Forslag til ny ekomlov, ny ekomforskrift og endringer i nummerforskriften
Sendt: 15.10.2021
Adressat: Kommunal- og moderniseringsdepartemet
1 INNLEDNING
Advokatforeningens tillitsvalgte advokater utfører et omfattende frivillig og ulønnet arbeid for å ivareta rettsstaten, rettssikkerheten og menneskerettighetene. En del av dette arbeidet består i å utarbeide høringsuttalelser.
Advokatforeningens høringsarbeid er organisert i 27 lovutvalg og 13 faste utvalg, oppdelt etter særskilte rettsområder og rettslige interesseområder. Om lag hundre høringsuttalelser utarbeides av foreningens tillitsvalgte advokater hvert år.
Alle våre høringsuttalelser er forfattet av advokater med ekspertise innenfor det rettsområdet som lovforslaget gjelder. En ekspertise som ikke er hentet kun fra juridisk teori, men fra advokatenes praktiske erfaring med å bistå sine klienter – i den norske rettsstatens hverdag. Denne høringsuttalelsen er skrevet ut fra Advokatforeningens ønske om å bidra til gode lovgivningsprosesser, og gode lover.
2 SAKENS BAKGRUNN
Vi viser til høringen til Kommunal- og moderniseringsdepartementet publisert 2.7.2021, med høringsfrist 15.10.2021.Høringen gjelder forslag til ny ekomlov, ny ekomforskrift og endringer i nummerforskriften, som gjennomfører EUs ekomdirektiv, BEREC-forordning mv.
Dette høringssvaret er i hovedsak utarbeidet av Advokatforeningens lovutvalg for IKT og personvern. Lovutvalget består av Jarle Roar Sæbø (leder), Christopher Sparre-Enger Clausen, Kari Gimmingsrud, Eirin Helen Hauvik, Øyvind Molven, Cecilie Wille Søvik, Malin Tønseth, som alle har lang erfaring og god kompetanse innfor det aktuelle rettsområdet.
3 OM FORSLAG TIL NY EKOMLOV § 3-1 OM VERN AV KOMMUNIKASJON OG DATA
Sikkerhetshendelser er definert i forslag til § 1-15 nr. 22: "enhver handling som har medført eller kan medføre brudd på sikkerheten i elektronisk kommunikasjonsnett eller elektronisk kommunikasjonstjeneste". I resten av bestemmelsen vises det til "sikkerhetsbrudd". Sikkerhetsbrudd er ikke definert, men er nærmere berørt i merknadene. Begrepet "sikkerhetsbrudd" fremgår for øvrig av dagens § 2-7. Det er uklart om bruk av ulike definisjoner er tilsiktet eller om departementet legger likt meningsinnhold i begrepene "sikkerhetshendelse" og "sikkerhetsbrudd". Advokatforeningen foreslår at det avklares om begrepene "sikkerhetshendelse" og "sikkerhetsbrudd" benyttet i bestemmelsen er tilsiktet å ha ulikt meningsinnhold, eller vurdere om det er mer hensiktsmessig å benytte samme begrep gjennomgående i bestemmelsen (og loven for øvrig).
I forarbeidene vises det til at plikten til å treffe "egnede tiltak" følger av direktivet, men det gis lite veiledning om hva som kan være et egnet tiltak. Samme sted pekes det på at tilbyder også skal varsle brukerne om eventuelle vernetiltak eller avhjelpende tiltak som brukerne selv kan treffe. Dette er ikke reflektert i ordlyden. Advokatforeningen foreslår at departementet vurderer å gi nærmere veiledning omkring hva som utgjør "egnede tiltak".
4 OM FORSLAG TIL NY EKOMLOV § 3-2 OM TAUSHETSPLIKT
Advokatforeningen foreslår en klargjøring av merknadene til § 3-2. I merknadene til § 3-2 vises det til at definisjonen er endret slik at bestemmelsen omfatter nye pliktsubjekter, "jf. definisjonen i § 1-5 nr 2, 4 og 30". Henvisningene synes ikke å stemme. Den riktige henvisningen synes å være § 1-5 nr. 4 jf. 5 og 7.
