LUP Student Papers

Brottsbekämpning och personlig integritet – EU-rättens inverkan på datalagring i svensk och tysk rätt

• Mark

Abstract

This thesis aims at providing an in-depth study of the balancing act made by the Swedish legislator between the rights to privacy and data protection on the one hand, and the retention of data generated in connection with the provision of publicly available electronic communications networks on the other hand. The latter aspect is something that is made in order to ensure that the data are available for law enforcement agencies for the purpose of the investigation of potential crime. When it comes to regulations on the so-called “E-Privacy” (i.e. privacy when using electronic communication services) the European Law mainly has precedence over national laws, hence an explanation of the national law as well as the EU law on privacy and the... (More)

This thesis aims at providing an in-depth study of the balancing act made by the Swedish legislator between the rights to privacy and data protection on the one hand, and the retention of data generated in connection with the provision of publicly available electronic communications networks on the other hand. The latter aspect is something that is made in order to ensure that the data are available for law enforcement agencies for the purpose of the investigation of potential crime. When it comes to regulations on the so-called “E-Privacy” (i.e. privacy when using electronic communication services) the European Law mainly has precedence over national laws, hence an explanation of the national law as well as the EU law on privacy and the law on retention of certain data for the purpose of the investigation of crime, is presented in this thesis. The cardinal principles on E-Privacy within the European Union are set out in the E-Privacy Directive.

Generally, privacy is mainly protected by explicit provisions: the European Convention on Human Rights (ECHR) and the Charter of Fundamental Rights of the European Union (CFR), which both highlight the respect for private life. The E-Privacy Directive harmonises the provisions of the European member states required to ensure an equivalent level of protection of fundamental rights and freedoms, and in particular the right to privacy, with respect to the processing of personal data in the electronic communication sector. Based on this directive, which is incorporated in the Swedish Data Collection Act lagen (2003:389) om elektronisk kommunikation (LEK) an analysis of the Swedish implementation process is made. Additionally, the legislative outcome and in which way it has affected law enforcement agencies, the operators and the individual are examined. The cases Tele2 and Digital Rights announced by the Court of Justice of the European Union (CJEU) and their impact on the Swedish E-Privacy legislation is studied and evaluated in a separate chapter. Within the Swedish constitutional law, privacy is protected in the regeringsformen. The Swedish protection of privacy is compared with the corresponding German constitutional rights stated in das Grundgesetz (GG). In addition, a comparison is made between Swedish and German law on E-Privacy. The latter is called das Telekommunikationsgesetz TKG. A further aim is to discuss the checks and balances between the EU-legislator and the member states and to examine which impact the separation of powers, as stated in the EU treaties, and the national sovereignty concerning issues like national security have when it comes to the above-described data retention and E-Privacy. This is made in the context of two newly announced (as of October 2020) cases from the CJEU.

The legal method used in the study is the one focusing on the investigation and systematization of contemporary law in order to establish the lex lata. This method is combined with the methods of comparative law. The chosen approach, and the support that is provided in the legal literature, is elaborated in the introductory chapter. The examination is based on the above mentioned legislation, the legislative history, relevant case law, and a range of legal literature.

In conclusion, the traffic data retention prescribed in LEK is of great importance for law enforcement. At the same time the processing of information connected to electronic communications made by the national operators limits the scope of private life. Privacy is a crucial issue in the Western society, still it is elusive as a concept. It touches the foundations of society. It is the primary task of the law when it comes to traffic data retention to, on the one hand prevent abuse when dealing with sensitive information, on the other hand provide law enforcement authorities sufficient information. This thesis proves that this balancing act done by the legislator is a complex and delicate affair. Data processing will be legitimate and likely to be more accepted by the public if based on a well-founded motivation considering the interests at stake. This is important so as to prevent distrust among all those involved in the operators’ data collecting process, in other words everybody using the affected electronic communications. Different aspects of this matter on a social as well as an individual level are discussed in this thesis. The government’s right to obtain this information, i.e. to have a look into the processing behind someone’s electronic communications, must be underpinned by the legislator, which requires clarity and transparency in legislation. According to the main rule in the E-Privacy Directive the member states must ensure confidentiality of the communications. Traffic data relating to users processed by the operator must be made anonymous or be erased when it is no longer needed for the purpose of the transmission of communications. However, the national law maker may adopt legislative measures to restrict the scope of the rights provided in the directive when such restriction constitutes a necessary and proportionate measure within a democratic society to safeguard, inter alia, national security and the prevention, investigation, detection, and prosecution of criminal offences. The implementation process of the E-Privacy Directive in the Swedish legislation LEK will be dealt with in the examination as well as the major shift in the EU approach towards traffic data retention which emerged as a result from the Data Retention Directive. This was the starting point of a vast retention of data generated or processed in connection with the provision of publicly available electronic communications services, and for this reason the Swedish LEK was also reformed, which obliged the operators to store a lot more information than before, due to law enforcement activity.

