Forskrift om lagringsplikt for bestemte data og om tilrettelegging av disse data (datalagringsforskriften)

DatoFOR-2013-05-14-484
DepartementSamferdselsdepartementet
PublisertI 2013 hefte 7
IkrafttredelseKongen bestemmer
Sist endret
Endrer
Gjelder forNorge
HjemmelLOV-2003-07-04-83-§2-7, LOV-2003-07-04-83-§2-7a, LOV-2003-07-04-83-§2-8, LOV-2003-07-04-83-§2-9
Kunngjort16.05.2013   kl. 13.35
Rettet07.06.2013 (§ 2-5 annet ledd nr. 2)
KorttittelDatalagringsforskriften

Kapitteloversikt:

Hjemmel: Fastsatt av Post- og teletilsynet den 14. mai 2013 med hjemmel i lov 4. juli 2003 nr. 83 om elektronisk kommunikasjon (ekomloven) § 2-7, § 2-7a, § 2-8 og § 2-9.
Rettelser: 07.06.2013 (§ 2-5 annet ledd nr. 2).

Kapittel 1. Innledende bestemmelser

§ 1-1.Saklig virkeområde

Forskriften gjelder data som skal lagres for å avdekke, etterforske og straffeforfølge alvorlig kriminalitet.

§ 1-2.Lagringspliktig

Tilbyder av elektronisk kommunikasjonsnett som anvendes til offentlig elektronisk kommunikasjonstjeneste og tilbyder av offentlig elektronisk kommunikasjonstjeneste er lagringspliktig.

Myndigheten kan i særlige tilfeller, ved enkeltvedtak, unnta tilbyder etter første ledd helt eller delvis fra lagringsplikt. Myndigheten kan i særlige tilfeller, ved enkeltvedtak, pålegge lagringsplikt for annen virksomhet enn de som omfattes av første ledd.

§ 1-3.Definisjoner

I denne forskrift menes med

1.telefontjeneste: elektronisk kommunikasjonstjeneste som oppretter eller mottar toveis taleforbindelser, samt tilleggstjenester og eventuelle meldings- og multimedietjenester ved hjelp av ett eller flere numre i en nasjonal eller internasjonal telefonnummerplan.
2.fasttelefontjeneste: telefontjeneste som originerer eller terminerer i terminal tilknyttet en fast geografisk adresse.
3.mobiltelefontjeneste: telefontjeneste som originerer eller terminerer i terminal tilknyttet et landmobilt kommunikasjonsnett.
4.internettelefontjeneste: telefontjeneste som originerer eller terminerer ved bruk av IP-protokoll.
5.internettaksess: tilgang til Internett over kablet eller radiobasert tilkobling.
6.e-posttjeneste: elektronisk meldingstjeneste som benytter adresse- og meldingsformatene spesifisert i IETF STD0010.

Kapittel 2. Lagringspliktige data

§ 2-1.Lagringspliktens subjekt og omfang av lagringsplikten

Lagringspliktig er ansvarlig for å lagre de data som egne sluttbrukere genererer og som er lagringspliktige etter § 2-2 til § 2-6 med de unntakene som følger av annet og tredje ledd.

Lagringspliktige for mobiltelefontjeneste eller mobil internettaksess levert gjennom landmobilt elektronisk kommunikasjonsnett skal kun lagre lagringspliktige data som nevnt i § 2-3 første ledd nr. 4 og 7 og § 2-5 første ledd nr. 1 og 3 og annet ledd nr. 3. Tilbyder av det landmobile elektroniske kommunikasjonsnettet som anvendes til tjenestene nevnt i første punktum, skal lagre alle data som nevnt i § 2-3 første ledd nr. 1 til 3, 5 til 9 og annet ledd, samt § 2-5 første ledd nr. 1, 2, 4 og 5 og annet ledd som genereres i dennes landmobile elektroniske kommunikasjonsnett.

Lagringspliktige data som genereres ved gjesting i et utenlandsk landmobilt elektronisk kommunikasjonsnett, eller i et landmobilt elektronisk kommunikasjonsnett som utelukkende benytter satellittlink for gjennomføring av kommunikasjonen, skal lagres av den virksomhet som gjennom avtale muliggjør gjesting i det aktuelle landmobile kommunikasjonsnettet.

Lagringsforpliktelsen gjelder kun de lagringspliktige data som er tilgjengelig for den lagringspliktige virksomhet.

