Lagring av uppgifter för brottsbekämpning enligt EU-direktiv 2006/24/EG - Internationell utblick m.m.

Transkript

1 Rapportnummer PTS-ER-2011:1 Datum Lagring av uppgifter för brottsbekämpning enligt EU-direktiv 2006/24/EG - Internationell utblick m.m.

2 Lagring av uppgifter för brottsbekämpning enligt EU-direktiv 2006/24/EG - Internationell Rapportnummer PTS-ER-2011:1 Diarienummer ISSN Författare Joakim Strålmark, Per Bergstrand, Peder Cristvall, Mattias Wellander och Susanne Lindström Chennell. Post- och telestyrelsen Box Stockholm pts@pts.se Post- och telestyrelsen 2

3 Förord Denna internationella utblick om trafikdatalagring har främst fokuserat på hur andra EU/EES-länder har införlivat direktiv 2006/24/EG och vilka erfarenheter som vunnits där. Syftet med utblicken har varit att samla in information som Sverige kan ha nytta av i det vidare arbetet med implementering av trafikdatalagringsdirektivet. Underlag till rapporten har bl.a. utgjorts av en enkätinsamling från andra EU/EES-länder samt besök i tre utvalda länder (Storbritannien, Tyskland och Danmark) under sommaren/hösten Rapporten kan ge stöd i det fortsatta arbetet när det gäller frågor om trafikdatalagring i Sverige som nu är aktuellt sedan regeringen publicerat en proposition i frågan den 9 december Catarina Wretman stf. Generaldirektör Post- och telestyrelsen 3

4 Innehåll Förord 3 Sammanfattning 6 Abstract 7 1 Inledning 9 2 PTS arbetsmetod och rapportens disposition 11 3 Bakgrund till lagförslagen och beredningen i Sverige Lagring av trafikuppgifter för brottsbekämpning 13 4 Samband med andra lagar och regler om lagring och utlämning av uppgifter för olika ändamål Tystnadsplikt Utlämning till abonnentupplysning Utlämning till polisen Utlämning till rättighetshavare Översikt utlämning av uppgifter för olika ändamål 15 5 Vilka uppgifter föreslås lagras för brottsbekämpning Lagring av uppgifter för elektroniska kommunikationstjänster Kategorisering av uppgifter som ska lagras enligt direktivet Kategorisering av uppgifter som ska lagras enligt SOU 2007: Kategorisering av uppgifter som ska lagras enligt prop. 2010/11: Övrigt om uppgifter som ska lagras Skyldigheten att lagra uppgifter gäller enbart elektroniska kommunikationstjänster Sammanfattning/slutsatser 29 6 Övergripande ländersammanställning (EU/EES) Införlivandet av direktivet Kategorier av uppgifter som sparas utöver direktivets skyldigheter Skyldigheter och undantag från skyldigheter att spara uppgifter Lagring och skydd av uppgifter Åtkomst till uppgifter Statistik Kostnadsersättning Konkurrensfrågor Övriga rättsliga frågor 41 7 Tillämpliga internationella standarder och tekniska specifikationer 43 8 EU:s expertgrupp och Position Papers om lagring av trafikuppgifter Expertgruppen - allmänt Webbpost (webmail) dokument nr Skräppost (spam) dokument nr Transitoperatörer (Transit providers) dokument nr Tredjeparts nät och tjänsteleverantörer dokument nr IP-baserad telefoni dokument nr 5(a) Lagringsplats dokument nr Säkerhetskrav dokument nr Article 29 Data Protection Working Party 54 Post- och telestyrelsen 4

5 10 Utvärdering av EU-direktiv 2006/24/EG Avslutande observationer 58 Bilaga 1 64 EU/EES-länder som har studerats 64 Post- och telestyrelsen 5

6 Sammanfattning Direktivet om lagring av trafikuppgifter (2006/24/EG) har som syfte att säkerställa att uppgifter om kommunikation med fast och mobil telefonitjänst, Internetåtkomst (Internettjänst), e-post och Internettelefoni lagras så att de brottsbekämpande myndigheterna (Rikspolisstyrelsen, Ekobrottsmyndigheten, Tullverket och Åklagarmyndigheten) kan få tillgång till uppgifter för utredning, avslöjande och åtal som avser allvarlig brottslighet. Regeringen har i en proposition i december 2010 föreslagit att lagen (2003:389) om elektronisk kommunikation från och med den 1 juli 2011 kompletteras med bestämmelser om att tjänsteleverantörer ska lagra trafik uppgifter i sex månader. Eftersom införlivandet av direktivet blivit försenat i Sverige har PTS i väntan på propositionen genomfört en internationell utblick under 2010 för att undersöka hur andra EU/EES-länder har införlivat direktivet och vilka erfarenheter som vunnits där. Syftet med utblicken har varit att samla in information som Sverige kan ha nytta av i det vidare arbetet med trafikdatalagring. Underlag till rapporten har bl.a. utgjorts av en enkätinsamling från andra EU/EES-länder samt besök i tre utvalda länder (Storbritannien, Tyskland och Danmark). Andra delar har bestått i att studera och analysera olika rapporter, utvärderingar, standarder och dokument som publicerats av bl.a. europieska kommissionen, den expertgrupp som bildats 2008 av kommissionen för trafikdatalagringsfrågor, det europiska standardiseringsinstitutet (ETSI) och den arbetsgrupp som bildats under artikel 29 i dataskyddsdirektivet (Article 29 Data Protection Working Party). Rapporten innehåller även ett avsnitt om vilka uppgifter som ska lagras i enlighet med trafikdatalagringsdirektivet och detta sätts i relation till vad som föreslagits i SOU 2007:76 och vad som slutligen framgår av prop. 2010/11:46. Detta avsnitt finns med för att mer öka kunskapen om vilka uppgifter som ska lagras av tjänsteleverantörerna. I prop. 2010/11:46 föreslås att regeringen ges bemyndigande att i förordning ange den närmare tekniska beskrivningen av vilka uppgifter som ska lagras. PTS observationer från den internationella utblicken finns i avsnitt 11 och i bilaga till rapporten redovisas mer detaljerat den undersökning PTS genomfört hur trafikdatalagringsfrågor har hanterats i ett antal EU/EES-länder. Post- och telestyrelsen 6

7 Abstract The aim of the Directive on the retention of data (2006/24/EC) is to ensure that data relating to communications using fixed and mobile telephony services, Internet access (Internet services), and Internet telephony is retained so that the law enforcement authorities (National Police Board, Swedish National Economic Crimes Bureau, Swedish Customs and the Swedish Prosecution Authority) can gain access to this data for the purpose of the investigation, detection and prosecution of serious crime. The Swedish Government proposed in a Government Bill in December 2010 that the Electronic Communications Act (2003:389) should be supplemented from 1 July 2011 with provisions stipulating that service providers must retain data for six months. As there has been a delay in the incorporation of the Directive in Sweden, PTS conducted an international overview in 2010, pending the implementation of the Government Bill, to investigate how other EU/EEA countries have incorporated the Directive and the experiences found there. The aim of this overview has been to gather information that Sweden can use in its ongoing work on data retention. The basis for this report includes questionnaires collected from other EU/EEA countries together with visits to three selected countries (UK, Germany and Denmark). It also comprised studying and analysing various reports, evaluations, standards and documents published by, among others, the European Commission, the Expert Group formed by the Commission in 2008 for data retention issues, the ETSI (European Telecommunications Standards Institute) and the working group formed under Article 29 of the Data Protection Directive (Article 29 Data Protection Working Party). The report also includes a section about the data to be retained under the Data Retention Directive, which is set in relation to the proposals contained in Official Government Report SOU 2007:76 and the final proposals made in Government Bill 2010/11:46. This section was included to increase awareness of data to be retained by service providers. It was proposed in Government Bill 2010/11:46 that the Swedish Government is empowered to specify a more detailed technical description of the data to be retained in an ordinance. Observations made by PTS from the international overview can be found in Section 11, and the survey conducted by PTS regarding how data retention issues have been dealt with in a number of EU/EEA countries can be found in an appendix to the report. Post- och telestyrelsen 7

