IPRED OCH DATALAGRINGSDIREKTIVET - Behov av översyn av regleringen kring trafikuppgifter? Av Peter Ahlström

IPRED OCH DATALAGRINGSDIREKTIVET - Behov av översyn av regleringen kring trafikuppgifter? Av Peter Ahlström Examensarbete med praktik 30 poäng i rättsinformatik Stockholm höstterminen 2009

2 Innehåll 1. SAMMANFATTNING 2. INLEDNING 2.1 Bakgrund 2.2 Syfte och problematik 2.3 Metod och material 2.4 Viktigare avgränsningar 3. IPRED OCH INFORMATIONSFÖRELÄGGANDE ENLIGT URL 3.1 IPRED-direktivet 3.2 Informationsföreläggande enligt 53 c URL 3.2.1 Vem är skyldig att lämna information? 3.2.2 Vilken information är en Internetleverantör skyldig att lämna? 4. LAGEN OM ELEKTRONISK KOMMUNIKATION LAGRING AV TRAFIKUPPGIFTER 4.1 Tystnadsplikt 4.2 Uppgift om abonnemang 4.3 Förhållandet mellan informationsföreläggande, personuppgiftsskyddet och LEK 4.3.1 Tystnadsplikten enligt 6 kap. 20 LEK 4.3.2 Integritetsskydd och behandling av personuppgifter 5. DATALAGRINGSDIREKTIVET 5.1 Bakgrund 5.2 Tillämpningsområde 5.2.1 Vem är skyldig att lagra uppgifter? 5.2.2 Vilka uppgifter ska lagras och hur länge? 5.2.3 Vem ska få tillgång till uppgifterna? 5.3 Implementering i Sverige 5.3.1 Trafikuppgiftsutredningen SOU 2007:76 5.3.2 Opublicerade lagrådsremissen 6. DISKUSSION 6.1 Telefónica-domen Mål C-275/06 6.1.1 Generaladvokatens förslag till avgörande i mål C-275/06 6.2 Införandet av informationsföreläggande i svensk rätt 6.3 Informationsföreläggande i svensk rättspraxis 6.3.1 ephone-målet 6.3.2 Swetorrent-målet 4 5 5 6 7 8 10 10 11 11 12 13 14 15 16 16 17 18 18 19 19 19 20 21 21 24 25 25 27 29 31 31 33

3 6.4 Förhållandet mellan informationsföreläggande och Datalagringsdirektivet Framtida tillämpningssvårigheter? 34 6.5 Undersökning av Internetleverantörernas inställning till informationsföreläggande och Datalagringsdirektivet 40 7. AVSLUTANDE KOMMENTARER 7.1 Lagring och behandling av trafikuppgifter - de lege ferenda? 8. BILAGA 8.1 Enkätundersökning frågor och svar från Internetleverantörer och branschföreningen IT & Telekomföretagen 9. KÄLL- OCH LITTERATURFÖRTECKNING 9.1 Litteratur 9.2 Offentligt tryck 9.3 Myndighetsyttranden och material 9.4 Remissyttranden 9.5 Europarättsligt material 9.6 Rättsfall 9.7 Elektroniskt material 42 42 44 44 57 57 57 57 58 58 59 59

4 1. SAMMANFATTNING Denna uppsats redogör för regleringen kring lagring och behandling av så kallade trafikuppgifter. Med trafikuppgifter avses uppgifter som behandlas i syfte att överföra ett elektroniskt meddelande via ett elektroniskt kommunikationsnät, t.ex. namn, adress och IPadress som kan hänföras till en Internetabonnent. Regleringen kommer främst att analyseras i förhållande till de nyligen införda bestämmelserna om informationsföreläggande i 53 c lag (1960:792) om upphovsrätt till litterära och konstnärliga verk ( URL ). Regleringen har vid ett flertal tillfällen uppmärksammats i media där den ofta benämns som IPRED-lagen. I samband med detta redogörs för svenska rättsfall där informationsförelägganden har aktualiserats samt EU-rättslig praxis som ligger till grund för de svenska bestämmelserna. Uppsatsen behandlar vidare regleringen i det så kallade Datalagringsdirektivet 1 och Sveriges arbete med att genomföra bestämmelserna i detta direktiv. Resultatet av uppsatsen uppmärksammar de problem som dels existerar idag, med nuvarande reglering och behandling av trafikuppgifter, och dels kommande tillämpningssvårigheter och risker för ändamålsglidningar som aktualiseras i samband med informationsförelägganden när en svensk implementering av Datalagringsdirektivet väl sker. I uppsatsen berörs dessutom, till viss del, frågan om balansen mellan skyddet av upphovsrätten på Internet å ena sidan och skyddet av den personliga integriteten å andra sidan. 1 Europaparlamentets och rådets direktiv 2006/24/EG av den 15 mars 2006 om lagring av uppgifter som genererats eller behandlats i samband med tillhandahållande av allmänt tillgängliga elektroniska kommunikationstjänster eller allmänna kommunikationsnät och om ändring av direktiv 2002/58/EG.

5 2. INLEDNING 2.1 Bakgrund Att Internet har kommit att få ett nästintill obegränsat stort användningsområde torde det inte råda några större tvivel om. De senaste decennierna har Internet fått en enorm betydelse för såväl privata som kommersiella aktörer världen över. Nackdelen, å andra sidan, är att Internet dessutom används för mindre önskvärda ändamål och olagliga aktiviteter. En av anledningarna bakom den negativa utvecklingen är möjligheten för användarna att vara anonyma på Internet. Detta har lett till stora problem, inte minst för upphovsrättsindustrin, vilket gång på gång uppmärksammas i debatten kring jakten på illegala fildelare. Under senare år har dock lagstiftare, både på EU-nivå och på nationell nivå, försökt komma tillrätta med dessa problem. I samband med detta har trafikuppgifterna, dvs. de uppgifter som bl.a. behövs för att kunna få reda på en användares identitet på Internet, kommit att spela en central roll i debatten och lagstiftningen. I april 2009 infördes möjligheten för rättighetshavare att vid svensk domstol begära att bl.a. Internetleverantörer ska lämna ut uppgifter, t.ex. information om vilken abonnent som har ett visst IP-nummer, om rättighetshavaren kan visa sannolika skäl för att det har begåtts ett intrång i upphovsrätten med hjälp av den aktuella IP-adressen som Internetleverantören tillhandahållit. Möjligheten till informationsföreläggande är en av de lagstiftningsåtgärder som Sverige valt att genomföra i samband med implementeringen av det så kallade IPREDdirektivet. I samband med att de nya reglerna infördes gick ett antal Internetleverantörer ut med information om att leverantörerna skulle radera trafikuppgifterna med följden att ett informationsföreläggande enligt IPRED-lagen skulle kunna bli verkningslöst. Den nuvarande svenska regleringen kring lagring av trafikuppgifter återfinns i lag (2003:389) om elektronisk kommunikation ( LEK ). Huvudregeln är att trafikuppgifterna ska raderas när de inte längre behövs för att överföra ett elektroniskt meddelande. Trafikuppgifter får dock sparas enligt ett antal undantag för viss behandling, som t.ex. abonnentfakturering, betalning av avgifter för samtrafik och myndigheters tillgång till uppgifter för att kunna lösa tvister. Således finns det idag ingen skyldighet för Internetleverantörer att lagra uppgifter med syfte att kunna lämna ut dessa efter ett domstolsbeslut om informationsföreläggande.

