brottsbekämpande myndigheternas underrättelseverksamhet.

7.5.1 En särskild tillsynsuppgift?

En möjlig åtgärd för att stärka kontrollen över inhämtningen av abonnemangsuppgifter skulle kunna vara att ge ett tillsynsorgan i uppdrag att utöva tillsyn som specifikt tar sikte på de brottsbekämpande myndigheternas tillämpning av regeln i 6 kap. 22 § första stycket 2 LEK. En sådan uppgift skulle kunna utformas så att tillsynen bedrivs antingen på tillsynsorganets eget initiativ eller på begäran av enskild. Eftersom det handlar om inhämtning av information i brottsbekämpande verksamhet skulle det vara naturligt att den uppgiften i sådana fall anförtroddes SIN.

Vi anser dock att det är tveksamt om det är motiverat med en sådan kontroll. Det är viktigt SIN:s effektivitet som kontrollmekanism långsiktigt kan upprätthållas. Det är därför värdefullt att SIN kan koncentrera sina resurser på att granska den mer integritetskänsliga informationsinhämtningen. I annat fall finns det en risk för att kontrollsystemet urvattnas och dess effektivitet försämras.

SOU 2015:31 Inhämtning av abonnemangsuppgifter

191

Av betydelse för bedömningen är också hur effektivt ett tillsynsuppdrag av det aktuella slaget kan förväntas vara. SIN:s tillsyn ska särskilt syfta till att säkerställa att den granskade verksamheten bedrivs i enlighet med lag eller annan författning. När nämnden beslutar att inleda tillsyn på eget initiativ görs detta främst utifrån en bedömning av var risken för en felaktig rättstillämpning hos de granskade myndigheterna är som störst (se t.ex. SIN:s årsredovisning för 2013, dnr 7-2014, s. 10). Nämnden använder sig i huvudsak av en tematisk tillsynsmetodik där gällande författningar och interna föreskrifter och riktlinjer från berörda myndigheter först analyseras. Därefter undersöks rutiner och praktisk tillämpning.

Eftersom abonnemangsuppgifter inte har ansetts vara särskilt integritetskänsliga innehåller reglerna om inhämtning av sådana uppgifter, till skillnad från reglerna om hemliga tvångsmedel, relativt få förutsättningar för inhämtningen. Det finns t.ex. inte något krav på att den brottslighet som inhämtningen avser ska vara av något visst allvar (se prop. 2011/12:55 s. 102 f.). Enligt utredningens mening är det mot den bakgrunden svårt att se att inhämtningen av abonnemangsuppgifter skulle vara förknippade med några direkta risker för felaktig rättstillämpning. Visserligen har det framförts till oss att det förekommer att frågan om vilka uppgifter som kan anses utgöra uppgifter om abonnemang – i förhållande till andra uppgiftskategorier för vilka strängare krav gäller – ger upphov till meningsskiljaktigheter mellan teleoperatörerna och de brottsbekämpande myndigheterna. Denna omständighet skulle kunna tala för att SIN borde få i uppgift att kontrollera myndigheternas tillämpning av reglerna om inhämtning av abonnemangsuppgifter. Samtidigt är SIN:s tillsynsområde inte avgränsat genom angivandet av gällande lagar om hemliga tvångsmedel (se 1 § lagen [2007:980] om tillsyn över viss brottsbekämpande verksamhet). Det beror bl.a. på att tillsynen omfattar även fall då användningen av metoderna sker helt eller delvis otillåtet (prop. 2006/07:133 s. 80). Detta innebär att, om en brottsbekämpande myndighet skulle använda reglerna om inhämtning av abonnemangsuppgifter för att skaffa sig tillgång till exempelvis trafikuppgifter, så omfattas det förfarandet av nämndens tillsyn. I den mån det skulle komma fram indikationer på sådana felaktigheter kan SIN alltså redan enligt dagens regler granska myndigheternas beslut om inhämtning av abonnemangsuppgifter. Härtill kommer att SIN:s tillsyn, för att vara effektiv, inte bör spridas för mycket

Inhämtning av abonnemangsuppgifter SOU 2015:31

192

och till att avse områden som från integritetsskyddssynpunkt framstår som mindre angelägna.

Sammantaget bedömer vi att behovet av en tillsynsfunktion som specifikt tar sikte på att granska inhämtningen av abonnemangsuppgifter inte framstår som särskilt stort. Vidare har SIN framfört att nämnden ställer sig tveksam till nyttan av sådan tillsyn. De skäl som talar för att införa regler om tillsyn som är specifikt inriktade på de brottsbekämpande myndigheternas tillämpning av reglerna om tillgång till abonnemangsuppgifter är därför inte tillräckligt starka för att de ska uppväga nackdelarna med en sådan reglering. Den mer övergripande tillsyn som utövas av JO och JK samt, såvitt gäller myndigheternas personuppgiftsbehandling, av Datainspektionen och SIN får i detta sammanhang vara tillräcklig. Som framgår nedan föreslår vi dock att det ska införas regler om att beslut om inhämtning av abonnemangsuppgifter ska dokumenteras. Detta kan förväntas bidra till att den tillsyn som finns kan bedrivas mer effektivt.

7.5.2 Underrättelse till enskild?

När hemliga tvångsmedel används i en förundersökning är huvudregeln att den som är eller har varit misstänkt för brott samt vissa innehavare av platser, teleadresser och elektroniska kommunikationsutrustningar ska underrättas om åtgärden i efterhand. Underrättelseskyldigheten omfattar bl.a. uppgifter om vilka tvångsmedel som har använts, vilken plats, adress eller utrustning som övervakats eller avlyssnats samt när detta har skett.

Syftet med underrättelseskyldigheten är bl.a. att den enskilde ska få möjlighet att bedöma vilket integritetsintrång som åtgärden har inneburit och att reagera mot vad han eller hon kan anse har varit en rättsstridig åtgärd. En skyldighet att lämna en sådan underrättelse har även ansetts kunna ha en återhållande verkan på användningen av hemliga tvångsmedel och bidra till att prövningen inför ett beslut sker på ett än mer noggrant sätt (prop. 2006/07:133 s. 30). Ett krav på att enskilda ska underrättas är således en åtgärd som syftar till att förbättra kontrollen över tillämpningen av reglerna.

Som framgått ovan (avsnitt 3.5.4.2) finns det ett flertal undantag från skyldigheten att underrätta enskilda om att hemliga tvångsmedel har använts. Om vissa former av sekretess gäller för uppgifterna

SOU 2015:31 Inhämtning av abonnemangsuppgifter

193

i en underrättelse, ska denna skjutas upp till dess att sekretess inte längre gäller. Om sekretess fortfarande gäller efter ett år, behöver underrättelse över huvud taget inte lämnas. Vissa utredningar om brott som faller inom Säkerhetspolisens ansvarsområde är också helt undantagna från underrättelseskyldighet.

När det gäller inhämtning av uppgifter i underrättelseverksamhet enligt inhämtningslagen finns ingen motsvarighet till rättegångsbalkens krav på underrättelse till enskild. Frågan om ett sådant krav borde införas övervägdes dock i samband med att lagen infördes. Regeringen uttalade då att en skyldighet att underrätta enskilda om inhämtning av uppgifter i underrättelseverksamhet, med hänsyn till verksamhetens framåtblickande perspektiv och övergripande natur, skulle riskera att motverka huvudsyftet med underrättelseverksamheten. En sådan skyldighet skulle därför behöva förses med en rad undantag. Vidare skulle det enligt regeringen i många fall kunna ta lång tid innan en underrättelse kunde lämnas, och den eventuella identifiering och granskning av kommunikationen som måste föregå en underrättelse skulle kunna innebära ett ytterligare integritetsintrång. I många fall torde det enligt regeringen inte heller vara möjligt eller i vart fall förenat med betydande svårighet att identifiera den person som varit föremål för övervakningen. Det beaktades även att användningen av uppgifterna i en förundersökning förutsätter tillstånd av domstol till hemlig övervakning av elektronisk kommunikation. I de fall där uppgifterna innebär en påtaglig integritetspåverkan för en enskild skulle därmed bestämmelserna om underrättelseskyldighet i rättegångsbalken bli tillämpliga (prop. 2011/12:55 s. 107).

I samma lagstiftningsärende övervägdes även frågan om det borde införas en underrättelseskyldighet avseende inhämtandet av abonnemangsuppgifter. Regeringen anförde att inhämtning av sådana uppgifter inte innebär ett så betydande integritetsintrång att det bör medföra ett krav på underrättelse (nämnda prop. s. 108). Vi instämmer i den bedömningen. Visserligen skulle ett krav på underrättelse kunna bidra till ökad kontroll över de brottsbekämpande myndigheternas tillämpning av reglerna. En sådan skyldighet skulle dock, liksom är fallet med de hemliga tvångsmedlen, behöva förses med omfattande undantag med hänsyn till sekretessintressen. Underrättelsefrågan skulle därför i många fall behöva hållas öppen under lång tid vilket innebär att det blir nödvändigt för de brottsbekäm-

Inhämtning av abonnemangsuppgifter SOU 2015:31

194

pande myndigheterna att bevaka och fortlöpande pröva sekretessfrågor. En sådan ordning skulle vara orimligt resurskrävande för myndigheterna sett i förhållande till de aktuella uppgifternas integritetspåverkan. Det bör därför inte införas något krav på underrättelse till enskild avseende inhämtningen av abonnemangsuppgifter.

7.5.3 Parlamentarisk kontroll?

Regeringen redovisar årligen uppgifter om tillämpningen av reglerna om de hemliga tvångsmedlen till riksdagen. Bakgrunden till denna ordning är att det ansågs ligga en betydelsefull rättssäkerhetsgaranti i att riksdagen ges möjlighet till insyn i hur lagstiftningen tillämpas (se t.ex. bet. 1981/82:JuU54 s. 4).

Frågan om regeringens redovisning bör omfatta även de brottsbekämpande myndigheternas inhämtning av abonnemangsuppgifter i brottsbekämpande verksamhet har tidigare varit föremål för vissa överväganden. Detta har dock inte lett till att det införts någon sådan ordning (se t.ex. bet. 2011/12:JuU8 s. 33 och prop. 2013/14:237 s. 135).

För att en redovisning till riksdagen ska fylla sitt syfte är det inte tillräckligt att bara redovisa en uppgift om antalet inhämtningsbeslut. Om redovisningen ska kunna användas som underlag för en bedömning av om tillämpningen av reglerna lever upp till kraven på proportionalitet, måste den även innehålla andra uppgifter, t.ex. i fråga om vilken nytta tillämpningen leder till i den brottsbekämpande verksamheten. En sådan redovisning skulle alltså kräva att de brottsbekämpande myndigheterna utarbetar rutiner för att följa upp samtliga beslut om inhämtning av abonnemangsuppgifter och göra bedömningar av vilken nytta dessa lett till. Utredningen bedömer att en sådan ordning skulle ta större resurser i anspråk än vad som är motiverat av nyttan med en redovisning.

