DOM 2014-10-13 Meddelad i Stockholm

Enhet 14 DOM 2014-10-13 Meddelad i Stockholm Mål nr 14891-14 1 KLAGANDE Tele2 Sverige AB, 556267-5164 Ombud: chefsjuristen Stefan Backman Tele2 Sverige AB Box 62 164 94 Kista MOTPART Post- och telestyrelsen Box 5398 102 49 Stockholm ÖVERKLAGAT BESLUT Post- och telestyrelsens beslut 2014-06-27, se bilaga 1 SAKEN Föreläggande enligt 7 kap. 5 lagen om elektronisk kommunikation FÖRVALTNINGSRÄTTENS AVGÖRANDE Förvaltningsrätten avslår Tele2 Sverige AB:s överklagande. Dok.Id 517702 Postadress Besöksadress Telefon Telefax Expeditionstid Tegeluddsvägen 1 08-561 680 00 08-561 680 01 måndag fredag 115 76 Stockholm E-post: 08:00-16:30 forvaltningsrattenistockholm@dom.se

2 BAKGRUND... 3 YRKANDEN M.M.... 3 PARTERNAS UTVECKLING AV TALAN... 4 Tele2... 4 PTS... 5 SKÄLEN FÖR AVGÖRANDET... 6 Frågan i målet... 6 Aktuella bestämmelser... 7 Datalagring... 7 Enskildas fri- och rättigheter... 8 Regeringsformen... 8 Europakonventionen... 8 EU:s rättighetsstadga... 8 2002 års direktiv om integritet och elektronisk kommunikation... 9 Utgångspunkter för prövningen... 10 EU:s rättighetsstadgas tillämplighet... 10 Rättigheternas omfattning och inskränkningsmöjligheter... 10 Utgör lagringsskyldigheten och tillgångsbestämmelserna i svensk rätt en inskränkning av aktuella fri- och rättigheter?... 11 Är inskränkningarna i aktuella fri- och rättigheter godtagbara?... 12 Förutsättningar för godtagbara inskränkningar... 12 Kränker inskränkningarna det väsentliga innehållet i rättigheterna?... 13 Är inskränkningarna motiverade av ett godtagbart ändamål?... 13 Är inskränkningarna proportionerliga?... 14 Omfattningen av lagringen... 16 Tillgången till de lagrade uppgifterna... 17 A) Tillgången enligt LEK... 18 B) Tillgången enligt RB... 20 C) Tillgången enligt inhämtningslagen... 22 Lagringstiden för de lagrade uppgifterna... 24 Säkerheten för de lagrade uppgifterna... 26 Sammanfattande bedömning... 28 HUR MAN ÖVERKLAGAR... 30

3 BAKGRUND Europaparlamentets och rådets direktiv 2006/24/EG av den 15 mars 2006 om lagring av uppgifter som genererats eller behandlats i samband med tillhandahållande av allmänt tillgängliga elektroniska kommunikationstjänster eller allmänna kommunikationsnät och om ändring av direktiv 2002/58/EG (datalagringsdirektivet) är införlivat i svensk rätt bland annat genom bestämmelser om datalagring i lagen (2003:389) om elektronisk kommunikation, LEK, och i förordningen (2003:396) om elektronisk kommunikation, FEK. Syftet med direktivet var att harmonisera medlemsstaternas bestämmelser om lagringsskyldighet för att säkerställa att uppgifterna är tillgängliga för utredning, avslöjande och åtal av allvarliga brott (artikel 1). Genom dom den 8 april 2014 i de förenade målen C-293/12 och C-594/12, Digital Rights Ireland m.fl., förklarade EU-domstolen datalagringsdirektivet ogiltigt på grund av att unionslagstiftaren vid antagandet av direktivet överskred de gränser som proportionalitetsprincipen uppställer mot bakgrund av artiklarna 7 (respekt för privatlivet och familjelivet), 8 (skydd av personuppgifter) och 52.1 (rättigheternas och principernas räckvidd och tolkning) i Europeiska unionens stadga om de grundläggande rättigheterna (EU:s rättighetsstadga). Mot bakgrund av EU-domstolens dom tillsatte den svenska regeringen en särskild utredare för att granska de svenska reglernas förenlighet med unionsrätten. I en första rapport i juni 2014, Ds 2014:23, (utredningen) bedöms det svenska regelverket om lagring och utlämnande av uppgifter rymmas inom de ramar som ställs upp av unions- och europarättens allmänna principer och kravet på respekt för grundläggande rättigheter (s. 10). YRKANDEN M.M. Post- och telestyrelsen (PTS) förelade den 27 juni 2014 Tele2 Sverige AB (Tele2) att senast den 25 juli 2014 lagra uppgifter i enlighet med 6 kap. 16 a LEK jämte 37-43 FEK, se bilaga 1.

