14 Regler for tilgang til data for andre
14.1 Innledning
Adgangen til å hente ut data som er lagret i henhold til direktivet, er regulert i datalagringsdirektivet artikkel 4. Herav følger at data bare skal utleveres til kompetente nasjonale myndigheter i særlige saker og i overensstemmelse med nasjonal lovgivning. Det fremgår videre at hver medlemsstat skal fastsette hvilke prosedyrer som skal følges, og hvilke betingelser som skal være oppfylt for å få adgang til lagrede data i overensstemmelse med kravet om nødvendighet og proporsjonalitet.
Departementet mener som altoverveiende hovedregel at bare politi og påtalemyndighet skal være kompetent myndighet for uthenting av data som er lagret i medhold av direktivet. Dette er en naturlig konsekvens av at siktemålet med datalagringsdirektivet er å bekjempe kriminalitet og at denne oppgaven primært påligger politi og påtalemyndighet.
Det er likevel et spørsmål om det kan være spesielle grunner som taler for å åpne for utlevering til andre enn politiet. Dette behandles i det følgende.
14.2 Gjeldende rett
14.2.1 Om andre myndigheters tilgang
Ekomloven § 2-9 fastsetter taushetsplikt ved bruk av elektronisk kommunikasjon, og gjelder både tilbyder av elektronisk kommunikasjonsnett- eller tjeneste og personer som utfører arbeid eller tjeneste for slik tilbyder, jf. henholdsvis første og annet ledd. Taushetsplikten omfatter innholdet av kommunikasjonen og andres bruk av elektronisk kommunikasjon. Begrepet «bruk» knytter seg til alle sider av et abonnementsforhold for elektronisk kommunikasjon, og innebærer blant annet at trafikkdata, opplysninger om basestasjonstilknytning (lokaliseringsdata), tidspunkt for på- og avlogging av internett- eller e-posttjeneste samt abonnents/brukerdata anses som en del av det taushetsbelagte materiale.
Utlevering bare kan skje med hjemmel i lov. Bestemmelsene i § 2-9 tredje ledd innskrenker og opphever taushetsplikten i visse tilfeller. I henhold til tredje ledd første punktum er taushetsplikten ikke til hinder for at det gis opplysninger til påtalemyndigheten eller politiet om avtalebasert hemmelig telefonnummer eller andre abonnementsopplysninger, samt elektronisk kommunikasjonsadresse. Slike opplysninger kan også gis ved vitnemål for retten, jf. tredje ledd annet punktum. Bestemmelsen omfatter kun identifikasjonsdata, og hjemler ikke utlevering av trafikkdata eller lokaliseringsdata.
Andre offentlige myndigheter enn politi og påtalemyndighet kan bare innhente opplysninger fra tilbyder om lagrede data dersom det finnes lovhjemmel som gjør unntak fra taushetsplikten i § 2-9, jf. tredje ledd tredje punktum. Innhentingen skjer da ikke som ledd i en straffesak, men er et tiltak administrative myndigheter foretar som ledd i sin alminnelige kontroll med at lovgivningen på et bestemt område blir overholdt. Omfanget av opplysningsplikten i slike tilfeller vil framgå av vedkommende hjemmelslov.
Den adgang enkelte myndighetsorganer i henhold til lovgivningen har til å innhente visse opplysninger fra ekomtilbydere er i de fleste tilfeller begrenset til å gjelde abonnements- og brukerdata omhandlet i tredje ledd første punktum. Slik hjemmel finnes i dag i tolloven § 12-4 første ledd, merverdiavgiftsloven § 16-3 og ligningsloven § 6-13a, som alle åpner for at kontrollmyndighetene kan pålegge tilbyder å gi opplysninger om navn og adresse til en abonnent som ikke har offentlig telefonnummer eller telefaksnummer (eller personsøkernummer). Det er et vilkår at særlige hensyn gjør det nødvendig, og at det foreligger mistanke om overtredelse av bestemmelser gitt i eller i medhold av henholdsvis ligningsloven, merverdiavgiftsloven og tolloven. I Ot.prp. nr. 21 (1999-2000) Endringer i skatteloven mv. som ligger til grunn for hjemlene, drøftet departementet uttrykkelig hvorvidt kontrollmyndighetene skulle få adgang til å innhente abonnement/brukerdata også ved andre kommunikasjonsformer, men konkluderte benektende, jf. proposisjonen s. 38. Det må derfor legges til grunn at kontrollmyndighetene ikke har adgang til å kreve utlevert abonnent/brukerdata knyttet til en dynamisk IP-adresse. Finanstilsynet har imidlertid en videre adgang til å innhente abonnement/brukerdata i medhold av verdipapirhandelloven § 15-3 annet ledd nr. 2, som åpner for at «opplysninger om avtalebasert hemmelig telefonnummer eller andre abonnementsopplysninger og elektronisk kommunikasjonsadresse» kan innhentes uavhengig av taushetsplikten i ekomloven § 2-9. Vilkåret er at det foreligger mistanke om overtredelse av nærmere angitte bestemmelser i verdipapirlovgivningen. I slike tilfeller må Finanstilsynet antas å kunne få utlevert alle typer opplysninger omfattet av ekomloven § 2-9 tredje ledd første punktum.
Finanstilsynet er eneste offentlig organ i Norge utenom politi og påtalemyndighet som er gitt kompetanse til å innhente trafikkdata, jf. verdipapirhandelloven § 15-3 annet ledd nr. 3. Bestemmelsen gjennomfører EØS-forpliktelser som følger av direktiv 2003/6/EF om markedsmisbruk (markedsmisbruksdirektivet) artikkel 12 nr. 2 bokstav d og direktiv 2004/39/EF om markeder for finansielle instrumenter (MiFID) artikkel 50 nr. 2 bokstav d. Bestemmelsen stiller uttrykkelig krav om forutgående opphevelse av taushetsplikten for at trafikkdata skal kunne utleveres. Samtykkekompetansen ligger i utgangspunktet hos departementet, men er delegert til Post- og teletilsynet. Ved vurderingen av om fritak skal gis skal det blant annet legges vekt på hensynet til taushetsplikten og sakens opplysning, jf. bestemmelsens tredje punktum.
