5 Rettslige rammer
5.1 Innledning
Både nasjonale og internasjonale regler har betydning for utformingen av regler om lagring av IP-adresser. For det første har Grunnloven § 102 regler som verner privatlivet, herunder kommunikasjon. I tillegg finnes det forskjellige internasjonale regelsett som danner rammer for norsk lovgivning. Av særlig betydning i denne sammenheng er Den europeiske menneskerettskonvensjonen av 4. november 1950 (EMK), som gjennom menneskerettsloven av 21. mai 1999 nr. 30 er gjort til norsk lov, og som etter § 3 ved motstrid går foran annen norsk lovgivning. Videre er Europaparlaments- og rådsdirektiv 2002/58/EF av 12. juli 2002 om behandling av personopplysninger og personvern i sektoren for elektronisk kommunikasjon (kommunikasjonsverndirektivet) av særskilt betydning ved fastsettelsen av rammer for kommunikasjonsvernet og vurderinger av i hvilken grad det kan gjøres inngrep i dette. Direktivet er gjennomført i norsk rett gjennom ekomloven med forskrifter. I det følgende redegjøres det for de rettslige rammene for lovforslaget, slik det ovennevnte regelverket er tolket i praksis.
5.2 Retten til privatliv og vern av kommunikasjon etter Grunnloven og EMK
Retten til privatliv er vernet gjennom Grunnloven § 102. Bestemmelsen lyder:
«Enhver har rett til respekt for sitt privatliv og familieliv, sitt hjem og sin kommunikasjon. Husransakelse må ikke finne sted, unntatt i kriminelle tilfeller.
Statens myndigheter skal sikre et vern om den personlige integritet.»
Bestemmelsen kom inn i Grunnloven som ledd i grunnlovsreformen i 2014. Komiteen ga i Innst. 186 S (2013–2014) punkt 2.1.9 side 27 uttrykk for at bestemmelsen gir rett til et vern av personopplysninger ved at den «skal leses som at systematisk innhenting, oppbevaring og bruk av opplysninger om andres personlige forhold bare kan finne sted i henhold til lov, benyttes i henhold til lov eller informert samtykke og slettes når formålet ikke lenger er til stede».
Grunnloven § 102 gir ikke anvisning på noen adgang til eller vilkår for, å gjøre inngrep i retten til privatliv. Høyesterett har imidlertid lagt til grunn at det kan gjøres inngrep i retten etter Grunnloven § 102 første ledd første punktum dersom tiltaket har en tilstrekkelig hjemmel, forfølger et legitimt formål og er forholdsmessig, se Rt. 2014 side 1105 avsnitt 28 og Rt. 2015 side 93 avsnitt 60.
Grunnloven § 102 første ledd første punktum har klare likhetstrekk med EMK artikkel 8 og må tolkes i lys av denne, men likevel slik at fremtidig praksis fra internasjonale håndhevingsorganer ikke har samme prejudikatsvirkning ved grunnlovstolkningen som ved tolkningen av de parallelle konvensjonsbestemmelsene, jf. Rt. 2015 side 93 avsnitt 57.
EMK artikkel 8 lyder (i norsk oversettelse):
«1. Enhver har rett til respekt for sitt privatliv og familieliv, sitt hjem og sin korrespondanse.
2. Det skal ikke skje noe inngrep av offentlig myndighet i utøvelsen av denne rettighet unntatt når dette er i samsvar med loven og er nødvendig i et demokratisk samfunn av hensyn til den nasjonale sikkerhet, offentlige trygghet eller landets økonomiske velferd, for å forebygge uorden eller kriminalitet, for å beskytte helse eller moral, eller for å beskytte andres rettigheter og friheter.»
Begrepet «privatliv» skal i henhold til Den europeiske menneskerettsdomstolens (EMD) praksis tolkes vidt, se S. og Marper mot Storbritannia 4.12.2008 avsnitt 66 til 67 med videre henvisninger. EMD har i sin praksis lagt til grunn at offentlige myndigheters lagring av personopplysninger som knytter seg til privatlivet i bestemmelsens forstand, utgjør et inngrep i retten etter EMK artikkel 8 nr. 1, se Amann mot Sveits 16.2.2000 avsnitt 65 og S. og Marper mot Storbritannia avsnitt 67. Behandling av personopplysninger kan også utgjøre et inngrep når det foretas av private, såfremt inngrepet kan tilskrives offentlige myndigheter, se Vukota-Bojic mot Sveits 18.10.2016 avsnitt 46 til 47.
EMD har i Benedik mot Slovenia 24.4.2018 lagt til grunn at interessen i å verne om sin identitet ved aktivitet på internett omfattes av artikkel 8, jf. avsnitt 119. Det må derfor legges til grunn at en plikt til lagring av IP-adresser vil utgjøre et inngrep i retten til privatliv etter EMK artikkel 8 nr. 1.
Inngrep i retten etter EMK artikkel 8 nr. 1 må dermed kunne rettferdiggjøres etter artikkel 8 nr. 2. Dette innebærer at inngrepet må ivareta et legitimt formål, ha tilstrekkelig hjemmel og være forholdsmessig.
Kravet om legitimt formål innebærer at inngrepet må ivareta et av formålene nevnt i artikkel 8 nr. 2. Dette omfatter blant annet offentlig trygghet, forebygging av uorden eller kriminalitet og beskyttelse av andres rettigheter og friheter.
