12 Behandling av personopplysninger etter innhenting
12.1 Innledning
Den enkeltes rett til personvern og respekt for sitt privatliv er forankret i Grunnloven og menneskerettskonvensjoner som gjelder som norsk lov etter menneskerettsloven. Begrepene «personvern», «personopplysningsvern» og «privatliv» brukes gjerne om hverandre i dagligtalen, men begrepene har selvstendig innhold og betydning. Personvernkommisjonen la til grunn følgende definisjoner i sin rapport (NOU 2009: 1 punkt 4.1.5), som Menneskerettighetsutvalget senere sluttet seg til (Dokument 16 (2011–2012), punkt 30.6.2 side 172):
«Personvern dreier seg om ivaretakelse av personlig integritet; ivaretakelse av enkeltindividers mulighet for privatliv, selvbestemmelse (autonomi) og selvutfoldelse. […] Personopplysningsvern dreier seg om regler og standarder for behandling av personopplysninger som har ivaretakelse av personvern som hovedmål. Reglenes formål er å sikre enkeltindivider oversikt og kontroll over behandling av opplysninger om dem selv. Med visse unntak skal enkeltpersoner ha mulighet til å bestemme hva andre skal få vite om hans/hennes personlige forhold. […]»
Reglene i lovforslaget kapittel 9 om behandling av personopplysninger ivaretar i første rekke personopplysningsvernet. Formålet med personopplysningsvernet er blant annet å ivareta balansen mellom borger og stat, og forhindre at staten får for stor makt over egne borgere. I takt med den teknologiske utviklingen har personopplysningsvernet fått en mer selvstendig betydning ved siden av personvernet. Begrunnelsen er at tiltak som griper inn i personvernet, i stadig større utstrekning gjennomføres slik at de også medfører behandling av personopplysninger i form av innhenting, registrering, bearbeiding og analysering.
12.2 Andre lands rett
12.2.1 Sverige
Lag (2007:258) om behandling av personuppgifter i Försvarsmaktens försvarsunderrättelseverksamhet och militära säkerhetstjänst regulerer svensk etterretningsvirksomhets behandling av personopplysninger. Loven åpner for behandling av personopplysninger når det er nødvendig for å drive virksomhet som angis i lag (2000:130) om försvarsunderrättelseverksamhet. Det presiseres at opplysninger om en person bare kan behandles så lenge det er relatert til et oppdrag for etterretningsvirksomheten og behandlingen er nødvendig for å fullføre oppdraget.
Det fremgår av lag (2018:218) med kompletterande bestämmelser til EU:s dataskyddsförordning at personvernforordningen ikke kommer til anvendelse for behandling av personopplysninger etter lag (2007:258).
12.2.2 Danmark
Lov om Forsvarets Efterretningstjeneste (FE) har særskilte bestemmelser om behandling av personopplysninger om fysiske personer som er hjemmehørende i Danmark. I korte trekk følger det av § 4 at slike personopplysninger kan behandles hvis behandlingen skjer med samtykke, må antas å ha betydning for å ivareta tjenestens oppgaver som utenlandsetterretningstjeneste, eller er nødvendig for å ivareta tjenestens oppgaver som militær sikkerhetstjeneste og nasjonal sikkerhetsmyndighet for forsvarssektoren.
FE er unntatt lov om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (databeskyttelsesloven) og personvernforordningen.
12.2.3 Finland
Lag (332/2019) om behandling av personuppgifter inom Försvarsmakten regulerer behandling av personopplysninger i det finske forsvaret. Loven gjelder også for behandling av personopplysninger i den militære etterretningstjenesten. Personopplysningene kan behandles for formål som følger av lag (551/2007) om försvarsmakten 2 §. Loven åpner blant annet for å etablere et eget register for den militære etterretningstjenesten, som kan brukes til militære etterretningsoppdrag. Loven angir en uttømmende liste over hvilke personopplysninger som kan registreres. For behandling av personopplysninger til andre formål kommer personvernforordningen til anvendelse.
12.3 Personopplysningsvernets rettslige forankring
Retten til respekt for privatlivet er grunnlovsfestet i Grunnloven § 102:
«Enhver har rett til respekt for sitt privatliv og familieliv, sitt hjem og sin kommunikasjon. Husransakelse må ikke finne sted, unntatt i kriminelle tilfeller.
Statens myndigheter skal sikre et vern om den personlige integritet.»
Personopplysningsvernet omfattes av bestemmelsen, se Innst. 186 S (2013–2014) punkt 2.1.9 side 27, hvor Stortingets kontroll- og konstitusjonskomité uttaler:
«Komiteen understreker at forslaget skal leses som at systematisk innhenting, oppbevaring og bruk av opplysninger om andres personlige forhold bare kan finne sted i henhold til lov, benyttes i henhold til lov eller informert samtykke og slettes når formålet ikke lenger er til stede.»
Det følger av HR-2014-2288-A avsnitt 28 og HR-2015-206-A avsnitt 60 at myndighetene ikke kan gripe inn i personopplysningsvernet med mindre det er forankret i lov, ivaretar et legitimt formål og møter de alminnelige kravene til nødvendighet og forholdsmessighet, se nærmere punkt 4.3.
De sentrale internasjonale menneskerettighetsinstrumentene som omfatter personopplysningsvernet er Den europeiske menneskerettskonvensjon (EMK) og FNs konvensjon om sivile og politiske rettigheter (SP). Det følger av menneskerettsloven at disse konvensjonene gjelder som norsk lov.
Det følger av EMK artikkel 8 nr. 1 at enhver har rett til respekt for sitt privatliv og familieliv, sitt hjem og sin korrespondanse. Etter praksis fra Den europeiske menneskerettsdomstol (EMD) vil personopplysningsvernet etter omstendighetene innfortolkes i begrepet «privatliv», men likevel ikke slik at alle former for personlig informasjon omfattes, se for eksempel S. og Marper mot Storbritannia (4. desember 2008) avsnitt 66 og 67. Ved vurderingen må det ses hen til den spesifikke konteksten rundt innsamlingen og lagringen, personopplysningenes art, med hvilket formål opplysningene brukes og prosesseres, og resultatene som kan oppnås. Der det er sikkerhets- og etterretningstjenester som innhenter og tar i bruk personopplysninger, er formodningen at det er tale om et inngrep etter EMK artikkel 8, se for eksempel Rotaru mot Romania (4. mai 2000). Likevel kan det tenkes tilfeller der personopplysninger som innhentes i forbindelse med strategisk etterretning, slik som lister over deltakere på åpne møter, ikke vernes etter denne bestemmelsen.
Hvor fritt myndighetene står ved utformingen av regler om behandling av personopplysninger, varierer etter hvilke omstendigheter opplysningene er innhentet og lagret i, samt opplysningenes art. EMD har for eksempel fremholdt at statene har en videre skjønnsmargin i saker som involverer mistenkte terrorister, særlig der det er tale om lagring av informasjon om individer som har tatt del i terroraktiviteter tidligere, se for eksempel Segerstedt-Wiberg mfl. mot Sverige (6. juni 2006) avsnitt 88 til 89. På den andre siden vil skjønnsmarginen være snevrere der inngrepet kan vanskeliggjøre realiseringen av sentrale og intime rettigheter, se G.S.B. mot Sveits (22. desember 2015) avsnitt 93.
Norge har ratifisert Europarådets konvensjon nr. 108 av 28. januar 1981 om personvern i forbindelse med elektronisk databehandling av personopplysninger (Europarådets personvernkonvensjon). Konvensjonens formål er:
«[Å] sikre respekt for enhver enkeltpersons rettigheter og grunnleggende friheter og især retten til privatlivets fred på territoriet til enhver part, uten hensyn til statsborgerskap eller bopel, i forbindelse med elektronisk databehandling av personopplysninger som vedrører ham («datavern»).»
Personvernkonvensjonen forplikter konvensjonspartene til å treffe nødvendige tiltak i sin interne lovgivning for å gjennomføre hovedprinsippene for datavern. Disse prinsippene går særlig ut på å sikre datakvalitet, herunder at personopplysningene innsamles og bearbeides på lovlig måte; lagres for bestemte og lovlige formål og ikke nyttes på en måte som er uforenlig med disse formålene; er adekvate, relevante og ikke for omfattende i relasjon til formålet de lagres for; er nøyaktige og ajourførte; og at de oppbevares på en måte som begrenser identifikasjon til det som er formålsmessig, jf. artikkel 5. Det følger av artikkel 9 nr. 2 at det kan gjøres unntak fra enkelte av konvensjonsrettighetene der dette følger av lov og er et nødvendig tiltak i et demokratisk samfunn blant annet av hensyn til statens sikkerhet.
Personopplysningsvernet er regulert i EUs personvernforordning 2016/679 av 27. april 2016 om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger, som erstattet EUs personverndirektiv 95/46. Forordningens overordnede mål er å verne fysiske personer i forbindelse med behandling av personopplysninger, og sikre ensartede regler og fri utveksling av personopplysninger i EØS-området. De generelle prinsippene som forordningen bygger på, er i stor grad sammenfallende med personverndirektivet.
EUs personvernforordning ble inkorporert i Norge gjennom personopplysningsloven 2018, som på de fleste områder erstatter personopplysningsloven 2000. Virksomhet innen nasjonal sikkerhet omfattes ikke av EØS-avtalens saklige virkeområde. EØS-relevante forordninger og direktiver har derfor begrenset relevans for utformingen av nasjonal lovgivning knyttet til nasjonal sikkerhet. Personopplysningsloven 2018 gjelder ikke for Etterretningstjenestens behandling av personopplysninger for etterretningsformål, se punkt 12.4.
12.4 Særregler om behandling av personopplysninger hos Etterretningstjenesten
12.4.1 Gjeldende rett
Etterretningstjenesten behandler personopplysninger innenfor rammen av etterretningstjenesteloven, personopplysningsloven 2000 og personopplysningsforskriften 2000. Personopplysningsloven 2000 implementerer personverndirektivet, som er erstattet av personvernforordningen. I en overgangsperiode fortsetter personopplysningsloven 2000 å gjelde for Etterretningstjenesten, jf. forskrift av 15. juni 2018 nr. 877 om overgangsregler om behandling av personopplysninger § 1 bokstav c.
12.4.2 Forslaget i høringsnotatet
Det foreslås i høringsnotatet punkt 12.3 at Etterretningstjenestens behandling av personopplysninger for etterretningsformål skal skje innenfor rammen av særregler som fremgår av ny etterretningstjenestelov. Det vises til at prinsippene og verdiene som den alminnelige personvernlovgivningen bygger på, bør være retningsgivende ved utformingen av regelverket.
Videre fremgår det at personopplysningsloven 2018 bør få anvendelse på behandling av personopplysninger for andre formål enn etterretningsformål i tjenestens alminnelige forvaltningsvirksomhet, for eksempel ved behandling av opplysninger om Etterretningstjenestens personell for arbeidsgiverformål.
Det fremgår av høringsnotatet punkt 12.5.2 at behandling i form av innhenting er gjenstand for særskilt regulering i lovutkastet kapittel 3 til kapittel 8, og derfor unntatt behandlingsreglene som foreslås i kapittel 9.
12.4.3 Høringsinstansenes syn
Flere høringsinstanser, herunder Datatilsynet, Den norske dataforening – IT-politisk råd og Den internasjonale juristkommisjon – norsk avdeling, er positive til at det foreslås egne regler om Etterretningstjenestens behandling av personopplysninger.
Advokatforeningen viser til at det i høringsnotatet pekes på viktige rettslige utgangspunkter for vern av personopplysninger, men stiller spørsmål ved om de foreslåtte behandlingsreglene reflekterer personopplysningsloven 2018 og EUs personvernforordning. Blant annet påpeker Advokatforeningen at de skjerpede kravene i det nye regelverket ikke er reflektert i lovutkastet, og at man ikke i tilstrekkelig grad hensyntar at personopplysningsvernet er en selvstendig grunnrettighet ved siden av retten til privatliv, jf. EUs pakt om grunnleggende rettigheter artikkel 7 og 8. Advokatforeningen mener at det må angis hvem som er behandlingsansvarlig for behandlingen av personopplysningene, samt at det bør inntas krav om innebygget personvern i regelverket.
Også Datatilsynet mener at personvernprinsipper må bygges ytterligere inn i loven, og at det bør stilles krav til kontinuerlig vurdering av personvernkonsekvenser. Tilsynet understreker i den sammenheng at den nye loven i størst mulig grad bør følge personopplysningsprinsippene som reflekteres i EUs personvernforordning, og uttaler:
«Lov om etterretningen er ment å uttømmende regulere behandling av personopplysninger på dette området og bør gi føringer utover behandling i de enkelte sakene. Vi kan ikke se hvorfor det skal være lavere krav til slike vurderinger på dette området enn på forordningens virkeområde. Det kan her nevnes at politiregisterforskriften § 41-1 oppstiller krav til personvernkonsekvensvurderinger ved ny type behandling av personopplysninger på [politiregisterlovens] virkeområde. Dette kom inn i forskriften som en konsekvens av nytt EU-regelverk.
