Det svenska genomförandet av direktivet

Datalagringsdirektivet genomfördes i svensk rätt genom lag- och förordningsändringar som trädde i kraft den 1 maj 2012.

Bestämmelserna om lagring finns i 6 kap. 16 a–f §§ LEK (prop.

2010/11:46, bet. 2011/12:JuU28, rskr. 2011/12:165–166).

Kompletterande bestämmelser finns i 37–46 §§ förordningen om elektronisk kommunikation.

Till grund för genomförandet fanns förslag från Trafikuppgiftsutredningen som hade överlämnat sitt betänkande Lagring av trafikuppgifter för brottsbekämpning (SOU 2007:76) i november 2007.

När riksdagen under våren 2011 behandlade regeringens proposition återförvisades förslaget med stöd av 2 kap. 22 § RF till justitieutskottet för att där vila i minst ett år. När förslaget togs upp för förnyad behandling i kammaren den 21 mars 2012 bifölls det med kvalificerad majoritet. Riksdagen beslutade även på eget initiativ att de föreskrifter om skyddsåtgärder som regeringen bemyndigades att meddela snarast skulle underställas riksdagen för prövning (8 kap. 6 § RF). Detta skedde genom att en proposition underställdes riksdagen där det föreslogs att riksdagen skulle godkänna regeringens föreskrifter om särskilda tekniska och organisatoriska åtgärder för att skydda de lagrade trafikuppgifterna vilka hade förts in i förordningen om elektronisk kommunikation (prop. 2011/12:146, bet. 2011/12:JuU26, rskr. 2011/12:288–289).

Riksdagen biföll förslaget den 19 juni 2012.

Närmare om den svenska regleringen

Den centrala bestämmelsen avseende lagringsskyldighetens omfattning finns i 6 kap. 16 a § LEK. Lagringsskyldiga är enligt den bestämmelsen de som bedriver anmälningspliktig verksamhet enligt 2 kap. 1 § samma lag. Därigenom omfattas leverantörer av allmänt

tillgängliga kommunikationsnät av sådant slag som vanligen tillhandahålls mot ersättning och av allmänt tillgängliga elektroniska kommunikationstjänster. Lagringsskyldigheten omfattar uppgifter som anges som nödvändiga för vissa preciserade syften. Dessa är formulerade som uppgifter som är nödvändiga för att kunna spåra och identifiera en kommunikationskälla, slutmålet för kommunikationen, datum, tid och varaktighet för kommunikationen, typ av kommunikation, kommunikations-utrustning samt lokalisering av mobil kommunikationskommunikations-utrustning.

Lagringsskyldigheten omfattar uppgifter som leverantören genererar eller behandlar i sin verksamhet. Det innebär att leverantören inte har någon skyldighet att “skaffa sig” de aktuella uppgifterna. Lagringsskyldigheten är närmare strukturerad i vissa teknikslag. Dessa är angivna som telefoni, meddelandehantering, internetåtkomst och tillhandahållande av kapacitet för att få internetåtkomst (anslutningsform). I 39–43 §§ förordningen om elektronisk kommunikation anges på en mer tekniskt detaljerad nivå vilka uppgifter som ska lagras inom respektive teknikslag.

Av 6 kap. 16 a § LEK följer vidare att den svenska regleringen på två punkter går längre än vad direktivet kräver.

Lagringsskyldigheten omfattar nämligen även uppgifter som behövs för att lokalisera mobil kommunikationsutrustning vid kommunikationens slut samt uppgifter som genererats eller behandlats vid misslyckad uppringning.

En lagringsskyldig leverantör får enligt 6 kap. 16 a § tredje stycket LEK uppdra åt någon annan att utföra själva lagringen.

Enligt 6 kap. 16 b § kan en leverantör, om det finns synnerliga skäl för det, undantas från lagringsskyldigheten.

Lagringsskyldigheten gäller enligt 6 kap. 16 d § LEK under sex månader från den dag då kommunikationen avslutades. Därefter ska uppgifterna omedelbart utplånas, om det inte är så att de har begärts utlämnade men ännu inte hunnit lämnas ut. Då ska uppgifterna i stället utplånas så snart de har lämnats ut.

De uppgifter som har lagrats enligt 6 kap. 16 a § LEK får, enligt 6 kap. 16 c §, lämnas ut till brottsbekämpande myndigheter endast enligt 22 § första stycket 2 i samma kapitel, 27 kap. 19 § RB eller inhämtningslagen. De lagringsskyldiga leverantörerna ska enligt 6 kap. 16 f § LEK bedriva sin verksamhet så att uppgifterna kan lämnas ut utan dröjsmål och så att det inte röjs att uppgifterna

Genomförandet av datalagringsdirektivet Ds 2014:23

30

lämnats ut. Uppgifterna ska också göras tillgängliga på ett sådant sätt att informationen enkelt kan tas om hand av de brottsbekämpande myndigheterna.

De kostnader som uppstår vid utlämnande av lagrade trafikuppgifter ska leverantören få ersättning för av den myndighet som begärt ut uppgifterna (6 kap. 16 e § LEK). Övriga kostnader för lagring, säkerhet och anpassning av tekniska system m.m. ska leverantörerna själva stå för.

I lagen om elektronisk kommunikation fanns då direktivet genomfördes redan bestämmelser om teknisk säkerhet för lagrade uppgifter. Dessa bedömdes dock inte vara tillräckliga, utan en ny bestämmelse om skyldighet att vidta särskilda tekniska och organisatoriska åtgärder för att skydda de lagrade uppgifterna vid behandling infördes (6 kap. 3 a § LEK). I bestämmelsen bemyndigas regeringen eller den myndighet regeringen bestämmer att meddela föreskrifter om sådana skyddsåtgärder. Regeringen har meddelat sådana föreskrifter i 37 § förordningen om elektronisk kommunikation. Där framgår att den som är lagringsskyldig ska vidta åtgärder för att säkerställa att de lagrade uppgifterna är av samma kvalitet och föremål för samma säkerhet och skydd som vid den behandling som skett före lagringen. Vidare framgår att åtgärder ska vidtas för att skydda uppgifterna mot oavsiktlig eller otillåten förstöring och oavsiktlig förlust eller ändring samt för att förhindra otillåten lagring, behandling av eller tillgång till och otillåtet avslöjande av uppgifterna. Slutligen får uppgifterna göras tillgängliga endast för personal med särskild behörighet. PTS får efter att ha hört Rikspolisstyrelsen och Datainspektionen meddela närmare föreskrifter om de åtgärder som ska vidtas. PTS har meddelat sådana föreskrifter (PTSFS 2012:4), vilka bl.a. närmare reglerar frågor om behörighet och åtkomst till och fysiskt skydd för de lagrade uppgifterna.

PTS utsågs därutöver till att utöva tillsyn över leverantörernas lagring av trafikuppgifter. Det ansågs att myndighetens befintliga tillsynsbefogenheter var ändamålsenliga och tillräckliga (prop.

2010/11:46 s. 55 f.). Av dessa följer att myndigheten bl.a. har rätt att förelägga en leverantör som bedriver verksamhet som omfattas av lagen om elektronisk kommunikation att tillhandahålla myndigheten upplysningar och handlingar som behövs för att kontrollera lagens efterlevnad, att meddela förelägganden och

förbud som får förenas med vite och, om ingen rättelse sker, återkalla ett tillstånd att bedriva verksamhet. De tillsynsbeslut som PTS fattar får överklagas hos allmän förvaltningsdomstol. När det gäller behandlingen av personuppgifter utövas tillsynen av Datainspektionen.