Utvalgte hurtiglenker

    Høringer

    Datatilsynet

    Høringssvar | | Finansdepartementet

    Høring - Forslag til forskriftsbestemmelser med saksbehandlingsregler for Kredittilsynets innhenting av trafikkdata


    Datatilsynet viser til Finansdepartementets høringsbrev av 18. desember 2008 vedrørende forslag til forskriftsbestemmelser med saksbehandlingsregler for Kredittilsynets innhenting av trafikkdata. Høringsfristen er satt til 5. februar 2008.

    1 Generelt

    Datatilsynet er kritisk til Finansdepartementets ønske om å få operasjonalisert Kredittilsynets kompetanse til å innhente trafikkdata etter verdipapirhandellovens § 15-3 annet ledd nr. 3. Etter Datatilsynets oppfatning utgjør innhenting av trafikkdata en stor trussel mot den enkeltes personvern, noe også de siste måneders debatt vedrørende innføringen av datalagringsdirektivet viser at mange aktører deler en slik oppfatning.

    Datatilsynet finner det beklagelig at Finansdepartementet forskuterer viktige prinsipielle avklaringer ved å fremme forskriftsforslaget nå. Som det også har vært hevdet av en rekke øvrige høringsinstanser, bør forslaget vurderes i forbindelse med den prinsipielle drøftelsen vedrørende gjennomføringen av datalagringsdirektivet (direktiv 2006/24/EF). Det er nødvendig med en bred diskusjon om grunnleggende rettssikkerhetsverdier som personvern, for en eventuell innføring av et så omstridt regelverk. At det kan bli aktuelt å foreta tilpasninger også i herværende regelverk som en konsekvens av datalagringsdirektivet, fremgår for øvrig av høringsbrevets side tre. Det tilsier i høyeste grad at innføring av de foreslåtte forskriftsbestemmelser bør utsettes tilsvarende.

    I høringsbrevet fremholdes det at de aktuelle trafikkdata samsvarer med de data politiet kan begjære fritak for. Per i dag lagres det trafikkdata for få kommunikasjonsløsninger. Ved en eventuell implementering av datalagringsdirektivet i Norge vil lagringen av trafikkdata for kommunikasjonstjenester økes. Imidlertid presiseres det i artikkel 1 i datalagringsdirektivet at direktivet kun skal sikre tilgang til data i forbindelse med etterforskning, avsløring og rettsforfølgelse av grov kriminalitet som definert av de enkelte medlemsstater i deres nasjonale lovgivning. Det foreligger dermed et tilgangs- og bruksskille mellom de data som lagres for faktureringsformål og eventuelt de data som lagres i henhold til datalagringsdirektivet. Datatilsynet kan ikke se at dette viktige tema drøftes i høringen.

    Kredittilsynet ble gitt hjemmel til å beære innhenting av trafikkdata ved endring av verdipapirhandelloven allerede i 2005. Saken ble sendt på alminnelig høring 3. mars 2004. Kredittilsynets tilgang til teletrafikk fremkom ikke av selve lovforslaget, men kun av høringsnotatets punkt 16.6. Forslaget ble derfor ikke fanget opp verken av AAD eller Datatilsynet. Feilen ble oppdaget av Finansdepartementet, men berørte høringsinstanser, herunder Datatilsynet, ble ikke kontaktet med mulighet for å avgi ny uttalelse.

    I det tilfelle Finansdepartementet likevel skulle finne det formålstjenlig å innføre foreslåtte saksbehandlingsregler, er det et grunnleggende utgangspunkt for Datatilsynet at innhentingen av personopplysninger må minimaliseres i størst mulig grad. I tillegg er det av avgjørende betydning at straffeprosesslovens rettssikkerhetsgarantier gjelder fullt ut. I dag er det kun politiet/påtalemyndigheter som har adgang til å pålegge teletilbydere å utlevere personopplysninger underlagt lovbestemt taushetsplikt. At forvaltningsorgan får tilsvarende myndighet kan lett få uheldige konsekvenser for den enkeltes personvern.

