IPRED-lagen på is – vad händer då med datalagringen

Högsta domstolen har begärt besked från EU-domstolen om huruvida IPRED-lagen är förenlig med EU:s datalagringsdirektiv. Till dess att EU-domstolen yttrar sig och högsta domstolen därefter fattar ett beslut vet vi inte hur rättsläget ska tolkas.

Det här kommer att bli mycket komplicerat. Inte bara Ephone-målet hänger i luften, utan det gör även den utredning om datalagringsdirektivets införande som en kommande proposition baserar sig på – oavsett valutgång.

Utredningen om datalagringsdirektivet säger att uppgifter ska lagras i syfte att underlätta utredningen av grova brott. Låt oss kalla dessa lagrade uppgifter för polisdata.

Bara utredningar av grova brott ska ge myndigheter tillgång till polisdata, och polisdata får under inga omständigheter lämnas ut till privata intressen.

En typ av polisdata är uppgifter om tilldelning av IP-adresser. Sådana uppgifter lagrar de flesta internetoperatörer redan i dag för administrativa ändamål. Det har de rätt att göra i den mån det krävs för nätsäkerheten och för administrativa rutiner som fakturering. Praxis från datainspektionen säger att de får de lagra uppgifterna i upp till ett kvartal, men för det mesta lagras de i ett par veckor.

Regeringens utredning om datalagring säger att polisdata och administrativa data ska separeras. Det enda som operatörerna får göra med polisdata är att lämna informationen till myndigheter i brottsbekämpningssyfte. Den administrativ data – som till viss del utgörs av samma information som polisdatan – får de dock använda på samma sätt som förr. Det är den administrativa datan som får lämnas ut till upphovsrättsindustrin enligt IPRED-lagen.

Skulle EU-domstolen säga att IPRED krockar med datalagringsdirektivet – och att uppgifter som lagras som polisdata aldrig får användas av privata intressen innebär det att hela IPRED faller. Samtidigt innebär det att operatörerna förbjuds att lagra administrativa data, vilket skulle omöjliggöra deras nuvarande fakturerings- och säkerhetsrutiner.

Jag skulle bli förvånad om IPRED-lagen underkänns med motiveringen att IP-uppgifter utgör polisdata. Det skulle helt kullkasta operatörernas administrativa rutiner. Enligt operatörer som jag har pratat med är det nödvändigt att lagra uppgifter om IP-tilldelning i åtminstone ett par veckor för att skydda nätet mot sådant som spam-attacker. (Andra, mindre operatörer har i och för sig hävdat motsatsen.)

I vilket fall som helst vet vi inte i dag vad som gäller. Rättsläget är tillräckligt osäkert för att högsta domstolen ska vända sig till EU-domstolen för vägledning.

Frågan blir då: Kan regeringen föregripa högsta domstolens beslut genom att lägga fram en proposition om datalagring som bygger på premissen att operatörerna få lämna ut administrativa data i ett fall som Ephone-fallet? Det vore att från politiskt håll berätta för högsta domstolen hur de ska döma i ett pågående domstolsärende. Instruktioner från regeringen om hur en lag ska tolkas kallas ministerstyre, och det är inte tillåtet enligt svensk grundlag.

Ska arbetet med att införa datalagringsdirektivet i Sverige ske på ett acceptabelt sätt måste alltså även den processen läggas på is i ett antal år.

7 thoughts on “IPRED-lagen på is – vad händer då med datalagringen

  1. Att det skulle förstöra faktueringsmodeller är ju faktiskt bara strunt, handlar bara om rutiner.
    istället för att logga kund ip&tid&data använt skulle leverantörerna summera in tid & data på kunden och sedan ta bort ip datan.

    Eller så sparar man ALDRIG ip utan bara MAC adressen som använts, då löser sig alltihop eftersom MAC är lika unikt som ip men syns inte ut mot nätet utan det är bara leverantören som kan se det.

