EU STOPPER MASSEOVERVÅGNING DANSK REGERING MÅ RETTE IND

Transkript

1 EU STOPPER MASSEOVERVÅGNING DANSK REGERING MÅ RETTE IND Kontakt: Analytiker, Sarah Vormsby RESUME De danske logningsregler for data er ikke i overensstemmelse med EUreglerne, og regeringen ser ud til at blive tvunget til at begrænse den danske logningspligt. Det står klart efter EU-Domstolen har fastslået, at vilkårlig logning af alle borgeres trafik- og lokaliseringsdata er en form for masseovervågning, som er i uoverensstemmelse med EU-charteret. I stedet kan logning kun gennemføres målrettet, når der foreligger en retskendelse, og når der er tale om grov kriminalitet. Både den danske logningsbekendtgørelse og retsplejeloven pålægger ellers den danske telesektor at logge alt trafik- og lokaliseringsdata om danske borgere. Men dette underkendes både i EU-Domstolens afgørelse og i dataforordningen for elektronisk kommunikation (e-dataforordningen). Regeringens planer om at udvide den danske logning til også at omfatte den såkaldte sessionslogning, dvs. logning af internetdata, må nu lægges på hylden. Der er imidlertid flere ændringer på vej, som vil presse Danmark til at nytænke logningsreglerne. I januar 2017 offentliggjorde Europa-Kommissionen et lovforslag i sin store databeskyttelsesreform, e-dataforordningen. Forordningen erstatter det gamle e-datadirektiv fra 2002, som indeholder særregler om behandling af persondata og beskyttelse af privatlivets fred inden for telesektoren. Direktivet har indtil nu været lovhjemlen i EU-retten til national telelogning i Europa, men Kommissionen følger i den nye e-dataforordning EU-Domstolens tolkning, og begrænser dermed muligheden for telelogning. Tænketanken EUROPA 2017 kontakt@thinkeuropa.dk thinkeuropa.dk

2 HOVEDKONKLUSIONER: Europa-Kommissionens seneste forslag til nye regler for databeskyttelse vil presse Danmark til at ændre kurs. E-dataforordningen, som erstatter e-datadirektivet fra 2002, vil træde i kraft i 2018 samtidig med to andre love i reformen, persondataforordningen og databeskyttelsesdirektivet. Den nye e-dataforordning lægger op til bedre beskyttelse af privatlivet inden for telesektoren, men giver mulighed for målrettet logning af trafik- og lokaliseringsdata. Forordningen omfatter også nyere kommunikationstjenester såsom WhatsApp og Facebook Messenger, og forpligter nu webbrowsere til at have en funktion, som blokerer cookies. Den nye forordning følger en opsigtsvækkende afgørelse fra EU-Domstolen i en svensk sag om telelogning fra december EU-Domstolen afgjorde, at en generel logningspligt, som indsamler alle borgeres trafik- og lokaliseringsdata, er masseovervågning og i strid med EU-charteret. I stedet må der kun laves målrettet logning af mistænkte kriminelle, og kun når der foreligger en retskendelse. Afgørelsen bringer den danske lovgivning på området i strid med EU-retten. Den danske logningsbekendtgørelse og retsplejeloven pålægger telesektoren en generel logningspligt af alle danskere, og kan dermed karakteriseres som masseovervågning. Regeringen må derfor hurtigst muligt ændre lovgivningen for at bringe den i overensstemmelse med EU-retten. Logningspligten for den danske telesektor vil blive begrænset, og politiet vil blive forpligtet til at indhente retskendelser, før logningen påbegyndes, og kun hvor der er mistanke om grov kriminalitet. 2