6 I mars 2006 antogs det så kallade Datalagringsdirektivet med syfte att harmonisera regleringen kring lagring av uppgifter som genererats eller behandlats i samband med tillhandahållande av allmänt tillgängliga elektroniska kommunikationstjänster eller allmänna kommunikationsnät. Direktivet ska säkerställa att uppgifter som lagras enligt direktivet bara är tillgängliga för behöriga nationella myndigheter och att dessa tillgängliggörs för utredning, avslöjande och åtal av allvarliga brott såsom de definieras av varje medlemsstat i den nationella lagstiftningen. I Sverige, där direktivet i skrivande stund inte har implementerats, har direktivet fått stor uppmärksamhet. Genomförandet i Sverige har vid ett flertal tillfällen förskjutits och enligt det senaste officiella uttalandet från justitieminister Beatrice Ask kommer någon proposition angående Datalagringsdirektivet inte att läggas fram före riksdagsvalet 2010. 2 Oavsett när och hur implementeringen kommer att genomföras, har Sverige en skyldighet att genomföra direktivet vilket kommer att påverka det nuvarande rättsläget vad gäller behandling och lagring av trafikuppgifter samt vem som ska få tillgång till dessa. Inte minst kommer dagens Internetleverantörer med stor sannolikhet att möta såväl praktiska som juridiska problem avseende lagring och utlämnande av trafikuppgifter, något som denna uppsats har för avsikt att uppmärksamma. 2.2 Syfte och problematik Uppsatsen syftar till att belysa och analysera rättsläget, de lege lata och de lege ferenda, kring lagring och behandling av trafikuppgifter. I första hand kommer uppsatsen att behandla lagrings- och hanteringsrelaterade frågor rörande trafikuppgifter som aktualiseras i samband med ett informationsföreläggande enligt URL samt hur detta kommer att påverkas av en kommande implementering av Datalagringsdirektivet. Inledningsvis ges en genomgång av de nya reglerna i URL och deras funktion. Därefter kopplas bestämmelserna till den nuvarande regleringen LEK, vilken är den lagstiftning som styr lagring och behandling av trafikuppgifter idag. I uppsatsen kommenteras även de första domstolsavgörandena om informationsföreläggande som skett under 2009. Eftersom reglerna om informationsföreläggande, behandling av trafikuppgifter och datalagring i grund och 2 http://www.svd.se/nyheter/inrikes/artikel_3686789.svd.

7 botten bygger på EU-rätt kommer även relevant EU-lagstiftning och praxis att analyseras och kommenteras. I samband med genomgången aktualiseras även grundläggande frågor som skyddet för den personliga integriteten samt förhållandet till Europakonventionen och grundläggande gemenskapsrättsliga principer. Huvudsyftet med uppsatsen är att uppmärksamma de teoretiska och praktiska problem som en framtida implementering av Datalagringsdirektivet medför i förhållande till reglerna i 6 kap. LEK samt de nya reglerna om informationsföreläggande. Problemen innebär framtida tillämpningssvårigheter och risker för ändamålsglidningar vad gäller trafikuppgifter och då främst i samband med framtida informationsförelägganden. I första hand drabbas Internetleverantörerna eftersom det är dem som faller under skyldigheten att lagra och behandla trafikuppgifterna. I förlängningen drabbas även den enskilde Internetabonnenten då det de facto är fråga om personuppgifter som behandlas. En sådan reglering ställer höga krav på tydlighet och förutsägbarhet gentemot abonnenterna. Även motstående intressen, så som rättighetshavare, omfattas av problemen eftersom det synes råda missuppfattningar och osäkerhet över hur en kommande reglering ska tillämpas i förhållande till bl.a. informationsförelägganden. 2.3 Metod och material Det ämne som denna uppsats har för avsikt att behandla tillhör en ny och tämligen okänd del av ett rättsområde som till största delen återfinns inom IT-rätten. En viss del återfinns även inom upphovsrätten. Detta medför svårigheter vad gäller tillgängligheten och existensen av tillförlitliga rättskällor. Mig veterligen har problemställningen inte behandlats i doktrinen och har endast vid ett fåtal tillfällen berörts i rättspraxis. Till stor del kommer den EU-rättsliga lagstiftningen och praxis att ligga till grund för framställningen. I förhållande till det nuvarande rättsläget kring informationsföreläggande och behandlingen av trafikuppgifter kommer relevanta hänvisningar och material att hämtas från de lagstiftningsförfaranden som ägt rum, vilket innebär att offentliga utredningar och förarbeten analyseras. I denna del bör uppmärksammas den särskilda problematik som uppstår vad gäller tolkningen av Datalagringsdirektivet. Givetvis utgör direktivet i sig en förstahandskälla men i Sverige har även en statlig utredning, Trafikuppgiftsutredningen, presenterat ett lagförslag som till stor del har använts under uppsatsarbetet. Under våren 2009 läckte en inofficiell, eller

