Datalagringsdirektivet

Datalagringsdirektivet - DIRECTIVE 2006/24/EC

Etter flere års drakamp ble det såkalte datalagringsdirektivet vedtatt 15. Mars 2006. Da hadde EU gått hele veien fra ganske klare og sterke personvernorienterte og databeskyttende direktiver på 90-tallet, til det mer overvåkningsvennlige og lagringsmotiverte som fikk uttrykk i dette direktivet. Den offisielle hensikten med datalagringsdirektivet var todelt, for det første så EU at flere av medlemsstatene i stor grad benyttet seg av unntaksreglene i 2002/58/EC , og ville med datalagringsdirektivet harmonere forholdene for tele- og datakommunikasjonstilbydere, det hadde oppstått en situasjon der forskjell i datalagringsregler utgjorde en konkurransevridning for tilbydere av elektronisk kommunikasjon. Tilbydere i land der det ikke var utstrakt bruk av datalagring hadde merkbare økonomiske fordeler i forhold til tilbydere i medlemsland med videre bruk av datalagring. Denne årsaken til harmoniseringen av regelverket fremstår mer eller mindre som en skinnbegrunnelse i den grad det ikke er fastslått i direktivet om tilbyderne selv eller statene skal stå for merutgiuftene, og at det allerede har blitt særs sprikende praksis i de forskjellige medlemslandene.

For det andre ville EU også søke å gi medlemsstatene mer konsistente verktøy i kampen mot grov kriminalitet, organisert kriminalitet, mafiavirksomhet og terrorisme. På slutten av 90-tallet var det i hovedsak stor motstand mot dette direktivet grunnet personvernhensyn. Mange organisasjoner og medlemsland stilte seg kritisk til gjennomføring av så utstrakt lagring. Etter 9. September 2001 ble påtrykket fra USA større, det etterhvert så berømte brevet fra Bush til kommisjonen (16. Oktober 2001) er i så måte betegnende på situasjonen. Støtten til datalagringsdirektivet fra politisk hold innad i EU ble enda sterkere både som følge av bombingen i Madrid i 2004 og bombingen av T-banen i London i 2005. England satt med presidentskapet høsten 2005. De jobbet også aktivt med å skape støtte og legge veien klar for direktivet i dene perioden. Utover høsten 2005 ble det etterhvert klart at datalagringsdirektivet mest sannsynlig ville gå gjennom og i Mars 2006 ble det vedtatt. Hva er så dette datalagringsdirektivet, hvilke konsekvenser vil det få? Hva innebærer det egentlig? Jeg vil i det følgende gå gjennom hvilke data som skal lagres, hva disse data kan brukes til, hve som kan hente ut data, hvilke kontrollmekanismer som skal etableres, hvor lenge data skal lagres osv. Jeg vil også kort informere om de forskjellige gjennomføringsmodellene som har blitt inført i forskjellige medlemsland på forskjellige områder av direktivet. Kjernen i direktivet er at statene må iverksette tvungen lagring av det som kalles trafikkdata. Disse data skal på sin side lette etterforskning av grovere kriminalitet og hjelpe myndighetene til å motvirke terrorisme.

Hvilke nettbrukeres data skal lagres?

Dette fremgår av direktivets art. 1 andre ledd. Alle data fra både fysiske og juridiske personer skal lagres, det er sådan ingen unntak for bedrifter eller andre juridiske personer. Såfremt du har elektronisk kommunikasjonsutstyr, skal dine trafikkdata lagres.

Hvilke data skal lagres?

Det er såkalte trafikkdata som skal lagres, det inkluderer informasjon om identifiserbare kommunikasjonsdeltagere på telekomtilbyderes nett. Det fremgår av art. 5 hva som faktisk skal lagres. I direktivet har man delt inn i data nødvendig for å identifisere utgangspunktet for en kommunikasjonssesjon, mottager for en kommunikasjonssesjon, nødvendige data for å identifisere tid, dato og varighet, nødvendige data for å identifisere typen kommunikasjon, data for å identifisere brukers kommunikasjonsutstyr (eller pretendert utstyr), lokasjonsdata for mobiltelefoner.

Hva ligger så i alle disse kategoriene? Jeg vil gå gjennom hvert enkelt underpunkt fra direktivet og klagjøre hvordan jeg tolker det og hvilke data som i dagens kommunikasjonsnett vil bli lagret.

