Hvor er jeg i veiledningen?

Tilbake til hovedsiden

Tilbake til siden for personvernrisiko for innhenting til etterretningsformål ved bruk av skytjenester

1         Innledning

Norges menneskerettslige forpliktelser og Grunnloven setter ytre rammer for det personvernnivået innbyggerne har. For de menneskerettslige forpliktelsene kommer dette til uttrykk i Schrems II hvor EU-domstolen vurderer overføringsmekanismene Privacy Shield og Standard Contractual Clauses (SCC) i lys av EUs charter for menneskerettigheter (CFR) 7, 8 og 47.

Det kan tenkes en rekke menneskerettslige spørsmål knyttet til beskyttelsesnivået en innbygger har krav på ved bruk av skytjenester. I det følgende skal vi fokusere på hvilket beskyttelsesnivå en innbygger har krav på i forbindelse med risikoen for at personopplysninger blir hentet inn for etterretningsformål.

2         EMK artikkel 8 er utgangspunktet for EØS-land

I Schrems II vurderer EU-domstolen CFR. Denne gjelder ikke direkte for Norge. Dette følger i utgangspunktet av EØS-avtalen art 7. CFR ikke er en del av EØS-avtalen og CFR er heller ikke inntatt som et vedlegg. For personvernforordningen kommer forholdet mellom forordningen og CFR tydelig til uttrykk i Decision of the EEA Joint Committee No 154/2018, 6 July 2018, art. 1 bokstav c og i. Her blir det spesifikt regulert at CFR ikke skal gjelde ved myndighetsutøvelse av tilsynsmyndighetene i EFTA-land. Dermed må Datatilsynet legge den europeiske menneskerettskonvensjonen (EMK) til grunn for sine vedtak. Norske offentlige virksomheter må legge EMK til grunn for hvilke rettigheter borgerne i Norge har krav på.

Nærmere om charterets betydning i EØS-retten

Selv om EUs charter ikke er en del av EØS-avtalen kan den fremdeles ha betydning ved tolkningen av andre rettskilder og dermed indirekte betydning i EØS-retten. Halvard H. Fredriksen går i artikkelen «Betydningen av EUs pakt om grunnleggende rettigheter for EØS-retten» nærmere inn på dette.

For personvern er EMK artikkel 8 den sentrale bestemmelsen. Sammen med artikkel 13 gir den flere av de samme menneskerettene som CFR artikkel 7, 8, 47 og 52. Vi går ikke nærmere inn på eventuelle forskjeller i vernet etter disse bestemmelsene.

3         Kort om EMK artikkel 8

EMK artikkel 8 nr. 1 angir at «Everyone has the right to respect for his private and family life, his home and his correspondence». Retten til personvern er omfattet av denne bestemmelsen.

Som for flere andre menneskerettigheter, gir ikke EMK artikkel 8 absolutte rettigheter. I bestemmelsens nr. 2 fremgår det på hvilke vilkår rettighetene i nr. 1, herunder retten til personvern, kan innskrenkes.

Det må skilles mellom et inngrep og en krenkelse. Det må derfor først vurderes om det foreligger et inngrep i en eller flere av rettighetene i EMK artikkel 8 nr. 1. Dersom det foreligger et inngrep, må en se om dette inngrepet oppfyller vilkårene i EMK artikkel 8 nr. 2. Inngrepet må være «in accordance with the law» og «necessary in a democratic society» og forfølge et legitimt formål. Vilkårene er nærmere utviklet igjennom rettspraksis, se eksempelvis Big Brother Watch and Others v. United Kingdom med videre referanser. Vilkåret «necessary in a democratic society» gir uttrykk for en proporsjonalitetsvurdering. I denne vurderingen ser man hen til i hvilken grad de øvrige vilkårene er oppfylt og om de står i forhold til alvorheten av inngrepet. Jo større inngrepet er, jo viktigere er det at det foreligge mekanismer som ivaretar individets rettsikkerhet. Det foreligger ingen krenkelse av rettigheten dersom vilkårene i annet ledd er oppfylt.

