Ikväll var det debatt i EU-parlamentet om datalagringsdirektivet och EU-kommissionär Cecilia Malmström var där för att svara på frågor. Utöver EU-parlamentarikernas svidande kritik så fastnade jag för några av hennes uttalanden (ej ordagranna citat):

  • De data som saken gäller lagras ändå av kommersiella skäl. (Vilka kommersiella skäl finns det för detaljerad kartläggning av mobilanvändares rörelsemönster undrar jag).
  • Datalagring är här för att stanna. Medlemsstaterna kommer inte att acceptera ett avskaffande.
  • En revidering av direktivet kommer innebära att direktivets tillämpningsområde specifieras på ett uttömmande sätt och att ett kryphål i ePrivacy-direktivet täpps till. (Eftersom datalagringsdirektivet endast avser allvarlig brottslighet medan Sveriges implementation sträcker sig till bötesbrott, innebär det då att Sverige kommer att behöva backa?)
  • Snabblagring av uppgifter först  efter brottsmisstanke (sk. ”quick freeze”) är något helt annorlunda en datalagring och behandlas inte som ett alternativ. (Inskränkningar av de mänskliga rättigheterna är endast tillåtna om de är nödvändiga i ett demokratiskt samhälle. Kan datalagring anses nödvändig om inte möjliga alternativ tas i beaktande?)

Det som Christian Engström kallade anekdoter kallade för övrigt Malmström för konkreta bevis för datalagringens effektivitet. Hon kunde inte presentera någon tidsplan för utvärderingen som redan skulle ha varit klar men sade att den förmodligen inte kommer i år.

Situationen i Norge ger en tydlig bild av riskerna för ändamålsglidning som datalagringsdirektivet skapar. Norska motsvarigheten till SÄPO vill utöka Norges trafikdatalagring till att täcka ”ytringer som (…) blir publisert på nettsteder i form av kommentarer eller innlegg på debattsider”. Myndigheten vill även att tjänsteleverantörer som använder NAT lagrar addresser till webbsidor som användarna besöker. Aftenposten skriver om detta i artikeln PST vil legge nettdebatter under Datalagringsdirektivet. Såvitt jag kan se har man i Norge valt att göra det möjligt för tillsynsmyndigheten att utöka kretsen av aktörer som är lagringsskyldiga. Att man överlåter beslut som inskränker grundläggande mänskliga rättigheter till en myndighet på detta sätt finner jag högst anmärkningsvärt. Redan att Sveriges riksdag gett regeringen rätt att på egen hand – utan omröstning i riksdagen – bestämma vad som ska lagras i förordning tyckte jag var överraskande. Norge verkar ha gått ett steg längre.

Sedan man kanske ska tillägga att svenska brottsbekämpande myndigheter inte är så mycket bättre. Här ville de nämligen att geografisk position för den som talar i telefon skulle lagras varje minut under pågående samtal för att det skulle bli möjligt att i större detalj kartlägga rörelser (detta finns återgivet i propositionen). Och vi har ju vår egen ändamålsglidning i och med att regeringen nu ämnar ändra utlämning av trafikdata från att gälla allvarliga brott till enkla bötesbrott. Bland annat med argumentet att det inte är rimligt att den svenska implementationen av Ipred ger privata aktörer större befogenheter än polisen (se sida 102 i propositionen).

Angående datalagringen i Sverige har jag fått svaret från PTS gällande föreskrifter om vad som ska lagras att:

”När det gäller föreskrifterna finns för närvarande inga planer på att inleda ett föreskriftsarbete. I avsaknad av föreskrifter kommer PTS därför att vid oklarheter få ta ställning till de närmare detaljerna kring vilka uppgifter som ska lagras genom tillsynsbeslut i enskilda tillsynsärenden.”

Myndigheten ville heller inte svara på mina allmänt hållna frågor med följande motivering:

PTS kan dock inte lämna förhandsbesked hur lagen ska tolkas i olika situationer. Dina frågor är relevanta och det är mycket möjligt att dessa kommer att bli föremål för prövning inom ramen för PTS tillsyn men för närvarande kan jag därför tyvärr inte lämna några mer uttömmande och detaljerade svar.

