Mål nr 14891-14 - Förvaltningsrätten i Stockholm

Transcription

Mål nr 14891-14 - Förvaltningsrätten i Stockholm
1
FÖRVALTNINGSRÄTTEN
I STOCKHOLM
Allmänna avdelningen
Enhet 14
DOM
2014-10-13
Meddelad i
Stockholm
Mål nr
14891-14
KLAGANDE
Tele2 Sverige AB, 556267-5164
Ombud: chefsjuristen Stefan Backman
Tele2 Sverige AB
Box 62
164 94 Kista
MOTPART
Post- och telestyrelsen
Box 5398
102 49 Stockholm
ÖVERKLAGAT BESLUT
Post- och telestyrelsens beslut 2014-06-27, se bilaga 1
SAKEN
Föreläggande enligt 7 kap. 5 § lagen om elektronisk kommunikation
___________________
FÖRVALTNINGSRÄTTENS AVGÖRANDE
Förvaltningsrätten avslår Tele2 Sverige AB:s överklagande.
Dok.Id 517702
Postadress
115 76 Stockholm
Besöksadress
Tegeluddsvägen 1
Telefon
Telefax
08-561 680 00
08-561 680 01
E-post:
forvaltningsrattenistockholm@dom.se
Expeditionstid
måndag – fredag
08:00-16:30
2
FÖRVALTNINGSRÄTTEN
I STOCKHOLM
Allmänna avdelningen
DOM
14891-14
BAKGRUND....................................................................................................... 3
YRKANDEN M.M. ............................................................................................. 3
PARTERNAS UTVECKLING AV TALAN ......................................................... 4
Tele2 .................................................................................................................... 4
PTS ...................................................................................................................... 5
SKÄLEN FÖR AVGÖRANDET.......................................................................... 6
Frågan i målet ...................................................................................................... 6
Aktuella bestämmelser......................................................................................... 7
Datalagring ..................................................................................................... 7
Enskildas fri- och rättigheter ........................................................................... 8
Regeringsformen.......................................................................................... 8
Europakonventionen .................................................................................... 8
EU:s rättighetsstadga ................................................................................... 8
2002 års direktiv om integritet och elektronisk kommunikation ................. 9
Utgångspunkter för prövningen ......................................................................... 10
EU:s rättighetsstadgas tillämplighet ............................................................. 10
Rättigheternas omfattning och inskränkningsmöjligheter ............................. 10
Utgör lagringsskyldigheten och tillgångsbestämmelserna i svensk rätt en
inskränkning av aktuella fri- och rättigheter? .................................................... 11
Är inskränkningarna i aktuella fri- och rättigheter godtagbara? ........................ 12
Förutsättningar för godtagbara inskränkningar ........................................... 12
Kränker inskränkningarna det väsentliga innehållet i rättigheterna? .......... 13
Är inskränkningarna motiverade av ett godtagbart ändamål? ..................... 13
Är inskränkningarna proportionerliga? ........................................................ 14
Omfattningen av lagringen ........................................................................ 16
Tillgången till de lagrade uppgifterna........................................................ 17
A) Tillgången enligt LEK ...................................................................... 18
B) Tillgången enligt RB......................................................................... 20
C) Tillgången enligt inhämtningslagen ................................................. 22
Lagringstiden för de lagrade uppgifterna .................................................. 24
Säkerheten för de lagrade uppgifterna ....................................................... 26
Sammanfattande bedömning.......................................................................... 28
HUR MAN ÖVERKLAGAR ............................................................................. 30
3
FÖRVALTNINGSRÄTTEN
I STOCKHOLM
Allmänna avdelningen
DOM
14891-14
BAKGRUND
Europaparlamentets och rådets direktiv 2006/24/EG av den 15 mars 2006 om lagring av uppgifter som genererats eller behandlats i samband med tillhandahållande av allmänt tillgängliga elektroniska kommunikationstjänster eller allmänna kommunikationsnät och om ändring av direktiv 2002/58/EG (datalagringsdirektivet) är införlivat i svensk rätt bland annat genom bestämmelser om datalagring i lagen (2003:389) om elektronisk kommunikation, LEK, och i förordningen
(2003:396) om elektronisk kommunikation, FEK. Syftet med direktivet var att
harmonisera medlemsstaternas bestämmelser om lagringsskyldighet för att säkerställa att uppgifterna är tillgängliga för utredning, avslöjande och åtal av allvarliga
brott (artikel 1).
Genom dom den 8 april 2014 i de förenade målen C-293/12 och C-594/12, Digital
Rights Ireland m.fl., förklarade EU-domstolen datalagringsdirektivet ogiltigt på
grund av att unionslagstiftaren vid antagandet av direktivet överskred de gränser
som proportionalitetsprincipen uppställer mot bakgrund av artiklarna 7 (respekt
för privatlivet och familjelivet), 8 (skydd av personuppgifter) och 52.1 (rättigheternas och principernas räckvidd och tolkning) i Europeiska unionens stadga om de
grundläggande rättigheterna (EU:s rättighetsstadga).
Mot bakgrund av EU-domstolens dom tillsatte den svenska regeringen en särskild
utredare för att granska de svenska reglernas förenlighet med unionsrätten. I en
första rapport i juni 2014, Ds 2014:23, (utredningen) bedöms det svenska regelverket om lagring och utlämnande av uppgifter rymmas inom de ramar som ställs
upp av unions- och europarättens allmänna principer och kravet på respekt för
grundläggande rättigheter (s. 10).
YRKANDEN M.M.
Post- och telestyrelsen (PTS) förelade den 27 juni 2014 Tele2 Sverige AB (Tele2)
att senast den 25 juli 2014 lagra uppgifter i enlighet med 6 kap. 16 a § LEK jämte
37-43 §§ FEK, se bilaga 1.
4
FÖRVALTNINGSRÄTTEN
I STOCKHOLM
Allmänna avdelningen
DOM
14891-14
Tele2 överklagar föreläggandet och yrkar att förvaltningsrätten ska upphäva detsamma.
PTS bestrider bifall till överklagandet.
PARTERNAS UTVECKLING AV TALAN
Tele2
Tele2 anför i huvudsak följande till stöd för sin talan.
De svenska datalagringsbestämmelserna i 6 kap. LEK står, på samma sätt som det
upphävda datalagringsdirektivet, i strid med artiklarna 7, 8 och 52.1 i den europeiska konventionen den 4 november 1950 angående skydd för de mänskliga rättigheterna och de grundläggande friheterna (Europakonventionen) och därmed också
med svensk grundlag, varför PTS inte har haft rättslig möjlighet att tillämpa och
genomdriva de svenska datalagringsbestämmelserna i LEK genom att förelägga
Tele2 att återuppta datalagringen enligt desamma. De svenska datalagringsbestämmelserna lever inte upp till de krav på respekt för grundläggande fri- och rättigheter som EU-domstolen angett följer av Europakonventionen när det gäller
system för datalagring.
Slutsatserna i den utredning som PTS hänvisar till bygger på en felaktig tolkning
av EU-domstolens dom när det gäller möjligheterna att ”läka” det intrång i grundläggande fri- och rättigheter, som den omfattande datalagringen i sig ostridigt utgör, genom begränsningar i tillgången till de lagrade uppgifterna. I allt väsentligt
är det just den omfattande lagringen som EU-domstolen riktat särskilt allvarlig
kritik mot. De svenska datalagringskraven är på samma sätt som direktivets krav
så omfattande och långtgående att de rimligen inte kan vägas upp av eventuella
regler som begränsar tillgången till de lagrade uppgifterna.
Utredningen har inte heller i tillräcklig grad, i den samlade proportionalitetsbedömningen, beaktat de brister i det svenska tillgångssystemet som utredaren
själv uppmärksammat. Även om utformningen av de svenska tillgångsreglerna är
5
FÖRVALTNINGSRÄTTEN
I STOCKHOLM
Allmänna avdelningen
DOM
14891-14
av avgörande betydelse för bedömningen av frågan om lagringens omfattning kan
anses proportionerlig, kan utformningen inte kompensera de grundläggande och
allvarliga brister som föreligger i det svenska datalagringssystemet.
Utredningen är inte heller en rättskälla som kan tillåtas få genomslag i synnerligen
betungande myndighetsutövning som medför långtgående rättighetsinskränkningar för enskilda.
Den österrikiska författningsdomstolen har i ett avgörande den 27 juni 2014
kommit till rakt motsatt slutsats jämfört med utredningen, när domstolen konstaterat att de österrikiska datalagringsbestämmelserna står i strid med Europakonventionen och därför inte får/kan tillämpas. Det svenska datalagringssystemet uppställer inte ett mer långtgående skydd för den enskildes grundläggande rättigheter
enligt Europakonventionen jämfört med skyddet enligt den ogiltigförklarade österrikiska lagstiftningen. Tvärtom uppvisar den svenska lagen ett sämre skydd för
den enskilde på flera punkter. Även i flera andra länder har de nationella datalagringsbestämmelserna förklarats ogiltiga.