Etterretning er ikke nødvendigvis problematisk i seg selv. Normalt er dette nødvendig for at stater skal ivareta sikkerheten til staten og innbyggerne. Den problematiske etterretningen er derimot den som går for langt, slik at balansen mellom hensyn til personvern og hensynet til sikkerhet ikke er proporsjonal. Dette kommer til uttrykk i forholdet mellom et inngrep og en krenkelse.

I personvernforordningen følger forholdet mellom inngrep og krenkelse direkte av fortalens avsnitt 4 og kommer blant annet til uttrykk i unntaksbestemmelsene i personvernforordningen, se for eksempel artikkel 23. I likhet med EMK artikkel 8 nr. 2 må inngrep og unntak i hovedtrekk være fastsatt i lov, følge et legitimt formål og være proporsjonale. For eksempler på hvordan dette vurderes etter EMK, se blant annet CENTRUM FÖR RÄTTVISA v. SWEDEN (sak nr. 35252/08) avsnitt 246 flg. med videre henvisninger.

4         Hvilket vern mot andre lands innhenting til etterretningsformål følger av EMK artikkel 8?

4.1        Om problemstillingen

EMK forplikter statene som har ratifisert konvensjonen. Forpliktelsene innebærer både negative og positive forpliktelser. Negative forpliktelser innebærer at statene må avstå fra inngrep som medfører krenkelser. Positive forpliktelser innebærer at statene må sikre et nivå som gjør at rettighetene ikke blir krenket, jf. EMK artikkel 1. I det videre benyttes «medlemsstat» om en stat som har ratifisert EMK, og med tredjeland menes en stat som ikke har ratifisert EMK. Med «ratifisering» menes at en stat forplikter seg til å følge en folkerettslig avtale.

Flere dommer fra den Europeiske menneskerettighetsdomstolen viser at etterretning og annen skjult tvangsmiddelbruk kan utgjøre et inngrep i EMK artikkel 8. Rettspraksis som arbeidsgruppen kjenner til, knytter seg til hvorvidt en medlemsstat sin etterretningslovgivning og etterretningspraksis utgjør et inngrep og eventuelt en krenkelse av rettighetene til sine borgere. Det er altså et spørsmål om den negative forpliktelsen etter EMK. Ett eksempel er domstolens vurderinger av hvorvidt svensk etterretningslovgivning krenker svenske innbyggeres rettigheter etter EMK artikkel 8 i CENTRUM FÖR RÄTTVISA v. SWEDEN (sak nr. 35252/08).

Schrems II skiller seg ut ved at EU-domstolen vurderer hvilket vern europeiske borgere skal ha mot at myndighetene i tredjeland henter inn personopplysninger til etterretningsformål ved en overføring til dette tredjelandet. Eksempelvis hvilket vern europeiske innbyggere har mot amerikanske myndigheters etterretning. Det er mange konkrete forhold ved EU-domstolens vurdering av personvernforordningen i lys av CFR 7, 8 og 47 i Schrems II som ikke enkelt lar seg overføre til andre vurderinger.

For vurderinger av vernet mot slik etterretning er det sentralt hvilken relasjon en innbygger har overfor myndigheten som driver med den. Særlig er dette komplisert der data ikke overføres etter personvernforordningens kapittel V. For å gi en hensiktsmessig metodisk tilnærming til spørsmålet, deles problemstillingen inn i følgende deler:

1. Hvilket vern mot sitt eget lands innhenting til etterretningsformål har en innbygger? (Eksempelvis hvilket vern har norske borgere mot slik norsk etterretning?)
2. Hvilket vern mot en medlemsstats innhenting til etterretningsformål har en innbygger fra annen medlemsstat? (Eksempelvis hvilket vern har norske borgere mot slik etterretning fra et annet land som har ratifisert EMK?)
3. Hvilket vern mot tredjelands innhenting til etterretningsformål har en innbygger i en medlemsstat ved overføring av personopplysninger til denne tredjestaten?(Eksempelvis hvilket vern har norske borgere mot slik amerikansk etterretning ved overføring av personopplysninger til USA?)
4. Hvilket vern mot tredjelands innhenting til etterretningsformål har en innbygger i en medlemsstat når opplysninger behandles i EU/EØS og det ikke overføres personopplysninger til denne tredjestaten? (Eksempelvis hvilket vern har norske borgere mot slik amerikansk etterretning ved bruk av amerikanske tjenester i EU/EØS?)

De to første problemstillingene i listen får ikke så mye oppmerksomhet her, og er bare med i oversikten for å fylle ut bildet.

4.2        Hvilket vern mot sitt eget lands innhenting til etterretningsformål har en innbygger?

Problemstillingen er hvilket vernenivå innbyggeren i stat A har mot stat A sin etterretningslovgivning. For inngrep som følger av en medlemsstats egen etterretning er de negative forpliktelsene aktuelle. Statene selv står for inngrepet og må sørge for at sin etterretning ikke utgjør en krenkelse etter EMK artikkel 8 nr. 2.

For inngrep som en konsekvens av etterretning, hemmelige tjenester eller skjult tvangsmiddelbruk fra medlemsstater i EU og Europarådet, viser rettspraksis at inngrep i privatlivets fred kan konstateres på bakgrunn av at det finnes lovgiving som muliggjør et slikt inngrep. Dette er altså en objektiv vurdering av hvorvidt det eksisterer lovgivning som gjør det mulig med et inngrep i den registrertes rettigheter. En slik vurdering tar ikke hensyn til om hemmelige tjenester faktisk har fått tilgang, eller om opplysninger som tjenesten har tilgang til er sensitiv eller ikke (eks. EU Domstolen case Osterreichischer Rundfunk and Others, C-465/00, C-138/01 og C-139/01) avsnitt 74, 75, Digital Rights Ireland and others C-293/12 avsnitt 33 til 36, EMD Klass and Others v. Germany avsnitt 34).

Det er flere dommer som kan indikere hvilke typer etterretning som medfører en krenkelse etter EMK artikkel 8 (For en generell redegjørelse for dette se Den Europæiske Menneskerettighedskonvention, for praktikere, 2020 Av Jon Fridrik Kjølbro kapittel 16.8 med videre henvisninger). Det er sentralt å skille på tradisjonell etterretning og bulkinnsamling av data. For bulkinnsamling av data er det aktuelt å se på storkammerdommene i Big Brother Watch v. UK og Centrum for Rättsvisa v. Sverige (CfR). En rettslig analyse fra en gruppe ledet av det norske forsvarsdepartementet oppsummeres den slik :

«I CfR konstaterte EMD at det svenske bulkinnsamlingsregimet var basert på klare og detaljerte regler, at bruksområdet var klart avgrenset og at det inneholdt rettssikkerhetsmekanismer. Domstolen understreket at det svenske systemet inneholdt prosedyrer for uavhengig forutgående kontroll som sikret at lovgrunnlaget ble anvendt i praksis, og som reduserte risikoen for uforholdsmessige konsekvenser for den enkeltes rett til respekt for privatlivet. Det ble særlig vist til at det svenske systemet legger opp til at den uavhengige Försvarsunderrättelsedomstolen må forhåndsgodkjenne og prøve lovligheten og forholdsmessigheten av hver enkelt bulkinnsamlingsoperasjon, og at de allmenne interessene i den enkelte sak som forelegges domstolen ivaretas av et personvernombud. EMD fant tre mangler i det svenske systemet som samlet sett medførte at Sverige ble domfelt for krenkelse av EMK artikkel 8 om retten til respekt for privatlivet. Det var særlig manglene knyttet til et tynt lovgrunnlag for utlevering av informasjon til andre, og svakheter knyttet til etterhåndskontrollen, som medførte domfellelse.»

