Nyhet / 11.11.2020

Nye EU-dommer fastslår kommunikasjonsverndirektivets virkeområde

Skrevet av Kari Gimmingsrud & Emilie Holtermann

To nye EU-dommer, Privacy International (sak C-623/17) og La Quadrature du Net and Others (sak C-511/18), reduserer EØS-statenes handlerom til fordel for beskyttelse av innbyggernes rett til privatliv og personvern. Dommene vil få konsekvenser for den nylig vedtatte etterretningstjenesteloven i Norge.

Dommene slår fast at kommunikasjonsverndirektivet (også kjent som ePrivacy-direktivet) får anvendelse på telekommunikasjonsselskapers behandling av data etter pålegg på vegne av staten. Direktivet er gjennomført i Norge ved lov om elektronisk kommunikasjon (Ekomloven) med forskrifter. EU-domstolen bekrefter samtidig at dette også gjelder når formålet er å bekjempe kriminalitet eller å verne om den nasjonale sikkerhet, noe som hittil har vært omstridt.

100x640 telefon

Saksforholdet

I Privacy International var spørsmålet om lovgivning som påla telekommunikasjonsselskaper å overføre data til nasjonale myndigheter i Storbritannia var i strid med kommunikasjonsverndirektivet. Spørsmålet i La Quadrature du Net and Others knyttet seg til adgangen til å pålegge telekommunikasjonsselskaper å lagre data lenger enn telekommunikasjonsselskapet hadde en kommersiell interesse i, for at disse potensielt kunne overføres til myndighetene senere.

Utgangspunktet etter kommunikasjonsdirektivet er at slik lagring/overføring er ulovlig. Behandlingen i alle landene var derfor hjemlet i unntaksbestemmelsen som gjelder når behandlingen er nødvendig, adekvat og proporsjonal i et demokratisk samfunn for å verne om den nasjonale sikkerhet eller knyttet til etterforskning og straffeforfølgning (Artikkel 15(1)).

Spørsmålene domstolen tok stilling til

To spørsmål var sentrale i begge sakene. For det første om bruken av data for å verne om nasjonal sikkerhet var omfattet av virkeområdet til kommunikasjonsverndirektivet. Forutsatt positivt svar var det andre spørsmålet om innsamlingen/lagringen av data på generelt og udifferensiert vis (også kalt behandling av data i bulk) var en nødvendig, adekvat og proporsjonal handling som kunne hjemles i direktivets unntaksbestemmelse.

Det første spørsmålet, som gjaldt direktivets anvendelse, er mest interessant fra et EØS-rettslig perspektiv. Bakgrunnen er at medlemslandene i EU og EØS i utgangspunktet er gitt eneansvar over nasjonal sikkerhet, jfr. Treaty on European Union (TEU) Artikkel 4(2). Denne suvereniteten over nasjonal sikkerhet har vært, og er fremdeles, av sentral betydning for EU- og EØS-samarbeidet. På den annen side er menneskerettighetene gjennomført i EØS-retten ved at EU/EØS er tilsluttet EMK og ved vedtakelsen av EUs menneskerettighetskonvensjon. Både personvernforordningen (GDPR) og kommunikasjonsverndirektivet er utslag av dette. Med andre ord lå det i sakens natur at EU-domstolen måtte foreta en avveining mellom to grunnpilarer i EU-retten – medlemsstatenes suverenitet over nasjonal sikkerhet på den ene siden, og beskyttelse av menneskerettighetene på den andre.

Konklusjonen

EU-domstolen konkluderte i begge sakene med at databehandlingen falt inn under kommunikasjonsverndirektivets virkeområde. Et vesentlig poeng var at telekommunikasjonsselskapene var pålagt av nasjonalstatene å behandle dataene ved å lagre eller oversende disse til myndighetene, og at telekommunikasjonsselskapers behandling av data alltid vil omfattes av direktivet.

I det andre spørsmålet, om databehandleringen pålagt av myndighetene hadde hjemmel i direktivet, kom domstolen frem til at både telekommunikasjonsselskapers oversendelse av data i Storbritannia, og lagring av data i Frankrike og Beliga, var ulovlig. Dette skyldtes hovedsakelig at telekommunikasjonsselskapene var forpliktet til å oversende/lagre data uten noen form for begrensning i tid og uten at myndighetene trengte å ha nærmere mistanke om handlinger som satt den nasjonale sikkerhet i fare. Slik behandling av data i bulk er, ifølge EU-domstolen, i strid med direktivet.

Dommenes betydning

Dommene i Privacy International og La Quadrature du Net and Others bringer etterlengtet klarhet i spørsmålet om kommunikasjonsverndirektivets anvendelsesområde ved bruk av tiltak for å verne om nasjonal sikkerhet som, særlig etter Tele2 Sverige and Watson (avsagt i 2016), har vært omstridt. Det er heller ikke utenkelig at dommene vil påvirke den endelige versjonen av den foreslåtte kommunikasjonsvernforordningen (også kjent som ePrivacy Regulation) som egentlig skulle blitt vedtatt i 2018 da GDPR trådte i kraft.

I Norge får dommene den betydning at den nye loven om etterretningstjenesten ikke kan tre i kraft slik den ble vedtatt 11. juni 2020. Denne åpner blant annet for at etterretningstjenesten innhenter rådata i bulk fra telekommunikasjonsselskaper uten domstolsbehandling, og vil derfor stride mot EU-domstolens tolkning av kommunikasjonsverndirektivet, ifølge Datatilsynet.