Lex Superior: 25.04.2010

onsdag 28. april 2010

Datalagringsdirektivet

Datalagringsdirektivet - DIRECTIVE 2006/24/EC

Etter flere års drakamp ble det såkalte datalagringsdirektivet vedtatt 15. Mars 2006. Da hadde EU gått hele veien fra ganske klare og sterke personvernorienterte og databeskyttende direktiver på 90-tallet, til det mer overvåkningsvennlige og lagringsmotiverte som fikk uttrykk i dette direktivet. Den offisielle hensikten med datalagringsdirektivet var todelt, for det første så EU at flere av medlemsstatene i stor grad benyttet seg av unntaksreglene i 2002/58/EC , og ville med datalagringsdirektivet harmonere forholdene for tele- og datakommunikasjonstilbydere, det hadde oppstått en situasjon der forskjell i datalagringsregler utgjorde en konkurransevridning for tilbydere av elektronisk kommunikasjon. Tilbydere i land der det ikke var utstrakt bruk av datalagring hadde merkbare økonomiske fordeler i forhold til tilbydere i medlemsland med videre bruk av datalagring. Denne årsaken til harmoniseringen av regelverket fremstår mer eller mindre som en skinnbegrunnelse i den grad det ikke er fastslått i direktivet om tilbyderne selv eller statene skal stå for merutgiuftene, og at det allerede har blitt særs sprikende praksis i de forskjellige medlemslandene.

For det andre ville EU også søke å gi medlemsstatene mer konsistente verktøy i kampen mot grov kriminalitet, organisert kriminalitet, mafiavirksomhet og terrorisme. På slutten av 90-tallet var det i hovedsak stor motstand mot dette direktivet grunnet personvernhensyn. Mange organisasjoner og medlemsland stilte seg kritisk til gjennomføring av så utstrakt lagring. Etter 9. September 2001 ble påtrykket fra USA større, det etterhvert så berømte brevet fra Bush til kommisjonen (16. Oktober 2001) er i så måte betegnende på situasjonen. Støtten til datalagringsdirektivet fra politisk hold innad i EU ble enda sterkere både som følge av bombingen i Madrid i 2004 og bombingen av T-banen i London i 2005. England satt med presidentskapet høsten 2005. De jobbet også aktivt med å skape støtte og legge veien klar for direktivet i dene perioden. Utover høsten 2005 ble det etterhvert klart at datalagringsdirektivet mest sannsynlig ville gå gjennom og i Mars 2006 ble det vedtatt. Hva er så dette datalagringsdirektivet, hvilke konsekvenser vil det få? Hva innebærer det egentlig? Jeg vil i det følgende gå gjennom hvilke data som skal lagres, hva disse data kan brukes til, hve som kan hente ut data, hvilke kontrollmekanismer som skal etableres, hvor lenge data skal lagres osv. Jeg vil også kort informere om de forskjellige gjennomføringsmodellene som har blitt inført i forskjellige medlemsland på forskjellige områder av direktivet. Kjernen i direktivet er at statene må iverksette tvungen lagring av det som kalles trafikkdata. Disse data skal på sin side lette etterforskning av grovere kriminalitet og hjelpe myndighetene til å motvirke terrorisme.

Hvilke nettbrukeres data skal lagres?
Dette fremgår av direktivets art. 1 andre ledd. Alle data fra både fysiske og juridiske personer skal lagres, det er sådan ingen unntak for bedrifter eller andre juridiske personer. Såfremt du har elektronisk kommunikasjonsutstyr, skal dine trafikkdata lagres.

Hvilke data skal lagres?
Det er såkalte trafikkdata som skal lagres, det inkluderer informasjon om identifiserbare kommunikasjonsdeltagere på telekomtilbyderes nett. Det fremgår av art. 5 hva som faktisk skal lagres. I direktivet har man delt inn i data nødvendig for å identifisere utgangspunktet for en kommunikasjonssesjon, mottager for en kommunikasjonssesjon, nødvendige data for å identifisere tid, dato og varighet, nødvendige data for å identifisere typen kommunikasjon, data for å identifisere brukers kommunikasjonsutstyr (eller pretendert utstyr), lokasjonsdata for mobiltelefoner.
Hva ligger så i alle disse kategoriene? Jeg vil gå gjennom hvert enkelt underpunkt fra direktivet og klagjøre hvordan jeg tolker det og hvilke data som i dagens kommunikasjonsnett vil bli lagret.

Når det gjelder telefonkommunikasjon, både fastlinje og mobil, vil følgende data være nødvendige: originerende telefonnummer, navn og adresse registrert på til dette nummer. Nummer (hvis flere: alle) som blir oppringt, viderekoblingsinfo om alle nummer samtalen eventuelt blir rutet til, navn og adresse registrert på alle involverte nummer. Samtalens varighet vil bli lagret. Type telekommunikasjon, hvilken service som har blitt brukt. For mobiltelefoni skal IMSI og IMEInummer til begge samtaleparter (eller flere) lagres, samt for kontantkort skal i tillegg lokasjonsdata for opprinnelig aktivering samt tidspunkt for denne lagres. For mobiltelefonsamtaler skal celleinfo med lokasjonsdata lagres både ved starten av samtalen og i løpet av lagringsperioden lagres for begge parter. En typisk samtale mellom en Netcom-bruker og en Telenor-bruker der brukeren som ringer ringer fra fasttelefon og mottageren har mobiltelefon vil føre til at følgendedata lagres: Hos fasttelefonbrukeren vil navn og adresse, telefonnummer, ringt fra og til, varighet på samtale og type abonnementsservice lagres, hos mobiltelefonbrukeren vil navn og adresse, nummer oppringt fra og til, IMSI og IMEI-nummer og lokasjonsdata for hele samtaleperioden lagres.
Når det gjelder internettbruk vil jeg dele inn i tre forskjellige kategorier: Internettelefoni, epost og ordinær bruk av internett.

