Colts synpunkter på delbetänkandet Datalagring brottsbekämpning och integritet (SOU 2017:75)

Relevanta dokument
Ang. Remiss av delbetänkandet Datalagring brottsbekämpning och integritet (SOU 2017:75), med ert dnr Ju2017/07896/Å

Datalagring och integritet (SOU 2015:31)

REMISSVAR. Rättsenheten Justitiedepartementet Stockholm

Yttrande över delbetänkandet Datalagring brottsbekämpning och integritet (SOU 2017:75)

Remissvar Datalagring brottsbekämpning och integritet (SOU 2017:75)

Kommittédirektiv. Tilläggsdirektiv till Utredningen om kameraövervakning brottsbekämpning och integritetsskydd (Ju 2015:14) Dir.

Remissyttrande över SOU 2017: 75, Datalagring brottsbekämpning och integritet

Kommittédirektiv. Genomförande av EG:s direktiv om lagring av trafikuppgifter. Dir. 2006:49. Beslut vid regeringssammanträde den 18 maj 2006

MISSIV. Post- och telestyrelsen (PTS) har bl.a. till uppgift att genomföra marknadsanalyser för att

Betänkandet SOU 2015:31 Datalagring och integritet

Datum Vår referens Sida Dnr: (10)

Föreläggande om efterlevnad av skyldighet att lagra trafikuppgifter m.m. för brottsbekämpande ändamål

Utdrag ur protokoll vid sammanträde Lagring av trafikuppgifter för brottsbekämpande ändamål genomförande av direktiv 2006/24/EG

Kommittédirektiv. Behandlingen av personuppgifter inom Försvarsmakten och Försvarets radioanstalt. Dir. 2017:42

Datalagring brottsbekämpning och integritet (SOU 2017:75)

Yttrande över delbetänkandet Datalagring brottsbekämpning och integritet (SOU 2017:75)

Yttrande över slutbetänkandet Skyddet för den personliga integriteten Bedömningar och förslag (SOU 2008:3)

Ju2014/3010/P

Tele2 och Telenorbolagen stödjer PTS förslag i stort men har synpunkter på formuleringar, ändringar och önskar vidare förtydliganden av förslaget.

Tjänsteskrivelse. Remiss från Justitiedepartementet - Kamerabevakning i brottsbekämpningen - ett enklare förfarande (SOU 2018:62) STK

Workshop 10. Datalagringsdirektivet det här gäller! Andreas Dahlqvist Nätsäkerhetsavdelningen - PTS. Post- och telestyrelsen

Välkomna! Integritetsforum torsdagen den 23 april 2015

Klicka här för att ändra

Rådets möte för rättsliga och inrikes frågor (RIF) den 4-5 juni 2018

Yttrande över betänkandet Datalagring och integritet (SOU 2015:31)

Svensk författningssamling

PTS redovisar härmed sin utredning enligt förordning (2007:1244) om konsekvensutredning vid regelgivning avseende upphävandet av de allmänna råden.

Sammanfattning. Direktivets syfte. Stockholm den 13 mars 2008 R-2008/0035. Till Justitiedepartementet. Ju2007/9590/BIRS

Remissyttrande från ECPAT Sverige Delbetänkandet Datalagring brottsbekämpning och integritet, SOU 2017:75

Datainspektionen lämnar följande synpunkter.

SÄPO:s förlängda arm Lag om Datalagring Bredbandsbåten

RemitteringsPM - förordningsändringar i anledning av en ny vägtrafikdatalag och en ny lag om fordons registrering och brukande

Anmälan om fördragsbrott av Sverige

Kommittédirektiv. En myndighet med ett samlat ansvar för tillsyn över den personliga integriteten. Dir. 2014:164

8.6.2 Forskningsdatabaslagens territoriella tillämpningsområde (1 kap. 7 )

Yttrande över Beslag och husrannsakan ett regelverk för dagens behov (SOU 2017:100)

Dataskyddsdirektivet Ju2000/5027. Professor Jacob Palme Skeppargatan STOCKHOLM Dataskyddsdirektivet. Justitiedepartementet

