Høringssvar vedr. lov om ændring af revisionsbestemmelse om telelogning (2015)

Høringsmaterialet kan ses her
http://hoeringsportalen.dk/Hearing/Details/47459

Justitsministeriet foreslår at revisionen af de danske logningsregler udskydes for 4. gang, således at revisionen vil finde sted i folketingsåret 2015-16.

Ved de tre tidligere beslutninger om at udskyde revisionen har begrundelsen været, at Justitsministeriet ville vente på EU Kommissionens udspil til revision af logningsdirektivet, som de danske logningsregler dengang var underlagt. Siden den seneste udskydelse blev vedtaget ved lov nr. 635 af 12. juni 2013, er logningsdirektivet som bekendt blevet erklæret ugyldigt af EU-domstolen.

På baggrund af EU-dommen havde IT-Politisk Forening forventet en revision af de danske logningsregler i indeværende folketingsår. Efter EU-dommen har Danmark ingen EU-retlige forpligtelser på logningsområdet, og reglerne i logningsbekendtgørelsen er alene Folketingets ansvar. Det skaber en helt ny situation, som Folketinget bør forholde sig til.

Der er også behov for, at Folketinget forholder sig til, om de danske logningsregler er i overensstemmelse med præmisserne i EU-dommen om logningsdirektivet. Justitsministeriet mener, at det er tilfældet, jf. redegørelsen af 2. juni 2014, men det bør gøre indtryk på Folketinget, at domstole (især forfatningsdomstole) i et antal europæiske lande har underkendt den nationale logningslovgivning.

Justitsministeriets begrundelse for at udskyde revisionen er, at det på nuværende tidspunkt er uvist om - og i givet fald hvornår - Kommissionen vil fremsætte forslag om nye EU-regler på området.

IT-Politisk Forening undrer sig over denne begrundelse, idet Kommissionen i marts 2015 har givet klart udtryk for, at der ikke planlægges nye fælles EU regler for logning. I stedet vil Kommissionen overlade spørgsmålet til medlemsstaterne. Det fremgår af pressemeddelelsen ”EU-Kommission plant keinen neuen Anlauf zur Vorratsdatenspeicherung” den 9. marts 2015 fra Kommissionens tyske repræsentation [1] og udtalelser fra kommissær Dimitris Avramopoulos til Reuters den 12. marts 2015 i artiklen ”EU executive plans no new data retention law” [2]. Ifølge IT-Politisk Forenings oplysninger skulle Kommissionen på et JHA rådsmøde den 12. marts 2015 formelt have informeret medlemsstaterne om, at Kommissionen ikke planlægger et nyt logningsdirektiv.

IT-Politisk Forening finder det i øvrigt beklageligt, at nærværende lovforslag fremsættes så sent, at det nærmest ikke vil være muligt for Folketinget at gennemføre en evaluering og revision i indeværende folketingsår, hvis et flertal skulle være uenig i Justitsministerens ønske om udskydelse.

I den resterende del af høringssvaret vil vi kommentere Justitsministeriets bemærkninger om EU-dommens betydning (lovudkastets bemærkningerne afsnit 4.2) og den fremtidige evaluering af de danske logningsregler.

EU-dommen og de danske logningsregler

Præmisserne i dommen fra EU-domstolen om lognings-direktivet kan opdeles i tre punkter, jf. også afsnit 2 i Justitsministeriets redegørelse af 2. juni 2014.

  1. Direktivet omfatter alle personer, som gør brug af elektroniske kommunikationstjenester, og de data som kræves lagret er ikke på nogen måde begrænset til et bestemt tidsrum, et bestemt geografisk område og/eller en bestemt personkreds, der på den ene eller anden måde vil kunne være indblandet i grov kriminalitet. Direktivet indeholder heller ikke nogen undtagelse for personer, hvis kommunikation i henhold til nationale retsregler er omfattet af tavshedspligt (præmis 57-59).
  2. Direktivet fastsætter ikke objektive kriterier og begrænsninger for kompetente nationale myndigheders adgang til data (præmis 60-62).
  3. Opbevaringsperioden i direktivet er ikke fastsat ud fra objektive kriterier, og der er ikke foretaget nogen sondring mellem de forskellige kategorier af data (præmis 63-64).

For så vidt angår punkt 1, må præmis 57-59 være fuldt gældende for de danske logningsregler, som også omfatter alle personer på alle tidspunkter og alle steder. Ligesom direktivet er den danske logningsbekendtgørelse udtryk for masseovervågning.

Med hensyn til punkt 3, anfører Justitsministeriet i redegørelsen afsnit 3.2.3, at der er objektive kriterier for valget af en opbevaringsperiode på 1 år, og der henvises til punkt 3.1.3.1 i de almindelige bemærkninger til lov nr. 378 af 6. juni 2002. De anførte kriterier for valget af 1 år skelner dog ikke mellem de forskellige kategorier af logningsdata, for eksempel opkaldslister, lokationsoplysninger og internetoplysninger.

