Tirsdag denne uken avsa EU-domstolen to nye avgjørelser om lagring og bruk av teleselskapers trafikkdata. Dette er et spørsmål med lang forhistorie:

For ca. 14 år siden raste debatten om det såkalte datalagringsdirektivet i Norge. Direktivet påla tilbydere av elektroniske kommunikasjonstjenester å lagre trafikkdata, lokaliseringsdata og abonnements-/brukerdata, men ikke innholdet i kommunikasjonen. Formålet var at slik data skulle kunne være tilgjengelig for strafferettslig etterforskning av alvorlig kriminalitet. Både i Norge og ellers i Europa mente mange at så vide fullmakter til å lagre data for hele befolkningen, også uten konkret mistanke, var problematisk og blant annet var strid med retten til privatliv etter Den europeiske menneskerettskonvensjon artikkel 8. Flere statsråder fra SV og Senterpartiet tok dissens til proposisjonen om samtykke til innlemmelse av direktivet i EØS-avtalen, og tilsvarende til lovproposisjonen om norsk gjennomføring. Det skulle vise seg at EU-domstolen var enig med kritikerne: I 2014 kom domstolen til at direktivet stred med flere bestemmelser i EUs charter om grunnleggende rettigheter, og dermed var ugyldig. En del av medlemsstatene innførte eller opprettholdt likevel lovgivning som la til rette for omfattende lagring og bruk av denne typen data. EU-domstolen har senere  avsagt flere avgjørelser som gjelder slik lovgivning, se blant annet her, her og her, som blant annet førte til utsatt ikrafttredelse av visse bestemmelser i den nye e-tjenesteloven.

Den første saken, C-470/21 La Quadrature du Net m.fl., har vakt stor interesse: Det er en plenumsavgjørelse, og en rekke regjeringer, blant annet den norske, avga innlegg i saken. Saken gjaldt fransk lovgivning om lagring og bruk av data knyttet til IP-adresser i forbindelse med overtredelser av opphavsrettslovgivning. Den franske lovgivningen la til rette for at opphavsrettsorganisasjoner samlet inn data om internettbruk som tilsa brudd på opphavsretten (for eksempel spredning av beskyttede verk for nedlasting), herunder IP-adressen(e) som var brukt samt enkelte andre tekniske data, tidspunktet det skjedde på, brukerens pseudonym og informasjon om det beskyttede verket. Organisasjonene kunne deretter henvende seg til Hadopi, et fransk myndighetsorgan som hadde til oppgave å overvåke brudd på opphavsrett, som igjen kunne innhente informasjon fra internettilbydere for å identifisere de personene som stod bak de brukte IP-adressene. Hadopi ville deretter utstede varsler til brukeren, og kunne i siste instans overføre saken til påtalemyndigheten.

Internettilbydernes identifisering av personene bak de brukte IP-adressene og oversendelsen til Hadopi er knyttet til en elektronisk kommunikasjonstjeneste, og faller derfor innenfor kommunikasjonsverndirektivet (direktiv 2002/58/EF). Dette direktivet pålegger i utgangspunktet tilbydere av elektroniske kommunikasjonstjenester å bevare konfidensialitet om persondata, men tillater at medlemsstatene innfører visse unntak blant annet for å etterforske og forebygge kriminelle handlinger. Unntakene er imidlertid underlagt en rekke krav, og må overholde EUs Charter om grunnleggende rettigheter, som blant annet beskytter personopplysninger, ytringsfrihet og retten til familieliv. Tidligere rettspraksis har trukket opp rammer for slike unntak, blant annet når det gjelder retten til rettslig prøving før tilgang gis. Videre har det vært forutsatt at en plikt til lagring av trafikkdata kun kan gjelde bekjempelse av alvorlig kriminalitet, og ikke kriminalitetsbekjempelse generelt.

