Justitieminister Beatrice Ask uppger för TT att det svenska genomförandet av det s.k. datalagringsdirektivet försenas ytterligare. Regeringen har meddelat EU-kommissionen att frågornas komplexitet gör att det behövs mer tid. Samtidigt framgår tydligt av Asks uttalanden att det verkliga problemet är att direktivet i sig upplevs som politiskt känsligt.
Mark Klamberg har redan kommenterat här på Juridikbloggen, men jag vill gärna fylla på med några egna synpunkter.
Jag menar att det vore önskvärt att Sverige iställlet för att hänvisa till tekniska problem tog initativ till en prövning av direktivets förhållande till grundläggande regler om skydd för privatlivet t.ex. i Europakonventionen.
Att den datalagring som direktivet föreskriver innebär en begränsning i rätten till privatliv är uppenbart, likaså att en sådan begränsning kan vara tillåten om den sker för att bekämpa allvarlig brottslighet. Huvudfrågan är därmed om lagringsskyldigheten står i rimlig proportion till den aktuella begränsningen i rättet till privatliv.
Jag är personligen tveksam till om den masslagring av enskildas kommunikationsmönster som direktivet anvisar skulle klara ett proportionalitetstest i Europadomstolen eller EG-domstolen. Mot bakgrund av att direktivet är så i frågasatt på denna punkt bör vi avvakta med att genomföra fullt ut. Om en prövning slutligen skulle visa att lagringsskyldigheten i direktivet är förenlig med grundläggande fri- och rättigheter kan detta å andra sidan bidra till att den svenska implementeringen uppfattas som mer legitim.
Samtidigt kan emellertid dagens rättsläge, som innebär att det inte finns några lagringsskyldigheter över huvud taget, också framstå som otillfredsställande. Jag tänker främst på internetmiljön där många operatörer efter införandet av de nya reglerna om informationsföreläggande (”IPRED”) har börjat radera loggar över vilken abonnent som har tilldelats en bestämd IP-adress vid en viss tidpunkt. Saknas sådana loggar blir det i praktiken omöjligt att utreda de flesta brott och intrång som sker på nätet.
Givetvis är även uppgiften om vilken abonnent som tilldelats en viss IP-adress en integritetskänslig uppgift (jfr t.ex. vad jag själv skriver här på sidan 10 f.). Den kränkning som det innebär att lagra denna typ av uppgift under en begränsad tid är emellertid betydligt mindre än den kränkning som sker när en persons hela kommunikationsmönster lagras på det sätt som direktivet anvisar.
Jag menar att en skyldighet för operatörer att lagra uppgifter som möjliggör identifiering av en viss abonnent redan nu bör införas. Givietvis bör det finnas starka rättssäkerhetsgarantier för när och till vem dessa uppgifter får lämnas ut. Min tolkning av datalagringsdirektivet är att sådana uppgifter som tvångslagras bara får lämnas ut till behöriga nationella myndigheter, alltså inte direkt till t.ex. upphovsrättsinnehavare. (Hovrätten har har dock i det s.k. E-phone-målet funnit att datalagringsdirektivet inte begränsar utlämnandet av sådana uppgifter som inte har tvångslagras enligt direktivet.)
Att lagstiftningen ska försöka garantera att identifiering möjlig även vid brott på nätet följer också av internationella åtaganden. Medlemsstater kan enligt Europakonventionen ha skyldighet att aktivt agera för att skydda sina medborgares privatliv mot kränkningar som sker på nätet. Europadomstolen har t.ex. i ett relativt nytt fall (K.U. v. Finland, 2 decmber 2008) funnit att Finland inte skyddat en medborgares privatliv tillräckligt eftersom det enligt finsk rätt inte var möjligt att få ut uppgifter från en internetleverantör om vem som hade publicerat en kränkande annons på internet. Även internationella åtaganden på immaterialrättsområdet innebär att medlemsstater i EU är skyldiga att se till att det finns effektiva sanktioner vid intrång. Hur dessa ska vara utformade är dock i stor utsträckning upp till den enskilda medlemsstaten.