Hjemmelskravet («i samsvar med loven») innebærer at inngrepet må ha et rettslig grunnlag i nasjonal rett, som også må være tilstrekkelig presist og sikre nødvendige garantier mot vilkårlighet, jf. L.H. mot Latvia 29.4.2014 avsnitt 47. Hvilke garantier som er nødvendige, må vurderes i lys av inngrepets art og omfang, se P.G. og J.H. mot Storbritannia 25.9.2001 avsnitt 46. Kravet om garantier henger for øvrig tett sammen med proporsjonalitetskravet, og disse kravene vurderes derfor etter omstendighetene samlet, se for eksempel S. og Marper mot Storbritannia avsnitt 99.
Proporsjonalitetskravet innebærer at inngrepet må være «nødvendig i et demokratisk samfunn». Det ligger i dette at det må foretas en interesseavveining mellom inngrepet i privatlivet og de legitime formålene. EMD uttrykte kravet slik i Olsson mot Sverige 24.3.1988 avsnitt 67:
«(…) the notion of necessity implies that the interference corresponds to a pressing social need and, in particular, that it is proportionate to the legitimate aim pursued»
Departementet er ikke kjent med praksis fra EMD som direkte gjelder adgangen til å pålegge internettilbydere å lagre informasjon om abonnentenes IP-adresser. Det finnes imidlertid noe praksis vedrørende lagringsplikt for andre typer abonnementsdata, som kan ha en viss overføringsverdi.
Saken Breyer mot Tyskland 30.1.2020 gjaldt ekomtilbyderes plikt etter tysk telekommunikasjonslovgivning til å registrere informasjon som identifiserer kunder med forhåndsbetalte SIM-kort (kundens telefonnummer, navn og adresse, fødselsdato og dato for kontraktsinngåelsen) uavhengig av om tilbyderen har behov for opplysningene for egne formål.
Domstolen la til grunn at lagringsplikten utgjorde et inngrep i retten til privatliv etter EMK artikkel 8 nr. 1, jf. avsnitt 81, og at lagringen hadde tilstrekkelig hjemmel og forfulgte et legitimt formål, jf. henholdsvis avsnitt 84 og 86. Vurderingen av kravene til garantier i forbindelse med utlevering av de lagrede opplysningene hang etter EMDs syn så tett sammen med proporsjonalitetsvurderingen at dette måtte vurderes samlet, jf. avsnitt 85.
Domstolen foretok deretter en proporsjonalitetsvurdering, jf. avsnitt 88 flg. Det ble lagt til grunn at kriminalitetsbekjempelse, særlig bekjempelse av organisert kriminalitet og terrorisme, samt ivaretakelse av offentlig sikkerhet og beskyttelse av borgere, utgjorde tvingende samfunnsmessige behov («pressing social needs»). I den forbindelse anerkjente domstolen videre at moderne kommunikasjonsformer og forandringer i kommunikasjon krever at etterforskningsverktøyene tilpasses, jf. avsnitt 88. Når det gjaldt nytten og effektiviteten av tiltaket, anførte klagerne at det ikke var empirisk grunnlag for at tiltaket førte til redusert kriminalitet, og at tiltaket lett kunne omgås ved bruk av falsk identitet og stjålne SIM-kort mv. Om dette uttalte EMD i avsnitt 90:
«90. The Court acknowledges that pre-registration of mobile-telephone subscribers strongly simplifies and accelerates investigation by law-enforcement agencies and can thereby contribute to effective law enforcement and prevention of disorder or crime. Moreover, it considers that the existence of possibilities to circumvent legal obligations cannot be a reason to call into question the overall utility and effectiveness of a legal provision. Lastly, the Court reiterates that in a national security context national authorities enjoy a certain margin of appreciation when choosing the means for achieving a legitimate aim and notes that according to the comparative law report there is no consensus between the member States as regards the retention of subscriber information of pre-paid Sim-card customers (see paragraph 58 above). Having regard to that margin of appreciation, the Court accepts that the obligation to store subscriber information under section 111 of the Telecommunications Act was, in general, a suitable response to changes in communication behaviour and in the means of telecommunications.»
Det avgjørende ble dermed hvorvidt tiltaket var «proportionate and struck a fair balance between the competing public and private interests», jf. avsnitt 91. Ved denne vurderingen tok EMD utgangspunkt i hvor inngripende tiltaket var. Det ble i denne forbindelse vist til at det bare ble lagret en begrenset mengde opplysninger, som ikke inkluderte «highly personal information» eller gjorde det mulig å bygge «personality profiles» eller spore abonnentenes bevegelser, og som ikke omfattet opplysninger om «individual communication events», jf. avsnitt 92. Det ble lagt til grunn at «the interference was, while not trivial, of a rather limited nature», jf. avsnitt 95.
Ved vurderingen av nødvendige garantier viste EMD blant annet til at lagringstiden ikke fremsto som for lang i lys av behovet, og at omfanget av lagrede data syntes å være begrenset til det som var nødvendig for formålet, jf. avsnitt 96. Det ble samtidig lagt til grunn at proporsjonalitetsvurderingen ikke bare kunne knytte seg til de lagrede dataene, men også til reglene om tilgang til og bruk av opplysningene, jf. avsnitt 97. Ved vurderingen av tilgangsreglene viste EMD blant annet til at det var tilstrekkelig klart angitt hvilke myndigheter som kan kreve å få opplysningene utlevert, jf. avsnitt 99. EMD viste også til at reglene var utformet slik at det ved siden av utleveringsreglene var nødvendig med ytterligere rettslig grunnlag for de enkelte myndighetenes innhenting, jf. avsnitt 100. Videre pekte EMD på at adgangen til innhenting var begrenset av et nødvendighetskriterium, jf. avsnitt 100:
«Moreover, the retrieval is limited to necessary data and this necessity requirement is safeguarded by a general obligation for the respective authorities retrieving the information to erase any data they do not need without undue delay. The Federal Constitutional Court had pointed out that the requirement of «necessity» meant in the context of prosecution of offences that there had to be at least an initial suspicion (see paragraph 21 above (§ 177)). The Court accepts that there are sufficient limitations to the power to request information and that the requirement of «necessity» is not only inherent in the specific legal provisions subject of this complaint but also to German and European data-protection law.»