SOU 2015:31 Inhämtning av abonnemangsuppgifter

195

7.5.4 Beslut om inhämtning av abonnemangsuppgifter bör fattas på en viss nivå

Enligt 6 kap. 22 § första stycket 2 LEK ska uppgift om abonnemang som gäller misstanke om brott lämnas till en åklagarmyndighet, Polismyndigheten, Säkerhetspolisen eller någon annan myndighet som ska ingripa mot brottet. Frågan om utlämnande ska prövas av den brottsbekämpande myndigheten. Däremot finns det inte några regler som anger vem inom den aktuella myndigheten som har rätt att fatta beslut om att hämta in sådana uppgifter. Ett sätt att förstärka kontrollen över tillämpningen av reglerna om inhämtning av abonnemangsuppgifter skulle kunna vara att begränsa kretsen av personer som har rätt att fatta sådana beslut. En sådan regel finns t.ex. i inhämtningslagen (4 §) av vilken det framgår att beslut om inhämtning ska fattas av myndighetschefen eller, efter särskild delegation, av annan anställd vid myndigheten som har den särskilda kompetens, utbildning och erfarenhet som behövs. I förarbetena anges att delegation bör kunna ske till t.ex. myndighetschefens ställföreträdare, rikskriminalchefen, biträdande rikskriminalchefen, biträdande säkerhetspolischefen, biträdande länspolismästare, länskriminalchefer, chefer för operativ verksamhet och chefer för underrättelseverksamhet (prop. 2011/12:55 s. 123). Den som har fått sådan delegation får inte fatta beslut om inhämtning i verksamhet som han eller hon deltar i (4 § andra stycket).

Det är rimligt att befogenheten att fatta beslut om inhämtning av abonnemangsuppgifter inte ska tillkomma samtliga anställda inom de aktuella myndigheterna. Det finns därför skäl att införa regler som begränsar den personkrets som kan besluta om tillgång till uppgifterna (jfr EU-domstolens dom p. 62).

De kompetenskrav som Polismyndigheten sedan den 1 januari 2015 ställer för att beslutskompetens ska kunna delegeras framstår som rimliga. Detta motsvarar i huvudsak den reglering som i dag gäller enligt inhämtningslagen. Det bör därför föreskrivas att beslut om inhämtning av abonnemangsuppgifter fattas av myndighetschefen med möjlighet för denne att delegera uppgiften till sådana anställda vid myndigheten som har den särskilda kompetens, utbildning och erfarenhet som behövs. Med tanke på att abonnemangsuppgifter generellt sett inte är lika integritetskänsliga som de uppgifter som kan hämtas in enligt inhämtningslagen finns dock inte

Inhämtning av abonnemangsuppgifter SOU 2015:31

196

anledning att begränsa möjligheterna för den som beslutsbefogenheten delegeras till att fatta beslut i operativ verksamhet som han eller hon deltar i.

Reglerna om inhämtning av abonnemangsuppgifter i brottsbekämpande verksamhet kan, som utvecklas närmare nedan, användas både under en förundersökning och i underrättelseverksamhet. Normalt leds en förundersökning av antingen en åklagare eller en förundersökningsledare vid Polismyndigheten eller Säkerhetspolisen. Förundersökningsledaren har, enligt vad som framgår av 1 a § förundersökningskungörelsen (1947:948), ansvar för förundersökningen i dess helhet. Förundersökningsledaren ska se till att utredningen bedrivs effektivt och att den enskildes rättssäkerhetsintressen tas till vara.

Vid delegering av beslutanderätt och arbetsuppgifter inom Polismyndigheten eller Säkerhetspolisen ska det särskilt beaktas bl.a. om uppgiften innebär att grundlagsskyddade fri- och rättigheter kan komma att inskränkas. I sådana fall får uppgiften överlämnas endast till en särskilt kvalificerad beslutsfattare som har den utbildning, kompetens och erfarenhet som krävs. Polismyndigheten eller Säkerhetspolisen får inte överlämna åt någon annan än en polisman att leda förundersökning eller att avgöra frågor som Polismyndigheten enligt rättegångsbalken ska besluta i (8 § polisförordningen [2014:1104]).

Oavsett om förundersökningen är polis- eller åklagarledd är förundersökningsledarens uppgifter i huvudsak desamma. En åklagare som leder en förundersökning har dock rätt att besluta i betydligt fler frågor än polisiära förundersökningsledare eftersom vissa typer av beslut får fattas endast av åklagare. Även polisiära förundersökningsledare har dock en rad befogenheter, bl.a. att fatta vissa beslut som berör inskränkningar i enskildas fri- och rättigheter. Till exempel har förundersökningsledaren befogenheter att fatta beslut om hämtning till förhör (23 kap. 7 § rättegångsbalken och 6 § förundersökningskungörelsen), beslag (27 kap. 4 § andra stycket rättegångsbalken), husrannsakan (28 kap. 4 § rättegångsbalken) samt kroppsvisitation och kroppsbesiktning (28 kap. 13 § rättegångsbalken).

Vid sidan av polis- och åklagarmyndighet har även Tullverket och Kustbevakningen, inom vissa i lag angivna områden, befogenhet att leda förundersökning. I dessa fall leds förundersökningen av sär-

SOU 2015:31 Inhämtning av abonnemangsuppgifter

197

skilda befattningshavare som förordnas av myndigheten för att fullgöra uppgiften som förundersökningsledare (se t.ex. 19 § lagen [2000:1225] om straff för smuggling och 11 kap. 4 § andra stycket lagen [1980:424] om åtgärder mot förorening från fartyg).

Mot bakgrund av de krav som alltså ställs på den som anförtros uppgiften att leda en förundersökning samt de relativt långtgående befogenheter som förundersökningsledare har i övrigt, är det naturligt att beslut om inhämtning av abonnemangsuppgifter även utan särskild delegation får fattas av förundersökningsledaren.

7.5.5 Krav på dokumentation

Bestämmelser om skyldighet att dokumentera beslut som fattas i den brottsbekämpande verksamheten ökar möjligheterna till kontroll i efterhand. En uttrycklig regel om att beslut om inhämtning av abonnemangsuppgifter ska dokumenteras kan alltså förväntas bidra till att den tillsyn som utövas av JO, JK, Datainspektionen och SIN blir mer effektiv. En sådan regel bör därför införas. Kravet på dokumentation bör omfatta skälen för beslutet. Vidare bör det dokumenteras vem som har fattat beslutet samt vilken brottslighet och vilka abonnemangsuppgifter som beslutet avser.

7.5.6 Verkställighet

Det finns i dagsläget inte några bestämmelser som reglerar vilka uppgifter de brottsbekämpande myndigheterna ska lämna till operatörerna i samband med verkställighet av beslut om inhämtning av uppgifter om elektronisk kommunikation. Det har kommit fram att det som i praktiken lämnas i huvudsak är en uppgift om vilken lagstiftning som ligger till grund för beslutet och sådana uppgifter som är nödvändiga för att beslutet ska kunna verkställas (se även avsnitt 9.3.3.5). I en begäran om abonnemangsuppgifter anges alltså vilka uppgifter myndigheten begär tillgång till och att begäran avser ett beslut enligt 6 kap. 22 § första stycket 2 LEK. Därutöver lämnas uppgift om myndighetens diarienummer etc. Enligt vår uppfattning framstår detta som en lämplig ordning.

Inhämtning av abonnemangsuppgifter SOU 2015:31

198

7.5.7 Utlämnande för andra ändamål

Enligt 6 kap. 22 § LEK får abonnemangsuppgifter lämnas ut även till en rad olika myndigheter för andra ändamål än brottsbekämpande verksamhet. För vissa av dessa ändamål torde det ligga i den enskildes eget intresse att uppgifterna lämnas ut, t.ex. då en uppgift behövs för att efterforska personer som har försvunnit på fjället (första stycket 3) eller i samband med underrättelse, efterforskning eller identifiering vid olyckor eller dödsfall (första stycket 6). I vissa andra fall kan det däremot normalt inte anses ligga i den enskildes intresse att uppgifter lämnas ut. Exempelvis får abonnemangsuppgifter i vissa situationer lämnas ut till en myndighet som behöver den för delgivning (första stycket 1), till Kronofogdemyndigheten om uppgiften behövs i exekutiv verksamhet (första stycket 4) och till Skatteverket, om uppgiften är av väsentlig betydelse i ett ärende om bl.a. kontroll av skatt (första stycket 5). Det skulle, åtminstone när det gäller de sistnämnda situationerna, kunna övervägas om motsvarande krav på dokumentation och beslutsnivå borde ställas även när det gäller andra utlämnanden än sådana som avser brottsbekämpande verksamhet. I dessa fall får dock inte några uppgifter som lagras enligt de tvingande datalagringsreglerna lämnas ut (se 6 kap. 16 c § LEK). Frågan om vilka krav som ska gälla för dessa utlämnanden omfattas därmed inte av våra direktiv.

7.5.8 Utlämnande av abonnemangsuppgifter i underrättelseverksamhet

Säkerhetspolisen har framfört till utredningen att det bör klargöras att bestämmelsen i 6 kap. 22 § första stycket 2 LEK kan tillämpas i de brottsbekämpande myndigheternas underrättelseverksamhet. Bestämmelsen är i dagsläget utformad så att en uppgift om abonnemang får lämnas ut om den rör ”misstanke om brott”.

Som framgår av avsnitt 3.5.3.2 kunde brottsbekämpande myndigheter tidigare hämta in trafikuppgifter med stöd av LEK (6 kap. 22 § första stycket 3 LEK i dess lydelse före den 1 juli 2012). Även den bestämmelsen krävde enligt sin ordalydelse att uppgifterna rörde misstanke om brott. Trots detta var den inte begränsad till en förundersökningssituation utan ansågs kunna användas även i underrättelseverksamheten (se SOU 2009:1 s. 72 f.). I samband med att

SOU 2015:31 Inhämtning av abonnemangsuppgifter

199

bestämmelsen upphävdes uttalade regeringen att den skulle ersättas av bl.a. regleringen i inhämtningslagen (prop. 2011/12:55 s. 1).

Enligt vår mening bör regeln i 6 kap. 22 § första stycket 2 LEK rimligtvis tolkas på samma sätt som den tidigare regeln i första stycket 3. Detta stämmer för övrigt väl överens med den tolkning av bestämmelsen som Polismetodutredningen har gjort (a. SOU s. 187). Enligt uppgift från polisen är det också så bestämmelsen tillämpas i dagsläget.

Mot den angivna bakgrunden står det klart att gällande rätt innebär att de brottsbekämpande myndigheterna har befogenhet att begära tillgång till abonnemangsuppgifter redan på underrättelsestadiet. Detta är en såväl rimlig som logisk ordning, inte minst med tanke på att myndigheterna i detta skede kan få tillgång till mer känsliga uppgifter enligt reglerna i inhämtningslagen.

Av rättssäkerhetsskäl bör lagstiftning som innebär att brottsbekämpande myndigheter kan få tillgång till uppgifter som berör enskildas privatliv vara så tydlig som möjligt. Uttrycket ”misstanke om brott” för tankarna till en redan begången konkret gärning vilket är mindre väl förenligt med de brottsbekämpande myndigheternas underrättelseverksamhet som i huvudsak är inriktad på att avslöja om viss, inte närmare specificerad, brottslighet har ägt rum, pågår eller kan antas komma att begås. Vi instämmer därför i Säkerhetspolisens uppfattning att lagtexten bör justeras för att klargöra att abonnemangsuppgifter får hämtas in i underrättelseverksamhet.

