Da dommen falt ble det spådd en bølge av forespørsler, og det ser ut til å ha slått til. Ifølge Google hadde man den 9. desember 2014 mottatt 182 000 forespørsler om å slette søkeresultater som omfattet mer enn 652 000 pekere. Av disse ble 41 prosent etterfulgt av Google, mens 59 prosent ble avvist. I Norge er de tilsvarende tallene 1946 forespørsler og 8436 pekere, samt 39 prosent etterfulgt og 61 prosent avvist.

Fra starten av er EU-dommen blitt kritisert for å være vag og overlate for mye ansvar til de i all hovedsak amerikanske aktørene som leverer søketjenester i Europa. Istedenfor at motstykkene til vårt Datatilsyn i hvert enkelt EU-land tok ansvar, har Google måttet utviklet sine egne rutiner for å behandle slettingsforespørsler. En relativt stor andel av forespørslene blir videresendt til et juridisk spesialteam, fordi det er vanskelig å avgjøre om de fyller dommens krav.

Ifølge tidsskriftet PC World er uklarhet i dommen også årsaken til at Google frem til nå har valgt å varsle mange eiere av nettsteder som rammes av en slettingsforespørsel, uten å si hvor forespørselen kom fra. Dette har i enkelte tilfelle skapt spekulasjoner om hvem som kan stå bak, og om utgangspunktet for forespørselen var hovedteksten på nettstedet eller et innlegg i et kommentarfelt, for eksempel.

Men dette fremstår mest som innkjøringsproblemer. For tross uklarhet og kontroverser stiller EUs ulike IT-myndigheter seg helt og fullt bak dommen, og arbeider fortløpende for at den skal kunne praktiseres mer effektivt. Ikke nok med det: det legges nå opp til en kraftig utvidelse av virkeområdet for “retten til å bli glemt”.

Veien videre

Google er blitt kritisert for at lenker som er blitt slettet på de 32 lokale EU-domenene fremdeles er tilgjengelig på google.com. Googles svar er at kun et mindretall (rundt 5 prosent) bruker google.com istedenfor lokale varianter som google.no, og at en utvidelse til .com vil ramme millioner av brukere i land hvor domstolene aldri ville kreve slikt innhold fjernet.

Dette argumentet har ikke overbevist EUs personvernmyndigheter, hvis “Article 29 Working Party” nylig utarbeidet nye og mer presise retningslinjer til leverandørene. Konsekvensen av et av disse punktene (spesifikt nummer 7) blir at Google med flere ikke bare må slette pekere på lokale domener, men også på (det oftest USA-baserte) .com-domenet.

Om tiltaket gjennomføres i sin mest radikale form, innebærer det at EU-domstolen kan påvirke hva amerikanere leser på nettet. Forfatter og nettaktivist Cory Doctorow mener konsekvensene potensielt er enda mer dramatiske:

But EU data protection regulators say that because Europeans can simply load the US version of Google and see the censored results that Google has not done enough. It’s conceivable that they could demand that Google block “forgotten” results from searches originating on a European IP address, but that would also be trivial to circumvent. Ultimately, the only way to accomplish the European goal is to block the results worldwide. This would be a policy disaster.

Doctorow er på ingen måte alene: New York Times skrev på lederplass at dommen “kan undergrave pressefriheten og ytringsfriheten”, mens Wikipedia-grunnlegger Jimmy Wales mener det dreier seg om regelrett meningssensur i global målestokk.

Foto:Sebastien Wiertz cb

Tasten alle leter etter.

Den store forskjellen på europeisk og amerikansk ytringskultur kom smertelig klart til uttrykk i Washington Posts dekning av den europeiske pianisten Dejan Lazic, som for noen måneder siden ba avisen fjerne en ufordelaktig anmeldelse av en konsert fordi Google-søk på ham ga et feilaktig inntrykk av hans kompetanse:

Never mind that such an attitude torpedoes the very foundation of arts criticism, a pursuit that even Lazic says makes us “better off as a society.” Never mind that it essentially invalidates the primary function of journalism, which is to sift through competing, individual storylines for the one that most closely mirrors a collective reality. Or that it undermines the greatest power of the Web, as a record and a clearinghouse for our vast intellectual output.

Til EUs forsvar kan det sies at om kampen for personvernet skal ha noen mening i vår tid, så må den nødvendigvis føres på en global arena. En nærliggende sammenligning er kampen mot ulovlig fildeling på nettet, som lenge har vært verdensomspennende, som har resultert i at Google årlig fjerner millioner av pekere til lovstridig innhold og som nylig førte til at det notoriske fildelingsnettstedet The Pirate Bay ble stengt.

