docMål nr 14891-14 - Förvaltningsrätten i Stockholm
download 
Report Transcription
Mål nr 14891-14 - Förvaltningsrätten i Stockholm
1 FÖRVALTNINGSRÄTTEN I STOCKHOLM Allmänna avdelningen Enhet 14 DOM 2014-10-13 Meddelad i Stockholm Mål nr 14891-14 KLAGANDE Tele2 Sverige AB, 556267-5164 Ombud: chefsjuristen Stefan Backman Tele2 Sverige AB Box 62 164 94 Kista MOTPART Post- och telestyrelsen Box 5398 102 49 Stockholm ÖVERKLAGAT BESLUT Post- och telestyrelsens beslut 2014-06-27, se bilaga 1 SAKEN Föreläggande enligt 7 kap. 5 § lagen om elektronisk kommunikation ___________________ FÖRVALTNINGSRÄTTENS AVGÖRANDE Förvaltningsrätten avslår Tele2 Sverige AB:s överklagande. Dok.Id 517702 Postadress 115 76 Stockholm Besöksadress Tegeluddsvägen 1 Telefon Telefax 08-561 680 00 08-561 680 01 E-post: [email protected] Expeditionstid måndag – fredag 08:00-16:30 2 FÖRVALTNINGSRÄTTEN I STOCKHOLM Allmänna avdelningen DOM 14891-14 BAKGRUND....................................................................................................... 3 YRKANDEN M.M. ............................................................................................. 3 PARTERNAS UTVECKLING AV TALAN ......................................................... 4 Tele2 .................................................................................................................... 4 PTS ...................................................................................................................... 5 SKÄLEN FÖR AVGÖRANDET.......................................................................... 6 Frågan i målet ...................................................................................................... 6 Aktuella bestämmelser......................................................................................... 7 Datalagring ..................................................................................................... 7 Enskildas fri- och rättigheter ........................................................................... 8 Regeringsformen.......................................................................................... 8 Europakonventionen .................................................................................... 8 EU:s rättighetsstadga ................................................................................... 8 2002 års direktiv om integritet och elektronisk kommunikation ................. 9 Utgångspunkter för prövningen ......................................................................... 10 EU:s rättighetsstadgas tillämplighet ............................................................. 10 Rättigheternas omfattning och inskränkningsmöjligheter ............................. 10 Utgör lagringsskyldigheten och tillgångsbestämmelserna i svensk rätt en inskränkning av aktuella fri- och rättigheter? .................................................... 11 Är inskränkningarna i aktuella fri- och rättigheter godtagbara? ........................ 12 Förutsättningar för godtagbara inskränkningar ........................................... 12 Kränker inskränkningarna det väsentliga innehållet i rättigheterna? .......... 13 Är inskränkningarna motiverade av ett godtagbart ändamål? ..................... 13 Är inskränkningarna proportionerliga? ........................................................ 14 Omfattningen av lagringen ........................................................................ 16 Tillgången till de lagrade uppgifterna........................................................ 17 A) Tillgången enligt LEK ...................................................................... 18 B) Tillgången enligt RB......................................................................... 20 C) Tillgången enligt inhämtningslagen ................................................. 22 Lagringstiden för de lagrade uppgifterna .................................................. 24 Säkerheten för de lagrade uppgifterna ....................................................... 26 Sammanfattande bedömning.......................................................................... 28 HUR MAN ÖVERKLAGAR ............................................................................. 30 3 FÖRVALTNINGSRÄTTEN I STOCKHOLM Allmänna avdelningen DOM 14891-14 BAKGRUND Europaparlamentets och rådets direktiv 2006/24/EG av den 15 mars 2006 om lagring av uppgifter som genererats eller behandlats i samband med tillhandahållande av allmänt tillgängliga elektroniska kommunikationstjänster eller allmänna kommunikationsnät och om ändring av direktiv 2002/58/EG (datalagringsdirektivet) är införlivat i svensk rätt bland annat genom bestämmelser om datalagring i lagen (2003:389) om elektronisk kommunikation, LEK, och i förordningen (2003:396) om elektronisk kommunikation, FEK. Syftet med direktivet var att harmonisera medlemsstaternas bestämmelser om lagringsskyldighet för att säkerställa att uppgifterna är tillgängliga för utredning, avslöjande och åtal av allvarliga brott (artikel 1). Genom dom den 8 april 2014 i de förenade målen C-293/12 och C-594/12, Digital Rights Ireland m.fl., förklarade EU-domstolen datalagringsdirektivet ogiltigt på grund av att unionslagstiftaren vid antagandet av direktivet överskred de gränser som proportionalitetsprincipen uppställer mot bakgrund av artiklarna 7 (respekt för privatlivet och familjelivet), 8 (skydd av personuppgifter) och 52.1 (rättigheternas och principernas räckvidd och tolkning) i Europeiska unionens stadga om de grundläggande rättigheterna (EU:s rättighetsstadga). Mot bakgrund av EU-domstolens dom tillsatte den svenska regeringen en särskild utredare för att granska de svenska reglernas förenlighet med unionsrätten. I en första rapport i juni 2014, Ds 2014:23, (utredningen) bedöms det svenska regelverket om lagring och utlämnande av uppgifter rymmas inom de ramar som ställs upp av unions- och europarättens allmänna principer och kravet på respekt för grundläggande rättigheter (s. 10). YRKANDEN M.M. Post- och telestyrelsen (PTS) förelade den 27 juni 2014 Tele2 Sverige AB (Tele2) att senast den 25 juli 2014 lagra uppgifter i enlighet med 6 kap. 16 a § LEK jämte 37-43 §§ FEK, se bilaga 1. 4 FÖRVALTNINGSRÄTTEN I STOCKHOLM Allmänna avdelningen DOM 14891-14 Tele2 överklagar föreläggandet och yrkar att förvaltningsrätten ska upphäva detsamma. PTS bestrider bifall till överklagandet. PARTERNAS UTVECKLING AV TALAN Tele2 Tele2 anför i huvudsak följande till stöd för sin talan. De svenska datalagringsbestämmelserna i 6 kap. LEK står, på samma sätt som det upphävda datalagringsdirektivet, i strid med artiklarna 7, 8 och 52.1 i den europeiska konventionen den 4 november 1950 angående skydd för de mänskliga rättigheterna och de grundläggande friheterna (Europakonventionen) och därmed också med svensk grundlag, varför PTS inte har haft rättslig möjlighet att tillämpa och genomdriva de svenska datalagringsbestämmelserna i LEK genom att förelägga Tele2 att återuppta datalagringen enligt desamma. De svenska datalagringsbestämmelserna lever inte upp till de krav på respekt för grundläggande fri- och rättigheter som EU-domstolen angett följer av Europakonventionen när det gäller system för datalagring. Slutsatserna i den utredning som PTS hänvisar till bygger på en felaktig tolkning av EU-domstolens dom när det gäller möjligheterna att ”läka” det intrång i grundläggande fri- och rättigheter, som den omfattande datalagringen i sig ostridigt utgör, genom begränsningar i tillgången till de lagrade uppgifterna. I allt väsentligt är det just den omfattande lagringen som EU-domstolen riktat särskilt allvarlig kritik mot. De svenska datalagringskraven är på samma sätt som direktivets krav så omfattande och långtgående att de rimligen inte kan vägas upp av eventuella regler som begränsar tillgången till de lagrade uppgifterna. Utredningen har inte heller i tillräcklig grad, i den samlade proportionalitetsbedömningen, beaktat de brister i det svenska tillgångssystemet som utredaren själv uppmärksammat. Även om utformningen av de svenska tillgångsreglerna är 5 FÖRVALTNINGSRÄTTEN I STOCKHOLM Allmänna avdelningen DOM 14891-14 av avgörande betydelse för bedömningen av frågan om lagringens omfattning kan anses