3 Den 10. januar 2017 offentliggjorde Kommissionen et forslag til en ny dataforordning for telekommunikation (e-dataforordningen). Forslaget er den sidste brik i Kommissionens store databeskyttelsesreform, som blev lanceret med Kommissionens strategi for oprettelsen af det digitale indre marked. Kommissionen tog allerede i 2012 initiativ til en databeskyttelsesreform, hvor målet var at få klargjort, hvilke digitale rettigheder borgerne har, og hvilke regler virksomheder og offentlige myndigheder skal overholde i den digitale tidsalder. I december 2015 præsenterede Kommissionen så to lovforslag i databeskyttelsesreformen persondataforordningen og databeskyttelsesdirektivet. De er begge blevet godkendt af Rådet og Europa-Parlamentet i april De vil efterfølgende træde i kraft i Det nye forslag til en e-dataforordning skal erstatte e-datadirektivet fra 2002, som indeholder særregler om behandling af persondata og beskyttelse af privatlivets fred inden for telesektoren. 2 Bliver den godkendt af Rådet og Europa-Parlamentet vil den også træde i kraft i 2018 og dermed fuldende databeskyttelsesreformen. 3 Forslaget kommer i kølvandet på en dom fra EU-Domstolen i en svensk og britisk sag om logning af telekommunikation. Dommen henviser eksplicit til det gamle e- datadirektiv og afgør, at direktivet ikke gør det lovligt at logge alle borgeres teledata. Det nye forslag fra Kommissionen ændrer ikke på EU-Domstolens tolkning. Det nye forordningsforslag samt Domstolens afgørelse kan få vidtrækkende konsekvenser for dansk lovgivning om telelogning. Lovgivningen er med al sandsynlighed nødt til at blive lavet om, og regeringen kan meget vel blive nødt til at skrotte sine planer om at udvide logningen i Danmark. e-dataforordningen er kun en opdatering Den nye e-dataforordning er en opdateret version af det gamle e-datadirektiv, og fremover vil nyere kommunikationstjenester, såsom WhatsApp, Skype og Facebook Messenger også blive omfattet af EU-reglerne. Disse kommunikationstjenester skal således fra 2018 overholde de samme regler, som de almindelige teleudbydere. 1 Personal data protection: processing and free movement of data (General Data Protection Regulation), 2012/0011(COD), Legislative Observatory, 12. april, 2 Direktiv 202/58/EF, som revideret ved direktiv 2009/136/EF. 3 Proposal for a regulation of the European Parliament and of the Council concerning the respect for private life and the protection of personal data in electronic communications and repealing Directive 2002/58/EC, art. 29(2), Europa-Kommissionen, 10. januar

4 Samtidig omfatter forordningen også webbrowsere, som nu skal indhente et direkte samtykke fra deres brugere før brugerens data indsamles eller bruges. Mere specifikt betyder det, at webbrowseren skal bede om samtykke, før den indsamler eller tilgår cookies. Det gamle e-datadirektivs regler om cookies omfattede udelukkende de hjemmesider, som brugeren tilgik. Den opstillede to relativt simple krav til anvendelsen af cookies: 1) brugeren skal have passende information om, at der anvendes cookies, og 2) brugeren skal give samtykke til, at der lagres cookies på brugerens computer eller mobiltelefon. 4 Disse krav er nu udvidet til også at gælde webbrowsere. Her støtter den nye e-dataforordning den såkaldte Do-Not-Trackfunktion, som brugeren fremover skal kunne slå til på sin webbrowser, for at cookies ikke lagres om brugeres adfærd på internettet. 5 På den måde cementerer Kommissionen endnu en gang princippet om notifikation-og-samtykke, som blev styrket i den generelle persondataforordning, der blev vedtaget sidste år. Tænketanken EUROPA har tidligere problematiseret, om notifikation-og-samtykke-princippet er et fremtidssikret fundament for databeskyttelse. 6 Et udvidet krav om notifikation-og-samtykke kan potentielt bremse dele af den digitale og teknologiske udvikling. Alligevel giver Kommissionen i forslaget mulighed for, at princippet om notifikation-og-samtykke kan omgås. Det gælder ved målrettet marketing rettet mod teleudbyderens kunder og ved logning af trafik- og lokaliseringsdata. 