TILL ORDFORANDEN OCH LEDAMÖTERNA AV EUROPEISKA UNIONENS DOMSTOL SKRIFTLIGA SYNPUNKTER

Samråd angående marknaderna för lokalt och centralt tillträde

Regeringens proposition 2011/12:146

Beslag och husrannsakan ett regelverk för dagens behov (SOU 2017:100)

Beslut om ändring av telefoninummerplanen

Yttrande över SOU 2017:75 Datalagring brottsbekämpning och integritet

Informationshanteringsutredningens slutbetänkande Myndighetsdatalag (SOU 2015:39)

Informationssäkerhet för samhällsviktiga och digitala tjänster

Stockholm den 21 november 2017

MISSIV. Post- och telestyrelsen (PTS) har bl.a. till uppgift att genomföra marknadsanalyser för att

Sveriges advokatsamfund har genom remiss den 11 april 2017 beretts tillfälle att avge yttrande över betänkandet Brottsdatalag (SOU 2017:29).

Snabbare lagföring (Ds 2018:9)

Stockholm den 20 december 2013

Remissyttrande över departementspromemorian Behandling av personuppgifter i polisens brottsbekämpande verksamhet (Ds 2007:43)

WHITE PAPER. Dataskyddsförordningen

Kommittédirektiv. Möjligheterna till kameraövervakning ska förenklas. Dir. 2017:124. Beslut vid regeringssammanträde den 13 december 2017

Netnod inkommer härmed med följande synpunkter på Remiss av betänkandet Informationssäkerhet för samhällsviktiga och digitala tjänster (SOU 2017:36)

PERSONUPPGIFTSBITRÄDESAVTAL

ÄRENDEANSVARIG, AVDELNING/ENHET, TELEFON, E-POST

Stockholm den 16 december 2016

Polisens tillgång till signalspaning i försvarsunderrättelseverksamhet (Ds 2011:44)

(20)

Fastställd av GD 21 augusti 2018 Upphör att gälla 21 augusti 2021 Ansvarig: A/JUR Dnr: 2018/898 DATASKYDDSPOLICY

K a m m a r r ä t t e n i S t o c k h o l m RK 2018:1

Samråd nr 2, PTS förslag till beslut dnr: Förslag till beslut Fast tillträde, Fast samtalsoriginering och Fast samtalsterminering

DATALAGRINGSDIREKTIVET

Konsekvensutredning avseende ändringar i Post- och telestyrelsens föreskrifter och allmänna råd (PTSFS 2013:3) om innehåll i avtal

PERSONUPPGIFTSBITRÄDESAVTAL

Betänkandet EU:s direktiv om sanktioner mot arbetsgivare (SOU 2010:63)

Hur står det till med den personliga integriteten? (SOU 2016:41)

Personuppgiftsbiträdesavtal

Informationssäkerhet för samhällsviktiga och digitala tjänster (SOU 2017:36) Remiss från Justitiedepartementet Remisstid den 24 augusti

Regeringskansliet Faktapromemoria 2016/17:FPM64. Dataskyddsförordning för EU:s institutioner. Dokumentbeteckning. Sammanfattning.

Svensk författningssamling

Tillsyn om ersättning vid utlämnande av lagrade uppgifter för brottsbekämpande ändamål

Skyldigheten att lämna registerutdrag blir mindre betungande

Tillägg om Zervants behandling av personuppgifter

Intrång online varningsbrev, identifiering, avstängning eller filtrering?