proportionerlig, kan utformningen inte kompensera de grundläggande och allvarliga brister som föreligger i det svenska datalagringssystemet. Utredningen är inte heller en rättskälla som kan tillåtas få genomslag i synnerligen betungande myndighetsutövning som medför långtgående rättighetsinskränkningar för enskilda. Den österrikiska författningsdomstolen har i ett avgörande den 27 juni 2014 kommit till rakt motsatt slutsats jämfört med utredningen, när domstolen konstaterat att de österrikiska datalagringsbestämmelserna står i strid med Europakonventionen och därför inte får/kan tillämpas. Det svenska datalagringssystemet uppställer inte ett mer långtgående skydd för den enskildes grundläggande rättigheter enligt Europakonventionen jämfört med skyddet enligt den ogiltigförklarade österrikiska lagstiftningen. Tvärtom uppvisar den svenska lagen ett sämre skydd för den enskilde på flera punkter. Även i flera andra länder har de nationella datalagringsbestämmelserna förklarats ogiltiga. PTS PTS anför i huvudsak följande till stöd för sin inställning. Det är i målet ostridigt att Tele2 inte lagrar uppgifter i den utsträckning som följer av 6 kap. 16 a § LEK. Baserat på vad Tele2 anfört i sitt överklagande är frågan närmast om lagregeln ska tillämpas eller ej. Det faktum att EU-domstolen har funnit datalagringsdirektivet ogiltigt innebär inte automatiskt att den svenska lagstiftningen, som beslutats i behörig ordning, också blir ogiltig. EU-domstolen har inte funnit att regler om datalagring, i syfte att eventuellt göra dem tillgängliga för behöriga nationella myndigheter, i sig skulle vara i strid med unionsrätten. Det som domstolen har funnit är problemet är proportionaliteten i ingreppet utifrån utformningen av direktivet. 6 FÖRVALTNINGSRÄTTEN I STOCKHOLM Allmänna avdelningen DOM 14891-14 Även om det i och med EU-domstolens dom inte finns någon unionsrättslig skyldighet att ha regler om datalagring, får datalagring således finnas så länge kraven i Europaparlamentets och rådets direktiv 2002/58/EG av den 12 juli 2002 om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation (direktivet om integritet och elektronisk kommunikation) och övriga unionsrättsliga krav är uppfyllda. Huruvida utformningen av en nationell reglering innebär att den uppfyller dessa krav måste avgöras från fall till fall med fullt beaktande av utformningen av samtliga tillämpliga regler. Möjligheten att dra säkra analogier mellan lagstiftningen i två olika medlemsstater är därför högst begränsad. Slutsatsen i utredningen är att det svenska regelverket om lagring och utlämnande av uppgifter ryms inom de ramar som ställs upp av unions- och europarättens allmänna principer och kravet på respekt för grundläggande rättigheter. PTS har vid en sammantagen bedömning funnit att det saknas skäl för myndigheten att underlåta att tillämpa de svenska reglerna om lagring av trafikuppgifter m.m. SKÄLEN FÖR AVGÖRANDET Frågan i målet Tele2 har gjort gällande att de svenska datalagringsbestämmelserna i 6 kap. LEK, på samma sätt som det numera upphävda datalagringsdirektivet, är så långtgående och förenade med sådana brister i integritetsskyddet att de står i strid med artiklarna 7, 8 och 52.1 i Europakonventionen och därmed också i princip med regeringsformen (RF), varför PTS inte har haft rättslig möjlighet att tillämpa och genomdriva de svenska datalagringsbestämmelserna i LEK genom att förelägga Tele2 att återuppta datalagringen enligt desamma. Förvaltningsrätten konstaterar i detta sammanhang att EU-domstolen har underkänt datalagringsdirektivet mot bakgrund av EU:s rättighetsstadga. Med hänsyn till vad Tele2 har anfört i målet samt mot bakgrund av den prövning som EU-domstolen har gjort i nämnda mål, anser förvaltningsrätten att frågan huruvida föreläggandet ska upphävas inte ska 7 FÖRVALTNINGSRÄTTEN I STOCKHOLM Allmänna avdelningen DOM 14891-14 begränsas till en prövning enbart mot bakgrund av RF och Europakonventionen, utan att en vidare prövning ska ske. Förvaltningsrätten återkommer till detta nedan. Frågan i målet är om de svenska bestämmelserna om datalagring är oförenliga med tillämpliga bestämmelser om enskildas fri- och rättigheter på ett sådant sätt, att PTS inte har haft rättslig möjlighet att förelägga Tele2 att lagra uppgifter i enlighet med 6 kap. 16 a § LEK jämte 37-43 §§ FEK. Aktuella bestämmelser Datalagring Av 6 kap. 16 a § LEK framgår att den som bedriver verksamhet som är anmälningspliktig enligt 2 kap. 1 § samma lag (nedan benämnda leverantörer) är skyldig att lagra dels uppgifter om abonnemang, dels andra uppgifter som angår ett särskilt elektroniskt meddelande, som är nödvändiga för att spåra och identifiera kommunikationskällan, slutmålet för kommunikationen, datum, tidpunkt och varaktighet för kommunikationen, typ av kommunikation, kommunikationsutrustning samt lokalisering av mobil kommunikationsutrustning vid kommunikationens början och slut. Skyldigheten att lagra uppgifterna omfattar uppgifter som genereras eller behandlas vid telefonitjänst, meddelandehantering, internetåtkomst och tillhandahållande av kapacitet för att få internetåtkomst (anslutningsform). Även vid misslyckad uppringning gäller skyldigheten att lagra uppgifter som genereras eller behandlas. Av 38-43 §§ FEK framgår närmare vilka uppgifter som ska lagras för att lagringsskyldigheten i 6 kap. 16 a § LEK ska anses fullgjord. 8 FÖRVALTNINGSRÄTTEN I STOCKHOLM Allmänna avdelningen DOM 14891-14 Enskildas fri- och rättigheter Regeringsformen I 2 kap. 6 § RF stadgas att var och en är skyddad mot betydande intrång i den personliga integriteten som sker utan samtycke och som innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Genom lag får integritetsskyddet begränsas för att tillgodose ändamål som är godtagbara i ett demokratiskt samhälle. Begränsningen får inte gå utöver vad som är nödvändigt med hänsyn till det ändamål som har föranlett den och inte heller sträcka sig så långt att den utgör ett hot mot den fria åsiktsbildningen såsom en av folkstyrelsens grundvalar, se 2 kap. 20-21 §§ RF. Av 2 kap 19 § RF följer att lag eller föreskrift inte får meddelas i strid med Sveriges åtaganden på grund av Europakonventionen. Europakonventionen Sedan den 1 januari 1995 gäller Europakonventionen som svensk lag. Artikel 8 i Europakonventionen har följande lydelse. 1. Var och en har rätt till respekt för sitt privat- och familjeliv, sitt hem och sin korrespondens. 2. Offentlig myndighet får inte inskränka åtnjutande av denna rättighet annat än med stöd av lag och om det i ett demokratiskt samhälle är nödvändigt med hänsyn till statens säkerhet, den allmänna säkerheten, landets ekonomiska välstånd eller till förebyggande av oordning eller brott eller till skydd för hälsa eller moral eller för andra personers fri- och rättigheter. EU:s rättighetsstadga Artiklarna 7, 8 och 52.1 i EU:s rättighetsstadga har följande lydelser. 9 FÖRVALTNINGSRÄTTEN I STOCKHOLM Allmänna avdelningen DOM 14891-14 Artikel 7 Var och en har rätt till respekt för sitt privatliv och familjeliv, sin bostad och sina kommunikationer. Artikel 8 1. Var och en har rätt till skydd av de personuppgifter som rör honom eller henne. 2. Dessa uppgifter ska behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund. Var och en har rätt att få tillgång till insamlade uppgifter som rör honom eller henne och att få rättelse av dem. 3. En oberoende myndighet ska kontrollera att dessa regler efterlevs. Artikel 52.1 Varje begränsning i utövandet av de rättigheter och friheter som erkänns i denna stadga ska vara föreskriven i lag och förenlig med det väsentliga innehållet i dessa rättigheter och friheter. Begränsningar får, med beaktande av proportionalitetsprincipen, endast göras om de är nödvändiga och faktiskt svarar mot mål av allmänt samhällsintresse som erkänns av unionen eller behovet av skydd för andra människors rättigheter och friheter. Av artikel 52.3 i EU:s rättighetsstadga framgår att i den mån rättigheterna enligt rättighetsstadgan motsvarar sådana som garanteras av Europakonventionen ska de ha samma innebörd och räckvidd som i konventionen. Bestämmelsen hindrar inte unionsrätten från att tillförsäkra ett mer långtgående skydd. 