Redaktører: Savvas Gabor, Simen Bjørneboe og Lene Marita Berg Hermann
EU-domstolen avsa 30. januar 2024 dom i sak C-118/22. Saken gjelder tolkningen av direktiv (EU) 2016/680 om beskyttelse av fysiske personer ved behandling av personopplysninger for å forebygge, etterforske, avdekke eller straffeforfølge lovbrudd eller gjennomføring av straffereaksjoner, og om fri utveksling av slike opplysninger [LED-direktivet] artikkel 4, 5, 10, 13 og 16, samt Den europeiske unions charter om grunnleggende rettigheter [Charteret] artikkel 7 og 8.
Sakens bakgrunn
NG ble registrert i politiregisteret til bulgarsk politi etter å ha blitt etterforsket for å ha avgitt falsk vitneforklaring. I registeret lagres personopplysninger, samt bilde, fingeravtrykk og DNA-prøve av siktede. Det ble reist tiltale mot NG, som til slutt ble dømt til ett års betinget fengsel.
Etter å ha sonet straffen, anmodet NG om å bli slettet fra politiregisteret. Bulgarske myndigheter avslo imidlertid anmodningen under henvisning til at endelig domfellelse ikke ble ansett som tilstrekkelig grunn til sletting. NG klagde avgjørelsen inn for en bulgarsk domstol, som i første instans frifant staten. NG anket avgjørelsen, og saken står for Varhoven administrativen sad (bulgarsk høyesterett for forvaltningssaker), som er foreleggende domstol.
EU-domstolens vurdering
Spørsmålet som EU-domstolen tar stilling til
LED-direktivet gir regler om behandling av personopplysninger som innhentes i forbindelse med forebygging, etterforskning, rettsforfølgelse og fullbyrdelse av straffbare handlinger. Direktivet inneholder generelle krav som blant annet fastslår at behandlingen av personopplysninger ikke skal omfatte mer data, eller lagres i lengre tidsrom, enn det som er nødvendig for å oppnå formålet med lagringen (se artikkel 4 og 5). Videre finnes det spesielle krav knyttet til behandlingen av spesielle typer personopplysninger, som genetisk og biometrisk data (se artikkel 10). I henhold til artikkel 16 skal medlemsstatene slette personopplysninger som ikke tilfredsstiller kravene i artikkel 4 og 10. Direktivet må forstås innenfor rammene av retten til privatliv og beskyttelse av personopplysninger, som er sikret i charteret artikkel 7 og 8.
Spørsmålet som EU-domstolen tar stilling til er om LED-direktivet artikkel 4 (1) bokstav c og e, sammenholdt med artikkel 5, 10, 13 (2) bokstav b og 16 (2) og (3) og i lys av charteret artikkel 7 og 8, må tolkes slik at bestemmelsene er til hinder for nasjonal lovgivning som tillater politimyndighetene å oppbevare personopplysninger om personer som er endelig dømt og som har gjennomført sin straff, inntil den registrertes død og uten øvrig mulighet til å slette opplysningene.
Prinsippet om dataminimering
EU-domstolen starter med å presisere at charteret artikkel 7 og 8 angir rammene for direktivet. Enhver begrensing i rettighetene som følger av disse bestemmelsene skal i henhold til charteret artikkel 52 ha hjemmel i lov og følge proporsjonalitetsprinsippet. Det sistnevnte innebærer at det kun kan innføres begrensinger i rettighetene dersom disse er strengt nødvendige og faktisk svarer til formål av allmenn interesse eller et behov for å beskytte andres rettigheter og friheter, jf. C-439/19 Strafpoint avsnitt 105. Dersom målet med lagringen like godt kan nås på en måte som er mindre inngripende i de registrertes rettigheter, skal denne velges, jf. Strafpoint avsnitt 110. LED-direktivet artikkel 1 (1) gir anvisning på hvilke formål som kan begrunne inngrep, mens proporsjonalitetsprinsippet kommer til uttrykk i LED-direktivet artikkel 4 (1) som knesetter prinsippet om dataminimering, se også fortalepunkt 26.