8 opublicerad, lagrådsremiss ut som behandlar implementeringen av Datalagringsdirektivet. Även denna har till viss del legat till grund för uppsatsen för att ge en förståelse för hur lagstiftaren kan tänkas resonera i frågan. Remissen i sig omfattar 99 sidor och synes vara ett välarbetat arbetsmaterial till en framtida lagrådsremiss. Läsaren bör dock ha i åtanke att remissen är inofficiell och att det inte har varit lagstiftarens avsikt att den skulle lämnas ut. Under arbetets gång har dessutom en mindre enkätundersökning genomförts bland ett antal Internetleverantörer för att undersöka deras inställning och åsikter kring informationsföreläggande och datalagring, samt hur de ställer sig till en framtida implementering av Datalagringsdirektivet. Resultatet har använts som underlag till uppsatsens diskussionsdel då det ger stöd för de problem och tillämpningssvårigheter som aktualiseras i samband med ett framtida genomförande av Datalagringsdirektivet. Svaren återfinns i sin helhet i slutet av uppsatsen. Läsaren bör vara uppmärksam på att svaren visar Internetleverantörernas uppfattning och inställning i frågan. 2.4 Viktigare avgränsningar Uppsatsen har till syfte att analysera informationsförelägganden, som riktas mot Internetleverantörer, samt regleringen kring hantering och lagring av trafikuppgifter i svensk rätt. Framställningen kommer således inte att innehålla någon komparativ analys över hur Datalagringsdirektivet eller informationsförelägganden har genomförts i andra EU-länder. Till viss del kommer uppsatsen att beröra den viktiga och intressanta gränsdragningen och balansen mellan upphovsrätten på ena sidan och skyddet för den personliga integriteten på den andra. Här uppkommer frågeställningar om huruvida de nya reglerna om informationsföreläggande i URL över huvud taget är förenliga med Europakonventionen och grundläggande gemenskapsrättsliga principer. Det ligger inte inom ramen för denna uppsats att fullständigt försöka besvara denna centrala fråga. Även om jag är kritisk mot den nuvarande regleringen kring trafikuppgifter, och det lagstiftningsarbete som hittills presenterats beträffande Datalagringsdirektivet, så vill jag förtydliga att det inte ligger inom ramen för uppsatsen att presentera fullgoda lösningar till de problem som föreligger. Däremot vill jag med arbetet ge ett bidrag till debatten samt försöka uppmärksamma att problemen finns. Därmed är min förhoppning att en översyn av

9 regleringen kring trafikuppgifter kan genomföras samt att Datalagringsdirektivet, i samband med översynen, kan implementeras på ett sätt som undanröjer problemen.

10 3. IPRED OCH INFORMATIONSFÖRELÄGGANDE ENLIGT URL 3.1 IPRED-direktivet Den 29:e april 2004 antogs det så kallade civilrättsliga sanktionsdirektivet, mer allmänt känt som IPRED-direktivet. 3 Direktivets syfte är att harmonisera medlemsstaternas lagstiftning vad gäller säkerställandet av skyddet för immateriella rättigheter för att på så sätt uppnå en hög, likvärdig och enhetlig skyddsnivå för immateriella rättigheter på den inre marknaden. 4 Det civilrättsliga sanktionsdirektivet innehåller regler och sanktioner inom hela immaterialrätten. För svenskt vidkommande innebar direktivet ett antal lagändringar vilka trädde ikraft den 1 april 2009. Av intresse för denna framställning är främst artiklarna 3 och 8 i direktivet. Artikel 3 stadgar en allmän skyldighet för medlemsstaterna att tillhandahålla nödvändiga åtgärder, förfaranden och sanktioner för att säkerställa skyddet för de immateriella rättigheter som omfattas av direktivet. Åtgärderna, förfarandena och sanktionerna ska vara rättvisa och skäliga, inte onödigt komplicerade eller kostsamma och inte medföra oskäliga tidsfrister eller omotiverade dröjsmål. Rätten till information i artikel 8 innebär att medlemsstaterna skall se till att de behöriga rättsliga myndigheterna, i samband med en rättegång om immaterialrättsintrång och som svar på en berättigad och proportionell begäran av käranden, får besluta att information om ursprung och distributionsnät för de intrångsgörande varorna eller tjänsterna skall lämnas av intrångsgöraren och/eller annan person som ( ) har befunnits i kommersiell skala tillhandahålla tjänster som använts i intrångsgörande verksamhet. I tredje punkten i samma artikel stadgas dock att det ovannämnda inte ska påverka andra lagbestämmelser som reglerar sekretesskydd för informationskällor eller behandling av personuppgifter. Det är bl.a. denna artikel som legat till grund för att införa ett informationsföreläggande i URL, vilket kommer att behandlas nedan. 3 Europaparlamentets och rådets direktiv 2004/48/EG av den 29 april 2004 om säkerställande av skyddet för immateriella rättigheter. Den engelska benämningen, IPRED, står för Intellectual Property Right Enforcement Directive. 4 Prop. 2008/09:67, s. 1.

11 3.2 Informationsföreläggande enligt 53 c URL I april 2009 infördes nya bestämmelser inom immaterialrätten med syfte att ge innehavare av immateriella rättigheter en rätt till information om intrångsgörande varors eller tjänsters ursprung och distributionsnät. Reglerna har fått benämningen informationsföreläggande och utgör ett nytt verktyg för rättighetshavare att bruka vid påstådda intrång. Framställningen kommer att fokusera på de nya reglerna i URL som aktualiseras vid påstådda intrång i upphovsrätten på Internet och informationsförelägganden som då kan riktas mot Internetleverantörer. Tillämpningen av reglerna som riktar sig mot Internetleverantörer har fått stor medial uppmärksamhet i Sverige där de fått benämningen IPRED-lagen efter direktivets engelska förkortning. Enligt 53 c URL får en domstol, om sannolika skäl visas att någon har gjort ett intrång eller gjort sig skyldig till en överträdelse som avses i 53, vid vite besluta att någon eller några av dem som anges i andra stycket ska ge sökanden information om ursprung och distributionsnät för de varor eller tjänster som intrånget eller överträdelsen gäller (informationsföreläggande). Ett sådant beslut får meddelas på yrkande av upphovsmannen eller upphovsmannens rättsinnehavare eller den som på grund av upplåtelse har rätt att utnyttja verket. Ett informationsföreläggande får bara meddelas om informationen kan antas underlätta utredningen av ett intrång eller en överträdelse som avser varorna eller tjänsterna. 3.2.1 Vem är skyldig att lämna information? I 53 c 2 st. URL anges vem som omfattas av skyldigheten att lämna information. Enligt fjärde punkten omfattas den som i kommersiell skala har tillhandahållit en elektronisk kommunikationstjänst eller en annan tjänst som har använts vid intrånget eller överträdelsen. Begreppet elektronisk kommunikationstjänst definieras i 1 kap. 7 LEK och avser tjänst som vanligen tillhandahålls mot ersättning och som helt eller huvudsakligen utgörs av överföring av signaler i elektroniska kommunikationsnät. Med elektroniskt kommunikationsnät avses, enligt samma lagrum, system för överföring och i tillämpliga fall utrustning för koppling eller dirigering samt andra resurser som medger överföring av signaler, via tråd eller radiovågor, på optisk väg eller via andra elektromagnetiska överföringsmedier oberoende av vilken typ av information som överförs. Sammantaget

