UNDERRÄTTELSE 1(8) Datum Vår referens Aktbilaga 2014-06-19 Dnr: 14-4175 17 Nätsäkerhetsavdelningen Peder Cristvall Tele2 Sverige AB Att: Gustav Ehrner Box 62 164 94 Kista Underrättelse om bristande uppfyllelse av bestämmelser om lagring av samt ersättning vid utlämnande av trafikuppgifter m.m. för brottsbekämpande ändamål Saken Underrättelse enligt 7 kap. 4 lagen (2003:389) om elektronisk kommunikation (LEK); fråga om efterlevnad av skyldigheter att lagra trafikuppgifter m.m.enligt 6 kap. LEK. Post- och telestyrelsens underrättelse Tele2 Sverige AB (Tele2) underrättas härmed om att Post- och telestyrelsen (PTS) finner skäl att misstänka att Tele2 inte efterlever skyldigheten i 6 kap. 16 a LEK jämte 37-43 FEK och 6 kap 16 d att lagra i bestämmelserna angivna trafikuppgifter för brottsbekämpande ändamål i sex månader. Vidare underrättas Tele2 om att PTS finner skäl att misstänka att Tele 2 brister i efterlevnaden av skyldigheterna enligt 6 kap 16 e LEK jämte 3-5 i PTSFS 2013:5 att tillämpa i sistnämnda föreskrifter fastställda priser vid begäran om ersättning i samband med utlämnande av trafikuppgifter för brottsbekämpande ändamål. Post- och telestyrelsen Postadress: Besöksadress: Telefon: 08-678 55 00 Box 5398 Valhallavägen 117 Telefax: 08-678 55 05 102 49 Stockholm www.pts.se pts@pts.se
2(8) För att efterleva skyldigheterna i 6 kap. 16 a LEK jämte 37-43 FEK och 6 kap. 16 d LEK ska Tele2 lagra samtliga i bestämmelserna angivna trafikuppgifter m.m. i sex månader. För att efterleva skyldigheterna i 6 kap. 16 e LEK jämte 3-5 i PTSFS 2013:5 ska Tele2, som ersättning vid utlämnande av sådana uppgifter som lagrats i enlighet med bestämmelserna ovan, för respektive kategori av uppgifter högst ta ut de priser som anges i PTSFS 2013:5. Tele2 bereds tillfälle att yttra sig senast den 7 juli 2014 över denna underrättelse. I yttrandet bör Tele2 ange vilka åtgärder som företaget avser att vidta med anledning av underrättelsen samt när åtgärderna beräknas vara vidtagna. PTS kan med stöd av 7 kap. 5 LEK komma att meddela de förelägganden eller förbud som behövs för att rättelse ska ske. Ett föreläggande eller förbud kan förenas med vite. Om Tele2 inte kommer in med yttrande med anledning av denna underrättelse inom angiven tid, kan PTS komma att meddela sådant beslut på det underlag som står till myndighetens förfogande. Bakgrund I de förenade målen C-293/12 och C-594/12 i EU-domstolen hade High Court (Irlands högsta domstol) och Verfassungsgerichtshof (Österrikes författningsdomstol) begärt att EU-domstolen skulle pröva giltigheten av det s.k. datalagringsdirektivet 1, i synnerhet med avseende på två grundläggande rättigheter som garanteras i Europeiska unionens stadga om de grundläggande rättigheterna, nämligen den grundläggande rätten till respekt för privatlivet och den grundläggande rätten till skydd av personuppgifter. Den 8 april 2014 meddelade EU-domstolen dom i målen. I domen förklarade domstolen direktivet ogiltigt, med rättsverkan från och med den dag då direktivet trädde i kraft. Domstolen motiverade detta med att den föreskrivna lagringen av trafikuppgifter m.m. utgör ett särskilt allvarligt ingrepp i den grundläggande rätten till respekt för privatlivet och skyddet av personuppgifter, som inte kan uppvägas av det i och för sig berättigade intresset av att kunna bekämpa allvarlig brottslighet och upprätthålla allmän säkerhet. 1 Europaparlamentets och rådets direktiv 2006/24/EG av den 15 mars 2006 om lagring av uppgifter som genererats eller behandlats i samband med tillhandahållande av allmänt tillgängliga elektroniska kommunikationstjänster eller allmänna kommunikationsnät och om ändring av direktiv 2002/58/EG (EUT L 105, s. 54). Post- och telestyrelsen 2
