Framgår det vilken grupp som riskerar att få sin kommunikation avlyssnad?

6 Analys

6.3 Laglighetskravet

6.3.2 Framgår det vilken grupp som riskerar att få sin kommunikation avlyssnad?

I Tyskland riskerade alla som medverkade i gränsöverskridande telekommunikation att få den filtrerad i sin helhet av BND.²⁴⁷ Trots att statsmakten i princip enbart hade tillgång till ca tio procent av den gränsöverskridande telekommunikationen (den som förmedlades i etern²⁴⁸) så var det omöjligt för den enskilde att förutse om en specifik telekommunikation skulle komma att förmedlas via etern eller i kabel. Statsmakten tog de facto endast del av innehållet i den telekommunikation som infångades vid filtreringen som skedde med hjälp av sökbegreppen.

Enligt Europadomstolen innebar detta att enskilda för att riskera övervakning måste ha använt de av BND utvalda sökbegreppen. (Alternativt om det var fråga om utländska medborgare eller bolag kunde dessas telefonlinje valts ut för övervakning. I dessa fall krävdes således inte att den enskilde använt sig av sökbegreppen för att riskera övervakning.)²⁴⁹

Sökbegreppen skulle godkännas av G 10 kommissionen men de enda uttryckliga begräns-ningar som följde av lagstiftningen var att dessa (i) skulle vara relevanta i förhållande till de i lagen angivna övervakningsändamålen²⁵⁰ och (ii) inte fick utformas på ett sådant sätt att tyska medborgares eller bolags specifika telefonlinjer identifierades (3.2 G 10 – lagen).

I det brittiska systemet fick all gränsöverskridande telekommunikation som angetts i ett till-stånd inhämtas. Europadomstolen konstaterade att den brittiska statsmakten i princip hade obegränsad möjlighet att välja vilken av all gränsöverskridande telekommunikation som skul-le omfattas av ett tillstånd och därmed kunna inhämtas.²⁵¹ Alla individer som deltog i gräns-överskridande telekommunikation riskerade därför att få sin kommunikation inhämtad. För att tillhöra den grupp som riskerade att få kommunikationen innehållsmässigt granskad skulle

247 1 BvR 2226/94 of 07/14/1999, para 231.

248 Som redogjorts för tidigare fick dock trådburen kommunikation övervakas, men endast om det var nödvändigt för att kartlägga militära attacker mot Tyskland, se avsnitt 4.2.3

249Det kan här noteras att Europadomstolen använder här begreppet catchwords istället för search concepts som används i G 10 – lagen (Jfr Weber and Saravia v. Germany, para 97 och 1 BvR 2226/94 of 07/14/1999, para 231, paras 87 – 89) Det är möjligt att Europadomstolen uppfattat lagstiftningen så att det enbart var fråga om filtre-ring med hjälp av sökbegrepp som måste förekommit i den enskildes meddelande för att dennes kommunikation skulle riskera att avlyssnas. Jfr uttalandet i Weber and Saravia v. Germany, para 97 som lyder ”had to have used catchwords”. I praktiken torde det dock ha funnits sökbegrepp som var helt orelaterade till vilka ord som före-kom i meddelandet. Den praktiska betydelsen av detta missförstånd torde dock inte vara så stor då Europadom-stolen i samma stycke konstaterar att ”formella sökgrepp” kunde användas i förhållande till utländska medborga-re eller bolag.