§ 2-2.Fasttelefontjeneste

Lagringspliktige data for fasttelefontjeneste er

1.anroperens telefonnummer (A-nummer),
2.telefonnummer som blir anropt (B-nummer),
3.telefonnummer som anropet viderekobles til (C-nummer),
4.sluttbrukerens og eventuelle registrerte brukeres navn og adresse for A-, B- og C-nummer på tidspunktet for den aktuelle kommunikasjonen,
5.dato og klokkeslett for start og avslutning av kommunikasjonen,
6.den telefontjeneste som benyttes.

Mislykkede anrop og tapte anrop skal lagres i den utstrekning den lagringspliktige logger, lagrer og behandler trafikkdata om slike anrop.

§ 2-3.Mobiltelefontjeneste

Lagringspliktige data for mobiltelefontjeneste er

1.anroperens telefonnummer (A-nummer),
2.telefonnummer som blir anropt (B-nummer),
3.telefonnummer som anropet viderekobles til (C-nummer),
4.sluttbrukerens og eventuelle registrerte brukeres navn og adresse for A-, B- og C-nummer på tidspunktet for den aktuelle kommunikasjonen eller de siste seks måneder dersom tidspunktet for kommunikasjonen ikke er kjent,
5.dato og klokkeslett for start og avslutning av kommunikasjonen,
6.den telefontjeneste som benyttes,
7.anroperens og den anroptes internasjonale kjennetegn for mobilabonnementer (IMSI),
8.anroperens og den anroptes internasjonale kjennetegn for mobiltelefonutstyr (IMEI),
9.informasjon om hvilken celle sluttbruker tilkobles ved kommunikasjonens begynnelse og slutt, og opplysninger om cellens geografiske lokalisering ved kommunikasjonens begynnelse og slutt.

Mislykkede anrop og tapte anrop skal lagres i den utstrekning den lagringspliktige logger, lagrer og behandler trafikkdata om slike anrop.

§ 2-4.Internettelefontjeneste

Lagringspliktige data for internettelefontjeneste er

1.anroperens telefonnummer (A-nummer) eller tildelt brukeridentitet og IP-adresse denne benytter ved kommunikasjonen,
2.telefonnummer som blir anropt (B-nummer) eller tildelt brukeridentitet til den som blir anropt og IP-adressen denne benytter ved kommunikasjonen,
3.telefonnummer som anropet viderekobles til (C-nummer) eller tildelt brukeridentitet til den som blir anropt og IP-adressen denne benytter ved kommunikasjonen,
4.sluttbrukerens og eventuelle registrerte brukeres navn og adresse for A-, B- og C-nummer eller tilsvarende ved tildeling av brukeridentitet på tidspunktet for den aktuelle kommunikasjonen,
5.dato og klokkeslett for start og avslutning av kommunikasjonen,
6.den telefontjeneste som benyttes.

Mislykkede anrop og tapte anrop skal lagres i den utstrekning den lagringspliktige logger, lagrer og behandler trafikkdata om slike anrop.

§ 2-5.Internettaksess

Lagringspliktige data for internettaksess er

1.sluttbrukerens og eventuelle registrerte brukeres brukeridentitet eller tilsvarende identifikasjon,
2.tildelt IP-adresse for kommunikasjonen,
3.sluttbrukerens og eventuelle registrerte brukeres navn og adresse på tidspunktet for den aktuelle kommunikasjonen eller de siste seks måneder dersom tidspunktet for kommunikasjonen ikke er kjent,
4.dato og klokkeslett for pålogging av Internett-tjenesten,
5.dato og klokkeslett for avlogging av Internett-tjenesten,
6.a-nummer ved oppringt tilgang,
7.data som identifiserer den digitale abonnentlinjen eller annet sluttpunkt for kommunikasjonens avsender.

Dersom mobilt kommunikasjonsutstyr benyttes for internettaksess, er i tillegg følgende informasjon lagringspliktig

1. hvilken celle sluttbruker tilkobles ved tidspunktet for pålogging av Internett-tjenesten,

2. opplysninger om cellens geografiske lokalisering ved tidspunktet for pålogging av Internett-tjenesten,

3. Internasjonalt kjennetegn for mobilabonnementer (IMSI) som det mobile kommunikasjonsutstyret benytter.

§ 2-6.E-posttjeneste

Lagringspliktige data for e-posttjeneste hvor meldingen er gjort tilgjengelig for mottaker er

1.avsender og mottakers e-postadresse og IP-adresse, samt brukeridentitet eller annen tilsvarende identifikasjon dersom dette er noe annet enn e-postadressen,
2.sluttbrukerens og eventuelle registrerte brukeres navn og adresse på tidspunktet for den aktuelle kommunikasjonen,
3.dato og klokkeslett for på- og avlogging av e-posttjenesten.
§ 2-7.Tidssone

Det skal angis hvilken tidssone lagrede klokkeslett er angitt i.

