Ny lagstiftning om elektroniska bevis: Det innebär den för tjänsteleverantörer
I juli och augusti 2026 börjar EU:s nya regelverk om elektroniska bevis att tillämpas. Syftet med de nya reglerna är att göra det snabbare och enklare för brottsbekämpande myndigheter inom EU att få tillgång till elektroniska bevis i gränsöverskridande brottsutredningar.
Allt fler brott utreds med hjälp av digital information, samtidigt som uppgifterna ofta lagras hos tjänsteleverantörer i andra länder. Hittills har förfrågningar om att ta del av sådana uppgifter ofta behövt gå via ömsesidig rättslig hjälp mellan stater, vilket lett till långa handläggningstider och osäkerhet kring vilket lands regler som gäller. Med de nya regelverken, förordning (EU) 2023/1543 (”E-bevisförordningen”) och direktiv (EU) 2023/1544 (”E-bevisdirektivet”), införs ett harmoniserat system där behöriga myndigheter i en medlemsstat i vissa fall kan vända sig direkt till en tjänsteleverantör i en annan medlemsstat för att begära ut uppgifter.
I Sverige kommer direktivet att genomföras genom lagen om utsedda verksamhetsställen och rättsliga ombud för inhämtning av elektroniska bevis som förväntas träda i kraft delvis den 1 juli 2026 och delvis den 19 augusti 2026 (prop. 2025/26:147). Nedan redogör vi för vad tjänsteleverantörer behöver känna till inför ikraftträdandet.
Vad förändras?
EU inför ett gemensamt regelverk för gränsöverskridande tillgång till elektroniska bevis i brottmål. Brottsbekämpande myndigheter kommer i många fall att kunna begära ut uppgifter direkt från en tjänsteleverantör eller genom ett rättsligt ombud som tjänsteleverantören utser, utan att behöva gå via de nationella myndigheterna i det land där leverantören är etablerad.
Vad är elektroniska bevis?
Till elektroniska bevis räknas:
- Abonnentuppgifter (vem som använder en tjänst).
- Trafikuppgifter (hur, när och var en tjänst har använts).
- Innehållsdata (exempelvis e-post, meddelanden eller annat lagrat innehåll).
Två centrala typer av beslut
Behöriga myndigheter kan utfärda två typer av beslut.
Bevarandeorder (eng. ”Preservation Order”)
- Tjänsteleverantören ska vid en bevarandeorder omedelbart säkerställa att uppgifter inte raderas eller ändras.
- Uppgifterna ska enligt artikel 11 i E-bevisförordningen bevaras i 60 dagar för att möjliggöra fortsatt rättslig handläggning, med möjlighet till förlängning med ytterligare 30 dagar om det är nödvändigt för att en utlämnandeorder ska kunna utfärdas.
Utlämnandeorder (eng. ”Production Order”)
- Tjänsteleverantören ska vid en utlämnandeorder lämna ut specificerade uppgifter som behövs i en brottsutredning eller ett straffrättsligt förfarande.
- Relativt korta svarstider kommer att gälla, där tjänsteleverantörer som huvudregel ska lämna ut uppgifterna inom 10 dagar, och inom 8 timmar vid nödsituationer.
Vilka omfattas?
Reglerna gäller tjänsteleverantörer som erbjuder sina tjänster inom EU och som tillhandahåller:
- Elektroniska kommunikationstjänster;
- Tjänster för internetdomännamn och IP-numrering;
- Andra informationssamhällets tjänster som möjliggör kommunikation mellan användare, eller lagring/behandling av data där lagringskomponenten är avgörande.
Regelverket kan även omfatta leverantörer som är etablerade utanför EU men erbjuder sina tjänster till användare inom EU.
Undantagna från regelverket är finansiella tjänster och tjänsteleverantörer som endast erbjuder tjänster inom samma land som de är etablerade.
Organisatoriska krav
Berörda tjänsteleverantörer ska bland annat:
- Utse ett utsett verksamhetsställe eller ett rättsligt ombud;
- Anmäla det utsedda verksamhetsstället eller det rättsliga ombudet till behörig myndighet;
- Säkerställa att det finns rutiner för att kunna ta emot, hantera och besvara begäranden inom de lagstadgade tidsfristerna; och
- Ge det utsedda verksamhetsstället eller rättsliga ombudet nödvändiga befogenheter och resurser för att kunna fullgöra sina uppgifter.
Risker vid bristande efterlevnad
Tjänsteleverantörer som inte uppfyller sina skyldigheter kan bli föremål för förelägganden och administrativa sanktioner. Enligt det svenska regelverket kan sanktionsavgifter i vissa fall uppgå till 2 procent av företagets globala årsomsättning.
I Sverige har Post- och telestyrelsen (”PTS”) föreslagits att bli s.k. centralmyndighet, och ska därmed ansvara för att kontrollera att tjänsteleverantörer som omfattas följer det nya regelverket.
Vi på Delphi följer utvecklingen.
Denna artikel är skriven av Associate Sophie Wichmann.
Relaterat innehåll