3(8) Den 9 april 2014 inkom Tele2 med en skrivelse till PTS där Tele2 bland annat uppgav att företaget per måndagen den 14 april 2014 kl. 15:00 skulle komma att upphöra att lagra uppgifter i enlighet med 6 kap. LEK. Tele2 skulle även komma att radera de uppgifter som tidigare lagrats i enlighet med 6 kap. LEK. Bakgrunden var att Tele2 efter en analys hade konstaterat att kraven i den svenska lagstiftning som genomför datalagringsdirektivet inte stod i överensstämmelse med EU:s stadga om de grundläggande rättigheterna. Därmed menade företaget att de svenska kraven på datalagring stod i strid med EU-rätten och därför inte fick tillämpas av de svenska teleoperatörerna. Den 14 april 2014 inkom Tele2 med ytterligare en skrivelse där företaget upprepade informationen i den föregående skrivelsen. Vidare förklarade företaget att de enda uppgifter om abonnemang som Tele2 fortsättningsvis skulle kunna delge de brottsbekämpande myndigheterna var sådan information som man använde vid sin abonnentfakturering och nätövervakning och som inhämtats med stöd av samtycke från kunderna. Det rör sig om information om vem som står registrerad på ett abonnemang, när s.k. påtankningar utförts på ett kontantkort, positionering av ett SIM-korts senaste kontakt med nätet, uppgift om i vilka telefoner ett visst SIM-kort suttit samt uppgift om vilka SIMkort som suttit i en viss mobiltelefon. Den 15 april 2014 inkom Rikspolisstyrelsen (RPS) med en anmälan till PTS av vilken framgår att Tele2 upphört med leveranser av uppgifter om elektronisk kommunikation till Polisen. RPS angav i skrivelsen att Tele2:s vägran att tillhandahålla trafikuppgifter för brottsbekämpande ändamål i enlighet med gällande lagstiftning får stora konsekvenser för polisens brottsbekämpande verksamhet. I ett e-postmeddelande som inkom till PTS den 24 april 2014 förklarade Tele2 att man från och med den 14 april 2014 stängt ned sitt datalagringssystem och att man från och med detta datum inte kunnat förse de brottsbekämpande myndigheterna med samtalslistor eller uppgifter från masttömningar, vilket tidigare skett i cirka 500 ärenden per månad. Tele2 informerade vidare om att företaget avsåg att slutföra de sista delarna med arbetet att radera alla data i det redan nedstängda trafikdatalagringssystemet. Tele2 förklarade vidare att det härefter inte skulle komma att finnas någon som helst möjlighet att återskapa någon del av de aktuella uppgifterna i det nedstängda systemet för det fall PTS sedermera skulle besluta sig för att vidta tillsynsinsatser mot Tele2 med anledning av RPS tillsynsbegäran. Den 9 maj 2014 informerade Tele2 PTS om att företaget fortsättningsvis endast skulle kunna delge de brottsbekämpande myndigheterna sådan information som Tele2 de facto sparar under viss tid för sin abonnentfakturering och Post- och telestyrelsen 3
