Avtale om Datalagringsdirektivet – Kortversjon - Høyre

Du finner fullversjonen i PDF-format nederst i artikkelen.

Avtalen innebærer endringer i norsk lovgivning om lagring og sletting av elektroniske trafikkdata og en gjennomføring av EUs datalagringsdirektiv i norsk rett.

Trafikkdata fra elektronisk kommunikasjon går nå fra å bli lagret av et kommersielt hensyn – fakturering - til et samfunnsmessig hensyn - kriminalitetsbekjempelse. I dag lagres trafikkdata i enkelte tilfeller uten lovhjemmel, ofte i for kort tid og i blant lengre enn tillatt. Regelverket partene har blitt enige om vil styrke personvernet på dette og andre områder.

Endringene som nå gjøres i ekomloven mv. sikrer at norsk politi får nødvendige verktøy og sikrer samtidig den enkeltes trygghet og personvern. Ekomtilbydere pålegges en plikt til å lagre data som sier noe om hvilke kommunikasjonsmidler som har vært i kontakt, hvor kommunikasjonen har funnet sted, når og hvordan.

For å ivareta personvernet innføres det strenge regler for uthenting, oppbevaring og sletting av data. Eksempler på dette er 6 måneders lagringstid, at politiet må ha rettens kjennelse ved utlevering av data, høy strafferamme og sletteplikt. Samtidig forutsetter vi at Datatilsynet styrker sin kontrollvirksomhet medekomtilbyderne.

Som følge av denne avtalen styrkes den enkeltes rettssikkerhet, personvern og trygghet.

Lagringstid og sletteplikt
Data som skal lagres som følge av datalagringsdirektivet, lagres i 6 måneder. Hensynet til personvern tilsier at de relevante data ikke skal lagres lengre enn hva som er strengt nødvendig av hensyn til kriminalitetsbekjempelse. Lagringsplikten avløses av sletteplikt, og det blir ytterligere tydeliggjøring av sletteplikten knyttet til lagringsplikten i ekomloven.

Ansvar for lagring og sanksjoner
Ekomtilbyderne selv skal ha ansvar for lagring. Personvern- og sikkerhetsmessige hensyn er vektlagt når det ikke foreslås å etablere en sentral lagringsløsning. Det er da opp til den enkelte tilbyder å velge lagringsløsning. Små tilbydere kan gå sammen om en felles lagringsløsning.

Det vil knyttes sanksjoner til brudd på konsesjonsvilkårene fastsatt i medhold av personopplysningsloven. Sanksjoner er straff i form av bøter eller fengsel. I tillegg kan det ilegges administrative sanksjoner i form av overtredelsesgebyr for manglende regeletterlevelse.

Personer som på vegne av den enkelte ekomtilbyder skal behandle data som faller under lagringsplikten, skal godkjennes (autoriseres) av ekomtilbyderen i hvert enkelt tilfelle:

 - Ved vurdering av om autorisasjon skal gis, og ved revurdering av om autorisasjon skal opprettholdes, følges gjeldende retningslinjer. Slike retningslinjer utformes av Datatilsynet og Post- og teletilsynet i fellesskap. Retningslinjene skal omtale behov for politiattest.

- Pålegg om taushet om det en person blir kjent med under behandlingen av lagringspliktige data, herunder etter at han fratrer sin stilling, samt undertegning av taushetserklæring.

- Ekomtilbyderen gjennomfører periodevise autorisasjonssamtaler med den autoriserte. Samtaler gjennomføres minst årlig, samt ved tiltreden og fratreden fra stilling.

- Ekomtilbyderen skal føre kontroll med at de personer som behandler data har god kunnskap om regelverket for tilgang til og beskyttelse av dataene.

Kryptering og lukket lagring
Datatilsynet gis myndighet til å gi pålegg til tilbydere om å foreta kryptering av data som faller under lagringsplikten. Omfanget av krypteringen, herunder knyttet både til lagring og forsendelse, fastsettes nærmere av Datatilsynet i det enkelte pålegg. Det skal utarbeides forskriftsbestemmelser for kryptering, som skal tilfredsstille etablerte internasjonale standarder.

Data undergis nødvendig sikring (lukket lagring):

- Krav om identitetskontroll ved innpassering til de lokaler hvor data lagres.

- Adgang til de lokaler hvor data lagres og tilgang til data som er omfattet av lagringsplikten gis kun til personell som har tjenstlig behov for adgang og tilgang og har autorisasjon til det.

- Lagringsmediet og omgivelsene rundt sikres fysisk, slik at uvedkommende ikke får adgang til området uten at det etterlater spor.

- Lagringsmediet sikres elektronisk (”brannmur” mv).

- Det skal ikke være anledning til eksternt å koble seg til lagringsmediet, dvs. at data ikke kan hentes ut ”on-line”.

- Enhver forsendelse av lagringspliktige data over landegrensene skal sikres ved at krypteringsteknologi anvendes. Nasjonal sikkerhetsmyndighet gir retningslinjer for hvilken krypteringsgrad som er nødvendig for å ivareta sikkerheten.