Når det gjelder internettelefoni skal følgende data lagres om avsender av kommunikasjon: tildelt brukerID, brukerID som tilhører enhet ved oppkobling mot det ordinære telefonnettet, navn og adresse til abonnent eller bruker av en tildelt IPadresse, brukernavn eller telefonnummer ved tilkoblingstidspunkt. På mottagersiden skal brukernavn, telefonnummer, navn og adresse på abonnent eller bruker av telefontjenesten. I tillegg skal tjenestetype lagres, slik jeg tolker dette utsagnet skal f.eks ”telenor bedrift bredbåndstelefoni” lagres som tjenestenavn hvis det er denne tjenestetilbyderen og dette abonnementet som er gjeldende. Tid og sted for av- og pålogging skal også lagres, samt oppkoblingsinformasjon relatert til analoglinje (telefonnummer) eller dsl-linje (oppkoblingspunkt).

For Internettepost vil reglene ligne mye på de som gjelder for internettelefoni. Følgende data skal lagres om avsender av kommunikasjon: tildelt brukerID og navn og adresse til abonnent eller bruker av en tildelt IPadresse. På mottagersiden skal brukernavn, navn og adresse på abonnent eller bruker av eposttjenesten lagres. For øvrig skal også tidsinformasjon for på- og avloggingsinformasjon lagres, ipadresse, uavhengig om den er statisk eller dynamisk. Også ved bruk av internetteposttjenester skal tjenestenavn lagres, slik jeg tolker direktivet vil det også her være tilbyder og abonnementsinfo som skal lagres, f.eks ”Telenor privat epost” eller ”Canal Digital bredbånd, tilhørende epost”. Avslutningsvis skal det også her logges oppkoblingsinformasjon. For analoge linjer skal telefonnummer lagres, for dsl-linjer skal oppkoblingspunkt lagres.

Når det gjelder ordinær bruk av internett er det mindre utstrakt lagring. For avsender skal de samme data som ved internettepost og internettelefoni lagres: tildelt brukerID, navn og adresse til abonnent eller bruker av en tildelt IPadresse. Slik jeg tolker direktivet skal ikke data lagres om mottager. I kapittelet om avsender er overskriften følgende: ”concerning Internet access, Internet e-mail and Internet telephony:”, når det gjelder mottager av datatrafikk er derimot overskriften denne: ”concerning Internet e-mail and Internet telephony:”. Slik jeg tolker direktivteksten, og da spesifikt utelatelsen av ”Internet access” i den sistnevnte overskriften, skal det ikke forekomme lagring av ip-adresser eller annen info for mottager hos avsenders ISP. Det som derimot skal lagres er tidspunkt for på- og avlogging med kompensering for tidssone og informasjon om den analoge eller digitale oppkoblingen (telefonnummer og oppkoblingspunkt.

Det er altså en hel rekke data som lagres, både om type tjenester vi bruker, hvem vi kommuniserer med, når vi bruker dem, hvor vi bruker dem og hvor lenge vi bruker dem. Hva er det så som faller utenfor direktivets rekkevidde? Det er flere tjenester som vil falle utenfor direktivets rekkevidde, i en særstilling står såkalte webløsninger. Tjenester som skype, gmail, hotmail, facebook og lignende, vil ikke medføre lagringsplikt slik jeg tolker direktivets art. 3. Ordlyden i art. 3 samt realitetene rundt internettkommunikasjon tilsier at det kun er lokale leverandører av tjenester som skal lagre data. De aller fleste internasjonale tilbydere av epost og internettelefoni har tjenere utenfor EUs grenser, noe som vil medføre store praktiske problemer med jurisdiksjon i forhold til slik lagring. Det innebærer at telenors epost-tjeneste til sine kunder vil måtte medføre lagring, samtidig som de selvsamme brukernes parallelle bruk av gmail ikke vil medføre lagring utover lagring av ipadresse lokalt. Det samme gjelder for bredbåndstelefoni, der brukere av telenors bredbåndstelefoni vil få lagret abonnementsinfo, telefonnummer, varighet av samtaler etc (som nevnt over), vil den selvsamme brukerens bruk av skype ikke generere data utover abonnementsinfo, ipadresser o.l for brukeren selv. Det eneste man kan hente ut av informasjon etter bruk av gmail er dermed at brukeren har logget på internett på et gitt tidspunkt fra en gitt node. Store deler av befolkningens bruk av sosiale tjenester, eposttjenester og internettelefoni vil dermed ikke lagres som følge av dette.
Et annet moment er såkalte bedriftsinterne nett. Det fremgår av art. 3 at det kun er offentlig tilgjengelige nett som har lagringsplikt. Konsekvensen av dette er at nett som Uninett og andre større, lukkede nett, ikke omfattes av lagringsplikten. Som et godt eksempel kan man da peke på de forskjellige studentbyer som har studentby-internett. Disse vil ikke omfattes av lagringsplikten da de faller inn under Uninett og dette, slik jeg har tolket direktivet, vil defineres som et bedriftsinternt nett. I tillegg vil en hel rekke større bedrifts- og organisasjonsnett falle utenfor, i tillegg til de store universitetsnettene har man store bedrifter og store organisasjoner som sykehus o.l om vil falle utenfor lagringsplikten. Også her vil det dermed være store deler av internettrafikken som ikke vil bli lagret.
Hva ligger så av informasjon i disse trafikkdata? De data som lagres vil skape et relativt detaljert bilde av hvor vi ferdes, hvor ofte vi kommuniseres, hvem vi kommuniserer med og hvordan. En gjengs borger i Norge bruker mobiltelefon og internett relativt aktivt. Dette vil føre til at man i stor grad kan kartlegge hvor borgerne beveger seg til enhver tid. En ting er at det ved mobilbruk eksplisitt skal lagres bevegelsesdata, en annen ting er at ip-adresser til brukere, uavhengig om de er dynamiske eller statiske, vil kunne avsløre hvor også vanlig internettrafikk kommer fra rent geografisk. En slik peiling vil ikke være fullt så presis som de data man får fra mobilbruk, men man får et relativt nøyaktig geografisk treff også med denne teknologien.
Som en avslutning kan jeg raskt sammenfatte grovt hvilke data som skal lagres:
- Adresse, navn og kontaktinformasjon for øvrig på abbonnenter som bruker tjenester.
- Tjenestetype/ip-adresser for internettelefoni og eposttjenester.
- Lokasjon- og tid/dato-info om all aktivitet. (Pålogging, avlogging, samtalevarighet etc).
- IMEI/IMSI-nummer for mobiltelefonbrukere
Dette kan kun regnes som en rask oppsummering, for mer presis info les avsnittene over.

