2 Om direktivet
2.1 Bakgrunnen for direktivet
EU vedtok i 2004 en deklarasjon om bekjempelse av terror (Declaration on Combating Terrorism). Bakgrunnen for denne deklarasjonen var blant annet terrorangrepene i Madrid i mars 2004. I deklarasjonen er behovet for felles virkemidler for å bekjempe terror understreket, og Rådet blir blant annet bedt om å komme med forslag til etablering av felles regler for lagring av data fremkommet ved bruk av elektronisk kommunikasjon. Et forslag til rådsbeslutning om datalagring ble fremmet av Sverige, Storbritannia, Frankrike og Irland i april 2004. Rådsforslaget ble avvist av EU-parlamentet i september 2005 blant annet på grunn av at forslaget var fundert i artikkel 31 og 34 i EU-traktaten, under den såkalte «tredje søyle» som handler om samarbeid på justis- og innenriksområdet. EU-kommisjonen fremmet i september 2005 et forslag til direktiv med den begrunnelse at de mente regler for datalagring hører hjemme i det indre marked. Forslaget fra Kommisjonen ble etter forhandlinger med EU-parlamentet og Rådet endret på enkelte områder, og endelig vedtatt i mars 2006.
2.2 Kort om direktivet
Formålet med direktivet er å harmonisere lovgivningen om lagring av nærmere definerte data fremkommet ved bruk av elektronisk kommunikasjon. Hensikten er å gi justismyndighetene et verktøy for å avdekke, etterforske og straffeforfølge alvorlig kriminalitet. Fristen for implementering av direktivet var 15. september 2007 med en utsettelse til 15. mars 2009 for data knyttet til Internett.
Direktivet legger klare føringer for hvem som skal lagre og hva som skal lagres. Det skal lagres en mengde data som er nødvendig for å spore og identifisere kilder til en kommunikasjon, dato, tid, sted og varighet. Også data som sier noe om type kommunikasjon, hvilket utstyr som benyttes og lokalisering skal lagres. Innhold i kommunikasjonen skal ikke lagres. Det er tilbydere av offentlig elektronisk kommunikasjonsnett eller -tjeneste som er pliktsubjekt for lagringen. Hver enkelt tilbyder skal lagre de data som fremgår av direktivet og som produseres når de selv utfører sin tjeneste, det vil si data de har tilgjengelige. Tilbyderne skal ikke etablere systemer for å kunne lagre data som de ikke har tilgjengelig ved produksjon av tjenester per i dag. Direktivet inneholder også visse krav til informasjonssikkerhet hos tilbyder.
Direktivet overlater til nasjonale myndigheter å ta nærmere stilling til flere viktige spørsmål. Dette gjelder bl.a. spørsmålene om tilgang til og utlevering av dataene som lagres, lagringstiden (i henhold til direktivet skal den være mellom 6 og 24 måneder), kostnader, hvem som skal føre tilsyn med ordningen og valg av teknologi for lagringen.
I henhold til artikkel 14 i direktivet skal EU-kommisjonen innen 15. september 2010 legge frem for Europaparlamentet og Rådet en evaluering av implementeringen av direktivet og dets innvirkning på økonomiske virksomheter og forbrukere. Denne evalueringen er forsinket og det er ikke kjent hva konklusjonene i rapporten vil bli.
EU-kommisjonen nedsatte 25. mars 2008 en ekspertgruppe for blant annet å sikre erfaringsutveksling og diskusjon av sentrale problemstillinger knyttet til implementeringen av direktivet i medlemslandene. Ekspertgruppen har utarbeidet flere dokumenter som skal gi veiledning i hvordan medlemslandene skal tolke og tilnærme seg pliktene i direktivet. Dokumentene er såkalte «position papers», og ikke alle er ferdigstilte. Eksempler på «position papers» som er ferdigstilt er dokumenter om web-mail, spam e-post, transittilbydere og forståelsen av termen «Internet Telephony». Departementet har gjennom EFTA-sekretariatet fulgt arbeidet i ekspertgruppen og har hatt nytte av drøftingene i gruppen ved utarbeidelsen av lovforslaget.
2.3 Nærmere om nasjonal prosess og høring
Som et ledd i arbeidet med datalagringsdirektivet etablerte Samferdselsdepartementet i 2006 en interdepartemental arbeidsgruppe bestående av Justisdepartementet, Fornyings- og administrasjonsdepartementet, Utenriksdepartementet, Datatilsynet, Post- og teletilsynet og Kripos. Gruppen vurderte direktivet og diskuterte de spørsmålene hvor det i henhold til direktivet er valgmuligheter knyttet til gjennomføringen. Dette gjelder som nevnt blant annet spørsmålene om lagringstid og hvem som skal lagre. Gruppen diskuterte også hvordan artikkel 5 i direktivet om hva som skal lagres skal forstås, hvem som bør ha tilgang til data, vilkår for tilgang til data, samt spørsmålet om kostnader. Gruppen utarbeidet ikke noen selvstendig rapport, men arbeidet dannet grunnlaget for notatet som ble sent på høring i januar 2010. Samferdselsdepartementet har videre vært bistått av en referansegruppe i arbeidet med å komme frem til forslagene om endring i ekomloven. Referansegruppen ble søkt sammensatt av et representativt utvalg av ekomtilbydere, og bestod av Telenor, NetCom, Tele2, TDC, Telio, Infonett Røros og Lyse Tele. Post- og teletilsynet og Kripos deltok også i referansegruppen.