Endelig vurderte EMD mulighetene for tilsyn og kontroll, jf. avsnitt 102 flg. Domstolen pekte i denne forbindelse på at tidligere praksis knyttet til mer vesentlige inngrep i privatlivet hadde begrenset overføringsverdi, og uttalte, jf. avsnitt 103:
«In sum it considers that the level of review and supervision has to be considered as an important, but not decisive element in the proportionality assessment of the collection and storage of such a limited data set.»
Det var ikke et krav etter de tyske reglene at utlevering skulle godkjennes av en domstol eller av en annen uavhengig myndighet. EMD kom likevel til at mekanismene for tilsyn og kontroll var tilstrekkelige, og viste blant annet til datatilsynsmyndighetenes tilsynskompetanse, jf. avsnitt 105–107:
«105 (…) each retrieval and the relevant information regarding the retrieval (time, data used in the process, the data retrieved, information clearly identifying the person retrieving the data, requesting authority, its reference number, information clearly identifying the person requesting the data) are recorded for the purpose of data protection supervision. This supervision is conducted by the independent Federal and Länder data protection authorities. The latter are not only competent to monitor compliance with data protection regulation of all authorities involved but they can also be appealed to by anyone who believes that his or her rights have been infringed through the collection, processing or use of his or her personal data by public bodies.
106. Lastly, the Court notes that the Federal Constitutional Court held that legal redress against information retrieval may be sought under general rules (paragraph 22 above (§ 186)) – in particular together with legal redress proceedings against the final decisions of the authorities.
107. The Court considers that the possibility of supervision by the competent data protection authorities ensures review by an independent authority. Moreover, since anyone, who believes his or her rights have been infringed, can lodge an appeal the lack of notification and confidentiality of the retrieval procedure does not raise an issue under the Convention.»
På denne bakgrunn kom domstolen til at inngrepet var «nødvendig i et demokratisk samfunn», og at artikkel 8 følgelig ikke var krenket, jf. avsnitt 109– 110.
EMD har i flere andre saker vurdert langt mer omfattende regelverk og systemer for datalagring og avlytting, se særlig Roman Zakharov mot Russland 4.12.2015 (storkammer) og Szabó og Vissy mot Ungarn 12.1.2016. Ettersom inngrepets art og styrke er av vesentlig betydning for vurderingen etter EMK artikkel 8, har avgjørelser som gjelder langt mer inngripende lagring av trafikkdata og/eller innholdsdata begrenset overføringsverdi ved vurderingen av mindre inngripende regler om lagring av kun abonnementsopplysninger, jf. også betraktningene i Breyer mot Tyskland avsnitt 103 nevnt over. Det redegjøres derfor ikke nærmere for disse avgjørelsene her.
Utlevering av abonnementsinformasjon er vurdert av EMD i Benedik mot Slovenia, som gjaldt opplysninger om dynamisk IP-adresse. I denne saken hadde det slovenske politiet fått oppgitt den dynamiske IP-adressen til en person som kunne mistenkes for å ha befatning med overgrepsmateriale. Det slovenske politiet henvendte seg til ulike internettilbydere og fikk oppgitt navnet og bostedsadressen til klagerens far. Klageren ble etter hvert utpekt som den mistenkte, og han ble senere dømt for blant annet oppbevaring og distribuering av overgrepsmateriale. Spørsmålet for EMD var særlig om utleveringen av klagerens fars navn og bostedsadresse på bakgrunn av den dynamiske IP-adressen, var «i samsvar med loven», jf. EMK artikkel 8 nr. 2.
EMD kom til at lovgivningen som var anvendt som grunnlag for utleveringen, ikke sikret tilstrekkelig klarhet og garantier mot vilkårlige inngrep i rettighetene etter artikkel 8, jf. avsnitt 132. EMD uttalte at de slovenske reglene om henholdsvis kommunikasjonsvern og utlevering av opplysninger i forbindelse med etterforsking, var vanskelige å forene, jf. avsnitt 127. EMD viste til at den slovenske grunnloven krever at ethvert inngrep i kommunikasjonsvernet må skje etter kjennelse fra en domstol. Den slovenske konstitusjonsdomstolen hadde imidlertid lagt til grunn at klageren hadde gitt avkall på sin berettigede forventning om personvern, og at grunnlovsbestemmelsen derfor ikke kom til anvendelse. EMD var ikke enig, og mente at klageren hadde en berettiget forventning om at hans identitet ville holdes fortrolig, og at en kjennelse fra en domstol derfor var nødvendig. EMD trakk også frem at lovgivningen ikke i tilstrekkelig grad sikret garantier mot misbruk, jf. avsnitt 129–130:
«129. (…) Bearing in mind the Constitutional Court’s finding that the ‘identity of the communicating individual’ fell within the scope of the protection of Article 37 of the Constitution (see paragraph 128 above) and the Court’s conclusion that the applicant had a reasonable expectation that his identity with respect to his online activity would remain private (see paragraphs 115 to 118 above), a court order was necessary in the present case. Moreover, nothing in the domestic law prevented the police from obtaining it given that they, a few months after obtaining the subscriber information, during which time apparently no investigative steps had been taken in the case, requested and obtained a court order for what would seem to be, at least in part, the same information as that which had already been in their possession (…). The domestic authorities’ reliance on section 149b(3) of the CPA [bestemmelsen i den slovenske straffeprosessloven om utlevering av opplysninger fra tjenestetilbydere til politiet] was therefore manifestly inappropriate and, what is more, it offered virtually no protection from arbitrary interference.
