Europaparlaments- og rådsdirektiv 2006/24/EF av 15. mars 2006 om lagring av data som fremkommer ved bruk av offentlig elektronisk kommunikasjon, samt endring i europaparlaments- og rådsdirektiv 2002/58/EF
Saksområde: IT, telekom og medier: personvern
Sakstype: Direktiv
Ansvarlig departement: Samferdselsdepartementet
Behandlende organ: EØS-organene
BAKGRUNN (fra EØS-notatet)
Sammendrag av innhold
Formålet med direktivet er å harmonisere de enkelte EU-medlemslands lovgivning knyttet til lagring av nærmere definerte data fremkommet ved bruk av elektronisk kommunikasjon. Hensikten er å gi justismyndighetene et verktøy for å avdekke, etterforske og rettsforfølge alvorlige kriminelle handlinger. Hva som er alvorlig krimininalitet skal i henhold til direktivet defineres av medlemslandene.
I direktivet er ”data” definert som både trafikkdata, lokaliseringsdata og abonnements- og brukerdata i tilknytning til disse. Forslaget presiserer hvilke kategorier data som skal lagres: Data som er nødvendig for å spore og identifisere kilder til kommunikasjon, data nødvendig for å spore og identifisere destinasjon, data nødvendig for å identifisere dato, tid og varighet for kommunikasjonen, data nødvendig for å identifisere type kommunikasjon, data nødvendig for å identifisere brukers kommunikasjonsutstyr og data nødvendig for å identifisere lokalisering av mobilt utstyr. Også data knyttet til mislykket oppringning skal lagres (unsuccessful call attempt). Med bruker menes enhver privatperson eller virksomhet. Innholdet i den overførte kommunikasjonen er unntatt fra direktivet.
Direktivet krever at medlemslandene må sikre at tilbydere av offentlige elektroniske kommunikasjonsnett og -tjenester må lagre de ovennevnte data i minimum seks måneder og maksimum to år. Medlemslandene må videre sikre at tilbyderne respekterer som et minimum de prinsipper for datasikkerhet som direktivforslaget fremmer. Hver medlemsstat skal utpeke en eller flere offentlige myndigheter som skal ha ansvaret for å overvåke sikkerheten knyttet til lagring av data. Medlemslandene skal videre sikre at bevarte data blir lagret på en slik måte at de kan bli overført til kompetente myndigheter uten unødvendige forsinkelser.
Direktivet krever at medlemslandene årlig skal sørge for statistikk til EU-kommisjonen om de saker hvor informasjon har blitt gitt til kompetente myndigheter. Det skal også føres statistikk over tidsforløpet mellom dato for datalagring og dato for etterspørsel etter de lagrede data fra kompetente myndigheter og saker der anmodninger om data ikke har kunnet bli møtt.
Kommisjonen skal legge frem en evaluering av ordningen til Europaparlamentet og Rådet innen tre år fra iverksettelsestidspunktet.
Merknader
Direktivet er fremsatt under første pilar, med hjemmel i artikkel 95 i EU-traktaten. Hjemmelsbruken er en indikasjon på at direktivet i utgangspunktet er EØS-relevant, men den er ikke avgjørende. Det er ingen regel om lagringsplikt per i dag i norsk lovverk. Ekomloven § 2-7 oppstiller en rett for tilbyderne av elektronisk kommunikasjon til å lagre data inntil de ikke lenger er nødvendige for kommunikasjons- eller faktureringsformål. Når dataene ikke lenger er nødvendige for dette formålet, inntrer en sletteplikt. Paragrafen åpner for at ytterligere regler kan gis i forskrift. Ekomloven § 2-8 pålegger tilbyder å tilrettelegge for lovbestemt tilgang til informasjon. I paragrafens tredje ledd gis mulighet for at ytterligere krav til tilrettelegging, herunder innføring av plikt til å lagre trafikkdata i en bestemt periode, kan gis i forskrift.
Rettsakten forventes å få rettslige konsekvenser i Norge dersom direktivet vurderes som EØS-relevant, i den forstand at det må gjennomføres endringer i lovgivningen om elektronisk kommunikasjon. Det vil også måtte vurderes endringer i straffeprosessloven.
