Domstolen erklærer direktivet om lagring af data for ugyldigt
Direktivet indebærer et meget omfattende og særligt alvorligt indgreb i den grundlæggende ret til
respekt for privatlivet og til beskyttelse af personoplysninger, uden at dette indgreb er begrænset til
det strengt nødvendige.
Direktivet om lagring af data
1.
har til formål at harmonisere medlemsstaternes bestemmelser om
lagring af visse data, der er genereret eller behandlet af udbydere af offentligt tilgængelige
elektroniske kommunikationstjenester eller af et offentligt kommunikationsnet. Det tilsigter således
at sikre, at der er adgang til disse data med henblik på forebyggelse, efterforskning, afsløring og
retsforfølgning af grov kriminalitet, især organiseret kriminalitet og terrorisme. Direktivet foreskriver
således, at ovennævnte udbydere skal lagre trafikdata, lokaliseringsdata samt lignende data, der
er nødvendige for at identificere abonnenten eller brugeren. Direktivet tillader derimod ikke lagring
af indholdet af kommunikationen eller af indhentede oplysninger.
High Court (Irlands øverste domstol) samt Verfassungsgerichtshof (Østrigs forfatningsdomstol) har
anmodet domstolen om at undersøge direktivets gyldighed, bl.a. i lyset af to grundlæggende
rettigheder, der er sikret ved Den Europæiske Unions charter om grundlæggende rettigheder,
nemlig den grundlæggende ret til respekt for privatlivet og den grundlæggende ret til beskyttelse af
personoplysninger.
High Court skal træffe afgørelse i en sag mellem det irske selskab Digital Rights og de irske
myndigheder angående lovligheden af nationale foranstaltninger, der vedrører lagring af data
vedrørende elektronisk kommunikation. Der er blevet anlagt adskillige søgsmål af forfatningsretlig
karakter for Verfassungsgerichtshof af Kärntner Landesregierung (regeringen i delstaten Kärnten)
samt af Seitlinger, Tschohl og yderligere 11.128 sagsøgere. Disse søgsmål tilsigter at opnå
annullation af den nationale bestemmelse, der gennemfører direktivet i østrigsk ret.
I dommen, der afsiges i dag, erklærer domstolen direktivet for ugyldigt.
-
Domstolen fastslår for det første, at de data, der skal lagres, gør det muligt bl.a. at få at vide, med
hvem og med hvilket middel en abonnent eller en registreret bruger har kommunikeret, at
fastlægge kommunikationens varighed samt det sted, hvorfra kommunikationen fandt sted, og at
gøre sig bekendt med frekvensen af abonnentens eller den registrerede brugers kommunikationer
med visse personer i en given periode. Disse data kan samlet give meget præcise oplysninger om
privatlivet for de personer, som data er lagret for, såsom dagligdagsvaner, faste eller midlertidige
opholdssteder, udøvede aktiviteter, sociale relationer og de sociale miljøer, de færdes i.
Domstolen finder, at direktivet ved at stille krav om lagring af disse data og ved at give de
kompetente nationale myndigheder adgang til disse i særligt alvorlig grad gør indgreb i den
grundlæggende ret til respekt for privatliv og beskyttelse af personoplysninger. Endvidere
kan den omstændighed, at lagring og efterfølgende anvendelse af data sker, uden at abonnenten
eller den registrerede bruger informeres derom, i de pågældende personers bevidsthed skabe en
følelse af, at deres privatliv er genstand for konstant overvågning.
Domstolen undersøger dernæst, om et sådant indgreb i de omhandlede grundlæggende
rettigheder kan begrundes.
Domstolen fastslår, at den lagring af data, der kræves i henhold til direktivet, ikke er af en
karakter, der kan krænke det væsentlige indhold af den grundlæggende ret til respekt for
privatliv og beskyttelse af personoplysninger. Direktivet giver nemlig ikke mulighed for at gøre
sig bekendt med indholdet af den elektroniske kommunikation som sådan og bestemmer, at
udbydere af tjenester eller telenet skal overholde visse principper om beskyttelse og sikkerhed
vedrørende data.
