Høringssvar

Den 27. september 2021 har Justitsministeriet sendt forslag til lov om ændring af retsplejeloven og lov om elektroniske kommunikationsnet og -tjenester (Revision af reglerne om registrering og opbevaring af oplysninger om teletrafik (logning) m.v.), (”Lovforslaget”) i høring.

Danske Advokaters høringsnotat er udarbejdet i samarbejde med vores fagudvalg for it- og teleret. Fagudvalget består af advokater, der alle er medlem af Danske IT-Advokater, og i væsentligt omfang beskæftiger sig med it og telekommunikation. Medlemmerne af vores fagudvalg for it- og teleret repræsenterer både udbydere, kunder og leverandører i telebranchen.

Overordnede bemærkninger

Ændring af logningsreglerne er et nødvendigt tiltag for at bringe de danske regler i overensstemmelse med EU-retten.

Danske Advokater anerkender Ministeriets udfordring med at balancere hensynene til effektiv efterforskning af kriminalitet og varetagelse af national sikkerhed mod henholdsvis sikring af slutbrugernes grundlæggende rettigheder og udbydernes praktiske forpligtelser til at bistå Politiet.

Danske Advokater ser imidlertid med stor bekymring på de nye logningsregler, idet Lovforslaget i den nuværende form indebærer en betydelig risiko for, at Danmark overtræder EU-retten i forhold til slutbrugernes grundlæggende rettigheder. Endvidere er det bekymrende, at Lovforslaget i den nuværende form er særdeles byrdefuldt for teleselskaberne, som pålægges meget store omkostninger og administrativt arbejde med henblik på at implementere og gennemføre logning efter de nye logningsregler.   

Vi har i svaret valgt at fokusere på de væsentligste emner:

1. Adgangen til at generel og udifferentieret logning
2. Målrettet logning
3. Edition
4. Udbyderbegrebet
5. Systemtekniske udfordringer

Danske Advokater har nedenfor anført vores konkrete bemærkninger til de foreslåede ændringer i Lovforslaget. For god ordens skyld bemærkes det, at bemærkninger og emner ikke skal anses for udtømmende.

Konkrete bemærkninger til lovforslaget

Adgangen til at generel og udifferentieret logning

Det er Danske Advokaters vurdering, at der, med de foreslåede regler, er en risiko for, at generel og udifferentieret logning kommer til at udgøre hovedregelen og ikke den begrænsede undtagelse. En sådan praksis vil være i strid med EU-retten.

Det foreslås endvidere, at vurderingen af, om der foreligger en alvorlig trussel mod den nationale sikkerhed, med deraf følgende mulighed for at iværksætte generel og udifferentieret logning ligger hos Justitsministeriet efter forhandling med erhvervsministeren. Disse kan iværksætte den generelle og udifferentierede logning udenom Folketinget. En sådan beslutning er endvidere ikke underlagt automatisk domstolskontrol. Det er efter Danske Advokaters opfattelse et retssikkerhedsmæssigt problem, som vi kraftigt vil advare imod.

EU-domstolen har i 3 hovedafgørelser, C-293/12 Digital Rights Ireland fra 2014 (”Digital Rights Ireland”), C-2013/15 og C-698/15 Tele2/Watson fra 2016 (”Tele2”), og C-512/18 La Quadrature Du Net i 2020 (”La Quadrature”) slået fast, at generel og udifferentieret logning strider mod EU-Chartrets grundlæggende rettigheder om art. 7 (retten til privatliv), 8 (beskyttelse af personoplysninger), 11 (retten til ytringsfrihed) og at sådan indgreb går videre, end hvad der kan begrundes under proportionalitetsprincippet i Charterets art. 52, stk. 1.

Se eksempelvis, La Quadrature, præmis 141:

”[…] national lovgivning, der foreskriver generel og udifferentieret lagring af trafikdata og lokaliseringsdata med henblik på bekæmpelse af grov kriminalitet, overskrider det strengt nødvendige og kan i et demokratisk samfund ikke anses for at være begrundet, således som det er påkrævet i henhold til artikel 15, stk. 1, i direktiv 2002/58, sammenholdt med chartrets artikel 7, 8 og 11 samt artikel 52, stk. 1 (jf. i denne retning dom af 21.12.2016, Tele2, C-203/15 og C-698/15, EU:C:2016:970, præmis 107).”