Vi mener departementet må vurdere å ta inn bestemmelser om krav til innebygget personvern og krav til konsekvensutredninger, for eksempel ved innføring av ny teknologi i lov om Etterretningstjenesten, for å sikre at det ved innføring av nye tiltak gjøres gode personvernkonsekvensutredninger og at hensynet til personvernet vektlegges allerede når man starter planleggingen av et tiltak eller en tjeneste eller et produkt skal utvikles. Personvernhensyn skal ikke være noe man utkvitterer etter at en tjeneste er ferdig utviklet og alle valg er tatt.»
Datatilsynet mener at artikkel 23 i personvernforordningen bør være det naturlige utgangspunktet for vurderingen av personopplysningsreglene. Videre mener Datatilsynet at reglene for behandling av personopplysninger bør gis anvendelse for registre som omhandler innhenting av opplysninger fra åpne kilder.
Næringslivets sikkerhetsråd forutsetter at balansegangen mellom personvernet og samfunnssikkerheten ivaretas av de foreslåtte kontrollmekanismene i høringsforslaget.
12.4.4 Departementets vurdering
Departementet opprettholder forslaget i høringsnotatet om å gi tilpassede regler for Etterretningstjenestens behandling av personopplysninger i lovforslaget kapittel 9.
Advokatforeningen og Datatilsynet tar til orde for at reglene og prinsippene i personopplysningsloven 2018 og EUs personvernforordning bør reflekteres i større grad, herunder at departementet i større grad bør hensynta EUs pakt om grunnleggende rettigheter artikkel 7 og 8, og at EUs personvernforordning artikkel 23 bør danne et utgangspunkt for regelverket. Til dette vil departementet bemerke at forordningen artikkel 23 angir at det i nasjonal lovgivning er anledning til å fastsette unntak fra forpliktelsene og rettighetene fastsatt i artikkel 12 til 22, altså reglene som gir registrerte personer konkrete rettigheter. Slike unntak må være nødvendige og proporsjonale. I tillegg kreves at begrensningen overholder det vesentligste innholdet i de grunnleggende rettigheter og friheter. Forordningens fortalepunkt 73 slår fast at de fastsatte begrensningene må være i overensstemmelse med EUs pakt om grunnleggende rettigheter og EMK. Pakten er ikke en del av EØS-avtalen, og er dermed ikke bindende for Norge.
Personvernforordningen gjelder ikke tiltak for å ivareta nasjonal sikkerhet. Slik departementet ser det, er det primært Grunnloven § 102, EMK artikkel 8 og Europarådets personvernkonvensjon som må danne rammen for lovforslaget. De prinsipper som den generelle personopplysningslovgivningen bygger på, blant annet lovlighet, formålsbegrensning, riktighet, lagringsbegrensning, integritet og konfidensialitet, er etter departementets vurdering i stor grad ivaretatt i lovforslaget. De foreslåtte behandlingsreglene forutsetter at Etterretningstjenesten jevnlig må vurdere hvorvidt den konkrete behandlingen er innenfor lovens rammer. Ved innføring av ny teknologi eller andre tiltak som påvirker behandlingen av personopplysninger, må det gjøres nye vurderinger.
Behandling i form av innhenting omfattes som utgangspunkt av behandlingsbegrepet, jf. legaldefinisjonen i lovforslaget § 1-3 bokstav b. Departementet anser det imidlertid som hensiktsmessig at det i loven skilles mellom regler om innhenting og regler om behandling av personopplysninger etter innhenting. Dette skyldes at innhenting av informasjon er utførlig regulert i lovforslaget kapittel 3 til 8, se nærmere blant annet proposisjonens omtale av grunnvilkårene (kapittel 9), metodebruk for innhenting av informasjon (kapittel 10) og tilrettelagt innhenting av grenseoverskridende elektronisk kommunikasjon (kapittel 11). På denne bakgrunn videreføres forslaget i høringsnotatet om å unnta behandling i form av innhenting fra lovforslaget kapittel 9. Departementet foreslår å tydeliggjøre dette i kapitteloverskriften.
12.5 Legaldefinisjon av begrepet «personopplysninger«
12.5.1 Gjeldende rett
I personopplysningsloven 2000 defineres «personopplysning» som «opplysninger og vurderinger som kan knyttes til en enkeltperson», jf. § 2 nr. 1. Bestemmelsen reflekterer EUs personverndirektiv artikkel 2 bokstav a, som definerer en personopplysning som:
«[Enhver] opplysning om en identifisert eller identifiserbar person («den registrerte»); en identifiserbar person er en som direkte eller indirekte kan identifiseres, særlig ved hjelp av et identifikasjonsnummer eller ett eller flere elementer som er særegne for personens fysiske, fysiologiske, psykiske, økonomiske, kulturelle eller sosiale identitet.»
Definisjonen er omtalt nærmere i Ot.prp. nr. 92 (1998–99) punkt 16 side 101 til 102.
12.5.2 Forslaget i høringsnotatet
I høringsnotatet punkt 12.4 foreslås det at «personopplysninger» skal forstås som «enhver opplysning og vurdering som med enkle midler kan knyttes til en identifisert eller identifiserbar fysisk person». Det vises til at forslaget materielt sett tilsvarer legaldefinisjonen i EUs personvernforordning artikkel 4 nr. 1.
Det redegjøres i høringsnotatet for at alle opplysninger som direkte eller indirekte kan knyttes til en person, skal regnes som personopplysninger i lovens forstand. Også opplysninger som bare kan knyttes til en person gjennom identifiserende kjennetegn, faller inn under begrepet. At opplysningen må kunne «knyttes til» en person, innebærer et krav om identifikasjon. I dette identifikasjonskravet ligger en forutsetning om at en opplysning med stor grad av sikkerhet må kunne knyttes til en spesifikk person, slik at et IP-nummer som tilhører en datamaskin med mange brukere ikke vil kunne regnes som en personopplysning fordi IP-nummeret ikke kan knyttes til en konkret enkeltperson. Imidlertid må ikke selve identifiseringen ha skjedd. Det fremgår videre av høringsnotatet at det er tilstrekkelig at identifisering kan skje, men da med «enkle midler», slik at ikke enhver fjern mulighet for identifisering er tilstrekkelig for å kategorisere en opplysning som en personopplysning. Jo mer alvorlige de mulige følgene for personvernet antas å kunne bli, desto mindre skal til for at noe regnes som en personopplysning.
12.5.3 Høringsinstansenes syn
Advokatforeningen, Datatilsynet, Den internasjonale juristkommisjon – norsk avdeling, Den norske dataforening – IT-politisk råd og Kripos er kritiske til at departementet foreslår en legaldefinisjon av «personopplysninger» som avviker fra definisjonen i EUs personvernforordning. Datatilsynet mener at det ikke er riktig at forslaget materielt sett tilsvarer legaldefinisjonen i personvernforordningen, og uttaler:
«For [det] første avviker definisjonen språklig fra personvernforordningens, noe som i seg selv åpner for uklarheter, men den er også innholdsmessig forskjellig på et vesentlig punkt: I forslaget snevres definisjonen inn ved at det kun er opplysninger som med enkle midler kan knyttes til en person som er omfattet av definisjonen. Dette endrer altså kravet til hvor mye som skal til for å si at en opplysning er å regne som en personopplysning.»
Kripos mener at definisjonen av «personopplysninger» bør komme før definisjonen av «behandling av personopplysninger».
Stortingets kontrollutvalg for etterretnings-, overvåkings- og sikkerhetstjeneste (EOS-utvalget) har i etterkant av høringen bedt departementet om å vurdere hvorvidt døde personer bør gis samme personopplysningsvern som levende personer.
12.5.4 Departementets vurdering
Flere høringsinstanser, blant andre Advokatforeningen og Datatilsynet, er kritiske til at det foreslås en definisjon av begrepet «personopplysninger» som avviker fra definisjonen i EUs personvernforordning. Departementet er enig med høringsinstansene i at personvernforordningens definisjon bør legges til grunn. Selv om personvernforordningen ikke er bindende på dette området, er det i dette tilfellet hensiktsmessig å benytte samme definisjon, da dette bidrar til klarhet og forutberegnelighet for rettsanvenderen. Det vises til merknadene til § 1-3 bokstav a for en nærmere redegjørelse for innholdet i begrepet.
EOS-utvalget har i brev 22. oktober 2019 bedt departementet om å vurdere å inkludere døde personer i personopplysningsbegrepet. Personopplysninger om døde personer er ikke direkte regulert i personopplysningsloven 2000, men det følger av Ot.prp. nr. 92 (1998–99) punkt 16 side 102 at slike opplysninger ikke omfattes av begrepet. Utvalget trekker paralleller til politiregisterloven og PSTs behandling av personopplysninger, og viser til at opplysningene som Etterretningstjenesten behandler, er så sensitive at personens død ikke bør ha noen betydning for beskyttelsen. Utvalget viser til hensynet til avdødes ettermæle. Problemstillingen ble ikke reist i høringsnotatet eller i høringen, men departementet har vurdert spørsmålet på bakgrunn av EOS-utvalgets henvendelse.
Etter departementets vurdering gjør de hensyn som begrunner vernet av døde personers personopplysninger i politiregisterloven, særlig hensynet til avdødes ettermæle, seg ikke i like stor grad gjeldende for Etterretningstjenestens virksomhet. Departementet viser til at tjenesten ikke har oppgaver knyttet til straffeforfølgning. Det vil være en svært begrenset krets med personer som kjenner til at opplysningene om den avdøde blir behandlet. I motsetning til hva som gjelder for politiet, vil det i tillegg i all hovedsak dreie seg om utenlandske borgere. På bakgrunn av dette mener departementet at gjeldende rett bør videreføres, og foreslår ikke å la døde personer inkluderes i personopplysningsbegrepet i lovforslaget.
Departementet understreker at det gjelder en presumpsjon for at personen lever frem til det foreligger konkrete holdepunkter for noe annet. Dersom tjenesten ikke med en viss grad av sikkerhet kan slå fast at personen er død, vil behandlingsreglene etter kapittel 9 gjelde.
12.6 Behandlingsgrunnlag, behandlingsformål og nødvendighet
12.6.1 Gjeldende rett
12.6.1.1 Behandlingsgrunnlag
I personopplysningsloven 2000 fremgår de alminnelige reglene om behandlingsgrunnlag av § 8. Etter denne bestemmelsen kan behandling av personopplysninger bare finne sted dersom den registrerte har samtykket, dersom det er en lovfestet adgang til behandling, eller dersom behandlingen er nødvendig for et av formålene i bokstav a til f. For behandling av sensitive opplysninger må i tillegg et av vilkårene i § 9 første ledd være oppfylt.
Etterretningstjenestens behandlingsgrunnlag følger av personopplysningsloven 2000 sammenholdt med etterretningstjenesteloven § 3 første ledd. Etterretningstjenesten kan bare behandle personopplysninger dersom behandlingen antas å ha betydning for ivaretakelsen av tjenestens oppgaver etter § 3. Etterretningstjenesteloven § 3 første ledd gir tjenesten adgang til å innhente, bearbeide og analysere informasjon i den utstrekning det kan bidra til å sikre viktige nasjonale interesser, som er nærmere beskrevet i bokstav a til j. Etterretningstjenesten må vurdere om det er nødvendig å behandle den aktuelle informasjonen. Vurderingen er av etterretningsfaglig karakter, og kan variere etter fagområde, tema og andre omstendigheter. Det er tilstrekkelig at informasjonen kan være egnet, alene eller sett i sammenheng med annen informasjon, til å bidra til å sikre viktige nasjonale interesser.
Etterretningstjenesteloven § 4 andre ledd supplerer det generelle behandlingsgrunnlaget i § 3 når det gjelder oppbevaring av opplysninger om norske fysiske og juridiske personer. Etterretningstjenesten kan bare oppbevare informasjon som gjelder norske fysiske og juridiske personer dersom informasjonen har direkte tilknytning til ivaretakelsen av Etterretningstjenestens oppgaver etter § 3 eller er direkte knyttet til en slik persons arbeid eller oppdrag for tjenesten. Det følger av bestemmelsen at innhentingsforbudet etter første ledd ikke skal tolkes dit hen at Etterretningstjenesten er avskåret fra å behandle opplysninger om norske fysiske og juridiske personer.
12.6.1.2 Behandlingsformål
Personopplysninger kan bare benyttes for uttrykkelig angitte formål som er saklig begrunnet i den behandlingsansvarliges virksomhet, jf. personopplysningsloven 2000 § 11 første ledd bokstav b. Dette innebærer at den behandlingsansvarlige forut for behandlingen må fastsette et formål som er tilstrekkelig konkret og avgrenset til at det skaper åpenhet og klarhet om hva behandlingen skal tjene til. Generelle og vage beskrivelser som «administrative oppgaver» eller «kommersiell bruk» vil ikke være tilstrekkelig presise. Jo større fare behandlingen kan medføre for personvernet, desto viktigere er det at formålet er presist definert (Ot.prp. nr. 92 (1998–99) punkt 16 side 114).
