Søg Close search

HjemNye regler om logning af teledata

Nye regler om logning af teledata

11. april 2022

Den 30. marts 2022 kl. 12.00 trådte de nye regler om bl.a. logning af trafikdata i kraft. Reglerne medfører en række væsentlige ændringer på området og kommer i kølvandet på flere EU-afgørelser, der har skabt omfattende debat om såvel den hidtidige som den nye retsstilling. Dette gælder senest EU-Domstolens afgørelse den 5. april 2022 i Garda Siochána-dommen, som allerede har udfordret de nye reglers forenelighed med EU-retten. I dette nyhedsbrev gives et grundigt overblik over de nye regler samt nogle bemærkninger om forholdet til EU-retten.

Siden 2006 har danske teleudbydere været forpligtede til at registrere og opbevare oplysninger om alle trafikdata i forbindelse med deres udbud af telenet eller -tjenester, såkaldt logning. De loggede oplysninger anvendes ofte i forbindelse med politiets og anklagemyndighedens efterforskning og strafforfølgning af kriminalitet.

En række domme fra EU-Domstolen har imidlertid sat spørgsmålstegn ved, om de danske regler er i overensstemmelse med EU-retten, herunder særligt efter Domstolens afgørelser i Tele2-dommen og La Quadrature du Net-dommen (se vores tidligere nyhedsbrev her). Med henvisning til blandt andet EU-Chartret konkluderede Domstolen således, at EU-retten som udgangspunkt er til hinder for, at der pålægges en pligt til generel og udifferentieret logning af samtlige borgeres trafikdata – som logningsbekendtgørelsen siden 2006 har pålagt teleudbydere i Danmark.

Retsstillingen i Danmark har som følge heraf i en årrække været politisk og juridisk omstridt, men debatten er foreløbigt kulmineret med Folketingets vedtagelse af lov nr. 291 af 8. marts 2022, der ved en ændring af retsplejeloven indførte nye regler om blandt andet logning. Reglerne trådte ved bekendtgørelse i kraft den 30. marts 2022 kl. 12.00 samtidig med, at Højesteret afsagde dom i den såkaldte logningssag, hvor Højesteret ikke fandt grundlag for at fastslå, at logningsbekendtgørelsen helt generelt var ugyldig/uanvendelig. Med de nye regler er logningsbekendtgørelsen nu ophævet.

Overblik over de nye logningsgrundlag

I modsætning til de hidtidige regler i logningsbekendtgørelsen, der pålagde teleudbydere en ubetinget pligt til generel og udifferentieret logning af samtlige trafikdata, medfører de nye regler, at logning fremover kan ske på varierende retligt grundlag, der strækker sig fra målrettet personbestemt logning, over geografisk målrettet logning til generel og udifferentieret logning, når dette er begrundet i hensyn til den nationale sikkerhed.

Fælles for de nye logningsgrundlag er et udgangspunkt fra EU-retten om, at logning skal ske på målrettet grundlag på baggrund af objektive kriterier, og at logningen skal begrænses til det strengt nødvendige samt overholde proportionalitetskrav. I tråd hermed er det et fælles kendetegn, at logning endvidere kun må ske af hensyn til at bekæmpe grov kriminalitet, herunder beskyttelse af den nationale sikkerhed. På lignende vis må de loggede oplysninger alene tilgås af politiet til brug for samme formål og som nærmere beskrevet nedenfor.

Ved grov kriminalitet forstås i den forbindelse navnlig lovovertrædelser, der kan straffes med fængsel i tre år eller derover (eksempelvis simpel vold, frihedsberøvelse og brugstyveri af motorkøretøjer). Derudover omfattes (i) forsætlige overtrædelser af straffelovens kapitel 12 eller 13 om landsforræderi, terrorisme og andre forbrydelser mod statens sikkerhed mv., (ii) overtrædelser af visse straffelovsbestemmelser vedrørende unddragelse af strafforfølgning eller værnepligt, udbredelse og besiddelse af børneporno, alvorlige trusler og afpresning, (iii) visse overtrædelser af udlændingeloven vedrørende forsætlig bistand med ulovligt ophold, indrejse og lignende, (iv) visse overtrædelser, der efter gældende ret kan gøres til genstand for indgreb i meddelelseshemmeligheden, så som hacking, stalking og markedsmanipulation, og (v) forbrydelser relateret til væbnede bandekonflikter og lignende.