Advokatforeningen foreslår å innta en kommentar til uttalelsen om at man i norsk rett er forpliktet til å la utvidelsen av definisjonen av elektronisk kommunikasjonstjeneste i ekomloven, basert på ekomdirektivet, komme til anvendelse også for de prosessuelle bevisforbudene. I den forbindelse kan det også påpekes at det i forarbeidene til tvl. § 22-3 er inntatt en henvisning til gjeldende ekomlov, der det heter at "[b]estemmelsen retter seg mot enhver som er underlagt taushetsplikten i ekomloven § 2-9 og knesetter et absolutt forbud mot føring av data som er lagringspliktig i medhold av forslaget til ekomloven 2-7 a første ledd, i sivile saker. Unntaket gjelder ikke abonnementsopplysninger og lignende som nevnt i ekomloven § 2-9 tredje ledd. For slike opplysninger gjelder de alminnelige bestemmelsene i tvisteloven § 22-3 første til tredje ledd om adgangen til å føre bevis om opplysninger undergitt lovbestemt taushetsplikt".
Forutsatt at departementet konkluderer med at man i norsk rett er forpliktet til å la utvidelsen av definisjonen av elektronisk kommunikasjonstjeneste i ekomloven, basert på ekomdirektivet, komme til anvendelse også for de prosessuelle bevisforbudene, bør ordlyden i straffeprosessloven §§ 118 og tvisteloven § 22-3 vurderes oppdatert slik at denne tilsvarer forslaget til ordlyd i ny ekomlov § 1-5, herunder med en direkte henvisning i bestemmelsene slik at det ikke skapes uklarhet rundt hvem som er omfattet av de prosessuelle bevisforbudene.
5 OM FORSLAG TIL NY EKOMLOV § 3-7 OM BRUK AV INFORMASJONSKAPSLER
Advokatforeningen forstår det slik at intensjonen med forslaget til ny ekomlov § 3-7 er å harmonisere norsk rett med EU-retten, nærmere bestemt å harmonisere norsk rett med artikkel 5(3) i direktiv 2002/58/EU som gjelder lagring av og tilgang til opplysninger i brukers kommunikasjonsutstyr (f.eks. ved bruk av informasjonskapsler/cookies).
Advokatforeningen er positiv til at norsk rett harmoniseres med EU-retten på dette punkt både for å sikre at de norske reglene gir det samme kommunikasjonsvernet og personvernet som EU-reglene og for å skape forutberegnelighet for rettighets- og pliktsubjektene.
Artikkel 5(3) i direktiv 2002/58/EU fikk sin nåværende form gjennom endringsdirektivet 2009/136/EU. Departementet bør kommentere det forhold at endringsdirektivet ikke er innlemmet i EØS-avtalen og hvilke konsekvenser dette eventuelt skal ha, eller ikke skal ha, for tolkningen av lovbestemmelsen.
Forøvrig har Advokatforeningen følgende merknader til bestemmelsen:
Overskriften på forlaget til ny ekomlov § 3-7 («Bruk av informasjonskapsler») bør endres all den tid ikke bare informasjonskapsler, men også annen teknologi faller innenfor bestemmelsen. Bestemmelsen gjelder for det å «lagre eller å skaffe seg tilgang til opplysninger i [sluttbrukers eller brukers] kommunikasjonsutstyr», noe som kan omfatte også andre typer teknologi enn informasjonskapsler. En mer hensiktsmessig overskrift på bestemmelsen kan dermed være «Bruk av informasjonskapsler mv.».
Hovedregelen etter forlaget til ny ekomlov § 3-7 første ledd er at det å lagre eller å skaffe seg adgang til opplysninger i brukers kommunikasjonsutstyr krever brukers samtykke. Departementet foreslår å innta en definisjon av samtykke som tilsvarer definisjonen av samtykke i personvernforordningen (GDPR), også slik at de enkelte elementene i definisjonen fremgår av selve lovteksten. Det er antakelig mer hensiktsmessig at det presiseres i lovteksten eller i forarbeidene at det med samtykke menes samtykke etter personvernforordningen, uten at hele definisjonen og dens enkelte elementer tas inn i selve lovteksten.
