4 Gjeldende rett
4.1 Politiloven
PSTs oppgaver er regulert i politiloven kapittel III a. Det fremgår av politiloven § 17 a at oppgavene nevnt i § 17 b utføres av et eget politiorgan, som ledes av en sentral enhet.
Hvilke straffbare forhold PST skal forebygge og etterforske er regulert i politiloven § 17 b. PST skal blant annet forebygge og etterforske følgende straffbare handlinger som kan true rikets sikkerhet: Overtredelser av straffeloven kapittel 17 (bestemmelser om vern av Norges selvstendighet og andre grunnleggende nasjonale interesser), av § 184 (krenkelsene av representasjonen til en fremmed stat eller mellomstatlig organisasjon) og av sikkerhetsloven, ulovlig etterretningsvirksomhet, sabotasje og politisk motivert vold eller tvang samt overtredelser av straffeloven §§ 131 til 136 b, 145 eller 146 (terrorlovbrudd mv.).
Enkelte særlige oppgaver for den sentrale enhet i PST (heretter DSE) er regulert i politiloven § 17 c. DSE skal etter denne bestemmelsen utarbeide trusselvurderinger til bruk for politiske myndigheter, samarbeide med andre lands politimyndigheter og sikkerhets- og etterretningstjenester og foreta personkontroll til bruk ved sikkerhetsundersøkelser.
Instruks 19. august 2005 nr. 920 for Politiets sikkerhetstjeneste, gitt med hjemmel i politiloven § 29, fastsetter nærmere regler om PSTs oppgaver og virksomhet, jf. instruksen § 1. Det fremgår av § 5 første ledd at tjenesten skal utføre sine forebyggende oppgaver ved blant annet å innhente, bearbeide, analysere og utveksle informasjon i samsvar med fastsatte prioriteringer. Det fremgår av § 6 første ledd at tjenesten av eget tiltak eller etter anmodning fra Justis- og beredskapsdepartementet, skal «utarbeide trusselvurderinger og gi råd om tiltak av betydning for norske interesser, virksomheter og enkeltpersoners sikkerhet».
4.2 Politiregisterloven og politiregisterforskriften
Politiregisterloven og politiregisterforskriften regulerer politiets og påtalemyndighetens behandling av opplysninger. Behandling av opplysninger defineres i politiregisterloven § 2 nr. 2 som enhver elektronisk eller manuell bruk av opplysninger, og omfatter blant annet innsamling, registrering, systematisering, strukturering og oppbevaring av opplysningene.
Regelverket gjennomfører direktiv (EU) 2016/680 om behandling av personopplysninger i kriminalitetsbekjempende øyemed. Direktivets virkeområde omfatter ikke aktiviteter som faller utenfor unionsretten, herunder aktivitetene til de nasjonale etterretningstjenestene, jf. artikkel 2 nr. 3 bokstav a. Siden PST er en del av politiet, er politiregisterloven, og derved også en rekke av direktivets bestemmelser, likevel gitt anvendelse for PST. Det er imidlertid gitt en rekke særbestemmelser for tjenesten som reflekterer at PSTs virksomhet skiller seg fra virksomheten til det øvrige politiet. For det første gjelder politiregisterloven, i motsetning til for det øvrige politiet, også for PSTs forvaltningsvirksomhet, jf. politiregisterloven § 3 annet ledd. Videre er det i lovens kapittel 11 gitt en rekke særbestemmelser for PST. De største forskjellene sammenlignet med politiet for øvrig finnes i §§ 64, 66 og 68 om henholdsvis nødvendighetskravet, informasjonsplikt, innsyn og tilsyn. For PSTs behandling av opplysninger utenfor den enkelte straffesak er nødvendighetskravet knyttet til beskrivelsen av PSTs arbeidsoppgaver etter politiloven §§ 17 b og 17 c og adgangen til å bruke forebyggende tvangsmidler etter § 17 d, slik at PST kan behandle opplysninger som er nødvendige for disse oppgavene. For behandling av opplysninger i PSTs straffesaker gjelder straffeprosesslovens regler på vanlig måte. PST kan opprette såkalt «forebyggende sak» dersom det er grunn til å undersøke om noen forbereder et lovbrudd som PST har til oppgave å forebygge, jf. politiregisterloven § 64 tredje ledd nr. 1 bokstav a og definisjonen i politiregisterforskriften § 20-3 nr. 2.