130. In this connection, the Court notes that at the relevant time there appears to have been no regulation specifying the conditions for the retention of data obtained under section 149b(3) of the CPA and no safeguards against abuse by State officials in the procedure for access to and transfer of such data. As regards the latter, the police, having at their disposal information on a particular online activity, could have identified an author by merely asking the ISP provider to look up that information. Furthermore no independent supervision of the use of these police powers has been shown to have existed at the relevant time, despite the fact that those powers, as interpreted by the domestic courts, compelled the ISP to retrieve the stored connection data and enabled the police to associate a great deal of information concerning online activity with a particular individual without his or her consent (see paragraphs 108 and 109 above).»
Ettersom inngrepet derfor ikke hadde tilstrekkelig hjemmel, undersøkte domstolen ikke nærmere kravene til legitimt formål og proporsjonalitet.
EMK artikkel 8 stiller ikke bare krav til myndighetenes inngrep i privatlivet, men medfører også positive forpliktelser til å sikre respekt for privatlivet, jf. K.U. mot Finland 2.12.2008 avsnitt 42–43 med videre henvisninger. I denne saken hadde en ukjent person lagt ut en annonse på en kontaktannonseside på nettet, i klagerens navn. Klageren var på dette tidspunktet 12 år. Annonsen oppga klagerens alder, beskrev utseendet hans og lenket til klagerens hjemmeside. Videre ble det i annonsen gitt uttrykk for at han var ute etter et intimt forhold med en gutt på hans alder eller eldre. Da forholdet ble anmeldt, anmodet politiet om å få utlevert informasjon om hvem som hadde fått tildelt den dynamiske IP-adressen som var benyttet. Som følge av lovfestet taushetsplikt kunne internettilbyderen imidlertid ikke utlevere denne informasjonen, jf. dommens avsnitt 6–14. EMD la til grunn at en praktisk og effektiv beskyttelse av klageren krevde at det ble tatt effektive grep for å identifisere og rettsforfølge gjerningspersonen, jf. avsnitt 49. Videre uttalte EMD at selv om kommunikasjonsvern og ytringsfrihet er grunnleggende hensyn ved bruk av internett, kan disse rettighetene ikke være absolutte. I visse tilfeller må disse rettighetene vike for andre hensyn, som å forebygge uorden og kriminalitet og beskytte andres rettigheter og friheter. Lovgivningen måtte derfor sikre det nødvendige rammeverket for denne avveiningen, jf. avsnitt 49. EMD kom på denne bakgrunn til at artikkel 8 var krenket, jf. avsnitt 50.
Retten til privatliv er også vernet av FNs konvensjon om sivile og politiske rettigheter (SP) artikkel 17. Det er ikke holdepunkter for at denne bestemmelsen på dette området stiller strengere krav enn Grunnloven § 102 og EMK artikkel 8.
5.3 Ytringsfrihet, herunder pressens kildevern
Ytringsfriheten er vernet av både Grunnloven § 100, EMK artikkel 10 og SP artikkel 19. Fremstillingen her konsentreres om EMK artikkel 10, som lyder (i norsk oversettelse):
«1. Enhver har rett til ytringsfrihet. Denne rett skal omfatte frihet til å ha meninger og til å motta og meddele opplysninger og ideer uten inngrep av offentlig myndighet og uten hensyn til grenser. Denne artikkel skal ikke hindre stater fra å kreve lisensiering av kringkasting, fjernsyn eller kinoforetak.
2. Fordi utøvelsen av disse friheter medfører plikter og ansvar, kan den bli undergitt slike formregler, vilkår, innskrenkninger eller straffer som er foreskrevet ved lov og som er nødvendige i et demokratisk samfunn av hensyn til den nasjonale sikkerhet, territoriale integritet eller offentlige trygghet, for å forebygge uorden eller kriminalitet, for å beskytte helse eller moral, for å verne andres omdømme eller rettigheter, for å forebygge at fortrolige opplysninger blir røpet, eller for å bevare domstolenes autoritet og upartiskhet.»
Inngrep i retten etter nr. 1 må kunne rettferdiggjøres etter vilkårene i nr. 2, som krever at inngrepet har tilstrekkelig hjemmel, har et legitimt formål og er forholdsmessig.
Pressefriheten utgjør et viktig element i retten til ytringsfrihet etter artikkel 10. I saken Goodwin mot Storbritannia 27.3.1996, uttalte EMDs flertall (avsnitt 39):
«The court recalls that freedom of expression constitutes one of the essential foundations of a democratic society and that the safeguards to be afforded to the press are of particular importance […].»