Som hidtil er udgangspunktet for alle typer af logning fortsat, at teleudbyderne skal opbevare de loggede oplysninger i ét år fra registreringstidspunktet, mens perioden, hvor registreringen skal foretages, fremover vil afhænge af det enkelte logningsgrundlag, som det fremgår af tabellen nedenfor. Som det ses af tabellen kan logning i en række tilfælde pålægges uden retskendelse, eftersom kriterierne for at meddele pålæg er objektivt konstaterbare. Hvor retskendelse er nødvendig, vil domstolene – ligesom for indgreb i meddelelseshemmeligheden – skulle sikre, at pålægget er proportionelt.

I overbliksform er de nye logningsgrundlag følgende:

Logning af Grundlag Registreringsperiode

Målrettet personbestemt logning

Personer dømt for grov kriminalitet Pålæg fra Rigspolitiet til teleselskaberne uden retskendelse 3, 5 eller 10 år afhængig af lovovertrædelsen, som personen er dømt for – begyndelsestidspunktet vil afhænge af afsoningsformen
Personer eller kommunikationsapparater der har været genstand for visse indgreb i meddelelseshemmeligheden (telefonaflytning eller teleoplysning) Pålæg fra Rigspolitiet til teleselskaberne uden retskendelse 1 år fra indgrebets afslutning
Personer eller kommunikationsapparater efter konkret begrundede pålæg, når politiet har grund til at antage, at der er en direkte eller indirekte forbindelse til grov kriminalitet (eksempelvis ved mistanke om planlægning af kriminalitet eller personer med forbindelse til bandemiljøer) Ved retskendelse, idet politiet vil kunne meddele pålæg, hvis øjemedet ville forspildes, mens retskendelse afventes Fastsættes konkret ved rettens kendelse – perioden skal være så kort som muligt og må ikke overstige 6 måneder ad gangen

Målrettet geografisk bestemt logning

Områder på 3 km x 3 km, hvor antallet af anmeldelser om grov kriminalitet udgør mindst 1,5 gange landsgennemsnittet opgjort som gennemsnittet over de seneste 3 år (områder med forhøjet risiko for, at der planlægges eller begås grov kriminalitet) Pålæg fra Rigspolitiet til teleselskaberne uden retskendelse – forventeligt én gang årligt Antages at ville være gældende for et område, så længe det omfattes af et pålæg
Områder på 3 km x 3 km, hvor antallet af beboere dømt for grov kriminalitet udgør mindst 1,5 gange landsgennemsnittet opgjort som gennemsnittet over de seneste 3 år (områder med forhøjet risiko for, at der planlægges eller begås grov kriminalitet) Pålæg fra Rigspolitiet til teleselskaberne uden retskendelse – forventeligt én gang årligt Antages at ville være gældende for et område, så længe det omfattes af et pålæg
Områder, der vurderes at være særligt sikringskritiske – eksempelvis Christiansborg Slot, ambassader, trafikknudepunkter, lufthavne og grænseovergange (områder med forhøjet risiko for, at der planlægges eller begås grov kriminalitet) Pålæg fra Rigspolitiet til teleselskaberne uden retskendelse – forventeligt én gang årligt Antages at ville være gældende for et område, så længe det omfattes af et pålæg
Områder efter konkret begrundede pålæg, når politiet har grund til at antage, at der er en direkte eller indirekte forbindelse til grov kriminalitet (eksempelvis områder, hvor der for nyligt er eller forventes at blive begået grov kriminalitet) Ved retskendelse, idet politiet vil kunne meddele pålæg, hvis øjemedet ville forspildes, mens retskendelse afventes Fastsættes konkret ved rettens kendelse – perioden skal være så kort som muligt og må ikke overstige 6 måneder ad gangen

Generel og udifferentieret logning

Nationalt for samtlige trafikdata, der genereres af teleudbyderne Ved bekendtgørelse, når dette kan begrundes i hensyn til den nationale sikkerhed (jf. for tiden bekendtgørelse nr. 381 af 29. marts 2022) Fastsættes ved bekendtgørelse – perioden skal begrænses til det strengt nødvendige og må højst gælde for en periode på ét år ad gangen