12 innebär detta att Internetleverantörer 5 kan föreläggas att tillhandahålla information om intrång som har begåtts med hjälp av Internet. Det behöver inte utredas huruvida Internetleverantören själv har gjort eller medverkat till det intrång eller gjort sig skyldig till eller medverkat till den överträdelse som påstås ha begåtts. Kan sökanden visa sannolika skäl för att ett intrång eller överträdelse i objektiv mening har begåtts, dvs. att upphovsrättsligt skyddat material har tillgängliggjorts eller kopierats i strid mot URL med hjälp av Internet, är detta tillräckligt. Någon bevisning om vem som har begått det aktuella intrånget, eller om dennes eventuella uppsåt eller oaktsamhet, krävs inte heller. 6 3.2.2 Vilken information är en Internetleverantör skyldig att lämna? Av första stycket framgår att Internetleverantören kan åläggas att lämna information om ursprung och distributionsnät för de varor eller tjänster som intrånget eller överträdelsen gäller. I tredje stycket ges en icke uttömmande exemplifiering av sådan information. Information om varors eller tjänsters ursprung och distributionsnät kan särskilt avse namn på och adress till producenter, distributörer, leverantörer och andra som har innehavt varorna eller tillhandahållit tjänsterna. Enligt förarbetena innebär möjligheten att få information att en Internetleverantör kan föreläggas att lämna information om vilken abonnent som haft en specifik IP-adress från vilken har tillgängliggjorts eller kopierats upphovsrättsligt skyddat material via Internet. Vidare framhålls att gränsdragningen mellan vara och tjänst i dessa sammanhang saknar praktisk betydelse eftersom begreppen tillsammans omfattar samtliga former av intrång i den digitala miljön och samma regler gäller för varor och tjänster. 7 I praktiken innebär regleringen att Internetleverantörer kan åläggas att lämna ut namn och adress avseende en abonnent som tilldelats en specifik IP-adress vid en viss tidpunkt om samtliga förutsättningar för ett informationsföreläggande är uppfyllda. Denna reglering utgör en nyhet i svensk rätt. Regleringen av den information och uppgifter som en Internetleverantör kan bli skyldig att lämna ut återfinns i LEK. För att förstå sambandet mellan ett informationsföreläggande och regleringarna i LEK ges en genomgång av lagstiftningen i följande avsnitt. 5 Med Internetleverantör avses här den som i kommersiell skala har tillhandahållit en elektronisk kommunikationstjänst, dvs. access eller åtkomst till Internet. 6 Prop. 2008/09:67, s. 258 ff. 7 A.a.

13 4. LAGEN OM ELEKTRONISK KOMMUNIKATION LAGRING AV TRAFIKUPPGIFTER Lagen om elektronisk kommunikation infördes i juli 2003 och bygger på ett omfattande EUrättsligt regelverk som syftar till att modernisera gemenskapens lagstiftning inom området för elektronisk kommunikation. Av intresse för denna framställning är främst det så kallade Kommunikationsdataskyddsdirektivet. 8 Direktivet, som syftar till att säkerställa ett likvärdigt skydd för medlemsstaterna beträffande de grundläggande fri- och rättigheterna, i synnerhet rätten till integritet, när det gäller behandling av personuppgifter inom sektorn för elektronisk kommunikation, har huvudsakligen genomförts i 6 kap. LEK. I artikel 1.2 stadgas att bestämmelserna i direktivet ska precisera och komplettera Personuppgiftsdirektivet 9, som i Sverige har implementerats genom Personuppgiftslagen (1998:204) ( PUL ). 6 kap. LEK innehåller bestämmelser om integritetsskydd och behandling av trafikuppgifter. Med trafikuppgifter avses enligt 6 kap. 1 LEK uppgift som behandlas i syfte att befordra ett elektroniskt meddelande via ett elektroniskt kommunikationsnät eller för att fakturera detta meddelande. Med elektroniskt meddelande avses, enligt samma lagrum, all information som utbyts eller överförs mellan ett begränsat antal parter genom en allmänt tillgänglig elektronisk kommunikationstjänst, utom information som överförs som del av sändningar av ljudradio- och TV-program som är riktade till allmänheten via ett elektroniskt kommunikationsnät om denna information inte kan sättas i samband med den enskilde abonnenten eller användaren av informationen. Enklare uttryckt är det fråga om uppgifter som svarar på frågorna vem som kommunicerade med vem, när det skedde, var befann sig de som kommunicerade och vilken typ av kommunikation användes. Däremot får uppgifterna inte avslöja innehållet i en kommunikation. 10 Uppgifter om en abonnent som kan härledas till en specifik IP-adress, så som namn och adress, utgör trafikuppgifter. Huvudregeln enligt 6 kap. 5 LEK är att trafikuppgifter ska 8 Europaparlamentets och rådets direktiv 2002/58/EG av den 12 juli 2002 om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation (direktiv om integritet och elektronisk kommunikation). 9 Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter. 10 SOU 2007:76, s. 17.

14 utplånas eller avidentifieras när de inte längre behövs för att överföra ett elektroniskt meddelande. Trafikuppgifter får dock sparas för viss behandling, t.ex. för abonnentfakturering och betalning av avgifter för samtrafik till dess att fordran är betald eller preskription inträtt och det inte längre lagligen går att göra invändningar mot faktureringen och avgiften. 11 Vidare stadgar 8 att huvudregeln att utplåna eller avidentifiera uppgifterna inte gäller när en myndighet eller en domstol behöver tillgång till sådana uppgifter som avses i 5 för att lösa tvister. Detsamma gäller för elektroniska meddelanden som omfattas av beslut om hemlig teleavlyssning, hemlig teleövervakning, tekniskt bistånd med hemlig teleavlyssning eller med hemlig teleövervakning. Slutligen stadgas att huvudregeln inte gäller i den utsträckning uppgifter som avses i 5 är nödvändiga för att förhindra och avslöja obehörig användning av ett elektroniskt kommunikationsnät eller en elektronisk kommunikationstjänst. 4.1 Tystnadsplikt Av integritetsskäl omfattas trafikuppgifter som lagras av bl.a. Internetleverantörer av en generell tystnadsplikt. Enligt 6 kap. 20 1 st. LEK framgår att Den som i samband med tillhandahållande av ett elektroniskt kommunikationsnät eller en elektronisk kommunikationstjänst har fått del av eller tillgång till 1. uppgift om abonnemang, 2. innehållet i ett elektroniskt meddelande, eller 3. annan uppgift som angår ett särskilt elektroniskt meddelande, får inte obehörigen föra vidare eller utnyttja det han fått del av eller tillgång till. Det finns dock undantag från tystnadsplikten som innebär att behöriga myndigheter har rätt att begära ut uppgifter i enlighet med 6 kap. 22 LEK för specifikt avsedda syften. Undantagen för de brottsbekämpande myndigheterna framgår av 6 kap. 22 första stycket 2 och 3 LEK. Där stadgas att bl.a. en Internetleverantör på begäran ska lämna uppgift om abonnemang och som gäller misstanke om brott till åklagarmyndighet, polismyndighet eller någon annan myndighet som skall ingripa mot brottet, om fängelse är föreskrivet för brottet och det enligt myndighetens bedömning kan föranleda annan påföljd än böter. Detsamma 11 Se 6 kap. 6 LEK. 6 kap. 13 LEK reglerar undantag vad gäller nummerpresentation och lokaliseringsuppgifter.

