Datalagringsdirektivet og EMK – en “folkelig” oppsummering

(De fleste tidligere bloggpostene her om Datalagringsdirektivet, er forfattet som løpende kommenterar underveis i debatten. Jeg har skrevet en fagjuridisk artikkel om forholdet mellom Datalagringsdirektivet og Den europeiske menneskerettskonvensjon – EMK – som kommer på trykk i det juridiske fagtidsskriftet Lov og Rett nr 3 2010 i slutten av mars. Den vil publiseres digitalt her, på bloggen min, så snart den er kommet på trykk. Artikkelen nedenfor, er en litt modifisert versjon av en annen artikkel, som jeg skrev på oppdrag for et studenttidsskrift (Pacta) tidligere i vinter. Jeg publiserer den her, fordi den gir en litt mer sammenhengende oversikt over mitt juridiske syn på direktivets forhold til EMK. Jeg har ikke innarbeidet lenker i artikkelen foreløpig, men de fleste kildene er det lenket til i tidligere bloggposter).

EUs Datalagringsdirektiv – et urettmessig angrep på den liberale rettsstaten eller et nødvendig tiltak i moderne kriminalitetsbekjempelse?

INNLEDNING

Utgangspunktet i vår liberale rettsstatstradisjon, som er rettslig forankret blant annet i Den europeiske menneskerettighetskonvensjon (EMK), er at statlige inngrep i våre personlige friheter i form av bevissikring av personopplysninger eller andre tvangsmidler som ledd i kriminalitetsbekjempelse, først iverksettes ved konkret mistanke om straffbart forhold. I en politistat er utgangspunktet omvendt: Der betraktes alle som potensielle lovbrytere, noe som begrunner at staten må føre mest mulig kontroll med oss, hele tiden, gjennom overvåkning og registrering av våre bevegelser – for å hindre at noen av oss begår noe ulovlig.

I hvilken grad det er gjenstand for observasjon – eller diskusjon – blant folk flest, vet jeg ikke. Men det pågår for tiden en sterk utvikling – noen vil si et paradigmeskifte – i europeisk lovgivertenkning, når det gjelder villigheten til å la normale rettsstatsprinsipper og hevdvundene liberale rettigheter innskrenkes, til fordel for en mer pre-aktiv strafferett og sterkere kontroll- og tvangsmidler for staten i kriminalitetsbekjempelsens navn. En bevegelse på skalaen mellom den liberale rettsstat og politistaten, i retning av det siste.

Eksemplene er mange og mangeartede. Rettspolitisk bør de sees i sammenheng. Her skal jeg konsentrere meg om ett av tiltakene, som både illustrerer denne utviklingen tydelig, og som for tiden er gjenstand for omfattende debatt; EUs Datalagringsdirektiv (Direktiv 2006/24/EF).

Direktivets hovedelementer presenteres først. Deretter skal jeg – i noe forenklet form – vise hvordan direktivets innhold støter an mot, og etter min mening antagelig krenker, retten til personvern og privat kommunikasjonsfrihet (EMK artikkel 8). Fordi privat kommunikasjonsfrihet også er en sentral forutsetning for den offentlige ytringsfriheten (EMK artikkel 10) og eventuelt organisasjonsfriheten (EMK artikkel 11), vil det også være relevant å vurdere direktivet opp mot disse. Her konsentrer jeg meg om forholdet til artikkel 8.

OM DATALAGRINGSDIREKTIVET – HOVEDPUNKTER

Datalagringsdirektivet ble vedtatt i 2006, og var direkte foranlediget av terrorbombene i henholdsvis London og Madrid – noe som også fremgår direkte av direktivets fortale. Direktivets formål er å gi myndighetene et verktøy for å kunne avverge, etterforske og iretteføre ”serious crime”, ved å innføre plikt for tilbydere av telekommunikasjons-/internettjenester til å registrere og lagre kundenes/brukernes ”trafikkdata”. Lagringsplikten skal gjelde i minimum seks og maksimum 24 måneder.

Direktivet overlater til statene å regulere når og på hvilke vilkår den enkelte stats myndigheter kan få tilgang til enkeltindividers trafikkdata. Direktivet definerer ikke nærmere hva som omfattes av begrepet ”serious crime”.

