5085/99/SV/slutlig Arbetsdokument 25 Arbetsgruppen för skydd av enskilda med avseende pån behandlingen av personuppgifter Rekommendation 3/99 om krav på att Internetleverantörer sparar trafikdata nför brottsbekämpningsändamål Antagen den 7 september 1999
Rekommendation 3/99 om krav på att Internetleverantörer sparar trafikdata nför brottsbekämpningsändamål Inledning Bekämpning av datorrelaterad brottslighet är en fråga som fått allt större internationell uppmärksamhet 1. G8-länderna 2 har antagit en handlingsplan 3 med 10 punkter som för närvarande genomförs med hjälp av en undergrupp som är specialiserad på högteknologisk brottslighet och som består av representanter från G8-ländernas polismyndigheter. En av de ännu olösta och mycket kontroversiella frågorna är Internetleverantörernas eventuella skyldighet att spara historiska och framtida (historic and future) trafikdata för brottsbekämpningsändamål och att lämna ut sådana data till polismyndigheter. G8-ländernas undergrupp om högteknologisk brottslighet tänker föreslå rekommendationer som skall möjliggöra lagring och utslämning av trafikdata. G8-ländernas justitie- och inrikesministrar kan komma att diskutera dessa rekommendationer på ett möte i Moskva den 19-20 oktober 1999. Arbetsgruppen för skydd av enskilda med avseende på behandlingen av personuppgifter 4 inser att trafikdata kan vara viktiga när det gäller att utreda brott på Internet men önskar ändock erinra ländernas centrala förvaltningar om principerna om skydd för fysiska personers grundläggande fri- och rättigheter, särskilt integritetsskyddet och brevhemligheten, som måste beaktas i detta sammanhasng. Arbetsgruppen har förstått att G8-ländernas justitie- och inrikesministrar kan uppmanas att verka för att de två EU-direktiv 5 om dataskydd som är i genomförandeskedet tolkas så att brottsbekämpningsintresset vägs mot integritetssskyddsintresset. 1 Se t.ex. COMCRIME Study, Legal Aspects of computer-related Crime in the Information Society- COMCRIME Study, Januari 1997 (utgiven inom ramen för EU:s handlingsplan mot organiserad brottslighet och tillgänglig på Juridiska rådgivningsgruppens webbplats http://www2.echo.lu/legal/en/comcrime/sieber.html. Europarådet arbetar på en konvention om cyberbrottslighet. Europeiska unionens råd gav sitt stöd till arbetet den 27 maj 1999. Med datorrelaterad brottslighet menas alla brott på nätverken såsom datorintrång, utläggning av olagligt material på webbplatser samt även olaglig verksamhet från internationell, organiserad brottslighet (t.ex. narkotikasmuggling, barnpornografi). 2 G8-länderna är Kanada, Frankrike, Tyskland, Italien, Japan, Storbritannien, USA och Ryssland. 3 Meeting of Justice and Interior Ministers of the Eight December 9-10, 1997, Communiqué, Washington D.C. December 10, Communiqué Annex: Principles and Action Plan to Combat Hightech Crime. 4 Inrättad genom artikel 29 i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter, EGT L 281, 23.11.1995, s. 31. Finns på http://europa.eu.int/comm/dg15/en/media/dataprot/law/index.uhtm 5 Direktiv 95/46/EG se fotnot 3 och Europaparlamentets och Rådets direktiv 97/66/EG av den 15 december 1997 om behandling av personuppgifter och skydd för privatlivet inom telekommunikationsområdet, EGT L 24, 30.1.1998, s. 1. Finns puå adressen i fotnot 4. -2-
Arbetsgruppen är vidare medveten om det extraarbete som kan komma att läggas på telekomoperatörer och telekomtjänsteleverantörer. Syftet med föreliggande rekommendation är därför att bidra till en enhetlig tillämpning av direktiv 95/46/EG och 97/66/EG med inriktning på tydliga och förutsägbara villkor för telekomoperatörer och Internetleverantörer samt även för polismyndigheterna och samtidigt värna rätten till personlig integritet. Rättsläge Genom direktiv 95/46/EG sker en harmonisering inom EU av medlemsstaternas nationella rättsregler om integritetsskydd. I direktivet konkretiseras och vidgas principerna i den europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna av den 4 november 1950 och i Europarådets konvention 108 av den 28 januari 1981 om skydd för enskilda vid databehandling av personuppgifter. I direktiv 97/66/EG specificeras