Svensk författningssamling

Regeringskansliet Faktapromemoria 2016/17:FPM70. edataskyddsförordning. Dokumentbeteckning. Sammanfattning. 1 Förslaget. Näringsdepartementet

FÖRSLAG TILL YTTRANDE

Underrättelse om misstanke om att SwedfoneNet AB handlar i strid med gällande regelverk vid överlämnande av nummer

Remissvar TCO Så stärker vi den personliga integriteten, SOU 2017:52

Betänkandet SOU 2017:29 Brottsdatalag

En ny kamerabevakningslag, SOU 2017: Ökade möjligheter till kamerabevakning och ett förstärkt integritetsskydd

Remissvar angående slutbetänkandet Reboot omstart för den digitala förvaltningen, SOU 2017:114

Våga vägra reglera! - Privatliv & kommunikationsfrihet. Jon Karlung, styrelseordf. Bahnhof AB

Europeiska unionens officiella tidning. (Icke-lagstiftningsakter) FÖRORDNINGAR

Remiss av betänkande digitalforvaltning.nu (SOU 2017:23)

Rätt information på rätt plats i rätt tid, SOU 2014:23

DOM. Meddelad i Stockholm. KLAGANDE Tele2 Sverige AB, Ombud: Chefsjurist Stefan Backman Tele2 Sverige AB Box Kista

Betänkandet En generell rätt till kommunal avtalssamverkan (SOU 2017:77)

MISSIV. PTS har utarbetat ett nytt förslag till prisskyldighet som PTS nu efterfrågar synpunkter på från marknadens aktörer och Konkurrensverket.

Post- och telestyrelsen (PTS) har beretts tillfälle att yttra sig över rubricerad promemoria.

Personuppgiftsbiträdesavtal

WILHELM DAHLBORN JURIDISK BYRÅ. Inges till Förvaltningsrätten i Stockholm via e-post

Skatteverkets Promemoria Beskattningsdatabasen, bouppteckning och äktenskapsregister

UNDERRÄTTELSE 1(8) Tele2 Sverige AB Att: Gustav Ehrner Box Kista

En kommunallag för framtiden (SOU 2015:24)

Kommittédirektiv. Dataskyddsförordningen behandling av personuppgifter vid antidopningsarbete inom idrotten. Dir. 2018:31

Tekniska stödtjänster

Kommunikationsverkets ställningstagande om fördelningen av frekvensresurser för mobila bredbandsabonnemang inom ramen för nätneutralitetsregleringen

HÖGSTA FÖRVALTNINGSDOMSTOLENS DOM

Transkript:

Stockholm 29 januari 2018 Justitiedepartementet 103 30 Stockholm Ju.a@regeringskansliet.se Ju2017/07896/Å Colts synpunkter på delbetänkandet Datalagring brottsbekämpning och integritet (SOU 2017:75) Inledning och sammanfattning Colt Technology Services AB (Colt) har tagit del av och analyserat delbetänkandet angående datalagring och suttit med i två arbetsgrupper (IT & Telekomföretagen och Business Carrier Coalition (BCC, bestående av AT&T, BT, Colt, Orange Business och Verizon Enterprise Solutions). De två arbetsgrupperna lämnar var sitt remissyttrande, och Colt inkommer även med ett eget remissyttrande för att utveckla synpunkterna angående krav på nationell och teknikneutral lagring samt förslag till selektion av lagringsskyldigheten. Trots att utredningen försökt att skapa en mer riktad lagringsskyldighet genom att minska antalet olika trafikslag (t.ex. telefoni och meddelandehantering inom fasta nätet är borttagna) som ska lagras och infört differentierade lagringstider för de olika trafikslagen, är det utan tvekan frågan om en generell masslagring som föreslås, vilket EU-domstolen underkände i december 2016, och det finns en uppenbar risk att EU domstolen åter skulle underkänna de nya svenska reglerna i en ny prövning, med förödande konsekvenser. Colt anser därför att liggande delbetänkande skall lämnas utan åtgärd och en ny utredning bör tillsätts för att skapa förutsättningar för långsiktigt hållbara datalagringsregler, viket gynnar både de datalagringsskyldiga och de brottsbekämpande myndigheterna. Krav på lagring i Sverige Utredningen föreslår att all datalagring ska ske i Sverige, vilket riskerar att operatörer med verksamhet i flera EU-länder, i förlängningen kan tvingas sätta upp separata datalagringsystem i uppåt 28 länder, och riskerar därmed att skapa ytterligare barriärer mot förverkligandet av en digital inre marknad. Utredaren anger att Det ska i sammanhanget nämnas att lagring utanför Sverige inte torde förekomma alls eller endast i mycket liten utsträckning. 1 Colt vill påpeka att det inom branschen är vanligt att lagring av data sker utanför Sverige, särskilt bland de operatörer som bedriver nationell, nordisk, europeisk och global verksamhet, eftersom det är kostnadseffektivt, och lättare att administrera och skydda data. Det kan därför starkt ifrågasättas om skyddet för de känsliga uppgifter som i enlighet med förslaget ska lagras, verkligen förstärks genom att decentralisera lagringen. Det är tvärtom så att möjligheten att centralisera lagringen inom EU är att föredra, då det finns större möjligheter att ha ett utbyggt skalskydd, bättre säkerhetsrutiner, 1 SOU 2017:75 s. 292 1/5