PTS planerar att publicera en vägledning under maj, men några tekniska specifikationer inom ramen för en föreskrift för vad som ska lagras verkar alltså inte vara att vänta detta år.

På tal om Norge så slog förresten Norges Høyesterett i en ganska färsk dom fast att citaträtten inkluderar filmklipp. Eftersom norsk och svensk upphovsrättslagstiftning är mycket lika borde detsamma gälla även här. Jag trodde inte att citaträtten sträckte sig till film, så det kom som en positiv överraskning för mig.

Johan Pehrson (fp) skapade en del uppståndelse nyligen när han öppnade upp för att förbjuda krypteringstjänster. Uttalandet, som för övrigt Prisjakts algoritmer förtjänstfullt kategoriserat, har Pehrson senare försökt tona ned. Jämför förresten också vad moderaterna och centerpartiet sagt i frågan. Men hur förhåller det sig då med t.ex. anonymiseringstjänster? Omfattas de av datalagringsdirektivet så som ibland påståtts? Det verkar råda viss osäkerhet om det, så jag tänkte försöka reda ut det litet i detta inlägg.

Det hänger på om de kan definieras som ”allmänna kommunikationsnät av sådant slag som vanligen tillhandahålls mot ersättning eller allmänt tillgängliga elektroniska kommunikationstjänster”. Såväl den svenska lagen som själva direktivet använder dessa två begrepp som definieras i ett annat EU-direktiv från 2002 för att avgränsa vilka som måste lagra trafikdata. Om något så är det kommunikationstjänst som kan komma i fråga – nät torde det knappast vara. Det sistnämnda direktivet uttalar att en sådan tjänst ”helt eller huvudsakligen utgörs av överföring av signaler i elektroniska kommunikationsnät” och inte omfattar ”tjänster i form av tillhandahållande av innehåll som överförts med hjälp av elektroniska kommunikationsnät och kommunikationstjänster”. Begreppet signaler tolkar PTS som radiovågor, ljusvågor, elektriska impulser etc. som överför  informationen mellan sändare och mottagare. Även om jag sett vissa EU-länder också inbegripa ren datatrafik framstår PTS tolkning som mer riktigt med tanke på hur ordet används i direktivet.

En VPN-tjänst består av överföring av innehåll med hjälp av ett elektroniskt kommunikationsnät (jämför denna text, del 6.1; om det handlar om ”tillhandahållande av innehåll” är dock naturligtvis en tolkningsfråga) och dessutom utgörs den inte huvudsakligen av överföring av radiovågor, ljusvågor eller elektriska impulser. Redan härav finns det skäl att anse att den inte omfattas. Enligt en PTS-rapport från 2009 krävs också att tjänsteleverantören har rådighet över signalerna – rent fysiskt eller via avtal. För den övervägande delen av överföringen, den som sker över det öppna internet, har VPN-tjänsten inte någon som helst kontroll över signalöverföringen.

PTS skriver i rapporten:

”Det konstateras att s.k. virtuella privata nät (VPN) kan använda en del av det allmänna kommunikationsnätets resurser för en organisations interna kommunikation, men att det även kan avse säker uppkoppling genom t.ex. kryptering över ett allmänt kommunikationsnät för anställda eller kunder på platser utanför organisationens egna nät. Enligt förarbetena är den som tillhandahåller VPN inte anmälningspliktig, däremot den som tillhandahåller det allmänna kommunikationsnätet, om det tillhandahålls mot ersättning”

Inte anmälningspliktig betyder här att tjänsten inte omfattas av någon skyldighet att lagra trafikdata. Lettland anges göra följande bedömning:

”Aktörer som levererar tjänster som endast agerar i den övre delen av [OSI-]modellen bör inte anses vara inblandade i själva överföringen av signaler och tillhandahåller därmed inte en elektronisk kommunikationstjänst.”

