Förhandsutlåtande om datalagring från EU-domstolen

Idag släppte EU-domstolen ett förhandsutlåtande om datalagring. Frågorna skickades till EU-domstolen av Kammarrätten i Stockholm på uppmaning av Post- och telestyrelsen och Tele2, då Tele2 ifrågasatt Post- och telestyrelsens bedömning att den svenska datalagringslagen fortfarande var giltig efter EU-domstolens tidigare avgörande i frågan 8 april 2014.

Ett förhandsutlåtande är inget domslut, och är inte bindande för varken domstolen eller medlemsländerna. Det är en indikation på hur domstolen kan komma att resonera, och ofta är förhandsutlåtanden tydligare än de slutgiltiga domsluten (som alltid kompromissas fram mellan domstolens fulla uppsättning domare).

Vissa av poängerna från förhandsutlåtandet är dock viktiga för den svenska situationen:

Punkt 122: En allmän datalagringsplikt, som den vi har i Sverige, omfattas av EU:s direktiv om integritet i elektroniska kommunikationsnät. Därför faller en sådan allmän datalagringsplikt under EU:s stadga för grundläggande rättigheter. Det innebär att lagringen måste genomföras för att uppnå ett allmänt intresse, vara lämplig för att uppnå detta intresse, absolut nödvändig för intresset samt proportionerlig i ett demokratiskt samhälle. Lagringen måste vara föreskriven i lag, vilket generaladvokaten föreslår ska innebära att plikten är begränsad och att det finns medel mot missbruk.

Punkt 226: Generaladvokaten understryker att listan med tekniska säkerhetskriterier och rättssäkerhetskriterier i EU-domstolens tidigare dom mot datalagring i april 2014 inte ska tolkas som en buffé utan som en kumulativ lista. Ett land som Sverige behöver alltså reglera både lagring, tillgång, utlämning och användning av datalagrade uppgifter. Det räcker inte att ha reglerat antingen lagring, tillgång, utlämning eller användning.

I punkt 226 omintetgör alltså generaladvokaten den svenska utredaren Sten Heckschers resonemang från utredningen om Datalagring och integritet (SOU 2015:31), där Heckscher menade att en "sammantagen bedömning" var tillräcklig. Punkt 226 borde också innebära att Förvaltningsrätten i Stockholms domslut från förra året - som helt stödde sig på Heckschers sammantagna bedömning från Departementsserien 2014:23 - inte längre kan antas giltig.

I punkt 122 bekräftar generaladvokaten att vi i egenskap av europeiska medborgare har ett konstitutionellt skydd från EU:s stadga för grundläggande rättigheter, i alla fall vad gäller integritet i elektroniska kommunikationsnät. En följd av detta borde vara att all personuppgiftsbehandling i polisväsendet också framöver kommer att täckas av EU:s stadga för grundläggande rättigheter, då EU:s nya direktiv för personuppgiftsbehandling i brottsbekämpande verksamheter träder i kraft i maj 2018.

I punkt 209 understryker generaladvokaten att medlemsländernas domstolar mot bakgrund av att EU:s stadga ska tillämpas på datalagring (enligt punkt 122) noggrannt måste överväga om regeringen verkligen utvärderat ifall andra, mindre inskränkande åtgärder inte varit tillräckliga - eventuellt i kombination med ytterligare åtgärder.

Generaladvokaten föreslår riktad övervakning (att man ber en teleoperatör bevara en enskild individs uppgifter under en begränsad tidsperiod) som alternativ. I Sverige bör en sådan genomgång inte ha gjorts sedan SOU 2007:76 om trafikdatalagring, eftersom propositionen från 2009 berörde tvånget från EU och Heckschers utredning från 2015 bara berörde frågan om det nuvarande svenska regelverkets påstådda förenlighet med EU-domstolens tidigare dom.

Även om EU-domstolens slutgiltiga domslut inte kommer att följa generaladvokatens råd till punkt och pricka, räcker det med att de inspireras av generaladvokaten för att följderna i Sverige ska bli att domstolar får ett utökat mandat att granska regeringens och riksdagens arbete med att säkerställa proportionalitet och rimlighet i användningen av tvångsmedel. Det här är en bra dag för dataskyddsvänner och leder förhoppningsvis även till att regeringen tar större ansvar för enskildas rättigheter.

Uppdatering: Generaladvokaten har sagt att datalagring bara kan motiveras med hänvisning till allvarlig brottslighet. I målet Bonniers Audio m.fl. mot Perfect Communications AB C-461/10 bestämde dock EU-domstolen att datalagrad data kan användas för att bekämpa även mindre allvarlig brottslighet, så som upphovsrättsintrång. Om datan redan är lagrad med hänvisning till allvarlig brottslighet, finns det alltså inte idag några begränsningar för hur datan kan användas också för mindre allvarlig brottslighet (i alla fall inte självklart i EU-rätten).

Därför anser Dataskydd.net att generaladvokatens observation i punkt 209, att domstolarna behöver ta ställning till om regeringen har uttömt alla andra alternativ, förmodligen tjänar enskildas intresse av dataskydd och rätt till privatliv bättre (se ovan).

Uppdatering 2: Digital Rights Ireland har nyligen fått upp en ny fråga till EU-domstolen i målet C-207/16 om förfrågningar om utlämningar av data för bekämpning av mindre allvarlig brottslighet i Spanien. EU-domstolen kommer alltså inom sinom tid kunna uttala sig om ogiltigförklarandet av datalagringsdirektivet under 2014 också har påverkat möjligheten att använda data i för lagringen ovidkommande fall så som EU-domstolen fastslog i Bonnier Audio-fallet.

Läs mer:

Curia, Förslag till avgörande av generaladvokat Henrik Saugmandsgaard Øe av den 19 juli 2016(1) i förenade målen C‑203/15 och C‑698/15:

http://curia.europa.eu/juris/document/document.jsf?text=&docid=181841&pa...

Curia, sammanställning av dokument för de förenade målen C‑203/15 och C‑698/15 (Tele2 mot Post- och telestyrelsen samt Secretary of State for the Home Department mot Tom Watson, Peter Brice, Geoffrey Lewis (C‑698/15), i närvaro av Open Rights Group, Privacy International, Law Society of England and Wales):

http://curia.europa.eu/juris/liste.jsf?num=C-203/15

Ny Teknik, EU-dom kan leda till fortsatt datalagring (19.07.2016):

http://www.nyteknik.se/stories/article6591137.ece

EDRi, European Court confirms: Strict safeguards essential for data retention (19.07.2016):

https://edri.org/european-court-confirms-strict-safeguards-essential-dat...

Dataskydd.net, Datalagringen och domstolarna: en tidslinje över viktiga datalagringsfall sedan 1997:

https://dataskydd.net/datalagringen-och-domstolarna

Dataskydd.net, EU-domstolen håller förhör om datalagring (18.04.2016):

https://dataskydd.net/nyheter/2016/04/18/eu-domstolen-haller-forhor-om-d...

Curia, Case C-461/10. Bonnier Audio AB and Others v Perfect Communication Sweden AB. Judgment of the Court (Third Chamber) of 19 April 2012:

http://curia.europa.eu/juris/liste.jsf?num=c-461/10

EU Law Radar, Case C-207/16, Ministerio Fiscal – Digital Rights Ireland robs Spanish police of telephone data request (12.07.2016):

http://eulawradar.com/case-c-20716-ministerio-fiscal-digital-rights-irel...