Høringssvar vedr. lov om ændring af revisionsbestemmelse om telelogning (2016)

Høringsmaterialet kan ses her
http://hoeringsportalen.dk/Hearing/Details/59447

Justitsministeriet foreslår at revisionen af de danske logningsregler udskydes for 5. gang, således at revisionen vil finde sted i folketingsåret 2016-17. I lovforslaget beskrives meget overordnet Rigspolitiets ønsker om en udvidelse af teleselskabernes logningsforpligtelser, herunder en ny sessionslogning.

IT-Politisk Forening finder det positivt, at der ikke i indeværende folketingssamling fremsættes lovforslag om udvidelse af logningsforpligtelserne. Den 12. april 2016 var der mundtlig forhandling i sagerne C-203/15 og C-698/15 ved EU-domstolen om den nationale logningslovgivning i henholdsvis Sverige og Storbritannien. Generaladvokatens udtalelse er planlagt til 19. juli 2016, og en endelig dom kan forventes inden udgangen af 2016. Den kommende afgørelse fra EU-domstolen kan potentielt få stor betydning for de nationale logningsregler i alle EU-lande, herunder Danmark. Det vil være forkert at igangsætte en proces med at udvide omfanget af den danske tele- og internetlogning i denne situation.

Selv om IT-Politisk Forening gennem flere år har ønsket en evaluering og revision af de danske logningsregler, har vi forståelse for, at i hvert fald revisionen udsættes til efter den kommende dom fra EU-domstolen. Til gengæld finder vi det særdeles beklageligt, at Justitsministeriet ikke har igangsat en evaluering af de eksisterende logningsregler. En grundig evalueringsrapport, som efterfølgende sendes i offentlig høring, vil være nyttig information for Folketinget, hvis/når de danske logningsregler skal revideres.

I stedet for at gennemføre en evaluering har Rigspolitiet og Justitsministeriet i indeværende folketingsår arbejdet med at planlægge en genindførelse af den sessionslogning, som var en kæmpe fiasko mellem 2007 og 2014. Vi er opmærksomme på, at Rigspolitiet og Justitsministeriet har den opfattelse, at en ny sessionslogning vil fungere bedre end den tidligere ordning, men den nærmere begrundelse for denne opfattelse er ikke lagt frem. Der er alene tale om interne vurderinger hos Rigspolitiet og Justitsministeriet, som ikke har været underkastet en uafhængig prøvelse.

På et samråd i Folketingets retsudvalg den 21. april 2016 sagde Justitsministeren, at den gamle sessionslogning ikke virkede, fordi der kun blev registreret stikprøver i stedet for en registrering af alle slutbrugeres internetsessioner. Den bemærkning hentyder antageligt til at de fleste internetudbydere implementerede sessionslogningen som en registrering af hver 500. pakke. IT-Politisk Forening har hørt tilsvarende udsagn fra Rigspolitiet ved flere lejligheder, men efter vores opfattelse er der her tale om en misforståelse af hvordan internettrafik fungerer og hvordan internetpakker genereres [1]. Spørgsmålet om hver 500. pakke (”stikprøver”), der spillede en betydelig rolle på samrådet i Retsudvalget den 21. april 2016, understreger det problematiske i, at der ikke er foretaget en ordentlig evaluering af erfaringerne med de eksisterende logningsregler, herunder den sessionslogning som blev anvendt mellem 2007 og 2014.

Bemærkningerne til lovudkastet nævner indirekte sessionslogning, eller rettere behovet for sessionslogning, der i pkt 2.2 begrundes med at kriminelle i stigende grad kommunikerer via internettet i stedet for almindelig telefoni. Hertil skal IT-Politisk Forening bemærke, at sessionslogning er det forkerte redskab til at imødegå disse mulige begrænsninger i politiets efterforskningsmuligheder, men derudover ser vi ingen grund til at komme med yderligere kommentarer om sessionslogning før der eventuelt foreligger et mere konkret forslag fra Justitsministeriet.

Den resterende del af dette høringssvar vil nævne to punkter, som efter IT-Politisk Forenings opfattelse bør indgå i den kommende evaluering af de eksisterende logningsregler. Disse to punkter er på ingen måde udtømmende for hvad en grundig evaluering efter vores opfattelse bør omfatte. De to punkter nedenfor er dog centrale problemstillinger som burde være med i den evaluering, som Justitsministeriet bliver ved med at udsætte. En evaluering indeholdende disse punkter bør foretages før man overvejer nye ændringer i logningslovgivningen.

Alternativer til logning bør overvejes

IT-Politisk Forening er modstander af en logning, der (som den nuværende ordning og de påtænkte udvidelser) omfatter alle borgere, på alle steder, og alle tidspunkter. Det er masseovervågning, som vi hele tiden har været politisk modstander af.

