1. Innledning
Vi viser til departementets høringsbrev av 8. januar 2010 vedrørende ovennevnte høring.
Det er en prioritert oppgave for Advokatforeningen å drive rettspolitisk arbeid gjennom høringsuttalelser. Advokatforeningen har derfor en rekke lovutvalg inndelt etter fagområder. I våre lovutvalg sitter advokater med særskilte kunnskaper innenfor det aktuelle fagfelt og hvert lovutvalg består av advokater med ulik erfaringsbakgrunn og kompetanse innenfor fagområdet. Arbeidet i lovutvalgene er frivillig og ulønnet.
Advokatforeningen ser det som sin oppgave å være en uavhengig høringsinstans med fokus på rettssikkerhet og på kvaliteten av den foreslåtte lovgivningen.
I saker som angår advokaters rammevilkår vil imidlertid regelendringen også bli vurdert opp mot advokatbransjens interesser. Det vil i disse tilfellene bli opplyst at vi uttaler oss som en berørt bransjeorganisasjon og ikke som et uavhengig ekspertorgan. Årsaken til at vi sondrer mellom disse rollene er at vi ønsker å opprettholde og videreutvikle den troverdighet Advokatforeningen har som et uavhengig og upolitisk ekspertorgan i lovgivningsprosessen.
I den foreliggende sak uttaler Advokatforeningen seg som ekspertorgan. Saken er forelagt Advokatforeningens menneskrettighetsutvalg, Advokatforeningens rettssikkerhetsutvalg og lovutvalget for IKT og personvern.
Advokatforeningen avgir følgende høringsuttalelse:
2. Prinsipiellt utgangspunkt
Formålet med direktivet er angitt å være å harmonisere lovgivningen om lagring av nærmere definerte data fremkommet ved bruk av elektronisk kommunikasjon. Hensikten er å gi justismyndighetene et verktøy for å avdekke, etterforske og rettsforfølge alvorlig kriminalitet.
I debatten trekkes gjerne frem behovet for å hindre organisert kriminalitet og terrorisme, men forslaget innebærer at lagret informasjon kan brukes i etterforskningen av all kriminalitet med strafferamme på 3 år eller mer og i noen tilfeller også mindre alvorlig kriminalitet. Dette innebærer for så vidt en betydelig innskjerping i forhold til dagens krav om utlevering av ting som kan ha betydning som bevis i en straffesak, jf strpl § 210, hvoretter retten kan pålegge den som besitter slikt materiale å utlevere dette. Men kravene er mindre strenge enn dagens regler om kontroll av kommunikasjonsanlegg, jf strpl § 216b. I høringsnotatet (på s. 47) er dette begrunnet med at lagring og bruk etter de nye reglene i datalagringsdirektivet er et mindre inngripende tvangsmiddel og at det således er naturlig at terskelen er lavere. Forslaget går altså lengre enn å bekjempe terrorisme og organisert kriminalitet. De nye reglene innfører et verktøy som vil kunne brukes i betydelig omfang i politiets etterforskning av ordinær kriminalitet.
Etter Advokatforeningens syn tar man i høringsnotatet ikke inn over seg de egentlige prinsipielle spørsmål som datalagringsdirektivet reiser. Hensikten med denne høringsuttalelsen er særlig å fremheve disse.
Datalagringsdirektivet pålegger som kjent statene å lagre alle trafikkdata om telefoni- og internettbruk i det enkelte land (men ikke innholdet i kommunikasjonen). Lagring av data i et slikt enormt omfang som direktivet pålegger, innebærer at myndighetene forestår en systematisk og vedvarende ”screening” av hele befolkningens bruk av dagligdagse kommunikasjonsmidler. Som myndighetstiltak for å bekjempe kriminalitet er dette noe prinsipielt nytt. Inngrepet i befolkningens private forhold er meget betydelig og faren for misbruk er stor. I tillegg kommer at reglene gjør inngrep i etablerte rettigheter som for eksempel pressens kildevern, ved at det ikke gjøres unntak for lagring av data fra redaksjonslokaler.
Departementet anser dette som et mindre inngripende tiltak enn de etterforskningsmidler man allerede kjenner. Dette er Advokatforeningen uenig i. På grunn av denne nedtoningen av de nye reglenes egentlige prinsipielle sider godtas lagringen alt for lett som proporsjonal, og det åpnes i tillegg for en meget utstrakt bruk av den innsamlede informasjonen, d.v.s. i alle straffesaker med strafferamme på 3 år eller mer hvor trafikkdataene kan ”antas å ha betydning som bevis”, jf strpl § 210. I tillegg er det stor fare for misbruk.
Vi står altså overfor en ny situasjon når det gjelder overvåkning av befolkningen. Forslaget reiser således nye og prinsipielt alvorlige spørsmål om forholdet til grunnleggende menneskerettigheter, særlig retten til privatliv som bl.a. er beskyttet av EMK artikkel 8. Det samme gjelder både myndighetenes lagring og bruk av dataene.
