11.2 Genomförande av hemlig dataavläsning
11.2.2 Anpassning av verkställighetsteknik
Regeringens förslag: Den teknik som används i samband med hemlig dataavläsning ska anpassas efter det tillstånd som beviljats. Tekniken får inte göra det möjligt att läsa av eller ta upp någon annan uppgiftstyp än vad som anges i tillståndet.
Om det kommer fram att någon annan typ av uppgifter än den som tillståndet avser har lästs av eller tagits upp ska upptagningarna och uppteckningarna av dessa uppgifter omedelbart förstöras och Säker- hets- och integritetsskyddsnämnden underrättas. Uppgifter som kommit fram vid sådan avläsning eller upptagning får inte användas i en brottsutredning till nackdel för den som har omfattats av åtgärden, eller för någon annan som uppgifterna avser.
Utredningens förslag överensstämmer med regeringens.
Remissinstanserna kommenterar inte förslaget eller lämnar det utan invändning. Säkerhets- och integritetsskyddsnämnden ifrågasätter dock behovet av att underrättas efter att otillåten överskottsinformation har förstörts, eftersom det då inte finns något material kvar att granska.
160
Skälen för regeringens förslag: Den teknik som används i samband med hemlig dataavläsning kan möjliggöra avläsning och upptagning av olika slags uppgifter. Tillståndet till hemlig dataavläsning begränsar vilka uppgiftstyper det kan bli fråga om i det enskilda fallet och det är således endast uppgiftstyper som uttryckligen framgår av tillståndet som får läsas av eller tas upp.
Även om det saknas skäl att tro att de brottsbekämpande myndigheterna inte skulle rätta sig efter ett beviljat tillstånd instämmer regeringen i utredningens förslag att det behövs en bestämmelse om att den teknik som används måste anpassas efter vilka uppgiftstyper som ska läsas av eller tas upp. Det kommer att utgöra en teknisk spärr mot att tillståndet inte över- träds. Om myndigheterna vid något enskilt tillfälle inte på ett korrekt sätt har anpassat tekniken och därför av misstag hämtat in uppgifter utanför tillståndets ram bör det som utredningen föreslår finnas ytterligare en rätts- säkerhetsgaranti i form av begränsningar för hur den felaktigt inhämtade informationen ska få användas. Med hänsyn till de rådande principerna om fri bevisprövning och fri bevisföring skulle felaktigt inhämtade uppgifter annars kunna användas som bevisning i domstol, se t.ex. propositionen Överskottsinformation vid användning av hemliga tvångsmedel m.m. (prop. 2004/05:143 s. 36). Regeringen instämmer därför i att det behöver regleras vad som ska gälla för otillåten tilläggsinformation. bör Upptag- ningar av sådana uppgifter bör omedelbart förstöras, i likhet med vad som gäller för uppgifter som omfattas av de s.k. beslagsförbuden och fråge- förbuden i rättegångsbalken (27 kap. 2 § och 36 kap. 5 §). Dessutom bör myndigheten underrätta Säkerhets- och integritetsskyddsnämnden om att otillåten tilläggsinformation har lästs av eller tagits upp. En sådan under- rättelse tillförsäkrar att nämnden får underlag som kan läggas till grund för att bedöma om ett tillsynsärende bör initieras. Den bedömningen är inte beroende av om tilläggsinformationen finns kvar eller inte. Regeringen gör därmed en annan bedömning än Säkerhets- och integritetsskyddsnämnden i detta avseende.
Slutligen bör det föreskrivas att otillåten tilläggsinformation inte ska få användas i en brottsutredning till nackdel för den som har omfattats av åtgärden, eller för någon annan som uppgifterna avser. Även om upp- tagningar och uppteckningar måste förstöras finns det ett behov av en sådan bestämmelse. Förstörandet av upptagningar och uppteckningar be- tyder nämligen inte alltid att själva uppgiften försvinner. Det kan t.ex. vara så att en polisman redan har tagit del av upptagningen och uppgiften finnas då kvar i polismannens medvetande. Kännedomen om uppgiften bör då inte få utnyttjas i en brottsutredning till nackdel för den som har omfattats av åtgärden, eller för någon annan som uppgifterna avser. En sådan reg- lering har visserligen inte någon lagfäst motsvarighet i någon annan för- fattning, men med hänsyn till lagens ingripande karaktär är det nödvändigt med tydliga och uttryckliga bestämmelser till skydd för rättssäkerheten.