PTS
PTS anför i huvudsak följande till stöd för sin inställning.
Det är i målet ostridigt att Tele2 inte lagrar uppgifter i den utsträckning som följer
av 6 kap. 16 a § LEK. Baserat på vad Tele2 anfört i sitt överklagande är frågan
närmast om lagregeln ska tillämpas eller ej.
Det faktum att EU-domstolen har funnit datalagringsdirektivet ogiltigt innebär
inte automatiskt att den svenska lagstiftningen, som beslutats i behörig ordning,
också blir ogiltig. EU-domstolen har inte funnit att regler om datalagring, i syfte
att eventuellt göra dem tillgängliga för behöriga nationella myndigheter, i sig
skulle vara i strid med unionsrätten. Det som domstolen har funnit är problemet är
proportionaliteten i ingreppet utifrån utformningen av direktivet.
6
FÖRVALTNINGSRÄTTEN
I STOCKHOLM
Allmänna avdelningen
DOM
14891-14
Även om det i och med EU-domstolens dom inte finns någon unionsrättslig skyldighet att ha regler om datalagring, får datalagring således finnas så länge kraven i
Europaparlamentets och rådets direktiv 2002/58/EG av den 12 juli 2002 om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk
kommunikation (direktivet om integritet och elektronisk kommunikation) och
övriga unionsrättsliga krav är uppfyllda. Huruvida utformningen av en nationell
reglering innebär att den uppfyller dessa krav måste avgöras från fall till fall med
fullt beaktande av utformningen av samtliga tillämpliga regler. Möjligheten att dra
säkra analogier mellan lagstiftningen i två olika medlemsstater är därför högst
begränsad.
Slutsatsen i utredningen är att det svenska regelverket om lagring och utlämnande
av uppgifter ryms inom de ramar som ställs upp av unions- och europarättens allmänna principer och kravet på respekt för grundläggande rättigheter.
PTS har vid en sammantagen bedömning funnit att det saknas skäl för myndigheten att underlåta att tillämpa de svenska reglerna om lagring av trafikuppgifter
m.m.
SKÄLEN FÖR AVGÖRANDET
Frågan i målet
Tele2 har gjort gällande att de svenska datalagringsbestämmelserna i 6 kap. LEK,
på samma sätt som det numera upphävda datalagringsdirektivet, är så långtgående
och förenade med sådana brister i integritetsskyddet att de står i strid med artiklarna 7, 8 och 52.1 i Europakonventionen och därmed också i princip med regeringsformen (RF), varför PTS inte har haft rättslig möjlighet att tillämpa och genomdriva de svenska datalagringsbestämmelserna i LEK genom att förelägga
Tele2 att återuppta datalagringen enligt desamma. Förvaltningsrätten konstaterar i
detta sammanhang att EU-domstolen har underkänt datalagringsdirektivet mot
bakgrund av EU:s rättighetsstadga. Med hänsyn till vad Tele2 har anfört i målet
samt mot bakgrund av den prövning som EU-domstolen har gjort i nämnda mål,
anser förvaltningsrätten att frågan huruvida föreläggandet ska upphävas inte ska
7
FÖRVALTNINGSRÄTTEN
I STOCKHOLM
Allmänna avdelningen
DOM
14891-14
begränsas till en prövning enbart mot bakgrund av RF och Europakonventionen,
utan att en vidare prövning ska ske. Förvaltningsrätten återkommer till detta nedan.
Frågan i målet är om de svenska bestämmelserna om datalagring är oförenliga
med tillämpliga bestämmelser om enskildas fri- och rättigheter på ett sådant sätt,
att PTS inte har haft rättslig möjlighet att förelägga Tele2 att lagra uppgifter i enlighet med 6 kap. 16 a § LEK jämte 37-43 §§ FEK.
Aktuella bestämmelser
Datalagring
Av 6 kap. 16 a § LEK framgår att den som bedriver verksamhet som är anmälningspliktig enligt 2 kap. 1 § samma lag (nedan benämnda leverantörer) är skyldig
att lagra dels uppgifter om abonnemang, dels andra uppgifter som angår ett särskilt elektroniskt meddelande, som är nödvändiga för att spåra och identifiera
kommunikationskällan, slutmålet för kommunikationen, datum, tidpunkt och varaktighet för kommunikationen, typ av kommunikation, kommunikationsutrustning
samt lokalisering av mobil kommunikationsutrustning vid kommunikationens
början och slut. Skyldigheten att lagra uppgifterna omfattar uppgifter som genereras eller behandlas vid telefonitjänst, meddelandehantering, internetåtkomst och
tillhandahållande av kapacitet för att få internetåtkomst (anslutningsform). Även
vid misslyckad uppringning gäller skyldigheten att lagra uppgifter som genereras
eller behandlas.
Av 38-43 §§ FEK framgår närmare vilka uppgifter som ska lagras för att lagringsskyldigheten i 6 kap. 16 a § LEK ska anses fullgjord.
8
FÖRVALTNINGSRÄTTEN
I STOCKHOLM
Allmänna avdelningen
DOM
14891-14
Enskildas fri- och rättigheter
Regeringsformen
I 2 kap. 6 § RF stadgas att var och en är skyddad mot betydande intrång i den personliga integriteten som sker utan samtycke och som innebär övervakning eller
kartläggning av den enskildes personliga förhållanden. Genom lag får integritetsskyddet begränsas för att tillgodose ändamål som är godtagbara i ett demokratiskt
samhälle. Begränsningen får inte gå utöver vad som är nödvändigt med hänsyn till
det ändamål som har föranlett den och inte heller sträcka sig så långt att den utgör
ett hot mot den fria åsiktsbildningen såsom en av folkstyrelsens grundvalar, se 2
kap. 20-21 §§ RF.
Av 2 kap 19 § RF följer att lag eller föreskrift inte får meddelas i strid med
Sveriges åtaganden på grund av Europakonventionen.
Europakonventionen
Sedan den 1 januari 1995 gäller Europakonventionen som svensk lag. Artikel 8 i
Europakonventionen har följande lydelse.
1. Var och en har rätt till respekt för sitt privat- och familjeliv, sitt hem och sin
korrespondens.
2. Offentlig myndighet får inte inskränka åtnjutande av denna rättighet annat än
med stöd av lag och om det i ett demokratiskt samhälle är nödvändigt med hänsyn
till statens säkerhet, den allmänna säkerheten, landets ekonomiska välstånd eller
till förebyggande av oordning eller brott eller till skydd för hälsa eller moral eller
för andra personers fri- och rättigheter.
EU:s rättighetsstadga
Artiklarna 7, 8 och 52.1 i EU:s rättighetsstadga har följande lydelser.
9
FÖRVALTNINGSRÄTTEN
I STOCKHOLM
Allmänna avdelningen
DOM
14891-14
Artikel 7
Var och en har rätt till respekt för sitt privatliv och familjeliv, sin bostad och sina
kommunikationer.
Artikel 8
1. Var och en har rätt till skydd av de personuppgifter som rör honom eller henne.
2. Dessa uppgifter ska behandlas lagenligt för bestämda ändamål och på grundval
av den berörda personens samtycke eller någon annan legitim och lagenlig grund.
Var och en har rätt att få tillgång till insamlade uppgifter som rör honom eller
henne och att få rättelse av dem.
3. En oberoende myndighet ska kontrollera att dessa regler efterlevs.
Artikel 52.1
Varje begränsning i utövandet av de rättigheter och friheter som erkänns i denna
stadga ska vara föreskriven i lag och förenlig med det väsentliga innehållet i dessa
rättigheter och friheter. Begränsningar får, med beaktande av proportionalitetsprincipen, endast göras om de är nödvändiga och faktiskt svarar mot mål av allmänt samhällsintresse som erkänns av unionen eller behovet av skydd för andra
människors rättigheter och friheter.
Av artikel 52.3 i EU:s rättighetsstadga framgår att i den mån rättigheterna enligt
rättighetsstadgan motsvarar sådana som garanteras av Europakonventionen ska de
ha samma innebörd och räckvidd som i konventionen. Bestämmelsen hindrar inte
unionsrätten från att tillförsäkra ett mer långtgående skydd.
2002 års direktiv om integritet och elektronisk kommunikation
I artikel 6 i 2002 års direktiv om integritet och elektronisk kommunikation föreskrivs som huvudregel att trafikuppgifter ska utplånas eller avidentifieras när de
inte längre behövs för sitt syfte att överföra en kommunikation. Vidare stadgas i
artikel 9 att andra lokaliseringsuppgifter får behandlas endast sedan de har aviden-
10
FÖRVALTNINGSRÄTTEN
I STOCKHOLM
Allmänna avdelningen
DOM
14891-14
tifierats eller om användaren eller abonnenten givit sitt samtycke. Av artikel 15.1
framgår att medlemsstaterna, genom lagstiftning, får vidta åtgärder för att begränsa omfattningen av rättigheterna och skyldigheterna i artikel 6 och 9 när en
sådan begränsning i ett demokratiskt samhälle är nödvändig, lämplig och proportionell för att skydda bl.a. allmän säkerhet och för förebyggande, undersökning,
avslöjande av och åtal för brott.