Med andra ord, operatören som förser VPN-tjänsten med internettillgång är skyldig att lagra trafikdata, men själva VPN-tjänsten omfattas inte. Även om inte PTS direkt uttalar detsamma får jag intryck av att myndigheten i huvudsak delar Lettlands inställning. Möjligtvis med ett undantag: att den som t.ex. hyr förutsättningarna för en elektronisk kommunikationstjänst och är den som erbjuder den till slutkund är den som ska anses tillhandahålla den. I rapporten står vidare:

Som exempel på tjänster som inte själva utgör en elektronisk kommunikationstjänst enligt LEK kan nämnas Skype Classic och communities på Internet. Denna typ av tjänster innebär endast kommunikation över en redan föreliggande elektronisk kommunikationstjänst. Här sker kommunikationen via slutanvändarens befintliga Internettjänst, vilken möjliggör och har inflytande över överföringen av signaler (transport av IP-paket).  [min understrykning]

Enligt EU-direktivet ovan undantas också ”de av informationssamhällets tjänster enligt definitionen i artikel 1 i direktiv 98/34/EG som inte helt eller huvudsakligen utgörs av överföring av signaler i elektroniska kommunikationsnät”. Informationssamhällets tjänster är ett brett begrepp som definieras som ”tjänster som normalt utförs mot ersättning och som tillhandahålls på distans, på elektronisk väg och på individuell begäran av en tjänstemottagare”. I en hovrättsdom bedömdes TPB vara en informationsamhällets tjänst, för att nämna ett exempel.

Europakommissionen skrev förra året i en utvärderingsrapport (pdf):

A number of increasingly common forms of communication are outside the scope of the Directive. Virtual Private Networks (VPNs) in, for example, universities or large corporations, allow several users to access the internet via a single gateway using the same IP address.

Sammantaget framstår det som högst sannolikt att anonymiseringstjänster, i varje fall i Sverige, inte omfattas av datalagringsdirektivet såvida inte företaget samtidigt tillhandahåller en annan tjänst som är anmälningspliktig, och kanske inte ens då. Här skulle man t.ex. kunna lyfta fram Bahnhof som omfattas av lagen eftersom de också är internetleverantör. Datalagringsdirektivet skapar dock ingen skyldighet att lagra information som inte ”genereras eller behandlas”, så de försöker kanske komma runt lagringsskyldigheten genom att undvika att generera eller behandla viss data. Ett annat sätt är att lägga ut vissa tjänster på andra företag. En internetleverantör borde t.ex. undgå kravet på lagring av trafikdata för e-post genom att lägga ut sin e-posttjänst på en underleverantör som inte omfattas av datalagringslagen.

Bahnhof verkar inte ha några planer på det varken för e-post eller för den anonymisering av datatrafik som de planerar att erbjuda. I ett mejl skriver deras kundtjänst ”Då all information (som det ser ut nu) kommer gå via vår egen VPN-tjänst som kommer vara integrerad med bredbandet så skall även det som ni skickar över e-posten skyddas”. Hur VPN skulle kunna användas för att undgå att behandla trafikdata för e-post förstår jag inte. Men det kanske beror på att inte heller personen som svarade mig förstår det…

Jag hörde mig för hos ett par VPN-tjänster som har servrar i många olika EU-länder om hur de ser på frågan:

PureVPN: meddelar att de inte omfattas av implementationer av datalagringsdirektivet i något annat EU-land än Storbritannien. Detta av den anledning att VPN inte utgör en allmänt tillgänglig elektronisk kommunikationstjänst. PureVPN har såvitt jag kan se servrar i praktiskt taget alla EU-länder.

Kryptotel: anser märkligt nog inte att de omfattas av EU-direktiv eftersom företaget inte är registrerat i ett EU-land. Det tycker jag verkar helt galet eftersom de har många servrar i EU-länder.

IAPS: uppger att deras verksamhet är undantagen från reglerna om datalagring.

HMA: säger att de inte omfattas av direktivet eftersom det är inriktat på internetleverantörer och inte ”varje tjänsteleverantörer på nätet”. Däremot följer de nationella riktlinjer och loggar viss trafikdata ändå.

StrongVPN: anger att de inte omfattas eftersom de är ett amerikanskt företag. När jag invänder att de har servrar i EU får jag till svar att de inte har hört någonting från sina leverantörer uppströms.

Cyberghost: anger att de så länge datalagringsdirektivet finns måste lagra trafikdata, men att endast kund-id som inte innehåller några personuppgifter lagras och dessutom delar flera personer på en och samma ip-adress. Kunden kan också i deras administrationsgränssnitt ange att informationen inte ska lagras.