250 Weber and Saravia v. Germany, para 97.

dock kommunikationen falla inom ramen för det till tillståndet hörande certifikatet. Även i detta avseende noterade Europadomstolen att lagstiftningen inte ställde krav på att certifikaten i praktiken skulle vara mer begränsade än de i lagen använda uttrycken. Den enda rättsliga begränsningen var att det i certifikatet inte fick specificeras att övervakning av kommunika-tion till och från en i Storbritannien belägen tele- eller fysisk adress skulle ske (om det ej av-såg bekämpandet av terrorism). Således var den grupp som riskerade övervakning, alla som använde gränsöverskridande telekommunikation och vars kommunikation ministern ansåg nödvändig att avlyssna i förhållande till någon av de i lagen angivna ändamålen.²⁵² Hur denna selekteringsprocess skulle gå till i praktiken och hur det säkerställdes att enbart ”nödvändig”

information lästes och analyserades framgick inte vidare av lagstiftningen. Det fanns krav på skyddsåtgärder men vari dessa bestod var inte offentligt och skapade därför ingen ytterligare förutsebarhet.²⁵³

Europadomstolen noterar att Tyskland ansett det möjligt att reglera sökbegreppen och dess användning i viss utsträckning och att de på senare tid utvecklade brittiska Codes of Practice antyder att även Storbritannien anser att detta är möjligt utan att undergräva övervakningssy-stemets effektivitet.²⁵⁴ Den brittiska lagstiftningen ansågs inte leva upp till kraven på tydlighet avseende selekteringsprocessen.²⁵⁵ Urvalet och selekteringsprocessen måste, åtminstone med viss tydlighet, framgå av lagstiftningen.²⁵⁶ Domstolen verkar även ha fäst vikt vid att tillåtna sökbegrepp enligt den tyska lagstiftningen skulle framgå av övervakningstillståndet.²⁵⁷ I bägge fallen riskerade alla som använde sig av gränsöverskridande telekommunikation att deras kommunikation inhämtades av statsmakten. Det krävdes vidare att kommunikation föll inom ramen för certifikatet alternativt sökbegreppen vilka båda skulle bedömas relevanta och nöd-vändiga i förhållande till övervakningsändamålen. Både avseende det brittiska certifikatet och de tyska sökbegreppen fanns ingen öppenhet avseende hur dessa de facto var utformade. I denna bemärkelse tycks systemen vara relativt lika i sin detaljreglering. Europadomstolen fäste dock vikt vid att den tyska regleringen genom att kräva att selektering sker med hjälp av nödvändiga och relevanta sökbegrepp tydligare definierat den grupp som riskerar att avlyss-nas än den brittiska vilken ansågs bristfällig i detta avseende.

251 Liberty and Others v. the United Kingdom, para 64.

252 Liberty and Others v. the United Kingdom, para 65.

253 Liberty and Others v. the United Kingdom, para 66.

254 Liberty and Others v. the United Kingdom, para 68.

255 Liberty and Others v. the United Kingdom, para 69.

256 Association for European Integration and Human Rights and Ekimdzhiev v. Bulgaria, para 86, Liberty and Others v. the United Kingdom, para 69.

Den svenska regleringen liknar i detta avseende den tyska då det i LSF uttryckligen är stadgat att selektering ska ske med hjälp av sökbegrepp. Utformningen av dessa torde, med beaktande av stadgandena både i LSF och FPuL vara ännu mer utförligt reglerade än i den tyska re-gleringen. Den svenska regleringen torde därför leva upp till konventionens krav på denna punkt. Det faktum att FRA enligt LSF får faktisk tillgång till all gränsöverskridande trafik, till skillnad från tio procent som var fallet i Tyskland torde inte ändra denna bedömning. Detta eftersom det för en enskild inte gick att påverka eller förutse om hans eller hennes kommuni-kation tillhörde de tio procent som statsmakten fick tillgång till.

Sammanfattningsvis riskerade alla som deltog i gränsöverskridande trafik att övervakas en-ligt den svenska såväl som den (av Europadomstolen accepterade) tyska lagstiftningen. Det fanns dock en skillnad i att BND till skillnad från FRA fick tillgång till endast tio procent av den totala trafikmängden, vilket kan tänkas få betydelse vid proportionalitetsbedömningen.²⁵⁸ 6.3.3 Framgår tidsbegränsning för övervakningstillstånd?