A landmark case before the CJEU was the case Digital Rights. Again, changes to the EU law on traffic data retention followed since the Court of Justice declared the Data Retention Directive to be invalid. Despite this the Swedish law stayed the same. As a consequence, a couple of years later, in the case Tele2, the Swedish regulation was declared to be too excessive and therefore violated the right to privacy according to the CFR. Since the implementation of the Data Retention Directive the national legislation contains a dual system: one traffic data retention focusing on the so-called practical reasons such as billing (this type of processing is permissible only up to the end of the period during which the bill may lawfully be challenged or payment pursued), one that is done exclusively for law enforcement activities. This has caused an unforeseen situation since some operators use this dual system in order to limit their traffic data retention based on practical reasons. This is a part of a selling strategy aimed at
customers who want to stay away from the public eye as much as possible. Due to the case Tele2 the extent of the Swedish traffic data retention was limited. The complex balancing act on this matter made by the Swedish legislator is partly compared with German law. The comparison regards the outcome of the Swedish and the German implementation of the Data Retention Directive insofar as it affects the contemporary national legislation, LEK respectively the German TKG. A conclusion that can be drawn is that the right to respect for one's private life as declared in the CFR, as well as the rights listed in the E-Privacy Directive, have improved the national privacy legislation. Still, another effect, paradoxically, is that the Data Retention Directive curtailed the same rights as long as the directive was valid. The expanded data traffic retention was positive for law enforcement agencies but affected the individual and the net operators negatively. Therefore, it can be said that the EU legislator has had an inconsistent and ambiguous view on the law on privacy and data protection in connection with legislation concerning data retention. As a consequence of this, since the EU law is superior to national law, this inconsistent approach towards these two issues also shows in the national legislative history, the place where the balancing act made by the Swedish legislator is presented. The privacy laws of Germany are stronger than the Swedish ones. However, these differences don’t show significantly on the law of E-privacy in respective country. Some of the data categories as currently listed in LEK, due to the Swedish interpretation of the E-Privacy Directive, must be revised since they run counter to rulings made by the CJEU at the end of 2020. The impact of these cases over LEK are analysed at the end of this thesis. The division between the different categories is difficult to understand. The information provided by these are in some aspects almost the same, but still they are surrounded by different restrictions. The described balancing act, which needs to be done by the national lawmaker in accordance with EU law as well as constitutional law, is basically about balancing freedom against security. Without any data retention criminal investigations would be difficult to accomplish, and in the long run some crimes would be impossible to solve at all. The right of the individual to total freedom, which some advocators demand when using electronic communications, can therefore have a negative effect on other individuals if they happen to be a victim of crime. Fulfilling both of these objectives requires a delicate balance to be struck. Both aspects are fundamental parts in the Western society and in the social contract theory. Hence, this calls for a clear and well-motivated legislation on E-Privacy. When it comes to the time limits in LEK, improvements can be made. The reason for this is given in this analysis. (Less)

Abstract (Swedish)

