15 Tilsyn
15.1 Gjeldende rett
I henhold til artikkel 9 i EUs datalagringsdirektiv skal medlemslandene gi en eller flere offentlige myndigheter ansvaret for å føre tilsyn med datasikkerheten hos tilbyder. I dag er ansvaret for å føre tilsyn med informasjonssikkerheten og behandling av personopplysninger hos ekomtilbydere etablert i Norge, delt mellom Post- og teletilsynet og Datatilsynet. Post- og teletilsynet fører tilsyn med hjemmel i lov om elektronisk kommunikasjon 7. april 2003 nr. 83 kapittel 10, mens det rettslige grunnlaget for Datatilsynets tilsyn er lov om behandling av personopplysninger 14. april 2000 nr. 31 §§ 42 og 44.
Post- og teletilsynet har et generelt tilsynsansvar etter ekomloven for å sikre at krav fastsatt i eller i medhold av loven oppfylles, jf. § 10-1. Herunder fastsetter ekomloven § 2-7 visse krav til tilbyder for kommunikasjonsvern. Bestemmelsen omhandler nødvendige sikkerhetstiltak til vern av kommunikasjon som overføres via elektroniske kommunikasjonsnett eller -tjenester, og behandling av trafikkdata. Post- og teletilsynet har et sektorspesifikt myndighetsansvar for å føre tilsyn med at tilbyder overholder disse kravene.
Post- og teletilsynet er videre tilsynsmyndighet når det gjelder tilbyders tilretteleggingsplikt etter ekomloven § 2-8 om tilrettelegging for lovbestemt tilgang til informasjon. I tillegg har Post- og teletilsynet et særlig personvernrelatert tilsynsansvar som knyttes opp mot bestemmelsene om tilbyders taushetsplikt i ekomloven § 2-9.
Datatilsynet har allerede i dag til oppgave å kontrollere at lover og forskrifter som gjelder for behandling av personopplysninger blir fulgt, jf. personopplysningsloven § 42. Sentralt for tilsynets vurdering vil være om tilbyder oppfyller de krav til informasjonssikkerhet som følger av personopplysningsloven § 13 med tilhørende forskrifter, samt at de øvrige krav til behandling av personopplysninger som er nedfelt i eller i medhold av loven følges. Etter personopplysningsloven §§ 46 og 47 har Datatilsynet kompetanse til å ilegge overtredelsesgebyr eller tvangsmulkt dersom behandlingsansvarlig ikke overholder gjeldende personopplysningsregelverk.
Videre har Datatilsynet etter dagens regelverk et tilsynsansvar når det gjelder tilbyders behandling og sletting av data som er lagret til kommunikasjons- eller faktureringsformål jf. personopplysningsforskriften § 7-1 og Datatilsynets konsesjoner.
Datatilsynets tilsynsansvar gjelder både data lagret i medhold av ekomloven og data lagret i medhold av konsesjoner gitt av Datatilsynet med hjemmel i personopplysningsloven. Det vil i noen grad være overlappende tilsynskompetanse mellom Post- og teletilsynet og Datatilsynet på dette området. Departementet viser til at det foreligger en avtale mellom Post- og teletilsynet og Datatilsynet om utøvelse av tilsyn.
15.2 Høringsnotatets forslag
Etter ekomloven § 10-1 har Post- og teletilsynet et generelt tilsynsansvar for at krav fastsatt i eller i medhold av loven er oppfylt. Dette gjelder også for krav om kommunikasjonsvern og tilretteleggingsplikt. I høringsforslaget la departementene opp til at Post- og teletilsynet også fremover skal føre tilsyn med at tilbyder faktisk lagrer relevante data etter den foreslåtte bestemmelsen om lagringsplikt. Videre ble det foreslått at Post- og teletilsynet skal føre tilsyn med at tilbyderne overholder plikten til å slette data i overensstemmelse med den foreslåtte bestemmelsen om sletteplikt for data som er lagret for kriminalitetsbekjempelsesformål.