4(8) nätövervakning. Tele2 uppgav härvid att man avseende kontantkort skulle kunna lämna ut information om utgående samtal, d.v.s. uppgift om till vilka nummer ett sådant kontantkortsnummer ringt. Sådan information skulle finnas i Tele2:s faktureringssystem under en tid om upp till tre månader efter det att samtalet genomförts eftersom det var under den tiden som uppgifterna behövdes för Tele2:s fakturering. Den 23 maj 2014 inkom RPS med ytterligare en skrivelse av vilken framgick att problemen med att vissa operatörer inte lämnade ut uppgifter till polisen kvarstod. Vidare anmälde RPS fyra specifika ärenden varav ett avsåg en s.k. basstationstömning, i vilket fall Tele2 trots domstolsbeslut inte lämnat ut begärda uppgifter. I skrivelsen uppgav RPS vidare att Tele2 endast lämnat ut ett mindre antal historiska uppgifter av begränsat värde i ett annat ärende. Mot bakgrund av skrivelserna från RPS daterade den 15 april respektive den 23 maj 2014, i vilka RPS framfört att Tele2 inte lämnat ut uppgifter på begäran av brottsbekämpande myndigheter, tillställde PTS den 30 maj 2014 Tele2 en begäran om upplysningar. PTS begärde upplysningar om på vilket sätt Tele2 hade anpassat sin verksamhet för att kunna verkställa beslut om hemlig övervakning av elektronisk kommunikation för att kunna tillhandahålla uppgifter till brottsbekämpande myndigheter. Vidare begärdes en redogörelse för omständigheterna kring de av RPS påtalade fallen när begärda uppgifter inte lämnats ut eller utlämnats först efter en längre tid. Vidare efterfrågades huruvida Tele2 innehade uppgifter som inte kunnat lämnas ut och, om så var fallet, angivande av vilka rättsliga bedömningar som legat till grund för beslut att inte lämna ut uppgifter. Den 5 juni 2014 inkom Tele2 med svar på PTS begäran om upplysningar. Tele2 anförde bland annat att man gjort bedömningen att kraven på datalagring enligt 6 kap 16 a LEK är förenade med samma brister som konstaterats av EUdomstolen avseende datalagringsdirektivet, vilket innebär att även regleringen i LEK står i strid med grundläggande fri- och rättigheter. Tele2:s uppfattning var därför att Tele2 inte längre hade legal möjlighet att fortsätta att lagra trafikuppgifter enligt 6 kap 16 a LEK, utan att Tele2 istället hade att agera i enlighet med huvudregeln enligt 6 kap 5 och 6 LEK, dvs. att som utgångspunkt utplåna lagrade uppgifter. Tele2 anförde vidare att Tele2 från sina affärssystem kan lämna ut uppgifter som innehåller information om IMEI med tillhörande SIM. Vidare kan företaget lämna ut uppgifter avseende utgående samtal, SMS och MMS för kontantkortsabonnemang. Även information om aktivering och påförande av nya medel till kontantkort kan lämnas ut. Tele2 uppgav även att företaget från den 5 juni 2014 härutöver även kunde lämna ut motsvarande information avseende abonnemangskunder. Post- och telestyrelsen 4
5(8) När det gällde de utlämnandeärenden som påtalats av RPS uppgav Tele2 att ett ärende avsett en s.k. basstationstömning och att denna typ av uppgifter inte längre sparas och därmed inte heller kan lämnas ut. När det gällde ett annat ärende uppgav Tele2 att denna begäran avsett en samtalslista och att företaget endast har tillgång till, och har lämnat ut, uppgifter om utgående trafik i detta fall. Tele2 uppgav sig inte längre ha tillgång till uppgifter om ingående trafik. Avslutningsvis framförde Tele2 att orsaken till att man i vissa fall inte kunnat bistå de brottsbekämpande myndigheterna med efterfrågade upplysningar inte är en följd av att Tele2 inte lämnar ut information som Tele2 innehar, utan av att Tele2 inte innehar uppgifterna. Den 29 april 2014 tillsatte justitieminister Beatrice Ask en särskild utredare som skulle granska de svenska reglernas tillämplighet i relation till EU-domstolens dom. Utredaren lämnade en första rapport den 13 juni 2014 (Ds 2014:23). Utredarens samlade bedömning är att det svenska regelverket ryms inom de ramar som ställs upp av unions- och