8 Post- och telestyrelsen 8

9 1 Inledning Direktivet om lagring av trafikuppgifter (2006/24/EG) skulle i sin helhet 1 ha införlivats senast i nationell rätt i Sverige. Syftet med direktivet är att säkerställa att uppgifter om kommunikation med fast och mobil telefonitjänst, Internetåtkomst (Internettjänst), e-post och Internettelefoni lagras så att de brottsbekämpande myndigheterna kan få tillgång till uppgifter för utredning, avslöjande och åtal som avser allvarlig brottslighet. PTS deltog som sakkunnig i den statliga utredning (Lagring av trafikuppgifter för brottsbekämpning, SOU 2007:76) som i november 2007 föreslog hur införlivandet ska ske. Utredningen föreslog att lagen (2003:389) om elektronisk kommunikation (LEK) utökas med bestämmelser om trafikdatalagring. Utredningen föreslog vidare att PTS skulle få rätt att utfärda föreskrifter avseende dels säkerhet kring de lagrade uppgifterna, dels avseende vilken ersättning tjänsteleverantörerna ska få vid utlämnande av trafikdata. Utredningens lagförslag innebar även att myndigheten kommer vara tillsynsmyndighet för de nya bestämmelsernaoch därigenom ha ett behov av att utarbeta undantagsregler om undantag för lagringsskyldigheten som träffar alla tjänsteleverantörer som är anmälda enligt LEK. Under våren 2009 genomfördes en intern förstudie på PTS vars rekommendationer användes för att starta ett projekt inom myndigheten för det vidare arbetet med trafikdatalagring. I augusti 2009 höll PTS ett Integritetsforum 2 för branschen där huvudtemat som behandlades var PTS upplägg för arbetet med trafikdatalagring. I upplägget ingick även att branschen själv skulle driva ett antal frågor. Branschen, förutom representanter från brottsutredande myndigheter, var dock avvaktande när det gällde att lägga ned tid och resurser på arbete med trafikdatalagring innan regeringen publicerat en proposition i ämnet. Inför osäkerheten om när en proposition för införlivandet skulle komma valde PTS att frysa hela projektet och endast fokusera på att genomföra en internationell utblick som nu redovisas i denna rapport. 1 I de delar som inte rör lagring av uppgifter rörande Internetåtkomst, Internettelefoni och Internetbaserad telefoni anger direktivet införlivade till senast Post- och telestyrelsen 9

10 PTS ambition var sedan att återuppta projektarbetet vid den tidpunkt när regeringen överlämnar en remiss till Lagrådet för yttrande. Lagrådsremissen 3 överlämnades och lagrådet lämnade sitt yttrande Vid tidpunkten för denna rapports publicering har PTS åter påbörjat sitt projektarbete. Den 9 december 2010 överlämnade regeringen en proposition (prop. 2010/11: 46 5 ) med förslag om hur direktiv 2006/24/EG ska genomföras i Sverige. De lagförslag som framgår av prop. 2010/11:46 innebär att LEK utökas med bestämmelser om trafikdatalagring fr.o.m Lagringstiden är satt till 6 månader. För PTS del innebär detta att myndigheten, enligt propositionen, föreslås få föreskriftsrätt 6 avseende dels säkerhet (skyddsåtgärder) kring de lagrade uppgifterna, dels avseende vilken ersättning operatörer ska få vid utlämnande av trafikdata. Lagförslaget innebär även att myndigheten kommer vara tillsynsmyndighet för de nya bestämmelserna, samt utarbeta undantagsregler från lagringsskyldigheten. Enligt propositionen är alla anmälningspliktiga enligt LEK tillika lagringsskyldiga. Ytterligare en föreskriftsrätt framgår av propositionen. Denna avser vilka typer av uppgifter som de lagringsskyldiga ska samla in och lagra. I propositionen anges vidare att den mer tekniska specifikationen av lagringskravet kan ske i förordning ndamal%20-%20genomforande%20av%20direktiv% eg.pdf. 5 Lagring av trafikuppgifter för brottsbekämpande ändamål genomförande av direktiv 2006/24/EG. Hämtat från < 6 S. 71 prop. 2010/11:46. 7 S. 28 prop. 2010/11:46. Post- och telestyrelsen 10

11 2 PTS arbetsmetod och rapportens disposition Arbetet har bedrivits på Nätsäkerhetsavdelningen som ansvarar för integritetsfrågor på PTS med deltagande från Konkurrensavdelningen som bl.a. besitter ekonomiska kunskaper om marknaden för elektronisk kommunikation. Uppgiften har delats upp i några moment och där huvuddelen har bestått i att insamla information om erfarenheter av datalagringsdirketivet i EU/EESländer. För några länder, som PTS funnit intressanta att närmare studera, har även besök genomförts. Andra delar har varit att studera och analysera olika rapporter, utvärderingar, standarder och dokument som publicerats av bl.a. europieska kommissionen (KOM), den expertgrupp som bildats 2008 av KOM 8 för trafikdatalagringsfrågor, det europiska standardiseringsinstitutet (ETSI 9 ) och den arbetsgrupp som bildats under artikel 29 i dataskyddsdirektivet 10 (Article 29 Data Protection Working Party en grupp vilken Datainspektionen normalt deltar i). Rapporten innehåller även ett avsnitt om vilka uppgifter som ska lagras i enlighet med trafikdatalagringsdirektivet (2006/24/EC) och sätta detta i relation till vad som föreslagits i SOU 2007:76 och vad som slutligen framgår av prop. 2010/11:46. Detta avsnitt finns med för att mer öka kunskapen om vilka uppgifter som ska lagras. Rapporten disponeras enligt följande: Avsnitt 3 beskriver bakgrund till trafikdatalagring och aktuell status i Sverige och avsnitt 4 redovisar samband mellan ett antal svenska regler som styr behandling (lagring och utlämning) av uppgifter för olika ändamål i elektroniska kommunikationsnät. Avsnitt 5 går närmare in på vilka typer av uppgifter som omfattas av trafikdatalagringsdirektivet och vad som föreslagits i SOU 2007:76 och de som nu slutligen framgår av prop. 2010/11:46. 8 Commission Decision of 25 March 2008 setting up the Platform on Electronic Data Retention for the Investigation, Detection and Prosecution of Serious Crime group of experts, (2008/324/EC) EU-direktiv 95/46/EC. Post- och telestyrelsen 11

12 Avsnitt 6 och tillhörande Bilaga 1 är den internationella utblicken för hur trafikdatalagringsfrågor har hanterats i ett antal EU/EES-länder. Avsnitt 7 redovisar vilka europeiska standarder och tekniska specifikationer som specifikt finns för trafikdatalagring. Avsnitt 8 berättar om EU:s expertgrupp och avsnitt 9 om artikel 29- gruppens uttalanden om lagring av uppgifter för brottsbekämpning. Avsnitt 10 beskriver den översyn som pågår av direktiv 2006/24/EG om trafikdatalagring och vad som framkom vid EU-kommissionens Workshop om framtiden för direktivet den 3 december Slutligen finns PTS avslutande observationer från den internationella utblicken i avsnitt 11. Post- och telestyrelsen 12

13 3 Bakgrund till lagförslagen och beredningen i Sverige Lagring av trafikuppgifter för brottsbekämpning Den 28 april 2004 lade Storbritannien, Frankrike, Irland och Sverige fram ett förslag till beslut för ministerrådet om en allmän plikt att inhämta och spara trafikuppgifter för samtliga tillhandahållare av elektroniska kommunikationstjänster under den s.k. tredje pelaren (om brottsbekämpning). Ett år senare ändrade man kurs och kommissionen lade istället fram förslaget till direktiv under första pelaren (inre marknad). Det var också detta förslag som blev det slutliga direktivet den 15 mars I direktivet fastslogs att medlemsstaterna skulle implementera direktivet i nationell lag senast den 15 september 2007 vad avser telefoni och den 15 mars 2009 vad avser Internetåtkomst. I Sverige inleddes arbetet med den nationella lagstiftningen genom att en statlig utredning tillsattes Den statliga utredningen publicerades i november 2007 (SOU 2007:76 Lagring av trafikuppgifter 11 för brottsbekämpning) och innehöll ett komplett förslag på hur lagstiftningen skulle kunna se ut. Av olika anledningar ledde inte utredningens förslag direkt till någon proposition men en sådan har nu i december 2010 överlämnats till riksdagen (prop. 2010/11:46 12 ). EU-kommissionen inledde den 14 april 2009 en talan om fördragsbrott mot Sverige eftersom direktivet ännu inte implementerats, Sverige har medgett talan och har dömts för fördragsbrott den 4 februari I betänkandet anges att de uppgifter som avses i direktivet är trafik- och lokaliseringsuppgifter samt de uppgifter som behövs för att identifiera en abonnent eller användare. Vidare anges att betänkandet använder det samlande begreppet trafikuppgifter för samtliga nämnda uppgifter (s. 43 SOU 2007:76). Samma ställningstagande görs även på s. 12 i prop. 2010/11: Lagring av trafikuppgifter för brottsbekämpande ändamål genomförande av direktiv 2006/24/EG. Hämtat från < Post- och telestyrelsen 13