EU-domstolen viser i saken til at lagring og innhenting av IP-adresser og bruk av disse til å identifisere brukerens identitet, skiller seg fra den typen trafikkdata som har vært tema i en rekke tidligere saker: Slike data avslører nemlig ikke informasjon om tredjeparter (for eksempel hvem man kommuniserer med), og tillater som utgangspunkt ikke «precise conclusions to be drawn about the private life of the person concerned». Lagring og bruk av slike data var derfor som hovedregel ikke en «serious interference» i brukerens grunnleggende rettigheter. EU-domstolen tillater derfor at slike data brukes også for å etterforske og bekjempe kriminalitet som ikke er «alvorlig», og det kreves heller ikke forutgående rettslig prøving (kjennelse fra en domstol eller tilsvarende organ). EU-domstolen trekker likevel opp klare grenser. Blant grensene EU-domstolen trekker opp, er blant annet et krav om at tilgang kun kan gis til data som tilbyderne har lagret av kommersielle grunner (i forbindelse med fakturering el.l.), ikke til data de er pålagt å lagre under særlige bestemmelser med sikte på å bekjempe «alvorlig kriminalitet». Videre stilles det strenge krav til hvordan lagrede data skal oppbevares og holdes atskilt fra annen data som samlet sett kan åpne for mer vidtgående slutninger om brukerne, og at systemet med jevne mellomrom underlegges uavhengig revisjon. Endelig presiserer domstolen at unntaksvis vil også IP-adresser kunne gi grunnlag for å trekke slutninger om en persons privatliv, for eksempel ved systematiske opphavsrettsbrudd knyttet til en bestemt type innhold (en bestemt filmsjanger el.l.). I slike tilfeller må gis adgang til prøving for en domstol eller et uavhengig administrativt organ, og slik kan etterprøving ikke være «fullautomatisert», men krever «the intervention of a natural person» (avsnitt 149).

Den andre saken, C-178/22 Procura della Repubblica presso il Tribunale di Bolzano, gjaldt italiensk lovgivning som tillot tilgang til trafikkdata fra telefoner i forbindelse med etterforskning av «grovt tyveri», nærmere bestemt tyveri av mobiltelefoner. Spørsmålet for domstolen var om etterforskning og bekjempelse av slikt tyveri var tilstrekkelig alvorlig til at «serious interference» i grunnleggende rettigheter kunne rettferdiggjøres. Domstolen viste til at det langt på vei var opp til nasjonal lovgivning å identifisere lovbrudds alvorlighetsgrad, og at dette blant annet ville avhenge av strafferammen. Men i og med at strafferammen er en maksimumsstraff, ikke en minimumsstraff, utelukket ikke EU-domstolen at visse lovbrudd som etterforskes som «grovt tyveri», i realiteten ikke ville være alvorlige. En nasjonal domstol som skal vurdere en begjæring fra påtalemyndigheten om tilgang til trafikkdata i slike tilfeller, må derfor ikke bare vurdere om lovbruddet er tilstrekkelig sannsynliggjort og om de aktuelle trafikkdataene er relevante, men også kunne avslå tilgang dersom den mener at etterforskningen gjelder «an offence which is manifestly not a serious offence, in light of the societal conditions prevailing in the Member State concerned».

En tredje sak, C-670/22 M.N. (EncroChat), berører også liknende spørsmål, men med utgangspunkt i andre regler. Denne saken gjelder primært vilkårene for utveksling og bruk av bevismateriale i straffesaker med en grensekryssende dimensjon i henhold til direktiv 2014/41/EU. Saken gjaldt narkotikasmugling ved hjelp av den krypterte telekommunikasjonstjenesten EncroChat. Domstolen fant her at det var mulig å bruke bevis fra en annen medlemsstat uten at vilkårene for innhenting av tilsvarende bevis var oppfylt i den medlemsstaten som fremsatte begjæringen, men at det må være adgang til etterfølgende rettslig prøving, og at bevis innhentet i strid med direktivet på visse vilkår må ses bort fra i straffesaken. Også her understreket domstolen viktigheten av at forholdet til grunnleggende rettigheter kunne bli gjenstand for rettslig prøving og at direktivet var ment å beskytte berørte brukeres rettigheter ved avlytting av telekommunikasjon.