Kapittel 3. Krav til lagringen m.m.

§ 3-1.Dataintegritet

Lagringspliktige skal sikre at de data som lagres ikke endres gjennom innsamlingen, klargjøringen, lagringen og tilgjengeliggjøringen.

§ 3-2.Sporbarhet

Enhver behandling av lagringspliktige data skal dokumenteres i egen automatisk generert logg. Av loggen skal det fremgå

1.formålet med behandlingen av lagringspliktige data og angivelse av hjemmelsgrunnlag for behandlingen,
2.hva som er gjort med de lagringspliktige data,
3.tidspunkt for behandlingen,
4.entydig identifisering av hvem som har behandlet dataene,
5.entydig identifisering av hvem dataene er utlevert til,
6.entydig referanse til utleveringspålegg.

Tilføring eller sletting av lagringspliktige data med hjemmel i ekomloven § 2-7a første ledd eller § 2-7 annet ledd skal ikke loggføres.

Loggen skal oppbevares i tre år.

§ 3-3.Taushetsplikt

Lagringspliktige skal sikre at uvedkommende ikke får tilgang til lagringspliktige data.

Den som behandler lagringspliktige data på vegne av lagringspliktig skal bevare taushet om de lagringspliktige data overfor uvedkommende. Taushetsplikten gjelder også etter fratredelse av stilling.

Som uvedkommende regnes andre enn:

a)de som er autorisert for tilgang til lagringspliktige data etter § 3-4,
b)den registrerte,
c)pliktsubjekter som skal bistå den registrerte med gjennomføring av innsyn eller retting etter personopplysningsloven,
d)de som har lovbestemt tilgang til lagringspliktige data.
§ 3-4.Autorisasjon

Den lagringspliktige er ansvarlig for at personer som har tjenstlig behov for tilgang til lagringspliktige data som er klargjort etter § 4-2, er autorisert av den lagringspliktige virksomheten. Autorisasjonen kan bare omfatte behandling som nevnt i § 4-1.

Autorisering og autorisasjonssamtale skal gjennomføres før vedkommende gis tilgang til lagringspliktige data.

Autorisasjon kan bare gis til personer som er skikket til oppgaven.

Den som autoriserer skal kreve at den som skal autoriseres fremviser politiattest som ikke er eldre enn tre måneder og signerer en erklæring om taushetsplikt etter § 3-3 under autorisasjonssamtalen.

Lagringspliktige skal sikre at det gjennomføres oppfølgingssamtaler med de autoriserte minst en gang i året. Hvert syvende år skal den autoriserte fremlegge politiattest som ikke er eldre enn tre måneder.

Når grunnlaget for en autorisasjon bortfaller, skal den som har vært autorisert, gjennom en samtale, gjøres kjent med dette og underrettes om at taushetsplikten etter § 3-3 fortsatt gjelder.

Lagringspliktige skal sikre at det føres protokoll over autoriserte personer. Protokollen skal inneholde

1.navn på autorisert person,
2.navn på autoriserende person,
3.tidspunktet for autoriseringen,
4.tidspunktet for siste autorisasjonssamtale,
5.tidspunktet og årsak for bortfall av autorisasjonen.

Protokollen skal vise komplett oversikt for de siste fire år.

§ 3-5.Sikkerhetskopiering

Lagringspliktige er ansvarlig for at det minst daglig tas sikkerhetskopier av de lagringspliktige data.

Sikkerhetskopien skal sikre at lagringspliktige data ikke går tapt som følge av programvarefeil, maskinvarefeil eller brann. Sikkerhetskopien skal oppbevares logisk adskilt og i egen branncelle fysisk adskilt fra lagringsmediet som inneholder de lagringspliktige data. Sikkerhetskopiene skal oppbevares og behandles med samme sikkerhetsnivå som lagringspliktige data.

Sikkerhetskopierte lagringspliktige data skal ved behov kunne tilgjengeliggjøres for utlevering innen tre dager.

§ 3-6.Sletting

Lagringspliktige data, herunder sikkerhetskopien av dataene, skal slettes når dataene er seks måneder gamle, jf. ekomloven § 2-7. Sletting skal skje minst daglig.

Ved bedømmelsen av alderen på dataene skal det tas utgangspunkt i tidspunktet for lagring jf. § 4-3 første til tredje ledd.

Sletteplikten står tilbake for sikringspålegg med hjemmel i straffeprosessloven § 215a.

Kapittel 4. Behandling og tilrettelegging av lagringspliktige data m.m.

