Dommen over datalagringsdirektivet

EU-domstolen har talt, og konklusjonen er knusende: Direktivet om datalagring er ugyldig - og det har aldri vært gyldig.

EU-dom­sto­lens dom over data­lag­rings­di­rek­ti­vet har med ret­te fått stor opp­merk­som­het. Det hører med til sjel­den­he­te­ne at dom­sto­len i Lux­em­bourg set­ter foten ned over­for EUs lov­gi­ven­de orga­ner. De fles­te av direk­ti­vets mot­stan­de­re satt nok sin lit til Men­neske­ret­tig­hets­dom­sto­len i Stras­bourg frem­for til EUs egen dom­stol. Selv den mek­ti­ge tys­ke for­fat­nings­dom­sto­len vek til­ba­ke fra å over­prø­ve selve direk­ti­vet da den i 2010 slo fast at den tys­ke lov­giv­nin­gen som gjen­nom­før­te direk­ti­vet i tysk rett var i strid med den tys­ke grunn­lo­ven, på grunn av for ukla­re og sva­ke per­son­vern­ga­ran­ti­er.

Gitt den tid­vis meget opp­he­te­de poli­tis­ke dis­ku­sjo­nen knyt­tet til data­lag­rings­di­rek­ti­vet, ikke minst i kjøl­van­net av avslø­rin­ge­ne av ame­ri­kans­ke myn­dig­he­ters omfat­ten­de over­våk­ning av nær sagt enhver form for elekt­ro­nisk kom­mu­ni­ka­sjon, kun­ne EU-dom­sto­len kun­ne kna­pt valgt en bed­re sak for å demon­stre­re at den tar EU-bor­ger­nes grunn­leg­gen­de ret­tig­he­ter på alvor.

Forbausende klar dom

Vel så opp­sikts­vek­ken­de som utfal­let er dom­mens pre­mis­ser. EU-dom­sto­len er nem­lig for­bau­sen­de klar: Direk­ti­vets reg­ler om data­lag­ring repre­sen­te­rer et meget omfat­ten­de og sær­lig alvor­lig inn­grep i ret­ten til respekt for pri­vat­li­vet og til beskyt­tel­se av per­son­opp­lys­nin­ger.

EU-domstolens bygninger i Luxembourg (foto: EU-domstolen).

EU-dom­sto­lens byg­nin­ger i Lux­em­bourg (foto: EU-dom­sto­len).

Dom­mer­ne aner­kjen­ner rik­tig­nok at direk­ti­vet for­føl­ger et legi­timt for­mål (kri­mi­na­li­tets­be­kjem­pel­se) og de slår også fast at EU-ret­ten ikke prin­si­pi­elt er til hin­der for enhver form for lag­ring av tele­data, men de er sam­ti­dig meget kla­re på at det må fore­tas en streng kon­troll av om EUs lov­gi­ven­de orga­ner har sør­get for å begren­se inn­gre­pet i bor­ger­nes grunn­leg­gen­de ret­tig­he­ter til det strengt nød­ven­di­ge. Utfal­let av den­ne kon­trol­len er opp­løf­ten­de for per­son­ver­net og til­sva­ren­de ned­slå­en­de for EU-kom­mi­sjo­nen, Euro­pa­par­la­men­tet og med­lems­sta­te­ne som stem­te for direk­ti­vet i Rådet: Direk­ti­vet fav­ner for vidt ved at det på gene­relt vis kre­ver lag­ring av alle tra­fikk­data, uten at der fore­tas noen sond­ring, begrens­ning eller unn­tak til­pas­set det angit­te for­må­let om bekjem­pel­se av grov kri­mi­na­li­tet. Direk­ti­vet inne­hol­der hel­ler ingen defi­ni­sjon av begre­pet grov kri­mi­na­li­tet – det­te er over­latt til med­lems­sta­te­ne. Og myn­dig­he­te­nes til­gang til lag­re­de tele­data er hel­ler ikke betin­get av sam­tyk­ke fra en uav­hen­gig instans (en dom­stol eller et uav­hen­gig for­valt­nings­or­gan).