Ekomloven § 10-1 innebærer videre at alle som har rettslig interesse i en sak, kan bringe spørsmål om en tilbyder har opptrådt i strid med krav i eller i medhold av loven inn for avgjørelse hos myndigheten. Dette betyr at kompetente myndigheter med lovbestemt tilgang til data som det i medhold av loven påhviler tilbyder å lagre, kan bringe spørsmålet inn for Post- og teletilsynet dersom lagringsplikten ikke overholdes. Tilsynet kan, der det er berettiget, iverksette et eller flere av sanksjonsmidlene som er nevnt i ekomloven kapittel 10. I tillegg har Post- og teletilsynet et særlig personvernrelatert tilsynsansvar som knyttes opp mot bestemmelsene om tilbyders taushetsplikt i ekomloven § 2-9. I høringsnotatet ble det ikke foreslått endringer i tilsynsoppgavene til Post- og teletilsynet.
Departementene gikk i høringsnotatet inn for å videreføre Datatilsynets tilsynsansvar etter personopplysningsloven også for data som lagres i medhold av den foreslåtte bestemmelsen om lagringsplikt. Høringsforslaget la ikke opp til at Datatilsynet skal tillegges særskilt tilsynskompetanse etter ekomloven.
Departementene viste i høringsnotatet til at det foreligger en avtale mellom Post- og teletilsynet og Datatilsynet for utøvelse av delt tilsyn. Departementene forutsatte at denne avtalen videreføres og oppdateres i forbindelse med innføring av en ny lagringsplikt.
15.3 Høringsinstansenes syn
Arbeidsdepartementet, Politijuristene, GET, NetGenTel, Nord-Trøndelag politidistrikt, IKT-Norge, ITAKT, Post- og teletilsynet, Akademikerne, TEKNA og NorSIS har uttalt seg om tilsynsspørsmålet. De fleste av disse, er av den oppfatning at videreføring av dagens delte tilsynsansvar er uproblematisk. Arbeidsdepartementet påpeker likevel at et velfungerende og aktivt tilsyn er viktig for at borgerne skal oppleve at personvernet blir ivaretatt. GET og NextGenTel er opptatt av at både tilbydere og kunder må kunne vite hvilket tilsynsorgan som har ansvaret for hva. Også Nord-Trøndelag politidistrikt viser til at det er viktig at etatene avklarer området for sin tilsynskompetanse, slik at det er klart definerte ansvarsområder. Post- og teletilsynet selv har heller ingen innvendinger mot felles tilsyn med Datatilsynet, men påpeker at det krever styrket samordning av tilsynsarbeidet.
Nord-Trøndelag politidistrikt uttaler:
«Forslaget om å videreføre det delte tilsynsansvaret mellom Post- og teletilsynet og Datatilsynet:
Under dette punktet støtter politidistriktet forslaget om at delingen mellom Post- og teletilsynet og Datatilsynet videreføres. Det er viktig at etatene avklarer områdene for sin tilsynskompetanse slik at man har klart definerte ansvarsområder».
Post- og teletilsynet uttaler:
«Departementene foreslår et tilnærmet likt tilsynsansvar som i dag og at PT fortsatt skal dele tilsynsansvaret med Datatilsynet. PT støtter departementenes forslag vedrørende tilsyn. I den forbindelse ser PT at det vil være behov for å styrke samarbeidet med Datatilsynet og at eventuelle stedlige tilsyn må samordnes».
NorSIS er imidlertid skeptisk til delt tilsynsansvar, da de mener det vil være uklart hvem som har ansvar for hva, og savner også en nærmere redegjørelse for tilsynsutfordringer andre land har møtt på.
NorSIS uttaler:
«NorSIS stiller spørsmål ved om en deling av tilsynet, kan medføre at noe kan falle mellom to stoler. F.eks. hvem fører tilsyn med at direktivets formål, nødvendighet og proporsjonalitet, bruk av overskuddsinformasjon blir overholdt».
Politijuristene påpeker at Datatilsynet kan være inhabile som tilsynsorgan pga. sin motstand mot datalagringsdirektivet.
Politijuristene uttaler:
«En sak som fortjener en særskilt kommentar er Datatilsynets rolle som tilsynsorgan. Problemstillingen er ikke nevnt i høringsnotatet, men vi finner likevel grunn til å kommentere det. For det tilfellet at datalagring innføres, vil lagringen kontrolleres av både Datatilsynet og Post og teletilsynet. Dette framgår av høringsnotatets pkt. 4.10, særlig pkt. 4.10.2. Dette er en konsekvens av at Datatilsynet er kontrollorgan etter personopplysningsloven, mens PT er det etter lov om elektronisk kommunikasjon. Datatilsynet har etter personopplysningsloven § 42 en rolle som uavhengig forvaltningsorgan med to ulike funksjoner: dels et tilsynsorgan og dels et fristilt organ som skal delta i samfunnsdebatten. Datatilsynet er motstander av direktivet. I tilsynets bemerkninger beskrives datalagring som «totalitært svermeri». Dette uttrykket har tilsynet brukt gjentatte ganger i flere år for å beskrive datalagring.
