RK 2025:1
PTS har haft fog för sitt beslut att vid vite förelägga en operatör att på begäran av Polismyndigheten lämna ut uppgifter om abonnemang.
Polismyndigheten har i ett ärende vänt sig till Bahnhof AB (Bahnhof) och begärt att få uppgift om vilka som står bakom en IP-adress, så kallade NAT:ade IP-adresser. NAT är en förkortning av Network Address Translation och gör det möjligt att ansluta många datorer genom portnummer till internet med användning av en eller flera gemensamma publika IP-adresser. Bahnhof lämnade inte ut de uppgifter om IP-adress och portnummer som Polismyndigheten enligt 6 kap. 22 § första stycket 2 lagen (2003:389) om elektronisk kommunikation, LEK, begärt att få tillgång till. Polismyndigheten anmälde därför ärendet till Post- och telestyrelsen (PTS) som beslutade att inleda tillsyn mot Bahnhof.
PTS beslutade den 18 januari 2022 att med stöd av 7 kap. 5 § LEK förelägga Bahnhof att, vid vite om fem miljoner kronor, senast den 1 februari 2022 säkerställa att de uppgifter om abonnemang gällande misstanke om brott som begärs av Polismyndigheten eller annan myndighet som ska ingripa mot brottet lämnas ut även om underlag i form av portnummer saknas i samband med förfrågan.
Bahnhof överklagade PTS:s beslut till förvaltningsrätten (2024-10-07, ordförande Hedin och tre nämndemän), och yrkade att föreläggandet skulle upphävas. Bahnhof åberopade bl.a. EU-domstolens dom den 2 mars 2021 i mål C-746/18 (Prokuratuur, EU:C:2021:152) och EU-domstolens dom den 5 april 2022 i mål C-140/20 (Commissoner of An Garda Síochána, EU:C:2022:258). Förvaltningsrätten avslog överklagandet och uttalade bland annat följande. Föreläggandet är tillräckligt tydligt utformat. Det saknas därmed skäl att upphäva föreläggandet på den grunden att det inte har varit tillräckligt preciserat. Det har i målet framkommit att Bahnhof anser att bolaget inte alltid har en skyldighet att lämna ut uppgifter om abonnemang i enlighet med de krav som uppställs enligt LEK eller numera enligt lagen (2022:482) om elektronisk kommunikation, NLEK. Det finns därmed skäl att misstänka att Bahnhof även framöver inte kommer att lämna ut uppgifter till brottsbekämpande myndigheter i enlighet med de krav som uppställts i lagen. Mot denna bakgrund kan PTS:s föreläggande inte anses obefogat. De nationella svenska bestämmelserna om brottsbekämpande myndigheters tillgång till uppgifter om abonnemang rörande IP-adress står inte i strid med den praxis som finns på området från EU-domstolen eller Europadomstolen. Inte heller har det kommit fram att föreläggandet står i strid med proportionalitetsprincipen. Det saknas därför skäl att upphäva det överklagade beslutet med anledning av vad Bahnhof anfört i dessa frågor.
Bahnhof överklagade domen och yrkade att kammarrätten skulle upphäva PTS:s föreläggande samt inhämta ett förhandsavgörande från EU-domstolen i fråga om svenska myndigheters rätt enligt 9 kap. 33 § första stycket 2 NLEK att inhämta uppgifter om abonnenter till vilka viss IP-adress kan härledas vid ett visst tillfälle, är förenlig med unionsrätten mot bakgrund av EU-domstolens praxis på området.
PTS ansåg att överklagandet skulle avslås och förde fram bland annat att Bahnhof inte har visat någon omständighet som skulle utgöra grund för att upphäva PTS:s beslut.
Kammarrätten i Stockholm (2025-09-22, Liljeqvist, Braun Hotti och Johansson, referent / föredragande Lerjeborn Oudejans), yttrade:
De bestämmelser i EU:s rättighetsstadga och EU-direktiv som aktualiseras i målet har uttolkats av EU-domstolen. Kammarrätten bedömer att det inte finns behov av ytterligare klargöranden från EU-domstolen av de unionsrättsliga frågorna för att avgöra målet. Yrkandet om att hämta in ett förhandsavgörande ska därför avslås.
