6 Vern av kommunikasjon og data
6.1 Plikt til å bevare taushet og slette eller anonymisere data
6.1.1 Gjeldende rett
Retten til privatliv og respekt for personlig kommunikasjon er vernet gjennom Grunnloven § 102. Første ledd, første punktum lyder: «Enhver har rett til respekt for sitt privatliv og familieliv, sitt hjem og sin kommunikasjon.»
Grunnloven § 102 første ledd første punktum har klare likhetstrekk med EMK artikkel 8 og må tolkes i lys av denne, jf. Prop. 167 L (2020–2021) Endringer i ekomloven (lagring av IP-adresser med videre) kapittel 5.2.
Kommunikasjonsvernet har alltid stått sterkt nasjonalt. Det fulgte også av telegrafloven av 29. april 1988 og teleloven av 23. juni 1995 at tilbyder av elektroniske kommunikasjonsnett og -tjenester plikter å bevare taushet om innholdet av telekommunikasjon og om andres bruk av telekommunikasjon, og plikter å gjennomføre tiltak for å hindre at andre enn de som opplysningene gjelder får anledning til selv å skaffe seg kjennskap til slike opplysninger.
Gjeldende ekomlov § 2-9 viderefører at tilbyder og installatør plikter å bevare taushet om innholdet av elektronisk kommunikasjon og andres bruk av elektronisk kommunikasjon, herunder opplysninger om tekniske innretninger og fremgangsmåter. De plikter å gjennomføre tiltak for å hindre at andre enn de som opplysningene gjelder får anledning til selv å skaffe seg kjennskap til slike opplysninger. Opplysningene kan heller ikke utover lovlige behandlingsformål nyttes i egen virksomhet eller i tjeneste eller arbeid for andre, med unntak av statistiske opplysninger om nett-trafikk som er anonymisert og ikke gir informasjon om innretninger eller tekniske løsninger.
Taushetsplikten gjelder også for enhver som utfører arbeid eller tjeneste for tilbyder av elektroniske kommunikasjonsnett eller -tjenester, installatør, teknisk kontrollorgan eller myndigheten, også etter at vedkommende har avsluttet arbeidet eller tjenesten.
Kommunikasjonsverndirektivet artikkel 6 og 9 er implementert i ekomloven § 2-7 femte ledd, og gir som hovedregel en plikt for tilbyder til å slette eller anonymisere trafikkdata, inkludert lokaliseringsdata og data nødvendige for å identifisere abonnenten eller brukeren. Dette må gjøres så snart det ikke lenger er nødvendig å beholde dataene for å oppfylle visse angitte formål. Sletteplikten omfatter data både fra forbrukere, virksomheter og andre juridiske rettssubjekter, jf. Ot.prp. nr. 58 (2002–2003). Det er gitt utdypende bestemmelser om sletting av data i ekomforskriften kapittel 7.
Dataene skal som hovedregel slettes eller anonymiseres med en gang kommunikasjonen er avsluttet og behandling ikke lenger er nødvendig for kommunikasjons- eller faktureringsformål. Det gjøres noen få unntak fra denne hovedregelen. De lovbestemte grunnene som gir hjemmel til å lagre data i en begrenset periode er kommunikasjonsformål, faktureringsformål, enkelte etterforskningsformål og oppfylling av andre krav fastsatt i medhold av lov. Det følger av ekomloven § 2-7 femte ledd at dersom tilbyderen ønsker å behandle dataene til noe annet enn disse formålene, må det innhentes samtykke fra brukeren. Slik annen behandling omfatter enhver bruk av dataene, som for eksempel innsamling, registrering, sammenstilling, lagring, utlevering eller en kombinasjon av slike bruksmåter.
Trafikkdata nødvendig for fakturering kan behandles til betaling har funnet sted eller til fordringen ikke lenger kan inndrives, for eksempel i tilfelle av foreldelse eller på grunn av klagebehandling.
Etter ekomloven §§ 2-8a og b har tilbyderne en plikt til å lagre IP-adresser (unik adresse som tildeles en enhet som er tilkoblet internett) mv. i 12 måneder, slik at politiet kan få tilgang til IP-adressene for å bekjempe alvorlig kriminalitet, samt i enkelte andre tilfeller som fremgår særskilt av lovens ordlyd. Tilbyderne kan i slike tilfeller utlevere IP-adresser til politiet eller påtalemyndighet uten hinder av taushetsplikten i § 2-9.
6.1.2 EUs regelverk
EUs bestemmelser om kommunikasjonsvern er i hovedsak fastsatt i kommunikasjonsverndirektivet (2002/58/EF) med senere endringer. Kommunikasjonsverndirektivet er innlemmet i EØS-avtalen. Direktiv 2009/136/EF som endret kommunikasjonsverndirektivet, er ikke innlemmet i EØS-avtalen. Kommunikasjonsverndirektivet med senere endringer er i all hovedsak gjennomført i norsk rett gjennom ekomloven.
Ekomdirektivet inneholder enkelte bestemmelser som også har betydning for kommunikasjonsvern. Bestemmelsene om sikkerhetstiltak og varslingsplikt i artikkel 40 vil også være viktige bestemmelser for å kunne ivareta kommunikasjonsvernet. I tillegg henviser kommunikasjonsverndirektivet artikkel 2 om definisjoner som et utgangspunkt til rammedirektivets definisjonsbestemmelser som nå erstattes av ekomdirektivet, jf. ekomdirektivet artikkel 124 nr. 1 andre ledd. I tillegg til kommunikasjonsverndirektivet, inneholder også personvernforordningen viktige bestemmelser for kommunikasjonsvernet.
Tilbyders plikt til å bevare taushet om innholdet av elektronisk kommunikasjon er en grunnleggende forutsetning for kommunikasjonsvernet. Bestemmelser om taushetsplikt finnes i kommunikasjonsverndirektivet artikkel 5.
Tilbyders plikt til å slette eller anonymisere data er også en sentral kommunikasjonsvernbestemmelse. Bestemmelser om dette er fastsatt i kommunikasjonsverndirektivet artikkel 6 og 9. Utgangspunktet er at trafikkdata vedrørende abonnenter og brukere, som behandles og lagres av tilbyderen av et offentlig kommunikasjonsnett eller en offentlig tilgjengelig elektronisk kommunikasjonstjeneste, skal slettes eller anonymiseres når de ikke lenger er nødvendige for overføringen av en kommunikasjon. Det fastsettes blant annet unntak for trafikkopplysninger som er nødvendige for å fakturere abonnenten, og for betaling av samtrafikk inntil utløpet av tidsrommet da regningen kan bestrides i henhold til lov, eller betalingsinnkreving kan foretas.
Gjennom vedtakelsen av ekomdirektivet, og opphevelsen av det tidligere rammedirektivet, vil kommunikasjonsverndirektivet nå komme til anvendelse overfor nummeruavhengige tjenester. Europakommisjonen har i lys av dette vurdert behovet for å gjøre et midlertidig og strengt avgrenset unntak fra kommunikasjonsverndirektivet for at denne typen tilbydere skal kunne fortsette sin praksis med på frivillig basis å bekjempe seksuelle overgrep mot barn på internett. Europaparlaments- og rådsforordning (EU) 2021/1232 om et midlertidig unntak fra visse bestemmelser i Europaparlaments- og rådsdirektiv 2002/58/EF for så vidt angår tilbydere av nummeruavhengige person-til-person-kommunikasjonstjenesters anvendelse av teknologier til behandling av personopplysninger og andre data med henblikk på bekjempelse av seksuelt misbruk av barn online, ble vedtatt 14. juli 2021 for dette formålet. Forordningen innebærer unntak fra enkelte plikter etter kommunikasjonsverndirektivet, for å legge til rette for at tilbydere av nummeruavhengige tjenester (som Facebook, Messenger og Skype) kan fortsette sitt frivillige arbeid med å benytte visse teknologier for behandling av data i den utstrekning som er nødvendig for å avdekke seksuelt misbruk av barn på deres tjenester, rapportere dette og fjerne slikt innhold fra sine tjenester. Rapporteringen kan i henhold til forordningen skje til politi- og påtalemyndighet og organisasjoner som opptrer i allmennhetens interesse for å bekjempe seksuelle overgrep mot barn. Forordningen innfører et strengt avgrenset unntak fra kommunikasjonsverndirektivet artikkel 5 nr. 1 og artikkel 6 nr. 1, for slike tilbydere. Tilbydere av nummeruavhengige tjenester vil utover dette være underlagt kommunikasjonsvernregelverket.
Det er innført sikkerhetsmekanismer knyttet til unntaket, blant annet når det gjelder hvilke teknologier tilbyderne kan anvende for formålet. Unntaket gjelder hovedsakelig for allerede innarbeidede metoder som tilbydere av nummeruavhengige tjenester har anvendt før forordningen trådte i kraft, for på frivillig basis å avdekke og rapportere om seksuelle overgrep mot barn på nett. Det stilles videre krav til at metodene som anvendes skal være minst mulig inngripende i privatlivets fred. Dataene skal ikke lagres lenger enn det som er strengt nødvendig, og under ingen omstendigheter lenger enn 12 måneder fra datoen for oppdagelsen av det antatte misbruket. Det er også en forutsetning at tilbyderne har innført egnede prosedyrer og klagemekanismer for å sikre at brukerne kan klage og få mulighet til å fremlegge sine synspunkter. Det stilles krav til årlig rapportering til myndigheten om slike tilbyderes behandling av data for å bekjempe seksuelle overgrep mot barn på sine tjenester.
Den midlertidige forordningen trådte i kraft 2. august 2021 i EU og skal gjelde til 3. august 2024. Kommisjonen fremmet 30. desember 2023 forslag om forlengelse av forordning (EU) 2021/1232. Forslaget er til behandling i Europarlamentet og Rådet.
6.1.3 Forslaget i høringsnotatet 2. juli 2021
Departementet foreslo i høringsnotatet hovedsakelig en videreføring av gjeldende bestemmelser om taushetsplikt og sletteplikt i ny lov. Herunder ble det i høringen foreslått å videreføre gjeldende ekomlov § 2-7 femte ledd som fastsetter at trafikkdata, lokaliseringsdata og data nødvendige for å identifisere abonnenten eller brukeren, skal slettes eller anonymiseres så snart de ikke lenger er nødvendig til blant annet kommunikasjonsformål.
Departementet vurderte i høringen om det var nødvendig med en lovfesting av behandlingsgrunnlag for tilbyders lagring av data for feilretting og informasjonssikkerhetsformål, eller om dette i tilstrekkelig grad faller inn under kompetansen tilbyder vil ha til å lagre for kommunikasjonsformål slik det er fortolket i gjeldende rett. I Europakommisjonens forslag til ny kommunikasjonsvernforordning artikkel 6 er det eksplisitt vist til at tilbydere kan behandle data dersom det er nødvendig for å vedlikeholde eller gjenopprette sikkerheten for nett og tjenester eller avdekke tekniske feil og/eller feil i sendingen av elektronisk kommunikasjon. Behandlingen kan skje så lenge det er nødvendig for å oppfylle formålet.
Departementet viste i høringen til at det kan være behov for å oppbevare opplysninger for feilrettings- og sikkerhetsformål, og vurderte om det er behov for å ta inn slike formål eksplisitt i lovteksten. Når det gjelder feilrettingsformål tilsier en formålsfortolkning at dette må ses som en del av begrepet kommunikasjonsformål, som er nevnt i gjeldende ekomlov § 2-7, siden retting av feil vil være nødvendig for å opprettholde en kommunikasjon. Det ble derfor ikke foreslått en egen bestemmelse om feilrettingsformål.
Spørsmålet om sikkerhetsformål kan være et grunnlag for å behandle opplysninger, ble behandlet i sak PNV-2014-10 for Personvernnemnda. Spørsmålet i denne saken var om Telenor kunne fortsette å lagre innkommende forbindelsers destinasjons-IP for mobil, som et sikkerhetstiltak som er nødvendig og hensiktsmessig for å sørge for tilfredsstillende sikkerhet i mobilnettet. Personvernnemnda kom til at en slik lagring var et nødvendig sikkerhetstiltak etter ekomloven § 2-7 første ledd, og at det dermed forelå behandlingsgrunnlag for opplysningene, jf. ekomloven § 2-7 femte ledd nr. 3. I høringen ble det vist til at det i henhold til gjeldende rett er hjemmel for å lagre trafikkdata, lokaliseringsdata og data nødvendige for å identifisere abonnenten eller brukeren, så lenge dataene er nødvendige for å oppfylle kravene i § 2-7 første ledd. Det ble derfor ikke foreslått en egen hjemmel i loven for lagring av data for sikkerhetsformål, og det ble foreslått at gjeldende rett videreføres uten endringer på dette punkt i bestemmelsen om sletteplikt.
Det ble i høringen foreslått hjemmel for myndigheten til å gjennomføre midlertidig forordning (EU) 2021/1232, om bekjempelse av seksuelle overgrep mot barn på nett, i forskrift.
6.1.4 Høringsinstansenes syn
Advokatforeningen og Oslo statsadvokatembeter mener av at utvidelsen av definisjonen av elektronisk kommunikasjonstjeneste der nummeruavhengig person-til-person-kommunikasjonstjeneste nå inngår, må komme til anvendelse også i straffeprosessloven § 118. Forutsatt at departementet konkluderer med at man i norsk rett er forpliktet til å la utvidelsen av definisjonen av elektronisk kommunikasjonstjeneste i ekomloven, basert på ekomdirektivet, komme til anvendelse også for de prosessuelle bevisforbudene, mener Advokatforeningen at ordlyden i straffeprosessloven §§ 118 og tvisteloven § 22-3 bør vurderes oppdatert slik at denne tilsvarer forslaget til ordlyd i ny ekomlov § 1-5, herunder med en direkte henvisning i bestemmelsene for å unngå at det skapes uklarhet rundt hvem som er omfattet av de prosessuelle bevisforbudene.