Dette skaper spørsmål som kan nærme seg inhabilitet. Skal Datatilsynet føre tilsyn med et tiltak som tilsynet ikke ønsker innført? Datatilsynet er ikke en stor virksomhet, med knapt 40 ansatte på ett felles arbeidssted. Dette gjør det vanskelig å ha «kinesiske vegger», som skiller personer som gjør ulike oppgaver. Tilsynet har heller ikke noe styre eller andre som fører tilsyn med den daglige driften. En kan kanskje også si at det ikke er fair overfor Datatilsynet at de – som en konsekvens av lovens system – i tilfelle må føre tilsyn med en virksomhet som tilsynet offentlig har tatt avstand fra».
Akademikerne, TEKNA og ITAKT tar til ordet for opprettelse av et uavhengig kontrollorgan for jevnlig kontroll av bruk av trafikkdata som supplement til tilsynsorganene.
TEKNA uttaler:
«Datatilsynet og Post- og teletilsynet overlapper hverandre noe innenfor dette område. Begge vil være sentrale og få betydelig oppgaver hvis DLD innføres. Vi forutsetter derfor at det settes av tilstrekkelig med ressurser, slik at disse tilsynsmyndighetene kan ivareta nye, krevende oppgaver på en god måte.
Spørsmålet er imidlertid om dette er tilstrekkelig innenfor et så viktig område. Hvis det åpnes for lagring som DLD gir mulighet til, burde man i tillegg til de nevnte tilsyn vurdere periodevise gjennomganger av rammen og bruken av data. Kommisjoner eller ombud som ikke er forankret i de utøvende myndigheter kan være egnet til dette. På samme måte som det er ombud for forvaltningen, utpekt av Stortinget, burde det være et ombud eller en kommisjon, tilsvarende Lund-kommisjonen, som har som oppgave å vurdere hvordan myndighetene utøver kontroll med lagring av data og får tilgang til data. En slik kommisjon eller ombud kunne ha som oppgave å foreta regelmessige gjennomganger, og presentere disse for Stortinget for eksempel hvert fjerde år. For øvrig vil den som føler seg krenket ved myndighetenes bruk av lagrede data kunne bringe saken inn for norske domstoler og internasjonale organer for menneskerettigheter».
15.4 Departementets vurdering
Departementet registrerer merknaden fra Politijuristene om at Datatilsynet kan være inhabil som tilsynsmyndighet på grunn av sin motstand mot datalagringsdirektivet. Til dette vil departementet bemerke at Datatilsynet allerede i dag fører tilsyn med flere behandlinger av personopplysninger som tilsynet har uttalt seg kritisk om. Dette gjelder for eksempel en del personregistre i helsesektoren, og det gjelder behandling av personopplysninger i samferdselssektoren. Dette har ikke tidligere vært anført som problematisk, og departementet er heller ikke kjent med at det har representert noe problem for gjennomføringen av tilsynsarbeidet. Dessuten bemerkes det at Datatilsynet ikke skal føre tilsyn med om det lagres data, men at de data som lagres, faktisk lagres på forsvarlig vis.
NorSIS bemerker at det kan være problematisk å vite hvilket tilsyn som har ansvar for hva. Departementet viser til at det i hovedsak vil være snakk om å videreføre gjeldende rett, og at de utfordringene NorSIS peker på ikke har skapt store problemer til nå. Dette er uansett temaer som vil være gjenstand for regulering i samarbeidsavtalen mellom Datatilsynet og Post- og teletilsynet. NorSIS savner videre en redegjørelse for tilsynsutfordringer i andre land. Etter det departementet kjenner til, har spørsmålet om delt tilsyn ikke vært tema i noen av de rapporter som er utarbeidet om implementering av datalagringsdirektivet i EU. Trolig er dette en konsekvens av at delt tilsynsansvar ikke har representert noe nevneverdig problem i de statene der delt tilsynsansvaret forekommer.