Uppsatsens syfte är att fördjupa förståelsen för den svenska lagstiftarens avvägning mellan personlig integritet och de brottsbekämpande myndigheternas behov av datalagring hos telekommunikationsbolag. Den nationella rätten styrs av EU-rätt på det här området och därför ingår i syftet att redogöra för det nationella och EU-rättsliga regelverket rörande dels datalagring av brottsbekämpande skäl, dels den lagstiftning som skyddar den personliga integriteten. I centrum står det så kallade E-Privacy-direktivet liksom det rättighetsskydd som tillkommer den enskilde i främst Europakonventionen och EU-stadgan. Det förstnämnda ska tillförsäkra att medlemsländerna har ett likvärdigt personuppgiftsskydd vid elektronisk kommunikation. Utifrån detta... (More)

Uppsatsens syfte är att fördjupa förståelsen för den svenska lagstiftarens avvägning mellan personlig integritet och de brottsbekämpande myndigheternas behov av datalagring hos telekommunikationsbolag. Den nationella rätten styrs av EU-rätt på det här området och därför ingår i syftet att redogöra för det nationella och EU-rättsliga regelverket rörande dels datalagring av brottsbekämpande skäl, dels den lagstiftning som skyddar den personliga integriteten. I centrum står det så kallade E-Privacy-direktivet liksom det rättighetsskydd som tillkommer den enskilde i främst Europakonventionen och EU-stadgan. Det förstnämnda ska tillförsäkra att medlemsländerna har ett likvärdigt personuppgiftsskydd vid elektronisk kommunikation. Utifrån detta analyseras sedan den svenska implementeringslagstiftningen, lagen (2003:389) om elektronisk kommunikation, LEK, och vad denna innebär för teleoperatörer, brottsbekämpande myndigheter och enskilda i Sverige. Två rättsfall från EU-domstolen, Digital Rights respektive Tele2, analyseras i ett separat kapitel utifrån deras innebörd för den nämnda svenska datalagringslagstiftningen. Gällande skyddet av den personliga integriteten i regeringsformen jämförs det med motsvarande skydd i den tyska grundlagen, das Grundgesetz. Vidare betraktas den svenska LEK utifrån dess tyska motsvarighet, Telekommunikationsgesetz, TKG. Utifrån två rättsfall från EU-domstolen som meddelades under 2020 är uppsatsens vidare syfte att även diskutera vilken effekt maktdelningen mellan unionen och medlemsländerna får för den datalagring som sker mot bakgrund av att trygga nationell säkerhet.

Tillämpad metod är den rättsdogmatiska. Av metodavsnittet framgår hur denna har kombinerats med komparativ metod liksom vilket stöd för en sådan utformning som finns i den rättsvetenskapliga litteraturen. Utgångspunkten för redogörelsen utgörs av lag, förarbeten, rättspraxis och ett urval av svensk och internationell litteratur. Sammanfattningsvis visar undersökningen att den datalagring som föreskrivs i LEK är av stor betydelse för brottsbekämpningen, men innebär samtidigt en inskränkning i den personliga integriteten. Datalagringslagstiftningen måste å ena sidan borga för att de brottsbekämpande myndigheterna får tillgång till nödvändig information för att på så vis kunna fullgöra sitt uppdrag, å andra sidan ska lagstiftningen se till att känslig personlig information hos operatörerna inte kan missbrukas. Uppsatsen visar att det är en svår balansakt som lagstiftaren har stått inför. För att informationsinsamlandet hos operatörerna inte ska mötas av misstro är det såväl på individ- som samhällsnivå viktigt att det finns en tydlig motivering till varför staten ska ha insyn i enskildas privatliv. Samtidigt framgår av utredningen att begreppet personlig integritet är svårdefinierat vilket avspeglar sig i de avvägningar som lagstiftaren har gjort mellan denna och brottsbekämpningen.