4 Tele2 överklagar föreläggandet och yrkar att förvaltningsrätten ska upphäva detsamma. PTS bestrider bifall till överklagandet. PARTERNAS UTVECKLING AV TALAN Tele2 Tele2 anför i huvudsak följande till stöd för sin talan. De svenska datalagringsbestämmelserna i 6 kap. LEK står, på samma sätt som det upphävda datalagringsdirektivet, i strid med artiklarna 7, 8 och 52.1 i den europeiska konventionen den 4 november 1950 angående skydd för de mänskliga rättigheterna och de grundläggande friheterna (Europakonventionen) och därmed också med svensk grundlag, varför PTS inte har haft rättslig möjlighet att tillämpa och genomdriva de svenska datalagringsbestämmelserna i LEK genom att förelägga Tele2 att återuppta datalagringen enligt desamma. De svenska datalagringsbestämmelserna lever inte upp till de krav på respekt för grundläggande fri- och rättigheter som EU-domstolen angett följer av Europakonventionen när det gäller system för datalagring. Slutsatserna i den utredning som PTS hänvisar till bygger på en felaktig tolkning av EU-domstolens dom när det gäller möjligheterna att läka det intrång i grundläggande fri- och rättigheter, som den omfattande datalagringen i sig ostridigt utgör, genom begränsningar i tillgången till de lagrade uppgifterna. I allt väsentligt är det just den omfattande lagringen som EU-domstolen riktat särskilt allvarlig kritik mot. De svenska datalagringskraven är på samma sätt som direktivets krav så omfattande och långtgående att de rimligen inte kan vägas upp av eventuella regler som begränsar tillgången till de lagrade uppgifterna. Utredningen har inte heller i tillräcklig grad, i den samlade proportionalitetsbedömningen, beaktat de brister i det svenska tillgångssystemet som utredaren själv uppmärksammat. Även om utformningen av de svenska tillgångsreglerna är

5 av avgörande betydelse för bedömningen av frågan om lagringens omfattning kan anses proportionerlig, kan utformningen inte kompensera de grundläggande och allvarliga brister som föreligger i det svenska datalagringssystemet. Utredningen är inte heller en rättskälla som kan tillåtas få genomslag i synnerligen betungande myndighetsutövning som medför långtgående rättighetsinskränkningar för enskilda. Den österrikiska författningsdomstolen har i ett avgörande den 27 juni 2014 kommit till rakt motsatt slutsats jämfört med utredningen, när domstolen konstaterat att de österrikiska datalagringsbestämmelserna står i strid med Europakonventionen och därför inte får/kan tillämpas. Det svenska datalagringssystemet uppställer inte ett mer långtgående skydd för den enskildes grundläggande rättigheter enligt Europakonventionen jämfört med skyddet enligt den ogiltigförklarade österrikiska lagstiftningen. Tvärtom uppvisar den svenska lagen ett sämre skydd för den enskilde på flera punkter. Även i flera andra länder har de nationella datalagringsbestämmelserna förklarats ogiltiga. PTS PTS anför i huvudsak följande till stöd för sin inställning. Det är i målet ostridigt att Tele2 inte lagrar uppgifter i den utsträckning som följer av 6 kap. 16 a LEK. Baserat på vad Tele2 anfört i sitt överklagande är frågan närmast om lagregeln ska tillämpas eller ej. Det faktum att EU-domstolen har funnit datalagringsdirektivet ogiltigt innebär inte automatiskt att den svenska lagstiftningen, som beslutats i behörig ordning, också blir ogiltig. EU-domstolen har inte funnit att regler om datalagring, i syfte att eventuellt göra dem tillgängliga för behöriga nationella myndigheter, i sig skulle vara i strid med unionsrätten. Det som domstolen har funnit är problemet är proportionaliteten i ingreppet utifrån utformningen av direktivet.

6 Även om det i och med EU-domstolens dom inte finns någon unionsrättslig skyldighet att ha regler om datalagring, får datalagring således finnas så länge kraven i Europaparlamentets och rådets direktiv 2002/58/EG av den 12 juli 2002 om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation (direktivet om integritet och elektronisk kommunikation) och övriga unionsrättsliga krav är uppfyllda. Huruvida utformningen av en nationell reglering innebär att den uppfyller dessa krav måste avgöras från fall till fall med fullt beaktande av utformningen av samtliga tillämpliga regler. Möjligheten att dra säkra analogier mellan lagstiftningen i två olika medlemsstater är därför högst begränsad. Slutsatsen i utredningen är att det svenska regelverket om lagring och utlämnande av uppgifter ryms inom de ramar som ställs upp av unions- och europarättens allmänna principer och kravet på respekt för grundläggande rättigheter. PTS har vid en sammantagen bedömning funnit att det saknas skäl för myndigheten att underlåta att tillämpa de svenska reglerna om lagring av trafikuppgifter m.m. SKÄLEN FÖR AVGÖRANDET Frågan i målet Tele2 har gjort gällande att de svenska datalagringsbestämmelserna i 6 kap. LEK, på samma sätt som det numera upphävda datalagringsdirektivet, är så långtgående och förenade med sådana brister i integritetsskyddet att de står i strid med artiklarna 7, 8 och 52.1 i Europakonventionen och därmed också i princip med regeringsformen (RF), varför PTS inte har haft rättslig möjlighet att tillämpa och genomdriva de svenska datalagringsbestämmelserna i LEK genom att förelägga Tele2 att återuppta datalagringen enligt desamma. Förvaltningsrätten konstaterar i detta sammanhang att EU-domstolen har underkänt datalagringsdirektivet mot bakgrund av EU:s rättighetsstadga. Med hänsyn till vad Tele2 har anfört i målet samt mot bakgrund av den prövning som EU-domstolen har gjort i nämnda mål, anser förvaltningsrätten att frågan huruvida föreläggandet ska upphävas inte ska