”Trafikkdata” omfatter ikke selve innholdet i kommunikasjonen, men stort sett alle andre opplysninger om kommunikasjonen. Grovt oppsummert, skal følgende opplysninger registreres og lagres:

For telefoni (både tale- og tekstkommunikasjon):

  • Når du kommuniserer og hvor lenge
  • Hvem du kommuniserer med
  • Hvor du befinner deg når du kommuniserer
  • Opplysninger som identifiserer telefonen og hva slags utstyr som brukes

For e-post og internett:

  • Når du sender e-post
  • Hvem som mottar e-posten
  • Når du går på nettet
  • IP-adressen din
  • Hvor lenge du er på nettet
  • Opplysninger om utstyr du bruker ved oppkopling

I Norge har Regjeringen lagt til grunn at direktivet er EØS-relevant, og et høringsnotat om implementering av direktivet i norsk rett er nylig sendt ut på høring. Høringsfristen er 18.04.10.

DAGENS SITUASJON – FAKTISK OG RETTSLIG

Situasjonen uten direktivet er at eventuell lagring av vår trafikkdata skjer i henhold til avtalevilkårene i avtalene mellom den enkelte og vedkommende tjenestetilbyder. Lagring skjer da av hensyn til administrasjon av kundeforholdet – typisk ved at data som er nødvendig for å kunne kontrollere fakturaen ved abonnementer som etterfaktureres basert på faktisk bruk. Slik lagring er underlagt personopplysningslovens regler, som håndheves av Datatilsynet. I henhold til dette regimet, skal trafikkdata ikke lagres lenger enn nødvendig for disse formålene, og skal deretter slettes. For tjenester og abonnementsformer hvor det ikke er behov for etterkontroll av faktura, som der hvor det betales fastpris, uavhengig av faktisk bruk, lagres heller ikke slike trafikkdata.

Direktivet krever både lagring av flere typer trafikkdata generelt, lagring av data for tjenester hvor det ikke lages data i dag og lagring i lenger tid enn noe av det som lagres i dag.

Politiets tilgang til trafikkdata – i dag

Når det gjelder politiets (tvangsmessige) tilgang til historiske trafikkdata, gjelder i utgangspunktet straffeprosesslovens alminnelige regler om beslag og utleveringspålegg, jf blant annet straffeprosessloven §§ 203, 205, 210. Tilgang kan også fås etter reglene om kommunikasjonskontroll (av mistenktes kommunikasjon), jf § 216b annet ledd bokstav d, dersom vilkårene for dette foreligger.

Felles for disse tilgangshjemlene er at borgernes trafikkdata først kan bli underlagt ”statlig kontroll”, når det skjer som ledd i en konkret etterforskning og vedkommende trafikkdata i det minste antas å ha betydning som bevis i nettopp den etterforskningen (eventuelt for PSTs del som ledd i forebyggende undersøkelser, jf politiloven § 17d). Politiet må i dag ”leve med” å få tilgang til det som faktisk finnes lagret hos den enkelte tjenestetilbyder, idet bevissikring foretas. Akkurat som med andre tekniske bevis (det være seg fingeravtrykk, DNA-spor eller andre spor som er lagt igjen).

Straffeprosessloven § 215a – ”sikring av elektronisk lagrede data”

I 2005 ble det imidlertid innført en ny bestemmelse i straffeprosessloven § 215a, som gir påtalemyndigheten hjemmel til å pålegge at en tjenestetilbyder å sikre trafikkdata før vilkårene for beslag og utleveringspålegg er oppfylt – når det er ”grunn til å tro” at det er begått en straffbar handling. Et slikt pålegg gir altså ikke i seg selv krav på utlevering trafikkdata (eller til innholdet i kommunikasjonen), men sørger for at trafikkdata som kan få betydning som bevis på et senere stadium i etterforskningen, ikke slettes i mellomtiden. Et slikt pålegg kan bare gis for et tidsrom som er ”nødvendig” og uansett ikke for mer enn 90 dager av gangen.

Bestemmelsen ble innført under henvisning til Norges forpliktelser etter Europarådets datakriminalitetskonvensjon av 2001. Av forarbeidene til § 215a fremgår det at den valgte løsning var så langt man mente at det var forsvarlig å gå i å innføre regler om tvangssikring av trafikkdata, i forhold til blant annet plikten etter EMK artikkel 8 til å respektere retten til privat kommunikasjon, jf NOU 2003:27 og Ot prp nr 40 (2004-2005).

