§ 2 - Artikkel 6 og 9 - Tolkningsuttalelse - DSOP Kontrollinformasjon
Tolkningsuttalelse | Dato: 20.10.2022
Tolkningsuttalelse fra lovavdelingen
Mottaker:
Finans Norge
Vår referanse:
22/3045
Brevdato: 25.08.2022
Tolkningsuttalelse – DSOP Kontrollinformasjon
1. Innledning
Finans Norge har sendt en henvendelse til både Justis- og beredskapsdepartementet og Finansdepartementet med spørsmål om en avklaring av det rettslige grunnlaget for DSOP Kontrollinformasjon («DSOP-Kontroll»). I henvendelsene vises det til at det i prosjektet DSOP-Kontroll er utviklet en maskinell og automatisert oppslagstjeneste for innhenting av nærmere fastsatte kategorier av informasjon fra finansinstitusjoners systemer til Skatteetaten, NAV og politiet. Formålet er å effektivisere utlevering av opplysninger til etatene. Spørsmålet gjelder hvorvidt det at en myndighets tilgang er direkte og umiddelbar, innebærer særlige krav til det rettslige grunnlaget for utleveringen av opplysninger, og om disse kravene eventuelt er oppfylt for de nevnte etatene.
Saken reiser spørsmål om forståelsen av personopplysningsloven, personvernforordningen, Den europeiske menneskerettskonvensjon (EMK), straffeprosessloven, hvitvaskingsloven, skatteforvaltningsloven, folketrygdloven og lov om midlertidig tilskuddsordning for foretak med stort omsetningsfall. Finansdepartementet svarte Finans Norge i brev 3. november 2021 når det gjelder tolkningen av skatteforvaltningsloven.
Brevet fra Finans Norge til Justis- og beredskapsdepartementet er stilet til Justis- og beredskapsministeren. I brevet fremgår det imidlertid at finansnæringen mener at «rekkevidden av de aktuelle rettslige problemstillingene fortrinnsvis bør avklares samlet på departementsnivå via Justisdepartementets lovavdeling i tråd med anbefalingen fra Datatilsynet og i tråd med rettsstatens demokratiske prinsipper.» I lys av dette avgir Lovavdelingen en tolkningsuttalelse om noen av de spørsmålene saken reiser. Det er avklart at de særlig berørte departementene – Justis- og beredskapsdepartementet, Finansdepartementet og Arbeids- og inkluderingsdepartementet – ikke har innvendinger mot at det gis en tolkningsuttalelse fra Lovavdelingen om de nærmere rettslige rammene for DSOP-Kontroll.
Det er i henvendelsen fra Finans Norge pekt på aktuelle rettslige grunnlag for utleveringen av opplysninger i prosjektet DSOP-kontroll, og vi har tatt utgangspunkt i hjemlene det er vist til i henvendelsen hit. På bakgrunn av Lovavdelingens ansvarsområde vil vi i denne tolkningsuttalelsen begrense vurderingen til spørsmålet om straffeprosessloven § 210 gir tilstrekkelig rettslig grunnlag for at opplysninger kan utleveres til politiet ved den automatiserte oppslagstjenesten utviklet i prosjektet DSOP-Kontroll. Vi vil ikke vurdere de andre hjemlene som er aktuelle for automatisert utlevering gjennom den aktuelle oppslagstjenesten – det vil si hvitvaskingsloven, skatteforvaltningsloven, folketrygdloven og lov om midlertidig tilskuddsordning for foretak med stort omsetningsfall – men vurderingene av straffeprosessloven § 210 vil kunne ha overføringsverdi også til disse.
Som ledd i tolkingen av straffeprosessloven § 210 vil vi også belyse de overordnede rammene som følger av personvernforordningen og EMK. Det er kun kravene til rettslig grunnlag for behandlingen av personopplysninger i forbindelse med en automatisert utlevering som behandles, ikke andre spørsmål som kan oppstå i forbindelse med behandling av personopplysninger til de formålene saken gjelder. Vår vurdering gjelder kun den automatiserte oppslagstjenesten utviklet i prosjektet DSOP-kontroll og ikke andre ordninger der politiet får utlevert eller selv innhenter opplysninger.
Vi presiserer at Datatilsynet opptrer helt uavhengig i sin eventuelle videre befatning med spørsmålene saken reiser, jf. personvernforordningen artikkel 52.
2. Beskrivelse av den tekniske løsningen[1]
I prosjektet DSOP-Kontroll er det utviklet en maskinell og automatisert oppslagstjeneste for utlevering av nærmere angitte kategorier av informasjon fra finansielle institusjoner til bruk i kontroll- og etterforskingsvirksomhet. Løsningen gjør at etatene, fra sine egne systemer, kan få maskinell tilgang til den aktuelle informasjonen fra bankenes systemer, uten forsinkelse og uten menneskelig involvering fra bankenes side (eOppslag).[2]
Den tekniske oppslagstjenesten skiller mellom følgende kategorier av informasjon:
- Kontolister med oversikt over alle kontoer for en spesifisert tidsperiode som en person eller et foretak eier eller er disponent for
- Kontodetaljer, inkludert saldo
- Detaljert transaksjonshistorikk knyttet til en konto opp til ti år tilbake i tid, blant annet opplysninger om beløp, mottaker/avsender, tidspunkt og brukersted
- Informasjon om betalingskortene knyttet til en gitt konto
- Oversikt over alle parter som har eller har hatt en rolle knyttet til en gitt konto
Tjenesten er utviklet slik at en forespørsel kan gjelde én eller flere kategorier av informasjon for en gitt tidsperiode, men innenfor den enkelte kategorien er det meget begrensede muligheter for å avgrense hvilken informasjon som utleveres. Hvis det for eksempel bes om transaksjonshistorikk knyttet til en konto for en gitt tidsperiode, vil alle transaksjoner for perioden utleveres. Finans Norge oppgir at det i løpet av drifts- og forvaltningsfasen vil kunne være mulig å videreutvikle mulighetene for å spesifisere forespørselen noe mer.
Forespørselen fra etatene gjennomføres ved at det først blir sendt en henvendelse til finansnæringens kundeforholdsregistre. Henvendelsen besvares med en oversikt over hvilke finansinstitusjoner den aktuelle personen eller foretaket er registrert med et kundeforhold i. Basert på oversikten kan det deretter sendes en forespørsel om utlevering av den angitte informasjonen til de aktuelle finansinstitusjonene. Prosessen kan settes opp slik at forespørselen til finansinstitusjonene sendes automatisk på bakgrunn av den mottatte oversikten over relevante kundeforhold.
Fra finansinstitusjonenes side besvares forespørselen automatisk og uten forsinkelse, ved at den aktuelle informasjonen gjøres tilgjengelig i etatenes egne systemer. Så lenge forespørselen oppfyller de tekniske kravene som ordningen oppstiller og inneholder alle nødvendige kontrollpunkter, utleveres den etterspurte informasjonen som finnes i finansinstitusjonenes systemer. Det foretas visse automatiserte valideringsprosesser som er innebygget i systemet, men ingen manuell kontroll av forespørselen eller dens lovlighet.
Den automatiserte kontrollen innebærer for det første en verifisering av motparten gjennom Digitaliseringsdirektoratets nasjonale fellesløsning Maskinporten, som er en tjeneste som sørger for sikker autentisering og tilgangskontroll. Verifiseringen sikrer at informasjonen ikke kan hentes ut av andre enn etatene som er med i ordningen. Videre skjer det en validering av hvilken etat som sender forespørselen, at etaten har oppgitt et relevant hjemmelsgrunnlag for utleveringen, og at etaten har bedt om en informasjonstype som den skal kunne få tilgang til. Den sistnevnte kontrollen vil på nåværende tidspunkt ikke få noen betydning, da etatene som er en del av ordningen i dag, skal kunne få tilgang til alle informasjonstypene. Dette vil likevel kunne utgjøre en begrensning dersom det senere kobles på nye aktører som bare skal kunne få tilgang til enkelte informasjonstyper. For forespørsler fra politiet kreves det i tillegg at det oppgis hvilket politidistrikt som har saken, og navnet på polititjenestepersonen som har ansvar for forespørselen. Det føres imidlertid ikke kontroll med at det foreligger et utleveringspålegg eller en kontroll med innholdet av pålegget.