EU-Domstolen udtalte i Tele2, (præmis 108) og La Quadrature (præmis 147), at EU-retten ikke er til hinder for, at en medlemsstat vedtager  lovgivning, der som en forebyggende foranstaltning muliggør en målrettet lagring af trafikdata og lokaliseringsdata med henblik på bekæmpelse af grov kriminalitet eller for at forhindre en alvorlig fare for den offentlige sikkerhed, forudsat at lagringen af disse data begrænses til det strengt nødvendige for så vidt angår kategorierne af data, der skal lagres, de omhandlede kommunikationsmidler, de berørte personer og den fastsatte varighed af lagringen. Endvidere (præmis 111), at sådan logning skal være baseret på objektive forhold der gør det muligt at fokusere målrettet på en personkreds, hvis data kan afsløre en forbindelse, i det mindste indirekte, til grov kriminalitet, bidrage til bekæmpelse af grov kriminalitet på den ene eller den anden måde eller forhindre en alvorlig fare for den offentlige sikkerhed.

Målrettet logning kan således indføres under iagttagelse af særlige krav.

La Quadrature introducerede en begrænset undtagelse for kvalificeret trussel mod national sikkerhed, hvor hensynet til en kvalificeret trussel mod national sikkerhed i visse – afgrænsede – tilfælde kan begrunde et generelt og udifferentieret logningspåbud.

Domstolen udtaler, at følgende omstændigheder skal være til stede, før der er tale om en kvalificeret trussel mod den nationale sikkerhed.  Først når disse kvalificerende omstændigheder foreligger, aktualiseres muligheden for en generel og udifferentieret logning, jf. præmis 137:

Der er tilstrækkelige og konkrete omstændigheder, som indikerer, at

1. en medlemsstat står overfor en alvorlig fare for den offentlige sikkerhed, og
2. denne fare er reel, aktuel eller forudsigelig.

Der er derudover 5 kumulative krav:

1. Ethvert påbud om at foretage forebyggende logning skal ”tidsmæssigt begrænses til det strengt nødvendige”, jf. præmis 138.
2. Varigheden af hvert enkelt påbud må ikke ”overstige et forudsigeligt tidsrum” og lagringen må under alle omstændigheder ikke have ”systematisk karakter”, jf. præmis 138.
3. Lagring af data skal være ”omfattet af begrænsninger og underlagt strenge garantier, der gør det muligt effektivt at beskytte personers personoplysninger mod risikoen for misbrug”, jf. præmis 138.
4. Logningen skal ”rent faktisk begrænses til de situationer, hvor der foreligger en trussel mod den nationale sikkerhed”, jf. præmis 139.
5. En afgørelse, hvorved udbydere pålægges en logningsforpligtelse skal kunne gøres til genstand for ”[…] en effektiv prøvelse enten ved en domstol eller en uafhængig administrativ enhed, der træffer bindende afgørelser, med henblik på at kontrollere, om en af disse situationer foreligger, samt om de betingelser og garantier, der skal være fastsat, er overholdt”, jf. præmis 139.

EU-Domstolen fastlægger således klare, stringente og kumulative betingelser for lovligheden af et påbud om generel og udifferentieret logning. Det er med andre ord ikke i sig selv tilstrækkeligt, at en medlemsstat kan sandsynliggøre eller sågar påvise en kvalificeret trussel mod den nationale sikkerhed.

Med Lovforslaget introducerer Ministeriet de to former for logning:

1. Målrettet logning
2. Generel og udifferentieret logning.

Lovforslaget er opbygget således, at udgangspunktet er målrettet logning, mens generel og udifferentieret logning er undtagelsen.

Danske Advokater mener imidlertid, at udformningen af Lovforslaget indebærer en væsentlig risiko for, at realiteten omvendt bliver, således at generel og udifferentieret logning bliver hovedreglen. Det er blandt andet tilfældet idet:

1. La Quadrature undtagelsen for generel og udifferentieret logning anvendes udover sine rammer og medfører en fortsættelse af den status quo, der netop er underkendt af EU-domstolen i de afsagte domme;
2. Den målrettede logning er så bred, at der kan sås væsentlig tvivl om, hvorvidt målretningen i sig selv eller de enkelte målrettede logningstemaer tilsammen er så omfattende, at de reelt udgør generel og udifferentieret logning.