7,8 I forhold til målrettet marketing fastsætter artikel 16 i forordningen, at det ikke må ske uden forgående samtykke fra brugeren af den bestemte kommunikationstjeneste. Men stk. 2 i artikel 16 giver den undtagelse, at hvis brugeren er i et kundeforhold med virksomheden, behøver der intet forudgående samtykke. Det betyder, at teleudbyderne har lov til at indsamle og spore metadata om deres kunder for at målrette deres reklamer til kunderne. I betragtning af at metadata er lige så følsomme som indholdet af selve den elektroniske kommunikation, er det overra- 4 Teleretten, Søren Sandfeld Jakobsen, Søren ohansen og Christian Bergqvist, Jurist- og Økonomforbundets Forlag, 2014, s Interesting points in leak of new eprivacy Directive, Lukasz Olejnik, Security, 12. December 2016 ( 6 Disrupting Europe: From Laggard to Digital Frontrunner, Tænketanken EUROPA, november Trafikdata er data, som registreres og behandles med det formål at gennemføre kommunikation på en mobiltelefon eller via internettet. 8 Lokaliseringsdata er data, som behandles i et elektronisk kommunikationsnet, og som angiver den geografiske placering af eksempelvis den mobiltelefon, som brugeren anvender. Når en mobilbruger fx bevæger sig rundt med mobilen tændt, kan teleudbyderen via mobiltelefonen følge og registrere brugerens geografiske bevægelse fra celle til celle i mobilnettet. 4

5 skende, at Kommissionen ikke gør mere for at beskytte den form for data. 9 Metadata kan nemlig bruges til detaljerede kortlægninger af borgernes adfærd. I forhold til logning indeholder Kommissionens forslag ingen konkrete bestemmelser, men fastholder, at medlemslandene frit kan vedblive at have eller oprette nationale logningsregler. Det fremgår af artikel 11 i forslaget, som tillader medlemslandene at begrænse retten til privatliv. Men samtidig uddyber forslaget, at logningen skal være målrettet dvs. at man ikke vilkårligt må logge alle borgere og at de nationale regler om logning skal være i overensstemmelse med EU-Domstolens retspraksis og dens fortolkning af e-datadirektivet og EU-charteret. Her henviser Kommissionen i sin gennemgang specifikt til Domstolens afgørelse i to sager om logning, Digital Rights Ireland-sagen og Tele2-sagen. 10 Netop dette element kan få store konsekvenser for dansk lovgivning og for den danske telesektor. Masseovervågning er ikke tilladt i EU Digital Rights Ireland-sagen var en sag fra 2014 om, hvorvidt EU s daværende logningsdirektiv fra 2004 var i overensstemmelse med EU s Charter. Direktivet forpligtede alle medlemslandene til at pålægge teleudbydere at logge deres brugeres trafik- og lokaliseringsdata i en periode på minimum seks måneder. Det gav de nationale myndigheder mulighed for at gå tilbage i tiden, og se hvem en person kommunikerede med, hvor længe, og hvor personen opholdt sig. I Danmark blev disse regler udvidet til også at omfatte sessionslogning (indsamling af personens kommunikation og adfærd på internettet). Men domstolen erklærede i Digital Rights Ireland-sagen at det var i strid med EU-Charteret. Logningsdirektivet var derfor ugyldigt. 11 Nærmere bestemt afgjorde EU-Domstolen, at logningspligten i direktivet ikke var proportionalt, idet det omfattede alle personer uden såkaldt differentiering. Samtidig var der ikke et objektivt kriterium for, at den loggede data kun måtte tilgås ved mistanke om grov kriminalitet. Og endelig var der ingen regler for varigheden af lagringen ift. forskellige kategorier af data eller regler om datasikkerhed. Selv om EU-Domstolen således ophævede det direktiv, der før lå til grund for de danske regler, valgte daværende justitsminister Karen Hækkerup kun at ophæve 9 Web users metadata can be tracked by targeted ads, leaked draft EU law reveals, Ars Technica UK, 13. December 2016, 10 Proposal for a regulation of the European Parliament and of the Council concerning the respect for private life and the protection of personal data in electronic communications and repealing Directive 2002/58/EC, art. 29(2), Europa-Kommissionen, 10. januar 2017, s Domstolens Dom i de forenede sager C-293/12 og C-594/12, 8. april

