Høringssvar vedr. lovforslag om ændring af retsplejeloven (Ændring af reglerne om hastesikring og udlevering af oplysninger om teletrafik)
IT-Politisk Forening har alene bemærkninger til de dele af lovforslaget, som vedrører hastesikring og udlevering af oplysninger om teletrafik (logning).
Lovforslaget har navnlig til formål at sikre, at oplysninger lagret på grund af en logningsforpligtelse efter retsplejelovens § 786 e alene kan udleveres eller hastesikres med henblik på efterforskning af forsætlige overtrædelser af straffelovens kapitel 12 eller 13. Baggrunden for denne ændring er EU-dommen i sagen Commissioner of An Garda Síochána m.fl. C-140/20 af 5. april 2022.
IT-Politisk Forening vil indledningsvist benytte lejligheden til kortfattet at påpege, at den danske logningsordning på en række punkter (uanset dette lovforslag) stadig ikke vil være forenelig med EU-rettens krav. Det gælder blandt andet disse forhold:
- Den generelle og udifferentierede logning til beskyttelse af den nationale sikkerhed mod alvorlige trusler har reelt en permanent karakter. Logningen er begrundet i generelle trusselvurderinger fra bl.a. PET, som siden midten af 2000’erne har vurderet, at Danmark står over for en alvorlig terrortrussel. Ud fra EU-Domstolens bemærkninger i præmis 134-139 i La Quadrature du Net m.fl. (forenede sager C-511/18, C-512/18 og C-520/18) må det stå klart, at generel og udifferentieret logning af hensyn til den nationale sikkerhed skal være en ekstraordinær foranstaltning, som er tidsmæssigt afgrænset. Gentagne forlængelser, hver gang for en periode på et år med generelle begrundelser, er åbenlyst i modstrid med dette. Kravet i e-databeskyttelsesdirektivet om, at lagring af trafikdata og lokaliseringsdata skal være en undtagelse, og ikke må blive hovedreglen, gælder i øvrigt også i forhold til en logningsforpligtelse for at beskytte den nationale sikkerhed, jf. præmis 59 i EU-dommen Privacy International C-623/17.
- Den målrettede geografiske logning, som er iværksat fra 28. juni 2022, omfatter ifølge et tidligere svar fra Justitsministeriet til Retsudvalget, ca. 67% af befolkningen. Kriterierne for den geografiske logning er formelt baseret på statistiske oplysninger om anmeldelser og domme for grov kriminalitet, men der foretages ingen justeringer for befolkningstæthed i de geografiske områder på 3 km x 3 km. Den praktiske effekt af den ”målrettede” logning er derfor, at alle områder med bymæssig bebyggelse over en vis størrelser gøres til genstand for en permanent generel og udifferentieret logning til bekæmpelse af grov kriminalitet. Denne tilstand, kombineret med at den målrettede geografiske logning omfatter 2/3 af befolkningen, kan ikke med nogen rimelighed siges at være i overensstemmelse med kravet om, at en pligt til lagring af trafikdata og lokaliseringsdata skal være undtagelsen og ikke hovedreglen (eller at logningen skal være begrænset til det strengt nødvendige).
- Den målrettede geografiske logning (som den er iværksat i juni 2022) har reelt ikke noget selvstændigt indhold, idet de målrettet loggede oplysninger alene eksisterer som en logisk opdeling (delmængde) af den generelle og udifferentierede logning. Teleudbyderne har ikke en særskilt database med trafikdata, som er registreret i medfør et påbud om målrettet logning. Først på tidspunktet for udlevering eller hastesikring af trafikdata bliver der lavet en distinktion mellem trafikdata lagret med henblik på beskyttelse af den nationale sikkerhed og trafikdata lagret i henhold til et påbud om målrettet logning. Hvis den generelle og udifferentierede logning ikke videreføres efter 29. marts 2024, vil den målrettede logning rent teknisk ikke kunne opretholdes. Denne afhængighed øger utvivlsomt risikoen for, at den generelle og udifferentierede logning i praksis får permanent karakter. Derudover betyder den manglende fysiske opdeling i hhv. generel og udifferentieret logning og målrettet logning på lagringstidspunktet, at det bliver meget svært (og måske reelt umuligt) for domstolene at føre uafhængig kontrol med, om de trafikdata, som udleveres i sager om grov kriminalitet, reelt stammer fra den målrettede logning.
