Datalagringsdirektivet- en kort gjennomgang.

eu_flaggEt hett diskusjontema på Twitter er EU-direktiv 2006/24/EF om lagring av trafikkdata eller Datalagringsdirektivet til vanlig. Datalagringsdirektivet er igjen forkortet til dld, derav hashtaggen #dld på twitter.

I media den siste tiden har begge grupperingene svartmalt situasjonen, også politikerne har i forkant av valgkampen kommet på banen med diverse utspill rundt dette direktivet. De gir som oftest heller ingen oversikt over hvilken rettigheter man kan få etter det nye direktivet, kun «pliktene»*1. Etter å ha lest en tweet, så tenkte jeg skulle sette opp en kort gjennomgåelse av direktivet og dets innhold. Uansett er det viktigste er å ikke blande Direktivet sammen med proposition 2006/07:63 – En anpassad försvarsunderrättelseverksamhet, populært kalt FRA- lagen som ble vedtatt i dag. Mens FRA- lagen egentlig er en rekke lovendringer i svensk rett, samt en ny lov, så er datalagringsdirektivet et EU- direktiv.

Direktivets juridiske forankring i EU- retten.

Datalagringsdirektivet ble vedtatt etter EU- traktatens artikkel 95 som regulerer det indre marked, en av EUs såkalte tre søyler.*2 Noen stater mente derimot at dette gikk under den tredje- søylen som omfatter politi og strafferettslig samarbeid*2, og mente derfor at hjemmelen man brukte for å opprette direktive var feil. EF- domstolen kom derimot til at direktive regulerte forholdet til markedsaktørene og ikke politiets og myndighetenes tilgang til dataene. Dette må også sees i sammenheng med at man ønsket å harmonisere reglene rundt lagring av  de opplysningene som datalagringsdirektivet regulerer.*3

Hadde derimot EF- domstolen kommet til det motsatte resultat, at direktivet hadde sin forankring i det strafferetslige samarbeidet (søyle 3), ville resultatet blitt at direktivet hadde blitt kjent ugyldig da art. 95 regulerer det indre marked. Også spørsmålet rundt direktivets relevans til EØS- retten ville ha vært annerledes hvis direktivet hadde blitt sett på som et strafferettslig samarbeid.

Forholdet til internasjonal lovgivning

Et kort notat i forarbeidene til direktivet uttales det at direktivet ikke kolliderer med annen internasjonalrett, nærmere bestemt EMK. art. 8. Som man sikkert har hørt i den opphetede debatten så er det EMK art. 8 som regulerer privatlivet og korrenspodansen, herunder lagring av opplysninger som direktivet regulerer. Det er på det rene at det må skje en avveining av interesser etter EMK art. 8, med dette menes at alle inngrep må være forholdsmessige. Det er også verdt å merke seg at kravene i EMK er bare minstekrav, det er ingenting i veien med at vi innfører nasjonale krav som går lenger enn EMK art. 8.

Det er verdt å merke seg at direktivet regulerer hvem som skal lagre denne informasjonen, og det er ikke staten. Hadde staten lagret informasjonen ville man fått den pussighet at lagringen mest sannsynlig ville vært i strid med EMK art. 8 jfr. Malone vs. The United Kingdom.

Forholdet til nasjonal lovgivning

EØS- avtalen er en dynamisk traktat som binder oss til et EØS- samarbeid. Det er ikke ensbetydende med at vi må gjennomføre de traktater man får fra EU. Derimot er det en kjennsgjerning at våre politikere aldri har benyttet seg av reservasjonsfrykten, en av grunnene kan være frykten for at EU kan da si opp avtalen etter vilkårene i EØS- traktaten art. 127. Med andre ord kan, selv om det kanskje ikke er så realistisk, en veto kan derimot bety en økonomisk og politisk krise for norge. EU kan benytte seg av sanksjoner, og som miniputt stat så har vi ikke så sterke forhandlingskort.

