Är FRA:s signalspaning förenlig med artikel 8 i Europakonventionen?

Transkript

1 Stockholms Universitet Är FRA:s signalspaning förenlig med artikel 8 i Europakonventionen? Uppsats HT 2009 Tove Åkerman Handledare: Mark Klamberg

2 Sammanfattning Denna uppsats behandlar frågan om den svenska signalspaningsverksamheten som bedrivs med stöd av signalspaningslagen är förenlig med enskildas rätt till respekt för sitt privatliv enligt artikel 8 i Europakonventionen. Vid en jämförelse med motsvarande brittisk och tysk lagstiftning som tidigare prövats av Europadomstolen kan konstateras att den svenska regleringen uppvisar mer likheter med den av Europadomstolen godkända tyska G 10 lagen än den underkända brittiska Interception of Communications Act. Det finns dock vissa potentiella problem med den svenska lagstiftningen delvis för att den skiljer sig från de tyska bland annat vad gäller restriktioner vid användning av information som inhämtats genom övervakning, men också för att det finns aspekter av den svenska signalspaningsverksamheten som inte tidigare varit föremål för Europadomstolens prövning, till exempel den så kallade utvecklingsverksamheten som kan anses relativt integritetskränkande. Det är svårt att med säkerhet förutse hur Europadomstolens prövning av den svenska signalspaningsverksamheten skulle utfalla men med beaktande av domstolens tidigare praxis och roll i förhållande till medlemsstaterna samt verksamhetens karaktär är det sannolikt att den svenska lagstiftningen anses förenlig med artikel 8.

3 Innehållsförteckning 1 Inledning Ämne och syfte Metod, material och avgränsningar Underrättelseverksamhet Underrättelsecykeln Signalspaning tekniken Vissa begrepp Artikel 8 i Europakonventionen Översikt Tillämplighet Inskränkning av artikel Tillåtna inskränkningar av artikel Laglighetskravet i relation till hemlig övervakning Generellt om laglighetskravet Tillgängligheten Förutsebarheten Rule of Law Minimikrav enligt laglighetskravet Legitimt syfte Nödvändig i ett demokratiskt samhälle Generellt I relation till hemlig övervakning Liknande lagstiftningar som prövats av Europadomstolen Inledning och gemensamma drag Tyskland: G 10 lagen (Gesetz zur Beschränkung des Brief-, Post- und Fernmeldegeheimnisses)...28

4 4.2.1 Tillämplig lagstiftning Tillåtna övervakningsändamål Vilken typ av kommunikation avlyssnades? Tillståndsförfarandet Inhämtning och vidarebefordring Radering av inhämtade uppgifter Vidarebefordring till andra stater och internationella organisationer Enskildas rättigheter Kontroll och Tillsyn Storbritannien: IOCA (the Interception of Communications Act 1985) Tillämplig lagstiftning Tillåtna övervakningsändamål Vilken typ av kommunikation avlyssnades Tillståndsförfarandet Begränsningar vid lagring, bearbetning och vidarebefordring Tillsyn och möjlighet till rättslig prövning Den svenska lagstiftningen Relevant lagstiftning Överblick Tillåtna övervakningsändamål Övervakningsändamål i försvarsunderrättelseverksamhet Övervakningsändamål i utvecklingsverksamhet Vilken typ av kommunikation avlyssnas? Förhandskontroll (Tillståndsförfarande) Ansökningsförfarandet Tillståndsmyndighet Tillståndsprövning Tillståndets omfattning Inhämtning Behandling av personuppgifter Relevanta författningar Generella krav...48

5 5.7.3 Känsliga uppgifter Förstöringsskyldighet Reflektioner kring personuppgiftsregleringens effektivitet Lagring (Databaser) Trafikdatalagring Vidarebefordring Generella begränsningar Vidarebefordring i underrättelseverksamhet Vidarebefordring i utvecklingsverksamheten Vidarebefordring till andra länder och internationella organisationer Efterhandskontroll (Tillsyn) Datainspektionen Integritetsråd inom FRA Statens inspektion för försvarsunderrättelseverksamhet Enskildas rättigheter och rättsmedel Begränsningar av den enskildes insyn p g a sekretessbestämmelser Rätt till information vid behandling av personuppgifter Underrättelseskyldighet då personuppgifter används som sökbegrepp Rätt till utredning av om kommunikation har avlyssnats i strid med lag Begäran av rättelse, blockering eller förstöring av personuppgifter Analys Översikt Generellt om domstolens prövning Laglighetskravet Framgår det vilka typer av brott som kan aktualisera övervakningstillstånd? Framgår det vilken grupp som riskerar att få sin kommunikation avlyssnad? Framgår tidsbegränsning för övervakningstillstånd? Framgår processen som ska följas då kommunikation lagras, undersöks och används? Framgår det vilka försiktighetsåtgärder som ska vidtas vid vidarebefordring av material till tredje part?...80

6 6.3.6 Framgår det under vilka omständigheter inhämtad information får respektive måste raderas eller förstöras? Sammanfattning Legitima syften Nödvändigt i ett demokratiskt samhälle Tolkningsmarginalen Potentiella problem i proportionalitetshänseende Tillgången till trafik enligt den svenska regleringen Förstöringsskyldighet Utvecklingsverksamheten Ändamålsglidning Vidarebefordring till andra stater och internationella organisationer Kontrollförfarande Enskildas rättigheter Avslutande tankar Källförteckning...106

7 Förkortningar BND Bundesnachrichtendienst Dataskyddskonventionen Europarådets konvention från år 1981 om skydd för enskilda vid automatisk databehandling av personuppgifter Europadomstolen Europeiska domstolen för de mänskliga rättigheterna Europakonventionen Den europeiska konventionen angående skydd för de mänskliga rättigheterna och de grundläggande friheterna G 10 lagen Gesetz zur Beschränkung des Brief-, Post- und Fernmeldegeheimnisses FPuF Förordning (2007:261) om behandling av personuppgifter i Försvarets radioanstalts försvarsunderrättelse- och utvecklingsverksamhet. FPuL Lag (2007:259) om behandling av personuppgifter i Försvarets radioanstalts försvarsunderrättelse- och utvecklingsverksamhet. FRA Försvarets radioanstalt FSF Förordning (2008:923) om signalspaning i försvarsunderrättelseverksamhet FUD Förvarsunderrättelsedomstolen FuvL Lag (2000:130) om försvarsunderrättelseverksamhet IOCA Interception of Communications Act 1985 ICT Interception of the Communications Tribunal ISA Intelligence Service Act 1994 LEK Lag (2003:389) om elektronisk kommunikation LSF Lag (2008:717) om signalspaning i försvarsunderrättelseverksamhet PuL Personuppgiftslagen (1998:204) RB Rättegångsbalk (1942:740) RF Regeringsformen (1974:152) OSL Offentlighets- och sekretesslagen (2009:400)

