Frågor och svar om datalagring

Operatörer som bedriver anmälningspliktig verksamhet är skyldiga att lagra uppgifter för brottsbekämpande ändamål (2 kap. 1 § lagen om elektronisk kommunikation).

Operatörer är skyldiga att lagra uppgifter för att kunna bistå brottsbekämpande myndigheter med information vid utredning av brott. Regler för detta har funnits sedan början på 1990-talet.

Enligt regeringens bedömning har uppgifter om elektronisk kommunikation stor betydelse i nästan all verksamhet som rör allvarlig brottslighet. Utredningar från 2005 konstaterade att trafikuppgifter ofta utgjort den information som var viktigast för att föra utredningar om grövre brott framåt. (SOU 2005:38 s. 322–324).

I sin proposition anför regeringen att vid utredningen av internetrelaterad brottslighet är uppgifter om elektronisk kommunikation ofta avgörande för att möjliggöra identifiering av en misstänkt gärningsman. Möjligheten till anonymitet och frånvaro av annan teknisk bevisning vid sådan brottslighet medför därför att uppgifter om elektronisk kommunikation i många fall inte kan undvaras vid utredningen, om sådan brottslighet ska kunna utredas.

Operatören som tillhandahåller kommunikationstjänsten till slutanvändaren (abonnenten) är skyldig att lagra uppgifterna.

Andra aktörer, exempelvis nätoperatör eller kommunikationsoperatör, som kan vara inblandade i en och samma kommunikation, är skyldiga att lagra uppgifter som relaterar till slutanvändaren (abonnenten) om dessa uppgifter redan genereras och behandlas i verksamheten. Det kan till exempel vara uppgifter såsom användares IP-adress.

Lagringsskyldigheten innebär ingen skyldighet att skaffa uppgifter, den omfattar endast skyldigheten att under en viss tid lagra uppgifter som genereras eller behandlas av aktören. Denna lagringsskyldighet gällde enligt tidigare regler och PTS bedömer att de nya reglerna inte syftar till att ändra detta.

Operatörer som omfattas av lagen ska lagra uppgifter som genereras eller behandlas vid telefonitjänst och meddelandehantering via mobil nätanslutningspunkt (exempelvis sms, mms) samt vid internetåtkomst enligt 9 kap. 19 § lagen och elektronisk kommunikation (2022:482).

Operatörer ska lagra uppgifter om abonnemang och andra uppgifter som angår ett särskilt meddelande (trafikuppgifter) som är nödvändiga för att spåra och identifiera

• kommunikationskällan
• slutmålet för kommunikationen
• datum
• tidpunkt
• varaktighet för kommunikationen
• typ av kommunikation
• kommunikationsutrustning
• lokalisering av mobil kommunikationsutrustning vid kommunikationens början och slut.

Vilka uppgifter som ska lagras mer i detalj framgår av förordningen om elektronisk kommunikation (2022:511), 7-8 §§.

Lagringstiden varierar beroende på vilken typ av uppgift det handlar om.

Uppgifter som genereras eller behandlas vid telefonitjänst och meddelande-hantering (exempelvis sms, mms) via mobil nätanslutningspunkt ska lagras i sex månader.

Lokaliseringsuppgifter ska lagras i två månader.

Uppgifter som genereras eller behandlas vid internetåtkomst ska lagras i tio månader.

Om uppgifterna identifierar den utrustning där kommunikationen slutligt avskiljs från den lagringsskyldige till den enskilda abonnenten ska dessa uppgifter lagras i sex månader. Se 9 kap. 22 § lagen och elektronisk kommunikation (2022:482).

De säkerhetsregler som gäller vid lagring av uppgifter framgår av PTS föreskrifter och allmänna råd om säkerhet i nät och tjänster, PTSFS 2022:11 8 kap. 2 §.

Utifrån den lagstiftning och bestämmelser som omfattar PTS verksamhet så finns ingen reglering avseende bredbandsleverantörers tilldelning av IP-adresser till sina kunder, vare sig det är en dynamisk eller statisk IP-adress.

Vi tilldelar inte IP-adresser och har inga uppgifter om vem som har en specifik IP-adress.

Den organisation som tilldelar block av IP-adresser till operatörer (ISP) och andra organisationer i Europa är RIPE NCC.

RIPE NCC

NAT (Network Adress Translation) är en adressöversättningsteknik som innebär att ett större antal abonnenter samtidigt delar på en eller ett begränsat antal IP-adresser. Användning av NAT är ett sätt för operatörer att hantera bristen på IP-adresser.

Enligt föreskriften PTSFS 2022:14 ska operatörer lagra publik IP-adress med tillhörande UDP- eller TCP-portnummer kopplat till användares IP-adress och spårbar tid för kopplingen. Föreskrifterna trädde i kraft den 1 april 2020 och har uppdaterats med redaktionella ändringar 15 november 2022.

När operatörer använder NAT-teknik (Network Adress Translation) delar ett större antal abonnenter på samma publika IP-adress. Det innebär att det inte går att identifiera en abonnent med enbart information om IP-adress.

Enligt LEK har den enskilde leverantören endast en skyldighet att lagra sådana uppgifter som denne någon gång genererar eller behandlar.

Det innebär att leverantörer som tillhandahåller internetåtkomst till kunder, där kunden själv administrerar tilldelningen av privata IP-adresser med NAT-teknik, endast har en lagringsskyldighet för trafiken till/från företagets publika IP-adress.

Syftet med föreskriften PTSFS 2022:14 är att förtydliga vilken annan uppgift än IP-adress som operatörer behöver lagra vid användning av NAT. PTS bedömer att det blir tydligare för operatörerna om vi reglerar vad som behöver lagras för att uppfylla lagkraven.

Tydliga regler minskar risken för att operatörerna lagrar för mycket eller för lite information. Operatörens tekniska lösning för NAT avgör inte heller vilka uppgifter som lagras eller inte lagras.

Uppgifterna ska lagras i tio månader, eftersom det är uppgifter som genererats eller behandlats vid internetåtkomst.