Datalagringsdirektivet – vilka måste lagra vad?

Riksdagen har röstat igenom införandet av Datalagringsdirektivet i Sverige, och nu börjar det stora arbetet med att implementera lagring av trafikdata hos operatörerna. “Operatörerna” ja – vilka är egentligen det? Och vad ska lagras? Det är mycket som inte är tydligt i den här debatten och jag bestämde mig för att åtminstone försöka reda ut på egen hand hur det ligger till. Vilka måste egentligen lagra vad?

Jag började med att leta efter information hos PTS – Myndigheten Post- och telestyrelsen, som har bra information (i den mån information finns) om vad som gäller. De har en informationssida om datalagringsdirektivet och jag hittade där ett par formuleringar som var intressanta, bland annat under “Dessa är skyldiga att lagra uppgifter”:

Enligt lagen är de aktörer som bedriver anmälningspliktig verksamhet enligt Lagen om elektronisk kommunikation, LEK, skyldiga att lagra uppgifter i sex månader.

Det är alltså endast de som har verksamhet som enligt Lagen om elektronisk kommunikation, LEK, är anmälningspliktig som måste lagra uppgifter enligt den svenska implementationen. Jag började således att läsa LEK för att se om jag kunde hitta informationen om vilka som är anmälningspliktiga, men det visade sig vara minst lika luddigt där, för i Kap 2, §1 står det:

Allmänna kommunikationsnät av sådant slag som vanligen tillhandahålls mot ersättning eller allmänt tillgängliga elektroniska kommunikationstjänster får endast tillhandahållas efter anmälan till den myndighet som regeringen bestämmer.

Det här är nästan rena grekiskan för mig. Jag är (bevisligen) inte jurist och jag får först vänja mig vid tanken på att det alltså finns en svensk lag som säger att den som tillhandahåller elektroniska kommunikationstjänster har en anmälningsplikt till myndigheten som måste fullgöras innan man tillåts leverera tjänster. Så den som vill starta en ISP måste alltså anmäla sig hos myndigheterna först. Varför? Jag har ingen aning, och det hela känns rätt märkligt. Kan det vara en kvarleva från sändningstillstånden som infördes när man startade med radio- och tevesändningar?

Hursomhelst, nyckelorden här verkar vara “mot ersättning” och “allmänt tillgängliga elektroniska kommunikationstjänster”. Dessa har anmälningsplikt och borde därför, enligt PTS, vara de som också måste lagra och leverera trafikdata till polisen på begäran. Men exakt vilka är det då? Den som driver en egen e-postserver för sig och sin familj, måste han också lagra data? Jag måste alltså gräva vidare, och efter att ha ställt ett par frågor på Twitter får jag några länkar som svar.

Oscar Swartz tipsar om ett par rapporter från PTS som ska berätta mer. Jag börjar med att läsa “Lagring av uppgifter för brottsbekämpning enligt EU-direktiv 2006/24/EG – Internationell utblick m.m. ?? PTS-ER-2011:1” vilket för övrigt är en fantastisk titel som jag ska överväga till min nästa skiva. Det här är en rapport från 2011 som PTS gjort i väntan på implementationsbeslut från riksdagen. Den tittar främst på hur andra EU-länder gjort vid implementation av direktivet och drar några försiktiga slutsatser för svensk del kring hur det kan tänkas gå till här hemma. Här står uttryckligen att “Skyldigheten att lagra uppgifter gäller enbart elektroniska kommunikationstjänster” vilket åter syftar på de som enligt LEK har anmälningsplikt.

Sen blir det lite mer spännande, för sen kommer en lista på de som INTE behöver lagra trafikdata. Här finns en gränsdragning mellan det som då kallas “elektronisk kommunikationstjänst” och de tjänster som inte omfattas av LEK, som istället kallas “informationssamhällets tjänster”. Här står det till exempel gällande “Webbpost (webmail) och webbaserad messaging”:

Följaktligen omfattas tillhandahållare av webbpost och webbaserade meddelandetjänster av direktivet om de samtidigt är tillhandahållare av allmänt tillgängliga elektroniska kommunikationstjänster eller allmänna kommunikationsnät.