Denne problemstillingen behandles ikke nærmere her. Slike spørsmål er ikke i kjernen av de utfordringene virksomhetene i arbeidsgruppen har. Dette punktet er likevel viktig fordi det illustrerer det typiske forholdet mellom parter og inngrep som blir løftet for EMD. Det har betydning for de følgende punktene, da subjektene og hva som eventuelt skulle utgjøre et inngrep blir endret.

4.3        Hvilket vern mot innhenting til etterretningsformål har en innbygger fra en annen medlemsstat?

Problemstillingen er hvilket vernenivå innbyggere i stat A har mot innhenting til etterretningsformål fra stat B når både A og B er medlemsstater av EMK.

For behandling av personopplysninger, er dette spørsmålet komplisert. Formålet med personvernforordningen er å sikre et godt og likt vernenivå for den registrerte i EU/EØS, for å igjen sørge for fri flyt av personopplysninger, jf. forordningens artikkel 1. Den klare presumsjonen for land innenfor EU/EØS bør derfor være at fordi de er underlagt personvernforordningen så skal vernenivået være tilstrekkelig. Det skal derfor som utgangspunkt ikke kunne diskrimineres mellom land innenfor EU/EØS.

Alle borgere i medlemsstater skal ha rettighetene som følger av EMK. Det kan derfor være nærliggende å tenke at en innbygger skal ha samme vernet mot et annet lands etterretning som innbyggeren i dette landet har, slik dette er nærmere beskrevet i punkt 4.2. For EMK følger det likevel med en rekke prosessuelle begrensninger, jf. EMK seksjon II. Det kan derfor ikke uten videre legges til grunn at vurderingene vil være de samme. Dette understøttes videre av at etterretning på et overordnet nivå må kunne sies å være et folkerettslig spørsmål.

På denne bakgrunn er det mer nærliggende å vurdere om og i hvilken grad en innbyggers stat har en positiv forpliktelse til å sikre innbyggeren mot innhenting til etterretningsformål fra et annet land. Det er imidlertid svært usikkert hva som vil være rekkevidden av en slik eventuell positiv forpliktelse.

En eventuell positiv forpliktelse må vurderes i lys av hvilket vern en innbygger gis etter personvernforordningens bestemmelser. Deretter må det vurderes om det vernenivået den registrerte satt igjen med etter anvendelse av personvernforordningens bestemmelser, var av en slik art at staten har en positiv forpliktelse til å gjøre noe med dette.

4.4        Hvilket vern mot tredjelands innhenting til etterretningsformål gir EMK artikkel 8 ved overføring av opplysninger til dette tredjelandet?

Problemstillingen er hvilket vern innbyggerne i stat A har mot stat C sin innhenting av personopplysninger til etterretningsformål dersom det overføres personopplysninger fra stat A til stat C, og der A er en medlemsstat i EU og har ratifisert EMK og C er et tredjeland. Dette er problemstillingen i Schrems II.

Problemstillingen har flere likhetstrekk med den som er beskrevet i punkt 4.3 - det er usikkert hvilket vern en innbygger i et land har mot et inngrep som skulle følge av et annet lands etterretningslovgivning. For tredjelands innhenting til etterretningsformål er det videre usikkert hva som skal utgjøre inngrepet. Ettersom tredjelandene ikke er konvensjonsparter til EMK er det ikke naturlig å vurdere hvorvidt tredjelandets etterretningslovgivning i seg selv utgjør et inngrep. Det er kun konvensjonsparter til EMK som har pliktene etter EMK. Tredjeland har ikke en plikt til å avstå fra inngrep som utgjør krenkelser av rettighetene i EMK artikkel 8.

