Foto: Nils-Erik Larson

Vem du ringer. Vem du sms:ar. Vem du mejlar. Var du jobbar. Var du sover. Var du går. Vem du är.

Svenska staten tvingar Internet- och teleoperatörer att massövervaka samtliga svenska medborgare.

Lagen om trafikdatalagring är Sveriges implementation av EU:s datalagringsdirektiv. Direktivet revs upp av EU-domstolen i april 2014. Domstolen fann att direktivet stred mot grundläggande mänskliga rättigheter. Trots det fortsätter datalagringen i Sverige.

Vad lagras?

Internet- och teleoperatörer är tvungna att lagra information om följande:

  • Alla dina telefonsamtal – både fast och mobilt
  • Alla dina sms
  • All din epost
  • Dina mobilpositioner
  • Dina nätuppkopplingar

Allt detta ska sparas i sex månader.

"Enkelt uttryckt kan man säga att de trafikuppgifter som ska sparas svarar på frågor om vem som kommunicerade med vem, när det skedde, var de som kommunicerade befann sig och vilken typ av kommunikation som användes (t.ex. sms eller telefonitjänst)."

Post- och telestyrelsen (PTS)

6 kap. LEK (Lagen om elektronisk kommunikation):

16 a § Den som bedriver verksamhet som är anmälningspliktig enligt 2 kap. 1 § är skyldig att lagra sådana uppgifter som avses i 20 § första stycket 1 och 3 som är nödvändiga för att spåra och identifiera kommunikationskällan, slutmålet för kommunikationen, datum, tidpunkt och varaktighet för kommunikationen, typ av kommunikation, kommunikationsutrustning samt lokalisering av mobil kommunikationsutrustning vid kommunikationens början och slut.

Skyldigheten att lagra uppgifter enligt första stycket omfattar uppgifter som genereras eller behandlas vid telefonitjänst, meddelandehantering, internetåtkomst och tillhandahållande av kapacitet för att få internetåtkomst (anslutningsform). Även vid misslyckad uppringning gäller skyldigheten att lagra uppgifter som genereras eller behandlas.
[…]
16 d § Uppgifter som avses i 16 a § ska lagras i sex månader räknat från den dag kommunikationen avslutades.[…]
[…]
16 f § Den som är skyldig att lagra uppgifter enligt 16 a § ska bedriva verksamheten så att uppgifterna utan dröjsmål kan lämnas ut och så att verkställandet av utlämnandet inte röjs. Uppgifterna ska göras tillgängliga på ett sådant sätt att informationen enkelt kan tas om hand.

Men det är ju bara metadata?

PTS och Polisen påpekar gärna att själva innehållet i en kommunikation inte sparas, utan bara metadatan – din operatör behöver till exempel inte spara det du skriver i ett sms, men information om sms:et: när du skickar det, var du är någonstans när du skickar det, vem du skickar till och var mottagaren är någonstans. Ditt samtal spelas inte in – men information om samtalet registreras: vem du ringer (eller som ringer dig), var du och samtalspartnern befinner er, hur länge samtalet varar. Och så vidare.

Men tillsammans bildar dessa små bitar av metadata ett helt pussel som målar upp en bild av dig. Den tyske politikern Malte Spitz stämde sin mobiloperatör Deutsche Telekom för att få ut den trafikdata de lagrat om honom. Datan fick han i form av en gigantisk Excel-fil. Tidningen ZEIT tog filen och gjorde en interaktiv visualisering där du kan följa Malte Spitz liv.

En och en är dessa bitar av data mestadels oviktiga och harmlösa, men tillsammans ger de vad utredare kallar för en profil: en tydlig bild över en persons vanor och preferenser, och, ja – av hans eller hennes liv.

Denna profil avslöjar när Spitz gick ner för gatan, när han tog ett tåg, när han var på ett flygplan. Den visar var han var i städerna han besökte. Den visar var han jobbade och var han sov, när han kunde nås via telefon och när han var otillgänglig. Den visar när han föredrog att prata i telefon och när han föredrog att skicka ett sms. Den visar vilka uteserveringar han tyckte om att besöka på sin lediga tid. Allt som allt avslöjar den ett helt liv.