Ordlyden i direktiv 2002/58/EU artikkel 5(3) gjelder lagring og adgang til opplysninger i kommunikasjonsutstyret «of a subscriber or user». Departementet synes på sin side å bruke termene «bruker» og «sluttbruker» om hverandre, eksempelvis slik at det i forlaget til ny ekomlov § 3-7 første ledd heter at det ikke er tillatt «å lagre eller å skaffe seg tilgang til opplysninger i sluttbrukers kommunikasjonsutstyr, uten at brukeren er informert om hvilke opplysninger som behandles». Til sammenlikning benytter gjeldende ekomlov § 2-7 b kun termen «bruker». Lovteksten bør enten benytte begge termene («sluttbruker eller bruker») i tråd med direktivet eller kun benytte «bruker» slik som i dag, hvilket formodentlig vil være tilstrekkelig.
Departementet gir i merknadene til forslaget til ny ekomlov § 3-7 uttrykk for at samtykkekravet skal kunne anses oppfylt «ved at sluttbruker benytter en teknisk innstilling i nettleser eller tilsvarende i de tilfeller der dette er teknisk mulig». Slik Advokatforening forstår det foreslår Departementet da altså at man kan fortsette å basere seg på nettlesersamtykke. Forutsetningen er da at nettleseren oppfyller alle kravene til et GDPR-samtykke.
Advokatforeningen mener at det er flere uheldige sider ved denne merknaden som på flere punkter er tvetydig og som kan være egnet til å villede.
Med dagens teknologi er det ikke gitt at det finnes tilgjengelig nettleserfunksjonalitet vil kunne oppfylle alle kravene til samtykke som følger av GDPR. De fleste nettlesere har godkjennelse av informasjonskapsler som standardinnstilling. Videre er innstillingene i nettleserne ikke tilstrekkelig granulerte, da man i hovedsak bare kan velge mellom å godta «ingen» eller «alle» informasjonskapsler innenfor relativt grovmaskede kategorier som nettleseren selv definerer (for eksempel første- eller tredjepartsinformasjonskapsler), uavhengig av formålet med dem. Videre får ikke brukeren jevnlige påminnelser om å revidere innstillingene i nettleseren, slik at det kan stilles spørsmål ved om godkjennelser gjennom innstillinger er tilstrekkelig aktivt.
Advokatforeningen mener også at det er uklart hvem som i praksis vil kunne sikre at gyldig samtykke skjer gjennom nettleserfunksjonaliteten, herunder om nettleserleverandørene er tenkt et større ansvar for dette.
I det hele tatt mener Advokatforeningen at departementet bør vokte seg for merknader i lovproposisjonen om hvordan samtykkekravet kan eller ikke kan oppfylles i praksis, enten det er gjennom nettleserinnstillinger eller på annen måte. Merknader av denne type kan lede til utilsiktede tolkingsforskjeller mellom norsk rett og EU-retten, eller til usikkerhet om dette. Veiledning etc. om tolkingen av samtykkekravet, og eventuelle presiserende forskrifter, bør i stedet gis av tilsynsmyndigheten, som kan sørge for at veiledningen/forskriftene til enhver tid holdes oppdatert i tråd med det som er gjeldende EU/EØS-rett.
Etter forslaget til ny ekomlov § 3-7 skal brukeren få informasjon om hvilke opplysninger som behandles, formålet med behandlingen og hvem som behandler opplysningene. Ordlyden tilsvarer gjeldende ekomlov § 2-7 b. Etter ordlyden er oppramsingen av hvilken informasjon som skal gis uttømmende. Direktivbestemmelsen i 2002/58/EU artikkel 5(3) sier imidlertid på sin side at det skal gis «clear and comprehensive information, in accordance with Directive 95/46/EC, inter alia, about the purposes of the processing». Ordlyden i den norske bestemmelsen bør antakelig legges tettere opp mot direktivbestemmelsen, bl.a. slik at tilsynsmyndigheten gjennom veiledning og/eller forskrifter kan presisere hvilken informasjon som skal gis ved bruk av forskjellige teknologier (informasjonskapsler mv.).
