Datalagringsdirektivet

«DLD» omdirigeres hit. For flyplassen på Geilo, se Dagali flyplass.

Datalagringsdirektivet, ofte forkortet til DLD, er et kortnavn på EU-direktiv 2006/24/EF. Det påbyr lagring av nærmere angitte abonnements-, lokaliserings- og trafikkdata, også kalt metadata. Dataene gir informasjon om hvem man har hatt kontakt med på telefon og e-post, samt når og hvor man har hatt det. Dessuten når og hvorfra man har logget på internett, fra PC og mobil. Lagringspåbudet begrunnes med at opplysningene kan benyttes til å bekjempe alvorlig kriminalitet.

EU-direktiv
2006/24/EF
Direktiv om lagring av data generert eller behandlet i forbindelse med tilblivelse av offentlig tilgjengelige elektroniske kommunikasjonstjenester eller allmenne kommunikasjonsnett
Utarbeidet av		Europaparlamentet & Rådet
Utarbeidet under		Artikkel 95 TEC
Tidsskrift-referanse		L 105, pp. 54-63
Bakgrunn
Utarbeidet		15. mars 2006
Trådte i kraft		3. mai 2006
Annen lovgivning
Endrer		Direktiv 2002/58/EC

Datalagringsdirektivet ble vedtatt av Europaparlamentet og Den europeiske unions råd i 2006.

Direktivet ble vedtatt av EU i 2006, med ikrafttredelse 2007 - 2009, som en reaksjon på terrorangrepene i New York den 11. september 2001, i Madrid den 11. mars 2004 og i London den 7. juli 2005.^{[trenger referanse]}

Direktivet er omstridt i flere land og har blitt kritisert for å være et urimelig inngrep i privatlivet. I 2014 konkluderte EU-domstolen i Luxembourg at direktivet strider mot forholdsmessighetsprinsippet europeisk rett og dermed er ugyldig. Konklusjonen var at «direktivet innebærer et meget omfattende og særlig alvorlig inngrep i den grunnleggende rett til respekt for privatlivet og til beskyttelse av personopplysninger, uten at dette inngrepet er begrenset til det strengt nødvendige».^{[1][2][3][4][5][6]}

I Norge ble DLD vedtatt av Stortinget den 4. april 2011. Her skulle det etter planen ha trådt i kraft 1. april 2012, men ble utsatt flere ganger.^{[7][8][9][10][11]} Etter EU-domstolens dom den 8. april 2014 har Regjeringen stanset arbeidet med direktivet. Den 11. april 2014 gjorde Regjeringen Solberg det klart at innføringen av direktivet i norsk rett legges på is, men la til at Regjeringen vil komme tilbake med et lovforslag om datalagring senere.^[12]

Regjeringen fremmet forslag om endringer i lov om elektronisk kommunikasjon (lagring av IP-adresser mv.) fra Kommunal- og moderniseringsdepartementet 09.04.2021 og loven ble vedtatt av Stortinget 18.06.2021.^[13][14][15] De nye lovendringene krever at tilbydere av elektronisk kommunikasjonsnett lagrer offentlig IP-adresse og tidspunkt for kommunikasjon, eventuelt også portnummer, i 12 måneder. Det skal ikke lagres destinasjonsinformasjon. Disse opplysningene skal uten hinder av taushetsplikt utleveres til politiet eller påtalemyndighetene når det er nødvendig for å etterforske en handling som etter loven kan medføre straff av fengsel i 3 år eller mer, eller som rammes av en rekke spesifikke straffebestemmelser.^[13] Dette utgjør en betydelig svekkelse i personvernet utover den forrige maksgrensen for lagring på 3 uker for dynamisk IP.^[16][17]

Bakgrunn

Datalagringsdirektivet har sin bakgrunn i krigen mot terrorisme. Etter terrorangrepet 11. september 2001 i New York ble en lignende lovgivning sanksjonert i USA av president George W. Bush den 26. oktober 2001 i form av USA PATRIOT Act.

