Ferill 665. máls. Aðrar útgáfur af skjalinu: PDF - Word Perfect.
144. löggjafarþing 2014–2015.
Þingskjal 1132 — 665. mál.
Frumvarp til laga
um breytingu á lögum um fjarskipti, nr. 81/2003 (afnám gagnageymdar).
Flm.: Birgitta Jónsdóttir, Halldóra Mogensen, Jón Þór Ólafsson.
1. gr.
Fjarskiptafyrirtæki skulu upplýsa notendur um hvaða gögn eru varðveitt samkvæmt heimild í 1. og 2. mgr. og hve lengi þau eru varðveitt. Fjarskiptafyrirtæki skulu gera notendum grein fyrir hvenær umræddum gögnum er eytt eða þau gerð nafnlaus.
2. gr.
Greinargerð.
„Þrátt fyrir ákvæði 1. og 2. mgr. skulu fjarskiptafyrirtæki, í þágu rannsókna sakamála og almannaöryggis, varðveita lágmarksskráningu gagna um fjarskiptaumferð notenda í sex mánuði. Lágmarksskráningin skal tryggja að fjarskiptafyrirtæki geti upplýst hver af viðskiptavinum þess var notandi tiltekins símanúmers, IP-tölu eða notendanafns, jafnframt því að upplýsa um allar tengingar sem notandinn hefur gert, dagsetningar þeirra, hverjum var tengst og magn gagnaflutnings til viðkomandi notanda. Fjarskiptafyrirtæki skal tryggja vörslu framangreindra gagna og er óheimilt að nota eða afhenda umræddar upplýsingar öðrum en lögreglu eða ákæruvaldi í samræmi við ákvæði 3. mgr. 47. gr. Eyða ber umferðargögnunum að þessum tíma liðnum enda sé ekki þörf fyrir þau á grundvelli 2. mgr.“
Í frumvarpi þessu er lagt til að ákvæði þetta falli brott og í stað þess verði kveðið á um í 3. mgr. 42. gr. að fjarskiptafyrirtæki upplýsi notendur um hvaða gögn eru varðveitt samkvæmt heimild í 1. og 2. mgr., hve lengi þau eru varðveitt og geri þeim viðvart þegar gögnunum er eytt eða þau gerð nafnlaus.
Ákvæði 3. mgr. 42. gr. um gagnageymd er sambærilegt við tilskipun Evrópuþingsins og ráðsins 2006/24/EB um varðveislu fjarskiptaumferðarupplýsinga (e. Data Retention Directive), sem Evrópudómstóllinn ógilti með dómi sínum frá 8. apríl 2014. 1 Tilskipunin kveður á um skyldu fjarskiptafyrirtækja til að varðveita tilteknar upplýsingar um tengingar í fjarskiptum í 6 til 24 mánuði vegna rannsóknar á alvarlegum brotum.
Áhrif gagnageymdar á friðhelgi einkalífs.
Gagnageymd er í raun forvirk rannsóknarheimild sem skapar alvarlega hættu fyrir friðhelgi einkalífsins. Þessi hætta hefur verið gerð ljós af ýmsum aðilum, t.d. í umsögn persónuverndarfulltrúa Evrópusambandsins 31. maí 2011, þar sem segir að ekki hafi verið sýnt með nægilega skýrum hætti fram á nauðsyn gagnageymdar, að gagnageymd hefði verið framkvæmanleg á vegu sem gengi síður gegn persónuverndarsjónarmiðum, og að tilskipunin hafi skilið eftir of mikið svigrúm fyrir túlkun af hálfu ákæruvaldsins. Það er ekki hægt að sjá annað en að öll þessi atriði eigi líka við í íslenska tilfellinu. 2
Nú hefur komið í ljós að friðhelgi einkalífs íslenskra borgara er engan veginn nægilega trygg og gagnageymdarákvæði laganna hefur boðið alvarlegri hættu heim sem raungerðist í kjölfar stærstu og alvarlegustu tölvuárásar í sögu landsins sem gerð var 30. nóvember 2013 á vefsíðu fjarskiptafyrirtækisins Vodafone. Í kjölfarið var persónuupplýsingum um tugi þúsunda viðskiptavina Vodafone lekið á internetið. Þar á meðal voru bankaupplýsingar, lykilorð og sms-skilaboð. Meðal upplýsinga sem lekið var voru upplýsingar sem ekki heyra undir gagnageymd, svo sem efni sms-skilaboða. Þá var einnig um að ræða upplýsingar sem átti að hafa verið eytt í samræmi við gagnageymdarákvæði fjarskiptalaga. Vodafone hefur gengist við því að hafa gert mistök við varðveislu og eyðingu umræddra gagna. Íslenskar eftirlitsstofnanir virðast ekki hafa bolmagn til að annast eftirlit með fjarskiptafyrirtækjum og því að lagafyrirmælum sé hlítt. Verði gagnageymd ekki afnumin er ljóst að stórauka þarf eftirlit með framkvæmd hennar og verja mun meira fé til eftirlitsstofnana í þeim tilgangi.