Når det gjelder telefonkommunikasjon, både fastlinje og mobil, vil følgende data være nødvendige: originerende telefonnummer, navn og adresse registrert på til dette nummer. Nummer (hvis flere: alle) som blir oppringt, viderekoblingsinfo om alle nummer samtalen eventuelt blir rutet til, navn og adresse registrert på alle involverte nummer. Samtalens varighet vil bli lagret. Type telekommunikasjon, hvilken service som har blitt brukt. For mobiltelefoni skal IMSI og IMEInummer til begge samtaleparter (eller flere) lagres, samt for kontantkort skal i tillegg lokasjonsdata for opprinnelig aktivering samt tidspunkt for denne lagres. For mobiltelefonsamtaler skal celleinfo med lokasjonsdata lagres både ved starten av samtalen og i løpet av lagringsperioden lagres for begge parter. En typisk samtale mellom en Netcom-bruker og en Telenor-bruker der brukeren som ringer ringer fra fasttelefon og mottageren har mobiltelefon vil føre til at følgendedata lagres: Hos fasttelefonbrukeren vil navn og adresse, telefonnummer, ringt fra og til, varighet på samtale og type abonnementsservice lagres, hos mobiltelefonbrukeren vil navn og adresse, nummer oppringt fra og til, IMSI og IMEI-nummer og lokasjonsdata for hele samtaleperioden lagres.

Når det gjelder internettbruk vil jeg dele inn i tre forskjellige kategorier: Internettelefoni, epost og ordinær bruk av internett.

Når det gjelder internettelefoni skal følgende data lagres om avsender av kommunikasjon: tildelt brukerID, brukerID som tilhører enhet ved oppkobling mot det ordinære telefonnettet, navn og adresse til abonnent eller bruker av en tildelt IPadresse, brukernavn eller telefonnummer ved tilkoblingstidspunkt. På mottagersiden skal brukernavn, telefonnummer, navn og adresse på abonnent eller bruker av telefontjenesten. I tillegg skal tjenestetype lagres, slik jeg tolker dette utsagnet skal f.eks ”telenor bedrift bredbåndstelefoni” lagres som tjenestenavn hvis det er denne tjenestetilbyderen og dette abonnementet som er gjeldende. Tid og sted for av- og pålogging skal også lagres, samt oppkoblingsinformasjon relatert til analoglinje (telefonnummer) eller dsl-linje (oppkoblingspunkt).

For Internettepost vil reglene ligne mye på de som gjelder for internettelefoni. Følgende data skal lagres om avsender av kommunikasjon: tildelt brukerID og navn og adresse til abonnent eller bruker av en tildelt IPadresse. På mottagersiden skal brukernavn, navn og adresse på abonnent eller bruker av eposttjenesten lagres. For øvrig skal også tidsinformasjon for på- og avloggingsinformasjon lagres, ipadresse, uavhengig om den er statisk eller dynamisk. Også ved bruk av internetteposttjenester skal tjenestenavn lagres, slik jeg tolker direktivet vil det også her være tilbyder og abonnementsinfo som skal lagres, f.eks ”Telenor privat epost” eller ”Canal Digital bredbånd, tilhørende epost”. Avslutningsvis skal det også her logges oppkoblingsinformasjon. For analoge linjer skal telefonnummer lagres, for dsl-linjer skal oppkoblingspunkt lagres.

Når det gjelder ordinær bruk av internett er det mindre utstrakt lagring. For avsender skal de samme data som ved internettepost og internettelefoni lagres: tildelt brukerID, navn og adresse til abonnent eller bruker av en tildelt IPadresse. Slik jeg tolker direktivet skal ikke data lagres om mottager. I kapittelet om avsender er overskriften følgende: ”concerning Internet access, Internet e-mail and Internet telephony:”, når det gjelder mottager av datatrafikk er derimot overskriften denne: ”concerning Internet e-mail and Internet telephony:”. Slik jeg tolker direktivteksten, og da spesifikt utelatelsen av ”Internet access” i den sistnevnte overskriften, skal det ikke forekomme lagring av ip-adresser eller annen info for mottager hos avsenders ISP. Det som derimot skal lagres er tidspunkt for på- og avlogging med kompensering for tidssone og informasjon om den analoge eller digitale oppkoblingen (telefonnummer og oppkoblingspunkt.