Det nasjonale statsadvokatembetet viser til at endringene i definisjonen av elektronisk kommunikasjonstjeneste medfører at bestemmelsen omfatter et stort antall nye pliktsubjekter. Det ville gi liten sammenheng i lovverket om utvidelsen av definisjonen av elektronisk kommunikasjonstjeneste i ekomloven, ikke skulle komme til anvendelse også for de prosessuelle bevisforbudene.
Oslo statsadvokatembeter bemerker at forholdet til bevisforbudsregelen i straffeprosessloven § 118 ikke synes å være drøftet i proposisjonen som gjaldt den vedtatte endringen i gjeldende ekomlov § 2-8b. Når IP-adresser utleveres til politiet i samsvar med loven under etterforskningen, legger Oslo statsadvokatembeter til grunn at abonnementsopplysninger uten hinder av straffeprosessloven § 118 kan videreformidles til den dømmende rett, og at det ikke vil være behov for særskilt fritak fra taushetsplikten.
Kripos har stilt spørsmål ved om dagens ordning med innhenting av fritak fra Nasjonal kommunikasjonsmyndighet etter straffeprosessloven § 118 er nødvendig og formålstjenlig på et område hvor det rent faktisk er en straffeprosessuell beslutning knyttet til bevisinnhenting som ligger til grunn for henvendelsen. Kripos mener det her kan skilles mellom strafferettslige bevisforbud og sivilrettslige bevisforbud. I den videre vurdering av disse spørsmålene mener Kripos man derfor bør se på en løsning hvor man unntar tilbyder etter ekomloven fra den oppramsing som foretas i straffeprosessloven § 118 første ledd andre punktum.
Kripos og Politiets sikkerhetstjeneste påpeker at dersom en utvidelse av kretsen med tilbydere også gis straffeprosessuell anvendelse, vil det medføre at et ytterligere stort antall henvendelser fra politiet om utlevering av informasjon vil måtte rutes via Nasjonal kommunikasjonsmyndighet for opphevelse av taushetsplikt før disse kan effektueres. Allerede etter dagens tilbyderbegrep medfører dette et omfattende arbeid både for politi og påtalemyndighet, Nasjonal kommunikasjonsmyndighet, og i siste instans retten. Politiets sikkerhetstjeneste mener at dette vil kunne skape forsinkelser i straffesaksbehandlingen.
Riksadvokaten viser blant annet til EU-domstolens dom 2. mars 2021 i saken H.K. v. Prokuratuur. Saken gjaldt påtalemyndighetens innhenting av historiske trafikkdata til bruk i en straffesak. EU-domstolen bemerket at det måtte stilles krav til forholdsmessigheten mellom inngrepet og alvoret i de straffbare handlingene, og at beslutningen om innhenting måtte tas av en domstol eller en uavhengig administrativ enhet, og ikke av påtalemyndigheten.
Etter Politiets sikkerhetstjenestes oppfatning virker forslaget om at Nasjonal kommunikasjonsmyndighet skal frita ansatte i Facebook eller WhatsApp fra deres taushetsplikt, lite praktisk. Dersom Politiets sikkerhetstjenestes ønsker innholdsdata utlevert fra Facebook, må man gå veien om en rettsanmodning til USA, etter at en norsk domstol har funnet at vilkårene for utlevering er til stede, jf. straffeprosessloven § 210. Det er dermed en amerikansk domstol som vil måtte ta stilling til om utlevering av innholdsdata kan finne sted etter amerikansk rett. Tilsvarende vil gjelde for nummeruavhengige tilbydere fra andre land. Politiets sikkerhetstjenestes uttaler videre i sitt høringssvar at
«[…]PST antar at man i forhold til straffeprosessloven § 118 må innfortolke at bestemmelsen gjelder overfor norske tilbydere av elektronisk kommunikasjonstjeneste eller i det minste en tilbyder som er undergitt Nkoms tilsynsmyndighet. Den type kommunikasjon vi her snakker om er oftest kryptert og politiet får som oftest tilgang til innholdsdata via beslaglagte telefoner hos en siktet. Dersom det ikke gjøres beslag hos siktede og man ønsker innholdsdata utlevert via tilbyder, betyr forslaget i realiteten at Nkom må forespørres i alle tilfelle der man ønsker et utleveringspålegg jf. straffeprosessloven § 210, fra tilbyder av nummeruavhengig person-til-person chat. Dersom tilbyderen er en utenlandsk tjeneste vil man likevel være henvist til andre lands straffeprosessuelle behandling av saken uten at et fritak fra Nkom da vil være av betydning.»
Overfor den nye gruppen med person-til-person-kommunikasjonstjenester viser Det nasjonale statsadvokatembetet til at det vil være lettere å håndheve reglene overfor tilbydere som har fysisk tilstedeværelse i Norge, enn overfor de som bare lar sine tjenester virke innenfor norsk jurisdiksjon. Organisatoriske løsninger vil også kunne få en innvirkning på dette ved at den aktuelle delen av selskapet, altså kommunikasjonstjenesten, ikke har kontorer i Norge, men administreres fra et annet land.
Etter riksadvokatens syn bør jurisdiksjonsspørsmålet komme tydelig frem i merknadene til bestemmelsen, slik at bestemmelsen ikke misforstås. Riksadvokaten viser til at loven gjelder innenfor norsk jurisdiksjon. Ekomloven eller andre norske regler vil ikke få anvendelse ved innhenting av informasjon som skjer i utlandet. Derimot vil norske beslutninger om tvangsmidler som er truffet etter norske regler, danne grunnlaget for norske myndigheters anmodninger om informasjonsinnhenting. Norsk påtalemyndighet og politi er som regel avhengig av å bruke rettsanmodninger for å innhente informasjon fra utenlandske tjenester, selv om informasjon noen ganger utleveres frivillig. Riksadvokaten antar at mange av de nummeruavhengige person-til-person-kommunikasjonstjenestene vil være utenlandske selskaper som Norge ikke har jurisdiksjon over. Det må også være klart at det ikke skal innhentes samtykke fra Nasjonal kommunikasjonsmyndighet for nummeruavhengige person-til-person-kommunikasjons-tjenester som ikke hører under norsk jurisdiksjon. Nummeruavhengige person-til-person-kommunikasjonstjenester under norsk jurisdiksjon med lignende funksjoner som Facebook og WhatsApp, vil derimot omfattes av den nye definisjonen og få taushetsplikt etter forslaget.
Oslo statsadvokatembeter mener at passusen «med mindre særlig forhold gjør det utilrådelig» i fjerde ledd bør tas ut av bestemmelsen da det ikke fremgår hvorfor tilbydere skal ha adgang til å nekte utlevering av opplysninger til politi og påtalemyndighet. Setningen er en videreføring av gjeldende ekomlov § 2-9 fjerde ledd, som igjen var en videreføring av teleloven av 1995 § 9-3 fjerde ledd. Verken i høringsnotatet eller i forarbeidene til de tidligere lovene fremgår noen begrunnelse, og i og med at en slik nektelsesadgang kan åpne for misbruk, ber Oslo statsadvokatembeter om at det i den nye loven bare slås fast en plikt til slik utlevering. Politiets sikkerhetstjeneste støtter Oslo statsadvokatembeters høringssvar om å ta fjerde ledd ut av bestemmelsen. Det nasjonale statsadvokatembetet viser til at hvilke særlige forhold som gjør det utilrådelig å avslå en anmodning ikke er nærmere kommentert i høringsnotatet, viser til at bestemmelsen antakelig er en etterlevning etter tidligere lover og foreslår at den strykes. Som påpekt av Oslo statsadvokatembeter og Det nasjonale statsadvokatembetet, mener Riksadvokaten at dette unntaket bør strykes eller begrunnes nærmere eller eksemplifiseres i merknadene.
TV2 mener at «særlige forhold som gjør det utilrådelig» må fortolkes til å omfatte begrensninger som skyldes medienes informasjons- og ytringsfrihet, herunder medienes kildevern. TV2 mener at dette er så viktige forhold at de bør fremgå direkte i teksten. TV2 uttaler at det er kritisk at alle unntak fra sletteplikt, plikt til lagring og eventuell utlevering, oppfyller krav til begrunnelse og prosedyrer som følger av våre internasjonale forpliktelser, og at det etableres en klar rettslig regulering og prosedyre for gjennomgang av digitalt lagrede opplysninger som er unntatt beslag, herunder data som er beskyttet av kildevernet.
NRK mener det må sikres at den nye loven ikke er uforenelig med den rettslige beskyttelsen kildevernet er gitt. Herunder må det sikres at bestemmelsene om taushetsplikt og utlevering av IP-adresser ikke åpner for unntak fra taushetsplikten dersom det er i strid med kildevernet. NRK viser til at ekomloven ikke kan brukes som en «bakdør» til informasjon som vil kunne være i strid med den rettslige beskyttelsen av kildevernet gitt etter EMK artikkel 10, og som derved skulle kunne ramme kjernen av den demokratiske meningsutviklingen og medføre en nedkjølende effekt på ytringsfriheten.
Datatilsynet viser til forskriftshjemlene i § 3-2 og § 3-3 om unntak fra taushetsplikt og unntak fra sletteplikt for behandling av personopplysninger og andre data ved levering av nummeruavhengige person-til-person-kommunikasjonstjenester, for å bekjempe seksuelt misbruk av barn, og påpeker at behandlingene av personopplysninger som forordningen åpner for, krever et rettslig grunnlag etter personvernforordningen artikkel 6.
I tillegg vurderer Datatilsynet at behandling av personopplysninger med formål om å oppdage og rapportere seksuelt misbruk av barn på nett til politimyndigheter, vil kunne innebære behandling av opplysninger om «lovovertredelser», jf. personvernforordningen artikkel 10. Behandling av personopplysninger som omfattes av artikkel 10, og som ikke utføres under offentlige myndigheters kontroll, krever enten at behandlingen er tillatt i henhold til medlemsstatenes nasjonale rett som sikrer nødvendige garantier for de registrertes rettigheter og friheter, eller at et av vilkårene i artikkel 9 nr. 2 bokstav a, c, d, e, f er oppfylt, jf. personopplysningsloven § 11. Datatilsynet viser til at uten at det innføres en egen hjemmel i nasjonal rett i tråd med kravene i artikkel 10, vil dermed en slik behandling av personopplysninger kunne være i strid med personvernforordningen. Dersom det på et senere tidspunkt vurderes å innføre en slik hjemmel i nasjonal rett, er det viktig at personvernkonsekvensene vurderes, og at den underlegges en ny høring og demokratisk kontroll.
Unntaket fra sletteplikten for behandling av personopplysninger og andre data ved levering av nummeruavhengige person-til-person-kommunikasjonstjenester for å bekjempe seksuelt misbruk av barn, støttes av Det nasjonale statsadvokatembetet.
Telenor er enig i at det ikke er nødvendig i § 3-3 (sletting av data) å ta inn egne bestemmelser om verken feilrettingsformål eller sikkerhetsformål, og at gjeldende rett videreføres uten endringer på dette punktet.
Datatilsynet peker på at ordbruken «kommunikasjonsformål» i gjeldende ekomlov § 2-7 og den foreslåtte ekomlov § 3-3 (sletting av data, ny § 3-11), er et vidt og vagt begrep, og at ekomloven bør bruke samme formulering som kommunikasjonsverndirektivet artikkel 6, og endre ordlyden til «formål om overføring av en kommunikasjon» eller tilsvarende. Datatilsynet viser videre til fortalen punkt 30 i kommunikasjonsverndirektivet hvor det følger at dette vilkåret må tolkes strengt. Datatilsynet mener at det ikke må lagres flere opplysninger enn strengt nødvendig for formålet, og at lagring for sikkerhetstiltak eller feilretting heller ikke må utgjøre et uforholdsmessig personverninngrep overfor sluttbrukerne, jf. Personvernnemndas avgjørelse 2014-10.
Når det gjelder forslaget om å videreføre de relativt nye bestemmelsene om lagrings- og utleveringsplikt av IP-adresser mv., har flere høringsinstanser støttet dette og understreket at det vil ha stor betydningen for å avdekke og etterforske alvorlig kriminalitet. Andre høringsinstanser er bekymret for at reglene vil medføre skjult overvåkning og ha negative konsekvenser for kildevernet.
Datatilsynet viser til sitt høringsinnspill i forbindelse med utarbeidelse av lovproposisjonen om lagring av IP-adresser fra 2021. Tilsynet mener at bestemmelsene er i strid med kommunikasjonsvernet, praksis fra EU-domstolen og at personvernkonsekvensene ved forslagene ikke er godt nok vurdert. Datatilsynet mener at forslagene vil medføre en skjult overvåking av store deler av den norske befolkning, i strid med Grl. § 102 og EMK artikkel 8. Datatilsynet mener videre at praksis fra EU-domstolen medfører krav om uavhengig forhåndskontroll og viser til premiss 120 i domstolens avgjørelse Tele2/Watson (sak C-203/15). Datatilsynet påpeker at dersom reglene videreføres, må enten politiets mulighet til å hente ut informasjon om IP-adresser begrenses eller ordningen underlegges domstolskontroll. Datatilsynet hevder også at det er et motsetningsforhold mellom forbudet om lagring av destinasjonsinformasjon i forslagets § 3-4 andre ledd (plikt til lagring av IP-adresser) og beskrivelsen i merknad til forslagets § 3-2 (taushetsplikt, ny § 3-10), hvor det blant annet fremgår «Tildelt IP-adresse, navn og tidspunkt kan derfor i noen grad også gi opplysninger om bevegelser når de settes i sammenheng over et gitt tidsrom».
