Forfatningsdom i Romenia

Datalagringsdirektivet ble innført ved lov no.298/2008 i Romenia. Implemenetasjonen er i stor grad i tråd med ordlyden i direktivteksten med få unntak. Romenia er et av få land (av de jeg har undersøkt), som faktisk har eksplisitte regler om datasikkerhet i sitt implementasjonslovverk, det er dog ganske marginalt og vagt. Romania er også ganske alene i gå langt i å iverksette spesifikke evalueringsretningslinjer i lovs form, der de nedsetter regler om statistikk over uthenting av data o.l. Jeg kan helt kort nevne at lagringstid i denne innføringsmodellen var seks måneder, slik lå Romania i den perioden lovverket var aktivt med en kortere lagringsperiode enn de fleste landene jeg har undersøkt. Jeg vil ikke gå nærmere inn på den gjennomføringsmodellen Romania har valgt da lite skiller seg fra en ren oversettelse av direktivet. Jeg vil derimot bruke litt tid på forfatningsdommen som veltet innføringsloven.

Datalagringsdirektivets implementasjon i Romenia ble avvist i dom no.1258 i den Rumenske forfatningsdomstol den 8. Oktober 2009. Det er i hovedsak to hovedmomenter den rumenske forfatningsdomstolen legger avgjørende vekt på når de vurderer implementasjonsmodellen av datalagringsdirektivet. Det første er sammenfallende med et av momentene i den tyske dommen, nemlig presisjon. Det andre momentet er at domstolen anser at generell datalagring som konsept undergraver prinsippet om at borgerne kun unntaksvis skal overvåkes. Jeg vil gå nærmere inn på disse argumentene og komme med en egen analyse i det følgende.

Det første problemet med innføringsmodellen, slik forfatningsdomstolen ser det, er av veldig praktisk art, nemlig: presisjon. Presisjon i implementasjonen er altså et problem både den tyske og rumenske forfatningsdomstolen har satt fingeren på. Det kan synes som dette er et gjennomgående problem etter mitt syn, spesielt etter å ha sett flere av implementasjonslovene i EU. Det er flere lover der vage termer blir brukt og hvor presisjon ofres for dynamikk. Domstolen legger vekt på at både selve definisjonen av hvilke data som skal lagres og hvordan de skal brukes er dårlig definert. I artikkel 1, paragraf 2 av loven, blir hvilke data som skal lagres definert. Her fremgår også frasen "the related data necessary" (i den uoffisielle engelske oversettelsen av dommen). Slik den rumenske domstolen ser det er ikke dette tilstrekkelig presist med tanke på at denne loven skal regulere et særs sensitivt og sentralt område som nyter godt av sterk nasjonal og internasjonal beskyttelse. Inngrep i kommunikasjonsfriheten bør, slik domstolen ser saken, gjøres på mest mulig presis måte og kommuniseres på en slik måte at borgerne skal ha mulighet til å vite nettopp hva som lagres og i hvilke tilfeller. Nettopp her blir ”the related data necessary” ikke tilstrekkelig etter domstolens syn. Jeg er tilbøyelig til å si meg enig i dette. Man gir i realiteten myndighetene skjønnskompetanse til å utvide området for data som skal omfattes av lagringsplikten, og dermed blir muligheten for forutberegnelighet liten. En lignende kritikk blir reist mot uttrykket "threats to national security" i artikkel 20 av loven. Her kan data hentes ut ved hendelser/tilfeller som utgjør en trussel mot den nasjonale sikkerhet, uten at dette defineres nærmere eller at det settes krav til alvorlighetsgrav. Domstolens syn er at dette er et kriterium som på ingen måte er presist nok for borgerne, og at de dermed ikke kan justere oppførselen sin i henhold til lovverket. Jeg er også her enig med domstolens vurdering. Uttrykket ”threats to national security” er åpent for ganske utstrakt tolkning, hva som utgjør en trussel har et stort spenn fra mindre og mer perifere hendelser til større og mer avgjørende trusler.