Det här tolkar jag som att de som erbjuder webbmejl eller andra webbaserade meddelandetjänster endast omfattas av direktivet om de också har tjänster som omfattas av anmälningsplikten i LEK. Det här skulle då medföra att de företag som säljer Internetkapacitet och därför har anmälningsplikt måste lagra trafikdata för de tjänster de erbjuder, medan andra företag som kanske bara har en webbmejltjänst slipper undan förutsatt att de inte också är Internetleverantörer.

Rörigt? Lite. Skulle detta betyda att exempelvis Telia måste lagra trafikdata för sin webbmejltjänst medan Loopia slipper? Telia är klart och tydligt en operatör som omfattas av LEK, medan Loopia enligt nuvarande tolkning inte är det. Nu börjar det bli intressant!

Av Torbjörn Eklöv får jag en länk till en förteckning hos PTS på de som är registrerade efter anmälan enligt plikten i LEK. Här återfinns mycket riktigt Telia i listan medan Loopia saknas. Här saknas faktiskt alla svenska webbhotell jag letar efter, förutom ett par som jag känner igen eftersom jag varit/är kund där: ipeer och Glesys. Efter en fråga till  Glesys får jag veta att Glesys faktiskt säljer Internetkapacitet och därför omfattas av anmälningsplikten. Men alla webbhotell då? De saknas i listan, och förvirringen är total! Binero svarar mig på Twitter att de absolut omfattas, fast de är inte anmälda till PTS enligt LEK, så det verkar konstigt i såna fall.

Jag läser vidare i PTS-rapporten och ser att

När tillhandahållaren av en webbplats gör det möjligt för en användare att t.ex. lämna en kommentar till tillhandahållaren eller beställa en vara klassas det normalt som informationssamhällets tjänster och omfattas inte av direktivet.

Så webbplatser kommentarsfunktioner omfattas inte av DLD. Men sen blir det snårigt igen, för nu börjar jag fundera på sånt som Facebook eller andra webbplatser (varav jag själv driver åtminstone en) som låter användare skicka privata meddelanden till varandra:

När en webbplats skickar en notifiering till en användare för att tala om att användaren har ett meddelande som väntar på webbplatsen kan det göras i form av t.ex. e-post eller ett SMS. Om meddelandet passerar en leverantör av allmänt tillgänglig kommunikationstjänst omfattas det normalt av direktivet.

Meddelandet som lämnats inom webbplatsen anses däremot vara en informationssamhällets tjänster. Meddelandet omfattas då inte av direktivet.

Nu blev det ju jobbigt igen. Själva notifieringsmeddelandet som går som SMS eller e-post omfattas av direktivet förutsatt att det går via en “leverantör av allmänt tillgänglig kommunikationstjänst”. Man får anta att det då inte gäller om webbplatsen i fråga driver sin egen SMTP-server till exempel? Jag blir osäker. Men sen står det också:

När en webbplats skickar ett meddelande (inklusive innehåll) till en e-postadress på traditionellt sätt har det betydelse om webbplatsleverantören använder det egna nätet och sin egen mailserver eller inte. Det är stor sannolikhet att meddelandet hanteras av allmänt tillgängliga kommunikationstjänster och det omfattas då av direktivet. Används tillhandahållarens privata nät och den egna mailservern omfattas det inte av direktivet eftersom det då räknas som informationssamhällets tjänster såvida det inte gäller en tillhandahållare av allmänt tillgängliga elektroniska kommunikationstjänster och som använder sig av dessa.

Att tolka detta kräver lite tankekraft. Hur ett e-postmeddelande skickas från en webbtjänst till en användare e-postadress har alltså betydelse för huruvida meddelandet omfattas av direktivet eller inte. Om tjänsten har sin egen mailserver verkar man klara sig utan att lagra, men om man använder mailserver hos en “operatör” måste det lagras. Lagras av webbtjänsten? Lagras av operatören? Oklart.

Nästa stycke är lättare att begripa:

Besök på webbsidor, användning av sökmotorer, chatt, E-handel och on-line spel omfattas inte av direktivet eftersom dessa anses vara informationssamhällets tjänster.

