5 Rettslige rammer
5.1 Retten til privatliv – Grunnloven § 102 og EMK artikkel 8
Både nasjonale og internasjonale regler har betydning for utformingen av regler om håndtering av personopplysninger. For det første har Grunnloven § 102 regler som verner privatlivet. I det internasjonale regelverket er Den europeiske menneskerettskonvensjonen 4. november 1950 (EMK) av særlig betydning. Konvensjonen er gjennom menneskerettsloven 21. mai 1999 nr. 30 gjort til norsk lov, og går foran annen norsk lovgivning ved motstrid, jf. menneskerettsloven § 3. Retten til privatliv beskyttes også av FNs konvensjon om økonomiske, sosiale og kulturelle rettigheter (SP) artikkel 17.
5.1.1 I hvilken grad utgjør behandling av informasjon fra åpne kilder et inngrep i privatlivet?
Grunnloven § 102 lyder:
«Enhver har rett til respekt for sitt privatliv og familieliv, sitt hjem og sin kommunikasjon. Husransakelse må ikke finne sted, unntatt i kriminelle tilfeller.
Statens myndigheter skal sikre et vern om den personlige integritet.»
Bestemmelsen kom inn i Grunnloven som ledd i grunnlovsreformen i 2014. Komiteen ga i Innst. 186 S (2013–2014) punkt 2.1.9 side 27 uttrykk for at bestemmelsen gir rett til et vern av personopplysninger ved at den «skal leses som at systematisk innhenting, oppbevaring og bruk av opplysninger om andres personlige forhold bare kan finne sted i henhold til lov, benyttes i henhold til lov eller informert samtykke og slettes når formålet ikke lenger er til stede».
Grunnloven § 102 åpner etter sin ordlyd ikke for å gjøre unntak fra eller inngrep i retten til privatliv. Høyesterett har imidlertid lagt til grunn at bestemmelsen har klare likhetstrekk med EMK artikkel 8 og må tolkes i lys av denne, jf. blant annet HR-2020-2372-A avsnitt 38. Dette innebærer at inngrep i retten til privatliv kan være forenlig med Grunnloven § 102, såfremt inngrepet har tilstrekkelig hjemmel, forfølger et legitimt formål og er forholdsmessig, se Rt. 2014 side 1105 avsnitt 28 og Rt. 2015 side 93 avsnitt 60.
EMK artikkel 8 lyder i norsk oversettelse:
«1. Enhver har rett til respekt for sitt privatliv og familieliv, sitt hjem og sin korrespondanse.
2. Det skal ikke skje noe inngrep av offentlig myndighet i utøvelsen av denne rettighet unntatt når dette er i samsvar med loven og er nødvendig i et demokratisk samfunn av hensyn til den nasjonale sikkerhet, offentlige trygghet eller landets økonomiske velferd, for å forebygge uorden eller kriminalitet, for å beskytte helse eller moral, eller for å beskytte andres rettigheter og friheter.»
Kjernen i bestemmelsen er at den enkelte har krav på respekt for sitt privatliv, sitt hjem og sin korrespondanse. Den europeiske menneskerettsdomstolen (EMD) har i flere avgjørelser fastslått at EMK artikkel 8 også innebærer en rett til vern av personopplysninger, se for eksempel Leander mot Sverige 26. mars 1987. I den forbindelse har EMD uttalt at begrepet «privatliv» skal tolkes vidt i lys av Europarådets konvensjon fra 1981 om elektronisk behandling av personopplysninger, hvor personopplysninger er definert som «enhver opplysning som gjelder en bestemt eller identifiserbar enkeltperson», se Satakunnan Markkinapörssi Oy og Satamedia Oymot Finland 27. juni 2017 avsnitt 133.
