1.1 EOS-utvalgets hovedkonklusjoner

EOS-utvalget retter skarp kritikk mot Politiets sikkerhetstjeneste (PST) for tjenestens innhenting av en stor mengde opplysninger om norske statsborgeres flyreiser. EOS-utvalget mener innhentingen har vært – og er – ulovlig, fordi PST ikke har hatt et rettslig grunnlag for den.

EOS-utvalget ønsker å gjøre Stortinget oppmerksom på følgende fire forhold:

• PST har videreført praksisen med å hente inn opplysninger om norske flypassasjerers utenlandsreiser, også etter at utvalget i 2014 kritiserte tjenesten i en konkret sak for ikke å ha lovhjemmel for slik innhenting.

• PST har urettmessig skaffet seg tilgang til store mengder opplysninger, både om norske og utenlandske passasjerer, på nasjonale og internasjonale ruter, gjennom tilgang til bookingsystemet til flyselskapet Norwegian Air Shuttle ASA («Norwegian»). En slik tilgang har PST ikke hatt hjemmelsgrunnlag for. Dette er opplysninger som PST ellers hadde vært nødt til å be om domstolens tillatelse til å innhente i hver enkelt sak.

• PST har fått åtte flyselskaper til rutinemessig å sende passasjerlister til tjenesten. Den rutinemessige oversendelsen har omfattet opplysninger om anslagsvis 1 million reisende årlig. Flere hundre tusen av disse har vært nordmenn. Denne rutinemessige innhentingen er ulovlig. Opplysningene har blitt oppbevart i flere måneder og har vært tilgjengelig for søk.

• PST har ikke hatt tilstrekkelig internkontroll og dokumentasjon av egen innhentingsvirksomhet.

I 2017 skrev PST til utvalget at regelverket «nok ikke» hjemlet verken tilgang til bookingsystemet eller rutinemessig oversendelse av passasjerlister. I stedet for å stanse praksisen utarbeidet tjenesten en intern rutine (oversendt til utvalget i februar 2019) der det fremgår at opplysningene fortsatt skal samles inn. I september 2019 uttaler PST så til utvalget at hjemmelsgrunnlaget for innhentingen er uklart.

EOS-utvalget har en klar forventning om at PST stanser en praksis de selv mener ikke er i henhold til regelverket.

PSTs håndtering av saken har skjerpet utvalgets kritikk.

1.2 Bakgrunnen for den særskilte meldingen og gjennomføring av undersøkelsen

1.2.1 PSTs innhenting av passasjeropplysninger i 2014

Under behandlingen av en sak i 2014 kom det frem at PST hadde innhentet informasjon om person fra flere flyselskaper. Utvalget spurte tjenesten om det rettslige grunnlaget.

PST mente i 2014 at tjenesten hadde hjemmel i utlendingsloven, og argumenterte med at lovens virkeområde var mer vidtrekkende enn en ren utlendingskontroll. Tjenesten anførte at selv om hjemmelen i utlendingsloven var uklar, «særlig sett hen til lovens virkeområde», kunne det være riktig å hjemle utleveringen av reiseopplysninger i utlendingsloven «gitt dagens systematikk i lovverket». PST, konkluderte med at loven kunne benyttes til å forebygge og etterforske straffbare handlinger generelt.

PST skrev videre at spørsmålet om utlendingslovens rekkevidde ville bli tatt opp med Justis- og beredskapsdepartementet (heretter Justisdepartementet). For øvrig poengterte tjenesten at den hadde behov for opplysningene om reisene til personen det gjaldt på det tidspunktet. Utvalget mente på sin side at det var vanskelig å se at utlendingsloven og reglene om utlendingskontroll ga hjemmel til å utlevere reiseopplysninger om en norsk statsborger til PST, og kritiserte derfor tjenesten. Saken ble i utvalgets årsmelding for 2014 oppsummert slik:

«På denne bakgrunn mente utvalget at utlevering av passasjerinformasjon om personen til PST, ikke syntes å ha rettslig grunnlag i utlendingslovgivningen, slik PST anførte.»

1.2.2 EOS-utvalgets oppfølgning og gjennomføring av undersøkelsen

I 2017 gjorde utvalget nye søk som viste at PST fortsatt hadde vid tilgang til opplysninger om flypassasjerer. Tilgangen omfattet også norske borgeres utenlandsreiser.

Undersøkelsene viste at flere flyselskaper rutinemessig sendte fullstendige passasjerlister til PST, som deretter oppbevarte listene. Utvalget fant videre at PST hadde eget brukernavn og passord som PST benyttet til å gjøre søk i bookingsystemet til Norwegian.

EOS-utvalget har sendt flere brev til PST for å få oversikt over de faktiske og rettslige forholdene rundt innsamlingen og oppbevaringen av flypassasjeropplysninger. PST har sendt svar på utvalgets henvendelser i tillegg til at utvalget har fått kopi av brevveksling mellom PST og Justisdepartementet.

Da PST i sitt svar til utvalget i desember 2017 bekreftet at det hadde skjedd innsamling av opplysninger i stort omfang, og i tillegg skrev at det hadde skjedd uten tilstrekkelig hjemmelsgrunnlag, besluttet utvalget å inspisere PST-kontoret på Gardermoen. Inspeksjonen ble gjennomført 14. mars 2018 og ble varslet til tjenesten kun kort tid før gjennomføringen.

For øvrig har utvalget sendt brev med spørsmål til Norwegian, Kripos (som behandlingsansvarlig for grense- og territorialkontrollregisteret, GTK) og Tolletaten.

1.3 Rettsgrunnlaget for PSTs innhenting av opplysninger

1.3.1 Generelt om vernet av personopplysninger

Personopplysninger har et sterkt vern i norsk rett, gjennom Grunnloven § 102 og EMK artikkel 8. Det er viktig for tilliten til samfunnsinstitusjonene at personopplysninger behandles i henhold til lovverket.

Personopplysninger er definert som enhver opplysning om en identifisert eller identifiserbar person. Behandling av personopplysninger har et vern i Grunnloven § 102:

«Enhver har rett til respekt for sitt privatliv og familieliv, sitt hjem og sin kommunikasjon. Husransakelse må ikke finne sted, unntatt i kriminelle tilfeller. Statens myndigheter skal sikre et vern om den personlige integritet.»