Den begrænsede undtagelse om generel og udifferentieret logning

Ministeriet lægger op til, at der ved en reel, aktuel eller forudsigelig alvorlig trussel mod den nationale sikkerhed kan iværksættes generel og udifferentieret logning ved bekendtgørelse for en periode på 1 år ad gangen, jf. Lovforslagets § 786 e.

Ministeriet angiver, at vurderingen af en alvorlig trussel mod den nationale sikkerhed kan omfatte:

1. Antallet og karakteren af verserende eller afgjorte straffesager om overtrædelse af straffelovens kapitel 12 og 13 (Lovforslaget s. 55).
2. ”Vurderingen af Terrortruslen mod Danmark” (VTD), som årligt udarbejdes af Center for Terroranalyse (СТА).
3. En række andre uklassificerede analyseprodukter udgivet af Politiets Efterretningstjeneste, Forsvarets Efterretningstjeneste eller Center for Cybersikkerhed. Det kunne f.eks. være Center for Cybersikkerheds årlige ”Trusselsvurdering 2020: Cybertruslen mod Danmark”, men også andre relevante trusselsvurderinger vil kunne indgå. (Lovforslagets s. 58).

Vurderingen af, om der foreligger en alvorlig trussel mod den nationale sikkerhed vil skulle foretages regelmæssigt (Lovforslagets s. 58).

CTA har i VTD’en vurderet truslen som alvorlig mod den nationale sikkerhed i hele perioden 2014-2020. Det samme har været tilfældet for Center for Cybersikkerheds årlige Trusselsvurdering.

Beslutningskompetencen ligger hos Justitsministeriet efter forhandling med erhvervsministeren, der kan iværksætte den generelle og udifferentierede logning udenom Folketinget.

Beslutningen om at overgå til/fastholde generel og udifferentieret logning er ikke underlagt automatisk domstolskontrol. Ministeriet har angivet, at beslutningen efterfølgende kan prøves ved domstolen efter Grundlovens § 63, idet de klassificerede oplysninger, der indgår i vurderingen af, om der er tale om en alvorlig trussel mod den nationale sikkerhed dog ikke kan indgå (Lovforslaget s. 84).  Det fremgår i den forbindelse af Lovforslaget, at der derfor vil være en risiko for, at retten vurderer, at de oplysninger, der er fremlagt under sagens behandling, ikke er tilstrækkelige til at vurdere, om f.eks. betingelserne for at foretage generel og udifferentieret registrering og opbevaring af trafikdata er opfyldt.

Denne manglende transparens og manglende retslige eller parlamentarisk prøvelse udgør en risiko for – eller i hvert fald manglende indsigt i – om der sker indførelse af generel og udifferentieret logning på et unødvendigt/retsstridigt grundlag.

Ministeriets bemærkninger i Lovforslaget s. 84 giver anledning til bekymring for, at udgangspunktet bliver generel og udifferentieret logning, medmindre domstolen ved en sag anlagt af private med begrænset indsigt i grundlaget for vurderingen af ”alvorlig trussel mod den nationale sikkerhed” skulle komme frem til det modsatte. I så henseende kan målrettet logning iværksættes.

”Såfremt retten under en sag måtte komme frem til, at betingelserne for en generel og udifferentieret registrering og opbevaring af trafikdata ikke er opfyldt, vil dette ikke være til hinder for, at den med lovforslaget foreslåede ordning for målrettet registrering og opbevaring af trafikdata iværksættes i muligt omfang, jf. pkt. 3.1.3.4.”

Ministeriet angiver det også selv mere direkte i Lovforslagets s. 15:

”Målrettet registrering og opbevaring af trafikdata vil være udgangspunktet, når der ikke foreligger en alvorlig trussel mod den nationale sikkerhed, som må anses for at være reel og aktuel eller forudsigelig.”

Tilgangen synes at stride mod EU-domstolens afgørelse i La Quadrature (præmis 139) om, at

”en afgørelse, hvorved udbydere pålægges en logningsforpligtelse skal kunne gøres til genstand for ”[…] en effektiv prøvelse enten ved en domstol eller en uafhængig administrativ enhed, der træffer bindende afgørelser, med henblik på at kontrollere, om en af disse situationer foreligger, samt om de betingelser og garantier, der skal være fastsat, er overholdt”.

Danske Advokater anbefaler i den forbindelse, at der indføres krav om i) mandat fra Folketinget, og ii) domstolsprøvelse ved iværksættelse, eller iii) tilsyn fra en uafhængig administrativ myndighed.