Det kammarrätten ska pröva är om PTS har haft fog för sitt beslut att förelägga Bahnhof att lämna ut uppgifter enligt 9 kap. 33 § första stycket 2 NLEK, som motsvarar 6 kap. 22 § första stycket 2 LEK, och om det nu finns förutsättningar att upprätthålla föreläggandet.
Den 3 juni 2022 trädde en ny lag om elektronisk kommunikation i kraft, NLEK, vilket innebar att LEK upphörde att gälla. Samma dag trädde även en ny förordning om elektronisk kommunikation i kraft (förordningen [2022:511] om elektronisk kommunikation), NFEK, vilket innebar att även förordningen [2003:396] om elektronisk kommunikation) upphörde att gälla. Några övergångsbestämmelser av betydelse för det här målet finns inte. Vid den nu aktuella prövningen är därmed NLEK och NFEK tillämpliga.
Enligt 9 kap. 31 § första stycket NLEK, som i sak motsvarar 6 kap. 20 § första stycket LEK, får den som tillhandahåller ett elektroniskt kommunikationsnät eller en elektronisk kommunikationstjänst som inte är en nummeroberoende interpersonell kommunikationstjänst, inte obehörigen föra vidare eller utnyttja det som han eller hon i samband med tillhandahållandet har fått del av eller tillgång till i form av
1 en uppgift om abonnemang,
2 innehållet i ett elektroniskt meddelande, eller
3 en annan uppgift som angår ett särskilt elektroniskt meddelande.
Enligt 9 kap. 19 § första stycket NLEK, som i sak motsvarar 6 kap. 16 a § första stycket LEK, ska den som bedriver verksamhet som ska anmälas enligt 2 kap. 1 § lagra sådana uppgifter som avses i 31 § första stycket 1 och 3 som är nödvändiga för att spåra och identifiera kommunikationskällan, slutmålet för kommunikationen, datum, tidpunkt och varaktighet för kommunikationen, typ av kommunikation, kommunikationsutrustning samt lokalisering av mobil kommunikationsutrustning vid kommunikationens början och slut.
Enligt 9 kap. 33 § första stycket 2 NLEK, som i sak motsvarar 6 kap. 22 § första stycket 2 LEK, ska den som tillhandahåller ett elektroniskt kommunikationsnät eller en elektronisk kommunikationstjänst som inte är en nummeroberoende interpersonell kommunikationstjänst och som har fått del av eller tillgång till en uppgift som avses i 31 § första stycket på begäran lämna en uppgift som avses i 31 § första stycket 1 och som gäller brottslig verksamhet eller misstanke om brott till bland annat Polismyndigheten.
PTS har med stöd av 9 kap. 9 § NFEK föreskrivit att den lagringsskyldige ska lagra uppgifter om publik ip-adress med tillhörande UDP- eller TCP-portnummer kopplat till användares ip-adress och spårbar tid för kopplingen (PTSFS 2022:14).
3.2.1 Dataskyddsförordningen
Av artikel 2.2 d i förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (dataskyddsförordningen) framgår att denna förordning inte ska tillämpas på behandling av personuppgifter som behöriga myndigheter utför i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, i vilket även ingår att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten.
3.2.2 Direktiv 2002/58/EG om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation i dess lydelse enligt direktiv 2009/136/EG
Av artikel 1.1 i direktivet framgår att syftet med detta är att harmonisera medlemsstaternas bestämmelser för att säkerställa ett likvärdigt skydd av de grundläggande fri- och rättigheterna, särskilt rätten till integritet och konfidentialitet, när det gäller behandling av personuppgifter inom sektorn för elektronisk kommunikation.
Enligt artikel 5 i direktivet ska medlemsstaterna genom nationell lagstiftning säkerställa konfidentialitet vid kommunikation och därmed förbundna trafikuppgifter via allmänna kommunikationsnät och allmänt tillgängliga elektroniska kommunikationstjänster.