- I La Quadrature du Net m.fl. præmis 152-156 tillader EU-Domstolen en generel og udifferentieret lagringspligt (logning) for IP-adressen tildelt kilden for en internetforbindelse med henblik på bekæmpelse af grov kriminalitet. Formålsbegrænsningen til bekæmpelse af grov kriminalitet fremgår imidlertid ikke af retsplejelovens § 786 f, og de almindelige editionsregler i retsplejelovens § 804 anvendes fortsat ved politiets adgang til de loggede oplysninger om tildelte IP-adresser. Det indebærer, at de loggede oplysninger kan bruges i alle sager undergivet offentlig påtale, hvilket strider mod præmis 152-156 i La Quadrature du Net m.fl.
Udover disse generelle bemærkninger om de danske logningsregler og deres manglende forenelighed med EU-retten, har IT-Politisk Forening følgende konkrete bemærkninger til lovforslagets § 1, nr. 2-9.
Kriminalitetskrav for oplysninger, der udelukkende er registreret og opbevaret efter retsplejelovens § 786 e
Lovforslagets § 1 nr. 2-7 sikrer, at udlevering eller hastesikring af oplysninger, som udelukkende er registreret og opbevaret i medfør af regler udstedt efter retsplejelovens § 786 e (generel og udifferentieret logning til beskyttelse af den nationale sikkerhed), fremover begrænses til efterforskning af fortsætlige overtrædelser af straffelovens kapitel 12 og 13.
EU-Domstolen har fastslået i La Quadrature du Net m.fl. præmis 166 og Commissioner of An Garda Síochána m.fl. præmis 98, at adgang til lagrede trafikdata og lokaliseringsdata kun kan begrundes i det mål af almen interesse med henblik på hvilket udbyderne er blevet pålagt at foretage denne lagring, eller et mål som er vigtigere end dette. Til bekæmpelse af grov kriminalitet kan der altså ikke gives adgang til oplysninger lagret efter en logningsforpligtelse for at beskytte den nationale sikkerhed.
Generel og udifferentieret logning efter retsplejelovens § 786 e sker med henblik på at beskytte den nationale sikkerhed mod en alvorlig trussel, som må anses for at være reel og aktuel eller forudsigelig. Som EU-Domstolen fremhæver i præmis 135-136 af La Quadrature du Net m.fl. adskiller sådanne alvorlige trusler mod den nationale sikkerhed sig fra grov kriminalitet ved at de potentielt kan ”destabilisere et lands grundlæggende forfatningsmæssige, politiske, økonomiske eller sociale strukturer og navnlig direkte true samfundet, befolkningen eller staten som sådan, såsom bl.a. terrorvirksomhed.”
Straffelovens kapitel 12-13 indeholder en lang række bestemmelser, og det er næppe alle bestemmelser som kan karakterises som alvorlige trusler mod den nationale sikkerhed. En række bestemmelser har reelt snarere karakter af grov kriminalitet eller sågar almindelig kriminalitet, og vil på ingen måde kunne true grundlæggende samfundsmæssige strukturer på samme måde som eksempelvis terrorvirksomhed. Et eksempel er den nyligt indsatte bestemmelse om forbud mod utilbørlig behandling af visse religiøse skrifter i straffelovens § 110 e, stk. 2, som reelt er en blasfemibestemmelse.
IT-Politisk Forening vil anbefale, at kriminalitetskravet for oplysninger, der udelukkende er registreret og opbevaret efter retsplejelovens § 786 e, ændres til kun at omfatte de specifikke paragraffer i straffelovens kapitel 12-13, som kan siges at udgøre alvorlige trusler mod den nationale sikkerhed. I modsat fald kan det ikke sikres, at adgangen til loggede oplysninger forfølger et mål af almen interesse, som er foreneligt med det mål, som har begrundet lagringen efter retsplejelovens § 786 e, idet nogle paragraffer i straffelovens kapitel 12-13 reelt udgør grov (eller sågar almindelig) kriminalitet.
Overlap med oplysninger der opbevares af andre årsager end retsplejelovens § 786 e
I de almindelige bemærkninger pkt. 2.3 anfører Justitsministeriet, at trafikdata underlagt en logningspligt i vidt omfang vil være de samme som de oplysninger teleudbyderne registrerer og opbevarer af hensyn til deres kommercielle formål, eksempelvis fejlretning og fakturering af abonnenter.
Formuleringen i lovforslagets § 1, nr. 2-7 indebærer, at det nye kriminalitetskrav (straffelovens kapitel 12-13) alene anvendes i de situationer, hvor de pågældende oplysninger udelukkende er registreret og opbevaret i medfør af regler udstedt efter § 786 e. Hvis oplysningerne samtidig er registreret af teleudbyderne af andre årsager end den generelle og udifferentierede logningspligt efter § 786 e, vil de altså fortsat kunne udleveres eller hastesikres i sager om grov kriminalitet.