Finanstilsynets hjemmel til å hente ut trafikkdata har av ulike grunner ikke vært operativ, jf. beskrivelsen i Ot.prp. nr. 34 (2006-2007) Om lov om verdipapirhandel (verdipapirhandelloven) og lov om regulerte markeder (børsloven) s. 259-260. Bakgrunnen for dette er blant annet at det har hersket tvil om hvilke saksbehandlingsregler som gjelder ved Finanstilsynets anmodning om opphevelse av taushetsplikten. Etter det departementet kjenner til, har Post- og teletilsynet aldri opphevet taushetsplikten etter anmodning fra Finanstilsynet. Paragraf 15-3 annet ledd nr. 3 fjerde punktum inneholder en forskriftshjemmel som skulle legge til rette for å få på plass forsvarlige saksbehandlingsregler. Finansdepartementets sendte ut et høringsbrev 18. desember 2007 vedrørende forslag til forskriftsbestemmelser om saksbehandlingsreglene for Kredittilsynets innhenting av trafikkdata. Behandlingen av høringsforslaget er imidlertid utsatt av hensyn til implementeringen av datalagringsdirektivet.
Videre finnes det mer generelle lovhjemler for andre offentlige kontrollorganer til å innhente opplysninger uavhengig av taushetsplikt. Folketrygdloven § 21-4 a tredje ledd er et eksempel på en generell hjemmel til å kreve opplysninger eller innsyn i dokumenter mv. uten hinder av taushetsplikt. Etter folketrygdloven § 21-4 a første ledd kan slike opplysninger utleveres når det forelegger rimelig grunn til mistanke om urettmessige utbetalinger fra trygden. Det er ikke etablert en sikker forståelse av om folketrygdloven § 21-4 a og lignende, mer generelle bestemmelser om kontrollmyndigheters informasjonsinnhenting etablerer en lovhjemmel som forutsatt i ekomloven § 2-9 tredje ledd om utlevering av abonnement/brukerdata.
14.2.2 Om utlevering av lagrede data som bevis i sivile saker
Tvisteloven § 22-3 inneholder bestemmelser om bevisforbud om opplysninger undergitt lovbestemt taushetsplikt, herunder opplysninger som «tilbyder eller installatør av elektronisk kommunikasjonsnett eller tjeneste» har. For at abonnement/brukerdata, trafikkdata og lokaliseringsdata skal kunne anvendes som bevis for retten, må taushetsplikten oppheves av Post- og teletilsynet (etter kompetanse delegert fra departementet). Samtykke kan bare nektes når bevisføring kan utsette staten eller allmenne interesser for skade eller virke urimelig overfor den som har krav på hemmelighold, jf. bestemmelsens annet ledd annet punktum. I tredje ledd første punktum er retten gitt kompetanse til å overprøve samtykke eller nektelse av å gi samtykke etter annet ledd. Retten skal her foreta en selvstendig avveining mellom hensynet til taushetsplikten og hensynet til sakens opplysning.
Av Høyesteretts kjennelse 18. juni 2010 (Altibox) følger at tvisteloven § 22-3 annet og tredje ledd skal gis tilsvarende anvendelse ved bevissikring utenfor rettssak, jf. tvisteloven kapittel 28. Kjennelsen er inntatt i Rt. 2010 s. 774. Det vil særlig kunne være relevant å innhente data før det er tatt andre rettslige skritt i de tilfellene der trafikkdata er avgjørende for å bringe på det rene identiteten til personer, som det kan være aktuelt å rette et sivilrettslig krav mot. I den konkrete sak ble en internettleverandør pålagt å opplyse om identiteten til en abonnent ettersom det var anført at abonnenten ved ulovlig fildeling hadde brutt bestemmelser i åndsverksloven.
14.3 Høringsnotatets forslag
I høringsnotatet la departementene til grunn at lagrede opplysninger som det klare utgangspunkt bare skulle kunne utleveres til politi og påtalemyndighet. Departementene trakk likevel et skille mellom trafikkdata og lokaliseringsdata på den ene side, og abonnements- og brukerdata på den annen side.
For så vidt gjelder abonnements- og brukerdata foreslo departementene å videreføre gjeldende rett, hvoretter utlevering til sivile myndigheter kan skje uhindret av taushetsplikten der dette er særskilt hjemlet i lov. Etter forslaget skulle utlevering av trafikk- og lokaliseringsdata forbeholdes politi- og påtalemyndigheten. Det ble vist til at ved mistanke om lovbrudd vil andre myndigheter – på linje med private – kunne anmelde straffbare forhold til politiet som så avgjør om etterforskning skal iverksettes og eventuelt hvilke etterforskningsskritt som skal tas. Det ble også vist til at det heller ikke i dag er adgang for andre myndigheter enn politiet til å bruke tvangsmidler etter straffeprosessloven som ledd i en straffesak. Departementene holdt imidlertid åpent hvorvidt Finanstilsynets tilgang til trafikkdata etter verdipapirhandelloven § 15-3 annet ledd nr. 3 burde videreføres.
Tvisteloven § 22-3 – som åpner for at bevis omfattet av ekomlovens taushetspliktregler føres i sivil rettergang – ble foreslått videreført uendret. Departementene gikk inn for at Post- og teletilsynet fortsatt skulle vurdere spørsmålet om samtykke til opphevelse av taushetsplikten før retten skal kunne tillate at trafikkdata fremlegges som bevis i sivile søksmål.