Biermann, Kai. "Betrayed by our own data". ZEIT, 26 mars 2011.

Svenska mobiloperatörer lagrar samma information om dig. De lämnar ut profilerna till myndigheter. Profilerna går att koppla samman med andra privatpersoners profiler så att man kan se när vänner träffats, när de fikat, när de gått till bussen tillsammans och i vilka affärer de har handlat.

Faktum är att det ofta är enklare att förstå vad en kommunikation handlar om genom att titta på metadata än genom att lyssna på ett samtal eller läsa ett meddelande. Metadata är hårda fakta som maskinellt kan läsas in i databaser, samköras med olika register och användas för att bygga upp en bild av en människas sociala liv och mönster. Det är enklare att söka i massiva mängder metadata än att lyssna på massor av telefonsamtal.

Metadata berättar definitivt allt om någons liv. Om du har tillräckligt mycket metadata behöver du egentligen inte innehållet. Det är liksom lite pinsamt hur förutsägbara vi är som människor.

— Stewart Baker, tidigare chefsjurist för NSA (källa)

Juridikprofessorn David Cole upprepade Bakers kommentar i en debatt med Michael Hayden, tidigare chef för NSA. Hayden svarade att Bakers beskrivning var "absolut korrekt" – och gick ett steg längre:

"Vi dödar folk baserat på metadata."

— Michael Hayden, general i USA:s flygvapen, chef för NSA 1999–2005 (video – vid 17:53)

Men jag har rent mjöl i påsen!

"Jag har inget att dölja"-argumentet utgår från att rätten till privatliv bara handlar om att få dölja dåliga saker. Men privatliv handlar om att kunna leva ett fritt liv. Det är ett fundamentalt mänskligt behov. Det är en förutsättning för ett demokratiskt samhälle. Det är en grundläggande rättighet fastslagen i artikel 8 i Europeiska konventionen om skydd för de mänskliga rättigheterna.

Det handlar inte om privatliv kontra säkerhet. Det handlar om frihet kontra kontroll. Privatlivets helgd skyddar dig från maktmissbruk. Privatliv och integritet handlar om ditt självbestämmande, så att andra inte kan ta makten över dig.

Profilering, när man skapar bilder av människors liv och umgängeskrets, är en osäker vetenskap. Att ha "rent mjöl i påsen" kan plötsligt definieras av hur man har kontakt med vem, snarare än vad kontakten handlar om.

Särskilda grupper av personer, som romer, föräldrar med barn på vissa skolor eller människor vars vänner besöker vissa platser kan misstänkliggöras. "Grupprofiler" som kartläggningsverktyg är själva ursprunget till "skuld genom förknippning".

Och det är lättare att det blir fel än att det blir rätt.

Det är inte du som avgör vad som är rent mjöl

Övervakningssystem ser inte nödvändigtvis skillnad på rent och orent mjöl. Små avvikelser och slumpmässiga sammanträffanden blir intressanta och kan flagga dig som misstänkt. Ju mer uppgifter om dig man samlar in, desto större sannolikhet att något smutsigt går att påvisa.

Den som letar tillräckligt länge efter något misstänkt kommer att hitta det. "Övervakaren lägger inte bara pussel utan bestämmer också i hög grad vad bilden ska föreställa."1

Övervakningssystem byggs för att upptäcka avvikelser från nuvarande normer, inte för att acceptera framtiden. Pride-paraden och dess deltagare är – i Sverige – säkra idag, men hade inte varit det om man kunnat kartlägga och ödelägga det gemensamma engagemang som ledde oss fram hit. Hade dagens övervakningssystem funnits på 50- och 60-talet hade homosexualitet fortfarande varit olagligt. Orättvisa lagar måste kunna brytas för att samhället ska gå framåt. Det vore mycket naivt att tro att våra nuvarande lagar är de bästa av lagar.

Vad som är rent mjöl kan snabbt ändras. Agrell skriver om hur praktiskt taget alla utlänningar i Sverige 1940 blev misstänkta per definition för statsfientlig verksamhet och hur en persons blotta existens kunde vara skäl nog för internering; hur efter 11 september tidigare obetydliga saker som etnicitet, resemönster och släktrelationer plötsligt blev potentiella varningssignaler.

