Prosessen som endret datalagringsdirektivet

EUs datalagringsdirektiv er av flere grunner et uvanlig direktiv. Ikke bare er innholdet kontroversielt, direktivet ble også vedtatt under uvanlige omstendigheter. Og ikke minst har iverksettingsfasen variert mer enn det som er vanlig for EU-direktiver: Både tidspunkt for implementering i nasjonal rett og måten direktivet har blitt gjennom-ført på varierer stort mellom medlemslandene. I dag har de fleste av EUs medlemsland iverksatt direktivet, men enkelte land har sagt fra til EU-kommisjonen at de er forsinket. Sverige og EFTA-landene (deriblant som kjent Norge) står i en særstilling ettersom de ikke har begynt prosessen med å igangsette direktivet.

Direktivet pålegger medlemslandene å sørge for at tjenesteleverandører lagrer all trafikkdata i en periode på mellom seks måneder og to år. Periodens lengde innenfor dette intervallet er det opp til medlemslandene selv å avgjøre. Medlemslandene bestemmer også selv i hvilken grad landets myndigheter skal kompensere for kost-nadene direktivet påfører tjenesteleverandørene, noe som har åpnet for store variasjoner i hvordan direktivet etterleves.
Svært mye av kontroversen rundt direktivet (i særlig grad i Norge, men også i andre land) dreier seg om personvern. En sentral kritikk som er rettet mot direktivet er at det ikke står i stil med truslene det skal bekjempe: Gir man ikke kast på personvernet og privatlivets fred hvis man går inn for å overvåke alle borgere for å bekjempe et kriminelt mindretall? Selv om personvernet har stått i sentrum for pressens dekning av direktivet, er det flere økonomiske og politiske årsaker til at direktivet har vært så vanskelig å gjennomføre.


TELEKOMINDUSTRIENS motstand har vært en sentral årsak til at det har vært vanskelig å iverksette direktivet. Motstanden har vært større enn forventet. Et av EU-kommisjonens hovedargumenter for direktivet har hele tiden vært at det var nødvendig for å sikre rettferdig konkurranse i det indre markedet. I en uttalelse fra 2004 sier EU-kommisjonen at «fra et indre markedsperspektiv er en proporsjonal og konsistent tilnærming [til datalagring] i alle medlemsland ønsket».1 Med andre ord ønsket man lik lagringsplikt og lik lagringstid i alle EUs medlemsland. Telekomaktørene var derimot svært skeptiske til konsekvensene av direktivet, og sto for mesteparten av lobbyvirksomheten mot direktivet i forkant av vedtaket i EU-parlamentet 15. mars 2006.

Mye av skepsisen bunnet i de potensielle kostnadene. Siden 2005 har antallet e-poster sendt årlig i verden økt fra 31 milliarder i 2005 til 60 milliarder i 20062 og 210 milliarder i 2008.3 Kostnadene ved lagring av trafikkdata over lengre tid er derfor blitt betydelige. I tillegg til kostnadene fryktet telekomoperatørene konsekvensene av å bli assosiert med politiet. Representanter fra telekomindustrien uttalte at de ikke så noen grunn til å ta del i lovhåndhevning siden dette tradisjonelt har vært statens ansvar.4

Det gjorde ikke situasjonen bedre for telekomindustrien at direktivet gjør det opp til medlemslandene selv å bestemme i hvilken grad landets myndigheter skal kompensere for disse kostnadene. Bare to medlemsland (Tsjekkia og Storbritannia) har bestemt at det skal være full kostnadskompensasjon for de berørte tjenes-televerandørene, mens en rekke medlemsland (særlig i Øst-Europa) har sagt til EU-kommisjonen at de ikke vil gi noen kompensasjon til sin industri. Tyskland, Ne-derland og Finland har valgt en mellomposisjon der de delvis dekker industriens kostnader.5 Det har ikke kommet noen signaler om at norske politikere vil gjøre noe annet enn å velge en modell med full kostnads-kompensasjon til norske tjenesteleverandører, hvis de bestemmer seg for å innføre direktivet. Disse forskjellene betyr at datalagringsdirektivet, mot den opprinnelige hensikt, skaper konkurransevridning innad i EU ettersom industrien i noen land må ta større del av kostnadene enn andre.


KONTROVERSENE RUNDT direktivets innhold til tross, nøkkelen til å forstå vanskelighetene EU opplever med å iverksette datalagringsdirektivet ligger ikke bare i direktivets innhold, men også i måten direktivet har blitt behandlet på i EU-systemet.
De første dokumentene som pekte fram mot et datalagringsdirektiv, kom like etter 11. september 2001. Siden ble en rekke forslag lagt fram før direktivet slik vi kjenner det i dag ble vedtatt av EU-parlamentet og EU-rådet i 2006.

Går vi tilbake til tiden like etter terrorangrepene i New York i 2001, var alle forutsetningene til stede for å få direktivet raskt og effektivt vedtatt og implementert i med-lemslandenes lovverk. Mye tyder på at det på denne tiden var stor vilje til å gjennomføre direktivet både i EU-kommisjonen og blant flere av medlemslandenes myndigheter.
Storbritannia er et talende eksempel på denne politiske viljen i medlemslandene. Prosessen som ledet til datalagringsdirektivet, skjøt for alvor fart etter terrorangrepene i London i juli 2005, og Storbritannia hadde på dette tidspunktet (i andre halvdel av 2005) formannskapet i EU. Datalagringsdirektivet ble en fanesak i Storbritannias formannskapsperiode. Ifølge EUs informasjonstjeneste Euractiv6 skal en talsmann for britene i september 2005 ha sagt at «det aller viktigste er å få dette på plass raskt». Til tross for viljen hos medlemslandene, slik som Storbritannia, til å vedta datalagringsdirektivet skulle ikke resten av prosessen gå smertefritt for seg.

