FÖRVALTNINGSUTSKOTTETS UTLÅTANDE 2/2006 rd

FvUU 2/2006 rd - U 52/2005 rd

Granskad version 2.1

Statsrådets skrivelse med anledning av förslaget till Europaparlamentets och rådets direktiv om lagring av uppgifter som behandlats i samband med tillhandahållande av allmänt tillgängliga elektroniska kommunikationstjänster och om ändring av direktiv 2002/58/EG (lagring av identifieringsuppgifter)

Till stora utskottet

INLEDNING

Remiss

Riksdagens talman sände den 16 december 2005 statsrådets skrivelse med anledning av ett förslag till Europaparlamentets och rådets direktiv om lagring av uppgifter som behandlats i samband med tillhandahållande av allmänt tillgängliga elektroniska kommunikationstjänster och om ändring av direktiv 2002/58/EG (lagring av identifieringsuppgifter) (U 52/2005 rd) till stora utskottet för behandling och bestämde samtidigt att förvaltningsutskottet ska lämna utlåtande i ärendet till stora utskottet.

Sakkunniga

Utskottet har hört

konsultativ tjänsteman Juha Perttula, kommunikationsministeriet

konsultativ tjänsteman Jouko Huhtamäki, inrikesministeriet

regeringssekreterare Leena Rantalankila, justitieministeriet

dataombudsman Reijo Aarnio

beredskapschef Kari Wirman, FiCom ry

styrelseledamot Ville Oksanen, Electronic Frontier Finland ry EFFI

SKRIVELSEN

Förslagets huvudsakliga innehåll

Förslaget till direktiv är avsett att harmonisera den skyldighet som leverantörer av allmänt tillgängliga elektroniska kommunikationstjänster och allmänna kommunikationsnät har att lagra vissa trafikuppgifter (identifieringsuppgifter) så att behöriga myndigheter i medlemsstaterna kan få tillgång till dem för att förebygga, utreda, avslöja och åtala allvarliga brott som terrorism och organiserad brottslighet.

Direktivet ska tillämpas på såväl fysiska som juridiska personer och på uppgifter som är nödvändiga för att kunna identifiera abonnenten eller den registrerade användaren. Det ska inte vara tilllämpligt på innehållet i elektronisk kommunikation eller information som sökts med hjälp av ett elektroniskt kommunikationsnät.

Enligt direktivet avses bl.a. att med uppgifter som ska lagras trafik- och lokaliseringsuppgifter samt uppgifter som behövs för att identifiera en abonnent eller användare. Med användare avses en fysisk eller juridisk person som använder en allmänt tillgänglig elektronisk kommunikationstjänst för privat eller affärsmässigt bruk utan att nödvändigtvis ha abonnerat på tjänsten.

Vad gäller skyldigheten att lagra uppgifter föreskriver direktivet om ett undantag från direktivet om integritet och elektronisk kommunikation. Medlemsstaterna förväntas alltså med avvikelse från artiklarna 5, 6 och 9 i direktiv 2002/58/EG anta åtgärder för att säkerställa att sådana uppgifter lagras enligt bestämmelserna i direktivet som genereras eller behandlas av leverantörer av allmänt tillgängliga elektroniska kommunikationstjänster eller offentliga kommunikationsnät inom deras territorium i samband med att de levererar kommunikationstjänster. Medlemsstaterna ska genomföra åtgärder för att säkerställa att uppgifter som lagras i enlighet med direktivet endast i särskilda fall och i enlighet med nationell lagstiftning görs tillgängliga för behöriga nationella myndigheter i syfte att förebygga, utreda, avslöja och åtala allvarliga brott som terrorism och organiserad brottslighet.

Direktivet innehåller också bestämmelser om olika kategorier och typer av uppgifter som ska lagras samt om lagringstider och krav för lagring av uppgifter. Medlemsstaterna ska också säkerställa att Europeiska kommissionen varje år får statistik över lagringen av de uppgifter som behandlas i samband med allmänna elektroniska kommunikationstjänster. Statistiken ska innefatta de fall där uppgifter skickats till behöriga myndigheter i enlighet med nationell lagstiftning, den tid som gått från det datum då uppgifterna lagrades till det datum då den behöriga myndigheten begärde uppgifterna samt de fall där en begäran om uppgifter inte har kunnat tillmötesgås. Sådan statistik ska inte omfatta personuppgifter.