På flera håll i lagstiftningen används uttrycket ”brottslig verksamhet” för att avgränsa åtgärder som får vidtas i sådan verksamhet (se t.ex. 2 § inhämtningslagen och 5 kap. 1 § polisdatalagen). Med uttrycket avses verksamhet av viss konkretion (se prop. 2009/10:85 s. 362 f.). Däremot krävs inte att misstanken avser en konkretiserad gärning på samma sätt som vid förundersökning. Uttrycket brottslig verksamhet har tidigare kritiserats för att vara otydligt men är numera en vedertagen avgränsning för åtgärder som vidtas i underrättelseverksamhet (se prop. 2013/14:237 s. 104). Uttrycket bör användas även i den aktuella bestämmelsen i LEK.

201

8 Uppgifter som omfattas av yrkesmässig tystnadsplikt

8.1 Inledning

EU-domstolen lyfte i sin dom fram att en brist i datalagringsdirektivet var att det inte innehöll några undantag från lagringskravet vilket innebar att det var tillämpligt även på personer vilkas kommunikation enligt nationell rätt omfattas av tystnadsplikt (p. 58).

I analysen konstaterades att det synsätt som kommer till uttryck i svensk rätt när det gäller undantag från vittnesplikt och regler om avlyssningsförbud vid t.ex. telefonavlyssning innebär att det är en uppgifts innehåll som avgör om den omfattas av yrkesmässig tystnadsplikt. Det framhölls att, även om de uppgifter som kommer fram i en kommunikation i vissa situationer omfattas av tystnadsplikt, så gör inte det faktum att kommunikationen har ägt rum det. Det ansågs därför långsökt med en modell där exempelvis vissa telefonnummer på förhand skulle undantas från ett lagringskrav som i övrigt gäller generellt. Även om det i fråga om viss kommunikation i något fall kunde finnas ett intresse av att begränsa myndigheternas insyn i att kommunikation över huvud taget har förekommit bedömdes det lämpligast att säkerställa en proportionerlig avvägning mellan brottsbekämpningsintresset och integritetsintresset genom en balanserad reglering om tillgången till de lagrade uppgifterna. Det framhölls dock att detta inte hindrar att det sker fortsatta överväganden om möjligheterna att även på andra sätt förstärka skyddet för viss kommunikation.

Uppgifter som omfattas av yrkesmässig tystnadsplikt SOU 2015:31

202

8.2 Skyddet för yrkesmässig tystnadsplikt

8.2.1 Tystnadsplikt

Vissa person- eller yrkeskategorier är underkastade tystnadsplikt i fråga om uppgifter som de har erfarit i sin yrkesutövning. Exempelvis finns regler om tystnadsplikt för advokater i rättegångsbalken (8 kap. 4 § första stycket). Ett annat exempel är den tystnadsplikt som följer av reglerna om meddelarskydd enligt 3 kap. 3 § TF och 2 kap. 3 § YGL. Enligt dessa bestämmelser har journalister och andra som arbetar inom massmedia som huvudregel tystnadsplikt för uppgifter som röjer identitet hos den som lämnar uppgifter avsedda att offentliggöras i massmedia. Som ett ytterligare led i meddelarskyddet gäller ett principiellt efterforskningsförbud. Myndigheter och andra allmänna organ får som huvudregel inte efterforska vem som har lämnat meddelandet och som har rätt att vara anonym (3 kap. 4 § TF och 2 kap. 4 § YGL). Ytterligare exempel är den tystnadsplikt som gäller inom hälso- och sjukvården enligt 25 kap. offentlighets- och sekretesslagen (2009:400) och 6 kap. patientsäkerhetslagen (2010:659).

8.2.2 Undantag från vittnesplikt

Det är en allmän medborgerlig plikt att inställa sig som vittne vid domstol och där avlägga vittnesmål. Vittnesplikten är av grundläggande betydelse för domstolarnas möjligheter att få ett fullgott underlag för prövningen av mål och ärenden.

I flera fall får tystnadsplikten ge vika för vittnesplikten. I rättegångsbalken uppställs dock vissa begränsningar i vittnesplikten genom det s.k. frågeförbudet (36 kap. 5 § andra–sjätte styckena). Bestämmelsen har tillkommit av hänsyn till enskildas personliga integritet och privatliv. Lagstiftaren har ansett att den enskilde som huvudregel ska kunna anförtro sig till vissa angivna personer inom dessas yrkesutövning utan rädsla för att informationen ska föras vidare eller annars användas mot honom eller henne (se t.ex. prop. 2009/10:119 s. 23).

Frågeförbudet innebär att personer inom vissa yrkeskategorier, t.ex. advokater och hälso- och sjukvårdspersonal inte får höras som vittnen om något som på grund av deras ställning anförtrotts dem

SOU 2015:31 Uppgifter som omfattas av yrkesmässig tystnadsplikt

203

eller de i samband därmed på annat sätt erfarit, med mindre än att det är medgivet i lag eller den till vars förmån tystnadsplikten gäller samtycker (andra stycket). För rättegångsombud, biträden och försvarare gäller att de får höras som vittnen om vad som anförtrotts dem för uppdragets fullgörande endast om parten medger det (tredje stycket).

Vissa begränsade undantag görs från frågeförbudet när det gäller de nu nämnda yrkeskategorierna (fjärde stycket).

Den som är präst inom ett trossamfund eller den som i ett sådant samfund har motsvarande ställning får inte höras som vittne om något som han eller hon har erfarit under bikt eller enskild själavård (femte stycket). Vidare får den som har tystnadsplikt enligt 3 kap. 3 § TF eller 2 kap. 3 § YGL höras som vittne om förhållanden som tystnadsplikten avser endast i den mån det föreskrivs i nämnda paragrafer (sjätte stycket). Slutligen gäller enligt det sjunde stycket att, om någon inte får höras som vittne enligt paragrafen, så får vittnesförhör inte heller äga rum med den som under tystnadsplikt har biträtt med tolkning eller översättning.

Frågeförbudet innebär inte något förbud mot att höra personer inom de aktuella yrkeskategorierna som vittnen. Däremot får frågor om sådant som omfattas av förbudet inte ställas. Förbudet ska beaktas självmant av domstolen, och det kan inte efterges av vittnet.

8.2.3 Avlyssningsförbud

Enligt 27 kap. 22 § rättegångsbalken får hemlig avlyssning av elektronisk kommunikation eller hemlig rumsavlyssning inte avse samtal, meddelanden eller annat tal där någon som yttrar sig på grund av bestämmelserna i 36 kap. 5 § andra–sjätte styckena rättegångsbalken inte skulle ha kunnat höras som vittne om det som har sagts eller på annat sätt kommit fram. Om det under avlyssningen kommer fram att det är fråga om ett sådant samtal, meddelande eller tal, ska avlyssningen omedelbart avbrytas. Detsamma gäller vid hemlig avlyssning av elektronisk kommunikation enligt lagen om preventiva tvångsmedel (11 §). Bestämmelserna innebär att den som granskar material från hemlig avlyssning genast måste avbryta granskningen så fort det står klart att samtalet omfattas av avlyssningsförbud. Något krav på att den verkställande myndigheten måste granska

Uppgifter som omfattas av yrkesmässig tystnadsplikt SOU 2015:31

204

materialet i realtid för att kunna avgöra när avlyssningen ska avbrytas ställs däremot inte (prop. 2013/14:237 s. 184).

Avlyssningsförbudet är utformat med utgångspunkt från bedömningen att uppgifter som på grund av hänsyn till enskildas personliga integritet inte får inhämtas genom vittnesförhör i domstol inte heller ska kunna inhämtas genom avlyssning (se prop. 2005/06:178 s. 68, prop. 2009/10:133 s. 24 och prop. 2013/14:237 s. 132).

Som framhölls i analysen har det aldrig varit aktuellt att införa någonting motsvarande ett absolut avlyssningsförbud när det gäller uppgifter som hämtas in genom hemlig övervakning av elektronisk kommunikation, alltså s.k. metadata som visar att kommunikation har ägt rum men inte vad den innehöll (Ds 2014:23 s. 55). Det synsätt som kommer till uttryck i svensk lagstiftning är att det är en uppgifts innehåll som avgör om den omfattas av skydd mot att de brottsbekämpande myndigheterna tar del av uppgiften. Däremot omfattas uppgifter om att kommunikation förekommit normalt inte av sådant skydd.

8.2.4 Skyldighet att förstöra upptagningar och uppteckningar

Som ett komplement till reglerna om avlyssningsförbud gäller att upptagningar och uppteckningar från hemlig avlyssning av elektronisk kommunikation och hemlig rumsavlyssning omedelbart ska förstöras i de delar som de omfattas av ett sådant förbud (27 kap. 22 § tredje stycket rättegångsbalken och 11 § andra stycket lagen om preventiva tvångsmedel). Eftersom det inte finns någon motsvarighet till avlyssningsförbudet när det gäller inhämtning av teledata finns följaktligen inte heller någon motsvarande regel om att uppgifter som omfattas av ett sådant förbud ska förstöras.

Enligt lagen (2008:717) om signalspaning i försvarsunderrättelseverksamhet får signalspaningsmyndigheten (Försvarets radioanstalt) under vissa förutsättningar och för vissa syften hämta in och avlyssna signaler i elektronisk form vid signalspaning (1 §). Eftersom sådan inhämtning sker helt automatiserat innehåller lagen inte någon motsvarighet till rättegångsbalkens bestämmelser om avlyssningsförbud. Däremot innehåller lagen bestämmelser som anger att upptagningar och uppteckningar omgående ska förstöras, om innehållet

SOU 2015:31 Uppgifter som omfattas av yrkesmässig tystnadsplikt

205

1. berör en viss fysisk person och har bedömts sakna betydelse för

syftet med signalspaningen,

2. avser uppgifter för vilka tystnadsplikt gäller enligt 3 kap. 3 § tryck-

frihetsförordningen eller 2 kap. 3 § yttrandefrihetsgrundlagen, eller som omfattas av efterforskningsförbudet i 3 kap. 4 § tryckfrihetsförordningen eller 2 kap. 4 § yttrandefrihetsgrundlagen,

3. omfattar uppgifter i meddelanden som avses i 27 kap. 22 § rätte-

gångsbalken, eller

4. avser uppgifter lämnade under bikt eller enskild själavård, såvida

det inte finns synnerliga skäl att behandla uppgifterna för syftet med signalspaningen (7 §).

Regeringen anförde följande i lagens förarbeten (prop. 2006/07:63 s. 105):

En viktig utgångspunkt är vidare att regler om signalspaning inte får strida mot det skydd för meddelarfriheten som gäller enligt tryckfrihetsförordningen och yttrandefrihetsgrundlagen. Även om signalspaningen inte riktas mot personer som är verksamma på massmedieområdet kommer det inte att gå att helt undvika risken för att exempelvis ett meddelande mellan en journalist och en meddelare inhämtas. Anonymitetsskyddet som garanteras genom journalistens tystnadsplikt bryts då igenom. En upptagning eller uppteckning kan också innefatta ett brott mot det s.k. efterforskningsförbudet. Det ideala skulle vara om inhämtning som berörde massmedieområdet förbjöds. Vid automatiserad inhämtning är det dock inte möjligt att upprätthålla ett sådant förbud. Av praktiska och tekniska skäl kan det inte heller krävas att inhämtningen omedelbart skall avbrytas. Problemet kan inte lösas på annat sätt än genom en föreskrift om att upptagningar eller uppteckningar som står i konflikt med tryckfrihetsförordningen och yttrandefrihetsgrundlagen omedelbart skall förstöras.