Flertallet i Stortingets kontroll- og konstitusjonskomité ga i Innst. 186 S (2013–2014) uttrykk for at Grunnloven § 102 «skal leses som at systematisk innhenting, oppbevaring og bruk av opplysninger om andres personlige forhold bare kan finne sted i henhold til lov, benyttes i henhold til lov eller informert samtykke og slettes når formålet ikke lenger er til stede». Høyesterett har senere lagt dette til grunn.

En lignende beskyttelse av inngrep i privatlivet følger av EMK artikkel 8 om retten til respekt for privatliv og familieliv.

I en rettsavgjørelse om oppbevaring av materiale som var innhentet ved kommunikasjonskontroll, har Høyesterett uttalt at for «å gi en slik hjemmel som Grunnloven og menneskerettskonvensjonene krever, holder det ikke at loven er formelt sett i orden, og at den etter alminnelige tolkningsprinsipper gir grunnlag for lagringen».

Høyesterett skrev videre:

«Det gjelder også kvalitative krav: Loven må være tilgjengelig og så presis som forholdene tillater. Den må dessuten – i lys av den forhøyede risikoen for misbruk og vilkårlighet som erfaringsmessig kan foreligge når myndigheter tillates å operere i hemmelighet – gi rimelige garantier knyttet til blant annet formen for lagring, bruken av materialet, mulighetene for innsyn, sikkerhet og sletting.»

Uttalelsen gjelder opplysninger fra kommunikasjonskontroll, men viser at kravet til klart hjemmelsgrunnlag er skjerpet der det kan være risiko for misbruk og vilkårlighet, noe utvalget mener er relevant for vurderingene i meldingen her. Personvernet har generelt blitt styrket fra 2018 på grunn av EUs personvernforordning, som er tatt inn som norsk lov gjennom personopplysningsloven § 1.

Innsamling og oppbevaring av flypassasjeropplysninger er etter dette et inngrep i grunnleggende rettigheter med et vern som kun kan fravikes i form av en klar hjemmel i lov.

1.3.2 Kort om regelverket for PSTs virksomhet

Politiets sikkerhetstjeneste har ansvar for å forebygge og etterforske straffbare handlinger mot rikets sikkerhet, ulovlig etterretningsvirksomhet, sabotasje og politisk motivert vold. Sentralt i arbeidet står innsamling av informasjon om personer og grupper som kan utgjøre en trussel.

PSTs behandling og oppbevaring av opplysninger reguleres av politiregisterloven. Det er et krav at opplysninger kun kan behandles når de er nødvendige og relevante for PSTs oppgaveløsning.

I tillegg til å etterforske lovbrudd skal PST forebygge bestemte straffbare handlinger. PST er gitt mer vidtrekkende hjemler til å behandle personopplysninger enn det politiet for øvrig har. I forarbeidene til politiregisterloven står følgende:

«Skal PST være i stand til å oppfylle sine forebyggende oppgaver på en måte som står i forhold til trusselbildet og de truende interesser, må adgangen til å behandle opplysninger utenfor straffesak for personer som ikke er mistenkt for et konkret straffbart forhold, etter utvalget oppfatning vurderes annerledes enn for politiet ellers.»

PST kan med hjemmel i straffeprosessloven og politiloven innhente personopplysninger, både som ledd i etterforskning og i det forebyggende sporet. Innhentingen skal da skje i henhold til de materielle og prosessuelle rettsikkerhetsgarantier lovverket oppstiller.

I instruks for Politiets sikkerhetstjeneste § 9 første ledd er PST gitt en rolle i tilknytning til utlendingskontroll:

«Dersom det er nødvendig av hensyn til ivaretakelsen av tjenestens oppgaver, kan politiets sikkerhetstjeneste foreta kontroll med tilreisende og fastboende utlendinger. Kontrolloppgaven skal i nødvendig grad utøves i samarbeid med øvrig politi og utlendingsmyndighetene.»

PST er ifølge grensekontrollrundskrivet for øvrig lite involvert i planlegging og gjennomføring av grensekontroll og utlendingskontroll på territoriet, og for at «PST i best mulig grad skal kunne ivareta de oppgaver som tjenesten er tillagt etter politiloven § 17b og § 17c, er tjenesten helt avhengig av at kontrollen med hvem som reiser inn og tar opphold i riket er god».

Dette oppfatter utvalget som at PST er avhengig av at øvrige instanser utøver en god grensekontroll all den tid PST selv er lite involvert i denne kontrollen.

1.3.3 Utlendingsloven som mulig rettslig grunnlag for innhenting av opplysninger om norske flypassasjerer

1.3.3.1 Utlendingsloven og utlendingsforskriftens bestemmelser

Utlendingsloven har som formål å «gi grunnlag for regulering av og kontroll med inn- og utreise, og utlendingers opphold i riket, i samsvar med norsk innvandringspolitikk og internasjonale forpliktelser». Lovens saklige virkeområde står i § 2:

«Loven gjelder utlendingers adgang til riket og deres opphold her. Også norske statsbogere og juridiske personer kan pålegges plikter etter loven.»

Med «utlending» forstås enhver som ikke har norsk statsborgerskap, og loven har blant annet som formål å «ivareta rettssikkerheten til utlendinger som reiser inn eller ut av riket».

I utlendingsloven § 20 er det bestemt at Kongen kan gi forskrift om at «føreren av luftfartøy som kommer fra, eller går til utlandet, skal gi politiet fortegnelse over reisende og mannskap».

Utlendingsforskriften § 4-24 første ledd første og andre punktum lyder:

«Etter anmodning skal fører av luftfartøy som kommer fra eller går til utlandet, gi politiet fortegnelse over reisende og mannskap, etter at innsjekking er avsluttet, jf. lovens § 20 første ledd bokstav a. Fortegnelsen skal inneholde de samme opplysninger som passasjerlisten.»

Som ledd i implementeringen av EUs nye personvernforordning ble det i 2018 gitt nye bestemmelser i utlendingsloven og -forskriften for «å gi myndighetene en klar hjemmel for behandling av personopplysninger i utlendingssaker». I forskriften er det bestemt at personopplysninger «skal samles inn for spesifikke, uttrykkelig angitte og berettigede formål, herunder a) regulere og kontrollere utlendingers innreise, utreise og opphold i riket».