Alle saker gis et unikt saksnummer som etatene skal kunne koble til et saksnummer i eget saksbehandlingssystem. Forespørslene loggføres i tråd med reglene som gjelder for de ulike etatene og finansinstitusjonene. Formålet med loggføringen hos finansinstitusjonene er blant annet å gjøre det mulig å oppdage dersom det kommer et uvanlig høyt antall forespørsler fra en etat. Loggføringen gjør det også mulig å kunne lete opp tidligere forespørsler ved håndtering av eventuelle tekniske feil eller ved en rettslig etterhåndskontroll. Ved en eventuell rettslig etterhåndskontroll (for eksempel et sivilt søksmål fra en kunde, intern eller ekstern revisjon eller tilsyn fra Finanstilsynet eller Datatilsynet) er det etablert rutiner for at finansinstitusjonen oppgir saksnummeret til den aktuelle etaten, slik at etaten kan hente frem det underliggende rettsgrunnlaget for utleveringen av informasjonen. Det er imidlertid ikke i DSOP-samarbeidet utviklet felles prosedyrer for rutinemessig kontroll – som for eksempel stikkprøvekontroller – fra finansinstitusjonenes side over hvilke opplysninger etatene har hentet ut.
3. Krav om rettsrunnlag etter personopplysningsloven og personvernforordningen
3.1 Personopplysningslovens virkeområde
Personvernforordningen er gjennomført i norsk rett ved personopplysningsloven § 1. Forordningens virkeområde i norsk rett fremgår av personopplysningsloven § 2. Det følger av § 2 første ledd første punktum at loven og personvernforordningen gjelder ved helt eller delvis automatisert behandling av personopplysninger og ved ikke-automatisert behandling av personopplysninger som inngår i eller skal inngå i et register. Det følger videre av første ledd andre punktum at loven og personvernforordningen ikke gjelder når annet er bestemt i eller med hjemmel i lov. Det fremgår av merknaden til § 2 i Prop. 56 LS (2017–2018) punkt 38.1 at ordlyden i første punktum tilsvarer forordningen artikkel 2 nr. 1 og skal tolkes likt som denne.
I denne saken fremstår det klart at den aktuelle behandlingen av opplysningene er automatisert. Bankopplysningene saken gjelder, vil videre typisk inneholde informasjon knyttet til personer som i det minste er identifisert ved navn, slik at det vil dreie seg om behandling av personopplysninger, jf. personvernforordningen artikkel 4 nr. 1. Saken gjelder utlevering av informasjon fra bankene til politiet. Utlevering av informasjon faller inn under definisjonen av behandling i personvernforordningen artikkel 4 nr. 2.
Saker som behandles eller avgjøres i medhold av rettspleielovene (domstolloven, straffeprosessloven, tvisteloven og tvangsfullbyrdelsesloven mv.), faller imidlertid utenfor personopplysningslovens virkeområde, jf. personopplysningsloven § 2 andre ledd bokstav b. Tolkningsuttalelsen her gjelder tilfeller der det er reglene i straffeprosessloven som gir grunnlag for bankenes utlevering. Selv om det kan være vanskelig å fastslå hvor langt unntaket i § 2 andre ledd bokstav b rekker, legger vi til grunn at personvernforordningen kommer til anvendelse når det gjelder bankenes behandling av personopplysninger knyttet til DSOP-Kontroll.
3.2 Krav til rettsgrunnlag for behandling av personopplysninger
Det er et grunnleggende krav etter personvernforordningen at all behandling av personopplysninger må ha et behandlingsgrunnlag, jf. personvernforordningen artikkel 6 nr. 1. I henvendelsen fra Finans Norge er det pekt på at det aktuelle behandlingsgrunnlaget for utlevering gjennom den automatiserte oppslagstjenesten er artikkel 6 nr. 1 bokstav c. Det følger av bokstav c at behandlingen er lovlig dersom «behandlingen er nødvendig for å oppfylle en rettslig forpliktelse som påhviler den behandlingsansvarlige». Det følger videre av artikkel 6 nr. 3 at grunnlaget for behandlingen nevnt i nr. 1 bokstav c (og e) skal fastsettes i unionsretten eller medlemsstatenes nasjonale rett som den behandlingsansvarlige er underlagt.[3] Det må altså foreligge et såkalt supplerende rettslig grunnlag etter nasjonal rett.
Personvernforordningen inneholder videre særlige regler om bruk av personopplysninger til nye og uforenlige formål. Det følger av artikkel 5 nr. 1 bokstav b at personopplysninger skal samles inn for spesifikke, uttrykkelig angitte og berettigede formål og ikke viderebehandles på en måte som er uforenlig med disse formålene. I vårt tilfelle dreier det seg om opplysninger som er samlet inn for å kunne tilby banktjenester eller andre finansielle tjenester. Det å utlevere disse opplysningene til det offentlige som skal benytte disse opplysningene til etterforskings- eller kontrollformål, fremstår som uforenlig, jf. momentene som fremgår av artikkel 6 nr. 4. Det følger da av artikkel 6 nr. 4 at slik viderebruk, dersom den ikke bygger på samtykke, må være tillatt etter medlemsstatenes nasjonale rett «som utgjør et nødvendig og forholdsmessig tiltak i et demokratisk samfunn for å sikre oppnåelse av målene nevnt i artikkel 23 nr. 1». Det følger av artikkel 23 nr. 1 bokstav d at «forebygging, etterforskning, avsløring eller straffeforfølging av straffbare forhold eller iverksettelse av strafferettslige sanksjoner, herunder vern mot og forebygging av trusler mot den offentlige sikkerhet» kan være et relevant mål.
Det kan stilles spørsmål ved forholdet mellom artikkel 6 nr. 1 og nr. 4, altså om behandling til nye og uforenlige formål må oppfylle kravene etter begge bestemmelser, eller om det i tilfellene omfattet av artikkel 6 nr. 4 kun er kravene der som er aktuelle. I Kuner m.fl., The EU General Data Protection Regulation (GDPR): A Commentary (2020) fremgår følgende om dette på side 343:
«It is important to note that Article 6 (4) does not require a legal basis for further processing under Article 6 (1). ‘Incompatible further processing’ is an interference with the principle of purpose limitation in Article 5 (1)(b)); therefore, it is not Article 6 (1) that applies in such a case, only Article 23, which deals with lawful restrictions of, inter alia, Article 5.»
I kommentaren til artikkel 6 nr. 4 i Skullerud m.fl., Personvernforordningen – Ajourført lovkommentar (Juridika) fremgår imidlertid følgende, som vi forstår slik at det henvises til at det også kreves et rettslig grunnlag etter artikkel 6 nr. 1, på side 190:
«Forordningen forutsetter at all bruk av personopplysninger til nye formål må ha et selvstendig rettslig grunnlag i forordningen. Dette kan være samtykke, men også andre rettslige grunnlag er aktuelt. Adgangen til gjenbruk kan være fastsatt i nasjonal rett med utgangspunkt i vesentlige samfunnshensyn som nevnt i art. 23. Men forordningen åpner også for at andre rettslige grunnlag kan ligge til grunn for behandling av opplysninger til nye formål. Det må derfor vurderes om behandlingen for det nye formålet kan hjemles i en av bestemmelsene i art. 6 nr. 1 bokstav b–f. Dersom ingen av rettsgrunnlagene i art. 6 er oppfylt, er det ikke anledning til å bruke personopplysninger til nye formål.»