Grundregeln i E-Privacy-direktivet är konfidentialitet för den enskildes uppgifter, men från detta görs undantag. För det första är datalagring tillåten då det är nödvändigt av rent tekniskt praktiska skäl för att den elektroniska kommunikationen ska kunna överföras mellan användare. Av praktiska skäl undantas även den datalagring som krävs för abonnentfakturering som får behandlas av operatörerna till dess att fordran är betald eller att preskription har inträtt och det inte längre lagligen går att göra invändningar mot faktureringen. För det andra får datalagring ske då det är nödvändigt av brottsbekämpande skäl och under förutsättning att inskränkningen kan anses vara en proportionell åtgärd i en demokrati. Hur direktivet har genomförts i LEK behandlas i undersökningen liksom vilka bakomliggande tankegångar som då fanns hos lagstiftaren. När datalagringsdirektivet ett par år senare antogs kullkastades den tidigare restriktiva datalagringslagstiftningen och en mycket omfattande lagring av uppgifter tog vid istället. LEK utvidgades därför med en ny datalagringsform enkom för brottsbekämpande ändamål. Genom den så kallade Digital Rights domen underkändes datalagringsdirektivet men svensk rätt ändrades inte efter domen. Följden blev att den svenska datalagringen i LEK underkändes i EU-domstolen i den så kallade Tele2-domen. Sammanfattningsvis kan sägas att sedan datalagringsdirektivet infördes i svensk rätt har det löpt två olika lagringsformer hos operatörerna vid sidan av varandra: en som sker av vad som benämns som ”praktiska skäl” och en av de ovan beskrivna brottsbekämpande skälen. På ett oförutsett vis har den praktiskt inriktade lagringen börjat nyttjas av vissa operatörer för att locka ”ljusskygga” kunder. Hur detta ter sig i praktiken vidareutvecklas i redogörelsen. Tele2-domen medförde att LEK fick genomgå en reform där både omfattningen av de olika uppgiftsslagen, såväl som deras lagringstid, drogs ned. En av uppsatsens kärnpunkter är det kapitel som analyserar lagstiftarens avvägning mellan brottsbekämpande myndigheters behov av trafikuppgifter mot det integritetsintrång detta innebär. I detta kapitel görs en jämförelse mellan hur utkomsten av den svenska och den tyska implementeringen av de nämnda EU-direktiven tar sig uttryck i ländernas respektive lagstiftning.

De viktigaste resultaten av undersökningen är att skyddet för den personliga integriteten i svensk rätt har stärkts av EU-rätten bland annat genom EU-stadgan och det nämnda E-Privacy-direktivet. Samtidigt har EU-rätten varit orsaken till ökade datalagringskrav för operatörerna genom datalagringsdirektivet. För de brottsbekämpande myndigheterna är detta positivt medan det får ses som en nackdel för den enskilde liksom för operatörerna. En slutsats som dras är därför att synen på den personliga integriteten kontra datalagring har varit inkonsekvent i EU-rätten. Detta visar sig även i de avvägningar som den svenska lagstiftaren har gjort i förarbetena till LEK. En annan slutsats är att Sverige och Tyskland som utgångspunkt har olika starka skydd för den personliga integriteten, men detta visar sig inte nämnvärt i hur deras datalagringslagstiftning ser ut idag.

Vidare har konstaterats att synen på vissa lagringsslag i LEK kommer att behöva revideras då behandlingen av dessa uppgifter inte följer EU-rättslig praxis från förra året. Vilka uppgifter detta gäller och hur LEK i detta avseende avviker från de krav som ställs upp av EU-domstolen i de två aktuella rättsfallen analyseras i ett av uppsatsens senare kapitel. En effekt av den här uppgiftshanteringen är en svårbegriplig uppdelning mellan uppgiftskategorier som i stort ger samma typ av information. Datalagring av brottsbekämpande skäl bygger förenklat sagt på en avvägning mellan frihet och säkerhet och måste respektera såväl grundlag som EU-rätt på området. Utan denna datalagring skulle färre brott klaras upp, och en persons frihet går då ut över en annan persons säkerhet. I förlängningen skulle vissa brott bli omöjliga att lösa. Total frihet från datalagring vid användandet av elektronisk kommunikation har på så vis en negativ inverkan på brottsbekämpningen. Båda aspekterna, det vill säga frihet respektive säkerhet, är grundläggande i samhällskontraktet och i den västerländska rättsstaten. För lagstiftaren är det en delikat uppgift att förena dessa två samhällsbärande värden vid utarbetandet av lagstiftning som rör datalagring av elektronisk kommunikation. Höga krav ska därför ställas på lagstiftarens bakomliggande avvägning. I detta avseende behöver LEK:s lagringstider ses över och anledningen till detta utvecklas i uppsatsen. (Less)