14 4 Samband med andra lagar och regler om lagring och utlämning av uppgifter för olika ändamål Datalagringsdirektivet innebär en skyldighet att spara olika former av uppgifter för polisiära ändamål. Direktivet innehåller inga mer exakta krav om när uppgifter ska lämnas ut, även om det anges att det ska ske till polisiära resurser och gälla allvarlig brottslighet. Det finns redan idag bestämmelser om när uppgifter kring elektronisk kommunikation får och ska lämnas ut. Dessa bestämmelser kommer att bli tillämpliga även på uppgifter som i framtiden kommer att omfattas av lagstiftning om trafikdatalagring. Dessa regler om utlämning redovisas översiktligt i detta avsnitt. Det bör även tilläggas att en kommande proposition som bygger på den s.k. polismetodutredningen troligen kommer att förändra dessa regler Tystnadsplikt Som huvudregel har tjänsteleverantören tystnadsplikt för uppgifter om abonnemang, innehållet i elektroniska meddelanden och andra uppgifter som angår särskilda elektroniska meddelanden. Det innebär att tjänsteleverantören inte får lämna ut vare sig abonnentuppgifter eller trafikuppgifter till tredje part, utan abonnentens samtycke. Det finns alltså en presumtion för att uppgifterna inte ska lämnas ut, en presumtion som dock har ett antal undantag, detta framgår av 6 kap 20 i LEK. 4.2 Utlämning till abonnentupplysning Tjänsteleverantörer har vanligen rätt att lämna ut abonnentuppgifter till abonnentupplysningsföretag (t.ex. nummerupplysning), enligt abonnemangsvillkoren. Abonnenter kan alltid motsätta sig sådant utlämnande genom att inte lämna samtycke eller att återkalla ett tidigare lämnat samtycke. Detta gör man vanligen genom att begära s.k. hemligt nummer, vilket innebär att den tystnadsplikt som framgår av 6 kap 20 i LEK gäller. 4.3 Utlämning till polisen Polisen och andra brottsbekämpande myndigheter har rätt att begära ut uppgifter i samband med utredning av brott. För att uppgifter om abonnemang ska kunna lämnas ut krävs att fängelse är föreskrivet för det aktuella brottet 14 Post- och telestyrelsen 14

15 och det enligt den brottsbekämpande myndighetens bedömning kan föranleda annan påföljd än böter. För att andra uppgifter som angår särskilda elektroniska meddelanden (t.ex. trafikuppgifter) ska kunna lämnas ut krävs att det för brottet inte är föreskrivet lindrigare straff än fängelse i två år. Utlämnandet finns reglerat i lagen om elektronisk kommunikation 6 kap 22 och brukar ibland lite slarvigt kallas för telelagsutlämnande. Anledningen till att det kallas just telelagsutlämnande är att en utlämningsskyldighet även fanns under den tidigare gällande lagen, telelagen, och då var ett alternativ till ett utlämnande enligt rättegångsbalken för vilken det krävs en domstolsprövning. Ett sådant utlämnande brukar lite slarvigt kallas för HTÖ (utlämnande av uppgifter avseende hemlig teleövervakning) och kan både innefatta kommande uppgifter såväl som historiska uppgifter. Även i fallet hemlig teleövervakning krävs att vissa kriterier kring brottet är uppfyllda och att det finns en utpekad misstänkt gärningsman. Eftersom förfarandet kräver en domstolsprövning är det behäftat med mer formella krav än ett utlämnande enligt LEK. 4.4 Utlämning till rättighetshavare Sedan den 1 april 2009 finns det, enligt regler 15 i bl.a. upphovsrättslagen, möjligheter för rättighetshavare att begära tillgång till uppgifter genom att ansöka om ett s.k. informationsföreläggande i domstol. Reglerna har populärt kallats för IPRED-lagen (IPRED står för Intellectual Property Rights Enforcement Directive, dvs. det EG-direktiv (2004/48/EG) som reglerna baseras på). Regleringen medför att en tjänsteleverantör kan åläggas att lämna ut sådana uppgifter som omfattas av tystnadsplikt enligt LEK. Även detta utlämnande kräver ett domstolsförfarande. En rättighetsinnehavare kan yrka att domstolen beslutar om att en viss leverantör av elektroniska kommunikationstjänster ska lämna ut uppgifter som behövs för att identifiera en viss person som på olika sätt inkräktar på de rättigheter rättighetsinnehavaren bevakar, se lag (1960:729) om upphovsrätt till litterära och konstnärliga verk, 7 kap 53 c. Vanligtvis handlar dessa processer om att få uppgifter om vilken person som döljer sig bakom en viss IP-adress. 4.5 Översikt utlämning av uppgifter för olika ändamål Nedanstående figur ger en förenklad överblick över hur behandling (lagring och utlämning) av olika uppgifter går till och enligt vilka regler som dessa uppgifter kan utlämnas och till vem. 15 Civilrättsliga sanktioner på immaterialrättens område - genomförande av direktiv 2004/48/EG. Prop. 2008/09:67. Hämtat från < Post- och telestyrelsen 15

16 Electronic Communication Networks (ECN) Network Management/Operation Support System DB Usage Data DB RD DB DQ Lagring av uppgifter (6 kap. 5-7 o. 9 LEK) - abonnentuppgift (subscriber data) - trafikuppgift (trafic data) - lokaliseringsuppgift (location data) - lokaliseringsuppgift som inte är trafikuppgift - innehåll (content) Ingen skyldighet att spara uppgifter. Huvudregel om uppgifter sparas är att de ska utplånas eller avidentifieras när uppgiften inte längre behövs för att överföra ett meddelande. Uppgifterna får sparas så länge de behövs för abonnentfak turering eller för betalning av samtrafik eller vid marknadsföring av ECS när berörda användare samtyckt.. Prop. 2010/11:46 6 kap. 16 a-16 f LEK anger skyldighet att lagra alla uppgiftstyper, förutom innehåll, i 6 månader och får endast utlämnas enligt 27 kap. 19 RB och 6 kap. 22 pkt. 2 o. 3 LEK. Gäller fr.o.m. 1 juli Skydd och tystnadsplikt för uppgifter (6 kap. 3 o. 20 LEK) - abonnentuppgift (subscriber data) - trafikuppgift (trafic data) - lokaliseringsuppgift (location data) - lokaliseringsuppgift som inte är trafikuppgift - innehåll (content) HI3 RDHI SP HI Law Enforcement Agencies Other Government Agencies (service of process) PSAP 112/90000 Signals intelligence DQ services Intellectual property rightholders Utlämning av uppgifter (HTA) (27 kap. 18 RB o. 6 kap. 19 LEK) - innehåll (content) Utlämning av uppgifter (HTÖ) (27 kap. 19 RB o. 6 kap. 19 LEK) - abonnentuppgift (subscriber data) - trafikuppgift (trafic data) - lokaliseringsuppgift (location data) - lokaliseringsuppgift som inte är trafikuppgift Utlämning av uppgifter telelagsutlämnande (6 kap. 22 pkt. 3 o. 8 LEK) - trafikuppgift (trafic data) - lokaliseringsuppgift (location data) - lokaliseringsuppgift som inte är trafikuppgift Utlämning av uppgifter telelagsutlämnande (6 kap. 22 pkt. 1, 2, 4 o. 5-8 LEK) - abonnentuppgift (subscriber data) Utlämning av uppgifter (Signalspaningslagen (LSF) o. 6 kap. 19 a LEK) Inhämtning av samtliga signaler i kabel som går över rikets gräns. All information som passerar i sådan kabel överförs således oavsett om den är att kategoriseras som abonnentuppgift (subscriber data), trafikuppgift (trafic data), innehåll (content) eller något annat. Utlämning av uppgifter (5 kap. 7 pkt. 3 LEK o. PTSFS 2009:1) - abonnentuppgift (subscriber data) Utlämning av uppgifter (olika lagar för immateriella rättigheter - IPRED - Prop. 2008/09:67) - abonnentuppgift (subscriber data) Figur 1 Behandling av uppgifter lagring och utlämning. Källa: PTS. Post- och telestyrelsen 16