  2. Jag delar din och Mikaels uppfattning att EU-domstolen knappast kommer att se någon formell konflikt mellan IPRED och datalagringsdirektivet, just därför att man skiljer polisdata från administrativa data. När man skrev in i det senare direktivet att lagrade uppgifter endast får användas för utredning av allvarliga brott, så kan man knappast ha menat att förbjuda operatörerna att lagra data för andra ändamål (såsom fakturering).

    Jag har själv arbetat med att granska e-postloggar för att identifiera troliga källor till spam, men då inte åt någon operatör utan åt en statlig myndighet i egenskap av e-postmottagare. Jag kan därför förstå operatörernas vilja att bevara dessa loggar en tid, annars blir eventuella mönster i trafiken omöjliga att urskilja.

    Jag ifrågasätter dock att det verkligen skulle vara kommersiella operatörers uppgift att granska trafikmönster i syfte att stoppa spam, om inte varje berörd abonnent har lämnat sitt uttryckliga medgivande till detta. Även om flertalet abonnenter säkert är tacksamma för spam-filtreringen, så menar jag att de enstaka abonnenter som hellre sköter sin e-postsortering själva skall slippa få sin inkommande e-post granskad och utnyttjad som statistiskt underlag för andras spam-filtrering. Vem vet, jag kanske är en auktoriserad återförsäljare av Viagra som uttryckligen bett om en offert från en grossist?

    I den mån operatören har sina abonnenters medgivande att lagra loggar över deras e-post en längre tid, då är undantaget i 6 kap. 6 § andra stycket lagen om elektronisk kommunikation tillämpligt. De på abonnentens egen begäran lagrade uppgifterna torde vara att se som administrativa data, men frågan om huruvida de också skulle kunna bli föremål för ett informationsföreläggande enligt IPRED finner jag än så länge obesvarad. De utgör ju i någon mening abonnentens data, inte operatörens. Med datalagringsdirektivet har de knappast något att skaffa.

    Sedan vill jag instämma i Mikaels undran över ditt tal om ministerstyre; det är det knappast fråga om bara för att regeringen lägger lagförslag på områden där det finns vilande rättsfall i domstolarna. En eventuell lagändring skall rimligen inte tillämpas i fråga om mål vilkas behandling redan påbörjats (däremot kan ju en för sökanden fördelaktig lagändring utnyttjas genom att han drar tillbaka sin ursprungliga ansökan och lämnar in en ny, så att den behandlas enligt de nya reglerna).

    Jag håller dock med om att datalagringsdirektivet bör läggas på is, om inte annat så just för att implementeringen skall vara förenlig med EU-domstolens tolkning av detsamma i förhållande till IPRED.

  3. Bra analys och blogginlägg.

    Kan förövrigt säga att du, Karl Sigfrid, är den ENDA sittande riksdagsledamot som jag har något som helst förtroende för.

    Kämpa på, och hoppas du får fortsätta företräda svenska folket även efter valet är klart på söndag :)

  4. Pingback: HD frågar EU-domstolen i Ipred-fall : Cybernormer.se

  5. Man behöver egentligen inte lagra alls, och att man gjort så är enbart på grund av att operatörerna funnit sig bekväma. I stort och smått har samtliga negligerat PUL och ElCom i omfattande grad.

    Sedan kom IPRED på tal och helt plötsligt satt många operatörer med handen i syltburken. De mer ansvariga kortade ned till två dagars lagringstid (och tog den ekstra overheaden det innebar), de mindre ansvarstagande fortsatte med sin negligens (Telia någon, eller Comhem?).

    Summa summarum innebär datalagringsdirektivet dock något helt nytt – nu skall man och måste säkra personuppgifterna samt tillse att polis och myndighet på en timmes varsel kan får tag på uppgifterna. Den extrapersonal man måste anställa, och de höjda omkostnader som då kommer att ske kommer effektivt slå ut mindre aktörer från marknaden och höja abbonentpriserna högst väsentligt.

    Vet inte om jag vill betala 30% mer för uppkopplingen, men bara där har jag ett kraftigt incitament för att helt avskriva DLD.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s