Regeringen bedömde också att enbart det förhållandet att information inhämtas inte kunde anses innebära ett brott mot anonymitetsskyddet eller efterforskningsförbudet. Det framhölls därvid att tystnadsplikten i sig inte direkt riktar sig mot det allmänna. Vad däremot gällde efterforskningsförbudet konstaterades att detta visserligen uttryckligen riktar sig till myndigheter och andra allmänna organ. För att en överträdelse av förbudet ska anses föreligga torde dock enligt regeringen krävas att syftet med åtgärden från det allmännas sida varit att efterforska författaren, utgivaren eller meddelaren.

Uppgifter som omfattas av yrkesmässig tystnadsplikt SOU 2015:31

206

Regeringen anförde att, när sådan information i stället råkar inhämtas av en myndighet som en icke avsedd bieffekt av annan verksamhet, det inte kan anses att efterforskningsförbudet överträtts, i synnerhet inte om det åvilar myndigheten en uttrycklig skyldighet att förstöra upptagning eller uppteckning med sådan information och anonymitetsskyddet följaktligen garanteras (a. prop. s. 106).

8.2.5 Proportionalitetsprincipen

Ett grundläggande krav för att tillstånd till hemlig övervakning av elektronisk kommunikation och inhämtning av uppgifter enligt inhämtningslagen ska kunna meddelas är att åtgärden är proportionerlig (27 kap. 1 § tredje stycket rättegångsbalken och 2 § inhämtningslagen). Vid bedömningen av om en åtgärd kan anses proportionerlig har det betydelse vilken typ av kommunikation uppgifterna avser. Bland annat ska det beaktas om åtgärden innebär intrång i ett rättsligt skyddat intresse, t.ex. meddelarskyddet enligt tryckfrihetsförordningen och yttrandefrihetsgrundlagen. Innebär inhämtningen ett kringgående av förbudet för massmedier att röja sina källor eller för det allmänna att efterforska vem som är meddelare, får inhämtning inte ske (prop. 2011/12:55 s. 122). Detta innebär alltså att risken för att uppgifter om skyddad kommunikation kommer att hämtas in då åtgärden verkställs ska beaktas vid tillståndsgivningen. Vidare gäller proportionalitetsprincipen under hela verkställighetsförfarandet och ska således, även sedan tillstånd har meddelats, beaktas av den verkställande myndigheten. Integritetsintrånget under verkställigheten kan bli så stort att åtgärden inte längre är tillåten, trots att rekvisiten för åtgärden fortfarande är uppfyllda (a. prop. s. 122).

Trots att det inte finns något uttryckligt förbud är alltså möjligheten att hämta in uppgifter om elektronisk kommunikation avseende personer som omfattas av yrkesmässig tystnadsplikt begränsad jämfört med kommunikation som avser andra personer. Däremot kan det givetvis hända att en åtgärd som riktar sig mot någon som inte omfattas av yrkesmässig tystnadsplikt får till följd att även uppgifter om dennes kontakter med personer inom skyddade yrkeskategorier samlas in. Vidare kan uppgifter som avser personer inom skyddade yrkeskategorier komma att inhämtas genom s.k. basstationstömningar.

SOU 2015:31 Uppgifter som omfattas av yrkesmässig tystnadsplikt

207

Enligt uppgifter som utredningen har inhämtat från den öppna polisen finns det inom polisen rutiner och föreskrifter avseende inhämtning av uppgifter som omfattas av yrkesmässig tystnadsplikt. Rikskriminalpolisen har tagit fram en tjänsteföreskrift 2012:5 –

Tjänsteföreskrift om förstörande av upptagningar och uppteckningar från hemliga tvångsmedel, med anledning av om åtgärden innebär

intrång i ett rättsligt skydd. Av denna tjänsteföreskrift framgår i punkten 9.1 att, vid granskning av material från hemliga tvångsmedel, sektionschefen för den sektion som ansvarar för ärendet ska ansvara för att materialet granskas utan dröjsmål. Syftet med denna granskning är att säkerställa att den information som tas emot också får tas emot enligt gällande bestämmelser och att de begränsningar som gäller för respektive tvångsmedel iakttas. Polisen har också framhållit att det i praktiken ofta är omöjligt att i förväg veta om en inhämtning kommer att omfatta uppgifter som omfattas av yrkesmässig tystnadsplikt. Detta är i stället något som hanteras när informationen kommer in till polisen. Den rutin som då råder är att ansvarig förundersökningsledare får fatta beslut om hur materialet ska hanteras.

Säkerhetspolisen har uppgett att myndigheten i dagsläget inte har någon särskild rutin för inhämtning av teledata avseende personer som omfattas av yrkesmässig tystnadsplikt. Vid bedömning av om uppgifter ska inhämtas med stöd av inhämtningslagen görs en proportionalitetsbedömning i det enskilda fallet. Beslut om att inhämta uppgifter utgår från behov av att kartlägga brottsaktiva aktörer och dessas nätverk i syfte att förebygga, förhindra eller upptäcka brottslighet. Det åligger var och en som bearbetar den inhämtade informationen att bedöma om informationen har relevans för arbetet. När det gäller uppgifter som inhämtats enligt inhämtningslagen är det fråga om tekniska data såsom teleadresser, positioner, tidpunkter, kontakter etc. Uppgifterna är således av sådan karaktär att det inte går att få information om innehåll i exempelvis meddelanden.

Vad avser avlyssningsförbudet så finns det en rutin inom Säkerhetspolisen som anger att en första granskning (bearbetning) av inhämtat material ska ske utan dröjsmål och att syftet med denna bearbetning är

Uppgifter som omfattas av yrkesmässig tystnadsplikt SOU 2015:31

208

a) att kontrollera att materialet kan användas i det pågående ärendet,

b) att se till att information som inte är tillåten tas bort, dvs. att de begränsningar som gäller för tvångsmedel iakttas, exempelvis förbudet att avlyssna samtal mellan den misstänkte och dennes försvarare, och

c) att kontrollera att materialet avser just det objekt/person, telefonnummer eller den plats som framgår av tillståndet samt att rätt inhämtningsåtgärd har tillämpats.

8.3 Utredningens förslag

Utredningens förslag: Det ska införas en skyldighet att förstöra

uppteckningar från hemlig övervakning av elektronisk kommunikation och inhämtning av uppgifter enligt inhämtningslagen i de delar uppteckningarna innehåller uppgifter som på grund av frågeförbudet enligt rättegångsbalken inte skulle ha kunnat inhämtas genom vittnesförhör i domstol.

8.3.1 Förbud mot att hämta in uppgifter om kommunikation med personer som omfattas av yrkesmässig tystnadsplikt?

Som framhålls ovan intar svensk rätt den ståndpunkten att det normalt är en uppgifts innehåll som avgör om den omfattas av skydd mot avlyssning och undantag från vittnesplikt. Trots det kan det i vissa situationer finnas ett intresse av att begränsa myndigheternas insyn i att kommunikation över huvud taget har förekommit. Det gäller t.ex. uppgifter om kommunikation med sådana personer som berörs av meddelarskyddet. I dessa fall skulle redan en uppgift om att någon har varit i kontakt med en journalist kunna leda till att det anonymitetsskydd som garanteras genom journalistens tystnadsplikt hotas. Utredningen instämmer dock i den bedömning som regeringen tidigare har gjort i fråga om att efterforskningsförbudet i sådana situationer överträds endast i den mån som syftet från det allmännas sida är att efterforska en författare, utgivare eller meddelare. När sådan information i stället råkar inhämtas av en myn-

SOU 2015:31 Uppgifter som omfattas av yrkesmässig tystnadsplikt

209

dighet som en icke avsedd bieffekt av annan verksamhet kan det således inte anses att efterforskningsförbudet överträds.

En uppgift om att en person har kommunicerat med en journalist omfattas av skydd för meddelarfrihet endast i de fall då kommunikationen innebär att ett meddelande etc. lämnas för publicering. Vid inhämtning av s.k. metadata, dvs. uppgifter som endast anger att kommunikation har ägt rum men inte vad den innehöll, känner de brottsbekämpande myndigheterna normalt sett inte till innehållet i kommunikationen. Detta innebär att det oftast inte går att avgöra vilka uppgifter som omfattas av tystnadsplikt. Ett förbud mot att hämta in sådana uppgifter skulle därför vara mycket svårt att tillämpa. Om myndigheten i något fall skulle känna till att de aktuella uppgifterna omfattas av yrkesmässig tystnadsplikt redan innan inhämtning sker, torde dessutom en tillämpning av proportionalitetsprincipen normalt sett leda till att uppgiften inte får hämtas in. Ett uttryckligt förbud mot inhämtning av uppgifter i sådana situationer skulle därför vara av begränsat praktiskt värde. Något sådant förbud bör därför inte införas.

8.3.2 Förstörandeskyldighet

Ett annat tänkbart alternativ som skulle kunna bidra till att stärka skyddet för uppgifter som omfattas av yrkesmässig tystnadsplikt är att införa regler om att sådana uppgifter ska förstöras i efterhand. Även tillämpningen av en sådan regel skulle visserligen normalt förutsätta att den brottsbekämpande myndigheten känner till innehållet i kommunikationen. Det är dock inte otänkbart att det i undantagsfall skulle kunna inträffa att myndigheten får sådan kännedom. Detta gäller t.ex. då hemlig övervakning av elektronisk kommunikation används tillsammans med hemlig avlyssning av elektronisk kommunikation. I den utsträckning kommunikationen i en sådan situation omfattas av avlyssningsförbud har den brottsbekämpande myndigheten en skyldighet att förstöra upptagningarna och uppteckningarna från avlyssningen. Däremot finns det inte någon uttrycklig skyldighet att radera också uppgiften om att kommunikationen har ägt rum. Detta gäller även om myndigheten genom avlyssningen fått kännedom om att t.ex. ett meddelande lämnades till en journalist för publicering. Enligt utredningens uppfattning är detta en brist i

Uppgifter som omfattas av yrkesmässig tystnadsplikt SOU 2015:31

210

skyddet för den yrkesmässiga tystnadsplikten. Vi kan inte heller se några tungt vägande skäl mot att den brottsbekämpande myndigheten i en sådan situation ska vara skyldig att radera även uppgifter som anger att kommunikationen har ägt rum.

Sammanfattningsvis bör det införas en skyldighet för de brottsbekämpande myndigheterna att förstöra uppteckningar från hemlig övervakning av elektronisk kommunikation och inhämtning av uppgifter enligt inhämtningslagen i de delar uppteckningarna innehåller uppgifter som, på grund av bestämmelserna i 36 kap. 5 § andra–sjätte styckena rättegångsbalken, inte skulle ha kunnat inhämtas genom vittnesförhör i domstol. Eftersom möjligheten att avgöra om tystnadsplikt gäller för uppgifter om att kommunikation förekommit normalt är beroende av vad kommunikationen innehöll torde det endast sällan bli aktuellt att tillämpa dessa regler. Detta är emellertid inte något starkt skäl för att avstå från att införa reglerna.