VPN Tunnel: säger att de snart kommer att meddela sin syn på sin blogg.

Anonine: har släppt en pressrelease där de säger att situationen är oklar men att de är fast beslutna att på något sätt fortsätta att leverera en tjänst som inte lagrar loggar.

Mullvad: säger att datalagringsdirektivet ”gäller inte oss utan bara internetleverantörer och telefonbolag”.

Ipredator: verkar ge uttryck för ungefär samma sak som Anonine – osäkerhet men beslutsamhet att inte logga.

För den som vill djupdyka i ämnet kommer här några användbara länkar: lagen om lagring av trafikdata, datalagringsdirektivet, lagen om elektronisk kommunikation, regeringens förordning om vad som ska lagras, PTS: rapport (vilka omfattas?), rapport (internationell utblick), presentation, tidsplan, lista över operatörer som anmält sig och därmed omfattas av den nya lagen. Oscar Swartz ger i ett gammalt inlägg en bra översikt. Detsamma gör Måns Jonasson. Missa inte Lakes länksamling om trafikdatalagring.

Se även tidigare inlägg om datalagringsdirektivet på den här bloggen.

När Måns Jonasson hörde sig för hos webbhotellet Binero fick han svaret att de är tvungna att lagra trafikdata enligt den nya lagen. Eftersom detta är helt fel blev jag litet nyfiken på hur andra webbhotell ser på saken och hörde mig för litet. Till saken hör att de flesta webbhotell tillhandahåller e-post som en del av sina paket och den som omfattas av den nya lagen om trafikdatalagring ska lagra trafikdata om e-posttrafik som behandlas.

Det som bäddar för missförstånd är, att enligt lagen omfattas endast vissa typer av verksamheter och om ett företag tillhandahåller en tjänst som omfattas kan lagringsskyldigheten smitta av sig på andra tjänster i dess utbud. Detta samtidigt som andra företag som tillhandahåller samma typ av tjänst (t.ex. e-post) men inga sidotjänster inte omfattas av någon skyldighet att lagra trafikdata. Rena webbhotell omfattas inte av lagen om lagring av trafikdata, även om de tillhandahåller e-post till sina kunder.

När jag hörde runt ställde jag först en förutsättningslös fråga om huruvida webbhotellet kommer att lagra trafikdata för e-post på grund av den nya lagen. Efter att ha fått svar gav jag litet bakgrundsinfo om hur lagen ser ut. Här nedan redovisar jag svaren på dessa båda mejl. Slutsatsen man kan dra är att osäkerheten är stor bland dessa företag om vad som gäller. Och det med bara en månad kvar innan lagen börjar gälla. Lagen gäller från 1 maj. Så om du inte hade en anledning att gå ut och protestera tidigare så kanske du har en nu.

Binero

Vi omfattas av det eftersom de som hanterar e-post åt kunder måste lagra mailloggarna i ett halvår. Men vi har inte börjat med detta ännu utan inväntar vidare direktiv från berörda myndigheter.
(marknadsavdelningen):
Uppenbarligen fick du ett felaktigt svar. Vi har inte fått någon information från någon myndighet om att vi skulle vara anmälningspliktiga eller skyldiga att lagra någon e-post. Svaret på dina frågor är alltså nej, nej och nej tills motsatsen demonstrerats (och eventuellt bevisats) av relevant myndighet.

Wopsa
Vi kommer följa lagen, vilket innebär att vi lagrar mailhuvudet. Relevanta uppgifter i mailhuvudet är t ex vem som skickat mailet, vem som tagit emot det, tidpunkt samt ämne. Meddelandet i sig ingår däremot inte i mailhuvudet. Detta är f ö uppgifter som de flesta ISPs redan lagrar (dock inte så länge som DLD kräver) för att kunna felsöka mailutväxlingar mellan servrarna.
Vi har öppnat samtal med vår jurist om detta. Ha en fortsatt trevlig dag.

