Høringssvar vedr. lov om ændring af revisionsbestemmelse om telelogning (2017)
Justitsministeriet foreslår, at revisionen af de danske logningsregler udskydes for 6. gang, således at revisionen vil finde sted i folketingsåret 2017-18. Justitsministeriet begrunder udsættelsen med, at ministeriet ligesom regeringerne i de øvrige EU-lande og EU-Kommissionen endnu ikke er færdig med at udrede konsekvenserne af EU-Domstolens dom af 21. december 2016 i de forenede sager C-203/15 og C-698/15 (Tele2-sagen).
EU-Domstolen har i Tele2-sagen fastslået (præmis 112), at EU-retten er til hinder for en national lovgivning, der fastsætter en generel og udifferentieret lagring (logning) af trafikdata og lokaliseringsdata vedrørende samtlige abonnenter og registrerede brugere. Derimod er EU-retten ikke til hinder for en målrettet logningsordning med henblik på bekæmpelse af grov kriminalitet, forudsat at lagringen begrænses til det strengt nødvendige ud fra objektive kriterier og en række øvrige krav (præmis 108-111).
På den baggrund må det stå klart, at den danske logningsordning med § 786, stk. 4 i retsplejeloven og logningsbekendtgørelsen ikke er forenelig med EU-retten. IT-Politisk Forening noterer sig, at Justitsministeriet anerkender dette i pkt. 3 i lovforslagets bemærkninger, idet ministeriet anfører at der ”vil skulle foretages nogle tilpasninger af de danske logningsregler, således at reglerne målrettes”. Justitsministeriet forventer, at dette kan ske i folketingsåret 2017-18, idet ministeriet blandt andet afventer retningslinjer fra EU-Kommissionen og en grundig drøftelse med telebranchen.
IT-Politisk Forening vil anbefale at logningsbekendtgørelsen ophæves med omgående virkning. I Tele2-sagen har EU-domstolen fastslået meget klart, at en logningsordning som omfatter alle personer overskrider grænsen for det strengt nødvendige i et demokratisk samfund, og at en sådan ordning er i strid med den grundlæggende ret til privatliv, persondatabeskyttelse og ytringsfrihed (artikel 7, 8 og 11 i Charter om Grundlæggende Rettigheder).
Det er ikke acceptabelt i et demokratisk samfund at videreføre en ulovlig masseovervågning indtil en mere målrettet ordning, der respekterer grundlæggende rettigheder, kan etableres. Det er endvidere stærkt problematisk for retssikkerheden, at anklagemyndigheden i straffesager på systematisk basis vil fremlægge bevismateriale, som er tilvejebragt ved en overvågning af borgerne, der strider mod grundlæggende rettigheder.
Som begrundelse for at videreføre den nuværende logning indtil videre henviser Justitsministeriet til, at der ikke er nogen bestemt EU-retlig frist for, hvor hurtigt medlemsstaterne skal tage højde for en dom fra EU-Domstolen. Medlemsstaterne skal blot hurtigst muligt iværksætte foranstaltninger til opfyldelse af en dom. Justitsministeriet henviser endvidere til en dom fra Højesteret af 19. januar 2017, hvor Højesteret fastslår, at det var velbegrundet, at danske myndigheder brugte et års tid på at udrede konsekvenserne af en dom fra EU-Domstolen.
I den omtalte højesteretsdom af 19. januar 2017 udtaler Højesteret dog også, at efter at det med en rapport fra Implementeringsudvalgets arbejdsgruppe i september 2010 blev klart, at der var tale om en ”afgrænset og relativ enkel ændring af ferieloven” (for at opfylde en dom fra EU-Domstolen), burde denne ændring af ferieloven være gennemført til ikrafttræden den 1. januar 2011, altså 3-4 måneder senere.
Opfyldelse af Tele2-dommen er, efter IT-Politisk Forenings opfattelse, en tilsvarende ”afgrænset og relativ enkel ændring” af den danske lovgivning, nemlig ophævelse af retsplejelovens § 786, stk. 4 og logningsbekendtgørelsen. EU-retten stiller ikke krav om en målrettet logningsordning. Det er blot en mulighed, som artikel 15, stk. 1 i e-databeskyttelsesdirektivet (direktiv 2002/58/EF) giver medlemsstaterne, hvis de ønsker dette. Derimod siger EU-retten klart (artikel 15, stk. 1 i 2002/58/EF sammenholdt med artikel 7, 8 og 11 samt artikel 52, stk. 1 i Charter om Grundlæggende Rettigheder), at en logningsordning ikke må omfatte samtlige abonnenter og registrerede brugere. Der er ikke noget til hinder for, at Justitsministeriet arbejder på at implementere en målrettet logningsordning efter at den generelle (og ulovlige) logningsordning er ophævet.
