Europaparlaments- og rådsdirektiv 2006/24/EF av 15. mars 2006 om lagring av data som fremkommer ved bruk av offentlig elektronisk kommunikasjon, samt endring i europaparlaments- og rådsdirektiv 2002/58/EF
Ansvarlig departement: Justis- og beredskapsdepartementet, Samferdselsdepartementet
Sakstype: Direktiv
Behandlende organ: EU: vurderer EFTA/EØS-utkast til EØS-komitevedtak
Saksområde: IT, telekom og medier: personvern (del av EØS-avtalens vedlegg 11)
BAKGRUNN (fra departementets EØS-notat, sist oppdatert 31.10.2011)
Sammendrag av innhold
Formålet med direktivet er å harmonisere de enkelte EU-medlemslands lovgivning knyttet til lagring av nærmere definerte data fremkommet ved bruk av elektronisk kommunikasjon. Hensikten er å gi justismyndighetene et verktøy for å avdekke, etterforske og rettsforfølge alvorlige kriminelle handlinger. Hva som er alvorlig krimininalitet skal i henhold til direktivet defineres av medlemslandene.
I direktivet er ”data” definert som både trafikkdata, lokaliseringsdata og abonnements- og brukerdata i tilknytning til disse. Forslaget presiserer hvilke kategorier data som skal lagres: Data som er nødvendig for å spore og identifisere kilder til kommunikasjon, data nødvendig for å spore og identifisere destinasjon, data nødvendig for å identifisere dato, tid og varighet for kommunikasjonen, data nødvendig for å identifisere type kommunikasjon, data nødvendig for å identifisere brukers kommunikasjonsutstyr og data nødvendig for å identifisere lokalisering av mobilt utstyr. Også data knyttet til mislykket oppringning skal lagres (unsuccessful call attempt). Med bruker menes enhver privatperson eller virksomhet. Innholdet i den overførte kommunikasjonen er unntatt fra direktivet.
Direktivet krever at medlemslandene må sikre at tilbydere av offentlige elektroniske kommunikasjonsnett og -tjenester må lagre de ovennevnte data i minimum seks måneder og maksimum to år. Medlemslandene må videre sikre at tilbyderne respekterer som et minimum de prinsipper for datasikkerhet som direktivforslaget fremmer. Hver medlemsstat skal utpeke en eller flere offentlige myndigheter som skal ha ansvaret for å overvåke sikkerheten knyttet til lagring av data. Medlemslandene skal videre sikre at bevarte data blir lagret på en slik måte at de kan bli overført til kompetente myndigheter uten unødvendige forsinkelser.
Direktivet krever at medlemslandene årlig skal sørge for statistikk til EU-kommisjonen om de saker hvor informasjon har blitt gitt til kompetente myndigheter. Det skal også føres statistikk over tidsforløpet mellom dato for datalagring og dato for etterspørsel etter de lagrede data fra kompetente myndigheter og saker der anmodninger om data ikke har kunnet bli møtt.
Kommisjonen skulle ihht direktivet legge frem en evaluering av ordningen til Europaparlamentet og Rådet innen tre år fra iverksettelsestidspunktet, og leverte sin evalueringsrapport 18. april 2011.
Kommisjonens ekspertgruppe er i gang med sitt arbeid som skal lede frem til et forslag til revidert direktiv. Det antas at forslaget fra Kommisjonen vil bli lagt frem før sommeren 2012.
Merknader
Direktivet er fremsatt under første pilar, med hjemmel i artikkel 95 i EU-traktaten. Hjemmelsbruken er en indikasjon på at direktivet i utgangspunktet er EØS-relevant, men den er ikke avgjørende. Det er ingen regel om lagringsplikt per i dag i norsk lovverk. Ekomloven § 2-7 oppstiller en rett for tilbyderne av elektronisk kommunikasjon til å lagre data inntil de ikke lenger er nødvendige for kommunikasjons- eller faktureringsformål. Når dataene ikke lenger er nødvendige for dette formålet, inntrer en sletteplikt. Paragrafen åpner for at ytterligere regler kan gis i forskrift. Ekomloven § 2-8 pålegger tilbyder å tilrettelegge for lovbestemt tilgang til informasjon. I paragrafens tredje ledd gis mulighet for at ytterligere krav til tilrettelegging, herunder innføring av plikt til å lagre trafikkdata i en bestemt periode, kan gis i forskrift.
Stortinget vedtok 4. april 2011 at datalagringsdirektivet skulle innlemmes i EØS-avtalen. Utkast til EØS-komitèbeslutning om å innlemme direktivet i EØS avtalen avventer fortsatt endelig avklaring på EU-siden (per utgangen av oktober 2011). Datalagringsdirektiver er således enda ikke formelt innlemmet i EØS-avtalen. Det tas sikte på at lovendringene som gjennomfører direktivet i norsk rett vil tre i kraft 1. juli 2012. Ikrafttredelsestidspunktet er utsatt fra 1. april til 1. juli 2012 på grunn av forsinkelser i arbeidet med forskrift til Politiregisterloven, grunnet vanskelige arbeidsforhold og noe redusert aktivitet i Justisdepartementet etter terrorangrepet 22.juli.
Rettsakten vil få administrative konsekvenser i Norge. Post- og teletilsynet og Datatilsynet vil som følge av rettsakten kunne få utvidede tilsynsoppgaver. Rettsakten vil også kunne få økonomiske konsekvenser for ekomtilbydere som skal utføre pålegg i henhold til rettsakten, og myndigheter (som justismyndigheten) avhengig av nasjonal modell for kostnadsdekning.