Personopplysninger skal ikke brukes senere til formål som er uforenlig med det opprinnelige formålet med innsamlingen, jf. personopplysningsloven 2000 § 11 første ledd bokstav c. Bokstav c må leses i sammenheng med § 11 første ledd bokstav a, som krever at behandlingen må oppfylle kravene til lovlig behandling i § 8, og eventuelt § 9 dersom det dreier seg om sensitive opplysninger. Hva som skal til før det nye behandlingsformålet er uforenlig med det opprinnelige formålet, må vurderes konkret og individuelt.
Det følger av etterretningstjenesteloven § 3 at tjenesten bare kan behandle personopplysninger for etterretningsformål. Skal tjenesten behandle opplysninger med andre formål, må det etter personopplysningsloven § 11 foreligge et eget behandlingsgrunnlag for dette etter §§ 8 eller 9.
12.6.1.3 Nødvendighet
Kravet til nødvendighet er et grunnleggende personvernprinsipp som innebærer at det ikke er lovlig å behandle en personopplysning som det ikke er nødvendig å behandle for det aktuelle formålet. Personopplysningsloven 2000 oppstiller ikke uttrykkelig krav om nødvendighet for at en opplysning skal kunne behandles. Det gjelder likevel et implisitt krav om nødvendighet etter § 28 første ledd første punktum, som fastslår at behandlingsansvarlig ikke skal lagre personopplysninger lenger enn det som er nødvendig for å gjennomføre formålet med behandlingen.
12.6.2 Forslaget i høringsnotatet
I høringsnotatet punkt 12.5 foreslås det å regulere Etterretningstjenestens behandlingsgrunnlag i en bestemmelse om «formålsbestemthet» i lovutkastet § 9-2. Det følger av forslaget at tjenesten kan behandle personopplysninger for etterretningsformål. Etterretningsformål defineres som «formål å ivareta en eller flere av tjenestens oppgaver etter lovforslagets kapittel 3», jf. lovutkastet § 1-4 nr. 3.
Etterretningstjenesten skal etter lovutkastet kapittel 3 innhente og analysere informasjon om utenlandske militære og sivile forhold som kan bidra til å avdekke og motvirke forhold som nevnt i lovutkastet § 3-1 bokstav a til i. I tillegg skal tjenesten innhente informasjon om andre utenlandske forhold (§ 3-2), opprettholde okkupasjonsberedskap (§ 3-3), og drive internasjonalt samarbeid (§ 3-4). Det vises til at tjenesten også skal kunne innhente evneinformasjon som utgjør nødvendige forutsetninger for å kunne gjennomføre oppgavene (§ 3-5). Lovutkastet kapittel 3 danner altså rammen for hva slags personopplysninger som kan behandles til hvilke formål.
På samme måte som PSTs virksomhet anses som ett behandlingsformål, jf. Ot.prp. nr. 108 (2008–2009) punkt 9.2 side 74 til 76, vurderes det i høringsnotatet at også oppgavene etter lovutkastet kapittel 3 bør regnes som ett behandlingsformål. Dette særlig med hensyn til at oppgavene angitt i kapittel 3 anses for å ha en nær og naturlig sammenheng, og sjelden vil være uforenlige med hverandre.
I lovutkastet § 9-5 foreslås et uttrykkelig krav om at Etterretningstjenesten skal vurdere om personopplysningene er nødvendige å behandle for etterretningsformål. Det foreslås at nødvendighetsvurderingen skal foretas første gang opplysningen vurderes brukt for etterretningsformål, herunder når opplysningene inntas i et produkt som planlegges distribuert utenfor tjenesten, og ellers dersom ny informasjon eller andre omstendigheter tilsier det. For personopplysninger som er rådata i bulk, foreslås en særregel om at nødvendighetsvurderingen skal gjennomføres samlet når rådata innhentes etter reglene i lovutkastet § 5-3, og ellers når ny informasjon eller andre omstendigheter tilsier det.
I lovutkastet § 9-5 tredje ledd foreslås det behandlingsgrunnlag for personopplysninger om kilder som ikke ønsker å samarbeide med tjenesten, for å hindre at vedkommende kontaktes igjen. Behandling om slike kilder skal begrenses til det som er strengt nødvendig for dette formålet. Regelen foreslås av hensyn til den registrerte selv.
I lovutkastet § 9-7 foreslås et unntak fra kravene til formålsbestemthet og nødvendighet, som skal sikre at Etterretningstjenesten har hjemmel til å behandle personopplysninger som samles inn, men som ikke ennå er vurdert for etterretningsrelevans (rådata).
I høringsnotatet punkt 12.4.2 vurderes det at det ikke er nødvendig å skille mellom behandling av alminnelige personopplysninger og behandling av sensitive personopplysninger. Dette begrunnes i at Etterretningstjenestens regelverk og forslaget i høringsnotatet bærer preg av at tjenesten nettopp behandler sensitive opplysninger. Personopplysningenes grad av sensitivitet vil imidlertid være et sentralt moment i forholdsmessighetsvurderingen. Det foreslås en egen bestemmelse om diskrimineringsforbud, se punkt 12.7 under.
12.6.3 Høringsinstansenes syn
Kripos mener at det bør ses hen til det alminnelige nødvendighetsprinsippet i personvernlovgivningen ved utformingen av § 9-5, det vil si at opplysninger kun kan behandles når det er nødvendig for å oppnå formålet med behandlingen. Kripos mener også at begrepet «distribuert» i § 9-5 andre ledd bør erstattes med begrepet «utlevert».
Kripos mener videre at lovutkastet § 9-7, som gir Etterretningstjenesten hjemmel til å behandle personopplysninger for å avklare om grunnkrav til behandling er oppfylt, ikke gir føringer for behandlingen, og at bestemmelsen fremstår som et generelt unntak fra formålsbestemthet og nødvendighet. Kripos mener det bør gjelde en viss tidsfrist for denne avklaringen.
12.6.4 Departementets vurdering
12.6.4.1 Innledning
Departementet viderefører i hovedsak det materielle innholdet i forslaget i høringsnotatet, men foreslår en omstrukturering av bestemmelsene og flere lovtekniske justeringer. Etter departementets vurdering bør Etterretningstjenestens behandlingsgrunnlag komme klart frem i en egen bestemmelse, og paragrafoverskriften til lovforslaget § 9-2 foreslås derfor endret fra «formålsbestemthet» til «behandlingsgrunnlag». Departementet foreslår å ta inn kravet til vurdering av nødvendighet i bestemmelsen. Denne endringen gjør lovutkastet § 9-5 om nødvendighet overflødig, og departementet viderefører heller ikke forslaget om unntak fra kravet til formålsbestemthet og nødvendighet i lovutkastet § 9-7.
12.6.4.2 Behandling av personopplysninger
Behandling av personopplysninger er definert i lovforslaget § 1-3 bokstav b. Med behandling menes «enhver operasjon eller rekke av operasjoner som gjøres med personopplysninger, enten automatisert eller ikke». Definisjonen tilsvarer definisjonen i personvernforordningen, og er ment å omfatte de samme behandlingsformene. Definisjonen er ikke uttømmende, så andre operasjoner eller aktiviteter enn de som er nevnt i bestemmelsen kan etter omstendighetene omfattes. Det skal svært lite til før en aktivitet er omfattet av definisjonen, slik at mer eller mindre enhver befatning som Etterretningstjenesten har med personopplysninger, vil regnes som behandling.
Det følger av lovforslaget § 4-1 at Etterretningstjenesten som hovedregel ikke kan benytte innhentingsmetoder overfor personer i Norge. Personopplysningene som tjenesten behandler, vil dermed i hovedsak gjelde personer som befinner seg utenfor norsk territorium. Det er imidlertid ikke forbudt for tjenesten å behandle personopplysninger om norske borgere, så lenge det er nødvendig for etterretningsformål og opplysningene ikke er innhentet i strid med forbudet mot innhenting i Norge. Dette er en videreføring av gjeldende etterretningstjenestelov § 4 andre ledd. Behandling av personopplysninger om norske borgere kan aktualiseres på ulike måter, for eksempel ved innhenting fra åpne kilder som berører personer i Norge, eller ved innhenting av rådata i bulk, se nærmere proposisjonen kapittel 8.
Etterretningstjenesten behandler forskjellige typer personopplysninger i sin etterretningsvirksomhet. Enkelte av opplysningene kan være «sensitive personopplysninger» etter personopplysningsloven 2000 § 2 nr. 8, for eksempel opplysninger om etnisk bakgrunn eller politisk oppfatning. I motsetning til reguleringen i personopplysningsloven 2000, foreslår ikke departementet at det oppstilles krav om et særskilt behandlingsgrunnlag utover det som følger av lovforslaget kapittel 9. Det anses ikke hensiktsmessig å skille mellom vanlige og sensitive personopplysninger når det gjelder behandlingsgrunnlaget, da det ligger i sakens natur at tjenesten vil måtte behandle sensitive personopplysninger. Departementet mener derfor at det samme kravet til nødvendighet bør gjelde for all behandling av personopplysninger, uavhengig av personopplysningens art. Forholdsmessighetsvurderingen vil imidlertid kunne tilsi at én personopplysning er nødvendig å behandle, mens en annen, av mer sensitiv karakter, ikke vil være det.
12.6.4.3 Behandlingsformål
Departementet viderefører forslaget om å knytte det rettslige grunnlaget for behandling av personopplysninger til formålet med behandlingen. Ingen høringsinstanser har gitt uttrykk for innvendinger mot å anse Etterretningstjenestens oppgaver etter kapittel 3 som ett behandlingsformål.
Departementet presiserer at behandling av personopplysninger for andre formål enn etterretningsformål, må følge de alminnelige reglene i personopplysningsloven 2018 og personvernforordningen. I den sammenheng vil det særlig være personvernforordningen artikkel 6 nr. 4 som vil være avgjørende for om personopplysningene kan viderebehandles til nye formål. Dette vil blant annet gjelde ved viderebehandling for historiske, statistiske eller vitenskapelige formål. Etterretningstjenesten avleverer ikke arkiver til Riksarkivet, og har derfor et eget ansvar for å dokumentere og lagre materiale for historiske formål. Det presiseres at behandling av personopplysninger for å oppfylle lovens krav, for eksempel for å sikre at tjenesten overholder forbudet mot innhenting i Norge etter lovforslaget § 4-1, vil regnes som etterretningsformål.
Hva som til enhver tid vil være etterretningsformål, beror på oppgavebeskrivelsen i lovforslaget kapittel 3. Dette er nærmere omtalt i kapittel 7 i proposisjonen og i merknadene til lovforslaget kapittel 3.
12.6.4.4 Nødvendighet
Nødvendighetskravet er et sentralt personvernrettslig prinsipp, som gjelder for enhver behandling av personopplysninger hos Etterretningstjenesten. Selv om tjenesten har hjemmel til å behandle opplysninger for etterretningsformål, utgjør nødvendighetskravet en begrensning, da opplysninger bare kan behandles når det er nødvendig ut fra formålet.
Hvilke opplysninger det er nødvendig å behandle for etterretningsformål, beror på en konkret etterretningsfaglig vurdering. Sentrale momenter er omfanget av behandlingen, inngrepets karakter, og hvor relevant informasjonen er for formålet. Kravet kan ikke tolkes så strengt at behandlingen må være den eneste mulige løsningen, men det er heller ikke tilstrekkelig at behandlingen bare er hensiktsmessig. Et bærende synspunkt i den sammenheng, er at Etterretningstjenestens tilgang til informasjon skal sette tjenesten i stand til å løse oppgavene sine på en effektiv og hensiktsmessig måte. Kunnskap om utenlandske og grenseoverskridende trusler og forhold for øvrig krever et stort tilfang av informasjon, som deretter må sammenstilles og analyseres for å danne et helhetlig bilde. I det praktiske etterretningsarbeidet er det avgjørende å kunne bearbeide store mengder opplysninger over tid.
En særskilt problemstilling er når nødvendighetsvurderingen skal finne sted. Kravet til nødvendighet i forbindelse med behandling av personopplysninger etter kapittel 9 gjelder først etter at opplysningene er samlet inn, jf. lovforslaget § 9-3, som fastsetter at reglene i kapittel 9 ikke gjelder for behandling i form av innhenting.
I høringsnotatet punkt 12.6.2.3 ble det vurdert om det var behov for å regulere tidspunktet for når nødvendighetsvurderingen etter kapittel 9 om behandling av personopplysninger skal foretas. Det ble vist til at politiregisterloven gir politiet adgang til å behandle personopplysninger i fire måneder for å avklare om kravene til behandling er oppfylt. Det ble imidlertid vurdert som uhensiktsmessig å oppstille en tilsvarende frist for Etterretningstjenesten. Kripos fremholder i sin høringsuttalelse at det bør tas inn en tidsfrist for å avklare om kravene til behandling er oppfylt.
Departementet foreslår å sløyfe angivelsen av når nødvendighetsvurderingen skal foretas. Etter departementets syn vil det gi en bedre og mer sammenhengende regulering dersom nødvendighetskravet for behandling av personopplysninger i prinsippet gjelder straks opplysningene er samlet inn. Kravet må imidlertid ses i sammenheng med bestemmelsene om Etterretningstjenestens adgang til å innhente informasjon. For innhenting gjelder det nærmere regler i lovforslaget kapittel 3 til kapittel 8. Det oppstilles blant annet et krav om forholdsmessighet etter lovforslaget § 5-4. I den forbindelse må nødvendigheten av å samle inn opplysningene vurderes. I enkelte av bestemmelsene oppstilles det strengere nødvendighetskrav, for eksempel lovforslaget §§ 6-6 og 6-7.