I præmis 167 af La Quadrature du Net m.fl. udtaler EU-Domstolen, at medlemsstaterne i deres nationale lovgivning kan fastsætte bestemmelser om politiets adgang til lagrede trafikdata og lokaliseringsdata med henblik på bekæmpelse af grov kriminalitet eller beskyttelse af den nationale sikkerhed, når de nævnte data af en udbyder lagres på en måde, der er i overensstemmelse med artikel 5, 6 og 9 eller artikel 15, stk. 1, i e-databeskyttelsesdirektivet 2002/58.
Lagring i overensstemmelse med artikel 15, stk. 1 er en logningspligt, som overholder kravene i EU-retten. I forhold til bekæmpelse af grov kriminalitet er kun målrettet logning tilladt (med undtagelse af IP-adressen tildelt kilden for en internetforbindelse).
Artikel 5, 6 og 9 i e-databeskyttelsesdirektivet fastsætter mulighederne for, at udbyderne af kommercielle årsager kan lagre trafikdata og lokaliseringsdata, og dermed fravige fra udgangspunktet om, at disse data skal slettes eller anonymiseres når transmissionen er afsluttet.
Som EU-Domstolen fremhæver i præmis 109 af La Quadrature du Net m.fl. skal disse bestemmelser sikre, at brugerne principielt med rette kan forvente, at deres kommunikation og de derved forbundne data forbliver anonyme, medmindre brugerne har givet samtykke til registrering. Udover lagring med samtykke (til tillægstjenester) tillader e-databeskyttelsesdirektivet kun meget begrænsede undtagelser fra pligten til at slette eller anonymisere trafikdata, navnlig af hensyn til fakturering af abonnenterne for de leverede tjenester.
Samtalelister, der omfatter opkaldende og opkaldte telefonnummer samt start- og sluttidspunkt for samtalen eller SMS/MMS beskeden (men ikke celle-ID ved mobiltelefoni), bruges til fakturering af abonnenterne og har samtidig et betydeligt overlap med de oplysninger, som udbyderne i medfør af regler udstedt efter retsplejelovens § 786 e er forpligtet til at registrere og lagre i et år (den generelle og udifferentierede logningsforpligtelse).
Ifølge e-databeskyttelsesdirektivets artikel 6, stk. 2 (i Danmark gennemført ved § 10, stk. 2 i bekendtgørelse nr 1882 af 04/12/2020 om persondatasikkerhed i forbindelse med udbud af offentlige elektroniske kommunikationstjenester og nummeruafhængige interpersonelle kommunikationstjeneste) er behandling af trafikdata fra samtalelister tilladt indtil udløbet af den lovbestemte forældelsesfrist for sådanne gældsforpligtelser eller fristen for anfægtelse af sådanne afregninger.
I den forbindelse skal IT-Politisk Forening fremhæve, at mange telefonabonnementer i dag omfatter fri tale for indenlandske samtaler (ingen taksering af opkaldet), hvilket betyder at der reelt ikke kan opstå en gældsforpligtelse vedr. de enkelte samtaler, som abonnenten kan have behov for at anfægte. Derudover bliver abonnenter generelt kun faktureret for udgående opkald (undtagen roaming uden for EU), så trafikdata for indgående opkald kan ikke behandles med henblik på fakturering af abonnenten.
Særligt for abonnenter med fri tale må perioden, hvor trafikdata for udgående opkald kan lagres i medfør af e-databeskyttelsesdirektivets artikel 6, stk. 2 være ganske kort, og dermed væsentligt kortere end opbevaringsperioden på et år, når de samme oplysninger registreres og opbevares i medfør af regler udstedt efter retsplejelovens § 786 e (den generelle og udifferentierede logningspligt). For indgående opkald er det vanskeligt at se, at artikel 6, stk. 2 overhovedet tillader en lagring af trafikdata, som kan henføres til den enkelte abonnent (modtageren af opkaldet).
Hvis teleudbyderne gemmer trafikdata fra opkaldslister længere end disse frister, der som nævnt generelt vil være væsentligt kortere end et år (specielt for alle indgående opkald og udgående opkald for abonnenter med fri tale), vil lagringen ikke være i overensstemmelse med e-databeskyttelsesdirektivets artikel 5, 6 eller 9. Politiets adgang til de pågældende trafikdata (samtalelister) vil derfor, jf. præmis 167 i La Quadrature du Net m.fl., forudsætte, at lagringen er i overensstemmelse med e-databeskyttelsesdirektivets artikel 15, stk. 1, altså en logningspligt der overholder EU-rettens krav. Det udelukker adgang i sager om grov kriminalitet, hvis logningsforpligtelsen er generel og udifferentieret.