Av artikel 15.1 i direktivet framgår att medlemsstaterna genom lagstiftning får vidta åtgärder för att begränsa omfattningen av de rättigheter och skyldigheter som anges i bland annat artikel 5 när en sådan begränsning i ett demokratiskt samhälle är nödvändig, lämplig och proportionell för bland annat förebyggande, undersökning, avslöjande av och åtal för brott. Medlemsstaterna får för detta ändamål bland annat vidta lagstiftningsåtgärder som innebär att uppgifter får bevaras under en begränsad period som motiveras av de skäl som fastställs i denna punkt. Alla åtgärder som avses ska vara i enlighet med de allmänna principerna i unionslagstiftningen, inklusive principerna i artikel 6.1 och 6.2 i Fördraget om Europeiska unionen.
3.2.3 EU:s rättighetsstadga
Enligt artikel 7 i rättighetsstadgan har var och en rätt till respekt för sitt privatliv och familjeliv, sin bostad och sina kommunikationer. Av artikel 8 i rättighetsstadgan framgår att var och en har rätt till skydd av de personuppgifter som rör honom eller henne och att uppgifterna ska behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund.
I artikel 11 i rättighetsstadgan regleras rätten till yttrandefrihet och informationsfrihet.
Enligt artikel 52.1 i rättighetsstadgan ska varje begränsning i utövandet av de rättigheter och friheter som erkänns i stadgan vara föreskriven i lag och förenlig med det väsentliga innehållet i dessa rättigheter och friheter. Begränsningar får, med beaktande av proportionalitetsprincipen, endast göras om de är nödvändiga och faktiskt svarar mot mål av allmänt samhällsintresse som erkänns av unionen eller behovet av skydd för andra människors rättigheter och friheter.
Av förarbetena till NLEK framgår att flera paragrafer fördes över från LEK och att dessa är utformade helt eller delvis i överensstämmelse med motsvarande paragrafer i den lagen (prop. 2021/22:136 s. 400, 505, 509 och 511).
I äldre förarbeten (prop. 2011/12:55 s. 101 och 102) till 9 kap. 33 § första stycket 2 NLEK (6 kap. 22 § första stycket 2 LEK), när skyldigheten för operatörer att lämna uppgift om abonnemang till de brottsbekämpande myndigheterna i samband med misstanke om brott utökades på så sätt att det inte längre behövde vara fråga om brott av viss svårighetsgrad, uttalade regeringen att uppgifter om abonnemang kan avse namn, adress och abonnentnummer (kataloguppgifter). I förarbetena framhölls att uppgifter som går utöver vad som kan anses som identitetsuppgifter – till exempel vilka andra IP-nummer som innehavaren har kommunicerat med, vilka hemsidor som ett visst IP-nummer har besökt och liknande uppgifter – inte omfattas av bestämmelsen.
Av äldre förarbeten (prop. 2018/19:86 s. 43, 44, 98 och 99) till bestämmelserna i bland annat 9 kap. 19 § första stycket NLEK (6 kap. 16 a § första stycket LEK), när bestämmelserna om datalagring begränsades i anledning av EU-domstolens dom i målet Tele2 Sverige och Watson m.fl., framgår bland annat följande. För utredningen av brott begångna över internet är uppgifter om abonnemang, dvs. vilken person som har en specifik IP-adress eller annan unik användaradress vid varje tillfälle, den absolut viktigaste informationen. Uppgifter om abonnemang för internet utgörs i princip av uppgift om vilken abonnent som vid varje tidpunkt var användare av en specifik IP-adress. Dessa uppgifter bedöms inte som särskilt integritetskänsliga, eftersom de endast anger att ett abonnemang någon gång har getts internetåtkomst. Tillgång till endast de uppgifter som ska lagras enligt datalagringsreglerna kan aldrig innebära att det kan kartläggas hur en person har trafikerat internet. Det är strängt nödvändigt att lagra sådana uppgifter som gör att det vid internetåtkomst går att spåra och identifiera kommunikationskällan, såsom uppgift om IP-adress och uppgift om abonnent och registrerad användare. Uppgifterna bör således alltjämt omfattas av lagringsskyldigheten. Regeringen gjorde även bedömningen att EU-domstolens dom framför allt rör trafikuppgifter och lokaliseringsuppgifter och inte specifikt uppgifter om abonnemang, att regleringen gällande tillgången till uppgifter om abonnemang är förenlig med unionsrätten och Sveriges internationella åtaganden i övrigt samt att det inte finns skäl att förändra förutsättningarna för de brottsbekämpande myndigheternas tillgång till uppgifter om abonnemang.
