EU-domstolen ogiltigförklarar datalagringsdirektivet – men vad innebär domen egentligen?

För någon vecka sedan, den 8 april 2014, ogiltigförklarade EU-domstolen det s.k. datalagringsdirektivet (förenade målen C-293/12 och C-594/12, ännu inte översatta till svenska). Det har sedan dess varit oklart vad domen egentligen betyder för telekom- och internetoperatörer såväl som svenska myndigheter och vanliga användare. Vi inom DigiTrust-projektet har med stort intresse följt målet (se bl.a. debattartikel i SvD Brännpunkt den 19 april 2014). I det här inlägget ska jag försöka ge svar på några av frågorna kring EU-domstolens avgörande. Det ska dock redan inledningsvis sägas att det råder en viss oklarhet om vilka rättsliga och faktiska följder som avgörandet kommer att få.

Målet i EU-domstolen har sitt ursprung i två nationella rättstvister. I båda dessa mål ifrågasattes förenligheten mellan de nationella åtgärder som Irland respektive Österrike vidtagit för att genomföra direktiv 2006/24 (”datalagringsdirektivet”) och EU:s stadga om de grundläggande rättigheterna (”rättighetsstadgan”).  De nationella domstolarna hade därför begärt ett förhandsavgörande från EU-domstolen. Ett förhandsavgörande innebär att de nationella domstolarna ber EU-domstolen tolka en EU-rättslig bestämmelse. EU-domstolen kan också, som i det aktuella målet, avgöra om en EU-rättsakt är giltig.

Domstolens avgörande

EU-domstolen prövade i första hand om datalagringsdirektivet var förenligt med de grundläggande rättigheterna om rätt till respekt för privatlivet (artikel 7) respektive rätten till skydd för personuppgifter (artikel 8) i EU:s rättighetsstadga. Domstolen fann att den skyldighet för leverantörer av kommunikationstjänster att lagra trafikuppgifter samt göra dem tillgängliga för myndigheter som förskrivs i datalagringsdirektivet utgjorde ett intrång i både rätten till respekt för privatlivet och rätten till skydd för personuppgifter. Domstolen konstaterade att lagringens omfattning gjorde att det rörde sig om ett särskilt allvarligt intrång i dessa rättigheter. Domstolen uttalade även att lagring och användning som sker utan att abonnenten eller den registrerade användaren underrättas kan leda till en känsla av att ständigt vara övervakad.

Det var därför nödvändigt att pröva om detta intrång kunde rättfärdigas enligt artikel 52(1) i stadgan. Domstolen fann i första hand att de åtgärder som datalagringsdirektivet föreskriver inte överensstämde med kravet på att sådana begränsningar ska var proportionerliga i stadgans mening, dvs. om åtgärderna var lämpliga och nödvändiga för att uppnå regleringens målsättning. Domstolen fann att lagring av sådana uppgifter i brottsbekämpande syfte förvisso kunde vara en lämplig åtgärd med hänsyn till den stora betydelse som elektronisk kommunikation har. Domstolen fann emellertid att direktivet överskred gränsen för vad som var nödvändigt för att uppnå dessa mål. Eftersom intrånget var särskilt omfattande och särskilt allvarligt så hade direktivet inte i tillräcklig utsträckning begränsats så att intrånget rent faktiskt inskränks till vad som var strikt nödvändigt för att uppnå målet med regleringen.

Kommentar

Justitiedepartementet har varit otydligt med vilken betydelse domen har för svensk nationell rätt. Justitieminister Beatrice Ask har uttalat att det finns behov av att utreda rättsläget och att ”svensk lagstiftning gäller i Sverige”. Internet- och teleoperatörer, bl.a. Bahnhof och Tele2, har efter domen upphört med att lagra trafikuppgifter. Dessa har fått kritik, bl.a. av Polisen, för att de härigenom bryter mot svensk lag. Polisen har förklarat att de avser att fortsätta begära ut uppgifter med stöd i svensk lag. Post- och telestyrelsen (PTS) som ansvarar för det aktuella området har emellertid uttalat att domen innebär att ingen kan lagföras för att bryta mot de svenska nationella reglerna om datalagring och att de inte avser att ingripa mot operatörer som i strid med dessa regler upphört med lagring av trafikuppgifter. Det råder således stor oenighet beträffande rättsläget.