All övervakning måste ses i ljuset av hur den kan utnyttjas av en värre regim än den vi har i dag. I Europa är auktoritära extremistpartier på frammarsch. Att ett sådant parti kommer till makten och kan använda en färdig massövervakningsinfrastruktur som det är för sent att protestera mot är en mardröm.

Databaser läcker, information missbrukas

Säkerhets- och integritetsskyddsnämnden anmälde Polismyndigheten i Dalarna till åklagare för att polisen vid tre tillfällen hämtat datalagrad data utan tillstånd.

Irland använde polisen datalagrad data för att spionera på familjemedlemmar och expartners. Polisen har också anklagats för att ha sålt information till försäkringsbolag och kriminella.

Dessa är några av de exempel på fall vi känner till. Till syvende och sist är frågan: vem övervakar övervakaren? Känslig information om dig är lagrad på en mängd olika datorsystem som såväl myndigheter som vanliga IT-tekniker har tillgång till. Du kan helt enkelt aldrig vara säker på informationen inte missbrukas.

Granskningen av myndigheternas kartläggning av individer är låg. Politiskt ses varken profiler eller kartläggning av beteenden och vänskapskretsar som tillräckligt allvarligt, trots att myndigheterna som ägnar sig åt profilering och kartläggning uppfattar det som mer privatlivskränkande och gynnsamt för dem själva än övervakning av kommunikation.

Massövervakning är kontraproduktivt

Massövervakning skapar en falsk trygghet. När underrättelsetjänsten misslyckas, som i fallet med Charlie Hebdo, går myndigheter och politiker ut med att det är mer information som behövs: mer datalagring, centrala passagerarregister. Inte att det är analysförmågan som varit för dålig.

Saddam Hussein hade aldrig några massförstörelsevapen. Dålig underrättelseverksamhet orsakade invasionen som födde al-Qaida i Irak som blev terrorkalifatet IS. USA lyckades varken stoppa sko-, kalsong-, eller Bostonbombarna – trots att de var flaggade. Bröderna Kouachi var i kontakt med kända terrorideologer. Den yngre, Cherif Kouarchi, även dömd jihadist, den äldre militärt tränad i Jemen. Ändå kunde de bygga upp vapenlager med granatkastare i Frankrikes huvudstad. Underrättelsetjänsten skyfflade hö istället för att bevaka de fullt synliga nålarna. Ola Wong, Massövervakning skapar falsk trygghet, SvD 15/1 2015

Wilhelm Agrell, professor i underrättelseanalys vid Lunds universitet, skriver om hur det kan vara omöjligt att före en händelse göra skillnad på signaler och brus – eftersom den distinktionen helt enkelt inte finns.1 Dessutom: ju större mängder data som hämtas in, desto större blir problemet med brus.2

I sitt tal till Säkerhetspolisen den 23 januari 2015 sade inrikesminister Anders Ygeman att "möjligheten att samla och systematiskt behandla biljettinformation ska stärkas". Det tycks inte spela någon roll att inga terrorattacker begåtts av personer som hade kunnat spåras genom passagerarregister om sådana funnits.

En rapport från Europarådets parlamentariska församling från januari 2015 kom fram till att massövervakning både hotar grundläggande mänskliga rättigheter och i praktiken hjälper terrorister.