14.4 Høringsinstansenes syn
Finansdepartementet, Politidirektoratet, Finanstilsynet, Post- og teletilsynet, NorSIS, Telenor, Ventelo, NetCom, NextGenTel, NHO, IKT-Norge, Teknologirådet, TEKNA, ITAKT, NITO, UiO, og Elektronisk Forpost Norge har problematisert forholdet om hvem som skal ha tilgang til data som er lagret i medhold av datalagringsdirektivet. De fleste høringsinstanser som har uttalt seg om dette, deler oppfatningen om at adgangen bør begrenses, og mener at det kun er politi og påtalemyndighet som bør få tilgang til disse data. Mange av de samme høringsinstansene frykter at det på sikt vil skje en formålsutglidning, slik at flere og flere myndigheter vil kunne få tilgang til lagrede data. Videre mener de fleste som har uttalt seg om dette, at dersom Finanstilsynet fortsatt skal ha tilgang til trafikkdata må de samme vilkårene for tilegnelsen gjelde som for politi- og påtalemyndighet.
14.4.1 Om andre myndigheters tilgang
Post- og teletilsynet viser i høringen til at høringsnotatet bare nevner Finanstilsynet som myndighet med hjemmel for tilgang. Post- og teletilsynet mener at flere andre myndigheter kan ha tilgang gjennom sitt regelverk og nevner NAV og Havarikommisjonen. Tilsynet mener at tilgangen bør begrenses og at det bør kreves eksplisitt lovhjemmel. Videre bør tilgangen for andre prosessuelt være lik politiets. Post- og teletilsynet uttaler:
«Generelt mener PT at tilgangen til trafikkdata bør begrenses til de tilfeller hvor fordelene med å få tilgang til trafikkdata for mottakende etat klart overstiger de personvernmessige konsekvensene. Denne vurderingen bør gjøres konkret og individuelt. Etter Post- og teletilsynets syn bør det derfor kreves eksplisitt lovhjemmel hvis en etat skal få tilgang til trafikkdata.»
Finansdepartementet mener at Finanstilsynet bør ha tilgang til trafikkdata og begrunner dette slik:
«Finanstilsynets hjemmel til å innhente trafikkdata har vært lovfestet i norsk rett siden 2005, jf. verdipapirhandelloven 1997 (lov 19. juni 1997 nr. 79) § 12-2a og gjeldende verdipapirhandellov 15-3. Finanstilsynets hjemmel til å innhente trafikkdata er vedtatt av Stortinget og gjennomfører EØS-forpliktelser, jf. nedenfor. Finansdepartementet finner det uheldig at det i høringsnotatet åpnes for å revurdere hjemmelen. Finansdepartementet kan heller ikke se at spørsmålet om en eventuell implementering av datalagringsdirektivet i norsk rett gjør dette nødvendig eller ønskelig.»
Flere av tilbyderne, herunder Telenor og NextGentel mener at tilgangen bør begrenses til politiet. NetCom kjenner til at NAV har bedt om utlevering med hjemmel gjennom folketrygdloven, og frykter at også andre myndigheter vil kunne hevde å ha adgang til data gjennom sitt regelverk. UiO – senter for menneskerettigheter mener at en fragmentarisk tilgang til data for andre myndigheter kan være problematisk i forhold til lovskravet i EMK art 8(2). De peker også på at Finanstilsynets tilgang ikke er underlagt en drøftelse av nødvendighetskriteriet etter EMK art 8. Også IKT-Norge er svært skeptisk til å gi Kredittilsynet (nå Finanstilsynet) eller andre offentlige etater tilgang til data.
Politidirektoratet uttaler følgende:
«Formålet med direktivet er å bekjempe kriminalitet og dette er en oppgave for politi og påtalemyndighet. Politidirektoratet, i likhet med Nord-Trøndelag politidistrikt, ser dette som et viktig prinsipp som ikke må uthules ved at man gir andre tilsynsorganer tilgang til data på samme måte som for politi og påtalemyndighet.»
De fleste høringsinstanser som har uttalt seg om spørsmålet om hvilke saksbehandlingsregler som bør gjelde for andre myndigheters eventuelle tilgang til data, mener at myndigheten må undergis de samme vilkår for tilegnelsen som politiet.
Post- og teletilsynet uttaler:
«Videre mener PT at andre offentlige etaters tilgang, både materielt og prosessuelt, mest mulig bør være like den tilgang politiet får. Dette innebærer at en annen instans enn etaten selv bør godkjenne tilgangen og at tilgangen bør begrenses til alvorlige saker. Konkret innebærer dette blant annet at forsterket innsynsrett ikke bør tillates. PT anbefaler at en legger opp til tilsvarende prosessuell behandling av slike saker som for politiets tilgang.»
Finansdepartementet og Finanstilsynet mener at en innskrenkning eller oppheving av tilsynets tilgang til data vil innebære et brudd på internasjonale forpliktelser:
«Det følger av EØS-forpliktelser som tilsvarer både markedsmisbruksdirektivet (direktiv 2003/6/EF) art. 12 nr. 2 bokstav d og verdipapirmarkedsdirektivet ‘MiFID’ (direktiv 2004/39/EF) art. 50 nr. 2 bokstav d, at kompetent myndighet skal ha tilgang til trafikkdata etter de to direktivene. Finanstilsynet er kompetent myndighet i Norge i henhold til de to nevnte direktivene. Det er derfor etter Finansdepartementets syn ikke grunn til å stille ‘spørsmål ved hvordan Kredittilsynets (Finanstilsynets) tilgang til trafikkdata passer inn i det regime som vil gjelde for politiets tilgang ved innføring av regler som foreslått i dette høringsnotatet’, slik departementene gjør i høringsnotatet. Det kan synes som at man i høringsnotatet ikke tar hensyn til EØS-forpliktelsene nevnt over, i og med at disse forpliktelsene ikke er nevnt eller drøftet nærmere i høringsnotatet. Etter Finansdepartementets syn vil en innskrenkning eller oppheving av Finanstilsynets tilgang til trafikkdata etter verdipapirhandelloven innebære brudd på EØS-forpliktelser som tilsvarer markedsmisbruksdirektivet og MiFID.»