Norsk Journalistlag og NRK uttrykker bekymring for forslagenes konsekvenser for kildevernet. Norsk Journalistlag mener at lagrings- og utleveringsplikten går på bekostning av anonyme kilders mulighet til å kommunisere fritt med journalister, og mener at høringsnotatet mangler drøftelser av journalisters vern om anonyme kilder. De mener at forslaget ikke i tilstrekkelig grad ivaretar kildevernet som en menneskerettighet og derfor strider mot EMK artikkel 10 og praksis fra EMD og EU-domstolen. Norsk Journalistlag viser til at både i Kulturdepartementets høringsnotat om ny medieansvarslov av 2018 (side 180) og Straffeprosesslovutvalgets innstilling i ny straffeprosesslov i NOU 2016: 24 (side 279), legges det til grunn at kildevernet må styrkes. Journalistlaget viser videre til lovproposisjonen fra 2021 (Prop. 167 L (2020–2021) Endringer i ekomloven (lagring av IP-adresser mv.)) side 58 hvor det presiseres at departementet vil kunne komme tilbake til spørsmålet om vern av anonyme kilders identitet på et senere tidspunkt, og journalistlaget etterlyser dette i denne høringen. NRK påpeker at utlevering av IP-adresser ikke må åpne for unntak fra taushetsplikten dersom det er i strid med kildevernet. NRK viser også til EMDs avgjørelse fra 2021 (Big Brother Watch mot Storbritannia 58170/13, 62322/14 og 24960/15). NRK påpeker at EMD der kom til at Storbritannias innsamling av data var i strid med kildevernet etter EMK artikkel 10, og at det gjelder strenge rettssikkerhetskrav, herunder krav til forhåndsgodkjenning fra domstol, for å sikre at kildevernet ivaretas.
Flere høringsinstanser mener at muligheten for utlevering av IP-data bør utvides. Stine Sofies stiftelse mener at terskelen for utlevering bør senkes til å gjelde etterforskning av handlinger som etter loven kan medføre straff i ett år eller mer. Subsidiært mener stiftelsen at det er en rekke andre straffebud som kvalifiserer for innlemmelse i opplistingen i § 3-5 første ledd (utlevering av IP-adresser, ny § 3-14) og foreslår at straffeloven §§ 261, 263, 267, 267 a og b, 271 og 313 tas med i bestemmelsen. Stine Sofies stiftelse mener også at det bør åpnes for utlevering av lagringspliktig informasjon i sivile saker. Lagringspliktig informasjon kan utgjøre viktige bevis i eksempelvis erstatningssaker og foreldretvistsaker. Stiftelsen viser også til forslag om ny voldsoffererstatningslov og det foreslåtte kravet om dom i erstatningssak som forutsetning for voldsoffererstatning.
Oslo statsadvokatembeter mener også at straffeloven §§ 267 a og 267 b, om henholdsvis deling og grov deling av krenkende bilder, bør tas med i opplistingen av straffebud i § 3-5 første ledd (utlevering av IP-adresser, ny § 3-14). Disse straffebudene har trådt i kraft i etterkant av behandlingen av lovproposisjonen i 2021, og er relevante i forhold til bruk av informasjon om IP-adresser under etterforskning. Etter riksadvokatens syn bør straffeloven § 267 a første ledd med ett års strafferamme og § 267 b med to års strafferamme, gi grunnlag for utlevering av IP-adresser. Straffeloven § 267 a andre ledd har bare seks måneders strafferamme og grov uaktsomhet som skyldkrav. Riksadvokaten mener derfor at denne bestemmelsen ikke bør begrunne utlevering etter ekomloven § 3-5 (ny § 3-14). Kripos og Politiets sikkerhetstjeneste mener at utleveringsplikten bør utvides til også å gjelde politiets arbeid med kriminalitetsforebygging og ikke avgrenses kun til etterforskningsformål.
Politiets sikkerhetstjeneste påpeker at det ikke er lagt opp til noen regulering av tilbydernes mulighet til å varsle innehaveren av en IP-adresse om at Politiets sikkerhetstjeneste har anmodet om utlevering av informasjon. Dersom tilbyderen avslører dette, vil det potensielt kunne utgjøre en fare for nasjonens sikkerhet. Politiets sikkerhetstjeneste advarer derfor mot at innehavere av en IP-adresse blir gjort kjent med at Politiets sikkerhetstjeneste har anmodet om utlevering av IP-adresser fra tilbyder og ber departementet vurdere en særskilt regulering som ivaretar denne problemstillingen.
6.1.5 Departementets vurdering
Departementet opprettholder forslaget om et sterkt kommunikasjonsvern. Det er viktig at alle brukere av internett, mobiltjenester og andre elektroniske kommunikasjonstjenester kan ha tillit til at de trygt kan bruke tjenestene uten at uvedkommende får tilgang til dataene. Til innspillene fra Advokatforeningen og Oslo statsadvokatembeter om forslaget til definisjon av elektronisk kommunikasjonstjeneste, mener departementet at gode grunner taler for at definisjonen bør få virkning også for de prosessuelle bevisforbudene i straffeprosessloven § 118 og tvisteloven § 22-3. Departementet foreslår at dette synliggjøres i merknaden til definisjonen av elektronisk kommunikasjonstjeneste i § 1-5 nr. 4. Departementet viser til at Nasjonal kommunikasjonsmyndighet årlig behandler rundt 2 500 – 3 000 anmodninger fra politiet om å frita tilbydere fra taushetsplikten. Det antas at dette vil øke noe når definisjonen av tilbyder utvides til å omfatte nummeruavhengige person-til-person-kommunikasjonstjenester, som innebærer at nye pliktsubjekter vil bli omfattet av taushetsplikten. Departementet er for øvrig enig i at det må kunne legges til grunn at når IP-data utleveres til politiet under etterforskningen i samsvar med regelverket, vil opplysningen, uten hinder av straffeprosessloven § 118, kunne videreformidles til den dømmende rett uten særskilt fritak fra taushetsplikten.
Når det gjelder forslaget fra Kripos om at det må skilles mellom strafferettslige og sivilrettslige bevisforbud i lys av endringene i ekomloven §§ 2-8a og b, om lagring og utlevering av IP-adresser til politi og påtalemyndighet, viser departementet til at forslaget om å unnta ekomtilbydere fra straffeprosessloven § 118 verken er hørt eller utredet nærmere. Departementet vil også påpeke at politiets og påtalemyndighetens tilgang til hemmelig telefonnummer, annen abonnementsinformasjon og til IP-adresser i utgangspunktet ikke faller inn under straffeprosessloven § 118 fordi det er gitt egne unntak fra taushetsplikten i slike tilfeller i ekomloven § 3-10 tredje ledd (taushetsplikt) og § 3-14 første ledd (utlevering av IP-adresser). Departementet mener for øvrig at det er viktig og riktig av hensyn til kommunikasjonsvernet at ekomtilbyder er omfattet av straffeprosessloven § 118, og foreslår ingen endring her.
Flere høringsinstanser har kommentarer knyttet til jurisdiksjon. Departementet viser til at § 3-10 om taushetsplikt blant annet gjennomfører taushetsplikten i kommunikasjonsverndirektivet i norsk rett. I henhold til Europakommisjonens REFIT-evaluering av kommunikasjonsverndirektivet inneholder dette direktivet ikke en klar bestemmelse om lovvalg i grensekryssende situasjoner. Dette medfører at det ikke er avklart i direktivet om det er prinsippet om opprinnelsessted eller mottakssted som skal legges til grunn. I utgangspunktet ville det gitt et bedre kommunikasjonsvern om aktører som ikke har fysisk tilstedeværelse i Norge, men som tilbyr tjenester i det norske markedet, kunne underlegges taushetsplikt. Det ligger imidlertid ikke til rette for at dette kan håndheves i dag. Departementet vil imidlertid utrede om utenlandske som tilbyr tjenester i Norge, men som faller utenfor den nye ekomlovens geografiske virkeområde, skal pålegges øvrige plikter etter ekomloven innenfor rammene av ekomdirektivet. Det bør også utredes om kravet til entydig identifisering av sluttbrukere også skal gjelde for enkelte typer av nummeruavhengige person-til-person-kommunikasjonstjenester.
Flere høringsinstanser fra justissiden har i sine høringsuttalelser pekt på at formuleringen «med mindre særlige forhold gjør det utilrådelig» i forslag til § 3-10 fjerde ledd (taushetsplikt) bør tas ut eller begrunnes. Unntaksbestemmelsen er lite brukt i praksis, og departementet er enig i at det kan være krevende for tilbyderne å skulle gjøre en vurdering av om «særlige forhold gjør det utilrådelig» å utlevere opplysninger om avtalebasert hemmelig telefonnummer eller andre abonnementsopplysninger, samt elektronisk kommunikasjonsadresse, til politi og påtalemyndighet etter tredje ledd. Departementet foreslår på denne bakgrunn at unntaksbestemmelsen utgår.
Flere høringsinstanser har uttrykt bekymring for kildevernet. Departementet viser til Prop. 167 L (2020–2021) og at lagring og utlevering av IP-data ikke i seg selv utgjør et inngrep i ytringsfriheten eller kildevernet i EMK artikkel 10, men at informasjon om IP-adresser må kobles med annen informasjon før spørsmål knyttet til kildevern eventuelt oppstår, eksempelvis at informasjon om hvilken abonnent som er tildelt en gitt IP-adresse må kombineres med informasjon om en IP-adresse som politiet har fått tilgang til gjennom andre etterforskingsmetoder. Dette betyr at dersom det i et konkret tilfelle skulle oppstå spørsmål om å benytte IP-informasjon for å identifisere en kilde, vil det være politiets fremgangsmåter for å skaffe til veie tilleggsinformasjon som IP-opplysningene i så fall skal kobles med, som vil være relevant i forhold til vurderingen av skrankene i EMK artikkel 10 og at straffeprosesslovens regler for beskyttelse av kildevernet da kommer til anvendelse.
Når det gjelder Datatilsynets høringsinnspill til gjennomføringen av den midlertidige forordningen for å bekjempe seksuelle overgrep mot barn på internett, viser departementet til at det er lagt opp til gjennomføring av forordningen i forskrift og at behandlingsgrunnlag etter personvernforordningen vil kunne fastsettes der.
På bakgrunn blant annet av Datatilsynets høringsinnspill om at begrepet «kommunikasjonsformål» i § 3-11 første ledd (sletting av data) fremstår som vidt og vagt, foreslår departementet å presisere innholdet i begrepet nærmere i merknaden. Begrepet er for øvrig også brukt i gjeldende ekomlov § 2-7 femte ledd.
Når det gjelder høringsuttalelsene om §§ 3-13 (plikt til lagring av IP-adresser) og 3-14 (utlevering av IP-adresser) er disse høringsuttalelsene i all hovedsak utførlig behandlet i Prop. 167 L (2020–2021) Endringer i ekomloven (lagring av IP-adresser med videre). Departementet viser til vurderingene der, og går ikke nærmere inn på dette.
Når det derimot gjelder forslaget om å innta straffeloven §§ 267 a og 267 b, om henholdsvis deling og grov deling av krenkende bilder, i opplisting av straffebud i forslag til § 3-14 første ledd (utlevering av IP-adresser), er dette straffebud som har trådt i kraft i etterkant av behandlingen av lovproposisjonen i 2021 og som dermed ikke har blitt vurdert opp mot reglene om IP-data tidligere. Dette er straffbare handlinger begått på nett. Til sammenligning gir straffeloven § 298 (seksuelt krenkende atferd offentlig eller uten samtykke) og åndsverkloven § 104, jf. § 79 (retten til eget bilde) med ett års strafferamme, grunnlag for utlevering etter gjeldende ekomlov § 2-8 b. De samme hensyn og behov og den samme forholdsmessighetsvurdering tilsier at straffeloven § 267 a første ledd og § 267 b inntas i ny ekomloven § 3-14. Departementet er imidlertid enig med riksadvokaten i at straffeloven § 267 a andre ledd, som bare har seks måneders strafferamme og grov uaktsomhet som skyldkrav, ikke bør inntas.
Politiets sikkerhetstjeneste advarer mot at en innehaver av en IP-adresse blir gjort kjent med at det gitt informasjon til politiet. Etter hva departementet erfarer gir tilbyderne ikke ut informasjon til kunde/abonnent om hvorvidt data har blitt levert til politiet eller ikke. En slik nekting av innsyn kan tenkes hjemlet for tilbyderen i flere grunnlag – personopplysningloven § 16 første ledd bokstav a (aktuelt for Politiets sikkerhetstjeneste) eller bokstav b (aktuelt for politiet generelt). Videre vil Politiets sikkerhetstjeneste og politiet kunne vurdere å pålegge tilbyderne å la være å varsle abonnenten med hjemmel i politiregisterloven § 35. Et «forbud» overfor ekomtilbyderne i ekomregelverket basert på politiets behov er ikke hørt i denne omgang, og dette er noe man i så fall må komme tilbake til ved en senere anledning.
Departementet viser til at det ved innføring av IP-lagring i Prop. 167 L (2020–2021) ble konkludert med at utlevering av IP-data til forebyggende formål burde utredes nærmere før det eventuelt vurderes å gi tilgang for enkelte sakstyper, og at departementet ville komme tilbake til dette. I lys av den teknologiske utviklingen, kriminaliteten på internett og særlig PSTs behov, vil departementet nå utrede om IP-data skal utleveres i saker der skadepotensialet er så stort at det av hensyn til samfunnet må anses som proporsjonalt innenfor tydelige og gode rammer, å gi tilgang til slike data for å forebygge alvorlige hendelser, og tilsvarende i visse saker der IP-data er særlig viktig for muligheten til å forebygge lovbruddet.
