For all behandling av personopplysninger i E-tjenesten gjelder de generelle krav i lov 14. april 2000 nr. 31 om behandling av personopplysninger (personopplysningsloven) til formålstjenlighet, nødvendighet og relevans.

Personopplysningsloven §§ 31 (om meldeplikt), 33 (om konsesjonsplikt) og 44 første til tredje ledd (tilsynsmyndighetens tilgang til opplysninger) gjelder ikke for «[b]ehandling av personopplysninger som er nødvendig av hensynet til rikets sikkerhet eller de alliertes sikkerhet, forholdet til fremmede makter og andre vitale nasjonale sikkerhetsinteresser», jf. personopplysningsforskriften § 1-2. E-tjenesten har utviklet et internt godkjenningssystem for enkelte kategorier av behandling, deling og innsamling av opplysninger.

For det første har E-tjenesten en rutine for overordnet godkjenning av behandling av opplysninger om personer med tilknytning til Norge, i tråd med e-loven § 4 andre ledd, jf. § 3. Den neste interne godkjenningsrutinen har sin bakgrunn i Utfyllende bestemmelser for Etterretningstjenestens innsamling mot norske personer i utlandet samt for utlevering av personopplysninger til utenlandske samarbeidende tjenester, som ble fastsatt av Forsvarsdepartementet 24. juni 2013 med hjemmel i e-instruksen § 17. E-tjenesten gjennomfører teknisk overvåking av visse norske personer i utlandet i henhold til retningslinjene i nevnte bestemmelser. Den tredje og siste godkjenningsrutinen er knyttet til tjenestens søk i lagrede metadata for å finne kommunikasjon mellom selektorer knyttet til norske rettssubjekter i Norge og etterretningsmål i utlandet, for utenlandsetterretningsrelevante formål. Som nevnt utløser disse søkene særlige spørsmål, som vil behandles nærmere i kapittel 5.

Samtlige interne godkjenninger blir fremlagt for utvalget på rutinemessig basis. Det regimet E-tjenesten har utarbeidet viser at tjenesten er opptatt av den enkeltes rettssikkerhet, ved at grunnlaget for behandling, deling og innhenting av opplysninger blir vurdert og dokumentert. Samtidig ivaretar dokumentasjonen utvalgets kontrollmuligheter. Vurderingskriteriene samsvarer med alminnelige prinsipper for behandling av personopplysninger, jf. henvisningen til personopplysningsloven ovenfor.

Det kan argumenteres for at det er særlige hensyn ved E-tjenestens virksomhet som taler for at vilkår for innsamling og behandling av personopplysninger bør lovreguleres nærmere. En nærmere lovregulering vil etter utvalgets vurdering styrke rettssikkerheten på et felt der enkeltpersoner er fullstendig avskåret fra å få innsyn i opplysninger som er lagret om dem, og ikke en gang kan få et svar på om E-tjenesten behandler eller ikke behandler opplysninger om dem. Heller ikke når utvalget kritiserer E-tjenestens behandling av opplysninger om en person som har klaget til utvalget, vil vedkommende få vite hvilke personopplysninger tjenesten behandler, eller hva som er grunnlaget for kritikken.

Se Dokument 7:1 (2014–2015) Årsmelding til Stortinget fra EOS-utvalget for 2014 kapittel 6.7.

På samme måte som rettens forhåndsgodkjenning av politiet og PSTs bruk av skjulte tvangsmidler, kan det tenkes ekstern forhåndsgodkjenning også av E-tjenestens inngripende metodebruk. Dette gjelder spesielt når overvåkingen retter seg mot norske borgere i utlandet, som i dag i praksis skjer på kontraterrorfeltet. Slik det er i dag, tilligger beslutningen om overvåking E-tjenesten selv når en norsk borger er i utlandet, mens PST på forhånd må innhente godkjenning for tvangsmiddelbruk fra retten når vedkommende er i Norge. For PST er det også krav om fornyet domstolsgodkjenning etter bestemte tidsperioder ved bruk av tvangsmidler.

E-tjenestens interne godkjenningssystem bekrefter at E-tjenesten har høy oppmerksomhet knyttet til de personvernutfordringer dens overvåkingsvirksomhet reiser og at overvåkingsvirksomheten er regulert internt. Utvalget har ikke funnet at tjenesten iverksetter overvåking utenfor eget kontrollregime.

• Utvalget mener det er nødvendig at lovgiver vurderer om E-tjenestens behandling av personopplysninger som ledd i sin oppgaveløsning bør reguleres ytterligere i lovs form, og om godkjenning av inngripende metodebruk bør underlegges domstolsgodkjenning e.l., i tillegg til EOS-utvalgets eksterne etterfølgende kontroll.