I direktivet bestäms också om ersättning för lagringskostnader. Medlemsstaterna ska se till att leverantörer av allmänt tillgängliga elektroniska kommunikationstjänster eller allmänna kommunikationsnät ersätts för verifierbara extra kostnader för att fullgöra skyldigheterna i direktivet.

För utvärdering av direktivet föreslås ett särskilt förfarande. Kommissionen ska inom tre år från det datum som avses i artikel 13.1 tillsända Europaparlamentet och rådet en utvärdering av tillämpningen av direktivet och direktivets inverkan på ekonomiska aktörer och konsumenter, med beaktande av den statistik som översänts till kommissionen i enlighet med artikel 9 i syfte att avgöra om det är nödvändigt att ändra direktivets bestämmelser, särskilt bestämmelserna om lagringstiderna i artikel 7. I detta syfte utreder kommissionen alla synpunkter som förs fram av medlemsstaterna eller den arbetsgrupp för skydd av enskilda med avseende på behandlingen av personuppgifter som inrättats genom artikel 29 i direktiv 95/46/EG.

Regeringens ståndpunkt

Regeringen ser det som mycket viktigt att EU upprätthåller en kapacitet att ingripa i gränsöverskridande brottslighet. Men det gäller att noggrant avpassa metoderna efter konsekvenserna för den europeiska konkurrenskraften och integritetsskyddet. Den ser i princip positivt på saken, men med vissa förbehåll.

Regeringens ståndpunkt till förslaget till rambeslut som lagts fram av fyra medlemsstater (Republiken Frankrike, Irland, Konungariket Sverige och Förenade kungariket) beskrivs ingående i en U-skrivelse till Riksdagen (U 42/2004 rd).

Kommissionens förslag till direktiv är klart mer genomtänkt och slipat än förslaget till rambeslut från de fyra medlemsländer för rådet för rättsliga och inrikes frågor. Vad gäller kraven för identifieringsuppgifter i synnerhet vid IP-kommunikation finns det också i kommissionens förslag till direktiv punkter som tekniskt sett kan genomföras bara partiellt och som medför betydande lagringskostnader.

I samband med behandlingen av ärendet har Finland föreslagit och ställt bl.a. följande villkor. De uppgifter som ska lagras inom IP-tjänster ska tydligt begränsas enbart till identifieringsuppgifter för IP-telefoni och e-post som ett serviceföretag självt tillhandahåller. Skyldigheten ska inte gälla identifieringsuppgifter för några andra tjänster (t.ex. IP-telefoni av typen p2p) eller identifieringsuppgifter för tjänster som tillhandahålls av andra tjänsteleverantörer (t.ex. datatidningarnas e-posttjänster). Om skyldigheten att lagra uppgifter omfattar också andra än serviceföretagets egna tjänster ökar mängden lagrade uppgifter väsentligt, och en del av aktörerna kan bli tvungna att lagra all IP-kommunikation, eftersom de inte kan urskilja för andra tjänster än sina egna hurdan kommunikation IP-kommunikationen handlar om. Den ökade mängden uppgifter som ska lagras betyder väsentligt ökade kostnader och eventuellt också en risk för integritetsskyddet. Av författningstexten bör därför framgå att skyldigheten att lagra uppgifter bara gäller tillgängliga uppgifter (accessible).

För att skyldigheten att lagra uppgifter inte ska betyda att uppgifterna lagras mångdubbelt bör det tydligt framgå av förslaget att uppgifterna om möjligt ska lagras av en enda operatör.

Lokaliseringsuppgifter bör lagras bara när en kommunikation börjar, inte också när den slutar. Det är inte allmän praxis i Finland att lagra uppgifter av det här slaget, och därför skulle det betyda extra kostnader.

Vad gäller den rättsliga grunden har Finland ansett att lagstiftningen på vissa villkor kunde genomföras med instrument inom den tredje pelaren, men att också lagstiftning i enlighet med den första pelaren är möjlig.

Riksdagen har redan tidigare förutsatt att uppgifter under inga omständigheter ska lagras längre än i tolv månader.

Förteckningen över uppgifter som ska lagras handlar inte bara om beslut om tekniska frågor utan också om frågor med omfattande samhälleliga konsekvenser. Det är därför mycket viktigt att slopa det kommittéförfarande för ändring av lagstiftningen som ingår i förslaget.

Enligt Finland är klausulen om översyn nödvändig. Utifrån bestämmelsen gäller det att bedöma inte bara lagringstiden utan också om det är nödvändigt att lagra de aktuella uppgifterna.