Með lögum um fjölmiðla, nr. 38/2011, kom til sögunnar í 25. gr. skylda starfsmanna fjölmiðlaveitna, sem hafa hlotið skráningu hjá fjölmiðlanefnd, til að vernda heimildarmenn sína hafi þeir óskað nafnleyndar. Þar sem heimildarmenn fjölmiðla hafa mjög oft samskipti við fjölmiðlaveiturnar gegnum síma eða internet er ljóst að hægt er að sniðganga vernd heimildarmanna vegna gagnageymdar. Evrópsku blaðamannasamtökin hafa lýst því yfir að gagnageymd ógni öryggi heimildarmanna með því að skapa aðstæður þar sem tölfræðilega mundi reynast auðvelt að átta sig á hver heimildarmaður væri í mörgum tilvikum. Þessi yfirgripsmikla gagnageymd ógni þá tjáningarfrelsi heimildarmanna sem og lögvörðum rétti fjölmiðla.
Í fyrrgreindum dómi Evrópudómstólsins er vikið sérstaklega að tveimur grundvallarréttindum Evrópusambandsins, annars vegar friðhelgi einkalífs og hins vegar vernd persónuupplýsinga. Í dómi Evrópudómstólsins kemur m.a. fram að „gögn sem geyma skal gera það kleift, að persónugreina við hverja áskrifandi eða skráður notandi á samskipti við og á hvaða hátt, að greina tíma samskipta og staðsetningu samskipta; og ákvarða tíðni samskipta áskrifenda eða skráðra notenda við ákveðna einstaklinga yfir ákveðinn tíma.“ Enn fremur segir í dóminum: „Þessi gögn, sem heild, geta gefið mjög nákvæmar upplýsingar um einkalíf þeirra einstaklinga hverra gögn eru geymd, svo sem hversdagslegar venjur, fast eða ótímabundið aðsetur, daglegar eða aðrar ferðir, erindagjörðir, félagsleg samskipti og félagslegt umhverfi. Dómurinn lítur svo varðveisla gagnanna og afhending þeirra til yfirvalda eftir atvikum, hafi tilskipunin alvarleg áhrif á þau grunnréttindi rétt til einkalífs og vernd persónugagna. Ennfremur er sú staðreynd að gögn eru geymd og í framhaldi notuð án vitneskju áskrifanda eða skráðs notanda líkleg til þess að vekja upp þá tilfinningu hjá þeim persónum er málið varðar að einkalíf þeirra séu undir stöðugu eftirliti.“ Það var niðurstaða dómsins að tilskipunin bryti gegn meðalhófsreglu Evrópuréttarins í ljósi alvarleika þess inngrips í friðhelgi einkalífs sem hún felur í sér og að ekki sé kveðið á um nægilegar varúðarráðstafanir til að tryggja að tilskipunin gangi ekki lengra en nauðsyn ber til.
Áður en dómur Evrópudómstólsins féll höfðu dómstólar nokkurra aðildarríkja dæmt lög byggð á tilskipuninni ólögmæt vegna skerðingar á friðhelgi einkalífs. Má þar nefna stjórnlagadómstóla Þýskalands, Rúmeníu, Kýpur, Tékklands og Búlgaríu.
Eftir dóm Evrópudómstólsins hafa fleiri ríki bæst í hópinn og má þar nefna Austurríki og héraðsdómstól í Haag í Hollandi. Um þessar mundir hafa samtök er berjast fyrir réttindum fólks á internetinu hafið málsókn gegn franska ríkinu vegna gagnageymdar laga þar í landi.