Av förarbetena till den nya lagen om elektronisk kommunikation (prop. 2021/22:136 s. 354 och 355) framgår att den som tillhandahåller ett elektroniskt kommunikationsnät eller en elektronisk kommunikationstjänst är skyldig att under vissa förutsättningar lämna ut uppgifter som rör abonnemang eller andra uppgifter som angår ett särskilt elektroniskt meddelande. Det gäller bland annat att lämna ut uppgifter om abonnemang som gäller misstanke om brott till brottsbekämpande myndigheter. Myndigheternas möjligheter att använda sig av de nu nämnda verktygen är samhällsviktiga. Bristande efterlevnad av reglerna riskerar att få stora och potentiellt oåterkalleliga konsekvenser för både enskilda och det allmänna. Det har bland annat förekommit att förundersökningar fått läggas ned i brist på bevis för att företag inte följt bestämmelserna om utlämnande av till exempel abonnemangsuppgifter. I sådana fall kan den inträffade skadan inte repareras av att myndigheten förelägger ett företag att framöver följa lagen. Det är synnerligen viktigt för det allmänna att det finns starka incitament att följa dessa regler.
3.4.1 Rättsfall från kammarrätten
Kammarrätten i Stockholm har i avgörandet RK 2018:1, som rörde frågan om PTS haft fog för sitt beslut att förelägga Bahnhof att lämna ut uppgifter enligt 6 kap. 22 § första stycket 2 LEK, uttalat bland annat följande.
Uppgifter om abonnemang enligt 6 kap. 20 § första stycket 1 LEK utgörs av exempelvis uppgifter om namn, adress, abonnentnummer och uppgifter om IP-adress som kan användas för att identifiera en abonnent. I förarbetena har framhållits att uppgifter som går utöver vad som kan anses som identitetsuppgifter, till exempel vilka andra IP-nummer som innehavaren har kommunicerat med, vilka hemsidor som ett visst IP-nummer har besökt och liknande uppgifter, inte omfattas (prop. 2011/12:55 s. 102). De uppgifter som de brottsbekämpande myndigheterna därmed kan få tillgång till enligt 6 kap. 22 § första stycket 2 LEK utgör alltså en begränsad kategori uppgifter som inte i sig kan användas för omfattande kartläggning av personers privatliv och som dessutom i många fall finns allmänt tillgängliga. Sådana uppgifter kan sägas vara av samma slag som den typ av uppgifter som EU-domstolen hade att bedöma i domen den 2 oktober 2018 i mål C-207/16 (Ministerio Fiscal, EU:C:2018:788).
En behandling av personuppgifter som innebär att bland annat Polismyndigheten ska ges tillgång till uppgifter om abonnemang kan inte anses vara särskilt integritetskänslig. Det ingrepp som det är fråga om i de grundläggande rättigheterna enligt artiklarna 7 och 8 i EU:s rättighetsstadga bedöms därför inte vara av allvarlig art. Eftersom ingreppet inte är av allvarlig art följer det av EU-domstolens praxis att en lagstiftning som ger tillgång till uppgifter om abonnemang inte behöver begränsas till att endast gälla situationer då det rör sig om att utreda allvarliga brott. Av unionsrätten följer inte heller något krav på att den tillgången till uppgifter ska vara underkastad förhandskontroll av en domstol eller en oberoende förvaltningsmyndighet. Den skyldighet som avses i föreläggandet och som innebär att Bahnhof på begäran av bland annat Polismyndigheten ska lämna ut uppgifter om abonnemang står därför inte i strid med artikel 15.1 i direktiv 2002/58/EG jämförd med artiklarna 7, 8 och 52.1 i EU:s rättighetsstadga.
3.4.2 Rättsfall från EU-domstolen
EU-domstolen har i flera domar uttalat sig i frågor som rör lagring och myndigheters tillgång till trafik- och lokaliseringsuppgifter i samband med förebyggande, utredning, upptäckt och lagföring av brott.