Ugyldig — med «tilbakevirkende» kraft

Også varig­he­ten av lag­rin­gen slår EU-dom­sto­len ned på: Direk­ti­vet kne­set­ter en mins­te lag­rings­tid på seks måne­der uten å sond­re mel­lom uli­ke typer data eller deres nytte­ver­di i for­hold til for­må­let om kri­mi­na­li­tets­be­kjem­pel­se. Og direk­ti­vet åpner for lag­ring helt opp til to år, uten å angi noen kri­te­ri­er for å sik­re at data ikke lag­res len­ger enn strengt nød­ven­dig. Direk­ti­vet sik­rer hel­ler ikke ugjen­kal­le­lig slet­ting av data etter lag­rings­pe­riodens utløp.

Ende­lig – og vel med en dår­lig skjult hen­vis­ning til ame­ri­kans­ke myn­dig­he­ter – kri­ti­se­rer EU-dom­sto­len den omsten­dig­het at direk­ti­vet ikke kre­ver at data­ene skal lag­res i EU. Mulig­he­ten for lag­ring uten­for EU med­fø­rer at direk­ti­vet ikke sik­rer at lag­rin­gen vil være under EU-retts­lig kon­troll, noe som iføl­ge dom­sto­len er helt avgjø­ren­de for å sik­re at lag­rin­gen skjer i over­ens­stem­mel­se med EU-bor­ger­nes grunn­leg­gen­de ret­tig­he­ter.

Kon­klu­sjo­nen er knu­sen­de: Data­lag­rings­di­rek­ti­vet er ugyl­dig. EU-dom­sto­len fin­ner der­for ikke engang grunn til å gå inn på spørs­må­let om direk­ti­vet også er i strid med ytrings­fri­he­ten. Og enda vik­ti­ge­re – i mot­set­ning til dom­sto­lens egen gene­ral­ad­vo­kat er ikke dom­mer­ne vil­li­ge til å hol­de direk­ti­vet kuns­tig i live inn­til EU even­tu­elt kom­mer opp med nye, mer begren­se­de og mer pre­si­se reg­ler om lag­ring av tra­fikk­data. Dom­men ram­mer føl­ge­lig med «til­bake­vir­ken­de» kraft: Direk­ti­vet har ald­ri vært gyl­dig. En kon­se­kvens av det­te er blant annet at med­lems­sta­ter som tid­li­ge­re er blitt bøte­lagt for ikke å ha over­holdt direk­ti­vets gjen­nom­fø­rings­frist, nå kan kre­ve bøte­ne til­bake­be­talt fra Kom­mi­sjo­nen. Med ren­ter.

Begrenser politikernes handlingsrom

Selv om det er rik­tig at EU-dom­sto­len ikke sten­ger døren for enhver form for lag­ring av tele­data, så inne­hol­der dom­men meget kla­re førin­ger for EUs og med­lems­sta­te­nes poli­tis­ke hand­lings­rom.

For det førs­te er det grunn til å mer­ke seg dom­sto­lens påpek­ning av at lag­ring og hem­me­lig bruk av alle sli­ke data er et skritt i ret­ning av et over­vå­kings­sam­funn:

[T]he fact that data are retai­ned and sub­se­quent­ly used wit­hout the sub­scri­ber or registe­red user being infor­med is like­ly to gene­rate in the minds of the per­sons con­cerned the feeling that their pri­va­te lives are the sub­ject of con­stant surveil­lance (avsnitt 37).

Dom­men lest under ett etter­la­ter liten tvil om at EU-dom­sto­len ikke anser det­te som noen øns­ke­lig utvik­ling, for å uttryk­ke det for­sik­tig.

Dommerne ved EU-domstolen (foto: EU-domstolen).

Dom­mer­ne ved EU-dom­sto­len (foto: EU-dom­sto­len).

For det annet er dom­mer­nes aner­kjen­nel­se av at EU-ret­ten ikke prin­si­pi­elt er til hin­der for enhver form for lag­ring av tele­data inter­es­sant for­di den er knyt­tet til den omsten­dig­het at data­lag­rings­di­rek­ti­vet ikke kre­ver lag­ring av inn­hol­det i kom­mu­ni­ka­sjo­nen. EU-dom­sto­len for­mu­le­rer seg her på et vis som mer enn anty­der at gene­rell lag­ring av inn­hold ald­ri kan rett­fer­dig­gjø­res (avsnitt 39). I kjøl­van­net av Snow­den-avslø­rin­ge­ne kan det­te være en retts­lig avkla­ring av stør­re prak­tisk betyd­ning enn man skul­le øns­ke.