7 begränsas till en prövning enbart mot bakgrund av RF och Europakonventionen, utan att en vidare prövning ska ske. Förvaltningsrätten återkommer till detta nedan. Frågan i målet är om de svenska bestämmelserna om datalagring är oförenliga med tillämpliga bestämmelser om enskildas fri- och rättigheter på ett sådant sätt, att PTS inte har haft rättslig möjlighet att förelägga Tele2 att lagra uppgifter i enlighet med 6 kap. 16 a LEK jämte 37-43 FEK. Aktuella bestämmelser Datalagring Av 6 kap. 16 a LEK framgår att den som bedriver verksamhet som är anmälningspliktig enligt 2 kap. 1 samma lag (nedan benämnda leverantörer) är skyldig att lagra dels uppgifter om abonnemang, dels andra uppgifter som angår ett särskilt elektroniskt meddelande, som är nödvändiga för att spåra och identifiera kommunikationskällan, slutmålet för kommunikationen, datum, tidpunkt och varaktighet för kommunikationen, typ av kommunikation, kommunikationsutrustning samt lokalisering av mobil kommunikationsutrustning vid kommunikationens början och slut. Skyldigheten att lagra uppgifterna omfattar uppgifter som genereras eller behandlas vid telefonitjänst, meddelandehantering, internetåtkomst och tillhandahållande av kapacitet för att få internetåtkomst (anslutningsform). Även vid misslyckad uppringning gäller skyldigheten att lagra uppgifter som genereras eller behandlas. Av 38-43 FEK framgår närmare vilka uppgifter som ska lagras för att lagringsskyldigheten i 6 kap. 16 a LEK ska anses fullgjord.

8 Enskildas fri- och rättigheter Regeringsformen I 2 kap. 6 RF stadgas att var och en är skyddad mot betydande intrång i den personliga integriteten som sker utan samtycke och som innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Genom lag får integritetsskyddet begränsas för att tillgodose ändamål som är godtagbara i ett demokratiskt samhälle. Begränsningen får inte gå utöver vad som är nödvändigt med hänsyn till det ändamål som har föranlett den och inte heller sträcka sig så långt att den utgör ett hot mot den fria åsiktsbildningen såsom en av folkstyrelsens grundvalar, se 2 kap. 20-21 RF. Av 2 kap 19 RF följer att lag eller föreskrift inte får meddelas i strid med Sveriges åtaganden på grund av Europakonventionen. Europakonventionen Sedan den 1 januari 1995 gäller Europakonventionen som svensk lag. Artikel 8 i Europakonventionen har följande lydelse. 1. Var och en har rätt till respekt för sitt privat- och familjeliv, sitt hem och sin korrespondens. 2. Offentlig myndighet får inte inskränka åtnjutande av denna rättighet annat än med stöd av lag och om det i ett demokratiskt samhälle är nödvändigt med hänsyn till statens säkerhet, den allmänna säkerheten, landets ekonomiska välstånd eller till förebyggande av oordning eller brott eller till skydd för hälsa eller moral eller för andra personers fri- och rättigheter. EU:s rättighetsstadga Artiklarna 7, 8 och 52.1 i EU:s rättighetsstadga har följande lydelser.

9 Artikel 7 Var och en har rätt till respekt för sitt privatliv och familjeliv, sin bostad och sina kommunikationer. Artikel 8 1. Var och en har rätt till skydd av de personuppgifter som rör honom eller henne. 2. Dessa uppgifter ska behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund. Var och en har rätt att få tillgång till insamlade uppgifter som rör honom eller henne och att få rättelse av dem. 3. En oberoende myndighet ska kontrollera att dessa regler efterlevs. Artikel 52.1 Varje begränsning i utövandet av de rättigheter och friheter som erkänns i denna stadga ska vara föreskriven i lag och förenlig med det väsentliga innehållet i dessa rättigheter och friheter. Begränsningar får, med beaktande av proportionalitetsprincipen, endast göras om de är nödvändiga och faktiskt svarar mot mål av allmänt samhällsintresse som erkänns av unionen eller behovet av skydd för andra människors rättigheter och friheter. Av artikel 52.3 i EU:s rättighetsstadga framgår att i den mån rättigheterna enligt rättighetsstadgan motsvarar sådana som garanteras av Europakonventionen ska de ha samma innebörd och räckvidd som i konventionen. Bestämmelsen hindrar inte unionsrätten från att tillförsäkra ett mer långtgående skydd. 2002 års direktiv om integritet och elektronisk kommunikation I artikel 6 i 2002 års direktiv om integritet och elektronisk kommunikation föreskrivs som huvudregel att trafikuppgifter ska utplånas eller avidentifieras när de inte längre behövs för sitt syfte att överföra en kommunikation. Vidare stadgas i artikel 9 att andra lokaliseringsuppgifter får behandlas endast sedan de har aviden-

