Lagring av trafikuppgifter för brottsbekämpande ändamål – Kommissionens utvärderingsrapport om direktiv 2006/24/EG

Till justitieutskottet

Justitieutskottet beslutade den 14 juni 2011 att bereda konstitutionsutskottet tillfälle att avge yttrande över kommissionens utvärderingsrapport om direktiv 2006/24/EG.

Konstitutionsutskottet begränsar sitt yttrande till frågor av betydelse för den personliga integriteten.

Utskottets överväganden

Bakgrund

Europaparlamentets och rådets direktiv 2006/24/EG av den 15 mars 2006 om lagring av uppgifter som genererats eller behandlats i samband med tillhandahållande av allmänt tillgängliga elektroniska kommunikationstjänster eller allmänna kommunikationsnät och om ändring av direktiv 2002/58/EG, fortsättningsvis benämnt datalagringsdirektivet, beslutades 2006. Medlemsstaterna ska, enligt artikel 15, sätta i kraft de bestämmelser i lagar och andra författningar som är nödvändiga för att följa direktivet senast den 15 september 2007.

Riksdagen har beslutat att regeringens förslag om hur Sverige ska genomföra datalagringsdirektivet ska vila i ett år (prop. 2010/11:46, bet. 2010/11:JuU14, rskr. 2010/11:189). Konstitutionsutskottet yttrade sig (2010/11:KU3y).

Enligt datalagringsdirektivets artikel 14 skulle kommissionen senast den 15 september 2010 översända en utvärdering av tillämpningen av direktivet och dess inverkan på de ekonomiska aktörerna och konsumenterna till Europaparlamentet och rådet. Kommissionen skulle i utvärderingen beakta den fortsatta utvecklingen av tekniken för elektronisk kommunikation och den statistik som översänts till kommissionen i enlighet med direktivet, i syfte att avgöra om det är nödvändigt att ändra direktivets bestämmelser, särskilt i fråga om listan över uppgifter som ska lagras (enligt artikel 5) och de lagringstider som föreskrivs i direktivet (i artikel 6).

Kommissionens utvärderingsrapport

Kommissionen överlämnade den 18 april 2011 till rådet och Europaparlamentet ”Utvärderingsrapport om direktiv 2006/24/EG”. Utöver vad som tas upp i artikel 14 i datalagringsdirektivet behandlar kommissionen även direktivets inverkan på de grundläggande rättigheterna mot bakgrund av den allmänna kritik som riktats mot lagringen av uppgifter.

Utvärderingen leder fram till att kommissionen avser att genomföra en konsekvensbedömning som ger möjlighet att bedöma lagringen av uppgifter i EU och pröva om den uppfyller kraven i nödvändighets- och proportionalitetstesten med hänsyn till de inre säkerhetsintressena, den inre marknadens smidiga funktion och för att stärka respekten för privatlivet och den grundläggande rätten till skydd av personuppgifter. Kommissionens förslag om översyn av ramen för lagring av uppgifter bör enligt rapporten bygga på bl.a. följande slutsatser och rekommendationer.

·.    EU bör stödja och reglera lagringen av uppgifter som en nödvändig säkerhetsåtgärd. Harmoniserade regler på området säkerställer att lagringen av uppgifter är ändamålsenlig vid bekämpning av brott, att näringslivet ges rättssäkerhet om en väl fungerande inre marknad och att de höga nivåerna av respekt för integritet och skydd av personuppgifter tillämpas konsekvent inom hela EU.

·.    Kommissionen kommer att säkerställa att eventuella framtida förslag om lagring av uppgifter respekterar principen om proportionalitet och är lämplig för att uppnå målet att bekämpa grova brott och terrorism och inte sträcker sig längre än vad som är nödvändigt för att uppnå detta. Den kommer att erkänna att eventuella undantag eller begränsningar vad gäller skyddet av personuppgifter bara ska tillämpas i den utsträckning dessa är nödvändiga. Följande områden bör enligt kommissionen särskilt undersökas vid konsekvensbedömningen.

–     En konsekvent begränsning av ändamålet med lagringen av uppgifter och typer av brott för vilka lagrade uppgifter kan hämtas och användas.

–     Ökad harmonisering och en möjlig förkortning av de obligatoriska lagringsperioderna.

–     Säkerställa oberoende övervakning av ansökningarna om tillgång, de lagrade uppgifterna och av de bestämmelser om tillgång som är tillämpliga i medlemsstaterna.

–     Begränsa de myndigheter som är behöriga att få tillgång till uppgifterna.

