Rådets enighet om ePrivacy åpner for datalagring

Etter mer enn fire år med forhandlinger er medlemslandene enige om et forhandlingsmandat for kommunikasjonsvernforordningen (ePrivacy). Ett av de temaene som har splittet landene er datalagring. I det vedtatte mandatet har man forsøkt å tolke EU-domstolens avgjørelser fra høsten 2020 om datalagring, og har endt opp med at datalagring knyttet til nasjonal sikkerhet ikke skal være en del av forordningens virkeområde. Dette er relevant for den nye norske etteretningstjenesteloven, hvor deler av loven er utsatt fordi regjeringen ønsker å analysere konsekvensene av EU-domstolens uttalelser. Rådets enighet åpner for trilogforhandlinger med Kommisjonen og Parlamentet, som er ventet å bli vanskelige, Rådets mandat er mindre forpliktende enn Kommisjonens opprinnelige forslag, mens Parlamentets vedtak er mer personvernvennlig enn Kommisjonens utgangspunkt. Blant annet ønsker ikke Rådet å forby såkalte «cookie walls», og de vil tillate prosessering av metadata for andre formål enn det de ble innsamlet for.

Forslaget til kommunikasjonsvernforordning (ePrivacy) ble lagt frem av Kommisjonen i januar 2017, og skal erstatte dagens kommunikasjonsverndirektiv. Forordningen gir et regulativt rammeverk for behandling av elektroniske kommunikasjonsdata, hvor det overordnede målet er å gi digital kommunikasjon det samme personvernet som tradisjonell telekommunikasjon. Parlamentet vedtok formelt sitt forhandlingsmandat 26. oktober 2017, mens det har vært vanskelig for medlemslandene å enes om et mandat.

Ifølge kompromissforslaget som ble vedtatt av Rådets underutvalg 10. februar, vil ePrivacy-forordningen omfatte elektronisk kommunikasjonsinnhold som sendes via offentlige tilgjengelige tjenester og nettverk, og metadata tilknyttet denne kommunikasjonen, som sted, tidspunkt og mottaker. Regelverket skal tre inn når sluttbruker befinner seg i EU, men omfatter også tilfeller hvor behandlingen finner sted utenfor EU, eller hvor tjenestetilbyderen er etablert eller befinner seg utenfor EU. Regelverket vil omfatte datakommunikasjon mellom maskiner (tingenes internett) som sendes via et offentlig nettverk.

Kommunikasjonsdata er i utgangspunktet fortrolige, men Rådets vedtak åpner for behandling av kommunikasjonsdata uten brukerens samtykke, for eksempel ved «sikring af kommunikationstjenesters integritet, kontrol af forekomsten af malware eller virus eller tilfælde, hvor tjenesteudbyderen er bundet af EU-retten eller medlemsstaternes lovgivning med henblik på retsforfølgning af strafbare handlinger eller forebyggelse af trusler mod den offentlige sikkerhed».

Rådet inntar en mindre streng holdning enn Parlamentets vedtak, skriver Agence Europe, blant annet ved å tillate prosessering av metadata for andre formål enn det de ble innsamlet for. Rådet forbyr heller ikke såkalte «cookie walls», hvor brukere må godkjenne alle informasjonskapsler for å få tilgang til en tjeneste. Dato for anvendelse av forordningen er utvidet fra 12 måneder til 24 måneder etter ikrafttredelse. Det portugisiske formannskapet gjorde også flere presiseringer under Coreper-møtet, knyttet til lagring av data for offentlige sikkerhetsformål (artikkel 7), og utelukkelse av nasjonal sikkerhet fra forordningens virkeområde. Frankrike skal ha holdt tilbake støtten til den vedtatte teksten, inntil formannskapet gjorde disse justeringene.

Rådets mandat forsøker også å tolke uttalelser om datalagring som EU-domstolen har kommet med og inkludere dem i teksten, ifølge Agence Europe. EU-domstolen konkluderte i oktober 2020 med at kommunikasjonsverndirektivet er til hinder for en generell datalagring. Domstolen anerkjente samtidig slik lagring som et ledd i bekjempelsen av alvorlig kriminalitet og trusler mot den nasjonale sikkerheten. Slike inngrep i grunnleggende rettigheter må imidlertid være tidsbegrenset, skje etter objektivt etterprøvbare kriterier og være ledsaget av rettssikkerhetsgarantier i form av kontroll av en domstol eller en uavhengig administrativ myndighet som kan avsi bindende avgjørelser.

