Datalagringskonsesjonen

Alle verksemder som er lagringspliktige etter datalagringsdirektivet må søke Datatilsynet om konsesjon for behandlinga av personopplysningar. Det er Post- og teletilsynet som har ansvar for å definere kven som blir lagringspliktige.

Denne saka vart skriven før datalagringsdirektivet vart kjend ugyldig av EU-domstolen våren 2014. Direktivet vil difor ikkje tre i kraft slik det står no. Konsesjonen slik det står om han her, vil derfor heller ikkje bli gitt.

Les mer om EU-dommen.

DLD-konsesjonen frå Datatilsynet stiller mellom anna  opp følgjande vilkår: 

  • Lagringspliktige verksemder må tilby sine eigne abonnentar moglegheit til å gjere seg kjent med alle personopplysningar som er lagra om vedkomande.
  • Alle opplysningar skal lagrast kryptert gjennom ei tofasa krypteringsløysing. Første fase omfattar kryptering hos tilbydar i heile lagringsperioden. Fase to omfattar kryptering før overføring til relevant myndigheit. 
  • Lagra data skal signerast digitalt, slik at einkvar endring av opplysningane kan oppdagast.
  • Opplysningane skal lagrast i separate, lukka system, åtskilt frå andre opplysningar som verksemda behandlar ut frå eigne drifts- og faktureringsformål.
  • Det skal gjennomførast identitetskontroll ved innpassering til dei lokalane der opplysningane vert lagra. Tilkomst til lokala skal vere førehalt personell med eit sakleg behov.
  • Lagra opplysningar skal berre utleverast til myndigheiter som i lov er gitt særskilt tilgang til å innhente dei aktuelle opplysningane, eller til verksemda sine eigne abonnentar på bakgrunn av innsynskrav.
  • Dei lagra opplysningane skal slettast etter seks månader (jf. datalagringsforskrifta § 3-6).
  • Verksemder som er lagringspliktige etter DLD skal kvart tredje år sende Datatilsynet ei stadfesting på at behandlinga skjer i samsvar med søknaden og personopplysningslova.
  • Det er rom for at fleire lagringspliktige verksemder kan gå saman om å finne løysingar for lagring og handtering av personopplysningar.
  • Krava som vert stilt i konsesjonen er eit vedtak som kan påklagast i samsvar med forvaltningslovas kapittel VI. Ei eventuell klage skal fremjast for Datatilsynet.

Last ned:

DLD-konsesjonen (pdf)

Atterhald om endringar

Datalagringsforskrifta som vert utforma av Post- og teletilsynet er enno ikkje vedteke. Det er difor ikkje heilt klart korleis det endelege resultatet vil sjå ut. Innhaldet i personopplysningsforskrifta som skal heimle konsesjonsplikta, og som Fornyings-, administrasjons og kyrkjedepartementet har ansvar for, er heller ikkje vedteke. Datatilsynet tek difor atterhald om at konsesjonen vil måtte endrast på bakgrunn av den endelege forskriftsreguleringa. Tilsynet vel likevel å sende ut konsesjonen no for å unngå forseinkingar knytt til implementeringa av direktivet, og for å ta omsyn til konsesjonshaveranes behov for å innrette drifta av verksemda etter dei krava konsesjonen stiller. Dessutan vil det vere lettare å avklare kostnadsspørsmålet no når konsesjonens innhald er gjort kjent.