Påtalemyndighetenes innsynsrett til trafikkdata er i dag til dels svært vid, mye videre enn det direktivet åpner for. Dette gjør i sin tur det slik at man må vedta nye bestemmelser for utlevering av trafikk i straffeprosessloven. Dagens hjemler til å hente ut trafikkdata er i hovedsak etter straffeprosessloven §§210 og 216b.

Utlevering av trafikkdata etter strpl. §216b er en litt mer omstendelig affære enn etter strpl. §210. Det må her være snakk om en forbrytelse som medfører fengselsstraff i 5 år eller mer, samt at det må foreligge en skjellig grunn til mistanke. Derimot så er reglene etter strpl. §210 ganske åpne, her er det ikke lenger snakk om at det må foreligge en skjellig mistanke til en alvorlig forbrytelse, snarere tvert i mot. Kravet etter straffeprosessloven §210 er at gjenstanden trenger kun å antas å ha verdi som bevis, dog må det skje en domstolskontroll (på omtrent samme linje som i krevsvar). Men det er ikke å komme vekk fra at påtalemyndighetene etter straffeprosessloven §210 vil komme til et dekket bord hvis ikke straffeprosessloven endres når direktivet trår i kraft. Men etter min mening må art. 4 sees i sammenheng med fortalen, der det står at  direktivet gjelder bekjempelse av alvorlig kriminalitet. Hvis også politikerne mener dette, betyr det at reglene i straffeprosessloven vil mest sannsynlig skjerpet med tanke på tilgang til slike opplysninger. Videre så er det også etter art. 4 bare kompetente offentlige myndigheter som skal ha tilgang til disse dataene. Private parter slik som i f.eks. krevsvar vil med andre ord ikke ha tilgang til de opplysninger som blir lagret.

Som nevnt tidligere så er det de som yter tjenesten som skal lagre disse opplysningene. Det er på det rene at det kan hende at andre tilbydere enn kun de tradisjonelle nett- og telefonleverandørene blir pålagt å lagre data, da det er krav om at det også skal lagres info om mail, jfr. art. 5. Man må også ha i bakhodet at dagens systemer hos de tradisjonelle telefon- og nettleverandører kun er laget med henblikk på å lagre trafikk i den hensikt å beregne hva de skal fakturere kunden.

Hvilken type informasjon skal innhentes og lagres.

Det er ikke all informasjon som skal lagres. Det følger ganske klart av art. 5 paragraf 2 at data som avslører innholdet i kommunikasjonen ikke kan lagres med hjemmel i direktivet. Derimot skal man lagre a og b- nummer, celle- id, IMEI- og IMSEI- nummer, bruker- id og navn og adresse på bruker som er registrert, jfr. art. 5. Med andre ord så er det snakk om ganske omfattende matriale om tid, sted, hvem du kontaktet og navn og adresse på bruker. Bruker man mobil så skal både IMSEI og IMEI nummer også lagres. Minstetiden på lengden man kan lagre slike opplysninger er 6 månder, med andre ord dobbelt så lenge som det internett- og telefonoperatørene får lov til i dag.

En kort mening fra min side.

Det er en del positive trekk ved direktivet. Politiets adgang til å hente ut trafikkopplysninger etter direktivet skal etter forordene kun skje ved alvorlig kriminalitet. I dag så åpner strpl. §210 for en ganske vid adgang for politiet å hente inn informasjon, denne muligheten kan få en begrensning. Ihvertfall i forhold til den informasjonen som direktivet krever at skal lagres. En positiv ting til med direktivet er at man forsøker å få en ensartet lagringspraksis av informasjon innad i organisasjonen, dessverre for oss så har man her såpass liberale regler at direktivet kan føre til en ganske drastisk omveltning når det gjelder lagring av personopplysninger. Det er også blitt pekt på av kritikerne at direktivet mistenker alle, påtalemyndighetene på sin side hevder at direktivet vil gjøre jobben med å oppklare kriminalitet lettere. Dette til tross for at innholdet i direktivet eksplisitt nevner at den ikke hjemler tilgang til kommunikasjonens innhold.