10 tifierats eller om användaren eller abonnenten givit sitt samtycke. Av artikel 15.1 framgår att medlemsstaterna, genom lagstiftning, får vidta åtgärder för att begränsa omfattningen av rättigheterna och skyldigheterna i artikel 6 och 9 när en sådan begränsning i ett demokratiskt samhälle är nödvändig, lämplig och proportionell för att skydda bl.a. allmän säkerhet och för förebyggande, undersökning, avslöjande av och åtal för brott. Utgångspunkter för prövningen EU:s rättighetsstadgas tillämplighet Av artikel 51.1 i EU:s rättighetsstadga framgår att bestämmelserna i stadgan riktar sig till medlemsstaterna endast när dessa tillämpar unionsrätten. De aktuella lagringsbestämmelserna i LEK och FEK har tillkommit som en konsekvens av införlivandet av det nu ogiltigförklarade datalagringsdirektivet. Av skäl 22 i datalagringsdirektivet framgår att syftet med direktivet var att tillsammans med 2002 års direktiv om integritet och elektronisk kommunikation, vilket alltjämt gäller, säkerställa full respekt för medborgarnas grundläggande rättigheter med avseende på privatlivet och kommunikationer samt skyddet för personuppgifter. Mot bakgrund av detta får unionen anses ha ett gemensamt system för behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation. Tillämpningen av bl.a. 6 kap. 16 a LEK utgör därför enligt förvaltningsrättens mening en tillämpning av unionsrätten i den mening som avses i artikel 51.1 i EU:s rättighetsstadga, trots att datalagringsdirektivet numera har ogiltigförklarats. Rättigheternas omfattning och inskränkningsmöjligheter De nu aktuella fri- och rättigheterna som tillförsäkras enskilda genom RF, Europakonventionen och EU:s rättighetsstadga motsvarar i huvudsak varandra, bortsett från det vidare skydd för personuppgifter som gäller enligt EU:s rättighetsstadga. Även utrymmet för att inskränka fri- och rättigheterna förutsätter likartade bedömningar och överväganden oavsett regelverk. Den kritik som EUdomstolen har riktat mot datalagringsdirektivet utifrån artikel 7, 8 och 52.1 i EU:s

11 rättighetsstadga är därför aktuell även vid en bedömning utifrån RF och Europakonventionen. Nedan bedöms den svenska regleringens förenlighet med aktuella fri- och rättigheter i de olika regelverken, i en sammanförd bedömning. Utgör lagringsskyldigheten och tillgångsbestämmelserna i svensk rätt en inskränkning av aktuella fri- och rättigheter? Förvaltningsrätten konstaterar inledningsvis att den lagringsskyldighet som åläggs leverantörer i svensk rätt helt innefattar den lagringsskyldighet som föreskrevs i det numera ogiltigförklarade datalagringsdirektivet. Den svenska regleringen föreskriver därutöver lagringsskyldighet för uppgifter om misslyckad uppringning och uppgifter om lokalisering av mobilsamtals slut. I likhet med datalagringsdirektivet omfattar lagringsskyldigheten inte uppgifter som avslöjar innehållet i kommunikationen. EU-domstolen har i ovan nämnda dom uttalat att lagringsskyldigheten som föreskrevs i datalagringsdirektivet i sig utgör en inskränkning av rätten till respekt för privatliv (punkt 34). Detta eftersom det är möjligt, genom den mängd uppgifter som lagras, att dra mycket precisa slutsatser om personers privatliv, såsom deras vanor i vardagslivet, stadigvarande och tillfälliga uppehållsorter, dagliga förflyttningar i övrigt, sociala relationer m.m. (punkt 27). Vidare har EU-domstolen uttalat att lagringen utgör ett intrång även i rätten till skydd för personuppgifter (punkt 36). Behöriga nationella myndigheters tillgång till uppgifterna har dessutom bedömts utgöra ytterligare intrång i rättigheterna (punkt 35-36). Inskränkningarna har ansetts vara långtgående och att det måste anses som synnerligen allvarligt (punkt 37). Då den lagring som föreskrivs i svensk rätt är mer omfattande än den som ålades leverantörer i datalagringsdirektivet, finner förvaltningsrätten att aktuella bestämmelser om lagring i LEK och FEK innebär en inskränkning i rätten till respekt för privatlivet och skyddet för personuppgifter. Att innehållet i kommunikationerna är fredat från lagringsskyldigheten föranleder ingen annan bedömning. Förvaltningsrätten finner dessutom, liksom EU-domstolen, att tillgången till uppgifterna utgör ytterligare intrång i rättigheterna och att det mot bakgrund av den