6.2 Sikkerhetstiltak og varslingsplikt
6.2.1 Gjeldende rett
Gjeldende ekomlov § 2-7 fastsetter at tilbyder skal gjennomføre nødvendige sikkerhetstiltak for vern av kommunikasjon og data i egne elektroniske kommunikasjonsnett og -tjenester. Tilbyder skal uten ugrunnet opphold og senest innen 24 timer varsle abonnent eller bruker dersom det foreligger
særlig risiko for brudd på sikkerheten,
sikkerhetsbrudd som har skadet eller ødelagt lagrede data, eller
sikkerhetsbrudd som har krenket personvernet til abonnent eller bruker.
Ved sikkerhetsbrudd som har krenket personvernet, er varsling av abonnent eller bruker ikke nødvendig der tilbyder overfor myndigheten har dokumentert at tilfredsstillende tekniske beskyttelsestiltak er gjennomført for dataene omfattet av sikkerhetsbruddet.
Tilbyder plikter å varsle myndigheten straks dersom det foreligger særlig risiko for brudd på sikkerheten eller sikkerhetsbrudd som har krenket personvernet til abonnent eller bruker.
Varslingspliktene etter gjeldende ekomlov § 2-7 første til fjerde ledd gjennomfører kommunikasjonsverndirektivets varslingsplikter ved sikkerhetsbrudd.
6.2.2 EUs regelverk
Ekomdirektivet artikkel 40 nr. 1 fastsetter at medlemsstatene skal sikre at tilbydere av offentlige elektroniske kommunikasjonsnett eller offentlig tilgjengelige elektroniske kommunikasjonstjenester treffer hensiktsmessige og forholdsmessige tekniske og organisatoriske tiltak for å håndtere risikoene knyttet til sikkerheten i nett og tjenester. Tiltakene skal sikre et sikkerhetsnivå som står i forhold til risikoen, når det tas hensyn til den beste tilgjengelige tekniske løsningen på feltet («state of the art»). Det skal særlig treffes tiltak, herunder eventuelt kryptering, for å forebygge og minimere virkningen av sikkerhetshendelser for brukere og for andre nett og tjenester.
Artikkel 40 nr. 2 og 3 inneholder varslingsplikter. Varslingsplikten til myndigheten inntrer dersom det foreligger en sikkerhetshendelse i offentlige elektroniske kommunikasjonsnett eller offentlig tilgjengelige elektroniske kommunikasjonstjenester, som har hatt vesentlig innvirkning på driften av nett- eller tjenester. Videre stilles det krav om at tilbyder av slike nett eller tjenester skal informere brukere som potensielt er berørt, dersom det foreligger en vesentlig risiko for en sikkerhetshendelse. Tilbyder skal i slike tilfeller informere brukeren om eventuelle vernetiltak eller avhjelpende tiltak som brukeren selv kan iverksette.
Etter artikkel 40 nr. 2 tredje ledd kan myndigheten pålegge tilbyder å informere offentligheten om sikkerhetshendelsen, dersom det er i allmennhetens interesse.
Kommunikasjonsverndirektivet artikkel 4 stiller også krav til sikkerhet og kommunikasjonsvernet i elektroniske kommunikasjonsnett og -tjenester. Etter artikkel 4 nr. 1 skal tilbyderen av offentlig elektronisk kommunikasjonstjeneste treffe egnede tekniske og organisatoriske tiltak for å sikre vern av sine tjenester, eventuelt sammen med tilbyder av offentlige elektroniske kommunikasjonsnett, når det gjelder sikkerhet i nettet. Tiltakene skal sikre et sikkerhetsnivå som står i forhold til risikoen, når det tas hensyn til den beste tilgjengelige tekniske løsningen på feltet. Som et minimum kreves det at tilbyder skal påse at det kun er autorisert personell som har tilgang til persondata for lovlige behandlingsformål. Tilbyder skal sikre at persondata som lagres eller overføres beskyttes mot skade, utilsiktede tap av data eller endringer av data, samt beskyttelse mot uautorisert eller ulovlig lagring, behandling, tilgang til eller deling av persondata. Videre kreves det at tilbyder har innarbeidet rutiner for sikker behandling av persondata i sin virksomhet.
Artikkel 4 nr. 2 oppstiller visse varslingsplikter for tilbyder når det foreligger en særlig fare for brudd på sikkerheten i nettet. I slike tilfeller skal tilbydere av offentlige elektroniske kommunikasjonstjenester varsle abonnentene om risikoen og, dersom faren ligger utenfor virkeområdet for de tiltak som tilbyderen skal treffe, om enhver mulig fremgangsmåte for å hindre at slikt brudd oppstår, herunder den kostnaden dette sannsynligvis vil medføre.
Etter artikkel 4 nr. 3 plikter tilbyder av elektroniske kommunikasjonstjenester å varsle myndigheten om brudd på persondata uten ugrunnet opphold. Dersom det er sannsynlig at persondatabruddet vil ha en negativ effekt på persondataene eller privatlivet til en abonnent eller bruker, skal tilbyder også varsle abonnent eller bruker uten ugrunnet opphold. Varsling er ikke nødvendig dersom tilbyder overfor myndigheten i tilstrekkelig grad kan vise til at nødvendige tekniske sikkerhetstiltak var implementert for de aktuelle dataene, som vil gjøre dataene uleselige for uvedkommende. Tilbyder skal etter artikkel 4 nr. 4 føre oversikt over persondatabruddene, konsekvensene av bruddene og hvilke tiltak som ble iverksatt, slik at myndigheten kan kontrollere etterlevelse av tilbyders sikkerhetsplikter ved behandling av persondata.
6.2.3 Forslaget i høringsnotatet 2. juli 2021
Departementet la i høringen til grunn at gjeldende bestemmelse om sikkerhetstiltak og varslingsplikt i gjeldende ekomlov § 2-7 er i samsvar med kommunikasjonsverndirektivet artikkel 4, og foreslo å videreføre bestemmelsen.
Ekomdirektivet artikkel 40 inneholder noen nye elementer som ikke følger av gjeldende rett, som ble foreslått innarbeidet. For det første er kravene til varsling av brukere noe annerledes utformet i ekomdirektivet enn i gjeldende ekomlov. For det andre ble det foreslått å innarbeide plikten i ekomdirektivet artikkel 40 nr. 1 til å treffe tiltak for å forebygge og minimere virkningen av sikkerhetshendelser for brukere og for andre nett og tjenester, når disse har oppstått. Det ble ikke foreslått å nevne kryptering eksplisitt i loven, da tilbyderne selv bør vurdere hva som er det mest egnede tiltaket.
Departementet foreslo for øvrig av lovtekniske hensyn å dele gjeldende ekomlov § 2-7, slik at reglene om sletteplikt ble skilt ut i en egen bestemmelse.
6.2.4 Høringsinstansenes syn
Advokatforeningen og IKT-Norge viser til at sikkerhetshendelse er definert i § 1-5 nr. 21, men at sikkerhetsbrudd bare er omtalt i merknadene. Dersom begrepene er ment å ha forskjellig innhold, for eksempel at sikkerhetsbrudd utelukker potensielle brudd, mener IKT-Norge at forskjellen bør klargjøres. Advokatforeningen foreslår at det må avklares om begrepene «sikkerhetshendelse» og «sikkerhetsbrudd» er tilsiktet å ha ulikt meningsinnhold, eller vurdere om det er mer hensiktsmessig å benytte samme begrep gjennomgående.
GlobalConnect viser til at det gis lite konkret veiledning om hva som utgjør en «vesentlig sikkerhetshendelse» utover å peke på ulike momenter i vurderingen som følge av ekomdirektivet. GlobalConnect mener at det bør utdypes hva slags type hendelser og hvilken alvorlighetsgrad som kvalifiserer, og at veiledningen bør beskrive eksempler eller typiske hendelser og som kan gis gjennom forskriften selv, merknadene eller annen veiledning.
IKT-Norge og Telenor ber om at forholdet mellom «nødvendige» sikkerhetstiltak i høringsutkastet § 3-1 (vern av kommunikasjon og data) og «forsvarlig» sikkerhet i nett og tjenester i § 3-8 forklares nærmere.
Advokatforeningen og IKT-Norge bemerker at selv om departementet viser til at plikten til å treffe «egnede tiltak» for å forebygge og minimere virkningene av sikkerhetshendelser i høringsutkastet § 3-1 første ledd følger av direktivet, så gis det lite veiledning om hva som kan være et egnet tiltak. Advokatforeningen foreslår at departementet vurderer å gi slik nærmere veiledning av hva som utgjør «egnede tiltak». IKT-Norge og Advokatforeningen viser også til at departementet peker på at tilbyder også skal varsle brukerne om eventuelle vernetiltak eller avhjelpende tiltak som brukerne selv kan treffe, men at dette ikke er reflektert i ordlyden i forslaget.
Ice viser til ekomlovens frist til å varsle abonnent eller bruker innen 24 timer ved personvernbrudd, mens brudd som omfattes av personvernforordningen artikkel 33 og 34 skal varsles den registrerte uten ugrunnet opphold og Datatilsynet innen 72 timer. Ice ber om at eventuelle absolutte tidsfrister vurderes harmonisert med personvernforordningen.
IKT-Norge mener at det er uklart når varslingsplikten inntrer overfor kunder, og at bestemmelsen fremstår som noe unyansert.
IKT-Norge og Lyse mener det bør klargjøres hvilken konkret myndighet som skal ha varselet i henhold til fjerde ledd. Abelia og Lyse viser til at reglene om kommunikasjonsvern og sikkerhet til dels har overlapp med reglene om kommunikasjonsvern i personvernlovgivningen og sikkerhet i sikkerhetsloven.
IKT-Norge og Telia mener de strenge varslingskravene i forslag til ekomforskriften § 9-8 (som nå er slått sammen med varslingsreglene i loven), må være forbeholdt faktiske sikkerhetshendelser og ikke hendelser som «kan medføre» en sikkerhetshendelse.
Telia viser til departementets merknad om at «Nasjonal kommunikasjonsmyndighet skal fortløpende informere Datatilsynet når de mottar varsel som kan ligge innenfor Datatilsynets kompetanseområde». Telia mener at kommentaren kan forstås dit hen at tilbyder kun trenger å varsle Nasjonal kommunikasjonsmyndighet, noe som i så fall er i tråd med hva Telia anser å være mest hensiktsmessig. Telia ber i alle tilfeller om en klargjøring med hensyn til om et varsel til Nasjonal kommunikasjonsmyndighet anses tilstrekkelig i angjeldende situasjoner.
Telenor peker på at samme sikkerhetshendelse kan være omfattet av sikkerhetsloven og personvernforordningen i tillegg til ekomloven, og dermed kan utløse varslingsplikt til flere myndigheter. For strenge varslingsplikter til en myndighet kan vanskeliggjøre god varsling og redegjøring til en annen ifølge Telenor.
6.2.5 Departementets vurdering
Departementet understreker viktigheten av at tilbyderne varsler brukerne og myndigheten ved sikkerhetshendelser og opprettholder derfor det materielle innholdet i reguleringen. Samtidig endres strukturen i lovforslaget slik at reguleringen blir lettere tilgjengelig. Når det gjelder høringsinnspillet fra Telenor og IKT-Norge om forholdet mellom «nødvendige» sikkerhetstiltak i § 3-1 og «forsvarlig» sikkerhet i nett og tjenester i § 3-8, ser departementet at det er behov for klargjøring. Forslaget til § 3-1 (vern av kommunikasjon og data) har et delvis overlappende anvendelsesområde med § 3-8 (sikkerhet i nett- og tjenester) slik også enkelte av høringsinstansene har påpekt. Begge bestemmelser gjennomfører ekomdirektivet artikkel 40. Ettersom bestemmelsene har innholdsmessige overlapp, foreslår departementet av pedagogiske grunner, og for å forenkle anvendelsen av de to regelsettene for både tilbyderne og myndigheten, at de overlappende elementene i bestemmelsen om «vern av kommunikasjon og data» og bestemmelsen om «sikkerhet i nett og tjenester» slås sammen til en felles sikkerhetsbestemmelse under tittelen «sikkerhet i nett og tjenester». Den nye fellesbestemmelsen foreslås tatt inn i ny § 3-1.
Departementet har mottatt flere høringsinnspill til varslingskravene i høringsforslaget § 3-1. Departementet er enig i at det er behov for å klargjøre varslingsreglene, og foreslår å skille ut varslingspliktene i to bestemmelser i ny lov; én for varsling til abonnent og bruker ved sikkerhetshendelser i § 3-2, og én for varsling til myndigheten ved sikkerhetshendelser i § 3-3. Dette vil i større grad klargjøre varslingspliktene i de to situasjonene og gjøre reglene mer operative. Endringen innebærer videre at varslingsbestemmelsen samles i lov i stedet for å deles mellom lov og forskrift. Varslingspliktene etter ekomdirektivet artikkel 40 nr. 2 og kommunikasjonsverndirektivet artikkel 4 nr. 3, oppstiller ulike terskler for blant annet når myndigheten skal varsles ved sikkerhetshendelser. Etter kommunikasjonsverndirektivet skal alle brudd på personvernet varsles myndigheten uten ugrunnet opphold. Til sammenligning begrenser ekomdirektivet varslingsplikten til sikkerhetshendelser som har hatt en vesentlig innvirkning på driften av elektroniske kommunikasjonsnett og -tjenester. Varslingspliktene etter ekomdirektivet omfatter i tillegg til tilgjengelighet, også sikkerhetshendelser som rammer autentisitet, integritet eller konfidensialitet i elektroniske kommunikasjonsnett eller -tjenester, som også dekkes av kommunikasjonsverndirektivet. Etter departementets vurdering vil det være unødvendig og uhensiktsmessig å rapportere enhver hendelse uavhengig av alvorlighetsgrad. Departementet mener at det vil være en fordel både for tilbyder og myndigheten at varslingsplikten ikke inntrer ved enhver sikkerhetshendelse, men at det oppstilles en viss terskel slik ekomdirektivet legger opp til. Dette vil hindre at det rapporteres unødvendig ofte, og sikre at myndigheten kan konsentrere seg om oppfølging av sikkerhetshendelser av en viss alvorlighetsgrad.