Flere avgjørelser fra EMD gir anvisning på at innsamling og behandling av offentlig tilgjengelig informasjon vil kunne innebære et inngrep i privatlivet etter EMK artikkel 8 nr. 1. I P.G. og J.H. mot Storbritannia 25. september 2001, heter det i avsnitt 56: «There is therefore a zone of interaction of a person with others, even in a public context, which may fall within the scope of «private life».» Videre følger det av avsnitt 57:
«There are a number of elements relevant to a consideration of whether a person’s private life is concerned by measures effected outside a person’s home or private premises. Since there are occasions when people knowingly or intentionally involve themselves in activities which are or may be recorded or reported in a public manner, a person’s reasonable expectations as to privacy may be a significant, although not necessarily conclusive, factor. A person who walks down the street will, inevitably, be visible to any member of the public who is also present. Monitoring by technological means of the same public scene (for example, a security guard viewing through closed-circuit television) is of a similar character. Private-life considerations may arise, however, once any systematic or permanent record comes into existence of such material from the public domain. It is for this reason that files gathered by security services on a particular individual fall within the scope of Article 8, even where the information has not been gathered by any intrusive or covert method (see Rotaru v. Romania [GC], no. 28341/95, §§ 43-44, ECHR 2000-V).»
Det er med andre ord flere elementer som er relevante ved vurderingen av om behandling av offentlig tilgjengelige opplysninger utgjør et inngrep i privatlivet. Hvilke forventninger vedkommende har til personvern, kan i denne sammenheng være et viktig, men ikke nødvendigvis avgjørende, element. I Rotaru mot Romania 4. mai 2000, som gjaldt lagring av informasjon innhentet fra offentlig tilgjengelige kilder, viste domstolen til at offentlig tilgjengelig informasjon også kan falle inn under EMK artikkel 8 når det er snakk om mer systematisk innhenting og lagring i mapper oppbevart av myndighetene. Dette gjelder særlig dersom opplysningene omhandler forhold om en person som ligger langt tilbake i tid, se avsnitt 43.
At sikkerhetsmyndighetenes lagring av offentlig tilgjengelig informasjon som vedrører enkeltmenneskers privatliv kan utgjøre et inngrep i retten til respekt for privatlivet, følger også av Leander mot Sverige avsnitt 48 og Segerstedt-Wiberg and Others mot Sverige 6. september 2006 avsnitt 71 og 72. I sistnevnte avgjørelse sies det uttrykkelig at dette også gjaldt den delen av informasjonen som var offentlig tilgjengelig.
Praksis fra EMD viser etter dette at dersom innhentingen av informasjon er systematisk, informasjonen lagres over tid og utleveres til andre, vil behandlingen av opplysningene kunne være et inngrep i privatlivet etter EMK artikkel 8 nr. 1, selv om informasjonen er offentlig tilgjengelig.
5.1.2 Kort om masseinnsamling
EMD har også vurdert saker om masseinnhenting av informasjon, der innsamlingen som utgangspunkt ikke er systematisk eller rettet mot en konkret person. De aktuelle sakene dreier seg om hemmelig overvåking av kommunikasjon i transitt, der både innholdet i kommunikasjonen og metadata samles inn. Departementet er ikke kjent med praksis som gjelder masseinnhenting fra åpne kilder. Masseinnhenting fra åpne kilder skiller seg fra hemmelig overvåking av kommunikasjon i transitt og andre former for hemmelig overvåking av privat kommunikasjon. Som følge av dette har de kravene som er oppstilt i dommene nedenfor etter departementets vurdering begrenset overføringsverdi for forslaget i denne proposisjonen. Det gjøres likevel kort rede for enkelte dommer om masseovervåking av kommunikasjon i transitt.
EMDs nyeste avgjørelser om slik masseovervåking er avgjørelsene i storkammersakene BigBrother Watch og andre mot Storbritannia og Centrum för Rättvisa mot Sverige, begge fra 25. mai 2021. EMD la i disse avgjørelsene til grunn at masseinnsamling er en gradvis prosess, der omfanget av inngrepet i individets rettigheter etter artikkel 8 tiltar underveis, se BigBrother Watch og andre mot Storbritannia avsnitt 325 til 331. Selv på det første stadiet, der innhentingen og lagringen ikke er rettet mot konkrete individer, vil inngrepet rammes av EMK artikkel 8. Domstolen har i denne sammenheng vist til at også lagring av informasjon innebærer et inngrep i rettighetene etter EMK artikkel 8. Behovet for sikkerhetsmekanismer vil imidlertid være størst mot slutten av prosessen, når innholdet i kommunikasjonen blir nærmere undersøkt, se avsnitt 330.