bättre bemanning och kontroll av verksamheten när lagringen sker centralt för ett flertal länder. Utredaren som själv medger att Det är inte möjligt att inom ramen för detta betänkande göra en tillräckligt djup analys av dataskyddsregleringen för att kunna bedöma om det utifrån ett EUrättligt perspektiv är möjligt att förbjuda lagring i andra EU-länder. 2 Med bakgrund av detta uttalande framstår det som ej underbyggt att lägga ett förslag där endast lagring av data inom Sverige skulle vara tillåtet. Enligt förslaget skulle detta motiveras av att lagring inom Sverige skulle vara av vikt för rikets säkerhet, även om det som är mest skyddsvärt i telekomsektorn enlig utredningen är driftsäkerheten i de allmänna näten, där datalagringen skulle vara en integrerad del av driften. I detta sammanhang kan konstateras av driftsäkerheten av de allmänna näten inte på något sätt kan påverkas av kravet på datalagringen, då de uppgifter som lagras inte används i den dagliga driften. Motiveringen i denna del framstår därför som ett försök att undvika en framtida EU-rättslig prövning av kravet på lagring inom Sveriges gränser, eftersom de centrala intressena för staten enligt utredningen inte omfattas av EU-rätten. Vidare påstår utredaren att kravet på lagring inom Sverige skulle göra PTS tillsyn mer potent. Detta motsägs av den slutsats som redovisas i Heckschers utredning där det framgår att det svenska regelverket är utformat på ett sådant sätt att tillsynsmyndigheten, Post- och telestyrelsen, har möjligheter att bedriva en aktiv och ändamålsenlig tillsynsverksamhet även gentemot leverantörer som väljer att lagra uppgifter utanför unionen. 3 Under den tid som datalagring varit möjlig i Sverige har PTS kunnat och kommer fortsatt att ha möjligheten att bedriva en ändamålsenlig tillsyn av att regelverket följs av operatörerna även om lagring sker inom EU. Det föreslagna kravet, att all lagring ska ske i Sverige, strider även mot grundprinciperna i EUrätten, eftersom det väsentligt skulle hindra etableringsfriheten (artiklarna 49-54 Europeiska unionens funktionssätt - FEUF), fritt tillhandahållande av tjänster (artiklarna 56-52 i EUFfördraget) och det fria flödet av personuppgifter mellan medlemsstaterna enligt vad som föreskrivs i både den allmänna dataförordningen och dataskyddsdirektivet. Förslag till selektion av lagringsskyldigheten Utredningen föreslår vidare att den nuvarande modellen för kostnadsfördelning mellan det allmänna och operatörerna där operatörerna står för kostnaderna för anpassning, drift och underhåll och de brottsbekämpande myndigheterna betalar en ersättning till operatörerna vid varje utlämnande av uppgifter kvarstår. 4 Detta system har klara brister, då den lagringsskyldighet som föreslås, åläggs alla operatörer, även de operatörer som aldrig eller endast vid ett fåtal tillfällen per år får en begäran om utlämnande av uppgifter. Operatörer i denna kategori, är operatörer som huvudsakligen riktar sina tjänster mot företagsmarknaden, eller är så små att de sällan eller aldrig kommer få en sådan begäran. Trots detta förutsätts dessa operatörer skaffa kostsamma lagringssystem och ha personal redo att skyndsamt lämna ut begärda uppgifter. Kostnader som inte kan på något sätt ersätts av det allmänna. I Finland har den finska lagstiftaren i informationssamhällsbalken löst detta dilemma genom att endast de av inrikesministeriet särskilt utsedda företagen omfattas av lagringsskyldigheten 5, i gengäld står den finska staten för kostnader avseende system och programvaror som anskaffats för att kunna realisera datalagringsskyldigheten. 6 Det finska systemet har den SOU 2017:75 s. 291 SOU 2015:31 s. 15 4 SOU 2017:75 s. 75 5 Informationssamhällsbalk 19 Kap 157 6 Informationssamhällsbalk 37 Kap 299 2 3 2/5