§ 4-1.Behandling av lagringspliktige data

Behandling av lagringspliktige data kan bare finne sted

a)for utlevering til den registrerte, jf. personopplysningsloven § 18 annet ledd,
b)for retting etter personopplysningsloven § 27,
c)for tilgjengeliggjøring for politi og påtalemyndigheten eller Finanstilsynet etter samtykke, jf. personopplysningsloven § 2 nr. 7 fra den registrerte, jf. personopplysningsloven § 18 annet ledd,
d)for tilgjengeliggjøring av informasjon i medhold av ekomloven § 2-9 tredje ledd og § 2-9a eller tvisteloven § 22-3 fjerde ledd jf. ekomloven § 2-9 tredje ledd,
e)for oppfylling av pålegg i medhold av straffeprosessloven § 210b, § 210c, § 216b annet ledd bokstav d, § 222d, politiloven § 17d eller verdipapirhandelloven § 15-3 annet ledd nr. 3,
f)for nødvendig teknisk vedlikehold av databasen.
§ 4-2.Plikt til overlevering av lagringspliktige data ved begjæring om innsyn etter personopplysningsloven

Lagringspliktige for mobiltelefontjeneste og mobil internettaksess plikter å utlevere lagringspliktige data som nevnt i § 2-1 annet ledd første punktum til virksomhet som skal gi den registrerte innsyn i de lagringspliktige data, etter personopplysningsloven § 18.

§ 4-3.Frist for lagring av lagringspliktige data

Lagringspliktige data etter § 2-2 til § 2-4 skal lagres uten ugrunnet opphold, og ikke senere enn ett døgn etter at kommunikasjonen ble avsluttet.

Lagring av lagringspliktige data etter § 2-5 skal skje uten ugrunnet opphold og ikke senere enn ett døgn etter at kommunikasjonen ble opprettet, og uten ugrunnet opphold og ikke senere enn ett døgn etter at kommunikasjonen ble avsluttet. Ved kommunikasjonens avslutning skal det kun lagres informasjon i medhold av § 2-5 første ledd nr. 1 til 3 og 5 til 7.

Lagring av lagringspliktige data etter § 2-6 skal skje uten ugrunnet opphold og ikke senere enn ett døgn etter at brukeren logget seg på e-posttjenesten, og uten ugrunnet opphold og ikke senere enn ett døgn etter at brukeren logget seg av e-posttjenesten. Når brukeren logger seg av tjenesten, skal tidspunkt for pålogging ikke lagres. Lagring av data som nevnt i § 2-6 nr. 1 skal skje uten ugrunnet opphold og ikke senere enn ett døgn etter at dataene ble generert.

Lagringspliktige data som innsamles fra andre enn de som er nevnt i første ledd skal lagres uten ugrunnet opphold, og ikke senere enn ett døgn etter at dataene ble mottatt.

§ 4-4.Tilrettelegging

Lagringspliktige data skal tilgjengeliggjøres for uthenting etter § 4-1 første ledd bokstavene b til e og annet ledd uten ugrunnet opphold, og ikke senere enn to virkedager eller maksimalt tre dager etter pålegget er kommet frem til den lagringspliktige. Det kan avtales raskere responstid.

Dataene skal tilrettelegges i et elektronisk lesbart format som enkelt kan behandles hos mottaker.

Tilretteleggingsplikten etter første ledd omfatter ikke overføringen av lagringspliktige data til mottaker.

Lagringspliktig er ansvarlig for å etablere et kontaktpunkt som politi og påtalemyndighet eller Finanstilsynet kan kontakte ved uthenting av lagringspliktige data.

Kapittel 5. Tilsyn, klage og sanksjoner

§ 5-1.Tilsyn

Post- og teletilsynet fører tilsyn med de bestemmelser som er angitt i denne forskriften, jf. ekomloven § 10-1.

§ 5-2.Klage

Klageinstans på enkeltvedtak fattet av Post- og teletilsynet i medhold av denne forskriften er Samferdselsdepartementet, jf. ekomloven § 11-6.

§ 5-3.Sanksjoner

Brudd på bestemmelser i denne forskriften kan medføre tvangsmulkt, jf. ekomloven § 10-7, overtredelsesgebyr, jf. ekomloven § 10-13 første ledd nr. 2 eller straff jf. ekomloven § 12-4 første ledd nr. 2.

Kapittel 6. Ikrafttredelse og overgangsbestemmelser

§ 6-1.Ikrafttredelse

Forskriften trer i kraft samtidig med ikrafttredelse av ekomloven § 2-7a.