Ad varighed

EU-domstolen har anført (præmis 139), at en La Quadrature ordning bør ”tidsmæssigt begrænses til det strengt nødvendige”. Ministeriet har fastlagt en periode på op til 1 år ad gangen, idet den konkrete varighed skal vurderes fra gang til gang, og kan reduceres, hvis truslen aftager. Perioden kan endvidere forlænges i op til 1 år ad gangen. Hvorvidt varigheden kan holdes til ”det strengt nødvendige” må i høj grad afhænge af Ministeriets administration heraf. Løbende 1-årige forlængelser, vil dog ikke være forenelig med EU-rettens forbud mod generel og udifferentieret logning.

 Ad formålsforskydning

Der er ikke kongruens mellem det, der kan udløse en pligt til at foretage generel og udifferentieret logning (i.e. at Danmark "står over for en alvorlig trussel mod den nationale sikkerhed, som må anses for at være reel og aktuel eller forudsigelig", jf. § 786 e), og det at der kan ske udlevering af de pågældende oplysninger for (i.e. "hvis efterforskningen angår en lovovertrædelse, som efter loven kan straffes med fængsel i 3 år eller derover eller en lovovertrædelse, som kan medføre strafforhøjelse efter straffelovens § 81 a", jf. § 781 a)

Dertil kommer, at det i forlængelse heraf foreslås, at oplysninger, der er registreret og opbevaret som følge af en pligt til generel og udifferentieret registrering og opbevaring, vil skulle opbevares i 1 år fra registreringstidspunktet, også efter overgangen til målrettet registrering og opbevaring (Lovforslaget s. 60). Oplysninger registreret og opbevaret som følge af en pligt til generel og udifferentieret registrering og opbevaring, der er indhentet af Politiet og anklagemyndigheden inden opbevaringsperioden for de pågældende oplysninger er udløbet, vil også efter udløbet af opbevaringsperioden kunne anvendes i efterforskningen og som bevis i straffesager.

Sådan formålsforskydning synes at være uforenelig med EU-retten, såvel som persondataretten, eks. GDPR art 5. Ministeriet kategoriserer da også selv dette som en ”væsentlig procesrisiko” (Lovforslaget s. 106).

Danske Advokater anbefaler, at formålsforskydningen slettes, og at de pågældende oplysninger tilsvarende slettes, eller "vaskes" igennem kravene til målrettet logning, hvis en sådan er i kraft parallelt med den generelle og udifferentierede logning.

Målrettet logning

Ad geografisk afgrænset målrettet logning

Lovforslaget indebærer mulighed for målrettet geografisk logning efter § 786c, stk. 1 i 3x3 km’s zoner, hvor:

1. antallet af anmeldelser af lovovertrædelser begået i området, som efter loven kan straffes med fængsel i 3 år eller derover, forsætlige overtrædelser af straffelovens kapitel 12 eller 13, overtrædelser afstraffelovens § 124, stk. 2, § 125, § 127, stk. 1, § 235, § 266 eller § 281, overtrædelser af udlændingelovens § 59, stk. 8, nr. 1-5, krænkelser eller overtrædelser som omfattet af § 781, stk. 2 eller 3, udgør mindst 1,5 gange landsgennemsnittet opgjort som gennemsnit over de seneste 3 år, eller
2. antallet af beboere dømt for lovovertrædelser, som efter loven kan straffes med fængsel i 3 år eller derover, forsætlige overtrædelser af straffelovens kapitel 12 eller 13, overtrædelser af straffelovens § 124, stk. 2, § 125, § 127, stk. 1, § 235, § 266 eller § 281, overtrædelser af udlændingelovens § 59, stk. 8, nr. 1-5, krænkelser eller overtrædelser som omfattet af § 781, stk. 2 eller 3, eller som er dømt efter straffelovens § 81 a, udgør mindst 1,5 gange landsgennemsnittet opgjort som gennemsnit over de seneste 3 år.

Indledningsvis bemærkes det, at de opstillede krav vil kunne medføre logning af store persongrupper, der ikke har tilknytning til udførelse af grov kriminalitet. Områdernes fastlæggelse vil have afgørende betydning for, hvem der konkret rammes af logning.