I BigBrother Watch og andre mot Storbritannia avsnitt 360 og 361 oppstiller domstolen åtte kriterier som inngår i en helhetlig vurdering av om et regime for masseinnsamling er i samsvar med lovgivningen og nødvendig i et demokratisk samfunn:
«360. In the light of the above, the Court will determine whether a bulk interception regime is Convention compliant by conducting a global assessment of the operation of the regime. Such assessment will focus primarily on whether the domestic legal framework contains sufficient guarantees against abuse, and whether the process is subject to «end-to-end safeguards» (see paragraph 350 above). In doing so, it will have regard to the actual operation of the system of interception, including the checks and balances on the exercise of power, and the existence or absence of any evidence of actual abuse (see Association for European Integration and Human Rights and Ekimdzhiev, cited above, § 92).
361. In assessing whether the respondent State acted within its margin of appreciation (see paragraph 347 above), the Court would need to take account of a wider range of criteria than the six Weber safeguards. More specifically, in addressing jointly «in accordance with the law» and «necessity» as is the established approach in this area (see Roman Zakharov, cited above, § 236 and Kennedy, cited above, § 155), the Court will examine whether the domestic legal framework clearly defined:
1. the grounds on which bulk interception may be authorised;
2. the circumstances in which an individual’s communications may be intercepted;
3. the procedure to be followed for granting authorisation;
4. the procedures to be followed for selecting, examining and using intercept material;
5. the precautions to be taken when communicating the material to other parties;
6. the limits on the duration of interception, the storage of intercept material and the circumstances in which such material must be erased and destroyed;
7. the procedures and modalities for supervision by an independent authority of compliance with the above safeguards and its powers to address non-compliance;
8. the procedures for independent ex post facto review of such compliance and the powers vested in the competent body in addressing instances of non-compliance.»
Masseinnsamling av kommunikasjonsopplysninger har også vært vurdert av EU-domstolen, blant annet i saken La Quadrature du Net and Others (sak C-511/18) fra 6. oktober 2020. Domstolen slo der fast at generell og udifferensiert innsamling og lagring av slike opplysninger ville være i strid med grunnleggende rettigheter og EUs kommunikasjonsverndirektiv. På visse vilkår er det imidlertid adgang til å ha regler om slik lagring ved en alvorlig trussel mot den nasjonale sikkerheten som må anses for å være reell og aktuell eller forutsebar, når dette tidsmessig er begrenset til det strengt nødvendige (som kan forlenges) og det foreligger tiltak som beskytter de berørtes kommunikasjonsopplysninger mot misbruk, jf. avgjørelsen avsnitt 137 og 138.
5.1.3 EMKs krav til lovhjemmel og proporsjonalitet ved inngrep i privatlivet
Inngrep i privatlivet kan være lovlig dersom vilkårene i EMK artikkel 8 nr. 2 er oppfylt. Her fremgår det at inngrepet må ha hjemmel i nasjonal lovgivning og være nødvendig i et demokratisk samfunn av hensyn til blant annet nasjonal sikkerhet eller forebygging av uorden eller kriminalitet.
I kravet om hjemmel i nasjonal lovgivning ligger at inngrepet må ha grunnlag i en formell nasjonal norm som er tilgjengelig og gir forutsigbarhet for innbyggerne. Om de kvalitative kravene som stilles til lovhjemmelen for inngrep, heter det i Rt. 2014 side 1105 avsnitt 30:
«For å gi en slik hjemmel som Grunnloven og menneskerettskonvensjonene krever, holder det ikke at loven er formelt sett i orden, og at den etter alminnelige tolkningsprinsipper gir grunnlag for lagringen. Det gjelder også kvalitative krav: Loven må være tilgjengelig og så presis som forholdene tillater. Den må dessuten – i lys av den forhøyede risikoen for misbruk og vilkårlighet som erfaringsmessig kan foreligge når myndigheter tillates å operere i hemmelighet – gi rimelige garantier knyttet til blant annet formen for lagring, bruken av materialet, mulighetene for innsyn, sikkerhet og sletting.»