Innskjerpingen av retningslinjene må også ses i lys av arbeidet som nå pågår i EU med å modernisere unionens personvernlovgivning. Det arbeides nå med et forslag til ny personvernforordning og et nytt direktiv om “beskyttelse av personopplysninger med hensyn på forebygging, avsløring, undersøkelser eller rettsforfølgning av overtredelser.” Selv om arbeidet med disse sakene begynte lenge før Snowden-affæren, ble den en kraftfull påminnelse om at personvern, som friheten, er en rettighet som må gjenvinnes gang på gang.

Amerikanske myndigheter har på sin side forholdt seg avventende, som rimelig kan være med tanke på at landets lover fremdeles gir e‑tjenester fri adgang til å krenke personvernet til ikke-amerikanere. I sitt arbeid med en ny digital personvernlov har dessuten Obama-administrasjonen gått langt i retning av å styrke brukernes rettigheter overfor datalagrerne, og lovfeste en rett til å slette eller endre uriktige data.

En “rett til å bli glemt” får man ikke i USA så lenge grunnlovens første tillegg (“Congress shall make no law […] abridging the freedom of speech, or of the press”) står ved lag, men en viss bevegelse i samme retning som EU er altså tenkelig på sikt.

Den norske tausheten

På mange måter har den norske debatten om “retten til å bli glemt” fulgt et velkjent mønster fra den generelle personverndebatten. Man får en viss økning i aktiviteten når enkelthendelser setter spørsmålet på dagsordenen (som Snowden-avsløringene i 2013), og deretter dør den ganske raskt hen.

I Aftenposten finner vi for eksempel rundt dusinet saker om “retten til å bli glemt” i ukene etter at dommen falt, siden er det bare publisert én artikkel (i oktober, da slettestatistikk for Norge ble kjent). Dette overrasker ikke undertegnede. Som mangeårig personverndebattant og forfatter av en nylig utgitt bok om overvåkningssamfunnet var jeg forberedt på – og har denne høsten til fulle fått bekreftet – at slike spørsmål oppfattes som usexy i norsk offentlighet.

Til en viss grad kan dette forklares med at konsekvensene av “retten til å bli glemt” så langt er neglisjerbare. 270 000 slettede pekere i Europa i løpet av noen måneder kan høres mye ut, men satt opp mot de mer enn 30 billioner pekerne Google indekserer til enhver tid virker tallet totalt insignifikant. De slettede pekerne utgjør faktisk bare i underkant av én milliontedels prosent av Google-totalen.

Argumentet om at den vilkårlige slettingen av søkeresultater langsomt vil påføre oss et slags kollektivt hukommelsestap, kan imøtegås med at det kun er pekerne i Google og andre søkemotorer som slettes, ikke innholdet i seg selv. Takket være nettets desentraliserte, pekerbaserte struktur vil det alltid finnes andre måter å finne samme informasjon på, og nettbrukere er kjent for å være kreative når de støter på hindre av ulike slag.

Om de praktiske konsekvensene så langt er minimale, er det likevel prinsipielle sider ved EU-dommen som fortjener bredere debatt. Ta spørsmålet om kontroll med ytringers synlighet, for eksempel. Vil vi virkelig ha det slik at det er amerikanske selskaper som tar den endelige beslutningen, og ikke lokale organer underlagt demokratisk kontroll?

Og hvis EU får gjennomslag for at dommen også gjelder amerikanere, skaper ikke det da farlige presedenser? Hva skjer hvis myndighetene i India, Kina eller Russland, som vil rammes av EU-dommen via sine lokale Google-varianter, innfører lover basert på samme prinsipp? Ville vi være villige til å godta kinesiske standarder for hva som fortjener å glemmes på nettet?

Apropos kinesiske standarder: Minstekravet for sletting er altså ikke at informasjonen er usann, har en injurierende form eller er hetspreget, men kun at søkeren opplever den som irrelevant eller utdatert. Ifølge Google er mange slettingsvedtak ene og alene basert på informasjon som søkeren legger inn i et webskjema. Dette følger forsåvidt av EUs retningslinjer, som stipulerer at den som publiserer informasjonen ikke skal informeres når en peker kreves fjernet, og at vedkommende heller ikke har noen mulighet til å anke vedtaket.

At andre enn søkeren kan ha et annet syn på saken, at publisisten f.eks. kan være en avis av nasjonal betydning og at det ligger i journalistikkens oppdrag å veie individets behov for privatliv opp mot samfunnets behov for informasjon, viser EU liten forståelse for. Det er, som Halvard Haukeland Fredriksen nøkternt konstaterer i sin gjennomgang av dommen, “ikke journalistisk unntak for søkemotorer”.

Britisk presses dekning av EU virker ofte jingoistisk og hysterisk, men i dette tilfellet har euroskepsisen i det minste ført til at journalister spør hva dommen og oppfølgingen av den kan bety for pressefriheten på sikt. Noe tilsvarende har vi ikke sett i Norge. Ingen av våre ledende kommentatorer har grepet tak i saken, og det har ikke vært debatter av betydning i massemediene.