I sin høringsuttalelse 12. januar 2018 skrev PST at tjenesten støtter departementets forslag til endringer, og nevner ikke noe behov for særregulering for å kunne innhente passasjeropplysninger om norske borgere.

1.3.3.2 PNR- og API-direktivene

I forbindelse med saken i 2014 skrev PST at det var opprettet dialog med Justisdepartementet angående bruksområdet til utlendingsloven og utlendingsforskriften. Utvalget ba i brev av 24. oktober 2017 om en redegjørelse for dialogen. I svar 6. desember 2017 skrev PST at tjenesten ikke gikk videre med dialogen siden det var igangsatt arbeid med implementeringen av API og PNR-direktivene.

PNR-direktivet (Passenger Name Record) ble vedtatt av EU i april 2016. Formålet med direktivet er å forhindre, oppdage, etterforske og straffeforfølge terrorhandlinger og alvorlig kriminalitet. PNR-data er «flyselskapenes kommersielle bookinginformasjon, som for eksempel navn, seteønske, måltidspreferanser, betalingsmetode, reiserute, assistanse og reisefølge». Flyselskapene blir i direktivet pålagt å gi et nasjonalt myndighetsorgan som medlemsstaten utpeker eller oppretter, tilgang til passasjerdataene, som deretter skal oppbevares i fem år. Direktivet er ikke EØS- eller Schengen-relevant, noe som innebærer at Norge ikke er folkerettslig forpliktet til å gjennomføre det. Men PST skriver i sitt brev til utvalget 24. september 2019 at det er «gitt signaler om at PNR-direktivet vil bli implementert i norsk rett» og at Politidirektoratet «er gitt i oppdrag å utarbeide et system for innhenting av PNR-data». PST deltar også i arbeidet.

API-direktivet (Advance Passenger Information) er et direktiv vedtatt av EU i april 2004 som har som formål å «bedre grensekontrollen og bekjempe ulovlig innvandring ved at transportører på forhånd oversender passasjeropplysninger til vedkommende nasjonale myndigheter». Direktivet ble regnet som Schengen-relevant og forplikter Norge. Utlendingsforskriften § 4-24 er ifølge Justisdepartementet ansett å gjennomføre kravene som ligger i API-direktivet. Etter denne bestemmelsen er det politiet som skal ha en slik fortegnelse (liste).

Direktivet artikkel 3, 1. punkt lyder:

«Medlemsstatene skal treffe de tiltak som er nødvendige for å pålegge transportøren en plikt til, på anmodning fra de myndigheter som har ansvar for å gjennomføre personkontrollen på de ytre grenser, og før innsjekkingen er over, å overføre opplysninger om personer de skal transportere til et godkjent grenseovergangssted, der disse personene vil reise inn på en medlemsstats territorium.»

API-direktivet artikkel 3 punkt 2 angir hvilke opplysninger som skal overføres. Det er ikke gjort noe unntak for plikten til å oversende opplysninger ut fra nasjonalitet eller annet.

Personopplysningene skal «oversendes myndigheter med ansvar for å gjennomføre personkontrollen på de ytre grenser som passeres ved innreise på en medlemsstats territorium, for å lette gjennomføringen av disse kontroller og slik kunne bekjempe ulovlig innvandring på en mer effektiv måte». Opplysningene skal ifølge direktivet lagres på en midlertidig fil før de slettes og det «innen 24 timer etter overføringen med mindre det er behov for opplysningene på et senere tidspunkt for å kunne utføre lovpålagte oppgaver hos myndigheter med ansvar for å gjennomføre personkontrollen på de ytre grenser, i samsvar med intern lovgivning og med forbehold for bestemmelsene om datavern i direktiv 95/46/EF».

PST skrev i sitt brev 6. desember 2017 at da utlendingsforskriften § 4-24 ble utarbeidet, var det «ment som et forsøk på å implementere API-direktivet». Tjenesten viste til forarbeidene til ny grenselov, der det står følgende:

«Meldeplikten for reisende med fly etter utlendingsforskriften § 4-24 er ment å dekke forpliktelsen etter rådsdirektiv 2004/82/EF om lufttransportørers plikt til å fremsende opplysningen om passasjerer (Advance Passenger Information (API)-direktivet).»

Videre indikerer et rundskriv fra Politidirektoratet at lovgiver kan ha ment at utlendingslovens bestemmelser om flypassasjeropplysninger omfatter også norske borgere. I rundskrivets punkt 4.4 er det vist til fører av luftfartøys plikt til å gi politiet en forhåndsmelding når de ber om det, med fortegnelse over passasjerer og mannskap. I rundskrivets punkt 4.4.2 er dette presisert til at det «skal foretas systematisk inn- og utreisekontroll av alle personer på flygninger til/fra Norge direkte til/fra land som ligger utenfor Schengenområdet».

1.3.3.3 Ny grenselov

PST har videre vist til lov 20. april 2018 nr. 8 om grensetilsyn og grensekontroll av personer (grenseloven). Loven er vedtatt, men er per 14. november 2019 ikke trådt i kraft. Reglene om grensepassering og inn- og utreisekontroll som i dag er å finne i utlendingsloven, skal overføres til grenseloven. Dette gjelder også bestemmelsen om at transportør av luftfartøy som kommer fra eller går til utlandet, har plikt til å oversende opplysninger om reisende og mannskap til politiet.

PST har vist til forarbeidene til den nye grenseloven, der det står følgende:

«Inn- og utreisekontrollen er en del av utlendingskontrollen, men den er ikke bare det. Kontrollen gjelder alle som passerer de ytre grensene, hva enten de er norske borgere, Schengenborgere eller tredjelandsborgere.

[…] Viktig i denne sammenheng er den store betydningen inn- og utreisekontroll har i bekjempelsen av grensekryssende kriminalitet

[…] Når utvalget i samsvar med flertallets standpunkt skal utarbeide en samlende grenselov, må altså reglene om inn- og utreisekontroll og utlendingskontroll splittes, slik at grenseloven i likhet med grenseforordningen bare blir et regelverk om kontroll og overvåkning av grensene og grensepasseringene. Det kan best gjennomføres ved at reglene om inn- og utreisekontroll i utlendingsloven flyttes til grenseloven.»

Videre har PST vist til forarbeidenes omtale av gjeldende rett, der det står:

«Meldeplikten for reisende med fly etter utlendingsforskriften § 4-24 er ment å dekke forpliktelsen etter rådsdirektiv 2004/82/EF om lufttransportørers plikt til å fremsende opplysningen om passasjerer (Advance Passenger Information (API)-direktivet).»