Det første forslaget til en rammebeslutning om overvåkning og lagring av elektronisk kommunikasjon i EU ble fremmet etter terrorangrepet i Madrid den 11. mars 2004. I erklæringen om bekjempelse av terrorisme, vedtatt av det europeiske råd 25. mars 2004, ble rådet pålagt å utrede tiltak med sikte på å fastsette regler for tjenestetilbyderes lagring av trafikkopplysninger i forbindelse med kommunikasjon.^[18] I april 2004 ble et forslag om elektronisk overvåking av europeiske borgere lagt frem av regjeringene i Storbritannia, Irland, Frankrike og Sverige,^[19][20] hvor det heter (pkt 3.6) at «vi vil arbeide sammen for å fremme bruken av de egnede etterforskningsmetoder, herunder elektronisk overvåkning». I en felles erklæring fra USA og EU om bekjempelse av terrorisme den 26. juni 2004,^[21] omtales elektronisk overvåkning (pkt i).

Forslaget møtte motstand fra den europeiske datatilsynsmannen, som konkluderte med at det var krenkende for den personlige integriteten, og ikke var forenlig med Den europeiske menneskerettskonvensjon. Artikkel 8 i denne konvensjonen gir enhver person rett til respekt for sitt privatliv og sin korrespondanse. Forslaget fikk heller ikke flertall i Europaparlamentet.

Terrorangrepet i London den 7. juli 2005 vekket nytt liv i forslaget.^[19][22] Ministerrådet ba EU-kommisjonen om å utarbeide et nytt forslag. Kommisjonen anså at reguleringen av datalagring angikk EUs indre marked, og derfor burde antas som et direktiv i stedet for en rammebeslutning. Direktivet ble behandlet i Europaparlamentet den 15. september 2005, og ble vedtatt med 378 mot 197 stemmer. 30 representanter stemte blankt.^[23]

Datalagringsdirektivet innen EU

Direktivet vedtatt av EU i 2006

Direktivet ble vedtatt av EU 15. mars 2006 av Rådet for Den europeiske union og Europaparlamentet i fellesskap. De irske og slovakiske representantene i Rådet stemte mot direktivet.^[24]

Irland gikk til søksmål for å få annullert direktivet, men tapte i EF-domstolen 10. februar 2009.^[25] Irland hevdet at direktivets begrunnelse er kriminalitetsbekjempelse, og ikke hadde hjemmel i artikkel 95 eller andre bestemmelser i EF-traktaten.^[26] Justis- og politisamarbeid hører inn under EUs tredje søyle, og vedtak på dette området krever enstemmighet i Rådet. Generaladvokaten, som forbereder saker for Domstolen, avviste 14. oktober 2008 Irlands krav.^[27] Domstolen kom til samme konklusjon, og viste blant annet til at det på datalagringsområdet var i ferd med å oppstå ulike regler i medlemslandene. Manglende harmonisering kunne føre til ulike konkurransevilkår innen telekomsektoren, derfor var det hjemmel til å bruke artikkel 95.^[28] Domstolen viste også til at direktivet i hovedsak regulerer forholdet til markedsaktørene, og ikke politiets eller rettsvesenets tilgang til opplysningene.^[29]

Direktivet ble dermed vedtatt med hjemmel i EF-traktaten artikkel 95, og var omfattet av EUs første søyle, det indre marked.

