Skyddsåtgärder för trafikuppgifter lagrade för brottsbekämpande ändamål

Proposition 2011/12:146

Regeringens proposition 2011/12:146

Skyddsåtgärder för trafikuppgifter lagrade för Prop.
brottsbekämpande ändamål 2011/12:146

Regeringen överlämnar denna proposition till riksdagen.

Stockholm den 3 maj 2012

Fredrik Reinfeldt

Beatrice Ask

(Justitiedepartementet)

Propositionens huvudsakliga innehåll

I propositionen föreslår regeringen att riksdagen godkänner regeringens föreskrifter i förordningen (2012:128) om ändring i förordningen (2003:396) om elektronisk kommunikation om de särskilda tekniska och organisatoriska åtgärder som ska vidtas för att skydda de trafikuppgifter som lagrats för brottsbekämpande ändamål.

1

Innehållsförteckning Prop. 2011/12:146
1 Förslag till riksdagsbeslut ................................................................. 3
2 Ärendet och dess beredning .............................................................. 4
3 Förordningen (2012:128) om ändring i förordningen  
  (2003:396) om elektronisk kommunikation...................................... 5
4 Godkännande av regeringens föreskrifter om skyddsåtgärder  
  för trafikuppgifter lagrade för brottsbekämpande ändamål .............. 5
5 Ekonomiska konsekvenser................................................................ 7
Bilaga 1 Förordningen (2012:128) om ändring i förordningen  
  (2003:396) om elektronisk kommunikation ........................... 8
Utdrag ur protokoll vid regeringssammanträde den 3 maj 2012 ............ 11

2

1 Förslag till riksdagsbeslut Prop. 2011/12:146

Regeringen föreslår att riksdagen godkänner regeringens föreskrifter i förordningen (2012:128) om ändring i förordningen (2003:396) om elektronisk kommunikation om de särskilda tekniska och organisatoriska åtgärder som ska vidtas för att skydda de trafikuppgifter som lagrats för brottsbekämpande ändamål (avsnitt 4).

3

2 Ärendet och dess beredning Prop. 2011/12:146

I propositionen Lagring av trafikuppgifter för brottsbekämpande ändamål

– genomförande av direktiv 2006/24/EG (prop. 2010/11:46) lämnade regeringen förslag till genomförande av Europaparlamentets och rådets direktiv 2006/24/EG om lagring av uppgifter som genererats eller behandlats i samband med tillhandahållande av allmänt tillgängliga elektroniska kommunikationstjänster eller allmänna kommunikationsnät och om ändring av direktiv 2002/58/EG (fortsättningsvis benämnt direktivet). Direktivet syftar till att harmonisera medlemsstaternas regler om skyldigheter för leverantörer av allmänt tillgängliga elektroniska kommunikationstjänster eller allmänna kommunikationsnät att lagra trafik- och lokaliseringsuppgifter samt uppgifter som behövs för att identifiera en abonnent eller användare för att säkerställa att uppgifterna finns tillgängliga för avslöjande, utredning och åtal av allvarliga brott. I propositionen föreslogs att bestämmelserna som genomför direktivet i huvudsak skulle införas i lagen (2003:389) om elektronisk kommunikation. Bland annat föreslogs att det i 6 kap. 3 a § skulle införas ett bemyndigande för regeringen eller den myndighet som regeringen bestämmer att meddela föreskrifter om de särskilda tekniska och organisatoriska åtgärder som ska vidtas för att skydda trafikuppgifter lagrade för brottsbekämpande ändamål.

Propositionen behandlades av justitieutskottet första gången under våren 2011 (bet. 2010/11:JuU14). Utskottet tillstyrkte propositionen, dock med den ändringen att utskottet i enlighet med konstitutionsutskottets yttrande till justitieutskottet föreslog att de föreskrifter om skyddsåtgärder som regeringen får meddela med stöd av bemyndigandet i 6 kap. 3 a § lagen om elektronisk kommunikation snarast skulle underställas riksdagen för prövning. Denna ändring gjordes i form av att ett nytt tredje stycke lades till i paragrafen. Utskottet angav vidare i sina överväganden att utskottet ansåg sig kunna utgå ifrån att även de verkställighetsföreskrifter som regeringen meddelar i enlighet med 6 kap. 16 a § lagen om elektronisk kommunikation kommer att underställas riksdagen. Den 16 mars 2011 beslutade riksdagen att regeringens och utskottets förslag skulle hänvisas till justitieutskottet för att där vila i minst tolv månader från den 11 mars 2011 (rskr. 2010/11:189).