Samtidig er begge positivt innstilt til å innføre domstolskontroll med utlevering av trafikkdata til tilsynet. Finanstilsynet skriver:
«I høringsnotatet punkt 14.3. gjør departementene oppmerksom på at regelverket for Finanstilsynets tilgang til trafikkdata ikke forutsetter at retten har truffet avgjørelse om utlevering slik det nå foreslås for politiets tilgang til data. […] Finanstilsynet viser til at på samme måte som det foreliggende forslag til forskriftsregler om Finanstilsynets tilgang til trafikkdata inneholder saksbehandlingsregler som ligger tett opp til de straffeprosessuelle regler, vil verdipapirhandellovens hjemmelsgrunnlag og tilhørende forskriftsregler kunne tilpasses nye regler som måtte komme i og med gjennomføringen av datalagringsdirektivet. Det vises i den forbindelse til at det så vel i markedsmisbruksdirektivet og MiFID åpnes for at et tilsynsorgans kompetanse til å innhente trafikkdata kan være betinget av at en domstol treffer en rettslig avgjørelse. Tilsvarende kan det legges opp til at Finanstilsynets tilgang til trafikkdata er avhengig av rettslig kjennelse. Rettslig kjennelse er i dag et vilkår for Finanstilsynets adgang til å foreta bevissikring etter vphl. § 15-5 når det er rimelig grunn til å anta at atferdsregler i verdipapirhandellovens kapittel 3 er overtrådt, eller det er nødvendig for å oppfylle Norges avtaleforpliktelser overfor en annen stat. Finanstilsynet er også kjent med at enkelte andre EØS-land har ordninger hvor domstolsavgjørelse er et vilkår for utlevering av trafikkdata.»
14.4.2 Om utlevering av lagrede data som bevis i sivile saker
Enkelte høringsinstanser har uttalt seg om reglene i tvisteloven som gir grunnlag for at data under visse forutsetninger kan tillates innhentet til bruk som bevis i sivilrettslige søksmål. IKT-Norge etterlyser i sin høringsuttalelse en utredning av private aktørers mulighet for tilgang til data gjennom tvisteloven. Norsk Videogramforening foreslår at det klargjøres i ekomloven § 2-9 eller forarbeidene til denne, at dagens regler om tilgang til informasjon om kopling mellom sluttbrukers identitet og den IP-adressen som er anvendt, fortsatt skal gjelde. Samme høringsinstans ber om at dette klargjøres både for tilbyders tilgang (§ 2-9 første ledd), for politiets tilgang (§ 2-9 tredje ledd) og for rettighetshavers tilgang gjennom sivilrettslige søksmål (tvisteloven § 22-3) og mener at det uavhengig av implementering av direktivet bør innføres en plikt for tilbyder til å lagre «denne koplingen» i betydelige lenger tid enn de tre ukene som tillates i dag (jf. Datatilsynets konsesjoner). Datatilsynet er bekymret for de ulemper det kan ha for personvernet at data kan tilflyte samfunnet som følge av utlevering av data i sivile saker.
14.5 Departementets vurdering
14.5.1 Om andre myndigheters tilgang
Departementet fastholder det prinsipielle utgangspunkt at etterforskning av lovbrudd tilligger politi- og påtalemyndigheten, og ikke forvaltningen. Det er således ikke aktuelt å åpne opp for at andre myndigheter skal få tilgang til trafikkdata eller lokaliseringsdata. Av hensyn til internasjonale forpliktelser gjøres det imidlertid et unntak for Finanstilsynet for så vidt gjelder trafikkdata, jf. nedenfor under kapittel 14.5.2. Drøftelsen her dreier seg om hvorvidt andre myndigheter bør få tilgang til abonnements-/brukerdata og eventuelt på hvilke vilkår.
Abonnements-/brukerdata er opplysninger som er nødvendige for å knytte en bestemt abonnent til et telefonnummer eller til en IP-adresse. Opplysningene indikerer hvem som står bak en kommunikasjon, for eksempel hvem som har sendt en e-post eller foretatt en oppringning. I slike tilfeller vil den rettshåndhevende myndighet allerede være i besittelse av et elektronisk spor i form av et telefonnummer eller en IP-adresse, og en påfølgende utlevering av identifiseringsopplysninger knytter en registrert bruker til et bestemt tilfelle av elektronisk kommunikasjon.
Tilbyderne registrerer i stor utstrekning abonnements/brukerdata også i dag. Etter ekomforskriften § 6-2, jf. ekomloven § 2-8, har tilbyder av telefontjeneste plikt til å føre oversikt over enhver sluttbrukers navn, adresse og nummer/adresse for tjenesten. Oversikten skal inneholde opplysninger som gjør det mulig entydig å identifisere de registrerte. Det kan trolig ikke utledes noen plikt for tilbydere av internettaksess til å identifisere sine abonnenter etter ekomloven § 2-8. Likevel vil tilbyderne som regel sitte på et abonnementsregister som inneholder informasjon som blir registrert av tilbyderen når abonnementsforholdet opprettes. Et slikt register inneholder vanligvis blant annet abonnentens navn og adresse og teknisk informasjon om abonnementet. Slik informasjon er det normalt nødvendig for leverandøren å beholde så lenge et abonnement er aktivt. Det nye med direktivet er at slik lagring – også for nettilbydere – i fremtiden skal være en lovpålagt plikt i den hensikt at dataene skal kunne benyttes i kriminalitetsbekjempelse.