2002 års direktiv om integritet och elektronisk kommunikation I artikel 6 i 2002 års direktiv om integritet och elektronisk kommunikation föreskrivs som huvudregel att trafikuppgifter ska utplånas eller avidentifieras när de inte längre behövs för sitt syfte att överföra en kommunikation. Vidare stadgas i artikel 9 att andra lokaliseringsuppgifter får behandlas endast sedan de har aviden- 10 FÖRVALTNINGSRÄTTEN I STOCKHOLM Allmänna avdelningen DOM 14891-14 tifierats eller om användaren eller abonnenten givit sitt samtycke. Av artikel 15.1 framgår att medlemsstaterna, genom lagstiftning, får vidta åtgärder för att begränsa omfattningen av rättigheterna och skyldigheterna i artikel 6 och 9 när en sådan begränsning i ett demokratiskt samhälle är nödvändig, lämplig och proportionell för att skydda bl.a. allmän säkerhet och för förebyggande, undersökning, avslöjande av och åtal för brott. Utgångspunkter för prövningen EU:s rättighetsstadgas tillämplighet Av artikel 51.1 i EU:s rättighetsstadga framgår att bestämmelserna i stadgan riktar sig till medlemsstaterna endast när dessa tillämpar unionsrätten. De aktuella lagringsbestämmelserna i LEK och FEK har tillkommit som en konsekvens av införlivandet av det nu ogiltigförklarade datalagringsdirektivet. Av skäl 22 i datalagringsdirektivet framgår att syftet med direktivet var att tillsammans med 2002 års direktiv om integritet och elektronisk kommunikation, vilket alltjämt gäller, säkerställa full respekt för medborgarnas grundläggande rättigheter med avseende på privatlivet och kommunikationer samt skyddet för personuppgifter. Mot bakgrund av detta får unionen anses ha ett gemensamt system för behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation. Tillämpningen av bl.a. 6 kap. 16 a § LEK utgör därför enligt förvaltningsrättens mening en tillämpning av unionsrätten i den mening som avses i artikel 51.1 i EU:s rättighetsstadga, trots att datalagringsdirektivet numera har ogiltigförklarats. Rättigheternas omfattning och inskränkningsmöjligheter De nu aktuella fri- och rättigheterna som tillförsäkras enskilda genom RF, Europakonventionen och EU:s rättighetsstadga motsvarar i huvudsak varandra, bortsett från det vidare skydd för personuppgifter som gäller enligt EU:s rättighetsstadga. Även utrymmet för att inskränka fri- och rättigheterna förutsätter likartade bedömningar och överväganden oavsett regelverk. Den kritik som EUdomstolen har riktat mot datalagringsdirektivet utifrån artikel 7, 8 och 52.1 i EU:s 11 FÖRVALTNINGSRÄTTEN I STOCKHOLM Allmänna avdelningen DOM 14891-14 rättighetsstadga är därför aktuell även vid en bedömning utifrån RF och Europakonventionen. Nedan bedöms den svenska regleringens förenlighet med aktuella fri- och rättigheter i de olika regelverken, i en sammanförd bedömning. Utgör lagringsskyldigheten och tillgångsbestämmelserna i svensk rätt en inskränkning av aktuella fri- och rättigheter? Förvaltningsrätten konstaterar inledningsvis att den lagringsskyldighet som åläggs leverantörer i svensk rätt helt innefattar den lagringsskyldighet som föreskrevs i det numera ogiltigförklarade datalagringsdirektivet. Den svenska regleringen föreskriver därutöver lagringsskyldighet för uppgifter om misslyckad uppringning och uppgifter om lokalisering av mobilsamtals slut. I likhet med datalagringsdirektivet omfattar lagringsskyldigheten inte uppgifter som avslöjar innehållet i kommunikationen. EU-domstolen har i ovan nämnda dom uttalat att lagringsskyldigheten som föreskrevs i datalagringsdirektivet i sig utgör en inskränkning av rätten till respekt för privatliv (punkt 34). Detta eftersom det är möjligt, genom den mängd uppgifter som lagras, att dra mycket precisa slutsatser om personers privatliv, såsom deras vanor i vardagslivet, stadigvarande och tillfälliga uppehållsorter, dagliga förflyttningar i övrigt, sociala relationer m.m. (punkt 27). Vidare har EU-domstolen uttalat att lagringen utgör ett intrång även i rätten till skydd för personuppgifter (punkt 36). Behöriga nationella myndigheters tillgång till uppgifterna har dessutom bedömts utgöra ytterligare intrång i rättigheterna (punkt 35-36). Inskränkningarna har ansetts vara långtgående och att det måste anses som synnerligen allvarligt (punkt 37). Då den lagring som föreskrivs i svensk rätt är mer omfattande än den som ålades leverantörer i datalagringsdirektivet, finner förvaltningsrätten att aktuella bestämmelser om lagring i LEK och FEK innebär en inskränkning i rätten till respekt för privatlivet och skyddet för personuppgifter. Att innehållet i kommunikationerna är fredat från lagringsskyldigheten föranleder ingen annan bedömning. Förvaltningsrätten finner dessutom, liksom EU-domstolen, att tillgången till uppgifterna utgör ytterligare intrång i rättigheterna och att det mot bakgrund av den 12 FÖRVALTNINGSRÄTTEN I STOCKHOLM Allmänna avdelningen DOM 14891-14 mängd uppgifter som omfattas av lagringen är fråga om betydande inskränkningar i rättigheterna. Är inskränkningarna i aktuella fri- och rättigheter godtagbara? Förutsättningar för godtagbara inskränkningar Inskränkningar i rättigheterna får ske genom lag. Enligt samtliga regelverk gäller att en inskränkning ska vara motiverad för att tillgodose ett visst ändamål. Enligt RF ska ändamålet vara godtagbart i ett demokratiskt samhälle. Enligt Europakonventionen ska ändamålet avse bl.a. den allmänna säkerheten, förebyggande av oordning eller brott eller andra personers fri- och rättigheter. Enligt EU:s rättighetsstadga ska inskränkningen vara motiverad av ett mål av allmänt samhällsintresse som erkänns av unionen eller behovet av skydd för andra människors rättigheter och friheter. För samtliga regelverk krävs, utöver detta, att inskränkningen ska vara väl avvägd. I RF uttrycks denna avvägning på så sätt att begränsningen inte får gå utöver vad som är nödvändigt med hänsyn till det ändamål som har föranlett den. I Europakonventionen stadgas att inskränkningen ska vara nödvändig i ett demokratiskt samhälle för att uppnå de bestämda ändamålen. I EU:s rättighetsstadga föreskrivs att inskränkningen ska vara förenlig med det väsentliga innehållet i fri- och rättigheterna. Vidare får begränsningar, med beaktande av proportionalitetsprincipen, endast göras om de är nödvändiga. Samtliga formuleringar ger alltså uttryck för den s.k. proportionalitetsprincipen. Utöver nämnda regelverk ska artikel 15.1 i 2002 års direktiv om integritet och elektronisk kommunikation beaktas. Skälet till detta är att den datalagringsskyldighet som åläggs leverantörer enligt svensk rätt utgör en avvikelse från skyldigheten i nämnda direktiv. Nedan kommer förvaltningsrätten först att pröva huruvida inskränkningarna i svensk rätt kränker det väsentliga innehållet i rättigheterna. Därefter prövar domstolen huruvida inskränkningarna är motiverade för att tillgodose ett godtagbart 13 FÖRVALTNINGSRÄTTEN I STOCKHOLM Allmänna avdelningen DOM 14891-14 ändamål. Slutligen kommer domstolen att pröva om inskränkningarna uppfyller det krav på proportionalitet som kan ställas på dem utifrån aktuella regelverk. Kränker inskränkningarna det väsentliga innehållet i rättigheterna? EU-domstolen har funnit att datalagringsdirektivet inte kränker det väsentliga innehållet i rätten till respekt för privatlivet och skydd för personuppgifter. Bedömningen baseras på den omständigheten att innehållet i kommunikationerna är fredat från lagring samt att medlemsstaterna ska säkerställa att det finns lämpliga tekniska och organisatoriska åtgärder för att skydda uppgifterna (punkt 39-40). Den lagringsskyldighet som följer av svensk rätt innebär, liksom datalagringsdirektivet, att innehållet i kommunikationerna är fredat från lagring. Vidare innehåller 6 kap. 3 a § LEK, liksom datalagringsdirektivet, regler om lämpliga tekniska och organisatoriska åtgärder för att skydda uppgifterna. Då den svenska regleringen i dessa delar motsvarar de regler som föreskrevs i datalagringsdirektivet, anser förvaltningsrätten att den svenska regleringen inte heller kan anses kränka det väsentliga innehållet i rättigheterna. Är inskränkningarna motiverade av ett godtagbart ändamål? EU-domstolen har funnit att de intrång i rättigheterna som datalagringsdirektivet innebär svarar mot ett erkänt allmänt samhällsintresse eftersom datalagringsdirektivets materiella syfte är att säkerställa