I Prop. 56 LS (2017–2018) fremgår følgende under punkt 6.6:
«At viderebehandlingen må ha grunnlag i lov eller samtykke, innebærer at lovgrunnlaget eller samtykket må knytte seg til selve viderebehandlingen for uforenlige formål. Det er med andre ord ikke tilstrekkelig med et alminnelig behandlingsgrunnlag og et eventuelt supplerende rettslig grunnlag i den forbindelse; det kreves i tillegg et grunnlag for viderebehandlingen.»
Dette spørsmålet kommer imidlertid etter vårt syn ikke på spissen her, da man må anta at en lovhjemmel som tilfredsstiller kravene etter artikkel 6 nr. 4, også vil kunne fungere som et supplerende rettsgrunnlag etter artikkel 6 nr. 3. En nasjonal regel må imidlertid uansett tilfredsstille de strengere kravene etter artikkel 6 nr. 4.
Det følger, så langt vi kan se, ikke noe krav om en regulering av den nærmere fremgangsmåten for utlevering av opplysninger direkte av ordlyden i verken personvernforordningen artikkel 6 nr. 3, der det blant annet fremgår at formålet med behandlingen skal være fastsatt i det supplerende rettslige grunnlaget, eller av artikkel 6 nr. 4. Dette underbygges av formuleringene i fortalepunkt 45, der det blant annet fremgår at det ikke kreves en «særlig lovbestemmelse for hver enkelt behandling» og at «[e]n lov kan være tilstrekkelig som grunnlag for flere behandlingsaktiviteter som bygger på en rettslig forpliktelse som påhviler den behandlingsansvarlige, eller dersom behandlingen er nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet.» Dette synet er også lagt til grunn i Skullerud m.fl., Personvernforordningen – Ajourført lovkommentar (Juridika). Det fremgår der blant annet følgende i kommentaren til artikkel 6 nr. 3: «Forordningen forutsetter ikke at behandlingsmåten er eksplisitt nedfelt i regelverket eller vedtaket.» Som vi kommer nærmere tilbake til, må forordningen etter vårt syn imidlertid tolkes og anvendes i tråd med menneskerettslige krav til rettsgrunnlag for inngrep i retten til privatliv, se Prop. 56 LS (2017–2018) punkt 6.3.2.
I henvendelsen fra Finans Norge vises det til at de aktuelle lovhjemlene ikke gjør det klart at de aktuelle etatene skal ha rett til en direkte og umiddelbar tilgang slik oppslagstjenesten åpner for, og at bankene heller ikke har en forpliktelse til å tilrettelegge for dette. På denne bakgrunn vises det til at det vanskelig kan sies at den metoden bankene vil behandle opplysninger på, er «nødvendig» for å oppfylle en rettslig forpliktelse. Når det gjelder kravet om «nødvendighet» i artikkel 6 nr. 1 bokstav c, jf. også artikkel 5 nr. 1 bokstav c, forstår vi det slik at det ikke stilles et absolutt krav om at den konkrete behandlingen er strengt nødvendig, særlig ikke at det er strengt nødvendig at behandlingen skjer på en bestemt måte. I fortalepunkt 39 fremgår det blant annet at «[p]ersonopplysninger bør behandles bare dersom formålet med behandlingen ikke med rimelighet kan oppfylles på annen måte». Se også sak C-439/19 fra EU-domstolen i avsnitt 110. Det følger også et krav om nødvendighet (og forholdsmessighet) av artikkel 6 nr. 4, men dette er slik vi forstår det, rettet mot nasjonal rett som det forutsettes at «utgjør et nødvendig og forholdsmessig tiltak i et demokratisk samfunn».
Dersom det legges til grunn at opplysningene som skal utleveres, inneholder særlige kategorier personopplysninger, må også vilkårene i artikkel 9 være oppfylt. Det er ikke opplyst i hvilken grad dette er aktuelt, men bankopplysninger kan tenkes å gi opplysninger om blant annet helse, fagforeningsmedlemskap og medlemskap i politiske partier. Artikkel 9 nr. 2 bokstav g kan være et aktuelt unntak som kan åpne for behandling av slike opplysninger. Også etter denne bestemmelsen stilles det imidlertid krav til at adgangen til behandling må følge av nasjonal rett.[4] Det stilles videre krav om at behandlingen må være nødvendig av hensyn til viktige allmenne interesser, og at det nasjonale rettsgrunnlaget må være forholdsmessig, forenlig med det grunnleggende innholdet i retten til vern av personopplysninger og sikre egnede og særlige tiltak for å verne den registrerte. Heller ikke i artikkel 9 stilles det imidlertid noe eksplisitt krav om at den nærmere fremgangsmåten for tilgang må være direkte regulert. Både kravene om nødvendighet og forholdsmessighet, samt kravene om egnede og særlige tiltak, kan imidlertid stille nærmere krav til utformingen av det nasjonale rettsgrunnlaget.
Behandling av personopplysninger om straffedommer og lovovertredelser eller tilknyttede sikkerhetstiltak er nærmere regulert i personvernforordningen artikkel 10. Det er imidlertid uklart om dette vil være aktuelt her, så artikkelen omtales derfor ikke nærmere.
Personvernforordningen gir også anvisning på at et rettslig grunnlag i nasjonal rett må tilfredsstille menneskerettslige krav. I fortalepunkt 41 til personvernforordningen fremgår følgende om dette:
«Når det i denne forordning vises til et rettslig grunnlag eller et lovgivningsmessig tiltak, krever dette ikke nødvendigvis en regelverksakt vedtatt av et parlament, med forbehold for kravene fastsatt i henhold til forfatningsordningen i den berørte medlemsstat. Nevnte rettslige grunnlag eller lovgivningsmessige tiltak bør imidlertid være tydelig og presist, og anvendelsen av det bør være forutsigbar for personer som omfattes av det, i samsvar med rettspraksisen til Den europeiske unions domstol (‘Domstolen’) og Den europeiske menneskerettighetsdomstol.» (vår understreking/kursiv)
I omtalen av vilkårene for behandling på grunnlag av artikkel 6 nr. 1 bokstav c og e i Prop. 56 LS (2017–2018) i punkt 6.3.2 fremgår blant annet følgende:
«Med andre ord må forordningens krav om supplerende rettsgrunnlag for behandlingen tolkes og anvendes i tråd med de menneskerettslige kravene til rettsgrunnlag for inngrep i retten til privatliv. Dette innebærer at det må foretas en nærmere vurdering av rettsgrunnlaget og behandlingen, hvor det blant annet må legges vekt på hvor inngripende behandlingen er. Etter omstendighetene kan utfallet av en slik vurdering bli at det kreves et mer spesifikt grunnlag enn det som kan synes å være minimumskravene etter ordlyden i forordningen.»
Også i kommentaren til artikkel 6 nr. 3 i Skullerud m.fl., Personvernforordningen – Ajourført lovkommentar (Juridika) fremgår det at det er gode grunner som taler for at det i mange sammenhenger bør stilles strengere krav til nasjonale rettsgrunnlag for behandling av personopplysninger enn det artikkel 6 nr. 3 kan gi uttrykk for, men da med henvisning til legalitetsprinsippet og de grunnleggende prinsippene i forordningen artikkel 5.