Til tross for at tredjelands lovgivning i seg selv ikke utgjør et inngrep, vurderer EU-domstolen i Schrems II amerikansk etterretningslovgivning. Dette skyldes at EU-domstolen vurderer lovgivningen i forlengelse av Privacy Shield-avtalen. Mer presist vurderer domstolen om EU-kommisjonen på bakgrunn av den amerikanske etterretningslovgivningen kunne kommet til at vernenivået var tilstrekkelig ved overføring med utgangspunkt i Privacy Shield, jf. eksempelvis avsnitt 198. Etter pvf. artikkel 45 nr. 2 bokstav a skal EU-kommisjonen ta hensyn til blant annet lovgivningen i tredjelandet ved en beslutning om tilstrekkelig beskyttelsesnivå.

Fordi EU-domstolen vurderer den amerikanske etterretningslovgivningen i forlengelse av Privacy Shield, legger arbeidsgruppen til grunn at det er en overføring til et land med "problematisk lovgivning" som utgjør inngrepet i individets rettigheter etter EMK art 8 nr. 1, og ikke selve den problematiske lovgivningen. Det er altså overføringen som må vurderes etter EMK artikkel 8 nr. 2.

En overføring med SCC må oppfylle vilkårene i EMK artikkel 8 nr. 2. SCC som overføringsmekanisme har grunnlag i personvernforordningen slik at overføringen er «in accordance with the law». Videre søker SCC som overføringsmekanisme å legge til rette for en trygg overføring av personopplysninger. Dette kan blant annet være for å sikre «economic well-being of the country» eller for å sikre «the protection of the rights and freedoms of others». Det avgjørende vil derfor være om inngrepet overføringen medfører er «necessary in a democratic society». I dette må risikoen for tredjelands etterretning vurderes, og dette vil normalt ta utgangspunkt i tredjelandets etterretningslovgivning.

I Schrems II pekes det på at etterretningslovgivningen i USA ikke var tilstrekkelig klar og avgrenset. Lovgivningen hadde heller ikke tilstrekkelige minimumsgarantier (Schrems II avsnitt 180). Privacy Shield som mekanisme sikret heller ikke håndhevbare rettigheter og effektive rettsmidler for den registrerte (Schrems II avsnitt 186). Samlet sett ga ikke Privacy Shield som ordning tilstrekkelige rettssikkerhetsmekanismer for å avhjelpe en overføring til et land hvor etterretningslovgivningen gikk lengre enn det som var «necessary in a democratic society» (Se Schrems II avsnitt 171 flg.) I dommen vurderes ikke EMK, men om den amerikanske etterretningslovgivningen er for vidtrekkende, jf. CFR artikkel 52. Denne sammenfaller i stor grad med EMK 8 nr. 2 når en vurdere om det foreligger en krenkelse.

I lys av det som er beskrevet i dette punktet, og hva EU-domstolens sier i Schrems II, samt andre rettskilder for overføring av personopplysninger legger arbeidsgruppen til grunn at det ved overføringer på bakgrunn av SCC skal foretas en helhetsvurdering. I helhetsvurderingen er det avgjørende er at inngrepet som overføringen medfører ikke går lengre det som er nødvendig i et demokratisk samfunn. Dette innebærer en forholdsmessighetsvurdering hvor inngrepets størrelse sammenliknes med eventuelle mekanismer som avhjelper de negative konsekvensene av inngrepet. Dersom inngrepet er uforholdsmessig stort, skjer det en krenkelse.

Hvorfor vurderer vi EMK når denne forplikter stater?

Det statene som har pliktene etter EMK. I Schrems II gir EU-domstolen imidlertid tydelig uttrykk for at den registrertes vernenivå ved overføring av personopplysninger med SCC skal være det som følger av artikkel 45 nr. 1 sett i lys av 7, 8 og 47 CFR. Presumsjonsprinsippet gir også uttrykk for at vernenivået etter personvernforordningen må sees i lys av vernenivået etter EMK.