tillgänglighet av uppgifter för utredning, avslöjande och åtal av allvarliga brott. Syftet är således att bidra till bekämpandet av grov brottslighet och i sista hand att bidra till den allmänna säkerheten (punkt 41). Bestämmelserna om datalagring infördes i LEK och FEK i syfte att införliva datalagringsdirektivet i svensk rätt. Vid införlivandet av direktivet framhölls i förarbetena att de brottsbekämpande myndigheterna har ett stort behov av att få tillgång till trafikuppgifter i sin verksamhet och att tillgången, utan regler om lagringsskyldighet, är beroende av vilka uppgifter leverantörerna lagrar för andra syften. Samtidigt konstaterades att en lagringsskyldighet medför ett intrång i enskildas 14 FÖRVALTNINGSRÄTTEN I STOCKHOLM Allmänna avdelningen DOM 14891-14 personliga integritet (prop. 2010/11:46 s. 18). Såväl brottsbekämpningens behov av effektiva verktyg som behovet av att skydda enskildas integritet skulle därför beaktas vid genomförandet av direktivet (prop. 2010/11:46 s. 20). Förvaltningsrätten finner mot bakgrund av återgivna förarbetsuttalanden att de svenska bestämmelserna om datalagring är motiverade av ett sådant ändamål som är godtagbart enligt RF, Europakonventionen, EU:s rättighetsstadga samt 2002 års direktiv om integritet och elektronisk kommunikation. Är inskränkningarna proportionerliga? Vad gäller den slutliga frågan om inskränkningarna är proportionerliga har EUdomstolen konstaterat att proportionalitetsprincipen medför ett krav på att åtgärderna ska vara ägnade att uppnå de legitima mål som eftersträvas med bestämmelserna och att de inte går utöver vad som är lämpligt och nödvändigt (punkt 46). Vidare har EU-domstolen uttalat att utrymmet för skönsmässiga bedömningar kan vara begränsat på grund av ett antal omständigheter, såsom bland annat det område som berörs, beskaffenheten av den rättighet som garanteras genom stadgan, ingreppets beskaffenhet och allvar samt ingreppets syfte (punkt 47). Motsvarande resonemang återfinns i praxis från Europadomstolen (jfr Europadomstolens dom av den 4 december 2008, S och Marper mot Förenade kungariket, mål nr 30562/04 och 30566/04, punkt 102). Med hänsyn till den stora betydelsen som skyddet för personuppgifter har för den grundläggande rätten till respekt för privatliv samt med hänsyn till det långtgående och allvarliga ingrepp i denna rätt som datalagringsdirektivet innebär, har EU-domstolen ansett att en strikt kontroll ska göras (punkt 48). EU-domstolen har funnit att den lagringsskyldighet som följer av direktivet innebär att nationella brottsbekämpande myndigheter kan få tillgång till ytterligare möjligheter att klara upp grova brott och att lagringen i detta hänseende utgör ett värdefullt verktyg i brottsutredningar. Detta med hänsyn till den växande betydelsen av elektroniska kommunikationsmedel. Lagringen av sådana uppgifter har därför ansetts vara ägnad att uppnå det ändamål som eftersträvas med direktivet (punkt 49). 15 FÖRVALTNINGSRÄTTEN I STOCKHOLM Allmänna avdelningen DOM 14891-14 De svenska bestämmelserna om datalagring får enligt förvaltningsrätten, på motsvarande sätt, anses ägnade att uppnå det mål som eftersträvas med lagringsskyldigheten. Angående lagringens nödvändighet har EU-domstolen framhållit följande. Bekämpandet av grov brottslighet och särskilt av organiserad brottslighet och terrorism är visserligen av största betydelse för att garantera allmän säkerhet, och dess effektivitet kan i stor utsträckning bero på användningen av moderna utredningstekniker. Ett sådant mål av allmänt intresse kan emellertid inte i sig ensamt motivera att en sådan lagringsåtgärd som föreskrivs i datalagringsdirektivet ska anses vara nödvändig för nämnda bekämpande (punkt 51). Enligt praxis kräver skyddet av den grundläggande rätten till respekt för privatlivet under alla omständigheter att undantag från och begränsningar av skyddet för personuppgifter, ska inskränkas till vad som är strängt nödvändigt (punkt 52). Bestämmelserna avseende den aktuella åtgärden måste vara tydliga och precisa och reglera räckvidden och tillämpligheten av åtgärden samt slå fast minimikrav, så att de personer vilkas uppgifter har lagrats har tillräckliga garantier som möjliggör ett effektivt skydd av deras personuppgifter mot riskerna för missbruk och otillåten tillgång eller användning (punkt 54). Motsvarande krav gäller även för inskränkningar enligt Europakonventionen (jfr Europadomstolens dom av den 1 juli 2008, Liberty m.fl. mot Förenade kungariket, mål nr 58243/00 punkt 59-63). EU-domstolen har konstaterat att datalagringsdirektivet inte föreskriver sådana tydliga och precisa regler som reglerar räckvidden av inskränkningarna i aktuella rättigheter och att inskränkningarna inte är noggrant avgränsade genom bestämmelser, som gör det möjligt att säkerställa att inskränkningarna är begränsade till vad som är strängt nödvändigt (punkt 65). Vidare har EU-domstolen funnit att datalagringsdirektivet inte föreskriver tillräckliga garantier vilka gör det möjligt att säkerställa ett effektivt skydd av de lagrade uppgifterna (punkt 66). EUdomstolen har funnit att unionslagstiftaren överskred de gränser som proportionalitetsprincipen uppställer mot bakgrund av de aktuella rättigheterna (punkt 69). Kritiken av direktivet, som EU-domstolen lyfter fram, avser huvudsakligen följande fyra punkter. 16 FÖRVALTNINGSRÄTTEN I STOCKHOLM Allmänna avdelningen DOM 14891-14 • Omfattningen av lagringen • Tillgången till de lagrade uppgifterna • Lagringstiden för de lagrade uppgifterna • Säkerheten för de lagrade uppgifterna Vid den fortsatta prövningen av frågan om de svenska bestämmelserna är proportionerliga, kommer bedömningen att ske utifrån dessa fyra områden. Omfattningen av lagringen EU-domstolen har kritiserat att den datalagring som föreskrevs i direktivet generellt omfattar alla personer, alla elektroniska kommunikationsmedel och samtliga trafikuppgifter utan att någon åtskillnad, någon begränsning eller något undantag görs i lagringsskyldigheten utifrån syftet att bekämpa allvarliga brott (punkt 57). EU-domstolen har konstaterat att lagringen omfattar personer för vilka det inte föreligger något indicium, som ger anledning att tro att de har något samband med allvarliga brott, att lagringen omfattar personer med tystnadsplikt, att lagringen inte är begränsad till en viss tidsperiod och/eller geografiskt område och/eller krets av personer (punkt 58-59). Som ovan konstaterats är de svenska bestämmelserna om datalagringsskyldighet utformade på samma sätt som datalagringsdirektivets bestämmelser med den skillnaden att svensk rätt föreskriver en mer omfattande lagring på två punkter. Den kritik som EU-domstolen har riktat mot datalagringsdirektivet i denna del kan alltså enligt förvaltningsrättens mening göras gällande även mot den svenska lagstiftningen. Vid bedömningen av om datalagringsskyldigheten enligt svensk rätt går utöver vad som kan anses nödvändigt och proportionerligt, ska hänsyn tas till om datalagringen hade kunnat begränsas utan att syftet med bestämmelserna gått förlorade. Mot bakgrund av det inte är möjligt att på förhand veta vilka personer som kan bli inblandade i allvarliga brott eller på vilka platser brott kan komma att begås, anser förvaltningsrätten att en sådan begränsning av lagringsskyldigheten 17 FÖRVALTNINGSRÄTTEN I STOCKHOLM Allmänna avdelningen DOM 14891-14 skulle äventyra syftet med lagringen. Detsamma gäller en eventuell avgränsning till vissa kommunikationsslag, eftersom det inte heller är möjligt att i förväg känna till vilken utrustning som kommer att användas. Lagringsskyldighetens omfattning kan därför inte i sig anses ha gått utöver vad som är nödvändigt för att uppnå syftet med lagringsbestämmelserna. För att kunna ta ställning till om regleringen uppfyller de krav på proportionalitet som uppställs, måste – enligt förvaltningsrättens mening – en sammantagen bedömning göras. Lagringens omfattning ska ses mot bakgrund av hur bestämmelserna avseende tillgången till uppgifterna är utformade, hur länge uppgifterna ska lagras samt säkerheten kring de lagrade uppgifterna. Det är således inte möjligt, såsom Tele2 gör gällande, att upphäva föreläggandet på den grunden att lagringen i sig strider mot de grundläggande frioch