Hinn 12. mars sl. lýsti Dimitris Avramopoulos, yfirmaður innanríkis- og innflytjendamála Evrópusambandsins, því yfir að framkvæmdastjórn Evrópusambandsins hygðist ekki setja nýja Evrópulöggjöf um gagnageymd eftir dóm Evrópudómstólsins. 3
Umrædd tilskipun hefur ekki verið innleidd hér á landi en sambærileg varðveisluskylda er í 3. mgr. 42. gr. laga um fjarskipti, eins og fyrr segir, og fjarskiptafyrirtækjum hér er skylt að varðveita fjarskiptagögn notenda í sex mánuði þótt það kosti þau tíma, peninga og grafi undan trausti milli þeirra og viðskiptavina þeirra.
Um meinta gagnsemi gagnageymdar.
Ein helstu rökin fyrir gagnageymd hafa verið meint gagnsemi hennar við rannsóknir á hryðjuverkum. Í samþykkt Evrópuráðs MCM(2009)011 4 er lýst yfir töluverðum áhyggjum af því að við ýmsa lagasetningu í kjölfar hryðjuverkaárásanna í Madríd 2003 og London 2004 hafi ekki verið tekið nægilega mikið tillit til grundvallarmannréttinda á borð við tjáningarfrelsi og meðalhófsreglu. Samkvæmt samþykktinni ber að endurskoða slík lög reglulega. Samkvæmt upplýsingum frá ríkissaksóknara hafa þau gögn sem fjarskiptafyrirtækjum ber að varðveita fyrst og fremst verið nýtt í þágu rannsókna á fíkniefnabrotum. Þrátt fyrir að þessar rannsóknir séu tvímælalaust mikilvægar vakna upp spurningar um hvort meðalhófsreglu sé nægilega vel sinnt með þessari nálgun. Tölfræði frá þýsku lögreglunni 5 sýna að gagnageymd hafi ekki haft nein marktæk áhrif á fjölda upplýstra mála og sér í lagi ekki á fjölda upplýstra alvarlegra glæpa. 6 Rannsókn sem gerð var við Erasmusháskóla í Rotterdam sýnir að í 65 málum sem upp komu var hægt að nálgast nægilegar upplýsingar um fjarskipti í þeim gögnum sem fjarskiptafyrirtæki geyma vegna innra bókhalds án sérstakrar gagnageymdar. 7 Skýrsla sem samtökin European Digital Rights (EDRi) unnu sýndi að af 6 milljónum glæparannsókna á ári í Þýskalandi voru innan við 0,01% mála þar sem rannsóknir breyttust verulega vegna skorts á geymdum gögnum. 8 Rannsóknin sýndi að áður en gagnageymd kom til sögunnar upplýstust 71% mála þar sem fjarskipti eða internetnotkun komu við sögu, sem var þó þegar mun meira en þau mál sem upplýstust þar sem engin fjarskipti komu við sögu, eða um 55%. Ekki hafa fengist viðlíka gögn frá embætti ríkislögreglustjóra.
Í skýrslu sem lak frá framkvæmdastjórn Evrópusambandsins 18. apríl 2011 var því haldið fram að gagnageymd væri mikilvægur liður í glæparannsóknum. 9 En hvergi í sömu skýrslu komu fram sannanir fyrir því að svo væri í raun og veru að áliti Helen Darbishire, framkvæmdastjóra samtakanna Access Info Europe, sem hefur reynt að afla upplýsinga um nýtingu slíkra ákvæða frá öllum þeim löndum sem hafa útfært gagnageymd. Að sögn samtakanna hafa stjórnvöld hvergi getað fært nægjanleg rök fyrir stórfelldum og stöðugum njósnum um alla 500 milljón íbúa Evrópusambandsins, svo ekki sé minnst á hina rúmlega 300.000 íbúa Íslands. Að meðaltali var sérhver Evrópubúi skráður vegna gagnageymdar einu sinni á sex mínútna fresti árið 2010. Samkvæmt danskri tölfræði er sérhver danskur ríkisborgari skrásettur að meðaltali 225 sinnum á dag. 10
Efni frumvarpsins.