I alla tre lagstiftningarna förekommer tidsbegränsningar för övervakningstillstånd. Enligt hu-vudregeln får tillstånd meddelas för två månader (IOCA)²⁵⁹, sex månader (LSF) och tre måna-der (G 10 – lagen). LSF och G 10 – lagen tillät förnyelse av tillstånd för en motsvarande tids-period så länge förutsättningarna för tillstånd var uppfyllda och IOCA för en tids-period upp till sex månader (4.6.c IOCA). Mot bakgrund av Weber and Saravia får anses att den i G 10 – lagen angivna tidsbegränsningen är godtagbar. I Liberty and Others saknades konkreta utta-landen i förhållande till tidsbegränsningen. Detta torde dock inte varit det avgörande för att IOCA underkändes. Troligen är den svenska regeln om sex månader förenlig med konventio-nen.

6.3.4 Framgår processen som ska följas då kommunikation lagras, undersöks och används?

Som tidigare har noterats krävs att selekteringsprocessen för inhämtat material till viss del måste framgå av lagstiftningen. Även procedurer för hantering och lagring av inhämtade upp-gifter måste dock kunna utläsas.²⁶⁰ Det ska framgå hur myndigheterna ska säkerställa skyddet för inhämtad information. Till exempel har domstolen framhållit att det är problematiskt om

257 Liberty and Others v. the United Kingdom, para 68.

258 Se vidare avsnitt 6.5.3.

259 Se Liberty and Others v. the United Kingdom, para 25.

260 Iordachi and Others v. Moldova, para 48 (och däri angivna källor).

en stat å ena sidan genom lagstiftning åtar sig att hemlighålla viss information (exempelvis kommunikation mellan en advokat och hans klient) men sedan saknar regler för hur detta ska gå till i praktiken.²⁶¹ LSF är tydlig på denna punkt i den bemärkelse att det föreligger en ome-delbar förstöringskyldighet när det kan konstateras att sådan kommunikation har inhämtats, däremot framgår det inte av lagstiftningen vilka rutiner eller processer som ska vidtas för att upptäcka om denna typ av kommunikation har inhämtats eller inte.

Här bör skiljas på det faktiska innehållet i skyddsåtgärderna och hur dessa enligt lagstiftning-en ska säkerställas i praktiklagstiftning-en. Det är dlagstiftning-enna slagstiftning-enare fråga som primärt är av intresse här. Det viktiga i förhållande till laglighetskravet torde vara att processen för hur inhämtad information lagras, undersöks och används framgår av lagen. Gränserna för hur den får behandlas, exem-pelvis när gallring ska ske eller hur överskottsinformation får användas beaktas i samband med proportionalitetsprincipen. En viktig fråga i detta sammanhang kan dock vara om det tillräckligt tydligt framgår av lagstiftningen om överskottsinformation får användas och i så fall i vilken utsträckning. Om detta inte är tydligt är det ett problem i förhållande till laglig-hetskravet. Är det tydligt och tillåtet kan det istället påverka proportionalitetsbedömningen.

Mot bakgrund av den prövningens subsidiära karaktär (och fjärdeinstansprincipen) skulle det kunna tänkas att domstolen är restriktiv med att tolka nationell rätt på en alltför detaljerad nivå om staten hävdar att innebörden är klar. Lagtextens förutsebarhet är dock enligt praxis av stor vikt i dessa fall²⁶² och det kan därför tänkas att domstolen sätter ner foten i större ut-sträckning än vanligt vid oklarheter eller lagstiftning som ger utrymme för olika tolkningar.²⁶³ Processen för lagring, undersökning och användning av inhämtad kommunikation var i det brittiska systemet försett med ett antal materiella skyddsgarantier. Hur dessa skulle garanteras i praktiken lämnades dock till ministern att utforma genom att han ålades att tillse att tillräck-liga åtgärder vidtogs. Information om vilka åtgärder ministern vidtog eller beordrade var inte tillgänglig för allmänheten. Europadomstolen konstaterar också att det faktum att kommissio-nären årligen granskade ministerns åtgärder och i en rapport uttalar om dessa varit tillfredstäl-lande, inte botar bristen på tydlighet avseende dessa processer.²⁶⁴ Domstolen fann att den brit-tiska regleringen inte uppfyllde kravet på laglighetsstödet bland annat på grund av att det helt