17 5 Vilka uppgifter föreslås lagras för brottsbekämpning Eftersom direktivet om lagring av trafikuppgifter ännu inte har införlivats i svensk lagstiftning har PTS i det här avsnittet, om vilka uppgifter som ska lagras, utgått från de dokument som idag finns att tillgå dvs. direktivet 2006/24/EG om lagring av trafikuppgifter, SOU 2007:76 om lagring av trafikuppgifter för brottsbekämpning, prop. 2010/11:46 för lagring av trafikuppgifter för brottsbekämpande ändamål och dokument från EU:s expertgrupp 16. Det går alltså ännu inte att veta exakt vilka uppgifter som ska lagras i Sverige men för att få en ungefärlig bild och för att kunna identifiera oklarheter har en genomgång av de här dokumenten genomförts. Den slutliga regleringen om vilka uppgifter som ska lagras kommer att framgå av den förordning som regeringen avser att utfärda Lagring av uppgifter för elektroniska kommunikationstjänster Leverantörer av allmänt tillgängliga elektroniska kommunikationstjänster eller allmänna kommunikationsnät ska enligt direktivet om lagring av trafikuppgifter (2006/24/EG) lagra trafik- och lokaliseringsuppgifter om såväl fysiska som juridiska personer, samt de uppgifter som är nödvändiga för att kunna identifiera abonnenten eller den registrerade användaren. Direktivet kräver att leverantörerna endast lagrar sådana uppgifter som genereras eller behandlas i samband med att de tillhandahåller sina kommunikationstjänster. I de fall uppgifterna inte genereras eller behandlas av leverantörerna finns det inte heller något krav på att de ska lagra dem. De uppgifter som enligt direktivet ska lagras ska kunna svara på frågorna, vem som kommunicerade med vem, när det skedde, var de som kommunicerade befann sig och vilken typ av kommunikation som användes. Dvs. lagringskyldigheterna rör uppgifter som är nödvändiga för att spåra och identifiera en kommunikationskälla identifiera slutmålet för en kommunikation 16 Expertgruppen och berörda dokument (Positions Paper) beskrivs i avsnitt Se avsnittet Propositionens huvudsakliga innehåll i prop. 2010/11:46. Post- och telestyrelsen 17

18 identifiera datum, tidpunkt och varaktighet för en kommunikation identifiera typen av kommunikation identifiera användarnas kommunikationsutrustning, eller den utrustning som de tros ha använt identifiera geografisk lokalisering av mobil kommunikationsutrustning. Innehållet i kommunikationen ska enligt direktivet inte lagras Kategorisering av uppgifter som ska lagras enligt direktivet I direktivet har man kategoriserat de uppgifter som ska lagras enligt följande: a) Uppgifter som är nödvändiga för att spåra och identifiera en kommunikationskälla: 1. Telefoni i fasta nät och mobil telefoni: i) Det uppringande telefonnumret. ii) Abonnentens eller den registrerade användarens namn och adress. 2. Internetåtkomst, Internetbaserad e-post och Internettelefoni: i) Tilldelade användar-id. ii) Användar-ID och telefonnummer vilka tilldelats kommunikationen i det allmänna telenätet. iii) Namn på och adress till den abonnent eller registrerade användare som IP-adressen (Internet Protocol), användar-id eller telefonnumret tilldelades vid tidpunkten för kommunikationen. b) Uppgifter som är nödvändiga för att identifiera slutmålet för en kommunikation: 1. Telefoni i fasta nät och mobil telefoni: Post- och telestyrelsen 18

19 i) Det eller de nummer som slagits (det eller de uppringda telefonnumren), och, i fall som berör tilläggstjänster såsom omstyrning och överflyttning av samtal, det eller de nummer till vilket eller vilka som samtalet styrs. ii) Abonnentens (abonnenternas) eller den eller de registrerade användarnas namn och adress. 2. Internetbaserad e-post och Internettelefoni: i) Användar-ID eller telefonnummer som tilldelats den eller de avsedda mottagarna av ett Internettelefonsamtal. ii) Namn på och adress till abonnenten (abonnenterna) eller den eller de registrerade användarna och det användar-id som tilldelats den avsedda mottagaren av kommunikationen. c) Uppgifter som är nödvändiga för att identifiera datum, tidpunkt och varaktighet för en kommunikation: 1. Telefoni i fasta nät och mobil telefoni: i) datum och tid då kommunikationen påbörjades och avslutades. 2. Internetåtkomst, Internetbaserad e-post och Internettelefoni: i) Datum och tid för på- respektive avloggning i Internetåtkomsttjänsten inom en given tidszon tillsammans med IP-adressen, oavsett om den är dynamisk eller statisk, som en kommunikation tilldelats av Internetleverantören till en kommunikation och abonnents eller registrerad användares användar-id. ii) Datum och tid för på- respektive avloggning i den Internetbaserade e-posttjänsten eller Internettelefonitjänsten inom en given tidszon. Post- och telestyrelsen 19

20 d) Uppgifter som är nödvändiga för att identifiera typen av kommunikation. 1. Telefoni i fasta nät och mobil telefoni: i) Den telefonitjänst som används. 2. Internetbaserad e-post och Internettelefoni: i) Den Internettjänst som används. e) Uppgifter som är nödvändiga för att identifiera användarnas kommunikationsutrustning, eller den utrustning som de tros ha använt. 1. Telefoni i fasta nät: 2. Mobil telefoni: i) det uppringande och det uppringda telefonnumret. i) Det uppringande och det uppringda telefonnumret. ii) Den uppringande partens IMSI (International Mobile Subscriber Identity). iii) Den uppringande partens IMEI (International Mobile Equipment Identity). iv) Den uppringda partens IMSI. v) Den uppringda partens IMEI. vi) Vid förbetalda anonyma tjänster, datum och tid för den första aktiveringen av tjänsten och den lokaliseringsbeteckning (cell-id) från vilken tjänsten aktiverades. 3. Internetåtkomst, Internetbaserad e-post och Internettelefoni: Post- och telestyrelsen 20

21 i) Det uppringande telefonnumret för uppringda förbindelser. ii) DSL (Digital Subscriber Line) eller annan slutpunkt för kommunikationens avsändare. f) Uppgifter som är nödvändiga för att identifiera lokaliseringen av mobil kommunikationsutrustning. 1. Lokaliseringsbeteckning (cell-id) för kommunikationens början. 2. Uppgifter som identifierar cellernas geografiska placering genom referens till deras lokaliseringsbeteckning (cell-id) under den period som kommunikationsuppgifterna lagras Kategorisering av uppgifter som ska lagras enligt SOU 2007:76 För att få en mer teknikneutral och framtidssäker reglering föreslås i SOU 2007:76 (utredningen) en annan struktur på de uppgifter som ska lagras. Enligt utredningen ska uppgifterna kategoriseras i telefoni, meddelandehantering 18 (även kallat meddelandetjänster), Internetåtkomst (även kallat Internettjänst) och anslutningsform (även kallat Internetanslutning) och sparas enligt följande: 1. Vid telefoni Uppringande telefonnummer. Nummer som slagits och nummer till vilka samtalet styrts. Uppgifter om abonnent och registrerad användare (namn, adress, person- eller organisationsnummer). Datum och spårbar tid då kommunikationen påbörjades och avslutades. Den tjänst som använts (t.ex. röstbrevlåda eller vidarekoppling). Slutpunkter. 18 Meddelandehantering: överföring av elektroniskt meddelande som inte är samtal (s. 39, SOU 2007:76). Post- och telestyrelsen 21

22 2. Vid mobiltelefoni (förutom det som anges under telefoni) Uppringande parts abonnemangsidentitet (t.ex. IMSI) och utrustningsidentitet (t.ex. IMEI). Uppringd parts abonnemangsidentitet (t.ex. IMSI) och utrustningsidentitet (t.ex. IMEI). Lokaliseringsinformation 19 för kommunikationens början och slut. Datum, spårbar tid och lokaliseringsinformation för den första aktiveringen av en förbetald anonym tjänst. 3. Vid Internettelefoni (förutom det som anges under telefoni) Uppringande parts IP-adresser. Uppringd parts IP-adresser. 4. Vid meddelandehantering (t.ex. e-post, MMS och SMS) Avsändarens och mottagarens identiteter (t.ex. e- postadresser och telefonnummer). Uppgifter om abonnent och registrerad användare (namn, adress, person- eller organisationsnummer). Datum och spårbar tid för på- och avloggning i meddelandetjänsten. Datum och spårbar tid för avsändande och mottagande av meddelandet. Den tjänst som har använts och spårbar tid för användandet. 5. Vid Internetåtkomst Användarens IP-adresser (fast eller dynamisk) 19 I direktivet används benämningen Lokaliseringsbeteckning (cell-id). Post- och telestyrelsen 22

23 Uppgifter om abonnent och registrerad användare (namn, adress, person- eller organisationsnummer). Datum och spårbar tid för på- och avloggning i Internettjänsten Typ av Internetanslutning som använts. Slutpunkter 6. Vid verksamhet som tillhandahåller kapacitet som ger möjlighet till överföring av IP-paket för att få Internetåtkomst (anslutningsform) Abonnentuppgifter (namn, adress, person- eller organisationsnummer). Vilken typ av anslutningsform 20 som har använts (t.ex DSL ev. via leverantörer av bitströmstillträde, fiberoptiska anslutningar, 3G, GSM, WLAN) och spårbar tid för användandet. Slutpunkter Kategorisering av uppgifter som ska lagras enligt prop. 2010/11:46 I jämförelse mellan betänkandet och den nu aktuella propositionen framgår det att propositionen har samma kategorisering av uppgifter som SOU:n. Däremot kommer den närmare tekniska beskrivningen av vilka uppgifter som ska lagras att anges i en förordning, som kommer att beslutas av regeringen i enlighet med den föreslagna föreskriftsrätten i 6 kap. 16 a sista stycket LEK. PTS har också noterat att propositionen i vissa avseenden inte är lika detaljerad som utredningen. Exempelvis nämner utredningen att på- och avloggning inte nödvändigtvis innebär start- och slutpunkt för kommunikationen vid Internettelefoni utan telefonnummer. Tolkningen av direktivet i utredningen görs på sätt att det är själva kommunikationens början och slut som avses. 20 Uppgiften behövs för att kunna identifiera den kommunikationsutrustning som har eller tros ha använts. Post- och telestyrelsen 23