Sporbarhet
Enhver bruk av lagrede data skal kunne spores for å forhindre uautorisert bruk. Med dette menes at det i ettertid kan konstateres hva som er gjort i et dataanlegg/informasjonssystem, herunder hvem som har fått tilgang til opplysningene og at all elektronisk behandling av opplysninger, skal være sporbare.

Vilkår for utlevering
Data bare skal utleveres etter rettens kjennelse i saker der det foreligger skjellig grunn til mistanke om en straffbar handling som kan medføre fengsel i 4 år eller mer.

Basestasjonssøk er mest inngripende i forhold til personvernet, blant annet fordi man da får med seg mye overskuddsinformasjon. Utlevering av data etter basestasjonssøk forutsetter rettens kjennelse og at den straffbare handlingen kan medføre straff av fengsel i 5 år eller mer.

I begge tilfeller skal utlevering av data kunne skje dersom handlingen er utøvet som ledd i organisert kriminalitet og kan straffes med fengsel i 3 år eller mer.

Det åpnes også for utlevering i enkelte andre typer saker som vil være særlig vanskelige å etterforske uten tilgang til data. I dag er det ingen krav til den straffbare handlingens alvorlighetsgrad. Med denne lovendringen blir terskelen for å hente ut trafikkdata derfor vesentlig høyere. Strafferammekrav sikrer at innhenting av data bare kan skje i forbindelse med etterforskning av alvorlig kriminalitet.

Domstolbehandling
Utlevering av trafikkdata skal domstolsbehandles. For at domstolene sikres nødvendig kompetanse innen personvern og tekniske spørsmål, skal regjeringen sørge for at det gjennomføres kompetansehevende tiltak. For å sikre at hastebestemmelsen ikke brukes unødig mye, skal én domstol ha en vaktordning, for å sikre kontinuitet og tilgjengelighet hos domstolene.

Utenfor domstolenes ordinære kontortid fremsettes begjæringer om utlevering for Oslo tingrett etter nærmere bestemmelser gitt av departementet.

Hastekompetansen for påtalemyndigheten er subsidiær i forhold til å begjære rettens samtykke uavhengig av om det er tale om samtykke fra den stedlige rett eller fra vakthavende Oslo tingrett. Dette gjelder tilsvarende for basestasjonssøk.

Det skal føres statistikk over bruken av beredskapsordningen og hastebestemmelsene. Bruken av hastebestemmelsene er et av de forholdene som skal være gjenstand for en evaluering.

Politiregisterloven
Lov om behandling av opplysninger i politiet og påtalemyndigheten (politiregisterloven) og endringer i ekomloven og straffeprosessloven mv. (gjennomføringen av EUs datalagringsdirektiv i norsk rett) trer i kraft samtidig, og senest 1. april 2012.

De elementer av politiregisterloven som gjelder logging og registrering av politiets bruk av data, forutsetter betydelige endringer i politiets IKT-systemer. Fornyelse av politiets IKT-systemer skal prioriteres og følges opp, slik at gjenstående elementer i politiregisterloven kan tre i kraft raskt.

Styrking av Datatilsynet
Datatilsynet styrker sin kontrollvirksomhet rettet mot ekomtilbydere og justissektoren/politiet betydelig, herunder overholdelse av sletteplikt, lagringstid og sikring av lagrede data, inkludert lagringssted.

Ekomtilbydernes behandling av lagringspliktige data vil bli gjenstand for særlig oppmerksomhet i Datatilsynets tilsynsvirksomhet.

Evaluering
Etter en periode på fire år etter ikrafttredelsen skal foretas en evaluering for å undersøke om lovgivningen og tilhørende forskrifter har virket etter sin hensikt.

Følgende punkter bør inkluderes i en slik evaluering:

- Politiets bruk av hastekompetanse

- Lagringstid

- Vilkårene for utlevering av data i etterforskningsøyemed

- Erfaringer med domstolskontroll

- Lagringssikkerhet og personvern hos både ekomtilbydere og politiet

- Konkurransesituasjonen i ekommarkedet

- Eventuelle andre relevante forhold

Evalueringen skal legges frem for Stortinget på egnet måte senest fem år etter ikrafttredelse.

Styrking av personvernet
Det vil legges fram en egen stortingsmelding om personvern. Et grunnleggende personvernprinsipp er den enkeltes kontroll over egne personopplysninger og retten til å vite hvilke opplysninger andre behandler og hvem disse opplysningene overføres til. Stortingsmeldingen særlig drøfte dette prinsippet og hvordan det kan ivaretas, blant annet gjennom logging av hvem som får tilgang til opplysningene og den enkeltes innsyn i disse loggene.

Et grunnleggende prinsipp er at enhver har rett til innsyn i hvem som får tilgang til opplysninger om en selv. Plikten til logging og retten til innsyn i egen logg skal være det bærende prinsipp for alle større offentlige og private registre. I den avtalte stortingsmeldingen om personvern skal det drøftes hvilke avgrensninger som bør gjøres i loggplikten, innsynsretten, omfanget av innsynet i det enkelte forhold og framdriften i arbeidet med å virkeliggjøre prinsippet. Skattelistene er unntaket.