Meg vites har norske medier heller ikke kopiert den britiske praksisen med å si fra om de får vite at pekere blir slettet. Kan hende skyldes det at det ikke finnes pekere til norske medier blant de mer enn tusen som så langt er slettet av Google, men en avklaring av det prinsipielle ståstedet i slike saker hadde vært verdifullt for leserne.

Uansett hva man ellers måtte mene om “retten til å bli glemt”, har vårens EU-dom fungert som en prøve på hvordan vi som samfunn håndterer en potensiell trussel mot det frie og åpne nettet, og i forlengelsen av det ytrings- og pressefriheten. Det er vanskelig å fri seg fra intrykket av at resultatet – som så mange ganger tidligere på dette feltet – er “ikke bestått”.

Google selv har nøyd seg med å betegne dommen som overraskende og skuffende, men særlig amerikanske kommentatorer har fordømt den som et sjokkerende angrep på friheten til å bli informert — informasjonsfriheten — og dermed på selve ideen om et fritt Internett. De fleste reaksjonene fra europeiske kommentatorer er mer nyanserte. Det er ingen tvil om at dommen legger klare føringer i retning av styrket personvern, men den etterlater samtidig en rekke ubesvarte spørsmål som gjør at det er for tidlig å si noe sikkert om hvilke praktiske følger den vil få.

Slette “irrelevante” søkeresultater

Meget kort fortalt har EU-domstolen avgjort at personverndirektivet (direktiv 95/46/EF) som utgangspunkt og hovedregel gir enkeltpersoner rett til å kreve at søkemotorselskaper som Google sletter søkeresultater som er «inadequate», «irrelevant», «no longer relevant» eller «excessive» (avsnitt 94 i dommen).

Ifølge EU-domstolen må nemlig bestemmelsene i EUs Charter om grunnleggende rettigheter som gjelder respekt for privatlivet (artikkel 7) og vern av personopplysninger (artikkel 8) i prinsippet gå foran offentlighetens interesse i å finne slike opplysninger ved søk på den aktuelle personens navn (avsnitt 97 i dommen).

Unntak fra dette utgangspunktet krever særlige grunner («particular reasons»), noe som først og fremst vil være aktuelt for offentlige personer. Selv her krever imidlertid EU-domstolen at det foreligger en tungtveiende offentlig interesse («[a] preponderant interest of the general public») for at informasjonsfriheten skal gå foran personvernet.

Personverndirektivet er innlemmet i EØS-avtalen og det er liten grunn til å tolke det på noen annen måte i EØS-rettslig sammenheng. Om spørsmålet skulle bli reist for EFTA-domstolen, vil den temmelig sikkert legge EU-domstolens syn til grunn. Dommen må derfor kunne påberopes også av norske borgere som ønsker å bli glemt av Google eller andre søkemotorselskaper.

Google mot Mario Costeja González

I den konkrete saken mellom Google og Mario Costeja González slo EU-domstolen fast at Google må sørge for at søk på González’ navn ikke lenger viser til en 16 år gammel notis i en katalansk avis som opplyser om tvangsauksjon av boligen hans for å dekke gjeld til sosialtjenesten. Den endelige avveiningen ble riktignok som vanlig overlatt til de nasjonale domstolene, men EU-domstolen karakteriserte de aktuelle opplysningene som følsomme for González’ privatliv, viste til tidsforløpet på 16 år og la til at det ikke synes å foreligge tungtveiende offentlig interesse av opplysningene.

På veien frem til denne konklusjonen besvarte EU-domstolen flere meget viktige spørsmål knyttet til rekkevidden av EUs personvernlovgivning.

1. Google behandler personopplysninger

For det første slår dommen fast at søkemotorer som Google driver en aktivitet som er omfattet av personverndirektivet. Det bærende synspunkt er at når søkemotorer systematisk og kontinuerlig gjennomgår all informasjon som publiseres på Internett for å gjøre den søkbar, er dette behandling av personopplysninger.

En rett til å bli glemt? Googles eget forslag til søkeord.

Domstolen lot seg ikke overbevise av Googles argument om at søkemotorer faller utenfor direktivet fordi de ikke skiller mellom personopplysninger og annen informasjon. Ifølge EU-domstolen er det tilstrekkelig at personopplysninger inngår i den informasjonen som behandles. At opplysningene allerede er blitt offentliggjort på Internett av andre og ikke på noe vis endres av Google, hindrer ikke at Google «behandler» opplysningene i direktivets forstand.

