Sakens bakgrunn

Etter etterretningstjenesteloven kapittel 7 kan E-tjenesten innhente grensekryssende elektrisk kommunikasjon. Siden elektrisk kommunikasjon som foregår mellom to personer i Norge ofte går via en utenlandsk server, vil E-tjenesten med denne hjemmelen kunne innhente kommunikasjon mellom personer som alle befinner seg i Norge.

Stiftelsen Tinius og Tom Erik Thorsen gikk til søksmål mot staten med påstand om et E-tjenesten ikke kan innhente informasjon slik etterretningstjenesteloven kapittel 7 hjemler, og at slik innhentet informasjon må slettes. De anførte at slik innhenting er i strid med Grunnloven, EMK og direktiv 2002/58/EF (kommunikasjonsverndirektivet). Denne omtalen gjelder rettens behandling av kommunikasjonsverndirektivet.

Tingrettens vurdering

Det EØS-rettslige spørsmålet i saken var om informasjonsinnhentingen var i tråd med kommunikasjonsverndirektivet artikkel 15. Den gir anledning til å gjøre unntak fra artikkel 5 om kommunikasjonsfortrolighet, dersom det er «nødvendig, egnet og rimelig i et demokratisk samfunn av hensyn til nasjonal sikkerhet».

Vilkårene for når det kan gjøres unntak er nærmere presisert i forente saker C-511/18, C-512/18 & C-520/18 LQN.

Om forholdsmessighetskravet uttalte domstolen i LQN-dommen at unntaket må foreskrive klare og presise regler for når det kommer til anvendelse, slik at det sikres at unntaket kun kan brukes når det er helt nødvendig. I tillegg må unntaket være rettslig bindende i nasjonal rett.

Domstolen kom videre til at å innhente data av hensyn til «nasjonal sikkerhet» faller inn under direktivets virkeområde, selv om TEU artikkel 4 (1) bestemmer at lovgivning om beskyttelse av rikets sikkerhet er utenfor EUs kompetanse. Det er fordi artikkel 4 (1) kun retter seg mot kjernen av nasjonal sikkerhet, som beskyttelse av statens kjernefunksjoner.

Tingretten oppsummerer så vilkårene for lagring av data som oppstilles av EU-domstolen i LQN-dommen. Det må være en tilstrekkelig konkret omstendighet som gjør at man kan anta at det foreligger en trussel mot nasjonal sikkerhet, og trusselen må være reell og aktuell eller mulig å forutse. I tillegg må lagringen være begrenset i tid til det som er strengt nødvendig, være underlagt minstekrav for når data kan innhentes, ikke være systematisk, samt være underlagt kontroll av domstolene eller et uavhengig organ. Retten legger så til grunn at kriteriene vil tolkes inn i vilkårene i etterretningstjenesteloven, og at kriteriene vil tolkes strengere jo lenger inn i innhentingsfasen man kommer.

Tingretten går så til den konkrete vurderingen av om etterretningstjenesteloven oppfyller kravene etter kommunikasjonsverndirektivet artikkel 15, slik de er tolket i LQN-dommen. Stiftelsen hadde anført fire grunner til at etterretningstjenesteloven ikke oppfylte direktivets vilkår; 1) formålene som begrunner innhenting er for vide, 2) terskelen for å iverksette innhenting er for lav, 3) lagringen kan skje i for lang tid og 4) det er ikke tilstrekkelige sikkerhetsmekanismer.

For det første anførte stiftelsen at formålene den norske loven tillater lagring for, går videre enn det som menes med «nasjonal sikkerhet» etter direktivet. Til dette viser tingretten at EU-domstolen i LQN tolket «nasjonal sikkerhet» vidt, og at de formålene som dekkes av etterretningstjenesteloven faller inn under EU-domstolens krav.

For det andre anførte stiftelsen at domstolen i LQN stiller en høyere terskel til når det kan innhentes data, enn det etterretningstjenesteloven gjør, nemlig en konkret trussel med en viss alvorlighetsgrad. Tingretten påpeker at det ikke er krav om mistanke mot bestemte personer, men at det er tilstrekkelig at det foreligger en generell trusselsituasjon, og at denne kan forutses. Tingretten viser videre til lovens forarbeider, som omtaler LQN-kriteriene og legger til grunn at etterretningstjenesteloven skal følge samme terskel.

For det tredje viste stiftelsen til at etterretningstjenesteloven ikke følger direktivets krav når det kommer til tiden dataen kan lagres, hvor loven setter en lengstefrist på 2 år. Retten viser her til at EU-domstolen ikke har satt noen krav om lengstefrist, men kun en forutsigbar lengde. Samtidig angir loven at det ikke skal lagres lengere enn nødvendig.

For det fjerde anførte stiftelsen at den norske loven ikke i tilstrekkelig grad har sikkerhetsmekanismer for eller uavhengig kontroll av innhenting av data. Tingretten mener at kravet til rettens forhåndsgodkjenning samt løpende og etterfølgende kontroll gjør at loven klart følger direktivets krav.

Tingretten er dermed uenig med stiftelsen i alle de fire anførslene. For øvrig vant stiftelsen heller ikke frem med anførslene om brudd på Grunnloven eller EMK.

Tingrettens konklusjon

Staten frifinnes.

Direktiv 2002/58/EF (kommunikajsonsverndirektivet) er tatt inn i EØS-avtalen vedlegg XI (Elektronisk kommunikasjon, audiovisuelle tjenester og informasjonssamfunnstjenester), og er gjennomført i norsk lov 13. desember 2024 nr. 76 (ekomloven).

ESE