4 Implementering av datalagringsdirektivet i Europa
4.1 Danmark
I Danmark er datalagringsdirektivet fullt ut implementert ved den såkalte «logningsbekendtgørelsen». Tilbydere av elektronisk kommunikasjonsnett eller -tjenester har i henhold til bekendtgørelse nr. 988 af 28/09/2006 om udbydere af elektroniske kommunikationsnets og elektroniske kommunikationstjenesters registrering og opbevaring af oplysninger om teletrafik (logningsbekendtgørelsen) plikt til å registrere og oppbevare opplysninger om teletrafikk i ett år (§ 9). Denne bekendtgjørelsen trådde i kraft 15. september 2007.
Politiets adgang til å hente ut data fremkommet ved bruk av elektronisk kommunikasjon er nedfelt i den danske retsplejeloven kapittel 71. Slike data kan bare kreves utlevert dersom det er bestemte grunner til å anta at den mistenkte bruker de kommunikasjonsmidler som utleveringsbegjæringen gjelder og utleveringen antas å være av avgjørende betydning for etterforskningen (§ 781). Dessuten må etterforskningen gjelde lovbrudd med en strafferamme på minst 6 år, eller forhold som rammes av nærmere opplistede straffebud, herunder handlinger mot rikets sikkerhet og statsforfatning, terrorisme, barnepornografi, samt visse brudd på utlendingsloven m.m. For at det skal kunne kreves utlevert data som knytter seg til et bestemt geografisk område, må mistanken i tillegg knytte seg til et straffbart forhold som medfører fare for liv og helse, eller betydelige samfunnsverdier. I disse tilfellene gjelder ikke kravet om at dataene knytter seg til én mistenkt. Opplysninger om lokaliseringen av en mobiltelefon kan innhentes dersom telefonen antas å bli benyttet av en mistenkt, forutsatt at inngrepet antas å være av vesentlig betydning for etterforskningen og denne gjelder et lovbrudd som kan medføre fengsel i 1 år og 6 måneder eller mer (§ 791 a stk. 5).
Når det gjelder abonnements- og brukerdata, følger det av lov nr. 780 af 28. september 2006 om konkurrence og forbrugerforhold på telemarkedet § 15 c at tilbydere av elektroniske kommunikasjonstjenester til sluttbrukere, på begjæring skal utlevere slike opplysninger til politiet. Slik utlevering skjer etter reglene om edisjon (utlevering), jf. retsplejeloven § 804. Pålegg om utlevering av slike opplysninger kan meddeles dersom det er grunn til å anta at opplysningene kan tjene som bevis.
Endelig skal utlevering av data bare kunne foretas såfremt det i lys av formålet, sakens betydning, og ulempene for de det gjelder, ikke er et uforholdsmessig tiltak (§ 782). Utlevering skal som hovedregel bare skje etter forutgående avgjørelse av domstolen (§ 783). Unntak herfra gjelder dersom saken haster. I så fall skal politiet snarest og senest innen 24 timer fra data er begjært utlevert, forelegge saken for retten. Før retten treffer en avgjørelse i saken, skal det oppnevnes advokat for den som utleveringen av data gjelder (§ 784).
Etter at data er utlevert, skal den eller de som dataene knytter seg til, underrettes om dette (§ 788). Unntak herfra gjelder dersom slik underretning kan være til skade for etterforskningen. Underrettelsesplikten gjelder heller ikke for data som knytter seg til et bestemt geografisk område.
Overskuddsinformasjon kan brukes av politiet i etterforskningsøyemed (§ 789). Informasjonen kan imidlertid som hovedregel ikke brukes som bevis i en annen sak enn den som utleveringen knyttet seg til.
Det er tilbyderne som dekker investeringskostnadene knyttet til lagringsplikten, mens myndighetene betaler for uthenting av data. Den danske ekombransjen har beregnet at kostnaden forbundet med lagring er i størrelsesorden 100-200 millioner danske kroner dersom alle data lagres i 12 mnd. I tilegg kommer kostnader til uthenting. En stor del av kostnadene er knyttet til lagring av internettrelaterte data.