Dette første ankepunktet , av praktisk art, belyser i likhet med dommen fra Tyskland behovet for en så presis og konkret lovgivning som mulig på dette området. Den må også skape forutberegnelighet og klare grenser på et lovgivningspolitisk betent område. Et stort problem i så måte er om man praktisk kan konstruere lover på et så teknologisk dynamisk område, som er presise nok uten at de må oppdateres veldig jevnlig for å ha den funksjonen de er tilsiktet. Spesielt når det gjelder kommunikasjonsteknologi er denne faren påtagelig. Man kan her bruke internett som et godt eksempel. Vil vi ha en lignende struktur, både rent fysisk, men også kommunikasjonsprogramvare-messig, om fem, ti eller femten år? Man kan nok trygt besvare dette spørsmålet med et relativt ubetinget: nei. Dette gjør at uttalelsene i de rumenske og tyske dommene settes i et annet lys. Er kravet til spesifikk lovgivning så strengt at det i prasis blir nærmest umulig å implementere direktivet på en fungerende måte? Det blir her vanskelig å finne balansen mellom kravet til forutberegnelighet og klarhet og en rent praktisk mulighet for å kunne forfatte regler som fungerer over lengre tid.

Det andre og mer prinsipielle problemet med implementeringen, er at retten anser den nye lovgivningen for å undergrave hele hovedregelen om respekt for privat kommunikasjon. Hovedregelen både nasjonalt i Romenia og i de europeiske menneskerettighetene er at respekt for privatliv og kommunikasjon skal foreligge, og at unntak kun skal skje jf. de unntak man bl.a. finner i EMK 8 (som domstolen henviser til). Domstolen peker på at innføringsmodellen gjennom sin natur, lagringslengden og nedslagsfelt i stor grad tømmer prinsippet om respekt for kommunikasjon og privatliv for innhold. Retten peker på at rettigheten på denne måten mister sin positivt avgrensede natur, og ender opp med å være en underordnet unntaksregel. Slik jeg tolker denne delen av dommen, indikerer dette at domstolen nok ikke vil akseptere noen form for innføring av direktivet som åpner for full generell lagring. Dette er hvis jeg tolker det riktig, et moment som går veldig langt i å diskvalifisere direktivet i sin nåværende form. Det kan bli interessant å følge utviklingen i Romenia når direktivet skal gjeninnføres etter en ny modell. Hvis min mistanke er korrekt vil enhver modell som innebærer full generell lagring møte problemer i forfatningsdomstolen.

Man kan stille seg spørsmålet: I hvor stor grad kan man si at et prinsipp om ikke-overvåkning er en reell hovedregel og at privatlivet blir beskyttet når utgangspunktet er generell overvåkning? Her setter den rumenske domstolen søkelyset på noe som på mange måter kan anses å være et paradigmeskifte i den europeiske rettstenkningen. Der man nå i flere tiår har hatt et veldig stort fokus på personvern og menneskerettigheter som beskytter korrespondanse og privatliv, ser det nå ut som man går mot et system der det i større grad er aksept for å gripe inn i disse rettighetene for å bekjempe forskjellige former for kriminalitet. Datalagringsdirektivet er bare ett eksempel på dette, også ACTA (ACTA Anti-Counterfeiting Trade Agreement, et foreslått avtaleverk som i stor grad ), som er et verdensomspennende traktatverk, viser at de krefter som ønsker større grad av overvåkning har fått større gjennomslagskraft. Slik jeg tolker domstolen prøver den her å si at en hovedregel som beskytter korrespondanse mot overvåkning er meningsløs om realiteten er at all kommunikasjon overvåkes. Hvis jeg tolker den rumenske domstolen riktig, så er dommen en utfordring til de nasjonale lovgiverne, der de må gå veien om å endre kommunikasjonsbeskyttelsen i grunnloven hvis de ønsker å gjennomføre en så kraftig uthuling av beskyttelsen slik den fremstår i dag.

Som en avsluttende kommentar kan jeg peke på at presisjon kan synes å være direktivimplementeringens akilleshæl. Jeg har gjennomgått dommer fra Romenia og Tyskland, og hovedproblemstillinger i begge dommer er presisjon og forutberegnelighet. Som jeg har vært innepå over, så er det vanskelig å forfatte et lovverk som er tilstrekkelig presist samtidig som det er immunt i forhold til teknologiske utviklinger, selv for utvikling på kort sikt, så er det nødvendig med rom for dynamisk tolkning. Borgernes nettvaner utvikler seg i et eksplosivt tempo, og da arbeidet direktivet ble påbegynt var f.eks tjenester som gmail, twitter og facebook ikke like aktuelle, og de er dermed ikke omfattet av lagringsplikten. I dag kan man anta at en relativt stor andel av nettrafikk på internett nettopp går gjennom disse tjenestene og man kan på denne måten anse direktivet som tildels utdatert allerede.