Nødvendighetsvurderingen som foretas ved innhentingen, knytter seg naturlig nok ikke bare til selve innhentingen, men også til om det er behov for å beholde opplysningene en viss tid for å vurdere nærmere den konkrete relevansen. Når det er vurdert at innhentingen er nødvendig, jf. kapittel 3 til 8, må det også etter lovforslaget § 9-2 kunne legges til grunn at det er nødvendig å beholde opplysningene en viss tid for å vurdere dem nærmere. På denne bakgrunn er departementet kommet til at det ikke er behov for en bestemmelse som gjør unntak fra kravet til formålsbestemthet og nødvendighet som foreslått i lovutkastet § 9-7, og forslaget videreføres ikke.
Departementet vil samtidig bemerke at selv om det er gjort en nødvendighetsvurdering ved innhentingen, må det foretas nye nødvendighetsvurderinger for å oppfylle kravet i § 9-2. Dette må i alle tilfeller gjøres når opplysninger som er innhentet og lagret, vurderes brukt i etterretningsprodukter. Dersom det viser seg at innhentede opplysninger ikke brukes i etterretningsprodukter, må det vurderes om fortsatt lagring er nødvendig for etterretningsformål. Det lar seg imidlertid ikke angi generelt på hvilke tidspunkter dette må gjøres. I hvilken grad større mengder av opplysninger kan vurderes samlet, beror på omstendighetene, på samme måte som etter personopplysningsloven. Det vises til merknadene til § 9-2 for en nærmere omtale. Kravet til nødvendighet må for øvrig ses i sammenheng med sletteplikten etter lovforslaget § 9-8, som blant annet inneholder konkrete slettefrister for rådata innhentet i bulk.
Departementet bemerker at Etterretningstjenesten i sine systemer vil kunne ha personopplysninger som på et tidspunkt var vurdert som nødvendig å behandle for etterretningsformål, men som med tiden har fått mer historisk karakter. Når en personopplysning mister sin relevans og blir mer av historisk karakter, vil ofte være vanskelig å tidfeste konkret. Sett hen til arbeidsmetodikk og at et sakskompleks kan gjøre det nødvendig å behandle enkelte opplysninger over lang tid, blir en konkret tidsfrist for fornyet vurdering av nødvendighet uhensiktsmessig.
Det understrekes at nødvendighetskravet gjelder for alle deler av en behandling, blant annet med hensyn til hvilke opplysninger som kan lagres, hvem som skal få tilgang til opplysningene, og hvor lenge de skal oppbevares.
12.6.4.5 Særlig om behandling av rådata
Rådata defineres i lovforslaget § 1-3 bokstav h som ubearbeidet eller automatisk bearbeidet informasjon i enhver form hvis etterretningsverdi ikke er vurdert. Av tekniske og praktiske årsaker er det umulig å foreta rutinemessige gjennomgåelser av samtlige lagrede rådata på Etterretningstjenestens innhentingsplattformer for å vurdere om hver enkelt informasjonsbit er nødvendig å behandle for etterretningsformål eller ikke. Dette gjelder uavhengig av omfanget til den konkrete innhentede dataen, og uavhengig av om det skjer ved bulkinnhenting eller ikke.
Rådata kan hentes inn på forskjellige måter. Når Etterretningstjenesten mottar informasjon fra andre norske myndigheter, virksomheter eller internasjonale samarbeidende tjenester, er det under forutsetning av at avgiver av informasjonen vurderer opplysningene som nødvendige for Etterretningstjenestens oppdrag. Det er imidlertid tjenesten selv som må vurdere om opplysningene er nødvendig å behandle for etterretningsformål, eller om de må slettes.
Når Etterretningstjenesten selv innhenter informasjon, gjøres dette basert på holdepunkter og etterretningsfaglige hypoteser, slik at en viss nødvendighetsvurdering allerede er foretatt på innhentingstidspunktet. I tillegg er innhentingen formålsstyrt. Målet er å fremskaffe etterretningsrelevant informasjon. Departementet viser til lovforslaget §§ 5-1 og 5-2, som er nærmere omtalt i kapittel 9.
Det rettslige grunnlaget for innhenting av rådata foreligger i de ulike innhentingshjemlene i lovforslaget, og i nødvendighetsvurderingen som skal foretas etter § 5-3 første ledd om innhenting av rådata i bulk. Etter at rådataene er innhentet, vil nødvendighetskravet og kravet til behandlingsformål gjøre at Etterretningstjenesten må ta stilling til om de har behandlingsgrunnlag for videre behandling av de konkrete personopplysningene.
12.7 Forbudet mot diskriminering
12.7.1 Gjeldende rett
Forbudet mot diskriminering ved behandling av personopplysninger følger forutsetningsvis av Grunnloven § 98, som lyder:
«Alle er like for loven.
Intet menneske må utsettes for usaklig eller uforholdsmessig forskjellsbehandling.»
EMK artikkel 14 lyder i norsk oversettelse:
«Utøvelsen av de rettigheter og friheter som er fastlagt i denne konvensjon skal bli sikret uten diskriminering på noe grunnlag slik som kjønn, rase, farge, språk, religion, politisk eller annen oppfatning, nasjonal eller sosial opprinnelse, tilknytning til en nasjonal minoritet, eiendom, fødsel eller annen status.»
Bestemmelsen må leses i lys av EMK artikkel 8 om retten til respekt for privatliv, herunder personopplysningsvernet.
12.7.2 Forslaget i høringsnotatet
I høringsnotatet punkt 12.4.2 foreslås det et forbud mot å behandle personopplysninger utelukkende basert på hva som er kjent om en persons etnisitet eller nasjonale bakgrunn, politiske, religiøse eller filosofiske overbevisning, språk, politiske virksomhet, fagforeningstilhørighet, helsemessige eller seksuelle forhold. Diskrimineringsforbudet, som i høringsnotatet er inntatt i lovutkastet § 9-4, skal sikre at Etterretningstjenesten ikke baserer behandlingen av personopplysninger kun på et av de ovennevnte forholdene.
12.7.3 Høringsinstansenes syn
Dommerne Julsrud, Flaterud, Baumann, Horn, Heggdal og Selfors mener at det bør beskrives hvordan diskrimineringsforbudet i lovutkastet § 9-4 skal vurderes opp mot grunnvilkåret i § 5-1 om at det må være «grunn til å undersøke».
Kripos påpeker at det synes som om man i høringsnotatet har tatt utgangspunkt i den tidligere definisjonen av sensitive opplysninger i personopplysningsloven 2000 § 2 nr. 8. Kripos bemerker at personvernlovgivningen nå bruker formuleringen «særlige kategorier personopplysninger», som blant annet også omfatter genetiske og biometriske opplysninger. Kripos viser til personvernforordningen artikkel 9 og politiregisterloven § 7 for veiledning ved utformingen av diskrimineringsforbudet.
12.7.4 Departementets vurdering
Departementet viderefører forslaget i høringsnotatet om å lovfeste et diskrimineringsforbud. Selv om et slikt forbud allerede følger av Grunnloven og EMK, mener departementet at hensyn til klarhet og forutberegnelighet tilsier å lovfeste det i etterretningstjenesteloven. Når det gjelder høringsuttalelsen til Kripos, vil departementet påpeke at forslaget til diskrimineringsforbud ikke er en bestemmelse som stiller krav om behandlingsgrunnlag for denne typen opplysninger. Det er derfor heller ikke naturlig å se hen til de bestemmelsene Kripos viser til for utformingen av diskrimineringsforbudet i etterretningstjenesteloven. Det vises for øvrig til punkt 12.6.4.2, hvor det redegjøres nærmere for behandlingsgrunnlaget knyttet til sensitive personopplysninger.
Departementet understreker at diskrimineringsforbudet ikke forbyr Etterretningstjenesten å behandle opplysninger om en persons etnisitet eller nasjonale bakgrunn, politiske, religiøse eller filosofiske overbevisning, språk, politiske virksomhet, fagforeningstilhørighet eller helsemessige eller seksuelle forhold. Behandlingen av slike personopplysninger må imidlertid suppleres med andre opplysninger som er av en annen karakter. Etterretningstjenesten vil for eksempel kunne behandle opplysninger om en persons religiøse tilhørighet hvis tjenesten følger med på et ekstremistisk miljø i utlandet som baserer seg på rekruttering av personer med en spesiell trosretning, og vedkommende har en tilknytning til dette miljøet. Likeledes vil det kunne være grunnlag for å behandle opplysninger om et etterretningsmåls etniske bakgrunn fordi opplysningene kan være av betydning for identifikasjon. Forbudet innebærer imidlertid et forbud mot behandling utelukkende på bakgrunn av hva de nevnte forhold. Det innebærer for eksempel at det ikke kan brukes digitale verktøy som registrerer, selekterer eller på annen måte behandler opplysninger om personer kun basert på slike kjennetegn.
Dommerne Julsrud, Flaterud, Baumann, Horn, Heggdal og Selfors savner en beskrivelse av forholdet mellom diskrimineringsforbudet i lovforslaget § 9-4 og grunnvilkåret i lovforslaget § 5-1. Departementet bemerker at diskrimineringsforbudet, som ifølge lovforslaget § 9-3 gjelder for behandling i form av innhenting, har som konsekvens at det ikke kan være «grunn til å undersøke» alene på grunn av informasjon om forhold som omfattes av diskrimineringsforbudet. For eksempel vil informasjon om den religiøse eller politiske tilhørigheten til en person ikke alene gi «grunn til å undersøke». Informasjon om andre omstendigheter må komme i tillegg. Forbudet mot diskriminering kan på den måten ses som en presisering av grunnvilkåret i § 5-1. Det samme gjelder grunnvilkåret for målrettet innhenting i lovforslaget § 5-2.
12.8 Behandling av kildeidentifiserende opplysninger og fortrolig kommunikasjon
12.8.1 Innledning
Opplysninger som er egnet til å avsløre kilden til en journalist, samt enkelte former for taushetsbelagt kommunikasjon, er særlig vernet etter henholdsvis Grunnloven § 100 og EMK artikkel 10 om ytringsfriheten og Grunnloven § 102 og EMK artikkel 8 om retten til privatliv. Inngrep i vernet kan bare finne sted dersom det er forankret i lov, forfølger et legitimt formål og oppfyller krav til nødvendighet og forholdsmessighet.
I høringsnotatet foreslås særregler for Etterretningstjenestens behandling av kommunikasjon og opplysninger som nevnt over. Flere høringsinstanser kritiserer forslaget. Departementet har i lys av disse høringsinnspillene foretatt en grundig vurdering av forslagets utforming, rekkevidde og innhold.
12.8.2 Kildevernet. Gjeldende rett
Ytringsfriheten er vernet av Grunnloven § 100, EMK artikkel 10 og SP artikkel 19. Den omfatter frihet til å ha meninger og til å motta og meddele opplysninger og ideer uten inngrep av offentlig myndighet og uten hensyn til grenser. Retten til å bestemme om en opplysning overhodet skal avgis, altså retten til å forholde seg taus, omfattes også. Denne siden av ytringsfriheten forankrer pressens rett til å forholde seg tause om sine kilder. Det følger av flere avgjørelser i EMD at kildevernet omfattes av EMKs ytringsfrihetsbegrep, se for eksempel Goodwin mot Storbritannia (27. mars 1996) avsnitt 39.
Kildevernet kommer også til uttrykk i norsk prosesslovgivning, se særlig straffeprosessloven § 125 og tvisteloven § 22-11. Reglene gir blant andre redaktører av et trykt skrift rett til å nekte å svare på spørsmål eller legge frem bevis om hvem som er kilde for opplysninger som er betrodd dem i deres journalistiske virksomhet.
Kildevernet omfatter journalistisk materiale som direkte eller indirekte kan avsløre identiteten til en kilde som journalisten har benyttet. Vernet omfatter opplysninger som kan identifisere kilden ved navn, bilde eller annen personidentifikasjon, samt uredigert og upublisert materiale såfremt informasjonen kan avsløre journalistens kilder, se for eksempel HR-2015-2308-A avsnitt 53 og 54. Kildevernet kan også omfatte kilder som har stått frem som sådanne i det offentlige, slik at journalister kan nekte å forklare seg om kontakten med vedkommende, se EMDs avgjørelse i Becker mot Norge (5. oktober 2017).