I den fremadrettede proces med at udarbejde nye logningsregler vil IT-Politisk Forening anbefale, at Justitsministeriet inddrager andre interessenter end blot telebranchen. Det er vigtigt, at den kommende logningsordning reelt er målrettet efter objektive kriterier, og at ordningen overholder de øvrige betingelser, som EU-Domstolen opstiller i Tele2-dommens præmisser.
Justitsministeriet anfører, at målet med revisionen er at ”sikre det bedste operationelle resultat for politiet og PET”. Det er ikke konkretiseret hvad der menes hermed, men IT-Politisk Forening kan godt frygte, at det betyder en logningsordning som omfatter så mange personer som muligt. En sådan målsætning kan meget vel øge risikoen for, at den kommende logningsordning også kommer i konflikt med grundlæggende rettigheder, og derfor er det særlig vigtigt, at Justitsministeriet inddrager vurderinger fra andre interessenter end telebranchen.
Tele2-dommens konsekvenser for adgangen til de loggede oplysninger
Gennemgangen af Tele2-dommen i pkt. 2.4 i lovforslagets bemærkninger omfatter kun det første præjudicielle spørgsmål i sagen C-203/15 (om en generel, udifferentieret logningsordning). IT-Politisk Forening vil for en god ordens skyld påpege, at dommens præmisser vedrørende det andet præjudicielle spørgsmål i C-203/15 og det første i C-698/15 (om adgangen til de loggede oplysninger) efter vores opfattelse også vil kræve ændringer af dansk lovgivning. Det fremgår således af præmis 113, at besvarelsen af det præjudicielle spørgsmål om adgangen til de lagrede oplysninger ikke afhænger af, om pligten til at lagre data (logningspligten) er generel eller målrettet som i Tele2-dommens præmis 108-111.
Ifølge Tele2-dommens præmis 125 skal den nationale lovgivning sikre, at der for kompetente nationale myndigheder kun er adgang til de lagrede oplysninger i sager om grov kriminalitet og efter forudgående domstolskontrol (eller forudgående kontrol af anden uafhængig myndighed).
Præmis 119 må skulle læses sådan, at der ”i princippet kun gives adgang til data vedrørende personer, der er mistænkt for at planlægge, ville begå eller have begået en alvorlig lovovertrædelse eller på en eller anden måde være involveret i en sådan lovovertrædelse”, men at der i ”særlige situationer, såsom de situationer, hvor vitale interesser for den nationale sikkerhed, forsvaret eller den offentlige sikkerhed er truet af terrorvirksomhed” også kan gives adgang til andre personers data, hvis ”der foreligger objektive forhold, som gør det muligt at antage, at disse data i en konkret sag kan bidrage effektivt til bekæmpelsen af en sådan virksomhed.”
Endvidere skal der ske underretning af de berørte personer (hvis data er udleveret), så snart underretningen ikke kan skade efterforskningen, jf. præmis 121 i Tele2-dommen. Denne underretning er ifølge præmis 121 de facto nødvendig for at de berørte kan få adgang til de retsmidler, som er udtrykkelig fastsat i artikel 15, stk. 2 i e-databeskyttelsesdirektivet 2002/58/EF.
Efter gældende dansk ret er adgangen til de oplysninger, som teleselskaberne har registreret i medfør af logningsbekendtgørelsen, reguleret af de almindelige bestemmelser i retsplejelovens kapitel 71 og 74 om indgreb i meddelelseshemmeligheden og edition, når der er tale om politiets adgang til oplysningerne. Derudover giver retsplejelovens § 299 mulighed for adgang til de loggede oplysninger i civile retssager.
For visse loggede oplysninger (masteoplysninger og abonnentoplysninger for en tildelt dynamisk IP-adresse) er politiets adgang til oplysningerne alene reguleret af editionsreglerne i retsplejelovens § 804. Her er eneste krav, at der skal være tale om en lovovertrædelse, som er undergivet offentlig påtale. Det sikrer på ingen måde, at adgangen begrænses til sager om grov kriminalitet, og § 804 sikrer heller ikke, at der kun udleveres oplysninger om mistænkte personer. Editionsreglerne stiller endvidere ikke krav om underretning af de personer, hvis data er blevet udleveret til politiet.
For de teleoplysninger, hvor kravene til indgreb i meddelelseshemmeligheden (retsplejelovens kapitel 71) tillige skal være opfyldt, er hovedreglen i retsplejelovens § 781, at der skal være tale om en lovovertrædelse, som kan straffes med fængsel i 6 år eller derover. Der er imidlertid en lang række undtagelser fra denne hovedregel, således at lovovertrædelser med væsentligt kortere strafferammer end 6 år også kan give adgang til loggede teleoplysninger. I Justitsministeriets notat af 2. juni 2014 om betydningen af dommen i de forenede sager C-293/12 og C-594/12 (om logningsdirektivet) for de danske logningsregler henvises til, at teleoplysninger i disse tilfælde kan være relevante for politiets efterforskning, og at der typisk er tale om forbrydelser, som begås af en flerhed af personer, som må formodes at have et behov for at kommunikere indbyrdes via elektroniske kommunikationstjenester.