For telefoni er abonnementsopplysninger åpent tilgjengelige via tjenester som telefonkatalogen, med mindre brukeren har hemmelig nummer. Det samme er ikke tilfelle ved bruk av Internett, idet mange internettilbydere i dag benytter dynamiske IP-adresser. Hver tilbyder disponerer et visst antall IP-adresser som lånes ut til abonnentene. Dette kan skje på permanent basis (faste IP-adresser) eller dynamisk, der abonnentene tildeles en IP-adresse hver gang oppkoblingen skjer mot tilbyderen. Bakgrunnen for bruk av dynamiske IP-adresser er primært at tilbyderne har flere abonnenter enn IP-adresser eller for øvrig er nødt til å økonomisere med IP-adressene sine. Brukere som har behov for kontinuerlig nettilgang, for eksempel bedrifter, vil gjerne ha en fast linje, hvilket innebærer at de stort sett benytter den samme IP-adressen gjennom abonnementsforholdet. De fleste private brukere etablerer en sesjon hver gang de skal på Internett. Dette vil kunne innebære at samme IP-adresse vil benyttes av forskjellige abonnenter over et tidsrom, men ved fast bredbåndsforbindelse er skifte i IP-adresse som oftest knyttet til brudd på strømlinjen eller tilsvarende svikt i nettforbindelsen.
På Internett finnes databaser som gir en viss oversikt over hvem som disponerer faste IP-adresser (whois). En slik database kan sammenlignes med en telefonkatalog. For å identifisere brukeren av en dynamisk IP-adresse, må man derimot vite hvem som benyttet IP-adressen på et gitt tidspunkt. Slike opplysninger finnes ikke i allment tilgjengelige registre, og en må derfor henvende seg til den aktuelle tilbyder som må sammenholde IP-loggen som opprettes ved internettoppkoblinger med sitt kunderegister. Ved hjelp av loggene kan IP-adressen på et gitt tidspunkt kobles til en bestemt abonnent. Dette innebærer at man er avhengig av at tilbyder faktisk har logget bruken av IP-adressene og oppbevart logginformasjonen.
I dag er det ingen lagringsplikt for logger som opprettes ved internettilkoblinger. Enkelte tilbydere fører ingen slik logg, mens andre lagrer slike opplysninger av fakturerings- eller sikkerhetshensyn. Ekomloven § 2-7 oppstiller en sletteplikt for data som ikke er nødvendig for kommunikasjons- eller faktureringsformål eller når brukeren ikke selv har samtykket i videre lagring. En lignende sletteplikt følger også av personopplysningsloven § 28 første ledd. I brev 13. mai 2009 fra Datatilsynet til IKT-Norge, orienterte Datatilsynet om følgende vedtak:
«Personopplysningslovens § 28 setter forbud mot lagring av unødvendige opplysninger. Hovedregelen er at personopplysninger skal slettes når formålet med behandlingen er oppfylt, med mindre det kan påberopes nytt behandlingsgrunnlag.
[…]
Prinsipp bak Datatilsynets retningslinje
Følgende tolkning legges til grunn:
Lagring av informasjon om hvilken abonnent som er tildelt en IP-adresse er tillatt for å ivareta driftsrealterte formål. Lagringstiden skal likevel ikke overstige tre uker.
Leverandøren må basere egen slettepraksis på en konkret vurdering. Kortere slettefrist kan dermed være relevant.»
I høringsnotatet ble det foreslått å videreføre unntaket fra taushetsplikten slik at utlevering til andre myndigheter kan skje der dette er særskilt hjemlet i lov. Hvorvidt denne adgangen bør opprettholdes beror i stor grad på hvilke implikasjoner dette har for personvernet. Abonnements/brukerdata utleveres for å identifisere hvem som innehar et telefon- eller internettabonnement. Behovet for en logg som kobler IP-adresser og abonnementsinformasjon gjelder med dynamiske IP-adresser. Ved statiske IP-adresser følger koblingen mellom abonnent og IP-adresse direkte av offentlig tilgjengelige abonnementsregistre. Loggføringen innebærer slik sett ikke mer enn at bruker av abonnementet er like sporbar som den hadde vært ved en statisk adresse. Tilbyderne leverer ikke ut IP-logger, men utelukkende informasjon om hvem som disponerte en bestemt IP-adresse på et gitt tidspunkt. Dersom kontrollorganet ikke har en konkret IP-adresse og et eksakt oppkoplingstidspunkt er opplysningene omfattet av taushetsplikt. I motsetning til hva som er tilfellet for trafikk- og lokaliseringsdata, vil ikke utlevering av abonnements/brukerdata muliggjøre en nærmere analyse av en persons bevegelses-, atferds- og kommunikasjonsmønster. Dette innebærer at utlevering av abonnements/brukerdata er mindre inngripende enn utlevering av trafikk- og lokaliseringsdata.
Det er et viktig personvernprinsipp at personer skal ha oversikt over hvor opplysninger om en selv befinner seg. Den som tegner et abonnement på hemmelig telefonnummer eller opererer med en dynamisk IP-adresse vil i utgangspunktet ha forventninger om at en svært snever personkrets vil ha kjennskap til hans brukerdata. For å ivareta dette personvernhensynet bør adgangen til utlevering av slik informasjon være snever. Nettopp personvernhensyn er bakgrunnen for at slike opplysninger i dag er taushetsbelagt etter ekomloven § 2-9.