Hva kan data som lagres brukes til?
Det fremgår av formålsordlyden i art. 1 at lagrede data skal brukes for å oppdage, etterforske og reise tiltale for ”serious crime”, slik alvorlig/seriøs kriminalitet blir definert i de forskjellige medlemslandene. Videre fremgår det av art. 4 at medlemslandene selv har ansvaret for at regelverk opprettes og at det kun blir mulig å få tilgang på data i konkrete tilfeller og i henhold til de retningslinjer og føringer EMK art. 8 innebærer. Dette legger hovedvekten av ansvaret for å definere regler for uttak av data på statene selv. De politiske signaler som de forskjellige medlemslandene har sendt varierer sterkt. Hovedlinjen synes å være at grov kriminalitet og terrorisme er det lagrede data skal brukes til.

Jeg vil nå se litt på noen av de europeiske lands løsninger rundt bruk av trafikkdata. Den danske løsningen ved implementering av datalagringsdirektivet, er sammensatt. Det er flere krav som må møtes før politiet kan hente ut data jf den danske retsplejeloven §§781-782. For det første må det være bestemte grunner til å anta at det kommuniseres til eller fra en mistenkt, for det andre må bevisene antas å ha avgjørende betydning for etterforskningen, etterforskningen må gjelde en lovovertredelse med en strafferamme på 6 år eller mer, eventuelt gjelde en liste over spesifikke lovbrudd. Videre må man uansett foreta en forholdsmessighetsvurdering slik at de tiltak man gjør og de ulemper og krenkelser det innebærer ikke utveier fordelene ved inngrepet. I Finland har de en lignende ordning, men der er kravet til strafferamme på 4 år. Det kan synes å være en gjeldende norm blant medlemsstatene at en strafferamme på 3-6 år samt noen spesifikke lovbrudd som blir nærmere spesifisert i nasjonal lovgivning er den valgte løsning. Dette er også den norske foreslåtte løsningen i høringsnotatet fra departementet, der legges grensen på 3 år, i tillegg nevnes en rekke spesifikke lovbrudd som også vil omfattes av muligheten til å hente ut lagrede trafikkdata. Dette gjelder spionasje, terrorvirksomhet, datakriminalitet og endel former for organisert vinningskriminalitet og barneporno samt lignende lovbrudd. Det er altså ganske varierende hva de forskjellige land legger i ”seriøs kriminalitet” og ikke minst i hvor mye skjønnsrom de anser seg selv for å ha.

Hvor lenge kan data lagres?
EU har valgt å gi statene en ramme på 6-24 måneders lagringstid, det er dermed opp til de forskjellige medlemsstatene å avgjøre hvor lenge data skal lagres. De aller fleste medlemsnasjoner har valgt å lagre data i 12 måneder. Sveits, Liechtenstein, Romania, Luxembourg og Kypros har valgt 6 måneder. Slovakia og Latvia lagrer i 18 måneder og Irland i 36 måneder (12 måneder lengre enn direktivet åpner for). Det er kun Sverige, Irland, Hellas og Østerrike som ikke har innført datalagringsdirektivet av EUs medlemsstater. Et mindretall har dermed valgt å legge seg på en lagringstid på minimumsnivået, den store majoriteten har valgt å legge seg midt på. Jeg vil komme nærmere inn på viktigheten av lagringstid i forbindelse med min proposjonalitetsdrøftelse senere i oppgaven.