All vanlig surfning omfattas inte av direktivet. Det betyder att din webbhistorik inte behöver lagras hos din operatör, vilket det tidigare varit tal om. Det står också att FTP och “spam som aldrig levereras till mottagarens e-postkonto” ska undantas från lagring. Däremot ska IP-telefoni lagras, men i dokumentet nämns bara “Internettelefonitjänst som startar och terminerar som en PSTN- telefonitjänst”, det vill säga där ena, andra eller båda parterna i samtalet använder sig av en klassisk “fast telefon” med jack.

Just IP-telefoni är lite extra intressant, för i den andra PTS-rapporten jag läser, “Vilka tjänster och nät omfattas av LEK? – PTS-ER-2009:12” tittade man ju på hur andra EU- och EES-länder bedömer vad som är eller inte är en “elektronisk kommunikationstjänst” och därför bör omfattas av datalagringsdirektivet (sid 16). Där finns en lista på de länder som granskats, nämligen Finland, Danmark, Lettland, Norge, Nederländerna, Tyskland, Spanien och England. Här har alla länder gjort samma sak och bestämt att P2P-VoIP inte är att betrakta som en sådan tjänst, vilket alltså skulle betyda att till exempel Skype helt undandas från trafikdatalagring!

Det är ju rätt häpnadsväckande egentligen. Tanken med direktivet är att polisen ska kunna få tillgång till trafikdata för att lösa terrorbrott, men så länge skurkarna använder Skype klarar de sig alltså. De kan också uppenbarligen använda Twitter eller Facebook för att prata med varandra utan att kommunikationen ska lagras alls! I princip verkar det endast handla om kommunikation som sker över kanaler som när direktivet införs nästan är helt omoderna. “Vanlig” telefoni, “vanlig” mobiltelefoni, SMS och e-post som skickas via registrerade Internetoperatörers e-postservrar. Om jag fattat detta rätt skulle skurkarna alltså i lugn och ro kunna använda iMessage i sina mobiltelefoner för att texta, Skype för att prata med varandra och e-post via en “icke-operatör” (t.ex. ett webbhotell) eller någon av alla hundratals andra e-posttjänster som finns, exempelvis GMail eller Hotmail.

Frågan man måste ställa sig blir till slut om det egentligen är någon brottslighet som kommer att infångas via trafikdatalagring om det är så här snävt det hela ska tolkas. ? andra sidan, om man ska vidga tolkningen blir det nästan löjligt mycket som måste lagras – alla anslutningar till alla webbtjänster i hela världen (för de skulle ju kunna vara e-mail/meddelandetjänster), ja egentligen alla IP-paket överhuvudtaget, eftersom det är mycket svårt utan att göra en ordentlig analys av paketens innehåll att veta om det är “mänsklig” kommunikation som gömmer sig där eller inte.

Till sist det här med VPN. Om man är det minsta orolig för att bli “datalagrad” – kan man då använda sig av en VPN-tjänst för att kryptera trafiken från sin egen dator till Internet och på köpet bli anonymiserad, eller kommer även VPN-tjänster att omfattas av direktivet och därmed tvingas lagra information om sina kunder och deras trafik? Daniel Westman svarar på Twitter att han tycker att det är oklart. Så den nöten återstår att knäcka, även om jag efter att ha läst igenom PTS rapporter tycker det ser tveksamt ut.

Som jag sa inledningsvis: Jag är inte jurist. Jag har säkert fel i massor av ovanstående slutsatser och en hel del är ju rena gissningar från min del (och andras). Om du som läser detta har möjlighet att sprida mer ljus över frågan, skriv gärna en kommentar!

/M;

8 thoughts on “Datalagringsdirektivet – vilka måste lagra vad?”

  1. Givetvis är du inte jurist. Det är inte våra politiker heller. ?ndå har de beslutat i frågan, utan att ha den minsta aning om vad dom beslutat om. Kommer de sätta fast några brottslingar? tveksamt. Kommer oskyldiga att drabbas? Med högsta sannolikhet.