Departementet har merket seg at våre naboland Sverige og Danmark har valgt å gjennomføre varslingspliktene til myndigheten etter ekomdirektivet. Departementet mener en tilsvarende løsning har de beste grunner for seg også i Norge. Abonnent eller bruker vil for øvrig være ivaretatt gjennom forslaget om at tilbyder, uten ugrunnet opphold, skal varsle abonnent eller bruker om sikkerhetsbrudd som har hatt eller vil kunne ha en negativ effekt for kommunikasjons- eller personvernet til abonnenten eller brukeren.
Advokatforeningen og IKT-Norge har stilt spørsmål ved om begrepene «sikkerhetshendelse» og «sikkerhetsbrudd» er ment å ha forskjellig innhold. Departementet viser til at de to begrepene er hentet fra to ulike direktiver. Begrepet «sikkerhetshendelse» brukes i ekomdirektivet artikkel 40 nr. 1, mens begrepet «sikkerhetsbrudd» brukes i kommunikasjonsverndirektivet artikkel 4 nr. 2. Det følger av forslaget til definisjon i § 1-5 nr. 21 at en sikkerhetshendelse omfatter både sikkerhetsbrudd og hendelser som kan føre til sikkerhetsbrudd. En sikkerhetshendelse er en avvikssituasjon relatert til konfidensialitet, integritet, autentisitet og/eller tilgjengelighet. Et sikkerhetsbrudd er en hendelse som fører til uautorisert tilgang til eller tap av data, applikasjoner, nettverk eller enheter. Det er et bevisst valg av ord når departementet for eksempel i forslaget til § 3-2 andre ledd knytter varslingsreglene overfor abonnent eller bruker til «sikkerhetsbrudd» som terskel for å varsle, og ikke det mer omfattende begrepet «sikkerhetshendelse». Departementet tar inn en legaldefinisjon av sikkerhetsbrudd i § 1-5 nr. 22 for å lette forståelsen.
Når det gjelder GlobalConnects uttalelse om at det gis lite konkret veiledning om hva som utgjør en «vesentlig sikkerhetshendelse», vil det etter departementets syn ikke være mulig eller hensiktsmessig å uttømmende angi hva som kan utgjøre en «vesentlig sikkerhetshendelse». Dette vil avhenge av mange faktorer og må vurderes konkret i det enkelte tilfelle. Departementet er imidlertid enig i at det vil være en fordel å konkretisere noe mer, og foreslår at listen over momenter som skal inngå i en konkret vurdering av om det foreligger en vesentlig sikkerhetshendelse løftes fra ekomforskriften til loven. Se forslag til ny § 3-3 andre ledd. Eksempler på vesentlige sikkerhetshendelser kan for øvrig være DDOS-angrep1 eller infisering av ondartet programvare, men etter omstendighetene også ikke-bevisste hendelser slik som manglende sikkerhetsmessig oppdatering. Departementet legger opp til å gi ytterligere veiledning i forskrift om når varslingsplikten vil inntre.
Når det gjelder Ice sitt forslag om at varslingsfristene bør samkjøres med frister etter personvernforordningen, viser departementet til at det er formålet med varslingen som ligger til grunn for de ulike fristene som er oppstilt. Departementet har gjennomgått varslingsfristene på nytt etter høringen, og foreslår at varslingen til abonnent og bruker skal skje uten ugrunnet opphold. Departementet foreslår at varsling til myndigheten skal skje umiddelbart etter at tilbyder er kjent med en sikkerhetshendelse som har medført vesentlige brudd på tilgjengeligheten. Det er i slike tilfeller særlig viktig at myndigheten får beskjed straks. Dette er en videreføring av gjeldende praksis. Behovet for umiddelbar varsling i slike situasjoner skyldes at bortfall av elektronisk kommunikasjon vil kunne få store konsekvenser for den enkelte, og at store bortfall vil kunne få store konsekvenser for samfunnet. Videre plikter tilbyder å varsle myndighetene uten ugrunnet opphold om vesentlig brudd på autentisitet, integritet eller konfidensialitet i tilbyders elektroniske kommunikasjonsnett eller -tjenester. Kriteriet «uten ugrunnet opphold» vil kunne variere fra sak til sak og skal sikre at myndigheten får tilstrekkelig informasjon på et tidlig tidspunkt for å kunne iverksette eventuelle ytterligere sikkerhets- og beredskapstiltak.
Departementet er enig med Telia og IKT-Norge i at varslingsplikten bør begrenses til faktiske, og ikke potensielle, sikkerhetshendelser, og har synliggjort dette i forslag til § 3-3 første ledd ved å fjerne «eller kan medføre brudd […]».
Til IKT-Norge og Advokatforeningens uttalelser om at selv om departementet viser til at plikten til å treffe «egnede tiltak» følger av direktivet, så gis det lite veiledning om hva som kan være et egnet tiltak, viser departementet til at tilbyder selv kjenner egne nett og tjenester best, og er den som aktivt må ta stilling til sikkerhetstiltak under hensyn til teknologisk utvikling, sårbarheter og trusselbildet, avhengigheter osv. For eksempel kan det å sikre konfidensialitet bety at det foreligger fysisk og logisk beskyttelse mot at kommunikasjon og data avsløres for uvedkommende, og at virksomheten har implementert tilgangsregulering og logging. Andre relevante tiltak er for eksempel at virksomheten sørger for oppdatert backup, installerer systemoppdateringer, benytter multifaktor autentisering og bevisstgjør og kurser personell i vern av kommunikasjon og data.
Hvem som er riktig myndighet etter ekomloven vil fremgå av forskrift om funksjonsfordeling. Når det gjelder varsling etter personvernforordningen og ekomloven, er det snakk om to ulike regelverk og det må varsles til begge myndighetene. Varsel etter sikkerhetsloven og ekomloven går til samme myndighet fordi departementet og Nasjonal kommunikasjonsmyndighet er sektormyndighet etter sikkerhetsloven.
6.3 Bruk av informasjonskapsler mv.
6.3.1 Gjeldende rett
Ekomloven § 2-7b regulerer bruk av informasjonskapsler, og gjennomfører artikkel 5 nr. 3 i direktiv 2002/58/EF. Bestemmelsen fastsetter at det ikke er tillatt å lagre opplysninger i brukers kommunikasjonsutstyr eller skaffe seg adgang til slike opplysninger, uten at brukeren er informert om hvilke opplysninger som behandles, formålet med behandlingen, hvem som behandler opplysningene, og har samtykket til dette. Dette er ikke til hinder for teknisk lagring av eller adgang til opplysninger enten utelukkende for det formål å overføre kommunikasjon i et elektronisk kommunikasjonsnett, eller som er nødvendig for å levere en informasjonssamfunnstjeneste etter brukerens uttrykkelige forespørsel.
Det følger av merknaden til bestemmelsen i Prop. 69 L (2012–2013) at kravet til samtykke vil være oppfylt ved at sluttbruker benytter en teknisk innstilling i nettleser eller tilsvarende i de tilfeller der dette er teknisk mulig og effektivt. Også forhåndsinnstilling i nettleser om at brukeren aksepterer informasjonskapsler anses å utgjøre et samtykke, forutsatt at det finnes klar og tydelig informasjon tilgjengelig på det aktuelle nettstedet om hvilke informasjonskapsler og lignede teknikker som benyttes, hvilke opplysninger som behandles, formålet med behandlingen og hvem som behandler opplysningene. Det er tilstrekkelig at brukeren samtykker én gang for det samme formålet. Bruker skal imidlertid til enhver tid ha mulighet til å trekke tilbake sitt samtykke.
6.3.2 EUs regelverk
Adgangen til å kunne benytte informasjonskapsler (cookies) reguleres av kommunikasjonsverndirektivet artikkel 5 nr. 3. I ekomdirektivet omtales bruk av informasjonskapsler i fortalen punkt 16, men direktivet regulerer ikke bruk av informasjonskapsler nærmere.
I utgangspunktet fastslo kommunikasjonsverndirektivet artikkel 5 nr. 3 at bruk av elektronisk kommunikasjonsnettverk for å lagre informasjon eller for å få tilgang til informasjon lagret i terminalutstyret til en abonnent eller bruker, kun var tillatt på betingelse av at vedkommende fikk klar og omfattende informasjon om blant annet formålet med behandlingen, samt ble tilbudt å kunne nekte en slik behandling.
Denne bestemmelsen ble endret ved direktiv 2009/136/EF til at abonnenten eller brukeren skal ha gitt sitt samtykke til behandlingen. Av fortalen til direktiv 2009/136/EF punkt (66) fremgår det følgende:
«Det kan forekomme, at tredjeparter ønsker at lagre oplysninger på en brugers udstyr eller at få adgang til allerede lagrede oplysninger til en række formål lige fra legitime formål (såsom visse typer cookies) til formål, der indebærer uberettiget krænkelse af privatsfæren (såsom spyware eller virus). Det er derfor af aller største betydning, at brugere får klare og fyldestgørende oplysninger, når de foretager sig noget, der kunne medføre en sådan lagring eller adgang fra tredjeparts side. Midlerne til at give oplysninger og give ret til at nægte lagring eller adgang bør gøres så brugervenlige som muligt. […] Hvor det er teknisk muligt og effektivt, i overensstemmelse med de relevante bestemmelser i direktiv 95/46/EF, kan brugerens samtykke til databehandling udtrykkes gennem anvendelse af passende browserindstillinger eller andre applikationer. Håndhævelsen af disse krav bør gøres mere effektiv ved at give de relevante nationale myndigheder øgede beføjelser.»
I kommunikasjonsverndirektivet artikkel 2 andre avsnitt bokstav f vises det til at en brukers eller en abonnents samtykke tilsvarer den registrertes samtykke i direktiv 95/46/EF (personverndirektivet). Det fremgår også av kommunikasjonsverndirektivet artikkel 5 nr. 3 at medlemsstatene skal sikre at lagring av opplysninger eller adgang til opplysninger som allerede er lagret i en abonnents eller brukers terminalutstyr, kun er tillat på betingelse av at abonnenten eller brukeren har gitt sitt samtykke etter å ha mottatt klare og fyllestgjørende opplysninger, blant annet om formålet med behandlingen, i overensstemmelse med direktiv 95/46/EF.
Samtykke ble definert slik i artikkel 2 bokstav h i personverndirektivet:
«h) «den registrertes samtykke»: enhver frivillig, spesifikk og informert viljesytring om at den registrerte gir sitt samtykke til at personopplysninger om vedkommende blir behandlet.»
Personverndirektivet ble opphevet med virkning fra 24. mai 2018, og erstattet av forordning (EU) 2016/679 om beskyttelse av individer ved behandling av personopplysninger og om fri flyt av slike opplysninger (personvernforordningen). Personvernforordningen artikkel 94 nr. 2 fastsetter at henvisninger til det opphevede personverndirektivet skal forstås som henvisninger til forordningen. Dette må etter departementets syn forstås slik at personvernforordningens definisjoner av samtykke nå skal legges til grunn ved tolkningen av kommunikasjonsverndirektivet.
I personvernforordningen artikkel 4 nr. 11 defineres samtykke slik:
«11) «samtykke» fra den registrerte enhver frivillig, spesifikk, informert og utvetydig viljesytring fra den registrerte der vedkommende ved en erklæring eller en tydelig bekreftelse gir sitt samtykke til behandling av personopplysninger som gjelder vedkommende,»
I personvernforordningens fortale punkt 32 omtales samtykkekravet på følgende måte:
«Samtykke bør gis i form av en tydelig bekreftelse der den registrerte på en frivillig, spesifikk, informert og utvetydig måte gir sitt samtykke til behandling av vedkommendes personopplysninger, f.eks. i form av en skriftlig, herunder elektronisk, eller en muntlig erklæring. Dette kan innebære å krysse av i en boks under et besøk på et nettsted, velge tekniske innstillinger for informasjonssamfunnstjenester eller en annen erklæring eller handling som i denne forbindelse tydelig viser at den registrerte godtar den foreslåtte behandlingen av vedkommendes personopplysninger. Taushet, forhåndsavkryssede bokser eller inaktivitet bør derfor ikke utgjøre et samtykke. Et samtykke bør omfatte alle behandlingsaktiviteter som utføres med henblikk på samme formål. Dersom det er flere formål med behandlingen, bør det gis samtykke til alle. Dersom den registrertes samtykke skal gis etter en elektronisk anmodning, må anmodningen være tydelig, kortfattet og ikke unødig forstyrre bruken av den tjenesten samtykket gjelder.»
Samtykkekravet i kommunikasjonsverndirektivet er ved vedtakelsen av personvernforordningen dermed skjerpet og presisert.
EU-domstolen avsa 1. oktober 2019 dom i sak C-673/17 (Planet49), som omhandlet krav til samtykke etter kommunikasjonsverndirektivet artikkel 5 nr. 3. Saken gjaldt blant annet vurderinger av lovligheten av forhåndsutfylt felt som grunnlag for samtykke til plassering av informasjonskapsler. På bakgrunn av en tolkning av artikkel 2 bokstav f og artikkel 5 nr. 3 i kommunikasjonsverndirektivet, sett i sammenheng med artikkel 2 bokstav h i personverndirektivet og artikkel 6, nr. 1 bokstav a i personvernforordningen, kom domstolen til at et samtykke til lagring av opplysninger eller adgang til allerede lagrede opplysninger, via informasjonskapsler, ikke er gyldig når det er gitt gjennom et forhåndsutfylt felt, som brukeren eventuelt vil måtte fjerne for å nekte å gi sitt samtykke. Domstolen viste til at det at en bruker trykker på en knapp for å delta i en konkurranse, ikke kan være tilstrekkelig til å legge til grunn at brukeren har gitt samtykke til plassering av informasjonskapsler. Domstolen slo videre fast at formålet med kommunikasjonsverndirektivet artikkel 5 nr. 3 er å beskytte brukeren mot inngrep i dennes privatsfære, uavhengig av om inngrepet vedrører personopplysninger eller ikke. Begrepet samtykke skal derfor ikke tolkes ulikt avhengig av om det dreier seg om personopplysninger eller ikke. Domstolen kom også til at kravet om at bruker skal få klare og omfattende opplysninger, blant annet om formålet med behandlingen, innebærer at brukeren skal være i stand til å enkelt kunne forstå konsekvensene av samtykket. Dette omfatter opplysninger om varigheten av informasjonskapselens funksjon og om tredjemanns mulighet til å få adgang til informasjonskapselen.