Finansinstitusjoner er i utgangspunktet ikke pliktsubjekter etter EMK. Det kunne isolert sett tilsi at en vurdering av det rettslige grunnlaget for utlevering fra finansinstitusjonene ikke gjorde det nødvendig å gå nærmere inn på kravene som følger av EMK artikkel 8. Etter vår vurdering er det imidlertid grunn til å vurdere disse kravene nærmere for å besvare spørsmålet fra Finans Norge. I tillegg bør kravene som følger av Grunnloven § 102, vurderes.
For det første finner vi det relevant å se hen til statens menneskerettslige forpliktelser ved tolkningen av hvilke utleveringer straffeprosessloven § 210 kan gi grunnlag for, blant annet fordi bestemmelsen innebærer at politiet får tilgang til informasjon om enkeltpersoner. Lovligheten av ordningen som sådan vil avhenge av at politiets uthenting av informasjon er innenfor rammene som følger av Grunnloven og EMK. Vi nevner at vi med dette ikke har tatt stilling til hvilke krav som må stilles til private behandlingsansvarliges egne vurderinger av rettsgrunnlaget.
For det andre kommer de menneskerettslige kravene uansett inn ved tolkningen av personvernforordningen, som finansinstitusjonene er bundet av. De må bygge på et rettsgrunnlag som oppfyller kravene etter personvernforordningen. I sak C- 175/20 uttaler EU-domstolen følgende i avsnitt 83:
«I denne henseende bemærkes ikke desto mindre, at den lovgivning, som danner grundlag for behandlingen, for at opfylde det krav om proportionalitet, som artikel 5, stk. 1, litra c), i forordning 2016/679 er udtryk for […], skal fastsætte klare og præcise regler, der regulerer rækkevidden og anvendelsen af den omhandlede foranstaltning, og som opstiller mindstekrav, således at de personer, hvis personoplysninger er berørt, råder over tilstrækkelige garantier, der gør det muligt effektivt at beskytte disse oplysninger mod risikoen for misbrug. Denne lovgivning skal være retligt bindende i national ret og navnlig angive, under hvilke omstændigheder og på hvilke betingelser der kan vedtages en foranstaltning om behandling af sådanne oplysninger, hvorved det sikres, at indgrebet begrænses til det strengt nødvendige».
Det følger videre av artikkel 6 nr. 3 at nasjonal rett «skal oppfylle et mål i allmennhetens interesse og stå i et rimelig forhold til det berettigede målet som søkes oppnådd». Når det gjelder behandling av personopplysninger som omfattes av artikkel 6 nr. 4, må behandling til uforenlige formål bygge på nasjonal rett som «utgjør et nødvendig og forholdsmessig tiltak i et demokratisk samfunn for å sikre oppnåelse av målene nevnt i artikkel 23 nr. 1». Videre stiller artikkel 9 nr. 2 bokstav g krav om at behandlingen må bygge på nasjonal rett «som skal stå i et rimelig forhold til det mål som søkes oppnådd, være forenlig med det grunnleggende innholdet i retten til vern av personopplysninger og sikre egnede og særlige tiltak for å verne den registrertes grunnleggende rettigheter og interesser». Disse kravene ligner i stor grad på kravene til inngrep i retten til privatliv etter EMK artikkel 8 nr. 2. EU-domstolen tolker også personvernforordningen artikkel 6 nr. 3 i lys av EUs pakt om grunnleggende rettigheter, se sak C-184/20 premiss 69.
I det videre vil vi på denne bakgrunn gjennomgå kravene som følger av retten til privatliv etter Grunnloven § 102 og EMK artikkel 8, før vi foretar en vurdering av straffeprosessloven § 210 opp mot rammene som etter vårt syn følger av både forordningen og de menneskerettslige forpliktelsene.
4. Generelt om retten til privatliv etter Grunnloven § 102 og EMK artikkel 8
4.1 Innledning
Etter Grunnloven § 102 har enhver «rett til respekt for sitt privatliv og familieliv, sitt hjem og sin kommunikasjon». Bestemmelsen kom inn i Grunnloven som ledd i grunnlovsreformen i 2014, og kontroll- og konstitusjonskomiteen ga i Innst. 186 S (2013–2014) punkt 2.1.9 side 27 uttrykk for at bestemmelsen blant annet omfatter «systematisk innhenting, oppbevaring og bruk av opplysninger om andres personlige forhold». Grunnloven § 102 gir ikke anvisning på noen adgang til eller vilkår for å gjøre inngrep i rettigheten, men Høyesterett har lagt til grunn at det kan gjøres inngrep i retten dersom tiltaket har en tilstrekkelig hjemmel, forfølger et legitimt formål og er forholdsmessig, se Rt. 2014 side 1105 avsnitt 28 og Rt. 2015 side 93 avsnitt 60.
Grunnloven § 102 har klare likhetstrekk med EMK artikkel 8 og må tolkes i lys av den, se Rt. 2015 side 93 avsnitt 57. Vi legger til grunn at innholdet i retten til respekt for privatliv i all hovedsak er sammenfallende etter Grunnloven og EMK artikkel 8, se tilsvarende syn i Lovavdelingens tolkningsuttalelse 25. mars 2021 punkt 4.1 og Prop. 56 LS (2017–2018) punkt 6.4 side 34. I den videre drøftelsen tar vi utgangspunkt i EMK artikkel 8. Vi har ikke funnet det nødvendig å vurdere legalitetsprinsippet, jf. Grunnloven § 113, særskilt.
EMK artikkel 8 nr. 1 gir enhver «rett til respekt for sitt privatliv og familieliv, sitt hjem og sin korrespondanse». Det følger av artikkel 8 nr. 2 at det bare kan gjøres inngrep i retten når «dette er i samsvar med loven og er nødvendig i et demokratisk samfunn av hensyn til den nasjonale sikkerhet, offentlige trygghet eller landets økonomiske velferd, for å forebygge uorden eller kriminalitet, for å beskytte helse eller moral, eller for å beskytte andres rettigheter og friheter».
I henhold til praksis fra Den europeiske menneskerettsdomstol (EMD) skal begrepet «privatliv» tolkes vidt, se S. og Marper mot Storbritannia 04.12.2008 avsnitt 66 til 67 med videre henvisninger. EMD har lagt til grunn at informasjon som er hentet fra en persons bankdokumenter, utvilsomt er å regne som personopplysninger, uavhengig av om informasjonen er sensitiv – også der den gjelder yrkesmessige aktiviteter, se M.N. m.fl. mot San Marino 07.07.2015 avsnitt 51. I dommen legges det til grunn at myndigheters innhenting og etterfølgende lagring av en privatpersons bankinformasjon utgjør et inngrep i retten til privatliv etter EMK artikkel 8, se avsnitt 55.
4.2 «I samsvar med loven» – nærmere om hjemmelskravet
Hjemmelskravet («i samsvar med loven») innebærer for det første at det er nødvendig med et rettsgrunnlag, noe som i EMDs praksis gjerne uttrykkes som at inngrepet må ha «sufficient legal basis in domestic law», se for eksempel Bernh Larsen Holding AS m.fl. mot Norge 14.03.2013 avsnitt 126. I tillegg stilles det visse krav til rettsgrunnlagets «kvalitet», nærmere bestemt at det skal være tilgjengelig og forutberegnelig, og at det skal inneholde tilstrekkelige garantier mot vilkårlighet. I L.H. mot Latvia 29.04.2014 avsnitt 47 er kravet formulert slik:
«Of particular relevance in the present case is the requirement for the impugned measure to have some basis in domestic law, which should be compatible with the rule of law, which, in turn, means that the domestic law must be formulated with sufficient precision and must afford adequate legal protection against arbitrariness. Accordingly the domestic law must indicate with sufficient clarity the scope of discretion conferred on the competent authorities and the manner of its exercise.»