24 Vidare nämner inte propositionen heller att kontaktuppgifter även bör innefatta person- och organisationsnummer vilket görs i utredningen Övrigt om uppgifter som ska lagras Utöver vad som anges i direktivet har utredningen inom några områden gjort vidare analyser av de uppgifter som föreslås lagras. Kontaktuppgifter Lagringsskyldigheten bör, enligt utredningen, förutom namn och adress även innefatta person- och organisationsnummer vilket är uppgifter som Sverige använder för att identifiera någon. Enligt utredningen anses detta inte vara lagringsskyldighet utöver direktivet eftersom dessa uppgifter i Sverige används för att identifiera någon. Telefonitjänst med telefonnummer Propositionen föreslår att en definition av telefoni ska vara begränsad till fall där telefonnummer används. Definitionen av telefoni kommer därmed att inkludera fast och mobil telefoni och de flesta Internettelefonitjänster. Internettelefoni som enbart använder andra identiteter än telefonnummer omfattas däremot inte. En konsekvens blir att vissa kommunikationstjänster för överföring av tal i realtid inte kommer att falla under lagringsskyldigheten, se avsnittet Telefoni utan telefonnummer. Internettelefonitjänster medger inte alltid att nödsamtal genomförs. Den definition av telefonitjänst som i dag används i LEK blir därför för snäv för att kunna användas i det här sammanhanget. Propositionen föreslår att telefoni här bör definieras utan krav på att nödsamtal ska kunna genomföras. Samma resonemang förs nu i översynen 21 av LEK där begreppet inklusive nödsamtal föreslås utgå i definitionen av telefonitjänst. Telefonitjänst utan telefonnummer (t.ex. Internettelefoni) Enligt direktivet ska uppgift om på- och avloggningstidpunkter lagras för Internettelefoni. På- och avloggning innebär inte nödvändigtvis start- och slutpunkt för kommunikationen. I utredningen har man tolkat direktivet på så sätt att det är själva kommunikationens början och slut som avses även vid Internettelefoni (liksom för fasta och mobila telefonitjänster). 21 S. 156 i Ds 2010:19 Bättre regler för elektroniska kommunikationer. Post- och telestyrelsen 24

25 Internetanslutning (anslutningsform) Anslutningsform anges inte uttryckligen i direktivet som en särskild kategori vilket det gör i propositionen. Med anslutningsform för Internetåtkomst avses den kapacitet som ger möjlighet till överföring av IP-paket. Några exempel på Internetanslutningar är ADSL (som kan ske med hjälp av t.ex. bitströmstillträde 22 ), fiberoptiska anslutningar, 3G (UMTS), GSM (GPRS), vanliga traditionella telefonmodem och WLAN (trådlöst nät). Slutpunkter Med slutpunkter menas, enligt utredningen, den tekniska utrustningen i en fysisk ändpunkt som står under leverantörens kontroll, såsom telefonväxlar, routers, portnummer och utrustningsidentitet (t.ex. MAC-adress eller IMEI-nummer). Dessutom innefattas i direktivet begreppet annan slutpunkt uppgifter om leverantören av anslutninsformen, dvs. den som tillhandahåller Internetåtkomst som ger möjlighet till överföring av IP-paket. Att exakt definiera var en slutpunkt inom levernatörens kontroll finns inom ett elektroniskt kommunikationsnät kan vara problematiskt. Mobilsamtals slut/misslyckad uppringning Propositionen föreslår lagringsskyldighet för uppgifter om lokalisering vid mobilsamtals slut och för uppgifter som inte lagras eller loggas vid misslyckad uppringning går utöver direktivet om lagring av trafikuppgifter. Det anses finnas ett så starkt behov av att dessa uppgifter finns tillgängliga för brottsbekämpning att det överväger integritetsintrånget som lagringen medför. Lagringsskyldigheten anses därför motiverad utifrån artikel 15.1 i direktivet om integritet och elektronisk kommunikation. Det innebär att de uppgifter som ska lagras vid telefoni, mobiltelefoni och Internettelefoni även ska lagras vid misslyckad uppringning dvs. då ingen svarar på uppringningen. Det kan t.ex. vara vid ett ingrepp i driften som gör att den som ringer upp får ett meddelande om att mottagaren inte kan nås för tillfället. Något krav på lagring av uppgifter rörande samtal som inte kopplas fram finns inte enligt avsnitt 6.4 i propositionen (s. 33). 22 Bitrömstillträde innebär att tjänsteleverantören hyr en komplett tjänst för överföring av bredband till slutkunden. Tjänsteleverantören behöver alltså inte installera egen utrustning i telefonstationen utan hyr/köper tjänsten från TeliaSonera. Post- och telestyrelsen 25

26 5.2 Skyldigheten att lagra uppgifter gäller enbart elektroniska kommunikationstjänster Lagringsskyldigheten knyts enligt förslaget i propositionen till de tjänster som regleras i LEK dvs. elektroniska kommunikationstjänster och allmänna kommunikationsnät. Lagringsskyldigheten omfattar således inte innehållstjänster eller s.k. informationssamhällets tjänster (Information Society Services). PTS har tidigare tagit fram riktlinjer för bedömningen av när en tjänst ska anses omfattas av begreppet elektronisk kommunikationstjänst och därmed var gränsen går gentemot tjänster som inte anses omfattas av LEK (och då t.ex. kan anses utgöra informationssamhällets tjänster även om detta begrepp inte används i LEK). 23 Dessa riktlinjer är av vikt även för trafikdatalagring då de ytterst utgör en gränsdragning för vilka tjänster som är lagringsskyldiga och vilka som inte är det. Frågeställningen kan nog till viss del vara teoretisk eftersom förslaget till lagringsskyldighet berör olika typer av definierade tjänster (telefoni, Internetåtkomst (Internettjänst) etc.). I vissa fall kan det dock finnas utrymme för bedömningar främst avseende s.k. meddelandetjänster och var gränsdragningen går för e-post och liknande tjänster. I departementskrivelsen Ds 2010:19 24 beskrivs informationssamhällets tjänster som tjänster som normalt utförs mot ersättning och som tillhandahålls på distans, på elektronisk väg och på individuell begäran av en tjänstemottagare. I begreppet ingår förutom elektronisk handel även övriga tjänster som är kopplade till handel med varor och tjänster via exempelvis Internet. Förutom själva handeln ingår därför bl.a. informationstjänster, finansiella tjänster, fastighetsmäklartjänster, webbhotell och söktjänster. Det krävs att tjänsten tillhandahålls online, dvs. via en förbindelse som möjliggör direkt interaktiv kommunikation. Webbpost (webmail) och webbaserad messaging Följaktligen omfattas tillhandahållare av webbpost 25 och 23 Vägledning vad är en elektronisk kommunikationstjänst, PTS-ER-2009:12. Hämtat från < LEK/>. 24 Information Society Services se bl.a. s. 206 i Ds 2010:19 Bättre regler för elektroniska kommunikationer promemorian lämnar förslag på genomförande av de uppdaterade EU-direktiven som ligger till grund för regleringen inom området för elektronisk kommunikation. 25 Termen webbpost har aldrig blivit definierad i europeisk lag men kan appliceras på tjänster som tillåter användaren att skicka och ta emot elektroniska meddelanden genom att använda en webbläsare. Post- och telestyrelsen 26