rättigheterna. Tillgången till de lagrade uppgifterna Vad gäller regleringen av tillgången till uppgifterna har EU-domstolen riktat följande kritik mot datalagringsdirektivet. Det föreskrivs inget objektivt kriterium för att avgränsa behöriga nationella myndigheters tillgång till uppgifterna och deras senare användning av uppgifterna för utredning, avslöjande och åtal av brott, vilka kan anses tillräckligt allvarliga för att motivera ett sådant intrång. I direktivet görs endast en allmänt hållen hänvisning till allvarliga brott såsom de definieras i varje medlemsstats nationella lagstiftning (punkt 60). Det framgår inte några materiella och formella villkor för behöriga nationella myndigheters tillgång till uppgifterna och deras senare användning. I direktivet föreskrivs istället att varje medlemsstat ska fastställa de förfaranden som ska följas och de villkor som ska vara uppfyllda, för att erhålla tillgång till lagrade uppgifter i enlighet med nödvändighets- och proportionalitetskraven (punkt 61). Det föreskrivs inte något objektivt kriterium som gör det möjligt att begränsa antalet personer som är behöriga att få tillgång till uppgifterna till det som är strängt nödvändigt. Tillgången är inte underkastad någon förhandskontroll utförd av en domstol eller en oberoende myndighet, vars beslut avser att begränsa tillgången till och användningen av uppgifterna till vad som är strängt nödvändigt (punkt 62). 18 FÖRVALTNINGSRÄTTEN I STOCKHOLM Allmänna avdelningen DOM 14891-14 Myndigheternas möjligheter att få tillgång till de uppgifter som en leverantör är skyldig att lagra enligt 6 kap 16 a § LEK regleras i följande lagar. A) LEK B) Rättegångsbalken (RB) C) Lag (2012:278) om inhämtning av uppgifter om elektronisk kommunikation i de brottsbekämpande myndigheternas underrättelseverksamhet (inhämtningslagen). A) Tillgången enligt LEK Av 6 kap. 22 § första stycket 2 LEK framgår att en leverantör på begäran ska lämna ut abonnemangsuppgifter till åklagarmyndighet, polismyndighet eller någon annan myndighet som ska ingripa mot brott, om uppgifterna gäller misstanke om brott. Med abonnemangsuppgifter avses främst uppgifter om namn, titel, adress och abonnentnummer (prop. 2011/12:55 s. 100). Det är sådana uppgifter som enligt förvaltningsrättens mening vanligtvis redan finns tillgängliga i leverantörers kundoch faktureringssystem. Vad gäller känsligheten av dessa uppgifter är det förvaltningsrättens mening att abonnemangsuppgifter, sedda för sig, normalt inte kan användas till att kartlägga en persons privatliv. Vad gäller exempelvis internetabonnemang kan en uppgift om vem som haft en viss IP-adress vid ett viss tillfälle vara obetydlig för frågan om vem som hade samma adress vid ett annat tillfälle. Detta eftersom privatpersoner oftast använder dynamiska IP-adresser, dvs. IPadresser som byts slumpvis och oregelbundet. En användare har alltså i regel olika IP-adresser vid olika tillfällen (prop. 2008/09:67 s. 141). Uppgifter som går utöver vad som kan anses som identitetsuppgifter, t.ex. vilka hemsidor som ett visst IPnummer har besökt, omfattas heller inte av bestämmelsen (prop. 2011/12:55 s. 102). Utlämnande av uppgifterna förutsätter att uppgifterna gäller misstanke om brott. Syftet med att tillåta inhämtning av uppgifterna vid misstanke om brott, och alltså inte vid misstanke om allvarliga brott, var att möjliggöra utredning av internetrelaterade brott vilka har blivit ett allt större problem. I förarbetena uttalas att det har 19 FÖRVALTNINGSRÄTTEN I STOCKHOLM Allmänna avdelningen DOM 14891-14 skett en betydande teknisk utveckling och förändring av i vilken omfattning enskilda använder bl.a. datorer och mobiltelefoner. Som exempel anges att s.k. nätmobbning, andra trakasserier via internet och vuxnas kontakter med barn i sexuella syften, s.k. grooming, blivit ett allt större problem och att de brottsbekämpande myndigheternas behov av tillgång till abonnemangsuppgifter har förändrats påtagligt (prop. 2011/12:55 s. 102). Utlämnande av abonnemangsuppgifter enligt LEK förutsätter inte någon förhandskontroll. En kontroll sker istället i efterhand genom att Datainspektionen och Säkerhets- och integritetsskyddsnämnden (SIN) utövar tillsyn över att myndigheterna följer de föreskrifter som gäller för behandlingen av personuppgifter. Utöver detta utövas tillsyn över statliga förvaltningsmyndigheter av Riksdagens ombudsmän (JO) och Justitiekanslern (JK). Tillsynen över leverantörernas efterlevnad av LEK utövas av PTS. De svenska tillgångsbestämmelserna i LEK kan till viss del kritiseras mot bakgrund av EU-domstolens uttalanden. Inhämtningen förutsätter inte att uppgifterna gäller misstanke om allvarligt brott, flera myndigheter kan få tillgång till uppgifterna utan att det sker någon förhandskontroll och kretsen av myndighetspersoner som kan få tillgång till uppgifterna är inte begränsad. Enligt förvaltningsrätten ska emellertid den kritik som EU-domstolen har framfört i detta sammanhang ses mot bakgrund av den mängd uppgifter som enligt direktivet skulle lagras och därmed kunde lämnas ut under otydliga och oprecisa former. De uppgifter som kan lämnas ut enligt LEK är, som ovan konstaterats, endast abonnemangsuppgifter. Dessa uppgifter är enligt förvaltningsrättens mening i sig inte lika integritetskänsliga som alla de uppgifter som skulle lagras enligt datalagringsdirektivet. Ju mindre integritetskänsliga uppgifterna är, desto större torde möjligheterna vara att tillhandahålla de brottsbekämpande myndigheterna med effektiva medel för brottbekämpningen. Behovet av dels en begränsning av tillgången till enbart allvarligare brottslighet, dels en begränsning av kretsen av myndighetspersoner som kan få tillgång till uppgifterna, samt behovet av en förhandskontroll, kan då av samma anledning inte heller anses lika starkt. Tillgången till de aktuella uppgifterna är av stor betydelse för utredning av internetrelaterade brott. 20 FÖRVALTNINGSRÄTTEN I STOCKHOLM Allmänna avdelningen DOM 14891-14 Förvaltningsrätten finner mot bakgrund av ovanstående att inhämtningen enligt LEK uppfyller de krav som kan ställas på lagstiftningen utifrån proportionalitetsprincipen. B) Tillgången enligt RB I RB regleras frågan när myndigheter får inhämta uppgifter om elektronisk kommunikation i förundersökningar. Av 27 kap. 19 § RB framgår att hemlig övervakning av elektronisk kommunikation som huvudregel får användas vid förundersökning som avser 1) brott för vilket inte är föreskrivet lindrigare straff än fängelse i sex månader, 2) brott enligt 4 kap. 9 c § brottsbalken, brott enligt 16 kap. 10 a § brottsbalken som inte är att anse som ringa, brott enligt 1 § narkotikastrafflagen (1968:64), brott enligt 6 § första stycket lagen (2000:1225) om straff för smuggling, eller 3) försök, förberedelse eller stämpling till brott som avses i 1 eller 2, om sådan gärning är belagd med straff. Av samma bestämmelse framgår att med hemlig övervakning av elektronisk kommunikation avses att uppgifter i hemlighet hämtas in om 1) meddelanden som i ett elektroniskt kommunikationsnät överförs eller har överförts till eller från ett telefonnummer eller annan adress, 2) vilka elektroniska kommunikationsutrustningar som har funnits inom ett visst geografiskt område, eller 3) i vilket geografiskt område en viss elektronisk kommunikationsutrustning finns eller har funnits. Uppgifter om innehållet i telemeddelanden kan inte hämtas in med stöd av 27 kap. 19 § RB. Av 27 kap. 20 § RB framgår att hemlig övervakning av elektronisk kommunikation som huvudregel får ske endast om någon är skäligen misstänkt för brottet och åtgärden är av synnerlig vikt för utredningen. Åtgärden får endast avse 1) ett telefonnummer eller annan adress eller en viss elektronisk kommunikationsutrustning som under den tid som tillståndet avser innehas eller har innehafts av 21 FÖRVALTNINGSRÄTTEN I STOCKHOLM Allmänna avdelningen DOM 14891-14 den misstänkte eller annars kan antas ha använts eller komma att användas av den misstänkte, eller 2) ett telefonnummer eller annan adress eller en viss elektronisk kommunikationsutrustning som det finns synnerlig anledning att anta att den misstänkte under den tid som tillståndet avser har kontaktat eller kommer att kontakta. Hemlig övervakning av elektronisk kommunikation