  2. Det var ett långt inlägg. Jag skall erkänna att jag inte läst allt, men jag har pratat med PTS om vad som är; “Allmänna kommunikationsnät”. På PTS hänvisar man till sin webbsida, och den förklaring som ges där, men man påpekar att saken ännu inte prövats i domstol, och att det är upp till mig att göra min egen tolkning huruvida jag driver ett sådant nät.

    Nu blev det bara mer förvirrande, men jag skulle tro att så länge man inte marknadsför en kommunikationstjänst riktad mot okända personer, så är det ok.

  3. “Det betyder att din webbhistorik inte behöver lagras hos din operatör, vilket det tidigare varit tal om.”

    Också hört det löst från någon men aldrig hittat nån vettig källa till detta. Läser man EU-direktivet så är det uppenbart att detta inte är fallet. Var har du hört det?

    1. Mycket bra fråga, det har bara blivit en sån där “allmän sanning” tror jag. Jag ska försöka nysta i det lite mer.

      1. Det stämmer att det varit tal om webbhistorik, men inte sedan direktivet röstades igenom. Om du går tillbaka till utkastet till rambeslut (rådsdokument 8958/04) så ville då Bodström att bland annat följande uppgifter skulle lagras:
        “Internetprotokoll, inklusive e-post, protokoll för rösttjänster över Internet, webben, protokoll för filöverföring, protokoll för nätöverföring, protokoll för överföring av hypertext, rösttjänster över bredband och undersekvenser av Internetprotokollnummer – nätadressöversättningsuppgifter.” (eller kort sagt: nästan allt)

        Om det är någon som på senare tid har påstått något liknande om datalagringsdirektivet så har de varit felinformerade.

        Det som fortfarande är litet av en gåta är dock begreppet meddelandehantering. Det skulle ju kunna omfatta nästan vad som helst. Säg att en internetleverantör av någon anledning använder sig av deep-packet inspection. Skulle den i detta fall inte kunna sägas behandla även data på de högre kommunikationslagren? Det skulle ju kunna öppna upp för helt oförutsedda typer av trafikdata om regeringen bara får för sig att ändra förordningen som reglerar detta.

  4. Märkligt att Datalagrinsgdirektivet skall implementeras så här fort, från 1:a maj.

    Medans Bemanningsdirektivet från EU, som skulle stärka arbetstagarnas rättigheter, vägrar regeringen att implementera i svensk lag trots att detta skulle ha gjorts senast den 5 december 2011.

  5. Snubblade över din sida när jag själv letade lite information. Vet inte om du läst den här, men i högsta grad relaterat till din frågeställning.

    http://www.riksdagen.se/sv/Dokument-Lagar/Lagar/Svenskforfattningssamling/Svensk-forfattningssamling-201_sfs-2012-145/

    jag gillar formuleringen av paragraf sju. enligt mitt logiska tänkande är det alltså inte ok att begära ut uppgifter om min sexuella läggning utan att jag kombinerar det med annan etnisitet t ex heterosexuell svensk man ? …

    det verkar vara svårt att få ut uppgifter också, speciellt om jag bildar en ‘mellanfolklig organisation’.. ska man tolka det som att jag kan starta en förening eller ett politiskt parti med mindre populära grupperingar och begära ut uppgifter om jag bara ställer frågorna på rätt sätt?

    *rysningar*

    de hänvisar till PUL, men det finns undantag där också som i princip gör den värdelös om man synar den noga. att skydda någons integritet väger lägre än att ett företag vill begära ut uppgifter om mig som person och om jag anser att det är nödvändigt i mina system att dela personuppgifter och andra känsliga uppgifter så kan jag göra det.

    (inte jag heller är jurist)

  6. Hej,
    Ovan är en bra artikel. Bara för att tydliggöra Binero webbhotells ståndpunkt så fick du fel info ovan, Måns. Vi anser inte att det är klarlagt att webbhotell som inte tillhandahåller elektroniska kommunikationstjänster utöver webbsidor och mail skulle vara anmälningspliktiga enligt LEK. Ref*
    Vänliga hälsningar,
    Erik Arnberg
    Marknadsansvarig
    Binero webbhotell
    *https://twitter.com/mansj/status/183098344720179201

Leave a Reply

Your email address will not be published.