Ytringsfriheten kan innskrenkes ved lov dersom det er nødvendig i et demokratisk samfunn blant annet av hensyn til den nasjonale sikkerhet, territoriale integritet eller offentlige trygghet, jf. EMK artikkel 10 nr. 2. I lys av kildevernets betydning for et velfungerende og informert demokrati, har EMD lagt til grunn en høy terskel for når inngripende myndighetsutøvelse kan aksepteres. Et inngrep må la seg forsvare «by an overriding requirement in the public interest», se Goodwin mot Storbritannia avsnitt 39 og senere praksis fra EMD. Dette innebærer at kildevernet kun vil vike dersom andre og tilsvarende tungtveiende samfunnsinteresser etter omstendighetene gjør inngrepet nødvendig og forholdsmessig. For eksempel kan det være grunn til å gjøre unntak dersom den aktuelle saken gjelder alvorlig kriminalitet, se HR-2015-2308-A avsnitt 67 med henvisning til HR-2013-2170-A avsnitt 32. Tilsvarende må antas å gjelde der det er tale om inngrep for å avverge eller oppklare forhold som er av vesentlig betydning for rikets sikkerhet. Den potensielt dempende og derved skadelige effekten et inngrep i vernet kan ha på pressens tilgang til kilder, vil være et tungtveiende moment i forholdsmessighetsvurderingen.
12.8.3 Retten til privatliv og vern om fortrolig kommunikasjon. Gjeldende rett
Enhver har rett til respekt for sitt privatliv, herunder sin korrespondanse og kommunikasjon, jf. Grunnloven § 102 og EMK artikkel 8. Myndighetene kan gripe inn i retten dersom inngrepet har grunnlag i lov, forfølger et legitimt formål og er nødvendig og forholdsmessig. Enkelte former for kommunikasjon nyter etter omstendighetene et sterkere menneskerettslig vern enn andre, slik som advokaters korrespondanse med sine klienter og særlig sensitive helsedata. Dette vernet kjennetegnes ved at det stilles strengere krav til nødvendigheten av inngrepet og til sikkerhetsgarantiene som skal forhindre misbruk.
EMD har i flere saker uttalt at advokaters klientkorrespondanse er særlig vernet etter EMK artikkel 8, se for eksempel Kopp mot Sveits (25. mars 1998), Erdem mot Tyskland (5. juli 2001) og Helander mot Finland (10. september 2013). Advokaters vern etter EMK artikkel 8 kan også ha en side til EMK artikkel 6 om retten til en rettferdig rettergang. Erdem mot Tyskland gjaldt spørsmålet om innsamling av korrespondansen mellom en innsatt og dennes advokat var et ulovlig inngrep i EMK artikkel 8. Domstolen uttalte i avsnitt 65:
«[...] the privilege that attaches to correspondence between prisoners and their lawyers constitutes a fundamental right of the individual and directly affects the rights of the defence.»
Domstolen uttalte dernest at korrespondansevernet bare kunne fravikes «in exceptional cases and on condition that adequate and sufficient safeguards against abuse are in place». I Kopp mot Sveits ble Sveits felt for krenkelse av EMK artikkel 8 som følge av at det sveitsiske postvesenet på påtalemyndighetens anmodning hadde avlyttet telefonlinjene til et sveitsisk advokatkontor. Det ble lagt særlig vekt på at avlyttingen var basert på en administrativ beslutning uten «supervision by an independent judge» (avsnitt 74). På samme måte som i Erdem mot Tyskland, viste EMD til at den aktuelle korrespondansen direkte angikk «the rights of the defence».
Respekt for konfidensialiteten til helsedata er et grunnleggende prinsipp som hensyntar både den enkelte pasients privatliv og befolkningens tillit til helsetjenestene. For å unngå at det oppstår en nedkjølende effekt på befolkningens bruk av helsetjenester, kreves sikkerhetsmekanismer som forhindrer bruk av helsedata på en måte som er i strid med EMK artikkel 8. Helsedataenes karakter, herunder hvor sensitive opplysninger det er tale om, vil spille inn i forholdsmessighetsvurderingen. Der det er tale om å avdekke opplysninger som kan ha en ødeleggende effekt for privatlivet til et individ, må det være «justified by an overriding requirement in the public interest» (Z mot Finland 25. februar 1997, avsnitt 96).
12.8.4 Forslaget i høringsnotatet
Det foreslås i høringsnotatet punkt 12.10 å lovfeste særlige regler for Etterretningstjenestens behandling av «fortrolig kommunikasjon med særlige yrkesutøvere». Etter forslaget omfattes både yrkesutøvere som er underlagt lovbestemt eller yrkesetisk taushetsplikt (kallsmessig taushetsplikt) og journalister mv. som har rett til å forholde seg tause om identiteten til kilder for opplysninger (kildevernet) av betegnelsen «særlige yrkesutøvere». Personkretsen med kallsmessig taushetsplikt tilsvarer de yrkesgrupper som omfattes av straffeprosessloven § 119 og tvisteloven § 22-5.
Det vises til at vernet er funksjonelt, og således vil bero på en konkret vurdering av om den enkeltes yrkestittel er reell eller et skalkeskjul for virksomhet som ikke gir grunnlag for vern. I vurderingen vil det ha stor betydning om den aktuelle yrkesutøveren utfører sitt arbeide i tråd med profesjonelle og yrkesetiske krav. En person vil ikke være å regne som en særlig yrkesutøver dersom det sannsynliggjøres at yrkestittelen misbrukes. Det kan også tenkes at en person som fungerer som særlig yrkesutøver, også bedriver illegal virksomhet i arbeidstiden. I slike tilfeller vises det til at det må vurderes konkret hvilke opplysninger som må regnes som «fortrolige».
I høringsnotatet vernes opplysninger som etter en konkret vurdering anses som «fortrolig kommunikasjon». Vernets rekkevidde skal forstås på samme måte som i prosesslovgivningen. Kommunikasjonens karakter er avgjørende, herunder om opplysningene er betrodd yrkesutøveren som ledd i utførelsen av dennes yrke. Det skilles mellom profesjonell og privat kommunikasjon.
Hovedregelen som foreslås i høringsnotatet, er at fortrolig kommunikasjon med særlige yrkesutøvere ikke skal behandles. Det gjøres unntak fra behandlingsforbudet dersom «vektige samfunnshensyn gjør behandlingen strengt nødvendig». Unntaket begrunnes i at det kan tenkes tilfeller hvor hensynet til nasjonal sikkerhet vil veie tyngre enn hensynet til å verne den fortrolige kommunikasjonen, og hvor Etterretningstjenesten har et strengt begrunnet behov for å behandle slik informasjon. Kravet til streng nødvendighet vil i praksis innebære at opplysningene må være av vesentlig betydning for utførelsen av et konkret oppdrag, og at informasjonen må være umulig å tilveiebringe på noen annen praktikabel og mindre inngripende måte. Den høye terskelen begrunnes i at en uthuling av det særlige vernet av fortrolig kommunikasjon kan påvirke samfunnet så vel som den enkelte på en negativ måte, herunder at en slik uthuling kan medføre en fare for en nedkjølende effekt knyttet til pressens kildetilfang og bruk av tjenester der yrkesutøveren er underlagt kallsmessig taushetsplikt. Det understrekes at terskelen må tolkes og anvendes i lys av Norges menneskerettslige forpliktelser.
Som garanti mot misbruk og tiltak mot potensielle negative konsekvenser, foreslås det at opplysninger som er fortrolig kommunikasjon som ikke kan behandles av Etterretningstjenesten, heller ikke skal kunne utleveres. Det samme foreslås for fortrolig kommunikasjon som er overskuddsinformasjon. Som en ytterligere sikkerhetsgaranti foreslås det at beslutningen om å behandle fortrolig kommunikasjon bør fattes av sjefen for Etterretningstjenesten, og i enkelte tilfeller av departementet selv. Videre foreslås at opplysninger som er fortrolig kommunikasjon, skal merkes særskilt, for på den måten å legge til rette for EOS-utvalgets kontroll.
12.8.5 Høringsinstansenes syn
Flere høringsinstanser er kritiske til forslaget, blant annet Advokatforeningen, Datatilsynet, Norges institusjon for menneskerettigheter (NIM) og en rekke presse- og medieaktører. Kritikken går i stor grad ut på at forslaget ikke oppfyller menneskerettslige krav. Flere av høringsinnspillene knytter seg til forslaget om tilrettelagt innhenting, som behandles i kapittel 11 i proposisjonen.
De fleste høringsinnspillene angår forslagets betydning for pressens kildevern. Enkelte instanser omtaler også annen fortrolig kommunikasjon. Advokatforeningen peker på at forslaget ikke ivaretar konfidensialiteten mellom en advokat og dennes klient, og viser blant annet til EMDs praksis på området i sin uttalelse:
«De konfidensialitetsprivilegier som vi står overfor her, slik som kommunikasjon mellom advokat og klient, er grunnleggende. De håndheves strengt, både av våre nasjonale domstoler og av de internasjonale domstolene som EMD og EU-domstolen. EMD har i flere saker understreket at i den grad det er innrettet systemer for informasjonsinnsamling som fanger opp slik konfidensiell kommunikasjon, eller slik informasjon rent faktisk kommer med, så må det finnes en form for uavhengig konkret kontroll. Advokatforeningen viser blant annet til saken Kopp mot Sveits (1998), der det sveitsiske postvesen hadde på påtalemyndighetens anmodning avlyttet telefonlinjene til et sveitsisk advokatkontor. EMD fant at dette utgjorde en krenkelse av artikkel 8 som ikke kunne legitimeres i tvingende nødvendige hensyn. EMD påpekte videre som oppsiktsvekkende at avlyttingen var basert på en ren administrativ beslutning uten noen form for uavhengig konkret kontroll ved domstolene.»
NIM konsentrerer seg om kildevernet i sin høringsuttalelse, men påpeker at flere av kommentarene kan ha generell verdi også overfor andre typer fortrolig kommunikasjon som nyter et særlig menneskerettslig vern, slik som kommunikasjonen mellom advokat og klient. NIM uttaler at de anser det som positivt at man i høringsnotatet søker å sette opp særskilte skranker for behandlingen av fortrolig kommunikasjon, men har en rekke innspill til hvordan lovutkastet kan forbedres. Om hvilke opplysninger som faller inn under kildevernet og hvordan dette bør fremgå av loven, uttaler NIM:
«Etter EMDs praksis er det ikke avgjørende for vurderingen av om opplysningene omfattes av kildevernet, hvor de stammer fra eller mellom hvem de utveksles (for eksempel mellom journalist og kilde, selv om det naturligvis ofte kan være tilfellet). Det avgjørende kan heller sammenfattes som hvorvidt opplysningene er egnet til å avsløre en kildes identitet. [...]
Det er uklart for NIM om forslaget i § 9-6 er ment å innebære noen begrensning med hensyn til hvilket format opplysningene kan stamme fra – om det må være fra selve «kommunikasjonen» (eposter etc.) mellom journalist og kilde. Dette vil i tilfellet være en avsporing sammenlignet med hva som er relevant å vurdere i henhold til EMDs praksis. Kildevernet har ikke nødvendigvis for øye å verne kommunikasjonen som sådan, men å verne den generelle tilliten til at kilders identitet forblir anonym (uavhengig av hvordan identiteten eventuelt kan avsløres). Det vil også være en avsporing om det her legges opp til en eventuell vurdering av hvorvidt vedkommende er «journalist» i tradisjonell forstand eller lignende. Når lovforslaget viser til «tilsvarende fortrolig kommunikasjon» er det uklart om dette sikter på andre kategorier av personer enn de som er listet opp i § 9-6 første ledd, eller om det siktes til kommunikasjon som sådan.
NIM anbefaler at vilkåret for hvilken informasjon som gis et særlig vern gjøres mer fleksibel og i større grad knyttes opp mot hvorvidt opplysninger (uansett format, mellom hvem etc.) er egnet til å avsløre kilder.»
Andre høringsinstanser uttaler seg i samme retning.
Flere høringsinstanser kommenterer forslaget til unntak fra hovedregelen om behandlingsforbud. Datatilsynet mener at bestemmelsen ikke gir tilstrekkelig vern for de aktuelle yrkesgruppene, og at terskelen «strengt nødvendig» er for lav. NIM finner det positivt at departementet har sett hen til den menneskerettslige terskelen, og at det slås fast at unntaksbestemmelsen må tolkes og anvendes i lys av menneskerettslige forpliktelser. NIM stiller imidlertid spørsmål ved om terskelen kan formuleres på en måte som bedre gjenspeiler EMDs praksis, og foreslår å se hen til eventuelle endringer av kildevernbestemmelsene innen straffeprosessen. NIM mener at «vektige samfunnshensyn» i hvert fall bør kvalifiseres til «meget vektige» eller lignende, eventuelt at man benytter formuleringen «kun i ekstraordinære tilfeller og dersom det er strengt nødvendig». NIM peker også på at vurderingskriteriene bør fremgå av ordlyden, og at hvilke formål som kan være tungtveiende nok til å fravike kildevernet med fordel kan konkretiseres i bestemmelsen eller i forarbeidene. Norsk Journalistlag, Norsk Presseforbund, Norsk Redaktørforening og NRK har lignende uttalelser om terskelen i lovutkastet § 9-6.