Spørsmålet blir da om nytteverdien av opplysningene tilsier at slik utlevering likevel bør skje. De myndigheter som i dag har hjemmel til å kreve utlevert abonnements/brukerdata er toll-, avgifts- og skattemyndighetene samt Finanstilsynet, jf. henholdsvis tolloven § 12-4 første ledd, merverdiavgiftsloven § 16-3, ligningsloven § 6-13a og verdipapirhandelloven § 15-3 annet ledd nr. 2. Mens de tre førstnevnte kontrollorganer har adgang til å få utlevert opplysninger om navn og adresse til en abonnent som ikke har offentlig telefonnummer eller telefaksnummer, har Finanstilsynet adgang til å innhente alle former for abonnement/brukerdata omfattet av ekomloven § 2-9 tredje ledd.
Hensynet til en effektiv kontroll tilsier at kontrollmyndighetene gis en viss adgang til å innhente abonnent-/brukerdata når det foreligger mistanke om for eksempel brudd på skatte-, avgifts- og tollovgivningen. Det er etter departementets syn viktig at håndhevelsesmidlene ikke går lenger enn behovet tilsier, og at reglene ivaretar hensynet til rettssikkerhet og personvern. Toll-, skatte- og avgiftssystemet er basert på selvdeklarering fra personer og bedrifter. Systemet er basert på tillit, og myndighetenes kontrollarbeid går i stor grad ut på å etterse at opplysningsplikten er oppfylt. For at kontrollarbeidet skal være effektivt, må myndighetene ha tilgang til opplysninger som er nødvendige for å kontrollere at de opplysningspliktige følger regelverket. Når hemmelig nummer benyttes i forbindelse med skatte- og avgiftspliktig aktivitet eller ulovlig inn- og utførsel av varer, tilsier hensynet til effektiv kontroll at kontrollmyndighetene skal ha rett til å få opplyst hvem som står bak.
De ovennevnte lovbestemmelser stiller som vilkår at det foreligger mistanke om overtredelse av bestemmelser gitt i eller i medhold av henholdsvis ligningsloven, merverdiavgiftsloven og tolloven og at særlige hensyn gjør slik utlevering nødvendig. Hvorvidt utlevering skal skje beror således på en konkret vurdering i det enkelte tilfellet. Forholdet til EMK artikkel 8 ble uttrykkelig vurdert ved innføringen av utleveringshjemlene, og utleveringsadgangen ble funnet å tilfredsstille kravene i artikkel 8 annet ledd, jf. Ot.prp. nr. 21 (1999-2000) Endringer i skatteloven mv. s. 36. Departementet slutter seg til de vurderinger som der ble foretatt. De hjemler for utlevering av identifikasjonsdata som finnes i ligningsloven, merverdiavgiftsloven og tolloven, har blitt utformet med sikte på å sikre en forsvarlig balanse mellom hensynet til vern av privatlivet og hensynet til å avdekke og straffeforfølge lovbrudd. Det er departementets syn at denne vurderingen ikke endres ved at lagringen nå blir obligatorisk ved gjennomføringen av datalagringsdirektivet. Slik departementet ser det, vil kontrollmyndighetene fremdeles ha et behov for å innhente identifikasjonsopplysninger til en abonnent som ikke har offentlig telefonnummer eller telefaksnummer. Kravet om mistanke om lovovertredelser samt at særlige hensyn må gjøre utlevering av opplysningene nødvendig, sikrer at slik innhenting ikke skjer rutinemessig. Avveiningen av kontrollmyndighetenes behov og personverninngrepet tilsier etter departementets syn at den utleveringsadgang som er hjemlet i tolloven § 12-4 første ledd, merverdiavgiftsloven § 16-3 og ligningsloven § 6-13 a bør videreføres.
Også andre offentlige kontrollmyndigheter som har en mer generell lovhjemmel til å innhente opplysninger uavhengig av taushetsplikt, vil kunne få adgang til slike identifikasjonsopplysninger som er omfattet av ekomloven § 2-9 tredje ledd første punktum. Departementet foreslår en endring av ekomloven § 2-9 tredje ledd som klargjør at eventuell hjemmel i lov for andre kontrollmyndigheter til å innhente opplysninger uavhengig av taushetsplikten etter ekomloven, avgrenses til abonnement/brukerdata som nevnt i § 2-9 tredje ledd første punktum.
For alle andre data omfattet av taushetsplikten forutsettes at det foreligger lovhjemmel som fastsetter at taushetsplikten etter § 2-9 ikke skal gjelde og at denne lovhjemmelen er inntatt i opplistingen i femte ledd. Opplistingen i femte ledd er uttømmende. Det betyr at det kun er politi og påtalemyndighet samt Finanstilsynet skal ha adgang til å innhente trafikkdata.
Det har vært en diskusjon om det etter folketrygdloven § 21-4 a i forbindelse med mistanke om trygdemisbruk, kan bes om utlevering av blant annet trafikkdata. Arbeids- og velferdsdirektoratet, Helsedirektoratet eller særskilt utpekte enheter vil i så fall kunne benytte denne hjemmelen. Departementet går inn for at det foruten utlevering til politi og påtalemyndighet, bare skal være adgang til å utlevere trafikkdata til Finanstilsynet, jf. nærmere redegjørelse under kapittel 14.5.2 om bakgrunnen for dette. Det er således på det rene at NAV ikke skal ha adgang til å innhente trafikkdata.
14.5.2 Særlig om Finanstilsynets tilgang
Finanstilsynets utleveringshjemmel i verdipapirhandelloven § 15-3 annet ledd nr. 3 bygger på EU-direktiver som Norge er forpliktet til å gjennomføre i nasjonal rett. Dette ble også lagt til grunn i verdipapirhandellovens forarbeider, jf. Ot.prp. nr. 34 (2006-2007) Om lov om verdipapirhandel (verdipapirhandelloven) og lov om regulerte markeder (børsloven) s. 259. Bestemmelsen gjennomfører direktiv 2003/6/EF om markedsmisbruk (markedsmisbruksdirektivet) og direktiv 2004/39/EF om markeder for finansielle instrumenter (MiFID). Av hensyn til behovet for å bekjempe kriminalitet og samtidig beholde et sterkt personvern for den enkelte, mener departementet at utlevering av data bare skal skje til politi og påtalemyndighet. Fra dette standpunktet må det imidlertid gjøres et unntak av hensyn til våre folkerettslige forpliktelser for så vidt gjelder Finanstilsynet.