Selv om det ikke fremgår direkte av ordlyden i artikkel 10, følger det av EMDs praksis at pressens ytringsfrihet også omfatter retten til kildevern, jf. blant annet Goodwinmot Storbritannia avsnitt 39, der EMD uttalte:
«[...] Protection of journalistic sources is one of the basic conditions for press freedom, as is reflected in the laws and the professional codes of conduct in a number of Contracting States and is affirmed in several international instruments on journalistic freedoms [...]. Without such protection, sources may be deterred from assisting the press in informing the public on matters of public interest. As a result the vital public watchdog role of the press may be undermined and the ability of the press to provide accurate and reliable information may be adversely affected.»
Statens skjønnsmargin er begrenset på dette området, og EMD foretar en inngående prøving av vilkårene etter artikkel 10 nr. 2, jf. blant annet Goodwinmot Storbritannia avsnitt 40.
Kildevernet etter EMK artikkel 10 medfører blant annet begrensninger i adgangen til å pålegge journalister å avsløre en kildes identitet, og til å fremlegge dokumenter som indirekte medfører at kildens identitet avsløres. Det vil utgjøre et inngrep i kildevernet hvis myndighetene pålegger journalister å utlevere dokumenter eller materiale med henblikk på etterforsking av en forbrytelse, hvis dokumentene eller materialet kan føre til avsløring av kildens identitet, jf. Sanoma Uitgevers B. V. mot Nederland 14.09.2010 avsnitt 64–72. Ransaking hos journalister med formål om å skaffe opplysninger om en kildes identitet vil typisk utgjøre en krenkelse av kildevernet, jf. eksempelvis Roemen og Schmit mot Luxemburg 25.02.2003 avsnitt 47–60.
Det er uklart om og eventuelt i hvilken utstrekning, EMK artikkel 10 gir en rett til å ytre seg eller kommunisere anonymt på internett. I Breyer mot Tyskland hadde klagerne anført at lagringen av abonnementsinformasjonen også utgjorde et inngrep etter artikkel 10, men EMD tok ikke stilling til spørsmålet, se avsnitt 60– 62.
5.4 Kommunikasjonsvern etter EØS-retten
Europaparlaments- og rådsdirektiv 2002/58/EF av 12. juli 2002 om behandling av personopplysninger og personvern i sektoren for elektronisk kommunikasjon (kommunikasjonsverndirektivet) er en del av det harmoniserte regulatoriske rammeverket for elektroniske kommunikasjonsnett og -tjenester i EU, og er innlemmet i EØS-avtalen. Direktivet er gjennomført i norsk rett gjennom ekomloven med forskrifter.
Det følger av direktivet artikkel 5 nr. 1 at medlemsstatene gjennom nasjonal lovgivning plikter å sikre fortrolighet for kommunikasjon som foregår via offentlige kommunikasjonsnett og offentlig tilgjengelige elektroniske kommunikasjonstjenester, samt fortrolighet for trafikkdata knyttet til slik kommunikasjon. Videre følger det av artikkel 5 nr. 1 at medlemsstatene særlig skal forby enhver annen person enn brukerne å avlytte, registrere, lagre eller på andre måter oppfange eller overvåke kommunikasjonen og tilhørende trafikkdata uten samtykke fra brukeren, unntatt dersom dette er tillatt i henhold til lov i samsvar med artikkel 15 nummer 1.
Av direktivet artikkel 15 nr. 1 følger det at medlemsstatene ved lov kan treffe tiltak som griper inn i rettighetene etter blant annet artikkel 5, av hensyn til blant annet «forebygging, etterforskning, avsløring og rettslig forfølgning av straffbare handlinger». Et slik tiltak må være «nødvendig, egnet og rimelig i et demokratisk samfunn».
Det er videre angitt at medlemsstatene kan vedta «lovgivningstiltak om lagring av opplysninger i et begrenset tidsrom» dersom dette er berettiget ut fra en av grunnene angitt i bestemmelsen. Slik direktivet lyder i EU, er det videre angitt i artikkel 15 nr. 1 siste punktum at tiltakene skal være i samsvar med «de allmenne prinsippene i fellesskapsretten, herunder prinsippene i artikkel 6 nr. 1 og 2 i traktaten om den Europeiske union», som refererer til EUs pakt om grunnleggende rettigheter og EMK. Slik direktivet er inntatt i EØS-avtalen, er denne passusen erstattet med «de allmenne prinsippene i EØS-retten», jf. EØS-komiteens beslutning nr. 80/2003 20. juni 2003.
EU-domstolen har i flere avgjørelser vurdert hvorvidt regler om datalagring oppfyller kravene i EUs pakt om grunnleggende rettigheter, herunder retten til respekt for privatliv og kommunikasjon (artikkel 7) og retten til beskyttelse av personopplysninger (artikkel 8). Pakten er ikke gjort til en del av EØS-avtalen og er derfor ikke bindende for Norge. Den kan likevel få betydning for tolkningen av EU-regelverk som er innlemmet i EØS-avtalen og som i tråd med homogenitetsmålsettingen, skal tolkes og anvendes likt i Norge og EU. Videre kan pakten indirekte få betydning ved at den påvirker tolkningen av parallelle bestemmelser i Grunnloven og EMK, slik som bestemmelsene om rett til respekt for privatliv og ytringsfriheten. Pakten har imidlertid også bestemmelser uten klare paralleller i Grunnloven og EMK.