6 det udvidede danske krav om sessionslogning. Hun gjorde det uden henvisning til retten til privatliv, men med den begrundelse, at sessionslogningen havde vist sig at være ineffektiv. 12 Danmark fastholdt altså, at de øvrige danske logningsregler var forenelige med EU-rettens privatlivs- og persondatabeskyttelse. Det var ikke kun Danmark, som fastholdt sine nationale logningsregler. I Sverige hævdede myndighederne, at selvom logningsdirektivet var ophævet, var der ifølge e-datadirektivet stadig mulighed for at begrænse retten til privatliv og dermed forsætte telelogningen. Det førte til en konflikt med den svenske teleoperatør Tele2, der i sidste ende førte til en sag ved EU-Domstolen. Sagen drejede sig om, hvorvidt en generel forpligtelse til at logge alle typer af elektronisk kommunikation og al datatrafik fra alle borgere uden begrænsninger eller undtagelser med det formål at bekæmpe kriminalitet er foreneligt med EU-retten, nærmere bestemt e- datadirektivet art. 15(1). 13 Samtidig var det en del af sagen, om EU-retten overhovedet fandt anvendelse på området. Generelt gælder e-datadirektivet ikke for dataindsamling og -behandling i forbindelse med politiarbejde eller statens sikkerhed, og EU-rettens anvendelse på området er derfor relevant at afgøre. Alligevel tillod art. 15 i direktivet lagring af data i en begrænset periode bl.a. for at kunne efterforske eller retsforfølge i straffesager eller beskytte statens sikkerhed. I den nye e-dataforordning giver artikel 11 ligeledes mulighed for at begrænse retten til privatliv, hvis det er ud fra samfundsmæssige hensyn. Domstolen fastslår i Tele2-sagen, at datalagring for de to formål falder inden for direktivets anvendelsesområde, dvs. inden for EU-retten. EU-Domstolens afgørelse i Tele2-sagen er ikke til at tage fejl af. EU-retten er til hinder for en national lovgivning, der med henblik på bekæmpelse af kriminalitet fastsætter en generel og udifferentieret lagring af samtlige trafikdata og lokaliseringsdata vedrørende samtlige abonnenter og registrerede brugere i forbindelse med samtlige midler til elektronisk kommunikation. 14 Domstolen erklærer dermed, at masseovervågning ikke er tilladt. Afgørelsen betyder dog ikke, at al indsamling af trafik- og lokaliseringsdata er ulovlig. EU-Domstolen slår nemlig også fast, at EU-retten ikke er til hinder for målrettet lagring af trafik- og lokaliseringsdata med henblik på bekæmpelse af grov kriminalitet. 15 Domstolen taler her om at begrænse lagringen til det strengt 12 Alle danskere bliver overvåget i strid med deres rettigheder (i hvert fald ifølge EU), Jacob Mchangama, Zetland, 3. januar 2017, 13 Domstolens Dom i de forenede sager C-203/15 og C-698/15, 21. december 2016, para Domstolens Dom i de forenede sager C-203/15 og C-698/15, 21. december 2016, para Domstolens Dom i de forenede sager C-203/15 og C-698/15, 21. december 2016, para