Det fremgår av artikkel 4 (1) bokstav e at personvernopplysninger ikke skal oppbevares i et lengre tidsrom enn det som er nødvendig for å nå formålet med lagringen. I den forbindelse bestemmer artikkel 5 at medlemsstatene må fastsette «hensigtsmæssige» tidsfrister for sletting av personopplysninger, eventuelt regelmessig revisjon av behovet for oppbevaring av slike opplysninger. Når det gjelder noen særlige former for personopplysninger, som genetisk og biometrisk data, følger det av LED-direktivet artikkel 10 at det skal føres en særlig streng kontroll med prinsippet om dataminimering, jf. C-205/21 V.S avsnitt 117, 122 og 125 (omtalt i EUR-2023-11-1).
Er den bulgarske lovgivningen forholdsmessig?
Formålet med den livslange lagringen var ifølge bulgarske myndigheter å bruke informasjonen i etterforskningen av andre straffbare handlinger. EU-domstolen presiserer at et slikt formål anses som legitimt, både etter domstolens tidligere praksis (V.S, avsnitt 98) og etter fortalepunkt 27. Domstolen er enig i at inngrepet er nødvendig og egnet til å oppnå formålet. Det springende punktet er derfor om inngrepet var forholdsmessig (i snever forstand), altså hvorvidt formålet som forfølges er mer tungtveiende enn alvorligheten av inngrepet, jf. forente saker C-37/20 og C-601/20 Luxembourg Business Registers avsnitt 66.
Etter den bulgarske lovgivningen lagres personopplysninger ved «alle forsettlige straffbare handlinger som var underlagt offentlig påtale». Inngrepshjemmelen er derfor av svært generell karakter og får anvendelse på et stort antall straffbare handlinger uavhengig av handlingens art og grovhet. EU-domstolen viser til generaladvokatens forslag til avgjørelse (avsnitt 73–74) og presiserer at ikke alle personer som er endelig dømt for en straffbar handling utgjør en risiko som kan rettferdiggjøre oppbevaring av personopplysninger om dem inntil de dør. I visse tilfeller vil den konkrete risikoen som den domfelte utgjør, samt karakteren og alvorlighetsgraden av den straffbare handlingen, tilsi at det ikke er forholdsmessig å fortsette å oppbevare de aktuelle personopplysningene, jf. EU-domstolens uttalelse 1/15 PNR-avtalen mellom EU og Canada avsnitt 205.
En slik generell adgang til å oppbevare personopplysninger inntil personen dør, er derfor i strid med prinsippet om dataminimering etter artikkel 4 (1) bokstav c, og går utover det tidsrom som er «hensigtsmæssig» etter artikkel 4 (1) bokstav e og 5. EU-domstolen presiserer likevel at det at en person har sonet ferdig straffen, ikke i seg selv vil gjøre det unødvendig å oppbevare personopplysningene.
Videre presiserer EU-domstolen at innsamling av biometrisk og genetisk data kun kan gjennomføres dersom det er strengt nødvendig, jf. LED-direktivet artikkel 10. En systematisk innsamling av slik data vil etter domstolens praksis være i strid med kravet om streng nødvendighet, jf. V.H avsnitt 128-129. En generell hjemmel for innsamling av data som ikke differensierer mellom de straffbare handlingene og den konkrete risikoen, vil derfor ikke være forenlig med artikkel 10.
Det vises også til en storkammeravgjørelse avsagt av EMD 4. desember 2008, S. og Marper mot Storbritannia (EMD-2004-30562). Her uttalte EMD at en generell og systematisk innsamling av fingeravtrykk, biologiske prøver og DNA-profil fra personer som var mistenkt, men ikke dømt for en straffbar handling, var et uforholdsmessig inngrep i klagerens rett til privatliv i strid med EMK artikkel 8. Etter charteret artikkel 52 (3) skal beskyttelsen etter charteret være minst like god som etter EMK. Saken indikerer at kravet om streng nødvendighet kun vil være oppfylt dersom lovgivningen tar hensyn til arten og alvorlighetsgraden av den straffbare handlingen, samt konkrete omstendigheter, som for eksempel personens tidligere straffehistorikk.
Til slutt knytter EU-domstolen noen ytterligere kommentarer til kravet om at medlemsstatene må fastsette «hensigtsmæssige» tidsfrister for sletting av personopplysninger. EU-domstolen uttaler at en frist som utgår ved personens død bare under særlige omstendigheter kan være å anses som «hensigtsmæssig». Dette vil aldri være tilfelle når fristen får generell anvendelse for enhver person.