"Presumsjonsprinsippet går i sin kjerne ut på at norske bestemmelser bør tolkes på en måte som stemmer overens med landets folkerettslige forpliktelser. Presumsjonsprinsippet forutsetter at folkerettens regel er kjent, slik at den kan anvendes som korrektiv og rettesnor ved analysen av de rettskildefaktorene som springer ut av det nasjonale rettssystemet. Først må folkerettsregelens innhold identifiseres [...], deretter «leser» man det nasjonale materialet i lys av, og så langt mulig i samsvar med, dette." (Vår tilpasning)

Finn Arnesen og Are Stenvik, Internasjonalisering og juridisk metode. Særlig om EØS-rettens betydning i norsk rett, 2. utgave, Universitetsforlaget, 2015 s. 64, Juridika

På bakgrunn av EU-domstolens uttalelser i Schrems II til hvordan vernenivået skal forstås og presumsjonsprinsippet legger arbeidsgruppen til grunn at vernenivået etter EMK får betydning ved fastleggelsen av vernenivået etter personvernforordningen. Den som overfører personopplysninger må derfor vurdere vernenivået etter EMK, uavhengig av om vedkommende er direkte forpliktet etter EMK.

4.5        Hvilket vern mot tredjelands innhenting til etterretningsformål gir EMK artikkel 8 ved behandling av personopplysninger i EU/EØS?

Problemstillingen er hvilket vern innbyggerne i stat A mot innhenting til etterretningsformål fra stat B når stat A er en medlemsstat og stat B er et tredjeland. Dette er den vanligste situasjonen for virksomhetene i arbeidsgruppen. Virksomhetene benytter eksempelvis amerikanske skytjenester hvor regionen er satt til EU/EØS, men hvor en må vurdere risikoen for amerikansk innhenting til etterretningsformål. For mer om problemstillingen og personvernforordningens rammer for dette kan du lese her.

Denne problemstillingen har flere likhetstrekk med problemstillingen beskrevet i punkt 4.4 ved at det er tredjelandets innhenting til etterretningsformål som kan påvirke vernenivået til innbyggeren. Den har imidlertid også likhetstrekk med problemstillingen i punkt 4.3 ved at det ikke skjer en overføring i pvf. kapittel V forstand. Når en skytjenesteleverandør opererer i EU/EØS skjer det i utgangspunktet ingen overføring. Det er derfor ingen overføringsmekanisme som tredjelandets etterretningslovgivning kan vurderes i forlengelse av. Som påpekt i punkt 4.4 vil ikke en innbygger i en medlemsstat kunne klage inn tredjelands etterretningslovgivning på selvstendig grunnlag. Innbyggeren vil etter omstendighetene kunne klage inn sin egen medlemsstat, men da med et spørsmål om hva denne medlemsstaten måtte ha gjort som følge av en positiv forpliktelse.

En vil kanskje si at ved bruk av skytjenester i EU/EØS kan risikoen for at tredjelands etterretning vil få tilgang til opplysninger påvirke retten til privatliv etter EMK artikkel 8. Arbeidsgruppen legger til grunn at alle land driver med etterretning. Et lands etterretningslovgivning kan gi viktige indikasjoner på hvor stor risikoen er. Etterretningslovgivningen kan likevel ikke være avgjørende. Det er fortsatt en risiko for etterretning selv om det ikke er mulig å identifisere lovgivning som databehandleren er underlagt.

Ettersom risikoen kan påvirke innbyggeren i en medlemsstat, må spørsmålet være hvorvidt medlemsstaten har en positiv forpliktelse til å gjøre noe med denne risikoen. Som for punkt 4.3 vil en likevel først måtte ta utgangspunkt hvilket vern en innbygger gis etter personvernforordningens bestemmelser. Deretter må det vurderes om det vernenivået innbyggeren har etter anvendelse av personvernforordningens bestemmelser, er av en slik art at staten skulle ha en positiv forpliktelse til å gjøre noe med dette. Dette vil måtte vurderes konkret.