15 gäller för annan uppgift som angår ett särskilt elektroniskt meddelande om det för brottet inte är föreskrivet lindrigare straff än fängelse i två år. 4.2 Uppgift om abonnemang Som framgår ovan omfattas uppgift om abonnemang av tystnadsplikten i 6 kap. 20 LEK. Sådana uppgifter avser uppgifter som identifierar en abonnent eller ett abonnemang ( kataloguppgifter ), som t.ex. namn, titel, adress och abonnentnummer. Beträffande IPnummer torde dessa utgöra uppgift om abonnemang, men åsikterna går isär. Ett IP-nummer, eller IP-adress, är en teknisk uppgift som krävs för att terminaler ska kunna identifiera och kommunicera med varandra i ett datornätverk med hjälp av kommunikationsprotokollet Internet Protocol (IP). 12 Varje Internetleverantör disponerar ett antal IP-adresser som tillhandahålls abonnenterna. Detta kan ske på permanent basis, s.k. fasta IP-adresser, eller dynamiskt, där abonnenten tilldelas en IP-adress varje gång uppkoppling sker mot leverantören. En fast eller statisk IP-adress innebär att samma adress tilldelas abonnenten vid varje tillfälle som uppkoppling sker. 13 Idag är det vanligast att abonnenter tilldelas dynamiska IP-adresser. Detta innebär att användaren kan tilldelas olika dynamiska IP-nummer vid olika tillfällen. Frågan huruvida IP-adresser ska kategoriseras som uppgift om abonnemang eller annan uppgift som angår ett särskilt elektroniskt meddelande samt om skillnad bör göras mellan fasta och dynamiska IP-adresser har diskuteras av bl.a. Post och Telestyrelsen ( PTS ) samt uppmärksammats i ett antal utredningar. PTS har i ett yttrande från 2001 kommit till slutsatsen att både fasta och dynamiska IP-nummer får anses utgöra uppgift om abonnemang. 14 Däremot har PTS vid ett senare tillfälle i sitt remissyttrande över betänkandet Tillgång till elektronisk kommunikation i brottsutredningar m.m. (SOU 2005:38) kommit till slutsatsen att det finns anledning för myndigheten att överväga en förändring av den tidigare inställningen. 15 PTS anslöt sig till den inställning som framfördes i utredningen Brott och brottsutredning i IT-miljö. 16 Där framhölls att argument kan anföras för båda uppfattningarna men att uppgift om en dynamisk IP-adress torde vara att anse som en annan uppgift som angår ett särskilt elektroniskt meddelande. I en sammanställning från 2006 har PTS kommenterat de två tidigare inställningarna och konstaterar att PTS tills vidare vidhåller 12 SOU 2009:1, s. 70. 13 SOU 2007:76, s. 64. 14 PTS yttrande den 11 juli 2001, dnr 01-13584. 15 PTS yttrande den 21 december 2005, dnr 05-11036. 16 Ds 2005:6, s. 324 ff.

16 sin uppfattning från 2001, att IP-adress utgör uppgift om abonnemang. 17 I en nyligen utkommen utredning, En mer rättsäker inhämtning av elektronisk kommunikation i brottsbekämpningen, framhålls att IP-adresser anses utgöra uppgift om abonnemang, oavsett om adressen är fast eller dynamisk. 18 Eftersom IP-adresser har en direkt koppling till ett Internetabonnemang, och därmed till Internetabonnenten, torde det vara mest praktiskt och logiskt att hänföra IP-adresser till kategorin uppgift om abonnemang. Oavsett hur IP-adresser kan komma att klassificeras styrs utlämnandet av dessa huvudsakligen av LEK. Som framgår ovan har det tidigare endast varit behöriga myndigheter som haft möjlighet att begära ut dessa uppgifter. I samband med införandet av informationsföreläggande i URL har nu en helt ny möjlighet införts för privata rättighetshavare att efter ett domstolsbeslut begära ut uppgifter om en abonnent som vid en viss tidpunkt innehade en viss IP-adress. 4.3 Förhållandet mellan informationsföreläggande, personuppgiftsskyddet och LEK Som redogjorts ovan har rättighetshavare numera möjligheten, efter lagändringarna 2009, att via domstol begära ut uppgifter som t.ex. namn och adress på den abonnent som tilldelats en viss IP-adress av en Internetleverantör. Införandet av informationsföreläggande innebär att grundläggande bestämmelser om skydd för personlig integritet och tystnadsplikt kontra skyddet för upphovsrätten måste beaktats. Detta gäller inte minst regleringarna på internationell och EU-nivå. Huruvida en korrekt balans mellan de olika intressena har uppnåtts är en fråga som är viktig att belysa. I följande avsnitt redogörs för hur lagstiftaren motiverat brytandet av tystnadsplikten i LEK samt hur ett informationsföreläggande förhåller sig till skyddet för personuppgifter enligt svensk rätt. 4.3.1 Tystnadsplikten enligt 6 kap. 20 LEK En berättigad begäran om informationsföreläggande innebär att tystnadsplikten i LEK bryts. Enligt förarbetena motiveras brytandet av tystnadsplikten med hänvisning till reglerna om vittnesförhör och edition i 36 och 38 kap. i rättegångsbalken. Tystnadsplikten i LEK ger vika 17 PTS, Sammanställning av lagstiftning och praxis kring utlämnande av uppgifter (2006-11-28), s. 4. 18 SOU 2009:1, s. 70. För samma ståndpunkt, se även SOU 2007:76, s. 64 och SOU 2005:38, s. 131.

