Datalagring

Status

Direktivet ble formelt vedtatt 15.mars 2006, og skal være implementert i medlemsstatene innen 15. september 2007. Direktivet åpner for en utsatt implementering for data knyttet til Internett til 15. mars 2009. Ved utgangen av oktober 2012 har 25 av 27 medlemsland implementert direktivet.

I Norge vedtok Stortinget vedtok 15. april 2011 at datalagringsdirektivet skulle innlemmes i EØS-avtalen. Datalagringsdirektiver er enda ikke formelt innlemmet i EØS-avtalen da utkast til EØS-komitebeslutning om å innlemme direktivet i EØS avtalen fortsatt avventer endelig avklaring på EU-siden (per utgangen av juni 2012). Saken har flere ganger blitt trukket fra dagsorden av Island, og det antas at Island vil avvente til EU har gjennomført sin revisjon av regelverket. At datalagringsdirektivet foreløpig ikke er innlemmet i EØS-avtalen har imidlertid ingen betydning for å innføre regler for datalagring i norsk lovgivning. 

Eventuelt forslag til revidert direktiv fra Kommisjonen antas å bli lagt frem innen utgangen av 2014.

Datatilsynets konsesjon til å behandle personopplysninger ble offentliggjort 18. mai 2012.

Post- og teletilsynets datalagringsforskrift har vært på høring og vil bli offentliggjort i løpet av høsten 2012.

Forslag til ny kostnadsmodell har vært på høring og en modell skal være klart i løpet av våren 2013. Sammen med JD arbeider SD med å danne et realistisk bilde av de samlede utgiftene gjennomføringen av datalagringsdirektivet medfører. Hvordan kostnadene med datalagringen skal fordeles mellom private teletilbydere og staten er foreløpig ikke avklart.

Sammendrag av innhold

Formålet med direktivet er å harmonisere de enkelte EU-medlemslands lovgivning knyttet til lagring av nærmere definerte data fremkommet ved bruk av elektronisk kommunikasjon. Hensikten er å gi justismyndighetene et verktøy for å avdekke, etterforske og rettsforfølge alvorlige kriminelle handlinger. Hva som er alvorlig kriminalitet skal i henhold til direktivet defineres av medlemslandene.

I direktivet er ”data” definert som både trafikkdata, lokaliseringsdata og abonnements- og brukerdata i tilknytning til disse. Forslaget presiserer hvilke kategorier data som skal lagres: Data som er nødvendig for å spore og identifisere kilder til kommunikasjon, data nødvendig for å spore og identifisere destinasjon, data nødvendig for å identifisere dato, tid og varighet for kommunikasjonen, data nødvendig for å identifisere type kommunikasjon, data nødvendig for å identifisere brukers kommunikasjonsutstyr og data nødvendig for å identifisere lokalisering av mobilt utstyr. Også data knyttet til mislykket oppringning skal lagres (unsuccessful call attempt). Med bruker menes enhver privatperson eller virksomhet. Innholdet i den overførte kommunikasjonen er unntatt fra direktivet. 

Direktivet krever at medlemslandene må sikre at tilbydere av offentlige elektroniske kommunikasjonsnett og -tjenester må lagre de ovennevnte data i minimum seks måneder og maksimum to år. Medlemslandene må videre sikre at tilbyderne respekterer som et minimum de prinsipper for datasikkerhet som direktivforslaget fremmer. Hver medlemsstat skal utpeke en eller flere offentlige myndigheter som skal ha ansvaret for å overvåke sikkerheten knyttet til lagring av data. Medlemslandene skal videre sikre at bevarte data blir lagret på en slik måte at de kan bli overført til kompetente myndigheter uten unødvendige forsinkelser.

Direktivet krever at medlemslandene årlig skal sørge for statistikk til EU-kommisjonen om de saker hvor informasjon har blitt gitt til kompetente myndigheter. Det skal også føres statistikk over tidsforløpet mellom dato for datalagring og dato for etterspørsel etter de lagrede data fra kompetente myndigheter og saker der anmodninger om data ikke har kunnet bli møtt.

Kommisjonen la frem sin evalueringsrapport til Europaparlamentet og Rådet 18. april 2011. Kommisjonen har senere uttalt at den ønsket å fremlegge et forslag til revidert datalagringsdirektiv i 2012. 

Arbeidet med  revisjonen er forsinket, blant annet under henvisning til at revisjonen må sees nærmere i sammenheng med kommunikasjonsverndirektivet (e-Privacy directive). Det antas nå at forslaget fra Kommisjonen vil bli lagt frem i løpet av 2014. 