DATALAGRINGSDIREKTIVET OG FORHOLDET TIL EMK

EUs Datalagringsdirektiv kan – og bør etter min mening – sees på som en massiv utvidelse av den form for bevissikring som straffeprosessloven § 215a i dag gir adgang til i Norge.

Selv om dagens regel kan medføre tvangslagring av forholdsvis store mengder trafikkdata om kommunikasjon mellom mange mennesker, begrenses likevel adgangen av at sikringspålegget må relatere seg til en konkret etterforskning, og av at de trafikkdata som sikres antas å ha betydning som bevis i denne – i tillegg til det alminnelige forholdsmessighetsprinsipp i straffeprosessen.

Datalagringsdirektivet innebærer at alle borgernes trafikkdata skal lagres i minst et halvt år – helt uavhengig av slike krav og vilkår som gjelder for sikringspålegg etter dagens system.

Spørsmålet er om slik tvangsregistrering og -lagring er forenlig med EMKs krav til respekt for særlig personvernet/retten til privat kommunikasjon, jf EMK artikkel 8.

At blant annet trafikkdata omfattes av den typen personopplysninger som er beskyttet av EMK artikkel 8 er sikker rett, noe som ble slått fast allerede i 1984 i Den europeiske menneskerettsdomstols (EMD) avgjørelse i saken Malone mot Storbritannia. Dette er bekreftet i en rekke senere avgjørelser.

Videre er det slått fast av EMD at selve lagringen av slike opplysninger utgjør et inngrep i artikkel 8, når det skjer uten borgernes samtykke, uavhengig av om og på hvilke vilkår staten senere kan få tilgang til/bruke de lagrede opplysningene, jf for eksempel EMDs avgjørelser i sakene Leander mot Sverige og Amann mot Sveits.

Ettersom den lagringen som Datalagringsdirektivet forutsetter, utvilsomt utgjør et inngrep i artikkel 8 (1), er spørsmålet om inngrepsvilkårene i artikkel 8 (2) er oppfylt.

For at inngrep skal kunne aksepteres, kreves at 1) inngrepet er hjemlet i nasjonal lovgivning på en tilstrekkelig klar måte, 2) at inngrepet er begrunnet i visse samfunnsmessige hensyn – i dette tilfellet typisk nasjonal sikkerhet, forebygging av kriminalitet og/eller beskyttelse av andres rettigheter – og 3) at inngrepet er nødvendig i et demokratisk samfunn for å ivareta de anførte hensynene.

De to første vilkårene vil neppe volde problemer, dersom direktivet implementeres på en alminnelig, oversiktlig måte i norsk lovgivning. Kjernespørsmålet blir derfor om det tredje vilkåret – nødvendighetskravet – kan anses oppfylt.

[N]ecessary in a democratic society”?

Nødvendighetskravet er av EMDs blitt presisert slik at det fra statens side må godtgjøres at det foreligger et presserende samfunnsmessig behov (pressing social need) for inngrepet. Det er ikke tilstrekkelig at inngrepet er nyttig eller hensiktsmessig – det skal være nødvendig. Det må påvises at inngrepet er egnet til å ivareta de hensyn som begrunner det, at de samme hensyn ikke kan ivaretas på alternative, mindre inngripende måter og at det alt i alt er proporsjonalitet mellom ”mål og middel”.

EMD har hittil aldri tatt stilling til en helt parallell sak – altså om tvangsmessig masselagring av trafikkdata til politiformål, men uavhengig av konkret etterforskning.

EMD har imidlertid tatt stilling til flere tilfeller av bruk av straffeprosessuell kommunikasjonskontroll – noe som prinsipielt er godtatt som virkemiddel i kriminalitetsbekjempelse, når kontrollen skjer som ledd i etterforskning av konkrete saker og de nødvendige rettssikkerhetsgarantiene er på plass, både i forhold til forutberegnelighet og proporsjonalitet.