Massövervakning verkar inte ha bidragit till förhindrandet av terroristattacker, i motsats till tidigare påståenden från högt uppsatta underrättelsetjänstemän. Resurser som kan hindra attacker läggs i stället på massövervakning, vilket lämnar potentiellt farliga personer fria att agera. Rättsliga utskottet, Europarådets parlamentariska församling, Mass surveillance (rapport), 26 januari 2015
1. "Om de terrorister som genomförde attackerna den 11 september 2001 hade arbetat med flera alternativa planer (och vissa uppgifter tyder på att så var fallet) och motåtgärder mot en av dessa hade lett till att de valt ett annat alternativ, vad är det då som på förhand utgör skillnaden mellan signaler respektive brus? I ett dynamiskt förlopp där två eller flera parter reagerar på varandras åtgärder riskerar alltså varseblivandet av ett hot att visserligen eliminera detta men samtidigt leda till att något annat inträffar istället. Det som ursprungligen på goda sakliga grunder uppfattades som ett hot kommer då i efterhand att framstå som brus och endast en mycket ingående kännedom om planläggning och beslutsfattande på motståndarsidan kan klarlägga det rätta förhållandet." Wilhelm Agrell, Den svarta svanen och dess motståndare: Förvarningsaspekter på attentaten i Oslo och på Utøya 22 juli 2011, Försvarshögskolan 2013
2. "Detta beror dels på att informationsmängden som sådan genererar vad som skulle kunna kallas ett sorteringsbrus, dels att den intellektuella överblickbarheten snabbt riskerar att gå förlorad. Sorteringsbruset kan enklast illustreras av en vanlig Internet-sökning. Själva omfattningen av den tillgängliga informationen kan alltså skapa ett brus av oöverskådlighet, där såväl verkliga signaler som skenbara sådana går förlorade." Ibid.

VAD SOM HÄNT

Det tog sex månader för EU:s medlemsländer att komma överens om att de ville massövervaka alla i hela Europa. Särskilt ville man tvinga internetoperatörer att lagra all information om när man sagt något, vad man sagt och var man befann sig då. I vissa länder ville man också lagra all internettrafik: när man skickat mejl, vilka hemsidor man besökt, och hur länge.

Snabba förhandlingar vände på oskuldspresumptionen: plötsligt var det inte polisens uppgift att utreda medborgare som stod under misstanke, utan medborgarnas uppgift att inte bete sig på ett sätt som behövs utredas.

I fem EU-länder förklarade konstitutionsdomstolar att datalagringsdirektivet var oförenligt med demokratiska principer. "Man får inte vända på oskuldspresumptionen," sa Rumänien. "Datasäkerheten är för låg," sa Tyskland och Cypern. "Det här strider mot mänskliga rättigheter," sa både Tjeckien, Österrike och Bulgarien. "Det här kan inte rimligtvis vara en bra marknadsåtgärd," sa Irland och Slovakien.

Den 8 april 2014 förklarade till sist EU-domstolen att datalagringsdirektivet inte är förenligt med de mänskliga rättigheter som tillfaller alla europeiska medborgare. Datalagringsdirektivet ogiltigförklarades i sin helhet.

I många länder välkomnades beslutet. Men särskilt i de EU-länder som saknar konstitutionsdomstol – till exempel Sverige – har någonting annat hänt: man utnämner den nationella lagen till "sammantaget inte tillräckligt dålig".

Efter EU-domstolens dom startade PTS en intern rättsutredning för att se vilken inverkan domen har på svensk lag. Den 10 april 2014 meddelade PTS att svenska operatörer tills vidare inte var skyldiga att lagra trafikuppgifter: "PTS analys visar att det finns stora svårigheter att vidta åtgärder med stöd i datalagringsreglerna, som de är utformade i dag".

Regeringen tillsatte en enmansutredning. Sten Heckscher fick uppdraget att snabbt analysera de svenska reglernas tillämplighet i förhållande till vad EU-domstolen sagt. Den 13 juni presenterades resultatet: den "samlade bedömningen" var att Sveriges datalagring är förenlig med kravet på respekt för de grundläggande rättigheterna.

"Domstolen anser att direktivet utgör ett synnerligen allvarligt ingrepp i den grundläggande rätten till respekt för privatlivet och skydd för personuppgifter genom att kräva att dessa uppgifter ska lagras och genom att ge behöriga nationella myndigheter tillgång till dessa uppgifter. Det förhållandet att lagring och senare användning av uppgifterna sker utan att abonnenten eller den registrerade användaren underrättas härom kan ge berörda personer en känsla av att deras privatliv står under konstant övervakning." Europeiska unionens domstol, Pressmeddelande nr 54/14, 8 april 2014

EU-domstolen säger att datalagringen strider mot våra grundläggande friheter eftersom den är både kränkande, övergripande och osäker. Sten Heckscher väljer att kreativt tolka domen som att datalagring är bra om den inte sammantaget är för dålig. Den kan vara kränkande, övergripande och osäker så länge den inte är för mycket av allt samtidigt.