Iverksettelse og kritikk i EU-land

Direktivet trådte i kraft 15. september 2007, men medlemsstatene kunne utsette gjennomføringen av direktivet til 15. mars 2009 når det gjaldt trafikkdata for internetttilgang, e-post og ip-telefoni. Hellas,^[30] Irland^[31] og Sverige^[32] ble dømt for ikke å ha gjennomført direktivet innen fristen. Med utsikt til store EU-bøter ved videre utsettelser vedtok Østerrike og Sverige direktivet henholdsvis 28. april 2011 og 21. mars 2012.^[33][34][35]

Den 8. oktober 2009 fastslo forfatningsdomstolen i Romania at den rumenske regjeringens implementasjon av datalagringsdirektivet var i strid med § 28 i Romanias grunnlov, som garanterer retten til hemmelig korrespondanse.^[36][37] Tysk høyesterett avgjorde den 2. mars 2010 at den tyske implementeringslovgivningen av direktivet er i strid med den tyske grunnloven, på grunn av for uklare og svake personverngarantier.^[38][39] Domstolen tok ikke stilling til selve direktivet, men til måten det var blitt forsøkt gjennomført i tysk lovgivning.^[39]

Den 31. mars 2011 ble direktivet avvist av forfatningsdomstolen i Tsjekkia. Domstolen slo fast at direktivet er «utilbørlig mot personvernet», at innsamlingen av data gjelder «et stort antall mennesker og at loven bryter med grunnleggende rettigheter».^[40][41][42]

Også forfatningsdomstolene i Bulgaria og Kypros har erklært at direktivet er problematisk ut fra landenes grunnlov.^[41]

Le Monde diplomatique skrev 3. februar 2011 at «DATALAGRING har i de siste årene ført til at politi, etterretningsvesen og selskaper i Polen, Nederland og Tyskland har forsynt seg grovt av data om nett- og telefonibruk. I flere tilfeller har journalisters hemmelige kilder vært et eksplisitt mål. Personvernforkjempere i Polen mener dagens datamisbruk overgår overvåkningen i kommunisttiden.»^[43]

EUs evaluering

Artikkel 14 i DLD påla EU-kommisjonen å fremlegge en evalueringsrapport for direktivet senest 15. september 2010. En rapport ble fremlagt i april 2011.^[44][45] Direktivet var da iverksatt i varierende grad i 22 av 27 medlemsland.

Rapporten anser blant annet at datalagring har vist seg som nyttig for rettsvesen og politi, men at direktivet i liten grad har lykkes med å harmonisere bl.a. lagringsperioder, kriterier for tilgang på lagrede data og kostnadsfordeling. Rapporten legger fram landvis statistikk for bruk av lagrede data.

Kommisjonen lister flere forbedringspunkter og varsler endringer i direktivet, som skal baseres på en kommende konsekvensvurdering (eng. impact assessment) av direktivet.

EU-domstolens avgjørelse

I en prejudisiell avgjørelse 8. april 2014 erklærte Den europeiske unions domstol Datalagringsdirektivet for ugyldig.^[1] Avgjørelsen har virkning fra direktivets ikrafttredelse.^[1] Domstolen fastslo at

Direktivet indebærer et meget omfattende og særligt alvorligt indgreb i den grundlæggende ret til respekt for privatlivet og til beskyttelse af personoplysninger, uden at dette indgreb er begrænset til det strengt nødvendige

sitert fra den danske pressemeldingen til EU-domstolen.

Forhistorie til avgjørelsen

Irlands øverste domstol og Østerrikes forfatningsdomstol ba i forbindelse med pågående rettssaker EU-domstolen om en prejudisiell uttalelse om hvorvidt direktivet var gyldig.^[1] De ønsket særlig undersøkt om den grunnleggende rett til respekt for privatliv og rett til beskyttelse av personopplysninger i Den europeiske unions charter om grunnleggende rettigheter var oppfylt.^[1]

Domstolens om direktivet

Datalagringsdirektivet hadde til formål å harmonisere bestemmelsene om lagring av visse data som er laget eller behandlet av tilbydere av offentlig tilgjengelige elektroniske kommunikasjonstjenester eller av et offentlig kommunikasjonsnett.^[1] Direktivets formål var å sikre at det var adgang til disse data for å forebygge, etterforske, avsløre og rettsforfølge grov kriminalitet og særlig organisert kriminalitet og terrorisme.^[1] Direktivet påbød at ovennevnte tilbydere skulle lagre trafikkdata, lokaliseringsdata og andre lignende data som er nødvendige for å identifisere abonnenten eller brukeren.^[1] Direktivet tillot ikke lagring av innholdet i kommunikasjonen eller de innhentede opplysninger.^[1]