7 nødvendige for så vidt angår kategorierne af data, der skal lagres, de omhandlede kommunikationsmidler, de berørte personer og den fastsatte varighed af lagringen. 16 Kommissionens bemærkning om, at e-dataforordningen ikke er til hinder for en national logningspligt, så længe den er målrettet, følger altså EU-Domstolens tolkning. Til muligheden om målrettet logning hører dog en række krav. Der skal være en tæt forbindelse til alvorlig kriminalitet og forudgående retskendelse, før der må foretages logning. 17 Ifølge de danske regler er der alene et krav om forudgående retskendelse, når myndighederne skal have adgang til de loggede data. Det er ikke længere nok ifølge EU-Domstolen. Samtidig er det fast praksis i Danmark at masteoplysninger tilknyttet en mobiltelefon kan tilgås af politiet, blot forholdet er undergivet offentlig påtale. 18 Dvs. at der her ikke er et krav om alvorlig kriminalitet, mistanke- eller indikationskrav. 19 Det vil sandsynligvis også skulle ændres, hvis man skal følge afgørelsen i Tele2-sagen. Domstolen siger også, at logget data ikke må forlade EU. 20 For danske teleudbydere kan det betyde, at hvis de logger oplysninger om deres danske kunder, kan de ikke lagre disse på servere uden for EU. Det har ikke været et krav med de nuværende danske regler. Endelig kræver EU-Domstolen, at der skal indføres sikkerhedsforanstaltninger for at beskytte den loggede data, og at den person, hvis oplysninger er blevet indsamlet og brugt, skal oplyses herom. 21 EU-Domstolens krav koblet med forbuddet mod udifferentieret logning kan betyde, at megen national lovgivning om telelogning i medlemslandene fremover skal ændres. Danske logningsregler skal ændres Dommen blev forsøgt påvirket af Danmark, som sammen med andre EU-lande afgav et indlæg i Tele2-sagen, for at kunne fortsætte med udvidet telelogning. Men Domstolens afgørelse går direkte imod den danske logningsbekendtgørelse og retsplejelovens 786 stk. 4, for den generelle logningsforpligtelse til at indsamle 16 Domstolens Dom i de forenede sager C-203/15 og C-698/15, 21. december 2016, para Domstolens Dom i de forenede sager C-203/15 og C-698/15, 21. december 2016, para Jf. retsplejeloven kap. 74, 804(1) 19 De Danske Logningsregler I Lyset af GA s Udtalelse i Forenede Sager C-203/15 og C-698/15, oplæg af Professor Søren Sandfeld Jakobsen hos Kammeradvokaten, november Domstolens Dom i de forenede sager C-203/15 og C-698/15, 21. december 2016, para Domstolens Dom i de forenede sager C-203/15 og C-698/15, 21. december 2016, para

8 teleoplysninger om alle borgere er i strid med EU-retten. 22. Ifølge dansk lov skal teleudbydere og kommunikationsvirksomheder registrere både tele- og internetkommunikation for alle danske borgere, bl.a. hvem de har ringet eller skrevet sms til, tidspunktet for kommunikationen, og hvor de befandt sig. Alle oplysninger opbevares hos teleudbyderen i ét år. Men det er i strid med EU-retten. Justitsministeriets tolkning har indtil videre været, at fordi myndigheder først kan få adgang til loggede data ved en retskendelse, er der ikke tale om masseovervågning, da kun få borgeres oplysninger udleveres. 23 Den tolkning har EU-Domstolen vist sig at være uenig i, og den vurderer derfor, at den danske logningspligt mere har karakter af masseovervågning. Det gør den i uoverensstemmelse med EUretten og med EU-charteret. Dommen går stik imod regeringens planer om at genindføre sessionslogning. I det nye regeringsgrundlag skriver VLAK-regeringen således, at overvågningen skal udvides: Politiet skal have effektive og moderne efterforskningsredskaber, så de[t] kan bekæmpe kriminalitet og beskytte os alle. Regeringen vil derfor i begyndelsen af 2017 fremlægge nye regler om logning, der målrettet skal styrke politiets muligheder for at opklare kriminalitet, og som ikke vil pålægge telebranchen for mange byrder. 