Videre har EMD også tatt stilling til tilfeller av såkalt ”strategisk overvåkning” av elektroniske kommunikasjonsnettverk. Konkret har dette dreid seg om henholdsvis Tysklands og Storbritannias etterretningstjenesters systemer for overvåkning av i prinsippet all elektronisk kommunikasjon som passerer statsgrensene, jf EMDs avgjørelser i sakene henholdsvis Weber og Saravia mot Tyskland og Liberty m fl mot Storbritannia. Formålet med begge systemene var å forebygge og bekjempe terrorisme og annen, alvorlig og grenseoverskridende kriminalitet som kunne true rikets sikkerhet eller sentrale samfunnsinstitusjoner.

EMD godtar i prinsippet slike systemer, men stiller strenge krav til gode og effektive garantier mot misbruk. Det som skiller disse sakene fra den typen lagring som Datalagringsdirektivet legger opp til, er at det allerede i overvåkningsteknologien ligger en filtreringsmekanisme, ved at det kun er kommunikasjon som tilfredsstiller bestemte søkekriterier, som i det hele tatt fanges opp og kan bli gjenstand for nærmere bearbeiding, analyse og lagring. Det er derfor ikke slik at all kommunikasjonen, verken trafikkdataene eller innholdet i utgangspunktet blir registrert/lagret.  Av de nevnte avgjørelsene fremgår tvert om at EMD stilte ganske strenge vilkår til hvordan søkekriteriene ble valgt ut og til hvilken kontroll som eksisterte med også denne delen av systemet. Av de opplysningene som ble fanget opp for videre behandling, stilte EMD dessuten strenge krav til både kriteriene for at trafikkdata/kommunikasjonsinnhold kunne bli gjenstand for videre granskning og/eller lagring – samt til sletting av informasjon som ikke var relevant i forhold til å avdekke slik kriminell virksomhet som hjemlet overvåkningen. I sum, ble det stilt slike krav til systemet at innsamlingen, bearbeidingen og lagringen av blant annet trafikkdata ble så målrettet som mulig.

Den eneste EMD-avgjørelsen som behandler et tilfelle med klare paralleller til den typen masselagring som Datalagringsdirektivet legger opp til, er etter min mening dommen fra 2008 i saken S. og Marper mot Storbritannia.

I den saken var det snakk om registrering og lagring av fingeravtrykk, celleprøver og DNA-profiler av personer som hadde vært mistenkt, men ikke dømt for straffbare forhold. Formålet med å beholde opplysningene registrert var utelukkende å bidra til å bygge opp en database over slike opplysninger, til bruk i fremtidig kriminalitetsbekjempelse. Slik at fingeravtrykk og/eller DNA-spor som ble funnet under etterforskning av fremtidige straffesaker, kunne sjekkes mot registeret.  Opplysningene ville aldri bli brukt, med mindre vedkommende person ble involvert som mistenkt i et fremtidig straffbart forhold

EMD aksepterte ikke denne registreringen som nødvendig i et demokratisk samfunn, selv om den aksepterte at de registrerte opplysningene ville kunne effektivisere kriminalitetsbekjempelsen

EMD slo for det første fast – under henvisning til tidligere praksis – at lagring av personopplysninger utgjorde et inngrep i seg selv, uavhengig av eventuell bruk av de lagrede opplysningene. Dermed avviste EMD statens anførsel om at borgerne hvis opplysninger var lagret, ikke ble utsatt for noe nevneverdig inngrep så lenge opplysningene aldri ville bli brukt med mindre deres fingeravtrykk eller DNA knyttet dem til fremtidige straffbare handlinger.

For øvrig la EMD vekt på lagringens helt generelle karakter, uavhengig av hva den enkelte hadde vært mistenkt for eller av andre utvelgelseskriterier, at lagringen var tidsubestemt og at lagring av ikke-dømte personers opplysninger i et slikt register, også støtet an mot uskyldspresumsjonen. Det siste momentet gjorde seg særskilt gjeldende når de registrerte enten aldri var blitt tiltalt eller hadde blitt frifunnet.  De burde ha krav på å behandles likt med andre uskyldige borgere.

Det er forskjeller mellom denne saken og den typen lagring som Datalagringsdirektivet legger opp til – og heller ikke denne dommen kan derfor brukes til å ”avgjøre” Datalagringsdirektivets skjebne i møte med EMK artikkel 8.

