På svenskt initiativ enades de europeiska länderna 2006 att införa det s.k. datalagringsdirektivet. Det innebar att leverantörerna av telekommunikationstjänster blev skyldiga att lagra trafikuppgifter utan begränsning, till åtgärder som syftar till att bekämpa grov brottslighet och utan förhandskontroll av domstol eller annan oberoende myndighet, som villkor för att de nationella myndigheterna skulle få tillgång till uppgifterna. Samtliga meddelanden och andra trafikuppgifter skulle sparas under max två år utan att det förelåg någon som helst misstanke om brott.
Sverige valde att i flera hänseenden gå utöver vad direktivet föreskrev. Det implementerades i svensk rätt genom ändringar i lagen om elektronisk kommunikation och i förordningen om elektronisk kommunikation, LEK. I Sverige bestämdes lagringstiden till sex månader. Tillgång till lagrade uppgifter regleras inte bara i LEK utan också i rättegångsbalken och i inhämtningslagen från 2012. Den senare tillkom som en följd av att polisens tillgång till elektroniska uppgifter under förundersökning skulle överföras till rättegångsbalken. Detta ledde till att ett behov att reglera tillgången till elektroniska uppgifter i underrättelseverksamheten uppkom. Inhämtningslagen har utvidgat polisens möjligheter att inhämta uppgifter om elektronisk kommunikation.
I underrättelseverksamheten som faller utanför RBs område, krävs inte något tillstånd av domstol för att inhämta uppgifterna. Det är myndigheten själv som avgör om förutsättningarna är uppfyllda. Det saknas också rekvisit som kräver viss misstankegrad mot en konkret person. Tidigare krävdes att det fanns särskild anledning anta att en specifik person skulle kunna göra sig skyldig till de uppräknade brotten. Enligt inhämtningslagen får uppgifterna hämtas in om de är av särskild vikt för att förebygga, förhindra, eller upptäcka brottslig verksamhet för vilket inte är föreskrivet lindrigare straff än fängelse i två år. Utgångspunkten är nyttan som inhämtningen kan ha för den preventiva verksamheten. Inhämtningen är således inte som tidigare kopplad till vissa brott, utan till visst straffvärde och grundas på riskbedömningar om brottslig verksamhet någon gång i framtiden. Om detta kan mycket sägas.
Advokatsamfundet har i olika sammanhang starkt kritiserat denna lagstiftning. Lagstiftaren har emellertid i strid med vad Advokatsamfundet och andra anfört, hävdat att den generella datalagringsskyldigheten och myndigheternas möjligheter till åtkomst var förenlig med unionsrätten och Europakonventionen.
EU domstolen fann dock redan 2014 att så inte var fallet och ogiltigförklarade direktivet i den så kallade Digital Rights Ireland domen. Domstolen fann att skyldigheten att generellt lagra trafikuppgifter och lokaliseringsuppgifter innebar ett ingrepp i den grundläggande rätten till skydd för privatlivet och för personuppgifter som inte var begränsat till vad som var strängt nödvändigt.
I anledning av domen upphörde bl.a. Tele2 med datalagringen, samt meddelade att man skulle radera de uppgifter som redan lagrats. Kort efter EU domstolens dom tillkallade regeringen en utredare, som skulle granska de svenska reglernas förenlighet med EU domstolens avgörande. Utredaren konstaterade att den svenska lagstiftningen inte stred mot varken unionsrätten eller Europakonventionen. Utredaren var även av uppfattningen att EU domstolens ogiltigförklaring av Datalagringsdirektivet inte var ett uttryck för kritik mot den generella och odifferentierade lagringen av trafikuppgifter som den svenska lagstiftningen innebär. Inte heller tyckte utredaren att den lista med punkter som EU domstolen uppställt som krav för att en reglering om datalagring skulle vara proportionerlig innebar att samtliga punkter skulle vara uppfyllda. Vidare ansåg utredaren att den svenska regleringens förenlighet med unionsrätten kunde avgöras först vid en sammantagen bedömning av samtliga omständigheter. Bedömningar som Advokatsamfundet inte delade. Digital Rights Ireland domen hade långt större räckvidd än vad utredaren kommit fram till.
Tele2 ålades att återuppta datalagringen, men hävdade på goda grunder att utredarens tolkning var felaktig och att den stred mot EU stadgan. Föreläggandet överklagades till Förvaltningsrätten i Stockholm, som dock ogillade densamma. Tele2 överklagade till Kammarrätten, som vilandeförklarade målet och ställde frågor till EU domstolen.
I första efterfrågades om den svenska regleringen innefattande en generell skyldighet att lagra trafikuppgifter som omfattar samtliga personer, samtliga elektroniska kommunikationsmedel och samtliga trafikuppgifter utan att det görs några åtskillnader, begränsningar eller undantag utifrån syftet att bekämpa brott är förenlig med direktivet om integritet och elektronisk kommunikation, jämfört med EU:s stadga om de grundläggande rättigheterna. Kammarrätten frågade också, för den händelse svaret på den första frågan skulle vara nej, om lagringen ändå kan vara tillåten om de nationella myndigheternas tillgång till de uppgifter som lagras är fastställd på visst sätt och om kraven på säkerhet regleras närmare, samt lagringen uppgår till sex månader räknat från den dag kommunikationen avslutades och därefter utplånas.
