Datalagring i ett EU-rättsligt sammanhang

16

den. Utredningens förslag bereds nu i Regeringskansliet. Hemlig data-avläsning, liksom andra hemliga tvångsmedel eller polisiära metoder som t.ex. fysisk spaning, kan dock inte ses som en ersättning för datalagringen.

De skilda metoderna bör snarare ses som olika verktyg i den brotts-bekämpande verksamheten som kan komplettera varandra.

När det gäller nyttan av inhämtningen av uppgifter om elektronisk kommunikation i underrättelseverksamhet, har Polismyndigheten och Tullverket konstaterat att information om elektronisk kommunikation är väsentlig för myndigheternas underrättelseverksamhet och att de möjligheter till inhämtning som inhämtningslagen medger har varit avgörande för att inleda förundersökning för en lång rad grova brott. Tillgången till uppgifter om elektronisk kommunikation i underrättelsestadiet är avgörande för att aktörer, platser och tidpunkter ska kunna kopplas samman och ge ett tillräckligt underlag för att inleda en förundersökning. Uppgifterna är enligt myndigheterna också väsentliga för en effektiv planering av yttre fysisk spaning som är resurskrävande och därför viktig att använda på rätt plats vid rätt tillfälle (skr. 2017/18:69 s. 30–31). I Säkerhetspolisens underrättelse-arbete bidrar datalagringen bl.a. med mycket värdefull information t.ex. för att kartlägga aktörer eller nätverk som har en avsikt och förmåga att begå brott som är allvarliga för rikets säkerhet. Inhämtningen möjliggör således att på ett tidigt stadium fånga upp eventuella grupperingar, skeenden och modus i syfte att förhindra sådan brottslighet (SOU 2015:31 s. 87).

Sammanfattningsvis finns det alltså ett påtagligt behov av uppgifter om elektronisk kommunikation för brottsbekämpningen och uppgifterna ger de brottsbekämpande myndigheterna stor nytta. Däremot är inte nyttan och behovet desamma för alla uppgifter och inte heller desamma över tid, eftersom beteendemönster och teknik hela tiden förändras. Som exempel kan nämnas den minskade användningen av fast telefoni och den ökande användningen av internet i mobiltelefoner.

4.2 Datalagring i ett EU-rättsligt sammanhang

Datalagringsdirektivet och Digital Rights-domen

Europaparlamentets och rådets direktiv 2006/24/EG av den 15 mars 2006 om lagring av trafikuppgifter som genererats eller behandlats i samband med tillhandahållande av allmänt tillgängliga elektroniska kommunikations-tjänster eller allmänna kommunikationsnät och om ändring av direktiv 2002/58/EG, i det följande datalagringsdirektivet, syftade till att harmonisera medlemsstaternas regler om skyldigheter för leverantörer av allmänt tillgängliga elektroniska kommunikationstjänster eller allmänna kom-munikationsnät att lagra vissa uppgifter om elektronisk kommunikation för att säkerställa att uppgifterna finns tillgängliga för avslöjande, utredning och åtal av allvarliga brott. De bestämmelser som genomförde direktivet i svensk rätt finns huvudsakligen i lagen om elektronisk kommunikation.

17 I april 2014 meddelade EU-domstolen dom i målen C-293/12 och

C-594/12, Digital Rights Ireland m.fl. (Digital Rights-domen) angående giltigheten av datalagringsdirektivet. EU-domstolen förklarade i domen datalagringsdirektivet ogiltigt (punkt 71). Domstolen konstaterade att direktivet innebar ett långtgående och synnerligen allvarligt intrång i rätten till respekt för privatlivet och skyddet av personuppgifter (punkt 37).

Domstolen ansåg att ingreppet svarade mot ett mål av allmänt samhälls-intresse, bl.a. då syftet med direktivet var att bidra till bekämpandet av grov brottslighet och bidra till den allmänna säkerheten (punkterna 41–44).

Domstolen ansåg också att lagringen var ägnad att uppnå det mål som eftersträvades med direktivet eftersom lagringen innebär att brotts-bekämpande myndigheter får ytterligare möjligheter att klara upp grova brott och utgör ett värdefullt verktyg i brottsutredningar (punkt 49). När det gäller frågan om huruvida lagringen som föreskrevs enligt direktivet var nödvändig, konstaterade domstolen att bekämpandet av grov brottslighet, särskilt av organiserad brottslighet och terrorism, är av största betydelse för att garantera allmän säkerhet och att dess effektivitet i stor utsträckning kan bero på användningen av moderna utredningstekniker. Ett sådant mål av allmänt samhällsintresse kan emellertid inte, trots dess grundläggande betydelse, i sig ensamt motivera att en sådan lagringsåtgärd ska anses vara nödvändig för nämnda bekämpande (punkt 51). Intrånget var enligt domstolen inte begränsat till vad som var strängt nödvändigt bl.a. då direktivet generellt omfattade samtliga personer, samtliga elektroniska kommunikationsmedel och samtliga trafikuppgifter utan att det gjordes några åtskillnader, begränsningar eller undantag utifrån syftet att bekämpa allvarliga brott (punkt 57). Domstolen pekade på olika brister i direktivet och fann att direktivet inte föreskrev några tydliga och precisa regler som reglerade räckvidden av ingreppen i de grundläggande rättigheterna enligt artikel 7 (privatliv) och 8 (personuppgifter) i EU:s rättighetsstadga. Direktivet innebar således ett ingrepp i dessa rättigheter som var långtgående och synnerligen allvarligt.