Utgångspunkter för prövningen
EU:s rättighetsstadgas tillämplighet
Av artikel 51.1 i EU:s rättighetsstadga framgår att bestämmelserna i stadgan riktar
sig till medlemsstaterna endast när dessa tillämpar unionsrätten. De aktuella lagringsbestämmelserna i LEK och FEK har tillkommit som en konsekvens av införlivandet av det nu ogiltigförklarade datalagringsdirektivet. Av skäl 22 i datalagringsdirektivet framgår att syftet med direktivet var att tillsammans med 2002 års
direktiv om integritet och elektronisk kommunikation, vilket alltjämt gäller, säkerställa full respekt för medborgarnas grundläggande rättigheter med avseende
på privatlivet och kommunikationer samt skyddet för personuppgifter. Mot bakgrund av detta får unionen anses ha ett gemensamt system för behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation.
Tillämpningen av bl.a. 6 kap. 16 a § LEK utgör därför enligt förvaltningsrättens
mening en tillämpning av unionsrätten i den mening som avses i artikel 51.1 i
EU:s rättighetsstadga, trots att datalagringsdirektivet numera har ogiltigförklarats.
Rättigheternas omfattning och inskränkningsmöjligheter
De nu aktuella fri- och rättigheterna som tillförsäkras enskilda genom RF,
Europakonventionen och EU:s rättighetsstadga motsvarar i huvudsak varandra,
bortsett från det vidare skydd för personuppgifter som gäller enligt EU:s rättighetsstadga. Även utrymmet för att inskränka fri- och rättigheterna förutsätter likartade bedömningar och överväganden oavsett regelverk. Den kritik som EUdomstolen har riktat mot datalagringsdirektivet utifrån artikel 7, 8 och 52.1 i EU:s
11
FÖRVALTNINGSRÄTTEN
I STOCKHOLM
Allmänna avdelningen
DOM
14891-14
rättighetsstadga är därför aktuell även vid en bedömning utifrån RF och Europakonventionen. Nedan bedöms den svenska regleringens förenlighet med aktuella
fri- och rättigheter i de olika regelverken, i en sammanförd bedömning.
Utgör lagringsskyldigheten och tillgångsbestämmelserna i svensk rätt en inskränkning av aktuella fri- och rättigheter?
Förvaltningsrätten konstaterar inledningsvis att den lagringsskyldighet som åläggs
leverantörer i svensk rätt helt innefattar den lagringsskyldighet som föreskrevs i
det numera ogiltigförklarade datalagringsdirektivet. Den svenska regleringen föreskriver därutöver lagringsskyldighet för uppgifter om misslyckad uppringning och
uppgifter om lokalisering av mobilsamtals slut. I likhet med datalagringsdirektivet
omfattar lagringsskyldigheten inte uppgifter som avslöjar innehållet i kommunikationen.
EU-domstolen har i ovan nämnda dom uttalat att lagringsskyldigheten som föreskrevs i datalagringsdirektivet i sig utgör en inskränkning av rätten till respekt för
privatliv (punkt 34). Detta eftersom det är möjligt, genom den mängd uppgifter
som lagras, att dra mycket precisa slutsatser om personers privatliv, såsom deras
vanor i vardagslivet, stadigvarande och tillfälliga uppehållsorter, dagliga förflyttningar i övrigt, sociala relationer m.m. (punkt 27). Vidare har EU-domstolen uttalat att lagringen utgör ett intrång även i rätten till skydd för personuppgifter (punkt
36). Behöriga nationella myndigheters tillgång till uppgifterna har dessutom bedömts utgöra ytterligare intrång i rättigheterna (punkt 35-36). Inskränkningarna
har ansetts vara långtgående och att det måste anses som synnerligen allvarligt
(punkt 37).
Då den lagring som föreskrivs i svensk rätt är mer omfattande än den som ålades
leverantörer i datalagringsdirektivet, finner förvaltningsrätten att aktuella bestämmelser om lagring i LEK och FEK innebär en inskränkning i rätten till respekt för privatlivet och skyddet för personuppgifter. Att innehållet i kommunikationerna är fredat från lagringsskyldigheten föranleder ingen annan bedömning.
Förvaltningsrätten finner dessutom, liksom EU-domstolen, att tillgången till uppgifterna utgör ytterligare intrång i rättigheterna och att det mot bakgrund av den
12
FÖRVALTNINGSRÄTTEN
I STOCKHOLM
Allmänna avdelningen
DOM
14891-14
mängd uppgifter som omfattas av lagringen är fråga om betydande inskränkningar
i rättigheterna.
Är inskränkningarna i aktuella fri- och rättigheter godtagbara?
Förutsättningar för godtagbara inskränkningar
Inskränkningar i rättigheterna får ske genom lag. Enligt samtliga regelverk gäller
att en inskränkning ska vara motiverad för att tillgodose ett visst ändamål. Enligt
RF ska ändamålet vara godtagbart i ett demokratiskt samhälle. Enligt Europakonventionen ska ändamålet avse bl.a. den allmänna säkerheten, förebyggande av
oordning eller brott eller andra personers fri- och rättigheter. Enligt EU:s rättighetsstadga ska inskränkningen vara motiverad av ett mål av allmänt samhällsintresse som erkänns av unionen eller behovet av skydd för andra människors rättigheter och friheter.
För samtliga regelverk krävs, utöver detta, att inskränkningen ska vara väl avvägd.
I RF uttrycks denna avvägning på så sätt att begränsningen inte får gå utöver vad
som är nödvändigt med hänsyn till det ändamål som har föranlett den. I Europakonventionen stadgas att inskränkningen ska vara nödvändig i ett demokratiskt
samhälle för att uppnå de bestämda ändamålen. I EU:s rättighetsstadga föreskrivs
att inskränkningen ska vara förenlig med det väsentliga innehållet i fri- och rättigheterna. Vidare får begränsningar, med beaktande av proportionalitetsprincipen,
endast göras om de är nödvändiga. Samtliga formuleringar ger alltså uttryck för
den s.k. proportionalitetsprincipen.
Utöver nämnda regelverk ska artikel 15.1 i 2002 års direktiv om integritet och
elektronisk kommunikation beaktas. Skälet till detta är att den datalagringsskyldighet som åläggs leverantörer enligt svensk rätt utgör en avvikelse från skyldigheten i nämnda direktiv.
Nedan kommer förvaltningsrätten först att pröva huruvida inskränkningarna i
svensk rätt kränker det väsentliga innehållet i rättigheterna. Därefter prövar domstolen huruvida inskränkningarna är motiverade för att tillgodose ett godtagbart
13
FÖRVALTNINGSRÄTTEN
I STOCKHOLM
Allmänna avdelningen
DOM
14891-14
ändamål. Slutligen kommer domstolen att pröva om inskränkningarna uppfyller
det krav på proportionalitet som kan ställas på dem utifrån aktuella regelverk.
Kränker inskränkningarna det väsentliga innehållet i rättigheterna?
EU-domstolen har funnit att datalagringsdirektivet inte kränker det väsentliga innehållet i rätten till respekt för privatlivet och skydd för personuppgifter. Bedömningen baseras på den omständigheten att innehållet i kommunikationerna är fredat från lagring samt att medlemsstaterna ska säkerställa att det finns lämpliga
tekniska och organisatoriska åtgärder för att skydda uppgifterna (punkt 39-40).
Den lagringsskyldighet som följer av svensk rätt innebär, liksom datalagringsdirektivet, att innehållet i kommunikationerna är fredat från lagring. Vidare innehåller 6 kap. 3 a § LEK, liksom datalagringsdirektivet, regler om lämpliga tekniska och organisatoriska åtgärder för att skydda uppgifterna. Då den svenska regleringen i dessa delar motsvarar de regler som föreskrevs i datalagringsdirektivet, anser förvaltningsrätten att den svenska regleringen inte heller kan anses kränka det väsentliga innehållet i rättigheterna.
Är inskränkningarna motiverade av ett godtagbart ändamål?
EU-domstolen har funnit att de intrång i rättigheterna som datalagringsdirektivet
innebär svarar mot ett erkänt allmänt samhällsintresse eftersom datalagringsdirektivets materiella syfte är att säkerställa tillgänglighet av uppgifter för utredning, avslöjande och åtal av allvarliga brott. Syftet är således att bidra till bekämpandet av grov brottslighet och i sista hand att bidra till den allmänna säkerheten
(punkt 41).
Bestämmelserna om datalagring infördes i LEK och FEK i syfte att införliva datalagringsdirektivet i svensk rätt. Vid införlivandet av direktivet framhölls i förarbetena att de brottsbekämpande myndigheterna har ett stort behov av att få tillgång
till trafikuppgifter i sin verksamhet och att tillgången, utan regler om lagringsskyldighet, är beroende av vilka uppgifter leverantörerna lagrar för andra syften.