Som det fremgår af tabellen ovenfor, er der ved bekendtgørelse fortsat adgang til at pålægge udbyderne en pligt til generel og udifferentieret logning. Denne mulighed følger af EU-Domstolens praksis (som navnlig fastlagt i La Quadrature du Net-dommen) og gælder, hvis der konkret vurderes at foreligge en alvorlig trussel mod den nationale sikkerhed, som må anses for at være reel og aktuel eller forudsigelig. Det forudsættes i den forbindelse, at logningsperioden begrænses til det strengt nødvendige, og at logningen ikke må have en systematisk karakter.

Da der aktuelt vurderes at være en sådan trussel mod den nationale sikkerhed i Danmark, har regeringen benyttet denne undtagelsesmulighed til at udstede bekendtgørelse nr. 381 af 29. marts 2022 (se Justitsministeriets pressemeddelelse her). Fra de nye reglers ikrafftræden – og foreløbigt indtil 29. marts 2023 – vil teleudbyderne i Danmark således fortsat være forpligtede til at logge samtlige trafikdata.

Nærmere om logningspligten

De nye målrettede logningsgrundlag vil stille betydelige krav til både politiet og teleudbyderne, eftersom logningen af trafikdata ikke må gå videre, end det der er grundlag for. Efter reglerne må der således alene ske logning af de rette personer, apparater og/eller områder. I den forbindelse forudsætter lovgrundlaget, at de personbestemte pålæg fra politiet vil være konkrete med hensyn til hvilke personer/apparater, der skal logges (på baggrund af en kobling til den pågældende persons unikke ID, eksempelvis CPR-nummer), mens området for de geografisk bestemte pålæg vil blive fastlagt i samspil mellem myndighederne og teleudbyderne (udpegning af relevante master mv.). Den betydelige it-systemunderstøttelse, som vil være nødvendig for denne målrettede logning, forventes ligeledes at blive tilvejebragt i et samarbejde mellem politiet og telebranchen.

Som nævnt ovenfor gælder der fra de nye reglers ikrafttræden fortsat en forpligtelse til generel og udifferentieret logning af hensyn til den nationale sikkerhed. Reglerne forudsætter imidlertid, at teleudbyderne med kort varsel vil kunne overgå til målrettet logning, og det er derfor nødvendigt for telebranchen allerede nu at forberede sig herpå.

Omfanget af de logningspligtige oplysninger er som udgangspunkt det samme som hidtil og omfatter såkaldt teletrafik (trafikdata), der overordnet set dækker over hvilke enheder/hvem, der har kommunikeret, samt hvornår og hvor (lokaliseringsdata) kommunikationen er sket. Derimod omfattes eksempelvis ikke lokaliseringsdata i forbindelse med internetforbrug og fra tændte telefoner, der ikke anvendes aktivt, ligesom trafikdata om fastnettelefoni, herunder IP-telefoni, ikke vil være omfattet af den geografisk bestemte logning. Yderligere gælder, at oplysningerne alene vil være logningspligtige, i det omfang de rent faktisk genereres (om end kun kortvarigt) af den pågældende udbyder – der er med andre ord ikke en pligt til at indrette systemer mv. sådan, at alle trafikdata kan genereres med henblik på logning, hvis dette ikke sker i forvejen.

Henset til oplysningernes karakter og af hensyn til politiets efterforskningsmuligheder vil såvel pålæg om målrettet logning som de loggede oplysninger som udgangspunkt være underlagt strenge fortrolighedskrav (uanset eventuelle oplysnings- og indsigtsforpligtelser i anden lovgivning som for eksempel databeskyttelsesforordningen), ligesom oplysningerne herom er undtaget fra regler om aktindsigt mv. og kun må behandles af sikkerhedsgodkendte ansatte hos udbyderne. Tavshedspligten gælder dog ikke for lovbestemte tilsyn, eksempelvis Erhvervsstyrelsens tilsyn efter teleloven.