Tre dagar senare, den 16 juni 2014, meddelade PTS att de återigen kommer att tillämpa de svenska reglerna och tvinga alla operatörer att datalagra. Operatören Bahnhof begärde då att få ut den rättsutredning från april som låg till grund för PTS ursprungliga beslut. PTS nekade Bahnhof detta. Till sist, i december 2014, gav Kammarrätten Bahnhof rätt och PTS lämnade ut sin egen analys.

"Sammanfattningsvis gör PTS bedömningen att de svenska reglerna om lagring av trafikdata vare sig till sin omfattning eller när det gäller krav på säkerhetskydd motsvarar de krav på proportionalitet som EU-domstolen har ställt upp i sin dom. Således strider även de svenska reglerna om lagring av trafikdata mot EU:s stadga om grundläggande friheter."

— PTS (Post- och telestyrelsen), Konsekvenser av att EU-domstolen ogiltigförklarat trafikdatalagringsdirektivet (promemoria), 2014-04-10

Riksdagsvalet 2014 och regeringsskiftet ändrade inte på något. Alliansen vill fortsätta datalagra. Socialdemokraterna vill fortsätta datalagra – inrikesminister Anders Ygeman (s) är glad över att EU-domen inte påverkade Sverige. Miljöpartiet ville före valet riva upp datalagringen. Efter att de kom med i regeringen har kritiken tystnat: Mehmet Kaplan (mp), minister med ansvar för IT-frågor, säger bara att han vill vänta på att Sten Heckschers utredning ska bli klar någon gång i vår. Vänsterpartiet är fortsatt emot. Sverigedemokraterna har överhuvudtaget inte kommenterat EU-domen, vilket kan tolkas som ett passivt stöd för fortsatt datalagring.

Tystnad råder. Lagringen av data om alla svenskars telefonsamtal, sms, epost, nätuppkopplingar och mobilpositioner fortsätter.

Kontakta dina riksdagsledamöter och fråga dem varför de vill massövervaka dig och hur de kan stöda en lag som bryter mot de grundläggande rättigheter som Sverige förpliktigat sig att följa.

Masslagring av kommunikationsdata utan föregående misstanke är ofrånkomligen motstridigt med rättsstaten, oförenligt med grundläggande dataskyddsprinciper och ineffektivt. Stater som undertecknat konventionen för mänskliga rättigheter bör inte använda sig av det, och bör inte heller tvinga tredjeparter att lagra data.

Europarådets talesperson Nils Muižnieks, som ansvarar för konventionen om mänskliga rättigheter, 8 december 2014 (s. 22)

BEGÄR UTDRAG

Du har enligt 26 § personuppgiftslagen (PUL) rätt att en gång per kalenderår gratis få veta vilka personuppgifter ett företag, en organisation eller en myndighet har om dig, varifrån uppgifterna kommer, varför de har uppgifterna, och vilka de lämnar ut uppgifterna till.

För att få detta utdrag är det bara att skicka en skriftlig begäran. Informationen ska sedan lämnas till dig inom en månad, såvida det inte finns "särskilda skäl", i vilket fall informationen ska lämnas senast inom fyra månader; detta bör du i så fall få information om. Får du inget svar? Skicka en påminnelse. Fortfarande inget svar? Kontakta Datainspektionen.

Datalagringens trafikuppgifter är naturligtvis personuppgifter – oerhört känsliga sådana! Trafikuppgifter kan ofta innehålla sådant som 13 § PUL definierar som känsligt och därmed förbjuder behandling av. Lagen om elektronisk kommunikation innehåller dock specialregler som kör över PUL.

Vi hävdar bestämt att du har rätt att ta del av de uppgifter som till exempel din Internetleverantör eller mobiloperatör har lagrat om dig – precis som Malte Spitz hade rätt att ta del av sina uppgifter i Tyskland. Tyvärr kommer du förmodligen inte att få ut dessa – rättsläget är nämligen oklart.