Personvernet skal også sikres gjennom å:

a) Be regjeringen sikre at det legges til rette for loggføring av interne oppslag i personregistre med sensitive personopplysninger i NAV, jf personopplysningsloven med forskrifter, og i behandlingsrettede registre i helsevesenet, jf helseregisterloven.

b) Legge til grunn at regjeringen sikrer at den registrerte gis innsyn i logg fra behandlingsrettet helseregister om hvem som har hatt tilgang til helseopplysninger om ham eller henne, det vil si innsyn i blant annet journal- og informasjonssystemer, jf helseregisterloven.

c) Ber regjeringen sørge for at det etableres systemer for logging av elektroniske spor ved all tilgang til Norsk pasientregister (NPR), som forutsatt i forskrift om innsamling og behandling av helseopplysninger i Norsk pasientregister (NPR), hjemlet i helseregisterloven. Det skal også være utarbeidet oversikt over hvem som har fått utlevert opplysninger fra NPR, samt hjemmelsgrunnlaget for utleveringen. Oversikt over utleveringer skal også være utarbeidet for de øvrige sentrale helseregistrene.

d) Sikre at Arbeids- og velferdsetaten fortsatt avskjæres fra å innhente trafikk- og lokaliseringsdata fra elektronisk kommunikasjon, jfprop. 49 L (2010-2011).

e) Be regjeringen i forbindelse med framlegging av egen stortingsmelding om Personvernsspørsmål gjennomgå og vurdere rutiner og praksis for håndtering av taushetsbelagt informasjon i Arbeids- og velferdsetaten.

f) Følge opp trygdelovens bestemmelse om at NAVs mulighet til å innhente fullstendig journal kun gjelder ved mistanke om trygdemisbruk hos behandlende helsepersonell og sørge for at fullstendige journaler utelukkende behandles i Arbeids- og velferdsetatens særskilte kontrollenheter.

g) Viser til at det i henhold til politiregisterloven skal etableres en ordning med personvernrådgiver i justissektoren. Regjeringen bør sørge for at det etableres ordning med personvernrådgiver/-koordinator ved større statlige etater som behandler sensitive personopplysninger og at dette skal gjøres i NAV og helsesektoren.

h) Be regjeringen styrke ivaretakelse av arbeidstakernes personvern i arbeidsmiljølovens kapittel 9, slik at personvern synliggjøres i HMS-arbeidet.

i) I påvente av avklaring av muligheter for å begrense innsyn i lovlig lagrede data i elektroniske betalingsanlegg, er partene enige om at bomselskapene ikke skal utlevere passeringsopplysninger til ligningsmyndighetene.

Pressens kildevern
Pressens kildevern er særdeles viktig i en tid der ny teknologi har skapt store utfordringer for personvernet. Det er viktig å styrke journalistenes kildevern, og at en god måte å gjøre dette på er å oppstille begrensninger i adgangen til å avlytte telefoner eller lokaler som brukes av journalister, og til å bruke slike opptak som bevis.

Det er behov for å endre straffeprosessloven slik at journalister får et særskilt vern mot romavlytting, på linje med det som tilkommer avlytting av de øvrige yrkesgrupper som nå er nevnt i loven, og at man ber regjeringen fremme et slikt lovforslag som ledd i oppfølgningen av NOU 2009: 15.

Taushetsplikt
Det er avgjørende for personvernet til de som opplever at trafikkdata om dem blir gjenstand for etterforskning, at de som i sitt arbeid kan få tilgang til slike data, har taushetsplikt. Det er behov for å oppstille en straffesanksjonert taushetsplikt for advokater, og at man ber regjeringen fremme et slikt forslag som ledd i oppfølgningen av NOU 2009: 15.

Nødrett
Utlevering av data i nødrettssituasjoner ikke er lovregulert. Et krav til mistanke mot en konkret person kan være et problem for uthenting av data i en nødrettssituasjon. Blant annet derfor er kravet til mistanke i lovforslaget nå bare knyttet til skjellig grunn til mistanke om straffbar handling.

Utlevering av data i nødrettssituasjoner som ikke oppfyller vilkårene i lovforslaget (straffeprosessloven §§ 210 b og 210 c) vil imidlertid fortsatt skje på ulovfestet grunnlag. Generelt innebærer utlevering på ulovfestet grunnlag muligheten for en rask innhenting av data i en nødrettssituasjon. På den annen side er lettere tilgjengelighet et argument for å lovfeste reglene.

Det er bl.a. viktig i lovarbeidet å sikre at utlevering bare skjer i de situasjoner hvor man mener de hensynene som tilsier det er tilstrekkelig tungtveiende. Det er uheldig både om man stenger noen muligheter ute eller favner for mange situasjoner.

Et lovforslag om nødrett blir sendt på høring.