Með frumvarpinu er lagt til að ákvæði fjarskiptalaga um gagnageymd verði fellt brott og fjarskiptafyrirtækjum verði ekki lengur gert að varðveita lágmarksskráningu gagna um fjarskiptaumferð í sex mánuði. Þrátt fyrir afnám gagnageymdar hafa fjarskiptafyrirtækin áfram heimild til að varðveita gögn annars vegar um fjarskiptaumferð til að geta afgreitt fjarskiptasendingar og hins vegar gögn um fjarskiptanotkun í þágu reikningsgerðar. Við undirbúning frumvarpsins kom til greina að skilgreina nákvæmlega hvaða gögn skyldi heimilt að varðveita og hve lengi. Við nánari skoðun var ekki talið ráðlegt að fara þá leið enda getur reynst mjög flókið að telja það upp í lagatexta. Fjarskiptafyrirtæki geta haft ólíkan hátt á í starfsemi sinni og þá getur landslagið í þessum geira breyst verulega. Ekki þykir því rétt að setja fjarskiptafyrirtækjum of þröngan lagaramma við ákvörðun um hvernig þau haga reikningagerð sinni og gjaldskrám. Flutningsmenn telja hins vegar rétt að tiltaka áfram í 1. og 2. mgr. 42. gr. laganna að fjarskiptafyrirtækin skuli aðeins varðveita þau gögn sem nauðsynleg eru fyrir annars vegar fjarskiptasendingar og hins vegar reikningsgerð og eyða slíkum gögnum um leið og ekki er lengur þörf fyrir þau.
Til að tryggja að fjarskiptafyrirtæki fari eftir þessum reglum um nauðsyn verði þeim gert að upplýsa notendur um hvaða gögn séu varðveitt samkvæmt heimild annars vegar í 1. og hins vegar í 2. mgr. 42. gr. og tímabilið sem þau eru varðveitt. Þá verði fjarskiptafyrirtækjunum einnig gert skylt að upplýsa viðskiptavini sína um hvaða gögnum er eytt og hvenær. Fjarskiptafyrirtæki gætu t.d. tekið fram í notendaskilmálum hvernig gagnavarðveislu er háttað og hve lengi hún stendur yfir. Kostur þessarar leiðar er sá að viðskiptavinir og eftirlitsaðilar, eftir atvikum Póst- og fjarskiptastofnun og/eða Persónuvernd, geta haft eftirlit með því að upplýsingar og verklagsreglur fjarskiptafyrirtækjanna um gagnavarðveislu og eyðingu standist ákvæði laganna um „nauðsyn varðveislunnar“.
Þá er það mat flutningsmanna að nauðsynlegt sé að taka afstöðu til þess hvort áfram eigi að vera heimilt að nýta þau gögn sem fjarskiptafyrirtæki varðveita í þágu rannsókna sakamála. Að mati flutningsmanna er nauðsynlegt að gera nokkrar breytingar á XI. kafla laga um meðferð sakamála sem fjallar um símahlustun og sambærileg úrræði. Helst er þar um að ræða breytingar sem tryggja að upplýsingar sem fást með þessum hætti skipti miklu fyrir rannsókn sakamáls og hins vegar að brotið sem til rannsóknar er sé mjög alvarlegs eðlis. Í frumvarpi á þingskjali 1129, sem lagt er fram samhliða þessu frumvarpi, er lagt til að aðeins megi veita aðgang að fjarskiptagögnum ef brot sem til rannsóknar er geti varðað átta ára fangelsi.
- Neðanmálsgrein: 1
- 1 European Court of Justice, Digital Rights Ireland and Seitlinger and Others, Joined Cases C-293/12 and C-594/12.
- Neðanmálsgrein: 2
- 2 www.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/EDPS/PressNews/ Press/2011/EDPS-2011-06_Data%20Retention%20Report_EN.pdf
- Neðanmálsgrein: 3
- 3 www.reuters.com/article/2015/03/12/us-eu-data-telecommunications-idUSKBN0M82CO20150312
- Neðanmálsgrein: 4
- 4 www.coe.int/t/dghl/standardsetting/media/MCM(2009)011_en_final_web.pdf
- Neðanmálsgrein: 5
- 5 www.vorratsdatenspeicherung.de/images/akvorrat_evaluation_backgrounder_2011-04-17.pdf
- Neðanmálsgrein: 6
- 6 www.vorratsdatenspeicherung.de/images/data_retention_effectiveness_report_2011-05-20.pdf
- Neðanmálsgrein: 7
- 7 www.erfgoedinspectie.nl/uploads/publications/Wie%20wat%20bewaart.pdf
- Neðanmálsgrein: 8
- 8 www.edri.org/files/shadow_drd_report_110417.pdf
- Neðanmálsgrein: 9
- 9 www.alexander-alvaro.de/archives/1904/test-2
- Neðanmálsgrein: 10
- 10 www.bof.nl/live/wp-content/uploads/295871-Report-conference-DRD-3-December-2010-1.pdf
