EUs regelverk
EUs bestemmelser om kommunikasjonsvern er i hovedsak fastsatt i kommunikasjonsverndirektivet (2002/58/EF) med senere endringer.
Kommunikasjonsverndirektivet er innlemmet i EØS-avtalen. Direktiv 2009/136/EF som endret kommunikasjonsverndirektivet, er ikke innlemmet i EØS-avtalen, men Norge har tilpasset det norske regelverket.
Kommunikasjonsverndirektivet med senere endringer er i all hovedsak gjennomført i norsk rett gjennom ekomloven. Skranker for nasjonale myndigheters kompetanse fremgår av direktivets artikkel 5 nummer 1 og 15 nummer 1, samt personvernforordningen (2016/679 EU) artikkel 23.
Ekomdirektivet inneholder enkelte bestemmelser som også har betydning for
kommunikasjonsvern. Bestemmelsene om sikkerhetstiltak og varslingsplikt i artikkel 40 vil også være viktige bestemmelser for å kunne ivareta kommunikasjonsvernet. I tillegg henviser kommunikasjonsverndirektivet artikkel 2 om definisjoner som et utgangspunkt til rammedirektivets definisjonsbestemmelser som nå erstattes av ekomdirektivet, jf.
ekomdirektivet artikkel 124 nummer 1 annet ledd. I tillegg til kommunikasjonsverndirektivet, inneholder også personvernforordningen viktige bestemmelser for kommunikasjonsvernet.
Tilbyders plikt til å bevare taushet om innholdet av elektronisk kommunikasjon er en grunnleggende forutsetning for kommunikasjonsvernet. Bestemmelser om taushetsplikt finnes i kommunikasjonsverndirektivet artikkel 5.
Tilbyders plikt til å slette eller anonymisere data er også en sentral kommunikasjonsvernbestemmelse. Bestemmelser om dette er fastsatt i
kommunikasjonsverndirektivet artikkel 6 og 9. Utgangspunktet er at trafikkdata vedrørende abonnenter og brukere, som behandles og lagres av tilbyderen av et offentlig
kommunikasjonsnett eller en offentlig tilgjengelig elektronisk kommunikasjonstjeneste, skal slettes eller anonymiseres når de ikke lenger er nødvendige for overføringen av en
kommunikasjon. Det fastsettes blant annet unntak for trafikkopplysninger som er nødvendige for å fakturere abonnenten, og for betaling av samtrafikk inntil utløpet av tidsrommet da regningen kan bestrides i henhold til lov, eller betalingsinnkreving kan foretas.
Gjennom vedtakelsen av ekomdirektivet, og opphevelsen av det tidligere rammedirektivet, vil kommunikasjonsverndirektivet nå kommer til anvendelse overfor nummeruavhengige
tjenester (for eksempel Facebook, Messenger og Skype). EU-kommisjonen har i lys av dette vurdert behovet for å gjøre unntak fra kommunikasjonsverndirektivet for å kunne bekjempe overgrep mot barn online. Kommisjonen fremmet 10. september 2020 forslag om en midlertidig forordning for behandling av personlige og andre data med formål å bekjempe seksuelle overgrep mot barn, som gjør unntak fra kommunikasjonsverndirektivet artikkel 5 og
30 artikkel 6 nummer 1.6 Begrunnelsen er at enkelte tilbydere av nummeruavhengige tjenester allerede benytter teknologier for å avdekke seksuelt misbruk av barn på sine tjenester, og rapporterer om dette til politimyndigheter og til organisasjoner som handler i offentlig interesse mot seksuelt misbruk av barn, og / eller for å fjerne materiale som viser seksuelt misbruk av barn.