8 1 Inledning 1.1 Ämne och syfte Staten har bedrivit signalspaning sedan lång tid tillbaka. Tidigare (innan signalspaningslagen antogs) bedrevs signalspaningen utan uttryckligt lagstöd i enlighet med principen att etern är fri och att vem som helt får avlyssna radiobefordrade meddelanden. 1 Införandet av signalspaningslagen (den så kallade FRA-lagen) har därför på vissa sätt inneburit framsteg för mänskliga rättigheter eftersom signalspaningsverksamheten är relativt utförligt reglerad jämfört med tidigare. All signalspaning sker numera med uttryckligt stöd i lag. Det är dock inte införandet av ett lagstöd för signalspaning som ådragit sig mest uppmärksamhet utan att spaningsmandatet genom signalspaningslagen har utökats till trådburen kommunikation (tidigare har alltså enbart eterburen kommunikation avlyssnats). Detta innebar en avsevärd utökning av den mängd trafik staten får tillgång till vilket har skapat stor debatt, det har talats om integritetsintrång av aldrig tidigare skådad omfattning. 2 Från regeringens sida motiverades utvidgningen av mandatet med att detta var nödvändigt för att bevara och stärka underrättelseverksamheten, då en helt dominerande del (98 procent 3 ) av den elektroniska kommunikationen från och till Sverige idag sker via tråd eller kabel. 4 Antagandet av en reglering som signalspaningslagen väcker en mängd olika frågor. I vilken utsträckning är denna typ och omfattning av övervakning nödvändig? Hur utförligt ska den regleras? Är den effektiv i förhållande till syftet, att upptäcka och förebygga hot mot det svenska samhället? Är det som uppnås med spaningen tillräckligt för att motivera inskränkningen i respekten för den enskildes privatliv? Hur bedömer man ett integritetsintrångs allvarlighet? Vad är avgörande, vilken trafik som staten rent tekniskt bereder sig tillgång till eller vilken information staten rent rättsligt får ta del av? Enligt den nuvarande regleringen får staten tillgång till all gränsöverskridande trådburen kommunikation, men den får dock inte ta del av eller lagra all denna information utan det finns en mängd rättsliga begränsningar. Frågan är då om bedömningen av integritetsintrånget ska utgå från den information de statliga myndigheterna faktiskt har tillgång till eller den information de rättsligt sett får ta del av? Svaret påverkas av vilket förtroende man har för de statliga myndigheterna. Litar vi på att de håller sig till reglerna? Hur pass effektiva kan kontrollorganen vara? Underrättelseverksamheten är 1 Prop 2006/07:63. 2 Se exempelvis /08:FöU15, s Prop 2006/07:63 s 57. 8

9 till reglerna? Hur pass effektiva kan kontrollorganen vara? Underrättelseverksamheten är av naturliga skäl i stor utsträckning omgärdad av sekretess vilket innebär begränsade möjligheter till insyn och kontroll. Den rättsliga regleringens karaktär är också av betydelse, det vill säga hur mycket absoluta förbud finns det i motsats till skönsmässiga kriterier av typen att information som är relevant för ändamålet får avlyssnas? Vem gör i så fall dessa skönsmässiga bedömningar? Hur stort utrymme lämnas till statsmakten? En annan aspekt att beakta är att vi inte vet hur vårt samhälle kommer se ut i framtiden, vem eller vilka som kommer att vara i maktposition. Kanske byggs det tack vare den nuvarande regleringen upp ett system för inhämtning och lagring av kommunikation i omfattande databaser som i framtiden kan komma att användas för ett i dag otänkbart eller oförutsett syfte. Utöver detta är det i princip omöjligt att undvika risk för missbruk på tjänstemannanivå. I förhållande till denna risk är all lagring riskfylld utifrån ett integritetsperspektiv eftersom det alltid finns en risk för att rättsligt otillåtna sökningar och sammanställningar görs. Vad som är rätt eller fel, lämpligt eller olämpligt, acceptabelt eller oacceptabelt i dessa sammanhang är onekligen inte helt lätt att svara på och beror på vem man frågar. Rättsligt sett finns det dock begräsningar bland annat i from av Europakonventionen 5, närmare bestämt artikel 8 som skyddar enskildas rätt till respekt för sitt privatliv. Vid en prövning av förenligheten med artikel 8 i Europakonventionen prövar Europadomstolen (domstolen) 6 om rätten till privatliv har inskränkts. Om en inskränkning har skett prövar domstolen dessutom om denna hade stöd i nationell lag och om inskränkningen varit nödvändig i ett demokratiskt samhälle med hänsyn till ett av de i konventionen angivna syftena, som exempelvis skydd för nationell säkerhet. Europadomstolen har i ett antal fall prövat om hemlig övervakning skett i enlighet med konventionen. Den 14 juli 2008 lämnade organisationen Centrum för Rättvisa in ett klagomål avseende signalspaningsregleringen till Europadomstolen. 7 Klagomålet är i skrivande stund inte kommunicerat till den svenska regeringen. Syftet med denna uppsats är att försöka förutse hur Europadomstolens prövning av den svenska signalspaningsverksamhetens förenlighet med artikel 8 skulle utfalla. 5 I det följande kommer Europakonventionen även att omnämnas konventionen. Vid hänvisningar till artiklar är det denna konvention som avses om inte annat anges. 6 Europadomstolen kommer i denna framställning att benämnas domstolen då detta låter sig göras utan risk för missförstånd om vilken domstol som avses. 7 Klagomålet finns tillgängligt på Centrum för Rättvisas hemsida 9