Domstolen fastslo for det første at «de data, der skal lagres, gør det muligt bl.a. at få at vide, med hvem og med hvilket middel en abonnent eller en registreret bruger har kommunikeret, at fastlægge kommunikationens varighed samt det sted, hvorfra kommunikationen fandt sted, og at gøre sig bekendt med frekvensen af abonnentens eller den registrerede brugers kommunikationer med visse personer i en given periode. Disse data kan samlet give meget præcise oplysninger om privatlivet for de personer, som data er lagret for, såsom dagligdagsvaner, faste eller midlertidige opholdssteder, udøvede aktiviteter, sociale relationer og de sociale miljøer, de færdes i.»^[1]

Domstolen fant at når direktivet stilte krav til lagring av disse data og ved å gi kompetente nasjonale myndigheter adgang til disse data i særlig alvorlig grad gjorde inngrep i den grunnleggende rett til respekt for privatlig og beskyttelse av personopplysninger.^[1] Videre fant domstolen at det faktum at lagring og etterfølgende bruk av dataene gjøres uten at abonnenten eller brukeren blir informert, skape en følelse av at privatlivet er under konstant overvåkning.^[1]

Begrunnelse for direktivet

Domstolen fastslo at lagringen av de data som direktivet krevde ikke var av en slik karakter at de kunne krenke det vesentlige inneholdet i de grunnleggende rettighetene til respekt for privatliv og beskyttelse av personopplysninger fordi direktivet ikke ga mulighet til å gjøre seg kjent med innholdet i den elektroniske kommunikasjon og bestemmer at tilbyderne av tjenester eller telenett skal overholde visse prinsipper om beskyttelse og sikkerhet for de lagrede data.^[1]

Videre tjente lagringen av dataene ved en eventuell utlevering til kompetente nasjonale myndigheter, formål av allmenn interesse, bekjempelse av grov kriminalitet og også beskyttelse av offentlig sikkerhet.^[1]

Avgjørelse og begrunnelse for ugyldighet, forholdsmessighetsprinsippet

Domstolen fant at lovgiver i EU ved å vedta direktivet hadde overskredet de grenser som følger av forholdsmessighetsprinsippet.^[1] Selv om den lagring som ble krevet i henhold til direktivet kunne anses for å være egnet til å oppfylle de formål direktivet skulle oppfylle er lagringen ikke tilstrekkelig avgrenset med hensyn på å sikre at inngrepet er begrenset til det strengt nødvendige.^[1]

For det første omfatter direktivet generelt alle enkeltpersoner, alle elektroniske kommunikasjonsmidler og trafikkdata uten at det foretas noen avgrensning, begrensning eller unntak i forhold til formålet å bekjempe grov kriminialitet.^[1]

For den andre fastsetter ikke direktivet noe objektivt kriterium som gjør det mulig å sikre at det kun er kompetente nasjonale myndigheter som har tilgang til dataene og at det kun er disse myndighetene som kan bruke dataene til formålet, å forebygge, avsløre eller foreta rettsforfølgelse i straffesaker som er tilstrekkelig alvorlige til å kunne forsvare et slikt inngrep.^[1] Direktivet angir ikke matrielle eller prosessuelle krav til når kompetente nasjonale myndigheter kan få adgang til dataene og bruke dem. Adgangen til dataene er ikke betinget av en forutgående kontroll verken av en rettsinstans eller en uavhengig administrativ enhet.^[1]

For det tredje anviser direktivet en lagringstid på minimum seks måneder og maksimum tjuefire måneder uten at det skiller mellom forskjellige typer data eller gir objektive kriterier som kan sikre en begrensning av lagringstiden til det strengt nødvendige.^[1]