Når det gjelder forslaget fra enkelte høringsinstanser om å opprette et eget kontrollorgan for kontroll med politiets bruk av data, viser departementet til at rettsikkerheten knyttet til utlevering av data nå er foreslått betydelig styrket. Det vises til innføring av domstolskontroll med utlevering, samt betydelig skjerpelse av vilkårene for utlevering. I forbindelse med domstolsbehandlingen skal den som rammes av beslaget underrettes. På denne bakgrunn kan en ikke se at det er nødvendig å etablere et kontrollutvalg for data (jf. KK-utvalget).
Allerede i dag deler Datatilsynet og Post- og teletilsynet tilsynsansvar på ekom-området, uten at dette er påpekt som problematisk fra noe hold. Datatilsynet deler også tilsynsansvar med andre myndigheter, blant annet Helsetilsynet, uten at dette fremstår som problematisk. Departementet er enig med de høringsinstansene som mener at fortsatt delt tilsynsansvar på ekom-området er uproblematisk. Det foreslås derfor at dagens tilsynsordning, med et delt tilsynsansvar mellom Post- og teletilsynet og Datatilsynet, videreføres. Det er imidlertid viktig at både tilsynsorganene selv, ekomtilbyderne og publikum vet hvilket organ som fører tilsyn med hvilket regelverk, og hvor man kan henvende seg om ulike spørsmål relatert til datalagring. Departementet vil derfor følge opp arbeidet med en styrking av den samarbeidsavtalen som allerede foreligger mellom de to tilsynene.
15.5 Nærmere om lovforslaget
Det foreslås ikke endringer i gjeldende regelverk om Post- og teletilsynets og Datatilsynets delte tilsynsansvar. Det vises imidlertid til at de foreslåtte endringer av bestemmelsene i ekomloven innebærer nye tilsynsoppgaver for Post- og teletilsynet. Blant annet vil innføring av lagringsplikten som foreslås tatt inn i ekomloven § 2-7a innebære en plikt for Post- og teletilsynet til å føre tilsyn med at lagringen skjer. Videre vil det være tilsynsoppgaver knyttet til eventuelle kvalitetskrav eller tekniske standarder som fastsettes i forskrift, ved enkeltvedtak eller i medhold av avtaler med tilbyderne, jf. forslag til § 2-7a, annet ledd. Også krav til tiltak som skal etablere nødvendig sikkerhet i tilbyders systemer mot uhjemlet tilgang til lagrede data, vil måtte følges opp med tilsyn.
15.5.1 Statistikk
Det fremgår av datalagringsdirektivets artikkel 10 at medlemslandene er forpliktet til årlig å sende inn statistikk til EU-kommisjonen om datalagringen. Ved en innføring av datalagringsdirektivet i norsk lov forplikter norske myndigheter seg tilsvarende å sørge for årlig statistikk til ESA om datalagring. I høringsnotatet foreslo departementene at politiet og andre myndigheter som anmoder om data skal føre denne statistikken og videresende den til Post- og teletilsynet for oversendelse til ESA. Begrunnelsen for at Post- og teletilsynet skal gjøre dette er at implementeringen av direktivet vil være med referanse til vedlegg 11 om telekommunikasjon i EØS-avtalen. Ingen høringsinstanser med unntak av Post- og teletilsynet har særlige merknader til dette forslaget. Post- og teletilsynet er enig i at de bør inneha rollen som oversender til ESA. Dette vil kunne gi tilsynet innsyn i hvordan tilbyderne oppfyller sin forpliktelse i henhold til ekomloven. Tilsynet legger imidlertid til grunn at deres ansvar ikke vil omfatte koordinering og innhentingen av data fra alle politidistrikt og særorgan.
Departementet opprettholder forslaget fra høringsnotatet om at politiet og andre myndigheter, som i henhold til lovforslaget kun er Finanstilsynet, skal føre statistikk over følgende:
antall saker hvor anmodninger blir imøtekommet
tiden mellom lagringstidspunkt (dato) og etterspørsel etter data
antall saker der anmodning om data ikke har blitt imøtekommet
Samlet statistikk fra henholdsvis politiet og Finanstilsynet skal årlig oversendes Post- og teletilsynet, som skal videreformidle denne til ESA. Det vil være opp til ESA å beslutte om Norge skal benytte samme skjema for rapportering som medlemslandene i EU benytter.