Også andre aktører enn departementet har utredet spørsmål knyttet til eventuell innføring av datalagringsdirektivet i norsk rett. Personvernkommisjonen avga sin utredning NOU 2009:1 Individ og integritet i januar 2009. Innstillingen er å finne på www.regjeringen.no/fad. Om datalagringsdirektivet uttaler personvernkommisjonen (vedlegg 1 på side 221):
«Vi kan ikke støtte innføring av direktivet uten at behovet for utvidet lagring er bedre dokumentert. Både politiets og andre nasjonale myndigheters behov for utvidet lagring og tilgang til trafikkdata i det omfang som er foreslått må derfor begrunnes bedre.
Direktivets overordnede formål er å bekjempe alvorlig kriminalitet. Den teknologiske utvikling har forandret metodene som brukes både ved terror og andre former for kriminalitet. Dette har skapt et behov for nye metoder ved etterforskning og bekjempelse av kriminalitet. I fotsporene til den teknologiske utviklingen følger kriminelle som søker å utnytte denne til terrorisme og andre forbrytelser. Derfor er det viktig for politi og påtalemyndigheter å ha tilgang til de verktøyene man til en hver tid trenger til bekjempelse av kriminalitet. Det er også viktig at dette skjer innenfor demokratiske og klare rammer. Vi utelukker ikke at trafikkdata kan være viktige for politiet ved etterforskning og oppklaring av kriminelle handlinger, men vi stiller oss likevel kritisk til beslutningsgrunnlaget for den omfattende lagringsplikten som følger av direktivet. Derfor etterlyser kommisjonen dokumentasjon av politiets og andre myndigheters behov for trafikkdata i det omfang som følger av direktivet.
Personvernkommisjonen ser behovet for et regelverk både for lagring og utlevering av trafikkdata. I dag får politiet tilgang til trafikkdata fordi teletilbydere lagrer opplysningene for kommunikasjons- og faktureringsformål. Politiets tilgang til opplysninger er regulert i ulike regler og gjennom praksis fra Post- og teletilsynet. Regelverket er uoversiktlig og vanskelig tilgjengelig for borgerne. Dette er i seg selv en svakhet. Videre ser man nå en utvikling i teleoperatørenes faktureringsrutiner som kan føre til at politiet mister denne tilgangen til trafikkdata som de til nå har hatt. Som en følge av den teknologiske utviklingen går teletilbyderne fra å fakturere for bruk (som fordrer lagring av trafikkdata) til å fakturere for tilgang. Dermed har de ikke behov for å lagre trafikkdata. En slik utvikling gjør at politiet vil miste verdifull informasjon. Etter Personvernkommisjonens oppfatning er det derfor ønskelig med en grundig utredning av behovet for et regelverk som sikrer politiets arbeidsmetoder og ivaretar personvernet.«
I Metodekontrollutvalgets utredning NOU 2009: 15 «Skjult informasjon – åpen kontroll» omtales datalagringsdirektivet. Dette gjøres imidlertid kort idet utvalget avgrenser sitt mandat mot direktivet (utredningen kapittel 20.4 på side 219):
«I dag lagres trafikkdata hos norske teletilbydere i inntil tre til fem måneder av faktureringshensyn. Dette er fastsatt i konsesjonsvilkår fra Datatilsynet. Som trafikkdata regner direktivet data som er nødvendig for å spore og identifisere kilden til kommunikasjon, data som er nødvendig for å fastslå kommunikasjonens bestemmelsessted og data som er nødvendig for å lokalisere mobilt utstyr, jf. direktivet artikkel 5. En del av disse dataene lagres ikke nødvendigvis hos norske teletilbydere i dag. Datalagringsdirektivet sier imidlertid ikke noe om hvilke vilkår som skal gjelde for politiets tilgang til trafikkdata, og berører dermed ikke utvalgets vurderinger direkte.»
Samtidig har utvalget drøftet regler for politiets tilgang til data, jf. nærmere omtale under kapittel 12.2. Utredningen finnes i sin helhet på www.regjeringen.no/jd.
Samferdselsdepartementet, Justisdepartementet og Fornyingsdepartementet sendte 8. januar 2010 ut et felles høringsnotat med forslag til hvordan datalagringsdirektivet eventuelt kan gjennomføres i norsk rett. Høringsfristen var 12. april 2010. Det kom inn over 130 høringssvar, samt en rekke innlegg på bloggen som ble opprettet i tilknytning til høringen.