Jeg mener imidlertid at kombinasjonen av denne avgjørelsen og EMDs praksis vedrørende diverse former for kommunikasjonskontroll og annen behandling av kommunikasjonsdata, viser at ikke-målrettet, tvangsmessig og generell masselagring av alminnelige borgeres personopplysninger, uavhengig av noen konkret etterforskning, vil ha store problemer med å passere EMDs normale krav til proporsjonalitet.

Dersom man skulle akseptere slik masselagring så lenge de prosessuelle vilkårene for bruk av opplysningene var strenge nok, ville den logiske konsekvensen fort bli at staten kunne kreve generell tvangslagring av en rekke opplysninger om oss og vår gjøren og laden på flere livsområder som var ansett som nyttige i kriminalitetsbekjempelse og/eller andre viktige samfunnsoppgaver.

Dette er meget vanskelig å forene med den grunnholdning EMD har gitt uttrykk for i alle slike saker, hvor den som vist har presisert at lagring i seg selv utgjør et inngrep som må kunne forsvares som nødvendig i et demokratisk samfunn.

EMD har også i flere av sine avgjørelser om slike spørsmål, vist til det som hittil har vært ansett som grunnleggende prinsipper i behandlingen av personopplysninger; nemlig formålsprinsippet. Dette prinsippet, som både internasjonale konvensjoner (herunder Europarådets personvernkonvensjon av 28/1-1981 nr 108) og tidligere EU-direktiver om behandling av personopplysninger knesetter, innebærer at personopplysninger som er samlet inn for et formål, kun skal lagres så lenge formålet gjør det nødvendig, og at de deretter skal slettes.

Illustrerende i så måte er at Datalagringsdirektivet – i en slags ”erkjennelse” av dette poenget – uttrykkelig inneholder en bestemmelse om fravikelse fra EUs eget direktiv om beskyttelse av personopplysninger og elektronisk kommunikasjon (2002/58/EF).

Jeg tror derfor at EMD vil måtte overbevises om at verden har forandret seg ganske drastisk de seneste årene, dersom en konvensjonsstat skal kunne vinne frem med at et tiltak som Datalagringsdirektivet krever, skal ha håp om å passere proporsjonalitetstesten i EMK artikkel 8 (2).

Vanskelig overbevisningsoppgave

I lys av hva som er skrevet ovenfor om vedtagelsen av bevissikringsregelen i straffeprosessloven § 215a i 2005, synes også den norske Regjeringen å ha et betydelig forklaringsproblem, dersom den skal argumentere for at implementering av Datalagringsdirektivet kan tilfredsstille proporsjonalitetskravet. I 2005 mente Stortinget og Regjeringen at proporsjonalitetsvurderingen ikke kunne forsvare en mer inngripende regel enn den som § 215a inneholder.

Det blir spennende å se hvordan disse spørsmålene håndteres fremover – både politisk og rettslig. Det er ganske klart at spørsmålet vil komme opp for EMD i en eller annen form i løpet av noen år. I Romania har forfatningsdomstolen allerede slått fast at implementeringen av direktivet i rumensk rett er i strid med rumensk grunnlov og med Romanias forpliktelser etter EMK artikkel 8. I Tyskland har forfatningsdomstolen slått fast at implementeringen av direktivet i tysk rett er grunnlovstridig – og selv om den sier at lagring av trafikkdata kan være grunnlovsmessig, stiller den i realiteten så vidt strenge krav at en full implementering blir krevende å gjennomføre for tysk lovgiver. Forfatningsdomstolen tok ikke stilling til forholdet til EMK.

(For en meget god, praktisk gjennomgang av Datalagringsdirektivet, sett også fra et politifaglig ståsted, anbefales Høyre-politiker og tidligere politijurist Merethe Ranums artikkel “DLD for dummies” – og det finnes generelt mange gode betraktninger og fakta på nettsiden til bloggeren Voxpopulinor, Knut Johannessen)

SKRIV UT (PRINT)

Leave a comment

4 Comments

  1. Är datalagring svaret på ett trängande samhälleligt behov? « Upphovsträtan
  2. Debatten om debatten som aldri ble « Vett og Uvett
  3. KRIPOS, myter og fakta om DLD « Vett og Uvett
  4. Livreddende trafikkdatalagring « Grunde's Blog

Leave a Reply