De nye regler gælder for alle udbydere, som dette begreb er defineret i teleloven. Foruden teleselskaberne i gængs forstand omfatter dette enhver, som stiller telenetværk eller -tjenester til rådighed med et kommercielt formål, hvilket blandt andet omfatter eksempelvis hoteller, som stiller internet gratis til rådighed. Som hidtil vil det dog være tilstrækkeligt, at én blandt flere logningspligtige udbydere registrerer og opbevarer oplysningerne, ligesom logningen efter aftale kan foretages af en anden udbyder eller af tredjemand.

De nye regler kan i vidt omfang håndhæves med bødestraf, herunder pligten til straks at iværksætte målrettet logning, når dette pålægges af politiet. Udbyderne har ikke adgang til at foretage en efterprøvelse af, om betingelserne for et pålæg om logning konkret er opfyldt, men kan eksempelvis søge et pålægs udstrækning præciseret. Omvendt følger det klart af forarbejderne til de nye regler, at udbyderne ikke vil være ansvarlige, hvis der i ovensstemmelse med et pålæg er sket logning, som senere måtte vise sig ikke at være lovlig.

Politiets adgang til loggede oplysninger

Politiets adgang til teledata i bred forstand følger navnlig af reglerne om indgreb i meddelseshemmeligheden og om edition. Indgreb i meddelseshemmeligheden sker for teledata ved såkaldt teleoplysning og udvidet teleoplysning, der giver politiet adgang til oplysninger om, hvilke kommunikationsapparater der har kommunikeret med hinanden (dvs. navnlig hvilke telefoner, der har ringet og sms’et sammen mv.), enten møntet på en bestemt telefon/person eller på et bestemt område. Edition benyttes for andre typer af teledata så som lokaliseringsdata (masteoplysninger).

Fælles for politiets adgang til teledata ved indgreb i meddelelseshemmeligheden og edition er, at det som udgangspunkt kræver retskendelse og sker under iagttagelse af proportionalitetskrav og retssikkerhedsmæssige garantier. Derimod har der indtil nu været forskel på, hvilken type af kriminalitet der kunne begrunde adgangen. Mens indgreb i meddelelseshemmeligheden i form af teleoplysning kun kunne ske ved særlige typer af grov kriminalitet (som udgangspunkt lovovertrædelser, der kan straffes med fængsel i seks år eller derover), var der ved edition – og dermed øvrige typer af teledata – adgang til oplysningerne, når blot der var tale om efterforforskning af kriminalitet i al almindelighed, herunder overtrædelser af særlovgivningen der typisk ikke kan straffes med fængsel i mere end to år.

EU-Domstolens praksis har imidlertid gjort det klart, at der for logningspligtige oplysninger – som et spørgsmål om proportionalitet – skal gælde et særligt kriminalitetskrav. Heri ligger blandt andet, at sådanne oplysninger ikke må tilgås af hensyn til bekæmpelse af almindelig kriminalitet, og at adgangen skal forfølge samme hensyn, som i første omgang begrundede logningsforpligtelsen. Årsagen er, at logning af teledata anses for et alvorligt indgreb i privatlivets fred. Indgrebet er derfor også kun tilladeligt, når det kan begrundes i tungtvejende modsatrettede hensyn så som bekæmpelse af alvorlig kriminalitet og beskyttelse af den nationale sikkerhed.

Med de nye regler ensrettes kriminalitetskravene derfor for trafik- og lokaliseringsdata, således at der for både indgreb i meddelelseshemmeligheden og edition skal være tale om grov kriminalitet (efter samme afgrænsning heraf, som gælder for grundlagene for at foretage logning beskrevet ovenfor):

  • Kriminalitetskravet for adgangen til trafik- og lokaliseringsdata ved indgreb i meddelelseshemmeligheden i form af teleoplysning eller udvidet teleoplysning er blevet nedsat, således at navnlig lovovertrædelser, der kan straffes med fængsel i tre år eller derover, omfattes – udgangspunkt var hidtil et krav om seks års fængsel eller mere.
  • Kriminalitetskravet for adgangen til trafik- og lokaliseringsdata ved edition skærpes, således at der fremover gælder et krav om, at adgangen sker for at bekæmpe grov kriminalitet.