Samtidigt konstaterades att en lagringsskyldighet medför ett intrång i enskildas
14
FÖRVALTNINGSRÄTTEN
I STOCKHOLM
Allmänna avdelningen
DOM
14891-14
personliga integritet (prop. 2010/11:46 s. 18). Såväl brottsbekämpningens behov
av effektiva verktyg som behovet av att skydda enskildas integritet skulle därför
beaktas vid genomförandet av direktivet (prop. 2010/11:46 s. 20).
Förvaltningsrätten finner mot bakgrund av återgivna förarbetsuttalanden att de
svenska bestämmelserna om datalagring är motiverade av ett sådant ändamål som
är godtagbart enligt RF, Europakonventionen, EU:s rättighetsstadga samt 2002 års
direktiv om integritet och elektronisk kommunikation.
Är inskränkningarna proportionerliga?
Vad gäller den slutliga frågan om inskränkningarna är proportionerliga har EUdomstolen konstaterat att proportionalitetsprincipen medför ett krav på att åtgärderna ska vara ägnade att uppnå de legitima mål som eftersträvas med bestämmelserna och att de inte går utöver vad som är lämpligt och nödvändigt (punkt 46).
Vidare har EU-domstolen uttalat att utrymmet för skönsmässiga bedömningar kan
vara begränsat på grund av ett antal omständigheter, såsom bland annat det område som berörs, beskaffenheten av den rättighet som garanteras genom stadgan,
ingreppets beskaffenhet och allvar samt ingreppets syfte (punkt 47). Motsvarande
resonemang återfinns i praxis från Europadomstolen (jfr Europadomstolens dom
av den 4 december 2008, S och Marper mot Förenade kungariket, mål nr
30562/04 och 30566/04, punkt 102). Med hänsyn till den stora betydelsen som
skyddet för personuppgifter har för den grundläggande rätten till respekt för privatliv samt med hänsyn till det långtgående och allvarliga ingrepp i denna rätt som
datalagringsdirektivet innebär, har EU-domstolen ansett att en strikt kontroll ska
göras (punkt 48).
EU-domstolen har funnit att den lagringsskyldighet som följer av direktivet innebär att nationella brottsbekämpande myndigheter kan få tillgång till ytterligare
möjligheter att klara upp grova brott och att lagringen i detta hänseende utgör ett
värdefullt verktyg i brottsutredningar. Detta med hänsyn till den växande betydelsen av elektroniska kommunikationsmedel. Lagringen av sådana uppgifter har
därför ansetts vara ägnad att uppnå det ändamål som eftersträvas med direktivet
(punkt 49).
15
FÖRVALTNINGSRÄTTEN
I STOCKHOLM
Allmänna avdelningen
DOM
14891-14
De svenska bestämmelserna om datalagring får enligt förvaltningsrätten, på motsvarande sätt, anses ägnade att uppnå det mål som eftersträvas med lagringsskyldigheten.
Angående lagringens nödvändighet har EU-domstolen framhållit följande. Bekämpandet av grov brottslighet och särskilt av organiserad brottslighet och
terrorism är visserligen av största betydelse för att garantera allmän säkerhet, och
dess effektivitet kan i stor utsträckning bero på användningen av moderna utredningstekniker. Ett sådant mål av allmänt intresse kan emellertid inte i sig ensamt
motivera att en sådan lagringsåtgärd som föreskrivs i datalagringsdirektivet ska
anses vara nödvändig för nämnda bekämpande (punkt 51). Enligt praxis kräver
skyddet av den grundläggande rätten till respekt för privatlivet under alla omständigheter att undantag från och begränsningar av skyddet för personuppgifter, ska
inskränkas till vad som är strängt nödvändigt (punkt 52). Bestämmelserna avseende den aktuella åtgärden måste vara tydliga och precisa och reglera räckvidden
och tillämpligheten av åtgärden samt slå fast minimikrav, så att de personer vilkas
uppgifter har lagrats har tillräckliga garantier som möjliggör ett effektivt skydd av
deras personuppgifter mot riskerna för missbruk och otillåten tillgång eller användning (punkt 54). Motsvarande krav gäller även för inskränkningar enligt
Europakonventionen (jfr Europadomstolens dom av den 1 juli 2008, Liberty m.fl.
mot Förenade kungariket, mål nr 58243/00 punkt 59-63).
EU-domstolen har konstaterat att datalagringsdirektivet inte föreskriver sådana
tydliga och precisa regler som reglerar räckvidden av inskränkningarna i aktuella
rättigheter och att inskränkningarna inte är noggrant avgränsade genom bestämmelser, som gör det möjligt att säkerställa att inskränkningarna är begränsade till
vad som är strängt nödvändigt (punkt 65). Vidare har EU-domstolen funnit att
datalagringsdirektivet inte föreskriver tillräckliga garantier vilka gör det möjligt
att säkerställa ett effektivt skydd av de lagrade uppgifterna (punkt 66). EUdomstolen har funnit att unionslagstiftaren överskred de gränser som proportionalitetsprincipen uppställer mot bakgrund av de aktuella rättigheterna (punkt 69).
Kritiken av direktivet, som EU-domstolen lyfter fram, avser huvudsakligen följande fyra punkter.
16
FÖRVALTNINGSRÄTTEN
I STOCKHOLM
Allmänna avdelningen
DOM
14891-14
• Omfattningen av lagringen
• Tillgången till de lagrade uppgifterna
• Lagringstiden för de lagrade uppgifterna
• Säkerheten för de lagrade uppgifterna
Vid den fortsatta prövningen av frågan om de svenska bestämmelserna är
proportionerliga, kommer bedömningen att ske utifrån dessa fyra områden.
Omfattningen av lagringen
EU-domstolen har kritiserat att den datalagring som föreskrevs i direktivet generellt omfattar alla personer, alla elektroniska kommunikationsmedel och samtliga
trafikuppgifter utan att någon åtskillnad, någon begränsning eller något undantag
görs i lagringsskyldigheten utifrån syftet att bekämpa allvarliga brott (punkt 57).
EU-domstolen har konstaterat att lagringen omfattar personer för vilka det inte
föreligger något indicium, som ger anledning att tro att de har något samband med
allvarliga brott, att lagringen omfattar personer med tystnadsplikt, att lagringen
inte är begränsad till en viss tidsperiod och/eller geografiskt område och/eller
krets av personer (punkt 58-59).
Som ovan konstaterats är de svenska bestämmelserna om datalagringsskyldighet
utformade på samma sätt som datalagringsdirektivets bestämmelser med den
skillnaden att svensk rätt föreskriver en mer omfattande lagring på två punkter.
Den kritik som EU-domstolen har riktat mot datalagringsdirektivet i denna del
kan alltså enligt förvaltningsrättens mening göras gällande även mot den svenska
lagstiftningen.
Vid bedömningen av om datalagringsskyldigheten enligt svensk rätt går utöver
vad som kan anses nödvändigt och proportionerligt, ska hänsyn tas till om datalagringen hade kunnat begränsas utan att syftet med bestämmelserna gått förlorade. Mot bakgrund av det inte är möjligt att på förhand veta vilka personer som
kan bli inblandade i allvarliga brott eller på vilka platser brott kan komma att begås, anser förvaltningsrätten att en sådan begränsning av lagringsskyldigheten
17
FÖRVALTNINGSRÄTTEN
I STOCKHOLM
Allmänna avdelningen
DOM
14891-14
skulle äventyra syftet med lagringen. Detsamma gäller en eventuell avgränsning
till vissa kommunikationsslag, eftersom det inte heller är möjligt att i förväg
känna till vilken utrustning som kommer att användas. Lagringsskyldighetens
omfattning kan därför inte i sig anses ha gått utöver vad som är nödvändigt för att
uppnå syftet med lagringsbestämmelserna. För att kunna ta ställning till om regleringen uppfyller de krav på proportionalitet som uppställs, måste – enligt förvaltningsrättens mening – en sammantagen bedömning göras. Lagringens omfattning
ska ses mot bakgrund av hur bestämmelserna avseende tillgången till uppgifterna
är utformade, hur länge uppgifterna ska lagras samt säkerheten kring de lagrade
uppgifterna. Det är således inte möjligt, såsom Tele2 gör gällande, att upphäva
föreläggandet på den grunden att lagringen i sig strider mot de grundläggande frioch rättigheterna.