EU domstolen fann i dom meddelad den 21 december 2016 att unionsrätten utgör hinder för en nationell lagstiftning som föreskriver en generell och odifferentierad lagring av uppgifter. Den omständigheten att det finns möjlighet till begränsning i medlemsländernas skyldighet att säkerställa konfidentialiteten, innebär inte att undantaget kan göras till huvudregel. Domstolen framhåller vidare att undantaget från skyddet för personuppgifter är inskränkt till vad som är strängt nödvändigt. Domstolen understryker att datalagring är ett synnerligen allvarligt ingrepp i privatlivet och att endast bekämpning av grov brottslighet kan motivera ett sådant ingrepp.
Den svenska regleringen som föreskriver en generell och oidentifierad lagring av uppgifter innebär en avsaknad av samband mellan de uppgifter som ska lagras och den allmänna säkerheten. En sådan lagstiftning överskrider enligt EU domstolen gränserna för vad som är strängt nödvändigt och kan inte anses motiverad i ett demokratiskt samhälle. Detta överensstämmer med vad Advokatsamfundet hela tiden har hävdat.
Men, domstolen påpekar också att en riktad lagring av uppgifter i syfte att bekämpa grov brottslighet under vissa förutsättningar är godtagbar. Härför krävs att lagringen – vad gäller vilka uppgifter som ska lagras, vilka kommunikationsmedel som omfattas, vilka personer som berörs och hur länge lagringen ska pågå – begränsas till vad som är strängt nödvändigt. Lagstiftningen måste vidare noga ange under vilka omständigheter och på vilka villkor en lagringsåtgärd får vidtas i förebyggande syfte. Domstolen framhåller att en sådan lagstiftning måste vara tydlig och precis, samt ge tillräckliga garantier till skydd mot missbruk. Den måste grundas på objektiva kriterier som möjliggör att man kan identifiera en relevant personkrets i syfte att bekämpa grov brottslighet eller förhindra allvarlig risk för den allmänna säkerheten.
Vad sedan gäller myndigheternas tillgång till de lagrade uppgifterna anger domstolen att krav på objektiva kriterier måste uppställas angående under vilka omständigheter och på vilka villkor myndigheterna ska ges tillgång till uppgifterna. Domstolen uppställer även krav på förhandskontroll av domstol eller oberoende myndighet, med undantag för vid brådskande fall, underrättelseskyldighet till de som berörts och att lagringen sker inom unionen, samt skyldighet att oåterkalleligen förstöra uppgifterna när lagringstiden löpt ut.
EU domstolens dom kommer förhoppningsvis få positiva konsekvenser för den personliga integriteten. Övervakning och datalagring är nämligen inte bara ett integritetsintrång för den enskilde. Det innebär ett intrång i de rättsstatliga och demokratiska värden som den personliga integriteten ska skydda. Personlig integritet utgör i den meningen en förutsättning för det demokratiska samhället. Ett samhälle, där den personliga integriteten beskärs, riskerar att förlora sin demokratiska värdegrund, som bygger på allas fria och kritiska deltagande i debatten. Denna värdegrund förutsätter att människor inte upplever sig övervakade och registrerade.
Skyddet är också en gräns för statens inflytande och kan därför i princip inte heller uppvägas av kontroll. Genom den senaste tidens lagstiftning har dock lagstiftaren frångått grundläggande rättsstatliga principer. Datalagringen är ett sådant exempel. Ett annat är den s.k. preventivlagen från 2007 liksom signalspaningen.
Vad EU domstolen reagerat mot i de båda nämnda domarna är avsaknaden av proportionalitet mellan integritetsingreppet och två i och för sig mycket legitima intressen; brottsbekämpning och säkerhet. Proportionalitetsprincipen är en erkänd rättsprincip i Sverige och i Europa. Den är lagfäst i regeringsformen, polislagen, rättegångsbalken och Rättighetsstadgan. Den följer av Europadomstolens och EU domstolens praxis. Principen äger generell giltighet vad gäller avvägningen mellan allmänna och enskilda intressen. Proportionalitetskravet innefattar en begränsning av statens maktutövning. När det allmänna intresset kolliderar med grundläggande integritetsskyddet är statens handlingsutrymme särskilt begränsat.
I det sammanhanget förtjänar teknikens ökade inflytande att uppmärksammas. När tekniken tillåts styra leder till en maktförskjutning från riksdagen till regeringen och rättstillämparen. Vidden av integritetsintrånget kan nämligen utvidgas utan att lagstiftningen förändras. Det blir en tillämpningsglidning. Polisens basstationstömningar är ett av många exempel på denna utveckling.
Det är mycket välkommet att EUs högsta domstol nu ytterligare en gång fastslagit att unionsrätten inte alltid tillåter intrång i privatlivet ens om syftet i sig är godtagbart. Domstolarna verkar vara det enda remediet mot en allt äventyrligare lagstiftning. Jag ser fram emot Kammarrättens avgörande.
Anne Ramberg 