I lovproposisjonen til etterretningstjenesteloven fremgår at Norge innga skriftlig tredjepartsinnlegg til domstolen i en av sakene EU-domstolen uttalte seg om i oktober 2020, C-623/17, samt holdt innlegg under den muntlige høringen. Saken dreier seg om en britisk lov om sikkerhets- og etterretningstjenestenes innhenting av kommunikasjonsdata for å ivareta nasjonal sikkerhet. I likhet med et stort flertall andre stater som innga innlegg, ga Norge uttrykk for at tiltak innen nasjonal sikkerhet ikke omfattes av kommunikasjonsverndirektivets virkeområde.

Etteretningstjenesteloven trådte i kraft 1. januar 2021. Forsvarsdepartementet varslet 10. november 2020 at de utsetter ikrafttredelse av to av kapitlene i loven for å gjøre en grundig analyse av EU-domstolens tolkningsavgjørelser fra oktober 2020: «Vi er i gang med å analysere avgjørelsene for å se i hvilken utstrekning de har betydning for den norske etterretningstjenesteloven. Avgjørelsene i EU-domstolen knytter seg til britisk, fransk og belgisk lovgivning, som på flere punkter skiller seg fra den norske etterretningstjenesteloven. Den norske åpner ikke for generell og udifferensiert innsamling av kommunikasjonsdata», uttalte forsvarsminister Frank Bakke-Jensen.

Det portugisiske formannskapet er det niende formannskapslandet som har arbeidet med ePrivacy-forordningen, og den vedtatte teksten bygger i stor grad på kompromissforslaget fra det finske formannskapet, som ble lagt frem 26. juli 2019. Sentralt her var endringsforslag om behandling av kommunikasjonsdata, inkludert lagring/sletting, bruk av data for sporing av barneporno, og retten til anonymitet. Digitaliseringsminister Nikolai Astrup sendte 26. juni 2019 et brev til det finske formannskapet med innspill om endringer i artikkel 15 om at man må gi samtykke hvis man skal søke på annet enn navn (f.eks. telefonnummer) i nummeropplysningen. Den finske kompromissteksten tok tilsynelatende hensyn til det norske innspillet for dagens nummeropplysningstjenester, og dette er videreført i kompromissteksten til det portugisiske formannskapet (se punkt 4a, s. 71).

Reaksjonene på Rådets forhandlingsmandat har vært delte. Leder av det tyske datatilsynet, Ulrich Kelber, kritiserer vedtaket i en uttalelse: «If the e-Privacy Regulation remains as the Council of the EU has adopted it today, it would be a serious blow to data protection. I urgently call on the European Parliament and the EU Commission to stand up for an increase in the level of data protection during the trilogue negotiations». Kelber peker spesielt på endringene knyttet til datalagring, og er kritisk til at «cookie walls» kan bli lovlige igjen, etter at de ble kjent ugyldige med innføringen av personvernforordningen (GDPR). Kelber er også kritisk til at ePrivacy-forordningen åpner for prosessering av brukeres metadata for andre formål uten å innhente tillatelse, hvis formålet er kompatibelt med brukerens opprinnelig tillatelse: «I am baffled at this encroachment into basic rights of European citizens».

Ansvarlig saksordfører for Parlamentet, Birgit Sippel (S&D, Tyskland), sier til Politico at forhandlingene vil bli vanskelige, men at det alltid er mulig å komme frem til et kompromiss. Sippel mener Rådets mandat ikke gjør nok for å beskytte grunnleggende rettigheter. Også skyggesaksordfører for De Grønne, Patrick Breyer (Tyskland), retter i en uttalelse kritikk mot medlemslandene: «EU governments are trying to hijack this reform to legalize mandatory and voluntary data retention and forced tracking of our online activities. Blanket and indiscriminate data retention has been repeatedly stopped by the ECJ. It is the most privacy-invasive and unpopular surveillance measure of all. By including these measures in their position, EU governments could as well rename the ePrivacy regulation to ‘dePrivacy’ regulation».

Bransjeorganisasjonen Digital Europe er positiv til Rådets vedtak: «The Council shows a more balanced ePrivacy Regulation is possible – the Parliament should follow suit». Telekomorganisasjonene ETNO og GSMA er også positive til vedtaket: «The introduction of the principle of compatible further processing of metadata, and of the risk-based approach, are important steps in the right direction when it comes to aligning the ePrivacy with the GDPR».

Kontaktinfo

Stortingsbiblioteket: bibl@stortinget.no
Ansvarlig: Jeannette Berseth


Sist oppdatert: 17.02.2021 10:10