Merknader

Direktivet er fremsatt under første pilar, med hjemmel i artikkel 95 i EU-traktaten. Hjemmelsbruken er en indikasjon på at direktivet i utgangspunktet er EØS-relevant, men den er ikke avgjørende. Det er ingen regel om lagringsplikt per i dag i norsk lovverk. Ekomloven § 2-7 oppstiller en rett for tilbyderne av elektronisk kommunikasjon til å lagre data inntil de ikke lenger er nødvendige for kommunikasjons- eller faktureringsformål. Når dataene ikke lenger er nødvendige for dette formålet, inntrer en sletteplikt. Paragrafen åpner for at ytterligere regler kan gis i forskrift. Ekomloven § 2-8 pålegger tilbyder å tilrettelegge for lovbestemt tilgang til informasjon. I paragrafens tredje ledd gis mulighet for at ytterligere krav til tilrettelegging, herunder innføring av plikt til å lagre trafikkdata i en bestemt periode, kan gis i forskrift.

Stortinget vedtok 15. april 2011 at datalagringsdirektivet skulle innlemmes i EØS-avtalen. Utkast til EØS-komitébeslutning om å innlemme direktivet i EØS avtalen avventer fortsatt endelig avklaring på EU-siden (per utgangen av juni 2012). Datalagringsdirektiver er således enda ikke formelt innlemmet i EØS-avtalen. Det tas sikte på at lovendringene som gjennomfører direktivet i norsk rett vil tre i kraft i løpet av 2013. Ikrafttredelsestidspunktet er utsatt på grunn av forsinkelser i arbeidet med forskrift til Politiregisterloven grunnet vanskelige arbeidsforhold og noe redusert aktivitet i Justisdepartementet etter terrorangrepet 22.juli, og utfordringer med å avklare kostnadsforholdene herunder hvordan kostnadene skal fordeles.

Rettsakten vil få administrative konsekvenser i Norge. Post- og teletilsynet og Datatilsynet vil som følge av rettsakten kunne få utvidede tilsynsoppgaver. Rettsakten vil også kunne få økonomiske konsekvenser for ekomtilbydere som skal utføre pålegg i henhold til rettsakten, og myndigheter (som justismyndigheten) avhengig av nasjonal modell for kostnadsdekning. 

Justisdepartementet og Samferdselsdepartementet nedsatt i juni 2011 et utvalg for utarbeidelse av ny kostnadsmodell, jf. Prp. 49 L (side 129-130). Utvalgets rapport ble avgitt til begge departement 1. februar 2012. Modellene har vært ute på offentlig høring med høringsfrist 19. april 2012.

Post- og teletilsynet vil offentliggjøre forskrift om datalagring med bestemmelser om hva som skal lagres, hvordan dette skal gjøres og av hvem, i løpet av høsten 2012.

Datatilsynets "Konsesjon til å behandle personopplysninger - ekomloven § 2-7 a" ble publisert 18. mai 2012.

Samferdselsdepartementet og Justis- og beredskapsdepartementet har engasjert et konsulentselskap for nærmere å utrede kostnadene ved innføringen av reglene for datalagring i Norge. Rapporten forventes fremlagt rundt årsskifte 2012/2013.

Vurdering

Datalagring er et komplisert tema som krysser faglige grenser, og det er i hovedsak tre hensyn som bør ivaretas ved utarbeidelse av norsk holdning på området. Disse er i uprioritert rekkefølge hensynet til justissektorens behov for et bedre verktøy til kriminalitetsbekjempelse, hensynet til personvern og hensynet til konkurransen på telemarkedet og til brukere og tilbydere av elektronisk kommunikasjon.

Direktivet legger føringer på hva som skal lagres og på hvordan lagringen skal skje, men overlater til nasjonale myndigheter å ta stilling til flere viktige spørsmål. Dette gjelder blant annet spørsmålet om når og under hvilke forutsetninger data skal utleveres til politiet. Det gjelder lagringstiden, som må være mellom 6 og 24 måneder, og spørsmålet om kostnader, dvs. hvem som skal betale for lagringen og uttak av data. Det er også overlatt til nasjonale myndigheter å bestemme hvem som skal føre tilsyn med ordningen og valg av teknologi for datalagring.