Scorpiondata
Vi har inte riktigt tagit ställning ännu, men generellt så måste vi förstås följa lagen, även om man kan ha sina personliga åsikter om den…. I praktiken för oss verkar det innebära att vi ska förlänga den tid som vi sparar loggfiler från får mailserver. Just nu är det 7 dagar, vilket då inte räcker. Det enda vi isåfall skulle logga är tidpunkt, mottagaradress samt avsändaradress, men i praktiken blir det nog hela mailserverns logg (som inte innehåller själva innehållet i mailet, inte ens ärenderaden). Polisen kan sedan begära ut utdrag i vanlig ordning, precis som de redan kan idag. Nu har de aldrig gjort det med just epost hos oss, men ip-adressers ägare efterfrågas ibland (tex vid bedrägerier och liknande är vanligast, vi har ännu inte hanterat någon förfrågan avseende fildelning faktiskt).
Ja, där ser man. Uppenbart någonting som jag måste titta på lite noggrannare innan vi bestämmer oss för hur vi ska göra.

EPS Domains
Det är fortfarande rätt nytt så vi har inte hunnit sätta oss in i detaljerna, men om det kommer en tvingande lag på att e-posttrafik ska spas ser jag inte att vi har något annat val än att spara detta den tid som krävs. Rena internetleverantörer säger sig kunna komma runt direktivet genom anonymiseringstjänster där flera kunder delar samma IP men det går ju inte att applicera på e-post.
Det var faktiskt just så som jag också har uppfattat debatten, att den bara gäller rena internet/tele-leverantörer men när du ställe frågan blev jag osäker och körde en snabb googling och fick fram lite info som kunde tolkas som att det även gällde även e-post. Men jag ska sätta mig in i det hela mer djupgående vid tillfälle, men det låter som att det du säger kan stämma, och jag hoppas att det är så =)

Odibo
Vi väntar på svar på ett par frågor kring detta innan vi kan ge definitivt besked. Det finns ett par olika tolkningar om vi skall omfattas överhuvudtaget eller inte. Eftersom vi inte omfattas av LEK, kan det mycket väl hända att vi inte heller omfattas av detta direktiv. T ex så står Skype, gmail etc utanför direktivet liksom även vår webmail-tjänst. Vad gäller den epost som inte är webmail-baserad har vi inget svar ännu utan avvaktar tills vi fått mer information.

Strongbox
Det är fortfarande ganska oklart vilka tillämpningar denna lag medför samt vilka som skall tillämpa dessa, detta är något som Sveriges Riksdag samt PTS (Post- och Telestyrelsen) nu arbetar med genom att skapa förordningar och föreskrifter för vad som gäller.”
Diskussioner pågår men vi gör ingen ändring förrän myndigheter fastställt vad som ska göras.
Som mina kollegor innan har svarat så kan vi inte svara på om detta infattar oss ännu dessvärre.

Ballou
För att svara dig helt ärligt är detta inget vi har tagit beslut om ännu då det är oklart om vi omfattas eller inte. Utredning pågår och vi kommer informera om vårt ställningstagande på vår blogg när kraven på oss är utredda.
Tack för din återkoppling. Uppskattas. Som du säger är vi varken internetleverantör eller nätoperatör utan det företag som levererar tjänster inom nätet. Håll utkik på vår blogg gällande denna fråga framöver där vårt svar kommer att presenteras något mer i detalj.

Surftown
nej, vi och våra servrar är i Danmark, så nya svenska lagar är inte så relevanta. Det finns en motsvarande lag i Danmark, men såvitt jag vet gäller den enbart internetleverantörer. Vi sparar inte loggar mer än en vecka, och de loggarna är nog mycket mindre detaljerade än vad som krävs i Sverige.

För den som undrar vilka som omfattas av den nystiftade lagen om trafikdatalagring gav Post- och telestyrelsen (PTS) ut en vägledning 2009: Vilka tjänster och nät omfattas av LEK?.