For det tred­je er EU-dom­sto­lens gene­rel­le til­nær­ming til EU-lov­gi­vers hand­lings­rom meget inter­es­sant: Dom­mer­ne slår fast at per­son­ver­net er så vik­tig, og inn­gre­pet som lag­rin­gen inne­bæ­rer så alvor­lig, at lov­gi­ver­nes hand­lings­rom er begren­set og dom­stols­kon­trol­len til­sva­ren­de streng:

[I]n view of the impor­tant role play­ed by the pro­tec­tion of per­so­nal data in the light of the fun­da­men­tal right to respect for pri­va­te life and the extent and serious­ness of the inter­fe­ren­ce with that right cau­sed by Direc­ti­ve 2006/24, the EU legislature’s discre­tion is redu­ced, with the result that review of that discre­tion should be strict (avsnitt 48).

Det­te vil gjel­de til­sva­ren­de både for et even­tu­elt nytt data­lag­rings­di­rek­tiv og for even­tu­el­le nasjo­na­le sær­lo­ver om data­lag­ring. Og både nasjo­na­le dom­sto­ler og men­neske­retts­dom­sto­len i Stras­bourg må for­ven­tes å føl­ge sam­me til­nær­ming. Dom­men gir med det­te også et vik­tig bidrag i den gene­rel­le dis­ku­sjo­nen om makt­for­de­lin­gen mel­lom lov­gi­ve­re og dom­sto­ler i kon­sti­tu­sjo­nel­le demo­kra­ti­er. Her vil nok opp­fat­nin­ge­ne være del­te, både blant poli­ti­ke­re, juris­ter, stats­vi­te­re og and­re. Det er ikke til å kom­me for­bi at de 15 dom­mer­ne i EU-dom­sto­lens stor­kam­mer gjen­nom den­ne dom­men har satt sin vur­de­ring av avvei­nin­gen mel­lom per­son­vern og kri­mi­na­li­tets­be­kjem­pel­se over vur­de­rin­gen til Euro­pa­par­la­men­tet og med­lems­sta­te­nes repre­sen­tan­ter i Rådet, men i mot­satt fall vil­le det ikke være noen rea­li­tet i EU-ret­tens beskyt­tel­se av grunn­leg­gen­de men­neske­ret­tig­he­ter.

EU-dommen, EØS og Norge

Hvil­ken betyd­ning har dom­men så for Nor­ge? Poli­tisk er den direk­te pin­lig for data­lag­rings­di­rek­ti­vets for­kjem­pe­re, men retts­lig er betyd­nin­gen mer indi­rek­te. I mot­set­ning til det man­ge synes å tro, er data­lag­rings­di­rek­ti­vet ikke inn­lem­met i EØS-avta­len. Tak­ket være det islands­ke All­tin­gets prin­sipp­fas­te mot­stand mot direk­ti­vet er det der­for ikke noe behov for å ta direk­ti­vet ut av EØS-avta­len. Den nors­ke lov­giv­nin­gen som skul­le gjen­nom­føre direk­ti­vet ble som kjent ved­tatt med kna­pp mar­gin i Stor­tin­get alle­re­de i 2011, men den er ikke trådt i kraft og regje­rin­gen har nå klo­ke­lig vars­let at den hel­ler ikke kom­mer til å gjø­re det.

Even­tu­elle nye nors­ke reg­ler om data­lag­ring må tåle inn­gå­ende retts­lig over­prø­ving

EØS-avta­len er ikke til hin­der for at nors­ke myn­dig­he­ter på eget ini­tia­tiv ved­tar nye reg­ler om lag­ring av tele­data, men indi­rek­te vil EU-dom­sto­lens dom leg­ge førin­ger for myn­dig­he­te­nes hand­lings­rom: Bestem­mel­se­ne i EUs pakt om grunn­leg­gen­de ret­tig­he­ter som EU-dom­sto­len anvend­te i dom­men, gjen­fin­nes i Den euro­pe­is­ke men­neske­ret­tig­hets­kon­ven­sjo­nen som Nor­ge er til­knyt­tet og som gjen­nom men­neske­retts­lo­ven fra 1999 har lovs kraft i Nor­ge.