Av EU-domstolens dom i målet Ministerio Fiscal framgår bland annat följande. Identitetsuppgifter för innehavare av SIM-kort ingår bland trafikuppgifter som de definieras i direktiv 2002/58/EG och omfattas av tillämpningsområdet för direktivet (punkterna 41 och 42). Att ge myndigheter tillgång till sådana uppgifter utgör ett ingrepp i de grund-läggande rättigheterna enligt artiklarna 7 och 8 i EU:s rättighetsstadga (punkt 52). Det ingrepp i de grundläggande friheterna enligt artiklarna 7 och 8 i stadgan som är följden av myndigheters åtkomst till uppgifter om fysisk identitet som lagras av leverantörer av elektroniska kommunikationstjänster, utan att dessa kan kopplas till information om utförda kommunikationer, kan inte anses som allvarligt eftersom dessa uppgifter sedda som en helhet inte gör det möjligt att dra några precisa slutsatser om privatlivet för de personer vilkas uppgifter berörs. Denna åtkomst kan därför motiveras av ändamålet att förebygga, undersöka, avslöja och lagföra brott i allmänhet (punkterna 54, 57 och 60).
EU-domstolen har i målet La Quadrature du Net II (dom den 30 april 2024 i mål C-470/21, EU:C:2024:370) prövat frågan om det är motiverat enligt artikel 15.1 i direktiv 2002/58/EG att en myndighet ges åtkomst till uppgifter om fysisk identitet som är förbunden med en IP-adress, som lagras av leverantörer av elektroniska kommunikationstjänster i syfte att bekämpa upphovsrättsintrång på internet.
EU-domstolen kom sammanfattningsvis fram till att artikel 15.1 i direktiv 2002/58/EG jämförd med artiklarna 7, 8, 11 och 52.1 i EU:s rättighetsstadga, ska tolkas så att den inte utgör hinder för en nationell lagstiftning som ger den myndighet som ansvarar för skyddet av upphovsrätt och närstående rättigheter mot intrång på internet åtkomst till uppgifter, som lagrats av leverantörer av allmänt tillgängliga elektroniska kommunikationstjänster, avseende den fysiska identitet som är förbunden med IP-adresser som i ett tidigare skede samlats in av upphovsrättsorganisationer, för att myndigheten ska kunna identifiera innehavarna av de IP-adresser som använts för handlande som kan utgöra sådana intrång, och för att myndigheten, i förekommande fall, ska kunna vidta åtgärder mot nämnda IP-adressinnehavare, under förutsättning att denna lagstiftning uppfyller vissa i domen närmare preciserade förutsättningar.
För att det av PTS beslutade vitesföreläggandet ska upprätthållas krävs det att ett antal förutsättningar är uppfyllda. För det första behöver föreläggandet i sig vara tillräckligt preciserat och PTS måste ha haft befogad anledning att utfärda det. Därefter uppkommer frågan om föreläggandet har stöd i svensk rätt. Till sist är frågan om föreläggandet är förenligt med unionsrätten och Sveriges internationella åtaganden i övrigt.
Kammarrätten anser att föreläggandet är tydligt preciserat. Det saknas därmed skäl att upphäva föreläggandet på grund av att det inte har varit tillräckligt preciserat.
Det har i målet framkommit att Bahnhof anser att bolaget inte alltid har en skyldighet att lämna ut uppgifter om abonnemang i enlighet med de krav som uppställs enligt LEK, eller numera NLEK. Det finns därför skäl att anta att Bahnhof även framöver inte kommer att lämna ut uppgifter till brottsbekämpande myndigheter i enlighet med de krav som uppställts i lagen. Mot denna bakgrund har PTS haft fog för sitt föreläggande.
Skyldigheten att lagra uppgifter om abonnemang enligt bestämmelserna i NLEK är generell och odifferentierad (jfr RK 2018:1). Reglerna om lagring av abonnemangsuppgifter, inbegripet IP-adresser, har inte enbart till syfte att bekämpa grov brottslighet, utan brottsbekämpande myndigheter har enligt 9 kap. 33 § första stycket 2 NLEK även rätt att begära ut lagrade uppgifter om abonnemang vid misstanke om brott i allmänhet. Bestämmelserna i 9 kap. 33 § första stycket 2 NLEK (6 kap. 22 § första stycket 2 LEK) om tillgång till abonnemangsuppgifter har motiverats med att de brottsbekämpande myndigheterna, för att det ska vara möjligt att utreda brott, har ett stort intresse av att få tillgång till uppgifterna (se till exempel prop. 2011/12:55 s. 102 och 103 samt prop. 2021/22:136 s. 354 och 355). Det finns mot denna bakgrund stöd i svensk rätt för att utfärda det aktuella föreläggandet.