Området for geografisk logning kan demografisk set være endog meget stort. Der er uklart, om Lovforslaget i den nuværende form indebærer, at logning kan ske med udgangspunkt i et nedslag i et konkret område, eks. den absolut yderligste del af Christiania. I givet fald vil det indebære, at der kan/skal logges i et større område - eksempelvis helt til Østerbro – eller om nedslagspunktet pr. automatik vil placeres centralt i et givent område.

Endvidere vil tyndt befolkede områder risikere at kunne opfylde kravene uden at overskridelsen af landsgennemsnittet reelt er statistisk signifikant.

Danske Advokater anbefaler, at reglerne genovervejes med henblik på at sikre klare kriterier for hvordan og med hvilket geografiske nedslagspunkter de anførte 3x3 km. fastlægges.

Området for den målrettede geografiske logning kan endvidere ved pålæg de facto udvides endnu mere. Det er tilfældet, idet ”afhængig af den konkrete forbindelse til grov kriminalitet kan det udtrækkes f.eks. til en hel bydel eller en landsdel” (Lovforslaget s. 44). Ligesom samtidige zoner på 3x3 km hurtigt kan udstrækkes til det meste af København.

Derudover er der markante praktiske udfordringer for teleudbyderne med at indramme den pågældende zone. Det er tilfældet, idet antennernes (cellernes) rækkevidde udbredes i "cirkler", således at området i realiteten vil blive meget større. Ministeriet anerkender da også ”at det ikke er muligt at frasortere data inden for de enkelte cellers rækkevidde, som stammer fra telefoner, der reelt har befundet sig uden for de udpegede områder” (Lovforslagets s. 52).

Det fremgår imidlertid af Lovforslaget, at:

”Er dette tilfældet, vil de oplysninger, der registreres og opbevares, være omfattet af den målrettede geografiske registrering og opbevaring. Det betyder, at Politiet og anklagemyndigheden vil kunne få adgang til disse trafikdata, og at disse oplysninger på samme vis som øvrige oplysninger, der registreres og opbevares som følge af en af de foreslåede registrerings- og opbevaringspligter, kan anvendes i efterforskninger og som bevis i straffesager” (s. 52)

Sådan formålsforskydning vil også være problematisk i henhold til EU-domstolens krav om, at relatere logningen til det ”strengt nødvendige”, ligesom det kan være persondataretligt problematisk i medfør af GDPR, art. 5.

Efter § 786c, stk. 2 kan der også iværksættes målrettet logning af særligt sikringskritiske områder, såsom kongehusets residenser, Christiansborg Slot, statsministerboligen Marienborg, ambassader, politiets ejendomme, kriminalforsorgens institutioner, bro-, tunnel- og færgeforbindelser, trafikknudepunkter og større indfaldsveje, grænseovergange, busterminaler, fjernbanestationer, stationer på bybaner, militære områder, kolonne 3-virksomheder og offentligt godkendte flyvepladser.

Samlet efterlader det en risiko for, at det meste af København, Aarhus og Odense kan blive underlagt målrettet logning. Hvilket efterlader den risiko, at alternativet til den generelle og udifferentierede logning er ”generel og udifferentieret” logning af store dele af Danmark.

Oversigten over de pågældende geografiske områder vil ikke være offentlig, men det enkelte påbud vil dog være genstand for domstolsprøvelse.

Danske Advokater anbefaler, at det præciseres, at domstolene i deres prøvelse kan lade verserende påbud indgå, herunder om det pågældende påbud alene eller i sammenhæng med verserende påbud, går udover hvad der kan indeholdes indenfor kravene til målrettet logning, henholdsvis forbuddet om generel og udifferentieret logning.

Ad personafgrænset målrettet logning

Danske Advokater anser generelt tilgangen med den personafgrænsede målrettede logning for positiv for at sikre en nærmere forbindelse, i det mindste indirekte, til grov kriminalitet.

Danske Advokater anbefaler, at det præciseres, hvad der forstås ved ”grov kriminalitet”. Hvor der er tale om logning af konkrete straffede personer, bør tærsklen for logning relateres til den konkrete straf, idet der ved nogle overtrædelser af gode grunde er vide rammer for strafudmålingen.

Lovforslaget introducerer endvidere en øget varighed af registreringspligt for de pågældende. Perioden kan, afhængig af overtrædelsens karakter baseret på strafferammen, strækkes fra 3 til 10 år. Det rejser umiddelbart overvejelser omkring, hvorvidt en sådan tilgang er i overensstemmelse med afsoneres grundlæggende rettigheder. Det ligger udenfor DITA’s kompetencer at tage stilling til foreneligheden heraf, men DITA og Danske Advokater støtter Ministeriets høring af synspunkter på området fra relevante organisationer med kompetencer indenfor området.