    2 Kommentarer til de enkelte forskriftsbestemmelsene


    § 13-14 Anmodning om fritak fra taushetsplikt

    Av forslaget fremgår det at Kredittilsynets kan anmode om fritak fra taushetsplikt for trafikkdata når det foreligger mistanke om overtredelse av verdipapirhandellovens § 15-3 første ledd nr 1. Høringsbrevet gir inntrykk av at slik mistanke i all hovedsak vil innebære innhenting av trafikkdata knyttet til mistenkte, men at det i enkelttilfeller vil være aktuelt å innhente trafikkdata vedrørende vitner. Departementet finner det ikke nødvendig å presisere at innhenting av trafikkdata angående vitner kan være aktuelt, i det innhentingen av slike opplysninger kun vil skje i begrenset omfang. Datatilsynet etterlyser noe mer informasjon om hvor omfattende en slik informasjonsinnhenting om vitner vil kunne være.

    Datatilsynet finner det lite tilfredsstillende at bestemmelsen ikke klargjør tydelig i hvilke situasjoner det faktisk vil være aktuelt for Kredittilsynet å innhente trafikkdata. Personvernhensyn tilsier at slik informasjon må foreligge, slik at den enkelte blir satt i stand til å ivareta sine øvrige rettigheter.

    I utgangspunktet kan ikke Datatilsynet se at Kredittilsynet bør få tilgang til trafikkdata vedrørende vitner. Hva som ligger i begrepet vitner i denne sammenheng, er heller ikke klart. Som tidligere nevnt, bør innhentingen av personopplysninger minimaliseres i størst mulig grad. Datatilsynet deler heller ikke departementets syn om at en presisering ikke er hensiktsmessig. Dersom det faktisk vil kunne være relevant å innhente trafikkdata om vitner, må dette fremgå tydelig av bestemmelsen.

    Datatilsynet bemerker videre at det på side fem i høringsbrevet fremgår at departementet har kommet til at det ikke er nødvendig å innta et vilkår om at de aktuelle data "antas å ha betydning som bevis ", men vilkåret fremgår like fullt av høringsforslagets § 13-14 første ledd. Datatilsynet er av den klare oppfatning av dette vilkåret, ut i fra rettssikkerhetshensyn, bør fremgå av bestemmelsen. Det ulovfestede forholdsmessighetsprinsippet for forvaltningens saksbehandling kan neppe sies å gi tilsvarende forutberegnlighet.

    Datatilsynet ønsker videre å påpeke at straffeprosessloven krever "skjellig grunn til mistanke". Dette fremgår ikke av bestemmelsene direkte, men er lagt til grunn i både praksis og juridisk teori. Etter tilsynets vurdering bør det vurderes å innskrenke forskriftsbestemmelsen til det strengere kravet "skjellig grunn til mistanke", i det Kredittilsynets hjemler ikke bør gå videre enn politiets.

    Det er i høringsbrevets side fire opplistet forskjellige typer trafikkdata som Kredittilsynet ønsker å kreve utlevert. Enkelte av opplysningene er trafikkdata som ikke lagres i dag, for eksempel gjelder dette informasjon om basestasjon.

    § 13-15 Sikring av trafikkdata

    Høringen omhandler ikke sikring av data utover det å "fryse" de aktuelle data. Elektroniske bevis har den egenskapen at de kan endres og fabrikkeres. Tidsaspektet er avgjørende ved håndtering av elektroniske bevis. Det kreves direkte kontakt med teletilbyder ved innhentingen for å kunne håndtere elektroniske bevis korrekt. Videre er det viktig å vurdere kvaliteten på de elektroniske bevis i forhold til hvordan de er innhentet i utgangspunktet.

    Førstehåndskunnskap fra teletilbyderen er avgjørende for å fa en korrekt forståelse av de elektroniske bevis. Dersom Kredittilsynet foretar innhentingen av elektroniske bevis, for senere å overlate disse til en annen instans, for eksempel håndtering hos politiet, vil politiet være avskåret fra å sikre viktig kunnskap om kvaliteten på de elektroniske bevisene. I høringsdokumentet er det påpekt at en stor andel av de sakene der Kredittilsynet innhenter trafikkdata, vil ende i etterforskning hos politiet og at trafikkdataene dermed blir bevis i straffesaker. Datatilsynet mener derfor at håndtering av elektroniske bevis er en politioppgave hele veien fra teletilbyder til straffesak.

    Datatilsynet vil ikke unnlate å nevne at det er betenkelig at ikke høringen også behandler forhold rundt de spesielle krav til informasjonssikkerhet som må være tilstede ved håndtering av elektroniske bevis.