får, utöver detta, ske i syfte att utreda vem som skäligen kan misstänkas för brottet, om åtgärden är av synnerlig vikt för utredningen. Övervakning som innebär att uppgifter hämtas in om meddelanden får dock endast avse förfluten tid. En sådan hemlig övervakning får enligt 27 kap. 19 § fjärde stycket RB ske endast vid förundersökning som avser brott som kan föranleda hemlig avlyssning av elektronisk kommunikation enligt 18 § andra stycket, dvs. när förundersökningen avser 1) brott för vilket inte är föreskrivet lindrigare straff än fängelse i två år, 2) försök, förberedelse eller stämpling till sådant brott, om sådan gärning är belagd med straff eller 3) annat brott om det med hänsyn till omständigheterna kan antas att brottets straffvärde överstiger fängelse i två år. Enligt 27 kap. 21 § RB ska frågor om hemlig övervakning av elektronisk kommunikation som huvudregel prövas av rätten på ansökan av åklagaren. Om det kan befaras att inhämtande av rättens tillstånd till hemlig övervakning av elektronisk kommunikation skulle medföra sådan fördröjning eller annan olägenhet, som är av väsentlig betydelse för utredningen, får tillstånd till åtgärden ges av åklagaren i avvaktan på rättens beslut. I sådana fall ska en skriftlig anmälan om åtgärden genast göras till rätten. Rätten ska därefter skyndsamt pröva om det finns skäl för åtgärden, se 27 kap. 21 a § RB. Uppgifterna som kan inhämtas enligt RB är, i likhet med de uppgifter som skulle lagras enligt datalagringsdirektivet, integritetskänsliga eftersom det är möjligt att utifrån uppgifterna dra slutsatser kring en persons vanor och privatliv. Enligt förvaltningsrätten är det därför av särskild vikt att tillgång till uppgifterna inte går utöver vad som är strängt nödvändigt. 22 FÖRVALTNINGSRÄTTEN I STOCKHOLM Allmänna avdelningen DOM 14891-14 Tillgången till uppgifterna med stöd av RB förutsätter att det rör sig om brott med ett visst straffminimum eller vissa angivna brott, som t.ex. barnpornografibrott som inte är ringa (16 kap 10 § brottsbalken) och narkotikabrott av normalgraden (1 § narkotikastrafflagen). Enligt förvaltningsrätten utgör dessa brott sådana allvarliga brott vilka kan motivera ett intrång i rättigheterna. Som huvudregel får hemlig övervakning av elektronisk kommunikation ske endast om någon är skäligen misstänkt för brottet och åtgärden är av synnerlig vikt för utredningen. För att frångå detta krav krävs att förundersökningen avser ännu grövre brott än de nyss angivna. Vidare sker, i frågor om hemlig övervakning av elektronisk kommunikation, en förhandskontroll genom att sådana frågor prövas av rätten. Endast om ett sådant tillstånd från rätten skulle medföra sådan fördröjning eller annan olägenhet som är av väsentlig betydelse för utredningen, kan detta krav frångås. Enligt förvaltningsrättens mening är tillgångsbestämmelserna i RB tydliga och precisa samt begränsade till vad som är strängt nödvändigt. De aktuella bestämmelserna uppfyller således de krav som kan ställas på lagstiftningen utifrån RF, Europakonventionen, EU:s rättighetsstadga samt 2002 års direktiv om integritet och elektronisk kommunikation. C) Tillgången enligt inhämtningslagen Enligt 1§ inhämtningslagen får en polismyndighet eller Tullverket, i underrättelseverksamhet, inhämta uppgifter om 1) meddelanden som i ett elektroniskt kommunikationsnät har överförts till eller från ett telefonnummer eller annan adress, 2) vilka elektroniska kommunikationsutrustningar som har funnits inom ett visst geografiskt område eller 3) i vilket geografiskt område en viss elektronisk kommunikationsutrustning finns eller har funnits. Uppgifterna får enligt 2 och 3 §§ inhämtningslagen hämtas in om omständigheterna är sådana att åtgärden är av särskild vikt för att förebygga, förhindra eller upptäcka brottslig verksamhet som innefattar brott för vilket inte är föreskrivet lindrigare straff än fängelse i två år, eller sådana brott som omfattas av uppräkningen i 3 §. Skälen för åtgärden ska då uppväga det intrång eller men i övrigt 23 FÖRVALTNINGSRÄTTEN I STOCKHOLM Allmänna avdelningen DOM 14891-14 som åtgärden innebär för den som åtgärden riktar sig mot eller för något annat intresse. De brott som anges i 3 § har ansetts utgöra särskilt samhällsfarliga brott och brott som är särskilt allvarliga för rikets säkerhet (prop. 2011/12:55 s. 86). Det gäller bl.a. fråga om sabotage, kapning och spioneri. Med rekvisitet ”av särskild vikt” avses att man på goda grunder kan bedöma att åtgärden skulle ha stor betydelse för att uppnå det syfte i vilket åtgärden genomförs. Det är inte tillräckligt att uppgifterna endast kan förväntas bidra till detta (prop. 2011/12:55 s. 85). Beslut om att inhämta uppgifter fattas av myndighetschefen eller annan anställd som myndighetschefen delegerar beslutsrätten till. Delegationen förutsätter att den anställde har den särskilda kompetens, utbildning och erfarenhet som behövs, se 4 § inhämtningslagen. I besluten ska anges vilken brottslig verksamhet och vilken tid beslutet avser, samt vilket telefonnummer, annan adress, vilken elektronisk kommunikationsutrustning eller vilket geografiskt område beslutet avser. Tiden för beslutet får inte överstiga en månad, se 5 § samma lag. Inhämtning förutsätter inte någon förhandskontroll. Varje beslut ska emellertid underrättas till SIN, vilken ska utöva tillsyn över polismyndigheternas och Tullverkets användning av lagen, se 1 § lag (2007:980) om tillsyn över viss brottsbekämpande verksamhet. SIN får vidare uttala sig om konstaterade förhållanden och sin uppfattning om behov av förändringar i verksamheten och ska verka för att brister i lag eller annan författning avhjälps, se 2 § samma lag. På begäran av enskild ska SIN kontrollera om han eller hon har varit föremål för inhämtning enligt lagen, se 3 § samma lag. För det fall uppgifter som har kommit fram vid inhämtning enligt inhämtningslagen ska användas i en förundersökning krävs tillstånd, se 8 § inhämtningslagen. Förvaltningsrätten gör i denna del följande bedömning. Uppgifterna som kan inhämtas enligt inhämtningslagen är i likhet med de uppgifter som skulle lagras enligt datalagringsdirektivet, integritetskänsliga eftersom det är möjligt att utifrån uppgifterna dra slutsatser kring en persons vanor och privatliv. Det är därför av vikt att säkerställa att tillgången till uppgifterna inte går utöver vad som är strängt nödvändigt. Tillgången till lagrade uppgifter med stöd av inhämtningslagen förutsätter att inhämtningen är av särskild vikt för att förebygga, förhindra eller upp- 24 FÖRVALTNINGSRÄTTEN I STOCKHOLM Allmänna avdelningen DOM 14891-14 täcka viss brottslig verksamhet. Den brottslighet som anges utgör mycket allvarliga brott. Behovet av att möjliggöra utredning kring sådana brott utgör enligt förvaltningsrättens mening godtagbara skäl för att inskränka integritetsskyddet mer än om fråga hade varit om mindre allvarliga brott. Den kritik som, utifrån EUdomstolens resonemang, kan riktas mot inhämtningslagen rör främst avsaknaden av en begränsning i antalet personer som är behöriga att få tillgång till uppgifterna samt avsaknaden av en förhandskontroll. I denna del konstaterar förvaltningsrätten att antalet personer som är behöriga att få tillgång till uppgifterna är begränsat på så sätt att beslutfattaren ska vara en myndighetschef eller någon som fått en delegation av denne. Delegationsmöjligheten är i detta sammanhang begränsad på sätt som angetts ovan. Vad gäller avsaknaden av en förhandskontroll konstaterar förvaltningsrätten att en förhandskontroll i och för sig skulle medföra att risken för obefogad inhämtning minskar. Samtidigt konstaterar förvaltningsrätten att det ligger i sakens natur att underrättelseverksamhet kräver snabb tillgång till aktuella uppgifter. En förhandskontroll kan riskera att fördröja tillgången till nödvändiga uppgifter så att dessa inte längre är aktuella när tillgången medges. De praktiska svårigheter som en förhandskontroll medför är därför inte förenlig med underrättelseverksamhetens arbetssätt. Till detta kommer att den typ av brottslighet det rör sig om med god marginal är att betrakta som sådan allvarlig brottlighet som anges i direktivet. Denna marginal utgör därför ett skydd, så att myndigheterna endast inhämtar uppgifter