bestämmelserna från ovannämnda direktiv på telekommunikationsområdet. Båda direktiven gäller behandling av personuppgifter, inklusive trafikdata som hänför sig till abonnenter och användare, på Internet 6. Särskilt artiklarna 6, 7, 13, 17.1 och 17.2 i direktiv 95/46/EG samt artiklarna 4, 5, 6, och 14 i direktiv 97/66/EG handlar om vad som är lagenligt vid sådan uppgiftsbehandling från teleoperatörers och Internetleverantörers sida. Enligt bestämmelserna får teleoperatörer och Internetleverantörer behandla data om telekomtrafik inom vissa snävt angivna ramar. I artikel 6.1 b står det att personuppgifter bara får samlas in för särskilda, uttryckligt angivna och berättigade ändamål, samt att senare behsandling inte får ske på ett sätt som är oförenligt med dessa ändamål. I artikel 6.1 e står det att personuppgifter inte får förvaras under en längre tid än vad som är nödvändigt för de ändamål för vilka uppgifterna samlades in eller för vilka de senare behandlades. I kraft av artikel 13 får medlemsstaterna begränsa räckvidden för bl.a. artikel 6.1 i fall då en sådan begränsning är en nödvändig åtgärd med hänsyn till statens säkerhet, allmän säkerhet eller förebyggande, avslöjande av brott eller åtal för brott. I artiklarna 5 och 6.2-5 i direktiv 97/66/EG specificeras dessa principer ytterlisgare. Genom artikel 5 garanteras telehemligheten vid kommunikation via allmänt tillgängliga telenät och allmänt tillgängliga teletjänster. Medlemsstaterna skall förbjuda avlyssning, uppfångande med tekniskt hjälpmedel, lagring eller andra sätt på vilka kommunikationen kan fångas upp eller övervakas av andra än användarna utan de berörda användarnas samtycke, utom när sådana åtgärder är lagligen tillåtsna, i enlighet med artikel 14.1. Som allmän regel gäller att trafikdata skall utplånas eller avidentifieras så snart samtalet tar slut (artikel 6.1 i direktiv 97/66/EG). Motivet till detta är att trafikdata är känsliga uppgifter som avslöjar individuella kommunikationsprofiler, även informationskällor och geografisk position för den som använder en fast eller mobil telefon, varför integritetsskyddet hotas om dessa uppgifter samlas in, lämnas ut eller vidarebehandlas. I artikel 6.2 föreskrivs om undantag vid behandling av vissa trafikdata i syfte att fakturera 6 Se "Arbetsdokument: Behandling av personuppgifter på Internet", antaget den 23 februari 1999, finns på adressen i fotnot 1. -3-
abonnenter och betala samtrafikavgifter, men bara så länge som det lagenligt går att bestrida fakturan eller kräva betalning. Enligt artikel 14.1 får medlemsstaterna begränsa omfattningen av de skyldigheter och rättigheter som anges i artikel 6, när sådana begränsningar krävs för att skydda statens säkerhet eller för att förebygga, undersöka, avslöja samt åtala brott enligt artikel 13.1 i direktiv 95/46/EG. Det framgår av dessa bestämmelser att teleoperatörer och Internetleverantörer inte får samla in och lagra uppgifter enbart för att bekämpa brott, såvida de inte åläggs att göra det genom lagar som är grundade på de skäl och undesrkastade de villkor som nämns ovan. Detta är ett arrangemang som existerar sedan länge i de flesta medlemsstaterna, där tillämpningen av nationella dataskyddsprinciper lett fram till ett förbud för den privata sektorn att spara personuppgifter enbart för att polisen eller statens säkerhetstjänst anser att de skulle kunna komma till användning i framtidsen. I detta sammanhang kan det noteras att de flesta medlemsstater har lagstiftning som, för att medge brottsbekämpning i överensstämmelse med villkoren i artikel 13 i direktiv 95/46/EG och artikel 14 i direktiv 97/66/EG, anger exakt på vilka villkor polisen och statens säkerhetstjänst kan få tillgång till uppgifter som privata teleoperatörer och Internetleverantörer lagrar för egna civila ändamål.s Såsom arbetsgruppen slog fast i rekommendation 2/99 om skydd av personlig integritet vid avlyssning av telekommunikationer, som antogs den 3 maj 1999 7, har det faktum att en tredje part får kännedom om trafikdata om användning av telekomtjänster generellt uppfattats som en avlyssning av telekommunikationer och därmed utgjort en kränkning av den enskildes rätt