Markedsmisbruksdirektivet ble vedtatt 28. januar 2003, og ble gjennomført i norsk rett ved endringer i verdipapirhandelloven av 1997 med ikrafttredelse 1. september 2005. Hovedformålet med direktivet er å sikre integriteten til verdipapirmarkedene i EØS-området, herunder forbedre investorenes tillit til disse markedene. Direktivet har utførlige regler om tilsyn med markedsmisbruksregelverket som skal sikre en homogen og effektiv håndhevelse. Det er lagt opp til at tilsynskompetansen skal samles hos ett organ i hver medlemsstat, kalt «the competent authority», jf. artikkel 1 nr. 7, jf. artikkel 11. Tilsynsorganets kompetanse er nærmere regulert i direktivet artikkel 12. I henhold til artikkel 12 nr. 2 skal tilsynsorganet ha visse minimumsbeføyelser, blant annet tilgang til eksisterende trafikkdata («existing telephone and existing data traffic records«), jf. art. 12 nr. 2 bokstav d. I Ot.prp. nr. 12 (2004-2005) Om lov om endringer i verdipapirhandelloven og enkelte andre lover (gjennomføring av markedsmisbruksdirektivet) la departementet til grunn at Finanstilsynet bør ha kompetanse til å innhente trafikkdata sett hen til EØS-forpliktelsenes omfang (s. 108). Kravet i markedsmisbruksdirektivet art. 12 nr. 2 bokstav d, sammen med behovet for snarlig tilgang til datatrafikk for effektiv bekjempelse av verdipapirkriminalitet var også bakgrunnen for lovendringen i verdipapirhandelloven av 1997 § 12-2a som på visse vilkår ga Finanstilsynet tilgang til trafikkdata ved mistanke om brudd på bestemmelser som gjennomfører direktivet.
MiFID ble vedtatt 21. april 2004 og gjennomført i norsk rett ved vedtakelsen av ny verdipapirhandellov av 2007. Hovedformålet med direktivet er å bidra til å utvikle og sikre de europeiske verdipapirmarkedenes effektivitet, integritet, samt oversiktlighet og tillit til markedet. Direktivet inneholder blant annet regler om verdipapirforetaks og regulerte markeders (dvs. børser og autoriserte markedsplassers) organisering og virksomhet samt bestemmelser om tilsyn med verdipapirforetak og regulerte markeders virksomhet og overholdelse av lovgivning. Mens markedsmisbruksregelverket retter seg mot enhver, er det altså verdipapirforetak og regulerte markedene som er pliktsubjekter etter MiFID. MiFID inneholder på lik linje med markedsmisbruksdirektivet en liste over tilsynsmyndighetenes minimumsbeføyelser, herunder et krav om at Finanstilsynet som «competent authority» skal ha tilgang til trafikkdata («existing telephone records and existing data traffic») for å føre tilsyn med at direktivbestemmelsene overholdes, jf. direktivet art. 50 nr. 2 bokstav d. Forpliktelsen ble gjennomført ved verdipapirhandelloven § 15-3 annet ledd nr. 2, som hjemlet tilsynets innhenting av trafikkdata. Bestemmelsen er i det vesentlige en videreføring av verdipapirhandelloven 1997 § 12-2a, likevel slik at utleveringsadgangen ble utvidet til å gjelde mistanke om verdipapirforetaks overtredelse som gjennomfører MiFID.
Så vel markedsmisbruksdirektivet som MiFID åpner for at tilsynsorganets kompetanse til å innhente trafikkdata kan være betinget av samarbeid med andre myndigheter, jf. markedsmisbruksdirektivet artikkel 12 nr. 1 bokstav b og MiFID artikkel 50 nr. 1 bokstav b. En kunne således tenke seg en ordning hvoretter Finanstilsynet, ved mistanke om lovbrudd, måtte henvende seg til politiet, som så kunne begjære trafikkdata utlevert på vegne av tilsynet.
Både markedsmisbruksdirektivet og MiFID legger i stor grad opp til at tilsynsmyndighetene selv skal forfølge og iretteføre brudd på direktivbestemmelsene, herunder iverksette administrative sanksjoner, jf. markedsmisbruksdirektivet art. 14 og MiFID art. 51. Finanstilsynets innhenting skjer ikke som ledd i en straffesak, men er et tiltak dette forvaltningsorganet foretar som ledd i sin kontroll med at lovgivningen på verdipapirområdet blir overholdt.
Der Finanstilsynet på et tidlig stadium i undersøkelsene må henvende seg til politiet for å be om tilgang til trafikkdata, vil saken, ut fra dagens arbeidsfordeling mellom politiet og Finanstilsynet, etter tilsynets erfaring fortsette i et strafferettslig spor. Administrative sanksjoner vil da i praksis ikke bli aktuelle. Hensynet til en effektiv tilsyns- og sanksjonskompetanse for Finanstilsynet tilsier at tilsynet selv bør kunne innhente trafikkdata.