Det danske Finanstilsynet har med hjemmel i § 87 stk. 2, i lov om værdipapirhandel m.v., jf. lovbekendtgørelse nr. 959 af 11. august 2010, rett til å kreve utlevert data direkte fra tilbyderne i den grad det er nødvendig for å utøve tilsynets virksomhet. Bestemmelsen gjennomfører direktiv 2003/6/EF om markedsmisbruk («markedsmisbruksdirektivet») artikkel 12 nr. 2 bokstav d og direktiv 2004/39/EF om markeder for finansielle instrumenter («MiFID») artikkel 50 nr. 2 bokstav d i dansk rett.
4.2 Finland
Datalagringsdirektivet har blitt gjennomført i finsk rett gjennom endringer i lag om dataskydd vid elektronisk kommunikation 16.6.2004/516. Lovendringen trådte i kraft 1. juni 2008. Av loven § 14 a følger at data skal lagres i ett år.
Endringen medførte en prinsipiell endring i loven. Fra å pålegge tilbydere å lagre for forretningsmessige formål, skal data nå også lagres for å dekke myndighetenes behov. Hva som skal lagres fremgår av forskrift av 5. juni 2008 om plikt til å lagre identifikasjonsdata.
Myndighetene kan begjære utlevering av data kun i etterforskningsøyemed og såfremt vilkårene i 5 a kap. 3 § 1 i tvångsmedelslagen (450/1987) er oppfylt. Denne bestemmelsen omhandler vilkårene for kommunikasjonskontroll. Slik kontroll kan begjæres blant annet dersom det foreligger skjellig grunn til mistanke om en lovovertredelse som har minst fire års strafferamme, eller dersom forholdet gjelder datakriminalitet, hallikvirksomhet, trusler, narkotikaforbrytelser eller terrorvirksomhet, og forutsatt at opplysningene kan antas å være av vesentlig betydning for etterforskningen. Overvåkningen kan gjelde «teleanslutning, teleadress eller teleterminalutrustning» som den mistenkte innehar eller kan tenkes å anvende, eller det kan gis tillatelse til innhenting av posisjoneringsdata for mobiltelefon som den mistenkte innehar eller kan tenkes å inneha. Overvåkning av andre enn mistenktes mobil mv. kan skje etter samtykke fra den som overvåkes (5 a kapittel 3 § 2).
5 a kap. 3 a § hjemler i tillegg innhenting av basestasjonsdata uavhengig av om det foreligger mistanke mot en konkret person dersom opplysningen kan antas å være av vesentlig betydning for etterforskningen. Også her gjelder strafferammekravet, alternativt at saken gjelder ovenfor nevnte straffbare handlinger.
Beslutning om tillatelse til teleovervåkning og innhenting av basestasjonsdata treffes av domstolen etter skriftlig begjæring fra tjenestemann med pågripelsesrett, men slik at tjenestemannen har hastekompetanse dersom beslutningen ikke kan utsettes (5 a kap. 5 § 1 og 2).
I tillegg gir lagen om dataskydd vid elektronisk kommunikation 9 kapittel 35 § nødsentralen og politiet rett til å få utlevert identifiserings-, lokaliserings- og abonnements- og brukerdata i forbindelse med nødmeldinger, uavhengig av taushetsplikt.
Politiet har dessuten rett til å få identifiseringsopplysninger for å hindre, avsløre eller etterforske lovbrudd etter reglene i polislagen, jf. lagen om dataskydd vid elektronisk kommunikation 9 kapittel 36 §, jf. polislagen 3 kapittel 36 § 2 mom. Vilkåret er at opplysningene i det enkelte tilfellet er nødvendig for utførelsen av politiets oppgaver. Endelig så har politiet også rett til, på visse vilkår, å få hentet ut identifiseringsopplysninger i forbindelse med brudd på besøksforbud, telefonforstyrrelse, og telefonsjikane (hemfridsbrott).
Det fremgår av kapittel 98 i lov om kommunikasjonsmarkedet (Communications Market Act) at de merkostnadene som lagringsplikten påfører tilbyderne, skal dekkes av den myndighet i hvis interesse lagringen skjer, dvs. justismyndighetene (Inrikesministeriet).