211

9 Inhämtningslagen

9.1 Direktiven

I våra direktiv framhålls att utformningen av regler om hemliga tvångsmedel förutsätter att en avvägning görs mellan å ena sidan nyttan och behovet av tvångsmedlet och å andra sidan omfattningen och arten av det intrång i den personliga integriteten som tvångsmedlet innebär. För att en sådan avvägning ska kunna göras krävs att nyttan och behovet av tvångsmedlet, ändamålet med tvångsmedelsregleringen samt omfattningen och arten av intrånget i den personliga integriteten kan klarläggas med sådan konkretion att det finns ett gott underlag för att bedöma om befogenheten att använda tvångsmedlet är proportionerlig. Det framhålls vidare att ett sådant underlag bör, när det är möjligt, bygga på uppgifter om den hittillsvarande tillämpningen av det tvångsmedel som avses. Mot den bakgrunden har utredningen i uppdrag att kartlägga den hittillsvarande tillämpningen av inhämtningslagen, analysera vilken nytta tvångsmedelsanvändningen enligt lagen har inneburit för den brottsbekämpande verksamheten samt analysera vilken inverkan lagen har haft på enskildas personliga integritet. Utredningen ska också överväga om de rättssäkerhets- och integritetsstärkande åtgärder som vidtogs när lagen infördes har varit tillräckliga eller om det finns behov av andra sådana åtgärder. Vidare ska utredningen analysera vilka behov Säkerhetspolisen har av en möjlighet enligt inhämtningslagen att hämta in uppgifter för att förebygga, förhindra eller upptäcka brottslig verksamhet som innefattar vissa samhällsfarliga brott med lägre straffminimum än fängelse två år samt lämna förslag på hur detta behov bör tillgodoses och balanseras mot integritetsintresset.

Inhämtningslagen SOU 2015:31

212

9.2 Utredningens kartläggning

9.2.1 Metod

Enligt våra direktiv ska resultatet av kartläggningen utgöra underlag för att analysera frågor om tvångsmedlets nytta och påverkan på den personliga integriteten, dvs. frågor som är relaterade till tvångsmedelsanvändningens effekter. Sådana frågor är komplicerade och kräver i många fall en helhetsbedömning som ger anledning till mer öppna frågor och svar än vad som kan fångas upp genom specifika förutbestämda frågor i t.ex. en blankett eller ett frågeformulär (se SOU 2012:44 s. 256).

Utredningen har därför valt en kartläggningsmetod som innebär att vi på djupet har granskat ett urval av underrättelseärenden där inhämtningslagen har tillämpats av Polismyndigheten, Säkerhetspolisen eller Tullverket. I samband med undersökningen har utredningen, i vart och ett av de utvalda ärendena, tagit del av de beslut enligt inhämtningslagen som fattats i ärendena samt bakomliggande skriftligt material. Därefter har företrädare för utredningen intervjuat den ansvarige handläggaren om ärendet. Syftet har varit att tränga djupare in i frågorna om nytta, behov och integritetsintrång. De huvudsakliga frågeställningarna har varit följande:

1. Vilka indikationer har funnits om brottslig verksamheten i de fall myndigheterna har valt att hämta in uppgifter enligt inhämtningslagen?

2. Vilka uppgifter har funnits om den aktuella personen och dennes miljö/nätverk?

3. Varför valde myndigheten att använda inhämtningslagen och vilka omständigheter gjorde att tvångsmedlet användes vid den bestämda tidpunkten?

4. Vilka strategier hade personen och dennes miljö för att skydda verksamheten och sin kommunikation?

5. Vilken information räknade myndigheten med att få och vilken information fick myndigheten?

6. Hur gick myndigheten vidare efter att inhämtningslagen använts?

7. Vilken nytta hade myndigheten av inhämtningslagen?

SOU 2015:31 Inhämtningslagen

213

8. Vilket integritetsintrång räknade myndigheten med, och vad blev det faktiska integritetsintrånget?

I det följande redovisas den undersökning vi har gjort. Vi gör det utförligt och med största möjliga öppenhet. Nödvändig hänsyn till de brottsbekämpande myndigheternas berättigade anspråk på sekretess och i vissa fall även till enskildas integritet gör dock att en del uppgifter måste utelämnas.

9.2.2 Säkerhetspolisens användning av inhämtningslagen

9.2.2.1 Inledning

Undersökningen

En genomgång har gjorts av Säkerhetspolisens användning av inhämtningslagen. Sammanlagt har 60 ärenden granskats – omfattande lika många personer. Undersökningen är kvalitativ, även om också vissa siffror kommer att presenteras i det följande.

Urvalet gick till på det sättet att 60 ärenden – med början i april 2014 och bakåt – togs fram av forskaren i strikt ordningsföljd med hjälp av Säkerhetspolisens diarium. Inledningsvis undersöktes dock enbart 50 ärenden. När dessa ärenden mot slutet inte längre tillförde särskilt mycket ytterligare information togs ytterligare 10 ärenden fram för att kontrollera om det fanns anledning att fortsätta med att granska fler ärenden. Efter att ha gått igenom dessa 10 ärenden bedömdes att ytterligare ärenden inte skulle ge något nämnvärt mervärde varför genomgången avslutades vid 60 ärenden.

Dessa ärenden fördelar sig enligt tabell 1 på följande områden.

Inhämtningslagen SOU 2015:31

214

Tabell 9.1 Områden som omfattas av den undersökta inhämtningen (n=60 ärenden)

Område Antal ärenden (och personer)

Terrorbrott (med koppling till grupperingar, exempelvis al-Qaida)

28

Terrorbrott (ensamagerande)

6

Spionage och flyktingspionage (grov olovlig underrättelseverksamhet)

4

Politisk extremism (ofta grova våldsbrott)

21

Spridning av massförstörelsevapen

1

I avsnitten 9.2.2.2–9.2.2.6 kommer dessa områden att närmare utvecklas och resultatet mer i detalj att redovisas.

Undersökningen har gått till på det sättet att forskaren tagit del av Säkerhetspolisens beslut enligt inhämtningslagen med bakomliggande promemoria. Besluten är skrivna på en särskild blankett där beslutsfattarens namn framgår liksom handläggarens namn och dennes närmaste chef. Som regel är som blanketten utvisar tre personer involverade i varje beslut, men i undantagsfall kan även chefen vara föredragande. Vid sidan av att besluten anger vad IHLinhämtningen avser och tidsperioder är det promemorian som innehåller de substantiella fakta som ligger till grund för IHL-beslutet. Det är handläggaren och i några fall närmast ansvarig chef som författar promemorian. Samtliga ärenden föredras och en sittning kan ta mellan tio och trettio minuter beroende på hur mycket fakta som behöver redovisas och diskuteras. Förutom promemorian kan i vissa ärenden en grafisk nätverksanalys underlätta föredragningen som visar hur den aktuella personen hänger samman med andra. Åtskilliga föredragningar går ganska fort eftersom personerna är kända sedan tidigare.

Efter det att beslut och promemorior gåtts igenom har ansvarig handläggare intervjuats om ärendet. Frågorna har gällt de punkter som anges i avsnitt 9.2.1.

Ett antal ärenden har dock varit svåra att följa upp eftersom handläggarna har slutat eller varit tjänstlediga. Det är heller inte på det sättet att handläggarna i hög grad har ”egna” ärenden utan deras arbetsuppgifter kan växla. I några fall har därför den handläggare

SOU 2015:31 Inhämtningslagen

215

som stått bakom ett beslut inte kunna följa hur det utvecklats eftersom någon annan har tagit över ärendet. I några ärenden har intervjuer med närmast ansvarig chef kunnat komplettera underlaget. I 12 ärenden har dock intervjuer inte kunnat hållas. Det betyder att 48 ärenden har undersökts i detalj och 12 översiktligt, enbart med ledning av skriftliga uppgifter i form av beslut och promemorior.

Sammanlagt har 20 personer intervjuats i ärendena. Vissa har följaktligen intervjuats om flera ärenden. En intervju har tagit mellan 15 och 45 minuter per ärende. Intervjuerna har skett i Säkerhetspolisens lokaler Stockholm och i något fall i Malmö. Några intervjuer har gjorts per telefon till andra orter där Säkerhetspolisen har lokaler.

Dessutom har intervjuer med ett övergripande fokus gjorts med chefen för den tekniska mängddatabearbetningen och operative chefen för kontraterror.

På grund av ärendenas känsliga karaktär har intervjuerna inte spelats in utan anteckningar har i stället förts på en särskild blankett, en blankett för varje ärende. Vissa uppgifter från blanketterna har sedan kodats i Excel för att underlätta sammanställningen av sifferuppgifter.

Några övergripande resultat

De undersökta 60 ärendena har i allt väsentligt gällt mobiltelefoner (95 stycken) och bara några få fasta telefoner (4 stycken). Ärenden som gällt mobiltelefoners unika IMEI-kod (3 stycken) och SIMkortets IMSI-kod (1 styck) är ovanliga. Samtliga ärenden har gällt historiska trafikdata, men det är också vanligt med geografiska data – var telefonen har befunnit sig. I några ärenden har uppgifterna gällt en månad framåt i tiden, räknat från och med beslutet. Inga ärenden har avsett bastömning, vilket kan förklaras av att Säkerhetspolisen i de ärenden som studerats riktat in sig på bestämda personer, inte på händelser vid vissa platser.

Den genomsnittliga tiden för besluten om inhämtning av trafikdata är 4 månader. Många ärenden gäller dock mellan 1 och 3 månader, men genomsnittet dras upp av några längre inhämtningar.

De flesta ärendena gäller män, men även ett antal kvinnor förekommer.

Inhämtningslagen SOU 2015:31

216

I de ärenden där födelseår framgår är det genomsnittliga födelseåret 1982. I terrorärendena är det genomsnittliga födelseåret 1985, och påfallande många är mycket unga och födda under första hälften av 1990-talet. För andra kategorier än terror är uppgifterna om ålder alltför ofullständiga för att det ska vara meningsfullt att ta fram ett genomsnitt.

En intressant fråga är vilket resultat inhämtningen hade. En indelning har gjorts i följande kategorier, efter användningen av inhämtningslagen.

• Personen är avförd eller lågprioriterad

• Fortsatt uppföljning, men på samma nivå som före IHL

• Fortsatt uppföljning, men på högre nivå än före IHL

För att förstå dessa kategorier bör man känna till att de undersökta IHL-ärendena till stor del gäller personer som Säkerhetspolisen redan känner till. På ett eller annat sätt är de föremål för viss uppföljning. När sedan något inträffar – typiskt sett att information kommer fram med indikationer på brottslig verksamhet – bedömer Säkerhetspolisen att det behövs ytterligare uppgifter för att klargöra läget.

Mot den bakgrunden bör det vara förhållandevis få IHL-operationer som leder till att personer avförs helt och hållet. I stället ligger det närmare till hands att Säkerhetspolisen efter IHL fortsätter uppföljningen på den tidigare lägre nivån alternativt på den fortsatt högre nivån.

I ett antal fall har dock IHL satts in på personer som är nya för Säkerhetspolisen. Den vanliga situationen är dock inte att IHL används som första inhämtningsmetod, utan vid sidan av de uppgifter som gör att IHL blir aktuellt används också andra kanaler, till exempel polisens belastnings-, anmälnings- och spaningsregister, Säkerhetspolisens centralregister, kontakter med källor etc. Med ledning av denna information tas en ”profil” fram. Det går därför att säga att läget även för dessa nya ärenden är en form av normal inhämtning före IHL, låt vara att den skett under kort tid.