10 1.2 Metod, material och avgränsningar I den inledande delen av uppsatsen ges en översiktlig modell för underrättelseverksamhetens grunder och principer och informationens livscykel i denna verksamhet samt en kort redogörelse för signalspaningens roll i underrättelseverksamheten. Därefter följer en beskrivning av de tekniska aspekter som är nödvändiga att känna till för att kunna ta till sig regleringen samt en genomgång av vissa centrala begrepp. I efterföljande kapitel görs en allmän redogörelse för enskildas rättigheter enligt artikel 8 i förhållande till hemlig övervakning och de för prövningen relevanta principer som följer av Europadomstolens praxis. Domstolen har i ett antal fall prövat om hemlig övervakning (liknande den svenska signalspaningsverksamheten) varit förenlig med artikel 8 i konventionen. Denna framställning fokuserar på prövningarna av Storbritanniens respektive Tysklands lagstiftning 8, då dessa enligt min bedömning är mest lika den svenska regleringen. Ytterligare en anledning till detta är att ett flertal av de övriga fallen som prövats har Europadomstolen dessutom lagt vikt vid att det finns tydliga indikationer på att systemet missbrukats och att det funnits grundläggande brister i rättssäkerheten som enligt min mening saknar motsvarighet i Sverige. 9 I uppsatsens fjärde del redogörs för den brittiska IOCA och den tyska G 10 lagen. Dessa redogörelser utgår från själva lagtexten samt Europadomstolens beskrivning av den. Praxis, förarbeten eller doktrin har inte beaktats utöver Europadomstolens redogörelser, då det primärt är Europadomstolens uppfattning om lagstiftningen som är relevant för analysen. Vad gäller den tyska lagstiftningen har dock ett avgörande från den tyska konstitutionella domstolen beaktats, då denna modifierat lagstiftningen och dessa ändringar har beaktats av Europadomstolen. I uppsatsens femte del redogörs för den svenska regleringen. Själva signalspaningslagen är den centrala regleringen avseende övervakning av elektronisk kommunikation men för att förstå lagstiftningens konsekvenser måste även ett antal andra bestämmelser beaktas. Vid redogörelsen av dessa används de traditionella rättskällorna, det vill säga lagstiftning, förarbeten, praxis och doktrin och tolkning av dessa sker enligt gängse tolkningsprinciper. Under hösten 2008 träffades en politisk överenskommelse mellan regeringspartierna i syfte att stärka 8 Liberty and Others v. the United Kingdom och Weber and Saravia v. Germany. 9 Se bl. a. Association for European Integration and Human Rights and Ekimdzhiev v. Bulgaria och Iordachi and Others v. Moldova. 10

11 skyddet för den personliga integriteten i försvarsunderrättelseverksamheten. 10 En proposition utarbetades för att förverkliga överenskommelsen och lämnades av regeringen den 20 maj Denna uppsats utgår från den nu gällande lagstiftningen inklusive de i propositionen föreslagna ändringarna. Vid paragrafhänvisningar används den numrering som kommer att gälla om den i propositionen föreslagna lagstiftningen antas. I denna framställning bortses från de särskilda (tidsbegränsade) tillsyns- och utvärderingsuppdrag regeringen tilldelat bland andra Datainspektionen 12 enbart de kontroll- och tillsynsfunktioner som följer av lagstiftningen beaktas. I det sjätte och avslutande kapitlet analyseras om den svenska lagstiftningen är förenlig med artikel 8 i Europakonventionen och hur en framtida prövning i Europadomstolen skulle utfalla. Denna analys sker utifrån Europadomstolens bedömningar i liknande fall och mot bakgrund av de generella principer som utvecklats i domstolens praxis. Även domstolens funktion och roll i det europeiska samfundet beaktas. 10 Prop 2008/09:201 s Prop 2008/09: Se (dnr) FÖ2009/355/SUND 11

12 2 Underrättelseverksamhet Underrättelseverksamheten definieras vanligtvis som metoder och processer för att inhämta, bearbeta, analysera och delge information. 13 Syftet är att denna information skall användas som kompletterande underlag för regeringens och andra myndigheters bedömningar och beslut. 14 Ofta rör det information som är svåråtkomlig, antingen för att själva informationen är svår att få tillgång till eller för att den är svår att överblicka eller analysera. 2.1 Underrättelsecykeln För att lättare kunna förstå och analysera underrättelseprocessen och signalspaningens funktion i underrättelseverksamheten kan den s.k. underrättelsecykeln användas. Den kan sägas illustrera arbetsfördelningen inom underrättelseverksamheten men också informationsflödet i denna typ av verksamhet. Genom att sammanföra moment från en modell för underrättelseverksamhet i stort 15 med de i en mer specifik modell för informationens livscykel 16 inom denna underrättelseverksamheten görs nedan ett försök att åskådliggöra vilka faktorer som måste beaktas vid utformning och reglering av signalspaningsverksamhet. Det är viktigt att ha i åtanke att det är fråga om en ständigt pågående process och de nedan angivna stegen sker inte nödvändigtvis i kronologisk ordning Planering. Detta moment avser hur underrättelsebehovet i praktiken ska tillgodoses, vem som ska samla in information, under vilken tidsperiod och i vilken omfattning. 18 Planen ska idealt sett sträcka sig över alla underrättelseverksamhetens led och kan således ses som ett ramverk och ledningsinstrument för hur underrättelsearbetet får och ska gå till. Ju mer föränderliga behoven är desto mer flexibel behöver planen vara; exempelvis i signalspaning är det vanliga att man inte vet exakt vad det är för information man söker förrän man genomfört viss inhämtning och analys. Det kan då vara viktigt att snabbt kunna ändra inriktning eller omfattning på spaningen 19 Mot bakgrund av detta kan en alltför rigid lagstiftning vara problematisk. 13 Agrell s 20 f. Denna och övrig terminologi i detta avsnitt används i viss utsträckning i förarbetena till LSF, se bland annat Prop 2006/07:63 s 17 ff. 14 Prop 2006/07:63 s Agrell, s Committee on Technical and Privacy Dimensions of Information for Terrorism Prevention and Other National Goals, National Research Council, Protecting Individual Privacy in the Struggle Against Terrorists: A Framework for Assessment, National Academies Press, Washington D.C., 2008, bilaga B. 17 Agrell, s Agrell, s Agrell, s