Mot denna bakgrund bör krav på datalagring för att möjliggöra identifiering av vilken abonnent som vid en specifik tidpunkt har tilldelats en viss adress eller ett visst nummer införas. Däremot bör direktivets mer omfattande skyldigheter att lagra medborgarnas kommunikationsmönster genomföras först när det är klarlagt att dessa krav är förenliga med grundläggande fri- och rättigheter.
14 kommentarer
Prenumerera på kommentarer för detta inlägg
oktober 22, 2009 den 1:26 e m
Tor
Vad jag finner väldigt svårt att förstå är vad datalagringsdirektivet skulle ha med den inre marknaden att göra. Vi har ju redan sett hur direktivet knappast åstadkommer någon harmonisering av internetoperatörernas ekonomiska belastning i EU eftersom reglerna skiljer sig så kraftigt åt mellan olika länder. Egentligen handlar det väl snarast om ett rättsligt samarbete och borde ha drivits inom ramen för det. Det är litet som om Storbritannien skulle få för sig att lägga kostnaden för alla sina övervakningskameror delvis på affärsinnehavare och sedan driva på i EU för att alla länder ska införa ett lika omfattande övervakningssystem för att det inte ska snedvrida konkurrensen. Om det sedan går igenom kan man visserligen säga att det inte finns något som tvingar de nationella lagstiftarna att göra åtkomst till alla nyuppsatta kameror möjlig, men när det hela redan är infört med tvång och redan finansierat så kommer naturligtvis utrustningen att användas.
Är det verkligen rätt att integritetskränkande åtgärder som syftar till brottsbekämpning införs bakvägen på det sättet?
Angående Europakonventionen så håller jag med om att en prövning vore önskvärd. För ett tag sedan var det ju bland annat en tysk domstol som i en motivering rörande ett annat beslut anförde att datalagring svårligen skulle kunna anses vara förenlig med konventionen.
oktober 22, 2009 den 2:29 e m
Daniel Westman
EG-domstolen har hur som helst accepterat den rättsliga grunden för direktivet. Sedan tror jag att du har helt rätt i att harmonisering i praktiken har uteblivit, men det är ju en lite annan fråga.
oktober 23, 2009 den 1:30 e m
Daniel Westman
För den som är intresserad: Jag talar om EG-domstolens dom C‑301/06.
oktober 22, 2009 den 2:05 e m
Mark Klamberg
Daniel,
Ditt inlägg känns relevant, inte minst med tanke på nyheten för snart två veckor sedan att Rumäniens författningsdomstol anser att lagstiftning som tvingar operatörerna att lagra trafikdata strider mot landets grundlag.
oktober 22, 2009 den 6:26 e m
Daniel Westman
Intressant Mark! Det vore intressant att veta hur domstolen resonerade lite mer i detalj. Det dyker kanske upp en översättning så småningom?
november 26, 2009 den 8:55 e m
farmorgun
Här en länk till en översättning.
http://www.legi-internet.ro/english/jurisprudenta-it-romania/decizii-it/romanian-constitutional-court-decision-regarding-data-retention.html
oktober 22, 2009 den 5:26 e m
Anders S Lindbäck om kunskapssamhället · Datalagringsdirektivets vara eller icke vara ?