1.3.4 EOS-utvalgets syn på utlendingsloven som mulig rettslig grunnlag

Utvalget mente i 2014 at utlendingslovgivningen ikke kunne benyttes til å innhente opplysninger om norske statsborgere. EOS-utvalget kritiserte da PST og forventet at tjenesten den gang ville avklare hjemmelsgrunnlaget for innsamling av opplysninger om norske borgeres flyreiser utenlands.

Utvalget ser at det kan ha vært lovgivers intensjon å implementere API-direktivets bestemmelser i utlendingsforskriften § 4-24, slik det siterte om gjeldende rett fra forarbeidene til ny grenselov tyder på. Utlendingsloven, som utlendingsforskriften er hjemlet i, gjelder like fullt utlendingers adgang til riket, og har ingen klar lovbestemmelse som tilsier at opplysninger om norske borgeres flyreiser skal kunne kreves utlevert.

PST peker på at forslaget om å flytte bestemmelsen som pålegger fører av luftfartøy å overlevere passasjerlister til politiet, over til grenseloven, tyder på at bestemmelsen ikke var ment kun å gjelde for utenlandske borgere. At departementet lar sin oppfatning av hvordan loven skal forstås, komme til uttrykk i forarbeidene til en lov som ikke har trådt i kraft, kan etter vår mening tillegges liten vekt.

EOS-utvalget mener videre at endringene i utlendingslovgivningen som følge av implementeringen av personvernforordningen i 2018 styrker utvalgets konklusjon om at PST ikke kan kreve opplysninger om norske borgeres utenlandsreiser.

En annen sak er at PST i medhold av straffeprosesslovens og politilovens bestemmelser kan innhente opplysninger både som ledd i etterforskning og forebygging. Dette krever imidlertid domstolenes tillatelse, fra sak til sak.

Innhenting av passasjeropplysninger om norske borgeres utenlandsreiser har ikke hjemmel i utlendingsloven. Utvalget har derfor kritisert PST på nytt, som vi gjorde i 2014.

Utvalget konstaterer at tjenesten og utvalget fremdeles er uenig på dette punktet. Til tross for at uenigheten om hjemmelsgrunnlaget kom opp for flere år siden, har PST fortsatt ikke fått avklart det rettslige grunnlaget for innhenting av norske borgeres utenlandsreiser. Dette gir grunn til å skjerpe kritikken mot PST.

1.4 De konkrete innhentingsmetodene

1.4.1 Innledning

Etter det utvalget har fått klarlagt, har PST benyttet to metoder for innhenting av flypassasjeropplysninger. PSTs tilgang til Norwegians bookingsystem omtales i punkt 1.4.2 nedenfor. Den rutinemessige oversendelsen av flypassasjerlister fra enkelte flyselskaper omtales i punkt 1.4.3

1.4.2 PSTs tilgang til Norwegians bookingsystem

1.4.2.1 Hvordan fikk PST tilgang?

EOS-utvalget fant i 2017 opplysninger som viste at PST hadde direkte tilgang til å foreta søk etter passasjeropplysninger i bookingsystemet til Norwegian. På spørsmål fra utvalget bekreftet PST at tjenesten hadde eget brukernavn og passord som ga mulighet til å søke etter opplysninger i bookingsystemet.

PST har ikke dokumentasjon som viser når tilgangen til bookingsystemet ble gitt, men mener det sannsynligvis skjedde i 2010. PST har opplyst til utvalget at tjenesten fikk brukernavn og passord via grensekontrollen, som også ga PST en innføring i systemet.

På spørsmål fra EOS-utvalget har Norwegian svart 21. mai 2019 at Tolletaten har lovhjemlet rett til tilgang til selskapets bookingsystem og at også ulike tjenestepersoner tilknyttet Tolletatens lokale samarbeidsgruppe (PTG-gruppen) har rett til slik tilgang. Etter Norwegians mening har PST ingen lovfestet rett til tilgang til bookingsystemet og ble heller ikke «på noe tidspunkt» gitt slik tilgang. Norwegian har videre skrevet at da sikkerhetsansvarlig i Norwegian ba ansatte i selskapet om å redegjøre for hvorfor en tjenesteperson fra PST hadde tilgang til bookingsystemet, var svaret at «vedkommende tilhørte Tolletatens PTG-gruppe og var blitt introdusert for Norwegian som slikt medlem».

Etter utvalgets henvendelse 8. april 2019 hadde Norwegian videre spurt Tolletaten og fått vite at PST ikke er en del av Tolletatens PTG-gruppe. Tollsjefen var også «tydelig i sin oppfatning av at kun Tolletaten skal kunne benytte seg av den aktuelle tilgangen til Norwegians bookingsystem». Da Norwegian ble klar over PSTs tilgang, sendte selskapet en avviksmelding til Datatilsynet.

Norwegian har opplyst til utvalget at det nå har orientert alle sine ansatte om at «polititjenestepersoner ikke skal ha tilgang til flyselskapets bookingsystem».

EOS-utvalget har sendt Norwegians svar til PST. PST har i brev til utvalget av 24. september 2019 forklart at etter tjenestens oppfatning «har alle vært innforstått med at det er PST-ansatte som har benyttet PTG-gruppens søkertilgang til bookingsystemet og at dette har vært en tålt og akseptert praksis». PST oppgir at det er viktig å «understreke at tjenesten aldri har hatt en intensjon om fordekt å utgi seg for å være noen andre enn PST-ansatte».

1.4.2.2 Hvilke søk har PST gjort?

EOS-utvalget har forsøkt å få klarhet i hva slags søk som har blitt gjennomført av PST i Norwegians bookingsystem.

PST har opplyst at tjenesten søkte i Norwegians system. I systemet er det mulig å gjøre søk på personer og få treff på alle deres flyvninger med Norwegian.

Gjennom systemet har tjenesten hatt tilgang til navn, tidspunkt for bestillingen, tidspunkt for reisen, opplysning om reise til/fra, betaling, betalingsform, beløp og kredittkortnummer med de 6 første og 4 siste sifrene, e-postadresse, telefonnummer, bookingnummer og opplysninger om eventuelle andre personer på samme booking/felles billettbestilling. Disse opplysningene var ifølge PST tilgjengelig 18 måneder tilbake i tid, og tre måneder frem i tid, altså til sammen i nesten to år. Norwegian har skrevet til utvalget at opplysningene i utgangspunktet lagres i fem år.