17 för dessa bestämmelser eftersom de inte innehåller något undantag för sådan information. Om inte annat anges i bestämmelserna om rätt till information i URL har sålunda även ett informationsföreläggande företräde framför tystnadsplikten. 19 Vidare hänvisas till formuleringen i 6 kap. 20 LEK som stadgar att uppgifter inte obehörigen får föras vidare eller utnyttjas. Det innebär, enligt förarbetena, att denna typ av tystnadsplikt är underordnad andra bestämmelser som innebär att information ska lämnas ut, eftersom utlämnandet i sådant fall inte är obehörigt. 4.3.2 Integritetsskydd och behandling av personuppgifter Som redan framgått utgör en abonnents IP-adress en trafikuppgift. Dessutom anses IPadresser utgöra personuppgifter om de kan hänföras till en fysisk person. 20 I 6 kap. 2 LEK regleras förhållandet mellan PUL och LEK. I fråga om behandling av personuppgifter vid tillhandahållande av elektroniska kommunikationsnät och elektroniska kommunikationstjänster gäller PUL, om inte annat följer av LEK. Med behandling av personuppgifter avses, enligt 3 PUL, varje åtgärd som vidtas med personuppgiften, t.ex. insamling, lagring eller utlämnande. Enligt 9 PUL framgår att personuppgifter bara får samlas in för särskilda, uttryckligt angivna och berättigade ändamål och att uppgifterna inte behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in. Vidare innehåller 10 grundläggande bestämmelser om när behandling av personuppgifter är tillåten. Personuppgifter får enligt punkten b) behandlas när det är nödvändigt för att den personuppgiftsansvarige ska kunna fullgöra en rättslig skyldighet. Av punkten f) framgår att personuppgift får behandlas för att ett ändamål som rör ett berättigat intresse hos den personuppgiftsansvarige eller hos en sådan tredje man till vilken personuppgifterna lämnas ut ska kunna tillgodoses, om detta intresse väger tyngre än den registrerades intresse av skydd mot kränkning av den personliga integriteten. De nya bestämmelserna om informationsföreläggande i URL föreskriver en rättslig skyldighet för bl.a. Internetleverantörer att efter domstolsbeslut lämna ut uppgifter om samtliga förutsättningar för ett utlämnande är uppfyllda. Det innebär att PUL inte kan hindra ett sådant utlämnande. 19 Prop. 2008/09:67, s. 143. 20 Se Kammarrätten i Stockholms dom 2007-06-08 nr DT 285-07.

18 5. DATALAGRINGSDIREKTIVET I tidigare avsnitt har den nuvarande regleringen kring lagring och hantering av trafikuppgifter behandlats, samt dess förhållande till ett informationsföreläggande enligt URL. Följande avsnitt avser att redogöra för det så kallade Datalagringsdirektivet som Sverige har en skyldighet att genomföra. Direktivet kommer att innebära såväl praktiska som juridiska problem, inte minst för Internetleverantörerna. Även den generella tolkningen, som synes råda idag, om hur direktivet påverkar en begäran om informationsföreläggande ger upphov till en grundlig analys av bestämmelserna. Direktivet i sig innebär dessutom en betydande påverkan på den personliga integriteten. 5.1 Bakgrund I mars 2006 antogs direktiv 2006/24/EG om lagring av trafikuppgifter. Direktivet syftar till att harmonisera medlemsstaternas bestämmelser om de skyldigheter som bl.a. Internetleverantörer har vad gäller lagring av vissa uppgifter som de genererat eller behandlat för att säkerställa att uppgifterna är tillgängliga för utredning, avslöjande och åtal av allvarliga brott såsom de definieras av varje medlemsstat i den nationella lagstiftningen. I ingressen till direktivet motiveras regleringen bl.a. av att skillnaderna i de rättsliga och tekniska bestämmelserna i medlemsstaterna avseende lagring av trafikuppgifter i syfte att motverka brott utgör hinder för den inre marknaden av elektronisk kommunikation. Detta eftersom tjänsteleverantörer ställs inför olika krav avseende typen av uppgifter som ska lagras liksom villkoren för lagring och lagringstiderna. Det understryks vidare att användandet av elektronisk kommunikation ökat avsevärt och att uppgifter om användningen av sådan kommunikation är särskilt viktiga och utgör ett värdefullt verktyg för att bekämpa brott, särskilt organiserad brottslighet. Därför är det angeläget att uppgifterna ska lagras under viss tid i enlighet med de villkor som föreskrivs i direktivet. Förhållandet till den personliga integriteten har kommenterats i ingressen till direktivet. Eftersom lagring av uppgifter har visat sig vara ett nödvändigt och effektivt redskap för de brottsbekämpande myndigheternas utredningar i många medlemsstater, och framförallt i

19 allvarliga fall som organiserad brottslighet och terrorism, så är det nödvändigt att de brottsbekämpande myndigheterna får tillgång till uppgifterna under en viss tid. Antagandet av ett instrument om lagring i enlighet med kraven om skydd för privatliv och korrespondens i artikel 8 i Europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna är därför en nödvändig åtgärd. Enligt lagstiftaren respekterar direktivet de grundläggande rättigheterna och iakttar de principer som erkänns i Europeiska unionens stadga om grundläggande rättigheter. Tillsammans med Kommunikationsdataskyddsdirektivet, som LEK bygger på, syftar direktivet särskilt att säkerställa full respekt för medborgarnas grundläggande rättigheter med avseende på privatlivet och kommunikationer samt skyddet för personuppgifter. 5.2 Tillämpningsområde 5.2.1 Vem är skyldig att lagra uppgifter? Enligt artikel 3 ska medlemsstaterna anta åtgärder för att säkerställa lagring enligt direktivsbestämmelserna i den utsträckning som de genereras eller behandlas av leverantörer av allmänt tillgängliga elektroniska kommunikationstjänster eller allmänna kommunikationsnät inom statens territorium. Detta ska göras i samband med att leverantörerna levererar de kommunikationstjänster som berörs. Det innebär att bl.a. svenska Internetleverantörer faller under tillämpningsområdet. 5.2.2 Vilka uppgifter ska lagras och hur länge? Artikel 5 i direktivet reglerar vilka typer av uppgifter som faller under lagringsskyldigheten. Uppgiftskategorierna har uppdelats inom områdena telefoni i fasta nät och mobil telefoni, Internetåtkomst, Internetbaserad e-post och Internettelefoni. Av relevans för denna uppsats är främst uppgifter om Internetåtkomst och framställningen kommer därmed att begränsas till dessa. Det är dock viktigt att framhäva omfattningen av de uppgifter som ska lagras. Vad gäller Internetåtkomst ska uppgifter som är nödvändiga för att spåra och identifiera en kommunikationskälla sparas. Det avser bl.a. tilldelat användar-id samt namn på och adress till den abonnent eller registrerade användare som IP-adressen eller användaridentiteten tilldelades vid tidpunkten för kommunikationen. Med användar-id avses enligt artikel 2 ett