Hvordan kan data hentes ut og av hvem?
Det ligger ingen krav til rettslig kontroll eller demokratisk kontroll med praksisen som vil oppstå. Art. 9 krever dog at statene må ha et uavhengig kontrollorgan som skal overse implementasjonen og bruken av datalagringsdirektivet i de særskilte statene, slik jeg tolker ordlyden i art. 9 er det her ikke snakk om et organ som skal kontrollere konkrete saker, men derimot et organ som skal overse statistikk og gjøre kontroller av hvorfor, hvordan og når trafikkdata blir brukt. Dermed blir det helt opp til statene å etablere løsninger for konkret uthenging av data. Man kan jo bruke henvisningen til EMK som en tolkningsnøkkel for ordlyden i art 4, da kan man innfortolke alle de krav EMK art. 8 stiller til denne typen inngrep, da være seg både klarhetskravet til loven, legitime sikkerhetsforanstaltninger, men også de andre vilkår i art. 8.
I Danmark har de valgt en løsning der det i de aller fleste tilfeller kreves en kjennelse fra retten for å hente ut trafikkdata. Det samme har det store flertall av EU-stater valgt. En forklaring på denne praksisen kan være at dette ser så langt ut til å være den eneste muligheten mange medlemsstater anser mulig for å kunne falle innenfor de prosesuelle og materielle krav art. 8 stiller til denne formen for overvåkning. Det norske forslaget er også at kun retten kan pålegge uthenting av data, og at politiet ikke kan kontakte telekomleverandører direkte.
Prosessen synes dermed i de fleste tilfeller å være en forespørsel fra politiet til en nasjonal domstol, som så behandler forespørselen i tråd med nasjonal rett, for så å tillate eller forby utlevering av trafikkdata.

EMK artikkel 8

Den Europeiske Menneskerettskonvensjon Artikkel 8

“Retten til respekt for privatliv og familieliv

1. Enhver har rett til respekt for sitt privatliv og familieliv, sitt hjem og sin korrespondanse.

2. Det skal ikke skje noe inngrep av offentlig myndighet i utøvelsen av denne rettighet unntatt når dette er i samsvar med loven og er nødvendig i et demokratisk samfunn av hensyn til den nasjonale sikkerhet, offentlige trygghet eller landets økonomiske velferd, for å forebygge uorden eller kriminalitet, for å beskytte helse eller moral, eller for å beskytte andres rettigheter og friheter.”

Innledning

EMK art. 8 beskytter borgernes rett til respekt for privatliv, familieliv, hjem og korrespondanse. Dette er en tradisjonelt viktig og grunnleggende rett og ligger i konvensjonens kapittel om beskyttelse av menneskerettigheter og grunnleggende friheter. Formålet med artikkelen er å sikre borgerne rom og respekt for sosiale og profesjonelle forhold både i det private og det offentlige.

Artikkelen er delt inn I to deler hvorav det siste også praktisk er inndelt i to enkeltdeler.Det første leddet av artikkelen knesetter hva som beskyttes, nemlig privatliv, familieliv, hjem og korrespondanse. Det andre leddet klargjør at beskyttelsen kan gjøres inngrep i såfremt de vilkår som fremgår blir tilfredsstilt. Domstolen har tradisjonelt fulgt dette skillet der man først avgjør om hvorvidt man er på et område som beskyttes for så å avgjøre om det kan gjøres unntak fra beskyttelsen. Når det gjelder områdene som beskyttes, er drøftelsen er i rettspraksis skjønnspreget og retten gjør ofte et poeng utav å ikke lande på et av de beskyttede områdene, men å f.eks la både privatliv og familieliv eller både privatliv og korrespondanse ligge til grunn før den videre drøftelse. Jeg vil komme nærmere inn på dette. Det neste steg i vurderingen fra rettens side er å avgjøre hvorvidt det har blitt gjort et inngrep. Denne drøftelsen er vanligvis forholdsvis kort og konsis, terskelen for å definere handlinger fra myndighetene som et inngrep er forholdsvis lav. Videre drøfter retten hvorvidt inngrepet er nødvendig i et demokratisk samfunn, heri ligger også en proposjonalitetsvurdering. Et inngrep må også være i tråd med nasjonal lov. Innebakt i dette kravet ligger også et kvalitetskrav. Avslutningsvis avgjør retten om de hensyn som søkes beskyttes er legitime. Listen i andre ledd har et bredt omfang og inngrep fra myndighetenes side vil i all hovedsak falle innenfor en av områdene, noe som også gjenspeiles i at det i rettspraksis sjelden er større drøftelser på dette området. Når jeg i det videre skal klagjøre nærmere hva som beskyttes og når, hvorfor og hvordan man kan gjøre unntak fra denne beskyttelsen, vil jeg i det hovedsaklige følge det samme strukturelle mønster som domstolen, som på sin side gjenspeiler ordlyden i artikkelen. Først vil jeg redgjøre kort for hva som beskyttes for så å drøfte i hvilke tilfeller man kan gjøre unntak fra beskyttelsen.

Hva ligger i privatliv, familieliv, hjem og korrespondanse?

Disse interessene er de art. 8 søker å beskytte. Jeg vil først prøve å generelt definere hva som beskyttes, før jeg snevrer teksten inn mot beskyttelsen av korrespondanse og kommunikasjon.

Den europeiske menneskerettsdomstolen har gjort flere forsøk på å skissere grove omriss av hva som beskyttes, men det har aldri kommet noen presise og klare definisjonsgrenser. Regelen er av en slik natur at skarpe og klare definisjoner ville blitt utdatert veldig raskt, samt at en skjønnsmargin her gir EMD muligheten til å handle mer dynamisk i møte med nye rettsområder og ny teknologi. Det fremgår spesielt av to dommer fra EMD at det ikke blir gjort noen definitive forsøk på å skarpt avgrense beskyttelsesområdet, først Smirnova-dommen, så Niemitz-dommen:

“The Court has a number of times ruled that private life is a broad term not susceptible to exhaustive definition […] It has nevertheless been outlined that it protects the moral and physical integrity of the individual […], including the right to live privately, away from unwanted attention. It also secures to the individual a sphere within which he or she can freely pursue the development and fulfillment of his personality.”