Hva som nærmere ligger i kravet om forutberegnelighet, er utdypet i blant annet Rotaru mot Romania 04.05.2000. EMD uttrykte her at en regel er forutberegnelig såfremt den er formulert med tilstrekkelig presisjon til at individer får mulighet til – om nødvendig etter å ha søkt passende råd – å kunne regulere sin atferd, se avsnitt 55 i dommen. EMDs praksis viser videre at hvor presis og detaljert den aktuelle reguleringen må være, vil avhenge av hvor alvorlig det aktuelle inngrepet er. For eksempel uttalte EMD i Saber mot Norge 17.12.2020 at «search and seizure represent a serious interference with private life, home and correspondence and must accordingly be based on a ‘law’ that is particularly precise. It is essential to have clear, detailed rules on the subject», se avsnitt 50 i dommen.
Inngrepets art og omfang er også styrende for hvilke garantier mot vilkårlighet som er nødvendige, se P.G. og J.H. mot Storbritannia 25.09.2001 avsnitt 46. Kravet om tilstrekkelige rettssikkerhetsgarantier henger for øvrig tett sammen med kravet om at inngrepet må være «nødvendig i et demokratisk samfunn», se til illustrasjon Sommer mot Tyskland 27.04.2017, hvor vurderingene ble gjort samlet. Etter vårt syn er det også en viss sammenheng mellom hvilke garantier som foreligger, og hvilke krav som oppstilles med hensyn på rettsgrunnlagets forutberegnelighet. Sistnevnte skjerpes dersom det er mangler eller svakheter ved de aktuelle rettssikkerhetsgarantiene, se tilsvarende i Marius Stubs kommentar til § 102 i Mestad og Michalsen (red.), Grunnloven: Historisk kommentarutgave 1814–2020 (2021) på side 1152.
I S. og Marper mot Storbritannia uttalte EMD følgende om behovet for tilstrekkelige garantier mot myndighetsmisbruk og vilkårlighet på personvernområdet (avsnitt 103):
«The domestic law must afford appropriate safeguards to prevent any such use of personal data as may be inconsistent with the guarantees of this Article […]. The need for such safeguards is all the greater where the protection of personal data undergoing automatic processing is concerned, not least when such data are used for police purposes. The domestic law should notably ensure that such data are relevant and not excessive in relation to the purposes for which they are stored; and preserved in a form which permits identification of the data subjects for no longer than is required for the purpose for which those data are stored. […] The domestic law must also afford adequate guarantees that retained personal data were efficiently protected from misuse and abuse».
I saker som gjelder skjult etterforsking og etterretning, har EMD uttalt at det som et minimum kreves garantier knyttet til lagringstid og lagringsmåte, bruk, tilgang for tredjepersoner, prosedyrer for å sikre integriteten til dataene og at taushetsplikten overholdes, og prosedyrer for sletting, se Sommer mot Tyskland avsnitt 53 med videre henvisninger. I Wieser og Bicos Beteiligungen Gmbh mot Østerrike 16.10.2007, som gjaldt ransakelse og beslag, viste EMD til at det blant annet måtte ses hen til om ransakingen hadde grunnlag i en ransakingsbeslutning som var fattet av en dommer og basert på en rimelig mistanke, hvorvidt ransakingsbeslutningen var rimelig avgrenset, og – der det var snakk om ransaking av en advokats kontor – hvorvidt ransakingen var utført i nærvær av en uavhengig observatør som kan sikre at det ikke blir beslaglagt materiale som er underlagt beslagsforbud, se avsnitt 57 i dommen. Det har videre betydning i hvilken grad det er adgang til å føre effektiv kontroll av lovligheten av inngrepet, se M.N. m.fl. mot San Marino avsnitt 78. En forutsetning for effektiv domstolskontroll er at de berørte underrettes om inngrepet, og at det finnes prosessuell adgang til å få lovligheten prøvd, se omtale av slike mekanismer i avsnitt 79 i dommen.
4.3 «Nødvendig i et demokratisk samfunn» – krav om forholdsmessighet
Kravet om at inngrepet må være «nødvendig i et demokratisk samfunn» er utdypet slik i Sommer mot Tyskland (avsnitt 55 og 56):
«As to the question of whether an interference is ‘necessary in a democratic society’ in pursuit of a legitimate aim, the Court has consistently held that the notion of ‘necessity’ implies that the interference corresponds to a pressing social need and, in particular, that it is proportionate to the legitimate aim pursued […]. When considering the necessity of an interference, the Court must be satisfied that there were sufficient and adequate guarantees against arbitrariness, including the possibility of effective control of the measure at issue».
Nødvendighetskravet kan med andre ord ikke tolkes strengt etter sin ordlyd, i den forstand at inngrepet må være en nødvendig betingelse for at formålet skal nås. Det avgjørende er om inngrepet er forholdsmessig. I forholdsmessighetsvurderingen må hensynet til den som rammes, veies mot interessene som ivaretas eller fremmes ved inngrepet. I hvilken grad det foreligger tilstrekkelige og effektive garantier mot vilkårlighet og misbruk, vil være sentralt i vurderingen.
EMDs praksis viser at statene har en viss skjønnsmargin i vurderingen av hvorvidt inngrepet er forholdsmessig. Hvor vid denne marginen er, vil variere og avhenge av en rekke faktorer, inkludert viktigheten av den aktuelle konvensjonsrettigheten og dens betydning for individet, inngrepets natur og formålet som søkes oppnådd med inngrepet. EMD har lagt til grunn at effektiv beskyttelse av personopplysninger er av fundamental betydning for individets mulighet til å nyte retten til respekt for privatlivet, se S. og Marper mot Storbritannia avsnitt 103. I tråd med dette er adgangen til å gjøre inngrep snever, og behovet for inngrepet må påvises på en overbevisende måte, se Sommer mot Tyskland avsnitt 55.
4.4 Rettspraksis fra EMD som behandler beslektede problemstillinger
Vi er ikke kjent med at EMD har behandlet saker om politiets eller andre etaters umiddelbare maskinelle tilgang til konto- og transaksjonsinformasjon fra finansinstitusjoners systemer. EMD har imidlertid behandlet en rekke saker som reiser beslektede problemstillinger, blant annet saker om myndighetenes innhenting og oppbevaring av bankdokumenter, kommunikasjonsvern, skjult overvåking, ransaking og beslag. I tillegg har EU-domstolen behandlet beslektede problemstillinger, og det er grunn til å tro at det i tiden fremover vil komme mer praksis som belyser spørsmålet ytterligere. Tre saker som etter vårt syn kan være av særlig interesse for vurderingen av den automatiserte oppslagstjenesten, er EMDs avgjørelser i Saber mot Norge, Roman Zakharov mot Russland 04.12.2015 og Breyer mot Tyskland 30.01.2020.
I Saber mot Norge ble politiets prosedyre for gjennomgang av en beslaglagt mobiltelefon som inneholdt advokatkorrespondanse, underkjent med den begrunnelse at reguleringen ikke var forutberegnelig nok. EMD viste til at straffeprosessloven riktignok inneholdt en generell hjemmel for å beslaglegge ting som kan antas å ha betydning som bevis, men selve prosedyren for gjennomgangen av beslaget manglet et klart grunnlag i loven. EMD anerkjente at det i norsk rett fantes generelle rettssikkerhetsgarantier knyttet til ransaking og beslag, men det manglet tilstrekkelige klare og spesifikke prosessuelle garantier for å beskytte advokatkorrespondansen ved gjennomgang av digitale beslag.