 

Kriminalitetskravene gælder for adgangen til trafik- og lokaliseringsdata. Trafikdata skal forstås på samme måde som anført ovenfor om grundlagene for at foretage logning, men kriminalitetskravet vil gælde, uanset om oplysningerne konkret var logningspligtige trafikdata. Lokaliseringsdata er oplysninger om, hvor et apparat befinder eller har befundet sig. Visse lokaliseringsdata vil samtidig være trafikdata, eksempelvis masteoplysninger for en bestemt kommunikation så som et opkald, men begrebet omfatter også oplysninger, der ikke udgør trafikdata, så som lokaliseringsdata i forbindelse med internetforbrug og fra telefoner, der ikke aktivt anvendes. Kendetegnende for sidstnævnte typer af oplysninger er, at de ikke vil være omfattet af en logningspligt, eftersom der ikke er tale om trafikdata. Udbyderne vil dog ofte være i besiddelse af disse oplysninger i korte perioder af kommercielle hensyn så som fakturering og fejlretning i nettet. Når der er tale om trafik- og lokaliseringsdata, vil udbyderne i relation til kriminalitetskravet således ikke være nødsagede til at skulle adskille oplysninger, som konkret er logningspligtige, fra oplysninger som ikke er.

Det følger også af kriminalitetskravet, at trafikdata, der er logget som følge af en pligt til generel og udifferentieret logning af hensyn til den nationale sikkerhed, kan indhentes af politiet, hvis det sker med henblik på at bekæmpe grov kriminalitet. Som nærmere beskrevet nedenfor er dette imidlertid ikke foreneligt med EU-retten.

For øvrige teledata end trafik- og lokaliseringsdata (eksempelvis oplysninger om en slutbrugers adgang til internettet/IP-adresser) medfører de nye regler ingen ændringer, idet der dog for politiets adgang til oplysninger, der identificerer en slutbrugers adgang til telenet- og teletjenester, indføres et almindeligt kriminalitetskrav, således at der fremover kun er adgang til disse oplysninger, når det sker som et led i bekæmpelse af kriminalitet. Efter den hidtidige regel i telelovens § 13 kunne politiet også forlange sådanne oplysninger udleveret fra teleudbyderne af hensyn til politiets øvrige opgavevaretagelse. Endvidere præciseres det i lyset af udbydernes varierende praksis herom, at politiet uden editionskendelse kan indhente statiske oplysninger om både hvilke mobiltelefoner, der har været anvendt til et abonnement og omvendt (dvs. navn til et bestemt nummer og omvendt nummer til et bestemt navn).

Øvrige ændringer

Ud over ændringerne i logningspligten for trafikdata og de ovenfor omtalte kriminalitetskrav for udlevering til politiet indebærer de nye regler en række øvrige tiltag på området for teledata, der blandt andet omfatter:

  • En videreførelse af udbyderes forpligtelse til at foretage generel og udifferentieret logning af oplysninger om en slutbrugers adgang til internettet. Dette omfatter oplysninger om, hvilken slutbruger der på et givent tidspunkt har benyttet en given IP-adresse til adgang til internettet, herunder oplysninger om såkaldte portnumre og andre identificerende oplysninger. Pligten omfatter derimod ikke såkaldt sessionslogning (der omfatter detaljerede oplysninger om selve brugen af internettet, eksempelvis hvilken hjemmeside, der er besøgt), som blev afskaffet i 2014, ligesom logningsbekendtgørelsens logningspligt for lokalitetsdata mv. om hotspots ikke videreføres. Modsat trafik- og lokaliseringsdata vil de loggede oplysninger om IP-adresser mv. kunne anvendes til bekæmpelse af kriminalitet i al almindelighed. De nærmere regler herom er fastsat i bekendtgørelse nr. 380 af 29. marts 2022.
  • Indførelse af hjemmel til ved bekendtgørelse at fastsætte nye regler om blandt andet registrering og verificering af nummeroplysningsdata og andre identifikationsoplysninger. Det forventes, at der blandt andet vil blive fastsat regler om, at teleudbydere skal registrere og verificere et unikt ID (typisk CPR-nummer) samt eventuelle oplysninger om brugeren, hver gang der oprettes et nyt abonnement. Under Folketingets behandling blev loven på dette punkt ændret, således at udbyderne ikke er forpligtede til at indberette oplysningerne om unikt ID og eventuelle brugere til 118-databasen, eftersom dette ville være særdeles omkostningstungt for branchen. Der forventes i stedet fastsat regler om, at udbyderne på begæring skal udlevere disse oplysninger til politiet. Formålet med den nye hjemmel er, at der skal ske en entydig identifikation af brugeren af et givent kommunikationsmiddel på baggrund af verificerede oplysninger (eksempelvis ved opslag i CPR) – med det sigte at forbedre datakvaliteten af navnlig 118-databasen, som vil understøtte den målrettede logning af trafikdata. Der forventes herunder fastsat regler om, at kravene om registrering og verificering mv. også skal gælde for uregistrerede taletidskort, hvormed det ikke længere vil være muligt at købe disse såkaldte ”anonyme” taletidskort.
  • Ændring af de eksisterende regler om hastesikring, der giver politiet hjemmel til at pålægge en teleudbyder at opbevare elektroniske data, som udbyderen i forvejen er i besiddelse af, når dette sker af hensyn til en igangværende efterforskning med henblik på en senere eventuel udlevering (efter reglerne om udlevering af teledata). Dette omfatter alle typer af elektroniske data, og således både oplysninger, som er logget i medfør af en pligt hertil, som oplysninger udbyderne opbevarer af andre, forretningsmæssige årsager. Ændringerne indebærer navnlig, (i) at pålæg om hastesikring fremover alene vil kunne benyttes i forbindelse med bekæmpelse af grov kriminalitet, herunder beskyttelse af den nationale sikkerhed (dvs. hvor der efter politiets skøn gælder en rimelig formodning om, at der er eller vil blive begået grov kriminalitet), og (ii) at pålæg – modsat hidtil – kan opretholdes ud over 90 dage, forudsat den enkelte sikringsperiode pålægges for så kort tid som muligt og ikke pålægges for mere end 90 dage ad gangen.
  • Indførelse af regler om, at oplysninger, der logges efter de nye regler, eller som omfattes af et pålæg om hastesikring, skal opbevares på servere inden for EU og på irreversibel vis destrueres, når opbevaringsperioden udløber (medmindre oplysningerne på andet grundlag kan opbevares i længere tid). Reglerne herom er med den nye hjemmel i retsplejeloven fastsat i bekendtgørelse nr. 379 af 29. marts 2022 og gælder i sammenhæng med bl.a. bekendtgørelse nr. 1882 af 4. december 2020, som i forvejen indeholder nærmere regler for opbevaring og behandling af trafik- og lokaliseringsdata (persondatasikkerhed i forbindelse med udbud af teletjenester).
  • Ændring af reglerne om kontrol og domstolsprøvelse, som ikke vil blive beskrevet nærmere her.

Gorrissen Federspiel bemærker

For dem der har fulgt debatten om de danske logningsregler de senere år, er det ikke nogen overraskelse, at såvel de hidtidige som de nye regler har været genstand for stor diskussion, hvilket ikke mindst skyldes forholdet til EU-retten i forlængelse af EU-Domstolens afgørelser i bl.a. Digital Rights Ireland, Tele2, Ministerio Fiscal og La Quadrature du Net.

Gennem disse domme har Domstolen ved navnlig en afvejning af EU-Chartrets ret til personlig sikkerhed i artikel 6 (kriminalitetsbekæmpelse) over for respekten for privatlivet i artikel 7 samt beskyttelsen af personoplysninger i artikel 8 afgjort, at EU-retten som udgangspunkt er til hinder for en generel og udifferienteret logning af borgernes teleoplysninger. Det følger heraf, at en eventuel pligt til logning skal være målrettet, at logning kun må ske med henblik på bekæmpelse af grov kriminalitet, herunder beskyttelse af den nationale sikkerhed, og at omfanget af logningen skal begrænses til det strengt nødvendige.