avseende brott som är att betrakta som allvarliga. En ytterligare försäkran i denna del utgör SIN:s tillsyn över myndigheterna. Mot bakgrund av ovanstående finner förvaltningsrätten att tillgångsbestämmelserna i inhämtningslagen är tydliga och precisa och får anses vara begränsade till vad som är strängt nödvändigt. De aktuella bestämmelserna i inhämtningslagen uppfyller således de krav som kan ställas på lagstiftningen utifrån RF, Europakonventionen, EU:s rättighetsstadga samt 2002 års direktiv om integritet och elektronisk kommunikation. Lagringstiden för de lagrade uppgifterna Enligt datalagringsdirektivet skulle medlemsstaterna säkerställa att uppgifterna lagrades i minst sex månader och högst två år från det datum kommunikationen 25 FÖRVALTNINGSRÄTTEN I STOCKHOLM Allmänna avdelningen DOM 14891-14 ägde rum. EU-domstolen har kritiserat att det inte har gjorts någon åtskillnad mellan kategorierna av uppgifter utifrån deras nytta för det mål som eftersträvas och utifrån de personer som berörs (punkt 63). Det har enligt EU-domstolen inte heller fastställts några objektiva kriterier utifrån vilka lagringstidens längd ska bestämmas (punkt 64). Av 6 kap. 16 d § LEK framgår att uppgifter som avses i 6 kap. 16 a § LEK ska lagras i sex månader räknat från den dag kommunikationen avslutades. Därefter ska uppgifterna genast utplånas, om annat inte följer av andra stycket. Enligt andra stycket samma paragraf ska uppgifter som har begärts utlämnade innan utgången av lagringstiden, men ännu inte har hunnit lämnas ut, utplånas genast när så har skett. I samband med införlivandet av datalagringsdirektivet i svensk rätt konstaterade lagstiftaren bl.a. följande. Det är inte möjligt att generellt påstå att vissa uppgifter som lagras är mer eller mindre viktiga än andra för utredningen av brott. Sett ur ett brottsbekämpningsperspektiv skulle en lagringstid om två år väl kunna motiveras. Det finns emellertid andra aspekter som talar emot att välja en så lång lagringstid. Lagringen i sig utgör ett intrång i enskildas integritet och upplevelsen av intrånget har samband med mängden uppgifter som lagras och lagringstidens längd. Det måste också beaktas att risken för konkreta integritetsskador torde öka ju längre tid uppgifterna lagras. Även tekniska faktorer har betydelse. Lagringsvolymen ökar självfallet ju längre lagringstiden blir och det medför ökade krav på säkerhet (prop. 2010/11:46 s. 37 ff.). Förvaltningsrätten konstaterar till att börja med att EU-domstolen inte har anmärkt på en lagringstid om sex månader i sig. Vad som har föranlett EU-domstolens kritik är istället att det inte har uppställs kriterier för när en kortare respektive längre lagring kan godtas. Genom bestämmelsen i 6 kap. 16 d § LEK gäller i svensk rätt samma korta lagringstid för alla typer av lagrade uppgifter. Genom att lagringstiden har gjorts beroende av kommunikationens avslutande, samt genom undantaget i bestämmelsens andra stycke, kan lagringstiden i vissa fall komma att bli något längre än sex månader. Detta har dock ingen avgörande betydelse för förvaltningsrättens bedömning. En kortare lagringstid än sex månader kan inte 26 FÖRVALTNINGSRÄTTEN I STOCKHOLM Allmänna avdelningen DOM 14891-14 anses meningsfull. För att kunna utreda brott måste myndigheterna ha en reell möjlighet att hinna inhämta relevanta uppgifter. Förvaltningsrätten finner därför att bestämmelserna om lagringstiden i LEK är proportionerliga och uppfyller de krav som kan ställas på dem utifrån de aktuella regelverken. Säkerheten för de lagrade uppgifterna Angående säkerheten för uppgifterna har EU-domstolen påpekat följande. Direktivet föreskriver inte tillräckliga garantier, vilka gör det möjligt att säkerställa ett effektivt skydd mot riskerna för missbruk och otillåten tillgång till eller användning av uppgifterna. Direktivets regler är inte anpassade till den stora kvantitet uppgifter som ska lagras, till att det är fråga om känsliga uppgifter och till risken för otillåten tillgång till uppgifterna. Direktivet garanterar inte en särskild hög skydds- eller säkerhetsnivå genom leverantörernas tekniska och organisatoriska åtgärder. Leverantörerna tillåts ta hänsyn till ekonomiska överväganden vid bestämmandet av säkerhetsnivån. Direktivet garanterar inte att uppgifterna oåterkalleligen förstörs efter lagringstidens slut. Då lagringen inte måste ske inom unionen kan inte heller den i artikel 8.3 i rättighetsstadgan föreskrivna oberoende myndighetskontrollen garanteras fullt ut. Vid införlivandet av datalagringsdirektivet ansåg lagstiftaren att de regler om driftsäkerhet och integritetsskydd som redan var gällande inte var tillräckliga (prop. 2010/11:46 s. 54). I LEK infördes därför en bestämmelse, 6 kap. 3 a §, av vilken framgår att lagringsskyldiga leverantörer ska vidta de särskilda tekniska och organisatoriska åtgärder som behövs för att skydda de lagrade uppgifterna vid behandling. Av förarbetena framgår att denna bestämmelse inte lämnar något utrymme att bestämma säkerhetsnivån genom en avvägning mellan teknik, kostnader och risken för integritetsintrång (prop. 2010/11:46 s. 75). Ytterligare föreskrifter om säkerheten kring uppgifterna finns i 37 § FEK och i PTS:s föreskrifter (PTSFS 2012:4). Av dessa föreskifter framgår bl.a. att leverantörer ska vidta åtgärder för att skydda uppgifterna mot oavsiktlig eller otillåten förstöring, mot otillåten lagring, behandling av eller tillgång till och otillåtet avslöjande av upp- 27 FÖRVALTNINGSRÄTTEN I STOCKHOLM Allmänna avdelningen DOM 14891-14 gifterna. Leverantören ska även bedriva ett kontinuerligt och systematiskt säkerhetsarbete med beaktande av de särskilda risker som lagringsskyldigheten medför. Den svenska regleringen kring säkerheten för uppgifterna är enligt förvaltningsrättens mening mer omfattande och preciserade än motsvarande regler i datalagringsdirektivet och de medför dessutom ett högre krav på skyddsnivån. Till detta kommer, som ovan påpekats, att den korta lagringstiden om sex månader i sig medför mindre risker för konkreta integritetsskador. Den kritik som riktats mot datalagringsdirektivet i detta hänseende kan därför inte göras gällande mot den svenska regleringen. Förvaltningsrätten finner mot bakgrund av ovanstående att den svenska regleringen kring säkerheten för uppgifterna i nu berörda hänseenden uppfyller det krav som kan ställas på den utifrån de aktuella regelverken. Vad gäller frågan om uppgifternas utplåning konstaterar förvaltningsrätten att det i 6 kap. 16 d § LEK framgår att uppgifterna ska utplånas efter utgången av lagringstiden, alternativt efter att uppgifter har lämnats ut, om uppgifterna begärts utlämnade före utgången av lagringstiden, men de ännu inte har hunnit lämnas ut. Inte heller i detta hänseende kan den kritik som EU-domstolen har framfört göras gällande mot den svenska regleringen. Förvaltningsrätten anser att EU-domstolens kritik inte kan ha avsett avsaknaden av bestämmelser om utplåning av uppgifter även hos de brottbekämpande myndigheterna. Det ligger i sakens natur att dessa myndigheter måste ha tillgång till uppgifterna under hela den aktuella processen. Det saknas bestämmelser i svensk rätt som reglerar var lagring av uppgifterna får ske. Fråga uppstår därför om den oberoende myndighetskontrollen som föreskrivs i artikel 8.3 i EU:s rättighetsstadga kan garanteras, samt om svensk rätt ger tillräckliga garantier, vilka gör det möjligt att säkerställa ett effektivt skydd mot riskerna för missbruk och otillåten tillgång eller användning av uppgifterna. I denna del konstaterar förvaltningsrätten följande. Oavsett var en leverantör väljer att lagra uppgifterna ska denne uppfylla de höga krav som ställs på säkerheten. Det ingår i tillsynsmyndighetens tillsynsansvar att kontrollera att leverantörerna efterlever bl.a. LEK och de föreskrifter som har meddelats med stöd av lagen, se 7 kap. 1 § LEK. Tillsynsmyndigheten får enligt 7 kap. 3 § LEK förelägga en leverantör 28 FÖRVALTNINGSRÄTTEN I STOCKHOLM Allmänna avdelningen DOM 14891-14 att tillhandahålla myndigheten upplysningar och handlingar som behövs för kontroll av efterlevnaden. Finner tillsynsmyndigheten skäl att misstänka att den som bedriver verksamhet enligt LEK inte efterlever lagen eller de föreskrifter som har meddelats