Välkommen till PTS Informationsmöte om trafikdatalagring! KTH, Stockholm 26 januari 2011
Informationsmöte Lagring av trafikuppgifter för brottsbekämpning 26 januari 2011
Agenda Inledning Vad har hänt sedan Integritetsforum PTS internationella utblick Reglerna om trafikdatalagring PTS arbete och tidplan Samverkan med operatörskollektivet Gränssnittspecifikation (Säpo) Vidare arbete (IT&Telekomföretagen) Avslutning
Inledning
Om informationsmötet Målgrupp Operatörskollektivet Brottsbekämpande myndigheter Information om trafikdatalagring för brottsbekämpning med fokus på lagringsfrågorna PTS arbete med föreskrifter m.m. Tidplan Samverkan med branschen
Avgränsningar Syftet är inte att diskutera de politiska besluten kring trafikdatalagring. Mötet ska informera om PTS arbetsprocess och tidplan.
Exempel på frågor som ej behandlas Trafikdatalagringsdirektivets vara eller inte vara och dess införlivande i Sverige fråga för EU och Justitiedepartementet Detaljerade frågor om utlämningsregler föremål för annan lagrådsremiss Frågor om annan integritetspåverkande lagstiftning (t.ex. IPRED)
Trafikdatalagring fram till i dag February 2010 C-185/09 April 2004 March 2006 November 2007 August 2009 December 2010 Initiative of the French Republic, Ireland, the Kingdom of Sweden and the United Kingdom, Directive on Data Retention 2006/24/EC Swedish Government Official Reports on Data Retention SOU 2007:76 PTS Privacy Forum for the market players and LEAs Bill on Data Retention Act in force 1/7 2011
Lagring av trafikuppgifter m.m. Anmälningspliktiga tjänsteleverantörer (CSP) (= lagringsskyldiga) Brottsutredande myndigheter (LEA) (utlämning bara till svenska LEA) m.fl. Begäran Telefoni Meddelandehantering Internetåtkomst Kapacitet / Anslutningsform Network or IT systems with DR functionality Data store Data Administrative collection function function Data store management Data store management function function DR system Log event Log Collection administration function function HI-A HI-B RDHI Issuing Authority Receiving Authority Utlämning 3rd party Data store Log store management function Log Log system Prop. 2010/11:46 nya regler i LEK bl.a. 6 månaders lagring Lagrådsremiss 2010-12-16 flytta vissa regler till t.ex. RB och ändra kriterier för utlämning
Vad har hänt sedan Integritetsforum 26/8 2009?
Vad har hänt sedan Integritetsforum 26/8 2009? PTS trafikdatalagring som huvudpunkt En prop. låg i luften då men försenades PTS gjorde en paus med sitt projekt Fokuserade på en internationell utblick under 2010
PTS internationella utblick
PTS internationella utblick Studerat hur andra länder har införlivat direktivet och vilka erfarenheter som vunnits där Frågeformulär till totalt 28 länder (NRA, DPA o. Ministry i EU/EES-länder) Besök i Storbritannien, Tyskland och Danmark
PTS internationella utblick forts. EU:s expertgrupps Position Papers har studerats ETSI:s tekniska specifikationer har studerats Art. 29 Data Protection WP:s tillsynsrapport från 2010 har studerats EU-kommissionens Workshop (3/12) om direktivets utvärdering och framtid har PTS deltagit i
EU:s expertgrupps Position Papers Webbpost Skräppost Transitoperatörer Tredjeparts nät och tjänsteleverantörer IP-baserad telefoni Lagringsplats Säkerhetskrav
Införlivande i EU:s 27 MS Källa: Cullen International
Lagringstider Källa: Cullen International
Några av PTS observationer Artikel 29-gruppen anser att direktivet är uttömmande och att lagring därmed inte kan ske av andra uppgifter än de som beskrivs i direktivet Artikel 29-gruppen anser att det måste vara tydligare vilka skyddsåtgärder som ska gälla för de lagrade trafikuppgifterna Extra lagringstid oftast inte något större problem för tjänsteleverantören utan det är formerna för utlämnanden som kräver större arbetsinsatser
Observationer forts. Sju länder anger att lagring måste ske inom landet Andra kommunikationsformer än traditionell telefoni komplicerar frågan om lagringsskyldigheten Från Storbritannien visar erfarenheter att full kostnadstäckning från staten ger snabb och effektiv utlämning av trafikuppgifter
Observationer forts. Om en webbaserad meddelandetjänst utgörs av en allmänt tillgänglig elektronisk kommunikationstjänst måste analyseras noggrant Termen slutpunkt är något oklar Frågor om lagring av portnummer och MAC-adresser kan behöva ses över