I en del av ärendena har förundersökning inletts och telefonavlyssning satts in (efter domstolsbeslut). Ibland har detta skett viss tid efter en IHL-operation. Undersökningen har dock inte haft ambitionen att följa ett IHL-ärende fram till dagens läge. Det vore

SOU 2015:31 Inhämtningslagen

217

också fel eftersom senare beslut inte behöver grunda sig enbart på den studerade IHL-operationen utan också på senare händelser och information. Därför är det läget direkt efter IHL-operationen som redovisas. I beskrivningarna längre fram kommer dock en del exempel att ges på hur ärenden senare har utvecklats. Det bör tilläggas att bedömningen av hur uppföljningen ska fortsätta direkt efter en IHL-operation givetvis också bygger på även andra uppgifter än trafikdata. IHL är i nästan alla ärenden enbart en av underrättelsekorgarna som sällan kan isoleras från andra källor.

Tabell 9.2 Utfallet efter Säkerhetspolisens IHL-ärenden (n=60)

Utfall Antal ärenden (och personer)

Information saknas

12

Avförd eller lägre prioritet

4

Fortsatt uppföljning, men på samma nivå som före IHL

19

Fortsatt uppföljning, men på högre nivå än före IHL

25

Träffsäkerheten för att sätta in IHL är hög. I 19 av de 48 ärendena där intervjuer har hållits finns visserligen fortsatt behov av uppföljning, men IHL-kontrollen innebär att de uppgifter som tydde på behov av större insatser från Säkerhetspolisens sida har kunnat stämmas av med hjälp av trafikdata. Situationen har inte bedömts som mer allvarlig än att det har räckt med att fortsätta med den uppföljning som redan skedde före IHL. Längre fram kan givetvis läget förändras, i båda riktningar bör tilläggas. I 25 ärenden visade det sig dock att de uppgifter som låg till grund för beslutet att använda IHL bekräftades på det sättet att Säkerhetspolisen bedömde att det fanns skäl att fortsätta uppföljningen, och det på en högre nivå än före det IHL sattes in. Längre fram kommer en rad exempel på hur Säkerhetspolisen fortsatt denna uppföljning, men redan nu kan sägas att det kan handla om att informatörers uppmärksamhet riktas mot personen, att telefonavlyssning sätts in, att fysisk spaning aktiveras eller att Säkerhetspolisen överväger att ta initiativ till att hålla samtal med personen.

I fyra fall kunde dock Säkerhetspolisen avföra personen eller fortsätta att följa upp på en mycket låg nivå.

Inhämtningslagen SOU 2015:31

218

Disposition

I det följande redovisas resultatet av undersökningen i sju avsnitt enligt följande uppdelning:

• Terrorbrott med koppling till grupperingar i avsnitt 9.2.2.2

• Terrorbrott, men ensamagerande, i avsnitt 9.2.2.3

• Politisk extremism i avsnitt 9.2.2.4

• Spionage och flyktingspionage (olovlig underrättelseverksamhet) i avsnitt 9.2.2.5

• Spridning av massförstörelsevapen i avsnitt 9.2.2.6

• Några generella synpunkter i avsnitt 9.2.2.7

• Summering av nyttan i avsnitt 9.2.2.8

Varje avsnitt om brottsområden följer i princip en disposition som presenterar de grupperingar eller personer som är aktuella, vilka indikationer som Säkerhetspolisen fick om brottslig verksamhet, skälen till att Säkerhetspolisen bedömde behov av ökad information genom att använda IHL, riskerna med den befarade brottsligheten, personens liksom miljöns säkerhetstänkande, omständigheter som gjorde att IHL sattes in vid det aktuella tillfället, vilken information som Säkerhetspolisen räknade med att få in och vad IHL faktiskt gav och resultatet av IHL-operationen, det vill säga vilket ställningstagande Säkerhetspolisen gjorde med ledning av de inhämtade IHL-uppgifterna samt frågan om integritetsintrång. Den för utredningen centrala frågan om nyttan har olika aspekter och behandlas på flera ställen i texten. Därför avslutas redovisningen med en summering av nyttan.

9.2.2.2 Terrorbrott med koppling till grupperingar

Grupperingar

Som nyss nämnts utgör terrorärendena hälften av de undersökta IHL-operationerna (28 av 60 ärenden). Även de sex ärenden som gäller ensamagerande tar sikte på terrorbrott (avsnitt 9.2.2.3) och

SOU 2015:31 Inhämtningslagen

219

dessutom några av de fall som handlar om politisk extremism (avsnitt 9.2.2.4). Det är ett tecken på terrorns ökade insteg i dagens samhälle och därmed också för Säkerhetspolisens arbete.

Merparten av terrorärendena gäller våldsbejakande islamistiska nätverk med personer med koppling till företrädesvis al-Qaida (19 ärenden) eller al-Shabaab (7 ärenden). I Sverige finns ett antal sådana miljöer i vilka radikalisering och rekrytering sker av nya anhängare. ”Vi har flera miljöer i Sverige, och har man kontakter i sådana miljöer är det oroväckande”, som en handläggare förklarade. En person i en sådan miljö hade rest till Syrien för att ansluta sig till stridande förband och IHL sattes in. I dessa miljöer förekommer personer som bekänner sig till ideologin om global jihad, hyllar Usama bin Laden och som vill införa sharialagar i Sverige. Många av dessa personer i IHL-undersökningen är svenska medborgare.

Personer från utlandet med förbindelse med al-Qaida kommer också till Sverige, ibland för att söka asyl. ”Så fort det finns en koppling till al-Qaida hoppar vi till”, förklarar en handläggare och menar att det då alltid sker en uppföljning av denna information från Säkerhetspolisens sida.

IHL är en metod som kräver mindre resurser än fysisk spaning eller mer ingripande och integritetskänsliga tvångsmedel som telefonavlyssning (numera elektronisk avlyssning). Därför betraktas IHL generellt som en inledande stegrad metod jämfört med andra inhämtningsmetoder – exempelvis som komplement till registerslagning och uppgifter från informatörer eller utländska tjänster. IHL sätts då in för att Säkerhetspolisen behöver få uppgifter bekräftade och de nämnda inhämtningskorgarna inte bedöms kunna lämna svar på de frågor som kommit upp. Den inledande aspekten tar sikte på att IHL ofta används för att undersöka om det finns anledning att sätta in mer resurskrävande och integritetskänsliga åtgärder.

Även om al-Qaida och al-Shabaab dominerar sker uppföljning också av delar av PKK. Det gällde exempelvis en person som deltagit i PKK:s träningsläger. Hotet från PKK beskrivs dock som mindre i Sverige än på många andra håll. Aktivister tillhör andra och tredje generationen invandrare och är därför välintegrerade i det svenska samhället.

Som snart kommer att utvecklas handlar de flesta ärenden om Syrien. Även om flertalet terrorärenden följer ett sådant givet mönster, finns några fall som skiljer ut sig genom att ha koppling

Inhämtningslagen SOU 2015:31

220

till kända enskilda internationella terrordåd. På det sättet förekommer även Sverige på en internationell terrorkarta, låt vara i periferin.

Indikationer på brottslig verksamhet

De flesta ärenden på terrorsidan som ingår i det undersökta materialet och som gäller personer med koppling till grupperingar handlar om Syrien och personer som återvänder hem till Sverige. De typiska indikationerna på terrorbrott är kombinationen stridserfarenhet från Syrien (förmåga) och att personen kan knytas till extremistmiljöer, både i Syrien och i Sverige (i vart fall indikation på avsikt). De källor som Säkerhetspolisen bygger sina bedömningar på är framför allt informatörer, signalspaning av samtal, utländska tjänster och myndigheter. I det följande ges några belysande exempel på ärenden.

En handläggare förklarar att det tidigare var al-Shabaabresor till Somalia. ”Nu är det Syrien som gäller.” Ett typiskt ärende handlar om en svensk medborgare med utländsk härkomst som rest till Syrien och där anslutit sig till en väpnad gruppering och deltagit i strid. Därefter återvänder han till Sverige och umgås med personer som Säkerhetspolisen kopplar till terrorism; ofta befinner de sig i sådana nyss nämnda radikala miljöer. Av några av ärendena framgår att återvändarna skadats i strid och sökt och fått vård i Sverige.

Några udda ärenden gäller dock andra länder med kända oroshärdar som Tjetjenien. Fokus på Syrien och svenska kopplingar dit har naturligtvis att göra med situationen där och att en hel del personer från Sverige reser dit för att genomgå militär utbildning och ansluta sig till väpnade styrkor. Säkerhetspolisen har haft en särskild uppföljning av Syrienresenärer, inte minst för att de på plats förvärvar en förmåga till terrordåd.

Militär utbildning erbjuds även på andra håll än i Syrien. Ett ärende gällde en person som hade vistats flera år i Jemen och Somalia. Misstankar fanns att personen hade genomgått utbildning vid ett av al-Shabaabs träningsläger. I dessa erbjuds grundläggande militärutbildning. I Sverige umgås han med personer med kända kopplingar till internationell terrorism och vistas i al-Shabaabkretsar. Även en nära släkting till honom påstås ha koppling till

SOU 2015:31 Inhämtningslagen

221

internationell terrorism. Han har bland annat umgåtts med en person som rest till Syrien på jihad. Det finns också uppgifter om att han själv uttryckt vilja att resa på jihad till Somalia eller Syrien.

En person i ett ärende hade varit i Syrien en längre tid och förmodligen tillhört en al-Qaidainspirerad gruppering. Han har själv medgett att han deltagit i strid. Han umgås också i sådana kretsar och har internationella kontakter. Ett annat ärende gällde en högt uppsatt al-Qaidaperson med stridserfarenhet som kommit till Sverige.

Ett ovanligt fall gällde om en person hade deltagit i en befarad attentatsplanering som skulle ha ägt rum på ett visst ställe en bestämd dag. Det fanns uppgifter om att ett attentat skulle ske på svensk mark. De misstänkta attentatsmännen påstods ha tidigare stridserfarenhet. Attentatsplanering förekommer också i ett annat ärende, men attentatet skulle riktas mot utlandet. Även förundersökning hade inletts till följd av ett utfört dåd utomlands. I andra ärenden fanns uppgifter om att en person skulle organisera en al-Qaidagrupp i Sverige eller i ett grannland.

En person hade vistats i Syrien under längre tid, och det fanns uppgifter om att han varit på träningsläger och anslutit sig till en terrorgruppering. Det hade varit svårt att lokalisera honom genom spaning. En annan person hade en bakgrund i stridande förband och befarades vara villig att åta sig självmordsuppdrag.

Ibland görs det gällande att Syrienresenärer på plats enbart ägnat sig åt humanitärt arbete. I ett sådant fall fanns dock uppgifter om att personen deltagit i träningsläger. En annan uppgift som tyder på deltagande i väpnad kamp är att personen fått stridsskador som krävt kvalificerad vård i Sverige. Han hade också tät kontakt med en annan person som deltagit i strid i Syrien.

I ett annat fall gjordes gällande att personen enbart hjälpt till i ett flyktingläger i Syrien. Samtidigt fanns uppgifter om att resan ned till Syrien företogs i sällskap med två terrormisstänkta personer, och från Syrien har personen haft telefonkontakt med en misstänkt terrorist. Uppgifter från den egna familjen tyder på att personen inspirerats av al-Qaidaideologer. En återvändare har också berättat att personen deltagit i träningsläger.

En person hade enligt uppgift en roll i att hjälpa anhängare till jihad att resa till konfliktzoner. Förutom al-Qaidakopplingar och kontakter med kända terrorister fanns uppgifter om gömda sprängmedelsförråd i Sverige. I ett annat ärende hade kontakten med en

Inhämtningslagen SOU 2015:31

222

sådan facilitator skett via Facebook där bästa resvägen från Turkiet till de väpnade styrkorna i Syrien hade efterfrågats.