Den primære forskel mellem logningsdirektivet og dansk ret er punkt 2, hvor retsplejeloven fastsætter regler for adgangen til logningsdata i kapitel 71 og 74.

I redegørelsen af 2. juni 2014 siger Justitsministeriet, at henset til, at dommen over logningsdirektivet er baseret på en samlet vurdering af de tre punkter, kan det give anledning til tvivl, hvilken vægt de enkelte led i begrundelsen skal tillægges, og dermed også hvilken betydning dommen i givet fald kan tillægges i forhold til de danske logningsregler. Samlet set finder Justitsministeriet derfor, at der ikke er grund til at antage, at de danske logningsregler skulle være i strid med Charter om Grundlæggende Rettigheder.

Hertil skal IT-Politisk Forening bemærke, at der findes andre fortolkninger af EU-dommen, som fokuserer på, at dommen direkte udelukker en registrering af alle borgere, på alle tidspunkter og alle steder (blanket data retention), svarende til eksempelvis den danske lognings­bekendtgørelse. Det gælder for eksempel den juridiske analyse ”Data Retention after the Judgement of the Court of Justice of the European Union”, af jura­professorerne Dr. Franziska Boehm og Dr. Mark D. Cole [3].

Efter EU-dommen har der været et antal domsafsigelser i andre europæiske lande, hvor den nationale logningslov er blevet underkendt. Det gælder følgende lande: Østrig, Slovenien, Rumænien, Polen (dog kun delvist), og senest Nederlandene og Bulgarien i marts 2015. I flere af disse lande har den nationale logningslov indeholdt begrænsninger på adgangen til logningsdata, i modsætning til direktivet. Der er retssager undervejs i andre europæiske lande, og før 2014 er nationale logningslove blevet underkendt ved domstole i Bulgarien (2008), Rumænien (2009), Tyskland (2010), samt Cypern og Tjekkiet i 2011.

Justitsministeriet anfører i bemærkningerne afsnit 4.2 til lovudkastet, og i redegørelsen af 2. juni 2014, at den danske lovgivning fastsætter klare og præcise regler om adgangen til logningsdata. Retsplejeloven stiller krav om dommerkendelse, og hovedreglen er, at politiets efterforskning skal angå en forbrydelse med en strafferamme på mindst 6 år.

Der imidlertid en lang række undtagelser fra denne hovedregel om en strafferamme på 6 år, således at lovovertrædelser med væsentligt kortere strafferammer også kan give adgang til logningsdata. I redegørelsen af 2. juni 2014 henvises til, at teleoplysninger i disse tilfælde kan være relevante for politiets efterforskning, og at der typisk er tale om forbrydelser, som begås af en flerhed af personer, som må formodes at have et behov for at kommunikere indbyrdes via elektroniske kommunikationstjenester.

Modsat i Nederlandene, hvor logningsloven for nylig blev underkendt af en domstol, kan efterforskning af cykeltyveri ikke give adgang til logningsdata i Danmark, men cykeltyve arbejder ofte alene uden brug af elektroniske kommunikationstjenester, så der er ikke tale om en reel indskrænkning af politiets adgang. Men andre lovovertrædelser med kortere stafferamme end 6 år vil kunne give adgang til logningsdata i Danmark. Det gælder for eksempel databedrageri (straffeloven § 279 a), hvis forbrydelsen er begået ved anvendelse af en telekommunikationstjeneste.

Reglerne om adgang til historiske logningsdata følger de almindelige regler om indgreb i meddelelses­hemmeligheden i retsplejeloven kapitel 71 og edition i kapitel 74. Disse regler er udtryk for en afvejning mellem borgernes ret til privatliv (og persondatabeskyttelse) på den ene side og hensynet til en effektiv kriminalitets­bekæmpelse på den anden side.

Men der er ret stor forskel på, om denne afvejning vedrører et fremadrettet indgreb i meddelelseshemmeligheden, som kun vedrører en konkret borger under forudgående mistanke, eller om der er tale om en begrænsning i adgangen til logningsdata (historiske teleoplysninger), som skal sikre at indsamling af disse data om alle borgere (”masseovervågning”) er nødvendig og proportional, og ikke i strid med Charter om Grundlæggende Rettigheder, artikel 7 og 8 om retten til privatliv og persondatabeskyttelse.

EU-dommen om logningsdirektivet bør som minimum føre til en skærpet vurdering af, om begrænsningerne på adgang til logningsdata er tilstrækkelige til at sikre den fornødne proportionalitet af det indgreb i retten til privatliv, som en obligatorisk vidtgående registrering af oplysninger om alle borgeres telekommunikation og færden i det fysiske rum (via masteoplysningerne) udgør.