12 mängd uppgifter som omfattas av lagringen är fråga om betydande inskränkningar i rättigheterna. Är inskränkningarna i aktuella fri- och rättigheter godtagbara? Förutsättningar för godtagbara inskränkningar Inskränkningar i rättigheterna får ske genom lag. Enligt samtliga regelverk gäller att en inskränkning ska vara motiverad för att tillgodose ett visst ändamål. Enligt RF ska ändamålet vara godtagbart i ett demokratiskt samhälle. Enligt Europakonventionen ska ändamålet avse bl.a. den allmänna säkerheten, förebyggande av oordning eller brott eller andra personers fri- och rättigheter. Enligt EU:s rättighetsstadga ska inskränkningen vara motiverad av ett mål av allmänt samhällsintresse som erkänns av unionen eller behovet av skydd för andra människors rättigheter och friheter. För samtliga regelverk krävs, utöver detta, att inskränkningen ska vara väl avvägd. I RF uttrycks denna avvägning på så sätt att begränsningen inte får gå utöver vad som är nödvändigt med hänsyn till det ändamål som har föranlett den. I Europakonventionen stadgas att inskränkningen ska vara nödvändig i ett demokratiskt samhälle för att uppnå de bestämda ändamålen. I EU:s rättighetsstadga föreskrivs att inskränkningen ska vara förenlig med det väsentliga innehållet i fri- och rättigheterna. Vidare får begränsningar, med beaktande av proportionalitetsprincipen, endast göras om de är nödvändiga. Samtliga formuleringar ger alltså uttryck för den s.k. proportionalitetsprincipen. Utöver nämnda regelverk ska artikel 15.1 i 2002 års direktiv om integritet och elektronisk kommunikation beaktas. Skälet till detta är att den datalagringsskyldighet som åläggs leverantörer enligt svensk rätt utgör en avvikelse från skyldigheten i nämnda direktiv. Nedan kommer förvaltningsrätten först att pröva huruvida inskränkningarna i svensk rätt kränker det väsentliga innehållet i rättigheterna. Därefter prövar domstolen huruvida inskränkningarna är motiverade för att tillgodose ett godtagbart

13 ändamål. Slutligen kommer domstolen att pröva om inskränkningarna uppfyller det krav på proportionalitet som kan ställas på dem utifrån aktuella regelverk. Kränker inskränkningarna det väsentliga innehållet i rättigheterna? EU-domstolen har funnit att datalagringsdirektivet inte kränker det väsentliga innehållet i rätten till respekt för privatlivet och skydd för personuppgifter. Bedömningen baseras på den omständigheten att innehållet i kommunikationerna är fredat från lagring samt att medlemsstaterna ska säkerställa att det finns lämpliga tekniska och organisatoriska åtgärder för att skydda uppgifterna (punkt 39-40). Den lagringsskyldighet som följer av svensk rätt innebär, liksom datalagringsdirektivet, att innehållet i kommunikationerna är fredat från lagring. Vidare innehåller 6 kap. 3 a LEK, liksom datalagringsdirektivet, regler om lämpliga tekniska och organisatoriska åtgärder för att skydda uppgifterna. Då den svenska regleringen i dessa delar motsvarar de regler som föreskrevs i datalagringsdirektivet, anser förvaltningsrätten att den svenska regleringen inte heller kan anses kränka det väsentliga innehållet i rättigheterna. Är inskränkningarna motiverade av ett godtagbart ändamål? EU-domstolen har funnit att de intrång i rättigheterna som datalagringsdirektivet innebär svarar mot ett erkänt allmänt samhällsintresse eftersom datalagringsdirektivets materiella syfte är att säkerställa tillgänglighet av uppgifter för utredning, avslöjande och åtal av allvarliga brott. Syftet är således att bidra till bekämpandet av grov brottslighet och i sista hand att bidra till den allmänna säkerheten (punkt 41). Bestämmelserna om datalagring infördes i LEK och FEK i syfte att införliva datalagringsdirektivet i svensk rätt. Vid införlivandet av direktivet framhölls i förarbetena att de brottsbekämpande myndigheterna har ett stort behov av att få tillgång till trafikuppgifter i sin verksamhet och att tillgången, utan regler om lagringsskyldighet, är beroende av vilka uppgifter leverantörerna lagrar för andra syften. Samtidigt konstaterades att en lagringsskyldighet medför ett intrång i enskildas