Regeringen anser att Finlands villkor vid behandlingen av ärendet och riksdagens specialvillkor för förhandlingarna i ärendet i det stora hela har blivit beaktade i de allmänna riktlinjer om direktivförslaget som RIF-rådet antog den 2 december 2005.

UTSKOTTETS ÖVERVÄGANDEN

Motivering

Syftet med kommissionens förslag är att harmonisera skyldigheten för leverantörer av allmänt tillgängliga elektroniska kommunikationstjänster och allmänna kommunikationsnät att lagra vissa identifieringsuppgifter så att behöriga myndigheter i medlemsstaterna kan få tillgång till dem för att förebygga, utreda, avslöja och åtala allvarliga brott som terrorism och organiserad brottslighet. Europaparlamentet antog den 14 december 2005 ett förslag till direktiv som motsvarar rådets allmänna riktlinje. I samma fråga finns också ett initiativ till ett förslag till rambeslut från fyra medlemsstater. Förvaltningsutskottet har lämnat utlåtandena FvUU 19/2005 rd — U 42/2004 rd och FvUU 22/2004 rd — U 42/2004 rd om förslaget. I sitt utlåtande FvUU 19/2005 rd i oktober 2005 förordade utskottet inte förslaget till rambeslut för att det var ofullständigt.

Riksdagen har i samband med förslaget till rambeslut krävt att en eventuell lagringsskyldighet endast ska gälla sådana uppgifter hos teleföretagen som också annars lagras i flera månader som en del av den lagliga nät- och kommunikationstjänsten och som har en lagringstid som kan harmoniseras i enlighet med det föreslagna rambeslutet. Dessutom har riksdagen utgått från att skyldigheten bör kunna fullföljas till skäliga kostnader, med existerande tekniska lösningar, teknikneutralt och med hänsyn till den kommande tekniska utvecklingen. Faktorer som har med uppgiftsskydd och datasäkerhet att göra har också lyfts fram.

En viktig princip i det föreliggande förslaget är att endast uppgifter som teleföretaget genererar eller behandlar ska lagras och att skyldigheten bara ska gälla tillgängliga uppgifter, i fråga om Internet endast teleföretagets egna tjänster. Innehållet i en kommunikation kommer absolut inte att lagras. Mängden lagrade uppgifter som lagras enligt direktivförslaget bedöms vara betydligt mindre än i förslaget till rambeslut.

Enligt kommissionens förslag till direktiv kan medlemsstaterna välja en lagringstid för uppgifter mellan sex månader och två år. Det medger en lagringstid på längst tolv månader, vilket riksdagen förutsatt.

I förslaget till direktiv bedöms kostnaderna ligga betydligt under förslaget till rambeslut. Det kan förklaras med de preciseringar och begränsningar av uppgifterna som gjorts i direktivet. Kommunikationsverket beräknar att investeringskostnaderna för att genomföra direktivet uppgår till 10—40 miljoner euro och de årliga driftskostnaderna till under 10 procent av investeringskostnaderna. Utskottet anser att utgångspunkten i den nationella beredningen, att kostnaderna för lagringen av uppgifterna ersätts av statens medel, är motiverad. Det är helt på sin plats att lagringsskyldigheten inte medför oskäliga kostnader för operatörerna. Nyttan med att uppgifterna bör stå i acceptabel proportion till kostnaderna för lagringen och riskerna för integritetsskyddet.

Enligt utredning till utskottet säkerställer begränsningarna i uppgifter som ska lagras och lagringsskyldigheten att lagstiftningen kan genomföras med existerande tekniska lösningar. Men som regeringen framhåller finns det i direktivförslaget punkter, särskilt i fråga om kraven på identifieringsuppgifter vid IP-kommunikation, som endast kan genomföras delvis och då medför lagringsskyldigheten avsevärda kostnader. Utskottet anser att frågan bör uppmärksammas om texten i direktivet inte har preciserats på denna punkt efter det att skrivelsen lämnades till riksdagen.

Den principiella ändringen i dataskyddet är påtaglig. Direktivet ska uttryckligen innehålla bestämmelser om skyldigheten att lagra vissa identifieringsuppgifter i teletrafik och uppgifterna ska bevaras för kommande myndighetsbehov. Enligt grundlagsutskottets och förvaltningsutskottets riktlinjer är det viktigt för skyddet av personuppgifter att lagstifta åtminstone om registreringens syfte, innehållet i de registrerade personuppgifterna, tillåtna ändamål, inbegripet uppgifternas tillförlitlighet och lagringstiden för uppgifterna i personregistren samt den registrerades rättsskydd. Dessutom bör regleringen på lagnivå vara omfattande och detaljerad.