På den annen side så er det ganske mye informasjon som skal lagres, samt hvor og når man oppholder seg. Dessuten vil det komme kostnader i forbindelse med tekniske tilpasninger og lagring av data for å kunne oppfylle direktivet, hvem som tar regningen der blir et åpent spørsmål. Det er også et åpent spørsmål om hvem som skal lagre, det må forutsettes at direktivet krever også at andre enn kun de tradisjonelle telefoni- og netttilbyderne må lagre informasjon.

Oppsummering:

  • Direktivet pålegger tjenesteleverandøren å lagre en rekke informasjon om brukerne og bruken.
  • Derimot er det ikke hjemmel for at datens innhold lagres.
  • Det vil muligens bli utformet noen strengere regler i straffeprosessloven for når slik trafikkdata som direktivet behandler blir utlevert.
  • I dag er det en vid mulighet for utlevering av trafikkdata etter strpl. §210
  • Direktivet kan være i strid med EMK art. 8, forarbeidene til direktive er korte på dette området.
  • Politikerne kan benytte seg av reservasjonsretten, men den har aldri vært benyttet før.
  • Ved en eventuell reservasjon kan EU komme med sanksjoner og i værste fall en oppsigelse av EØS- traktaten.

*1 I den grad  det å lagre opplysning om en kan kalles en plikt.

*2 Søyle 1 er indremarked, søyle 2 er felles sikkerhets- og utenrikspolitikk mens søyle 3 omfatter det som regnes under politi og strafferettslig samarbeid. Kilde: http://www.europakommisjonen.no/Publikasjoner/justis_web.pdf

*3 Avsnitt 70-73 og 80- 85 i avgjørelsen, kilde: http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:62006J0301:DA:NOT#texte

Jeg har faktisk lest vedtaket til Post og Teletilsynet.

Moderne medier kan i noen tilfeller virke ubehaglige.Dette fikk Warner i all høyestegrad merke når en av deres medarbeidere sendte ut et sleivspark til en Twitterbruker, bare søk på warnerfail i Google så ser man hvor omfattende kritikk denne feilen har fått. Det er viktig å understreke at de involverte parter har skværet opp. Dette er et resultat av vår nye mediehverdag. Før hadde man kun en reell mulighet til å nå frem via leserinnlegg i aviser, og disse leserinnleggene ble gjerne forhåndssensurert og noen ganger redigert før de ble publisert. Slik er det ikke nå lenger heldigvis. Har jeg en mening, så har jeg full mulighet til å opprette en blogg eller dele mine meninger via Twitter. Store bakdelen med dette systemet er selvfølgelig at politikere vegrer seg for å ta stilling til kontroversielle spørsmål. Spesielt gjør dette seg gjeldende i valgtider der urealistisk valgflesk og atter nye lovnader om enda mer gull og enda mer grønne skoger gjør seg gjeldende.

Men det er ikke politikerne som har kjent nye medias klammehånd over seg denne gangen, i dette tilfelle er det snakk om et forvaltningsorgan underlagt Samferdselsdepartementet v/ Liv Signe Navarseter. Starten på det hele er som kjent hashtagen #krevsvar på Twitter som ble startet av Anders Brenna fordi han ønsket svar på forholdene rundt en rettslig avgjørelse som ble holdt hemmelig. Dette syntes post- og teletilsynet ved Willy Jensen var «mye mas, spesielt i media». Han beskylder også journalister og debatanter for å ikke ha lest vedtaket som de fattet, kilde NrK.

Allerede i april skrev jeg at post- og teletilsynet og datatilsynet ikke brydde seg om personvernet vårt. Jeg skal ærlig innrømme at jeg ikke hadde satt meg så nøye inn i vedtaket på det tidspunktet, men når jeg skrev innlegget om hvorfor jeg støttet #krevsvar hadde jeg absolutt gjort det. For de som ikke har lest vedtaket finnes det her. Sammenfatter man vedtaket med forutsetningene som Datatilsynet hadde for tillatelsen de gav, så ser man fort at kritikken absolutt er på sin rette plass. Allerede i 2006 når Datatilsynet gav Simonsen Law konsesjonen, varslet de at dette var et trøblete vedtak som politikerne absolutt burde gripe tak i. Dessverre skjedde ikke det, til tross for tydelige signal fra Datatilsynet.