Edition

Danske Advokater støtter, at reglerne for udlevering af indsamlede og opbevarede logningsdata i høj grad sidestilles med indgreb i meddelelseshemmeligheden, såvel som for edition, jf. § 806, stk. 10.

Udbyderbegrebet

Lovforslaget introducerer et nyt udbyderbegreb under logningsreglerne, således at reglerne om målrettet logning alene gælder for ”udbydere, som med et kommercielt formål udbyder elektroniske kommunikationsnet eller -tjenester som sin hovedydelse eller som en ikke-accessorisk del af virksomheden”, jf. § eks. 786 b. Hermed undtages de virksomheder, der har givet anledning til diskussioner omkring logningsforpligtelsen for campingpladser, hotel og konferencefaciliteter og udbydere af wifi hotspot. Det nye udbyderbegreb svarer reelt til begrebet "erhvervsmæssige udbydere", som defineret i teleloven.

Det brede udbyderbegreb ”udbydere af elektroniske kommunikationsnet eller -tjenester”, der også omfatter udbydere såsom campingpladser, hotel og konferencefaciliteter og udbydere af wifi hotspot finder imidlertid stadig anvendelse for så vidt angår den generelle og udifferentierede logning ved ”alvorlig trussel” mod den nationale sikkerhed, jf. § 786 e.

Det nye udbyderbegreb sondrer ikke mellem udbud af teleydelser på henholdsvis engros- og detailbasis. De gældende logningsregler har udbydere til slutbrugere som pligtsubjekt. Ved ikke at tage dette led med i afgrænsningen spredes forpligtelsen ud på en række aktører, som ikke har kundeforhold og dublerer dermed reelt forpligtelsen til flere teleselskaber.

I Lovforslaget er det, som i dag, ganske vist anført, at "hvis de omfattede oplysninger kan registreres af flere udbydere, skal oplysningerne registreres og opbevares af mindst én af udbyderne", men for at denne begrænsning skal kunne bruges, vil det kræve, at der imellem operatørerne kan træffes aftaler.  

Dertil kommer, at der ikke, som i de nuværende logningsregler, omtales muligheden for outsourcing til eksempelvis en netoperatør (MNO) således, at tjenesteudbydere (service providere) ikke forpligtes til at etablere egne funktioner, hvad de i mange henseender ikke vil være i stand til.

Endelig er det med til at skabe forvirring, at det anføres, at "anmodning om adgang til registrerings- og opbevaringspligtige oplysninger vil efter den foreslåede bestemmelse skulle rettes til den dataansvarlige udbyder". Danske Advokater formoder, at der herved sigtes til den registrerende udbyder.

Lovforslaget lægger op til, at de relevante udbydere skal iværksætte omfattende tekniske og praktiske foranstaltninger, som Ministeriet har anslået til 206 mio. kr. i omstillingsomkostninger og 107 mio. kr. i årlige administrationsomkostninger for udbyderne og tilsvarende ca. 200 mio. kr. for myndighederne.

Udbyderne får adgang til væsentlige persondata for at kunne iværksætte målrettet logning af personer, såvel som geografiske områder. Det er tale om oplysninger om enkeltpersoners strafbare forhold eller relationer til strafbare personer. Det er uklart, hvordan det praktisk kan/skal håndteres hos udbyderne. Dette bør overvejes særdeles grundigt, idet der er tale om potentielle databaser, der udgør en art strafferegister for personer med grove straffe. Sådanne databaser, som må anses for særligt fortrolige og genstand for øget sikkerhed skal herefter håndteres af private virksomheder.

Ministeriet udstrækker udbyderbegrebet til det yderste ved at lade alt fra netværksejere til campingpladser og hoteller være omfattet.

Størstedelen af udbyderne ligger imidlertid i den store mellemgruppe af udbydere med elektroniske kommunikationstjenester som sit hovederhverv, men med en begrænset størrelse. I Danmark er der en omfattende mængde af udbydere i SMV-størrelsen, såvel som internationale aktører med et salgskontor i Danmark. Der er måske tale om anslået mellem 50-100 udbydere. Der lægges op til, at de på samme måde skal håndtere disse persondata, sikkerheden heromkring og opdateringen heraf. Det forudsætter et højt sikkerhedsniveau og systemer i et omfangs, der ikke ses tilgængeligt i dag. Risici i den forbindelse omfatter sikkerhedsrisici for de pågældende persondata, såvel som et fravalg af at være på det danske marked, og deraf mangel på innovation og konkurrence på markedet.