fördelen att den skapar incitament för myndigheter att endast ålägga denna skyldighet på de aktörer där lagringsskyldigheten står i proportion till den nytta skyldigheten ger. Det system som tidigare och nu av utredningen föreslås fortsätta framstår som oproportionerligt och belastar de aktörer i branschen som endast vid ett fåtal tillfällen eller inte alls får någon begäran om utlämnande på ett orimligt sätt. I tillägg föreslår Colt att processen, för att utse de företag som ska ha en datalagringsskyldighet, sekretessbeläggs. Detta skulle öka effektiviteten i brottsbekämpningen, då kriminella aktörer inte skulle kunna välja nät som inte har en datalagringsskyldighet, för sin kommunikation. IP-adresser genom NAT tekniken Utredningen föreslår att bestämmelserna om lagringsskyldighet görs teknikneutrala, vilket medför att operatörernas användning av NAT-teknik (en teknik för att tillåta att flera abonnenter delar på en och samma publika IP-adress) inte påverkar möjligheterna till identifiering av abonnenten. Säkerhetspolisen har erfarenhet av att det, inom den tidigare lagstiftningen, inte har gått att identifiera målsägande på grund av att deras NAT:ade IP-adresser inte har kunnat knytas till en identifierbar person. 7 Colt kan konstatera att förslaget tar sikte på att alla internetanvändare ska kunna identifieras oberoende av teknik, dvs även användare med NAT:ade adresser, där både publik IP-adress och publikt port-nummer samt privat IP-adress och privat port-nummer som varit aktiva under en användares internetsession, ska lagras. I de fall, när en internetoperatör använder NAT tekniken för att hushålla på publika IPV4 adresser (Carrier Grade NAT eller Large Scale NAT), så bör det finnas en rimligt möjlighet att identifiera en slutanvändare, eftersom internetoperatörens tjänst sträcker sig ända till slutanvändaren, och har därmed kontroll på både publik och privat IP-adress och tillhörande portnummer. Dock torde det bli svårt att identifiera en enskild användare i ett hushåll med mer än en person, då internettjänsten ansluts till en router, som använder sig av NAT tekniken. När det gäller operatörer som tillhandahåller internetanslutning till företagskunder, så är det som regel så att operatörerna inte har någon kontroll över trafiken på kundsidan, vilket kan indelas i tre olika fall enligt nedan: Operatören äger och handhar utrustningen på kundsidan: Här kan det finnas möjlighet att lagra både publik och privat IP-adress och port-nummer. Dock förutsätter detta att: 1. Tillstånd måste inhämtas från företaget för lagring av de anställdas internettrafik, då operatören har avtal med företaget och inte med varje enskild anställd. 2. Det är mycket stora mängder data för måste lagras på användarsidan, typiskt brukar loggfilen på en standardrouter (med NAT funktionen påslagen) tömmas varje timme, i annat fall finns risk för att prestandan allvarligt kan påverkas på routern/firewallen. Detta i sin tur kan medföra att en operatör tvingas köpa in kostsam utrustning som klarar lagringskraven, snarare än för den tjänst, den skall vara dimensionerad för att klara. 3. Att bygga upp lokala funktioner hos en kund är mycket dyrt och betungande för en operatör (speciellt som utredningen föreslår att operatörerna ska stå för dessa 7 PTS skrivelse till Ekobrottsmyndigheten den 26 februari 2015 (Dnr 15-1185), s. 1 3/5