I Rotaru mot Romania avsnitt 56 uttales om lovskravet relatert særskilt til sikkerhetsmyndighetenes lagring og bruk av informasjon:
«The quality of the legal rules relied on in this case must therefore be scrutinised, with a view, in particular, to ascertaining whether domestic law laid down with sufficient precision the circumstances in which the RIS could store and make use of information relating to the applicant’s private life.»
Vilkåret om at inngrepet må være nødvendig i et demokratisk samfunn innebærer et krav om forholdsmessighet ved at behandlingen av informasjonen må være egnet til å oppnå det legitime formålet det skal ivareta. Legitime formål som kan begrunne inngrep i retten til privatliv er blant annet hensynet til offentlig trygghet og hensynet til å forebygge uorden og kriminalitet.
Hvorvidt inngrepet er forholdsmessig må vurderes konkret. EMD har lagt til grunn at statene har en nokså vid skjønnsmargin ved vurderingen av hvilke tiltak som kan være egnet til å ivareta nasjonal sikkerhet. I kravet om at tiltaket skal være egnet til å oppnå formålet det er ment å ha, ligger at det må forventes å ha effekt. Det er videre et krav at formålet ikke kan ivaretas gjennom andre og mindre inngripende tiltak. Inngrepet må ikke være uunnværlig, men det må være et tvingende samfunnsmessig behov for det. I Leander mot Sverige avsnitt 58, heter det om denne vurderingen:
«The notion of necessity implies that the interference corresponds to a pressing social need and, in particular, that it is proportionate to the legitimate aim pursued (…).»
Sentralt i vurderingen av forholdsmessigheten av systemer for hemmelig overvåking er hvorvidt det eksisterer tilstrekkelige og effektive garantier mot misbruk og vilkårlighet. Hvilke garantier som er nødvendige, må vurderes i lys av inngrepets art og omfang, se P.G. og J.H. mot Storbritannia, avsnitt 46.
Breyer mot Tyskland, 30. januar 2020, som gjaldt ekomtilbyderes plikt etter tysk telekommunikasjonslovgivning til å registrere informasjon som identifiserer kunder med forhåndsbetalte SIM-kort, kan også være av relevans. Domstolen tok der i sin proporsjonalitetsvurdering utgangspunkt i at kriminalitetsbekjempelse, særlig bekjempelse av organisert kriminalitet og terrorisme, samt ivaretakelse av offentlig sikkerhet og beskyttelse av borgere, utgjorde tvingende samfunnsmessige behov («pressing social needs»). I den forbindelse anerkjente domstolen at moderne kommunikasjonsformer og endrede kommunikasjonsvaner krever at etterforskingsverktøyene tilpasses, jf. avsnitt 88.
EMD så videre hen til hvor inngripende tiltaket var. Det ble lagt til grunn at «the interference was, while not trivial, of a rather limited nature», jf. avsnitt 95. Ved vurderingen av nødvendige garantier mot misbruk mv., viste EMD blant annet til at lagringstiden ikke fremsto som for lang i lys av behovet, og at omfanget av lagrede data syntes å være begrenset til det som var nødvendig for formålet, jf. avsnitt 96. Det ble samtidig lagt til grunn at proporsjonalitetsvurderingen ikke bare kunne knytte seg til reglene for lagring, men også muligheten for tilgang til og bruk av opplysningene, jf. avsnitt 97. Ved vurderingen av tilgangsreglene viste EMD blant annet til at det var tilstrekkelig klart angitt hvilke myndigheter som kan kreve å få opplysningene utlevert, jf. avsnitt 99.