Derudover er det vores og mange andres vurdering, at en logning som omfatter alle borgere, uden nogen forbindelse til grov kriminalitet, ikke er forenelig med præmis 58+59 i EU-dommen om logningsdirektivet af den 8. april 2014 (sagerne C-293/12 og C-594/12). Hvis teleselskaberne skal kunne forpligtes til at gemme oplysninger, som de ikke af egen drift og forretningsmæssige hensyn ville have gemt, skal dette indgreb være målrettet mod konkrete mistænkte personer, eller der skal være tale om oplysninger, som har en direkte sammenhæng til en konkret grov forbrydelse. Når forpligtelserne for teleselskaberne omfatter alle personer, og ikke er målrettet mod konkrete hændelser med grov kriminalitet, er det masseovervågning, som efter vores opfattelse ikke er proportional.

I stedet for masseovervågningen med de nuværende logningskrav, vil vi opfordre til, at Justitsministeriet i forbindelse med evalueringen af logningsreglerne undersøger målrettede alternativer til logning. Et alternativ til logning/masseovervågning af alle borgere kunne være hastesikring af data (”quick freeze”), hvor politiet har mulighed for at stoppe den sletning af trafikdata, som teleselskaberne er forpligtet til at foretage i henhold til e-privacy direktivet 2002/58/EF (i Danmark implementeret ved udbudsbekendtgørelsen, især § 23). Inden data udleveres til politiet skal dette indgreb (hastesikring) selvfølgelig godkendes af domstolene.

En hastesikring af data vil kunne målrettes mod konkrete mistænkte, som fremadrettet kan overvåges i overensstemmelse med retsplejeloven (med godkendelse af en dommer). Hvis der endnu ikke er konkrete mistænkte personer, kan hastesikring (”quick freeze”) begrænse datalagringen (”logningen”), så den kun omfatter oplysninger, der har en direkte sammenhæng til den konkrete kriminalitet, som politiet efterforsker. Et eksempel kunne være en adgang til at hastesikre/gemme masteoplysninger om aktive mobiltelefoner i et afgrænset geografisk område, hvis der i dette afgrænsede område er begået en forbrydelse af en sådan grovhed, at der efter retsplejeloven er mulighed for udvidet teleoplysning.

Sammenlignet med logningsbekendtgørelsen i dag, vil der på denne måde blive registreret væsentligt færre oplysninger om borgere som ikke er mistænkt for kriminalitet, og politiet vil ikke være afskåret fra at bruge teleoplysninger i deres arbejde med at opklare kriminalitet. Hensigten er at sikre, at registreringen af teleoplysninger begrænses til det, som er strengt nødvendigt og proportionalt, og ikke bare muligvis nyttigt for politiets arbejde.

Adgang til oplysninger som er gemt efter logningsbekendtgørelsen

I redegørelsen af 2. juni 2014 om de danske logningsregler efter EU-dommen om logningsdirektivet (sagerne C-293/12 og C-594/12) finder Justitsministeriet, at der ikke er grundlag for at antage, at de gældende danske regler om registrering og opbevaring af oplysninger i henhold til retsplejeloven og logningsbekendtgørelsen og om adgangen til disse oplysninger skulle være i strid med Charter om Grundlæggende Rettigheder (artikel 7 og 8). Dette begrundes i redegørelsen med, at dansk lovgivning modsat logningsdirektivet indeholder en række materielle og proceduremæssige betingelser for adgangen til de registrerede oplysninger.

For en række af de oplysninger som gemmes efter logningsbekendtgørelsen gælder retsplejelovens regler om indgreb i meddelelseshemmeligheden, hvis politiet skal have adgang til oplysninger. Hovedreglen er at politiets efterforskning skal angå en forbrydelse med en strafferamme på mindst 6 år. Der er imidlertid en lang række undtagelser fra denne hovedregel, således at lovovertrædelser med væsentligt kortere strafferammer end 6 år også kan give adgang til logningsdata. I redegørelsen af 2. juni 2014 henvises til, at teleoplysninger i disse tilfælde kan være relevante for politiets efterforskning, og at der typisk er tale om forbrydelser, som begås af en flerhed af personer, som må formodes at have et behov for at kommunikere indbyrdes via elektroniske kommunikationstjenester. Databedrageri (straffeloven § 279 a) giver også mulighed for indgreb i meddelelseshemmeligheden, hvis forbrydelsen er begået ved anvendelse af en telekommunikationstjeneste.