Regjeringen ga i regjeringskonferansen 9. februar 2006 sin tilslutning til at de nasjonale valgmulighetene som direktivet gir skal utredes nærmere før det blir tatt noen beslutning om norsk holdning til datalagring. En interdepartemental arbeidsgruppe bestående av SD (leder), JD, FAD og UD har vurdert disse problemstillingene. Post- og teletilsynet, Datatilsynet og Kripos har også deltatt i arbeidet.

Direktivet gir medlemslandene en mulighet til å be om utsettelse til 15.mars 2009 for implementering av bestemmelser om lagring av data knyttet til Internettaksess, Internettelefoni og e-post via Internett. 16 medlemsland ba om slik utsettelse. Den interdepartementale arbeidsgruppen har også vurdert dette spørsmålet.

Saken er kompleks og har tatt lengre tid å utrede enn antatt - særlig er spørsmålene om personvern, tilgangen til dataene og kostnader utfordrende.

 Diskusjonen om hjemmel og EØS-relevans

Direktivet er vedtatt under første pilar med hjemmel i artikkel 95 i EU-traktaten. Hjemmelsbruken er en indikasjon på at direktivet i utgangspunktet er EØS-relevant, men den er ikke avgjørende. Det er verdt å merke seg at Irland er i mot at direktivet ble vedtatt med denne hjemmelen, og landet reiste 6. juli 2006 sak for EF-domstolen (sak C-301/06) om datalagringsdirektivet. Irland mener artikkel 95 i EF-traktaten er ugyldig hjemmelsgrunnlag for direktivet. Hovedargumentet er at direktivets hovedformål er bekjempelse av alvorlig kriminalitet og at det derfor må hjemles i tredje søyle (politi- og justissamarbeid). EF-domstolen avsa dom i saken 10. februar 2009 og Irland fikk ikke medhold.

Vurderingen av EØS-relevans tok utgangspunkt i om direktivet i sitt innhold faller innenfor EØS-avtalens saklige virkeområde, slik dette er definert i avtalen sin hoveddel, vedlegg og protokoller. Det er flere argumenter både for og i mot EØS-relevans. Det viktigste argumentet for er at direktivet faktisk er hjemlet i første søyle og at det er ekomsektoren som reguleres. Det viktigste argumentet mot er at kriminalitetsbekjempelse har lite med markedsregulering å gjøre.  EF-domstolens dom er ikke direkte bestemmende for direktivets EØS-relevans, men både konklusjonen og premissene er relevante for vurderingen.

Spørsmålet om personvern har fått stor oppmerksomhet i denne saken. Regjeringen la fram lovproposisjon og samtykkeproposisjon til Stortinget 10. desember 2010. Stortinget vedtok 4. april 2011 at datalagringsdirektivet skal innlemmes i EØS-avtalen. Det ble samtidig vedtatt lovendringer for gjennomføring av direktivet i norsk rett.

Andre opplysninger

Stortinget har vedtatt at lovendringene skal trå i kraft senest 1. april 2012. Ikrafttredelsestidspunktet er imidlertid utsatt til 2013 på grunn av forsinkelser i arbeidet med forskrift til Politiregisterloven grunnet vanskelige arbeidsforhold og noe redusert aktivitet i Justisdepartementet etter terrorangrepet 22.juli og utfordringer med å avklare kostnadsforholdene og hvordan disse skal fordeles. Sammen med Justis- og beredskapsdepartementet arbeider Samferdselsdepartementet nå med å danne et realistisk bilde av de samlede utgiftene gjennomføringen av datalagringsdirektivet medfører. Hvordan kostnadene med datalagring skal fordeles mellom private teletilbydere og staten er foreløpig ikke avklart. 

Nøkkelinformasjon

Institusjon:	Parlament og Råd
Type rettsakt:	Direktiv
KOM-nr.:	KOM(2006)024
Rettsaktnr.:	2006/024/EF
Basis rettsaktnr.:	2002/058/EF
Celexnr.:	32006L0024

EFTA-prosessen

Dato mottatt standardskjema:	25.04.2006
Frist returnering standardskjema:	06.06.2006
Dato returnert standardskjema:	14.04.2011
EØS-relevant:	Til diskusjon
Akseptabelt:	Til diskusjon
Tekniske tilpasningstekster:	Nei
Materielle tilpasningstekster:	Nei
Art. 103-forbehold:	Ja

Norsk regelverk

Endring av norsk regelverk:	Ja
Høringsstart:	10.01.2008
Høringsfrist:	12.04.2008
Frist for gjennomføring:	01.04.2012