europarättens allmänna principer och kravet för respekt för grundläggande rättigheter. Den 16 juni 2014 lämnade PTS i ett brev till Tele2 information om att myndigheten kommer att utgå från att de svenska reglerna om datalagring ska tillämpas. I en skrivelse, kompletterad av information i e-postmeddelanden, den 16 juni 2014 upprepade Tele2 att företaget står fast vid att inte lagra data enligt reglerna i LEK till dess att PTS, såsom ansvarig myndighet på området, efter att ha bildat sig en uppfattning i de frågor som den särskilda utredningen om de svenska reglernas tillämplighet väckt, eventuellt beslutar annat inom ramen för den ordning som gäller för den aktuella typen av ärenden. Företaget menade att de slutsatser som redovisats den 13 juni 2014 bygger på en felaktig tolkning av EU-domstolens dom när det gäller möjligheterna att läka det intrång i grundläggande fri- och rättigheter som den omfattande datalagringen i sig ostridigt utgör, genom begränsningar i tillgången till de lagrade uppgifterna. Vidare framförde Tele2 att utredningen inte i tillräcklig grad, i den samlade proportionalitetsbedömningen, beaktat de brister i det svenska tillgångssystemet som utredaren själv uppmärksammat. Avslutningsvis framförde Tele2 att när det gäller kravet på det fysiska skyddet för de lagrade uppgifterna så har utredaren beaktat vissa föreskrifter som PTS meddelat men som ännu inte trätt i kraft. Tele2 ställde sig frågande till om det vid bedömningen av om en svensk lag är förenlig med grundläggande fri- och rättigheter får/kan beaktas att myndighetsföreskrifter meddelats på området och detta särskilt i de fall då föreskrifterna ännu inte trätt i kraft. Post- och telestyrelsen 5
6(8) RPS bereddes tillfälle att yttra sig med anledning av den information Tele2 lämnat på begäran av PTS. Den 17 juni 2014 inkom RPS med ett yttrande av vilket framgår att RPS anser det märkligt att Tele2 inte har några uppgifter om basstationer eller uppgift om sista uppkoppling mot en mast, eftersom det skulle innebära att samtliga basstationer i Sverige skulle ha ställts om till att endast lagra senaste uppkoppling och löpande rensa ut andra uppkopplingar, samtidigt som företagets övriga basstationer, t.ex. i Norge fortsätter att lagra uppgifter som vanligt. Vidare framfördes att om en telefon befinner sig utomlands är det också troligt att uppgifter om inkommande samtal sparas eftersom annan taxa då debiteras. Avslutningsvis framfördes i missivet till RPS skrivelse att Tele2 tar ut avgifter för utlämnande enligt sin gamla taxa, med vilket avsågs att Tele2 inte tillämpar PTS föreskrifter om ersättning vid utlämnande av lagrade uppgifter för brottsbekämpande ändamål, PTSFS 2013:5. Tillämpliga bestämmelser Av 6 kap 16 a LEK framgår att den som bedriver verksamhet som är anmälningspliktig enligt 2 kap. 1 är skyldig att lagra sådana uppgifter som avses i 20 första stycket 1 och 3 som är nödvändiga för att spåra och identifiera kommunikationskällan, slutmålet för kommunikationen, datum, tidpunkt och varaktighet för kommunikationen, typ av kommunikation, kommunikationsutrustning samt lokalisering av mobil kommunikationsutrustning vid kommunikationens början och slut. Skyldigheten att lagra uppgifter enligt första stycket omfattar uppgifter som genereras eller behandlas vid telefonitjänst, meddelandehantering, internetåtkomst och tillhandahållande av kapacitet för att få internetåtkomst (anslutningsform). Även vid misslyckad uppringning gäller skyldigheten att lagra uppgifter som