Finansinspektionen har kompetanse til å føre tilsyn med handel med finansielle instrumenter. Dette organet har imidlertid ikke direkte tilgang til eksisterende trafikkdata i medhold av direktiv 2003/6/EF om markedsmisbruk («markedsmisbruksdirektivet») og direktiv 2004/39/EF om markeder for finansielle instrumenter («MiFID»). Ved implementeringen av direktivene ble en slik direkte tilgang funnet å være uforenlig med den finske Grundlagen 10 § om skydd för privatlivet som lyder «Vars och ens privatliv, heder och hemfrid är tryggade. Närmare bestämmelser om skydd för personuppgifter utfärdas genom lag». Finansinspektionen er således henvist til å søke bistand fra politi og påtalemyndighet når det har behov for tilgang til data i forbindelse med utførelsen av sine tilsynsoppgaver.
4.3 Sverige
Sverige har per i dag ingen plikt for tilbydere av elektronisk kommunikasjonsnett og -tjenester til å lagre data. Datalagringsdirektivet er ikke gjennomført i svensk lov og EU-kommisjonen har på bakgrunn av dette trukket Sverige inn for EU-domstolen. Domstolen avsa 4. februar 2010 dom mot Sverige på grunn av manglende gjennomføring av datalagringsdirektivet.
Svenske myndigheter satte i 2006 i gang en utredning som har sett på hvordan EUs datalagringsdirektiv kan implementeres i svensk rett. Denne ble avgitt i november 2007 (SOU 2007: 76). Utredningen ble sendt på høring våren 2008 og er nettopp fulgt opp ved lagrådsremiss 11. november 2010. Remissen, som inneholder regjeringens forslag til gjennomføring av datalagringsdirektivet, skal gjennomgås av lagrådet for granskning før det i neste omgang legges frem for Riksdagen. I forslaget som nå foreligger foreslås innført en lovpålagt plikt for tilbydere av offentlig elektronisk kommunikasjonsnett og –tjenester til å lagre data spesielt for kriminalitetsbekjempelsesformål. Lagringstiden foreslås satt til seks måneder. Etter den tid inntrer en sletteplikt, likevel slik at data som er begjært utlevert innen utløpet av seksmånedersfristen skal lagres inntil de er blitt utlevert. Det legges opp til at tilbyderne skal stå for kostnadene med lagring, sikkerhet og tilpasning av systemer, mens myndighetene som begjærer utlevering skal erstatte leverandørenes kostnader forbundet med utlevering av data. Forslaget følger hovedkategoriene i direktivet for hva som skal lagres. Nærmere bestemmelser om sikring av lagrede data, hvilke data som skal lagres og om leverandørenes rett til erstatning for utlevering av opplysninger skal fastsettes i forskrift. Det legges opp til forhåndsbestemte, standardiserte erstatningsbeløp for utlevering av opplysninger.
I svensk rett er det allerede i dag adgang til å få ut data. Det skilles mellom ulike typer data, tilgang for ulike myndigheter og i ulike situasjoner (i og utenfor etterforskning).
Innhenting av trafikkdata kan for det første skje etter reglene om teleovervåkning i rättegångsbalken 27 kapittel om beslag, hemlig teleövervakning m.m. i. Hemmelig teleovervåkning omfatter blant annet innhenting av teleforsendelser som er sendt til eller fra en bestemt teleadresse. Et grunnleggende vilkår for slik teleovervåkning er at det er mistanke om lovbrudd som har en minstestraff på seks måneders fengsel, eller datakriminalitet, grovere tilfeller av barnepornografi eller narkotikaforbrytelser. Eksempler på straffbare handlinger som har en minstestraff på seks måneders fengsel er drap, menneskehandel, grov tvang, grov fredskrenkelse, grov trussel, grove seksuelle overgrep mot barn, og grov hallikvirksomhet. Det er videre et vilkår at det foreligger skjellig grunn til mistanke mot en person og at innhentingen må antas å være av vesentlig betydningen for etterforskningen. Tillatelse til teleovervåkningen gis av retten etter begjæring fra påtalemyndigheten.
Dessuten kan utlevering av data også skje med hjemmel i lagen om elektronisk kommunikation. Slik utlevering kan skje etter begjæring fra påtalemyndighetene, men må til gjengjeld knytte seg til overtredelser av straffebestemmelser med minst 2 års strafferamme. Lagen om elektronisk kommunikation har også særskilte regler om utlevering av abonnementsopplysninger. Det gjelder ikke like strenge krav for utlevering av slike opplysninger. På nærmere angitte vilkår kan dessuten også Kronofogdemyndigheten og Skatteetaten få tilgang på disse.