Enligt den nya lagen är det de som är anmälningspliktiga enligt lagen om elektronisk kommunikation (LEK) som tvingas lagra trafikdata. För att en kommunikationstjänst ska vara anmälningspliktig krävs att:

  • tjänsten tillhandahålls till en annan (extern) part, på kommersiella grunder och
  • tjänsten huvudsakligen utgörs av överföring av signaler (radiovågor, ljusvågor, elektriska impulser etc. som överför  informationen mellan sändare och mottagare) och
  • tjänsteleverantören har rådighet över överföringen (antingen fysiskt eller via avtal med en annan part)

Rapporten innehåller en ganska intressant tabell över hur olika länder bedömer ett urval av tjänstetyper:

Så mycket för samordningen i EU. Det är ändå intressant med samstämmigheten om att ren IP-telefoni inte omfattas (tredje kolumnen). Som jag tolkar PTS rapport kommer lagringsskyldighet att drabba tjänsteleverantörer som erbjuder både internetaccess och andra tjänster som t ex. e-post, men inte ett svenska företag som endast erbjuder en e-posttjänst (det är dock litet osäkert hur paketerbjudanden kommer att bedömas).

Konsekvensen blir alltså att ju mer vertikal integration av tjänster vi får desto mer trafikdatalagring, och vice versa. Dessutom har medborgarna ett visst inflytande över utvecklingen i den mån de som konsumenter av integritetsskäl undviker paketlösningar (såvida nu inte tillsynsmyndigheten eller regeringen ändrar förutsättningarna).

Det här med rådigheten över överföringen är inte helt tydligt i min mening. Den som driver en webbtjänst har ju (i vart fall avtalsmässig) rådighet över sin egen internetuppkoppling, men inte över de signalvägar ute på det vida internet som kunderna använder få att få kontakt med tjänsten. Frågan är alltså om det måste föreligga rådighet över kommunikationen som helhet, eller om det räcker med partiell kontroll.

PTS har förresten en förteckning över de företag som idag har anmält sig (och således omfattas av trafikdatalagring).

Uppdatering: se även Måns Jonasson som försöker reda ut vad som gäller.

Datalagringsdirektivet

mars 17, 2012

Det finns politiker som hävdar att vi måste implementera datalagringsdirektivet eftersom Sverige annars skulle bryta mot lagen. Men om vår implementation bryter mot Europakonventionen om de mänskliga rättigheterna, då bryter likväl Sverige mot lagen. Läs förresten gärna mitt tidigare inlägg ”Är datalagring svaret på ett trängande samhälleligt behov?” och se även Juristens Funderingar som tar upp rättsfallet Volker och Markus Schecke som också Europeiska datatillsynsmannen beskriver i sitt yttrande om rådets och EU-parlamentets utvärderingsrapport:

”Huruvida lagring av uppgifter i enlighet med datalagringsdirektivet är nödvändig beror också på om det finns alternativa lösningar som inkräktar mindre på den personliga integriteten och som kunde ha gett jämförbara resultat. Detta bekräftades av EU-domstolen i dess beslut i målet Schecke i november 2010, i vilket EU-lagstiftning om offentliggörande av namn på stödmottagare som får stöd från jordbruksfonder ogiltigförklarades. Ett av skälen till ogiltigförklaringen var att rådet och kommissionen inte hade övervägt alternativa åtgärder som skulle vara förenliga med det mål som eftersträvades med offentliggörandet men som ändå innebar ett mindre långtgående ingrepp i berörda personers rätt till privatliv och uppgiftsskydd.

Någon seriös utvärdering av mindre integritetskränkande alternativ till obligatorisk datalagring verkar inte ha gjorts. Vid ett eventuellt rättsfall torde det göra det än svårare för direktivets förespråkare att hävda att det, som Europakonventionen bland annat kräver, är nödvändigt i ett demokratiskt samhälle och svarar mot ett trängande samhälleligt behov.

Hur som helst, det finns sätt att komma runt en del integritetsinskränkningar även om direktivet implementeras. Man skulle t ex. kunna föreskriva att lagrad data måste krypteras med en ny kryptonyckel för varje dag eller timme och att tjänste- och internetoperatörer måste radera dessa nycklar så fort de löpt ut. Kryptonycklar skulle endast få lagras hos berörda myndigheter. Låt sedan antalet berörda myndigheter som har rätt att lagra dessa kryptonycklar och att begära ut lagrad data i enlighet med direktivet vara noll. Ur såväl själva direktivet som beslut i EU-domstolen framgår att ”I direktivet harmoniseras varken frågan om de nationella brottsbekämpande myndigheternas tillgång till uppgifter eller frågan om användning och utbyte av dessa uppgifter mellan nämnda myndigheter”. Alltså kan denna implementation knappast anses bryta mot direktivet så länge den krypterade (och oläsliga) informationen lagras. Motsatsen skulle nämligen innebära att direktivet antagits på en felaktig juridisk grund då det (officiellt sett) endast syftar till att skapa likvärdiga konkurrensvillkor för företag i olika EU-länder.