Noen høringsinstanser kritiserer at det ikke foreslås domstolskontroll eller tilsvarende uavhengig forhåndskontroll av unntak fra behandlingsforbudet. Datatilsynet mener at det ikke er tillitvekkende at Etterretningstjenesten skal foreta avveiningen av de motstridende hensyn selv, og fremholder at beslutningen bør fattes av domstolen eller en annen uavhengig instans. Dommerne Julsrud, Flaterud, Baumann, Horn, Heggdal og Selfors er kritiske til at det er sjefen for Etterretningstjenesten som skal vurdere om tjenesten skal kunne behandle fortrolig kommunikasjon, og mener det bør vurderes om ikke dette er noe retten bør ta stilling til. NIM stiller spørsmål ved om de foreslåtte kontrollmekanismene for kildesensitiv informasjon er tilstrekkelige, og mener at det er en svakhet ved høringsnotatet at det ikke foretas en vurdering i lys av EMDs praksis av på hvilket nivå beslutningen om å behandle kildeopplysninger bør ligge:
«Forslaget, slik NIM forstår det, innebærer at den uavhengige kontrollen vil være etterfølgende (av EOS-utvalget). Kontrollen i forkant vil være intern, av sjefen for E-tjenesten (eventuelt departementet), jf. § 9-6 andre ledd.
EMDs praksis viser imidlertid at det er den forutgående uavhengige kontrollen som er viktigst for å sikre ivaretakelse av kildevernet. Dersom eventuelle ulovlige inngrep eller feil først blir avdekket i ettertid, er de langsiktige skadene på kildevernet langt på vei allerede inntruffet, slik EMD understreker i Sanoma Uitgevers B.V. v. Nederland. Nederland ble da dømt for krenkelse av EMK artikkel 10 siden kildeverninngrep ble foretatt uten en forutgående kontroll og avgjørelse fra en domstol eller et annet uavhengig organ. Selv om denne dommen gjaldt straffeprosessuelle inngrep, vil begrunnelsen og de bakenforliggende hensynene som kildevernet hviler på (om blant annet å sikre tilliten til at kilders konfidensialitet generelt blir ivaretatt) gjøre seg gjeldende også på etterretningsområdet. Nylige Big Brother Watch v. Storbritannia, som skal behandles i EMDs storkammer og følgelig ikke har rettslig relevans som sådan, bidrar til å illustrere at kontrollmekanismer vil kunne ha betydning på etterretningsområdet. Følgelig er ikke EMDs vurderinger i Sanoma-saken enkle å forene med lovforslaget i sin nåværende form (da også i lys av mangelen på nærmere begrunnelser i høringsnotatet).»
NIM anbefaler at den forutgående kontrollen for kildevernet vurderes og begrunnes nærmere, at kontrollen som et utgangspunkt bør legges til en domstol eller lignende uavhengig organ, og at man bør vurdere en differensiert tilnærming med personell eller territoriell avgrensning. Av hensyn til helheten i kontrollmekanismene foreslår NIM at man kan se hen til virkeområdet for EOS-utvalgets kontroll.
Norsk Journalistlag mener at forslaget i høringsnotatet bryter med kravene som oppstilles i henhold til EMDs praksis, og uttaler:
«[Forslaget til § 9-6 andre ledd] er etter NJs syn et graverende brudd på kravene som oppstilles i storkammeravgjørelsen EMD Sanoma Uitgevers-saken 2010. Disse kravene gjelder selvfølgelig også for E-tjenesten, jf. igjen EMD Big Brother Watch (avsnitt 488). Det sentrale i denne avgjørelsen kan oppsummeres i fire punkter:
Kildesensitivt materiale må gjennomgås av en dommer eller annen uavhengig og upartisk beslutningstaker, jf. avsnitt 90 første setning.
Kontrollen skal utføres av et organ adskilt fra virksomheten som kontrolleres, jf. avsnitt 90 tredje setning.
Den uavhengige kontrollen må finne sted senest før myndighetene får overlevert materialet, jf. avsnitt 91 andre setning.
Kontrollen skal ha en forebyggende karakter, jf. avsnitt 92 første setning.
Etterretningssjefen selv har militær kommando over tjenesten. Forsvarsdepartementet ivaretar politisk styring og forvaltningskontroll med tjenesten. Forslaget går med andre ord ut på at de som har direkte kontrollen av tjenesten, skal utføre den såkalte ekstra rettssikkerhetsgarantien som EMD pålegger norsk lovgiver i kildevernsaker. I realiteten skal altså «Bukken passe havresekken».»
Norsk Presseforbund anser forslaget i høringsnotatet som «totalt uforenlig» med EMK artikkel 10, og gjengir NRKs uttalelse om at EMD ser metoder som gir myndighetene direkte tilgang til journalisters materiale som mer inngripende enn pålegg om å oppgi en kilde. Både Norsk Presseforbund og NRK mener at det i lys av EMDs praksis kreves at alle inngrep i kildemateriale må vurderes av en uavhengig og objektiv instans før Etterretningstjenesten kan få tilgang til materialet. I likhet med NIM, påpeker NRK at forslaget forutsetter at Etterretningstjenesten vet at det er tale om fortrolig kommunikasjon, og at skaden for kildevernet således har skjedd når bestemmelsen får anvendelse. NRK mener på denne bakgrunn at det må innføres særskilte mekanismer for å ivareta kildevernet, og det må lovfestes en prosess som sikrer at Etterretningstjenesten eller andre myndigheter ikke får tilgang til eller kan bruke materialet før det er godkjent av en uavhengig instans. Norsk Redaktørforening er av samme oppfatning.
NIM anser det som positivt at man ønsker å legge til rette for EOS-utvalgets etterfølgende kontroll, jf. forslaget om merking i lovutkastet § 9-6 tredje ledd, men understreker samtidig at slike opplysninger må oppbevares så forsvarlig og fortrolig som forholdene og menneskerettslige krav tilsier. Norsk Journalistlag har samme oppfatning, og mener at det må foreligge klare regler for hvordan kildesensitive opplysninger skal skilles ut fra den øvrige mengden data, samt hvordan de skal behandles. Journalistlaget uttaler videre at det i størst mulig grad må settes inn barrierer mellom de som samler inn og de som behandler data.
NIM understreker at EOS-utvalget må tilføres tilstrekkelige ressurser, personell og kompetanse til å foreta kontrollen av hvordan kildevernet praktiseres. NIM mener videre at det vil være en fordel å opprette ytterligere uavhengige kontrollmekanismer, for slik å redusere faren for systemsvikt. På denne bakgrunn foreslår NIM at det opprettes en variant av «DGF-tilsynet» som foreslått i Lysne II-utvalgets rapport fra 2016, eller at det ses nærmere på mulighetene for klage- og innsynsmuligheter for enkelte bestemte aktører, eksempelvis pressen. Videre fremholder NIM at loven og praktiseringen av den bør evalueres. Etterretningstjenesten bør legge til rette for slik evaluering gjennom notoritet, sporbarhet og skriftlighet.
Flere høringsinstanser forstår forslaget om rettens prøving av begjæringer om tilrettelagt innhenting etter kapittel 8 dit hen at retten ikke skal prøve kravene til nødvendighet og forholdsmessighet dersom Etterretningstjenesten begjærer søk mot en journalist eller en annen med en vernet funksjon.
12.8.6 Departementets vurdering
Departementet opprettholder forslaget i høringsnotatet om at Etterretningstjenesten som hovedregel ikke skal behandle fortrolig kommunikasjon med særlige yrkesutøvere, for eksempel journalister og advokater. På bakgrunn av høringen foreslår departementet en rekke endringer, blant annet for å tydeliggjøre hvem som vernes av behandlingsreglene, hvilke opplysninger som omfattes, hvilken terskel som må være nådd for at unntaket skal komme til anvendelse, og hvilke krav som stilles til beslutningen.
Departementet presiserer at reglene i lovforslaget §§ 9-5 og 9-6 gjelder behandling etter innhenting. Regler om innhentingen følger av lovforslaget kapittel 3 til 8. Departementet understreker at yrkesgruppene som vernes av lovforslaget §§ 9-5 og 9-6, også vernes av forbudet etter lovforslaget § 4-1 mot å bruke innhentingsmetoder overfor personer i Norge. Det ytterligere vernet etter lovforslaget §§ 9-5 og 9-6 er begrunnet i hensynet til å motvirke risikoen for å skade de aktuelle yrkesgruppenes mulighet til å utføre sine samfunnsoppdrag. Det er for eksempel av stor betydning å hindre en nedkjølende effekt på pressens kildetilfang, da en slik effekt kan ha sterke skadevirkninger på demokratiet. På den andre siden er det klart at det ikke kan oppstilles et absolutt forbud. Forslaget tar sikte på å treffe den riktige balansen mellom de legitime interessene som gjør seg gjeldende.
En rekke høringsinstanser viser til praksis fra Høyesterett og EMD som gjelder politiets adgang til å ta beslag i fortrolig kommunikasjon. Til dette vil departementet bemerke at det er forskjeller mellom Etterretningstjenestens og politiets oppgaver og metoder som gjør at det må utvises varsomhet med å trekke slutninger fra det ene området til det andre. Etterretningstjenestens informasjonsinnhenting er utelukkende rettet mot utenlandske forhold, og har i hovedsak en sikkerhetspolitisk karakter. Tjenesten har ingen oppgaver knyttet til straffeforfølgning, og rår ikke over maktmidler som pågripelse og fengsling.
NIM tar i sin høringsuttalelse til orde for å dele opp bestemmelsene og formulere mer differensierte og konkrete terskler. Departementet er enig i dette, og foreslår å splitte opp bestemmelsen. Lovforslaget § 9-5 gjelder behandling av fortrolig kommunikasjon med særlige yrkesutøvere, mens lovforslaget § 9-6 gjelder behandling av kildeidentifiserende opplysninger. På denne måten vil det bli klarere hvilke yrkesutøvere og hvilke typer opplysninger som vernes, samt hvilke bestemmelser i Grunnloven og EMK som danner utgangspunktet for den konkrete nødvendighets- og forholdsmessighetsvurderingen som må foretas i det enkelte tilfellet. Bestemmelsene foreslås dessuten omredigert for å gjøre dem klarere og enklere å forstå.
Departementet foreslår på bakgrunn av høringen å formulere unntaksbestemmelsen på en måte som bedre gjenspeiler den høye terskelen som følger av våre menneskerettslige forpliktelser. I vurderingen av om det kan gjøres unntak fra behandlingsforbudet, må det stilles strenge krav til nødvendighet og forholdsmessighet. For det første må det vurderes om det er nødvendig å behandle de aktuelle opplysningene for å oppnå det aktuelle formålet. Kravet til streng nødvendighet innebærer at det må noe mer til enn at opplysningene kan bidra til å oppnå et legitimt, men vidt angitt formål. Opplysningene må være sentrale for å oppnå en konkretisert oppgave, og de må ikke kunne skaffes til veie gjennom mindre inngripende tiltak. Videre må behandlingen være forholdsmessig. Dette innebærer at formålet med behandlingen etter omstendighetene må vurderes som mer tungtveiende enn inngrepet i den aktuelle vernede interessen.
Unntaksbestemmelsen formuleres likt i lovforslaget §§ 9-5 og 9-6, men praktiseringen vil variere ut fra hvilken fortrolig relasjon eller hvilke opplysninger det er tale om. Utgangspunktet vil normalt enten være Grunnloven § 102 og EMK artikkel 8 (§ 9-5) eller Grunnloven § 100 og EMK artikkel 10 (§ 9-6). Der det er relevant, må det ses hen til de samfunnsmessige konsekvensene av å tillate behandling, for eksempel risikoen for en nedkjølende effekt. For enkelte typer kommunikasjon og opplysninger vil vernet være tilnærmet absolutt. I slike tilfeller vil behandlingen normalt bare kunne vurderes som forholdsmessig dersom formålet er å avdekke eller motvirke en trussel som nevnt i lovforslaget § 3-1.
Departementet mener etter høringen at den vernede personkretsen som utgangspunkt bør ha en form for tilknytning til Norge. Norske statsborgere og personer som oppholder seg i Norge, er underlagt norsk jurisdiksjon, og som følge av det eksponert for inngrep fra norske myndigheter. Utlendinger i utlandet er som utgangspunkt ikke eksponert på denne måten. Lovforslaget §§ 9-5 og 9-6 første ledd oppstiller derfor et vilkår om tilknytning til Norge. Det kan likevel ikke utelukkes at Norge etter omstendighetene kan ha jurisdiksjon etter menneskerettighetene også overfor utlendinger i utlandet. I slike tilfeller må Etterretningstjenesten vurdere hvorvidt behandlingen av opplysningene vil være i tråd med våre menneskerettslige forpliktelser, jf. menneskerettsloven §§ 2 og 3.