I den grad direktivets regler strider mot EMK artikkel 8, vil de være ulovlige etter norsk rett og samtidig i strid med grunnleggende prinsipper i EU-retten. Det vil i så fall være legitimt å avstå fra å implementere direktivet i EØS-retten og i norsk rett.
Advokatforeningen anbefaler at direktivet ikke implementeres i norsk rett, og det gis en nærmere begrunnelse for dette nedenfor. Foreningen har dessuten særlig merket seg brev til statsministeren, samferdselsministeren, justisministeren, Stortingets samferdselskomité og Stortingets justiskomité av juni 2009 fra den norske avdelingen av Den internasjonale juristkommisjon og kan slutte seg til det som der blir anført.
3. Om typer informasjon som skal lagres
Det skal lagres opplysninger om all bruk av telefoni, internett, e-post og ip-telefoni. Dette er bl.a. A-og B-nummer for vanlig telefoni, brukeridentitet for e-post, dato og klokkeslett for kommunikasjonen og mye mer. Noen av disse opplysningene kan gi en ganske sikker personidentifikasjon hva gjelder hvem som har forestått kommunikasjonen, for eksempel et A-nummer i en husholdning med én person. For betydelige mengder av den informasjon som skal lagres vil informasjonen antageligvis være ganske usikker med hensyn til konkrete individers bruk av det aktuelle kommunikasjonsmiddelet. Dette gjelder både for bruk av mobiltelefon og e-post. For IP-nummer i store bedrifter vil personidentifikasjon være svært usikker.
Det er hevet over tvil at implementering vil bety at det lagres typer informasjon som man ikke har lagret tidligere. Omfanget av opplysninger som skal lagres er fra et personvernmessig standpunkt svært stort. Det vil omfatte mange daglige aktiviteter hos de aller fleste myndige personer, og svært mange mindreårige. Samlet gir disse opplysningene betydelig innsikt i en persons kommunikasjonsmønster, nettverk og interesser.
Direktivet pålegger medlemsstaten å registrere og lagre opplysninger om alle borgere som benytter telefon og internett uten at det foreligger noen mistanke om straffbare forhold. Dette en helt ny måte å registre opplysninger om borgere på da man etter direktivet får en situasjon hvor opplysningene om alle borgere registres for det tilfellet at noen av dem kan begå et straffbart forhold.
En slik gjennomgripende registrering krever svært tungtveiende grunner. Det rettslige vurderingstemaet blir hvorvidt dette er nødvendig i et demokratisk samfunn, jf EMK artikkel 8. Vi vil komme tilbake til dette nedenfor.
4. Lagringstid
Direktivet fastslår at medlemsstatene skal lagre bestemte kommunikasjonsdata i en viss tidsperiode. Lagringstiden kan bli fra seks måneder til to år. Høringsnotatet angir at myndighetene vil utsette å angi hvilken lagringstid som velges. En slik utsettelse splitter opp debatten på en beklagelig måte. Samfunnsdebatten rundt direktivet har i stor grad vært preget av synspunkter om ”jo lenger lagringstid, jo farligere for personvernet”. Det kan derfor tenkes å være vesentlig lettere å få et politisk flertall for direktivet når man utelater nettopp lagringstiden. Slik sett er den prosedyre som er valgt sterkt kritikkverdig.
Advokatforeningen vil hevde at det er en avsporing fra de prinsipielle personvernmessige problemer å gjøre lagringstidens lengde til et vesentlig spørsmål. Det sentrale og prinsipielle spørsmålet er om det bør påbys at disse trafikkdataene skal lagres overhode.
Høringsnotatet ber spesielt om tilbakemelding på lagringstid. Generelt er det slik at jo kortere lagringstid, jo mindre er personvernulempene. Slik sett vil Advokatforeningen subsidiært anbefale at lagringstiden settes til seks måneder. Dette vil imidlertid ikke avdempe de prinsipielle problemene i særlig grad.
5. Konsekvenser av de nye reglene: Overvåking av uskyldige og fare for misbruk
Den omfattende registrering av kommunikasjonsdata som direktivet innebærer, berører de aller fleste mennesker og utgjør en prinsipiell og omfattende utvidelse av myndighetenes overvåking av befolkningen.
Det er en teoretisk diskusjon om man skal kalle direktivets regler overvåking eller ikke. Uansett medfører direktivet at det lagres vesentlig mye mer informasjon om oss enn tidligere og uten at det er mistanke om staffbare forhold som begrunner lagringen. Det er beklagelig at dette faktum forsøkes tilslørt i den offentlige debatten, for eksempel i utenriksminister Støres kronikk i Dagbladet 18. februar 2010.