Remissen som ble fremlagt 11. november 2010 legger opp til at opplysninger lagret i henhold til lagringsplikten bare skal kunne utleveres til kriminalitetsbekjempende myndigheter. Men det foreslås ikke endringer i gjeldende regler om adgang til å lagre for andre formål enn kriminalitetsbekjempelse, særlig faktureringsformål. Det gjøres heller ikke endringer i reglene for utlevering av opplysninger lagret for slike andre formål til andre enn kriminalitetsbekjempende myndigheter, for eksempel skattemyndigheter.
I Polismetodutredningen, SOU 2009: 1 En mer rättssäker inhämtning av elektronisk kommunikation i brottsbekämpningen foreslås at politiets tilgang til data skal reguleres av rättegångsbalkens regler om hemmelig teleovervåkning. I tillegg foreslås en egen, ny lov om tilgang for etterretningsformål.
For abonnementsopplysninger foreslås strafferammekravet lempet slik at det skal være tilstrekkelig at forholdet kan straffes med bot. Denne reguleringen fremgår fortsatt av lagen om elektronisk kommunikation.
I rättegångsbalken opprettholdes kravet om at det må foreligge mistanke mot en bestemt person. Utlevering skal imidlertid også kunne skje i andre tilfeller dersom opplysningene er av vesentlig betydning for etterforskningen og formålet enten er å etablere mistanke eller er av vesentlig betydning på annen måte. Strafferammekravet om minstestraff på seks måneders fengsel, i tillegg til at enkelte handlinger er særskilt oppregnet, videreføres. Men dersom det ikke ennå foreligger mistanke mot noen, kreves det at den aktuelle handlingen har et straffnivå på minst to års fengsel.
Utlevering til etterforskningsformål skal som hovedregel besluttes av retten, men slik at mindre omfattende eller lite inngripende teleovervåkning skal kunne besluttes av politi og påtalemyndighet når det ennå ikke foreligger mistanke mot en bestemt person. Videre foreslås innført hastekompetanse for påtalemyndigheten. Det skal som hovedregel underrettes om hemmelig teleovervåkning unntatt hvor etterforskningen gjelder særskilt oppregnede handlinger. Underretning er heller ikke nødvendig etter basestasjonssøk eller dersom utleveringen antas å være lite inngripende.
En remiss som følger opp Polismetodutredningen er varslet fremlagt for lagrådet for granskning om kort tid.
Finansinspektionen fører tilsyn med verdipapirmarkedet i Sverige. Den har som ledd i sin virksomhet rett til å anmode et finansforetak om utlevering av data, jf. lag (1991: 980) om handel med finansiella instrument 6 kap. 1 a § første ledd nr. 1 og lag (2005: 377) om straff för marknadsmissbruk vid handel med finansiella instrument 16 § annet ledd. Bestemmelsene gjennomfører markedsmisbruksdirektivet artikkel 12 nr. 2 bokstav d i svensk rett. Rett til å anmode om utlevering av data følger også av lag (2007: 528) om värdepappersmarknaden 23 kap. 2 § samt 13 kap. 7 § annet ledd som gjennomfører MiFID artikkel 50 nr. 2 bokstav d.
Bestemmelsene gir neppe Finansinspektionen adgang til å begjære utlevering av data fra tilbyderne. Finansinspektionen i Sverige har imidlertid en noe annen rolle enn det norske Finanstilsynet, i den forstand at Finansinspektionen selv ikke gjør noen undersøkelser ved mistanke om brudd på adferdsbestemmelsene i verdpapirhandellovgivningen, men oversender enhver mistanke til politiet (Ekobrottsmyndigheten) på svært lav terskel. Det er derfor i praksis alltid politiet i Sverige som tar beslutning om eventuelt å innhente trafikkdata dersom dette er relevant bevismateriale i den aktuelle saken.