2. Google er “registeransvarlig”

For det annet slår dommen fast at et selskap som driver en søkemotor, er å anse som «registeransvarlig» i henhold til personverndirektivet. Google argumenterte forgjeves med at selskapet ikke er registeransvarlig fordi det verken har kjennskap til eller kontroll med informasjonens innhold. En av EU-domstolens medlemmer, generaladvokaten som i juni 2013 kom med sitt forslag til hvordan saken burde løses, sa seg langt på vei enig med Google på dette punkt.

EU-domstolens dommere la imidlertid større vekt på formåls- og konsekvensbetraktninger: Det er viktig at søkemotorselskaper som Google omfattes av direktivet fordi deres virksomhet kan gripe inn i personvernet på et særlig omfattende vis. Google gjør personopplysninger tilgjengelige for enhver internettbruker, herunder internettbrukere som ellers ikke ville funnet frem til den nettside hvor opplysningene er offentliggjort. På sett og vis er jo dette hele poenget med Google. EU-domstolens resonnement er ganske enkelt at det nettopp av denne grunn er viktig at søkemotorselskaper anerkjennes som ansvarssubjekt under direktivet.

3. Gjelder ikke-europeiske selskaper

For det tredje slår dommen fast at personverndirektivet gjelder for ikke-europeiske søkemotorselskaper dersom de har en filial eller et datterselskap i et EU-land som markedsfører og selger reklameplass (slik som Google Spain i den konkrete saken). Google innvendte at selskapets europeiske datterselskaper ikke behandler noen personopplysninger ettersom de ikke har noe som helst med Googles søkemotor å gjøre – Google Search drives av morselskapet Google Inc., som er hjemmehørende i California, USA. EU-domstolen viste imidlertid til at Google Spains salg av reklameplass er uløselig forbundet med driften av søkemotoren og at hensynet til effektiv beskyttelse av borgernes grunnleggende rettigheter tilsier at personverndirektivet må komme til anvendelse også på behandling av personopplysninger som skjer i regi av Google Search.

Dette standpunktet er viktig ikke bare i et personvernperspektiv, men også for den europeiske internettindustriens mulighet til å konkurrere med aktører fra andre verdensdeler. En rettstilstand hvor for eksempel amerikanske selskaper kunne unnslippe EUs personvernlovgivning gjennom å legge all behandling av EU-borgeres personopplysninger til datterselskaper utenfor EU, ville være ødeleggende for europeiske selskapers forsøk på å ta opp konkurransen. EU-domstolens enkle resonnement er at dersom man tjener penger i EU, så kommer EUs personvernlovgivning til anvendelse.

Med dette har domstolen i realiteten foregrepet – og dermed samtidig forhåndsgodkjent – Kommisjonens forslag om at EUs nye personvernforordning skal gjelde også for ikke-europeiske selskaper så lenge disse tilbyr varer eller tjenester i EU. Rettspolitisk er standpunktet velkomment, men det må være lov å karakterisere EU-domstolens tolkning av det territorielle anvendelsesområdet for dagens personverndirektiv som temmelig frisk.

4. Du kan kreve at Google sletter

For det fjerde slår dommen fast at enkeltpersoner kan fremsette et krav om sletting direkte overfor søkemotorselskapene. Google hevdet forgjeves at krav om sletting alltid må rettes mot den som har publisert de aktuelle opplysningene på Internett. EU-domstolen fremhevet imidlertid søkemotorselskapenes selvstendige ansvar for de personopplysninger som de behandler. Også på dette punkt i dommen fremheves søkemotorenes helt sentrale rolle i samfunnet: Søkemotorenes systematisering av personopplysninger som er lagt ut på nettet representerer et mer alvorlig inngrep i personvernet enn den opprinnelige publiseringen av enkeltopplysninger nettopp fordi et googlesøk gjør det mulig å sette sammen en detaljert profil av en person og fordi internettets tilgjengelighet gir informasjonen et allestedsnærværende preg.

Også her legger EU-domstolen avgjørende vekt på formåls- og konsekvensbetraktninger: Når det er resultatlisten etter et googlesøk som er det største problemet for borgere som ønsker å verne om sitt privatliv, er det kort og godt mest effektivt at krav om sletting kan fremmes direkte overfor søkemotorselskapet.

5. Ikke journalistisk unntak for søkemotorer

For det femte innebærer søkemotorselskapenes selvstendige ansvar for de personopplysninger som de behandler at treff kan kreves slettet selv om informasjonen på den aktuelle nettsiden er lovlig publisert. Dette er en meget viktig avklaring, både praktisk og prinsipielt.