Justisdepartementet og Samferdselsdepartementet nedsatt i juni 2011 et utvalg for utarbeidelse av ny kostnadsmodell, jf. Prp. 49 L (side 129-130). Utvalgets rapport skal avgis til begge departement ved årsskifte 2011/2012. Post- og teletilsynet fikk i april 2011 i oppdrag fra Samferdselsdepartementet å utarbeide utkast til forskrift om datalagring, med bestemmelser om hva som skal lagres, hvordan dette skal gjøres og av hvem. Arbeidet forutsetter nært samarbeid med politiet og påtalemyndighet, ekombransjen og Datatilsynet. Utkast til forskrift skal oversendes Samferdselsdepartementet innen utgangen av 2011.
Vurdering
Datalagring er et komplisert tema som krysser faglige grenser, og det er i hovedsak tre hensyn som bør ivaretas ved utarbeidelse av norsk holdning på området. Disse er i uprioritert rekkefølge hensynet til justissektorens behov for et bedre verktøy til kriminalitetsbekjempelse, hensynet til personvern og hensynet til konkurransen på telemarkedet og til brukere og tilbydere av elektronisk kommunikasjon.
Direktivet legger føringer på hva som skal lagres og på hvordan lagringen skal skje, men overlater til nasjonale myndigheter å ta stilling til flere viktige spørsmål. Dette gjelder blant annet spørsmålet om når og under hvilke forutsetninger data skal utleveres til politiet. Det gjelder lagringstiden, som må være mellom 6 og 24 måneder, og spørsmålet om kostnader, dvs. hvem som skal betale for lagringen og uttak av data. Det er også overlatt til nasjonale myndigheter å bestemme hvem som skal føre tilsyn med ordningen og valg av teknologi for datalagring.
Regjeringen ga i regjeringskonferansen 9. februar 2006 sin tilslutning til at de nasjonale valgmulighetene som direktivet gir skal utredes nærmere før det blir tatt noen beslutning om norsk holdning til datalagring. En interdepartemental arbeidsgruppe bestående av SD (leder), JD, FAD og UD har vurdert disse problemstillingene. Post- og teletilsynet, Datatilsynet og Kripos har også deltatt i arbeidet.
Direktivet gir medlemslandene en mulighet til å be om utsettelse til 15.mars 2009 for implementering av bestemmelser om lagring av data knyttet til Internettaksess, Internettelefoni og e-post via Internett. 16 medlemsland ba om slik utsettelse. Den interdepartementale arbeidsgruppen har også vurdert dette spørsmålet.
Saken er kompleks og har tatt lengre tid å utrede enn antatt - særlig er spørsmålene om personvern, tilgangen til dataene og kostnader utfordrende.
Diskusjonen om hjemmel og EØS-relevans
Direktivet er vedtatt under første pilar med hjemmel i artikkel 95 i EU-traktaten. Hjemmelsbruken er en indikasjon på at direktivet i utgangspunktet er EØS-relevant, men den er ikke avgjørende. Det er verdt å merke seg at Irland er i mot at direktivet ble vedtatt med denne hjemmelen, og landet reiste 6. juli 2006 sak for EF-domstolen (sak C-301/06) om datalagringsdirektivet. Irland mener artikkel 95 i EF-traktaten er ugyldig hjemmelsgrunnlag for direktivet. Hovedargumentet er at direktivets hovedformål er bekjempelse av alvorlig kriminalitet og at det derfor må hjemles i tredje søyle (politi- og justissamarbeid). EF-domstolen avsa dom i saken 10. februar 2009 og Irland fikk ikke medhold.
Vurderingen av EØS-relevans tok utgangspunkt i om direktivet i sitt innhold faller innenfor EØS-avtalens saklige virkeområde, slik dette er definert i avtalen sin hoveddel, vedlegg og protokoller. Det er flere argumenter både for og i mot EØS-relevans. Det viktigste argumentet for er at direktivet faktisk er hjemlet i første søyle og at det er ekomsektoren som reguleres. Det viktigste argumentet mot er at kriminalitetsbekjempelse har lite med markedsregulering å gjøre. EF-domstolens dom er ikke direkte bestemmende for direktivets EØS-relevans, men både konklusjonen og premissene er relevante for vurderingen.
Spørsmålet om personvern har fått stor oppmerksomhet i denne saken. Regjeringen la fram lovproposisjon og samtykkeproposisjon til Stortinget 10. desember 2010. Stortinget vedtok 4. april 2011 at datalagringsdirektivet skal innlemmes i EØS-avtalen. Det ble samtidig vedtatt lovendringer for gjennomføring av direktivet i norsk rett.
Andre opplysninger
Stortinget har vedatt at lovendringene skal trå i kraft senest 1. april 2012. Ikrafttredelsestidspunktet er imidlertid utsatt til 1. juli 2012 på grunn av forsinkelser i arbeidet med forskrift til Politiregisterloven grunnet vanskelige arbeidsforhold og noe redusert aktivitet i Justisdepartementet etter terrorangrepet 22.juli.
Status
Direktivet ble formelt vedtatt 15.mars 2006, og skal være implementert i medlemsstatene innen 15. september 2007. Direktivet åpner for en utsatt implememtering for data knyttet til Internett til 15. mars 2009.
I Norge vedtok Stortinget vedtok 4. april 2011 at datalagringsdirektivet skulle innlemmes i EØS-avtalen. Datalagringsdirektiver er enda ikke formelt innlemmet i EØS-avtalen da utkast til EØS-komitebeslutning om å innlemme direktivet i EØS avtalen fortsatt avventer endelig avklaring på EU-siden (per utgangen av oktober 2011).
Eventuelt forslag til revidert direktiv fra Kommisjonen antas å bli lagt frem før sommeren 2012.