De svenska bestämmelserna om datalagring och myndigheters tillgång till lagrade uppgifter är en implementering av unionsrätten och en följd av EU-domstolens rättspraxis inom området. Lagringsskyldigheten för operatörer av trafik- och lokaliseringsuppgifter i NLEK har efter EU-domstolens dom den 21 december 2016 i de förenade målen C-203/15 och C-698/15 (Tele2 Sverige och Watson m.fl., EU:C:2016:970) begränsats och differentierats till vad som är strängt nödvändigt. De avgöranden från EU-domstolen och Europadomstolen som Bahnhof har hänvisat till har gett förtydliganden av tillämpningen av dessa bestämmelser. Kammarrätten har i avgörandet RK 2018:1 funnit bland annat att skyldigheten för en operatör att lämna ut uppgifter om abonnemang på begäran av bland annat Polismyndigheten inte står i strid med den unionsrättsliga regleringen samt relevanta artiklar i EU:s rättighetsstadga. Bahnhof har argumenterat för att denna slutsats är felaktig bland annat utifrån senare tillkommande avgöranden från EU-domstolen, senast uttryckt i målet La Quadratur du Net II.
De aktuella uppgifterna om abonnemang som PTS:s föreläggande grundar sig på rör den fysiska identiteten på användare som vid en viss tidpunkt innehade en viss IP-adress. Uppgifterna är av samma slag som den typ av uppgifter som var föremål för kammarrättens prövning i RK 2018:1. Åtkomsten till uppgifterna har begärts av det enda ändamålet att identifiera de innehavare som använt en viss publik IP-adress. De uppgifter som operatörerna är skyldiga att lagra och som berörda myndigheter kan få tillgång till enligt NLEK är en begränsad kategori uppgifter som inte i sig kan användas för omfattande kartläggning av personers privatliv.
EU-domstolens uttalanden i målet La Quadrature du Net II talar för att den svenska regleringen om operatörers skyldighet att lagra uppgifter om abonnemang och myndigheters tillgång till dessa uppgifter är förenlig med unionsrätten. EU-domstolen har i målet tydliggjort att medlemsstater under vissa förutsättningar får ålägga leverantörer av elektroniska kommunikationstjänster att, generellt och odifferentierat, lagra uppgifter om IP-adresser för att bekämpa även brott som inte är att anse som allvarliga. Domstolens uttalanden är, även om målet rörde en myndighets åtkomst till uppgifter i syfte att utreda immaterialrättsintrång, relevanta i fråga om sådan lagring av nu aktuella uppgifter som sker i syfte att bekämpa brott i allmänhet. Det har inte kommit fram att de nu gällande svenska reglerna om lagring och åtkomst till uppgifter om abonnemang är oförenliga med de förutsättningar som EU-domstolen anser är nödvändiga för sådan lagstiftning eller att de är oförenliga med direktiv 2002/58/EG och relevanta artiklar i EU:s rättighetsstadga. Ett utlämnande av uppgift om vem som står bakom en viss IP-adress vid ett visst tillfälle utgör inte ett allvarligt ingrepp i de grundläggande rättigheterna som garanteras i EU:s rättighetsstadga eller i EKMR. Det är därför inte nödvändigt med en förhandskontroll av domstol eller annan oberoende myndighet innan uppgifterna kan lämnas ut till brottsbekämpande myndigheter. PTS:s föreläggande är mot denna bakgrund förenligt med unionsrätten.
PTS:s föreläggande har tillkommit på ett lagligt sätt och det strider inte mot vare sig svensk rätt, unionsrätten eller Sveriges internationella åtaganden i övrigt. Överklagandet ska därför avslås.
Kammarrätten avslår överklagandet.