Den 13 mars 2012 avgav justitieutskottet ett nytt betänkande i ärendet (bet. 2011/12:JuU28). Utskottet fann vid sin förnyade beredning av ärendet inte skäl att frångå den bedömning som gjordes i betänkande 2010/11:JuU14. Riksdagen biföll utskottets förslag till riksdagsbeslut den 21 mars 2012 (rskr. 2011/12:165–166). Den 22 mars 2012 beslutade regeringen att utfärda de ändringar i bl.a. lagen om elektronisk kommunikation som riksdagen antagit. Samma dag beslutade regeringen förordningen (2012:128) om ändring i förordningen (2003:396) om elektronisk kommunikation. Lag- och förordningsändringarna trädde i kraft den 1 maj 2012.

4

3 Förordningen (2012:128) om ändring i Prop. 2011/12:146 förordningen (2003:396) om elektronisk

kommunikation

Den 22 mars 2012 beslutade regeringen förordningen (2012:128) om ändring i förordningen (2003:396) om elektronisk kommunikation. Denna förordning innehåller såväl föreskrifter meddelade med stöd av normgivningsbemyndigandet i 6 kap. 3 a § andra stycket lagen (2003:389) om elektronisk kommunikation som verkställighetsföreskrifter. Ändringsförordningen återfinns i sin helhet i bilaga 1. I ändringsförordningen regleras följande.

I 37 § anges vilka skyddsåtgärder som ska vidtas av den som är skyldig att lagra uppgifter enligt 6 kap. 16 a § lagen om elektronisk kommunikation samt ges ett normgivningsbemyndigande för Post- och telestyrelsen att meddela närmare föreskrifter om dessa åtgärder. Paragrafens närmare innehåll i fråga om de skyddsåtgärder som ska vidtas behandlas i det följande avsnittet.

I 38–43 §§ behandlas vilka uppgifter som ska lagras för att den lagringsskyldige ska fullgöra lagringsskyldigheten i 6 kap. 16 a § lagen om elektronisk kommunikation.

Av 44 § följer att Post- och telestyrelsen får meddela närmare föreskrifter om de uppgifter som ska lagras.

I 45 § regleras att Post- och telestyrelsen inför beslut om undantag från lagringsskyldigheten ska höra Åklagarmyndigheten och Rikspolisstyrelsen.

I 46 § anges att Post- och telestyrelsen, efter att ha hört Rikspolisstyrelsen och Tullverket, får meddela föreskrifter om ersättning enligt 6 kap. 16 e § lagen om elektronisk kommunikation.

4Godkännande av regeringens föreskrifter om skyddsåtgärder för trafikuppgifter lagrade för brottsbekämpande ändamål

Regeringens förslag: Riksdagen godkänner regeringens föreskrifter i förordningen (2012:128) om ändring i förordningen (2003:396) om elektronisk kommunikation om de särskilda tekniska och organisatoriska åtgärder som ska vidtas för att skydda de trafikuppgifter som lagrats för brottsbekämpande ändamål.

Skälen för regeringens förslag: I propositionen Lagring av trafikuppgifter för brottsbekämpande ändamål – genomförande av direktiv 2006/24/EG konstaterade regeringen att en grundförutsättning för att syftet med lagringen av trafikuppgifter ska uppnås är att trafikuppgifter lagras med hjälp av en teknik som håller hög kvalitet och säkerhet. En hög kvalitet och säkerhet är också avgörande för medborgarnas förtroende för systemet (prop. 2010/11:46 s. 53).