Den konkrete tvisten mellom Google og Mario Costeja González er illustrerende. González krevde opprinnelig at også den katalanske avisen som hadde publisert notisen om tvangssalget av boligen hans, skulle fjerne informasjonen fra nettet. Dette kravet ble imidlertid avvist av det spanske datatilsynet, som viste til at personverndirektivet gjør unntak for offentliggjøring av personopplysninger som skjer i journalistisk øyemed. Ifølge EU-domstolen kan ikke søkemotorselskaper som Google påberope seg dette unntaket. Også i tilfeller hvor dette unntaket ikke er aktuelt, kan det tenkes at Google må slette treff selv om det ikke er grunnlag for noe krav om sletting mot den som har publisert de aktuelle opplysningene på Internett. Både hensynet til ytringsfriheten og den omstendighet at offentliggjøring av personopplysninger på en nettside med en begrenset leserkrets representerer et mindre inngrep i privatlivets fred, kan føre til at Google må forholde seg til strengere rettslige krav enn dem som har publisert de aktuelle opplysningene på nettet.

Dommerne mot røkla

Først etter å ha ryddet av veien alle disse underproblemstillingene kunne EU-domstolen gi seg i kast med spørsmålet om personverndirektivet gir borgerne rett til å kreve slettet henvisninger til personopplysninger som i og for seg er riktige, men som vedkommende ønsker at skal «bli glemt». På dette punkt stod Mario Costeja González nokså alene – ikke bare Google, men også EU-kommisjonen og de fleste av de EU-statene som involverte seg i saken mente at direktivet ikke gir opphav til en slik «rett til å bli glemt».

EU-domstolens generaladvokat var av samme oppfatning og uttalte at man i motsatt fall ville «ofre» ytrings- og informasjonsfriheten på personvernets alter. Han advarte også mot en mellomløsning hvor søkemotorselskapene må avveie hensynet til personvernet og hensynet til ytrings- og informasjonsfriheten, fordi dette etter hans oppfatning ville innebære en form for privat sensur av (lovlig) offentliggjort informasjon og dessuten kunne utsette søkemotorselskapene for et uhåndterlig antall krav om sletting. Generaladvokaten påpekte også faren for at søkemotorselskapene ville kunne reagere med nærmest automatisk aksept av alle krav om sletting, noe som potensielt vil få store konsekvenser for informasjonsfriheten.

Enigheten mellom Google, EU-kommisjonen og generaladvokaten er utvilsomt mye av årsaken til at EU-domstolens avvikende standpunkt kom som en betydelig overraskelse. I all enkelhet viser dommen at EU-domstolen legger større vekt på personvernet og mindre vekt på informasjonsfriheten enn forventet. Det er meget interessant hvordan generaladvokatens mange henvisninger til ytringsfriheten forbigås i stillhet. Den nært beslektede informasjonsfriheten nevnes riktignok flere steder, men den klassifiseres ikke som en grunnleggende rettighet av samme rang som personvernet. Tvert imot gjør EU-domstolen det temmelig klart at personvernet som utgangspunkt og hovedregel må gå foran offentlighetens interesse i å finne personopplysninger gjennom googlesøk – som alt nevnt må det foreligge særlige grunner for at informasjonsfriheten skal gå foran personvernet.

Med dette ikke bare foregriper EU-domstolen forslaget om å innføre en rett til å bli glemt som en del av at EUs nye personvernforordning – ved å slå fast at denne retten kan anføres også overfor søkemotorselskaper som Google, går domstolen enda lenger enn EU-kommisjonens forslag.

Uklare praktiske konsekvenser

Når det likevel er vanskelig å si noe sikkert om hvilke praktiske konsekvenser dommen vil få, skyldes det dels at den etterlater flere ubesvarte spørsmål og dels at det gjenstår å se hvordan Google og andre søkemotorselskaper vil innrette seg for å etterleve dommen.

For å ta det siste først: Google har på meget kort tid etablert en midlertidig løsning hvor personer som mener å ha krav på å bli glemt av søkemotoren kan henvende seg til selskapet. Ifølge selskapet mottok man mer enn 12.000 slike krav allerede første dag. Det gjenstår imidlertid å se hvordan Google vil håndtere kravene. EU-domstolen legger opp til at selskapet skal foreta en konkret vurdering av hver enkelt sak, men dette vil være svært ressurskrevende. Det vil dessuten være belastende for Google å bli eksponert som en slags semioffisiell sensurmyndighet. Det er nok derfor ikke utenkelig at generaladvokaten får rett i at selskapet velger å akseptere nær sagt alle krav om sletting. Som et privat selskap har jo ikke Google noen rettslig forpliktelse til å begrense inngrepet i informasjonsfriheten til det strengt nødvendige. Av kommersielle årsaker vil det imidlertid være problematisk for Google dersom andre søkemotorer – som trolig vil få inn langt færre krav om sletting – tar kostnadene med grundigere vurderinger og derfor ender opp med færre «hull» i resultatlistene. Det er derfor forståelig at Google har varslet at man vil tenke nøye gjennom hvordan man skal etterleve EU-domstolens føringer.