Domstolen fastslo videre at direktivet ikke ga tilstrekkelige garantier som ville gjøre det mulig å sikre data mot riskoen for misbruk og mot ulovlig adgang til og bruk av dataene. Domstolen pekte på at direktivet ga tjenestetilbyderne mulighet til å ta økonomiske hensyn når de fastla sikkerhetsnivået de ville bruke og at direktivet ikke sikret en ugjenkallelig sletting av dataene etter lagringsperiodens opphør.^[1]

Domstolen kritiserte til slutt at direktivet ikke hadde bestemmelser om at dataene skulle lagres på territoriet til en EU-stat.^[1] Direktivet sikret derfor ikke at en uavhengig myndighet hadde kontroll med om kravene til beskyttelse og sikkerhet i direktivet slik EU-chartere krever. En slik kontroll er vesentlig for å kunne sikre beskyttelsen av personer i forbindelse med behandling av personopplysninger.^[1]

Referanser

1. «Domstolen erklærer direktivet om lagring af data for ugyldigt. Dom i de forenede sager C-293/12 og C-594/12 Digital Rights Ireland og Seitlinger m.fl.» (PDF) (på dansk). Den Europæiske Unions Domstol PRESSEMEDDELELSE NR. 54/14. 8. april 2014. Arkivert fra originalen (PDF) 22. august 2014. Besøkt 22. august 2014. «Direktivet indebærer et meget omfattende og særligt alvorligt indgreb i den grundlæggende ret til respekt for privatlivet og til beskyttelse af personoplysninger, uden at dette indgreb er begrænset til det strengt nødvendige. ... Europa-Parlamentets og Rådets direktiv 2006/24/EF af 15.3.2006 om lagring af data genereret eller behandlet i forbindelse med tilvejebringelse af offentligt tilgængelige elektroniske kommunikationstjenester eller elektroniske kommunikationsnet og om ændring af direktiv 2002/58/EF (EUT L 105, s. 54). ... Henset til, at Domstolen ikke har begrænset sin dom tidsmæssigt, har erklæringen om ugyldighed virkning fra tidspunktet for direktivets ikrafttrædelse.»
2. Grundrechte: EuGH kippt EU-Richtlinie zur Vorratsdatenspeicherung (spiegel.de) 8. april 2014.
3. Den Europæiske Unions Domstol, PRESSEMEDDELELSE NR. 54/14Luxembourg 8. april 2014.
4. EU-domstolen: Datalagringsdirektivet er ulovlig.Aftenposten 8. april 2014.
5. According to the Advocate General, Mr Cruz Villalón, the Data Retention Directive is incompatible with the Charter of Fundamental Rights.EU-domstolens pressemelding nr 157/13. Luxembourg 12. desember 2013.
6. Generaladvokaten i EU-domstolen: Datalagringsdirektivet er ulovlig.Aftenposten 12. desember 2013.
7. Utsetter datalagringsdirektivet ytterligere.VG 22. mars 2012.
8. IKT-bransjen vil utsette DLD i tre år.Aftenposten 18. april 2012.
9. Datalagringsdirektivet utsatt for tredje gang.Aftenposten 2. oktober 2012.
10. Først i 2015 skal din e-post- og telefoninfo lagres.Aftenposten 26. april 2013.
11. - Datalagringsdirektivet skal innføres. Arkivert 13. november 2013 hos Wayback Machine.Digi.no 11. november 2013.
12. Regjeringen legger DLD-arbeidet på is.Dagbladet 11. april 2014
13. «Lov om endringer i lov om elektronisk kommunikasjon (lagring av IP-adresser mv.) - II - Lovdata». lovdata.no. Besøkt 3. april 2024.
14. «Endringer i ekomloven (lagring av IP-adresser mv.)». Stortinget (på norsk). 13. april 2021. Besøkt 3. april 2024.