Europakommisjonen la 10. januar 2017 frem forslag til en ny kommunikasjonsvernforordning, som skal erstatte gjeldende kommunikasjonsverndirektiv. Hvilke regler som skal gjelde for bruk av informasjonskapsler, er ett av spørsmålene som drøftes i arbeidet med forordningen. Det har vært stor politisk uenighet i EU om innholdet i den nye kommunikasjonsvernforordningen, blant annet om tilbydernes adgang til å innhente og behandle persondata om deres abonnenter og brukere. Arbeidet med forordningen er ennå ikke ferdigstilt. Det er pr. i dag usikkert når en forordning vil kunne vedtas, og hvilken regulering av informasjonskapsler som vil bli vedtatt.
6.3.3 Forslaget i høringsnotatet 2. juli 2021
Informasjonskapsler brukes for til dels svært ulike formål, blant annet for å kartlegge brukermønstre, samle inn metadata, persontilpasse tjenester, øke brukervennligheten, samt til statistikk.
Som omtalt under punkt 6.3.1 er kravet til samtykke i kommunikasjonsverndirektivet skjerpet og presisert gjennom vedtakelsen av personvernforordningen og EU-domstolens dom i sak C-673/17. Departementet foreslo i høringen å ta inn en presisering i forslag til ny ekomlov § 3-7 (bruk av informasjonskapsler, ny § 3-15) om at et samtykke må være en frivillig, spesifikt, informert og utvetydig viljesytring gitt ved en erklæring eller en tydelig bekreftelse.
Videre ble det foreslått at kravet til samtykke fremdeles kan oppfylles ved at sluttbruker benytter en teknisk innstilling i nettleser eller tilsvarende i de tilfeller der dette er teknisk mulig. Uavhengig av hvordan samtykket innhentes, kreves det imidlertid at dette gis gjennom et aktivt valg av brukeren. Dersom samtykke skal gis gjennom nettleseren må sluttbrukeren selv gi et aktivt samtykke. Samtykke skal ikke kunne gis ved at tilbyderen av nettleseren eller nettsiden har et forhåndssamtykke (opt-out-løsning) som standardinnstilling, eller har fylt ut en rute for avkrysning som brukeren må fjerne dersom brukeren ikke ønsker å tillate informasjonskapsler. Et samtykke skal også kunne trekkes tilbake like lett som det er gitt.
6.3.4 Høringsinstansenes syn
Når det gjelder kravet til samtykke for bruk av informasjonskapsler, deler høringsinstansene seg i hovedsak i to leire.
Representantene fra mediebedriftene viser til at informasjonskapsler genererer inntekter for dem, og er imot forslaget i høringen om å tydeliggjøre og skjerpe kravet til samtykke. Mediebedriftenes Landsforening (MBL) viser til at dersom kravet til samtykke til informasjonskapsler og andre identifikatorer strammes inn, vil dette kunne innebære en betydelig reduksjon i norske redaksjonelle mediers annonseinntekter. De viser til at reklameinntekter er en sentral del av «ytringsfrihetens økonomi», og mener et skjerpet samtykkekrav vil innebære en direkte svekkelse av ytringsfriheten og ytringsfrihetens infrastruktur, og i sin ytterste konsekvens kunne ha en avkjølende effekt på samfunnsdebatten. MBL viser i den forbindelse til at også kommersielle ytringer har et vern etter Grunnloven § 100. MBL mener også at et skjerpet samtykkekrav vil svekke norske publisisters konkurranseevne mot globale teknologigiganter. Etter MBLs syn må informasjonskapsler og andre identifikatorer som er nødvendige for finansiering av redaksjonelle medier, anses som nødvendige informasjonskapsler som bør unntas fra kravet til samtykke. MBL viser også til at deres medlemmer har valgt å benytte «legitim interesse», i stedet for samtykke, som rettslig grunnlag for behandling av personopplysninger etter personopplysningsloven. MBL oppfordrer departementet til å revurdere muligheten for at tilbydere av nettlesere skal kunne være «portvoktere» for innhenting av samtykke.
Aller Media, Dagbladet, Amedia, Fagpressen, Mentor Medier, Norsk Journalistlag, Norsk Redaktørforening, Polaris Media, Schibsted og TV2 slutter seg i hovedsak til synspunktene som MBL fremlegger.
Datatilsynet og Forbrukertilsynet, med støtte fra Forbrukerrådet, uttrykker på den annen side en sterk støtte til at samtykkekravet innskjerpes. Tilsynene viser til at en betydelig andel av personopplysningene som samles inn om norske brukere, samles inn gjennom informasjonskapsler og andre sporingsteknologier. Slike personopplysninger har blitt store penger i den digitale økonomien, og sosiale medier, apper, mv. hvor forretningsmodellen er å tjene penger på forbrukeres data, har blitt vanlig. Forbrukerhensyn og personvern glir over i hverandre.
Tilsynene viser til at rettstilstanden vedrørende samtykke til informasjonskapsler er uklar i Norge i dag, og at dette har åpnet opp for bruk av forhåndsinnstillinger i nettleser eller andre løsninger hvor det er mye enklere å gi samtykke enn å la være å samtykke. Dette har i årevis medført en utstrakt innsamling av personopplysninger med svært begrenset kontroll og valgmulighet for forbrukerne. Det vises videre til at en manglende respekt for personers selvbestemmelse over egne personopplysninger er en utfordring for norske brukeres menneskerettigheter. Dette har ikke bare konsekvenser for den enkelte, men kan også ha store konsekvenser for samfunnet som helhet, herunder nasjonale sikkerhetspolitiske utfordringer. Spørsmålet om regulering av bruk av informasjonskapsler handler derfor om mer enn samtykkebokser som dukker opp når man besøker en nettside.
Når det gjelder spørsmålet om samtykke kan gis gjennom bruk av innstillinger i nettleser, viser tilsynene til at de ikke er kjent med at det pr. i dag finnes tekniske løsninger som gjør at et slikt samtykke vil være i tråd med kravene i personvernforordningen. Dersom departementets uttalelse om samtykke gjennom nettleserinnstillinger blir stående i lovproposisjonen, vil det kunne medføre at ønsket om et regelverk som er harmonisert med EØS-landene ikke oppfylles. Tilsynene mener det er viktig at det rettes opp i dette.
Også Advokatforeningen er positiv til at norske regler om informasjonskapsler harmoniseres med EU-retten, både for å sikre at de norske reglene gir det samme kommunikasjonsvernet og personvernet som EU-reglene, og for å skape forutberegnelighet for rettighets- og pliktsubjektene. Når det gjelder spørsmålet om samtykke gjennom nettleserinnstillinger, mener imidlertid Advokatforeningen at det med dagens teknologi ikke er gitt at kravene til samtykke i personvernforordningen vil kunne oppfylles. I dag kan man i nettleserne i hovedsak bare velge mellom å godta «ingen» eller «alle» informasjonskapsler, uavhengig av formålet med dem. Advokatforeningen mener også at departementet bør være forsiktig med å gi merknader om hvordan samtykkekravet kan oppfylles i praksis, siden dette kan lede til utilsiktede tolkingsforskjeller mellom norsk rett og EU-retten. Slik veiledning bør i stedet gis av tilsynsmyndigheten, som kan sørge for at veiledningen/forskriftene til enhver tid holdes oppdatert i tråd med det som er gjeldende EU/EØS-rett.
Telia mener det er vanskelig å se for seg hvordan samtykke gjennom innstillinger i nettleser med videre skal oppfylle informasjonskravet i personvernforordningen. Når samtykke avgis, skal bruker kunne forstå formålet med behandlingen, varigheten av informasjonskapselens funksjon og om tredjemanns mulighet til å få adgang til informasjonskapselen. Dette er ikke informasjon som kan gis én gang for alle når bruker gjør sine innstillinger. Telia er heller ikke kjent med at det i tilstrekkelig grad er utredet hva som er de kjente nettlesernes standardinnstillinger og om det er lagt til rette for å gi informerte, aktive samtykker. Etter Telias vurdering bør Norges implementering av kravet om samtykke til informasjonskapsler heller gjøres i samsvar med øvrige nordiske land. Det bør også stilles krav om at nettsider som anvender informasjonskapsler, gjør det like enkelt å si nei til alle informasjonskapsler som ikke er nødvendige for sidens funksjonalitet, som det er å akseptere alle.
Medietilsynet viser til at omfattende global sporing og mikromålretting av reklame på brukernivå kan utfordre både personvern og ytringsfrihet, og ha en såkalt nedkjølingseffekt. Medietilsynet fremhever at brukere kan komme til å holde seg borte fra nettsøk eller nettsider som kan gi plattformene sensitive data (for eksempel forhold relatert til egen helse), som plattformene igjen kan bruke til predikering av vaner og målretting av annonser. En slik atferd er uheldig fra et ytringsfrihetsperspektiv. Mulighetene for innsyn og innsikt i hvordan plattformene og andre lagrer, deler og bruker personopplysningene, er også relativt små, og brukerne har dermed få forutsetninger til fullt ut å kunne vite hva et samtykke faktisk innebærer. Medietilsynet støtter derfor intensjonen i lovforslaget om at personvern på nett for brukerne må sikres bedre i det globale offentlige samfunnet, og at samtykke til innsamling av data må bli gitt i tråd med reglene i personvernforordningen.
Medietilsynet deler likevel uroen medievirksomhetene har for at finansieringen av journalistikken kan bli svekket. Tilsynet mener derfor det bør utredes nærmere hvordan en lovendring kan påvirke media, og hvordan et inntektsbortfall eventuelt kan kompenseres i en overgangsfase. Samtykke for informasjonskapsler med videre må harmoniseres og håndheves i EØS for alle virksomheter som opererer i det indre markedet, og regulering av informasjonskapsler bør ses i sammenheng med kommunikasjonsvernforordningen og andre aktuelle forslag i EU som omhandler målretting av reklame. Tilsynet mener det også må sikres at nasjonale redaktørstyrte medium ikke får strengere regulering enn globale plattformer.
Datatilsynet og Forbrukertilsynet viser til at selve innhentingen av personopplysninger gjennom bruk av informasjonskapsler i dag er regulert av kommunikasjonsverndirektivet og ekomloven som lex specialis, mens den etterfølgende behandlingen av personopplysninger (lagring, analyse, med videre) blir regulert av personvernforordningen. I dag er det derfor to tilsynsmyndigheter som har ansvaret for å føre tilsyn med hver sin del av systemet. Tilsynene viser til at den fragmenterte tilsynskompetansen mellom Nasjonal kommunikasjonsmyndighet og Datatilsynet fremstår som forvirrende og byråkratisk for en vanlig person som ønsker å klage på hvordan personopplysninger om dem samles inn. Dagens system gjør det også vanskelig for Datatilsynet å løse sitt samfunnsoppdrag. Tilsynene foreslår derfor at også Datatilsynet skal kunne håndheve ny ekomlov § 3-7 (bruk av informasjonskapsler, ny § 3-15). Det vil gjøre det enklere å vurdere lovligheten av den opprinnelige innsamlingen og den etterfølgende behandlingen av de innsamlede personopplysningene, under ett. Det presiseres at de ikke foreslår å begrense Nasjonal kommunikasjonsmyndighets kompetanse til å føre tilsyn med bestemmelsen. Tilsynene viser også til at blant annet datatilsynene i Spania (AEPD) og Frankrike (CNIL) har kompetanse til å håndheve kommunikasjonsverndirektivet artikkel 5 nr. 3.
Også Forbrukerrådet mener det fremstår som lite hensiktsmessig at Datatilsynet, som tilsynsorgan for behandling av personopplysninger, ikke skal ha kompetanse til å håndheve i saker som gjelder for eksempel informasjonskapsler. Fra et forbrukerperspektiv skaper det også forvirring at klagesaker som gjelder for eksempel informasjonskapsler ikke skal rettes til Datatilsynet. Denne forvirringen kan i praksis føre til svekkede rettigheter for forbrukere. Forbrukerrådet mener derfor at tilsynskompetansen etter ekomloven § 3-7 (bruk av informasjonskapsler) bør ligge hos Datatilsynet.
Allente mener det vil være prinsipielt uheldig å innføre delt tilsynskompetanse med Datatilsynet i forslag til ny ekomlov, da problemstillingen i tilfelle vil unndras bred, alminnelig høring. I tillegg har langt de fleste EØS-land lagt tilsyn med informasjonskapsler til et tilsynsorgan som håndhever reglene om elektronisk kommunikasjon, for eksempel Erhvervsstyrelsen i Danmark.
Flere høringsinstanser, blant annet Abelia, Allente, Næringslivets Hovedorganisasjon (NHO) og mediebedriftene, mener det bør ventes med å gjøre endringer i ekomlovens bestemmelse om informasjonskapsler, siden det vil kunne bli nødvendig å innføre nye lovendringer når den nye kommunikasjonsvernforordningen vedtas. NHO viser særlig til at en lovendring i Norge vil kunne ha store praktiske konsekvenser og økonomiske konsekvenser for norske bedrifter i en rekke ulike bransjer, og at blant annet det annonsebaserte inntektsgrunnlaget, som er viktig for mediebedrifter og dermed igjen for demokratiets infrastruktur, vil kunne svekkes.