–     Minska de kategorier av uppgifter som ska lagras.

–     Ge riktlinjer för tekniska och organisatoriska säkerhetsåtgärder för tillgång till uppgifter inklusive överlämnanderutiner.

–     Ge riktlinjer för användningen av uppgifter inklusive för att hindra datautvinning (”data mining”).

–     Utveckla genomförbara metoder och rapporteringsförfaranden för att underlätta jämförelser vid tillämpning och utvärdering av ett framtida instrument.

Kommissionen kommer också att överväga om, och i så fall hur, en metod för frysning av uppgifter på EU-nivå kan komplettera lagringen.

I rapporten anförs att kommissionen, med hänvisning till checklistan över de grundläggande rättigheterna och förhållningssättet vad gäller hantering av information på området frihet, säkerhet och rättvisa, kommer att överväga vart och ett av dessa områden i enlighet med principerna om proportionalitet och kravet på förutsägbarhet. Vidare kommer kommissionen att säkerställa överensstämmelse med den pågående översynen av EU:s lagstiftning avseende skyddet av personuppgifter.

Mot bakgrund av utvärderingen kommer kommissionen att föreslå en översyn av nuvarande ramverk för lagring av uppgifter. Kommissionen kommer att tänka ut ett antal alternativ i samråd med brottsbekämpande myndigheter, rättsväsendet, näringslivet och konsumentgrupper, datatillsynsmyndigheter och medborgarrättsgrupper. Vidare kommer kommissionen att undersöka allmänhetens uppfattning om lagring av uppgifter och dess inverkan på beteende och vanor. Resultaten av dessa undersökningar kommer att ingå i en konsekvensbedömning av de strategiska alternativ som identifierats och utgöra en grund för kommissionens förslag.

Angående gällande regler m.m.

I utskottets yttrande 2010/11:KU3y, som gällde genomförande av direktiv 2006/24/EG, finns en utförlig redogörelse för gällande rätt i fråga om skyddet för enskildas integritet i 2 kap. 6 § regeringsformen, förutsättningar för begränsning av fri- och rättigheter enligt 2 kap. 19–21 §§ regeringsformen, Europakonventionens artikel 8 samt direktivet om integritet och elektronisk kommunikation.

I det nämna yttrandet presenteras också Trafikutredningens betänkande om integritetsaspekter, om uttalanden av artikel 29-gruppen angående hur datalagringsdirektivet bör genomföras, om Europeiska datatillsynsmannens yttrande till kommissionen med anledning av förslaget till datalagringsdirektiv m.m.

När det gäller utvärderingen av datalagringsdirektivet kan nämnas att Europeiska datatillsynsmannen den 31 maj 2011 avgivit ett yttrande om utvärderingsrapporten från kommissionen.1 [ Yttrandet har publicerats i Europeiska unionens officiella tidning, se EUT 29.3.2011, C279/1.] Vidare kan nämnas artikel 29-arbetsgruppens rapport om den s.k. andra brottsbekämpningsåtgärden som kommissionen har beaktat vid sin utvärdering.

Konstitutionsutskottets ställningstagande

I sitt tidigare yttrande såg utskottet det som angeläget att den förutskickade revisionen av datalagringsdirektivet kommer till stånd och att varje möjlighet att förstärka skyddet för den personliga integriteten då tas till vara. Utskottet välkomnar därför kommissionens utvärderingsrapport.

Frågan om översyn av direktivet

Enligt datalagringsdirektivets artikel 14 skulle kommissionen senast den 15 september 2010 översända en utvärdering av tillämpningen av direktivet och dess inverkan på de ekonomiska aktörerna och konsumenterna till Europaparlamentet och rådet. I utvärderingen skulle kommissionen beakta den fortsatta utvecklingen av tekniken för elektronisk kommunikation och den statistik som översänts till kommissionen i enlighet med direktivet, i syfte att avgöra om det är nödvändigt att ändra direktivets bestämmelser, särskilt i fråga om listan över uppgifter som ska lagras enligt artikel 5 och de lagringstider som föreskrivs i artikel 6.

Kommissionen skriver i inledningen av sin rapport bl.a. att utvärderingen generellt visar att lagringen av uppgifter är ett värdefullt redskap vid brottsbekämpning och för straffrättssystemen i EU. Vidare skriver kommissionen att med hänsyn till bl.a. respekten för rätten till integritet och skydd av personuppgifter bör EU genom gemensamma regler fortsätta att säkerställa att höga standarder tillämpas vid lagring, hämtning och användning av trafik- och lokaliseringsuppgifter. Mot bakgrund av sina slutsatser har kommissionen för avsikt att föreslå ändringar i direktivet. Dessa förslag till ändringar avser kommissionen att lägga fram på grundval av en konsekvensbedömning.