5

Direktivet innehåller flera bestämmelser som syftar till en säker lagring. Det anges att lagrade trafikuppgifter ska vara av samma kvalitet och vara föremål för samma säkerhet och skydd som uppgifterna i nätverket (artikel 7 a). Dessutom ska uppgifterna omfattas av lämpliga tekniska och organisatoriska åtgärder för att skyddas mot oavsiktlig eller olaglig förstöring, oavsiktlig förlust eller oavsiktlig ändring, eller otillåten eller olaglig lagring av, behandling av, tillgång till eller avslöjande av uppgifterna (artikel 7 b). Uppgifterna ska också omfattas av lämpliga tekniska och organisatoriska åtgärder för att säkerställa att endast särskilt bemyndigad personal får tillgång till lagrade uppgifter (artikel 7 c).

För att tillgodose kravet på en säker behandling av de trafikuppgifter som lagras hos leverantörerna för brottsbekämpande ändamål föreslogs i propositionen att säkerhetsnivån skulle höjas och preciseras i förhållande till vad som gäller för de uppgifter som leverantörerna lagrar för egna ändamål, såsom exempelvis fakturering (a prop. s. 54 f.). För dessa uppgifter gäller att leverantören ska vidta lämpliga åtgärder för att säkerställa att behandlade uppgifter skyddas. Säkerhetsnivån för de uppgifter som lagras med stöd av direktivet har i 6 kap. 3 a § första stycket lagen om elektronisk kommunikation formulerats så att den som är skyldig att lagra uppgifter enligt 6 kap. 16 a § samma lag ska vidta de särskilda tekniska och organisatoriska åtgärder som behövs för att skydda de lagrade uppgifterna vid behandling. Det lämnas således inte något utrymme åt leverantörerna att bestämma säkerhetsnivån genom en avvägning mellan teknik, kostnader och risken för integritetsintrång (a prop. s. 75).

Av 8 kap. 6 § regeringsformen följer att riksdagen kan bestämma att föreskrifter som regeringen meddelar med stöd av ett bemyndigande ska underställas riksdagen för prövning. Enligt 6 kap. 3 a § andra stycket lagen om elektronisk kommunikation får regeringen eller den myndighet som regeringen bestämmer meddela föreskrifter om skyddsåtgärder enligt första stycket. Sådana föreskrifter ska enligt tredje stycket samma paragraf snarast underställas riksdagens prövning.

Regeringen har med stöd av bemyndigandet i 6 kap. 3 a § andra stycket lagen om elektronisk kommunikation meddelat föreskrifter om sådana skyddsåtgärder i 37 § första och andra styckena förordningen (2003:396) om elektronisk kommunikation. Dessa föreskrifter, som nu underställs riksdagen, innebär följande.

I 37 § första stycket anges att den som är skyldig att lagra uppgifter enligt 6 kap. 16 a § lagen om elektronisk kommunikation ska vidta de åtgärder som krävs för att säkerställa att de lagrade uppgifterna är av samma kvalitet och föremål för samma säkerhet och skydd som vid den behandling som skett före lagringen. Denna reglering är i överensstämmelse med de krav som anges i direktivets artikel 7 a.

Enligt andra stycket ska den lagringsskyldige, i enlighet med direktivets artiklar 7 b och 7 c, vidta de åtgärder som krävs för att skydda uppgifterna mot oavsiktlig eller otillåten förstöring och oavsiktlig förlust eller ändring. Sådana åtgärder ska även vidtas för att förhindra otillåten lagring, behandling av eller tillgång till och otillåtet avslöjande av uppgifterna. Det kan noteras att direktivet använder både begreppet olaglig och otillåten. I förordningen omfattas dock båda dessa begrepp av

Prop. 2011/12:146

6

begreppet otillåten. I andra stycket anges vidare att uppgifterna får göras Prop. 2011/12:146 tillgängliga endast för personal med särskild behörighet.