27 webbaserade meddelandetjänster av direktivet om de samtidigt är tillhandahållare av allmänt tillgängliga elektroniska kommunikationstjänster eller allmänna kommunikationsnät. Se även avsnitt 8.2 där redovisning sker av hur EU:s expertgrupp har resonerat runt webbpost. Det finns ett antal olika typer av webbaserade meddelandetjänster med liknande funktioner. Dessa måste analyseras noggrant för att avgöra om de omfattas av direktivet eller inte. Expertgruppen har i dokument nr identifierat några av dessa tjänster och där gett sin tolkning på om tjänsterna omfattas respektive inte omfattas av direktivet, se även avsnitt 8.2. Några exempel från expergruppens slutsatser i dokument nr. 1: o När tillhandahållaren av en webbplats gör det möjligt för en användare att t.ex. lämna en kommentar till tillhandahållaren eller beställa en vara klassas det normalt som informationssamhällets tjänster och omfattas inte av direktivet. o En användare som lämnar meddelanden som kan ses av andra besökare på webbplatsen t.ex. i diskussionsforum eller en användare som lämnar sina synpunkter i en undersökning av en produkt klassas normalt som en informationssamhällets tjänster och omfattas inte av direktivet. Detta pga. att sådana meddelande enbart håller sig internt inom webbplatsen. o En användare av en webbplats lämnar ett meddelande som enbart kan läsas av en specifik person. Eftersom ett sådant meddelande enbart håller sig internt inom webbplatsen klassas det därför normalt som en informationssamhällets tjänster och omfattas inte av direktivet. o När en webbplats skickar en notifiering till en användare för att tala om att användaren har ett meddelande som väntar på webbplatsen kan det göras i form av t.ex. e-post eller ett SMS. Om meddelandet passerar en leverantör av allmänt 26 Expert Group Guidance Document 1 Webmail and web-based messaging, DatRet/EXPGRP (2009) FINAL Post- och telestyrelsen 27

28 tillgänglig kommunikationstjänst omfattas det normalt av direktivet. Meddelandet som lämnats inom webbplatsen anses däremot vara en informationssamhällets tjänster. Meddelandet omfattas då inte av direktivet. o När en webbplats skickar ett meddelande (inklusive innehåll) till en e-postadress på traditionellt sätt har det betydelse om webbplatsleverantören använder det egna nätet och sin egen mailserver eller inte. Det är stor sannolikhet att meddelandet hanteras av allmänt tillgängliga kommunikationstjänster och det omfattas då av direktivet. Används tillhandahållarens privata nät och den egna mailservern omfattas det inte av direktivet eftersom det då räknas som informationssamhällets tjänster såvida det inte gäller en tillhandahållare av allmänt tillgängliga elektroniska kommunikationstjänster och som använder sig av dessa. Surfning/Sökmotorer/Chatt/E-handel/On-line spel Besök på webbsidor, användning av sökmotorer, chatt, E-handel och on-line spel omfattas inte av direktivet eftersom dessa anses vara informationssamhällets tjänster. FTP Användning av File Transfer Protocol (FTP 27 ) såsom nedladdning och överföring omfattas inte av direktivet eftersom det anses vara informationssamhällets tjänster. 28 Skräppost Direktivet gör ingen skillnad på olika typer av e-post som ska lagras men i expertgruppen 29 har man diskuterat i vilken utsträckning tjänsteleverantörerna som normalt skulle vara tvungna att lagra all e- post som adresserats till deras kunder skulle kunna slippa lagra data för skräppost (spam). Tolkningen som görs av expergruppen i dokument nr. 2 är att tjänsteleverantörer inte ska behöva lagra data för skräppost som har filtrerats bort av e-postleverantören och aldrig nått mottagaren. Skulle däremot e-post, som av tjänsteleverantören har markerats som skräppost, levereras till användaren ska 27 Kommunikationsprotokoll som används för överföring av filer via Internet. 28 Se s. 77 i prop. 2010/11: Expert Group Guidance Document 2 The obligation to retain logs when must spam E- mails be retained? Post- och telestyrelsen 28

29 uppgifterna lagras enligt direktivet. Samma gäller om e-posten på något sätt görs tillgänglig för användaren t.ex. om meddelandet kan hämtas av användaren. Se även avsnitt 8.3. Transitoperatörer I expertgruppens dokument nr 3 30 görs tolkningen att en aktör som enbart tar emot och skickar trafik vidare utan att vara originerande eller terminerande aktör inte omfattas av direktivet. Enligt expertgruppen innebär det att t.ex. Internettelefoni som enbart transiterar ett nät inte behöver lagras av transitoperatören. Se även avsnitt 8.4. Internettelefoni Internettelefonitjänst som startar och terminerar som en PSTNtelefonitjänst omfattas av direktivet enligt utredningen, se även under Telefoni med telefonnummer i avsnitt Sammanfattning/slutsatser Utifrån ovanstående resonemang dvs. med utgångspunkt från direktivet 2006/24/EG om lagring av trafikuppgifter, SOU 2007:76 Lagring av trafikuppgifter för brottsbekämpning, prop. 2010/11:46 för lagring av trafikuppgifter för brottsbekämpande ändamål och från EU:s expertgrupps position papers har följande uppmärksammats: Det finns ett antal olika typer av webbaserade meddelandetjänster med liknande funktioner. Dessa måste analyseras noggrant för att avgöra om de utgör en allmänt tillgänglig elektronisk kommunikationstjänst eller inte. Termen slutpunkt är något oklar vad som avses. Att exakt definiera var en slutpunkt inom tjänsteleverantörens kontroll finns inom ett elektroniskt kommunikationsnät kan vara problematiskt. Vad gäller för utländska abonnenter som är inroamade? Vid roaming är det viktigt att tänka på principen att lagring endast ska ske av uppgifter som på något sätt tekniskt behandlas i nätet eller tjänsten. Aktörer ska inte behöva anskaffa nya uppgifter. 30Expert Group Guidance Document 3 - Closer understanding of the term Transit Providers in relation to its application in Directive 2006/24/EC, DATRET/EXPGRP (2009) 3 FINAL. Post- och telestyrelsen 29

30 Nedanstående två bilder har sammanställts utifrån det som framkommit i avsnittet. Den första bilden avser lagring av telefonitjänster och den andra avser övrig lagring. Post- och telestyrelsen 30

31 Figur 2 Översikt lagring av trafikuppgifter för telefonitjänster. Källa: PTS. PSTN/ISDN Lagring av trafikuppgifter Originerande Terminerande uppringande telefonnummer telefonnummer som slagits och nummer till vilka samtalet styrs uppgifter om abonnent och registrerad användare, namn, adress, person-, org. nr. datum, spårbar tid då kommunikationen påbörjades och avslutades tjänst som använts slutpunkter PSTN/ISDN uppgifter om abonnent och registrerad användare, namn, adress, person-, org. nr. datum, spårbar tid då kommunikationen påbörjades och avslutades tjänst som använts slutpunkter PLMN uppringande telefonnummer nummer som slagits och nummer till vilka samtalet styrs uppgifter om abonnent och registrerad användare, namn, adress, person-, org. nr. datum, spårbar tid då kommunikationen påbörjades och avslutades datum, spårbar tid och lokaliseringsinformation för den första aktiveringen av en förbetald anonym tjänst uppringande parts abonnemangsidentitet (t.ex. IMSI) uppringande parts utrustningsidentitet (t.ex. IMEI) tjänst som använts (SMS, MMS etc.) slutpunkter WIMAX/WLAN PSTN/xDSL uppringande telefonnummer telefonnummer som slagits och nummer till vilka samtalet styrs uppgifter om abonnent och registrerad användare, namn, adress, person-, org. Nr. uppringande parts IP-adress datum, spårbar tid då kommunikationen påbörjades och avslutades tjänst som använts slutpunkter NTP lokaliseringsinformation för kommunikationens början och slut (cell-id) Originerande ECN POI Transiterande ECN Trafikuppgifter som inte ska lagras användning av webbpost och webbaserade meddelandetjänster (EU Experts Group Position Paper 1)* skräppost som ej når mottagaren (EU Experts Group Position Paper 2) besök på webbsidor användning av sökmotorer Chatt e-handel on-line spel användning av File transfer Protocol (FTP) IP-telefonitjänst som enbart transiterar på Internet (EU Experts Group Position Paper 3) lokaliseringsinformation för kommunikationens början och slut (cell-id) Terminerande ECN POI Omstyrt (CF/CT) Terminerande ECN NTP PLMN uppgifter om abonnent och registrerad användare, namn, adress, person-, org. nr. datum, spårbar tid då kommunikationen påbörjades och avslutades datum, spårbar tid och lokaliseringsinformation för den första aktiveringen av en förbetald anonym tjänst uppringd parts abonnemangsidentitet (t.ex. IMSI) uppringd parts utrustningsidentitet (t.ex. IMEI) tjänst som använts (SMS, MMS etc.) slutpunkter WIMAX/WLAN PSTN/xDSL uppgifter om abonnent och registrerad användare, namn, adress, person-, org. nr. uppringd parts IP-adress datum, spårbar tid då kommunikationen påbörjades och avslutades tjänst som använts slutpunkter *Omfattas inte av direktivet (2006/24/EG) om det inte är allmänt tillgängliga elektroniska kommunikationstjänster ECN Allmänt elektroniskt kommunikationsnät CF Call forwarding CT Call transfer NTP - Nätanslutningspunkt Post- och telestyrelsen 31