Hovedreglen om 6 års strafferamme er altså suppleret med en lang liste med mindre alvorlige lovovertrædelser, hvis primære fællestræk synes at være, at loggede oplysninger kan være relevante for politiets arbejde, enten fordi lovovertrædelserne sker via et telekommunikationsnet som internettet, eller fordi lovovertrædelsen typisk begås af flere personer i forening, hvor der er en forventning om at disse personer kommunikerer med hinanden. Hvis politiet har adgang til de loggede oplysninger i stort set alle sager hvor dette kan være relevant for politiets arbejde, kan der i høj grad stilles spørgsmålstegn ved, om det formelle krav om indgreb i meddelelseshemmeligheden efter retsplejelovens bestemmelser reelt indskrænker politiets adgang til de loggede oplysninger i forhold til logningsdirektivets fuldstændige fravær af sådanne begrænsninger og præmis 60-62 i EU-dommen.

Derudover skal betingelserne for indgreb i meddelelseshemmeligheden ikke opfyldes, hvis politiet ønsker adgang til masteoplysninger eller abonnentoplysninger for en tildelt dynamisk IP-adresse. Disse loggede oplysninger kan udleveres alene efter en editionskendelse, hvor eneste krav er at der skal være tale om en lovovertrædelse, som er undergivet offentlig påtale. Hvis loggede oplysninger udleveres efter edition er der således ikke noget krav om at lovovertrædelsen skal være af en særlig art eller grovhed eller have en bestemt strafferamme.

Editionsreglernes eneste krav om offentlig påtale kan næppe opfylde betingelserne i præmis 61 i logningsdommen om at adgangen skal være strengt begrænset til præcist afgrænsede strafbare handlinger, eller kravene i præmis 60 om objektive kriterier for adgangen. Adgang til logningsdata efter editionsreglerne kan heller ikke siges at være begrænset til grov kriminalitet. Når indgrebet alene sker efter editionsreglerne, er der heller ikke krav om efterfølgende underretning af borgerne når indgrebet er afsluttet (som i retsplejelovens § 788 for indgreb i meddelelseshemmeligheden).

De loggede masteoplysninger kan være ganske indgribende i borgernes ret til privatliv, idet der kan være tale om en nærmest fuldstændig registrering af den pågældende borgers færden i det fysiske rum. Det gælder især, hvis borgeren har en smartphone, og hvis teleselskabet registrerer masteoplysninger for internettrafik. En smartphone generer konstant internettrafik fra apps i baggrunden, selv hvis telefonen ikke benyttes aktivt, og teleselskabet vil således i praksis registrere alle master, som mobiltelefonen er i kontakt med. Ifølge bemærkningernes pkt. 2.2 til nærværende lovudkast ønsker Rigspolitiet i den fremtidige revision af de danske logningsregler at indføre et eksplicit krav om, at teleselskaberne registrerer alle master, som en mobiltelefon har kontakt med i forbindelse med mobil internettrafik. For hovedparten af de danske borgere (som har en smartphone) vil logningsbekendtgørelsen dermed indebære en fuldstændig kortlægning af deres færden i det fysiske rum. I realiteten vil disse borgere blive sat under konstant teleobservation i retsplejelovens forstand, og begrænsningen i retsplejelovens § 791 a til lovovertrædelser, der kan medføre fængsel i 1 år og 6 måneder eller derover, vil blive illusorisk, idet politiet uden videre kan få adgang til de historiske lokationsoplysninger med en editionskendelse.

På den baggrund undrer det IT-Politisk Forening, at konklusionen i Justitsministeriets redegørelse af 2. juni 2014 kan omfatte de dele af logningsbekendtgørelsen, hvor politiet kan få adgang til de loggede oplysninger alene efter editionsreglerne. Vi vil i den forbindelse henvise til fodnote 3 i Justitsministeriets redegørelse af 2. juni 2014, hvor det direkte fremgår, at det efter ministeriets egen vurdering er uafklaret, om adgangen til visse logningsdata via editionsreglerne (alene) er i overenstemmelse til EU-retten:

Justitsministeriet vil i forbindelse med den kommende revision af logningsreglerne nærmere overveje forholdet mellem Danmarks internationale forpligtelser med hensyn til retten til respekt for privatlivet og de krav, der efter retsplejelovens editionsregler gælder i forhold til politiets adgang til visse loggede oplysninger.

IT-Politisk Forening forventer derfor, at der i forbindelse med den kommende evaluering og revision i folketingsåret 2016-17 fra Justitsministeriets side vil blive taget stilling til, om editionsreglerne alene yder en tilstrækkelig beskyttelse af adgangen til de loggede oplysninger, og om dette forhold er i overensstemmelse med EU-retten. Det bør afklares inden man foretager yderligere udvidelser af logningsomfanget vedr. masteoplysninger.

Noter

[1] IT-Politisk Forening har udarbejdet et notat, hvor spørgsmålet om hver 500. pakke i stedet for ”sessioner” analyseres. Det er vores begrundede konklusion, at det ikke er muligt for en slutbruger at generere nævneværdig internettrafik til en given destination uden at nogle pakker registreres. Se: ”Notat om ny og gammel sessionslogning”, 4. marts 2016