14 personliga integritet (prop. 2010/11:46 s. 18). Såväl brottsbekämpningens behov av effektiva verktyg som behovet av att skydda enskildas integritet skulle därför beaktas vid genomförandet av direktivet (prop. 2010/11:46 s. 20). Förvaltningsrätten finner mot bakgrund av återgivna förarbetsuttalanden att de svenska bestämmelserna om datalagring är motiverade av ett sådant ändamål som är godtagbart enligt RF, Europakonventionen, EU:s rättighetsstadga samt 2002 års direktiv om integritet och elektronisk kommunikation. Är inskränkningarna proportionerliga? Vad gäller den slutliga frågan om inskränkningarna är proportionerliga har EUdomstolen konstaterat att proportionalitetsprincipen medför ett krav på att åtgärderna ska vara ägnade att uppnå de legitima mål som eftersträvas med bestämmelserna och att de inte går utöver vad som är lämpligt och nödvändigt (punkt 46). Vidare har EU-domstolen uttalat att utrymmet för skönsmässiga bedömningar kan vara begränsat på grund av ett antal omständigheter, såsom bland annat det område som berörs, beskaffenheten av den rättighet som garanteras genom stadgan, ingreppets beskaffenhet och allvar samt ingreppets syfte (punkt 47). Motsvarande resonemang återfinns i praxis från Europadomstolen (jfr Europadomstolens dom av den 4 december 2008, S och Marper mot Förenade kungariket, mål nr 30562/04 och 30566/04, punkt 102). Med hänsyn till den stora betydelsen som skyddet för personuppgifter har för den grundläggande rätten till respekt för privatliv samt med hänsyn till det långtgående och allvarliga ingrepp i denna rätt som datalagringsdirektivet innebär, har EU-domstolen ansett att en strikt kontroll ska göras (punkt 48). EU-domstolen har funnit att den lagringsskyldighet som följer av direktivet innebär att nationella brottsbekämpande myndigheter kan få tillgång till ytterligare möjligheter att klara upp grova brott och att lagringen i detta hänseende utgör ett värdefullt verktyg i brottsutredningar. Detta med hänsyn till den växande betydelsen av elektroniska kommunikationsmedel. Lagringen av sådana uppgifter har därför ansetts vara ägnad att uppnå det ändamål som eftersträvas med direktivet (punkt 49).

15 De svenska bestämmelserna om datalagring får enligt förvaltningsrätten, på motsvarande sätt, anses ägnade att uppnå det mål som eftersträvas med lagringsskyldigheten. Angående lagringens nödvändighet har EU-domstolen framhållit följande. Bekämpandet av grov brottslighet och särskilt av organiserad brottslighet och terrorism är visserligen av största betydelse för att garantera allmän säkerhet, och dess effektivitet kan i stor utsträckning bero på användningen av moderna utredningstekniker. Ett sådant mål av allmänt intresse kan emellertid inte i sig ensamt motivera att en sådan lagringsåtgärd som föreskrivs i datalagringsdirektivet ska anses vara nödvändig för nämnda bekämpande (punkt 51). Enligt praxis kräver skyddet av den grundläggande rätten till respekt för privatlivet under alla omständigheter att undantag från och begränsningar av skyddet för personuppgifter, ska inskränkas till vad som är strängt nödvändigt (punkt 52). Bestämmelserna avseende den aktuella åtgärden måste vara tydliga och precisa och reglera räckvidden och tillämpligheten av åtgärden samt slå fast minimikrav, så att de personer vilkas uppgifter har lagrats har tillräckliga garantier som möjliggör ett effektivt skydd av deras personuppgifter mot riskerna för missbruk och otillåten tillgång eller användning (punkt 54). Motsvarande krav gäller även för inskränkningar enligt Europakonventionen (jfr Europadomstolens dom av den 1 juli 2008, Liberty m.fl. mot Förenade kungariket, mål nr 58243/00 punkt 59-63). EU-domstolen har konstaterat att datalagringsdirektivet inte föreskriver sådana tydliga och precisa regler som reglerar räckvidden av inskränkningarna i aktuella rättigheter och att inskränkningarna inte är noggrant avgränsade genom bestämmelser, som gör det möjligt att säkerställa att inskränkningarna är begränsade till vad som är strängt nödvändigt (punkt 65). Vidare har EU-domstolen funnit att datalagringsdirektivet inte föreskriver tillräckliga garantier vilka gör det möjligt att säkerställa ett effektivt skydd av de lagrade uppgifterna (punkt 66). EUdomstolen har funnit att unionslagstiftaren överskred de gränser som proportionalitetsprincipen uppställer mot bakgrund av de aktuella rättigheterna (punkt 69). Kritiken av direktivet, som EU-domstolen lyfter fram, avser huvudsakligen följande fyra punkter.