[...] Daniel Westman vill att datalagrinsdirektivet införs delvis då han ser problem pga IPRED-lagen. IPRED-lagen gjorde att många Internetleverantörer såg över sina loggar så att de inte sparade information de var tvingade att lämna ut genom IPRED-lagen längre än vad de behövde för att då dels hjälpa kunderna men även för att slippa administrationen med att hantera det hela. [...]
oktober 22, 2009 den 10:04 e m
Bovarnas julafton | Haninge Posten - Blogg
[...] Media: SvD1, SvD2, SvD3 , IDG Bloggar: Mark Klamberg, Juridikbloggen [...]
oktober 23, 2009 den 11:02 f m
Micke
”Givetvis är även uppgiften om vilken abonnent som tilldelats en viss IP-adress en integritetskänslig uppgift (jfr t.ex. vad jag själv skriver här på sidan 10 f.). ”
Notera avsaknaden av 1-1 mappning mellan IP och person. Det är inget personnummer vi talar om här och det finns även felprocent inbyggt i dessa system.
oktober 23, 2009 den 11:22 f m
Daniel Westman
Jag är fullt medveten om det. Vad menar du att detta förhållande ska få för betydelse? Visst måste en sådan uppgift ändå ses som känslig?
En helt annan sak är naturligtvis att en uppgift om att ett visst abonnemang använts, t.ex. vid ett brott, inte innebär att det finns full bevisning om att abonnenten har begått detta brott. Uppgiften om abonnemang är det första steget i vad som måste vara en längre beviskedja.
oktober 23, 2009 den 4:35 e m
Micke
”Visst måste en sådan uppgift ändå ses som känslig? ”
- Absolut. Det var mest biten kring vilken abonnent som tilldelats en viss IP-adress som jag tänkte på.
”Uppgiften om abonnemang är det första steget i vad som måste vara en längre beviskedja.”
Det är väl här det blir svårt. Ett telefonabonnemang är ju så mycket svårare att kapa än tex. ett dåligt skyddad WIFI. Ska den anklagade bevisa sin oskuld genom att agera IT-forensiker (finns det ett sånt ord? =) ) och visa på knäckt lösenord och främmande MAC-adresser på sitt nät?
Ursäkta om jag kom lite off-topic.
oktober 23, 2009 den 3:05 e m
Rikard
”Saknas sådana loggar blir det i praktiken omöjligt att utreda de flesta brott och intrång som sker på nätet.”
Visst. Men är det inte också intressant att tänka sig vilka lagringar från den verkliga världen som skulle underlätta utredande av brott begångna där?
Hur skulle vi hantera krav på att alla resor lagrades med personuppgifter t ex? Med resor kan vi avse kollektivtrafik (där förekommer redan sådan lagring), tåg- och flygtrafik och kanske även biltrafik.
Vad gäller nationellt DNA- och fingeravtrycksregister? Hur många brott är i praktiken omöjliga att utreda i avsaknad av dem?
Jag säger detta för att jag tycker det är intressanta frågor, inte för att jag nödvändigtvis jämställer ovanstående med datalagringsdirektivet.
oktober 25, 2009 den 9:03 e m
Daniel Westman
Det kan alltid diskuteras var gränserna ska gå. Nyttan av olika åtgärder måste bedömas liksom hur omfattande ingrepp de innebär i enskildas privatliv.
Personligen tycker jag nog – vilket du också verkar göra – att loggning av dynamiska IP-adresser under en begränsad tid är betydligt mindre ingripande för enskilda än de exempel som du ger.
oktober 26, 2009 den 11:40 f m
Martin Sjöstad
Quote; ”många operatörer efter införandet av de nya reglerna om informationsföreläggande (”IPRED”) har börjat radera loggar över vilken abonnent som har tilldelats en bestämd IP-adress”
De operartörer som inte raderar dessa loggar gör sig skyldig till lagbrott. Enlig lagen om elektronisk kommunikation ska operatören utplåna eller avidentifiera samtliga abonnenet- och trafikuppgifter som inte behövs för fakturering eller avräkningsändamål. Operatörernas radering har således inget med IPRED-lagen att göra. Möjligtvis såg vissa operatörer en PR-mässig fördel av att göra det känt att de radera uppgifterna, men de åtlyder endast gällande lagstiftning när de utplånar uppgifterna.