Samlet set finder IT-Politisk Forening, at der efter EU-dommen er behov for en grundigere undersøgelse af de danske logningsregler end Justitsministeriets redegørelse af 2. juni 2014. Det kunne for eksempel ske ved at Folketinget anmodede en gruppe udenlandske juridiske eksperter om at udarbejde en vurdering af de danske logningsregler og deres overensstemmelse med Charter om Grundlæggende Rettigheder (retten til privatliv og persondatabeskyttelse).

Den fremtidige evaluering af de danske logningsregler

I afsnit 5 i lovforslagets bemærkninger skriver Justitsministeriet, at evalueringen foreslås gennemført i folketingsåret 2015-16, og at der i den forbindelse vil blive taget stilling til, om der er behov for at registrere og opbevare flere typer data.

IT-Politisk Forening finder det bemærkelsesværdigt, at Justitsministeriet, allerede inden evalueringen er foretaget, åbenbart kan udelukke, at der skal registreres færre data, idet bemærkningerne alene nævner flere typer data.

Vi er bekendt med Justitsministeriets arbejde med en ny sessionslogning og den mulige genoptagelse af overvejelserne om personregistrering af taletidskort (omtalt i redegørelsen ”Et stærkt værn mod terror” af 19. februar), men da disse udvidelser af lognings­forpligtelserne ikke er en del af nærværende lovforslag, har vi ikke kommenteret dem i vores høringssvar.

IT-Politisk Forening er modstander af en logning, der (som den nuværende ordning og de påtænkte udvidelser) omfatter alle borgere, på alle steder, og alle tidspunkter. Det er masseovervågning, som vi hele tiden har været politisk modstander af.

Derudover er det, som nævnt ovenfor, vores og mange andres vurdering, at en logning som omfatter alle borgere, uden nogen forbindelse til grov kriminalitet, ikke er forenelig med præmis 58+59 i EU-dommen. Hvis teleselskaberne skal kunne forpligtes til at gemme oplysninger, som de ikke af egen drift og forretningsmæssige hensyn ville have gemt, skal dette indgreb være målrettet mod konkrete mistænkte personer, eller der skal være tale om oplysninger, som har en direkte sammenhæng til en konkret grov forbrydelse, der er begået. Når forpligtelserne for teleselskaberne omfatter alle personer, og ikke er målrettet mod konkrete hændelser med grov kriminalitet, er det masseovervågning, som efter vores opfattelse ikke er proportional.

I stedet for masseovervågningen med de nuværende logningskrav, vil vi opfordre til, at Justitsministeriet i forbindelse med evalueringen af logningsreglerne undersøger målrettede alternativer til logning. Et alternativ til logning/masseovervågning af alle borgere kunne være hastesikring af data (”quick freeze”), hvor politiet har mulighed for at stoppe den sletning af trafikdata, som teleselskaberne er forpligtet til at foretage i henhold til e-privacy direktivet 2002/58/EF (i Danmark implementeret ved udbudsbekendtgørelsen, især § 23). Inden data udleveres til politiet skal dette indgreb (hastesikring) selvfølgelig godkendes af domstolene.

En hastesikring af data vil kunne målrettes mod konkrete mistænkte, som fremadrettet kan overvåges i overensstemmelse med retsplejeloven (med godkendelse af en dommer). Hvis der endnu ikke er konkrete mistænkte personer, kan hastesikring (”quick freeze”) begrænse datalagringen (”logningen”), så den kun omfatter oplysninger, der har en direkte sammenhæng til den konkrete kriminalitet, som politiet efterforsker. Et eksempel kunne være en adgang til at hastesikre/gemme masteoplysninger om aktive mobiltelefoner i et afgrænset geografisk område, hvis der i dette afgrænsede område er begået en forbrydelse af en sådan grovhed, at der efter retsplejeloven er mulighed for udvidet teleoplysning.

Sammenlignet med logningsbekendtgørelsen i dag, vil der på denne måde blive registreret væsentligt færre oplysninger om borgere som ikke er mistænkt for kriminalitet, og politiet vil ikke være fuldstændigt afskåret fra at bruge teleoplysninger i deres arbejde med at opklare kriminalitet. Hensigten er at sikre, at registreringen af teleoplysninger begrænses til det som er strengt nødvendigt og proportionalt, og ikke bare nyttigt, for politiets arbejde.

Noter

[1] EU-Kommission plant keinen neuen Anlauf zur Vorratsdatenspeicherung, 09.03.2015
http://ec.europa.eu/deutschland/press/pr_releases/13145_de.htm

[2] EU executive plans no new data retention law, Reuters 12.03.2015
http://www.reuters.com/article/2015/03/12/us-eu-data-telecommunications-idUSKBN0M82CO20150312

[3] Dr. Franziska Boehm og Dr. Mark D. Cole, ”Data Retention after the Judgement of the Court of Justice of the European Union”, Münster/Luxembourg, 30. juni 2014.