Det er altså en hel rekke data som lagres, både om type tjenester vi bruker, hvem vi kommuniserer med, når vi bruker dem, hvor vi bruker dem og hvor lenge vi bruker dem. Hva er det så som faller utenfor direktivets rekkevidde? Det er flere tjenester som vil falle utenfor direktivets rekkevidde, i en særstilling står såkalte webløsninger. Tjenester som skype, gmail, hotmail, facebook og lignende, vil ikke medføre lagringsplikt slik jeg tolker direktivets art. 3. Ordlyden i art. 3 samt realitetene rundt internettkommunikasjon tilsier at det kun er lokale leverandører av tjenester som skal lagre data. De aller fleste internasjonale tilbydere av epost og internettelefoni har tjenere utenfor EUs grenser, noe som vil medføre store praktiske problemer med jurisdiksjon i forhold til slik lagring. Det innebærer at telenors epost-tjeneste til sine kunder vil måtte medføre lagring, samtidig som de selvsamme brukernes parallelle bruk av gmail ikke vil medføre lagring utover lagring av ipadresse lokalt. Det samme gjelder for bredbåndstelefoni, der brukere av telenors bredbåndstelefoni vil få lagret abonnementsinfo, telefonnummer, varighet av samtaler etc (som nevnt over), vil den selvsamme brukerens bruk av skype ikke generere data utover abonnementsinfo, ipadresser o.l for brukeren selv. Det eneste man kan hente ut av informasjon etter bruk av gmail er dermed at brukeren har logget på internett på et gitt tidspunkt fra en gitt node. Store deler av befolkningens bruk av sosiale tjenester, eposttjenester og internettelefoni vil dermed ikke lagres som følge av dette.

Et annet moment er såkalte bedriftsinterne nett. Det fremgår av art. 3 at det kun er offentlig tilgjengelige nett som har lagringsplikt. Konsekvensen av dette er at nett som Uninett og andre større, lukkede nett, ikke omfattes av lagringsplikten. Som et godt eksempel kan man da peke på de forskjellige studentbyer som har studentby-internett. Disse vil ikke omfattes av lagringsplikten da de faller inn under Uninett og dette, slik jeg har tolket direktivet, vil defineres som et bedriftsinternt nett. I tillegg vil en hel rekke større bedrifts- og organisasjonsnett falle utenfor, i tillegg til de store universitetsnettene har man store bedrifter og store organisasjoner som sykehus o.l om vil falle utenfor lagringsplikten. Også her vil det dermed være store deler av internettrafikken som ikke vil bli lagret.

Hva ligger så av informasjon i disse trafikkdata? De data som lagres vil skape et relativt detaljert bilde av hvor vi ferdes, hvor ofte vi kommuniseres, hvem vi kommuniserer med og hvordan. En gjengs borger i Norge bruker mobiltelefon og internett relativt aktivt. Dette vil føre til at man i stor grad kan kartlegge hvor borgerne beveger seg til enhver tid. En ting er at det ved mobilbruk eksplisitt skal lagres bevegelsesdata, en annen ting er at ip-adresser til brukere, uavhengig om de er dynamiske eller statiske, vil kunne avsløre hvor også vanlig internettrafikk kommer fra rent geografisk. En slik peiling vil ikke være fullt så presis som de data man får fra mobilbruk, men man får et relativt nøyaktig geografisk treff også med denne teknologien.

Som en avslutning kan jeg raskt sammenfatte grovt hvilke data som skal lagres:

- Adresse, navn og kontaktinformasjon for øvrig på abbonnenter som bruker tjenester.

- Tjenestetype/ip-adresser for internettelefoni og eposttjenester.

- Lokasjon- og tid/dato-info om all aktivitet. (Pålogging, avlogging, samtalevarighet etc).

- IMEI/IMSI-nummer for mobiltelefonbrukere

Dette kan kun regnes som en rask oppsummering, for mer presis info les avsnittene over.

Hva kan data som lagres brukes til?

Det fremgår av formålsordlyden i art. 1 at lagrede data skal brukes for å oppdage, etterforske og reise tiltale for ”serious crime”, slik alvorlig/seriøs kriminalitet blir definert i de forskjellige medlemslandene. Videre fremgår det av art. 4 at medlemslandene selv har ansvaret for at regelverk opprettes og at det kun blir mulig å få tilgang på data i konkrete tilfeller og i henhold til de retningslinjer og føringer EMK art. 8 innebærer. Dette legger hovedvekten av ansvaret for å definere regler for uttak av data på statene selv. De politiske signaler som de forskjellige medlemslandene har sendt varierer sterkt. Hovedlinjen synes å være at grov kriminalitet og terrorisme er det lagrede data skal brukes til.