En person beskrivs ha tidigare befunnit sig i utkanten av ett nätverk med kända kopplingar till internationell terrorism. Information kom dock fram som tydde på att personen ägnade sig åt stödverksamhet, att radikalisera och rekrytera personer som rest till Syrien för att ansluta sig till stridande förband. Uppgifter fanns också om att han själv var på väg dit. Det finns också bland ärendena personer som konverterat till islam och sedan radikaliserats och rekryterats för att strida i Syrien. I ett annat fall skulle personens lägenhet ha använts som samlingsplats för unga män som sympatiserar med våldsbejakande islamistisk extremism. ”Han har haft kontakt med fyra personer som anslutit sig till al-Shabaab i Somalia.” Personen beskrivs som centralfigur i ett nätverk med misstänkta terrorister och har varit involverad i terrorrelaterade aktiviteter i Sverige, Somalia och Syrien. I ytterligare ett ärende pekas en person ut som koordinator för resor till Somalia. Han påstås själv ha varit på träningsläger, deltagit i strid och radikaliserat flera personer som rest till Syrien.

Varför fanns ett behov av ytterligare information?

Som nämnts sätts IHL typiskt sett in som ett led i en uppföljning när Säkerhetspolisen bedömer att det behövs ytterligare information för att kunna värdera en persons förmåga och avsikt att begå terrorbrott. I det följande ges några exempel från ärendena.

”Det var ett svart hål. Underrättelseläget var dåligt. Vi visste inte vad han hade gjort i Somalia”, berättar en intervjuad handläggare och förklarar varför det fanns behov av att intensifiera uppföljningen. IHL ger information om kontakter, och för Säkerhetspolisen är det främst ”kända” personer i eller utanför Sverige som ger en indikation om vad som kan vara å färde. Det är heller inte ovanligt att nya för Säkerhetspolisen intressanta kontakter kommer fram genom IHL. På det sättet byggs kunskapen upp som kan generera nya ärenden. Det handlar då inte enbart om ytterligare pusselbitar utan att pusslet utvidgas. Av intresse är också att få kännedom om intressanta möten. När på dygnet samtal sker, fre-

SOU 2015:31 Inhämtningslagen

223

kvensen och geografisk anknytning kan också vara nog så talande som kontaktnumren.

Personer som deltagit i träningsläger och strid har givetvis med sig en förmåga hem till Sverige. De har ett vapenkunnande, de kan hantera sprängmedel och vet hur man uppträder i strid. Vissa personer påstås till och med ha specialutbildning i att tillverka bomber och att framställa gift. En person i ett ärende lär ha ingått i en särskild bombgrupp.

Ideologiskt måste dessa personer rimligtvis beskrivas som extremister. Att resa till en annan del av världen och genomgå militär utbildning vid ett träningsläger och sedan delta i strid är givetvis att ta ett mycket stort steg. Ingen kan säga att de inte visat beslutsamhet. De har således en ideologisk agenda, med det behöver givetvis inte innebära att de i Sverige går från ord till handling i betydelsen terrorbrott. Det stora frågetecknet för Säkerhetspolisen är följaktligen inte förmågan, utan att bedöma om personerna har avsikt att utföra eller på annat sätt understödja terrorbrott. Av intervjuerna framgår att IHL bedöms vara ett viktigt redskap i denna grannlaga bedömning.

Den tydligaste risk som de intervjuade handläggarna lyfter fram är att personer som deltagit i strid har med sig någon form av uppdrag till Sverige. Med uppdrag menas att personen fått instruktioner att utföra ett attentat eller liknande på hemmaplan eller någon annanstans. Det är tydligt att Säkerhetspolisen är mer orolig för ett specifikt uppdrag, med de krav och förväntningar som det innebär, än att någon låter sig inspireras efter att ha varit i Syrien eller på annat sätt. I ett ärende angavs att det fanns ett behov av att ”utröna eventuell terrorverksamhet med koppling till Syrien”. I ett annat ärende ställdes frågan: ”Kommer han att stödja eller begå terrordåd riktade mot Sverige eller svenska intressen?” Det gällde en person som bedömdes ha avsevärd förmåga till terrorbrott.

Vad dessa uppdrag består i är för det mesta oklart. Gäller uppdraget terror eller något terrorrelaterat? Uppgifterna är för vaga och oprecisa för att exempelvis kunna leda till förundersökning. Inte ens preventiva tvångsmedel är möjliga till följd av de oklara uppgifterna. Därför återstår uppföljning genom underrättelseverksamhet, och det är där IHL kommer in i bilden enligt intervjupersonerna.

I något fall finns också uppgifter om finansiering av terrorism. Finansiering räknas till stödverksamhet som även innefattar rekry-

Inhämtningslagen SOU 2015:31

224

tering av personer till stridande förband och att ordna resor och andra praktiska arrangemang för att ta sig till stridszonerna.

Säkerhetstänkande

Säkerhetstänkandet i miljön ligger generellt på en hög nivå. Personer som tillhör al-Qaidamiljön har ofta ett högt säkerhetstänkande och agerar på ett sådant sätt att de ska undgå upptäckt. Av IHL-ärendena framgår en rad metoder för att hemlighålla verksamhet och kommunikation. Redan av den information som kommer fram genom en IHL-operation, ibland i kombination med iakttagelser från informatörer och spaning, kan säkerhetsmässiga mot- och försiktighetsåtgärder framgå. Personerna byter ofta telefon eller SIM-kort. Det kan också vara påfallande lite telefontrafik vilket tyder på andra kommunikationssätt. När personer träffas vid bestämda tider och platser utan att först ha ringt varandra tyder det på alternativa kommunikationskanaler som också kan vara hemliga telefoner som används enbart för vissa samtal. Den kunskap som finns från telefonavlyssning visar att personerna är förtegna i samtal, bestämmer träff vid på förväg angivna mötesplatser och uppträder konspiratoriskt genom att försäkra sig om att de inte är skuggade. Andra tecken på säkerhetsmedvetande är att bostaden är larmad, datorns bildskärm är vinklad på ett sådant sätt att ingen utomstående kan se. I ett IHL-ärende betraktade personen en av de aktuella telefonerna som hemlig.

Flera Syrienresenärer har obemärkt lyckats ta sig dit och sedan tillbaka till Sverige. Först senare har Säkerhetspolisen fått kännedom om vistelsen utomlands. I sådana situationer räknar Säkerhetspolisen med att personerna fått hjälp av facilitators som gett dem råd om hur de ska resa och i övrigt förfara.

En central uppgift för våldsbejakande extremism är att radikalisera och rekrytera. Hemliga möten och kontakter sker bland annat i lokaler bakom en front av legal verksamhet. En person beskrivs ha hemliga möten bakom stängd dörr i en moské. I ett annat ärende kom fram att aktiviteterna kopplade till extremism döljs bakom en front av legal föreningsverksamhet. Den legala verksamheten skulle till och med understödjas genom bidrag från det allmänna. ”Det är ett välfungerande maskineri”, berättar en handläggare.

SOU 2015:31 Inhämtningslagen

225

Som nämnts är åtskilliga personer som Säkerhetspolisen följer upp genom IHL kända sedan tidigare och ingår i miljöer och nätverk med terroranknytning. I Säkerhetspolisens promemorior anges al-Qaida miljöer eller al-Shabaab miljöer på vissa bestämda platser i Sverige. För personer i dessa kretsar är terrorverksamhet i hög grad en realitet. Flera känner personer som stupat i strid i Syrien och på andra håll. Det är personer som uppfattas som martyrer och inspirationskällor. Det är vanligt att personer i dessa grupper dessutom bor nära varandra eller att de är inneboende hos andra anhängare. Många åker själva ner till framför allt Syrien och har vänner som redan är på plats. Dessa miljöer kännetecknas av mycket annorlunda värderingar och erfarenheter än vad som gäller för samhället i övrigt och uppfattas vara en grogrund för radikalisering och understöd för att ta sig ut ur Sverige för jihad.

Konflikten i Syrien har dock fått stor spridning och uppfattas som en historisk händelse även utanför dessa kända lokala al-Qaida och al-Shabaab miljöer eller nätverk i Sverige. Följaktligen innebär det en lockelse att få vara delaktig i något stort, ”den stora striden”. Det gäller inte minst personer som aldrig tillhört något känt nätverk utan låtit sig inspirerats genom kamrater och sociala medier. De har följaktligen inte rekryterats på vanligt sätt genom att ha befunnit sig i eller nära de kända miljöerna. Dessa personer i periferin som dras till terrorism kan uppfattas som mer oberäkneliga än de som ingår i en miljö. Det är mycket enklare att följa upp personer som tillhör en tydlig krets, menar flera intervjupersoner. Samma problem kommer upp för de ensamagerande (se nästa avsnitt).

Frånvaron av en miljö gör att det för åtskilliga Syrienresenärer finns begränsade möjligheter att använda andra källor än IHL. Skälet är att informatörer eller information från andra ärenden förutsätter att personerna befinner sig i ett sammanhang och inte som mer eller mindre solitärer. Dessutom är förutsättningarna goda att använda IHL. För många av de unga män som åker till Syrien för att strida är nämligen säkerhetsmedvetandet inte särskilt högt utvecklat. Det har rimligtvis att göra med att de inte fostrats i en miljö där säkerhet är en viktig del av gemenskapen och verksamheten.

Inhämtningslagen SOU 2015:31

226

Omständigheter som gjorde att IHL sattes in

Den information som gör att Säkerhetspolisen sätter in IHL på terrorområdet kommer från egna källor, det vill säga informatörer, uppgifter från samverkande utländska säkerhets- och underrättelsetjänster och signalspaning, både genom FRA och utländska motsvarigheter. Särskilt utländska tjänster spelar en stor roll för Säkerhetspolisens uppföljning.

Det föreligger därför alltid indikationer på brottslig verksamhet i IHL-ärendena, men problemet är att det inte är Säkerhetspolisens egna källor (utan utländska tjänster) eller att det inte går att dra alltför stora växlar på information från egna informatörer. Dessa personer kan befinna sig i periferin, ha en fragmentarisk insyn och följaktligen inte ha hela bilden klar för sig. Källans placering och möjlighet att ge första- eller andrahandsinformation är därför en central fråga för Säkerhetspolisens handläggare. Det går inte heller att alltid lita på källor. Informatörer kan ha egna agendor. Särskilt om felaktig information kommit tidigare i ett ärende ökar behovet av att kontrollera uppgifter, exempelvis genom IHL. Ett vanligt svar från handläggare är dock att IHL ”bekräftade andra källor”.

En underrättelsehandläggare förklarar med att ”allt handlar om att triangulera, att använda så många källor som möjligt”. Det är mot den bakgrunden IHL ska ses som en av flera källor, och dessutom ett mindre integritetskänsligt tvångsmedel än exempelvis avlyssning. Även om IHL är en av flera källor betonar intervjupersonerna samstämmigt hur viktigt det är med IHL, inte minst genom att det både är effektivt och resurssnålt. ”När vi under en tid i våras inte kunde använda IHL var det en katastrof”, menade en handläggare och syftade på turbulensen kring EU-domen (se avsnitt 4.3).