genereras eller behandlas. I 38 43 förordningen (2003:396) om elektronisk kommunikation (FEK) specificeras i detalj vilka uppgifter som ska lagras i enlighet med 6 kap. 16 a LEK. Av 6 kap 16 d LEK framgår att uppgifter som avses i 16 a ska lagras i sex månader räknat från den dag kommunikationen avslutades. Vid utgången av denna tid ska den lagringsskyldige genast utplåna dem, om annat inte följer av andra stycket. Om uppgifter som avses i första stycket begärts utlämnade före utgången av den föreskrivna lagringstiden men uppgifterna inte har hunnit lämnas ut, ska den lagringsskyldige lagra uppgifterna till dess så har skett och därefter genast utplåna de lagrade uppgifterna. Post- och telestyrelsen 6
7(8) Enligt 6 kap. 16 e LEK har den som är skyldig att lagra uppgifter enligt 16 a rätt till ersättning för kostnader som uppstår när lagrade uppgifter lämnas ut. Ersättningen ska betalas av den myndighet som har begärt uppgifterna. Av 46 FEK följer att PTS får meddela föreskrifter om ersättningen enligt 6 kap. 16 e LEK. I PTS föreskrifter om ersättning vid utlämnande av lagrade uppgifter för brottsbekämpande ändamål fastställs närmare vilken ersättning som den lagringsskyldige härvid har rätt till för respektive kategori av uppgifter. Finner PTS skäl att misstänka att den som bedriver verksamhet enligt LEK inte efterlever lagen, ska myndigheten, enligt 7 kap. 4 LEK, underrätta den som bedriver verksamheten om detta förhållande och ge denne möjlighet att yttra sig inom skälig tid. PTS bedömning EU-domstolens underkännande av giltigheten av datalagringsdirektivet innebär inte med automatik att de regler i LEK som avser skyldigheten att lagra trafikuppgifter m.m. för brottsbekämpande ändamål, blir ogiltiga. Tele2 har framfört att EU-domstolens dom medför att kraven på lagring av trafikuppgifter m.m. i 6 kap. 16 a i LEK står i strid med grundläggande mänskliga fri- och rättigheter och att kraven därför inte får tillämpas av de svenska teleoperatörerna, samt att Tele2 som en följd av detta är skyldigt att utan dröjsmål upphöra med den lagringen. PTS finner dock vid en sammantagen bedömning mot bakgrund av vad Tele2 anfört, EU-domstolens dom samt slutsatserna i Ds 2014:23, att det saknas skäl att underlåta att tillämpa de svenska reglerna om lagring av trafikuppgifter m.m. Vad särskilt gäller Tele2:s anmärkning om att utredningen hänvisat till föreskrifter som inte trätt i kraft, vill PTS upplysningsvis påpeka att för lagringen av trafikuppgifter för brottsbekämpande ändamål gäller PTS föreskrifter och allmänna råd om skyddsåtgärder i samband med lagring och annan behandling av uppgifter för brottsbekämpande ändamål, PTSFS 2012:4, vilka trädde i kraft den 1 december 2012. Post- och telestyrelsen 7
8(8) Mot bakgrund av vad som framkommit i detta ärende finner PTS således skäl att misstänka att Tele2 inte uppfyller kraven i 6 kap 16 a LEK att lagra trafikuppgifter m.m. för brottsbekämpande ändamål. PTS finner också skäl att misstänka att Tele2 vid utlämnande av lagrade uppgifter tar ut ersättning som överstiger de nivåer som föreskrivs i PTSFS 2013:5. PTS underrättar genom detta beslut Tele2 om dessa förhållanden och vilka åtgärder som ska vidtas samt lämnar skälig tid för yttrande. Catarina Wretman Detta beslut har fattats av divisionschefen Catarina Wretman. I ärendets slutliga handläggning har även juristen Peder Cristvall (föredragande), juristen Staffan Lindmark och ställföreträdande chefsjuristen Karolina Asp deltagit. Post- och telestyrelsen 8