For all behandling av personopplysninger i E-tjenesten
gjelder de generelle krav i lov 14. april 2000 nr. 31 om behandling
av personopplysninger (personopplysningsloven) til formålstjenlighet,
nødvendighet og relevans.
Personopplysningsloven
§§ 31 (om meldeplikt), 33 (om konsesjonsplikt) og 44 første til tredje
ledd (tilsynsmyndighetens tilgang til opplysninger) gjelder ikke
for «[b]ehandling av personopplysninger som er nødvendig av hensynet
til rikets sikkerhet eller de alliertes sikkerhet, forholdet til
fremmede makter og andre vitale nasjonale sikkerhetsinteresser»,
jf. personopplysningsforskriften § 1-2. E-tjenesten
har utviklet et internt godkjenningssystem for enkelte kategorier
av behandling, deling og innsamling av opplysninger.
For det første har E-tjenesten en rutine for
overordnet godkjenning av behandling av opplysninger om personer
med tilknytning til Norge, i tråd med e-loven § 4 andre ledd, jf.
§ 3. Den neste interne godkjenningsrutinen har sin bakgrunn i Utfyllende bestemmelser for Etterretningstjenestens
innsamling mot norske personer i utlandet samt for utlevering av
personopplysninger til utenlandske samarbeidende tjenester,
som ble fastsatt av Forsvarsdepartementet 24. juni 2013 med hjemmel
i e-instruksen § 17. E-tjenesten gjennomfører teknisk overvåking
av visse norske personer i utlandet i henhold til retningslinjene
i nevnte bestemmelser. Den tredje og siste godkjenningsrutinen er
knyttet til tjenestens søk i lagrede metadata for å finne kommunikasjon
mellom selektorer knyttet til norske rettssubjekter i Norge og etterretningsmål
i utlandet, for utenlandsetterretningsrelevante formål. Som nevnt
utløser disse søkene særlige spørsmål, som vil behandles nærmere
i kapittel 5.
Samtlige interne godkjenninger blir fremlagt
for utvalget på rutinemessig basis. Det regimet E-tjenesten har
utarbeidet viser at tjenesten er opptatt av den enkeltes rettssikkerhet,
ved at grunnlaget for behandling, deling og innhenting av opplysninger
blir vurdert og dokumentert. Samtidig ivaretar dokumentasjonen utvalgets
kontrollmuligheter. Vurderingskriteriene samsvarer med alminnelige
prinsipper for behandling av personopplysninger, jf. henvisningen
til personopplysningsloven ovenfor.
Det kan argumenteres for at det er særlige hensyn
ved E-tjenestens virksomhet som taler for at vilkår for innsamling
og behandling av personopplysninger bør lovreguleres nærmere. En nærmere
lovregulering vil etter utvalgets vurdering styrke rettssikkerheten
på et felt der enkeltpersoner er fullstendig avskåret fra å få innsyn
i opplysninger som er lagret om dem, og ikke en gang kan få et svar
på om E-tjenesten behandler eller ikke behandler opplysninger om
dem. Heller ikke når utvalget kritiserer E-tjenestens behandling
av opplysninger om en person som har klaget til utvalget, vil vedkommende
få vite hvilke personopplysninger tjenesten behandler, eller hva
som er grunnlaget for kritikken.
Se Dokument 7:1
(2014–2015) Årsmelding til Stortinget fra EOS-utvalget for 2014
kapittel 6.7.
På samme måte som rettens forhåndsgodkjenning
av politiet og PSTs bruk av skjulte tvangsmidler, kan det tenkes
ekstern forhåndsgodkjenning også av E-tjenestens inngripende metodebruk.
Dette gjelder spesielt når overvåkingen retter seg mot norske borgere
i utlandet, som i dag i praksis skjer på kontraterrorfeltet. Slik
det er i dag, tilligger beslutningen om overvåking E-tjenesten selv
når en norsk borger er i utlandet, mens PST på forhånd må innhente
godkjenning for tvangsmiddelbruk fra retten når vedkommende er i
Norge. For PST er det også krav om fornyet domstolsgodkjenning etter
bestemte tidsperioder ved bruk av tvangsmidler.
E-tjenestens interne godkjenningssystem bekrefter
at E-tjenesten har høy oppmerksomhet knyttet til de personvernutfordringer
dens overvåkingsvirksomhet reiser og at overvåkingsvirksomheten
er regulert internt. Utvalget har ikke funnet at tjenesten iverksetter
overvåking utenfor eget kontrollregime.
Utvalget mener det
er nødvendig at lovgiver vurderer om E-tjenestens behandling av
personopplysninger som ledd i sin oppgaveløsning bør reguleres ytterligere
i lovs form, og om godkjenning av inngripende metodebruk bør underlegges
domstolsgodkjenning e.l., i tillegg til EOS-utvalgets eksterne etterfølgende
kontroll.