”The Court does not consider it possible or necessary to attempt an exhaustive definition of the notion of “private life”. However, it would be too restrictive to limit the notion to an “inner circle” in which the individual may live his own personal life as he chooses and to exclude therefrom entirely the outside world not encompassed within that circle. Respect for private life must also comprise to a certain degree the right to establish and develop relationships with other human beings.”

Slik jeg tolker uttalelsene fra dommene fastslår retten at privatliv er en bred term som ikke egner seg for uttømmende definisjon. Det fremgår også at det er både moralsk og fysisk integritet som skal beskyttes. Samtidig fremholder retten at det foreligger en sfære der borgerne skal ha muligheten til å fritt søke utvikling og fullendelse av personlighet og sosialt nettverk. Dette inkluderer f.eks retten til å nyte godt av gjensidig samtykkende seksuelle forhold til mennesker av eget kjønn. Beskyttelsen er dog ikke begrenset til den rent private sfære. Slik det fremgår av sitatet fra Niemietz-dommen, er også retten til å etablere, utvikle og nyte godt av forhold til andre mennesker beskyttet. Dette tar beskyttelsen ut fra et rent privatsfærenivå, og opp på et nivå der nærmest alle sosiale bånd knyttet mellom borgerne beskyttes. Dette er ikke forbeholdt private og ikke-kommersielle forhold alene, også profesjonelle forhold og kommunikasjon i næringslivet kan falle innenfor beskyttelsen. Dette fremgår av Rotaru-dommen. Slik jeg tolker denne dommen, sier retten at det ikke er noe prinsipielt i veien for at profesjonelle og forretningsmessige forhold også skal beskyttes av konvensjonen. Denne dommen går sågar videre og legger til grunn at også offentlig tilgjengelig informasjon er beskyttet i det fall at den blir systematisk lagret. Dette fremhever slik jeg ser det at domstolen ser på sosiale bånd, muligheten for åpen og uhindret korrespondanse og det å utvikle og opprettholde sosiale forhold til andre mennesker som en del av kjernen i beskyttelsen EMK art. 8 gir. Dette er ikke begrenset til en lukket kjerne i det private hjem, men gjelder sosial utfoldelse på flere plan, inklusive det profesjonelle. Slik jeg ser det er en slik beskyttelse en forutsetning for et velfungerende demokrati. Det er utstrakt empiri fra Øst-Europa, men også her hjemme, som viser at ikke bare faktisk overvåkning, men også viten om at overvåkning kan finne sted legger bånd på utvikling av sosiale og politiske forhold og relasjoner. En nyere undersøkelse gjort i forbindelse med innføring av datalagringsdirektivet i Tyskland, viser at en større prosentandel av de spurte endrer sine kommunikasjonsmønster i påvente av eventuell og potensiell overvåkning. Fri korrespondanse og mulighet til å nyte godt av og utvikle personlige bånd synes dermed å være viktig for et levende organisasjonsliv og dermed også et velfungerende demokrati.

Retten til respekt for sitt hjem og familieliv er i likhet med avsnittene over vanskelig å skarpt avgrense. Man har det klare utgangspunkt at alle borgere har rett til beskyttelse fra inngrep mot hjemmets private sfære, det være seg hjemmets fysiske integritet ved f.eks husundersøkelser, men også kommunikasjonslinjer ut og inn av hjemmet. Slik glir beskyttelsen av hjemmet over i både privatlivsbeskyttelsen og beskyttelsen av korrespondanse. Noe som gjenspeiles i at retten relativt ofte parallelt bruker disse interessene sammenstilt som utgangspunkt for drøftelser. Familielivet er også vanskelig å skille fra hjem og privatliv, beskyttelsen går dog noe videre spesielt når det gjelder familiebånd i forbindelse med asylsaker, barnevernssaker o.l. Dette har liten relevans for problemstillingen min og jeg vil ikke gå nærmere inn på sondringen her.

Når det gjelder hva som beskyttes av korrespondanse og kommunikasjon, er utgangspunktet både fra ordlyden, men også fra rettspraksis, at alt kommunikasjonsinnhold av privat art, det være seg private samtaler, telefonsamtaler, brevpost o.l er beskyttet. Borgerne skal ha frihet til å kommunisere fritt med sine medborgere og det skal være klare grenser for når og hvordan kommunikasjon kan overvåkes. At begrepet “korrespondanse” skal tolkes dynamisk og utvidende fremgår etter mitt syn allerede med Klass-saken i 1978, der retten legger til grunn som en selvfølge at også telefonsamtaler skal falle inn under både “privatliv” og “korrespondanse”, uten at det eksplisitt blir nevnt. En slik tolkningsmodell synes å være det mest rasjonelle på et område som er i rask utvikling og har vært det de siste 20-30 år, noe også rettspraksis indikerer. Nye kommunikasjonsformer har fortløpende blitt innlemmet i beskyttelsessfæren.

Det er også grunn til å anta at kommunikasjon mellom borgerne i det offentlige rom er vernet. Spesielt i Niemietz-dommen (sitert foran) fremgår det at det ikke kun foreligger beskyttelse for en strikt og restriktivt tolket “indre sirkel”, men at det også foreligger beskyttelse for de sosiale bånd og den kommunikasjon man har utenfor hjemmet og en strent lukket sirkel.

Når det gjelder kommunikasjonsdata er Malone-saken den sentrale rettskilden. Det er flere momenter som er interessante i denne dommen, men spesielt relevant er dette sitatet:

“The Court does not accept, however, that the use of data obtained from metering, whatever the circumstances and purposes, cannot give rise to an issue under Article 8 (art. 8). The records of metering contain information, in particular the numbers dialed, which is an integral element in the communications made by telephone. Consequently, release of that information to the police without the concent of the subscriber also amounts, in the opinion of the Court, to an interference with a right guaranteed by Article 8 (art. 8)”.