Tillgången till de lagrade uppgifterna
Vad gäller regleringen av tillgången till uppgifterna har EU-domstolen riktat följande kritik mot datalagringsdirektivet. Det föreskrivs inget objektivt kriterium för
att avgränsa behöriga nationella myndigheters tillgång till uppgifterna och deras
senare användning av uppgifterna för utredning, avslöjande och åtal av brott, vilka
kan anses tillräckligt allvarliga för att motivera ett sådant intrång. I direktivet görs
endast en allmänt hållen hänvisning till allvarliga brott såsom de definieras i varje
medlemsstats nationella lagstiftning (punkt 60). Det framgår inte några materiella
och formella villkor för behöriga nationella myndigheters tillgång till uppgifterna
och deras senare användning. I direktivet föreskrivs istället att varje medlemsstat
ska fastställa de förfaranden som ska följas och de villkor som ska vara uppfyllda,
för att erhålla tillgång till lagrade uppgifter i enlighet med nödvändighets- och
proportionalitetskraven (punkt 61). Det föreskrivs inte något objektivt kriterium
som gör det möjligt att begränsa antalet personer som är behöriga att få tillgång
till uppgifterna till det som är strängt nödvändigt. Tillgången är inte underkastad
någon förhandskontroll utförd av en domstol eller en oberoende myndighet, vars
beslut avser att begränsa tillgången till och användningen av uppgifterna till vad
som är strängt nödvändigt (punkt 62).
18
FÖRVALTNINGSRÄTTEN
I STOCKHOLM
Allmänna avdelningen
DOM
14891-14
Myndigheternas möjligheter att få tillgång till de uppgifter som en leverantör är
skyldig att lagra enligt 6 kap 16 a § LEK regleras i följande lagar.
A) LEK
B) Rättegångsbalken (RB)
C) Lag (2012:278) om inhämtning av uppgifter om elektronisk kommunikation i
de brottsbekämpande myndigheternas underrättelseverksamhet (inhämtningslagen).
A) Tillgången enligt LEK
Av 6 kap. 22 § första stycket 2 LEK framgår att en leverantör på begäran ska
lämna ut abonnemangsuppgifter till åklagarmyndighet, polismyndighet eller någon annan myndighet som ska ingripa mot brott, om uppgifterna gäller misstanke
om brott.
Med abonnemangsuppgifter avses främst uppgifter om namn, titel, adress och
abonnentnummer (prop. 2011/12:55 s. 100). Det är sådana uppgifter som enligt
förvaltningsrättens mening vanligtvis redan finns tillgängliga i leverantörers kundoch faktureringssystem. Vad gäller känsligheten av dessa uppgifter är det förvaltningsrättens mening att abonnemangsuppgifter, sedda för sig, normalt inte kan
användas till att kartlägga en persons privatliv. Vad gäller exempelvis internetabonnemang kan en uppgift om vem som haft en viss IP-adress vid ett viss tillfälle
vara obetydlig för frågan om vem som hade samma adress vid ett annat tillfälle.
Detta eftersom privatpersoner oftast använder dynamiska IP-adresser, dvs. IPadresser som byts slumpvis och oregelbundet. En användare har alltså i regel olika
IP-adresser vid olika tillfällen (prop. 2008/09:67 s. 141). Uppgifter som går utöver
vad som kan anses som identitetsuppgifter, t.ex. vilka hemsidor som ett visst IPnummer har besökt, omfattas heller inte av bestämmelsen (prop. 2011/12:55 s.
102).
Utlämnande av uppgifterna förutsätter att uppgifterna gäller misstanke om brott.
Syftet med att tillåta inhämtning av uppgifterna vid misstanke om brott, och alltså
inte vid misstanke om allvarliga brott, var att möjliggöra utredning av internetrelaterade brott vilka har blivit ett allt större problem. I förarbetena uttalas att det har
19
FÖRVALTNINGSRÄTTEN
I STOCKHOLM
Allmänna avdelningen
DOM
14891-14
skett en betydande teknisk utveckling och förändring av i vilken omfattning enskilda använder bl.a. datorer och mobiltelefoner. Som exempel anges att s.k. nätmobbning, andra trakasserier via internet och vuxnas kontakter med barn i sexuella syften, s.k. grooming, blivit ett allt större problem och att de brottsbekämpande myndigheternas behov av tillgång till abonnemangsuppgifter har förändrats
påtagligt (prop. 2011/12:55 s. 102).
Utlämnande av abonnemangsuppgifter enligt LEK förutsätter inte någon förhandskontroll. En kontroll sker istället i efterhand genom att Datainspektionen
och Säkerhets- och integritetsskyddsnämnden (SIN) utövar tillsyn över att myndigheterna följer de föreskrifter som gäller för behandlingen av personuppgifter.
Utöver detta utövas tillsyn över statliga förvaltningsmyndigheter av Riksdagens
ombudsmän (JO) och Justitiekanslern (JK). Tillsynen över leverantörernas efterlevnad av LEK utövas av PTS.
De svenska tillgångsbestämmelserna i LEK kan till viss del kritiseras mot bakgrund av EU-domstolens uttalanden. Inhämtningen förutsätter inte att uppgifterna
gäller misstanke om allvarligt brott, flera myndigheter kan få tillgång till uppgifterna utan att det sker någon förhandskontroll och kretsen av myndighetspersoner
som kan få tillgång till uppgifterna är inte begränsad. Enligt förvaltningsrätten ska
emellertid den kritik som EU-domstolen har framfört i detta sammanhang ses mot
bakgrund av den mängd uppgifter som enligt direktivet skulle lagras och därmed
kunde lämnas ut under otydliga och oprecisa former. De uppgifter som kan lämnas ut enligt LEK är, som ovan konstaterats, endast abonnemangsuppgifter. Dessa
uppgifter är enligt förvaltningsrättens mening i sig inte lika integritetskänsliga
som alla de uppgifter som skulle lagras enligt datalagringsdirektivet. Ju mindre
integritetskänsliga uppgifterna är, desto större torde möjligheterna vara att tillhandahålla de brottsbekämpande myndigheterna med effektiva medel för brottbekämpningen. Behovet av dels en begränsning av tillgången till enbart allvarligare
brottslighet, dels en begränsning av kretsen av myndighetspersoner som kan få
tillgång till uppgifterna, samt behovet av en förhandskontroll, kan då av samma
anledning inte heller anses lika starkt. Tillgången till de aktuella uppgifterna är av
stor betydelse för utredning av internetrelaterade brott.
20
FÖRVALTNINGSRÄTTEN
I STOCKHOLM
Allmänna avdelningen
DOM
14891-14
Förvaltningsrätten finner mot bakgrund av ovanstående att inhämtningen enligt
LEK uppfyller de krav som kan ställas på lagstiftningen utifrån proportionalitetsprincipen.
B) Tillgången enligt RB
I RB regleras frågan när myndigheter får inhämta uppgifter om elektronisk kommunikation i förundersökningar. Av 27 kap. 19 § RB framgår att hemlig övervakning av elektronisk kommunikation som huvudregel får användas vid förundersökning som avser
1) brott för vilket inte är föreskrivet lindrigare straff än fängelse i sex månader,
2) brott enligt 4 kap. 9 c § brottsbalken, brott enligt 16 kap. 10 a § brottsbalken
som inte är att anse som ringa, brott enligt 1 § narkotikastrafflagen (1968:64),
brott enligt 6 § första stycket lagen (2000:1225) om straff för smuggling, eller
3) försök, förberedelse eller stämpling till brott som avses i 1 eller 2, om sådan
gärning är belagd med straff.
Av samma bestämmelse framgår att med hemlig övervakning av elektronisk
kommunikation avses att uppgifter i hemlighet hämtas in om
1) meddelanden som i ett elektroniskt kommunikationsnät överförs eller har överförts till eller från ett telefonnummer eller annan adress,
2) vilka elektroniska kommunikationsutrustningar som har funnits inom ett visst
geografiskt område, eller
3) i vilket geografiskt område en viss elektronisk kommunikationsutrustning finns
eller har funnits.
Uppgifter om innehållet i telemeddelanden kan inte hämtas in med stöd av 27 kap.
19 § RB.
Av 27 kap. 20 § RB framgår att hemlig övervakning av elektronisk kommunikation som huvudregel får ske endast om någon är skäligen misstänkt för brottet och
åtgärden är av synnerlig vikt för utredningen. Åtgärden får endast avse
1) ett telefonnummer eller annan adress eller en viss elektronisk kommunikationsutrustning som under den tid som tillståndet avser innehas eller har innehafts av
21
FÖRVALTNINGSRÄTTEN
I STOCKHOLM
Allmänna avdelningen
DOM
14891-14
den misstänkte eller annars kan antas ha använts eller komma att användas av den
misstänkte, eller
2) ett telefonnummer eller annan adress eller en viss elektronisk kommunikationsutrustning som det finns synnerlig anledning att anta att den misstänkte under den
tid som tillståndet avser har kontaktat eller kommer att kontakta.
Hemlig övervakning av elektronisk kommunikation får, utöver detta, ske i syfte
att utreda vem som skäligen kan misstänkas för brottet, om åtgärden är av synnerlig vikt för utredningen. Övervakning som innebär att uppgifter hämtas in om
meddelanden får dock endast avse förfluten tid. En sådan hemlig övervakning får
enligt 27 kap. 19 § fjärde stycket RB ske endast vid förundersökning som avser
brott som kan föranleda hemlig avlyssning av elektronisk kommunikation enligt
18 § andra stycket, dvs. när förundersökningen avser
1) brott för vilket inte är föreskrivet lindrigare straff än fängelse i två år,
2) försök, förberedelse eller stämpling till sådant brott, om sådan gärning är belagd med straff eller
3) annat brott om det med hänsyn till omständigheterna kan antas att brottets
straffvärde överstiger fängelse i två år.