Ingreppet var inte noggrant avgränsat genom bestämmelser som gjorde det möjligt att säkerställa att det verkligen var begränsat till vad som var strängt nödvändigt (punkt 65). Domstolen fann vid en samlad bedömning att unionslagstiftaren överskridit de gränser som proportionalitetsprincipen uppställer mot bakgrund av de aktuella rättigheterna (punkt 69).

Med anledning av att datalagringsdirektivet ogiltigförklarades gav chefen för Justitiedepartementet en utredare i uppdrag att analysera konsekvenserna för den svenska lagstiftningen (Ds 2014:23). Som en uppföljning av analysen i departementspromemorian gav regeringen därefter en utredare i uppdrag att överväga ytterligare rättssäkerhets- och integritetsstärkande åtgärder bl.a. för reglerna om lagring av uppgifter om elektronisk kommunikation (SOU 2015:31). Den svenska lagstiftningen bedömdes i båda analyserna som förenlig med EU-rätten, även om vissa förslag på förändringar presenterades.

18

Tele2-domen och domen från Kammarrätten i Stockholm

Kammarrätten i Stockholm begärde i april 2015 ett förhandsavgörande av EU-domstolen med anledning av ett överklagat föreläggande från Post- och telestyrelsen (PTS) mot ett lagringsskyldigt företag om att lagra uppgifter om elektronisk kommunikation. I december 2016 besvarade EU-domstolen kammarrättens begäran genom dom i målen C-203/15 och C-698/15, Tele2 Sverige AB m.fl. (Tele2-domen).

EU-domstolen ansåg att direktiv 2002/58 är tillämpligt på nationell lagstiftning som reglerar lagring och tillgång till trafikuppgifter och lokal-iseringsuppgifter i brottsbekämpande syfte (punkterna 65–81). Artikel 15.1 i direktivet, som i viss utsträckning tillåter lagring och tillgång till uppgifter om elektronisk kommunikation för t.ex. brottsbekämpande syften och för att skydda nationell säkerhet, ska enligt domstolen tolkas strikt och mot bakgrund av EU:s rättighetsstadga. Sådan lagstiftning bedömdes utgöra in-skränkningar i rättigheterna enligt artiklarna 7 (privatliv), 8 (personuppgifter) och 11 (yttrandefrihet) i stadgan (punkterna 88–93). Inskränkningar i rättigheterna får enligt EU-domstolen endast göras under vissa förut-sättningar, däribland att de är proportionerliga och strängt nödvändiga (punkterna 94–95).

EU-domstolen uttalade vidare att även om en effektiv bekämpning av grov brottslighet är av allmänt samhällsintresse och även i stor utsträckning kan vara beroende av moderna utredningstekniker, kan det inte i sig ensamt motivera att en nationell lagstiftning som föreskriver en generell och odifferentierad lagring av samtliga trafik- och lokaliseringsuppgifter ska anses vara nödvändig för detta ändamål (punkt 103). När det gäller tillgång till uppgifterna fastslog EU-domstolen att precisa krav måste föreskrivas, att tillgång endast får ges för att bekämpa grov brottslighet och att tillgången i princip bara får avse personer som på något sätt är inblandade i grov brottslighet (punkterna 115–119). Tillgång ska enligt EU-domstolen som huvudregel ges först efter förhandskontroll av domstol eller annan oberoende myndighet och berörda ska informeras, så snart det inte längre skadar myndighetens utredningar (punkterna 120–121). Därutöver uttalade dom-stolen att leverantörerna av elektroniska kommunikationstjänster måste garantera en särskilt hög skydds- och säkerhetsnivå genom lämpliga tekniska och organisatoriska åtgärder, att uppgifterna måste förstöras när lagringstiden gått ut och att lagringen måste ske inom unionen (punkt 122).

EU-domstolens slutsatser är att EU-rätten utgör ett hinder för (1) en nationell lagstiftning som i brottsbekämpande syfte föreskriver en generell och odifferentierad lagring av samtliga trafikuppgifter och lokaliserings-uppgifter avseende samtliga abonnenter och registrerade användare och samtliga elektroniska kommunikationsmedel samt (2) en nationell lag-stiftning som inte begränsar tillgången till trafik- och lokaliseringsuppgifter till enbart åtgärder som syftar till att bekämpa grov brottslighet, inte föreskriver att tillgången ska vara underkastad förhandskontroll av en domstol eller en oberoende förvaltningsmyndighet och inte kräver att uppgifterna ska lagras inom unionen.

19 Med hänvisning till EU-domstolens dom upphävde kammarrätten

föreläggandet från PTS (Kammarrätten i Stockholm, dom den 7 mars 2017, mål nr 7380-14).

Mot bakgrund av de redovisade domarna finns det behov av att anpassa de svenska reglerna om datalagring för att lagstiftningen ska vara förenlig med EU-rätten.