kostnader). Även PTS konstaterar i sin skrivelse 8, att detta är mycket betungande, och inte omfattades av dåvarande lagringsskyldighet. Operatören äger utrustningen på kundsidan, men handhar den inte I många fall så placerar operatören en router som har en publik IP-adress hos kunder för att få bättre möjligheter att övervaka sitt nät, men kunden hanterar all kommunikation inom företaget. Typiskt är att företaget ansluter en egen router (med NAT funktion) bakom operatörens router och begär att NAT funktionen deaktiveras på operatörens router. Här har operatören ingen kontroll över trafik eller trafikdata inom företaget, och data måste begäras från företaget. Operatören kan endast tillhandahålla trafikdata, fram till tjänstens avlämningspunkt med publik IP-adress. Operatören äger inte utrustningen på kundsidan Typiskt är att företaget ansluter en egen router, med NAT funktion, till ett, av operatören tillhandahållet, modem. Även här har operatören ingen kontroll över trafik eller trafikdata inom företaget, och data måste begäras från företaget. Operatören kan endast tillhandahålla trafikdata fram till tjänstens avlämningspunkt med publik IP-adress. IPV6 Utredning konstaterar att man kan förmoda att IPV6-adresser kommer att bli vanligare framöver. IPV6 är en senare version av internetprotokollet, som gör det möjligt att använda 128 bitar långa IP-adresser, vilket möjliggör omkring 340 sextiljoner (3,4 X 1038) unika adresser. Det skulle innebära att användandet av NAT-teknik, utifrån brist på IP-adresser som enda grund, blir obehövligt. Vidare konstaterar man att kan det ändå kan finnas anledning för operatörerna att fortsätta att använda NAT tekniken. 9 De seriösa aktörerna på marknaden kommer att stödja samexistens av IPV6 och IPV4 under många år framöver, och många kunder kommer att sitta kvar med IPV4-adresser. Colt kan bekräfta att det finns operatörer och kunder som väljer att utnyttja NAT tekniken även bakom en publik IPV6 adress. Det finns ett antal skäl till detta: Motsträvighet att ändra ett bra fungerande koncept. Lättare att hantera/administrera IPV4-adresser Säkerhet, användaren skall inte exponeras för en publik IP-adress. Slutsatsen är att vi kan konstatera att IPV4-adresser med NAT teknik kommer att användas många år framöver och även NAT:ade IPV6 adresser. Slutsats Ovanstående analys visar på att användande av NAT tekniken är ett mycket komplext område och vi kan konstatera att utredningen inte har analyserat dessa frågor tillräckligt. Enligt utredningen skall PTS få meddela närmare föreskrifter om vilka närmare uppgifter som ska lagras. Men vi kommer inte får någon klarhet, beträffande vilka skyldigheter en lagringsskyldig har innan praxis har etablerats. Även om det är klokt att föreslå en teknikneutral lösning för att kunna hantera den framtida teknikutvecklingen, så måste analysen bygga på det som gäller för stunden. 8 9 PTS skrivelse till Ekobrottsmyndigheten den 26 februari 2015 (Dnr 15-1185), s. 4 SOU 2017:75 s. 247 4/5

Teknikneutralitet löser inte de faktiska problem som operatörerna står inför, vilket medför stora svårigheter att uppfylla den lagringsskyldighet som föreslås i utredningen. Detta krav är mycket betungande, eftersom det kräver lagring av enorma mängder data som inte normalt behandlas av operatörerna. Operatörerna hanterar normalt trafik och har kontroll över trafikdata till en kunds anslutningspunkt. De föreslagna skyldigheterna ålägger operatörerna att bygga upp lokala lagringssystem hos kunderna, vilket är mycket kostnadskrävande. Det kan även ifrågasättas om genomförandet av denna nya förpliktelse är oproportionerligt tung, särskilt för de flesta mindre operatör som enbart har företagskunder och inte mottagit en enda begäran om att lämna ut trafikdata. Med vänlig hälsning Ulf Wahllöf Regulatory Specialist Colt Technology Services AB 5/5