Enligt 27 kap. 21 § RB ska frågor om hemlig övervakning av elektronisk kommunikation som huvudregel prövas av rätten på ansökan av åklagaren. Om det kan
befaras att inhämtande av rättens tillstånd till hemlig övervakning av elektronisk
kommunikation skulle medföra sådan fördröjning eller annan olägenhet, som är av
väsentlig betydelse för utredningen, får tillstånd till åtgärden ges av åklagaren i
avvaktan på rättens beslut. I sådana fall ska en skriftlig anmälan om åtgärden genast göras till rätten. Rätten ska därefter skyndsamt pröva om det finns skäl för åtgärden, se 27 kap. 21 a § RB.
Uppgifterna som kan inhämtas enligt RB är, i likhet med de uppgifter som skulle
lagras enligt datalagringsdirektivet, integritetskänsliga eftersom det är möjligt att
utifrån uppgifterna dra slutsatser kring en persons vanor och privatliv. Enligt förvaltningsrätten är det därför av särskild vikt att tillgång till uppgifterna inte går
utöver vad som är strängt nödvändigt.
22
FÖRVALTNINGSRÄTTEN
I STOCKHOLM
Allmänna avdelningen
DOM
14891-14
Tillgången till uppgifterna med stöd av RB förutsätter att det rör sig om brott med
ett visst straffminimum eller vissa angivna brott, som t.ex. barnpornografibrott
som inte är ringa (16 kap 10 § brottsbalken) och narkotikabrott av normalgraden
(1 § narkotikastrafflagen). Enligt förvaltningsrätten utgör dessa brott sådana allvarliga brott vilka kan motivera ett intrång i rättigheterna. Som huvudregel får
hemlig övervakning av elektronisk kommunikation ske endast om någon är skäligen misstänkt för brottet och åtgärden är av synnerlig vikt för utredningen. För att
frångå detta krav krävs att förundersökningen avser ännu grövre brott än de nyss
angivna. Vidare sker, i frågor om hemlig övervakning av elektronisk kommunikation, en förhandskontroll genom att sådana frågor prövas av rätten. Endast om
ett sådant tillstånd från rätten skulle medföra sådan fördröjning eller annan olägenhet som är av väsentlig betydelse för utredningen, kan detta krav frångås.
Enligt förvaltningsrättens mening är tillgångsbestämmelserna i RB tydliga och
precisa samt begränsade till vad som är strängt nödvändigt. De aktuella bestämmelserna uppfyller således de krav som kan ställas på lagstiftningen utifrån RF,
Europakonventionen, EU:s rättighetsstadga samt 2002 års direktiv om integritet
och elektronisk kommunikation.
C) Tillgången enligt inhämtningslagen
Enligt 1§ inhämtningslagen får en polismyndighet eller Tullverket, i underrättelseverksamhet, inhämta uppgifter om
1) meddelanden som i ett elektroniskt kommunikationsnät har överförts till eller
från ett telefonnummer eller annan adress,
2) vilka elektroniska kommunikationsutrustningar som har funnits inom ett visst
geografiskt område eller
3) i vilket geografiskt område en viss elektronisk kommunikationsutrustning finns
eller har funnits.
Uppgifterna får enligt 2 och 3 §§ inhämtningslagen hämtas in om omständigheterna är sådana att åtgärden är av särskild vikt för att förebygga, förhindra eller
upptäcka brottslig verksamhet som innefattar brott för vilket inte är föreskrivet
lindrigare straff än fängelse i två år, eller sådana brott som omfattas av uppräkningen i 3 §. Skälen för åtgärden ska då uppväga det intrång eller men i övrigt
23
FÖRVALTNINGSRÄTTEN
I STOCKHOLM
Allmänna avdelningen
DOM
14891-14
som åtgärden innebär för den som åtgärden riktar sig mot eller för något annat
intresse. De brott som anges i 3 § har ansetts utgöra särskilt samhällsfarliga brott
och brott som är särskilt allvarliga för rikets säkerhet (prop. 2011/12:55 s. 86). Det
gäller bl.a. fråga om sabotage, kapning och spioneri. Med rekvisitet ”av särskild
vikt” avses att man på goda grunder kan bedöma att åtgärden skulle ha stor betydelse för att uppnå det syfte i vilket åtgärden genomförs. Det är inte tillräckligt att
uppgifterna endast kan förväntas bidra till detta (prop. 2011/12:55 s. 85).
Beslut om att inhämta uppgifter fattas av myndighetschefen eller annan anställd
som myndighetschefen delegerar beslutsrätten till. Delegationen förutsätter att den
anställde har den särskilda kompetens, utbildning och erfarenhet som behövs, se
4 § inhämtningslagen. I besluten ska anges vilken brottslig verksamhet och vilken
tid beslutet avser, samt vilket telefonnummer, annan adress, vilken elektronisk
kommunikationsutrustning eller vilket geografiskt område beslutet avser. Tiden
för beslutet får inte överstiga en månad, se 5 § samma lag.
Inhämtning förutsätter inte någon förhandskontroll. Varje beslut ska emellertid
underrättas till SIN, vilken ska utöva tillsyn över polismyndigheternas och Tullverkets användning av lagen, se 1 § lag (2007:980) om tillsyn över viss brottsbekämpande verksamhet. SIN får vidare uttala sig om konstaterade förhållanden och
sin uppfattning om behov av förändringar i verksamheten och ska verka för att
brister i lag eller annan författning avhjälps, se 2 § samma lag. På begäran av enskild ska SIN kontrollera om han eller hon har varit föremål för inhämtning enligt
lagen, se 3 § samma lag. För det fall uppgifter som har kommit fram vid inhämtning enligt inhämtningslagen ska användas i en förundersökning krävs tillstånd, se
8 § inhämtningslagen.
Förvaltningsrätten gör i denna del följande bedömning. Uppgifterna som kan inhämtas enligt inhämtningslagen är i likhet med de uppgifter som skulle lagras
enligt datalagringsdirektivet, integritetskänsliga eftersom det är möjligt att utifrån
uppgifterna dra slutsatser kring en persons vanor och privatliv. Det är därför av
vikt att säkerställa att tillgången till uppgifterna inte går utöver vad som är strängt
nödvändigt. Tillgången till lagrade uppgifter med stöd av inhämtningslagen förutsätter att inhämtningen är av särskild vikt för att förebygga, förhindra eller upp-
24
FÖRVALTNINGSRÄTTEN
I STOCKHOLM
Allmänna avdelningen
DOM
14891-14
täcka viss brottslig verksamhet. Den brottslighet som anges utgör mycket allvarliga brott. Behovet av att möjliggöra utredning kring sådana brott utgör enligt förvaltningsrättens mening godtagbara skäl för att inskränka integritetsskyddet mer
än om fråga hade varit om mindre allvarliga brott. Den kritik som, utifrån EUdomstolens resonemang, kan riktas mot inhämtningslagen rör främst avsaknaden
av en begränsning i antalet personer som är behöriga att få tillgång till uppgifterna
samt avsaknaden av en förhandskontroll. I denna del konstaterar förvaltningsrätten att antalet personer som är behöriga att få tillgång till uppgifterna är begränsat
på så sätt att beslutfattaren ska vara en myndighetschef eller någon som fått en
delegation av denne. Delegationsmöjligheten är i detta sammanhang begränsad på
sätt som angetts ovan. Vad gäller avsaknaden av en förhandskontroll konstaterar
förvaltningsrätten att en förhandskontroll i och för sig skulle medföra att risken
för obefogad inhämtning minskar. Samtidigt konstaterar förvaltningsrätten att det
ligger i sakens natur att underrättelseverksamhet kräver snabb tillgång till aktuella
uppgifter. En förhandskontroll kan riskera att fördröja tillgången till nödvändiga
uppgifter så att dessa inte längre är aktuella när tillgången medges. De praktiska
svårigheter som en förhandskontroll medför är därför inte förenlig med underrättelseverksamhetens arbetssätt. Till detta kommer att den typ av brottslighet det rör
sig om med god marginal är att betrakta som sådan allvarlig brottlighet som anges
i direktivet. Denna marginal utgör därför ett skydd, så att myndigheterna endast
inhämtar uppgifter avseende brott som är att betrakta som allvarliga. En ytterligare försäkran i denna del utgör SIN:s tillsyn över myndigheterna.
Mot bakgrund av ovanstående finner förvaltningsrätten att tillgångsbestämmelserna i inhämtningslagen är tydliga och precisa och får anses vara begränsade till vad som är strängt nödvändigt. De aktuella bestämmelserna i inhämtningslagen uppfyller således de krav som kan ställas på lagstiftningen utifrån
RF, Europakonventionen, EU:s rättighetsstadga samt 2002 års direktiv om integritet och elektronisk kommunikation.