32 Post- och telestyrelsen 32

33 Figur 3 Översikt lagring av trafikuppgifter Internettjänst m.m. Källa: PTS Lagring av trafikuppgifter Originerande Terminerande Meddelandetjänst avsändarens identitet (t.ex. e-postadress) uppgifter om abonnent och registrerad användare, namn, adress, person-, org. nr. datum, spårbar tid för på- och avloggning i meddelandetjänsten datum, spårbar tid för avsändande av meddelandet tjänst som använts och spårbar tid för användandet Meddelandetjänst mottagarens identitet (t.ex. e-postadress) uppgifter om abonnent och registrerad användare, namn, adress, person-, org. nr. datum, spårbar tid för på-och avloggning i meddelandetjänsten datum, spårbar tid för mottagande av meddelandet tjänst som använts och spårbar tid för användandet Internetåtkomst användarens IP-adress uppgifter om abonnent och registrerad användare, namn, adress, person-, org. nr. datum, spårbar tid för på-och avloggning i Internettjänsten typen av Internetanslutning som använts slutpunkter Originerande ECN POI Transiterande ECN Terminerande ECN Internetåtkomst användarens IP-adress uppgifter om abonnent och registrerad användare, namn, adress, person-, org. nr. datum, spårbar tid för på-och avloggning i Internettjänsten typen av Internetanslutning som använts slutpunkter Tillhandahållande av kapacitet uppgifter om abonnent vilken typ av kapacitet för överföring som använts och spårbar tid för användandet slutpunkter Trafikuppgifter som inte ska lagras användning av webbpost och webbaserade meddelandetjänster (EU Experts Group Position Paper 1)* skräppost som ej når mottagaren (EU Experts Grop Position Paper 2) besök på webbsidor användning av sökmotorer Chatt e-handel on-line spel användning av File transfer Protocol (FTP) IP-telefonitjänst som enbart transiterar på Internet (EU Experts Group Position Paper 3) Omstyrt (CF/CT) Terminerande ECN NTP NTP POI Tillhandahållande av kapacitet uppgifter om abonnent vilken typ av kapacitet för överföring som använts och spårbar tid för användandet slutpunkter *Omfattas inte av direktivet (2006/24/EG) om det inte är allmänt tillgängliga elektroniska kommunikationstjänster ECN Allmänt elektroniskt kommunikationsnät CF Call forwarding CT Call transfer NTP - Nätanslutningspunkt Post- och telestyrelsen 33

34 6 Övergripande ländersammanställning (EU/EES) För att ta reda på hur andra länder reglerat skyldigheten att spara trafikuppgifter har PTS sammanställt en enkätsom har skickats till 28 länder i Europa (dessa är antingen medlemsstater inom EU eller EES-anslutna). PTS har ställt frågor inom följande områden: Införlivande av direktivet om lagring av trafikuppgifter Kategorier av uppgifter som sparas Tjänsteleverantörernas skyldighet att spara uppgifter och undantag från denna skyldighet Lagring och skydd av uppgifter Åtkomst till uppgifter och gränssnitt mellan tjänsteleverantörer och brottsutredande myndigheter Användning av sparade uppgifter Ersättning för tjänsteleverantörernas kostnader Konkurrensfrågor Tolv länder har besvarat enkäten vilka är Estland, Finland, Kroatien, Lettland, Luxemburg, Nederländerna, Polen, Schweiz, Slovenien, Storbritannien, Tjeckien och Tyskland. För ett antal andra länder har information insamlats från olika skriftliga källor såsom: Landets svar på den enkät (v COM) som KOM skickat ut inför översynen av direktivet. Kommissionens arbete om översynen av direktivet 31. Rapport 32 (00068/10/EN WP July 2010) som Article 29 Data Protection Working Party har sammanställt Olika länders svar på KOM:s frågeformulär går att finna på följande webbplats: Post- och telestyrelsen 34

35 Sammanställning av Cullen International 34 uppgjord april 2010 (Telecom Cross Analysis Table and Table 23) Enklare sammanställning från RA-gruppen 36 som sammanträffar innan varje ETSI LI-möte 37. Nedan följer en kort sammanfattning av de svar som inkommit och i Bilaga 1 redovisas mer grundligt den information som PTS samlat in. 6.1 Införlivandet av direktivet 14 av de undersökta länderna har införlivat direktivet i nationell lag. De länder som ännu inte i hade gjort detta under våren 2010 var Belgien, Grekland, Irland, Luxemburg, Norge och Österrike. För Belgien, Irland och Luxemburg finns hänvisningar till kommande författningstext European Regulatory Authority (RA) meeting on Lawfull interception and Dataretention Post- och telestyrelsen 35

36 Figur 4 Införlivande av direktivet inom EU:s 27 medlemsstater. Källa: Cullen International, Trafic data retention CEE Table Kategorier av uppgifter som sparas utöver direktivets skyldigheter Åtminstone fyra länder anger att de har infört en skyldighet att spara uppgifter som går utöver vad direktivet anger i Artikel 5. Dessa länder är Danmark, Kroatien, Tjeckien och Tyskland. I Danmark ska t.ex. Internetleverantörerna spara uppgifter som identifierar sändande och mottagande IP-adresser, sändande och mottagande portnummer och vilken typ av transmissionsprotokoll som använts. Dessa uppgifter ska också sparas i Tyskland när det gäller e-postmeddelanden. Dessutom ska tyska Internetleverantörer spara IP-adressen i samband med åtkomst av användares e-post (mailbox). I Tyskland ska dessutom tillhandahållare av telefonitjänster spara uppgifter om obesvarade samtal. Tjeckien anger i sitt svar att uppgifter om webbpost, chatt, diskussiongrupper (Usenet) och snabbmeddelanden (Instant Messaging) ska sparas. När det gäller skyldigheten att spara uppgifter om misslyckade samtal (mobileller fast telefoni) kan konstateras att tio länder infört en sådan skyldighet. Post- och telestyrelsen 36

37 Bland de länder som inte infört eller planerar att införa en sådan återfinnes Finland, Frankrike, Lettland, Luxemburg, Nederländerna och Slovenien. När det gäller skyldigheten att spara uppgifter om Cell-ID i samband med avslutade mobilsamtal kan konstateras att denna skyldighet införts av sex länder. Till de länder som inte infört eller planerar att införa denna skyldighet hör Finland, Luxemburg, Nederländerna, Slovenien, Storbritannien, Tjeckien och Tyskland. Beträffande resterande länder framgår inte uttryckligen av inlämnade svar huruvida en sådan skyldighet införts. 6.3 Skyldigheter och undantag från skyldigheter att spara uppgifter Skyldigheten att spara trafikuppgifter omfattar i de flesta fall de som kan definieras som tillhandahållare av allmänt tillgängliga elektroniska kommunikationsnät- och tjänster. I en del fall, t.ex. i Finland och Slovenien omfattar skyldigheten tjänsteleverantörer som är anmälningspliktiga, vilket innebär att de ska ha en verksamhet av en viss omfattning. I Storbritannien omfattas endast de verksamheter som har fått en formell myndighetsbegäran att lagra trafikdata. Även i Danmark krävs att verksamheten har en viss omfattning för att omfattas av skyldigheten. Inget land har uppgivit att undantag från skyldigheten har meddelats i något enskilt fall. Nederländerna anger att det kan finnas undantagsmöjligheter i samband med exceptionella omständigheter som gör det praktiskt taget omöjligt att uppfylla skyldigheten för t.ex. en mindre tjänsteleverantör. 6.4 Lagring och skydd av uppgifter När det gäller lagringstiden kan konstateras att denna varierar mellan de olika länderna från 6 månader (Luxemburg, Schweiz och Tyskland) upp till 24 månader (Italien 38 och Polen). En del länder (Italien, Nederländerna 39 och Slovenien) har också valt att ha olika lagringstider för trafikuppgifter som genererats i samband med telefonitjänster och för de uppgifter som är relaterade till användningen av Internet. Den vanligaste lagringstiden är 12 månader (nio länder). 38 Gäller för telefonitjänster. Internetrelaterade uppgifter ska sparas i 12 månader och uppgifter om obesvarade samtal i 30 dagar. 39 Har ett förslag på 6 månaders lagring för Internetrelaterade uppgifter. För närvarande gäller 12 månader för samtliga uppgifter. Post- och telestyrelsen 37

