mandag 15. juni 2009

ICJ-Norges brev til Regjeringen og Stortinget vedrørende Datalagringsdirektivet

(NB! Bloggen er flyttet - KLIKK HER )

(Nedenfor gjengis i sin helhet innholdet i Den internasjonale juristkommisjon, norsk avdelings (ICJ-Norge) brev av idag, 15.06.09, til Regjeringen og Stortinget)


Likelydende brev til:
Statsminister Jens Stoltenberg
Samferdselsminister Liv Signe Navarsete
Justisminister Knut Storberget
Stortingets samferdselskomité
Stortingets justiskomité


DATALAGRINGSDIREKTIVET – ICJ-NORGES SYN OG ANBEFALINGER

Den internasjonale juristkommisjon, norsk avdeling (ICJ-Norge) er opptatt av at grunnleggende hensyn til blant annet rettssikkerhet og personvern blir varetatt av norske myndigheter, når tiltak i bekjempelsen av kriminalitet og eventuell terrorvirksomhet vurderes. I den sammenheng har ICJ-Norge også satt seg inn i og analysert EUs datalagringsdirektiv, som Norge i utgangspunktet er forpliktet til å implementere etter EØS-avtalen.

I det følgende gjengis ICJ-Norges vurdering av direktivet i forhold til de ovenfor nevnte hensyn, i lys av blant annet Norges forpliktelser etter Den europeiske menneskerettskonvensjon (EMK). ICJ-Norges konklusjon er at direktivet ikke kan implementeres slik det foreligger, uten at Norge samtidig i alvorlig grad innskrenker, i verste fall krenker, norske borgeres rettigheter etter EMK. ICJ-Norge kan derfor ikke anbefale at Norge implementerer direktivet.

Innledning
EU vedtok datalagringsdirektivet den 15. mars 2006 (direktiv 2006/24/EF), som pålegger medlemslandene å lagre trafikkdata om all telefon- og internettbruk i det enkelte land. Begrunnelsen for Datalagringsdirektivet er at de lagrede data gir grunnlag for bekjempelse av terror og organisert kriminalitet. Direktivet i dansk tekst finnes her:

http://eur-lex.europa.eu/LexUriServ/site/da/oj/2006/l_105/l_10520060413da00540063.pdf

Trafikkdata er opplysninger som genereres automatisk ved bruk av elektroniske kommunikasjonsnettverk, blant annet hvem som ringer til hvem og når. Datalagringsdirektivet forplikter medlemslandene til for eksempel å registrere opplysninger om tid og sted for kommunikasjonen, hvem som foretok kommunikasjonen, og hvilke telefonnummer eller IP-adresser som er benyttet.

I dag registrerer norske teleselskaper en rekke slike opplysninger med den begrunnelse at slik lagring sikrer at kommunikasjonen teknisk sett kan gjennomføres og underlegges fakturering. Også i Norge kan de lagrede data brukes for kriminalitetsbekjempende formål, dersom politiet får innsyn med hjemmel i straffeprosessloven. Politiet har etter de svært liberale norske regler hatt tilgang til en relativt begrenset mengde trafikkdata. For eksempel lagres ikke e-postkommunikasjonsdata, opplysninger om internettaksess eller posisjoneringsdata (hvor man befant seg da samtalen fant sted) systematisk i dag.

Etter konsesjonsvilkår fra Datatilsynet kan teleoperatørene i Norge i dag lagre opplysninger om teletrafikk til faktureringsformål i opp til fem måneder. Datalagringsdirektivet pålegger medlemslandene å lagre de aktuelle opplysningene i mellom seks måneder til to år. Dersom datalagringsdirektivet implementeres i norsk rett, må alle tilbyderne dermed lagre en utvidet mengde data i lengre tid enn det som er tillatt i dag, og lagre disse til andre formål - kriminalitetsbekjempelse.
Datalagringsdirektivet innebærer inngrep i flere verdier som anses grunnleggende i en rettsstat. Den mest sentrale verdien er personvernet – en verdi som er å anse både som en rettighet i norsk rett og en menneskerettighet etter EMK artikkel 8. Personvernet innebærer en rett til å være i fred fra andre, men også en rett til å ha kontroll over opplysninger om en selv, særlig opplysninger som oppleves som personlige.