Rettsakten vil, dersom den vurderes som EØS-relevant, også få administrative konsekvenser i Norge. Post- og teletilsynet og Datatilsynet vil som følge av rettsakten kunne få utvidede tilsynsoppgaver. Rettsakten vil kunne få økonomiske konsekvenser for tilbydere som skal utføre pålegg i henhold til rettsakten, og myndigheter avhengig av nasjonal modell for kostnadsdekning.
Vurdering
Datalagring er et komplisert tema som krysser faglige grenser, og det er i hovedsak tre hensyn som bør ivaretas ved utarbeidelse av norsk holdning på området. Disse er i uprioritert rekkefølge hensynet til justissektorens behov for et bedre verktøy til kriminalitetsbekjempelse, hensynet til personvern og hensynet til konkurransen på telemarkedet og til brukere og tilbydere av elektronisk kommunikasjon.
Direktivet legger føringer på hva som skal lagres og på hvordan lagringen skal skje, men overlater til nasjonale myndigheter å ta stilling til flere viktige spørsmål. Dette gjelder blant annet spørsmålet om når og under hvilke forutsetninger data skal utleveres til politiet. Det gjelder lagringstiden, som må være mellom 6 og 24 måneder, og spørsmålet om kostnader, dvs. hvem som skal betale for lagringen og uttak av data. Det er også overlatt til nasjonale myndigheter å bestemme hvem som skal føre tilsyn med ordningen og valg av teknologi for datalagring.
Regjeringen ga i regjeringskonferansen 9. februar 2006 sin tilslutning til at de nasjonale valgmulighetene som direktivet gir skal utredes nærmere før det blir tatt noen beslutning om norsk holdning til datalagring. En interdepartemental arbeidsgruppe bestående av SD (leder), JD, FAD og UD har vurdert disse problemstillingene. Post- og teletilsynet, Datatilsynet og Kripos har også deltatt i arbeidet.
Direktivet gir medlemslandene en mulighet til å be om utsettelse til 15.mars 2009 for implementering av bestemmelser om lagring av data knyttet til Internettaksess, Internettelefoni og e-post via Internett. 16 medlemsland ba om slik utsettelse. Den interdepartementale arbeidsgruppen har også vurdert dette spørsmålet.
Saken er kompleks og har tatt lengre tid å utrede enn antatt - særlig er spørsmålene om personvern, tilgangen til dataene og kostnader utfordrende.
Diskusjonen om hjemmel og EØS-relevans
Direktivet er vedtatt under første pilar med hjemmel i artikkel 95 i EU-traktaten. Hjemmelsbruken er en indikasjon på at direktivet i utgangspunktet er EØS-relevant, men den er ikke avgjørende. Det er verdt å merke seg at Irland er i mot at direktivet ble vedtatt med denne hjemmelen, og landet reiste 6. juli 2006 sak for EF-domstolen (sak C-301/06) om datalagringsdirektivet. Irland mener artikkel 95 i EF-traktaten er ugyldig hjemmelsgrunnlag for direktivet. Hovedargumentet er at direktivets hovedformål er bekjempelse av alvorlig kriminalitet og at det derfor må hjemles i tredje søyle (politi- og justissamarbeid). EF-domstolen avsa dom i saken 10. februar 2009 og Irland fikk ikke medhold.
Vurderingen av EØS-relevans tar utgangspunkt i om direktivet i sitt innhold faller innenfor EØS-avtalens saklige virkeområde, slik dette er definert i avtalen sin hoveddel, vedlegg og protokoller. Det er flere argumenter både for og i mot EØS-relevans. Det viktigste argumentet for er at direktivet faktisk er hjemlet i første søyle og at det er ekomsektoren som reguleres. Det viktigste argumentet mot er at kriminalitetsbekjempelse har lite med markedsregulering å gjøre. EF-domstolens dom er ikke direkte bestemmende for direktivets EØS-relevans, men både konklusjonen og premissene er relevante for vurderingen.
Spørsmålet om personvern har fått stor oppmerksomhet i denne saken og Regjeringen har ennå ikke tatt stilling til om direktivet skal implementeres i norsk rett.
Andre opplysninger
Etter det SD kjenner til (uoffisielt) var det i mai 2009 6 land i EU som ikke har implementert direktivet: Disse er Sverige, Irland, Østerrike, Nederland, Hellas og Polen
Status
Direktivet ble formelt vedtatt 15.mars 2006, og skal være implementert i medlemsstatene innen 15. september 2007. Direktivet åpner for en utsatt implememtering for data knyttet til Internett til 15. mars 2009.