Efter IT-Politisk Forenings vurdering er der behov for en grundig overvejelse af, om alle lovovertrædelser, der i dag kan begrunde udlevering af teleoplysninger efter retsplejelovens kapitel 71, lever op til kravet om grov kriminalitet i Tele2-dommens præmisser.
Ifølge Tele2-dommens præmis 119 må der som udgangspunkt kun ske udlevering af oplysninger vedrørende personer, der er mistænkt for at planlægge, ville begå eller have begået en alvorlig lovovertrædelse eller på en eller anden måde være involveret i en sådan lovovertrædelse, medmindre der er tale om en terror-sag.
Retsplejelovens § 781, stk. 1, nr. 1 kræver, at der er ”bestemte grunde til at antage, at der på den pågældende måde gives meddelelser eller foretages forsendelser til eller fra en mistænkt”. Det synes umiddelbart at tillade adgang til de lagrede oplysninger for en personkreds, som er bredere end hvad præmis 119 tillader (personer, der er mistænkt for at planlægge, ville begå eller have begået en alvorlig lovovertrædelse eller på en eller anden måde være involveret i en sådan lovovertrædelse).
Derudover giver retsplejelovens § 780, stk. 1, nr. 4 mulighed for såkaldt udvidet teleoplysning, hvor politiet kan indhente oplysninger om alle telefoner, der inden for et nærmere bestemt område har været i forbindelse med andre telefoner eller kommunikationsapparater. Med udvidet teleoplysning får politiet oplysninger om en stor gruppe borgere, som ikke er mistænkte personer. Kravene for udvidet teleoplysning i retsplejelovens § 781, stk. 5 er mere lempelige end hvad præmis 119 tillader, idet udvidet teleoplysning ikke er begrænset til situationer, hvor vitale interesser for den nationale sikkerhed, forsvaret eller den offentlige sikkerhed er truet af terrorvirksomhed. Ifølge retsplejelovens § 788, stk. 5 skal der endvidere ikke ske underretning til de berørte i forbindelse med udvidet teleoplysning, hvilket ikke er foreneligt med præmis 121.
Retsplejelovens § 299 giver mulighed for adgang til i hvert fald visse loggede oplysninger i civile retssager. Udlevering af oplysninger om tildelt dynamisk IP-adresse i civile sager om ophavsretslige krænkelser forekommer for tiden i ganske betydeligt omfang. To private advokatfirmaer har tilsyneladende specialiseret sig i erstatningssager mod fildeling af blot et enkelt filmværk via det såkaldte bittorrent netværk (herunder den såkaldte Popcorn Time ”tjeneste”), og ifølge oplysninger i medierne har disse advokatfirmaer fået udleveret personoplysninger om over 1.000 danskere (se artiklen ”It-jurist: Advokater skræmmer folk med tynde bøder for ulovlig download af film”, Politiken 16. februar 2016). I mange tilfælde er der formentlig tale om oplysninger, som uden en lagringspligt fastsat i lovgivningen (logningsbekendtgørelsen) ville være slettet på et tidligere tidspunkt i medfør af udbudsbekendtgørelsens § 23.
Efter Tele2-dommens præmis 115 skal adgangen til de lagrede oplysninger opfylde et af de formål, som er fastsat i artikel 15, stk. 1, første punktum i e-databeskyttelsesdirektivet 2002/58/EF, og denne opregning af formål er udtømmende. Derudover skal det formål, som forfølges med adgangen, stå i forhold til alvoren af det indgreb i de grundlæggende rettigheder, som denne adgang indebærer (jf. ligeledes præmis 115).
Retsplejelovens § 299 sikrer ikke en begrænsning til den udtømmende liste af formål, som artikel 15, stk. 1 fastsætter, eller en proportionalitetsvurdering i forhold til indgrebet i grundlæggende rettigheder. Specielt udlevering af personoplysninger til forfølgelse af en påstået ophavsretslig krænkelse vedrørende et enkelt filmværk synes ikke at være proportionalt, når politiets adgang til lagrede oplysninger skal begrænses til sager om grov kriminalitet. I den forbindelse skal det også bemærkes, at selv om oplysningerne udleveres til en eventuel civil erstatningssag om krænkelse af ophavsretten, er strafforfølgning eller senere overgivelse af oplysningerne til politiet ikke udelukket.