till personlig integritet och brevhemlighet i kraft av artikel 5 i direktiv 97/66/EG 8. Sådan utlämning av trafikdata är för övrigt oförenlig med artikel 6 i samma direktiv. Varje kränkning av dessa rättigheter och skyldigheter sär oacceptabel om den inte uppfyller tre grundläggande krav enligt artikel 8.2 i den europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna av den 4 november 1950 och enligt den tolkning Europadomstolen för de mänskliga rättigheterna gör av denna bestämmelse, nämligen att det finns en rättslig grund, att åtgärden är påkallad i ett demokratiskt samhälle samt att åtgärden är förenlig med ett av de i konventionen förtecknade berättigade ändamålen. Den rättsliga grunden skall innehålla noggranna angivelser om inom vilka gränser och med vilka medel åtgärden får vidtas: sådant som de ändamål för vilka uppgifterna får behandlas, den tid de får sparas (om alls) samt vad som gäller för åtkomst till dessa uppgifter skall begränsas snävt. Brett upplagda utredningar eller allmänna övervakningsuppdrag skall vara förbjudna 9. Följaktligen kan offentliga 7 Finns på adressen i fotnot 1. 8 Polismyndigheterna kräver också tillgång till information om förbindelser i realtid, dvs. data om aktiva förbindelser (s.k. "future traffic data"). 9 Se särskilt domarna Klass av den 6 september 1978, serie A nr 28, s. 23 ff., och Malone av den 2 augusti 1984, serie A nr 82, s. 30 ff. Domen Klass, liksom domen Leander av den 25 februari 1987, trycker på att det måste finnas lämpliga och tillräckliga garantier mot missbruk ty ett hemligt övervakningssystem för att skydda -4-
myndigheter bara få tillgång till trafikdata efter en bedömning från fall till fall, aldrig i förväg eller generellt. Dessa krav överensstämmer med de ovannämnda bestämmelserna i artikel 13 i direktiv 95/46/EG och artikel 14 i direktiv 97/66/EG. Skillnader i nationellt regelverk 10 När det gäller längsta tillåtna lagringstid för trafikdata tillåts i direktiv 97/66/EG lagring endast för faktureringsändamål 11 och endast så länge som fakturan kan bestridas lagenligt. Detta är emellertid en tidsperiod som varierar kraftigt mellan medlemsstaterna. I Tyskland får t.ex. telekomoperatörer och telekomtjänsteleverantörer lagra uppgifter som krävs för fakturering upp till 80 dagar för att kunna bevisa att fakturan är riktig 12. I Frankrike beror det på vad operatören har för ställning: den "traditionella" telekomoperatören får lagra trafikdata upp till ett år på grundval av den lag som anger hur länge en faktura får bestridas. För andra operatörer är tidsperioden 10 år. I Österrike anges det i telekommunikationslagen inte någon fast period under vilken trafikdata får lagras för faktureringsändamål, utan tiden begränsas till den period under vilken fakturan kan bestridas eller betalning krävas. I Förenade kungarisket kan fakturan, enligt lagen, bestridas i 6 år, men operatörer och tjänsteleverantörer lagrar relevanta uppgifter i ungefär 18 månader. I Belgien t.ex. fastställs ingen tidsperiod i lagen, men den största telekomtjänsteleverantören har fastställt denna period till 3 månader i sina allmänna försäljningsvillkor. En annan metod används i Portugal där uppgift om periodens längd saknas i lagen, varför den nationella dataskyddstillsynsmyndigheten bestämmer från fall till fall. Det är intresseväckande att tidsperioden i Norgse är fastställd till 14 dagar. Internetleverantörerna tillämpar inte heller någon enhetlig praxis: de små leverantörerna förefaller lagra trafikdata under mycket kort tid (några timmar) på grund av att de saknar lagringsutrymme. Större Internetleverantörer som har råd med stor lagringskapacitet kan s s nationell säkerhet innebär en risk för att demokratin undergrävs, eller förstörs, när syftet är att försvara den (Domen Leander, serie A nr 116, s. 14 ff.). I domen Klass anmärker domstolen (punkt 50 ff.) att en bedömning av om det finns tillräckliga och lämpliga garantier måste göras på grundval av alla omständigheter i saken. Den anser i nämnda dom att övervakningsåtgärderna enligt den tyska lagen varken medger någon allmän eller sonderande övervakning av telekommunikationerna eller utgör något brott mot artikel 8 i Europarådets konvention om skydd av de mänskliga rättigheterna. Den tyska lagen ger följande garantier: övervakningsåtgärderna får bara vidtas om det finns indicier som pekar på att någon planerar, genomför eller har genomfört vissa grova brott, de får inte användas annat än om det vore omöjligt eller mycket svårt att fastställa fakta på något annat sätt, även på dessa villkor får endast den misstänkte eller personer som antas stå i kontakt med deun misstänkte övervakas. 