Bestemmelsene om informasjonsplikt og innsyn i politiregisterloven §§ 48 og 49 gjelder ikke for PST, jf. § 66. Tilsynsorganet for PST er EOS-utvalget, jf. § 68, mens denne funksjonen tilligger Datatilsynet for det øvrige politiet. EOS-utvalgets kontroll med PST er nærmere regulert i lov 3. februar 1995 nr. 7 om kontroll med etterretnings-, overvåkings- og sikkerhetstjeneste (EOS-kontrolloven). EOS-utvalget skal sikre at virksomheten holdes innenfor rammen av tjenestens fastlagte oppgaver og føre kontroll med tjenestens behandling av forebyggende saker og etterforskingssaker, dens bruk av skjulte tvangsmidler og andre skjulte metoder for informasjonsinnhenting, jf. EOS-kontrolloven § 6 fjerde ledd nr. 1. Utvalget mottar også klager fra enkeltpersoner eller organisasjoner, og skal av eget tiltak ta opp alle saker og forhold som det ut fra formålet finner riktig å behandle, jf. EOS-kontrolloven § 5.
Både PST og politiet for øvrig er gitt anledning til å behandle opplysninger i inntil fire måneder dersom det er nødvendig for å avklare om kravene til formålsbestemthet, nødvendighet og relevans er oppfylt, jf. §§ 65 og 8. Opplysningene skal snarest mulig underlegges kontroll, slik at de enten slettes eller behandles etter annet rettslig grunnlag. Som ledd i kontrollen kan opplysningene gjøres kjent for andre tjenestemenn i politiet og påtalemyndigheten. Opplysningene kan også utleveres til andre dersom det er strengt nødvendig for kontrollen. Tidsfristen på fire måneder er absolutt, men gjelder ikke behandling av opplysninger i den enkelte straffesak, jf. § 8 tredje ledd.
Politiregisterloven åpner for at opplysninger som behandles av politiet og påtalemyndigheten kan sperres. Sperring innebærer «markering av lagrede opplysninger i den hensikt å begrense den fremtidige behandlingen av disse opplysningene», jf. § 2 nr. 10. Når opplysninger sperres må det alltid samtidig fremgå hvilke formål de sperrede opplysningene kan brukes til. Det må videre skilles mellom de tilfellene der sperring er et substitutt for sletting, og de tilfellene der hensikten med sperring kun er å begrense formålet med behandlingen av opplysningene. Dersom sperring er et substitutt for sletting, fremgår det av § 52 at sperrede opplysninger bare kan brukes til det formål som gjorde at opplysningen ikke ble slettet. Ett eksempel på dette er § 51 annet og tredje ledd om sletting og sperring av opplysninger med feil eller mangler. Opplysninger som er beheftet med feil som ikke kan repareres, skal slettes eller sperres. Dersom opplysningene sperres, kan de bare brukes til dokumentasjon. Her vil det være et absolutt forbud mot å bruke de sperrede opplysningene til andre formål. Dersom hensikten med sperringen bare er å begrense den fremtidige bruken av opplysningene, vil adgangen til å bruke opplysningene bero på en tolkning av de angitte formålene.
Videre følger det av politiregisterforskriften § 15-2 annet ledd at opplysninger som er sperret, skal holdes atskilt. Tilgangen til opplysninger som er sperret skal begrenses til så få personer som mulig, og skal bare gis til personer som har fått særskilt bemyndigelse. Slik bemyndigelse skal bare gis til kvalifiserte personer som har gjennomgått opplæring, jf. politiregisterforskriften § 8-4 annet ledd.
Supplerende regler for PSTs behandling av opplysninger finnes i politiregisterforskriften del 6. I forskriften kapittel 20 er det gitt generelle bestemmelser, herunder om formålet med behandlingen. Kapittel 21 inneholder særlige bestemmelser om behandling av opplysninger, der det blant annet er gitt nærmere presiseringer av nødvendighetskriteriet. Videre er det bestemmelser om hvem det kan registreres opplysninger om og hvilke opplysninger som kan behandles om den enkelte. Kapittelet inneholder også regler om opprettelse av og behandling av opplysninger i forebyggende sak, jf. § 21-5. Blant annet skal Sjef PST eller den han bemyndiger, godkjenne opprettelsen, det kan bare behandles opplysninger som har saklig tilknytning til saken, og saken skal gjennomgås hvert år for vurdering av om den skal avsluttes eller videreføres. Kapittel 22 gir regler om informasjonsplikt, innsyn, retting, sperring og sletting. Kapittel 23 gjelder informasjonssikkerhet og internkontroll.