261 Iordachi and Others v. Moldova, para 50.

262 Se bl. a. Association for European Integration and Human Rights and Ekimdzhiev v. Bulgaria, para 75.

263 Jfr bl. a. Malone v. the United Kingdom, para 79.

264 Liberty and Others v. the United Kingdom, para 67.

saknades indikationer på hur och under vilka omständigheter den inhämtade kommunikation lagrades, undersöktes, vidarebefordrades respektive raderades.²⁶⁵

Hur detaljerad behöver då regleringen vara i detta hänseende? Svaret är sannolikt någonstans mellan den brittiska IOCA och den tyska G 10-lagen. Frågan blir då hur den svenska re-gleringen förhåller sig till den tyska vad gäller tydlighet i hur information hanteras? Den svenska regleringen kan sannolikt anses otydligare på ett antal punkter.

Process för förstöring och gallring av inhämtad information

En tveksamhet är regleringen av processen för radering och gallring av inhämtad information.

Det bör i detta sammanhang påminnas om att vid bedömning av laglighetskravet prövas om processen för radering och gallring av uppgifter framgår tillräckligt tydligt av lagstiftningen, medan domstolen utvärderar själva processen (det materiella kriteriet för vilka uppgifter som ska raderas, tidsfrist för lagring, mm) under proportionalitetsbedömningen.²⁶⁶

Enligt den tyska lagen ålades myndigheter som lagrade inhämtad information att var sjätte månad kontrollera om uppgifter skulle raderas, vilket skedde under övervakning av en kvalifi-cerad jurist.²⁶⁷ Av den brittiska lagen framgick enbart att utfärdande ministern skulle tillse att de åtgärder som var nödvändiga för att säkerställa att uppgifter inte skulle sparas längre än nödvändigt vidtogs. Enligt den svenska regleringen är det upp till FRA att utforma de rutiner som krävs för att kunna säkerställa att gallring och radering lever upp till de krav som ställs enligt FPuL och LSF.²⁶⁸ För att dessa framtagna rutiner ska påverka bedömningen enligt lag-lighetskravet så måste de dock offentliggöras.²⁶⁹ Av samma anledning torde integritetsrådets granskaning av FRA:s interna föreskrifter sakna betydelse i detta sammanhang. I den svenska regleringen saknas till skillnad från den tyska en i lag angiven tidsram för hur ofta den konti-nuerliga kontrollen ska utföras samt vilken kompetens tjänstemannen som utför kontrollen ska ha. Det finns dock tidsfrister för gallring i vissa av databaserna. Där det däremot är fråga om radering på grund av informationens innehåll, till exempel att den inte är nödvändig längre eller för att den tillhör någon av de enligt LSF skyddade grupperna saknas dock information

265 Liberty and Others v. the United Kingdom, para 69.

266 Jfr Weber and Saravia v. Germany, para 100 och 116.

267 Se Weber and Saravia v. Germany, para 100.

268Datainspektionens beslut 1016-2008.

269 Jfr Liberty and Others v. the United Kingdom, para 66. Precis som i fallet med kommissionären i det brittiska systemet kommer kontrollorganen i Sverige sannolikt inte att bidra med klargörande information avseende hur processen är utformad. Denna slutsats dras mot bakgrund av att det i förarbetena anförs att kontrollmyndigheter-na ska kompensera för allmänhetens begränsade insyn och att deras verksamhet omgärdas av stark sekretess.

om hur, av vem och inom vilka tidsramar detta ska kontrolleras, vilket skulle kunna vara pro-blematiskt i förhållande till konventionen. I Association for European Integration and Human Rights and Ekimdzhiev v. Bulgaria underströk domstolen återigen vikten av att ha strikta reg-ler för hur information som saknar relevans i förhållande till övervakningsändamålen hanteras samt att detta med fördel kan kontrolleras av en kvalificerad jurist så som i den tyska verk-samheten.²⁷⁰