Ifølge Norwegian har hyppigheten av påloggingene vært fra flere ganger daglig, til én gang i uken. Søkene har ifølge PST blitt utført på bakgrunn av forespørsler fra PST sentralt eller etter tips fra grensekontrollen.

Utvalget ba PST om å sende over de ti siste søkene som ble gjort i selskapets bookingsystem. I oversendelsesbrevet skrev PST at Norwegian hadde bistått tjenesten med å gjøre de siste søkene på nytt for å ta utskrift av dem. PST skrev også at «normalt noterer vi oss kun resultatene av søkene som blir gjort».

Ifølge PST ble søk gjort i bookingsystemet ikke loggført. Norwegian har opplyst at selskapet har oversikt over opplysninger om hvilke brukernavn som er pålogget til hvilket tidspunkt, men ikke innholdet i søkene.

Utvalget har forsøkt å finne ut om søketilgangen også har omfattet norske borgeres innenlandsreiser. Dette er opplysninger PST åpenbart ikke kan innhente med hjemmel i utlendingsloven. PST opplyste først følgende om søketilgangen:

«Søketilgangen til Norwegians systemer begrenser seg til flyvninger til og fra Norge, og det er ikke gitt adgang til å søke på innenlands flyvninger eller flyvninger mellom andre stater.»

Da vi gjennomførte vår inspeksjon av PSTs enhet på Gardermoen 14. mars 2018, ble det funnet opplysninger som tydet på at det ikke eksisterte noen slik begrensning. Utvalget stilte derfor på nytt spørsmål til PST den 3. mai 2018.

I sitt svar 31. mai 2018 skrev PST innledningsvis at deres tidligere svar fra desember 2017 kunne være «egnet til å skape misforståelse». PST skrev videre:

«Det medfører riktighet som utvalget presiserer at PST har adgang til å søke i Norwegian sitt bookingsystem på navn til enkeltpersoner uavhengig av nasjonalitet og om flyvningen er innenlands i Norge, til og fra Norge eller mellom andre stater.»

PST opplyste videre at begrensningen i søketilgangen var noe tjenesten hadde «pålagt seg selv på bakgrunn av hjemmelsgrunnlaget i utlendingsloven § 20, jf. utlendingsforskriften § 4-24».

Utskriftene viser at dette ikke er gjennomført i praksis. Søkene PST har gjort, har resultert i informasjon om samtlige flyreiser personen har foretatt med Norwegian, inkludert innenlandsreiser.

1.4.2.3 Rettslig grunnlag for tilgangen til Norwegians bookingsystem

På utvalgets spørsmål om grunnlaget for PSTs søkeadgang i Norwegians bookingsystem redegjorde tjenesten først for grunnlaget for innhenting ved etterforskningssaker, tilfeller der den som har opplysninger, ikke frivillig vil utlevere opplysninger, og reglene om anmodning etter utlendingslovgivningen.

For øvrig skrev PST i sitt brev 6. desember 2017 følgende om rutinemessig oversendelse av passasjerlister til PST og tilgang til brukernavn og passord i Norwegians bookingsystemer:

«PST ser at utlendingsloven § 20, jf. forskriften § 4-24 nok ikke hjemler denne typen rutinemessig oversendelse, ei heller tilgang via eget brukernavn og passord. En slik praksis bør og skal lovreguleres og vi vil derfor fremme problemstillingen overfor departementet for en vurdering av om praksisen bør stanses.»

Uttalelsen var generelt utformet, og utvalget forstod dette som at PST mente at utlendingslovgivningen (eller annen norsk lovgivning) ikke hjemlet PSTs direkte tilgang til bookingsystemet hos Norwegian.

Etter å ha gjennomført inspeksjon av PST Gardermoen 14. mars 2018, mottok utvalget et brev der PST skrev følgende:

«Vi finner grunn til å informere utvalget om at PST har merket oss funn ved inspeksjonen, og har umiddelbart igangsatt et arbeid med å lukke avvik. Det er i den forbindelse utarbeidet en overordnet plan for arbeidet.»

Utvalget spurte 3. mai 2018 hvilke avvik PST hadde merket seg og hvordan disse var tenkt lukket. PST svarte 31. mai 2018:

«Etter inspeksjonen har PST sett at det er behov for å få på plass rutiner for innsamling, lagring og bruk av passasjeropplysninger for å sikre at dette foregår innenfor rammene av regelverket. Rutinene vil regulere ulike måter å innhente passasjeropplysninger på, hvordan disse skal lagres og når de skal slettes. Rutinen var planlagt ferdigstilt i løpet av april, men er noe forsinket. Vi legger til grunn at rutinen vil være ferdigstilt og godkjent innen utløpet av juni. PST vil oversende rutinen til utvalget umiddelbart.»

Etter å ha etterlyst den fikk utvalget Rutine for behandling av passasjeropplysninger oversendt 20. februar 2019. I grove trekk bestod rutinen av en beskrivelse av den praksisen PST hadde etablert – inkludert søk i Norwegians bookingsystem. Fra rutinen siteres:

«Flypassasjeropplysninger kan innhentes på ulike grunnlag. Enten som rutinemessig oversendelse fra flyselskapene, gjennom søk i Norwegians bookingsystemer eller etter anmodninger etter utlendingsloven § 20, jf. utlendingsforskriften § 4-24. I tillegg kan passasjeropplysninger innhentes som beslag etter straffeprosessloven § 203 eller som utleveringspålegg etter straffeprosessloven § 210 flg.»

Rutinen synes altså å angi utlendingsloven § 20 og utlendingsforskriften § 4-24 som hjemmel for søk i Norwegians bookingsystem. Dette står i motsetning til PSTs tidligere oppfatning om at de samme bestemmelsene «nok ikke hjemler […] tilgang via eget brukernavn og passord».

Siden rutinen la opp til en praksis i strid med tjenestens tidligere oppfatning, sendte utvalget 7. august 2019 et nytt brev til PST, der det nok en gang ble bedt om å gi en fyllestgjørende redegjørelse for hjemmelsgrunnlaget.