Jeg vil nå se litt på noen av de europeiske lands løsninger rundt bruk av trafikkdata. Den danske løsningen ved implementering av datalagringsdirektivet, er sammensatt. Det er flere krav som må møtes før politiet kan hente ut data jf den danske retsplejeloven §§781-782. For det første må det være bestemte grunner til å anta at det kommuniseres til eller fra en mistenkt, for det andre må bevisene antas å ha avgjørende betydning for etterforskningen, etterforskningen må gjelde en lovovertredelse med en strafferamme på 6 år eller mer, eventuelt gjelde en liste over spesifikke lovbrudd. Videre må man uansett foreta en forholdsmessighetsvurdering slik at de tiltak man gjør og de ulemper og krenkelser det innebærer ikke utveier fordelene ved inngrepet. I Finland har de en lignende ordning, men der er kravet til strafferamme på 4 år. Det kan synes å være en gjeldende norm blant medlemsstatene at en strafferamme på 3-6 år samt noen spesifikke lovbrudd som blir nærmere spesifisert i nasjonal lovgivning er den valgte løsning. Dette er også den norske foreslåtte løsningen i høringsnotatet fra departementet, der legges grensen på 3 år, i tillegg nevnes en rekke spesifikke lovbrudd som også vil omfattes av muligheten til å hente ut lagrede trafikkdata. Dette gjelder spionasje, terrorvirksomhet, datakriminalitet og endel former for organisert vinningskriminalitet og barneporno samt lignende lovbrudd. Det er altså ganske varierende hva de forskjellige land legger i ”seriøs kriminalitet” og ikke minst i hvor mye skjønnsrom de anser seg selv for å ha.

Hvor lenge kan data lagres?

EU har valgt å gi statene en ramme på 6-24 måneders lagringstid, det er dermed opp til de forskjellige medlemsstatene å avgjøre hvor lenge data skal lagres. De aller fleste medlemsnasjoner har valgt å lagre data i 12 måneder. Sveits, Liechtenstein, Romania, Luxembourg og Kypros har valgt 6 måneder. Slovakia og Latvia lagrer i 18 måneder og Irland i 36 måneder (12 måneder lengre enn direktivet åpner for). Det er kun Sverige, Irland, Hellas og Østerrike som ikke har innført datalagringsdirektivet av EUs medlemsstater. Et mindretall har dermed valgt å legge seg på en lagringstid på minimumsnivået, den store majoriteten har valgt å legge seg midt på. Jeg vil komme nærmere inn på viktigheten av lagringstid i forbindelse med min proposjonalitetsdrøftelse senere i oppgaven.

Hvordan kan data hentes ut og av hvem?

Det ligger ingen krav til rettslig kontroll eller demokratisk kontroll med praksisen som vil oppstå. Art. 9 krever dog at statene må ha et uavhengig kontrollorgan som skal overse implementasjonen og bruken av datalagringsdirektivet i de særskilte statene, slik jeg tolker ordlyden i art. 9 er det her ikke snakk om et organ som skal kontrollere konkrete saker, men derimot et organ som skal overse statistikk og gjøre kontroller av hvorfor, hvordan og når trafikkdata blir brukt. Dermed blir det helt opp til statene å etablere løsninger for konkret uthenging av data. Man kan jo bruke henvisningen til EMK som en tolkningsnøkkel for ordlyden i art 4, da kan man innfortolke alle de krav EMK art. 8 stiller til denne typen inngrep, da være seg både klarhetskravet til loven, legitime sikkerhetsforanstaltninger, men også de andre vilkår i art. 8.

I Danmark har de valgt en løsning der det i de aller fleste tilfeller kreves en kjennelse fra retten for å hente ut trafikkdata. Det samme har det store flertall av EU-stater valgt. En forklaring på denne praksisen kan være at dette ser så langt ut til å være den eneste muligheten mange medlemsstater anser mulig for å kunne falle innenfor de prosesuelle og materielle krav art. 8 stiller til denne formen for overvåkning. Det norske forslaget er også at kun retten kan pålegge uthenting av data, og at politiet ikke kan kontakte telekomleverandører direkte.

Prosessen synes dermed i de fleste tilfeller å være en forespørsel fra politiet til en nasjonal domstol, som så behandler forespørselen i tråd med nasjonal rett, for så å tillate eller forby utlevering av trafikkdata.