Reglering av kontrollverksamheten

Till viss del torde kontrollorganens karaktär och självständighet beaktas vid denna bedöm-ning, i Association for European Integration and Human Rights and Ekimdzhiev v. Bulgaria, kritiserade domstolen vid bedömningen av laglighetskravet att kontrollen uteslutande utfördes av inrikesministern som både var politiskt tillsatt och dessutom direkt involverad i meddelan-det av tillstånd.²⁷¹ Även regleringen av kontrollverksamhetens är därför av betydelse för lag-lighetskravet. I Iordachi and Others v. Moldova beaktades under laglighetskravet att det i och för sig fanns en parlamentarisk kommitté som skulle utöva tillsyn över övervakningsverk-samheten i dess helhet men att denna kontrollverksamhet inte var närmare reglerad i lag.²⁷² Regleringen av den svenska kontrollverksamheten torde dock leva upp till de krav som fram-kommer av de ovannämnda rättsfallen.

Överskottsinformation

Som diskuterats ovan är den vid laglighetskravsbedömningen relevanta frågan inte om an-vändning av överskottsinformation i sig är förenlig med konventionen, utan om den nationella lagstiftningen tydligt reglerar om och i så fall hur överskottsinformation får användas.

I förhållande till kravet på tydlighet är den svenska regleringens utformning tveksam då den inte klart stipulerar ett förbud mot användningen av överskottsinformation. Avsikten att ett sådant förbud ska föreligga framgår vid samläsning av förarbetsuttalanden och ett antal lag-rum.²⁷³ Detta skulle dock med fördel kunna vara mer tydligt utryckt i lagstiftningen, särskilt

Samma sak gäller för de villkor FUD enligt 5 a § punkt 5 LSF kan stipulera i tillstånd till skydd för de personliga integriteten.

270 Association for European Integration and Human Rights and Ekimdzhiev v. Bulgaria, para 89.

271 Association for European Integration and Human Rights and Ekimdzhiev v. Bulgaria, para 87.

272 Iordachi and Others v. Moldova, para 49. Domstolen beaktade även att det inte fanns några indikationer på att kontrollverksamhet faktiskt bedrevs.

273 Angående detta resonemang se avsnitt 5.9.2.

mot bakgrund av att Europadomstolen uttalar att det är fråga om en relativt allvarlig inskränk-ning av rättigheterna enligt artikel 8.²⁷⁴

Utvecklingsverksamheten

Det är svårt att få en klar bild över när och i vilken utsträckning elektronisk kommunikation som inhämtats i underrättelse- respektive utvecklingsverksamheten skiljs åt. Enligt min me-ning finns det inget i lagtexten som hindrar att trafik eller kommunikation som inhämtats i utvecklingsverksamheten används i underrätteleverksamheten. Det sägs uttryckligen i förarbe-ten att uppgifter som inhämtats i utvecklingsverksamheförarbe-ten kan användas i försvarsunderrättel-severksamheten.²⁷⁵ En möjlig tolkning är dock att resultatet av utvecklingsverksamheten kan komma att användas i underrättelseverksamheten exempelvis genom att man i utvecklings-verksamheten får mer information om vilken trafik som förmedlas i vilken signalbärare²⁷⁶ och denna information kan användas vid utformningen av tillståndsansökan för signalspaning i underrättelseverksamheten. I så fall sker ingen sammanblandning av den inhämtade kommu-nikationen. Denna otydlighet innebär att det är oförutsebart för enskilda hur kommunikation som övervakats i utvecklingsverksamhet får användas. Detta är troligen problematisk i förhål-lande till laglighetskravet.²⁷⁷

6.3.5 Framgår det vilka försiktighetsåtgärder som ska vidtas vid vidarebefordring av material till tredje part?

Europadomstolen ansåg att G 10 – lagen tillräckligt detaljerat reglerade begräsningar och för-siktighetsåtgärder vid vidarebefordring av information som inhämtats i underrättelseverksam-het.²⁷⁸ Finns det då brister i den svenska lagstiftningen i detta avseende? Skillnader mot den tyska lagstiftningen kan noteras i följande två avseenden (i) till vem information får vidarebe-fordras och (ii) vem som fattar beslut om överföring.