Sletting kun av personens navn

I vurderingen av dommens potensielle følger for informasjonsfriheten er det imidlertid viktig å være oppmerksom på at retten til å bli glemt av søkemotorene bare gjelder for søk på en persons navn. Flere av de mest kritiske kommentatorene synes å ha oversett dette vesentlige poenget. Selv om søk på Mario Costeja González’ navn ikke lenger vil vise til avisnotisen om tvangssalget av boligen hans, så vil notisen fortsatt dukke opp om man søker etter tvangsauksjoner i Katalonia e.l.

Blant de nye spørsmål som dommen gir opphav til, er det kanskje særlig unntaket for offentlige personer som må utdypes gjennom fremtidige rettsavgjørelser: Når foreligger det «[a] preponderant interest of the general public» som tilsier at informasjonsfriheten må gå foran personvernet? Og hva om Google for enkelhets skyld sletter mer enn påkrevd? Skal medier som på dette vis blir «sensurert» av Google kunne påklage dette? Hvis ja, hvordan og til hvem?

Dommere setter grenser for politikk

Listen over ubesvarte spørsmål kunne imidlertid enkelt vært gjort lengre. Saken er ganske enkelt at det nesten 20 år gamle personverndirektivet ikke er tilpasset søkemotorenes virksomhet. Forslaget til en ny personvernforordning vil i noen grad avhjelpe dette, men etter dommen fra EU-domstolen bør EUs lovgivende organer klargjøre hvilke følger ulike bestemmelser i den nye forordningen vil få for søkemotorselskapene.

EU-lovgivers muligheter for å skreddersy nye personvernregler for søkemotorselskaper er imidlertid nå begrenset av EU-domstolens syn på avveiningen mellom personvernet og informasjonsfriheten. Domstolens tolkning av artikkel 7 og 8 i EUs Charter om grunnleggende rettigheter etablerer en rettslig ramme som bare kan mykes opp gjennom endring av selve EU-traktaten, noe som er temmelig upraktisk. Dommen er av denne grunn et meget klart uttrykk for rettsliggjøring av det som i realiteten er vanskelige politiske avveininger: I EU er det til syvende og sist opp til juristene i EU-domstolen, ikke politikerne i EUs lovgivende organer, å avveie personvernet mot informasjonsfriheten.

Kronglete og lite prinsipielt

Uavhengig av hva man måtte mene om den avveiningen som EU-domstolen kom frem til, så er det problematisk at dommen ikke akkurat er lettlest. Domsgrunnene er kronglete, tekniske og postulerende snarere enn åpent drøftende. Generaladvokatens innvendinger forbigås i stillhet og det gis ikke egentlig noen prinsipiell begrunnelse for den avveiningen av personvernet mot informasjonsfriheten som deretter legges til grunn for tolkningen av de ulike bestemmelsene i personverndirektivet. Relevant rettspraksis fra Menneskerettighetsdomstolen i Strasbourg omtales ikke med ett eneste ord. Og forbudet mot offentlige dissenser leder til at man ikke får vite om det var intern uenighet i dommerkollegiet.

Kontrasten er stor til de åpne og prinsipielt anlagte votaene man kunne forventet fra for eksempel U.S. Supreme Court i en tilsvarende sak. Amerikanske kommentatorer har nok fått med seg at man i Europa avveier personvernet og informasjonsfriheten på en annen måte enn i USA, men det er svært tvilsomt om EU-domstolens begrunnelse er egnet til å overbevise noen på den andre siden av Atlanterhavet.

Hva så med Norge? Som alt nevnt er personverndirektivet innlemmet i EØS-avtalen. I praksis vil derfor EU-domstolens avveining av personvernet mot informasjonsfriheten være styrende også for Norge. Hva norske jurister og politikere måtte mene om spørsmålet er derfor sørgelig uinteressant – her som ellers er vi i realiteten henvist til å ta utviklingen i EU til etterretning.

Gitt den tidvis meget opphetede politiske diskusjonen knyttet til datalagringsdirektivet, ikke minst i kjølvannet av avsløringene av amerikanske myndigheters omfattende overvåkning av nær sagt enhver form for elektronisk kommunikasjon, kunne EU-domstolen kunne knapt valgt en bedre sak for å demonstrere at den tar EU-borgernes grunnleggende rettigheter på alvor.

Forbausende klar dom

Vel så oppsiktsvekkende som utfallet er dommens premisser. EU-domstolen er nemlig forbausende klar: Direktivets regler om datalagring representerer et meget omfattende og særlig alvorlig inngrep i retten til respekt for privatlivet og til beskyttelse av personopplysninger.

EU-domstolens bygninger i Luxembourg (foto: EU-domstolen).