    § 13-16 Overprøving av Post- og Teletilsynets avgjørelser

    Det er foreslått to alternative løsninger for overprøving av Post- og Teletilsynets avgjørelser. Alternativ 1 legger opp til et forvaltningsmessig spor, hvor Kredittilsynet kan bringe Post- og Teletilsynets nektelser inn til Samferdselsdepartementet for overprøving. Alternativ 2 er å la straffeprosessens regler om domstolsproving av Post- og Teletilsynets avgjørelser komme til anvendelse på Kredittilsynets saksbehandling.

    Datatilsynet er av den klare oppfatning at alternativ 2 er det eneste gangbare alternativ i denne sammenheng. Selv om Samferdselsdepartementet ikke er involvert i Post- og Teletilsynets saksbehandling, minner et slik forvaltningsmessig spor om en løsning hvor bukken passer havresekken, slik alternativi skisserer.
    Når tilsynsmyndigheters hjemler blir så vide at store mengder data enkelt kan samles inn for så å benyttes som bevismateriale i en straffesak, fører dette til en omgåelse av de strenge prosessuelle regler som politi og påtalemyndighet er underlagt. Etterforskningsoppgaven som i et demokratisk samfunn primært er å finne hos politiet, forflyttes i dette tilfellet til Kredittilsynet, noe som i seg selv kan innebære et rettssikkerhetsproblem.

    Ved å la straffeprosesslovens bestemmelser om domstolsprøving komme til anvendelse på Post- og Teletilsynets nektelser, jf straffeprosesslovens § 118, flyttes behandlingen i hvert fall i klageomgangen til det spor der Datatilsynet antar behandlingen burde skje allerede i utgangspunktet.

    § 13-17 Underretning

    Datatilsynet antar at det må være en grunnleggende forutsetning at abonnenten/bruker av de aktuelle telefonnumrene det innhentes trafikkdata for, skal gis informasjon om dette. Det vises i denne forbindelse til personopplysningslovens § 20 jf § 19 annet ledd bokstav c, som sier at en behandlingsansvarlig som samler inn personopplysninger fra andre enn den registrerte selv, av eget tiltak skal informere den registrerte om hvilke opplysingen som samles inn så snart opplysningene er innhentet. Informasjonsplikten er for øvrig spesialregulert i "konsesjon til å behandle personopplysninger - behandling av opplysninger om abonnenters bruk av teletjenester" punkt 6, gitt med hjemmel i personopplysningsforskriftens § 7-1:

    "Når utlevering skjer med hjemmel i lov, i forskrift gitt med hjemmel i lov eller etter enkeltvedtak fra Datatilsynet skal den opplysningene gjelder informeres om dette, hvis ikke annet følger av lov.

    I informasjonen skal det framgå hva som utleveres, til hvilket formål og hvem som er mottaker av opplysningen."

    At det gis slik informasjon er avgjørende for at den enkelte skal kunne ivareta sine øvrige rettigheter etter blant annet personopplysingslovens bestemmelser.

    Datatilsynet kan ikke se at en forvaltningsmessig undersøkelse som ikke skulle medføre straffesanksjoner fra Kredittilsynets side, tilsier en mindre streng ramme enn straffeprosesslovens bestemmelser skulle tilsi. Dersom forvaltningen skulle kunne gjøre slike undersøkelser uten tilsvarende rettsikkerhetsgarantier for den enkelte som ved politiets etterforskning, virker dette mer som en Kafka-prosess enn en forvaltningsundersøkelse, særlig i det den manglende underretningen i hovedsak vil gjøre seg gjeldende i de situasjoner Kredittilsynet ikke anmelder saken til politiet.

    Datatilsynet viser til vurderingene over vedrørende straffeprosesslovens og domstolsbehandling og anmoder om at alternativ 1 velges.

    3 Avsluttende kommentarer

    Datatilsynet finner det bemerkelsesverdig at høringen ikke omhandler spørsmålet om sletting av elektroniske bevis når formålet er oppfylt, spesielt i de saker hvor personer blir sjekket ut av saker. Datatilsynet anser dette som en mangel ved høringen.

    Andre viktige personverngarantier så som retting og innsyn er heller ikke diskutert. Datatilsynet antar at mer uttrykklig ivaretakelse av sentrale personvernrettigheter som disse, kan være med på å begrense de ulempene det foreliggende forskriftsforslaget måtte føre med seg for den enkelte.

    datatilsynet.pdf
    Til toppen