EMD har også innfortolket et krav om effektiv og uavhengig kontroll for å hindre myndighetsmisbruk, se blant annet Rotaru mot Romania avsnitt 59. Her fremgår det at kontrollen normalt bør ligge hos domstolene, i alle fall i siste instans, fordi «judicial control affords the best guarantees of independence, impartiality and a proper procedure». EMD har imidlertid akseptert at andre enn domstolene kan oppfylle kravene til effektiv, uavhengig og permanent kontroll, se blant annet Klass and others mot Tyskland, 6. september 1978, som gjaldt lovligheten av regler om hemmelig overvåking av brev, post og telekommunikasjon, avsnitt 55 og 56. I Breyer mot Tyskland pekte EMD, under henvisning til sistnevnte sak, blant annet på at tidligere rettspraksis om mekanismer for kontroll med mer vesentlige inngrep i privatlivet, hadde begrenset overføringsverdi til saker der inngrepet var mindre. I avsnitt 103 er det uttalt:
«In sum it considers that the level of review and supervision has to be considered as an important, but not decisive element in the proportionality assessment of the collection and storage of such a limited data set.»
Det var ikke et krav etter de tyske reglene at utlevering skulle godkjennes av en domstol eller av en annen uavhengig myndighet. EMD kom likevel til at mekanismene for tilsyn og kontroll var tilstrekkelige, og viste blant annet til datatilsynsmyndighetenes tilsynskompetanse og registrering av uttak av informasjon, se avsnitt 105 til 107.
Kravene etter Grunnloven § 102 og EMK artikkel 8 som er gjennomgått ovenfor setter rammer for utformingen av de reglene som departementet nå foreslår. Behandlingen må ha et rettslig grunnlag, regelen må være tilgjengelig og være utformet så vidt presist at borgerne kan forutberegne sin stilling. Videre må det foreligge sikkerhetsmekanismer som hindrer vilkårlighet og myndighetsmisbruk.
5.2 Ytringsfriheten – Grunnloven § 100 og EMK artikkel 10
Ytringsfriheten er vernet av både Grunnloven § 100, EMK artikkel 10 og SP artikkel 19. Ettersom Grunnloven § 100 og SP artikkel 19 ikke gir et mer omfattende vern av ytringsfriheten enn det som følger av EMK artikkel 10, konsentreres fremstillingen om sistnevnte, som i norsk oversettelse lyder:
«1. Enhver har rett til ytringsfrihet. Denne rett skal omfatte frihet til å ha meninger og til å motta og meddele opplysninger og ideer uten inngrep av offentlig myndighet og uten hensyn til grenser. Denne artikkel skal ikke hindre stater fra å kreve lisensiering av kringkasting, fjernsyn eller kinoforetak.
2. Fordi utøvelsen av disse friheter medfører plikter og ansvar, kan den bli undergitt slike formregler, vilkår, innskrenkninger eller straffer som er foreskrevet ved lov og som er nødvendige i et demokratisk samfunn av hensyn til den nasjonale sikkerhet, territoriale integritet eller offentlige trygghet, for å forebygge uorden eller kriminalitet, for å beskytte helse eller moral, for å verne andres omdømme eller rettigheter, for å forebygge at fortrolige opplysninger blir røpet, eller for å bevare domstolenes autoritet og upartiskhet.»
Ytringsfriheten er ikke absolutt. Etter EMK artikkel 10 nr. 2 kan det gjøres inngrep i ytringsfriheten når det er foreskrevet ved lov og nødvendig i et demokratisk samfunn av hensyn til blant annet den nasjonale sikkerhet, territoriale integritet eller offentlige trygghet, og for å forebygge uorden eller kriminalitet. Kravet om at inngrepet må være foreskrevet ved lov, innebærer at det må ha grunnlag i nasjonal rett, at regelen må være tilgjengelig slik at den gir den enkelte tilfredsstillende angivelse av hvilke regler som gjelder i et konkret tilfelle, og at regelen er tilstrekkelig presist formulert til at den enkelte kan tilpasse sin atferd etter den. Vurderingskriteriet etter EMK artikkel 10 nr. 2 er blant annet oppsummert i HR-2021-526-A avsnitt 63 flg.