Endvidere tjener lagring af data med henblik på en eventuel udlevering af disse til de
kompetente nationale myndigheder rent faktisk et formål af almen interesse, nemlig
bekæmpelse af grov kriminalitet samt i sidste ende den offentlige sikkerhed.
Domstolen finder imidlertid, at EU-lovgiver ved at vedtage direktivet om lagring af data
overskred de grænser, der følger af proportionalitetsprincippet.
Domstolen anfører i denne forbindelse, at EU-lovgivers skønsbeføjelse – henset dels til den vigtige
rolle, som beskyttelsen af personoplysninger spiller i forhold til den grundlæggende ret til respekt
for privatliv, dels til omfanget og alvoren af det indgreb i denne ret, som direktivet medfører – er
reduceret, således at der skal foretages en streng kontrol.
Selv om den lagring af data, der kræves i henhold til direktivet, kan anses for egnet til at
gennemføre det formål, der forfølges med direktivet, er det omfattende og særligt alvorlige
indgreb i de omhandlede grundlæggende rettigheder ikke tilstrækkeligt afgrænset med
henblik på at sikre, at det pågældende indgreb rent faktisk er begrænset til det strengt
nødvendige.
For det første omfatter direktivet nemlig på generel vis samtlige enkeltpersoner, elektroniske
kommunikationsmidler og trafikdata, uden at der foretages nogen sondring, begrænsning eller
undtagelse i forhold til formålet om bekæmpelse af grov kriminalitet.
For det andet fastsætter direktivet intet objektivt kriterium, der gør det muligt at sikre, at de
kompetente nationale myndigheder kun har adgang til data og kun kan anvende disse med
henblik på at forebygge, afsløre eller foretage retsforfølgning i straffesager af overtrædelser, der,
henset til omfanget og alvoren af indgrebet i de omhandlede grundlæggende rettigheder, kan
anses for tilstrækkeligt alvorlige til at begrunde et sådant indgreb. Tværtimod henviser direktivet
alene generelt til ‘grov kriminalitet’, der skal defineres af hver enkelt medlemsstat i national ret.
Endvidere angiver direktivet ikke de materielle og processuelle betingelser, hvorunder de
kompetente nationale myndigheder kan få adgang til data og anvende dem efterfølgende.
Adgangen til data er navnlig ikke betinget af en forudgående kontrol, som foretages af en
retsinstans eller af en uafhængig administrativ enhed.
Hvad for det tredje angår varigheden af lagringen af data fastsætter direktivet en varighed af
seks måneder uden at foretage nogen sondring mellem kategorier af data alt efter de pågældende
personer eller efter den eventuelle nytteværdi af data i forhold til det forfulgte formål. Endvidere
ligger varigheden mellem minimum seks måneder og maksimum fireogtyve måneder, uden at
direktivet præciserer de objektive kriterier, på grundlag af hvilke varigheden af lagringen skal
fastlægges med henblik på at sikre en begrænsning til det strengt nødvendige.
Domstolen fastslår endvidere, at direktivet ikke fastsætter tilstrækkelige garantier, der gør det
muligt at sikre en effektiv beskyttelse af data mod risiko for misbrug samt mod ulovlig adgang til
og benyttelse af data. Domstolen bemærker bl.a., at direktivet giver tjenesteudbyderne mulighed
for at tage hensyn til økonomiske betragtninger i forbindelse med fastlæggelsen af det
sikkerhedsniveau, de vil anvende (bl.a. for så vidt angår omkostningerne ved gennemførelsen af
sikkerhedsforanstaltningerne), og at direktivet ikke sikrer en uigenkaldelig sletning af data efter
lagringsperiodens ophør.
Domstolen kritiserer endelig det forhold, at direktivet ikke foreskriver, at data lagres på unionens
område. Direktivet sikrer således ikke fuldt ud en uafhængig myndigheds kontrol med
overholdelsen af kravene om beskyttelse og sikkerhed, således som det imidlertid er udtrykkeligt
foreskrevet i chartret. En sådan kontrol, der foretages på grundlag af EU-retten, udgør imidlertid et
væsentligt element ved overholdelsen af beskyttelsen af personer i forbindelse med behandling af
personoplysninger.
Hvis du er utålmodig så søg på Twitter eller se hvad jeg har retweetet hidtil.