Lagringstiden för de lagrade uppgifterna
Enligt datalagringsdirektivet skulle medlemsstaterna säkerställa att uppgifterna
lagrades i minst sex månader och högst två år från det datum kommunikationen
25
FÖRVALTNINGSRÄTTEN
I STOCKHOLM
Allmänna avdelningen
DOM
14891-14
ägde rum. EU-domstolen har kritiserat att det inte har gjorts någon åtskillnad mellan kategorierna av uppgifter utifrån deras nytta för det mål som eftersträvas och
utifrån de personer som berörs (punkt 63). Det har enligt EU-domstolen inte heller
fastställts några objektiva kriterier utifrån vilka lagringstidens längd ska bestämmas (punkt 64).
Av 6 kap. 16 d § LEK framgår att uppgifter som avses i 6 kap. 16 a § LEK ska
lagras i sex månader räknat från den dag kommunikationen avslutades. Därefter
ska uppgifterna genast utplånas, om annat inte följer av andra stycket. Enligt
andra stycket samma paragraf ska uppgifter som har begärts utlämnade innan utgången av lagringstiden, men ännu inte har hunnit lämnas ut, utplånas genast när
så har skett.
I samband med införlivandet av datalagringsdirektivet i svensk rätt konstaterade
lagstiftaren bl.a. följande. Det är inte möjligt att generellt påstå att vissa uppgifter
som lagras är mer eller mindre viktiga än andra för utredningen av brott. Sett ur
ett brottsbekämpningsperspektiv skulle en lagringstid om två år väl kunna motiveras. Det finns emellertid andra aspekter som talar emot att välja en så lång lagringstid. Lagringen i sig utgör ett intrång i enskildas integritet och upplevelsen av
intrånget har samband med mängden uppgifter som lagras och lagringstidens
längd. Det måste också beaktas att risken för konkreta integritetsskador torde öka
ju längre tid uppgifterna lagras. Även tekniska faktorer har betydelse. Lagringsvolymen ökar självfallet ju längre lagringstiden blir och det medför ökade krav på
säkerhet (prop. 2010/11:46 s. 37 ff.).
Förvaltningsrätten konstaterar till att börja med att EU-domstolen inte har anmärkt
på en lagringstid om sex månader i sig. Vad som har föranlett EU-domstolens
kritik är istället att det inte har uppställs kriterier för när en kortare respektive
längre lagring kan godtas. Genom bestämmelsen i 6 kap. 16 d § LEK gäller i
svensk rätt samma korta lagringstid för alla typer av lagrade uppgifter. Genom att
lagringstiden har gjorts beroende av kommunikationens avslutande, samt genom
undantaget i bestämmelsens andra stycke, kan lagringstiden i vissa fall komma att
bli något längre än sex månader. Detta har dock ingen avgörande betydelse för
förvaltningsrättens bedömning. En kortare lagringstid än sex månader kan inte
26
FÖRVALTNINGSRÄTTEN
I STOCKHOLM
Allmänna avdelningen
DOM
14891-14
anses meningsfull. För att kunna utreda brott måste myndigheterna ha en reell
möjlighet att hinna inhämta relevanta uppgifter.
Förvaltningsrätten finner därför att bestämmelserna om lagringstiden i LEK är
proportionerliga och uppfyller de krav som kan ställas på dem utifrån de aktuella
regelverken.
Säkerheten för de lagrade uppgifterna
Angående säkerheten för uppgifterna har EU-domstolen påpekat följande. Direktivet föreskriver inte tillräckliga garantier, vilka gör det möjligt att säkerställa ett
effektivt skydd mot riskerna för missbruk och otillåten tillgång till eller användning av uppgifterna. Direktivets regler är inte anpassade till den stora kvantitet
uppgifter som ska lagras, till att det är fråga om känsliga uppgifter och till risken
för otillåten tillgång till uppgifterna. Direktivet garanterar inte en särskild hög
skydds- eller säkerhetsnivå genom leverantörernas tekniska och organisatoriska
åtgärder. Leverantörerna tillåts ta hänsyn till ekonomiska överväganden vid bestämmandet av säkerhetsnivån. Direktivet garanterar inte att uppgifterna oåterkalleligen förstörs efter lagringstidens slut. Då lagringen inte måste ske inom unionen
kan inte heller den i artikel 8.3 i rättighetsstadgan föreskrivna oberoende myndighetskontrollen garanteras fullt ut.
Vid införlivandet av datalagringsdirektivet ansåg lagstiftaren att de regler om
driftsäkerhet och integritetsskydd som redan var gällande inte var tillräckliga
(prop. 2010/11:46 s. 54). I LEK infördes därför en bestämmelse, 6 kap. 3 a §, av
vilken framgår att lagringsskyldiga leverantörer ska vidta de särskilda tekniska
och organisatoriska åtgärder som behövs för att skydda de lagrade uppgifterna vid
behandling. Av förarbetena framgår att denna bestämmelse inte lämnar något utrymme att bestämma säkerhetsnivån genom en avvägning mellan teknik, kostnader och risken för integritetsintrång (prop. 2010/11:46 s. 75). Ytterligare föreskrifter om säkerheten kring uppgifterna finns i 37 § FEK och i PTS:s föreskrifter
(PTSFS 2012:4). Av dessa föreskifter framgår bl.a. att leverantörer ska vidta åtgärder för att skydda uppgifterna mot oavsiktlig eller otillåten förstöring, mot
otillåten lagring, behandling av eller tillgång till och otillåtet avslöjande av upp-
27
FÖRVALTNINGSRÄTTEN
I STOCKHOLM
Allmänna avdelningen
DOM
14891-14
gifterna. Leverantören ska även bedriva ett kontinuerligt och systematiskt säkerhetsarbete med beaktande av de särskilda risker som lagringsskyldigheten medför.
Den svenska regleringen kring säkerheten för uppgifterna är enligt förvaltningsrättens mening mer omfattande och preciserade än motsvarande regler i datalagringsdirektivet och de medför dessutom ett högre krav på skyddsnivån. Till detta
kommer, som ovan påpekats, att den korta lagringstiden om sex månader i sig
medför mindre risker för konkreta integritetsskador. Den kritik som riktats mot
datalagringsdirektivet i detta hänseende kan därför inte göras gällande mot den
svenska regleringen.
Förvaltningsrätten finner mot bakgrund av ovanstående att den svenska regleringen kring säkerheten för uppgifterna i nu berörda hänseenden uppfyller det krav
som kan ställas på den utifrån de aktuella regelverken.
Vad gäller frågan om uppgifternas utplåning konstaterar förvaltningsrätten att det
i 6 kap. 16 d § LEK framgår att uppgifterna ska utplånas efter utgången av lagringstiden, alternativt efter att uppgifter har lämnats ut, om uppgifterna begärts
utlämnade före utgången av lagringstiden, men de ännu inte har hunnit lämnas ut.
Inte heller i detta hänseende kan den kritik som EU-domstolen har framfört göras
gällande mot den svenska regleringen. Förvaltningsrätten anser att EU-domstolens
kritik inte kan ha avsett avsaknaden av bestämmelser om utplåning av uppgifter
även hos de brottbekämpande myndigheterna. Det ligger i sakens natur att dessa
myndigheter måste ha tillgång till uppgifterna under hela den aktuella processen.
Det saknas bestämmelser i svensk rätt som reglerar var lagring av uppgifterna får
ske. Fråga uppstår därför om den oberoende myndighetskontrollen som föreskrivs
i artikel 8.3 i EU:s rättighetsstadga kan garanteras, samt om svensk rätt ger tillräckliga garantier, vilka gör det möjligt att säkerställa ett effektivt skydd mot riskerna för missbruk och otillåten tillgång eller användning av uppgifterna. I denna
del konstaterar förvaltningsrätten följande. Oavsett var en leverantör väljer att
lagra uppgifterna ska denne uppfylla de höga krav som ställs på säkerheten. Det
ingår i tillsynsmyndighetens tillsynsansvar att kontrollera att leverantörerna efterlever bl.a. LEK och de föreskrifter som har meddelats med stöd av lagen, se 7 kap.
1 § LEK. Tillsynsmyndigheten får enligt 7 kap. 3 § LEK förelägga en leverantör
28
FÖRVALTNINGSRÄTTEN
I STOCKHOLM
Allmänna avdelningen
DOM
14891-14
att tillhandahålla myndigheten upplysningar och handlingar som behövs för kontroll av efterlevnaden. Finner tillsynsmyndigheten skäl att misstänka att den som
bedriver verksamhet enligt LEK inte efterlever lagen eller de föreskrifter som har
meddelats med stöd av lagen, ska myndigheten underrätta den som bedriver verksamheten om detta förhållande och ge denne möjlighet att yttra sig inom skälig
tid, se 7 kap. 4 § LEK. Tillsynsmyndigheten får meddela de förelägganden och
förbud som behövs för att rättelse av en överträdelse som avses i 7 kap. 4 § LEK
ska ske omedelbart eller inom skälig tid. Ett sådant föreläggande eller förbud får
förenas med vite. Om föreläggandet inte följs får tillsynsmyndigheten besluta att
den som åsidosatt en skyldighet helt eller delvis ska upphöra med verksamheten,
se 7 kap. 5 § LEK.