13 - Formulering av behovet och syftet med underrättelseverksamheten Detta är ett av de viktigaste momenten i underrättelsecykeln eftersom det genomsyrar utformningen av övriga delar av cykeln. 20 Underrättelsebehovet ger svar på vilken information som ska samlas in. Definitionen av syftet och målet med övervakningen är avgörande för vilken information som selekteras ur de enorma mängder data som finns tillgängligt. Formuleringen av underrättelsebehovet bör ske av de som ska använda sig av underrättelserna. 21 Dessa aktörer har ofta rättsliga ramar att hålla sig inom, såsom att signalspaning får ske i syfte att kartlägga militära attacker mot landet eller att bekämpa terrorism. Inom dessa ramar definieras sedan underrättelsebehovet ytterligare. Både de yttersta rättsliga gränserna samt processen för den utförligare specificeringen har stor betydelse för signalspaningsverksamhetens effektivitet, men som vi kommer att se påverkar dessa även hur integritetskränkande verksamheten är. - Inhämtning. Detta moment avser själva insamlingen av information vilket kan ske antingen manuellt eller automatiserat. 22 Vid insamlingen är de två viktigaste faktorerna i effektivitetshänseende tillgång och selektion, 23 med andra ord för det första vilken information man har möjlighet och behörighet att samla in, och för det andra vilken av den tillgängliga informationen som sedan väljs ut för vidare bearbetning. De vanligaste metoderna för inhämtning av information som inte är öppet tillgänglig, både i Sverige och andra länder, är personbaserad inhämtning och signalspaning Bearbetning. Det är genom bearbetning som informationen omvandlas till underrättelser, och detta moment kan indelas i grundbearbetning, analys och värdering. 25 Underrättelser är värderad och analyserad information. Ibland krävs viss grundbearbetning av rådata innan analys och värdering kan ske. Detta arbete kan exempelvis vara fråga om översättningar från ett främmande språk eller dechiffrering av krypterad information. Om det är frågan om att mycket stora informationsvolymer samlas in, som exempelvis vid signalspaning, kan det vara nödvändigt att göra sammanställningar av informationen (bearbetning och sortering med hjälp av statistiska metoder) innan det är möjligt att analysera och värdera den insamlade informationen. 26 Den bearbetade informationen blir underrättelser först när den värderas och dess innebörd tolkas. Detta kan ske genom att informationen sammanfogas eller förändras men också genom att den sätts i ett sammanhang eller kontext Agrell s Agrell s Committee on Technical and Privacy Dimensions of Information for Terrorism Prevention and Other National Goals, National Research Council, Protecting Individual Privacy in the Struggle Against Terrorists: A Framework for Assessment, National Academies Press, Washington D.C., 2008, s Agrell s Prop 2006/07:63 s Agrell s Agrell s 28 f. 27 Agrell s

14 - Delgivning. Målet för detta steg är att underrättelsetjänsten förmedlar sin analys av det insamlade materialet till underrättelsemottagarna. Här uppstår bland annat frågor såsom till vem och i vilket skick materialet skall och får förmedlas samt vilken sekretess som gäller vid vidareförmedling. Även om det ibland är lämpligt att mottagaren av underrättelserna analyserar informationen vidare, bör den grundläggande analysen i princip alltid genomföras innan delgivning eftersom rådata kan vara lätt att feltolka samt vara känslig ur sekretesshänseende Kontroll och tillsyn. Underrättelseverksamheten bör kontinuerligt övervakas och utvärderas för att säkerställa att den bedrivs i enlighet med gällande reglering samt är effektiv i förhållande till underrättelsebehovet. 29 I denna uppsats ligger fokus på den rättsliga kontrollen. Det kan vara fråga om förhandskontroll i form av tillståndsprövning, men också efterhandskontroll i form av den tillsynsmyndighet som kontrollerar och utövar tillsyn av den genomförda och påbörjade spaningsverksamheten. - Lagring och förstöringsskyldighet. Informationen som inhämtas måste antingen lagras eller raderas. Det bör därför finnas reglering avseende hur och under vilka omständigheter den insamlade informationen lagras och när informationen kan, får eller måste behållas respektive raderas. 30 Avgörande faktorer för radering kan vara uppgifternas ålder eller informationens karaktär. Lagstiftning för lagring av information liksom förstöringsskyldighet kan inte vara bunden till ett visst moment i informationens livscykel utan måste gälla i alla stadier. I praktiken regleras detta till exempel genom regler om hur gallring måste ske efter en viss tid eller hur förstöringsskyldighet skall åstadkommas för vissa typer av särskilt känslig information. Raderings av uppgifter är inte alltid att föredra ur integritetssynpunkt. För att enskilda effektivt ska kunna få prövat om deras rättigheter har kränkts kan det vara en förutsättning att de inhämtade uppgifterna har sparats. 2.2 Signalspaning tekniken Signalspaning innebär inhämtning och registrering av olika signaler. Det kan vara fråga om inhämtande av eterburna signaler som förmedlas med hjälp av radiovågor eller trådburna signaler som förmedlas i kablar. Trådburen kommunikation kan enbart avlyssnas om själva kabeln är åtkomlig. 31 En effektiv signalspaning bygger på (i) att stora trafikvolymer kan spanas 28 Agrell s Committee on Technical and Privacy Dimensions of Information for Terrorism Prevention and Other National Goals, National Research Council, Protecting Individual Privacy in the Struggle Against Terrorists: A Framework for Assessment, National Academies Press, Washington D.C., 2008, s 123 f. 30 Committee on Technical and Privacy Dimensions of Information for Terrorism Prevention and Other National Goals, National Research Council, Protecting Individual Privacy in the Struggle Against Terrorists: A Framework for Assessment, National Academies Press, Washington D.C., 2008, s 122 och Betänkande den 11 juli 2001 om förekomsten av ett globalt avlyssningssystem för kommunikation från privatpersoner och företag (avlyssningssystemet ECHELON) (PE A /01) s