15. «Prop. 167 L (2020–2021)». Regjeringen.no. 9. april 2021. Besøkt 3. april 2024. |fornavn1= mangler |etternavn1= i Authors list (hjelp)
16. «Datatilsynet - Trafikkdata må slettes innen tre uker». web.archive.org. 24. april 2014. Arkivert fra originalen 24. april 2014. Besøkt 3. april 2024.
17. «Dynamiske IP-adresser». Datatilsynet (på norsk). Besøkt 3. april 2024.
18. Det europeiske råd: DECLARATION ON COMBATING TERRORISM, Brüssel, 25. mars 2004, avsnitt 5: Building on Existing Cooperation, (a) Legislative Measures
19. Europa Gateway to the European Union: Data Retention Directive, RAPID Press release, MEMO/05/328, 21. september 2005
20. Privacy International: European Parliament rapporteur rejects retention proposal as "disproportionate, invasive and illusory" Arkivert 3. mars 2011 hos Wayback Machine., 4. mai 2005
21. Council of The European Union: EU-U.S. DECLARATION ON COMBATING TERRORISM DROMOLAND CASTLE, 26 JUNE 2004, 10760/04 (Presse 205), Dromond Castle, 26. juni 2004
22. Council of The European Union / President Mr Charles CLARKE: PRESS RELEASE: Extraordinary Council meeting. Justice and Home Affairs, 11116/05 (Presse 187), Brussel, 13. juli 2005
23. Privacy International: European Parliament approves communications data retention Arkivert 2. mars 2011 hos Wayback Machine., 15. desember 2005
24. Summary of final legislative act 15/Mar/2006, Europaparlamentet.
25. Dom i sak C-301/2006
26. Case C-301/2006, Irland v Council of the European Union, European Parliament, 30.9.2006.
27. Generaladvokatens forslag til afgørelse, Sag C-301/06, 14.10.2008
28. Dommens avsnitt 70-73
29. Dommens avsnitt 80-85
30. Dom C-211/09
31. Dom C-202/09
32. Dom C-185/09, 4.2.2010.
33. Data retention has arrived in Austra.Digital Civil Rights in Europe 4. mai 2011.
34. DLD vedtatt i Sverige. Arkivert 25. mai 2012 hos Wayback Machine.Digi.no 22. mars 2012
35. «Eurlex' oversikt over nasjonale gjennomføringsbestemmelser». Arkivert fra originalen 19. oktober 2011. Besøkt 18. januar 2010.
36. Romanias forfatningsdomstol: Constitutional Court Decision no 1258 from 8 October 2009 Arkivert 31. mai 2010 hos Wayback Machine.
37. Mediafax Romania: Romania’s Constitutional Court Rules Data Storage Law Unconstitutional, 8. oktober 2009
38. Das Bundesverfassungsgericht: Entscheidungen. Leitsätze zum Urteil des Ersten Senats vom 2. März 2010 - 1 BvR 256/08 - 1 BvR 263/08 - 1 BvR 586/08 Arkivert 22. juli 2011 hos Wayback Machine.
39. Datatilsynet: Forfatningsstridig datalagring i Tyskland^{[død lenke]}, 2. mars 2010 v/ Gunnel Helmers
40. Arild Færaas: Tsjekkias grunnlovsdomstol avviser datalagringsdirektivet, VG, 31. mars 2011
41. Lars Inge Staveland: Datalagring ulovlig i Tsjekkia, Aftenposten, 31. mars 2011
42. ČTK: ÚS: Preventivní uchovávání údajů o komunikaci je protiústavní, 31. mars 2011
43. http://www.lmd.no/index.php?article=12347
44. EU misfornøyd med datalagringsdirektivet.VG 18. april 2011.
45. Report from the Commision and the European Parliament. Evaluation report on the Data Retention Directive (Directive 2006/24/EC) /* COM/2011/0225 final */.EU-kommisjonen 18. april 2011.