Det er altså usikkert hvilket vern en innbygger har etter EMK artikkel 8 mot innhenting til etterretningsformål fra et tredjeland når opplysningene behandles i EU/EØS. Vurderingen må gjøres konkret og i lys av vernet etter personvernforordningen. Arbeidsgruppen legger til grunn at pvf. artikkel 32, jf. 28 nr. 1 er det sentrale utgangspunktet for en slik vurdering, og i vurderingen er det relevant å se hvilke rettssikkerhetsmekanismer den registrerte har.

5         Grunnloven § 102

«Enhver har rett til respekt for sitt privatliv og familieliv, sitt hjem og sin kommunikasjon. Husransakelse må ikke finne sted, unntatt i kriminelle tilfeller.

Statens myndigheter skal sikre et vern om den personlige integritet.»

Grunnloven § 102

Denne bestemmelsen skal leses som at systematisk innhenting, oppbevaring og bruk av opplysninger om andres personlige forhold bare kan finne sted i henhold til lov, benyttes i henhold til lov eller informert samtykke og slettes når formålet ikke lenger er til stede. (Innst. 186 S (2013-2014) punkt 2.1.9. s.27).

Bestemmelsen gir ikke noe adgang til eller vilkår for å gjøre inngrep i rettigheten, men har en klar sammenheng med Grunnloven § 113. Høyesterett har lagt til grunn at inngrep i rettighetene i § 102 kan skje dersom tiltaket har en tilstrekkelig hjemmel, forfølger et legitimt formål og er forholdsmessig. (Rt. 2014 side 1105 avsnitt 28 og Rt. 2015 side 93 avsnitt 60).

Grunnloven har klare likhetstrekk med EMK artikkel 8 (1. Enhver har rett til respekt for sitt privatliv og familieliv, sitt hjem og sin korrespondanse. 2. Det skal ikke skje noe inngrep av offentlig myndighet i utøvelsen av denne rettighet unntatt når dette er i samsvar med loven og er nødvending i et demokratisk samfunn av hensyn til den nasjonale sikkerhet, offentlige trygghet eller landets økonomisk velferd, for å forebygge uorden eller kriminalitet, for å beskytte helse eller moral, eller for å beskytte andres rettigheter og friheter.), og må tolkes i lys av denne (Rt.2015 side 93 avsnitt 57). Fordi det finnes mye rettspraksis i tilknytning til EMK artikkel 8, og Schrems II gjaldt CFR 7, 8 og 47, legger arbeidsgruppen til grunn at Grunnloven ikke gir et annet vern enn EMK på dette punktet og vi forholder oss derfor til EMK i det videre.

6         Oppsummering og konklusjon

Flere dommer fra EMD kan belyse hvilket vern en innbygger har etter EMK artikkel 8 mot egne etterretningsmyndigheter. Det er imidlertid usikkert hvilket vern en innbygger har etter EMK artikkel 8 mot etterretning fra andre land. Dette må uansett først vurderes i lys av det vernet en innbygger har etter personvernforordningen.

Ved overføring av personopplysninger til et tredjeland har en innbygger likevel et vern etter EMK artikkel 8 ved at overføringen ikke må utgjøre en krenkelse. I vurderingen av om inngrepet er «necessary in a democratic society» må en vurdere risikoen for tredjelands innhenting til etterretningsformål og eventuelt om det eksisterer rettsikkerhetsmekanismer som kan avhjelpe et inngrep overføringen medfører.

Felles for alle spørsmålene som knytter seg til risikoen for innhenting til etterretningsformål fra tredjeland, har arbeidsgruppen laget en veiledning som søker å få med de relevante momentene i en vurdering.