De centrala principerna för dataskydd har beaktas i förslaget på behörigt sätt. Direktivet om skydd av uppgifter och direktivet om integritet och elektronisk kommunikation ska tilllämpas på uppgifter som lagras med stöd av direktivet. Medlemsstaterna ska i sin nationella lagstiftning lägga fast de förfaranden som ska iakttas och de villkor som ska uppfyllas för att få tillgång till lagrade uppgifter med beaktande av nödvändighets- och proportionalitetskraven och följa tillämpliga bestämmelser i EU-lagstiftningen och folkrätten, särskilt Europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna. Förslaget innehåller också en särskild bestämmelse om minimikraven för behandling av de lagrade uppgifterna. I direktivet ska ingå bestämmelser bl.a. om medlemsstaternas skyldighet att utse en tillsynsmyndighet och att se till att nationella åtgärder för rättslig prövning, ansvar och sanktioner genomförs fullt ut. Vad gäller sanktioner medger direktivet både administrativa och straffrättsliga påföljder.

Utskottet efterlyser en regelbunden utvärdering av direktivet. Nyttan med att lagra uppgifter för utredning, avslöjande och åtal av allvarliga brott och konsekvenserna för bl.a. integritetsskyddet bör kunna bedömas i fortsättningen för att det ska bli klart om målen med lagringsskyldigheten har nåtts och om det finns anledning att ändra direktivet. I det sammanhanget finns det anledning att ta upp bl.a. lagringstiderna och om de lagrade uppgifterna är nödvändiga, kostnaderna för lagringen och den snabba tekniska utvecklingen. Det är viktigt att dataskyddsmyndigheterna kopplas till utvärderingen. Utskottet välkomnar också kommissionens avsikt att inrätta en bred grupp bestående av olika myndigheter, den elektroniska kommunikationsindustrin och företrädare för Europaparlamentet för spridning av råd och utbyte av erfarenheter om bästa metoder när det gäller den tekniska utvecklingen.

Enligt utredning har Finlands ståndpunkter fått rätt bra genomslag i förslaget. Finlands krav bland annat på att uppgifter som gäller Internet bör begränsas har hörsammats. Lagringen av lokaliseringsuppgifter har begränsats så som Finland önskat. Kommittéförfarandet har slopats. Finlands syn på den rättsliga grunden har slagit igenom.

Utskottet konstaterar att kommissionens förslag till direktiv innebär rätt väsentliga ändringar i den nationella lagstiftningen, bl.a. i lagen om dataskydd vid elektronisk kommunikation. Också i direktivets skäl tas flera sådana frågor upp som Finland ansett viktiga. De preciserar definitionen på teleföretag och tillgängliga uppgifter och understryker subsidiaritets- och proportionalitetsprincipen samt respekten för grundläggande fri- och rättigheter. I skälen framhålls vidare att syftet med direktivet inte är att harmonisera tekniken för lagring av uppgifter; där gäller nationella beslut. Utskottet understryker ståndpunkterna i skälen vid implementering av direktivet. Avslutningsvis konstaterar det att det inte har någonting att anmärka mot att Finland meddelar att det utnyttjar den möjlighet direktivet medger till tilläggstid för lagring av uppgifter som gäller Internet.

Utlåtande

Förvaltningsutskottet meddelar

att utskottet omfattar regeringens ståndpunkt med anmärkningarna ovan.

Helsingfors den 15 februari 2006

I den avgörande behandlingen deltog

  • ordf. Matti Väistö /cent
  • vordf. Veijo Puhjo /vänst
  • medl. Sirpa Asko-Seljavaara /saml
  • Nils-Anders Granvik /sv
  • Lasse Hautala /cent
  • Hannu Hoskonen /cent
  • Jyrki Kasvi /gröna
  • Esko Kurvinen /saml
  • Lauri Kähkönen /sd
  • Lauri Oinonen /cent
  • Heli Paasio /sd
  • Satu Taiveaho /sd
  • Tapani Tölli /cent
  • Ahti Vielma /saml
  • Tuula Väätäinen /sd

Sekreterare var

utskottsråd Minna-Liisa Rinne