20 unikt ID som tilldelas personer när de abonnerar på eller registrerar sig på en Internetåtkomsttjänst eller en Internetkommunikationstjänst, dvs. inte att förväxla med en IPadress. Dessutom ska uppgifter som är nödvändiga för att identifiera datum, tidpunkt och varaktighet för en kommunikation lagras. För Internetåtkomst innebär det att datum och tid för på- respektive avloggning i Internetåtkomsttjänsten inom en given tidszon tillsammans med IP-adressen, oavsett om den är dynamisk eller statisk, som en kommunikation tilldelats av Internetleverantören samt användar-id ska lagras. Enligt andra punkten får inga uppgifter som avslöjar kommunikationens innehåll lagras i enlighet med direktivet. Beträffande lagringstiden stadgas i artikel 6 att medlemsstaterna ska säkerställa att uppgifterna lagras under en period om minst sex månader och högst två år från det datum kommunikationen ägde rum. 5.2.3 Vem ska få tillgång till uppgifterna? Artikel 4 i direktivet reglerar vem som ska få tillgång till de lagrade uppgifterna. Där stadgas att medlemsstaterna ska anta åtgärder för att säkerställa att uppgifter som lagras i enlighet med direktivet endast görs tillgängliga för behöriga nationella myndigheter, i närmare angivna fall, och i enlighet med nationell lagstiftning. Dessutom ska de förfaranden som ska följas och de villkor som ska uppfyllas för att erhålla tillgång till lagrade uppgifter stämma överens med nödvändighets- och proportionalitetskraven. Regleringarna ska följa tillämpliga bestämmelser i EU-lagstiftningen och folkrätten, särkskilt Europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna, i enlighet med den tolkning som görs av den Europeiska domstolen för mänskliga rättigheter. I skäl 25 i ingressen till direktivet påpekas att Datalagringsdirektivet inte påverkar medlemsstaternas befogenhet att anta lagstiftningsåtgärder om rätten till tillgång till och användning av uppgifter för de nationella myndigheter de utsett. Frågor om tillgång till de uppgifter som nationella myndigheter lagrar i enlighet med direktivet för de verksamheter som avses i artikel 3.2 första ledet i Personuppgiftsdirektivet faller utanför tillämpningsområdet för gemenskapens lagstiftning. Det gäller till exempel verksamheter som rör allmän säkerhet, försvar, statens säkerhet och statens verksamhet på straffrättens område.

21 5.3 Implementering i Sverige Artikel 15 i direktivet föreskriver att medlemsstaterna skulle ha genomfört direktivet senast den 15 september 2007. Beträffande lagring av kommunikationsuppgifter inom kategorierna Internetåtkomst, Internettelefoni och Internetbaserad e-post fick genomförandet skjutas upp till och med den 15 mars 2009. Sverige har utnyttjat denna möjlighet och avgett en förklaring om att skjuta upp implementeringen. I skrivande stund har Sverige dock inte genomfört någon del av direktivet. Enligt ett uttalande från justitieminister Beatrice Ask tänker regeringen inte lägga fram något lagförslag angående implementering av Datalagringsdirektivet före riksdagsvalet 2010. 21 I maj 2006 påbörjades en utredning under namnet Trafikuppgiftsutredningen för att lämna förslag till hur Datalagringsdirektivet ska genomföras i svensk rätt. Uppdraget slutfördes i november 2007 då betänkandet Lagring av trafikuppgifter för brottsbekämpning (SOU 2007:76) presenterades. Något ytterligare lagstiftningsarbete har inte presenterats. Däremot läckte en inofficiell lagrådsremiss ut under våren 2009. Regeringen dementerade dock snart efter att informationen spridits att någon opublicerad lagrådsremiss skulle existera. 22 För detta arbete har emellertid den opublicerade lagrådsremissen granskats och analyserats. Dock är det viktigt att poängtera att remissen inte kan ge någon officiell information. 5.3.1 Trafikuppgiftsutredningen SOU 2007:76 Utredningen konstaterar inledningsvis att genomförandet medför att mycket stora informationsmängder kommer att lagras. Endast en ytterst begränsad del av uppgifterna kommer att lämnas ut till de brottsbekämpande myndigheterna och användas vid bekämpningen av allvarlig brottslighet. Enligt utredningen är frågan om integritetsskyddet vid lagring av trafikuppgifter emellertid inte begränsad till de situationer där uppgifterna lämnas ut. En generell lagring av trafikuppgifter i den omfattning som direktivet föreskriver påverkar både enskildas upplevelse av att få sin privata sfär inskränkt och integritetsskyddet för medborgarna i allmänhet. Intrånget i integriteten sker redan genom att det allmänna säkrar tillgången till uppgifter genom lagringen. Skyldigheten att lagra uppgifter innebär att trafikuppgifter som på något sätt rör praktiskt taget alla medborgare kommer att finnas 21 http://www.svd.se/nyheter/inrikes/artikel_3686789.svd. 22 http://www.svd.se/nyheter/inrikes/artikel_2902057.svd.

22 lagrade. Utredningen påpekar också att vid hearingen som genomfördes framfördes synpunkter på risken för att uppgifter kan läcka ut till obehöriga. Vidare påpekades riskerna för ändamålsglidning, dvs. att systemet kan komma att användas för andra syften än det ursprungligen var tänkt för. 23 Lagförslaget innebär att direktivet i huvudsak ska genomföras genom ändringar i LEK. I sjätte kapitlet föreslås att ett antal nya paragrafer införs som reglerar lagringsskyldigheten. Efter huvudregeln om att trafikuppgifterna ska raderas när de inte längre behövs för att överföra ett elektroniskt meddelande i 6 kap. 5 föreslås att en ny bestämmelse (6 a ) med följande lydelse införs: Den som bedriver verksamhet som är anmälningspliktig enligt 2 kap. 1 och som genererar eller behandlar uppgifter som avses i 20 första stycket 1 och 3 ska lagra uppgifterna för brottbekämpande syften. Lagrade uppgifter får behandlas endast 1. för att lämnas ut enligt 22 första stycket 2 och 3 eller 27 kap. 19 rättegångsbalken, eller 2. enligt 30 första stycket personuppgiftslagen (1998:204). 24 Förslaget innebär att genomförandet ansluter till den nuvarande regleringen i LEK. Internetleverantörer som genererar eller behandlar uppgifter om abonnemang och/eller andra uppgifter som angår ett särskilt elektroniskt meddelande ska lagra dessa för brottsbekämpande syften. Lagförslaget reglerar dessutom de situationer när behandling överhuvudtaget är tillåten. De lagrade uppgifterna får endast lämnas ut enligt 6 kap. 22 första stycket 2 och 3 LEK, enligt 27 kap. 19 rättegångsbalken eller enligt 30 första stycket personuppgiftslagen. Beträffande utlämnande enligt LEK kommer dessa enligt förslaget att lämnas ut till brottsbekämpande myndigheter på samma sätt som sker idag genom utlämnande enligt 6 kap 22 punkterna 2 och 3. Genom att specifikt stadga när behandling av uppgifterna får ske för de uppgifter som särskilt ska lagras enligt direktivet, kvalificeras tystnadsplikten i 6 kap. 20 LEK. Dessa uppgifter får enbart behandlas i enlighet med den föreslagna 6 a LEK och inte genom t.ex. undantag från tystnadsplikten i 6 kap. 20 LEK. Utredningen är av uppfattningen att lagring av trafikuppgifter inte ger anledning till att förändra bestämmelserna om 23 SOU 2007:76, s. 19. 24 A.a., s. 37 f.