Dommerne anerkjenner riktignok at direktivet forfølger et legitimt formål (kriminalitetsbekjempelse) og de slår også fast at EU-retten ikke prinsipielt er til hinder for enhver form for lagring av teledata, men de er samtidig meget klare på at det må foretas en streng kontroll av om EUs lovgivende organer har sørget for å begrense inngrepet i borgernes grunnleggende rettigheter til det strengt nødvendige. Utfallet av denne kontrollen er oppløftende for personvernet og tilsvarende nedslående for EU-kommisjonen, Europaparlamentet og medlemsstatene som stemte for direktivet i Rådet: Direktivet favner for vidt ved at det på generelt vis krever lagring av alle trafikkdata, uten at der foretas noen sondring, begrensning eller unntak tilpasset det angitte formålet om bekjempelse av grov kriminalitet. Direktivet inneholder heller ingen definisjon av begrepet grov kriminalitet – dette er overlatt til medlemsstatene. Og myndighetenes tilgang til lagrede teledata er heller ikke betinget av samtykke fra en uavhengig instans (en domstol eller et uavhengig forvaltningsorgan).

Ugyldig — med “tilbakevirkende” kraft

Også varigheten av lagringen slår EU-domstolen ned på: Direktivet knesetter en minste lagringstid på seks måneder uten å sondre mellom ulike typer data eller deres nytteverdi i forhold til formålet om kriminalitetsbekjempelse. Og direktivet åpner for lagring helt opp til to år, uten å angi noen kriterier for å sikre at data ikke lagres lenger enn strengt nødvendig. Direktivet sikrer heller ikke ugjenkallelig sletting av data etter lagringsperiodens utløp.

Endelig – og vel med en dårlig skjult henvisning til amerikanske myndigheter – kritiserer EU-domstolen den omstendighet at direktivet ikke krever at dataene skal lagres i EU. Muligheten for lagring utenfor EU medfører at direktivet ikke sikrer at lagringen vil være under EU-rettslig kontroll, noe som ifølge domstolen er helt avgjørende for å sikre at lagringen skjer i overensstemmelse med EU-borgernes grunnleggende rettigheter.

Konklusjonen er knusende: Datalagringsdirektivet er ugyldig. EU-domstolen finner derfor ikke engang grunn til å gå inn på spørsmålet om direktivet også er i strid med ytringsfriheten. Og enda viktigere – i motsetning til domstolens egen generaladvokat er ikke dommerne villige til å holde direktivet kunstig i live inntil EU eventuelt kommer opp med nye, mer begrensede og mer presise regler om lagring av trafikkdata. Dommen rammer følgelig med «tilbakevirkende» kraft: Direktivet har aldri vært gyldig. En konsekvens av dette er blant annet at medlemsstater som tidligere er blitt bøtelagt for ikke å ha overholdt direktivets gjennomføringsfrist, nå kan kreve bøtene tilbakebetalt fra Kommisjonen. Med renter.

Begrenser politikernes handlingsrom

Selv om det er riktig at EU-domstolen ikke stenger døren for enhver form for lagring av teledata, så inneholder dommen meget klare føringer for EUs og medlemsstatenes politiske handlingsrom.

For det første er det grunn til å merke seg domstolens påpekning av at lagring og hemmelig bruk av alle slike data er et skritt i retning av et overvåkingssamfunn:

[T]he fact that data are retained and subsequently used without the subscriber or registered user being informed is likely to generate in the minds of the persons concerned the feeling that their private lives are the subject of constant surveillance (avsnitt 37).

Dommen lest under ett etterlater liten tvil om at EU-domstolen ikke anser dette som noen ønskelig utvikling, for å uttrykke det forsiktig.

Dommerne ved EU-domstolen (foto: EU-domstolen).

For det annet er dommernes anerkjennelse av at EU-retten ikke prinsipielt er til hinder for enhver form for lagring av teledata interessant fordi den er knyttet til den omstendighet at datalagringsdirektivet ikke krever lagring av innholdet i kommunikasjonen. EU-domstolen formulerer seg her på et vis som mer enn antyder at generell lagring av innhold aldri kan rettferdiggjøres (avsnitt 39). I kjølvannet av Snowden-avsløringene kan dette være en rettslig avklaring av større praktisk betydning enn man skulle ønske.

For det tredje er EU-domstolens generelle tilnærming til EU-lovgivers handlingsrom meget interessant: Dommerne slår fast at personvernet er så viktig, og inngrepet som lagringen innebærer så alvorlig, at lovgivernes handlingsrom er begrenset og domstolskontrollen tilsvarende streng:

[I]n view of the important role played by the protection of personal data in the light of the fundamental right to respect for private life and the extent and seriousness of the interference with that right caused by Directive 2006/24, the EU legislature’s discretion is reduced, with the result that review of that discretion should be strict (avsnitt 48).