Trafikdatalagringsdirektivets framtid Workshop 3/12 2010 Enligt kommissionären Cecilia Malmström kommer direktivet att finnas kvar och förtydligas på ett antal punkter Lagringstiderna ska ses över, med fokus på att förkorta Harmonisering av begreppet serious crime Mer specificerat vem som ska ha rätt att få lagrade uppgifter utlämnande Se över hur uppgifterna får användas av den de utlämnats till Ersättningsprinciper kan komma att införas i direktivet
Forts. trafikdatalagringsdirektivets framtid Workshop 3/12 Kommissionen troligen restriktiv men krafter finns för ökad omfattning av vad som ska lagras gällande informationssamhällets tjänster, sociala nätverkstjänster, molntjänster och applikationer för smartphones
PTS rapport www.pts.se/trafikdatalagring
Reglerna om trafikdatalagring Från förbud till krav
Lagring av trafikuppgifter en kursomläggning med 180 Reglering i dag förbud mot lagring med vissa undantag Reglering i morgon krav på lagring, små möjligheter till undantag
Vad är trafikdata? Trafikdata = Trafikuppgift =? (s. 12 i prop. 2010/11:46 ) Uppgift som behandlas i syfte att befordra ett elektroniskt meddelande via ett elektroniskt kommunikationsnät eller för att fakturera detta meddelande. (6:1 LEK) Juridisk koppling görs dock mot 6:20 1 & 3 LEK. (se föreslagen 16 a ) och inte alls mot begreppet trafikuppgifter Med andra ord sådana uppgifter som rör enskilda samtal, meddelanden m.m. förutom själva innehållet i dem
Vilka uppgifter ska lagras? I prop. 2010/11:46 föreslås att regeringen bemyndigas att utfärda en förordning om vad som ska lagras. Någon förordning har inte utfärdats. I föreslagen lagtext definieras följande användning och teknikslag
Vilka uppgifter ska lagras? Användning : Nödvändiga för att spåra och identifiera källa och mål för kommunikation. Datum, tid och varaktighet för kommunikationen, typ av kommunikation, utrustning, samt lokalisering av mobil utrustning. Teknikslag : telefoni, meddelandehantering, Internetåtkomst, kapacitet för Internetåtkomst motsvaras av SOU:n av följande kategorier
Enligt SOU 2007:76 - Generell skyldighet, men specificerade uppgifter Telefoni Anropande och mottagande nummer Abonnentuppgifter Datum och tid för samtal Slutpunkter i nätet Misslyckade samtal Mobiltelefoni (utöver Telefoni) Lokalisering vid påbörjad kommunikation och vid kommunikationens slut Utrustningsidentitet Oregistrerat kontantkort IP-baserad telefoni (utöver Telefoni) IP-adresser
Internetåtkomst IP-adresser vid anslutning (ID) Abonnentuppgifter Datum och tid för anslutning Typ av internetanslutning Slutpunkter i nätet Meddelandehantering (e-post, sms etc.) Adresser (ID) Abonnentuppgifter Datum och tid för anslutning Datum och tid för meddelande Tjänst som använts Kapacitet som ger möjlighet till Internetåtkomst Abonnentuppgifter (om det finns) Typ av kapacitet Slutpunkter
Uppgifter skall endast lagras om de generas eller behandlas Inget krav att ta fram uppgifter man inte redan har tillgång till Uppgifter skall sparas på så få ställen som möjligt Utgångspunkt att endast egna kommunikationstjänster lagras
Vem ska lagra? Alla aktörer som är anmälningspliktiga enligt LEK ska också bli lagringsskyldiga Anmälningspliktiga är: tillhandahåller allmänna kommunikationsnät av sådant slag som vanligen tillhandahålls mot ersättning eller som tillhandahåller allmänt tillgängliga elektroniska kommunikationstjänster. Av betydelse är att man som aktör förfogar över överföringen av signaler. Se vidare PTS Vägledning Vad är en elektronisk kommunikationstjänst http://www.pts.se/sv/dokument/rapporter/internet/2009/vilka-tjanster-och-natomfattas-av-lek/
Vem ska lagra? Undantag. Det kommer finnas en möjlighet att begära undantag från lagringsskyldigheten. Undantag skall beslutas av PTS i enskilda ärenden där det finns synnerliga skäl. Avvägning nyttan för brottsbekämpning vs. kostnaden eller andra negativa effekter för den enskilde aktören. Mycket begränsat utrymme till undantag Bedömning skall ske i samråd med brottsbekämpande myndigheter
När ska uppgifterna lämnas ut? Ingen förändring i reglerna kring utlämnande föreslås i prop. 2010/11:46 Däremot ska utlämnade ske så att det enkelt kan tas om hand och lämnas ut utan dröjsmål