Også i Roman Zakharov mot Russland konstaterte EMD krenkelse av EMK artikkel 8. Saken gjaldt lovligheten av et russisk system for hemmelig overvåking av mobiltelefonbruk, som ga den føderale sikkerhetstjenesten automatisert og direkte tilgang til mobiltelefonkommunikasjon, uten at vedkommende på noe tidspunkt ble underrettet om overvåkingen. EMD påpekte at systemet manglet tilstrekkelig regulering og rettssikkerhetsgarantier på en rekke punkter, blant annet knyttet til overvåkningens omfang og varighet, mangel på loggføring og begrensede mulighet for juridisk forhånds- og etterhåndskontroll. Det ble også vist til at systemer som gjør det teknisk mulig å få tilgang til opplysninger uten å måtte vise frem en juridisk forhåndsgodkjenning, innebærer en forhøyet risiko for misbruk, og at det ved slike ordninger derfor foreligger et særlig stort behov for effektive garantier mot vilkårlighet og misbruk, se avsnitt 269–270 i dommen:
«The Court considers that the requirement to show an interception authorisation to the communications service provider before obtaining access to a person’s communications is one of the important safeguards against abuse by the law-enforcement authorities, ensuring that proper authorisation is obtained in all cases of interception. […]
The Court considers that the manner in which the system of secret surveillance operates in Russia gives the security services and the police technical means to circumvent the authorisation procedure and to intercept any communications without obtaining prior judicial authorisation. Although the possibility of improper action by a dishonest, negligent or overzealous official can never be completely ruled out whatever the system […], the Court considers that a system, such as the Russian one, which enables the secret services and the police to intercept directly the communications of each and every citizen without requiring them to show an interception authorisation to the communications service provider, or to anyone else, is particularly prone to abuse. The need for safeguards against arbitrariness and abuse appears therefore to be particularly great.»
Motsatt konkluderte EMD i Breyer mot Tyskland med at en plikt for mobiltelefonoperatører til å registrere personopplysninger om kjøpere av forhåndsbetalte SIM-kort og å gjøre opplysningene tilgjengelige for myndighetene gjennom en maskinell og automatisert tjeneste, ikke utgjorde en krenkelse av retten til privatliv etter EMK artikkel 8. Det tyske systemet gikk ut på at tjenesteoperatører var pålagt å gi det føderale forvaltningsorganet som fører tilsyn med blant annet telekommunikasjonssektoren (Bundesnetzagentur), automatisert tilgang til de registrerte kundeopplysningene. Forvaltningsorganet kunne deretter videreformidle opplysningene til visse angitte etater som har som oppgave å påtale og sanksjonere lovbrudd, avverge fare eller drive med etterretning, på bakgrunn av en forespørsel fra disse etatene. Etter loven skulle Bundesnetzagentur bare kontrollere det rettslige grunnlaget for forespørslene der det forelå særlig grunn til å gjøre det.
I vurderingen av om systemet krenket EMK artikkel 8, tok EMD utgangspunkt i at inngrepet det var snakk om, var relativt beskjedent. I motsetning til i tidligere saker for domstolen inneholdt de aktuelle opplysningene ikke informasjon av spesielt personlig karakter, og informasjonen gjorde det verken mulig å opprette en profil over abonnentenes personlighet eller å spore deres bevegelser. Det ble videre lagt vekt på at det aktuelle rettsgrunnlaget inneholdt klare regler både om hvilke opplysninger som skulle oppbevares, hvor lenge opplysningene skulle oppbevares, og om hvordan utleveringen fra tjenesteoperatørene skulle skje rent teknisk.
5. Gir straffeprosessloven § 210 tilstrekkelig rettslig grunnlag for DSOP-kontroll?
5.1 Generelt om utleveringspålegg etter straffeprosessloven § 210
Spørsmålet i det følgende er om straffeprosessloven § 210 første og tredje ledd gir tilstrekkelig rettslig grunnlag for at opplysninger kan utleveres ved den automatiserte oppslagstjenesten utviklet i prosjektet DSOP-Kontroll. Vi understreker at oppslagstjenesten ikke er ment å gi politiet rettslig tilgang til andre eller flere opplysninger enn det politiet i medhold av straffeprosessloven § 210 kan få allerede i dag. Spørsmålet er altså utelukkende om paragrafen gir rettslig grunnlag for at opplysningene utleveres på denne måten – i motsetning til at de utleveres gjennom en manuell prosess. Straffeprosessloven § 210 første og tredje ledd lyder:
«§ 210 Ting som antas å ha betydning som bevis, kan retten pålegge besitteren å utlevere såfremt han plikter å vitne i saken. Reglene i § 137 og domstolsloven § 206 gjelder tilsvarende. Ved anmodning fra fremmed stat om rettslig hjelp til utlevering av elektronisk lagrede data gjelder § 216 a fjerde til sjette ledd tilsvarende.
[…]
Påtalemyndigheten kan pålegge vitner som nevnt i § 230 annet ledd, å utlevere dokumenter eller andre ting som antas å ha betydning som bevis, og som omfattes av forklaringsplikten for politiet. Dersom sterke allmenne hensyn tilsier at utlevering skjer, kan pålegg om utlevering gis uten hensyn til om det er åpnet etterforskning i straffesak.»
Paragrafen gir hjemmel til å pålegge personer med vitneplikt å utlevere ting, herunder dokumenter, med formål om å sikre bevis. Også datamateriale omfattes av begrepet «ting», jf. Rt. 2011 side 296. Utleveringspålegg har flere likhetstrekk med straffeprosessuelt beslag etter straffeprosessloven § 203. Forskjellen mellom pålegg om utlevering etter § 210 og beslag etter § 203 er særlig at sistnevnte gir adgang til å skaffe seg det aktuelle beviset uten besitterens aktive medvirkning, se NOU 1997: 15 punkt 4.2.4.1.
Straffeprosessloven § 210 første ledd legger kompetansen til å pålegge besitteren å utlevere ting som antas å ha betydning som bevis, til retten. Etter tredje ledd første punktum kan imidlertid også påtalemyndigheten pålegge banker og andre finansinstitusjoner å utlevere dokumenter eller andre ting som antas å ha betydning som bevis, og som omfattes av forklaringsplikten for politiet, jf. § 230 andre ledd. Tredje ledd kom inn i straffeprosessloven ved en lovendring i 2004, og formålet med endringen var å harmonisere reglene om utleveringspålegg med de samtidig vedtatte reglene i § 230 andre ledd som påla ansatte i finansinstitusjoner forklaringsplikt for politiet uten hinder av taushetsplikt, se Ot.prp. nr. 59 (2003–2004) punkt 8.5.3 side 53. Om behovet for lovendringene står følgende (punkt 8.5.1 side 51):
«De foreslåtte lovtiltakene antas å ha en positiv effekt på tempoet og effektiviteten både i etterforskningsfasen og i andre ledd av straffesakskjeden. I tillegg til den rettsøkonomiske gevinsten som ligger i at det frigjøres ressurser i politiet, påtalemyndigheten og domstolene, vil lovtiltakene gjøre politiet i stand til raskere å innhente informasjon. I mange saker kan det være av avgjørende betydning å få innhentet informasjon hurtig, for eksempel om bruk av bankkort.»
Det følger videre av § 210 fjerde ledd at § 197 tredje ledd gjelder tilsvarende når påtalemyndigheten gir pålegg om utlevering i medhold av § 210 tredje ledd. Beslutningen skal dermed så vidt mulig være skriftlig og opplyse om hva saken gjelder. Videre skal det fremgå hva som er formålet med pålegget, og hva det omfatter.