I dag skal de udbydere, der håndterer logningsdata også sikkerhedsgodkendes. Det er PET, der foretager sikkerhedsgodkendelsen. I praksis kan sådan sikkerhedsgodkendelse kun ske af dansk bosiddende personer. Varigheden af processen for at opnå sikkerhedsgodkendelse er uklar, men perioden anslås i praksis til at udgøre mellem til 3-12 måneder.

I dag håndteres dette ofte ved at outsource det sikkerhedsgodkendte kontaktpunkt, eller ved at PET meddeler, at sådan sikkerhedsgodkendelse først sker, hvis der anmodes om indgreb i meddelelsen. Det sidste giver ikke mening, men er omvendt ofte forekommende i praksis. Det er også en tilgang, der reflekterer, at det i praksis alene er netværksejerne, og/eller de helt store udbydere, der modtager kendelser om indgreb i meddelelseshemmeligheden fra politiet, herunder idet netværksejerne vil have adgang til de fleste (om ikke alle) data.

Danske Advokater anbefaler, at udbyderbegrebet for al logning (målrettet såvel som generel) begrænses yderligere til kun at gælde for de udbydere, der udbyder til slutbrugere (eller anden tilsvarende begrænsning, som sikrer mod dublering af forpligtelserne), og at det yderligere kvalificeres til at angå udbydere af en særlig størrelse (eks. baseret på antal abonnenter), og at der endvidere gives mulighed for outsourcing af logningsforpligtelsen, herunder det døgnbetjente kontaktpunkt.

Danske Advokater anbefaler, at det overvejes meget grundigt, hvordan og i hvilket omfang udbyderne får kendskab og adgang til baggrunden for den målrettede logning ud fra et persondataretligt og informationssikkerhedsmæssigt perspektiv.

Danske Advokater anbefaler, at processen for sikkerhedsgodkendelse af de relevante medarbejdere effektiviseres i tid og proces. Endeligt anbefales det, processens transparens øges i det omfang det sikkerhedsmæssigt tillades.  

Systemtekniske udfordringer

Ministeriet anslår, at myndighedernes omstilling til målrettet logning kræver udvikling af it-mæssig understøttelse.

Omstillingen forudsætter videre en analyse af it-systemer på tværs af flere myndigheder, der først vil foreligge i 2023. Først herefter vil Rigspolitiet kunne skønne, hvordan og hvornår sådan it-understøttelse kan være klar (Lovforslaget s. 53).

I den mellemliggende periode, hvilket som absolut minimum må blive 1 år før ”Rigspolitiets it-løsning m.v. er etableret og klar til at blive sat i drift – vil [Ministeriet] kunne fastsætte nærmere regler om registrering og opbevaring af trafikdata for så vidt angår den foreslåede ordning med målrettet personbestemt registrering og opbevaring af trafikdata. Det forudsættes, at bemyndigelsen udnyttes til at fastsætte regler om bl.a. politiets adgang til at pålægge registrering og opbevaring af trafikdata baseret på politiets konkrete anmodninger. Der lægges i den forbindelse ikke op til at bemyndige justitsministeren til at fastsætte andre betingelser for den målrettede registrering og opbevaring af trafikdata end dem, som fremgår af de foreslåede §§ 786 b og 786 d i retsplejeloven”, (Lovforslagets side 53).

Der er således lagt op til at introducere en logningsordning, der tilsyneladende har været på vej i mere end 10 år, jf. de løbende historiske revisioner, som fremlægges som lovforslag i november og påtænkes (haste) behandlet til ikrafttrædelse 1. januar, men som først kan iværksættes i praksis minimum 1 år efter ikrafttrædelsen. Etablering af målrettet logning indebærer væsentlige praktiske udfordringer, behandling af personoplysninger, sikkerhedsmæssige risici og i øvrigt under en ramme, der berører borgernes grundlæggende rettigheder. I det lys, virker det påfaldende, at nye regler skal hastes igennem, for kun at blive erstattet af en praktisk overgangsordning af en længere varighed, hvor hverken myndigheder eller udbydere er klar til at overholde reglerne. Ministeriet anfører selv:

”Det bemærkes, at udmøntningen af de foreslåede regler om målrettet personbestemt og geografisk registrering og opbevaring vil være forbundet med en risiko for eventuelle fejl enten i form af, at der registreres og opbevares oplysninger om personer eller områder, der ikke er omfattet af den foreslåede ordning, eller i form af, at der ikke registreres oplysninger for alle personer eller områder, der er omfattet af ordningen. Det skyldes bl.a., at udmøntningen vil være afhængig af en række ældre it-systemer og overbygninger herpå. Der vil også være risiko for fejl i overgangsperioden, hvor der vil være tale om at udmønte reglerne i en manuel løsning.” (Lovforslaget s. 53)

Dette er endvidere kun de systemtekniske udfordringer, som Lovforslaget rejser på myndighedssiden.

Der er lige så store, hvis ikke flere, tekniske implementeringsbehov og udfordringer på udbydersiden. I den mellemliggende periode, vil udbyderne tilsvarende skulle håndtere at modtage oplysninger fra myndighederne og udlevere oplysninger på en midlertidig manuel måde. Dette virker hverken sikkert eller proportionelt i forhold til at varetage borgernes personoplysninger og iagttage deres grundlæggende rettigheder til privatliv på en proportionel og sikker måde.

* * *

Som anført i indledningen finder Danske Advokater, at arbejdet med ændringen af logningsreglerne meget værdifuldt, og Danske Advokater håber, at Ministeriet finder dette høringsnotat brugbart for at arbejde yderligere med revisionen af Lovforslaget. Danske Advokater, herunder vores fagudvalg for it-ret, stiller i den forbindelse gerne op i forhold til en uddybning af elementerne i høringssvaret.

Med venlig hilsen

Danielle Løw                                                                Julie Bak-Larsen

Juridisk konsulent                                                         Advokat

Danske Advokater Fagudvalget for it-ret                      Danske IT-Advokater                                      

Herunder fremgår en ikke udtømmende liste over Danske Advokaters anbefaling:

Danske Advokater anbefaler, at der ved beslutning om at overgå til/fastholde generel og udifferentieret logning indføres krav om i) mandat fra Folketinget, og ii) domstolsprøvelse ved iværksættelse, eller iii) tilsyn fra en uafhængig administrativ myndighed.

Danske Advokater anbefaler, at formålsforskydningen slettes, og at de pågældende oplysninger tilsvarende slettes, eller "vaskes" igennem kravene til målrettet logning, hvis en sådan er i kraft parallelt med den generelle og udifferentierede logning.

Danske Advokater anbefaler, at reglerne genovervejes med henblik på at sikre klare kriterier for hvordan og med hvilket geografiske nedslagspunkter de anførte 3x3 km. fastlægges.

Danske Advokater anbefaler, at det præciseres, at domstolene i deres prøvelse kan lade verserende påbud indgå, herunder om det pågældende påbud alene eller i sammenhæng med verserende påbud, går udover hvad der kan indeholdes indenfor kravene til målrettet logning, henholdsvis forbuddet om generel og udifferentieret logning.

Danske Advokater anbefaler, at det præciseres, hvad der forstås ved ”grov kriminalitet”. Hvor der er tale om logning af konkrete straffede personer, bør tærsklen for logning relateres til den konkrete straf, idet der ved nogle overtrædelser af gode grunde er vide rammer for strafudmålingen.

Danske Advokater anbefaler, at udbyderbegrebet for al logning (målrettet såvel som generel) begrænses yderligere til kun at gælde for de udbydere, der udbyder til slutbrugere (eller anden tilsvarende begrænsning, som sikrer mod dublering af forpligtelserne), og at det yderligere kvalificeres til at angå udbydere af en særlig størrelse (eks. baseret på antal abonnenter), og at der endvidere gives mulighed for outsourcing af logningsforpligtelsen, herunder det døgnbetjente kontaktpunkt.

Danske Advokater anbefaler, at det overvejes meget grundigt, hvordan og i hvilket omfang udbyderne får kendskab og adgang til baggrunden for den målrettede logning ud fra et persondataretligt og informationssikkerhedsmæssigt perspektiv.

Danske Advokater anbefaler, at processen for sikkerhedsgodkendelse af de relevante medarbejdere effektiviseres i tid og proces. Endeligt anbefales det, processens transparens øges i det omfang det sikkerhedsmæssigt tillades.