11.2.3
Aktsamhetskrav och informationssäkerhet i
samband med verkställighet
Regeringens förslag: När ett beslut om hemlig dataavläsning verkställs ska inte någon olägenhet eller skada få förorsakas utöver vad som är
161 absolut nödvändigt. Informationssäkerheten i andra avläsningsbara
informationssystem än det tillståndet avser ska inte få åsidosättas, minskas eller skadas till följd av verkställigheten. När verkställigheten avslutas ska den verkställande myndigheten vidta de åtgärder som behövs för att informationssäkerheten i det avläsningsbara infor- mationssystem som tillståndet avser ska hålla åtminstone samma nivå som vid verkställighetens början.
Ett tekniskt hjälpmedel som har använts ska tas bort, avinstalleras eller annars göras obrukbart så snart det kan ske efter att tiden för tillståndet gått ut eller tillståndet upphävts.
Utredningens förslag överensstämmer i sak med regeringens. Remissinstanserna: Majoriteten av remissinstanserna kommenterar inte förslaget. Några remissinstanser, bl.a. Post- och telestyrelsen och Civil
Rights Defenders, tillstyrker att det införs en regel om aktsamhet. Förs- varsmakten anför att det är angeläget att inte myndighetens egen infor-
mationssäkerhet påverkas efter att hemlig dataavläsning genomförts. Därför föreslår Försvarsmakten att samråd ska ske med myndigheten innan dess system blir föremål för åtgärd.
Sveriges advokatsamfund anser att tidskravet för när ett tekniskt
hjälpmedel som har använts ska tas bort, avinstalleras eller annars göras obrukbart bör skärpas ytterligare. För att minimera risken för att uppgifter inhämtas efter att ett tillstånd löpt ut eller hävts bör detta ske i direkt anslutning till eller omedelbart efter att så skett.
Myndigheten för samhällsskydd och beredskap anser att ett krav att
dokumentera vidtagna åtgärder är en förutsättning för att kunna genomföra en efterkontroll av att informationssäkerheten de facto har återställts till åtminstone samma nivå som vid verkställighetens början. Även om det kan finnas skäl för att inte i detalj specificera i lag vilka åtgärder som ska göras för att återställa informationssäkerheten är det enligt myndighetens mening centralt att införa ett tydligt krav på att arbetet dokumenteras. Skälen för regeringens förslag
En allmän aktsamhetsregel införs
Även om proportionalitetsprincipen gäller också vid verkställighet finns det för befintliga tvångsmedel särskilda regler som påminner om att olägenhet eller skada inte får förorsakas utöver vad som är absolut nöd- vändigt vid verkställighet (t.ex. 28 kap. 6 § RB). För att regleringen om hemlig dataavläsning ska korrespondera med regleringen om de bakom- liggande tvångsmedlen och med hänsyn till tvångsmedlets ingripande karaktär finns det behov av en liknande bestämmelse i lagen om hemlig dataavläsning. I enlighet med vad utredningen föreslår bör därför en sådan bestämmelse införas.
Informationssäkerhet
Utredningen bedömer att hemlig dataavläsning medför risker för infor- mationssäkerheten, vilka måste balanseras för att det ska vara försvarligt att införa regelverket. De risker som utredningen redovisar är bl.a. risker att information sprids till obehöriga från det informationssystem som åtgärden avser, risker för minskad säkerhet i och utanför systemet och
162
risker för att sårbarheter blir kända utanför kretsen av personer som ska vara betrodda med informationen. Utredningen föreslår därför att det bör införas en reglering i lagen om att den som ska verkställa hemlig data- avläsning ska vidta nödvändiga åtgärder för att informationssäkerheten utanför det informationssystem som är föremål för hemlig dataavläsning inte åsidosätts, minskas eller skadas till följd av verkställigheten. Det står klart att utredningen härvid åsyftar informationssäkerheten i andra informationssystem än det som tillståndet avser. Även om det får accepte- ras att det i det informationssystem som är föremål för hemlig dataavläs- ning uppstår en minskning av informationssäkerheten är det inte avsikten att andra informationssystem som finns i dess närhet, har kontakt med informationssystemet eller inte har något samröre med informations- systemet ska drabbas. Regeringen instämmer i utredningens förslag och bedömning.