Retten anser de nummer som har blitt ringt som et integrert element i telefonkommunikasjonen. Et telefonnummer er i denne sammenhengen et nummer som kan knyttes opp mot de som har deltatt i kommunikasjonen via andre lagrede data hos teletilbyderen. Det at retten legger vekt på at også denne delen av kommunikasjonen beskyttes må tolkes dithen at ikke bare hva du sier, men også såkalte metadata, som når og med hvem du har kommunisert, er beskyttet. Dette er sentralt for å forstå hvor vid beskyttelse artikkel 8 gir, spesielt i forhold til min problemstilling. I en moderne kontekst kan dette naturlig videreutvides til også å omfatte ip-adresser, e-postadresser, dns-data, posisjonsdata og annen informasjon som kan knyttes til et konkret og identifiserbart individ ved uthenting av informasjon fra tele- og datatilbydere. Dette er data som er parallelle med det telefonnummer var tidligere og en videreføring av de prinsipper retten legger til grunn i Malone-saken må også medføre at disse data blir definert som integrerte deler av kommunikasjonen . Dette underbygges av flere andre dommer, bl.a. P.G og J.H-dommen, også der fremgår det at ikke bare selve kommunikasjonen, men også kommunikasjonsdata (i dette tilfellet telefonnummer, tidspunkter) er beskyttet av art. 8. Nettopp fordi slike data kan brukes til å identifisere handlingsmønster og skape en oversikt over borgernes livsførsel. Det er mange praktiske eksempler på at kommunikasjonsdata også trenger beskyttelse, det enkleste for denne sammenhengen vil nok være pressens kildevern, her er det jo nettopp til hvem/når man kommuniserer som er det beskyttelsesverdige, og ikke selve innholdet i kommunikasjonen. Å beskytte kun innhold, men ikke kommunikasjonsdata i et slikt tilfelle ville være inkonsekvent og bryte med den praksis retten har hatt og har videreutviklet de siste tredve år. Dette blir mer og mer sentralt jo lengre den teknologiske utviklingen går. Det som i dag kalles “trafikkdata” og lagres av tilbydere av internetttjenester o.l involverer alt fra posisjonsdata (både gps-orienterte løsninger på håndholdte enheter, mobilmasttriangulering på mobiltelefoner og ip-adressesøk på stasjonære enheter) til ipadresser til de nettsider og tjenester du bruker. En sentral statlig database der slik informasjon kan krysskobles vil utgjøre en særdeles detaljert oversikt over de enkelte borgeres livsførsel. Det er dermed naturlig både i lys av artikkelens formål, men også i lys av de siste års rettsutvikling, å anta at domstolen vil utvide beskyttelsen til å gjelde alle slike data.

For å konkludere avsnittet vil jeg peke på noen sentrale momenter rundt hva som blir beskyttet av art. 8. Et hovedtrekk i rettspraksis er at domstolen ikke prøver å definere grensene for beskyttelsen særlig skarpt og at beskyttelsesområdet har blitt utviklet og utvidet i takt med nye kommunikasjonsformer og teknologi, nye relasjonsmønster og sosiale omgangsformer. Man beskytter både det private rom i hjemmet og omgangsformer som vi tradisjonelt sett har ansett som ”offentlige”. Spesielt om noe systematisk blir lagret/gjort tilgjengelig for enkle søk, har det formodningen for seg at det blir beskyttet. Videre er det ikke kun kommunikasjonsinnhold som beskyttes, men også kommunikasjonsdata. Dette medfører at lagring av f.eks ipadresser knyttet til identifiserbare brukere, er et inngrep i privatliv og/eller korrespondanse.

Hva konstituerer et inngrep etter art. 8

Det er etter artikkel 8 inngrep som i utgangspunktet er forbudt og om må legitimeres etter andre ledd. Retten bruker sjelden mye tid på å avgjøre hvorvidt man er innenfor et område som beskyttes av art. 8. Det samme kan sies om deres vurderinger rundt hvorvidt en myndighetshandling (eller unnlatelse) kan sies å være et inngrep eller ei. Det er sjelden dette kommer på spissen og jeg har funnet lite rettspraksis som indikerer at dette er en problemstilling som reises som sentral veldig ofte. Jeg vil dog komme med noen få kommentarer rundt hva som regnes som inngrep. Både reell myndighetsutøvelse av forvaltning/politi og formell myndighetsutøvelse via vedtagelse av lover o.l. kan falle inn under paraplyen “inngrep”. Videre kan man merke seg at det i rettspraksis (da spesielt Klass-dommen), fremgår at det ikke er nødvendig med aktuelle handlinger for at et inngrep skal foreligge:

“Furthermore, as the Delegates rightly pointed out, this menace of surveillance can be claimed in itself to restrict free communication trough the postal and telecommunication services, thereby constituting for all users or potential users a direct interference with the right guaranteed by Article 8 (art. 8).”

Slik jeg tolker dommen må det være klart at såfremt det foreligger et lovverk som åpner for former for overvåkning, så kan dette i seg selv være et inngrep, da trusselen om overvåkning vil gripe inn i borgernes bruk av post- og teletjenester. Dette understreker det jeg skriver over om at det ikke bare er aktive inngrep/myndighetshandlinger, men også vedtagelse av lovverk og tilretteleggelse for gitte handlinger i det offentliges regi som faller innenfor inngrepsbegrepet. Det er vanskelig å sette spesifikke og klare grenser for hva som ligger i begrepet “inngrep”. Rettspraksis bærer preg av å være skjønnsorientert og veldig konkret. Samtidig er det sjelden her striden står. Ofte slår retten fast at det foreligger et inngrep for så å legge større vekt på nødvendighetsvurderingen og kravet til lovkvalitet.