38 Figur 5 Lagringstider inom EU:s 27 medlemsstater. Källa: Cullen International, Trafic data retention CEE Table 23. När det gäller krav på var uppgifterna kan förvaras kan konstateras att den vanligaste regleringen innebär att dessa uppgifter inte får förvaras utanför det egna landet (sju länder har detta krav: Belgien, Frankrike, Irland, Italien, Kroatien, Polen och Spanien). Två länder tillåter förvaring inom annan EUmedlemsstat (Estland och Tyskland). Såvitt framgår av övriga svar så har sex länder valt att inte särskilt reglera denna fråga. När det gäller krav på att uppgifterna ska hållas separerade från andra uppgifter har åtta länder infört eller överväger att införa detta krav (Danmark, Belgien, Frankrike, Italien, Kroatien, Slovenien, Spanien och Storbritannien). Sju länder har inte särskilt reglerat detta. Tjeckien anger att separation i praktiken sker av tjänsteleverantörerna även om detta inte är ett lagkrav. Detta sker på grund av de säkerhetskrav som finns för sparade trafikuppgifter. När det gäller särskilda krav på personal som hanterar trafikuppgifter kan konstateras att tolv av länderna har infört sådana krav. Några ytterligare länder hänvisar till att sådana krav gäller redan som en följd av de krav som gäller för hantering av personuppgifter. Endast tre länder anger uttryckligen att sådana Post- och telestyrelsen 38

39 krav inte införts (Finland, Frankrike och Storbritannien). Även i dessa fall torde dock sådana krav finnas med hänvisning till lagkrav avseende hanteringen av personuppgifter. Beträffande loggning vid åtkomst av trafikuppgifter har sex länder uttryckligen sagt att det har ett sådant krav. Ytterligare två länder anger att ett sådant krav torde följa av gällande lagstiftning avseende hantering av personuppgifter. Beträffande övriga länder framgår inte med tydlighet hur detta reglerats. Endast Kroatien har uttryckligen angett att de tillämpar ETSI:s specifikation TR när det gäller säkerhetskrav m.m. Fyra andra länder har hänvisat till att de tillämpar andra mer övergripande regler om informationssäkerhet. När det gäller särskilda regler om hantering av trafikuppgifter efter att lagringstiden löpt ut kan konstateras att i princip samtliga länder antingen raderar uppgifterna eller anonymiserar dem när de inte längre får sparas. En del länder reglerar detta i den lagstiftning som berör elektroniska kommunikationsnät- och tjänster. Övriga länder hänvisar till den lagstiftning som gäller för behandlingen av personuppgifter. Vissa länder, såsom Nederländerna ställer också krav på loggfiler som visar att radering skett. För några länder finns angivet inom vilken tid en radering ska ske. I Tyskland och Storbritannien kan som exempel nämnas att detta ska ske inom en månad från det att lagringstiden löpt ut. Nederländerna och Polen har särskilt nämnt att radering även ska ske av eventuella back-up kopior. När det gäller straff för brott mot bestämmelserna kan konstateras att flertalet länder har regler om detta och att någon form av tillsynsprocess kan inledas. I Tyskland kan som exempel nämnas att böter kan utgå om man registrerat felaktiga uppgifter, sparat uppgifter för länge eller om man använt oauktoriserad personal. Luxemburg har såväl böter som fängelse i straffskalan vid brott mot bestämmelserna. I Polen utgår straff för brott mot bestämmelserna i enlighet med de regler som finns avseende skydd av telehemlighet. 6.5 Åtkomst till uppgifter Under denna rubrik behandlas uppgifter om inom vilken tid en berörd tjänsteleverantör ska lämna ut uppgifterna från det att denne tagit del av ett giltigt beslut om utlämnande. Av sammanställningen framgår att åtta länder inte särskilt har reglerat detta i sin lagstiftning. I vissa fall regleras detta dessutom närmare i myndighetsförordningar (Schweiz) eller direkt i domstolsutslag (Spanien). En del länder kräver att ett utlämnande ska ske omedelbart eller utan dröjsmål (Danmark, Nederländerna, Storbritannien och Tyskland), eller så snart som möjligt (Polen), Andra länder har hänvisat till mer exakta tidsgränser. I Estland ska utlämnande ske så snart som möjligt men i icke-brådskande fall kan det Post- och telestyrelsen 39

40 dröja upp till 10 arbetsdagar och i akuta fall ska ett utlämnande ske inom 10 timmar. Även i Lettland skiljer man mellan olika fall. I vissa fall ska ett utlämnande ske inom 30 dagar, i andra fall inom 10 dagar och i akuta fall mellan 3 timmar ner till inom 1 timme. När det gäller tillämpningen av ETSI:s standard TS för gränssnittet mellan uppgiftslämnande och mottagande parter kan konstateras att Kroatien och Tyskland hänvisar till denna standard direkt. I andra länder kommer en del tjänsteleverantörer att använda standarden (Finland) eller så hänvisar man till delar av standarden kombinerat med egna inhemska krav (Frankrike, Schweiz och Storbritannien). För resterande länder har inte någon uppgift erhållits att standarden används i detta sammanhang. När det gäller kommunikationen mellan uppgiftslämnare och mottagare har sex länder inte närmare angett vilka krav som ställs, två av länderna (Polen och Tyskland) har angett att det ställs särskilda krav på denna kommunikation och ett land har angett att tillsynsmyndigheten kan utforma dessa krav (Slovenien). Andra länder har angett att kommunikation kan ske via dedikerade förbindelser (Finland), med fax och e-post med digital signatur (Danmark) samt i övrigt via fax och krypterad e-post (Frankrike, Irland, Lettland, Schweiz och Spanien). 6.6 Statistik När det gäller statistik över hur de aktuella trafikuppgifterna används i de olika länderna kan konstateras att de flesta länder hänvisar till att sådan statistik förs av justitiedepartementen respektive de brottsutredande myndigheterna. Av de inkomna svaren kan därför inte dras några mer konkreta slutsatser om hur omfattande statistik som finns i de olika länderna. 6.7 Kostnadsersättning Fem länder har lämnat frågor om kostnadsersättning helt obesvarade. Av resterande svar framgår att sju länder låter de berörda tjänsteleverantörerna bära samtliga kostnader (Danmark 40, Italien, Kroatien, Polen, Slovenien, Spanien och Tyskland 41 ). Några länder ersätter investeringar och vissa löpande kostnader (Finland, Frankrike, 42 Storbritannien och Tjeckien). 6.8 Konkurrensfrågor När det gäller konkurrensfrågor har Schweiz redogjort för att man undersöker möjligheten att hitta system som kan anpassas till mindre tjänsteleverantörer för att på så vis mildra effekterna av skyldigheten att lagra och lämna ut 40 Ersätter dock kostnader som hänför sig till utlämnande efter internationella förfrågningar. 41 Dock kan viss ersättning utgå för expertvittnen i samband med domstolsförhandlingar. 42 Anger att de ersätter system och dataåtkomst. Post- och telestyrelsen 40

41 trafikuppgifter. Tyskland redogör för att konkurrensfrågorna inledningsvis inte behandlats i någon större omfattning eftersom skyldigheten gäller lika för alla tjänsteleverantörer. Det har sedan visat sig i praktiken att de tjänsteleverantörer som endast får ett fåtal utlämnandeärenden relativt sett får en mer ansträngd finansiell situation i förhållande till de tjänsteleverantörer som får ett större antal förfrågningar. 6.9 Övriga rättsliga frågor Implementationen och tillämpningen av direktivet om trafikdatalagring har varit föremål för diskussioner och rättsliga prövningar i vissa av medlemsstaterna. I Rumänien har till exempel författningsdomstolen i oktober 2009 fastställt att de ändringar som genomförts i rumänsk lagstiftning för att möjliggöra lagring av trafikdata inte står i överensstämmelse med landets grundlag 43. I ett utslag av författningsomstolen i Tyskland konstateras också att implementationen i Tyskland av direktivet inte skett i överensstämmelse med den tyska grundlagen. Den tyska författningsdomstolen konstaterar dock att regler om sparande av trafikuppgifter i sig inte måste stå i strid med den tyska konstitutionen 44. Kommissionen har också i några fall inlett överträdelsetalan vid EG-domstolen mot medlemsstater som inte implementerat direktivet inom angiven tid. Kommissionen har således inlett överträdelsetalan gentemot Sverige, Österrike, Polen, Grekland, Nederländerna, Irland och Luxemburg. EG-domstolen har, när detta skrivs, konstaterat att Grekland, Irland, Sverige och Österrike underlåtit att i rätt tid implentera direktivet i de nationella lagarna. Den 6 juli 2006 anmälde Irland direktivet till EU-domstolen (Case C-301/06) 45. Man menade att direktivet tagits fram på fel grunder genom att det stödjer sig på första pelaren (om EU:s interna marknad) medan Irland ansåg att direktivet reglerade medlemsstaternas rättsystem och brottsbekämpning vilket ska stödja sig på den tredje pelaren. Den 10 februari 2009 meddelade EU-domstolen att Irlands talan avslogs. Direktivet om trafikdatalagring hade därmed enligt domstolens bedömning alltså inte tagits fram på felaktiga grunder. 43 Se länk: Post- och telestyrelsen 41

42 Figur 6 Domar av EU-domstolen. Källa: Cullen International, EU Telecom Flash Message 76/2010. Post- och telestyrelsen 42