PST skrev i sitt svar 24. september 2019 at tjenesten «ser at hjemmelsituasjonen er uklar og dette er adressert til overordnet departement».

For øvrig skrev PST i samme brev at tjenesten «ikke lenger [har] tilgang til Norwegians bookingsystem og selskapet har stanset all utlevering av passasjerlister til PST».

1.4.2.4 EOS-utvalgets syn

PST har ikke klart å dokumentere overfor utvalget hvordan tjenestens faktiske tilgang til Norwegians bookingsystem kom til.

Utvalget har funnet det utfordrende å få klarhet i hva PST har ment om det rettslige grunnlaget for tilgangen i bookingsystemet.

EOS-utvalget er uenig med PST i at hjemmelssituasjonen er uklar. PSTs tilgang til Norwegians bookingsystem er ikke hjemlet verken i utlendingsregelverket eller noe annet sted i norsk lovgivning. Alle søk som har vært gjennomført i bookingsystemet, har dermed vært ulovlige. Søkeadgangen har gitt tilgang til store mengder personopplysninger gjennom flere år.

De rettssikkerhetsgarantier som ellers sikrer at PSTs innhenting av opplysninger er nødvendige og relevante, for eksempel domstolkontroll, er forbigått.

Siden søkene ikke er loggført hos PST eller Norwegian, har vi ikke hatt mulighet til å kontrollere de utførte søkene eller hva som har skjedd med opplysningene som PST har hentet ut fra bookingsystemet. Det er i seg selv utilfredsstillende. Praksisen har pågått over flere år og virker å ha vært godt kjent i PST. Praksisen ble ikke avsluttet før Norwegian nektet PST videre tilgang til bookingsystemet, noe Norwegian opplyste utvalget om i brev 21. mai 2019.

Tjenesten informerte EOS-utvalget først om at søketilgangen var begrenset til flyvninger til og fra Norge. Dette viste seg å være feil, og begrensningene var noe tjenesten opplyste at de hadde pålagt seg selv. Utskrifter av de søkene som PST hadde gjort hos Norwegian, viste at tjenesten uansett ikke hadde fulgt sin selvpålagte begrensning.

PSTs loggføring i en av tjenestens saker viste at PST var klar over at informasjon om passasjerer på innenlandsflyvninger må kreves utlevert etter straffeprosessloven. Til tross for dette har PST gjennomført søk etter norske statsborgere og dermed skaffet seg tilgang til opplysninger om personenes reiser i Norge.

Utvalget finner det lite tillitvekkende at PST ikke har hatt oversikt over hvilke faktiske tilganger tjenesten hadde, hvordan tilgangen kom i stand og hvilken informasjon PST har hentet inn. PST har ikke etablert noen form for loggføring eller internkontroll med hvilke tjenestepersoner som har søkt, når det har vært søkt og hvilke opplysninger som har vært hentet ut.

EOS-utvalget retter skarp kritikk mot PST for urettmessig å ha skaffet seg tilgang til Norwegians bookingsystem. Tilgangen har omfattet opplysninger om både norske og utenlandske statsborgeres reiser – opplysninger som PST ellers hadde vært nødt til å be domstolens tillatelse til å innhente.

Kritikken skjerpes av at praksisen har foregått over flere år og virker å ha vært godt kjent innad i PST. Til tross for mengden av opplysninger som har vært tilgjengelig gjennom bookingsystemet, har tjenesten ikke etablert noen form for begrensninger eller loggføring for å kontrollere hvilke opplysninger det har blitt søkt etter. Utvalget finner dette kritikkverdig.

1.4.3 PSTs innhenting av passasjerlister

1.4.3.1 Bakgrunn for og omfang av PSTs innhenting av flypassasjerlister

Utvalgets undersøkelser i 2017 viste også at PST rutinemessig mottar fullstendige passasjerlister fra noen flyselskaper. Da PST bekreftet at de mottok slike lister, ba utvalget om å få mer opplysninger om PSTs behandling av flypassasjerlistene.

På utvalgets spørsmål om når praksisen med oversendelse av flypassasjerlister oppstod, var svaret at det var noe usikkert, men PST antok at praksisen startet i 2013.

PST viste videre til at antall flyselskaper som rutinemessig oversender opplysninger, har gått ned fra åtte til seks per mai 2018. For øvrig skrev PST:

«Antall flyvninger tjenesten mottar opplysninger om i løpet av et år fra nevnte flyselskaper, anslås til 5304 pr. år. Totalt antall passasjerer er ca. 1 million, med et snitt på 188 passasjerer pr. flyvning. Av disse utgjør 464 949 norske borgere.»

Beregningene er gjort på grunnlag av de seks selskapene som fortsatt leverer passasjerlister, og ut fra informasjon fra tre selskaper som leverte passasjerlister med opplysninger om nasjonalitet. Utvalget ba PST 3. mai 2018 om å få oversendt de nyeste og eldste lagrede listene over flypassasjerer. Disse ble oversendt 31. mai 2018. De eldste listene er datert 1. januar 2018. Innholdet i listene varierer, men generelt ligger det opplysninger om rute og dag for reisen, passasjerens navn, passnummer, fødselsdato, kjønn og nasjonalitet i tillegg til tidspunktet for bestilling, bookingreferansenummer, navn på bestiller, setenummer og bookingklasse.

Så langt utvalget kjenner til, er det fortsatt seks flyselskaper som rutinemessig oversender fullstendige lister med passasjeropplysninger til PST.

1.4.3.2 Rettslig grunnlag for rutinemessig oversendelse av flypassasjerlister

PSTs svar på utvalgets spørsmål om rettslig grunnlag for rutinemessig å få oversendt flypassasjerlister har i stor grad vært sammenfallende med de rettslige grunnlagene PST har oppgitt for tilgang til Norwegians bookingsystem; utlendingsloven.

Utlendingsloven § 20 gir Kongen hjemmel til å gi forskrift om at fører av luftfartøy som kommer fra, eller går til utlandet, skal gi politiet en liste over reisende og mannskap. Utlendingsforskriften § 4-24 sier at fører av luftfartøy som kommer fra eller går til utlandet etter anmodning skal gi politiet en liste over reisende og mannskap, etter at innsjekking er avsluttet.

Spørsmålet her er om bestemmelsen som sier at fører av luftfartøy skal gi politiet en slik liste etter anmodning, gir grunnlag til å få fortegnelsene rutinemessig oversendt til seg.