Hva er det som er problematisk?

Sammenstiller man vedtaket og forutsetningene fra Datatilsynet med det som kommer fra Post- og teletilsynet, så ser man at sistnevnte organ har utvidet meningen med registret. Den opprinnelige meningen var at man skulle samle inn informasjon og brukernavn som Simonsen Law deretter skulle gi ut til politiet, og for at bevisene ikke skulle bli risikert å bli avskjært pga. ulovligheter så trengte man en konsesjon for registret. Det er ikke utvilsomt at tilsynelatende uskyldig informasjon som blir innsamlet kan bli farlige, det hadde man i liste- saken og det foreligger absolutt i dette tilfellet her også. Ip- adresse er som et telefonnummer, og ironisk nok er det vanskligere å få ut informasjon fra sistnevnte, til og med politiet har gått ut i media og klaget sin nød over teleoperatørenes tilbakeholdenhet.
Det at informasjonen bare var ment til bruk ved kontakt til politiet blir senere understreket av Datatilsynet etter at Simonsen Law begynte  å sende brev til internetttilbyderne som de skulle sende videre til eieren av ip- adressen. Ikke bare understreket Datatilsynet at det forelå ikke noen plikt til å videresende dissebrevene, men de understreket også at det var tvilsomt for leverandørene om det forelå en slik rett til å ta kontakt. Faktisk er det ikke bare bloggere, Twitterbrukere og meda som er ubehaglig kritiske til vedtaket fra Post- og teletilsynet. Også Datatilsynet har gitt uttrykk for sin skepsis og vurderer å ikke fornye konsesjonen.
Skepsisen til Datatilsynet blir ikke omhandlet i noen stor grad i vedtaket, ei heller problematisert. Det eneste man i større grad problematiserer er kontradiskjonsprinsippet, men denne rettigheten avfeies uten store betenkligheter. Innsigelsene og uttalelsene til Datatilsynet vedrørende konsesjonen til Simonsen Law ble ikke nevnt med et eneste ord i vedtaket, bare det at Datatilsynet utgav ved flere anledninger stor skepsis over konsesjonen og ønsket tydelig politisk behandling over spørsmålet burde fått noen varselsklokker å ringe. Denne informasjonen var absolutt ikke så vansklig å ffå tak i, bare et søk i Google eller på Datatilsynets hjemmesider så ser man straks skepsisen.

Men det foreligger jo bare et enkeltvedtak om en enkelhendelse.

Ironisk nok prøvde Willy Jensen å avfeie kritikken med at a) det foreligger kun et begrenset  enkeltvedtak og b) det skal foretas en domstolskontroll.
Det er greit at det skal foreta en domstolskontroll av overleveringen, men det er ikke problemstillingen. Problemstillingen er om det i det hele tatt skal være anledning til å gå så langt. Når man har tatt det store skrittet med å bringe vurderingen inn i domstolen, så har man brutt en usynlig grense. Det at Willy Jensen tydeligvis ikke har forstått dette, er beklaglig.
Vedrørende innsigelsen om at det kun foreligger et enkeltvedtak, så er det noe som heter at like saker skal behandles likt. Det kalles for likebehandlingsprinsippet, og det er ikke utvilsomt at vedtaket til post- og teletilsynet kan føre til flere henvendelser med henvisning til dette vedtaket. Det er da plutslig blitt vanskligere å sette ned foten, og retten til privatliv har blitt utvasket i større grad. Også den ulovlige overvåkningen startet sikkert i det små med gode grunner, men det endte opp med liten kontroll fra offentlige myndigheter. På slutten hadde det visstnok blitt nærmest ren rutine å fornye overvåkningstillatelsen. Hadde man hatt Twitter og moderne medier på den tiden, tror jeg neppe vi hadde hatt Lund- kommisjonen heller.