När ska uppgifterna lämnas ut? BRU Beredningen för rättsväsendets utveckling Hur polisen kan agera Vad polisen kan begära ut Polismetodutredningen Proposition Förändringar i LEK Direktivet om lagring av trafikdata Trafikdatalagring Proposition Förändringar SOU i LEK Vem som ska lagra Vad som ska lagras Hur det ska lagras Vem som ska bedöma vad som ska lämnas ut
Vem ska betala? Liknande reglering som HTA/HTÖ Marknaden bekostar all teknisk anpassning Polisiära myndigheter ersätter operatör vid begäran om utlämnande Ersättning vid utlämnande föreslås bli reglerad Tidigare har inga regler funnits kring ersättning vid utlämnandet av uppgifter eller vid hemlig teleavlyssning Förslaget innebär att leverantörer ska få sina kostnader för utlämnande ersatta (personal, överföringskostnader) PTS föreskriftsrätt angående storleken av ersättning
Sammanfattning Alla aktörer som är anmälningspliktiga enligt LEK är också lagringsskyldiga Lagringsskyldigheten är generell, men vilka typer av uppgifter ska specificeras i förordning Lagringstiden föreslås bli 6 månader Marknaden får stå kostnader för anpassning, staten kostnader för utlämnande PTS föreslås bli tillsynsmyndighet avseende lagring, säkerhet, kostnader och utlämnande
Missuppfattningar om trafikdatalagring
Missuppfattningar om trafikdatalagring All kommunikation ska lagras Inget innehåll ska lagras Endast uppgifter som behandlas ska lagras Alla ska lagra De aktörer som ska lagra begränsas av a) anmälningspliktiga enligt LEK b) de typer av uppgifter som ska lagras, behandlas inte dessa av den lagringsskyldige behöver inte heller något lagras
Missuppfattningar om trafikdatalagring Innehavare av näten ska lagra alla uppgifter som passerar Endast uppgifter som behandlas ska lagras, utgångspunkten är att uppgifterna ska behandlas vid tillhandahållandet av någon av tjänsterna. En tjänsteleverantör är endast ansvarig för sin tjänst. Anonyma kontantkort inte längre tillåtna eftersom operatör alltid skall lagra uppgifter om abonnent Endast uppgifter som behandlas ska lagras. Om inte uppgifterna finns/behandlas innebär inte lagringsskyldighet en skyldighet att ta fram sådana uppgifter.
PTS arbete
PTS uppgifter Föreskrifter Skyddsåtgärder på lagring Ersättning vid utlämnande Beslut om undantag Möjlighet till undantag brottsbekämpande intresset inte är rimligt i förhållande till kostnader Tillsyn över Att lagring sker / radering sker Att säkerhet upprätthålls Att uppgifter lämnas ut (utan dröjsmål)
PTS uppgifter Målet för PTS arbete är att operatörerna ska hantera trafikuppgifterna på ett säkert sätt. Viktigt att hitta balans mellan skydd av lagrade uppgifter och de kostnader som kraven medför för operatörerna.
Upplägg för PTS arbete Arbetet bedrivs i projektform PL: Joakim Strålmark Projektdeltagare: 9 st. Ev. konsultinsats identifierad för vissa moment Samarbete med branschen ses som mycket värdefullt www.pts.se/trafikdatalagring
Trafikdatalagring produkter Vilka uppgifter-sfs Vilka uppgifter som ska lagras hos de lagringsskyldiga (baserat på SOU 2007:76) Förordning utfärdas av Ersättnings-PTSFS Ersättning till lagringsskyldiga vid utlämnande av trafikdata till LEA Säkerhets-PTSFS Tekniska och organisatoriska åtgärder för skydd vid behandling av lagrade uppgifter Föreskrifter utfärdas av Undantagsregler Process för hantering av undantag från lagringsskyldigheten (gränsdragning anmälningsplikten) Tillsynsverksamhet Process för att bedriva effektiv tillsyn för olika moment runt trafikdatalagring Gränssnitt CSP LEA För överlämning av lagrade uppgifter från CSP till LEA Undantagsprocess Tillsynsprocess Gränssnittsspec tas fram av CSP och
Tidplan Lagringskyldighet gäller fr.o.m. att lagen träder ikraft den 1/7 2011 (förutsatt att lagförslaget antas av riksdagen) Utlämningsskyldighet finns redan idag PTS ambition är att sända ut förslag till föreskrifter på remiss den 1/7 2011 Tidplan för förordningen faller under regeringens ansvar
Samverkan med operatörskollektivet
IT&Telekomföretagen PTS ser det värdefullt om samverkan kan uppstå inom följande delar: Gränssnitt (RDHI) mellan lagringsskyldiga och LEA (enligt ETSI TS 102 657 som Säpo har förädlat) Säkerhetskrav (skyddsåtgärder) för lagrade uppgifter (bl.a. nationella vägval enligt ETSI TR 102 661) Ersättningsprinciper för utlämnande av lagrade uppgifter Reda ut ev. terminologiförvirring