Digital Rights Ireland (sak C-293/12 og C-594/12) gjaldt gyldigheten av EU-direktiv 2006/24/EC, det såkalte datalagringsdirektivet, sett i lys av artikkel 7, 8 og 11 i EU-pakten. Datalagringsdirektivet påla lagring av nærmere angitte opplysninger knyttet til elektronisk kommunikasjon, jf. artikkel 3 og 5. Direktivet påla ikke lagring av opplysninger som avslørte innholdet i kommunikasjonen. EU-domstolen uttalte at opplysningene som skulle lagres, likevel samlet sett kunne gjøre det mulig å trekke svært presise slutninger om privatlivet til dem det ble lagret informasjon om, blant annet om vaner, bosted, bevegelser, utførte aktiviteter, sosiale forhold og sosiale miljøer de har besøkt, jf. avsnitt 26 og 27. Dette utgjorde et inngrep i retten til privatliv og retten til beskyttelse av personopplysninger. Spørsmålet for domstolen var da om inngrepet kunne rettferdiggjøres.
Det ble lagt til grunn at direktivet ivaretok et legitimt formål – å bidra til å bekjempe alvorlig kriminalitet, jf. avsnitt 44. Domstolen så deretter nærmere på om lagringen av opplysninger som direktivet krevde, utgjorde et proporsjonalt inngrep i retten til privatliv og til beskyttelse av personopplysninger. Domstolen uttalte at kravet om proporsjonalitet innebærer at direktivet måtte være egnet til å oppnå de legitime formålene det søker å oppnå, og ikke måtte overskride grensen for hva som var nødvendig for å oppnå disse formålene jf. avsnitt 46. I den konkrete vurderingen konkluderte domstolen med at datalagringen var egnet til å oppnå formålet om å bekjempe alvorlig kriminalitet jf. avsnitt 49. Det avgjørende ble om inngrepet overskred grensene for det som var nødvendig jf. avsnitt 51 flg. Domstolen trakk i denne forbindelse frem at lagringsforpliktelsene etter direktivet «omfattet alle trafikkdata for alle typer elektronisk kommunikasjon for alle abonnenter og registrerte brukere», uten noen differensiering, begrensninger eller unntak i lys av formålet om å bekjempe alvorlig kriminalitet, jf. avsnitt 56 til 58. Direktivet krevde ikke at det var noen forbindelse, verken direkte eller indirekte, mellom personer som ble berørt av lagringsplikten, og alvorlig kriminalitet. Det gjaldt heller ikke noen unntak for lagring av informasjon om personer omfattet av taushetsplikt for særlige yrkesgrupper. Videre manglet direktivet begrensninger, herunder objektive kriterier, for å begrense offentlige myndigheters tilgang til opplysninger og deres senere bruk av dem, samt materielle og prosessuelle vilkår for slik tilgang og bruk. Direktivet oppstilte blant annet ikke objektive kriterier for å begrense hvor mange personer som kunne få tilgang til det som var strengt nødvendig. Videre var det heller ikke vilkår om at tilgang ble begrenset til det som var strengt nødvendig basert på en forutgående avgjørelse fra en domstol eller et uavhengig forvaltningsorgan, jf. avsnitt 62. Direktivet krevde heller ikke at lagringstiden ble avgjort ut ifra objektive kriterier for å sikre at lagringen ble begrenset til det strengt nødvendige, jf. avsnitt 64. Domstolen vurderte dessuten at direktivet ikke påla tilstrekkelige forpliktelser til å sørge for sikkerhet ved behandlingen, jf. avsnitt 67.
Domstolen kom på denne bakgrunn til at datalagringsdirektivet gikk lenger enn det som var proporsjonalt, jf. avsnitt 69 til 71. Direktivet ble derfor erklært ugyldig. Det var da ikke nødvendig å foreta en nærmere vurdering i lys av artikkel 11 om ytringsfrihet. I kjølvannet av Digital Rights Ireland-avgjørelsen oppstod det uklarhet om hvorvidt nasjonal lovgivning som gjennomførte forpliktelsene etter datalagringsdirektivet, var proporsjonale, og de foreslåtte norske reglene er aldri blitt satt i kraft.
I Tele2-avgjørelsen (sak C-203/15 og C-698/15), som gjaldt svensk og britisk datalagringslovgivning, tok domstolen stilling til om og i hvilken grad, kommunikasjonsverndirektivet artikkel 15, lest i lys av EU-pakten, var til hinder for nasjonal lovgivning om lagring og utlevering av trafikk- og lokasjonsdata i den hensikt å bekjempe kriminalitet. Domstolen presiserte at både lovgivning som pålegger tjenestetilbydere en lagringsplikt, og lovgivning som regulerer offentlige myndigheters tilgang til opplysninger som er lagret, faller innenfor kommunikasjonsverndirektivets virkeområde, jf. avsnitt 75 og 76. Ved vurderingen av inngrepets styrke la domstolen til grunn at den svenske lovgivningen påla en «general and indiscriminate» lagring av alle trafikk- og lokasjonsdata om alle abonnenter og registrerte brukere for alle former for elektronisk kommunikasjon, og der tjenestetilbyderne må lagre disse opplysningene systematisk og kontinuerlig uten unntak, jf. avsnitt 97. Samlet sett gjorde disse opplysningene det etter domstolens vurdering mulig å trekke svært presise slutninger om privatlivet til de det ble lagret informasjon om, jf. avsnitt 99. Lovgivningen som åpnet for slik lagring, innebar derfor et svært vidtrekkende og særlig alvorlig inngrep i de grunnleggende rettighetene i EU-pakten artikkel 7 og 8. Det ble lagt til grunn at dersom formålet med slik lovgivning var å bekjempe kriminalitet, «ville kun et formål om å bekjempe alvorlig kriminalitet gi tilstrekkelig grunnlag for så alvorlige inngrep i de grunnleggende rettighetene», jf. avsnitt 102. Når slik lovgivning ikke sørget for differensiering, begrensninger eller unntak ut fra formålet med lovgivningen, ville lagringsplikten ramme personer uten noen forbindelse, selv ikke en indirekte eller fjern forbindelse, til alvorlig kriminalitet, jf. avsnitt 106. Lovgivningen ville også kunne ramme personer som var underlagt yrkesbestemt taushetsplikt. Slik lovgivning var ikke begrenset til det som var strengt nødvendig, og den kunne derfor ikke anses å være i tråd med kommunikasjonsverndirektivet artikkel 15, jf. EU-pakten artikkel 7, 8 og 52 nr. 1, se dommens avsnitt 107 og 125.