EU-kommisjonen foreslår at det på nærmere vilkår gjøres et midlertidig unntak for de spesifikke forpliktelsene i artikkel 5 nummer 1 og artikkel 6 i kommunikasjonsverndirektivet, hva gjelder behandling av data i tilknytning til levering av nummeruavhengige
kommunikasjonstjenester. Forutsetningen er at behandlingen av dataene må være strengt nødvendige for bruk av teknologi med det ene formål å fjerne materiale om seksuelt misbruk av barn, og oppdage eller rapportere seksuelt misbruk av barn online til politimyndigheter og til organisasjoner som handler i offentlig interesse mot seksuelt misbruk av barn.
Den foreslåtte forordningen er midlertidig i påvente av at kommunikasjonsvern-direktivet erstattes av en ny kommunikasjonsvernforordning som nå er til behandling i EU. Det er foreløpig uavklart når dette vil skje.
Gjeldende rett
Ekomloven § 2-9 fastsetter at tilbyder og installatør plikter å bevare taushet om innholdet av elektronisk kommunikasjon og andres bruk av elektronisk kommunikasjon, herunder
opplysninger om tekniske innretninger og fremgangsmåter. De plikter å gjennomføre tiltak for å hindre at andre enn de som opplysningene gjelder får anledning til selv å skaffe seg
kjennskap til slike opplysninger. Opplysningene kan heller ikke utover lovlige
behandlingsformål nyttes i egen virksomhet eller i tjeneste eller arbeid for andre, med unntak av statistiske opplysninger om nettrafikk som er anonymisert og ikke gir informasjon om innretninger eller tekniske løsninger.
Taushetsplikten gjelder også for enhver som utfører arbeid eller tjeneste for tilbyder av elektronisk kommunikasjonsnett eller -tjeneste, installatør, teknisk kontrollorgan eller myndigheten, også etter at vedkommende har avsluttet arbeidet eller tjenesten.
Bestemmelsen er en videreføring av teleloven som igjen viderefører telegrafloven av 1899 på dette punktet. Taushetsplikt for tilbydere av telekom og elektronisk kommunikasjon har en lang tradisjon i Norge.
Kommunikasjonsverndirektivet artikkel 6 og 9 er implementert i ekomloven § 2-7 femte ledd.
I henhold til ekomloven § 2-7 femte ledd foreligger det en plikt for tilbyder til å slette eller anonymisere trafikkdata, lokaliseringsdata og data nødvendige for å identifisere abonnenten eller brukeren. Dette må gjøres så snart det ikke lenger er nødvendig å beholde dataene for å oppfylle visse angitte formål. Trafikkdata knyttet til juridiske personer er omfattet av bestemmelsen, jf. Ot.prp. nr. 58 (2002-2003). Det er gitt utdypende bestemmelser om sletting av data i ekomforskriften § 7-1 (behandling av trafikkdata), § 7-2 (behandling av signaleringsdata) og § 7-4 (samtykke).
6 https://ec.europa.eu/digital-single-market/en/news/interim-regulation-processing-personal-and-
other-data-purpose-combatting-child-sexual-
abuse?utm_source=POLITICO.EU&utm_campaign=2f264a1a4f- EMAIL_CAMPAIGN_2020_09_10_11_15&utm_medium=email&utm_term=0_10959edeb5-2f264a1a4f-190002369
31 Som hovedregel skal dataene slettes eller anonymiseres med en gang kommunikasjonen er avsluttet og behandling ikke lenger er nødvendig for kommunikasjons- eller
faktureringsformål. De lovbestemte grunnene som gir hjemmel for å lagre data i en
begrenset periode er kommunikasjonsformål, faktureringsformål, og oppfylling av andre krav fastsatt i medhold av lov. Det følger av ekomloven § 2-7 femte ledd at dersom tilbyderen ønsker å behandle dataene til noe annet enn de nevnte formålene, må det innhentes samtykke fra brukeren. Slik annen behandling omfatter enhver bruk av dataene, som for eksempel innsamling, registrering, sammenstilling, lagring, utlevering eller en kombinasjon av slike bruksmåter.