4.3 Lov om Etterretningstjenesten
Lov 19. juni 2020 nr. 77 om Etterretningstjenesten (etterretningstjenesteloven) regulerer E-tjenestens virksomhet og oppgaver. Loven skal blant annet bidra til å trygge Norges suverenitet, territorielle integritet, demokratiske styreform og andre nasjonale sikkerhetsinteresser, herunder forebygge, avdekke og motvirke utenlandske trusler mot Norge og norske interesser, jf. § 1-1 første ledd bokstav a. Det følger av Prop. 80 L (2019–2020) Lov om Etterretningstjenesten (etterretningstjenesteloven) kapittel 17 side 193 at begrepene skal forstås på samme måte som i lov 1. juni 2018 nr. 24 om nasjonal sikkerhet (sikkerhetsloven).
I etterretningstjenesteloven § 2-1 første ledd første punktum fremgår det eksplisitt at E-tjenesten er Norges nasjonale utenlandsetterretningstjeneste. Tjenestens oppgaver er angitt i kapittel 3, der det blant annet fremgår av § 3-1 at E-tjenesten skal «innhente og analysere informasjon om utenlandske forhold som kan bidra til å avdekke og motvirke» nærmere angitte trusler, herunder trusler mot Norges selvstendighet og sikkerhet, territorielle integritet og politiske og økonomiske handlefrihet, alvorlige trusler mot samfunnssikkerheten i Norge, alvorlige trusler mot norske interesser i utlandet og fremmed etterretningsvirksomhet.
Lovens kapittel 5 oppstiller grunnvilkår for innhenting og utlevering av informasjon. Etter § 5-3 kan E-tjenesten innhente rådata i bulk når det er nødvendig for å få tilgang til et relevant og tilstrekkelig informasjonsgrunnlag. Bestemmelsen oppstiller videre vilkår for å kunne søke i det innhentede materialet. Med rådata menes «ubearbeidet eller automatisk bearbeidet informasjon i enhver form hvis etterretningsverdi ikke er vurdert», mens bulk er «informasjonssamlinger og datasett hvorav en vesentlig andel av informasjonen antas å være irrelevant for etterretningsformål», jf. § 1-3 bokstav h og i. Innhenting av informasjon i bulk kan gjøres gjennom enhver innhentingsmetode, herunder fra åpne kilder. Etter § 9-8 skal rådata i bulk slettes senest etter 15 år, men med mulighet for utsatt sletting i inntil fem år av gangen dersom vesentlige hensyn tilsier det. Beslutning om utsatt sletting treffes av sjefen for E-tjenesten.
Lovens kapittel 6 regulerer metoder for innhenting av informasjon som kan medføre inngrep overfor den enkelte. Etter § 6-2 kan E-tjenesten innhente åpent tilgjengelig informasjon. Det fremgår av bestemmelsens annet punktum at informasjon ikke er åpent tilgjengelig dersom tilgang krever aktiv fordekt opptreden eller forsering av passord eller lignende beskyttelsesmekanismer.
En særlig form for bulkinnhenting er regulert i lovens kapittel 7 og 8, som åpner for at E-tjenesten på nærmere vilkår kan innhente elektronisk kommunikasjon som transporteres over den norske grensen (tilrettelagt innhenting av grenseoverskridende elektronisk kommunikasjon). Dette innebærer at E-tjenesten kan innhente og lagre store mengder metadata om elektronisk kommunikasjon som krysser den norske grensen. Søk i lagrede metadata krever kjennelse fra retten, og tjenesten kan ikke innhente og lagre innholdsdata før retten har godkjent det. Bestemmelsene kommer bare til anvendelse der det er nødvendig at ekomtilbydere mv. legger til rette for innhentingen, jf. §§ 7-1 og 7-2.