Advokatforeningen mener overskriften på forslaget til ny ekomlov § 3-7 (bruk av informasjonskapsler, ny §3-15) bør endres all den tid ikke bare informasjonskapsler, men også annen teknologi faller innenfor bestemmelsen. Bestemmelsen gjelder for det å lagre eller å skaffe seg tilgang til opplysninger i sluttbrukers kommunikasjonsutstyr, noe som kan omfatte også andre typer teknologi enn informasjonskapsler. En mer hensiktsmessig overskrift på bestemmelsen kan dermed være «Bruk av informasjonskapsler mv.». Tilsvarende bemerker Forbrukerrådet at formålet bak artikkel 5 nr. 3 i kommunikasjonsdirektivet er ment å favne videre enn informasjonskapsler, da den omfatter andre teknologiske midler som tas i bruk for å samle inn og behandle personopplysninger. Det gjelder for eksempel teknologi for å samle inn personopplysninger fra apper på mobiltelefoner, eller for å hente ut informasjon fra kjøretøy. For å være teknologinøytral, bør departementet i lovarbeidet derfor revurdere overskriften og bruken av ordet «informasjonskapsler» ellers.
Advokatforeningen viser til at departementet foreslår å innta en definisjon av samtykke som tilsvarer definisjonen av samtykke i personvernforordningen, også slik at de enkelte elementene i definisjonen fremgår av selve lovteksten. Advokatforeningen mener det antakelig er mer hensiktsmessig at det presiseres i lovteksten eller i forarbeidene at det med samtykke menes samtykke etter personvernforordningen, uten at hele definisjonen og dens enkelte elementer tas inn i selve lovteksten. Også Forbrukertilsynet og Datatilsynet mener forslaget til ny § 3-7 (bruk av informasjonskapsler) bør henvise til personvernforordningens definisjon av samtykke, i stedet for å innta en ny definisjon av samtykke i lovteksten.
Advokatforeningen kommenterer at artikkel 5 nr. 3 i direktiv 2002/58/EU fikk sin nåværende form gjennom endringsdirektivet 2009/136/EU, og at departementet bør kommentere at endringsdirektivet ikke er innlemmet i EØS-avtalen og hvilke konsekvenser dette eventuelt skal ha, eller ikke skal ha, for tolkningen av lovbestemmelsen.
6.3.5 Departementets vurdering
Departementet opprettholder høringsforslagets skjerpede samtykkekrav. Departementet mener at medienes økonomiske utfordringer ikke kan løses ved å hindre brukerne i å kunne si nei til markedsføringsinformasjonskapsler. Departementet viser i den sammenheng til Medietilsynets uttalelse om at en sporing og mikromålretting av reklame på brukernivå også vil kunne ha en nedkjølende effekt, ved at brukere vil vegre seg for å besøke nettsider som kan gi plattformene sensitive data om for eksempel helse.
Når det gjelder innspillene fra MBL m.fl. om forholdet til globale plattformer, bemerker departementet at lovendringen vil bringe norsk rett i samsvar med EU-retten på dette punktet, og at norske medier ikke vil bli stilt i en dårligere posisjon enn andre innenfor EØS. Etter departementets vurdering er det ikke anledning etter kommunikasjonsverndirektivet artikkel 5 nr. 3 å unnta redaktørstyrte medier fra samtykkekravet ved bruk av informasjonskapsler for å finansiere redaktørstyrte medier. Etter kommunikasjonsverndirektivet artikkel 5 nr. 3, kan det gjøres to unntak fra informasjons- og samtykkekravene. Det første unntaket gjelder teknisk lagring av eller tilgang til opplysninger som utelukkende har til formål å overføre kommunikasjon i et elektronisk kommunikasjonsnett. Dette unntaket retter seg først og fremt mot ekomtilbyder, særlig tilbyder av tilgang til internett der bruken av informasjonskapsler er nødvendig for å sikre en enkel og hurtig oppkobling til internett. Det andre unntaket gjelder der bruken av informasjonskapsler er nødvendig for å sette den som tilbyr informasjonssamfunnstjenesten i stand til å levere tjenesten etter sluttbrukerens uttrykkelige forespørsel. En informasjonssamfunnstjeneste er en innholdstjeneste på internett, for eksempel en hjemmeside. Med nødvendig menes at bruk av informasjonskapselen er en forutsetning for å kunne levere tjenesten. Ingen av disse unntakene er aktuelle i dette tilfellet. Departementet vil på bakgrunn av høringsinnspillene synliggjøre dette bedre ved å ta inn terskelen «strengt nødvendig» i lovforslaget § 3-15 andre ledd nr. 2. Dette sikrer også bedre samsvar med ordlyden i kommunikasjonsverndirektivet artikkel 5 nr. 3 som bestemmelsen gjennomfører.
Når det gjelder MBLs opplysning om at deres medlemmer har valgt å benytte «legitim interesse», i stedet for samtykke, som rettslig grunnlag for behandling av personopplysninger etter personopplysningsloven, viser departementet til at det i dag er et krav om samtykke for å lagre eller å skaffe seg tilgang til opplysninger ved bruk av informasjonskapsler, jf. ekomloven § 2-7b.
Både Datatilsynet og Forbrukertilsynet, med støtte fra Forbrukerrådet, Advokatforeningen og Telia har innspill til uttalelsen i høringen om at samtykke fremdeles kan oppfylles ved at sluttbruker benytter en teknisk innstilling i nettleser eller tilsvarende i de tilfeller der dette er teknisk mulig. Disse høringsinstansene påpeker blant annet at de ikke er kjent med at det pr. i dag finnes tekniske løsninger som gjør at et slikt samtykke vil være i tråd med kravene i personvernforordningen. Departementet ser at denne uttalelsen kan være uheldig, og viderefører derfor ikke dette forslaget i proposisjonen.
Det understrekes at dagens praksis der samtykke ligger innebygd i nettleserinnstillingene, og at brukerne mottar informasjon om dette ved «pop-up»-bilder når de besøker nettsteder, ikke vil oppfylle kravet til brukerens samtykke i ny lov. Samtykkekravet i ny lov skal, i tråd med kommunikasjonsverndirektivet, tilfredsstille kravene til samtykke etter personvernforordningen, og blir dermed nå et krav om aktivt samtykke. Dette medfører at samtykkekravet skjerpes sammenlignet med gjeldende rett. Etter gjeldende rett åpnes det for bruk av forhåndsinnstillinger i nettleser eller andre løsninger hvor det er mye enklere å gi samtykke enn å la være å samtykke. Dette gir internettbrukere i Norge et dårligere vern mot sporing på nett enn internettbrukere i EU, og har medført en utstrakt innsamling av personopplysninger med begrenset kontroll og valgmulighet for forbrukerne. Departementet mener derfor lovforslaget er viktig for å styrke kommunikasjons- og personvernet til norske internettbrukere, og opprettholder forslaget om å skjerpe samtykkekravet til bruk av informasjonskapsler (cookies).
Departementet mener at tilsynskompetansen etter § 3-15 skal deles mellom Datatilsynet og Nasjonal kommunikasjonsmyndighet. Dette vil legge bedre til rette for at tilsynene kan løse sine respektive samfunnsoppdrag. Etter departementets syn er det blant annet hensiktsmessig at Datatilsynet, som har tilsynsansvaret etter personvernforordningen og forståelsen av samtykke i tråd med personvernforordningen, får ansvar for å vurdere om et samtykke er i samsvar med kravene i personvernforordningen. I tillegg bør Datatilsynet gis kompetanse til å vurdere om kravet til informasjonen som skal gis er tilstrekkelig, og om det er lagt til rette for at samtykket kan trekkes tilbake. Nasjonal kommunikasjonsmyndighet vil være nærmest til å vurdere om den teknologiske løsningen faktisk er en informasjonskapsel (eventuelt annen teknologi som omfattes av bestemmelsen), samt vurdere om det er snakk om teknisk lagring eller adgang til opplysninger som utelukkende har som formål å overføre kommunikasjonen eller er nødvendig for å levere informasjonssamfunnstjenesten. Departementet mener det er fornuftig med en oppgavedeling i tråd med dette. Datatilsynets tilsynskompetanse etter personopplysningsloven og personvernforordningen for øvrig, berøres ikke av bestemmelsen. Departementet kan gi forskrift eller fatte enkeltvedtak om delingen og detaljering av tilsynskompetansen, jf. lovforslaget § 15-1.
Departementet har vurdert å vente med å endre innholdet i bestemmelsen om informasjonskapsler til en ny kommunikasjonsvernforordning er på plass slik enkelte høringsinstanser har foreslått. Dette vil imidlertid gi norske brukere et dårligere vern enn andre borgere innenfor EØS. Når en ny forordning vedtas, vil det uansett bli nødvendig å endre bestemmelsen om informasjonskapsler i norsk rett på nytt. Departementet mener derfor det er mest hensiktsmessig å gjøre nødvendige endringer i bestemmelsen om informasjonskapsler i forbindelse med vedtakelsen av ny ekomlov. Det er per nå uavklart når en ny kommunikasjonsvernforordning vil bli vedtatt.
Departementet er enig med Advokatforeningen og Forbrukerrådet i at overskriften til § 3-15 (bruk av informasjonskapsler mv.) bør reflektere at også annen teknologi enn informasjonskapsler er omfattet av bestemmelsen, og foreslår endringer i tråd med dette.
Til innspillet fra Advokatforeningen, viser departementet til at direktiv 2009/136/EF ikke er inntatt i EØS-avtalen, men at gjeldende ekomlov 2-7b likevel ble endret i 2013 for å være i samsvar med endringene i kommunikasjonsverndirektivet artikkel 5 nr. 3. Departementet foreslår at dette videreføres i ny rett. Rettspraksis fra EU-domstolen vil dermed ha rettskildemessig verdi for forståelsen av den norske bestemmelsen.
6.4 Tilbydernes plikt til å legge til rette for lovbestemt tilgang til informasjon
6.4.1 Gjeldende rett
Plikten til å tilrettelegge for lovbestemt tilgang til informasjon er fastsatt i ekomloven § 2-8. Bestemmelsen fastsetter at tilbyder av elektroniske kommunikasjonsnett som anvendes til offentlig elektronisk kommunikasjonstjeneste, og tilbyder av slik tjeneste skal tilrettelegge nett og tjeneste, slik at lovbestemt tilgang til informasjon om sluttbruker og elektronisk kommunikasjon sikres. Dette innebærer at tilbyder skal tilrettelegge for kommunikasjonskontroll som gjennomføres av politiet etter reglene i straffeprosessloven kapittel 16a. Innholdet i kommunikasjonskontroll fremgår av straffeprosessloven §§ 216 a og b. Både selve innholdet i kommunikasjonen og trafikkdata vedrørende kommunikasjonen omfattes. Tilretteleggingsplikten omfatter også tilrettelegging for oppfylling av utleveringspålegg etter straffeprosessloven § 210 når utleveringspålegget gjelder informasjon om sluttbruker og elektronisk kommunikasjon. Dette gjelder blant annet tilgang til trafikkdata.
Når det gjelder hvilke tekniske løsninger som tilbyderne vil implementere i sine nett, forutsetter departementet at tilbyderen vurderer de ulike alternative tekniske løsningene som finnes. Løsningene vil i stor grad være avhengig av pågående arbeid og arkitektur innen europeisk og internasjonal standardisering.
Tilbyders driftskostnader knyttet til oppfyllelse av tilretteleggingsplikten dekkes av staten for de merkostnader som følger av disse tjenestene, jf. ekomloven § 2-8 andre ledd.
6.4.2 EUs regelverk
Ekomdirektivet og kommunikasjonsverndirektivet regulerer ikke eksplisitt spørsmålet om hvilken plikt ekomtilbydere har til å sikre lovbestemt tilgang til informasjon om sluttbruker og elektronisk kommunikasjon. I henhold til kommunikasjonsverndirektivet artikkel 15 nr. 1 kan imidlertid medlemsstatene vedta lovgivningstiltak for å begrense rekkevidden av forpliktelser og rettigheter som er fastsatt i artikkel 5 og 6, artikkel 8 nr. 1, 2, 3 og 4 og artikkel 9 i direktivet, dersom «en slik begrensning er nødvendig, egnet og rimelig i et demokratisk samfunn av hensyn til nasjonal sikkerhet (dvs. statens sikkerhet), forsvar, offentlig sikkerhet og forebygging, etterforskning, avsløring og rettslig forfølging av straffbare handlinger eller ulovlig bruk av det elektroniske kommunikasjonssystemet, som fastsatt i artikkel 13 nr. 1 i direktiv 95/46/EF.» Det vises videre til at medlemsstatene for dette formålet blant annet kan vedta lovgivningstiltak om lagring av opplysninger i et begrenset tidsrom dersom dette er berettiget ut fra en av grunnene som nevnt.
Direktiv 95/46/EF ble opphevet med virkning fra 25. mai 2018, og erstattet av personvernforordningen (forordning (EU) 2016/679). Henvisninger til det opphevede direktivet skal gjelde som henvisning til personvernforordningen, jf. forordningens artikkel 94 nr. 2. Bestemmelser om begrensninger som fantes i personverndirektivet artikkel 13 nr. 1, er nå fastsatt i personvernforordningen artikkel 23 nr. 1.