Som en undtagelse til dette udgangspunkt har Domstolen med La Quadrature du Net-dommen åbnet op for, at der kan fastsættes regler om generel og udifferentieret logning, hvis dette sker af hensyn til beskyttelse af den nationale sikkerhed. Dette skal forstås snævert og angår efter Domstolens opfattelse beskyttelsen af statens væsentligste funktioner og grundlæggende samfundsinteresser mod aktiviteter, der alvorligt kan destablisere strukturerne i samfundet (navnlig terrortrusler). I sine præmisser opstiller Domstolen en række krav til udnyttelsen af denne undtagelse, herunder at truslen skal være reel og aktuel eller forudsigelig, og at der skal foreligge tilstrækkeligt konkrete omstændigheder, der gør det muligt at antage, at der foreligger en sådan trussel. Det er endvidere et krav, at logningen tidsmæssigt skal begrænses til det strengt nødvendige, og at den ikke må have systematisk karakter.

På den baggrund rejser de nye regler især to spørgsmål: (i) for det første om Danmark aktuelt kan siges at stå over for en sådan trussel, der kan begrunde, at de nye regler så at sige ”fødes” med et fortsat krav om generel og udifferentieret logning, og (ii) for det andet om de oplysninger, der logges på generelt og udifferentieret grundlag af hensyn til beskyttelse af den nationale sikkerhed, tillige kan anvendes til bekæmpelse af grov kriminalitet.

Mens det første spørgsmål kræver en detaljeret og konkret vurdering af de aktuelle faktiske omstændigheder, der blandt andet foretages på baggrund af ikke-offentlige terrorvurderinger mv. (der efter det oplyste i flere år har peget på en trusselsvurdering, som den der nu begrunder den generelle og udifferentierede logning, hvilket kan rejse spørgsmål, om logningen får den systematiske og løbende karakter, som EU-Domstolen udtaler sig imod), er det andet spørgsmål af mere generel karakter. Spørgsmålet var genstand for omfattende debat under Folketingets behandling af lovforslaget, hvilket ikke mindst skyldes den af Justitsministeriet anførte ”væsentlige procesrisiko” forbundet med, at de danske regler netop åbner op for, at oplysninger logget på generelt og udifferentieret grundlag kan anvendes til bekæmpelse af grov kriminalitet, selvom formålet med og – efter EU-Domstolens praksis – adgangen til at foretage logningen skyldes hensynet til den nationale sikkerhed. Udtrykket ”væsentlig procesrisiko” dækker over risikoen for, at denne del af de nye regler ikke er forenelig med EU-retten.

Risikoen blev allerede aktualiseret den 5. april 2022 med EU-Domstolens afgørelse i Garda Siochána-dommen (sag C-140/20). Med direkte henvisning til den danske regerings opfattelse udtalte Domstolen således, at trafik- og lokaliseringsdata ikke kan gøres til genstand for en generel og udifferentieret logning med henblik på bekæmpelse af grov kriminalitet, og at adgangen til disse data derfor heller ikke kan begrundes i dette formål. Domstolen udtalte endvidere, at såfremt der i en sådan situation blev givet adgang til de lagrede data, ville det være i strid med det hierarki af mål af almen interesse, som EU-Domstolen har fastlagt.

Justitsministeriet reagerede dagen efter på afgørelsen med en kort pressemeddelse om, at dommen efter en umiddelbar vurdering indebærer, at politiet under efterforskning af grov kriminalitet ikke kan få adgang til trafikdata logget generelt og udifferentieret af teleudbyderne med henblik på at beskytte den nationale sikkerhed – sådan som det ellers er forudsat med de nye regler under den såkaldte væsentlige procesrisiko. Hvad Garda Siochána-dommen nærmere vil betyde for politiets indhentning og brug af loggede oplysninger i konkrete sager vides dog endnu ikke præcist. EU-Domstolens afgørelse kan læses her, mens pressemeddelelsen fra Justitsministeriet kan findes her.