Sammanfattningsvis är de av regeringen beslutade föreskrifterna om skyddsåtgärder en precisering av vad som anges i 6 kap. 3 a § lagen om elektronisk kommunikation. För att säkerställa en säker behandling av de uppgifter som ska lagras är det nödvändigt att närmare reglera vilka åtgärder leverantörerna är skyldiga att vidta för att skydda uppgifterna. Som ovan framgått är regeringens föreskrifter även väl i linje med de skyddsåtgärder som föreskrivs i direktivet. Det föreslås därför att riksdagen godkänner regeringens föreskrifter.

5 Ekonomiska konsekvenser

I propositionen Lagring av trafikuppgifter för brottsbekämpande ändamål

– genomförande av direktiv 2006/24/EG konstaterades att förslaget skulle få konsekvenser för leverantörerna, bl.a. beträffande möjligheterna att konkurrera med de tjänster som de tillhandahåller (prop. 2010/11:46 s. 71 och 117 f.). De föreskrifter som nu underställs riksdagens prövning utgör ett närmare angivande av det krav på skyddsåtgärder som följer av 6 kap. 3 a § lagen (2003:389) om elektronisk kommunikation. Denna precisering leder inte till några ekonomiska konsekvenser utöver de som redan har redovisats i nämnda proposition.

7

Förordningen (2012:128) om ändring i förordningen (2003:396) om elektronisk kommunikation

Prop. 2011/12:146

Bilaga 1

8

Svensk författningssamling

Förordning

om ändring i förordningen (2003:396) om elektronisk kommunikation;

utfärdad den 22 mars 2012.

Regeringen föreskriver1 i fråga om förordningen (2003:396) om elektronisk kommunikation

dels att nuvarande 37–39 §§ ska betecknas 47–49 §§,

dels att rubrikerna närmast före 37 och 38 §§ ska sättas närmast före 47 respektive 48 §,

dels att det i förordningen ska införas tio nya paragrafer, 37–46 §§ samt närmast före 37 § en ny rubrik av följande lydelse.

SFS 2012:128

Utkom från trycket den 3 april 2012

Lagring och annan behandling av trafikuppgifter m.m. för brottsbekämpande ändamål

37 § Den som är skyldig att lagra uppgifter enligt 6 kap. 16 a § lagen (2003:389) om elektronisk kommunikation ska vidta de åtgärder som krävs för att säkerställa att de lagrade uppgifterna är av samma kvalitet och föremål för samma säkerhet och skydd som vid den behandling som skett före lagringen.

Den lagringsskyldige ska vidta de åtgärder som krävs för att skydda uppgifterna mot oavsiktlig eller otillåten förstöring och oavsiktlig förlust eller ändring. Sådana åtgärder ska även vidtas för att förhindra otillåten lagring, behandling av eller tillgång till och otillåtet avslöjande av uppgifterna. Uppgifterna får göras tillgängliga endast för personal med särskild behörighet.

Post- och telestyrelsen får, efter att ha hört Rikspolisstyrelsen och Datainspektionen, meddela närmare föreskrifter om de åtgärder som ska vidtas enligt första och andra styckena.

38 § För att fullgöra lagringsskyldigheten i 6 kap. 16 a § lagen (2003:389) om elektronisk kommunikation ska den lagringsskyldige lagra de uppgifter som anges i 39–43 §§.

1 Jfr Europaparlamentets och rådets direktiv 2006/24/EG av den 15 mars 2006 om lag-  
ring av uppgifter som genererats eller behandlats i samband med tillhandahållande av  
allmänt tillgängliga elektroniska kommunikationstjänster eller allmänna kommunika-  
tionsnät och om ändring av direktiv 2002/58/EG (EUT L 105, 13.4.2006, s. 54, Ce-  
lex 32006L0024). 1
SFS 2012:128   39 § När det gäller telefonitjänst ska följande lagras:
 
    1. uppringande nummer,
    2. uppringt nummer och nummer som samtalet styrts till,
    3. uppgifter om uppringande och uppringd abonnent och, i förekommande
    fall, registrerad användare,
    4. datum och spårbar tid då kommunikationen påbörjades och avslutades,
    och
    5. uppgifter om den eller de tjänster som har använts.