Det framgår inte av den svenska lagstiftningen vilka myndigheter som får del av informatio-nen som inhämtats genom övervakningen men i förarbetena anges att mottagande

274Weber and Saravia v. Germany, para 125. Jfr ävenVenice Commission, Report on the democratic oversight of the security services, punkt 44 vari kommissionen fann att vilka andra organ och myndigheter som kan ta del av den inhämtade informationen ska regleras i detalj.

275 Prop 2006/07:63 s 68.

276 Prop 2006/07:63 s 68.

277 Inom ramen för laglighetskravsbedömningen är det lagstiftningens otydligheten som är det primära proble-met, vilka materiella krav som ställs på dess regler behandlas dock vid proportionalitetsbedömningen, se avsnitt 6.5.6.

278 Weber and Saravia v. Germany, para 99.

ter kan vara exempelvis Tullverket, Säkerhetspolisen och Försvarsmakten.²⁷⁹ Den tyska lag-stiftningen är i detta avseende tydligare (jfr 3.5 G 10 – lagen). Det torde vara fråga om i prin-cip samma myndigheter i respektive lagstiftning, men mot bakgrund av konventionens krav på tydlighet och förutsebarhet vore det önskvärt att detta framgick av LSF eller FuvL. Även bestämmelsen att inhämtad information får delges i den utsträckning som krävs för att uppfyl-la åtaganden i internationeluppfyl-la samarbeten (1 kap 17 § FPuL) torde kunna ifrågasättas ur förut-sebarhetssynpunkt.²⁸⁰ Enligt den tyska regleringen skulle beslut om överföring tas av en kvali-ficerad jurist (3.5 G 10 – lagen) vilket innebar en ökad säkerhet för att överföring skedde i enlighet med lagstiftningen. Det är oklart vilken betydelse domstolen tillmätte denna kontroll-funktion, men avsaknaden av ett motsvarande krav i den svenska lagstiftningen skulle kunna vara problematisk i förhållande till laglighetskravet.

G 10 –lagen innehöll ett krav på ursprungsmärkning av personuppgifter som inhämtats genom strategisk spaning när dessa ingick i vidarebefordrade underrättelser.²⁸¹ Detta krav kan ses som en försiktighetsåtgärd vid vidarebefordring till tredje part. Ursprungsmärkningen var en förutsättning för att kunna tillse att inhämtad kommunikation inte användes för andra ändamål än de G 10 – lagen tillät. Detta krav på ursprungsmärkning behandlas dock i denna framställ-ning, precis som av Europadomstolen, i samband med proportionalitetsbedömningen.²⁸² 6.3.6 Framgår det under vilka omständigheter inhämtad information får respektive

måste raderas eller förstöras?

I Liberty and Others noterade domstolen att enligt den tyska regleringen skulle myndigheter som förvarade inhämtad kommunikation radera den när den inte längre var nödvändig för det syfte den inhämtats (eller överförts).²⁸³ Samma förstöringsskyldighet förelåg enligt IOCA men det saknades lagstadgade processer för hur detta skulle genomföras i praktiken. Enligt både den tyska och den brittiska lagstiftningen var den materiella grunden för förstöringsskyldighet således i princip densamma, uppgifter som inte är nödvändiga i förhållande till inhämtnings-syftet med övervakningen skull raderas eller åtminstone blockeras. Skillnaden bestod i att enligt G 10 –lagen framgick det att det var den inhämtande respektive den förvarande myn-digheten som hade ansvaret för att genomföra raderingen. Av både LSF och FPuL framgår att

In document Är FRA:s signalspaning förenlig med artikel 8 i Europakonventionen? (Page 74-0)