Kravet om at inngrepet må være nødvendig i et demokratisk samfunn, betyr etter praksis fra EMD blant annet at inngrepet må være egnet til å ivareta formålet med tiltaket, og at formålet ikke kan nås med mindre inngripende midler. Bestemmelsen gir anvisning på at det skal foretas en forholdsmessighetsvurdering, der de samfunnsmessige hensynene inngrepet skal ivareta, må veies mot konsekvensene av inngrepet for den enkelte som rammes.
Som nevnt i punkt 5.1.2 er departementet ikke kjent med rettspraksis som gjelder masseinnhenting av informasjon fra åpne kilder og forholdet til EMK artikkel 8. Departementet er heller ikke kjent med slike saker som gjelder forholdet til EMK artikkel 10. Retten til ytringsfrihet henger imidlertid ofte tett sammen med retten til privatliv, slik at et inngrep i retten til privatliv etter omstendighetene også vil kunne utgjøre et inngrep i ytringsfriheten. I Segerstedt-Wiberg and Others mot Sverige, avsnitt 105 til 107, kom EMD til at dersom behandlingen av informasjon om politisk aktivitet ikke kunne rettferdiggjøres etter EMK art 8 nr. 2, ville behandlingen også innebære et ulovlig inngrep i EMK artikkel 10 og 11 (forsamlings- og foreningsfriheten).
Selv om det ikke legges begrensninger på retten til å ytre seg, vil forslaget her kunne tenkes å ha en nedkjølende effekt på ytringsfriheten. Enkelte kan tenkes å ville modifisere eller sensurere ytringene sine, eller helt unnlate å ytre seg på internett, av frykt for eller kunnskap om at ytringene vil kunne lagres hos PST. Departementet legger derfor til grunn at forslaget etter omstendighetene vil kunne utgjøre et inngrep i ytringsfriheten.
5.3 Europarådets personvernkonvensjon
Norge har ratifisert Europarådets konvensjon nr. 108 av 28. januar 1981 om personvern i forbindelse med elektronisk databehandling av personopplysninger. Formålet med konvensjonen er å sikre respekten for individets rettigheter og grunnleggende friheter, særlig retten til privatliv, med hensyn til elektronisk databehandling av personopplysninger. Ved endringsprotokoll 10. oktober 2018 er det oppstilt mer detaljerte krav enn i gjeldende konvensjon. Endringsprotokollen har ikke trådt i kraft. Norge har signert endringsprotokollen og avgitt en erklæring om midlertidig anvendelse av protokollen.
Konvensjonens artikkel 9 nr. 2 åpner for at det kan gjøres unntak fra en rekke av konvensjonens krav når det følger av lov og er et nødvendig tiltak i et demokratisk samfunn av hensyn til blant annet beskyttelse av statens sikkerhet og offentlig sikkerhet og kriminalitetsbekjempelse. Det samme gjør endringsprotokollen artikkel 14. Det kan blant annet gjøres unntak fra en rekke av de alminnelige kravene for behandling av opplysninger etter artikkel 5 nr. 4, blant annet krav til at opplysninger skal behandles for de formål de er innhentet for, at det ikke skal behandles flere opplysninger enn nødvendig for formålet og at opplysningene skal være korrekte og oppdaterte. Det kan også gjøres unntak fra reglene om informasjon til den registrerte og den registrertes rettigheter. For behandling av hensyn til nasjonal sikkerhet kan det gjøres ytterligere unntak.
Vurderingen av hvorvidt unntaket har hjemmel i lov, forfølger et legitimt formål og er nødvendig i et demokratisk samfunn er i hovedtrekk sammenfallende med vurderingstemaene som gjelder lovligheten av inngrep i rettighetene etter Grunnloven § 102 første ledd første punktum og EMK artikkel 8. Departementet legger derfor til grunn at tiltak som er forenlig med Grunnloven og EMK, heller ikke vil være i strid med Europarådskonvensjon nr. 108 om personvern i forbindelse med elektronisk databehandling av personopplysninger.