Det følger av Norges menneskerettslige forpliktelser at alle inngrep i de rettighetene som vernes av EMK artikkel 8 må være forholdsmessige. Denne bestemmelsen setter imidlertid bare minstekrav til den norske lovgivningen, og myndighetene står fritt til å gi personvernet et sterkere vern enn det som følger av konvensjonen.

I lys av dette reiser Datalagringsdirektivet to sett med problemstillinger: Den første knytter seg til det overordnede spørsmål om registrering av så stor mengde personlige opplysninger om så mange mennesker er forholdsmessig ut fra det hensynet som begrunner registreringen, nemlig bekjempelse av alvorlig kriminalitet. Under forutsetning av at man finner at selve lagringen er forholdsmessig, oppstår en rekker spørsmål knyttet til hvordan lagringen skal skje, hvordan opplysningene skal oppbevares og på hvilke vilkår politiet og andre organer eventuelt skal få tilgang til opplysningene.

Registrering av trafikkdata som inngrep i personvernet
Datalagringsdirektivet gjør inngrep i personvernet på flere måter. For det første utgjør selve eksistensen av regler som åpner for at andre får innsyn i personlige opplyninger et inngrep overfor de som kan rammes av reglene – i dette tilfelle hele den norske befolkning.

Personvernkommisjonen fremhever i sin ”Uttalelse om Datalagringsdirektivet” av 12.06.2008 side 2 at:

”….datalagringsdirektivet setter både personvernet og ytringsfriheten på prøve. Dette vil gjelde selv om lagring av trafikkdata i henhold til direktivet ikke anses som kontinuerlig eller
regelmessig overvåkning av borgerne. Verdien av lagring må nemlig også veies opp mot
effekter på frimodighet. Dette gjelder selv om formelle friheter ikke berøres, og selv om de
registrerte data kun skal være tilgjengelige for politiet under regulerte forhold. Allerede
vissheten av at noen kan lete seg fram til dine kontakter og dine bevegelser, både i det
virkelige rommet og på Internett, kan være nok til å hemme borgere i utøvelsen av sine
friheter til å samles, til å ytre seg og til å søke opplysninger. Dette er grunnleggende
rettigheter i et demokrati, som kommer til uttrykk både i norsk lovgivning og i Den
europeiske menneskerettskonvensjon (EMK). Etter kommisjonens oppfatning vil innføring av
direktivet kunne svekke opplevelsen av privatliv og privat kommunikasjon.”

ICJ-Norge slutter seg til Personvernkommisjonens frykt for at Datalagringsdirektivet og de lovreglene som vil følge dersom direktivet implementeres i norsk rett, vil bidra til en økning av det totale overvåkningsnivået i det norske samfunnet. En slik økning vil kunne ha en hemmende effekt på enkeltmenneskets frimodighet, og dermed også på ytringsfriheten og demokratiet.

For det andre utgjør selve registreringen av trafikkdata inngrep i hver enkelt telebrukers personvern. Dagens registrering foretas først og fremst av hensyn til at kunden skal kunne benytte teletjenester og kontrollere de kostnadene dette medfører. Registrering av personopplysninger enten med samtykke fra den personen opplysningene gjelder eller av hensyn til denne enkeltpersonen, er mindre inngripende enn registrering med begrunnelser som ikke knytter seg til den opplysningene gjelder. Registrering av trafikkdata for å bekjempe kriminalitet utgjør et kraftigere inngrep enn dagens registrering.