Advokatforeningen mener det må legges til grunn at den kraftige økningen i registreringen av opplysninger om den enkelte også fører til en betydelig økt risiko for misbruk. Mengden av data sammenholdt med temmelig sjenerøse vilkår for politiets bruk av opplysningene, medfører en iboende fare for misbruk. I tillegg kan tilbydernes kommersielle interesser friste til misbruk.
Over tid vil det skje tilfeldige lekkasjer fra slike registre. I pressen er også nevnt faren for at ansatte hos teleoperatøren kan ”snoke” i opplysningene. Det er heller ikke utenkelig at slike opplysninger kan tenkes å bli ”kjøpt ut” siden de representerer en stor kommersiell verdi.
Det er en kjent sak at informasjon som eksisterer gjerne vil bli brukt i en helt annen sammenheng enn hva man først tenkte seg. Derfor er det nødvendig å se på direktivets konsekvenser i andre sammenhenger enn hva direktivet selv gir grunnlag for. Det er uttalt kritikk mot direktivet nettopp fordi man frykter at det vil bli åpnet for nye måter å bruke opplysningene på – alt etter hva myndighetene finner ”nødvendig”. Direktivet åpner således for en prinsipiell aksept av en generell ”screening” av hele befolkningens dagligdagse gjøremål som på sikt kan medføre at personvernet innskrenkes ytterligere.
6. Forholdet til EMK artikkel 8
Implementeringen av datalagringsdirektivet har personvernmessige konsekvenser på to plan. Det første omhandler spørsmålet om lagring, og det andre omhandler spørsmål knyttet til senere bruk av de opplysningene som lagres. Begge disse forholdene har personvernmessige implikasjoner, men det er den altomfattende registreringen av kommunikasjonsdata som representerer noe nytt.
Når det gjelder senere bruk av registrerte opplysninger, er det Advokatforeningens vurdering at det er behov for en revisjon og klargjøring av når slike opplysninger kan benyttes til etterforskning og rettsforfølgning av straffbare forhold. Uavhengig av om direktivet implementeres, bør det gjøres en avklaring av reglene knyttet til beslag, utlevering og kommunikasjonskontroll. At dagens regler er uklare og lite oversiktlige fremgår også av NOU 2009: 15 Skjult informasjon – åpen kontroll, hvor dagens situasjon beskrives som lite tilfredsstillende.
En slik klargjøring av når og hvordan slike opplysninger kan innhentes og benyttes, vil bidra til å sikre at norske regler er i overensstemmelse med kravet til klar lovhjemmel (accordance with the law) etter EMK artikkel 8 annet ledd.
Det skal ikke skje inngrep av offentlig myndighet i individenes privatliv, familieliv, hjem og korrespondanse uten at dette er nødvendig i et demokratisk samfunn, jf EMK artikkel 8. Departementene har i høringsnotatet vist til at statene må ha en stor skjønnsmargin når det gjelder å ivareta nasjonale hensyn og bekjempe kriminalitet. Det er denne skjønnsmarginen som i høringsnotatet utgjør hovedbegrunnelsen for at direktivet ikke er i strid med EMK artikkel 8.
Det er ikke tvilsomt at registreringen og lagringen av de opplysninger som datalagringsdirektivet omfatter, utgjør et inngrep i privatlivet i EMKs forstand. For at inngrepet skal være tillatt må da følgende vilkår være oppfylt; inngrepet må ha hjemmel i lov og det må være nødvendig i et demokratisk samfunn for å oppfylle et legitimt formål – kriminalitetsbekjempelse og straffeforfølgning.
Når denne vurderingen skal foretas må man se hen til den type opplysninger det her er tale om å lagre, hvem det lagres opplysninger om samt omfanget av lagringen. Det er i dette tilfellet tale om å lagre opplysninger om hele befolkningen, og dermed svært mange personer som ikke er mistenkt for straffbare forhold. Opplysningene gir betydelig innsikt i den enkeltes bevegelser, nettverk og interesser.
En slik problemstilling som datalagringsdirektivet medfører, har ikke tidligere vært opp for EMD. Det nærmeste man kommer er en sak mot Storbritannia (S og Marper vs UK – EMDs dom av 4. desember 2008) hvor spørsmålet var om det var adgang til å lagre DNA-opplysninger om personer som hadde vært under mistanke i forbindelse med en straffbar handling. Formålet med lagringen var utelukkende eventuell fremtidig bruk i politiformål. EMD fant EMK artikkel 8 krenket da opplysningene ble lagret uten annet formål enn mulig fremtidig etterforskning. Dette taler etter vårt syn for at den registrering som datalagringsdirektivet medfører er i strid med EMK artikkel 8, da hensynet med lagringen utelukkende er den potensielle nytte de kan ha ved senere etterforskning og pådømmelse av straffbare handlinger. Denne saken viser også at statens skjønnsmargin ikke nødvendigvis er så vid som departementet antar. Skjønnsmarginen vil være mindre – og dermed EMDs kontroll av nødvendigheten mer inngående – når det er tale om inngrep som ikke kan knyttes til konkrete kriminelle handlinger, men kun tilrettelegger for fremtidig etterforskning. I tillegg kommer at EMD antageligvis vil føle seg særlig kallet til å sette opp strenge kriterier for å tillate generell overvåkning av befolkningen, hvilket jo kan tenkes misbrukt av myndighetene, særlig dem med svakere demokratisk forankring. Dette vil være en alvorlig trussel mot den frihet konvensjonen skal sikre.