Et moment som synes å avgjørende for rettens vurdering særskilt i saker om inngrep i retten til respekt for korrespondanse, er at det ofte er vanskelig for borgerne å dokumentere reelle inngrep, spesielt i avlytting/overvåkningssituasjoner, det er dermed naturlig at også potensielle inngrep har en plass, hvis ikke ville beskyttelsen mot denne typen inngrep være høyst illusorisk. I de fleste situasjoner av denne natur vil jo borgerne ikke sitte på verken konkrete bevis eller andre indikasjoner utover mistanker.

Inngrepsbegrepet er dermed ikke lett å definere presist, de fleste former for myndighetsutøvelse, maktutøvelse eller lignende tiltak som gjøres på statenes vegne eller av statene selv og griper inn i rettigheter etter traktaten, vil slik jeg tolker domstolens praksis, falle inn i inngreps-sekken. Det er ikke et stort behov for å nedfelle en presis tolkning av dette begrepet, verken generelt eller for min problemstilling. I forhold til min problemstilling vil det være vanskelig å komme utenom at generell lagring av data er et inngrep og drøftelsen vil sådan ikke ha sin hovedvekt her.

Krav til lov.

Et videre krav etter art. 8, er et krav til at inngrep må være hjemlet i nasjonal lov. Kravet til lov innebærer ikke bare at det skal foreligge en nasjonal lov som regulerer inngrepet, men innebærer også et kvalitetskrav til loven(e). Lovreglene som foreligger må være tilgjengelige, de må gjøre situasjonen forholdsvis forutsigbar for borgerne og de må være klare/foreståelige nok til at den gjengse borger, om enn med rådgivning, kan forutse sin rettsposisjon. Dette fremgår av en rekke dommer, men spesielt i Silver and others-dommen fremgår det presist og tydelig:

“Firstly, the law must be adequately accessible: the citzen must be able to have an indication that is adequate in the circumstances of the legal rules applicable to a given case. Secondly, a norm cannot be regarded as ‘law’ unless it is formulated with sufficient precision to enable the citizen to regulate his conduct: he must be able – if need be with appropriate advice – to forsee, to a degree that is reasonable in the circumstances, the consequences which a given action may entail”

Borgerne må altså, slik jeg tolker dommen, ha mulighet til å forutse sin rettsposisjon og hvilke konsekvenser handlinger de planlegger å foreta kan komme til å ha. Man må kunne regulere oppførselen sin i forhold til det regelverk som foreligger. Rettspraksis på dette området legger relativt strenge kvalikative bånd på lovgivermyndigheten til konvensjonsstatene, noe også rettspraksis viser. Spesielt sterkt skjønnsorienterte lovverk på sentrale livsområder som nyter godt av konvensjonens beskyttelse blir ofte diskvalifisert av retten. En for vid skjønnskompetanse for forvaltning og offentlige myndigheter for øvrig vil gjøre inngrepsmulighetene vilkårlige og dermed undergrave den beskyttelsen lovkravet gir mot nettopp dette: vilkårlige inngrep i rettighetene etter art. 8.

Dette belyser den relative og dynamiske naturen dette lovskravet har. Dette fremgår også av Gubi-dommen:

“It should however be recalled that the level of precision required of domestic legislation - which cannot in any case provide for every eventuality - depends to a considerable degree on the content of the instrument considered, the field it is designed to cover and the number and status of those to whom it is addressed (see, as the most recent authority, the Chorherr v. Austria judgment of 25 August 1993, Series A no. 266-B, pp. 35-36, para. 25).”

Retten sier her relativt tydelig at kravet til lov er relativt slik jeg ser det, en naturlig forståelse av ordlyden i dommen tilsier at man kan sette sterkere krav til kvaliteten på nasjonale lover, jo mer alvorlig de griper inn i en rettighet etter traktaten og jo mer sentralt i traktaten inngrepet ligger. En lik ordning er naturlig, da statenes skjønnsrom bør være (og er, slik jeg tolker rettspraksis) større når det gjelder mindre inngrep og mer perfifere deler av rettighetene, samtidig som EMD bør være strengere jo nærmere kjernen i en rettighet man kommer. Er det snakk om å gripe inn mot sentrum av rettigheten krever det særskilt presise lovtekster og tilgjengelighet for allmenheten. Er det snakk om vanskelig tilgjengelig lovtekst, mangelfull lovtekst og/eller regulering via forskrifter, kan statene reparere disse manglene ved å ha et ellers velfungerende system av sikkerhetskontroller i form av eksterne/uavhengige granskningsorganer og/eller demokratisk kontroll med aktiviteten. Det er flere eksempler fra rettspraksis som eksemplifiserer dette. Spesielt systemer med ombudsmenn og/eller komitèer der representanter fra opposisjonen er med, blir sett på som en trygg foranstaltning i en slik kontekst. Domstolskontroll er på lik linje med slike tiltak en sikkerhetsanordning som kan veie opp for manglende lovtekst eller et i overkant skjønnsorientert regelverk.

Alt i alt er det også her en utpreget konkret og skjønnsmessig vurdering som må ligge til grunn. Man må ta høyde for de nasjonale myndigheters nærhet til faktum, man må gi de nasjonale myndigheter tilstrekkelig rom for å utarbeide sitt lovverk, men samtidig må man sikre seg at loven, de sikkerhetsordninger som eksisterer og forholdene for øvrig samlet sett møter de krav EMD stiller.

