Den regjeringsoppnevnte Personvernkommisjonen fra mai 2007 publiserte i går en uttalelse (pdf) om EU-direktiv 2006/24, kjent som datalagringsdirektivet. Direktivet pålegger teleoperatører og internettilbydere å lagre trafikkdata for telefoni og annen elektronisk kommunikasjon i minst seks måneder slik at politiet kan få et bedre grunnlag for å etterforske terror.
Det norske politiet har bedt om at Norge pålegger operatørene 12 måneders lagringstid. Datatilsynets leder Georg Apenes har karakterisert dette som totalitært svermeri. Innen IKT-bransjen er det betydelig motstand mot direktivet. Bransjeorganisasjonen IKT-Norge publiserte i går en betenkning fra to eksperter innen EU/EØS-rett som konkluderer med at direktivet kan være i strid med EU/EØS-avtalen.
Personvernkommisjonen er klart skeptisk til direktivet. I uttalelsen heter det:
– Vi kan ikke støtte innføring av direktivet uten at behovet for utvidet lagring er bedre dokumentert… Vi utelukker ikke at trafikkdata kan være viktige for politiet ved etterforskning og oppklaring av kriminelle handlinger, men vi stiller oss likevel kritisk til beslutningsgrunnlaget for den omfattende lagringsplikten som følger av direktivet. Derfor etterlyser kommisjonen dokumentasjon av politiets og andre myndigheters behov for trafikkdata i det omfang som følger av direktivet.
Det pekes på at forskning fra blant annet Tyskland sår tvil om betydningen av trafikkdata for oppklaring av kriminalitet. Kripos argumenterer for at noe annet er tilfelle i Norge, men dette er ikke begrunnet gjennom uavhengige undersøkelser.
Derfor mener kommisjonen at det må legges fram en «grundig klargjøring i form av dokumentasjon av behovet for lagring (både lagringstid og omfanget av opplysninger) og en grundig konsekvensutredning». Det presiseres at denne konsekvensutredningen skal omfatte «både personvernmessige konsekvenser av en eventuell innføring og konsekvenser for politiet og kriminalitetsbildet dersom Norge ikke innfører direktivet.»
I uttalelsen pekes det på hvordan også andre etater enn politiet med god grunn vil kunne hevde at samfunnet vil bli tryggere ved at også de får tilgang til trafikkdata:
– Kredittilsynet og tollvesenet kan finne gode begrunnelser for at tilgang til trafikkdata vil bistå disse etatene i sitt arbeid. Helsevesenet kan argumentere for at kartlegging av sosiale kontaktnett gjennom trafikkdata kan redde liv og helse når man trenger å spore bærere av alvorlige smittsomme sykdommer. Nød- og redningsetater vil kunne argumentere for at trafikkdata vil kunne hjelpe dem med sporing av savnede personer.
Hver for seg kan disse formålene være gode, men den samlede bruken kan utgjøre en alvorlig trussel mot personvernet, sier kommisjonen.
Uttalelsen advarer at selv om direktivet ikke berører formelle friheter, og selv om de registrerte data kun er tilgjengelige for politiet under regulerte forhold, kan den omfattende lagringen av trafikkdata få negative følger for demokratiet og borgernes praktisering av frimodighet.
– Allerede vissheten av at noen kan lete seg fram til dine kontakter og dine bevegelser, både i det virkelige rommet og på Internett, kan være nok til å hemme borgere i utøvelsen av sine friheter til å samles, til å ytre seg og til å søke opplysninger. Dette er grunnleggende rettigheter i et demokrati, som kommer til uttrykk både i norsk lovgivning og i Den europeiske menneskerettskonvensjon (EMK). Etter kommisjonens oppfatning vil innføring av direktivet kunne svekke opplevelsen av privatliv og privat kommunikasjon.
Kommisjonen peker på at menneskerettskonvensjonen stiller svært strenge krav til inngrep i personvernet: De må være nødvendige i et demokratisk samfunn. Argumenter om at et tiltak er hensiktsmessig, rimelig eller ønskelig, holder ikke. Det må argumenteres med at inngrepene mot personvernet er nødvendige, at de uttrykker et presserende behov i samfunnet.
Et annet krav til inngrep i personvernet er at det skal være proporsjonalt i forhold til formålet som ønskes oppnådd:
– Den omfattende lagringsplikten som følger av direktivet kan etter Personvernkommisjonens oppfatning være problematisk i forhold til nødvendighetsprinsippet og proporsjonalitetsprinsippet.
Det har vært pekt på at trafikkdata lagres allerede i dag, av faktureringshensyn, og argumentert till støtte for direktivet at det ikke medfører noen vesentlig endring i forhold til dagens praksis.
Dette avviser Personvernkommisjonen i fire klare punkter:
- Direktivet innebærer lagring av nye typer data, som for eksempel geolokaliseringsdata og e-postlogger.
- Direktivet medfører lengre lagringstid enn det som følger av dagens praksis.
- Direktivet berører langt flere organisasjoner enn det som er tilfellet i dag, blant annet mange ISP-er.
- Direktivet gir et nytt normativt grunnlag for lagring av trafikkdata. Det innføres en plikt til å lagre for andre formål enn faktureringsformål, og man går fra en rett til å lagre opplysninger for visse formål, til en plikt til å lagre dem.
– Disse forholdene må hensyntas i vurderingen av om og eventuelt hvordan direktivet skal innføres i norsk rett, slår Personvernkommisjonen fast.
Dersom Norge skulle innføre EUs datalagringsdirektiv, stiller Personvernkommisjonen klare krav.
De mener at lagringstiden må gjøres så kort som mulig, og at det må knyttes klare vilkår til sikkerheten rundt lagringen:
– Dersom lagring i en så omfattende skala som direktivet legger opp til blir gjennomført, må det fra myndighetens side settes krav til sikring i form av kryptering og deponeringsmekanismer som hindrer at så vel teletilbyderen selv, som myndighetene, kan få tilgang til lagrede data før korrekt rettslig grunnlag for tilgang kan fremlegges. Det må også sikres at enhver tilgang som gis, avgrenses til de data det skal være lovlig tilgang til.
Dette innebærer at det må utvikles «nye, finmaskede systemer for tilgangskontroll og datasikring som, så vidt Personvernkommisjonen har kjennskap til, ikke er tilgjengelig på markedet i dag.»
Les også:
- [10.02.2009] EU-domstol tviholder på lagringsdirektiv
- [30.07.2008] Lyse bøyer av for Datatilsynets krav
- [29.07.2008] Disse operatørene lagrer for mye og for lenge
- [12.06.2008] Norge kan slippe EU-direktiv om datalagring
- [17.03.2008] Ett parti kan avgjøre datalagringsdirektiv
- [11.03.2008] Skal diskutere datadirektivet på Stortinget
- [11.03.2008] Advarer mot følelser i strid om EU-direktiv
- [11.03.2008] EU-ungdom krever veto mot datalagring
- [25.01.2008] «Totalitært svermeri» i Norges politi