I forhold til forholdsmessighetsvurderingen etter artikkel 8 er det også av betydning at lagringen av opplysninger ikke har noen sammenheng med eller beror på noen individuell vurdering knyttet opp mot den som rammes av inngrepet, nemlig den det lagres opplysninger om. I tidligere praksis fra EMD knyttet til EMK artikkel 8, er nettopp proporsjonalitetsvurderingen knyttet konkret opp mot ulempen for den som rammes av inngrepet. Lagringen av opplysninger som nevnt i datalagringsdirektivet skiller seg vesentlig fra dette ved at lagringen er vilkårlig. I tillegg må statene vise at det er tilstrekkelig vern mot misbruk, noe som gjerne må omfatte adgang til å kontrollere opplysninger som er lagret om seg selv og til å korrigere disse om nødvendig.
Advokatforeningen mener at datalagringsdirektivet mest sannsynlig er i strid med EMK artikkel 8. Dette spørsmålet vil utvilsomt bli prøvet av nasjonale domstoler og antakelig, på sikt, både av EU-domstolen og EMD. Det er Advokatforeningens oppfatning at Norge uansett bør avvente implementering til dette er avklart.
7. Andre prinsipielle personvernmessige betraktninger
Advokatforeningen vil vise til at den tyske forfatningsdomstolen 2. mars 2010 kom fram til at den tyske implementeringen av datalagringsdirektivet er forfatningsstridig. Av avgjørelsen følger det at formålsløs lagring av telekommunikasjonsdata er egnet til å gi en truende følelse av å være overvåket, og at dette kan forstyrre den enkeltes grunnleggende rettigheter.
For å kunne opprettholde og utvikle demokratiet er det utvilsomt viktig at det enkelte individ opplever en stabil og forutsigbar kommunikasjonstrygghet. Advokatforeningen er bekymret for at direktivet vil svekke denne tryggheten på en måte som undergraver den demokratiske styreform og krenker EMK artikkel 8.
Personvernkommisjonen har i ”Uttalelse om datalagringsdirektivet” fra juni 2008 uttalt følgende om dette:
”Vi mener at datalagringsdirektivet setter både personvernet og ytringsfriheten på prøve. Dette vil gjelde selv om lagring av trafikkdata i henhold til direktivet ikke anses som kontinuerlig eller regelmessig overvåkning av borgerne. Verdien av lagring må nemlig også veies opp mot effekter på frimodighet. Dette gjelder selv om formelle friheter ikke berøres, og selv om de registrerte data kun skal være tilgjengelige for politiet under regulerte forhold. Allerede vissheten av at noen kan lete seg fram til dine kontakter og dine bevegelser, både i det virkelige rommet og på Internett, kan være nok til å hemme borgere i utøvelsen av sine friheter til å samles, til å ytre seg og til å søke opplysninger. Dette er grunnleggende rettigheter i et demokrati, som kommer til uttrykk både i norsk lovgivning og i Den europeiske menneskerettskonvensjon (EMK). Etter kommisjonens oppfatning vil innføring av direktivet kunne svekke opplevelsen av privatliv og privat kommunikasjon.”
Advokatforeningen slutter seg til det som her er uttalt av Personvernkommisjonen.
8. Har Norge noe valg?
Det skal i praksis mye til for at Norge skal velge å ikke implementere et direktiv. Men datalagringsdirektivet er omstridt blant EUs medlemsland, noe som tilsier at de politiske konsekvensene av å ikke implementere direktivet kan bli akseptable. Det kan særlig vises til avgjørelsen fra den tyske forfatningsdomstolen som er nevnt ovenfor. Det vil uansett være legitimt om Norge avviser å implementere direktivet under henvisning til at det er i strid med EMK artikkel 8 og dermed ulovlig i henhold til norsk rett og dessuten i strid med grunnleggende prinsipper i EU-retten.
Under enhver omstendighet er dette ingen hastesak for Norge. Sverige har ikke implementert direktivet og EU skal til høsten evaluere hele saken.
Vennlig hilsen
Berit Reiss-Andersen Merete Smith
leder generalsekretær