10 Kommissionen granskar nu lagarna i de medlemsstater som anmält nationella genomförandeåtgärder för direktiv 97/66/EG och direktiv 95/46/EG. Se genomförandetablå om direktiv 95/46/EG som finns på adressen i fotnot 4. 11 Och, om det behövs, betalning för samtrafik mellan telekomoperatörer, se artikel 6.2 i direktiv 97/66/EG. 12 Om fakturan bestrids under den tidsperioden är det naturligtvis tillåtet att spara relevanta uppgifter tills tvisten är avgjord. -5-
lagra trafikdata upp till några månader (men detta kan bero på hur de fakturerar: per uppkopplad tid eller per fast period). I den holländska lagen om telekommunikationer åläggs telekomoperatörer och tjänsteleverantörer att samla in och lagra trafikdata under tre månader för brottsbekämpningsändamål. Hinder för att den inre marknaden skall fungera Dessa skillnader skapar potentiella hinder på den inre marknaden för utbud av telekomoch Internettjänster över gränserna, men även effektiv brottsbekämpning kan hindras av att dessa perioder är olika långa. Man skulle kunna hävda att en Internetleverantör som är etablerad i en medlemsstat inte har rätt att lagra trafikdata under längre perioder än vad som medges i den medlemsstat där kunden lever och konsumerar tjänsten. Eller också skulle en Internetleverantör kunna tvingas att lagra trafikdata under längre tid än vad som är tillåtet i hemmedlemsstaten för att lagarna i användarnas land kräver det. När roaming mobiltelefoni faktureras är det inte den utländska operatören som får betalt utan abonnentens egen nationella telekomoperatör. Skillnader i hur länge trafikdata för faktureringsändamål lagras kan då skapa samma problem som dem Internetleverantörer kan drabbas av. Den regel om tillämplig lag som finns i artikel 4 i direktiv 95/46/EG löser problemet bara i de fall då Internetleverantören är registeransvarig och etablerad endast i en medlemsstat, men inte i de fall då leverantören är etablerad i flera medlemsstater med olika långa perioder eller då leverantören behandlar trafikdata på uppdrag av den registeransvarige. Rekommendation Men hänsyn till ovanstående anser arbetsgruppen att det effektivaste sättet att begränsa icke godtagbara risker för den personliga integritesten och samtidigt ge utrymme åt de krav en effektiv brottsbekämpning ställer är att i princip inte tillåta att trafikdata lagras enbart för brottsbekämpningsändamål och att inte genom nationell lag ålägga telekomoperatörer, telekomtjänsteleverantörer och Internetleverantörer att lagra trafikdata längre tid än vad som krävs för faktureringsändamål. Arbetsgruppen rekommenderar att Europeiska kommissionen uppmanas att föreslå lämpliga åtgärder för att ytterligare harmonisera den tidsperiod under vilken telekomoperatörer, telekomtjänsteleverantörer och Internetleverantörer får lagra trafikdata för faktureringsändamål och för betalning av samtrafik 13. Arbetsgruppen anser att tidsperioden skall vara så lång som krävs för att konsumenterna skall kunna bestrida fakturan, men så kort som låter sig göras för att operatörer och tjänsteleverantörer skall besparas extraarbete och för att efterkomma de proportionalitets- och ändamålsenlighetskrav som är en del av rätten till personlig integritet. Tidsperioden bör anpassas till den bästa skyddsstandarden i medlemsstaterna. Arbetsgruppen vill framhålla att i flera medlemsstater har man framgångsrikt tilslämpat perioder på högst 3 månader. Arbetsgruppen rekommenderar vidare medlemsstaterna att ta dessa kommentarer under övervägande. 13 Denna målsättning motiverar inte någon åtskillnad mellan privata och offentliga operatörer. -6-
Bryssel den 7 september 1999 På arbetsgruppens vägnar Peter HUSTINX Ordförande -7-