PST skrev 6. desember 2017 at utlendingsregelverket «nok ikke hjemler» en slik rutinemessig oversendelse av flypassasjerlister, og at en slik praksis «bør og skal lovreguleres».

20. februar 2019 mottok utvalget PSTs rutine, der det står at «flere flyselskaper oversender rutinemessig passasjerlister til PST». Videre står det:

«Dette vil som hovedregel være passasjerlister på flyvninger fra destinasjoner som vurderes å være relevante for det til enhver [tid] gjeldende trusselbildet og for PSTs forebyggende formål, jf. politiloven § 17 b. Det er av avgjørende betydning for PSTs forebyggende arbeid at tjenesten har hurtig og effektiv tilgang til opplysninger fra flyselskapene. Erfaring viser at det i forbindelse med rekruttering og radikalisering av potensielle terrorister ofte foregår reiser til visse land og områder. Det samme gjelder for ulovlig etterretningsvirksomhet. PST har således behov for en løpende adgang til passasjeropplysninger vedrørende særlige destinasjoner og reisemønstre, som vurderes å være relevante i det til enhver tid gjeldende trusselbilde.»

Etter at utvalget 7. august 2019 ba PST klargjøre hjemmelsgrunnlaget, svarte PST følgende 24. september 2019:

«Etter dialogen med EOS-utvalget og Justisdepartementet ser PST at hjemmelsgrunnlaget for å anmode om passasjerlister er uklart. Dette gjelder både API-data og søkemulighetene vi har hatt i Norwegian sine bookingsystemer.»

PST viste til at en implementering av PNR-direktivet vil imøtekomme tjenestens informasjonsbehov. Videre skrev PST:

«I lys av det anerkjente behovet og risikoen som er forbundet med manglende tilgang på informasjon om flypassasjeropplysninger, har vi derfor fortsatt en praksis med å motta API-data fra flyselskaper fra enkelte risikoområder. Dette er kommunisert både skriftlig og muntlig til departementet.»

Justisdepartementet skrev i brev til PST 12. mars 2019 at det er politiet, i egenskap av grensekontrollmyndighet, som skal motta passasjerdata, men at PST har tilgang til grense- og territorialregisteret der dataene legges inn. Dette samsvarer med politiregisterloven § 21 som sier at tjenestemenn i politiet kan gis tilgang til opplysninger i den utstrekning det er tjenestemessig behov og formålet omfattes av politiregisterloven.

I høringsnotat 8. august 2019 om endringer i utlendingsforskriften har Justisdepartementet likevel foreslått at det presiseres at PST, i tillegg til politiet, skal kunne anmode fører av luftfartøy som kommer fra eller går til utlandet, om en fortegnelse over reisende og mannskap. Endringen innebærer ifølge høringsnotatet ingen endring av rettstilstanden siden PST uansett er en del av politiet og dermed har adgang til å få utlevert opplysninger. Endringen foreslås for å «skape mer klarhet og forutsigbarhet».

På samme side i høringsnotatet skrev departementet:

«Det foreslås derfor at flyselskapene også etter anmodning fra PST skal utlevere passasjerlister. Etter forslaget skal lister på samme måte som til politiet for øvrig utleveres ‘etter anmodning’. Det vil si at det ikke legges opp til en rutinemessig oversendelse av passasjerlister til PST.»

Utvalget forstår departementet slik at det verken har vært eller skal være anledning til rutinemessig oversendelser av passasjerlister. En slik forståelse er lik med utvalgets oppfatning av utlendingsforskriftens ordlyd.

1.4.3.3 Hvor ble passasjerlistene lagret?

Utvalget har undersøkt hvor passasjerlistene har vært lagret. Tjenesten skrev i brev 6. desember 2017 at listene ble lagret på filområdet til én ansatt. Ingen andre har hatt tilgang til opplysningene, og passasjerlistene ble ifølge PST slettet etter seks måneder. Tjenesten ga uttrykk for at praksisen skulle tas opp med departementet.

Utvalgets inspeksjon 14. mars 2018 avdekket at opplysningene ikke var lagret på filområdet som tidligere opplyst, men i e-postprogrammet til to medarbeidere som tjenestegjør ved PST på Oslo Lufthavn.

På spørsmål fra utvalget om praksisen skrev PST i sitt brev 31. mai 2018:

«Passasjerlistene som oversendes fra flyselskapene sendes til to medarbeidere som tjenestegjør ved PST på Oslo Lufthavn. Parallelt med dette sender flyselskapene listene til Grensekontrollen og Tollvesenet. Passasjerlistene som mottas hos medarbeiderne ved PST Oslo Lufthavn, videreformidles automatisk […] til en felles e-postadresse som tilhører PST kontoret på Romerike. Bakgrunnen for dette er at de andre medarbeiderne skal kunne svare på eventuelle henvendelser fra PST, dersom medarbeiderne ved PST Gardemoen er fraværende.»

PST skrev videre at praksisen nå er endret:

«Praksisen med at listene har blitt oversendt personlige e-post-adresser til PST-ansatte ved Gardemoen, har nå blitt endret. Det er opprettet en felles e-post-adresse for mottak av passasjerlister fra flyselskapene […], som vil erstatte epostadressene til PST-ansatte ved Gardemoen. Tilgang til e-postboksen vil styres ut fra oppgave. E-postboksen skal være i bruk fra 24. mai 2018.»

Utvalget fant at store mengder opplysninger om flypassasjerer ble lagret på PST-ansattes e-postkontoer.

1.4.3.4 Hvor lenge ble passasjerlistene lagret?

Utvalget har stilt spørsmål til PST om hvor lenge flypassasjerlistene har vært lagret og det rettslige grunnlaget for oppbevaringen. I PSTs brev 6. desember 2017 skrev tjenesten at «listene har vært lagret […] i seks måneder før de har blitt slettet». Denne praksisen skulle gjennomgås med departementet.

Utvalget avdekket under inspeksjonen i mars 2018 at flypassasjerlistene var lagret nesten ett år tilbake i tid. Det var også eksempler på at opplysninger var lagret i flere år.