15 av för att få en bild av det normala trafikflödet och (ii) en mycket selektiv sökprocess för att skilja ut den information som är av intresse för underrättelsearbetet. 32 I den svenska regleringen av signalspaning avseende trådburen trafik har man valt att utforma selekteringsprocessen på följande sätt. Staten får tillgång till all gränsöverskridande kommunikation genom att de får access till operatörernas kablar. I varje kabel finns det ett antal vad man i förarbetena har kallat signalbärare. 33 Signalbärare har definierats som det minsta fysiska medium genom vilket signaler kan överföras. I den aktuella tekniken motsvarar en signalbärare en enstaka fiberkärna i en optisk fiberkabel. En kabel kan innehålla ett hundratal signalbärare (fiberkärnor). 34 Den första selektionen görs genom att de signalbärare som tros innehålla relevant och intressant kommunikation väljs ut. Sen sker en automatiserad selektion av kommunikationen i de aktuella signalbärarna med hjälp av sökbegrepp. Först efter denna filtrering får trafiken lagras och kan sparas för ytterligare bearbetning och analys. Det är alltså först i detta skede som FRA får ta del av innehållet i informationen. Sedan måste dessa stora mängder information bearbetas, ofta dekrypteras, för att sedan analyseras och rapporteras. 35 Det är inte enbart informationsinnehållet som är av intresse, utan det kan även vara av värde att få en bild av det normala trafikflödet. 36 I förarbetena till LSF anges att signalspaning innebär att man söker efter det i förväg okända och syftet är oftast inte att bekräfta befintlig kunskap eller misstanke, utan spaning sker (åtminstone inledningsvis) brett och förutsättningslöst Vissa begrepp Det finns anledning att förklara valet och användningen av en del uttryck som förekommer i denna uppsats. Europadomstolens begreppsanvändning har bland annat på grund av den tekniska utvecklingen inte varit helt konsekvent, exempelvis talas ibland om telekommunikation och ibland om elektronisk kommunikation. I denna framställning används elektronisk kommunikation som en sammanfattande term för tele- och datakommunikation. Det bör även uppmärksammas att elektronisk kommunikation i detta sammanhang inte bara innefattar kommunikationens innehåll utan också så kallad trafikdata vilket är information om kommunikationen så som mellan vilka den skett och vid vilken tidpunkt. 32 Prop 2006/07:63 s Detta torde vara en juridisk snarare en än teknisk term, se bl. a. Lagrådsremiss, Förstärkt integritetsskydd vid signalspaning s Lagrådsremiss, Förstärkt integritetsskydd vid signalspaning, s 35 f. 35 SOU 2003:34 s 84 f. 36 Prop 2006/07:63 s Prop 2006/07:63 s

16 Signalspaning innebär som förklarats ovan inhämtandet av elektronisk kommunikation och kommer i denna uppsats att omnämnas hemlig övervakning. 38 Med övervakning avses här alla steg inom signalspaning (inhämtning, bearbetning, lagring och vidarebefordring). Det är fråga om hemlig övervakning i den bemärkelsen att en individ inte vet när han eller hon övervakas och inte att individer är helt ovetandes om att övervakning sker. Hemlig övervakning kan avse information som staten bereder sig tillgång till exempelvis genom signalspaning men även inhämtning av information som är allmänt tillgänglig. I Sverige inhämtas även information från öppna källor i form av information från exempelvis hemsidor på Internet, även detta betecknas här som hemlig övervakning i den mån enskilda inte kan förutse att viss specifik information inhämtas och används på ett visst sätt. Vad gäller personuppgifter är utgångspunkten den sedvanliga definitionen enligt svensk rätt (se vidare avsnitt 5.7). Ett annat begrepp som förekommer är strategisk övervakning, detta används i motsats till individuell övervakning där övervakning sker av en individ mot vilken en skälig misstanke om brott konstaterats. Med strategisk övervakning avses i denna framställning övervakning i syfte att kartlägga vissa på förhand definierade företeelser genom övervakning av stora trafikmängder utan tidigare individualiserad misstanke. Den definition överresstämmer förövrigt med förarbetens definition av signalspaning 39 varför detta ska ses som en form av strategisk övervakning. Slutligen kan det vara värt att notera med övervakningsändamål avses de ändamål för vilka lagstiftningen tillåter att strategisk spaning sker. 38 För en definition av hemlig teleavlyssning respektive hemlig teleövervakning enligt svenska förarbeten se SOU 2009:66 s 52 f. 39 Prop 2006/07:63 s

17 3 Artikel 8 i Europakonventionen 3.1 Översikt Enligt Europakonventionens artikel 8 har var och en rätt till skydd för sitt privatliv. Det är en så kallad relativ rättighet, vilket innebär att staten får vidta åtgärder som innebär att enskildas skydd för privatliv inskränks om detta sker enligt de villkor som stipuleras i artikelns andra stycke. Systematiken vid tillämpande av artikel 8 i förhållande till en specifik åtgärd från statens sida (t e x hemlig övervakning) är följande. Först måste konstateras att artikel 8 överhuvudtaget är tillämplig, det vill säga att det är fråga om en företeelse som skyddas av konventionen. Om artikeln är tillämplig prövas om statens åtgärd har inneburit en inskränkning av denna konventionsrättighet. Alla åtgärder från statens sida i förhållande till en konventionsskyddad företeelse innebär inte en inskränkning, tröskeln torde dock vara mycket låg. 40 När en inskränkning väl konstaterats är frågan om denna haft ett legitimt syfte och varit nödvändig i ett demokratiskt samhälle. Om denna systematik tillämpas konkret på signalspaningsverksamheten i förhållande till artikel 8 blir första frågan om elektronisk kommunikation överhuvudtaget omfattas av begreppet privatliv. Om så är fallet är artikel 8 tillämplig och då följer frågan om statens övervakning av sådan kommunikation innebär en inskränkning i rätten till skydd för privatlivet. Är svaret ja, måste övervakningen för att vara konventionsenlig ske med stöd i lag och anses nödvändig i ett demokratiskt samhälle i förhållande till ett i artikel 8 angivet syfte. Nedan redogörs för dessa kriterier och vad de har för innebörd i kontexten hemlig övervakning Tillämplighet 1. Var och en har rätt till skydd för sitt privat- och familjeliv, sitt hem och sin korrespondens. Begreppen korrespondens och privatliv är så kallade konventionsautonoma uttryck, vilket innebär att staterna inte kan göra egna tolkningar av deras innebörd. 41 Av Europadomstolens praxis framgår att telekommunikation, fax och innefattas av begreppen korrespondens och privatliv och artikel 8 är därför tillämplig på övervakning av elektronisk kommunikation. 42 Även så kallad trafikdata (uppgifter om vem som har kommunicerat med vem och 40 Clayton & Tomlinson, s 1119 f. 41 Jfr Clayton & Tomlinson, s 305 f. 42 Liberty and Others v. the United Kingdom, para. 56. Se även Wieser and Bicos Beteiligungen GmbH v. Austria, para 45 vari det bekräftas att elektroniska dokument omfattas av begreppet korrespondens. 17