EU-domstolens konklusjon
Direktiv (EU) 2016/680 artikkel 4 (1) bokstav c og e, sammenholdt med artikkel 5, 10, 13 (2) og 16 (2) og (3), samt Charteret artikkel 7 og 8, skal tolkes på følgende måte:
Med mindre behandlingsansvarlig regelmessig etterprøver om oppbevaringen av personopplysninger fremdeles er nødvendig, skal ikke nasjonal lovgivning la politiet oppbevare diverse personopplysninger, herunder biometriske og genetiske data, tilhørende personer som er dømt for en straffbar handling og som har sonet straffen, frem til den registrertes død. Videre skal de registrerte kunne kreve opplysningene slettet når de ikke er nødvendige for å oppnå formålet med oppbevaringen.
Direktiv (EU) 2016/680 er en del av det europeiske personvernregelverket, sammen med forordning (EU) 2016/679 [GDPR] om behandling av personopplysninger. Direktivet erstattet rammebeslutning 2008/977/JIS om personvern innen politisamarbeid og annet rettslig samarbeid i straffesaker, som var inntatt i Schengen-avtalen og gjennomført i politiregisterloven og politiregisterforskriften. LED-direktivet er bindende for Norge gjennom Schengenavtalen og er forsøkt gjennomført i politiregisterloven med tilhørende forskrift, se Prop. 99 L (2016–2017) og Innst. 416 L (2016–2017).
I norsk rett har politiet vide adganger til å innhente og registrere (lagre) personopplysninger, herunder biologisk materiale. Innhenting av slike personopplysninger reguleres etter straffeprosessloven §§ 158 og 160, mens lagring reguleres etter politiregisterloven §§ 12 og 13. Politiet kan innhente og registrere slike opplysninger for alle som er mistenkt for handlinger som kan medføre frihetsstraff. DNA-profilen i identitetsregisteret skal i utgangspunktet lagres inntil domfelte er død og senest slettes fem år etter dette, jf. politiregisterforskriften § 45-17.
I HR-2019-1226-A var spørsmålet for Høyesterett om registrering av DNA-profilen til en mann som var blitt domfelt for skatteunndragelse (A) var et uforholdsmessig inngrep i privatlivet i strid med EMK artikkel 8. Flertallet (4 dommere) konkluderte med at registreringen av As DNA-profil ikke var et uforholdsmessig inngrep og la betydelig vekt på den konkrete tilbakefallsrisikoen. Mindretallet (1 dommer) konkluderte med at inngrepet var uforholdsmessig og vektla at sannsynlighet for at DNA-registrering vil bidra til å oppklare senere saker, var lav. I etterkant av denne dommen skrev professor ved Universitetet i Bergen, Ragna Aarli, en ekspertkommentar i Juridika Innsikt, der hun tar til orde for at det bør gjøres endringer i dagens registerordning, særlig ved registrering av DNA-profil i identitetsregistret. Avgjørelsen fra EU-domstolen kan tvinge frem en slik endring av de relevante bestemmelsene i straffeprosessloven og politiregisterloven.
Hvordan dommen fra EU-domstolen skal tolkes i norsk rett er imidlertid noe usikkert. LED-direktivet er en rettsakt vedtatt utenfor EØS-samarbeidet, men inntatt i Schengen-avtalen (som Norge er bundet av). Samtidig er EU-charteret en sentral tolkningskilde for EU-domstolen – en rettsakt som Norge verken er bundet av gjennom EØS- eller Schengen-avtalen. Samtidig tolker EU-domstolen charteret i tråd med EMK, som Norge er bundet av. Likevel kan det spørres om retten til beskyttelse av personopplysninger – som er utskilt som en egen rettighet i charteret artikkel 8 – gir en mer omfattende beskyttelse enn den som følger av EMK artikkel 8. Hvis dette ikke er tilfelle, vil charteret artikkel 8 i så fall være en overfladisk bestemmelse, da den vil konsumeres av charteret artikkel 7 om retten til privatliv. Om norske domstoler vil bygge på EMK eller homogenitetsprinsippet når de skal tilnærme seg dommen, gjenstår å se. Uansett vil ikke EFTA-domstolen ha kompetanse til å gi rådgivende uttalelser om direktivet ettersom den ikke har kompetanse til å uttale seg om tolkningen av Schengen-avtalen.
(C-118/22)
SB