Flere høringsinstanser kritiserer forslaget om å gi sjefen for Etterretningstjenesten kompetanse til å beslutte unntak fra behandlingsforbudet for opplysninger som kan identifisere en kilde, blant annet under henvisning til EMDs avgjørelse i Sanoma Uitgevers B.V. mot Nederland (14. september 2010). Departementet bemerker at avgjørelsen gjelder politiets beslag av journalistisk informasjon i en straffesak. Avgjørelsen kan etter departementets vurdering ikke tas til inntekt for et krav om forutgående domstolskontroll på utenlandsetterretningsområdet. En slik ordning er etter departementets syn ikke nødvendig eller hensiktsmessig, gitt den strenge formålsbegrensningen til utenlandsetterretning og de øvrige kontrollmekanismene som vil gjelde. I lys av den kritikken som er satt fram under høringen, mener departementet likevel at beslutningen om å gjøre unntak fra behandlingsforbudet for kildeidentifiserende opplysninger ikke bør ligge til sjefen for Etterretningstjenesten. Det foreslås å legge myndigheten til å gjøre unntak fra forbudet etter lovforslaget § 9-6 til departementet. Etter departementets vurdering oppfyller lovforslaget de krav som EMD oppstiller i den ikke-rettskraftige kammerdommen Big Brother Watch mfl. mot Storbritannia (13. september 2018), som NIM og flere presseaktører viser til. Det vises for øvrig til punkt 11.5.3.5.
Den etterfølgende kontrollen av hvordan behandlingsreglene praktiseres, vil være en sentral garanti mot misbruk. På grunn av opplysningenes karakter bør det tilrettelegges særskilt for at EOS-utvalget får informasjon om praktiseringen av bestemmelsene, slik at utvalget kan iverksette kontrolltiltak. Departementet foreslår på denne bakgrunn at alle beslutninger om unntak skal meddeles utvalget. Beslutningen skal redegjøre for det rettslige og faktiske grunnlaget for behandlingen, herunder formålet med behandlingen, hvorfor opplysningene vurderes som strengt nødvendige å behandle, og hvilke momenter som har inngått i interesseavveiningen. En slik meddelelsesplikt innebærer at utvalgets kontroll knyttet til disse bestemmelsene ligger nærmere en løpende kontroll enn den alminnelige, etterfølgende kontrollen. Prinsippet om etterfølgende kontroll, jf. EOS-kontrolloven § 2 tredje ledd andre punktum, er ikke til hinder for dette. Når det gjelder tilrettelagt innhenting, følger det av lovforslaget § 7-11 at EOS-utvalget skal føre løpende kontroll, se nærmere punkt 11.10. Departementet mener etter en samlet vurdering at kontrollordningen tilfredsstiller de menneskerettslige kravene som kan oppstilles på dette området.
Departementet understreker at søk i lagrede metadata og innhenting av innholdsdata etter lovforslaget kapittel 7 (tilrettelagt innhenting) bare kan gjennomføres etter forutgående domstolskontroll i samsvar med reglene i lovforslaget kapittel 8. Retten skal i den forbindelse prøve om søket eller innhentingen er nødvendig og forholdsmessig etter lovforslaget § 5-4, blant annet om den høye terskelen for å gripe inn i kildevernet eller andre særlig vernede opplysninger er nådd. Det vises til punkt 11.9.3.3.
Departementet har vurdert om det bør stilles ytterligere krav til sikring av opplysningene som er vernet av behandlingsforbudene. Etterretningstjenesten er etter gjeldende rett underlagt strenge krav til informasjonssikkerhet og informasjonssystemsikkerhet etter sikkerhetsloven. I tillegg gjelder prinsippet om «need to know» og tjenstlig behov. Dette innebærer at opplysningene vil oppbevares sikkert, uten at uvedkommende, herunder andre ansatte i Etterretningstjenesten, får kjennskap til dem. Departementet anser det derfor ikke som nødvendig å foreslå særlige regler om informasjonssikkerhet for vernede opplysninger.
12.9 Kravet til at personopplysningene skal være korrekte og oppdaterte
12.9.1 Gjeldende rett
Kravet til at personopplysningene skal være korrekte og oppdaterte følger av personopplysningsloven 2000 § 11 bokstav e. I Ot.prp. nr. 92 (1998–99) punkt 16 side 114 heter det om kravet:
«Bokstav e krever at den behandlingsansvarlige skal rette eller slette uriktige, ufullstendige eller overflødige personopplysninger. Bestemmelsen presiserer at disse pliktene ikke bare er rettigheter som tilkommer den registrerte, jf §§ 27 og 28 i lovforslaget som det henvises til, men selvstendige plikter som påhviler den behandlingsansvarlige uavhengig av om den registrerte krever det, jf EU-direktivet art 6 nr 1 bokstav d og nr 2.»
Av personverndirektivet artikkel 6 nr. 1 bokstav d følger det at opplysningene «skal være nøyaktige og om nødvendig ajourført».
Kravet innebærer at opplysningene så langt som mulig skal være fullstendige og korrekte. Opplysninger som ikke lenger er nødvendige å behandle eller som ikke lar seg korrigere, skal slettes.
12.9.2 Forslaget i høringsnotatet
Det foreslås i høringsnotatet punkt 12.7 at kvalitetskravet som følger av den alminnelige personvernlovgivningen, også skal gjelde for Etterretningstjenesten. Dette innebærer at opplysningene som behandles, og som ikke er rådata i bulk, skal være korrekte og oppdaterte. Opplysninger som ikke er korrekte, skal rettes eller slettes. Det foreslås en egen hjemmel for behandling av ikke-verifiserte opplysninger, og krav om at disse må merkes særskilt.
12.9.3 Høringsinstansenes syn
Kripos mener at definisjonen av begrepet «kvalitet» i lovutkastet § 9-8 ikke er dekkende. Kvalitetskravet omfatter som hovedregel mer, herunder at opplysningene skal være tilstrekkelige og relevante for formålet med behandlingen, og ikke lagres lenger enn nødvendig ut fra formålet med behandlingen. Kripos bemerker videre at det bør fremgå av Etterretningstjenestens produkter dersom opplysninger som utleveres er ikke-verifiserte.
12.9.4 Departementets vurdering
Departementet viderefører forslaget om at personopplysningene som behandles så langt som mulig skal være korrekte og oppdaterte, men med enkelte lovtekniske justeringer.
Kripos gir i sitt høringssvar uttrykk for at begrepet «kvalitet», som inngår i overskriften i høringsnotatets forslag til § 9-8, også omfatter at opplysningene skal være tilstrekkelige og relevante for formålet og ikke lagres lenger enn nødvendig. Departementet er enig i at kvalitetsbegrepet benyttes i en bredere sammenheng i personvernlovgivningen for øvrig. I personvernforordningen er kravet til korrekte og oppdaterte opplysninger omtalt som prinsippet om «riktighet». Departementet foreslår derfor å justere overskriften på bestemmelsen, og benytte begrepene korrekte og oppdaterte opplysninger.
Kravet om korrekte og oppdaterte opplysninger må ses i sammenheng med muligheten til å behandle ikke-verifiserte opplysninger. I høringsnotatet ble det foreslått en særskilt hjemmel for behandling av denne typen opplysninger. Departementet har imidlertid vurdert det slik at ordlyden i første ledd også dekker behandling av ikke-verifiserte opplysninger, og har derfor sløyfet den særskilte hjemmelen for dette i andre ledd.
Det fremgår av lovforslaget § 9-7 første ledd at Etterretningstjenesten så langt det er mulig skal påse at personopplysningene er korrekte og oppdaterte. Tjenesten innhenter en rekke opplysninger som de i første omgang ikke vet hvorvidt er korrekte. Den videre behandlingen av disse vil nettopp ta sikte på å finne ut av om opplysningene er korrekte eller ikke. Det er ikke omtvistet at registrering av uriktige opplysninger i seg selv er et inngrep i personvernet. Likevel er muligheten til å behandle ikke-verifiserte opplysninger en forutsetning for etterretningsvirksomheten. Det er departementets syn at det må være adgang til å behandle ikke-verifiserte opplysninger dersom det er nødvendig ut fra formålet med behandlingen. Ettersom etterretningsvirksomhet dreier seg om å kartlegge korrekt faktum blant annet på bakgrunn av en vurdering av kildens troverdighet, vil det at en opplysning er ikke-verifisert måtte fremgå i beskrivelsen eller konteksten opplysningen blir brukt i.
Dersom Etterretningstjenesten kommer i besittelse av opplysninger som ikke er korrekte, skal de rettes hvis det er mulig. Dersom det ikke er mulig å rette opplysningene, vil ikke tjenesten lenger ha hjemmel for behandlingen, og de må følgelig slettes. Departementet understreker imidlertid at det vil kunne forekomme tilfeller hvor Etterretningstjenesten må behandle opplysninger som ikke er korrekte. Det vil for eksempel kunne dreie seg om avdekking av en påvirkningsoperasjon mot Norge i regi av en fremmed stat, hvor det fremsettes uriktige opplysninger om navngitte personer. I tjenestens behandling av opplysningene vil det av konteksten klart fremgå at opplysningen ikke er korrekte. Kravet til sletting eller retting av opplysningene vil ikke gjelde i disse tilfellene, selv om de er åpenbart feilaktige.
12.10 Kravet til sletting
12.10.1 Gjeldende rett
Kravet til sletting følger av personopplysningsloven 2000 § 11 bokstav e, jf. § 28 om forbud mot å lagre unødvendige personopplysninger. Sletteplikten innebærer at behandlingsansvarlig ikke skal lagre personopplysninger lenger enn det som er nødvendig for å gjennomføre formålet med behandlingen. Videre skal personopplysningene slettes med mindre de skal oppbevares i henhold til arkivloven eller annen lovgivning, jf. § 28 første ledd andre punktum.
Det følger av § 28 andre ledd at den behandlingsansvarlige uten hinder av første ledd kan lagre personopplysninger for historiske, statistiske eller vitenskapelige formål. Den behandlingsansvarlige skal i så fall sørge for at opplysningene ikke oppbevares på måter som gjør det mulig å identifisere den registrerte lenger enn nødvendig.
Sletteplikten innebærer at Etterretningstjenesten må vurdere konkret hvorvidt personopplysningene er nødvendige for å oppnå formålet med behandlingen. Plikten til å slette må vurderes i lys av arkivloven eller annen lovgivning som medfører en plikt til videre lagring av personopplysningene.
12.10.2 Forslaget i høringsnotatet
12.10.2.1 Generelt
Det foreslås i høringsnotatet punkt 12.6.4 en bestemmelse om sletting i § 9-9, som i hovedsak viderefører gjeldende rett. Sletteplikten knyttes opp mot vurderingen av om det er nødvendig med fortsatt behandling.
Sletteplikten innebærer en plikt til å slette personopplysningene fra operative systemer og registre som er tilgjengelig for etterretningsproduksjon. Denne plikten må imidlertid ses i lys av arkivplikten, som vil medføre videre lagring av personopplysningene.
12.10.2.2 Sletting av rådata i bulk
I høringsnotatet punkt 12.6.5 foreslås det at rådata i bulk skal slettes senest 15 år fra lagringstidspunktet, med mindre vesentlige hensyn tilsier at sletting utsettes. Beslutning om utsatt sletting skal treffes av sjefen for Etterretningstjenesten, og ikke vare mer enn fem år av gangen. Rådata er data hvis etterretningsverdi ikke er vurdert, og bulk er informasjonssamlinger og datasett hvorav en vesentlig del av informasjonen antas å være irrelevant for etterretningsformål. Dette tilsier en praktisk tilnærming til spørsmålet om sletting. I høringsnotatet legges det til grunn at denne typen data etter et gitt antall år hovedsakelig vil ha historisk verdi. Det kan imidlertid være tilfeller hvor rådataene har åpenbar interesse utover 15 år, noe som taler for at det inntas en sikkerhetsventil som i unntakstilfeller gir Etterretningstjenesten mulighet til å lagre rådata utover 15-årsfristen.
12.10.3 Høringsinstansenes syn
Kripos stiller spørsmål ved begrunnelsen for en lagringstid på 15 år for rådata i bulk, ettersom slike data primært inneholder opplysninger som antas å være irrelevante for etterretningsformål. Videre påpekes at det i andre ledd bør defineres hva sletting er, ikke hva det ikke er.
Tekna oppfordrer til at lovutkastet § 9-9 strammes inn:
«§ 9-9 tillater at «rådata i bulk» (informasjon der etterretningsverdien ikke er vurdert av mennesker) kan lagres i så mye som 15 år før de må slettes – men at sjefen for etterretningstjenesten kan treffe beslutning om å utsette slettingen i fem år om gangen. Det gjøres også unntak for sletting for «historiske, statistiske eller vitenskapelige formål». For øvrig fremstår det lite tillitvekkende at data ikke må slettes endelig, men kun slik at det kreves «avansert teknisk gjenfinningsverktøy» for å rekonstruere de slettede dataene. Hvis lovutkastet skulle vedtas, ber vi om en innstramming av denne paragrafen.»
12.10.4 Departementets vurdering
12.10.4.1 Generelt
Departementet viderefører i det vesentlige forslaget i høringsnotatet, med enkelte lovtekniske justeringer. Bestemmelsen inntas i lovforslaget § 9-8.