Första frågan gäller om Sverige kan behålla sin nationella lagstiftning trots att det EU-direktiv som denna bygger på ogiltigförklarats. Ett direktiv är inte direkt tillämpligt i ett medlemsland. Det måste genomföras i nationell lagstiftning. I Sverige har de aktuella bestämmelserna implementerats genom lag (2003:389) om elektronisk kommunikation (LEK). EU-domstolen har ogiltigförklarat direktivet, men varken kan eller har upphävt de nationella bestämmelser som implementerar direktivet. Svensk lag gäller intill riksdagen upphävt den. Såtillvida är justitieministerns uttalande riktigt i formell mening. Om ett direktiv inte antagits har medlemsstaterna normalt frihet att själva utforma sin reglering. Syftet med ett direktiv är normalt att åstadkomma en tillnärmning av regleringen så att denna ser likadan ut i alla medlemsstater. Den normala effekten av att ett direktiv upphävs är alltså i första hand att medlemsstaterna åter får bestämma själva. Det finns därför normalt ingen skyldighet att upphäva eller ändra nationell lagstiftning som bygger på det ogiltigförklarade direktivet.

Det är dock mer komplicerat i fråga om datalagringsdirektivet. För det första strider direktivet mot EU:s rättighetsstadga som utgör s.k. primärrätt. Primärrätten, i motsats till datalagringsdirektivet, är direkt tillämplig i medlemsstaterna. Primärrätten behöver inte genomföras och ska följas av nationella domstolar och andra myndigheter. EU-rätten har företräde framför nationell rätt. Eftersom den svenska regleringen i princip följer direktivet måste denna i allt väsentligt också strida mot rättighetsstadgan. Om en svensk myndighet vidtar åtgärder i strid med stadgan kan Sverige göra sig skyldigt till fördragsbrott. Det spelar i detta sammanhang egentligen ingen roll om datalagringsdirektivet antagits eller inte. Svenska myndigheter ska tillämpa den svenska lagen i enlighet med stadgan och det kan vara fördragsbrott att inte ändra lagen så att den uppfyller de krav som följer av domen.

För att förstå datalagringsdirektivet är det också nödvändigt att förstå dess förhållande till två andra EU-rättsakter. Rätten till skydd för personuppgifter, som är en grundläggande rättighet enligt stadgan, regleras av direktiv 95/46 (dataskyddsdirektivet) som ska säkerställa fysiska personers rätt till privatliv i samband med behandling av personuppgifter. Denna skyddsordning kompletteras av direktiv 2002/58 (direktiv om integritet och elektronisk kommunikation), som föreskriver ett förstärkt skydd för personuppgifter inom sektorn för elektronisk kommunikation. Direktivet föreskriver bl.a. en skyldighet för leverantörer av kommunikationstjänster att utplåna eller avidentifiera trafikuppgifter som behandlas och lagras vilka rör abonnenter och användare. Datalagringsdirektivet, vars syfte det är att säkerställa att vissa sådana uppgifter finns tillgängliga för kunna bekämpa allvarliga brott, utgör ett undantag från bestämmelserna i direktivet om integritet och elektronisk kommunikation. När undantagsregeln i datalagringsdirektivet blir ogiltig träder huvudregeln i dess ställe. Det innebär att det saknas lagstöd för att lagra trafikuppgifter. Sverige måste alltså även på denna grund upphäva eller ändra de nationella bestämmelser som implementerar datalagringsdirektivet.

Det hittills sagda gäller dock medlemsstaterna och deras myndigheter. Det innebär inte nödvändigtvis att enskilda rättssubjekt såsom internet- och teleoperatörer bryter mot lagen om de fortsätter att lagra trafikuppgifter. Internet- och teleoperatörer som följer EU-rätten kan dock knappast hållas ansvariga för det med stöd av svenska nationella bestämmelser som strider mot EU:s rättighetsstadga. Det borde dock, åtminstone i teorin, vara möjligt att ändra datalagringsdirektivet så att det uppfyller stadgans krav. EU-kommissionären Cecilia Malmström lät emellertid antyda att det inte finns några konkreta sådana planer. En annan fråga som det är för tidigt att besvara är vilka konsekvenser domen får för möjligheterna att fortsätta bedriva s.k. massövervakning. Det finns uttalanden i domen som kan tolkas som att sådan i sig aldrig kan vara förenlig med stadgan. Den frågan prövades dock inte av domstolen. Det återstår att se.

Publicerad i Övervakning, Uncategorized

Kommentera

E-postadressen publiceras inte. Obligatoriska fält är märkta *

*

Följande HTML-taggar och attribut är tillåtna: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

Det digitala samhället
Det digitala samhället är en ett fönster på nätet för den forskargrupp om digitala frågor som leds av Per Runeson och Stefan Larsson och huserar på det s.k. Pufendorfinstitutet vid Lunds universitet. Gällande forskningstema handlar om Tillit i det digitala och inkluderar 10 forskare från 5 fakulteter. Läs mer i flikarna i bloggen.
Twitter
  • Ett fel har uppstått, vilket troligen innebär att flödet är nere. Försök på nytt senare.