Utover reglene i § 210 a om at påtalemyndigheten på visse vilkår kan beslutte utsatt underretning om utleveringspålegget, inneholder reglene om utleveringspålegg ingen egne bestemmelser om underretning, oppheving og tilbakelevering. Det er derfor nærliggende å se på utlevering som en måte å få hånd om ting som kan beslaglegges, slik at reglene som gjelder for beslag gis tilsvarende anvendelse, se NOU 1997: 15 punkt 4.2.4.1 og i samme retning NOU 2016: 24 punkt 14.8.4.1. Det innebærer at underretning om utleveringen skal gis til enhver som rammes av denne, så snart som mulig etter at tingen er utlevert, se forutsetningsvis § 208, jf. også Ot.prp. nr. 64 (1998–99) punkt 13.3.1 side 108. Videre gir § 208 enhver som rammes av beslaget, herunder kontoinnehaver, rett til straks eller senere å kreve brakt inn for retten spørsmålet om det skal opprettholdes.
5.2 Nærmere vurdering av straffeprosessloven § 210 som rettslig grunnlag for utlevering gjennom den automatiserte oppslagstjenesten
Etter sin ordlyd regulerer straffeprosessloven § 210 først og fremst hvilke opplysninger som kan kreves utlevert, og under hvilke omstendigheter, men ikke på hvilken nærmere måte selve utleveringen skal skje. Heller ikke i forarbeidene har vi funnet indikasjoner på at bestemmelsen er ment å regulere – herunder å sette grenser for – den nærmere fremgangsmåten for utleveringen. Når det heller ikke finnes annen regulering av fremgangsmåten, kan det tale for at det må være opp til retten, påtalemyndigheten, politiet og/eller den som er pålagt å utlevere opplysningene, å bestemme på hvilken nærmere måte utleveringen skal skje.
Likevel kan formuleringen «utlevere» til en viss grad trekke i retning av at den som sitter på opplysningene, i noen grad må medvirke til informasjonsutvekslingen. En ordning hvor politiet selv kan hente ut informasjon fra finansinstitusjonenes systemer, uten at det ved den enkelte uthentingen finner sted noen som helst aktivitet fra finansinstitusjonenes side, kan slik sett sies å befinne seg i ytterkanten av det som kan betegnes som en utlevering. Fremgangsmåten kan synes å ligge et sted mellom det som det er naturlig å omtale som en utlevering etter straffeprosessloven § 210, og en ransaking av et datasystem med etterfølgende beslag av informasjon som antas å ha betydning som bevis, jf. straffeprosessloven §§ 192, 199 a og 203. Det at finansinstitusjonene deltar i DSOP-samarbeidet frivillig, gjør imidlertid parallellen til ransaking mindre treffende.
Videre kan også begrensningen om at det bare kan kreves utlevert opplysninger «som antas å ha betydning som bevis», kunne sies å legge visse føringer også for hvilke fremgangsmåter som kan benyttes i medhold av bestemmelsen. En teknisk løsning som ikke gjør det mulig å begrense utleveringen til slike opplysninger, for eksempel ved at en forespørsel fra politiet ikke kan avgrenses til å gjelde opplysninger som kan antas å ha betydning som bevis, vil antakeligvis stå i et tvilsomt forhold til bestemmelsen. Ordningen kan da også utfordre kravet om at behandlingen skal være «nødvendig» for å oppnå formålene etter artikkel 6 nr. 1 bokstav c og artikkel 5 nr. 1 bokstav c. Slik drøftelsen nedenfor viser, mener vi uansett at paragrafen antakeligvis ikke oppfyller kravene som må stilles til rettsgrunnlagets «kvalitet», og vi finner derfor ikke grunn til å ta endelig stilling til om den tekniske løsningen – med den funksjonaliteten den har i dag – gjør det mulig å differensiere tilstrekkelig mellom ulike opplysninger til at fremgangsmåten kan sies å være forenlig med loven.
Etter vårt syn er det en viss tvil knyttet til om straffeprosessloven § 210 første og tredje ledd åpner for at utleveringen det her er snakk om, kan skje ved at politiet selv henter ut opplysninger fra finansinstitusjonenes systemer gjennom en automatisert oppslagstjeneste. I alle tilfeller oppstår spørsmålet om bestemmelsene oppfyller kravene som stilles til rettsgrunnlagets «kvalitet» etter personvernforordningen, Grunnloven § 102 og EMK artikkel 8.
Som det fremgår av redegjørelsen i punkt 3 og 4 ovenfor, vil disse kravene avhenge av hvor alvorlig det aktuelle inngrepet er. I vurderingen har vi tatt utgangspunkt i at oppslagstjenesten gjør det mulig å hente ut detaljert informasjon av privat karakter. En persons transaksjonshistorikk kan for eksempel gi et inngående bilde av vedkommendes forbruksvaner, og opplysninger om bruk av betalingskort kan gjøre det mulig å kartlegge korteierens bevegelser. Informasjonen kan også etter forholdene inneholde opplysninger som nyter en særlig beskyttelse, for eksempel opplysninger som avslører et advokat–klient-forhold eller noens helsetilstand.
I lys av hvor omfattende og personlige opplysninger det her kan være snakk om, antar vi at det bør legges til grunn at den automatiserte fremgangsmåten i seg selv kan sies å gjøre innsamlingen mer inngripende. Under utviklingen av løsningen ble det estimert at automatiseringen vil føre til en betydelig økning i antall forespørsler fra politiet, fra 15 000 per år til 50 000.[5] Innsamlingens inngripende karakter forsterkes ytterligere av at utleveringspålegg etter straffeprosessloven § 210 er et straffeprosessuelt tvangsmiddel, og at paragrafen gir en vid adgang til å kreve opplysninger utlevert, uten begrensninger knyttet til at det aktuelle lovbruddet må være av en viss alvorlighet, og uten at det oppstilles noe krav til kvalifisert mistanke utover at det er igangsatt en etterforsking. Det åpnes også for pålegg om utlevering uten hensyn til om det er åpnet etterforskning i straffesak dersom «sterke allmenne hensyn tilsier at utlevering skjer», jf. straffeprosessloven § 210 tredje ledd andre punktum.
Samlet mener vi at en ordning hvor politiet selv kan hente ut detaljerte finansopplysninger gjennom en automatisert oppslagstjeneste, vil kunne utgjøre et betydelig inngrep i retten til respekt for privatlivet etter Grunnloven § 102 og EMK artikkel 8. Dermed skjerpes kravene både til hvor klar og detaljert regulering som kreves, og til hvilke garantier mot vilkårlighet og misbruk som må være på plass. Som nevnt i punkt 4.2 må disse kravene ses i sammenheng. Kravene om at en regulering må være tydelig, presis og forutsigbar nevnes også i fortalepunkt 41 til personvernforordningen.
Slik EMD understreker i Roman Zakharov mot Russland, medfører automatisert tilgang til opplysninger en særlig risiko for misbruk. Etter vårt syn har dette synspunktet overføringsverdi til denne saken, til tross for at det automatiserte overvåkningssystemet som EMD vurderte i Roman Zakharov mot Russland, var vesentlig mer inngripende enn den automatiserte oppslagstjenesten som vi vurderer her. Den automatiserte oppslagstjenesten innebærer at politiet rent faktisk får tilgang til opplysninger om en meget vid personkrets. Det er derfor særlig viktig at det finnes regler som oppstiller tilstrekkelige garantier mot vilkårlighet og misbruk. Et krav om særlige og egnede tiltak for å verne den registrerte følger også av personvernforordningen artikkel 9. I The EU General Data Protection Regulation (GDPR): A Commentary (Kuner m.fl. 2020) vises det på side 382 til en uttalelse fra den tidligere artikkel 29-gruppen der det fremgår at «[a]dditional legal safeguards could reinforce information rights of data subjects, accentuate strict relevance of processing or introduce other specific safeguards».[6]
Slike garantier må kunne sies i stor grad å være på plass allerede i dag ved at både politiregisterloven, straffeprosessloven og personopplysningsloven inneholder en rekke generelle rettsikkerhetsgarantier. Blant de mest sentrale her kan nevnes kravet om at et utleveringspålegg må besluttes av retten eller påtalemyndigheten, reglene om at berørte – herunder kontoinnehaver – skal underrettes om utleveringen, og deres mulighet til å kreve lovligheten av utleveringen prøvd av domstolene. Det er videre slik at både reglene om den behandlingsansvarliges ansvar i blant annet personvernforordningen artikkel 24, kravene til sporbarhet og kontroll som følger av politiregisterloven § 17 og politiregisterforskriften, samt reglene om tilsyn etter både politiregisterloven og personopplysningsloven bidrar ytterligere til at ordningen sett under ett har en god del viktige rettssikkerhetsgarantier. Det er også andre regler som kunne vært trukket frem her, herunder sektorregler for finanssektoren. Vi tilføyer for ordens skyld at da det i henvendelsen fra Finans Norge utelukkende er stilt spørsmål knyttet til det rettslige grunnlaget for utleveringen, er det kun dette vi har vurdert og ikke hvordan ordningen per i dag fungerer i praksis.