Utredningen föreslår också att det införs en allmän aktsamhetsregel som har karaktären av en instruktion för myndigheterna att vidta nödvändiga åtgärder för att undvika en minskad informationssäkerhet. Regeringen delar uppfattningen att regeln bör utformas generellt och teknikneutralt, för att fånga upp de olika typer av risker och situationer som kan uppstå. Genom en generell aktsamhetsregel kan risken för informationssäkerheten samt övriga olägenheter och skador begränsas till vad som är absolut nödvändigt. Lämpligen kan detta uttryckas så att vid verkställigheten ska nödvändiga åtgärder vidtas för att informationssäkerheten i andra informa- tionssystem än det tillståndet avser inte får åsidosättas, minskas eller skadas till följd av verkställigheten. Regeringen återkommer i avsnitt 12.2.4 med förslag om att verkställigheten av hemlig dataavläsning endast ska få utföras av vissa, särskilt kvalificerade personer.
När det gäller förslaget från Försvarsmakten om att den verkställande myndigheten ska samråda med Försvarsmakten innan hemlig dataavläs- ning riktas mot dess system gör regeringen följande bedömning. Vid de få tillfällen där det kan bli aktuellt med hemlig dataavläsning mot avläsnings- bara informationssystem hos Försvarsmakten kan det vara fråga om synnerligen allvarliga brott mot rikets säkerhet där den berörda person- kretsen inte är fullt klarlagd. I ett sådant fall kan det inte komma på fråga att införa någon samrådsskyldighet. En annan sak är att det inte ter sig främmande att samråd av praktiska skäl måste genomföras med Försvars- makten för att överhuvudtaget kunna utföra hemlig dataavläsning mot informationssystem som den förfogar över. Sammantaget ser således regeringen inte skäl att införa någon samrådsskyldighet före avläsning av Försvarsmaktens – eller någon annans – informationssystem.
Myndigheten för samhällsskydd och beredskap anser att vidtagna åt-
gärder bör dokumenteras för att det ska vara möjligt att kontrollera att in- formationssäkerheten har återställts efter verkställighet. Frågan om doku- mentation aktualiseras i betänkandet Rättssäkerhetsgarantier och hemliga tvångsmedel (SOU 2018:61 s. 201 och 218–223). Betänkandet bereds i Regeringskansliet. Det saknas skäl att här föregripa den beredningen.
163
Åtgärder när verkställighet avslutas
Utredningen bedömer att när hemlig dataavläsning avslutas bör infor- mationssystemet som tillståndet avser inte ha ett sämre skydd för infor- mationssäkerheten än när avläsningen påbörjats. Det bör därför införas regler om att den verkställande myndigheten i samband med att verk- ställighet avslutas ska vidta de åtgärder som behövs för att informations- säkerheten i det informationssystem som tillståndet avser ska hålla åtminstone samma nivå som vid verkställighetens början. Kravet bör gälla oavsett vilken verkställighetsteknik som har använts.
Det bör också enligt utredningen föreskrivas att ett tekniskt hjälpmedel som har använts i samband med verkställighet ska tas bort eller göras obrukbart när tvångsmedelsanvändningen avslutats. Det betyder att myn- digheterna ska ta bort eller avinstallera t.ex. programvaror och hårdvaror som använts så snart det kan göras efter att tiden för tillståndet har gått ut eller tillståndet upphävts. Sveriges advokatsamfund förordar att tidskravet ska skärpas. Regeringen noterar dock i detta sammanhang att en mot- svarande regel med samma tidskrav som utredningen föreslår finns beträf- fande hemlig kameraövervakning och hemlig rumsavlyssning (27 kap. 25 a § fjärde stycket RB). Inget har framkommit som ger skäl att ifrågasätta att detta är en väl avvägd frist. Regeringen delar således utred- ningens bedömning.