I ett ärende där personen deltagit i träningsläger utomlands och hade kontakter med våldsbejakande personer var syftet med IHL att kunna identifiera särskilda möten och kontakter i syfte att kunna sätta in fysisk spaning. ”IHL är kostnadseffektivt och ger en tydlig bild av kontakter, frekvens och geografisk dygnsrytm. Det blir en mindre höstack att leta i”, förklarade en handläggare.

En belysande argumentation för att använda IHL och inte i för hög grad förlita sig på andra källor, eller ha tillgång till andra säkra källor, är hämtad från en promemoria i ett ärende: ”Säkerhetspolisen saknar i dagsläget förmåga att med andra medel inhämta

SOU 2015:31 Inhämtningslagen

227

egen information för att klargöra [namn] avsikter och kopplingar till terrorism.”

Vad som också avses är att det inte är möjligt eller realistiskt att använda sig av fysisk spaning. Utan trafikdata kan det vara svårt att fysiskt lokalisera personer. Det kan också vara ett problem att smälta in i miljön utan upptäckt. Ett skäl som ofta kommer upp i samtalen med handläggare är hur resurskrävande det är med fysisk spaning. Ofta måste flera spanare användas samtidigt i ett uppdrag. I vissa situationer åtskilliga spanare, särskilt om operationen pågår under en tid. Det är tydligt att Säkerhetspolisen prioriterar mycket hårt i hur spaningsresurserna får användas. Dessa går knappast att räkna med i en normal uppföljning.

Som nämnts är det vanliga skälet till att IHL sätts in att en person nyligen kommit hem till Sverige efter att ha deltagit i träningsläger och strid i länder där terrorism förekommer. En typisk kortfattad handläggarkommentar är, ”hade kommit hem, vi behöver kolla vilka kontakter de har”. Som nyss nämnts är den stora frågan om de har något fortsatt uppdrag i Sverige.

Ett annat mindre vanligt skäl är att personen utomlands har en ställning inom al-Qaida och följaktligen har en rad sådana kontakter. Att vara initierad innebär också att ha detaljerad kännedom om tidigare terrorattentat. En person som hade sökt asyl i Sverige misstänktes ha kontakt med en medlem i al-Qaida, dessutom med kunskap om bombtillverkning. Den fråga som ställdes var om den asylsökande skulle hjälpa till med någon form av uppdrag. Det gällde därför att lokalisera den asylsökande och undersöka om han hade kontakt med kända attentatspersoner. Ett annat ärende gällde en person med stark koppling till al-Qaida och som vistades i Sverige. ”Varför Sverige?”, frågade handläggaren, och ”vad har han för kontakter?”

I ett fall menade handläggaren att det hade kommit in så mycket information i inkorgarna att han blev prioriterad. Uppgifterna var så allvarliga att Säkerhetspolisen lade ner extra resurser. Samma sak gällde i ett annat ärende där graverande uppgifter kommit från olika håll. En källa var Säkerhetspolisen dessutom osäker på, och det var därför viktigt att kunna bekräfta eller avfärda källuppgiften.

Inhämtningslagen SOU 2015:31

228

Vad räknade man med att få för information?

IHL betraktas av intervjupersonerna som en inledande form av hemliga tvångsmedel och, i förhållande till löpande inhämtningskorgar som registerslagningar och uppgifter från informatörer, en stegrad form av löpande inhämtning. Det finns graverande uppgifter om brottslig verksamhet, men som nämnts är dessa för vaga för att nå upp till kraven för preventiva tvångsmedel eller att inleda förundersökning och använda de tvångsmedel som då står till buds. Beroende på vilka uppgifter som kommer fram genom en IHL kan Säkerhetspolisen gå vidare. Av flera intervjuer framgår att handläggarna tänker att de inhämtade uppgifterna skulle kunna leda till att ytterligare steg tas, och att det till och med kan sluta med förundersökning.

Vilka kontakter har han och finns det något som tyder på aktivitet? Har han tät kontakt med den region i vilken han varit? Har han med sig ett uppdrag? Kan kontakter tolkas som att personen har ett uppdrag, eller har han lämnat terrorn bakom sig? Det är frågor som Säkerhetspolisen hoppas få svar på genom att analysera trafikdata.

Som nämnts handlar IHL väldigt mycket om kontakter. Säkerhetspolisen ”börjar lite försiktigt med att utröna vilka kontakter de har”, beskriver en handläggare. Finns det kopplingar till kända nummer? Kommer det upp okända nummer som bör följas upp?

Säkerhetspolisen räknar möjligen med att genom kända kontakter få uppgifter om kopplingar till internationell terrorism. Det kan även vara möjligt att se om telefonen används på ett ovanligt men regelbundet sätt, exempelvis att den är i bruk vid vissa tidpunkter, men inte vid andra.

Även personens rörelsemönster kan ge vägledning, exempelvis genom att det tyder på att han eller hon deltar i vissa möten. Ibland kan sådana möten kretsa kring en ”väldigt viktig person”, som var fallet i ett ärende. Resor till andra städer och följaktligen möten där är centrala frågor i flera IHL-operationer.

När det finns allvarliga uppgifter räknar vissa handläggare med att IHL ska ge ”massiv materia” i betydelsen värdefull information. Samtidigt erkänner man att IHL kan vara ett trubbigt verktyg, med många in- och utgående nummer.

SOU 2015:31 Inhämtningslagen

229

Vilken information fick man fram?

”Personen uppträdde normalt, men hade vissa intressanta kontakter”, beskriver en intervjuad handläggare. I ett annat ärende kom det fram nya för Säkerhetspolisen tidigare okända kontakter som visar att personen ingår i ett nätverk. Som nämnts är det ett ganska vanligt resultat i ärendena att ytterligare kontakter avslöjas.

I ett ärende kom ”högintressant” information fram om terrorism. Informationen indikerade en omfattande kontaktverksamhet inom den våldsförespråkande islamistiska miljön. I en operation menade handläggaren visserligen att personen inte hade några fortsatta kontakter i Syrien, men väl ett större kontaktnät än vad Säkerhetspolisen hade räknat med.

En IHL-operation bekräftade andra källor om att personen med bil hade rest till en stad och deltagit i ett viktigt möte där en synnerligen inflytelserik person skulle ha medverkat.

Det var tvetydiga uppgifter som kom fram i ett ärende. Det var inget som ”stod ut”. En källa kunde dock avfärdas. Även i ett annat ärende var det inget som ”stack ut”, även om personen använde sina telefoner flitigt. Säkerhetspolisen menade dock att det var en ”intressant” person och uppföljningen fortsatte därför, men utan att utökas. Senare kom dock uppgifter fram att han varit mer aktiv med terrorrelaterad aktivitet än vad IHL:n hade visat.

I ett ärende som i hög grad byggde på uppgifter från utländska tjänster kom fram att personen inte hade de kontakter som han borde ha haft om informationen hade varit korrekt. Det fanns inte heller några andra besvärande uppgifter, exempelvis att en asylsökande i Sverige företog ”konstiga resor”.

För en person som Säkerhetspolisen fortfarande har uppföljning på kom inte några alarmerande uppgifter fram genom IHL. Personen reste en hel del till Syrien under förespegling av att det var av humanitära skäl. Säkerhetspolisen misstänker dock att det finns en dold agenda. Därför fortsätter uppföljningen.

Resultat

”Personen kunde avföras eftersom han inte bedömdes som ett säkerhetshot”, konstaterar en handläggare i ett ärende. En av Säkerhetspolisens källor kunde ifrågasättas vilket har betydelse för fram-

Inhämtningslagen SOU 2015:31

230

tiden. I ytterligare ett fall visade det sig att uppgifterna inte stämde och att han kunde avföras. I något fall kunde Säkerhetspolisen sätta in vissa stödjande insatser eftersom personen befann sig i en utsatt position i en radikal miljö.

Efter IHL visade sig att de tidigare uppgifterna var överdrivna och därför gick den fortsatta uppföljningen ned i intensitet: ”Situationen var inte så akut som vi trodde.” Längre fram kom dock uppgifter fram som gjorde att uppföljningen återigen gick upp i ett högre läge.

Den vanliga situationen är dock att Säkerhetspolisen fortsätter att följa upp personen. Redan IHL innebär en ökad uppföljning, och sedan kan man fortsätta med de instrument som står till buds, exempelvis spaning och att rikta informatörers uppmärksamhet mot personen. Även andra tvångsmedel kan sättas in, men först efter domstolsbeslut. Den stora frågan efter en IHL-operation är vad som ska ske härnäst: ”Ska vi avskriva det här, eller gå vidare?” Vilka uppgifter som kommit in i kombination med tillgängliga resurser bestämmer den fortsatta inriktningen.

Ett IHL-ärende betecknades som ”oerhört framgångsrikt”. Säkerhetspolisen fick därmed ett intressant rörelseschema för personen som ledde vidare till intressanta platser för boende och uppslag till ”samlingshubbar”. Dessutom kom det fram telefonnummer till kända våldsförespråkare i nätverket. I ett annat ärende beskrevs en sedan tidigare intressant person bli ännu mer intressant. Säkerhetspolisen prioriterade och satte in fysisk spaning som är mer resurskrävande.

Även om en person efter en IHL-operation fortfarande beskrivs som ”högaktuell”, kan uppföljningen gå ner i intensitet till följd av vistelse utomlands. I det ärendet kom information även in om personer som rest till Syrien, vilka som kunde tänkas resa dit och i vilka kluster rekrytering förekommer.

I några ärenden bedömdes personerna vara fortsatt intressanta och därmed prioriterade, men på grund av resursbrist sker inte den följande uppföljningen på den nivå som handläggarna önskar. Ibland kan det bero på att personen inte var så central som man inledningsvis hade trott. Återigen kan bristande resurser tala sitt tydliga språk.

Ett ärende ledde till frihetsberövande. Det var dock främst annan information än från IHL som användes som underlag. Säkerhets-

SOU 2015:31 Inhämtningslagen

231

polisen hade i stället ”god källtäckning”, som en handläggare uttryckte det. Även i ett annat ärende hade intresset ökat från Säkerhetspolisens sida, men det berodde inte primärt på IHL utan andra uppgifter.

Integritetsintrång

IHL är ett integritetskänsligt tvångsmedel som syftar till att förebygga, förhindra och upptäcka brottslig verksamhet. En avvägning görs därför i varje ärende mellan nyttan av IHL och intrånget i den personliga integriteten. Ibland kommer särskilda frågor om integritet upp i ett ärende. I ett sådant fall visade det sig att abonnemangen tillhörde en vän till den aktuella personen. Det var en viktig fråga som diskuterades internt på Säkerhetspolisen, hur man skulle göra. I övrigt är integritetsfrågorna inte särskilt komplicerade i ärendena mot bakgrund av de intresseavvägningar som görs i ärendena.

Den vanliga situationen är att mobiltelefon och abonnemang tillhör den aktuella personen och det är också den personen som är användare. Följaktligen är det knappast några utomstående som använder den telefon som omfattas av IHL. Integritetsintrånget är därmed begränsat till brukaren av mobiltelefonen och givetvis de som har kontakt med det aktuella telefonnumret.

9.2.2.3 Terrorbrott – ensamagerande

Organisation?

En udda grupp personer kallar Säkerhetspolisen för ensamagerande. Deras inriktning ligger inom terrorbrott. Det som skiljer dem från andra som Säkerhetspolisen följer upp under rubriken terrorbrott är att de ensamagerande så vitt känt inte tillhör någon grupp och inte heller befinner sig i en miljö med likasinnade. De är helt enkelt ensamagerande.