I selve EU-systemet var den politiske viljen også stor i etterkant av terrorangrepene i New York. I to av EUs policy-dokumenter om sikkerhet fra begynnelsen av 2000-tallet – The European Security Strategy: A Secure Europe in a Better World (12. desember 2003) og The Decleration on Combating Terrorism (24. mars 2004) – er det flere referanser til terrorangrepene. I disse dokumentene anbefales det at medlemsland i framtiden samarbeider om lovhåndheving generelt, og om utveksling av trafikkdata spesielt. I The European Security Strategy står det at EU «[…] etter 11. september har svart med tiltak som den europeiske arrestordren, vedtak for å bekjempe terror-finansering og en avtale om gjensidig juridisk assistanse med USA. EU fortsetter å utvikle samarbeidet på dette området».7 Videre vektlegges det i The Decleration on Combating Terrorism at det er ønskelig å få på plass lovgivning om datalagring hurtig. Det framheves at prioritet bør gis til «forslag [om] lagring av kommunikasjonstrafikkdata og utveksling av informasjon om terrorismedommer.»8

Franceska Bignami, jusprofessor ved Yale Law School, mener det skjedde en endring i EUs politikk for personvern og databeskyttelse etter tusenårsskiftet. Fokuset flyttet seg fra regulering av markedsaktørers tilgang til data på 1990-tallet til å beskytte privat data fra politi og andre myndigheter på 2000-tallet. «Nå er utfordringen å beskytte personvernet mot myndigheter som utøver makt på sine grunnleggende myndighetsområder: innenriks politimyndighet og nasjonal sikkerhet,» mener Bignami,9 som beskriver datalagringsdirektivet som «den første EU-loven som tar for seg datasikkerhet som en del av kriminalitetsbekjempelse».10


DE ULIKE HENSYNENE som datalagringsdirektivet skulle ivareta – å tilrettelegge for det indre markedet, samt å gjøre det enklere å samarbeide om kriminalitetsbe-kjempelse over landegrensene – gjorde at det oppsto store uenigheter om hvilken pilar datalagringsdirektivet skulle bli plassert under. I EUs pilarstruktur, som mer eller mindre er blitt avviklet med Lisboa-traktaten, inneholdt førstepilaren det indre markedet (Norge og de andre EFTA-landene plikter gjennom EØS-avtalen å innføre alt som EU plasserer under denne pilaren). Videre inneholdt andrepilaren FUSP (felles utenrikspolitikk) og tredjepilaren EUs politi- og justissamarbeid.

Det første utkastet for et datalagringsdirektiv – som ble fremmet av Frankrike, Sverige, Irland og Storbritannia i 2004 – ble plassert under tredjepilaren, politi- og jus-tissamarbeidet. Den versjonen av direktivet som til slutt ble vedtatt var derimot plassert under førstepilaren. I denne sammenhengen er det vesentlig at det i de to pila-rene er ulike beslutningsprosedyrer. I tredjepilaren kreves det enstemmighet i EU-rådet, mens kvalifisert flertall er nok i førstepilaren. Mange medlemsland var ikke for-nøyd med avgjørelsen om å legge direktivet under førstepilaren, og Irland og Slovakia valgte i juli 2006 å klage EU-parlamentet og EU-rådet inn for EU-domstolen for å ha vedtatt direktivet under feil rettslig hjemmel. Nesten tre år senere, 10. februar 2009, fastslo EU-domstolen at direktivet var plassert riktig.
At direktivet byttet pilar fra tredje til første, ledet utvilsomt til en utvidet konfliktperiode i EU. Dette gjorde mobilisering mot direktivet mulig i en rekke medlemsland. Betydelig kritikk ble i denne perioden rettet mot direktivet både fra interesseorganisasjoner, bloggesfæren og media.

© norske LMD



1 European Commission. 2004. DG INFSO ? DG JAI Consultation document on traffic data retention. Tilgjengelig på http://www.statewatch.org/news/2004/aug/consult-data-retention.pdf

2 Fanny Coudert et. al. «Data Protection in the Third Pillar: In the Aftermath of the ECJ Decision on PNR Data and the Data Retention Directive», International Review of Law Computers, Technology 21 (3), ss. 347?362.

3 Martin Willcox, «Towards the Assessment of the EU Data Retention Directive», Platform on electronic data retention for the investigation, detection and prosecution of serious crime, Brussel, 14. mai 2009.

4 Fanny Coudert et. al., se over.

5 EU-kommisjonen. «Transposition of Directive 2006/24/EC(Data Retention) by EU Member States and EFTA», 2009. Tilgjengelig på http://www.dataretention2009.eu/files/Transposition-of-2006-24-EC-by-MemberStates-Status-January-2009.pdf

6 «Commission wants phone data to be stored for one year», Euractiv 21. september 2005.

7 A Secure Europe in a Better World. European Security Strategy, Brussels. 12. December 2003. Tilgjengelig på http://www.consilium.europa.eu/uedocs/cmsUpload/78367.pdf

8 The Decleration on Combating Terrorism, tilgjengelig på http://www.consilium.europa.eu/uedocs/cmsUpload/79635.pdf

9 Franceska Bignami, «Protecting Privacy Against the Police in the European Union: The Data Retention Directive», Chicago Journal of International Law, vår 2007.

10 Bignami, se over, s. 1