Som vi har redegjort for i punkt 2, er det også slik at visse valideringsmekanismer er innebygget i systemet, herunder et krav om at det oppgis et politidistrikt og navnet på polititjenestepersonen som er ansvarlig for utleveringen. I tillegg har vi fått opplyst at alle forespørsler loggføres, slik at det er mulig å foreta en etterhåndskontroll.
Det er likevel noen aspekter ved ordningen som trekker i retning av at det ikke nødvendigvis foreligger tilstrekkelige rettssikkerhetsgarantier. Den automatiserte oppslagstjenesten, slik den på nåværende tidspunkt er utformet, medfører blant annet at rettssikkerhetsgarantien som ligger i at utleveringspålegg må besluttes av retten eller påtalemyndigheten, står i fare for å få sin funksjon svekket. Ved en manuell utlevering vil finansforetakene ha mulighet til først å få oversendt rettens eller påtalemyndighetens beslutning, noe som i henhold til EMDs praksis utgjør en viktig garanti mot misbruk, jf. Roman Zakharov mot Russland avsnitt 269. Den automatiserte oppslagstjenesten – slik den foreligger i dag – legger ikke opp til noen slik kontroll av at det faktisk foreligger en utleveringsbeslutning. Også EU-domstolen har vektlagt hvilken betydning selve anmodningen om utlevering av personopplysninger kan ha for mottakerens mulighet til å sikre seg at utleveringen er lovlig, se Sak C-175/20 avsnitt 71.
Vår samlede vurdering er på denne bakgrunn, om enn under noe tvil, at kravene etter Grunnloven § 102, EMK artikkel 8 og personvernforordningen antakelig ikke fullt ut er oppfylt. Det sentrale for denne konklusjonen er den uklarheten som knytter seg til hvorvidt straffeprosessloven § 210 første og tredje ledd åpner for at utleveringen kan skje ved at politiet selv henter ut opplysninger gjennom den automatiserte oppslagstjenesten som foreligger, sammenholdt med mangelen på særlig tilpassede rettssikkerhetsgarantier.
Vi antar dermed at det i dette tilfellet bør legges til grunn at finansinstitusjonene ikke uten nærmere regulering kan bygge på straffeprosessloven § 210 som et tilstrekkelig rettslig grunnlag for å gi politiet tilgang til opplysningene i sine systemer på den måten ordningen er lagt opp i dag.
I et eventuelt regelverksarbeid for å sikre et tilstrekkelig rettslig grunnlag for utleveringen vil det måtte tas stilling til hvorvidt ordningen oppfyller kravene til forutberegnelighet, tilstrekkelige rettssikkerhetsgarantier, nødvendighet og forholdsmessighet som følger av personvernforordningen, se blant annet artikkel 6 nr. 3 og 4 og artikkel 9, Grunnloven § 102 og EMK artikkel 8. Dette vil måtte ses i sammenheng med funksjonaliteten i den tekniske løsningen, og det vil derfor også måtte vurderes om det er behov og mulighet for å videreutvikle den.
I og med at vi ikke er kjent med rettspraksis som omhandler helt sammenliknbare tilfeller, er det vanskelig å si nøyaktig hva som skal til av ytterligere justeringer før ordningen kan sies å oppfylle de ovenfor nevnte kravene. Vi antar likevel at det bør fastsettes en uttrykkelig hjemmel for innhenting/utlevering gjennom en maskinell og automatisert løsning. I tillegg kan det for eksempel vurderes å regulere nærmere de valideringsmekanismene som allerede ligger i den tekniske løsningen (autentisering av forespørselen, krav om hjemmelsangivelse, osv.), utvikle en mekanisme som validerer at det foreligger et utleveringspålegg, samt regulere hvilke ansatte som skal ha tilgang til å gjøre oppslag. Vi har med dette ikke tatt stilling til hvor en eventuell ytterligere regulering bør plasseres, og vurderer det i utgangspunktet slik at en eventuell nærmere regulering av utleveringen fra bankene for eksempel kan gjøres i egnet sektorregelverk for finanssektoren.
Fotnoter:
[1] Beskrivelsen bygger på brevet fra Finans Norge og den tekniske beskrivelsen av løsningen som er tilgjengelig på https://bitsnorge.github.io/dsop-documentation/index.html. Et utkast til beskrivelse er forelagt Finansdepartementet, Arbeids- og inkluderingsdepartementet og Politidirektoratet, som ga innspill til teksten. Punktet forsøker å gi en beskrivelse av hvilken funksjonalitet som ligger i løsningen per i dag, men det kan være variasjoner i hvordan løsningen benyttes i de ulike etatene. Vi har for eksempel fått opplyst at NAV bare benytter den delen av den automatiserte tjenesten som gir en oversikt over relevante kundeforhold, mens en eventuell etterfølgende henvendelse til de enkelte finansinstitusjonene gjøres ved bruk av «digitale brev» som omtalt i fotnote 2.
[2] Løsningen omfatter også en delvis automatisert ordning med «digitale brev» som sendes gjennom Altinn og behandles manuelt. Gjennom denne ordningen kan etatene blant annet be om tilleggsinformasjon som for eksempel lånedokumenter eller annen informasjon som ikke inngår i listen over kategorier av informasjon. Denne delen av løsningen reiser ikke de samme rettslige problemstillingene som eOppslag, og den vil derfor ikke bli omtalt nærmere i resten av tolkningsuttalelsen.
[3] Det følger av beslutningen om innlemmelse av personvernforordningen i EØS-avtalen, beslutning 154/2018, artikkel 1 bokstav b, at referanser til medlemsstatene også skal forstås som en referanse til EFTA-statene. Videre fremgår det av artikkel 1 bokstav c at henvisninger til unionsretten eller unionens bestemmelser om vern av personopplysninger skal forstås som henvisninger til henholdsvis EØS-avtalen eller dens bestemmelser om vern av personopplysninger.
[4] Artikkel 9 nr. 1 bokstav g lyder: «Behandlingen er nødvendig av hensyn til viktige allmenne interesser, på grunnlag av unionsretten eller medlemsstatenes nasjonale rett som skal stå i et rimelig forhold til det mål som søkes oppnådd, være forenlig med det grunnleggende innholdet i retten til vern av personopplysninger og sikre egnede og særlige tiltak for å verne den registrertes grunnleggende rettigheter og interesser.»
[5] https://bitsnorge.github.io/dsop-documentation/dsop_kontroll_functionalspesification.html.
[6] Artikkel 29-gruppen var en uavhengig europeisk arbeidsgruppe bestående av blant annet representanter fra EU-landenes nasjonale datatilsyn, opprettet etter det tidligere direktiv 95/46 artikkel 29.