2 Generelt om datalagringsdirektivet
EU vedtok i 2004 en deklarasjon om bekjempelse av terror (Declaration on Combating Terrorism). Bakgrunnen for denne deklarasjonen var blant annet terrorangrepene i Madrid i mars 2004. I deklarasjonen blir behovet for felles virkemidler for å bekjempe terror understreket, og Rådet blir blant annet bedt om å komme med forslag til etablering av felles regler for lagring av data fremkommet ved bruk av elektronisk kommunikasjon. Et forslag til rådsbeslutning om datalagring ble fremmet av Sverige, Storbritannia, Frankrike og Irland i april 2004. Rådsforslaget ble avvist av Europaparlamentet i september 2005, blant annet på grunn av at forslaget var fundert i artikkel 31 og 34 i EU-traktaten, under den såkalte «tredje søyle», som omhandler samarbeid på justis- og innenriksområdet. Europakommisjonen fremmet i september 2005 et forslag til direktiv med den begrunnelse at regler for datalagring hører hjemme i det indre marked. Forslaget fra Kommisjonen ble etter forhandlinger med Parlamentet og Rådet endret på enkelte områder, og endelig vedtatt i mars 2006.
Det fremgår av direktivets artikkel 1 hva som er formålet med direktivet, nemlig å harmonisere medlemsstatenes regler for lagring av data fremkommet ved bruk av elektronisk kommunikasjon, med den hensikt å sikre at disse dataene er tilgjengelige for etterforskning, avdekking og rettsforfølging av alvorlig kriminalitet. Det fremgår videre av artikkelen at det er trafikkdata, lokaliseringsdata og abonnements- og brukerdata som skal lagres. Hensikten er å gi justismyndighetene et verktøy for å avdekke, etterforske og straffeforfølge alvorlig kriminalitet.
Direktivet legger klare føringer for hvem som skal lagre, og hva som skal lagres. Det skal lagres en mengde data som er nødvendige for å spore og identifisere kilder til en kommunikasjon, dato, tid, sted og varighet. Dette gjelder trafikkdata, lokaliseringsdata og abonnements-/brukerdata som fremkommer ved bruk av elektronisk kommunikasjon som fasttelefoni, mobiltelefoni, Internett-tilgang, e-post og bredbåndstelefoni. Også data som sier noe om type kommunikasjon og hvilket utstyr som benyttes, skal lagres. I tillegg skal data knyttet til tapte anrop lagres (unsuccessful call attempt). Innholdet i kommunikasjonen skal ikke lagres.
Det er tilbyder av offentlig elektronisk kommunikasjonstjeneste eller offentlig elektronisk kommunikasjonsnett som skal lagre. Hver enkelt tilbyder skal lagre de data som fremgår av opplistingen i direktivet, og som produseres når de selv utfører sin tjeneste, det vil si data de har tilgjengelige. Tilbyderne skal ikke etablere systemer for å kunne lagre data som de ikke har tilgjengelige ved produksjon av tjenester per i dag. Direktivet inneholder også visse krav til informasjonssikkerhet hos tilbyder.
Direktivet overlater til nasjonale myndigheter å ta nærmere stilling til flere viktige spørsmål. Dette gjelder bl.a. spørsmålet om tilgang til og utlevering av data som lagres. Det fremgår av artikkel 4 at det er kompetente myndigheter som i særlige saker og i henhold til nasjonale regler skal få tilgang til data. Lagringstiden skal i henhold til direktivet være mellom 6 og 24 måneder. Det fremgår videre at nasjonale myndigheter skal utpeke noen til å føre tilsyn med lagringen og sikkerheten til data. Direktivet sier ikke noe om valg av teknologi for lagringen eller om kostnader.
Direktiv 2002/58/EF, kommunikasjonsverndirektivet, blir endret som følge av datalagringsdirektivet. Kommunikasjonsverndirektivet setter regler for hvordan ekomsektoren skal behandle trafikkdata og lokaliseringsdata som oppstår i forbindelse med produksjon av elektronisk kommunikasjon. Slike data skal slettes eller anonymiseres når de ikke lenger er nødvendige for fakturerings- eller kommunikasjonsformål. Kommunikasjonsverndirektivet åpner for at det kan gjøres unntak fra denne regelen dersom det er nødvendig og forholdsmessig å gjøre det i et demokratisk samfunn, med det formål å sikre offentlige formål som for eksempel nasjonens sikkerhet, forsvar, etterforskning, avdekking og rettsforfølgning av kriminelle handlinger. Flere medlemsstater hadde med grunnlag i dette innført regler om datalagring.
Fristen for gjennomføring av datalagringsdirektivet var 15. september 2007, med en utsettelse til 15. mars 2009 for data knyttet til Internett.
I henhold til artikkel 14 i direktivet skal EU-kommisjonen innen 15. september 2010 legge frem for Europaparlamentet og Rådet en evaluering av gjennomføringen av direktivet og dets innvirkning på økonomiske virksomheter og forbrukere. Denne evalueringen er forsinket, og det er ikke kjent hva konklusjonene i rapporten vil være.