Avslutningsvis skulle jag vilja rekommendera ett gammalt inlägg av Oscar Swartz: Datalagringen: Folkstorm mot detaljerna krävs. Väldigt läsvärt!

Hoppas att många tar sig ut och demonstrerar idag (och skippa gärna masker – de ger bara fel intryck).

Har varit begravd i jobb den senaste tiden så jag har inte hunnit uppdatera bloggen särskilt ofta. Jag tänkte i alla fall slänga ut ett par juridiska frågor om datalagringsdirektivet inspirerade av Oscar Swartz viktiga inlägg i samma ämne och se om det är någon som tror sig kunna svara.

Europakonventionens artikel 8 om rätten till respekt för privat- och familjelivet säger att:

1. Everyone has the right to respect for his private and family life, his home and his correspondence.

2. There shall be no interference by a public authority with the exercise of this right except such as is in accordance with the law and is necessary in a democratic society in the interests of national security, public safety or the economic well-being of the country, for the prevention of disorder or crime, for the protection of health or morals, or for the protection of the rights and freedoms of others.

Jag har redan skrivit litet i ett tidigare inlägg om huruvida datalagringsdirektivet kan anses vara svaret på ett trängande samhälleligt behov, men en annan viktig del av bedömningen är att inskränkningar ska vara lagreglerade och att dessa lagar ska vara tydliga och ge en tillräcklig förutsebarhet (sedan kan man ju undra om det i kravet på att frihetsbegränsningar ska vara förutsebara inte ligger ett implicit antagande om att allvarliga inskränkningar måste utgöra undantag och inte slå mot hela befolkningen). Swartz skriver: ”Djävulen ligger i detaljerna. På sid 28 slår man fast: ‘Däremot anser regeringen inte att lagringsskyldigheten in i minsta tekniska detalj behöver regleras i lag. Den mer tekniska specifikationen av lagringskravet kan ske i förordning’. Förordning. Det innebär att ministrarna själva på ett möte kan bestämma exakt vad som skall lagras och de kan ändra det när som helst”. Detta får mig att undra: om inskränkningar av dessa fri- och rättigheter sker genom förordning, dvs. utan riksdagens inblandning, kan då kravet i artikel 8 på lagreglering anses vara uppfyllt? Det är ju knappast detaljer vi talar om.

I Regeringsformens 2 kap § 3 garanteras att ”Varje medborgare skall i den utsträckning som närmare angives i lag skyddas mot att hans personliga integritet kränkes genom att uppgifter om honom registreras med hjälp av automatisk databehandling”, och dessutom i 1 § att ”varje medborgare är gentemot det allmänna tillförsäkrad (…) informationsfrihet: frihet att inhämta och mottaga upplysningar samt att i övrigt taga del av andras yttranden”. Det förra skyddet framstår som tydligare, men tyvärr omfattas endast det senare av möjligheten till minoritetsbordläggning (se § 12). Frågan är alltså om datalagringsdirektivet innebär en begränsning av informationsfriheten. I sådana fall skulle det såvitt jag förstår innebära att oppositionen kan vilandeförklara lagförslaget i 12 månader, förutsatt att konstitutionsutskottet kan gå med på att det är en sådan begränsning.

Swartz skriver vidare att ”Dock grumlas den lilla glädjen i punkt 3 av att regeringen inom kort lägger fram ett lagförslag som nyss läcktes och som gör att uppgifter kan lämnas till polis för alla ”brott”, även sådana som endast ger böter”. I detta sammanhang kan man påminna om att den tyska författningsdomstolen funnit att lagar som möjliggör att insamlad data i praktiken blir en öppen pool för polisen och där användningen av data och syftet med insamlingen – att bekämpa grövre brott – inte längre står i paritet till varandra inte är grundlagsenliga.