Utskottet anser att kommissionens utvärderingsrapport tydligt visar att tillämpningen av direktiv 2006/24/EG lämnar utrymme för att förstärka skyddet för den personliga integriteten. En omförhandling av direktivet skulle emellertid riskera att öppna för förändringar som innebär försämringar i detta avseende, t.ex. genom längre minimitider för lagring eller genom utvidgning av ändamålen för lagring och användning av uppgifter. Vidare ser utskottet med oro på kommissionens avsikt att sträva mot en ökad harmonisering och därmed bundenhet på detaljnivå för medlemsstaterna när det gäller t.ex. lagring och användning av uppgifter. Utskottet ifrågasätter om ytterligare harmonisering inom ramen för direktiv 2006/24/EG är den lämpligaste vägen att ta.

Enligt utskottets mening kan betydande förbättringar uppnås genom att direktivet tillämpas efter dess ordalydelse. Vidare bör det undersökas om det är möjligt att genom ändringar enbart i direktiv 2002/58/EG begränsa tillåtna ändamål för lagring och användning av uppgifter. Under alla omständigheter bör eventuella ändringar av direktivet föregås av försök till uppstramning inom ramen för den nu gällande direktivtexten.

Om kommissionen, efter att ha utrett de möjligheter som utskottet här pekat på och efter sin konsekvensbedömning, lägger fram förslag till ändringar i direktivet vill utskottet framhålla följande.

Det är angeläget att varje möjlighet att ytterligare stärka skyddet för den personliga integriteten tas till vara. Som utskottet uttalat i sitt tidigare yttrande innebär behandling av uppgifter enligt datalagringsdirektivet att ett integritetsintrång sker redan genom att uppgifterna lagras. Det bör vara en strävan att lagringstiderna hålls så korta som möjligt, att ändamålen med lagring och användning av uppgifter är begränsat, att nyttan med lagringen kan mätas och att höga krav ställs på uppgiftsskydd och datasäkerhet. Detta utvecklas nedan.

Lagringstider

Av kommissionens rapport (avsnitt 4.5) framgår att lagringstiderna varierar mellan medlemsstaterna. Europeiska datatillsynsmannen finner i sitt yttrande över kommissionens rapport (p. 60) att den maximala lagringstiden om två år tycks vara längre än nödvändigt. Statistisk information från ett antal medlemsstater i utvärderingsrapporten visar att begäran om tillgång i de allra flesta fall avser uppgifter i upp till sex månader, nämligen 86 %. Vidare har 16 medlemsstater valt en lagringstid på ett år eller mindre i sin lagstiftning. Detta tyder, enligt Europeiska datatillsynsmannen, i allra högsta grad på att en längsta period på två år är betydligt mer än de flesta medlemsstater anser vara nödvändigt.

Från de utgångspunkter som utskottet har att beakta måste en av de mest angelägna uppgifterna vara att sträva efter lagringstider som är så korta som möjligt och kortare än dagens maximitider. Däremot anser utskottet inte att en fullständig harmonisering är önskvärd.

Ändamål med lagring och användning av uppgifter

En tanke bakom direktivet är att säkerställa att vissa uppgifter finns tillgängliga för utredning, avslöjande och åtal av allvarliga brott så som de definieras av varje medlemsstat i den nationella lagstiftningen (se vidare artikel 1.1). Av kommissionens rapport (avsnitt 4.1) framgår bl.a. att syftet med lagring av uppgifter varierar mellan medlemsstaterna. Merparten av de medlemsstater som införlivat direktivet medger enligt kommissionen, i enlighet med sin lagstiftning, tillgång till och användning av lagrade uppgifter för ändamål som sträcker sig utöver dem som anges i direktivet, inbegripet förebyggande och bekämpande av brott generellt samt risker som är livshotande. Även om detta tillåts enligt direktiv 2002/58/EG är den harmoniseringsnivå som uppnåtts genom EU-lagstiftningen på området fortfarande begränsad. Situationen kan enligt kommissionen visa sig vara otillräcklig för den förutsebarhet som är ett krav i eventuella lagstiftningsåtgärder som begränsar rätten till integritet. Kommissionen avser att bedöma behovet av, och alternativen för att uppnå, en ökad nivå av harmonisering på området.