Problemstillingen er blandt andet væsentlig, da den kan have betydning for, om teledata kan anvendes som bevis i straffesager, hvis det viser sig, at oplysningerne var tilvejebragt i strid med EU-retten. Et spørgsmål der også trækker tråde til EU-Domstolens praksis, herunder Prokuratuur-dommen, hvor Domstolen gav udtryk for, at besvarelsen af dette spørgsmål principielt er op til de enkelte medlemsstaters regler om antagelse og bedømmelse af beviser. Effektivitetsprincippet inden for EU skal dog respekteres med den virkning, at der må ses bort fra trafik- og lokaliseringsdata, som er logget eller udleveret i strid med EU-retten, hvis den tiltalte ikke er i stand til effektivt at udtale sig om disse oplysninger og disse beviser, som henhører under et område, der ligger uden for rettens sagkundskab, og som kan have afgørende indflydelse på vurderingen af de faktiske omstændigheder. Dette kan føre til udsættelse af og tvivl om et større antal straffesager, ligesom spørgsmål om eventuel erstatning til domfældte kan komme på tale.

Det må endvidere være rimeligt at forvente, at arbejdet med at give pålæg til udbyderne inden for de målrettede grundlag for at foretage logning accelereres, således at der til bekæmpelse af grov kriminalitet kan ske udlevering og anvendelse af oplysninger, der konkret er omfattet af de målrettede logningsgrundlag – og hvor der således vil være et legitimt grundlag for udleveringen, selvom der i øvrigt sker en generel og udifferentieret logning af alle trafik- og lokaliseringsdata. Uden at have pålæg om målrettet logning på plads er det således vanskeligt at se, at oplysningerne vil kunne udleveres til bekæmpelse af grov kriminalitet, da oplysningerne i givet fald alene vil være logget som følge af den generelle og udifferentierede pligt hertil af hensyn til den nationale sikkerhed.

Problemstillingen har også betydning for telebranchens omkostningsbyrde ved at skulle bistå politiet med udlevering af teledata. De nye regler og særligt de varierende kriminalitetskrav for udlevering af teledata indebærer således, at det er nødvendigt at sondre mellem på den ene side trafik- og lokaliseringsdata og på den anden side øvrige data, som udbyderne er i besiddelse af. Sondringen har praktisk betydning, eftersom politiet alene kan få adgang til trafik- og lokaliseringsdata, hvis dette sker med henblik på at bekæmpe grov kriminalitet (herunder beskyttelse af den nationale sikkerhed), mens øvrige teledata kan udleveres til bekæmpelse af kriminalitet i al almindelighed. En adskillelse af dataen forventes at medføre betydelige omkostninger for teleselskaberne, og problemstillingen omtalt her kan medføre, at adskillelsesproblemet vil blive forstærket – således vil (i) trafikdata logget på generelt og udifferentieret grundlag alene kunne udleveres, hvis det begrundes i hensynet til den nationale sikkerhed, mens (ii) øvrige trafik- og navnlig lokaliseringsdata vil kunne udleveres i sager om grov kriminalitet, foruden at (iii) øvrige teledata i bred forstand vil kunne udleveres til bekæmpelse af kriminalitet i al almindelighed. Navnlig sondringen mellem oplysningerne i kategori (i) og (ii) – som problemstillingen giver anledning til – er udfordrende, da teleudbyderne så vidt vides hverken foretager eller kan foretage denne adskillelse med de IT-systemer, der for tiden er tilgængelige.

Der er imidlertid ingen tvivl om, at der med de nye regler er opstået øget kompleksitet på området for logning og anvendelse af teledata, og at det fremover vil være nødendigt at holde tungen lige i munden, når det gælder, hvilke data der er tale om, hvilke personer, kommunikationsapparater og områder/master, der skal logges, samt med hvilket formål oplysninger er opbevaret, og med hvilket formål de kan begæres udleveret. Udviklingen stiller således betydelige krav til telebranchen og de IT-løsninger, som skal understøtte indsatsen.

I mellemtiden vedbliver EU-Domstolen med at afsige domme om de nærmere rammer for regelanvendelsen. Gorrissen Federspiel følger udviklingen på området tæt. Har du spørgsmål til de nye regler eller reglerne for håndtering af teledata i øvrigt, er du velkommen til at kontakte en af vores eksperter.

Tilmeld dig vores nyheder

Tilmeld dig Gorrissen Federspiels nyhedsservice og få faglige nyheder og invitationer til arrangementer direkte i din indbakke.

Tak for din tilmelding

Du er allerede tilmeldt