Domstolen skriver att ”direktivet innebär ett omfattande och särskilt allvarligt intrång i den grundläggande rätten till respekt för privatlivet och skydd för personuppgifter, utan att detta intrång begränsas till vad som är strängt nödvändigt”.
Dagens Juridik har tidigare rapporterat om att datalagringsdirektivet också underkänts av domstolens generaladvokat.
Direktivet, som är från 2006, innebär en skyldighet för privata aktörer som teleoperatörer att lagra så kallad metadata – bland annat uppgifter om kommunikation via bland annat telefon, SMS och e-post – i minst sex månader. Uppgifterna ska sedan kunna begäras ut av bland annat polis och åklagare ifall de bedöms behövas i utredningar om grova brott.
I Sverige rådde stor oenighet i riksdagen kring införandet av direktivet och Miljöpartiet och Vänsterpartiet motsatte sig det. Slutligen infördes direktivet 2012 – fem år för sent, vilket ledde till att Sverige fick betala böter.
Direktivet mötte dock motstånd också från andra länder och EU-domstolen tog upp frågan efter att både Irlands högsta domstol och Österrikes författningsdomstol begärt en prövning av om lagringen av kommunikation är i linje EU:s grundläggande rättigheter.
EU-domstolen konstaterar nu att direktivet innebär ett synnerligen allvarligt ingrepp i rätten till respekt för privatlivet och skyddet för personuppgifter. Dessutom anser domstolen att det faktum att uppgifterna lagras utan att en berörd person underrättats om detta kan leda till att denna får en känsla av att stå under konstant övervakning.
Domstolen konstaterar att uppgifterna som lagras bland annat gör det möjligt att veta med vem och på vilket sätt en abonnent eller en registrerad användare har kommunicerat, fastställa hur länge kommunikationen varat och varifrån den skett. Dessutom går det att ta reda på hur ofta användaren har kommunicerat med vissa personer under en bestämd period.
Enligt domstolen ger dessa uppgifter tillsammans mycket exakta upplysningar om privatlivet för de personer vars uppgifter lagrats.
Domstolen konstaterar vidare att ett sådant ingrepp på rätten till respekt för privatlivet och skydd av personuppgifter inte kan anses vara proportionerligt med direktivets syfte.
Domstolen anser inte heller att direktivet inte är tillräckligt avgränsat, då det omfattar alla individer, alla elektroniska kommunikationssätt och alla trafikuppgifter utan att det enligt domstolen görs någon skillnad, begränsning eller undantag utifrån syftet att bekämpa grov brottslighet.
Domstolen skriver:
”Det omfattande och särskilt allvarliga intrång som direktivet innebär i de aktuella grundläggande rättigheterna inte tillräckligt noggrant reglerat för att garantera att intrånget verkligen begränsas till vad som är strängt nödvändigt”.
Dessutom slår domstolen ned på att det inte finns något skydd för att uppgifterna inte används på annat sätt än det avsedda. Direktivet innehåller inget objektivt kriterium som gör det möjligt att garantera att behöriga nationella myndigheter endast har tillgång till uppgifterna och endast får använda dem för att förebygga, avslöja eller väcka åtal för brott som kan anses tillräckligt allvarliga för att motivera tillgång till dessa uppgifter.
Tvärtom, skriver domstolen, nöjer sig direktivet med att rent allmänt hänvisa till ”allvarliga brott” såsom de definieras av varje medlemsstat i den nationella lagstiftningen.
Domstolen konstaterar också att det i direktivet inte finns tillräckliga garantier för att säkerställa ett effektivt skydd mot riskerna för missbruk av uppgifterna. Bland annat tillåts tjänsteleverantörer att ta ekonomisk hänsyn när de fastställer vilken säkerhetsnivå de ska tillämpa och det finns ingen garanti för att uppgifterna förstörs efter den bestämda lagringstiden.
Slutligen är domstolen kritisk till att det inte ställs några krav på att uppgifterna ska lagras inom EU. Enligt domstolen bör en oberoende myndighet kontrollera att skydds- och säkerhetskraven efterlevs med stöd av unionsrätten.
Foto: TT