EU-dom­sto­lens dom inne­hol­der fle­re hen­vis­nin­ger til prak­sis fra Men­neske­ret­tig­hets­dom­sto­len, og det er liten grunn til å tro at dom­sto­len i Stras­bourg vil inn­røm­me myn­dig­he­te­ne noe stør­re hand­lings­rom enn det EU-dom­sto­len har lagt til grunn. Even­tu­el­le nye nors­ke reg­ler om data­lag­ring må der­for tåle inn­gå­en­de retts­lig over­prø­ving av om de er strengt nød­ven­di­ge for å bekjem­pe grov kri­mi­na­li­tet og om de der­til til­byr til­strek­ke­li­ge garan­ti­er mot mis­bruk osv. Det er der­for en tung argu­men­ta­sjons­byr­de som EU-dom­sto­len har lagt på myn­dig­he­te­ne.

Også der­som EU skul­le for­sø­ke seg med et nytt, for­ut­set­nings­vis mind­re omfat­ten­de og mer pre­sist, direk­tiv om data­lag­ring, kan EU-dom­sto­lens dom vise seg meget vik­tig for Nor­ge: Et av kra­ve­ne fra EU-dom­sto­len er mer pre­si­se reg­ler om hva de lag­re­de data­ene kan bru­kes til. Det­te for­ut­set­ter at et even­tu­elt nytt direk­tiv beve­ger seg len­ger inn på straffe­ret­tens områ­de. EUs kom­pe­tan­se til å gjø­re det­te er kon­tro­ver­si­ell internt i EU, men enda mer så i EØS-retts­lig sam­men­heng: Straffe­retts­li­ge reg­ler fal­ler i utgangs­punk­tet uten­for EØS-avta­len. EØS-rele­van­sen av et even­tu­elt nytt data­lag­rings­di­rek­tiv vil der­for være enda mer tvil­som enn EØS-rele­van­sen av det direk­ti­vet som EU-dom­sto­len nå har under­kjent.

Prinsipiell etterpåklokskap

Avslut­nings­vis er det grunn til å reflek­te­re over hvor lang­somt fru Jus­ti­tias kvern maler: Data­lag­rings­di­rek­ti­vet ble ved­tatt i EU vår­en 2006. Det tok alt­så mer enn åtte år før EU-dom­sto­len erklær­te det ugyl­dig. Under­veis har det vært fle­re saker for dom­sto­len hvor den kun­ne tatt stil­ling til spørs­må­let om den had­de vil­let, men hvor den dek­ket seg bak pro­ses­su­el­le reg­ler og lot gyl­dig­hets­spørs­må­let hen­ge i luf­ten. Det­te kan selv­sagt kri­ti­se­res. Men kan­skje gjor­de EU-dom­sto­len like­vel klokt i å utset­te spørs­må­let til det vir­ke­lig kom på spis­sen?

Det kan nep­pe ute­luk­kes at avstan­den i tid fra ter­ror­an­gre­pe­ne i New York i 2001, i Mad­rid i 2004 og i Lon­don i 2005 gjor­de det let­te­re for EU-dom­sto­len å slå ned på EU-lov­gi­vers mang­len­de respekt for per­son­ver­net. For­de­len med treg­he­ten i den retts­li­ge etter­prø­vin­gen er at det gir rom for prin­si­pi­ell etter­på­klok­skap. I til­fel­ler hvor betin­gel­se­ne på ved­taks­tids­punk­tet kan­skje ikke har vært de bes­te for prin­si­pi­el­le dis­ku­sjo­ner, er det slett ikke så dumt.

TEMA

M

enneske
rettigh
eter

51 ARTIKLER FRA VOX PUBLICA

FLERE KILDER - FAKTA - KONTEKST

INGEN KOMMENTARER

Kommentarfeltet til denne artikkelen er nå stengt. Ta kontakt med redaksjonen dersom du har synspunkter på artikkelen.

til toppen