23 utlämnande enligt LEK. 25 Direktivet föreskriver att uppgifterna ska finnas tillgängliga vid bekämpningen av allvarliga brott, såsom de definieras i varje lands lagstiftning. Enligt ett uttalande från Europeiska unionens råd ska medlemsstaterna ta vederbörlig hänsyn till de brott som förtecknas i artikel 2 i rambeslutet om en europeisk arresteringsorder och överlämnande mellan medlemsstaterna (2002/584/RIF). 26 Utredningen är av den uppfattningen att utlämnande enligt beslut om hemlig teleövervakning eller genom 6 kap. 22 första stycket 3 LEK stämmer väl överens beträffande svårighetsgraden av de brott som nämns i rambeslutet. Vad beträffar utlämnande enligt 6 kap. 22 första stycket 2 LEK gäller detta vid misstanke om mindre allvarliga brott. Utredningen anser att det skulle innebära en avsevärd försämring från brottsbekämpningssynpunkt om det skulle införas ett krav på att dessa uppgifter endast skulle få lämnas ut vid allvarlig brottslighet. Därför bör ingen ändring av reglerna om utlämnande enligt LEK genomföras. 27 Enligt utredningen ska lagringsskyldigheten struktureras i ett antal kategorier; telefoni, meddelandehantering, Internetåtkomst och anslutningsform och bara omfatta uppgifter som leverantörer någon gång genererar eller behandlar. Leverantörerna behöver inte skaffa sig alla de uppgifter som lagringsskyldigheten omfattar utan endast de uppgifter som genereras eller behandlas i verksamheten. 28 Inom kategorin Internetåtkomst ska uppgifter såsom användarens IP-adresser, uppgifter om abonnent och registrerad användare, datum och spårbar tid för på- och avloggning i Internettjänsten, typ av Internetanslutning och slutpunkter 29 lagras. Vid verksamheter som tillhandahåller kapacitet som ger möjlighet till överföring av IP-paket för att få Internetåtkomst (anslutningsform) ska uppgifter om abonnent, uppgift om vilken typ av kapacitet för överföring som har använts och spårbar tid för användandet samt slutpunkter lagras. 30 Lagringen enligt förslaget ska pågå under ett år från det datum kommunikationen ägde rum, dvs. sex månader längre än det minimikrav som direktivet föreskriver. Därefter ska 25 Här bör dock uppmärksammas de särskilda yttrandena av Hans-Olof Lindblom och Per Furberg som är av en annan uppfattning. Dessa kommenteras under avsnitt 6.4. 26 A.a., s. 71. 27 A.a., s. 229. 28 SOU 2007:76, s. 121 och 139. 29 Med slutpunkt avses den tekniska utrustningen i en fysisk ändpunkt som står under leverantörens kontroll, såsom routers, portnummer, utrustningsidentitet, MAC-adresser och abonnemangsidentitet. Se vidare härom SOU 2007:76, s. 156 f. 30 A.a., s. 122.

24 uppgifterna utplånas om de inte har begärts utlämnande men ännu inte lämnats ut eller den lagringsskyldige annars har rätt att fortsätta behandla dem. 31 5.3.2 Opublicerade lagrådsremissen Även om den opublicerade lagrådsremissen har dementerats av regeringen är det dock av intresse att kort belysa den information som där framgår. Det lagförslag som framgår av lagrådsremissen påminner i stort om ovan nämnda förslag i SOU 2007:76. Lagringsskyldigheten är uppbyggd på samma sätt som i utredningens förslag, men har förtydligats genom att uttryckligen stadga den typ av kommunikation och kategorier som omfattas. Lagringstiden har i remissförslaget minskats till sex månader, dvs. motsvarande det minimikrav som direktivet föreskriver. Utgångspunkten i lagrådsremissen, liksom i utredningens förslag, är att myndigheternas förutsättningar vad gäller tillgång till uppgifter som ska lagras enligt direktivet ska vara desamma som nu gäller. Uppgifterna som sparas på grund av lagringsskyldigheten enligt direktivet ska lagras i särskild ordning. 32 31 A.a., s. 37 f. 32 Inofficiell lagrådsremiss, Lagring av Trafikuppgifter för brottsbekämpning genomförande av direktiv 2006/24/EG, s. 21 och 44.

25 6. DISKUSSION Framställningen har inledningsvis redogjort för den nyligen införda möjligheten för rättighetshavare att via domstol begära ett informationsföreläggande. Den allmänna debatten kring den nya regleringen, som i media ofta benämns IPRED-lagen, har i stort sätt uteslutande handlat om informationsförelägganden som riktas mot Internetleverantörer och påstådda intrång i upphovsrätten med hjälp av Internet. Inte sällan riktas kritik mot Internetleverantörerna där de påstås motverka IPRED-lagen genom att aktivt radera de trafikuppgifter i fråga som aktualiseras vid ett informationsföreläggande. Stundtals framförs argument om att en kommande implementering av Datalagringsdirektivet innebär att trafikuppgifter kommer att säkras för att bl.a. kunna användas vid informationsförelägganden. Följande avsnitt avser att uppmärksamma och belysa de missuppfattningar som tycks existera bland allmänheten idag, samt analysera de risker för ändamålsglidningar som Datalagringsdirektivet innebär. Inledningsvis kommer ett aktuellt avgörande från EGdomstolen att analyseras som rör införande av ett informationsföreläggande och avvägningen mellan dataskydd och skyddet för upphovsrätten. 6.1 Telefónica-domen Mål C-275/06 Målet handlade om en begäran om förhandsavgörande framställd av en spansk domstol. Tvisten vid den nationella domstolen rörde en begäran från en ideell förening ( Promusicae ), riktad mot en Internetleverantör, ( Telefónica ), att till Promusicae förete uppgifter om identitet och hemvist till ett antal abonnenter hos Telefónica. Enligt Promusicae hade dessa personer använt ett fildelningsprogram (peer to peer eller P2P) med namnet KaZaA för att från sin egen dator göra ljudupptagningar, som Promusicaes medlemmar ägde rättigheterna till, tillgängliga för andra användare. Enligt Telefónica var det endast tillåtet att lämna ut dylika uppgifter efter yrkande i brottmål eller i ärenden som rör allmän säkerhet eller nationens försvar. 33 33 Mål C-275/06, par. 29-33.