Datainspektionen hävdar att PUL:s bestämmelse om rätt att få information inte gäller och hänvisar till 6 kap. 16 f § LEK. Post- och telestyrelsen (PTS) hänvisar i stället till 6 kap 16 c § LEK men säger att det fortfarande är oklart hur 26 § PUL förhåller sig till detta.

Oavsett vad PUL och LEK säger har vi artikel 8(2) i Europeiska unionens stadga om de grundläggande rättigheterna: "Var och en har rätt att få tillgång till insamlade uppgifter som rör honom eller henne och att få rättelse av dem." Stadgan utgör en del av primärrätten och står således normalt över all annan lagstiftning.

Om du är intresserad av att driva ett rättsfall för att få ut dina trafikdatalagrade uppgifter, kontakta oss.

Eftersom våra möjligheter att påverka politiker i frågor om rättssäkerhet är begränsade, behöver vi hitta andra metoder. Gör en markering mot företagen – begär ut dina uppgifter!

Fyll i för att skapa en PDF som du kan skriva ut

Formuläret nedan, baserat på en mall från Datainspektionen, hjälper dig att skapa begäran om registerutdrag. Fyll i och markera vilka du vill skicka till. När du klickar på "Skapa PDF" får du sedan en PDF-fil med en sida för varje mottagare, komplett med adress att skicka till. Sedan är det bara att skriva ut, signera och posta.

Du måste skicka in din begäran skriftligen. Den måste vara undertecknad.

Programmet som skapar PDF-filen körs lokalt i din webbläsare. Inget skickas till vår server. Om du vill kan du lämna vissa fält tomma och i stället skriva dem för hand efter att du skrivit ut PDF:en. Om du använder Internet Explorer 9 eller tidigare, eller har JavaScript inaktiverat, använd Datainspektionens mall.

Det är inte bara mobil- och Internetoperatörer som lagrar personuppgifter om dig. Du kan även begära utdrag från till exempel matkedjor där du har kundkort, bibliotek, betalningsförmedlare, etc.

"Den personuppgiftsansvarige är skyldig att till var och en som ansöker om det en gång per kalenderår gratis lämna besked om personuppgifter som rör den sökande behandlas eller ej. Behandlas sådana uppgifter skall skriftlig information lämnas också om
a) vilka uppgifter om den sökande som behandlas,
b) varifrån dessa uppgifter har hämtats,
c) ändamålen med behandlingen, och
d) till vilka mottagare eller kategorier av mottagare som uppgifterna lämnas ut." 26 § Personuppgiftslagen
"I 16 f § anges att ett utlämnande till polis av trafikuppgifter m.m. som lagras för brottsbekämpande ändamål (enligt 16 a §), ska ske så att det inte avslöjas att uppgifterna lämnas ut. PuL:s bestämmelse om rätt att få information gäller därmed inte.
Därutöver kan sägas att även PuL i sig innehåller en begränsning av rätten att få information. Enligt 27 § PuL gäller inte rätten till information om det är särskilt föreskrivet i lag eller annan författning att uppgifterna inte får lämnas ut till den registrerade. Exempel på sådana regler är bestämmelser om sekretess i offentlighets- och sekretesslagen, i den mån de gäller även mot den som uppgifterna avser." Epost från Datainspektionen, 14/10 2014
"När det i övrigt gäller gränsdragningen kring vilka regler i PUL som ska tillämpas i avsaknad av särskild reglering i LEK kan konsteras att det finns vissa oklarheter. En av de oklarheter som inte avgjorts inom ramen för något enskilt tillsynsärende är hur 26§ PUL ska tillämpas i förhållande till LEK och de regler som finns i 6 kap 16c§ som innebär att lagrade uppgifter endast får behandlas för utlämnande till utpekade brottsbekämpande myndigheter. Post- och telestyrelsen (PTS) har regelbundna möten med Datainspektionen (DI) vid vilka bland annat denna gränsdragningsproblematik diskuteras." Epost från Post- och telestyrelsen (PTS), 16/10 2014
Företag/organisationer du vill skicka till:

* ICAs kunddatabas hanteras av ICA Banken (ja, de särskriver sitt namn).