Dette vil gjelde tilsvarende både for et eventuelt nytt datalagringsdirektiv og for eventuelle nasjonale særlover om datalagring. Og både nasjonale domstoler og menneskerettsdomstolen i Strasbourg må forventes å følge samme tilnærming. Dommen gir med dette også et viktig bidrag i den generelle diskusjonen om maktfordelingen mellom lovgivere og domstoler i konstitusjonelle demokratier. Her vil nok oppfatningene være delte, både blant politikere, jurister, statsvitere og andre. Det er ikke til å komme forbi at de 15 dommerne i EU-domstolens storkammer gjennom denne dommen har satt sin vurdering av avveiningen mellom personvern og kriminalitetsbekjempelse over vurderingen til Europaparlamentet og medlemsstatenes representanter i Rådet, men i motsatt fall ville det ikke være noen realitet i EU-rettens beskyttelse av grunnleggende menneskerettigheter.

EU-dommen, EØS og Norge

Hvilken betydning har dommen så for Norge? Politisk er den direkte pinlig for datalagringsdirektivets forkjempere, men rettslig er betydningen mer indirekte. I motsetning til det mange synes å tro, er datalagringsdirektivet ikke innlemmet i EØS-avtalen. Takket være det islandske Alltingets prinsippfaste motstand mot direktivet er det derfor ikke noe behov for å ta direktivet ut av EØS-avtalen. Den norske lovgivningen som skulle gjennomføre direktivet ble som kjent vedtatt med knapp margin i Stortinget allerede i 2011, men den er ikke trådt i kraft og regjeringen har nå klokelig varslet at den heller ikke kommer til å gjøre det.

EØS-avtalen er ikke til hinder for at norske myndigheter på eget initiativ vedtar nye regler om lagring av teledata, men indirekte vil EU-domstolens dom legge føringer for myndighetenes handlingsrom: Bestemmelsene i EUs pakt om grunnleggende rettigheter som EU-domstolen anvendte i dommen, gjenfinnes i Den europeiske menneskerettighetskonvensjonen som Norge er tilknyttet og som gjennom menneskerettsloven fra 1999 har lovs kraft i Norge.

EU-domstolens dom inneholder flere henvisninger til praksis fra Menneskerettighetsdomstolen, og det er liten grunn til å tro at domstolen i Strasbourg vil innrømme myndighetene noe større handlingsrom enn det EU-domstolen har lagt til grunn. Eventuelle nye norske regler om datalagring må derfor tåle inngående rettslig overprøving av om de er strengt nødvendige for å bekjempe grov kriminalitet og om de dertil tilbyr tilstrekkelige garantier mot misbruk osv. Det er derfor en tung argumentasjonsbyrde som EU-domstolen har lagt på myndighetene.

Også dersom EU skulle forsøke seg med et nytt, forutsetningsvis mindre omfattende og mer presist, direktiv om datalagring, kan EU-domstolens dom vise seg meget viktig for Norge: Et av kravene fra EU-domstolen er mer presise regler om hva de lagrede dataene kan brukes til. Dette forutsetter at et eventuelt nytt direktiv beveger seg lenger inn på strafferettens område. EUs kompetanse til å gjøre dette er kontroversiell internt i EU, men enda mer så i EØS-rettslig sammenheng: Strafferettslige regler faller i utgangspunktet utenfor EØS-avtalen. EØS-relevansen av et eventuelt nytt datalagringsdirektiv vil derfor være enda mer tvilsom enn EØS-relevansen av det direktivet som EU-domstolen nå har underkjent.

Prinsipiell etterpåklokskap

Avslutningsvis er det grunn til å reflektere over hvor langsomt fru Justitias kvern maler: Datalagringsdirektivet ble vedtatt i EU våren 2006. Det tok altså mer enn åtte år før EU-domstolen erklærte det ugyldig. Underveis har det vært flere saker for domstolen hvor den kunne tatt stilling til spørsmålet om den hadde villet, men hvor den dekket seg bak prosessuelle regler og lot gyldighetsspørsmålet henge i luften. Dette kan selvsagt kritiseres. Men kanskje gjorde EU-domstolen likevel klokt i å utsette spørsmålet til det virkelig kom på spissen?

Det kan neppe utelukkes at avstanden i tid fra terrorangrepene i New York i 2001, i Madrid i 2004 og i London i 2005 gjorde det lettere for EU-domstolen å slå ned på EU-lovgivers manglende respekt for personvernet. Fordelen med tregheten i den rettslige etterprøvingen er at det gir rom for prinsipiell etterpåklokskap. I tilfeller hvor betingelsene på vedtakstidspunktet kanskje ikke har vært de beste for prinsipielle diskusjoner, er det slett ikke så dumt.