Skydd av lagrade uppgifter 49
Skydd av lagrade uppgifter Skyldighet att vidta särskilda tekniska och organisatoriska åtgärder Samma skydd som uppgifterna i nätet Skydda mot Oavsiktlig eller olaglig förstöring av uppgifter Oavsiktlig förlust eller ändring av uppgifter Otillåten eller olaglig lagring av uppgifter Otillåten behandling av uppgifter Otillåten tillgång till uppgifter Otillåten avslöjande av uppgifter
Skydd av lagrade uppgifter forts. Endast bemyndigad personal får ha tillgång till de lagrade uppgifterna PTS meddelar föreskrifter
Tänkt upplägg och samarbete kring föreskrift PTS ser gärna en samverkan med marknaden gällande de krav som kommer att ställas på skyddet av de lagrade uppgifterna Intresseanmälan om deltagande i arbetsgrupp
Intresseanmälan arbetsgrupp om skydd av lagrade uppgifter Intresseanmälan om deltagande till bjorn.scharin@pts.se senast 4/2 PTS återkommer med underlag
Ersättning vid utlämnande 54
Ersättning vid utlämnande Rätt till ersättning för kostnader för utlämnande av trafikdata. Vilka skillnader finns mellan trafikdatalagring och hemlig teleövervakning (HTÖ) vid utlämnande m.a.p. 1. omfattningen av uppgifter som lämnas ut, 2. gränssnittet mellan Polis/operatör, 3. hur begäran och utlämnande av uppgifter ska göras, 4. hur uppgifterna ska hanteras vid och efter utlämnande, 5. etc.
Ersättning forts. Hur kan kostnaderna för utlämnande för operatörer förväntas påverkas av skillnaderna mellan HTÖ och trafikdatalagring? Hur ser ersättningarna ut i regel, för HTÖ idag till struktur och nivå?
Samarbetet kring föreskrift om ersättning Förslag till samarbetsform - berörda parter får möjlighet att informera om ovanstående i ett frågeformulär från PTS - Möten vid behov Intresseanmälan om deltagande till mattias.wellander@pts.se senast 28/1 Telefon 08-678 58 75 PTS meddelar föreskrifter
Förslag till gränssnittspecifikation Säkerhetspolisen
Trafikdatalagring Gränssnittsspecifikation från Säpos utkast till nationell ITS- specifikation PM Bakgrund/regler Nationell tillämpning ETSI Avtalsdel CSP/LEA Specifikation (utkast) - Baserad på ETSI TS 102 657 Specifikation (utkast) - Säpos utkast slutförs i arbetesgrupp under IT&Telekomföretagen Nationell specifikation - Spec anmäls till ITS AG15 och fastställs som en tillämpningsinformation/ss
Vidare arbete med gränssnittsspecifikationen och andra frågor runt trafikdatalagring IT&Telekomföretagen
Trafikdatalagring allmänt Om branschens syn på trafikdatalagring och införande IT&Telekomföretagen anser det vara viktigt att polisen har tillgång till trafikdata enligt förslaget. Det är dock principiellt felaktigt att branschen ska stå för kostnader för myndigheters åtaganden Eftersom kostnaderna enligt förslaget ska läggas på branschen arbetar ITOT nu för att införandet inte ska bli onödigt belastande, t.ex. avseende skyldigheternas ikraftträdande och tider för utlämnande ITOT har försökt påverka Justitiedepartementet avseende vem som tar kostnaderna samt skyldigheternas ikraftträdande
Trafikdatalagring ikraftträdande Implementationstid Det är i praktiken omöjligt att skyldigheterna träder i kraft samtidigt som lagen, dvs. 1 juli 2011 Operatörerna kan beställa anpassning av system först då förordning och föreskrifter är klara Dessutom finns det särkrav i Sverige (position vid mobilsamtals slut och registrering av misslyckat samtal) En rimlig löptid från beställning till färdigt införande är minst ett år Det bör alltså införas övergångsregler IT&Telekomföretagen uppvaktar riksdagsmän för att belysa problemet
Trafikdatalagring praktiskt arbete Arbetsgrupper Föreskrift om skyddsåtgärder Föreskrift om ersättningar Arbete med gränssnitt för utlämnande leds av IT&Telekomföretagen Förfrågan om deltagande i arbetsgrupper har gått ut från IT&Telekomföretagen vid årsskiftet. Comhem, Tele2 och Telenor har anmält intresse. Avseende gränssnittet har ett första möte hållits med Säkerhetspolisen. Målet är att få en branschstandard och att kunna fastställa den under våren. Anmälan till Nils.Weidstam@almega.se, tel 070 756 0020, senast fredag 4 februari.
Avslutning www.pts.se/trafikdatalagring