PST opplyste i brev 31. mai 2018 at rutinene har blitt endret etter utvalgets inspeksjon:

«Etter EOS hadde sin inspeksjon på Gardermoen 21. mars 2018, er rutinene for oppbevaring/lagring og sletting av passasjeropplysninger endret. Det er nå kun tilsendte passasjerlister fra 4 første månedene i 2018 som er lagret, mens de som er eldre enn dette er slettet. Nåværende praksis og praksis fremover vil være [at] passasjeropplysninger vil bli slettet 2 ganger pr. måned.»

PST har ikke overfor utvalget oppgitt noe rettslig grunnlag for å lagre listene i inntil fire måneder.

1.4.3.5 EOS-utvalgets syn

Også når det gjelder PSTs rutinemessige innhenting av flypassasjerlister, har EOS-utvalget funnet det utfordrende å få en avklaring på om PST mener å ha tilstrekkelig rettslig grunnlag for praksisen.

Innsamlingen av passasjerlister fra tidligere åtte, nå seks flyselskaper med et totalt antall på ca. 1 million passasjerer årlig bærer preg av masseinnsamling. Listene har blitt lagret i flere måneder i den hensikt å kunne foreta søk i opplysningene, til tross for at en vesentlig andel av opplysningene antas å være fullstendig irrelevant for tjenestens oppgaveløsning.

Fra da PST opprinnelig skrev 6. desember 2017 at utlendingsregelverket «nok ikke» hjemler rutinemessig oversendelse av flypassasjeropplysninger, til at det ble beskrevet i en rutine at PST skulle videreføre en slik praksis, skriver PST i sitt siste brev til utvalget i 24. september 2019 at «hjemmelsgrunnlaget er uklart».

Da tjenesten først konkluderte med at regelverket nok ikke hjemlet rutinemessig oversendelse av passasjerlister, og skrev at det «skal og bør lovreguleres», var den varslede oppfølgingen at problemstillingen skulle fremmes overfor departementet for en vurdering av om praksisen skulle stanses. EOS-utvalget har en klar forventning om at PST stanser en praksis de selv mener ikke er i henhold til regelverket.

Utvalget mener PST tolket hjemmelsgrunnlaget riktig da tjenesten i brev til utvalget 6. desember 2017 konkluderte med at utlendingsloven § 20, jf. utlendingsforskriften § 4-24, nok ikke hjemler rutinemessig oversendelse av flypassasjeropplysninger til PST.

EOS-utvalget kritiserer PST for praksisen med rutinemessig oversendelse av store mengder flypassasjeropplysninger uten å ha hjemmelsgrunnlag for det. Kritikken skjerpes av at innhentingen har vært preget av å være masseinnsamling av opplysninger der de fleste ikke har relevans for PSTs oppgaveløsning, og at opplysningene deretter har blitt lagret i flere måneder.

1.5 EOS-utvalgets kontroll av PST-ansattes e-postkontoer og personlige områder

Som redegjort for i Dokument 7:2 (2019–2020) ble passasjerlister lagret på PST-ansattes e-postkontoer. Slike områder ligger utenfor det som utvalget normalt kontrollerer i PST.

Utvalget har ikke indikasjoner på at lagringen av listene på PST-ansattes e-postkontoer var motivert av et ønske om å unndra opplysninger fra EOS-utvalgets kontroll. Resultatet kunne likevel ha vært at utvalget ikke hadde oppdaget den urettmessige innsamlingen.

Det er en forutsetning for utvalgets kontroll at vi kan kontrollere samtlige systemer i PST der tjenesten behandler informasjon som er relevant for utvalgets kontrollmandat. Utvalget har tidligere ikke bedt om innsyn i PST-ansattes e-postkontoer. Denne saken har illustrert at utvalget har et behov for å ta regelmessige stikkprøvekontroller i PSTs e-postservere. Også de ansattes personlige områder vil utvalget søke innsyn i. Bestemmelsen i EOS-kontrolloven § 8 om utvalgets innsynsrett gir utvalget hjemmel til å kreve slikt innsyn.

EOS-utvalget ber derfor PST om å legge til rette for kontroll av PSTs e-postservere og personlige områder.

1.6 PSTs håndtering av saken

Saken har vært omfattende, og det har vært krevende for utvalget å kartlegge hele saksforløpet og alle involvertes vurderinger. Utvalget vil knytte enkelte kommentarer til PSTs håndtering av saken.

Utvalget har i flere runder henvendt seg til PST for avklaring av faktiske og rettslige forhold. Utvalget forventer at PST svarer på utvalgets spørsmål. I denne saken står flere spørsmål ubesvart, som hjemmelsgrunnlaget for å lagre passasjeropplysningene og enkelte faktaopplysninger om tilgang til Norwegians bookingsystem.

PST har også gitt svar til utvalget som har vist seg å inneholde feil. For eksempel ble utvalget gitt gal informasjon om hvilke tilganger PST hadde i Norwegians bookingsystem. Tilgangen viste seg å være mer oppfattende enn først opplyst. Det er ifølge EOS-utvalget bekymringsfullt at PST ikke har god nok dokumentasjon til å opplyse en sak overfor utvalget.

PST synes heller ikke å ha utredet de rettslige spørsmålene tilstrekkelig før tjenesten svarte EOS-utvalget.

1.7 EOS-utvalgets avsluttende merknader

Et formål med EOS-utvalgets kontroll er å «skape tillit til at EOS-tjenestenes virksomhet, som befolkningen ikke har fullt innsyn i, holdes innen rammen av det lovlige».

På bakgrunn av kritikken forventer EOS-utvalget at PST avstår fra videre ulovlig innhenting av opplysninger. EOS-utvalget legger videre til grunn at PST sletter all informasjon som er innhentet i strid med regelverket.

Videre oppfordrer utvalget PST til å bedre internkontrollen og sikre gode rutiner for dokumentasjon av overvåkingsvirksomheten. Dette er også viktig av hensyn til utvalgets etterfølgende kontroll. Utvalget forventer i tillegg at PST legger til rette for kontroll av ansattes e-postkontoer og eventuelle andre personlige områder hos PSTs ansatte.

EOS-utvalget tar ikke stilling til hvilke hjemler PST bør ha til å behandle opplysninger om flypassasjerer. Tjenesten er, i samråd med ansvarlig departement, den nærmeste til å vurdere behovet og eventuelt fremme forslag om lovendringer. Det er opp til Stortinget, som lovgivende organ, å fastsette rammene for tjenestens virksomhet. EOS-utvalget skal kontrollere at disse etterleves.