Domstolen ga likevel uttrykk for at en lagringsplikt ikke uten videre er i strid med kommunikasjonsverndirektivet og EU-pakten, jf. avsnitt 108:
«Artikel 15, stk. 1, i direktiv 2002/58, sammenholdt med chartrets artikel 7, 8 og 11 samt artikel 52, stk. 1, er derimod ikke til hinder for, at en medlemsstat vedtager en lovgivning, der som en forebyggende foranstaltning muliggør en målrettet lagring af trafikdata og lokaliseringsdata med henblik på bekæmpelse af grov kriminalitet, forudsat at lagringen af disse data begrænses til det strengt nødvendige for så vidt angår kategorierne af data, der skal lagres, de omhandlede kommunikationsmidler, de berørte personer og den fastsatte varighed af lagringen.»
I avsnitt 109–111 presiseres nærmere vilkårene for slik lagring. Det er imidlertid noe uklart hvorvidt lagringen må begrenses med hensyn til både opplysningskategorier, kommunikasjonsmåter, berørte personer og lagringstid, eller kun enkelte av disse. Om hvilke formål som kan begrunne utlevering av de lagrede dataene, uttalte domstolen at myndighetene kun kan gis tilgang til dataene for å bekjempe alvorlig kriminalitet, jf. avsnitt 115. Domstolen la videre til grunn at det må gjelde klare og presise materielle vilkår for utlevering som begrenser adgangen til det strengt nødvendige, jf. avsnitt 116–117, samt at det må foreligge en tilstrekkelig betryggende kontrollmekanisme for tilgang til de aktuelle dataene, enten ved en domstol eller en uavhengig administrativ enhet, jf. avsnitt 120.
Ministerio Fiscal (C-207/16) gjaldt kravene til at offentlige myndigheter kunne få utlevert opplysninger om eierne av SIM-kort brukt i en stjålet mobiltelefon. Spansk politi ønsket å få utlevert opplysninger i forbindelse med etterforsking av et ran av blant annet en mobiltelefon. Spørsmålet i saken var om kommunikasjonsverndirektivet artikkel 15 lest i lys av EU-pakten artikkel 7 og 8 måtte forstås slik at opplysningene bare kunne utleveres i forbindelse med kriminalitetsbekjempelse dersom formålet er å bekjempe alvorlig kriminalitet, og hvilke kriterier som i så fall skal anvendes ved vurderingen av et lovbrudds alvorlighet.
Domstolen viste til at kommunikasjonsverndirektivet artikkel 15 åpner for unntak av hensyn til forebygging, etterforskning, avsløring og rettslig forfølging av straffbare handlinger, og ikke kun alvorlige straffbare handlinger, jf. avsnitt 53. Domstolen bygger videre på uttalelsene i Tele2-avgjørelsen om at lovgivningen som åpner for utlevering til offentlige myndigheter, må være proporsjonal sett i lys av alvorlighetsgraden av inngrepet i de grunnleggende rettighetene, jf. avsnitt 54 til 58. Alvorlige inngrep vil kunne rettferdiggjøres under henvisning til bekjempelse av alvorlig kriminalitet. Når utleveringen ikke innebærer et alvorlig inngrep, vil bekjempelse av alminnelig kriminalitet kunne være proporsjonalt.
EU-domstolen viste til at den konkrete saken kun gjaldt opplysninger om hvilke SIM-kort som var brukt sammen med den stjålne mobiltelefonen i en tolvdagersperiode, og opplysninger om identiteten til eierne av SIM-kortene, for eksempel navn og eventuelt adresse, jf. avsnitt 59 og 60. Politiet skulle ikke få utlevert opplysninger om kommunikasjon foretatt med den stjålne telefonen, eller om hvor den befant seg. Med mindre disse opplysningene ble sammenholdt med andre opplysninger, ville de ikke gjøre det mulig å trekke presise slutninger om privatlivet til personene som opplysningene gjaldt. Utlevering av opplysningene om SIM-kort og identitet ble derfor ikke ansett å utgjøre et alvorlig inngrep i de grunnleggende rettighetene til de berørte personene, og bekjempelse av alminnelig kriminalitet, ikke kun alvorlig kriminalitet, ble ansett å kunne rettferdiggjøre inngrepet, jf. avsnitt 61 til 63.
I avgjørelsen i de forente sakene C-511/18, C-512/18 og C-520/18 (La Quadrature du Net) 6. oktober 2020 uttalte EU-domstolen i storkammer seg særskilt om adgangen til å pålegge lagring av IP-adresser. Saken gjaldt datalagringsregler i Frankrike og Belgia. Når det gjaldt IP-adresser viste domstolen til at opplysninger om IP-adresser, selv om de inngår blant de ulike formene for trafikkdata, genereres uavhengig av den konkrete kommunikasjonen og hovedsakelig tjener til å identifisere den fysiske personen som eier utstyret som internettkommunikasjonen skjer fra. På denne bakgrunn ble det lagt til grunn at denne kategorien av data er mindre sensitiv enn andre trafikkdata, jf. avsnitt 152.