4.4 Andre EU-land
Alle EUs medlemsstater har gjennomført datalagringsdirektivet i nasjonal lovgivning med unntak av Sverige, Irland, Hellas og Østerrike. EUs medlemsstater har innført ulik lagringstid. Den gjennomsnittlige lagringstiden i land som har gjennomført direktivet er 12 måneder. I de fleste statene er det nødvendig med en tillatelse fra retten for å få utlevert data.
EU-kommisjonen har gått til sak mot Hellas, Østerrike, Irland, Polen og Nederland i tillegg til Sverige for manglende gjennomføring av direktivet i nasjonal rett. Polen og Nederland har imidlertid gjennomført direktivet i nasjonal rett etter at prosessen om manglende gjennomføring ble iverksatt. I to dommer avsagt 26. november 2009 av EU-domstolen ble henholdsvis Hellas (saksnr. 211/09) og Irland (saksnr. 202/09) dømt for manglende gjennomføring av direktivet. Etter det man har fått opplyst fra greske myndigheter, er treghet i statsadministrasjonen den viktigste årsaken til forsinkelsen.
Det har vært reist spørsmål ved gjennomføringen av direktivet i nasjonal rett i Romania, Tyskland og Ungarn. Den rumenske konstitusjonsdomstolen avsa 8. oktober 2009 en dom hvor den la til grunn at den rumenske loven som gjennomfører datalagringsdirektivet, er i strid med den rumenske grunnloven. De aktuelle bestemmelsene i grunnloven bygger bl.a. på den europeiske menneskerettighetskonvensjonen (EMK) artikkel 8. I sin begrunnelse viser domstolen til at en slik konsekvent og systematisk lagring av data er i strid med den rumenske grunnlovens bestemmelser om retten til respekten for privatliv.
Avgjørelsen i den tyske forfatningsdomstolen i Karlsruhe
Den tyske forfatningsdomstolen (første senat) fant i dom 2. februar 2010, i sakene 1 BvR 256/08, 1 BvR 263/08 og 1 BvR 586/08, at den tyske føderale lovgivningen som skulle gjennomføre datalagringsdirektivet var i strid med den tyske forfatningen artikkel 10. Gjennomføringsloven ble vedtatt høsten 2007 og trådte i kraft 1. januar 2008. Avgjørelsen ble avsagt under dissens 6-2. Både flertallet og mindretallet la til grunn at gjennomføringen av datalagringsdirektivet har et legitimt formål, og at formålet med lagringen vanskelig kan oppnås med andre, mildere midler, jf. dommen avsnitt 207 og 208. En enstemmig forfatningsdomstol kom således til at en myndighetspålagt lagringsplikt av trafikkdata i 6 måneder, slik som foreskrevet i datalagringsdirektivet, i seg selv ikke strider mot forfatningen artikkel 10. Lagringsplikten vil imidlertid bare være i samsvar med forfatningen artikkel 10 dersom utformingen av regelverket om lagring og bruk av trafikkdataene tilfredsstiller de nærmere kravene til forholdsmessighet som følger av forfatningen artikkel 10, jf. dommen avsnitt 219. I den nærmere vurderingen av den tyske gjennomføringslovens forholdsmessighet, målt opp mot den tyske forfatningen artikkel 10, delte forfatningsdomstolen seg i et flertall på seks dommere og et mindretall på to dommere. Flertallet fant at hele den føderale gjennomføringsloven ikke tilfredsstilte kravene til forholdsmessighet som følger av forfatningen artikkel 10. Et mindretall på én dommer fant at hele den føderale gjennomføringsloven tilfredsstilte kravene til forholdsmessighet, mens et mindretall på én dommer fant at deler av den føderale gjennomføringsloven ikke var i samsvar med forfatningen artikkel 10.
Flertallet fremhevet at gjennomføringsloven var uforholdsmessig av en rekke grunner. Det ble blant annet pekt på at gjennomføringsloven ikke sikret tilstrekkelig beskyttelse av lagret informasjon, jf. dommen avsnitt 221 til 225 og 271 til 275, eller inneholdt tilstrekkelige begrensninger på tilgang og bruk av lagret informasjon, jf. dommen avsnitt 226 til 238, 276 til 279 og 285 til 286. Det ble også pekt på at grunnreglen må være at individer det hentes ut informasjon om, skal informeres om at dette gjøres, jf. dommen avsnitt 240 til 245 og 280.