16 Omfattningen av lagringen Tillgången till de lagrade uppgifterna Lagringstiden för de lagrade uppgifterna Säkerheten för de lagrade uppgifterna Vid den fortsatta prövningen av frågan om de svenska bestämmelserna är proportionerliga, kommer bedömningen att ske utifrån dessa fyra områden. Omfattningen av lagringen EU-domstolen har kritiserat att den datalagring som föreskrevs i direktivet generellt omfattar alla personer, alla elektroniska kommunikationsmedel och samtliga trafikuppgifter utan att någon åtskillnad, någon begränsning eller något undantag görs i lagringsskyldigheten utifrån syftet att bekämpa allvarliga brott (punkt 57). EU-domstolen har konstaterat att lagringen omfattar personer för vilka det inte föreligger något indicium, som ger anledning att tro att de har något samband med allvarliga brott, att lagringen omfattar personer med tystnadsplikt, att lagringen inte är begränsad till en viss tidsperiod och/eller geografiskt område och/eller krets av personer (punkt 58-59). Som ovan konstaterats är de svenska bestämmelserna om datalagringsskyldighet utformade på samma sätt som datalagringsdirektivets bestämmelser med den skillnaden att svensk rätt föreskriver en mer omfattande lagring på två punkter. Den kritik som EU-domstolen har riktat mot datalagringsdirektivet i denna del kan alltså enligt förvaltningsrättens mening göras gällande även mot den svenska lagstiftningen. Vid bedömningen av om datalagringsskyldigheten enligt svensk rätt går utöver vad som kan anses nödvändigt och proportionerligt, ska hänsyn tas till om datalagringen hade kunnat begränsas utan att syftet med bestämmelserna gått förlorade. Mot bakgrund av det inte är möjligt att på förhand veta vilka personer som kan bli inblandade i allvarliga brott eller på vilka platser brott kan komma att begås, anser förvaltningsrätten att en sådan begränsning av lagringsskyldigheten

17 skulle äventyra syftet med lagringen. Detsamma gäller en eventuell avgränsning till vissa kommunikationsslag, eftersom det inte heller är möjligt att i förväg känna till vilken utrustning som kommer att användas. Lagringsskyldighetens omfattning kan därför inte i sig anses ha gått utöver vad som är nödvändigt för att uppnå syftet med lagringsbestämmelserna. För att kunna ta ställning till om regleringen uppfyller de krav på proportionalitet som uppställs, måste enligt förvaltningsrättens mening en sammantagen bedömning göras. Lagringens omfattning ska ses mot bakgrund av hur bestämmelserna avseende tillgången till uppgifterna är utformade, hur länge uppgifterna ska lagras samt säkerheten kring de lagrade uppgifterna. Det är således inte möjligt, såsom Tele2 gör gällande, att upphäva föreläggandet på den grunden att lagringen i sig strider mot de grundläggande frioch rättigheterna. Tillgången till de lagrade uppgifterna Vad gäller regleringen av tillgången till uppgifterna har EU-domstolen riktat följande kritik mot datalagringsdirektivet. Det föreskrivs inget objektivt kriterium för att avgränsa behöriga nationella myndigheters tillgång till uppgifterna och deras senare användning av uppgifterna för utredning, avslöjande och åtal av brott, vilka kan anses tillräckligt allvarliga för att motivera ett sådant intrång. I direktivet görs endast en allmänt hållen hänvisning till allvarliga brott såsom de definieras i varje medlemsstats nationella lagstiftning (punkt 60). Det framgår inte några materiella och formella villkor för behöriga nationella myndigheters tillgång till uppgifterna och deras senare användning. I direktivet föreskrivs istället att varje medlemsstat ska fastställa de förfaranden som ska följas och de villkor som ska vara uppfyllda, för att erhålla tillgång till lagrade uppgifter i enlighet med nödvändighets- och proportionalitetskraven (punkt 61). Det föreskrivs inte något objektivt kriterium som gör det möjligt att begränsa antalet personer som är behöriga att få tillgång till uppgifterna till det som är strängt nödvändigt. Tillgången är inte underkastad någon förhandskontroll utförd av en domstol eller en oberoende myndighet, vars beslut avser att begränsa tillgången till och användningen av uppgifterna till vad som är strängt nödvändigt (punkt 62).

18 Myndigheternas möjligheter att få tillgång till de uppgifter som en leverantör är skyldig att lagra enligt 6 kap 16 a LEK regleras i följande lagar. A) LEK B) Rättegångsbalken (RB) C) Lag (2012:278) om inhämtning av uppgifter om elektronisk kommunikation i de brottsbekämpande myndigheternas underrättelseverksamhet (inhämtningslagen). A) Tillgången enligt LEK Av 6 kap. 22 första stycket 2 LEK framgår att en leverantör på begäran ska lämna ut abonnemangsuppgifter till åklagarmyndighet, polismyndighet eller någon annan myndighet som ska ingripa mot brott, om uppgifterna gäller misstanke om brott. Med abonnemangsuppgifter avses främst uppgifter om namn, titel, adress och abonnentnummer (prop. 2011/12:55 s. 100). Det är sådana uppgifter som enligt förvaltningsrättens mening vanligtvis redan finns tillgängliga i leverantörers kundoch faktureringssystem. Vad gäller känsligheten av dessa uppgifter är det förvaltningsrättens mening att abonnemangsuppgifter, sedda för sig, normalt inte kan användas till att kartlägga en persons privatliv. Vad gäller exempelvis internetabonnemang kan en uppgift om vem som haft en viss IP-adress vid ett viss tillfälle vara obetydlig för frågan om vem som hade samma adress vid ett annat tillfälle. Detta eftersom privatpersoner oftast använder dynamiska IP-adresser, dvs. IPadresser som byts slumpvis och oregelbundet. En användare har alltså i regel olika IP-adresser vid olika tillfällen (prop. 2008/09:67 s. 141). Uppgifter som går utöver vad som kan anses som identitetsuppgifter, t.ex. vilka hemsidor som ett visst IPnummer har besökt, omfattas heller inte av bestämmelsen (prop. 2011/12:55 s. 102). Utlämnande av uppgifterna förutsätter att uppgifterna gäller misstanke om brott. Syftet med att tillåta inhämtning av uppgifterna vid misstanke om brott, och alltså inte vid misstanke om allvarliga brott, var att möjliggöra utredning av internetrelaterade brott vilka har blivit ett allt större problem. I förarbetena uttalas att det har