Reglerna i 7 kap. LEK möjliggör enligt förvaltningsrättens mening en tillfredsställande oberoende myndighetskontroll av skyddet för personuppgifter och de utgör
även tillräckliga garantier, vilka gör det möjligt att säkerställa ett effektivt skydd
mot riskerna för missbruk och otillåten tillgång eller användning av uppgifterna.
En reglering om i vilket land uppgifter får lagras skulle enligt förvaltningsrätten
förvisso förtydliga och i viss mån höja säkerheten kring de lagrade uppgifterna.
Avsaknaden av en sådan reglering kan dock inte i dagsläget anses medföra en
sådan låg säkerhet för de lagrade uppgifterna, att lagringen bör upphöra.
Sammanfattande bedömning
Förvaltningsrätten anser att EU-domstolens dom ska förstås på så sätt att datalagringsdirektivet har ogiltigförklarats eftersom de konstaterade bristerna i direktivet,
vid en sammantagen bedömning, inneburit att direktivet inte lever upp till det krav
på proportionalitet som unionsrätten uppställer avseende inskränkningar i fri- och
rättigheter (rätten till respekt för privatliv och familjeliv samt skyddet för personuppgifter).
Som anförts ovan avser kritiken av datalagringsdirektivet huvudsakligen följande
fyra punkter.
29
FÖRVALTNINGSRÄTTEN
I STOCKHOLM
Allmänna avdelningen
DOM
14891-14
• Omfattningen av lagringen
• Tillgången till de lagrade uppgifterna
• Lagringstiden för de lagrade uppgifterna
• Säkerheten för de lagrade uppgifterna
Förvaltningsrätten har konstaterat att den svenska regleringen kring datalagring på
vissa punkter berörs av den kritik som EU-domstolen riktat mot direktivet. Det
gäller framför allt kritiken mot omfattningen av datalagringen. Därutöver har förvaltningsrätten, med utgångspunkt i EU-domstolens kritik, även funnit vissa
svagheter beträffande tillgångs- och säkerhetsbestämmelserna.
Det förhållandet att den svenska regleringen på vissa punkter berörs av den kritik
som EU-domstolen riktat mot datalagringsdirektivet, innebär inte per automatik
att också det svenska regelverket strider mot kravet på proportionalitet. För att ta
ställning till detta måste, som tidigare konstaterats, en prövning göras av hur den
svenska regleringen närmare är utformad.
Vid denna prövning av tillgångsbestämmelserna har främst följande svagheter
uppmärksammats. Det saknas reglering om förhandskontroll i två av de tre aktuella lagarna (LEK och inhämtningslagen). Vidare saknas, i LEK, reglering som
begränsar kretsen av myndighetspersoner som kan få tillgång till uppgifterna. Utöver detta kan abonnemangsuppgifter inhämtas enligt LEK vid misstanke om
brott som inte är att anse som allvarliga.
Avseende säkerhetsbestämmelserna har förvaltningsrätten vid prövningen främst
beaktat att det i svensk rätt inte finns någon reglering om var uppgifterna får lagras.
Förvaltningsrätten har funnit att tillgångs- och säkerhetsbestämmelserna, trots
påpekade svagheter, uppfyller de krav som proportionalitetsprincipen uppställer.
Denna bedömning har grundats på att de utpekade problemen vägs upp av andra
faktorer i regleringen. Det totala intrånget i rättigheterna har därför ansetts utgöra
godtagbara inskränkningar.
30
FÖRVALTNINGSRÄTTEN
I STOCKHOLM
Allmänna avdelningen
14891-14
DOM
Den fråga som återstår är därför om lagringens omfattning är förenlig med de frioch rättigheter som ska garanteras enskilda. Även om den svenska regleringen
möjliggör en omfattande lagring ska det beaktas att de svenska tillgångs- och säkerhetsbestämmelserna, enligt förvaltningsrätten, är tydliga och precisa samt begränsade till vad som är strängt nödvändigt. Förvaltningsrätten anser att detta förhållande, i kombination med att uppgifterna endast lagras i sex månader, kompenserar det betydande intrång som den omfattande lagringen utgör. Till detta kommer att lagringen är motiverad av det mycket angelägna behovet av att tillhandahålla de brottsbekämpande myndigheterna effektiva verktyg vid utredning av
brott. Tillgången till lagrade uppgifter är av stor betydelse för att brottsutredningar ska föras framåt.
Med beaktande av detta mycket angelägna behov är det förvaltningsrättens uppfattning att de inskränkningar som de aktuella svenska bestämmelserna innebär i
rätten till respekt för privatliv samt skydd för personuppgifter, uppfyller proportionalitetskravet och är förenliga med RF, Europakonventionen, EU:s rättighetsstadga samt 2002 års direktiv om integritet och elektronisk kommunikation.
Mot bakgrund av ovanstående saknas det skäl för att upphäva föreläggandet.
Överklagandet ska därmed avslås.
HUR MAN ÖVERKLAGAR
Detta beslut kan överklagas. Information om hur man överklagar finns
i bilaga 2 (DV 3109/1A).
Anna Maria Åslundh-Nilsson
Eva Frånlund Althin
Chefsrådman
Rådman
I avgörandet har även deltagit nämndemännen Sven Jonsson, Bo Kahn, Kjell
Sandberg och Lena Vilmar. Förvaltningsrättsfiskalen Anna Mildner och föredraganden Carina Westin har föredragit målet.
Bilaga 2
Bilaga
HUR MAN ÖVERKLAGAR - PRÖVNINGSTILLSTÅND
Den som vill överklaga förvaltningsrättens beslut
ska skriva till Kammarrätten i Stockholm.
Skrivelsen ska dock skickas eller lämnas till
förvaltningsrätten.
För att kammarrätten ska kunna ta upp Ert överklagande måste Er skrivelse ha kommit in till förvaltningsrätten inom tre veckor från den dag då
Ni fick del av domen/beslutet. Om beslutet har
meddelats vid en muntlig förhandling, eller det vid
en sådan förhandling har angetts när beslutet
kommer att meddelas, ska dock överklagandet ha
kommit in inom tre veckor från den dag domstolens beslut meddelades. Om sista dagen för överklagande infaller på lördag, söndag eller helgdag,
midsommarafton, julafton eller nyårsafton räcker
det att besvärshandlingen kommer in nästa vardag.
Om klaganden är en part som företräder det allmänna, ska överklagandet alltid ha kommit in inom
tre veckor från den dag beslut meddelades.
För att ett överklagande ska kunna tas upp i kammarrätten fordras att prövningstillstånd meddelas. Kammarrätten lämnar prövningstillstånd om
DV 3109/1A • 2013-06 • Producerat av Domstolsverket
1. det finns anledning att betvivla riktigheten
av det slut som förvaltningsrätten har
kommit till,
2. det inte utan att sådant tillstånd meddelas
går att bedöma riktigheten av det slut som
förvaltningsrätten har kommit till,
3. det är av vikt för ledning av rättstillämpningen att överklagandet prövas av högre
rätt, eller
Om prövningstillstånd inte meddelas står förvaltningsrättens beslut fast. Det är därför viktigt att det
klart och tydligt framgår av överklagandet till
kammarrätten varför man anser att prövningstillstånd bör meddelas.
Skrivelsen med överklagande ska innehålla
1. Klagandens person-/organisationsnummer,
postadress, e-postadress och telefonnummer
till bostaden och mobiltelefon. Adress och telefonnummer till klagandens arbetsplats ska
också anges samt eventuell annan adress där
klaganden kan nås för delgivning. Om dessa
uppgifter har lämnats tidigare i målet – och om
de fortfarande är aktuella – behöver de inte
uppges igen. Om klaganden anlitar ombud, ska
ombudets namn, postadress, e-postadress, telefonnummer till arbetsplatsen och mobiltelefonnummer anges. Om någon person- eller
adressuppgift ändras, ska ändringen utan
dröjsmål anmälas till kammarrätten.
2. den dom/beslut som överklagas med uppgift
om förvaltningsrättens namn, målnummer
samt dagen för beslutet,
3. de skäl som klaganden anger till stöd för en
begäran om prövningstillstånd,
4. den ändring av förvaltningsrättens dom/beslut
som klaganden vill få till stånd,
5. de bevis som klaganden vill åberopa och vad
han/hon vill styrka med varje särskilt bevis.
Adressen till förvaltningsrätten framgår av domen/beslutet.
4. det annars finns synnerliga skäl att pröva
överklagandet.
www.domstol.se