40 § När det gäller telefonitjänst via en mobil nätanslutningspunkt ska, utöver det som anges i 39 §, följande lagras:

1.uppringandes och uppringds abonnemangsidentitet och utrustningsidentitet,

2.lokaliseringsuppgifter för kommunikationens början och slut, och

3.datum, spårbar tid och lokaliseringsuppgifter för den första aktiveringen av en förbetald anonym tjänst.

41 § När det gäller telefonitjänst som använder ip-paket för överföring ska, utöver det som anges i 39 och 40 §§, följande lagras:

1.uppringandes och uppringds ip-adresser,

2.datum och spårbar tid för på- och avloggning i den eller de tjänster som använts, och

3.uppgifter som identifierar den utrustning där kommunikationen slutligt avskiljs från den lagringsskyldige till den enskilda abonnenten.

Om den som slutligt avskiljer kommunikationen till den enskilda abonnenten är någon som inte omfattas av 6 kap. 16 a § lagen (2003:389) om elektronisk kommunikation, ska första stycket 3 gälla för den som avskiljer kommunikationen till den som slutligt avskiljer kommunikationen till den enskilda abonnenten.

42 § När det gäller meddelandehantering ska följande lagras:

1.avsändares och mottagares nummer, ip-adress eller annan meddelandeadress,

2.uppgifter om avsändande och mottagande abonnent och, i förekommande fall, registrerad användare,

3.datum och spårbar tid för på- och avloggning i den eller de tjänster som använts,

4.datum och spårbar tid för avsändande och mottagande av meddelande,

och

5.uppgifter om den eller de tjänster som har använts.

43 § När det gäller internetåtkomst och tillhandahållande av kapacitet för att få internetåtkomst (anslutningsform) ska följande lagras:

1.användares ip-adress,

2.uppgifter om abonnent och, i förekommande fall, registrerad använ-

dare,

3.datum och spårbar tid för på- och avloggning i tjänsten som ger internetåtkomst,

4.den typ av kapacitet för överföring som har använts, och

2

5. uppgifter som identifierar den utrustning där kommunikationen slutligt SFS 2012:128
avskiljs från den lagringsskyldige till den enskilda abonnenten.  
Om den som slutligt avskiljer kommunikationen till den enskilda abon-  
nenten är någon som inte omfattas av 6 kap. 16 a § lagen (2003:389) om  
elektronisk kommunikation, ska första stycket 5 gälla för den som avskiljer  
kommunikationen till den som slutligt avskiljer kommunikationen till den  
enskilda abonnenten.  
44 § Post- och telestyrelsen får meddela närmare föreskrifter om de upp-  
gifter som ska lagras enligt 39–43 §§.  
45 § Post- och telestyrelsen ska inför beslut om undantag från lagrings-  
skyldigheten enligt 6 kap. 16 b § lagen (2003:389) om elektronisk kommuni-  
kation höra Åklagarmyndigheten och Rikspolisstyrelsen.  
46 § Post- och telestyrelsen får, efter att ha hört Rikspolisstyrelsen och  
Tullverket, meddela föreskrifter om ersättningen enligt 6 kap. 16 e § lagen  
(2003:389) om elektronisk kommunikation.  
     
Denna förordning träder i kraft den 1 maj 2012.  
På regeringens vägnar  
ANNA-KARIN HATT  
  Dan Sandberg  
  (Näringsdepartementet)  

3

Justitiedepartementet

Utdrag ur protokoll vid regeringssammanträde den 3 maj 2012

Närvarande: Statsministern Reinfeldt, ordförande, och statsråden Björklund, Ask, Erlandsson, Hägglund, Carlsson, Sabuni, Billström, Björling, Ohlsson, Norman, Attefall, Kristersson, Hatt, Ek, Enström

Föredragande: statsrådet Ask

Regeringen beslutar proposition 2011/12:146 Skyddsåtgärder för trafikuppgifter lagrade för brottsbekämpande ändamål

Prop. 2011/12:146

11

Propositionen bereds i utskott

Händelser

Inlämning: 2012-05-09 Bordläggning: 2012-05-09 Hänvisning: 2012-05-10 Motionstid slutar: 2012-05-24
Förslagspunkter (1)