Fra hovedregelen i forslaget til ny ekomlov § 3-7 første ledd følger det to nærmere angitte unntak i bestemmelsens annet ledd. Et av unntakene er der lagringen/adgangen, slik det heter i direktiv 2002/58/EU artikkel 5(3), er «strictly necessary in order for the provider of an information society service explicitly requested by the subscriber or user to provide the service». I departementets forslag til ny § 3-7 annet ledd nr. 2 er imidlertid vilkåret «strictly» utelatt, slik det også er i gjeldende ekomlov § 2-7 b. Departementet bør vurdere om vilkåret bør inntas i bestemmelsen for å skape harmoni med EU-retten. Dette kan for eksempel gjøres ved å innta ordet «strengt» foran «nødvendig», slik at unntaket lyder «som er strengt nødvendig for å levere en informasjonssamfunnstjeneste etter brukerens uttrykkelige forespørsel».
Myndighetens forskriftskompetanse i forslaget til ny ekomlov § 3-7 tredje ledd er avgrenset til å gi forskrifter «om informasjonskapsler». Bestemmelsen er ikke nærmere kommentert i høringsnotatet. Det er neppe hensiktsmessig å avgrense forskriftskompetansen til «om informasjonskapsler» all den tid bestemmelsen har et videre virkeområde. Formodentlig bør forskriftskompetansen gå ut på å kunne gi presiserende bestemmelser om alle deler av bestemmelsen, både om hovedregelen og unntakene, og om de nærmere vilkårene i disse.
Advokatforeningen kan ikke se at departementet har vurdert spørsmålet om hvor tilsynet med bestemmelsen i § 3-7 bør ligge, herunder om det ville være naturlig at Datatilsynet fremover får en rolle ved tilsyn med § 3-7.
6 OM FORSLAG TIL NY EKOMFORSKRIFT § 8-1 OM BEHANDLING AV TRAFIKKDATA
Bestemmelsen viderefører gjeldende ekomforskrift § 7-1 som setter skranker for tilbyders behandling av trafikkdata.
§ 7-1 (2), der lokaliseringsdata defineres nærmere i gjeldende ekomforskrift er ikke foreslått videreført i § 8-1 "da det allerede ivaretas av definisjoner i ekomloven § 1-5" iht. merknaden.
Departementet gjør i merknadene oppmerksom på at trafikkdata-begrepet også omfatter elementer av lokaliseringsdata som f.eks. hvilken basestasjon brukeren er tilknyttet når vedkommende gjennomfører en samtale, eller den lokalisering som skjer når brukeren eller applikasjoner på brukerens mobiltelefon laster ned data fra nettet. En anmodning fra politiet om utlevering av trafikkdata fra tilbyder vil derfor omfatte noe lokaliseringsdata.
At "trafikkdata" fremdeles omfatter "noe lokaliseringsdata" synes mindre klart etter ordlyden i bestemmelsen, herunder også de foreslåtte definisjonene, og endringen av det som nå blir § 8-2 i ny forskrift, ref. også kommentarene under til § 8-2. Hva begrepet "trafikkdata" omfatter, og tilsvarende hva politiet etter omstendighetene kan kreve utlevert, bør etter Advokatforeningens syn være klarlagt og ikke etterlate rom for tvil.
7 OM FORSLAG TIL NY EKOMFORSKRIFT § 8-2 OM BEHANDLING AV LOKALISERINGSDATA
Begrepet "signaleringsdata" er definert i eksisterende ekomforskrift § 7-2 som "data som genereres mellom terminalen og tilgjengelig basestasjon og angir terminalens geografiske plassering når den er slått på, uten at trafikkdata formidles". Begrepet er ikke definert i forslag til ny lov eller forskrift. Iht. merknadene ser departementet ikke behov for å ha en egen definisjon av signaleringsdata "idet definisjonen av lokaliseringsdata må anses for å omfatte alle relevante signaleringsdata". Ettersom begrepet "signaleringsdata" fremdeles benyttes, kan manglende definisjon skape unødig uklarhet. Advokatforeningen ber departementet vurdere å presisere/definere begrepet "signaleringsdata".
Vennlig hilsen
Jon Wessel-Aas Merete Smith
leder generalsekretær