med stöd av lagen, ska myndigheten underrätta den som bedriver verksamheten om detta förhållande och ge denne möjlighet att yttra sig inom skälig tid, se 7 kap. 4 § LEK. Tillsynsmyndigheten får meddela de förelägganden och förbud som behövs för att rättelse av en överträdelse som avses i 7 kap. 4 § LEK ska ske omedelbart eller inom skälig tid. Ett sådant föreläggande eller förbud får förenas med vite. Om föreläggandet inte följs får tillsynsmyndigheten besluta att den som åsidosatt en skyldighet helt eller delvis ska upphöra med verksamheten, se 7 kap. 5 § LEK. Reglerna i 7 kap. LEK möjliggör enligt förvaltningsrättens mening en tillfredsställande oberoende myndighetskontroll av skyddet för personuppgifter och de utgör även tillräckliga garantier, vilka gör det möjligt att säkerställa ett effektivt skydd mot riskerna för missbruk och otillåten tillgång eller användning av uppgifterna. En reglering om i vilket land uppgifter får lagras skulle enligt förvaltningsrätten förvisso förtydliga och i viss mån höja säkerheten kring de lagrade uppgifterna. Avsaknaden av en sådan reglering kan dock inte i dagsläget anses medföra en sådan låg säkerhet för de lagrade uppgifterna, att lagringen bör upphöra. Sammanfattande bedömning Förvaltningsrätten anser att EU-domstolens dom ska förstås på så sätt att datalagringsdirektivet har ogiltigförklarats eftersom de konstaterade bristerna i direktivet, vid en sammantagen bedömning, inneburit att direktivet inte lever upp till det krav på proportionalitet som unionsrätten uppställer avseende inskränkningar i fri- och rättigheter (rätten till respekt för privatliv och familjeliv samt skyddet för personuppgifter). Som anförts ovan avser kritiken av datalagringsdirektivet huvudsakligen följande fyra punkter. 29 FÖRVALTNINGSRÄTTEN I STOCKHOLM Allmänna avdelningen DOM 14891-14 • Omfattningen av lagringen • Tillgången till de lagrade uppgifterna • Lagringstiden för de lagrade uppgifterna • Säkerheten för de lagrade uppgifterna Förvaltningsrätten har konstaterat att den svenska regleringen kring datalagring på vissa punkter berörs av den kritik som EU-domstolen riktat mot direktivet. Det gäller framför allt kritiken mot omfattningen av datalagringen. Därutöver har förvaltningsrätten, med utgångspunkt i EU-domstolens kritik, även funnit vissa svagheter beträffande tillgångs- och säkerhetsbestämmelserna. Det förhållandet att den svenska regleringen på vissa punkter berörs av den kritik som EU-domstolen riktat mot datalagringsdirektivet, innebär inte per automatik att också det svenska regelverket strider mot kravet på proportionalitet. För att ta ställning till detta måste, som tidigare konstaterats, en prövning göras av hur den svenska regleringen närmare är utformad. Vid denna prövning av tillgångsbestämmelserna har främst följande svagheter uppmärksammats. Det saknas reglering om förhandskontroll i två av de tre aktuella lagarna (LEK och inhämtningslagen). Vidare saknas, i LEK, reglering som begränsar kretsen av myndighetspersoner som kan få tillgång till uppgifterna. Utöver detta kan abonnemangsuppgifter inhämtas enligt LEK vid misstanke om brott som inte är att anse som allvarliga. Avseende säkerhetsbestämmelserna har förvaltningsrätten vid prövningen främst beaktat att det i svensk rätt inte finns någon reglering om var uppgifterna får lagras. Förvaltningsrätten har funnit att tillgångs- och säkerhetsbestämmelserna, trots påpekade svagheter, uppfyller de krav som proportionalitetsprincipen uppställer. Denna bedömning har grundats på att de utpekade problemen vägs upp av andra faktorer i regleringen. Det totala intrånget i rättigheterna har därför ansetts utgöra godtagbara inskränkningar. 30 FÖRVALTNINGSRÄTTEN I STOCKHOLM Allmänna avdelningen 14891-14 DOM Den fråga som återstår är därför om lagringens omfattning är förenlig med de frioch rättigheter som ska garanteras enskilda. Även om den svenska regleringen möjliggör en omfattande lagring ska det beaktas att de svenska tillgångs- och säkerhetsbestämmelserna, enligt förvaltningsrätten, är tydliga och precisa samt begränsade till vad som är strängt nödvändigt. Förvaltningsrätten anser att detta förhållande, i kombination med att uppgifterna endast lagras i sex månader, kompenserar det betydande intrång som den omfattande lagringen utgör. Till detta kommer att lagringen är motiverad av det mycket angelägna behovet av att tillhandahålla de brottsbekämpande myndigheterna effektiva verktyg vid utredning av brott. Tillgången till lagrade uppgifter är av stor betydelse för att brottsutredningar ska föras framåt. Med beaktande av detta mycket angelägna behov är det förvaltningsrättens uppfattning att de inskränkningar som de aktuella svenska bestämmelserna innebär i rätten till respekt för privatliv samt skydd för personuppgifter, uppfyller proportionalitetskravet och är förenliga med RF, Europakonventionen, EU:s rättighetsstadga samt 2002 års direktiv om integritet och elektronisk kommunikation. Mot bakgrund av ovanstående saknas det skäl för att upphäva föreläggandet. Överklagandet ska därmed avslås. HUR MAN ÖVERKLAGAR Detta beslut kan överklagas. Information om hur man överklagar finns i bilaga 2 (DV 3109/1A). Anna Maria Åslundh-Nilsson Eva Frånlund Althin Chefsrådman Rådman I avgörandet har även deltagit nämndemännen Sven Jonsson, Bo Kahn, Kjell Sandberg och Lena Vilmar. Förvaltningsrättsfiskalen Anna Mildner och föredraganden Carina Westin har föredragit målet. Bilaga 2 Bilaga HUR MAN ÖVERKLAGAR - PRÖVNINGSTILLSTÅND Den som vill överklaga förvaltningsrättens beslut ska skriva till Kammarrätten i Stockholm. Skrivelsen ska dock skickas eller lämnas till förvaltningsrätten. För att kammarrätten ska kunna ta upp Ert överklagande måste Er skrivelse ha kommit in till förvaltningsrätten inom tre veckor från den dag då Ni fick del av domen/beslutet. Om beslutet har meddelats vid en muntlig förhandling, eller det vid en sådan förhandling har angetts när beslutet kommer att meddelas, ska dock överklagandet ha kommit in inom tre veckor från den dag domstolens beslut meddelades. Om sista dagen för överklagande infaller på lördag, söndag eller helgdag, midsommarafton, julafton eller nyårsafton räcker det att besvärshandlingen kommer in nästa vardag. Om klaganden är en part som företräder det allmänna, ska överklagandet alltid ha kommit in inom tre veckor från den dag beslut meddelades. För att ett överklagande ska kunna tas upp i kammarrätten fordras att prövningstillstånd meddelas. Kammarrätten lämnar prövningstillstånd om DV 3109/1A • 2013-06 • Producerat av Domstolsverket 1. det finns anledning att betvivla riktigheten av det slut som förvaltningsrätten har kommit till, 2. det inte utan att sådant tillstånd meddelas går att bedöma riktigheten av det slut som förvaltningsrätten har kommit till, 3. det är av vikt för ledning av rättstillämpningen att överklagandet prövas av högre rätt, eller Om prövningstillstånd inte meddelas står förvaltningsrättens beslut fast. Det är därför viktigt att det klart och tydligt framgår av överklagandet till kammarrätten varför man anser att prövningstillstånd bör meddelas. Skrivelsen med överklagande ska innehålla 1. Klagandens person-/organisationsnummer, postadress, e-postadress och telefonnummer till bostaden och mobiltelefon. Adress och telefonnummer till klagandens arbetsplats ska också anges samt eventuell annan adress där klaganden kan nås för delgivning. Om dessa uppgifter har lämnats tidigare i målet – och om de fortfarande är aktuella – behöver de inte uppges igen. Om klaganden anlitar ombud, ska ombudets namn, postadress, e-postadress, telefonnummer till arbetsplatsen och mobiltelefonnummer anges. Om någon person- eller adressuppgift ändras, ska ändringen utan dröjsmål anmälas till kammarrätten. 2. den dom/beslut som överklagas med uppgift om förvaltningsrättens namn, målnummer samt dagen för beslutet, 3. de skäl som klaganden anger till stöd för en begäran om prövningstillstånd, 4. den ändring av förvaltningsrättens dom/beslut som klaganden vill få till stånd, 5. de bevis som klaganden vill åberopa och vad han/hon vill styrka med varje särskilt bevis. Adressen till förvaltningsrätten framgår av domen/beslutet. 4. det annars finns synnerliga skäl att pröva överklagandet. www.domstol.se