24 Justitsministeriet har været forbeholden med at udtale sig om EU-dommen og dens konsekvenser for dansk lovgivning. Danske borgeres teledata logges stadig, selv om det reelt er i strid med EU-retten og borgernes ret til privatliv. EU-konsulenten for Folketinget er kommet med en forsigtig analyse af dommens konsekvenser for Danmark, men tør dog ikke konkludere, at dommen gør den danske logningsbekendtgørelse i strid med EU-retten og i strid med grundlæggende rettigheder. I stedet konkluderes det, at den danske logningslovgivning om fortsat generel lagring af metadata måske skal revideres for at imødekomme de krav, som dommen fremhæver. 25 Samtidig understreger analysen politiets ønske om fortsat at have udvidet adgang til lagret data. 22 Retsplejelovens 786 stk. 4 er lovhjemlen til de danske logningsregler. Den indeholder en forpligtelse for teleudbydere og kommunikationsvirksomheder til at registrere både tele- og internetkommunikation. Den fastslår: det påhviler udbydere af telenet eller teletjenester at foretage registrering og opbevaring i 1 år af oplysninger om teletrafik til brug for efterforskning og retsforfølgning af strafbare forhold. Justitsministeren fastsætter efter forhandling med erhvervs- og vækstministeren nærmere regler om denne registrering og opbevaring. Logningsbekendtgørelsen er en konkretisering af forpligtelsen. 23 Notat om betydningen af EU-Domstolens dom af 8. april 2014 i de forenede sager C-293/12 og C- 594/12 (om logningsdirektivet) for de danske logningsregler, Justitsministeriet, 2. juni Regeringsgrundlaget: For et Friere, Rigere og Mere Trygt Danmark, 2016, s EU-note: EU-Domstolen bekræfter i ny dom, at generel logning af elektronisk kommunikation skal respektere retten til privatliv og beskyttelse af persondata, EU-konsulenten, Europaudvalget og Retsudvalget, 13. januar

9 Politiet har været en stor fortaler for telelogningen og for at udvide sessionslogningen. Deres argument er, at det vil være et bedre redskab for politiet til at opklare forbrydelser, såsom drab, terrorsager eller sager om narko- eller bandekriminalitet. Rigspolitiet oplyser i en redegørelse til retsudvalget, at telelogning generelt [er] af meget væsentlig betydning for politiets efterforskning og opklaring af alvorlige forbrydelser. 26 EU-Domstolens afgørelse er dog klar. Det er i strid med EU-retten at foretage overvågning af alle danskernes brug af mobiltelefoner, både når det gælder elektronisk kommunikation, deres internetbrug og lokalitet. I stedet kan der bruges en model, hvor der alene foretages logning af personer, som politiet har en velbegrundet formodning om, er involveret i alvorlig kriminalitet. På den måde ligner det tankegangen bag adgangen til at aflytte mistænkte. 27 Politiet vil altså stadig have mulighed for at få adgang til loggede data, men oplysningerne vil først blive logget, når politiet har en velbegrundet mistanke til den pågældende person. Politiets redskab vil således blive begrænset, men retssikkerheden for almindelige danske borgere, vil blive styrket. På grund af EU-Domstolens og e-dataforordningens begrænsning til kun at tillade målrettet logning, er regeringen nu nødsaget til at gentænke de danske regler. I Sverige har man allerede taget konsekvenserne af dommen og stoppet logningen af svenske borgeres telekommunikation, og det er begrænset, hvor længe Danmark kan lurepasse i denne sag. Justitsministeriet bør hurtigst muligt ændre logningsbekendtgørelsen således, at der alene kan foretages logning af persondata om personer, som politiet har en velbegrundet formodning om, er involveret i alvorlig kriminalitet eller terror, og først når der foreligger en retskendelse. Kun sådanne ændringer vil bringe den danske lovgivning i overensstemmelse med EU-retten og med den nye e-dataforordning. 26 Redegørelse om diverse spørgsmål vedrørende logningsreglerne, Justitsministeriet, Bombe under ti års dansk telelogning: Den er klart ulovlig og skal skrottes, Version 2, 12. Januar 2017, ?utm_medium= &utm_source= 9