18 vid vilken tidpunkt) omfattas. 43 Skyddet enligt artikel 8 gäller även i förhållande till juridiska personer Inskränkning av artikel 8 Vilka åtgärder från statens sida i förhållande till den elektroniska kommunikationen kan då innebära inskränkningar av rättigheterna enligt artikeln? Domstolen har i sin praxis funnit att både insamling, förvaring och spridning av personuppgifter innebär inskränkningar av artikel Med personuppgifter avses uppgift som kan hänföras till en identifierad eller identifierbar individ. 46 Värt att notera är att det spelar ingen roll om uppgifterna inte är att betrakta som speciellt känsliga eller personliga, det räcker att det är fråga om personuppgifter för att en inskränkning ska aktualiseras. 47 Däremot kan det tänkas att inskränkningens allvarlighet kan variera beroende på de aktuella personuppgifternas karaktär. 48 Det behöver inte vara fråga om hemliga uppgifter utan även inhämtningen och lagringen av personuppgifter från öppna källor som är tillgängliga för allmänheten kan innebära inskränkningar av rättigheterna enligt artikel Utgångspunkten för bedömningen av vad som innebär en inskränkning av artikel 8 torde vara vad en enskild skäligen kan förvänta sig. Av Perry v. the United Kingdom framgår att till exempel även i fall enskilda är medvetna om att övervakning sker så kan behandling av inhämtad information som inte skäligen kunnat förutses av den enskilda innebära en inskränkning i rätten till privatliv. 50 I förhållande till hemlig övervakning innebär artikel 8 i första hand att stater har negativa skyldigheter att avstå från övervakning. Domstolen har dock fastslagit att om insamling och lagring av personuppgifter sker har staterna positiva skyldigheter att säkerställa att informationen förvaras på ett säkert sätt och även att utreda eventuella läckor. 51 Mot bakgrund av ovannämnd praxis står det klart att i den mån hemlig övervakning sker är detta en inskränkning av enskildas rättigheter enligt artikel 8. Europadomstolen har dock i sin 43 Malone v. the United Kingdom, para Association for European Integration and Human Rights and Ekimdzhiev v. Bulgaria, para 60, Weber and Saravia v. Germany, para 77 (och däri angivna källor), Wieser and Bicos Beteiligungen GmbH v. Austria, para 67. När begreppet enskilda används i denna framställning innefattas således även juridiska personer. 45 Se bl. a. Amann v. Switzerland [GC], para 65, Leander v. Sweden, para 48 och Rotaru v. Romania [GC], para 46. Jfr även Moreham, s 62 f. 46 Denna definition återfinns i artikel 2 i Europarådets konvention från år 1981 om skydd för enskilda vid automatisk databehandling av personuppgifter [cit Dataskyddskonventionen], och kan tänkas tillmätas betydelse då Europakonventionen ska tolkas i ljuset av andra internationella åtaganden (jfr artikel 53 Europakonventionen). 47 Amann v. Switzerland [GC], para S. and Marper v. the United Kingdom [GC], para Perry v. the United Kingdom, para Perry v. the United Kingdom, para 38 ff. Jfr även Clayton & Tomlinson, s Craxi v. Italy (no. 2), paras och S. and Marper v. the United Kingdom [GC], para 103. Jfr Moreham s 64. En sådan skyldighet följer även av artikel 7 Dataskyddskonventionen. 18

19 praxis gått steget längre och har fastslagit att redan existensen av en lagstiftning som möjliggör hemlig övervakning av elektronisk kommunikation i sig innebär en inskränkning av enskildas rättigheter enligt artikel 8 oavsett om de de facto avlyssnats eller inte. 52 Strategisk övervakning innebär att stora mängder kommunikation inhämtas, bearbetas och analyseras och enligt Europadomstolens praxis kan detta innebära separata inskränkningar av artikel 8 i flera av dessa steg. 53 Redan existensen av följande typer av lagstiftning utgör separata inskränkningar av rätten till privatliv enligt artikel 8. - Lagstiftning som tillåter hemlig övervakning av telekommunikation Bestämmelser som möjliggör inhämtandet av information om vilka som har kommunicerat med varandra och vid vilken tidpunkt (utan att innehållet i kommunikationen avlyssnas) Bestämmelser som möjliggör överföring av data för användning hos andra myndigheter då detta innebär att den avlyssnade kommunikationen (inklusive inhämtade personuppgifter) sprids till en större grupp och kan leda till att åtgärder vidtas gentemot den avlyssnade. - Bestämmelser som innebär förstöring av inhämtad data. - Förbud att underrätta enskilda som har avlyssnats. 56 Om bestämmelser av ovanstående karaktär förekommer i den nationella lagstiftningen innebär detta således att staten inskränker enskildas rätt till respekt för sitt privatliv. Detta utgör dock inte per definition en konventionskränkning då artikel 8 inte är en absolut rättighet utan vissa inskränkningar är tillåtna Tillåtna inskränkningar av artikel 8 Artikel 8.2 i Europakonventionen preciserar tillåtna nationella inskränkningarna av artikel Offentlig myndighet får inte ingripa i denna rättighet annat än med stöd av lag och om det i ett demokratiskt samhälle är nödvändigt med hänsyn till den nationella säkerheten, den allmänna säkerheten eller landets ekonomiska välstånd, till förebyggande av oordning eller brott, till skydd för hälsa eller moral eller till skydd för andra personers fri- och rättigheter. 52 Liberty and Others v. the United Kingdom, para 56 (och däri angivna källor), Weber and Saravia v. Germany, paras Weber and Saravia v. Germany, para 79 (och däri angivna källor). 54 Liberty and Others v. the United Kingdom, para 56 och Weber and Saravia v. Germany, para Malone v. the United Kingdom, para Weber and Saravia v. Germany, para