Etter departementets syn er det kravet om rettens kjennelse som er den sentrale garantien for at hensynet til personvern og rettssikkerhet blir tilstrekkelig ivaretatt. Kravet om rettens kjennelse er nytt i forhold til gjeldende rett. I dag treffer Finanstilsynet vedtaket som pålegger tilbyderne å utlevere trafikkdata, riktignok forutsatt at Post- og teletilsynet gir tilbyderne et slikt fritak fra taushetsplikten i ekomloven § 2-9. En ser ikke umiddelbart at en ordning hvor politiet innhenter trafikkdata på vegne av tilsynet, bidrar til ytterligere styrking av personvernet. Departementet mener derfor at Finanstilsynets tilgang til data som bygger på markedsmisbruksdirektivet og MiFID, best kan gjennomføres i norsk rett ved at tilsynet gis direkte adgang til å kreve utlevering av trafikkdata.
Et særlig spørsmål er om det bør gjelde et særlig strafferammekrav for utlevering av trafikkdata til Finanstilsynet, slik departementet foreslår for utlevering til politiet og påtalemyndigheten. Grunnvilkåret for Finanstilsynets begjæring er i dag at det foreligger konkret mistanke om overtredelse av verdipapirhandelloven kapittel 3, 4, 5, 8, 9, 10 eller 11, eller forskrifter gitt i medhold av disse bestemmelsene, jf verdipapirhandelloven § 15-3 annet ledd nr. 3. Det er her tale om lovbrudd med ulik alvorlighetsgrad, og følgelig ulik strafferamme. Selv om departementets klare utgangspunkt er at Finanstilsynets tilgang til trafikkdata ikke bør være videre enn det som gjelder for politi- og påtalemyndighet, antar en at innføring av særlige strafferammekrav vil bryte med forpliktelsene etter markedsmisbruksdirektivet og MiFID.
Innhenting av trafikkdata kan utgjøre et alvorlig inngrep i privatlivet til den det gjelder, og departementet går inn for at hjemmelen ikke skal omfatte flere typer data enn våre folkerettslige forpliktelser tilsier. I forlengelsen av dette vil departementet presisere at Finanstilsynets tilgang til data bare gjelder abonnements-/brukerdata, jf. ekomloven § 2-9 sammenholdt med verdipapirhandelloven § 15-3 annet ledd nr. 2, og trafikkdata. Innføring av lagringsplikt vil medføre lagring av flere data enn i dag og dermed gi Finanstilsynet økt tilfang til data. Lokaliseringsdata er særlig inngripende for personvernet og faller også utenfor de forpliktelser som ligger til grunn for verdipapirhandelloven § 15-3 annet ledd nr. 3.
Utleveringsbestemmelsen i straffeprosessloven § 210 åpner for hastekompetanse for politi og påtalemyndighet. Departementet kan ikke se at det følger av verken markedsmisbruksdirektivet eller MiFID at Finanstilsynet skal ha en slik adgang.
14.5.3 Om bruk av trafikkdata som bevis i sivile saker
Departementet legger til grunn at de begrensninger i adgangen til trafikkdata og lokaliseringsdata som skal gjelde for andre myndigheter enn Finanstilsynet, jf. ovenfor for så vidt gjelder trafikkdata, også bør gjelde i sivile saker. Det innebærer at tvisteloven § 22-3 bør endres slik at den taushetsplikt som gjelder for tilbyderne i medhold av ekomloven § 2-9 for så vidt gjelder trafikkdata og lokaliseringsdata, skal gjelde uten mulighet for at Post- og teletilsynet eller eventuelt retten kan oppheve denne. Dette er i tråd med prinsippet om at dataene lagres for kriminalitetsbekjempende formål.
Samtidig bør dagens adgang til å få utlevert abonnementsopplysninger, herunder også elektronisk kommunikasjonsadresse, beholdes jf. kapittel 14.2.2. Dette er mer alminnelige opplysninger som likevel kan ha stor betydning i private saker, typisk for å avsløre hvem som står bak immaterialrettskrenkelser, jf. ovennevnte kjennelse fra Høyesterett i den såkalte Altibox-saken. Her slo domstolen fast at retten med hjemmel i tvisteloven kapittel 28 sammenholdt med tvisteloven § 22-3, kan tillate at visse opplysninger underlagt lovbestemt taushetsplikt etter ekomloven, sikres som bevis utenfor rettssak. Slike data er underlagt et mindre strengt vern, jf. Høyesteretts syn om at «denne type opplysninger ved strafferettslig etterforskning har et svakere vern enn for eksempel trafikkdata» (dommen avsnitt 41). I begrunnelsen slutter Høyesterett seg videre til lagmannsrettens lovforståelse om at private bør få tilgang til slike opplysninger for å ha mulighet til å fremme erstatningssøksmål uavhengig av sakens strafferettslige side (i avsnitt 52):
«Lagmannsrettens flertall har også som et vesentlig moment, vist til at Internett på mange måter fungerer tilnærmet på linje med ordinær telefonbruk, og at dette tilsier at brukerne forventer at deres bruk er skjermet for offentlig innsyn. Flertallet mente videre at den omstendighet at ankemotpartene ikke har meldt forholdet til politiet ikke kan tillegges vekt når siktemålet med begjæringen er å fremskaffe grunnlag for et erstatningskrav for krenkelsene av deres rettigheter. Flertallet oppsummerer sitt syn slik:
‘Etter en samlet vurdering – blant annet særlig hensyntatt at det dreier seg om en handling som antas å være både straffbar og erstatningsbetingende, politiets manglende prioritering av slike saker, den omstendighet at abonnenten av den aktuelle IP-adressen ikke kan ha en berettiget forventning om rettsstridig bruk av denne og de motstridende hensyn som er nevnt over – kan ikke flertallet se at det vil være uforholdsmessig å gi Sandrew m.fl. tilgang til identiteten til abonnenten av den aktuelle IP-adressen.’»
Departementet foreslår ikke endringer i tvisteloven § 22-3 annet ledd. Dette innebærer at Post- og teletilsynets fritak fra taushetsplikten som utgangspunkt fortsatt er et vilkår for at retten kan tillate at abonnements- eller brukerdata føres som bevis under sivile søksmål.