I forbindelse med aktindsigter hos Justitsministeriet og Rigspolitiet er IT-Politisk Forening blevet opmærksom på, at teleudbyderne efter april 2022 tilsyneladende har indvilliget i at udlevere samtalelister (uden celle-ID) for både indgående og udgående opkald i sager om grov kriminalitet, og at de pågældende samtalelister dækker en periode på mindst et år. For så vidt angår samtalelister uden celle-ID vil der dermed være et fuldstændigt overlap med den generelle og udifferentierede logningspligt i medfør af retsplejelovens § 786 e (som har en opbevaringsperiode på et år). Det betyder endvidere, at begrænsningen til sager om national sikkerhed i forbindelse med politiets adgang til de lagrede oplysninger (samtalelister uden celle-ID) vil være illusorisk.
Efter IT-Politisk Forenings opfattelse kan den beskrevne praksis for udlevering af samtalelister uden celle-ID i sager om grov kriminalitet ikke være i overensstemmelse med EU-retten, idet der for alle abonnenter potentielt sker udlevering af oplysninger om samtaler (både indgående og udgående) som teleudbyderne ikke længere kan opbevare (uden anonymisering) i overensstemmelse med e-databeskyttelsesdirektivets artikel 5, 6 eller 9, og som derfor kun kan være opbevaret i personhenførbar form i overensstemmelse med e-databeskyttelsesdirektivet, hvis der er en logningspligt som overholder kravene i artikel 15, stk. 1. En generel og udifferentieret forpligtelse til registrering og opbevaring af trafikdata og lokaliseringsdata i overensstemmelse med e-databeskyttelsesdirektivets artikel 15, stk. 1 kan kun ske med henblik på beskyttelse af den nationale sikkerhed og ikke bekæmpelse af grov kriminalitet.
Ingen underretning ved pålæg om edition vedr. alle brugere i et område
Lovforslagets § 1, nr. 9 fjerner forpligtelsen i retsplejelovens § 806, stk. 10 til at underrette de berørte personer, når politiet via retsplejelovens § 804 a får udleveret trafikdata og lokaliseringsdata om alle personer, der befinder sig i et bestemt område.
Justitsministeriet begrunder denne ændring med, at en underretningsforpligtelse med sikkerhed kun kan udledes af EU-retten, når der er tale om et alvorligt indgreb. Lovforslagets bemærkninger har imidlertid ingen konkrete henvisninger til retspraksis fra EU-Domstolen, som understøtter en fortolkning om, at der kun skal ske underretning af de(n) berørte person(er), hvis der er tale om et alvorligt indgreb.
EU-Domstolen har i sin retspraksis om logning, PNR (passenger name records), m.v. fremhævet, at underretning af de berørte personer er de facto nødvendigt for, at de berørte personer kan udøve deres adgang til effektive retsmidler i databeskyttelseslovgivningen, jf. eksempelvis præmis 121 i Tele2 (forenede sager C-203/15 og C-698/15). Adgangen til effektive retsmidler i databeskyttelseslovgivningen er ikke begrænset til situationer med alvorlige indgreb.
At underretning af de berørte personer i forbindelse med myndigheders adgang til deres personoplysninger, når det ikke længere kan forstyrre en igangværende efterforskning, er et generelt princip i EU-retten (ikke begrænset til alvorlige indgreb) understøttes yderligere af punkt 320 i generaladvokatens forslag til afgørelse i sagen Facebook Ireland og Schrems C-311/18, hvor det konkret fremhæves, at forpligtelsen til underretning nu er gentaget i databeskyttelsesforordningen (EU) 2016/679 artikel 23, stk. 2, litra h. Databeskyttelsesforordningens artikel 23, stk. 2, litra h har ingen begrænsning til alvorlige indgreb.
Derudover vil politiets adgang til lokaliseringsdata om alle personer i et bestemt område, selv for en kort periode, efter IT-Politisk Forenings fortolkning af EU-Domstolens retspraksis udgøre et alvorligt indgreb. I præmis 39-40 af Prokuratuur C-746/18 udtaler EU-Domstolen, at enhver adgang til lokaliseringsdata (placeringen af terminaludstyr) udgør et alvorligt indgreb, uanset varigheden af den periode som adgangen omfatter.