19 skett en betydande teknisk utveckling och förändring av i vilken omfattning enskilda använder bl.a. datorer och mobiltelefoner. Som exempel anges att s.k. nätmobbning, andra trakasserier via internet och vuxnas kontakter med barn i sexuella syften, s.k. grooming, blivit ett allt större problem och att de brottsbekämpande myndigheternas behov av tillgång till abonnemangsuppgifter har förändrats påtagligt (prop. 2011/12:55 s. 102). Utlämnande av abonnemangsuppgifter enligt LEK förutsätter inte någon förhandskontroll. En kontroll sker istället i efterhand genom att Datainspektionen och Säkerhets- och integritetsskyddsnämnden (SIN) utövar tillsyn över att myndigheterna följer de föreskrifter som gäller för behandlingen av personuppgifter. Utöver detta utövas tillsyn över statliga förvaltningsmyndigheter av Riksdagens ombudsmän (JO) och Justitiekanslern (JK). Tillsynen över leverantörernas efterlevnad av LEK utövas av PTS. De svenska tillgångsbestämmelserna i LEK kan till viss del kritiseras mot bakgrund av EU-domstolens uttalanden. Inhämtningen förutsätter inte att uppgifterna gäller misstanke om allvarligt brott, flera myndigheter kan få tillgång till uppgifterna utan att det sker någon förhandskontroll och kretsen av myndighetspersoner som kan få tillgång till uppgifterna är inte begränsad. Enligt förvaltningsrätten ska emellertid den kritik som EU-domstolen har framfört i detta sammanhang ses mot bakgrund av den mängd uppgifter som enligt direktivet skulle lagras och därmed kunde lämnas ut under otydliga och oprecisa former. De uppgifter som kan lämnas ut enligt LEK är, som ovan konstaterats, endast abonnemangsuppgifter. Dessa uppgifter är enligt förvaltningsrättens mening i sig inte lika integritetskänsliga som alla de uppgifter som skulle lagras enligt datalagringsdirektivet. Ju mindre integritetskänsliga uppgifterna är, desto större torde möjligheterna vara att tillhandahålla de brottsbekämpande myndigheterna med effektiva medel för brottbekämpningen. Behovet av dels en begränsning av tillgången till enbart allvarligare brottslighet, dels en begränsning av kretsen av myndighetspersoner som kan få tillgång till uppgifterna, samt behovet av en förhandskontroll, kan då av samma anledning inte heller anses lika starkt. Tillgången till de aktuella uppgifterna är av stor betydelse för utredning av internetrelaterade brott.

20 Förvaltningsrätten finner mot bakgrund av ovanstående att inhämtningen enligt LEK uppfyller de krav som kan ställas på lagstiftningen utifrån proportionalitetsprincipen. B) Tillgången enligt RB I RB regleras frågan när myndigheter får inhämta uppgifter om elektronisk kommunikation i förundersökningar. Av 27 kap. 19 RB framgår att hemlig övervakning av elektronisk kommunikation som huvudregel får användas vid förundersökning som avser 1) brott för vilket inte är föreskrivet lindrigare straff än fängelse i sex månader, 2) brott enligt 4 kap. 9 c brottsbalken, brott enligt 16 kap. 10 a brottsbalken som inte är att anse som ringa, brott enligt 1 narkotikastrafflagen (1968:64), brott enligt 6 första stycket lagen (2000:1225) om straff för smuggling, eller 3) försök, förberedelse eller stämpling till brott som avses i 1 eller 2, om sådan gärning är belagd med straff. Av samma bestämmelse framgår att med hemlig övervakning av elektronisk kommunikation avses att uppgifter i hemlighet hämtas in om 1) meddelanden som i ett elektroniskt kommunikationsnät överförs eller har överförts till eller från ett telefonnummer eller annan adress, 2) vilka elektroniska kommunikationsutrustningar som har funnits inom ett visst geografiskt område, eller 3) i vilket geografiskt område en viss elektronisk kommunikationsutrustning finns eller har funnits. Uppgifter om innehållet i telemeddelanden kan inte hämtas in med stöd av 27 kap. 19 RB. Av 27 kap. 20 RB framgår att hemlig övervakning av elektronisk kommunikation som huvudregel får ske endast om någon är skäligen misstänkt för brottet och åtgärden är av synnerlig vikt för utredningen. Åtgärden får endast avse 1) ett telefonnummer eller annan adress eller en viss elektronisk kommunikationsutrustning som under den tid som tillståndet avser innehas eller har innehafts av