Samtidig uttalte domstolen at IP-adresser likevel kan brukes til å spore en internettbrukers søkemønster og derigjennom lage profiler av nettbrukeren, jf. avsnitt 153. Domstolen mente at dette kan utgjøre et alvorlig inngrep:
«Den lagring og analyse af de nævnte IP-adresser, som en sådan sporing kræver, udgør således alvorlige indgreb i internetbrugerens grundlæggende rettigheder...».
EU-domstolen uttalte videre at det ved avveiningen av de rettighetene og interesser som gjør seg gjeldende, må tas i betraktning at i etterforsking av lovovertredelser begått på nettet, kan IP-adresser utgjøre det eneste etterforskingsmiddelet som kan gjøre det mulig å identifisere personen IP-adressen var tildelt på tidspunktet for lovbruddet, jf. avsnitt 154. Dette kan blant annet gjelde i saker om overgrepsmateriale. Domstolen uttalte videre at selv om internettbrukere har en berettiget forventning om at identiteten deres ikke avsløres, vil en generell og udifferensiert lagring av IP-adresser som er tildelt kilden til en forbindelse, i prinsippet ikke være i strid med kommunikasjonsverndirektivet artikkel 15 sammenholdt med EU-pakten. Domstolen viste til at det er en forutsetning at de materielle og prosessuelle vilkårene som skal regulere bruken av disse dataene, overholdes strengt, jf. avsnitt 155.
EU-domstolen la samtidig til grunn at lagringen må begrunnes ut ifra formål om å bekjempe alvorlig kriminalitet, forebygge alvorlige trusler mot offentlig sikkerhet eller ivareta nasjonal sikkerhet. Videre ble det lagt til grunn at lagringstiden ikke må overstige det som er strengt nødvendig for å oppnå formålet, og at det må etableres strenge vilkår og garantier vedrørende bruk av dataene, jf. avsnitt 156 og 168.
EU-domstolen i storkammer avsa 2. mars 2021 avgjørelse i sak C-746/18 H.K. v Prokuratuur, som gjaldt tilgang til trafikk- og lokasjonsdata til bruk for kriminalitetsbekjempende formål.
H.K. var straffeforfulgt i Estland for tyveri, bruk av en annens bankkort og vold mot en person som deltok i en rettssak. Den øverste domstolen i Estland forela i forbindelse med behandlingen av saken, tre spørsmål for EU-domstolen.
De to første gjaldt bruk av trafikk- og lokasjonsdata i saker som ikke dreier seg om alvorlig kriminalitet, og ble av domstolen behandlet samlet. Domstolen konkluderte her med at kommunikasjonsverndirektivet artikkel 15 sammenholdt med EU-pakten artikkel 7, 8 og 11 samt artikkel 52 første ledd, skal tolkes slik at den er til hinder for nasjonal lovgivning som gir offentlige myndigheter adgang til trafikk- eller lokasjonsdata som kan gi opplysninger om den kommunikasjonen som en bruker har foretatt ved hjelp av et elektronisk kommunikasjonsmiddel, eller om plasseringen av det terminalutstyr som vedkommende har brukt, og som kan gjøre det mulig å dra presise slutninger om vedkommendes privatliv, så fremt dette ikke er begrunnet i bekjempelse av alvorlig kriminalitet eller forebygging av alvorlige trusler mot den offentlige sikkerhet. Bekjempelse av kriminalitet generelt er ikke tilstrekkelig. Dette gjelder uavhengig av «varigheden af den periode, for hvilken der er anmodet om adgang til de nævnte data, og mængden eller arten af de data, der er tilgængelige i en sådan periode», jf. dommen avsnitt 60.
Det tredje spørsmålet som ble forelagt domstolen, var om påtalemyndigheten, som har til oppgave å lede den strafferettslige etterforskingen og eventuelt utøve den offentlige påtalekompetansen i en senere rettssak, kan gis hjemmel til å gi en offentlig myndighet adgang til trafikk- og lokasjonsdata i forbindelse med en strafferettslig etterforsking. Domstolen kom her til at artikkel 15 sammenholdt med artikkel 7, 8 og 11 samt artikkel 52 i EU-pakten, skal tolkes slik at den er til hinder for en slik ordning, jf. dommen avsnitt 60.
I denne forbindelse gjennomgikk domstolen også de betingelser som må oppstilles for at offentlige myndigheter skal få tilgang til trafikk- og lokasjonsdata, se avsnitt 48 følgende. Domstolen fastslo at det er opp til nasjonal rett å fastsette de regler som gjelder for krav om utlevering av trafikk- og lokasjonsdata. For å oppfylle kravet om proporsjonalitet, må slike bestemmelser imidlertid oppfylle en rekke vilkår, se dommens avsnitt 48. Det må fastsettes materielle og prosessuelle betingelser for bruk av informasjonen, jf. avsnitt 49 og 50. Videre uttalte domstolen at med henblikk på å sikre etterlevelse av disse betingelsene i praksis, er det avgjørende at de kompetente nasjonale myndigheters adgang til de lagrede data er undergitt en forutgående kontroll, som foretas enten av en domstol eller av en uavhengig administrativ enhet, jf. avsnitt 51. Departementet vil komme tilbake til rekkevidden av et slikt krav om forhåndskontroll i punkt 8.6 om prosessuelle betingelser.