EU-domstolen har i flere dommer behandlet saker som gjelder rammene for unntaksbestemmelsen i kommunikasjonsverndirektivet artikkel 15 nr. 1, jf. blant annet Tele 2-avgjørelsen (sak C-203/15 og C-698/15), Privacy International-avgjørelsen (C-623/17) og La Quadrature du Net-avgjørelsen (de forente sakene C-511/18, C-512/18 og C-520/18). Disse dommene klargjør blant annet i hvilke tilfeller det er anledning til å kreve tilgang til trafikkdata, inkludert IP-adresser.
6.4.3 Forslaget i høringsnotatet 2. juli 2021
Det ble i høringen foreslått å videreføre gjeldende § 2-8 om tilrettelegging for lovbestemt tilgang til informasjon i ny § 3-6 (ny § 3-12). Bestemmelsen fastsetter at tilbyder skal tilrettelegge nett og tjeneste slik at lovbestemt tilgang til informasjon om sluttbruker og elektronisk kommunikasjon sikres. Plikten til å tilrettelegge for lovbestemt tilgang til informasjon vil i tråd med endringene i definisjonsbestemmelsene i forslaget til ny lov også gjelde for de nummeruavhengige person-til-person-kommunikasjonstjenestene, og dermed få et bredere anvendelsesområde enn etter gjeldende rett.
I høringen ble det videre foreslått i hovedsak å videreføre bestemmelsen om fordeling av kostnader ved tilrettelegging for lovbestemt tilgang til informasjon i ny lov § 3-6 (ny § 3-12). Dette innebærer at tilbyders driftskostnader knyttet til oppfyllelse av tilretteleggingsplikten skal dekkes av staten for de merkostnader som følger av tjenestene, mens tilbyder selv skal dekke investeringskostnader. Politiets uthentingskostnader forutsettes dekket av staten. Det ble også foreslått å utvide forskriftshjemmelen, slik at det ved behov kan fastsettes mer spesifikke regler om den nærmere fordelingen av kostnadene i forskrift.
Departementet la i høringen til grunn at politimyndigheten og tilbyderne finner praktiske og egnede løsninger for å ivareta tilretteleggingen for politiets lovbestemte tilgang til informasjon i henhold til forslag til ny ekomlov § 3-6 (ny § 3-12). Den teknologiske utviklingen i ekommarkedet kan innebære juridiske og tekniske utfordringer for politiets mulighet til å gjennomføre kommunikasjonskontroll. For politiet er det viktig å sikre at tilbyderne, også i fremtiden, vil være pålagt å levere tjenester som gir mulighet for tilgang til data og etterforskning etter straffeprosessuelle metoder. Politiet er opptatt av at det tas hensyn til dette når ekomtjenestene utvikles. Tilretteleggingsplikten må samtidig ikke bli et hinder for innovasjon og teknologisk utvikling. Departementet vil vurdere behovet for å fastsette nærmere bestemmelser om blant annet krav til dekningsgrad og lavest mulig oppdagbarhet, i forskrift.
Spørsmålet om ivaretakelse av politiets behov for kommunikasjonskontroll har særlig vært reist i forbindelse med 4G tale (VoLTE2), og gjesting (roaming) i andre mobiloperatørers nett. Ved slik gjesting krypteres kommunikasjonen som hovedregel mellom hjemmenettverket og abonnentens håndsett. Besøkt tilbyder har dermed ingen tilgang til nøkler for dekryptering. Besøkt tilbyder vil fortsatt ha informasjon om hvem som ringte og tidspunkt for samtalen, men ingen informasjon om hvem kommunikasjonen foregikk med, da dette håndteres i hjemmenettverket. Denne manglende tilgangen til informasjon vil kunne være en begrensning for politiets arbeid.
Det ble i høringen påpekt at det er behov for å se nærmere på regelverket ved gjesting i VoLTE. Rettstilstanden på dette området er heller ikke avklart i de andre nordiske landene. I Sverige er det satt i gang en utredning om datalagring og kriminalitetsbekjempelse. I den sammenheng skal man analysere den svenske tilretteleggingsplikten og behovet for endringer. I beskrivelsen av behovet for analysen nevnes blant annet S8 Home Routing i 4G-nettene og hvordan det kan påvirke mulighetene for tilgang til informasjon.
Departementet la i høringen til grunn at spørsmålet om mulighet for kommunikasjonskontroll ved VoLTE vil måtte utredes i samarbeid med de øvrige nordiske landene og EU, og at det bør ses nærmere på mulighet for politisamarbeidsavtaler. Samtidig ble det i høringen vist til at forskriftshjemmelen i bestemmelsens siste ledd vil kunne benyttes til å fastsette nærmere regler om kommunikasjonskontroll ved VoLTE på et senere tidspunkt, når avklaringen med andre nordiske land og EU har kommet lenger.
6.4.4 Høringsinstansenes syn
Kripos mener med støtte fra Politidirektoratet, Det nasjonale statsadvokatembetet og Riksadvokaten at det bør presiseres at tilretteleggingsplikten må gjelde for alle tilbydere av ekomtjenester som tilbys til sluttbrukere i Norge. Disse høringsinstansene fremhever at utvidelsen av tilbyderbegrepet til å omfatte for eksempel M2M/IoT-nummer, medfører at tjenestene lettere kan tilbys over landegrensene. Når det legges til rette for at tjenestene kan tilbys fra andre land enn Norge, aktualiseres spørsmålet om tilretteleggingsreglenes anvendelsesområde. Videre kan en sluttbruker enkelt kjøpe et SIM-kort i et annet land og bruke dette i Norge på lik linje med et norsk nummer. Det bør presiseres i lovtekst eller i merknader til lovteksten at tilretteleggingsplikten må gjelde for alle tilbydere av ekomtjenester som tilbys til sluttbrukere i Norge.
Politiets lovbestemte tilgang til informasjon er svært viktig for politiet. Kripos og Politidirektoratet mener at dette bør fremkomme klarere i lovforarbeidene. Kripos viser til at den nederlandske telekommunikasjonsloven artikkel 13.1 har en bestemmelse hvor det fremkommer at telekommunikasjonsnettverk og kommunikasjonstjenester bare kan gjøres tilgjengelig for sluttbrukere om de kan avlyttes. Kripos viser til at ny funksjonalitet eller endring av tjenestetilbudet gjør at politiet og påtalemyndigheten får tilgang til stadig færre opplysninger, eksempelvis manglende tilrettelegging av utenlandske roamingkunder og VoLTE. Kripos viser også til at ekomtilbyderne har som følge av teknologiutviklingen fått mulighet til bedre posisjonsnøyaktighet, blant annet til bruk i forbindelse med nødanrop. Posisjonsnøyaktighet er ofte svært viktig for politiets etterforskning, både for å identifisere bruker av kommunikasjonsenheten, men også for å se hvor vedkommende har beveget seg. Kripos kan ikke se gode argumenter for at ikke beste posisjonsangivelse inngår i det som etter tilretteleggingsplikten skal leveres i forbindelse med kommunikasjonskontroll.
Politiets sikkerhetstjeneste advarer mot at tilbydernes tilretteleggingsplikt blir utvannet som følge av innovasjon og utvikling av nye produkter, og støtter Kripos sitt høringssvar vedrørende konkretisering av plikten. Handlingsrommet for at tilbyderne kan definere seg ut av tilretteleggingsplikten, bør etter Politiets sikkerhetstjenestes syn minimeres.
Politiets sikkerhetstjeneste ser krav til entydig identifisering av sluttbrukere av enkelte IoT-tjenester som en del av tilretteleggingsplikten, og viser til Kripos’ høringssvar om beskrivelsen av hvordan utvikling av ny teknologi (for eksempel kommunikasjon til/fra kjøretøy, anonyme M2M-abonnementer) svekker effekten av tilbyders plikt til entydig å identifisere sine sluttbrukere.
Telia, IKT-Norge og Nasjonal kommunikasjonsmyndighet mener at spørsmål knyttet til kommunikasjonskontroll ved VoLTE-roaming bør utredes i samarbeid med de øvrige nordiske landene og EU. IKT-Norge viser til at VoLTE-roaming er teknisk umulig/svært utfordrende, da telefontjenesten VoLTE produseres i brukerens hjemmenett, og det er der kryptering med videre skjer. Tilrettelegging av kommunikasjonskontroll ved VoLTE-roaming reiser etter IKT-Norges vurdering også prinsipielle spørsmål om kommunikasjonsvern, sikkerhet og personvern. Telia er av den klare oppfatning at plikten til å legge til rette for kommunikasjonskontroll av slik trafikk ikke bør pålegges tilbyder av gjestenettet. Slik kommunikasjon krypteres mellom hjemmenettverket og abonnentens håndsett, og tilbyder av gjestenettverket har ikke tilgang til nøkler for dekryptering. Å pålegge tilbyder av gjestenettet å legge til rette for kommunikasjonskontroll reiser derfor etter Telias vurdering både prinsipielle og praktiske spørsmål.
Kripos opplever at enkelte tilbydere søker å skyve kostnader fra investering som skal dekkes av tilbyder over på drift som skal dekkes av politiet. Kripos med støtte fra Politidirektoratet viser til at den løsning som ble valgt for kostnadsfordeling i forbindelse med IP-lagring/utlevering, bør gjelde all tilrettelegging for lovbestemt tilgang. Kripos viser til at man da vil ha en gjennomgående modell som er godt beskrevet og begrunnet i et helt oppdatert lovforarbeid. Modellen gir vesentlig mindre rom for tolking og utglidning og hensyntar endringene i finansieringsmodeller, ifølge Kripos. Modellen er lik for alle og vil ikke virke konkurransedrivende, men være i tråd med uttalelser i forarbeidene til dagens lov, hvor et hovedpoeng var at staten skulle dekke merkostnadene relatert til uthenting, avgrenset mot blant annet investeringskostnader.
6.4.5 Departementets vurdering
Departementet viser til at det er viktig for kriminalitetsbekjempelsen at tilbyder tilrettelegger nett og tjenester slik at lovbestemt tilgang til informasjon om sluttbruker og elektronisk kommunikasjon sikres. Departementet opprettholder derfor lovforslaget om tilretteleggingsplikt.
Bestemmelsen får imidlertid et bredere anvendelsesområde enn etter gjeldende rett, i og med at plikten til å tilrettelegge for lovbestemt tilgang til informasjon i tråd med forslaget til endringene i definisjonsbestemmelsene også vil gjelde for de nummeruavhengige person-til-person-kommunikasjonstjenestene. Enkelte problemstillinger knyttet til tilretteleggingsplikten er grenseoverskridende. Særlig ved internasjonal gjesting vil det være behov for å finne felleseuropeiske løsninger, som gjelder tilbyderne når det inngås avtaler med andre tilbydere over landegrensene. Det vil derfor være behov for samarbeid med andre europeiske regulatører, også i regi av BEREC, for å finne løsninger på dette.
Private ekomnett anvendes ikke til offentlige tjenester, men kun til eget bruk og ikke til å tilby elektronisk kommunikasjonstjeneste til allmenheten. Etter gjeldende rett gjelder ikke tilretteleggingsplikten for private ekomnett. I høringen ble det foreslått å videreføre gjeldende rett, og det har ikke vært tilsiktet med en utvidelse av tilretteleggingsplikten til private nett. Departementet viser for øvrig til at § 3-13 om plikt til å lagre IP-adresser kun omfatter offentlige IP-adresser, og ikke private IP-adresser som brukes i private nett. Sammenhengen i loven tilsier derfor at private ekomnett ikke omfattes av tilretteleggingsplikten for lovbestemt tilgang til informasjon. Departementet foreslår å klargjøre at tilretteleggingsplikten gjelder offentlige elektroniske kommunikasjonsnett. Dersom ny teknologi, herunder private 5G-nett, viser seg å føre til behov for rettsendring, vil departementet høre spørsmålet på et senere tidspunkt.
Flere høringsinstanser, blant annet Kripos, har uttrykt bekymring for at tilretteleggingsplikten utvannes som følge av blant annet innovasjon og utvikling av nye produkter. Disse høringsinstansene mener at elektroniske kommunikasjonsnett og -tjenester bare kan gjøres tilgjengelig for sluttbrukere dersom de kan avlyttes. Departementet viser til at tilretteleggingsplikten skal følge utviklingen av ny teknologi, men at det i overgangsfaser ved teknologiskifter kan foreligge utfordringer som må løses i det internasjonale standardiseringsarbeidet. Selv om dette kan være til hinder for tilretteleggingen i avgrensede perioder, innebærer tilretteleggingsplikten at systemene for kommunikasjonskontroll med videre må oppdateres jevnlig i takt med den teknologiske utviklingen for at plikten skal være oppfylt. Det er tilbyder som er ansvarlig for å vurdere hvilken teknisk løsning som er best, og velge denne.
Mulighet for kommunikasjonskontroll ved gjesting og VoLTE, må utredes i samarbeid med de øvrige nordiske landene og EU. Dette støttes av Nasjonal kommunikasjonsmyndighet, Telia og IKT-Norge. Videre opprettholdes forslaget til forskriftshjemmel, som vil kunne benyttes til å fastsette nærmere regler om kommunikasjonskontroll ved VoLTE når avklaringen med andre nordiske land og EU har kommet lenger. Ved behov kan departementet vurdere å presisere tilretteleggingsplikten i forskrift, for eksempel når det gjelder VoLTE jf. ovenfor.
Når det gjelder Kripos sitt høringssvar, hvor det bes om ytterligere verktøy (slik som andre identifikatorer for kommunikasjonskontroll på tvers av kommunikasjonsenheter, viser departementet til at dette ikke har vært gjenstand for høring. Etter departementets syn vil dette gå for langt i forhold til plikten i § 3-12 (tilrettelegging for lovbestemt tilgang til informasjon).
Departementet har ikke hørt en ny modell for kostnadsdeling for tilretteleggingen etter § 3-12, og foreslår ingen endringer på dette punktet. Departementet vil imidlertid få utredet om det skal foreslås en ny modell for kostnadsdeling ved lovbestemt tilgang til informasjon.