Når Datalagringsdirektivet pålegger teletilbyderne å lagre teletrafikken til alle nordmenn med telefon eller internettforbindelse med kriminalitetsbekjempelse som den primære begrunnelse, representerer det også noe helt nytt. Det innebærer at det innføres et etterforskningstiltak som rammer hele befolkningen, i motsetning til tradisjonelle etterforskingsmetoder som først kan tas i bruk etter spesiell begrunnelse, mot personer eller grupper av personer som er mistenkt for konkrete kriminelle handlinger.

Den foreslåtte lagringsplikt for trafikkdata har av denne grunn vekket en personverndebatt i EUs medlemsland, og også etter hvert i Norge. Blant annet har Artikkel 29-gruppen, som er et rådgivende organ i personvernsaker i EU, og der alle nasjonale tilsynsmyndigheter er representert, kommet med følgende uttalelse:

”Direktivforslaget stiller oss overfor en historisk beslutning. Målet er for første gang å innføre en forpliktelse i hele EU med henblikk på etterforskning å lagre enorme mengder data om alle borgeres kommunikasjon", og "Lagring av trafikkdata krenker den grunnleggende rettighet til fortrolig kommunikasjon som den enkelte er garantert i den europeiske menneskerettighetskonvensjon artikkel 8”.

Et så vidtrekkende tiltak må kreve en solid begrunnelse. Så langt har ikke norske myndigheter begrunnet at Norge står ovenfor en kriminalitetstrussel som tilsier at så drastiske virkemidler bør tas i bruk.

Lagring og bruk av trafikkdata
Det følger av praksis fra den Europeiske menneskerettsdomstolen (EMD), og alminnelig personopplysningsrett at både lagring av trafikkdata bruk av hver enkelt opplysning utgjør enkeltstående inngrep i personvernet. Dette innebærer at vilkårene og rutinene for slik lagring og bruk også er underlagt forholdsmessighetskrav.

Datalagringsdirektivet er uklart på en rekke punkter, blant annet hvordan lagringen av de aktuelle dataene skal skje, hvordan dataene skal oppbevares og ikke minst på hvilke vilkår politiet skal gis tilgang til dataene. Dette reiser viktige rettssikkerhetsspørsmål.

For det første fremstår spørsmålet om hvem lagringsplikten skal pålegges som uklart. Dersom formålet med lagringen skal oppnås fullt ut, vil lagringsplikten kanskje også kunne ramme institusjoner som i dag ikke betrakter seg selv som tilbydere av elektronisk kommunikasjon – internettkafeer, biblioteker, skoler, universiteter, hoteller osv., hvor det er mange brukere av kommunikasjonstjenester. Vil disse bli forpliktet til å registrere og lagre trafikkdata for telefonsamtaler, internettbruk og elektronisk post for alle brukerne?

Direktivet pålegger medlemsstatene enkelte plikter med hensyn til datasikkerhet. Teleselskapenes systemer er imidlertid ikke konstruert for å generere sikre bevis for bruk i retten, men for å ivareta de tekniske og faktureringsmessige sidene av kommunikasjon. Systemene innen alle tjenestene som er omtalt i datalagringsdirektivet, er forholdsvis åpne for manipulering. Planting av ”bevis” ved at personer som ønskes rammet, kontaktes av kriminelle i den hensikt å sverte vedkommende, er mulige scenarier.