Tekna gir i sin høringsuttalelse uttrykk for at forslaget bør strammes inn, og departementet har på denne bakgrunn vurdert utformingen av bestemmelsen på nytt. Departementet peker i denne forbindelse på at en side av nødvendighetskravet er at personopplysninger som ikke lenger er nødvendige å behandle for etterretningsformål, skal slettes, med mindre opplysningene skal oppbevares i medhold av annen lov, for eksempel arkivloven (se punkt 12.6.4.4). Nødvendighetskravet innebærer at det som utgangspunkt må foretas en individuell og konkret vurdering av om det i hvert enkelt tilfelle er nødvendig å fortsette behandlingen av den enkelte personopplysningen. Dette prinsippet lar seg på grunn av etterretningsvirksomhetens natur ikke gjennomføre fullt ut. Fremgangsmåten dreier seg i hovedsak om å sammenstille og analysere en større informasjonsmengde for å danne seg et helhetlig bilde av situasjonen. Dette vil ofte være et møysommelig puslespill som krever oppbevaring av opplysninger over tid. Tatt i betraktning at tjenesten i enkelte sammenhenger samler inn store mengder opplysninger, herunder personopplysninger, vil det være svært krevende og lite hensiktsmessig å foreta individuelle vurderinger av hver enkelt opplysning. Det er ikke dermed sagt at tjenesten aldri trenger å gjøre individuelle vurderinger. I praksis vil det imidlertid i stor grad gjennomføres samlede vurderinger av hvorvidt større datasett, som også vil inneholde personopplysninger, skal slettes eller ikke. Departementet understreker at dersom tjenesten gjennom søk eller på annen måte blir klar over at en personopplysning som ligger lagret, ikke er nødvendig å behandle for etterretningsformål, skal opplysningen slettes etter de alminnelige reglene om sletting.
Departementet viderefører ikke forslaget i høringsnotatet § 9-9 første ledd andre punktum om sletting av fortrolig kommunikasjon, da en slik regel er overflødig ved siden av den alminnelige sletteregelen. Dette innebærer ingen realitetsendring.
Etter departementets vurdering bør det ikke oppstilles konkrete tidsfrister for sletting utover det som følger av lovforslaget § 9-8 andre ledd om rådata i bulk, da dette vil kunne medføre at tjenesten må slette opplysninger som det fortsatt er nødvendig å behandle for etterretningsformål. Å knytte sletting til en nødvendighetsvurdering er vanlig også i annen lovgivning, se for eksempel personopplysningsloven 2000 § 28, personvernforordningen artikkel 17 og helseregisterloven § 25. Dette innebærer ikke at Etterretningstjenesten kan lagre opplysningene så lenge den ønsker. Tjenesten må etablere rutiner som sørger for at det gjennomføres vurderinger av hvorvidt personopplysningene fortsatt er nødvendige å behandle for formålet. Departementet understreker at tjenesten ikke kan unnlate å vurdere nødvendighetsvilkåret ut fra bekvemmelighetshensyn.
Tekna mener videre at det fremstår lite tillitvekkende at personopplysninger ikke må slettes endelig. I høringsnotatets forslag til § 9-9 siste ledd ble det fastslått at sletteplikten skulle anses gjennomført dersom opplysningene kun kan rekonstrueres med «avansert teknisk gjenfinningsverktøy». I lys av høringsuttalelsen viderefører ikke departementet forslaget i høringsnotatet på dette punktet. Departementet understreker likevel at data vil kunne anses som slettet selv om det i teorien er mulig å rekonstruere dem. At en slik teoretisk mulighet eksisterer, betyr selvsagt ikke at det vil være tillatt å forsøke å benytte seg av den. Det sentrale ved sletting er etter departementets syn at opplysningene ikke lenger skal være tilgjengelige for Etterretningstjenesten.
Sletteplikten er ikke til hinder for at personopplysningene fortsatt kan lagres i medhold av annen lov, for eksempel for å bli brukt som ledd i historisk, statistisk eller vitenskapelig virksomhet, jf. personopplysningsloven § 8.
12.10.4.2 Sletting av rådata i bulk
Kripos stiller spørsmål ved begrunnelsen for at rådata bør kunne lagres i opptil 15 år, ettersom slike datasett inneholder data som ikke er relevante for etterretningsformål. Tekna tar til orde for at lagringsadgangen bør strammes inn. Departementet har i lys av høringsinnspillene vurdert hvorvidt lagringstiden på opptil 15 år er nødvendig og lar seg forsvare ut fra hensynet til personopplysningsvernet.
Det er en viktig oppgave for Etterretningstjenesten å følge med på og analysere relevante utenlandske forhold over tid. Dette forutsetter tilgang til historiske data. Det er derfor nødvendig for tjenesten å oppbevare rådata om utenlandske forhold innhentet i bulk i lang tid. I lys av dette mener departementet som utgangspunkt at fristen bør være 15 år, på samme måte som i dansk rett, se lov om Forsvarets Efterretningstjeneste (FE) § 6, stk. 2.
Departementet presiserer at så snart personopplysninger fra et rådatasett hentes ut og behandles med sikte på etterretningsproduksjon, må det vurderes hvorvidt det foreligger et behandlingsgrunnlag. Dersom opplysningene som hentes ut ikke er nødvendige å behandle for etterretningsformål, skal opplysningene slettes. Departementet presiserer også at ordet «senest» innebærer at Etterretningstjenesten etter omstendighetene kan være forpliktet til å slette rådata i bulk før det har gått 15 år. Man kunne sett for seg en bestemmelse som tok sikte på å differensiere ulike former for rådata i bulk, slik at tidsangivelsen for eksempel ble knyttet til innhentingsmetode eller hvilken oppgave man ved innhentingen hadde som formål å utføre. Departementet vil imidlertid ikke foreslå en slik løsning, ettersom det ikke lar seg besvare generelt når rådata i bulk mister sin etterretningsverdi.
På denne bakgrunn viderefører departementet forslaget om at rådata i bulk skal slettes senest 15 år fra lagringstidspunktet, med mulighet for forlengelse for fem år av gangen dersom sjefen for Etterretningstjenesten finner at vesentlige hensyn tilsier det.
12.11 Informasjonssikkerhet
12.11.1 Gjeldende rett
Kravet til informasjonssikkerhet følger i dag både av personopplysningsloven 2000 og sikkerhetsloven.
Det følger av personopplysningsloven 2000 § 13 at den behandlingsansvarlige og databehandleren gjennom planlagte og systematiske tiltak skal sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger. Bestemmelsen er utdypet i personopplysningsforskriften kapittel 2.
Sikkerhetsloven regulerer beskyttelse av skjermingsverdig informasjon og stiller krav om at en virksomhet som har skjermingsverdig informasjon, må ha et forsvarlig sikkerhetsnivå. Den utfylles av virksomhetsikkerhetsforskriften, som stiller krav til styringssystemet for sikkerhet, administrative krav til håndtering og beskyttelse av informasjon og særlige krav til sikkerhetsgradert informasjon. Det vises til Prop. 153 L (2016–2017) kapittel 9 og 10 for en nærmere beskrivelse.
Kravene til informasjonssikkerhet innebærer at Etterretningstjenesten må foreta en risikovurdering og vurdere egnede tiltak for å sørge for konfidensialiteten, integriteten og tilgjengeligheten til personopplysningene som behandles.
12.11.2 Forslaget i høringsnotatet
I høringsnotatet punkt 12.8 foreslås en særskilt bestemmelse i § 9-11 om krav til informasjonssikkerhet ved behandling av personopplysninger. Selv om sikkerhetslovens regler vil komme til anvendelse for Etterretningstjenestens behandling av personopplysninger, vurderes det likevel ut fra personvernhensyn som hensiktsmessig med en egen bestemmelse om informasjonssikkerhet ved behandling av personopplysninger. Det vises til at den foreslåtte informasjonssikkerhetsbestemmelsen har til formål å gi en særskilt forankring i ny etterretningstjenestelov av både sikkerhetslovens krav om informasjonssikkerhet og det grunnleggende personvernprinsippet om informasjonssikkerhet. Dette vil medføre at det stilles strenge krav til beskyttelse av personopplysningenes konfidensialitet, integritet og tilgjengelighet for Etterretningstjenesten.
12.11.3 Høringsinstansenes syn
Ingen høringsinstanser har merknader til forslaget.
12.11.4 Departementets vurdering
Departementet viderefører forslaget i høringsnotatet med enkelte lovtekniske justeringer i lovforslaget § 9-9. Det vises til merknadene til bestemmelsen for en nærmere beskrivelse.
12.12 Personvernrådgiver
12.12.1 Gjeldende rett
Personvernombudsordningen i personopplysningsloven 2000 er basert på frivillighet for den behandlingsansvarlige. Det eksisterer ingen plikt til å ha personvernombud. Oppnevning av et personvernombud medfører imidlertid at det kan gjøres unntak fra meldeplikten til Datatilsynet, jf. personopplysningsforskriften 2000 § 7-12, og unntak fra konsesjonsplikten ved behandling av personopplysninger i forbindelse med et forskningsprosjekt, jf. § 7-27.
Selv om det ikke har vært et lovfestet krav, har Etterretningstjenesten siden 2014 hatt en personvernrådgiver. Personvernrådgiveren har i oppgave å påse at tjenesten behandler personopplysninger i overensstemmelse med personvernlovgivningen. Rådgiveren har ansvar for å utarbeide rutiner og drive opplæring om behandling av personopplysninger internt i Etterretningstjenesten.
12.12.2 Forslaget i høringsnotatet
I høringsnotatet punkt 12.11 foreslås det å lovfeste en plikt for Etterretningstjenesten til å ha én eller flere personvernrådgivere. Personvernrådgiveren skal bidra til intern legalitetskontroll, notoritet, og at behandling av personopplysninger i Etterretningstjenesten skjer i overensstemmelse med lovgivningen og folkerettslige forpliktelser.
12.12.3 Høringsinstansenes syn
Datatilsynet mener at begrepet «personvernrådgiver» bør byttes ut med «personvernombud», og at det bør lovfestes krav til ressurser på samme måte som i personvernforordningen artikkel 38 nr. 2. Tilsynet etterspør også en lovfesting av en varslingskanal til EOS-utvalget og prosedyrer for personvernrådgiveren dersom vedkommende mottar et varsel, og uttaler:
«Slik varslingsmekanismen er utformet i forslaget, er det tvilsomt om den i tilstrekkelig grad ivaretar hensynene til varslerens rettigheter. Den innebærer også utfordringer for personvernrådgiverens uavhengighet. En sentral del av personvernombudenes oppgaver under personvernforordningen er å være kontaktpunkter for tilsynsmyndighet, noe som vil trenge en avklaring av rollen i regelverket.»
Kripos foreslår at ordlyden forenkles, samtidig som det stilles spørsmål ved om det er hensiktsmessig å begrense kretsen som kan kontakte personvernrådgiveren til kun interne i Etterretningstjenesten.
12.12.4 Departementets vurdering
Departementet viderefører forslaget i høringsnotatet med enkelte lovtekniske justeringer.
Begrepet «personvernombud» er godt innarbeidet i personopplysningsretten, og er etter personvernforordningen et lovfestet krav for alle offentlige myndigheter som behandler personopplysninger. Etterretningstjenesten er unntatt personvernforordningen når det gjelder behandling av personopplysninger for etterretningsformål, noe som kan tilsi ulik begrepsbruk. Ved å bruke et annet begrep tydeliggjør man at det er forskjell på et personvernombud etter personvernforordningen og en personvernrådgiver etter etterretningstjenesteloven. Forsvaret, som Etterretningstjenesten er en del av, har et personvernombud som ivaretar rollen i tråd med personvernforordningen. Dette ombudet vil også være ombud for Etterretningstjenestens behandling av personopplysninger etter personvernforordningen.
Datatilsynet etterspør en lovfesting av krav til ressurser, på samme måte som i personvernforordningen. Departementet vurderer at pliktene som foreslås lovfestet for personvernrådgiveren, herunder opplæring, rådgivning, veiledning og internkontroll for etterlevelse av reglene om behandling av personopplysninger, forutsetter at det må settes av ressurser til personvernrådgiveren. Det samme gjelder for andre plikter som foreslås pålagt Etterretningstjenesten. Det forutsettes at tjenesten avsetter tilstrekkelige ressurser til å oppfylle lovens plikter. Funksjonen har en mer integrert rolle i organisasjonen enn det et personvernombud etter personvernforordningen har, slik at det etter departementets syn ikke vil være naturlig å lovfeste et krav om ressurser. Det legges imidlertid til grunn at personen som utpekes som personvernrådgiver skal ha reell mulighet til å gjennomføre opplæring av ansatte og bidra med rådgivning og veiledning i konkrete saker, i tillegg til å få tilgang til nødvendig dokumentasjon i forbindelse med internkontroll.
Når det gjelder Datatilsynets innspill om lovfesting av en varslingskanal til EOS-utvalget og prosedyrer knyttet til personvernrådgiverens håndtering av varsler, er departementet av den oppfatning at dette er tilstrekkelig ivaretatt gjennom dagens ordning. Enhver kan varsle EOS-utvalget dersom man mener at Etterretningstjenesten opererer i strid med etterretningstjenesteloven. Utvalget kan, basert på en klage eller av eget tiltak, ta opp alle saker som det ut fra formålet med EOS-kontrolloven er riktig å behandle, jf. loven § 5. Av samme grunn følger ikke departementet opp forslaget fra Kripos om at andre enn ansatte i tjenesten skal kunne varsle personvernrådgiveren. Departementet foreslår av informasjonshensyn å henvise til klageretten til EOS-utvalget i lovforslaget § 11-7.