Trafikkdata nødvendig for fakturering kan behandles til betaling har funnet sted eller til fordringen ikke lenger kan inndrives, f. eks. i tilfelle av foreldelse eller på grunn av klagebehandling.
Nærmere om forslaget
EUs forordning om Interim Regulation on the processing of personal and other data for the purpose of combatting child sexual abuse
Departementet viser til redegjørelsen for forslaget til "Interim Regulation on the processing of personal and other data for the purpose of combatting child sexual abuse" i kapittel 4.1.1.
Departementet foreslår at den midlertidige forordningen inkorporeres i forskrift til ekomloven, og at det tas inn en spesifikke forskriftshjemler i bestemmelsen om taushetsplikt i § 3-2 og bestemmelsen om sletteplikt i § 3-3 som gir myndigheten hjemmel til å gi regler om unntak for behandling av personopplysninger og andre data i tilknytning til levering av
nummeruavhengige person-til-person-kommunikasjonstjenester, som har som formål å bekjempe seksuelt misbruk av barn.
Lovfesting av behandlingsgrunnlag for lagring av data for feilrettings- og informasjonssikkerhetsformål
Gjeldende ekomlov § 2-7 femte ledd fastsetter at trafikkdata, lokaliseringsdata og data nødvendige for å identifisere abonnenten eller brukeren skal slettes eller anonymiseres så snart de ikke lenger er nødvendig til kommunikasjons- eller faktureringsformål, eller for å oppfylle andre krav fastsatt i medhold av lov. Annen behandling av slike data krever samtykke fra bruker.
Tilbydere vil også kunne ha behov for å lagre informasjon i forbindelse med feilretting og informasjonssikkerhet i egne nett. I Europakommisjonens forslag til ny
kommunikasjonsvernforordning artikkel 6 er det eksplisitt vist til at tilbydere kan behandle data dersom det er nødvendig for å vedlikeholde eller gjenopprette sikkerheten for nett og tjenester eller avdekke tekniske feil og/eller i sendingen av elektronisk kommunikasjon.
Behandlingen kan skje så lenge det er nødvendig for å oppfylle formålet.
Departementet ser at det kan være behov for å oppbevare opplysninger for feilrettings- og sikkerhetsformål, og har vurdert om det er behov for å ta inn slike formål eksplisitt i
lovteksten. Når det gjelder feilrettingsformål er det etter departementets syn naturlig å se dette som en del av begrepet kommunikasjonsformål, som er nevnt i gjeldende § 2-7, siden retting av feil vil være nødvendig for å opprettholde en kommunikasjon. Departementet legger derfor til grunn at det ikke er nødvendig å ta inn en egen bestemmelse om feilrettingsformål.
32 Spørsmålet om sikkerhetsformål kan være et grunnlag for å behandle opplysninger, ble behandlet i sak PNV-2014-10 for Personvernnemnda. Spørsmålet var om Telenor kunne fortsette med å lagre destinasjons-IP for mobil som et sikkerhetstiltak som er nødvendig og hensiktsmessig for å sørge for tilfredsstillende sikkerhet i mobilnettet. Personvernnemnda kom til at en slik lagring var et nødvendig sikkerhetstiltak etter § 2-7 første ledd, og at det dermed forelå behandlingsgrunnlag for opplysningene, jf. ekomloven § 2-7 femte ledd nummer 3. Departementet viser til at det i henhold til gjeldende rett er hjemmel for å lagre trafikkdata, lokaliseringsdata og data nødvendige for å identifisere abonnenten eller brukeren, så lenge dataene er nødvendige for å oppfylle kravene i § 2-7 første ledd.
Departementet ser derfor ikke behov for å innføre en egen hjemmel i loven for lagring av data for sikkerhetsformål, og foreslår at gjeldende rett videreføres uten endringer på dette punktet i bestemmelsen om sletteplikt.
Departementet foreslår ikke andre endringer i bestemmelsene om taushetsplikt og sletteplikt.