Ifølge direktivet skal trafikkdataene lagres for å sikre at politiet kan få adgang til opplysningene i forbindelse med etterforsking, avsløring og iretteføring av ”serious crime”, som definert av den enkelte medlemsstat i deres nasjonale lovgivning. ”Serious crime” er et begrep det ikke finnes noen omforent definisjon av. I norsk rett kan politiet i dag be teleselskapene om utlevering av historiske trafikkdata (data som allerede er lagret) både i medhold av reglene om utleveringspålegg (straffeprosessloven § 210) og beslag (§ 203), og i medhold av regelen om kontroll av kommunikasjonsanlegg (§ 216b). Reglene om utleveringspålegg og beslag stiller imidlertid ingen krav til alvoret av den kriminaliteten det dreier seg om. ICJ-Norge vil understreke at dersom Datalagringsdirektivet implementeres i norsk rett, bør politiets tilgang ikke være større enn det som følger av dagens regel i straffeprosessloven § 216b som åpner for at politiet kan be retten om tillatelse til å få tilgang til trafikkdata i etterforskingen av forbrytelser som kan medføre fengsel i fem år eller mer. Noe annet vil være uforholdsmessig i lys av de inngrep registreringen og bruken av opplysningene utgjør.

Kritiske røster
Datalagringsdirektivet har ført til kraftige reaksjoner både i Norge og resten av Europa. I Tyskland har det vært gatedemonstrasjoner mot innføringen av direktivet, og i Norge har flere politiske partier – spesielt partienes ungdomsorganisasjoner – protestert mot implementering av direktivet i norsk rett. Utallige artikler er skrevet i norsk presse – et søk på norske domener ga hele 60 000 treff. Det kanskje mest interessante med debatten er at den også i Norge er i ferd med å etablere en ”folkebevegelse” mot innføringen av direktivet. Nesten 12 000 personer har signert det nettbaserte oppropet opprop.no, på nettsamfunnet Facebook (!) er det registrert 23 000 medlemmer i grupper som protesterer mot direktivet.

Det er fremdeles ikke avklart om regjeringen går inn for å implementere direktivet i norsk rett. Det kan synes som om den endelige avgjørelsen ble satt på vent til EU-domstolen hadde avgjort søksmålet fra Irland om i hvilken del av EU-retten direktivet hører hjemme. Etter at dommen mot Irland (EU-domstolens sak C 301/06) falt, har det imidlertid ikke, så vidt vi er kjent med, skjedd noen avklaring av norske myndigheters forhold til saken. Dommen omhandler kun det hjemmeltekniske grunnlag for direktivet. Ingen av de grunnleggende rettssikkerhetsinnvendingene er drøftet. Det er disse innvendingene norske myndigheter nå må ta stilling til.

Det finnes åpenbart en uro i større deler av folket for hvilke følger en implementering vil ha for personvernet. ICJ-Norge vil derfor oppfordre Stortinget og Regjeringen til å underkaste Datalagringsdirektivet en bred, prinsipiell debatt om hvilket forhold man i Norge ønsker å ha mellom hensynene til personvern og kriminalitetsbekjempelse. I en slik debatt er det avgjørende å ha for øye at personvern er en verdi som kanskje ikke er synlig og merkbar for de fleste før den er tapt. Det er også viktig å ha et reflektert forhold til i hvilken grad vi ønsker at en uspesifisert frykt for angrep mot vårt konstitusjonelle demokrati skal gjøre at vi tillater kraftige inngrep i et av hovedgrunnlagene for nettopp dette demokratiet – personvernet.

Avslutning og anbefaling:

ICJ-Norge oppfordrer Stortinget og Regjeringen til å tenke igjennom følgende:

Ønsker Norge å implementere et direktiv som
1. Innebærer krav til oppbygging av databaser over hele befolkningens kontaktnett og kommunikasjonsformer
2. Muliggjør overvåkning av hvor borgerne til enhver tid befinner seg – og hvilke geografiske bevegelsesmønstre de har
3. Aksepterer en uspesifisert og generell frykt som tilstrekkelig grunnlag for inngrep i hver enkelt borgers personvern.

ICJ-Norges råd til Regjeringen og Stortinget er at et slikt direktiv ikke bør implementeres.

***
Oslo, juni 2009
For ICJ-Norge


Ketil Lund (styreleder) Jon Wessel-Aas (utvalgsleder)

Ingen kommentarer:

Legg inn en kommentar