20 För att staten ska få övervaka elektronisk kommunikation krävs således att övervakningen (i) har stöd i lag 57, (ii) har ett i artikeln angivet legitimt syfte och (iii) kan anses nödvändig i ett demokratiskt samhälle för att tillgodose detta syfte. Dessa tre aspekter tas upp i avsnitt Då det är frågan om ett undantag från en konventionsrättighet ska artikel 8.2 enligt domstolens praxis tolkas restriktivt Laglighetskravet i relation till hemlig övervakning Generellt om laglighetskravet Laglighetskravet i artikel 8.2 innebär att de åtgärder som utgör inskränkningar av enskildas rättigheter måste ha stöd i den nationella lagstiftningen samt att lagstödet måste leva upp till vissa kvalitativa krav. Lagstiftningen ska vara (i) tillgänglig, (ii) förutsebar för enskilda och (iii) förenlig med the rule of law. 59 Kraven på lagens förutsebarhet varierar bland annat beroende på vilket område lagen reglerar. 60 Dessa tre krav behandlas i avsnitt och konsekvenserna summeras i Tillgängligheten Bedömningen av lagstiftningens tydlighet begränsar sig inte till de föreskrifter som meddelats i lagform. Det är tillgängligheten snarare än källan som är avgörande. Vid förutsebarhetsbedömningen måste därför även instruktioner och administrativ praxis (administrative practices) beaktas i den mån de är tillgängliga för enskilda som berörs av övervakningen. 61 Mot bakgrund av detta saknar det relevans om man har valt förordnings- eller lagform. Även förarbetsuttalanden torde kunna påverka bedömningen av lagens förutsebarhet då dessa är tillgängliga för enskilda. Av Silver and Others v. the United Kingdom framgår att lagstiftningen bör tydligt indikera handlingsutrymmet för de verkställande myndigheterna men att detaljerna i genomförande och villkoren för detta inte behöver stadgas just i lagform I det följande benämnt laglighetskravet. 58 Klass and Others v. Germany, para ,Association for European Integration and Human Rights and Ekimdzhiev v. Bulgaria, para 71, Liberty and Others v. the United Kingdom, para 59 och Weber and Saravia v. Germany, paras 84, Clayton & Tomlinson, s Se bl. a. Christie v. the United Kingdom, s 14, Leander v. Sweden, para 51 och Liberty and Others v. the United Kingdom, para Silver and Others v. the United Kingdom, paras 88-89, se även Malone v. the United Kingdom, para

21 3.2.3 Förutsebarheten Kravet på förutsebarhet innebär att lagen måste vara så tydligt utformad att enskilda, inom rimliga gränser, kan förutse konsekvenserna av sitt handlande. 63 I kontexten hemlig övervakning har domstolen ansett det nödvändigt att ställa höga krav på lagens förutsebarhet enligt artikel 8.2, då detta innebär maktutövning under sekretess och den begränsade insynen medför en risk för godtycklighet hos de verkställande myndigheterna. 64 Samtidigt får kravet på förutsebarhet inte innebära att en enskild kan förutse när och hur han kommer avlyssnas och därmed kan dra sig undan övervakningen. 65 I bland annat Liberty and Others v. the United Kingdom fastslog Europadomstolen att enskilda måste ha en adekvat indikation på under vilka omständigheter och villkor staten har möjlighet att vidta övervakningsåtgärder för att lagen ska anses tillräckligt förutsebar Rule of Law 67 Principen om the rule of law är grundläggande i en rättsstat och vid tolkning av konventionen, vilket framgår bland annat av konventionens preambel. 68 Inom ramen för laglighetskravet innebär the rule of law att inskränkningar av konventionsrättigheter måste vara förenade med adekvata och effektiva skyddsgarantier (safeguards) mot godtyckliga inskränkningar från statens sida. 69 Mot bakgrund av att hemlig övervakningsverksamhet av sekretesskäl inte kan granskas av berörda enskilda eller allmänheten i stort anser Europadomstolen att lagstiftningen för att vara förenlig med the rule of law, klart och tydligt måste ange gränsen för det handlingsutrymme som lämnas åt de ansvariga organen (oavsett om dessa är verkställande eller rättsliga) samt tydligt reglera hur verksamheten ska bedrivas. 70 Omfattningen och villkoren för organens befogenhet måste anges med en rimlig tydlighet (reasonable clarity) för att ge enskilda de minimiskydd de har rätt till i ett demokratiskt samhälle. 71 Om det finns ett handlingsutrymme (discretion) för myndigheter så måste lagen indikera omfattning av detta Se bl. a. Malone v. the United Kingdom, para Liberty and Others v. the United Kingdom, para 62, Weber and Saravia v. Germany, para Weber and Saravia v. Germany, para Liberty and Others v. the United Kingdom, para 62, Weber and Saravia v. Germany, para Uppdelning mellan rule of law respektive förutsebarhetsrekvisitet är inte alltid så tydlig, se exempelvis Iordachi mot Moldavien, para 38 ff. Dock borde den sammanlagda bedömningen alltid avse om det finns effektiva garantier mot godtycklighet och missbruk. Till viss del torde förutsebarheten kunna ses som ett utflöde av principen om rule of law. 68 Se bl. a. Malone v. the United Kingdom, para 67 (och däri angivna källor). 69 Jfr bl. a. Malone v. the United Kingdom, para 67, Silver and Others v. the United Kingdom, para Liberty and Others v. the United Kingdom, para 62 och Weber and Saravia v. Germany, para Kruslin v. France, para 36, Malone v. the United Kingdom, para Silver and Others v. the United Kingdom, para

22 Principen om the rule of law innebär också ett krav på att myndigheternas inskränkning av enskildas rättigheter vara underställd en effektiv kontroll, vilket är av särskild vikt i förhållande till verksamheter som hemlig övervakning i vilka de verkställande myndigheterna har ett stort handlingsutrymme. 73 Frågan om effektiv kontroll har av domstolen behandlats både under laglighetskravet 74 och i samband med proportionalitetsbedömningen. 75 I Dumitru Popuscu v. Romania fastslog domstolen vid bedömning av laglighetskravet att det tillståndsgivande organet ska vara självständigt och att dess tillståndsgivande ska underställas domstolsprövning eller åtminstone ett självständigt organs kontroll. 76 I bland annat Silver and Others v. the United Kingdom berörde domstolen frågan om effektiv kontroll under laglighetskravet men fann att detta krav istället borde behandlas inom ramen för artikel 13 som rör rätten till ett effektivt rättsmedel. 77 Gränsdragningen mellan artikel 8.2 och 13 är i detta hänseende något oklar Minimikrav enligt laglighetskravet Europadomstolen har mot bakgrunden av de kriterier som beskrivs i utvecklat vissa minimikrav för att lagstiftning som möjliggör hemlig övervakning ska anses uppfylla laglighetskravet. Av lagen ska följande framgå, - vilka typer av brott som kan aktualisera övervakningstillstånd, - en definition av den grupp som riskerar att få sin kommunikation avlyssnad, - tidsbegränsning för övervakningstillstånd, - processen som ska följas då data lagras, undersöks och används, - vilka försiktighetsåtgärder som ska vidtas vid vidarebefordring av material till tredje part, - samt under vilka omständigheter inhämtad information får respektive måste raderas eller förstöras. 78 Laglighetskravets främsta syfte torde vara att övervakningsverksamheten ska vara tydligt reglerad, det vill säga snarare ett formellt än ett materiellt krav. Utgångspunkten torde därför vara att laglighetskravet inte innebär krav på ett visst materiellt innehåll så länge lagen är tillräckligt tydlig och därmed förutsebar. Det räcker med andra ord att lagstiftningen tillräckligt tydligt reglerar vilka befogenheter de aktuella myndigheterna har och vilken typ och omfatt- 73 Silver and Others v. the United Kingdom, para Se bl.a. Iordachi and Others v. Moldova, para Weber and Saravia v. Germany, para Dumitru Popescu v. Romania (no. 2), paras 70-73, Iordachi and Others v. Moldova, para Silver and Others v. the United Kingdom, para Weber and Saravia v. Germany, para