Europeiska datatillsynsmannen anför i sitt yttrande (p. 59) bl.a. att det otydliga ändamålet med åtgärden och det vida begreppet ”behöriga nationella myndigheter” lett till att lagrade uppgifter har använts för alldeles för många syften och av alldeles för många myndigheter.

Utskottet vill lyfta fram betydelsen av tydlighet kring sådana centrala frågor som ändamålen för lagring och användning av uppgifter. För det fall kommissionen överväger förslag till ändringar i dessa delar vill konstitutionsutskottet, från de utgångspunkter som utskottet har att beakta, särskilt betona vikten av att ändamålen inte utvidgas, utan i så fall tvärtom begränsas. Dock anser utskottet inte att en ytterligare harmonisering är önskvärd.

Nytta av lagringen

Enligt kommissionens rapport (avsnitt 4.7) har den statistik som medlemsstater lämnade in enligt artikel 10 i direktivet skiljt sig åt när det gäller tillämpningsområde och detaljnivå. Tillförlitliga kvantitativa och kvalitativa uppgifter är nödvändiga för att påvisa behovet och värdet av säkerhetsåtgärder såsom lagring av uppgifter, anför kommissionen.

Utskottet anser det vara av avgörande betydelse att nyttan av lagring av uppgifter enligt direktivet kan mätas. Det borde, när en åtgärd redan finns på plats och praktisk erfarenhet har vunnits, finnas tillräcklig kvantitativ och kvalitativ information tillgänglig för att möjliggöra en bedömning av hur åtgärden fungerar och huruvida jämförliga resultat kunde ha uppnåtts på annat vis.

Uppgiftsskydd, datasäkerhet och tillsynsmyndigheter

Av direktivet följer att varje medlemsstat utan att det påverkar det s.k. dataskyddsdirektivet (95/46/EG) eller direktivet om integritet och elektronisk kommunikation (2002/58/EG) ska säkerställa att operatörerna som ett minimum respekterar fyra principer (artikel 7). Nämnas kan att de lagrade uppgifterna ska omfattas av lämpliga tekniska och organisatoriska åtgärder för att skyddas mot oavsiktlig eller olaglig förstöring, oavsiktlig förlust eller oavsiktlig ändring, eller otillåten eller olaglig lagring av, behandling av, tillgång till eller avslöjande av uppgifterna (artikel 7.b). Vidare kan nämnas att uppgifterna ska förstöras vid slutet av lagringstiden, utom de uppgifter för vilka tillgång har medgivits och som har bevarats (artikel 7.d). Vidare ska varje medlemsstat utse en tillsynsmyndighet (artikel 9).

Enligt kommissionens rapport (avsnitt 4.6) har 15 medlemsstater införlivat alla 4 principerna. 4 medlemsstater har införlivat 2 eller 3 av principerna, men inte uttryckligen angivit att uppgifterna ska förstöras i slutet av lagringsperioden. 2 medlemsstater föreskriver att uppgifterna ska förstöras. 22 medlemsstater har en tillsynsmyndighet som är ansvarig för att övervaka tillämpningen av principerna.

Från de utgångspunkter som utskottet har att beakta är det en lämplig modell att ha högt ställda minimiregler på området, som inte hindrar att enskilda medlemsstater i sitt nationella regelverk ställer högre krav på uppgiftsskydd och datasäkerhet. Utskottet vill även framhålla betydelsen av tillsyn över att befintliga regler efterlevs.

Sammanfattningsvis vill utskottet återigen betona vikten av att varje möjlighet att förstärka skyddet för den personliga integriteten tas till vara.

Stockholm den 25 oktober 2011

På konstitutionsutskottets vägnar

Peter Eriksson

Följande ledamöter har deltagit i beslutet: Peter Eriksson (MP), Per Bill (M), Sven-Erik Österberg (S), Andreas Norlén (M), Helene Petersson i Stockaryd (S), Lars Elinderson (M), Billy Gustafsson (S), Karl Sigfrid (M), Phia Andersson (S), Karin Granbom Ellison (FP), Hans Hoff (S), Per-Ingvar Johnsson (C), Hans Ekström (S), Kajsa Lunderquist (M), Tuve Skånberg (KD), Jonas Åkerlund (SD) och Mia Sydow Mölleby (V).

Särskilt yttrande

Lagring av trafikuppgifter utomlands (SD)

Jonas Åkerlund (SD) anför:

Liksom i samband med konstitutionsutskottets tidigare yttrande (2010/11:KU3y) vill jag framhålla att trafikuppgifter inte bör få lagras i andra länder, eftersom säkerheten för uppgifterna då kan ifrågasättas.