Nødvendig i et demokratisk samfunn.

Jamfør ordlyden i art. 8 og rettsprakis, er det en forutsetning for at man skal kunne foreta et inngrep, at det er nødvendig i et demokratisk samfunn. Det neste steget i rettens tradisjonelle drøftelse er dermed å avgjøre hvorvidt tiltaket er nødvendig. Heri ligger det jf en ganske entydig rettspraksis en proposjonalitetsvurdering. Veier inngrepets positive konsekvenser opp for de ulemper det medfører? Finnes det mindre inngripende tiltak som medfører de samme positive eller tilnærmelsesvis de samme positive virkninger? Dette er et av momentene som nok skaper de største problemene og oftest er på spissen i rettspraksis. Statene er gitt et relativt stort skjønnsrom her, men det er likevel klar praksis fra retten på at den griper inn hvis den anser inngrep for å være ikke-proposjonale, ikke-nødvendige eller når det er sannsynliggjort at andre og mindre inngrep kunne blitt iverksatt.

Det kommer fra ordlyden “nødvendig” at det må foretas en vurdering av disse momentene opp mot hverandre. For at et inngrep skal være nødvendig, så kan det ikke foreligge mindre inngripende tiltak som dekker samme behov, det må også foreligge et behov som gjør at inngrepet er rettferdiggjort. I Olsson-dommen blir dette kravet forsøkt presisert:

“According to the Court’s established case-law, the notion of necessity implies that an interference corresponds to a pressing social need and in particular, that it is proportionate to the legitimate aim pursued.”

Det må altså for det første foreligge presserende sosiale behov og videre presiserer retten at inngrepet må være proposjonalt i forhold til det legitime mål som søkes nådd (mer om legitime mål nedenfor). Slik jeg tolker uttalelsen legger retten til grunn at det er et strengt krav om nødvendighet for å legitimere inngrep i rettighetene etter artikkel 8 (Dette er for øvrig et krav som er gjennomgående for inngrep i andre rettigheter etter traktaten). Samtidig har retten i bl.a Handyside-dommen fastslått at nødvendighetskravet etter art. 8 gir statene et større skjønnsrom enn ordlyden i art. 2 og 15, “absolutt nødvendig” og “strengt nødvendig”. Slik jeg tolker Handyside-dommen, anser retten statene til å være nærmere både faktum og juss, og at de dermed i større grad har mulighet til avgjøre hvorvidt et tiltak/inngrep er nødvendig i et demokratisk samfunn. Det er vanskelig å komme med en konkret sondring mellom dette skjønnsrommet og domstolens prøving av presserende sosiale behov og proposjonalitet, da dette i all hovedsak baserer seg på konkrete drøftelser på en sak-til-sak basis. Rettspraksis har vist at domstolen i stor grad ser på de aktuelle skadevirkninger. I forhold til art. 8 er det sjelden økonomiske eller andre materielle skadevirkninger som er aktuelle, men derimot sosiale og/eller politiske skadevirkninger. Inngrep i borgernes privatssfære, familieliv, hjem og korrespondanse vil ofte gi seg utslag i endrede kommunikasjonsmønster og minsket sosial interaksjon. Dette har man sett flere eksempler på både i Øst-Europa de siste tiår, men også andre steder i verden. Som nevnt har det blitt gjennomført en undersøkelse i Tyskland som viser at et flertall av de spurte vil endre sine kommunikasjonsvaner som følge av datalagring. Det er vanskelig å rent praktisk veie denne typen endringer opp mot eventuell kriminalitetsbekjempelse, men retten til å kommunisere fritt er en av kjernemomentene i art. 8, inngrep som tydelig forandrer kommunikasjonsmønstre må det dermed, for å være proposjonale, utgjøre en merkbar endring i kriminalitetsbilde. (Note to self: Må jeg her ha flere referanser til studier på kommunikativ adferd?)

Legitime mål

Avslutningsvis i rekken av underproblemstillinger under art. 8 ligger spørsmålet om hvorvidt staten har fulgt et legitimt mål. Listen over legitime mål er relativt lang og dekker de fleste formål myndigheter skal kunne ha for inngrep:

“Hensyn til den nasjonale sikkerhet, offentlige trygghet eller landets økonomiske velferd, for å forebygge uorden eller kriminalitet, for å beskytte helse eller moral, eller for å beskytte andres rettigheter og friheter”

Det er sjelden at dette utgjør et problem i praksis. Som nevnt over vil de aller, aller fleste inngrep fra offisielt hold søke å tjene et av målene over. Som oftest vil man også kunne peke på flere av formålene i art. 8. I mitt tilfelle er det snakk om både å beskytte andres rettigheter og friheter, forebygge uorden eller kriminalitet samt hensynet til den nasjonale sikkerhet. Jeg vil ikke gå nærmere innpå de forskjellige formål da disse gir statene et stort skjønnsrom og tilnærmelsesvis aldri blir et konflikttema.

Positive versus negative forpliktelser.

Det foreligger en hel del rettspraksis på at det ikke bare foreligger en negativ plikt til å ikke gripe inn i retten til privatliv, hjem, familieliv og korrespondanse, men også en positiv forpliktelse for konvensjonslandene til å aktivt legge til rette for at borgerne skal kunne nyte godt av disse rettighetene. Disse sakene grenser ofte opp mot art. 13 om effektivt virkemiddel. Jeg vil ikke i særlig stor grad gå inn på dette skillet og forholdet til positive forpliktelser, da dette i liten grad er relevant for min oppgave.