23 ning av övervakning som är tillåten för att laglighetskravet ska vara uppfyllt. En lagstiftning som innebär att all kommunikation alltid avlyssnas skulle enligt denna utgångspunkt vara tillräckligt tydlig för att uppfylla laglighetskravet, om övervakning i denna omfattning är förenlig med artikel 8 får sedan avgöras vid proportionalitetsbedömningen. Mot bakgrund av detta skulle det kunna hävdas att laglighetskravet innebär formella krav medan den materiella prövning av lagstiftningen sker inom ramen för proportionalitetsbedömningen. Vissa materiella krav följer dock av laglighetskravet, exempelvis att det ska finnas en tidsbegränsning på övervakningstillstånden. Även kravet på tydliga regler om försiktighetsåtgärder vid vidarebefordring av avlyssnad information kan ses som ett krav på att försiktighetsåtgärder ska vidtas. En förklaring till denna delvis förskjutning av den materiella prövning till laglighetskravet kan vara att hemlig övervakning till sin natur är verksamhet som är omgärdad av sekretess och som lämnar stort handlingsutrymme till utövande myndigheter, varför större vikt läggs vid kraven som följer av the rule of law (som till exempel krav på skyddsgarantier mot maktmissbruk) än vad som gäller vid andra typer av verksamheter. Det är dock svårt att göra en exakt gränsdragning mellan vad som faller under laglighetskravet respektive proportionalitetsbedömningen, särkilt vad det gäller garantier mot maktmissbruk. I Association for European Integration and Human Rights and Ekimdzhiev v. Bulgaria fann Europadomstolen att laglighetskravet inte var uppfyllt bland annat mot bakgrund av bristen på självständiga kontrollorgan och att enskilda saknade rätt att underrättas efter avslutad övervakning. 79 Dessa krav går således utöver krav på lagens tydlighet. I Iordachi and Others v. Moldova anför domstolen under laglighetskravsbedömningen att den myndighet som meddelar tillstånd för hemlig övervakning skall vara självständig och det måste finnas ett rättsligt (eller åtminstone självständigt) organ som kontrollerar tillståndsgivningen. 80 Sammanfattningsvis krävs att lagstiftningen är tydlig och förutsebar vad gäller minikraven men det ställs också vissa materiella krav på beslutsprocessens utformning, tillståndsgivande respektive kontrollerande myndighets karaktär och enskildas rättigheter inom ramen för laglighetskravet. De olika minimikraven aktualiseras i förhållande till olika moment i underrättelsecykeln. 79 Association for European Integration and Human Rights and Ekimdzhiev v. Bulgaria,, paras 85, 90 och Iordachi and Others v. Moldova, para 40 (och däri angivna källor). 23

24 Vilka typer av brott som kan aktualisera övervakningstillstånd sammanfaller med hur formulerandet av underrättelsebehovet regleras. Vem får formulera behovet spaningen ska tillgodose och inom vilka ramar? I vilket syfte får staten avlyssna kommunikation och hur detaljerat är detta reglerat? Vem (vilken grupp av enskilda) som riskerar att avlyssnas har dels att göra med hur ramarna för tillåtna underrättelsebehov är formulerade men även hur själva inhämtningen är reglerad. Vilken typ av kommunikation inhämtas och finns det en tydligt reglerad selekteringsprocess? Vad finns det för begränsningar vad gäller inhämtning? Hur mycket information bereder sig staten tillgång till? Hur inhämtat material får lagras, undersökas och användas samt under vilka omständigheter inhämtad information får respektive måste raderas eller förstöras berör flera av momenten Försiktighetsåtgärder vid vidarebefordring av material till tredje part aktualiserar dessa frågor primärt vid delgivning. Integritetsintrång kan ske i alla delar av underrättelsecykeln och signalspaningsverksamheten, så behov av integritetsskydd finns alltså i varje steg. 3.3 Legitimt syfte Om staten vidtar åtgärder som innebär inskränkningar av en rättighet som följer av artikel 8.1 måste dessa för att vara konventionsenliga ha ett legitimt syfte. I artikel 8.2 anges att inskränkningar får ske med hänsyn till den nationella säkerheten, den allmänna säkerheten eller landets ekonomiska välstånd, till förebyggande av oordning eller brott, till skydd för hälsa eller moral eller till skydd för andra personers fri- och rättigheter. Denna uppräkning är uttömmande. Bedömningen om en viss åtgärd vidtagits i ett legitimt syfte är relativt okomplicerat, oftast godtas statens uppgift i frågan och detta bestrids i de flesta fall inte av klaganden. 3.4 Nödvändig i ett demokratiskt samhälle Om en åtgärd som innebär en inskränkning av rättigheterna enligt artikel 8.1 anses ha skett med stöd i lag och med hänsyn till ett av de i artikel 8.2 angivna syftena återstår frågan om denna åtgärd varit nödvändig i ett demokratiskt samhälle Generellt Vilka kriterier domstolen uppställer vid bedömningen av om en åtgärd är nödvändig i ett demokratiskt samhälle varierar till viss del från fall till fall. Generellt vid inskränkningar av konventionsrättigheter gäller tre kriterier. För det första ska åtgärden vara nödvändiga i för- 24