Den europeiske domstolen (EU-domstolen) har nylig erklært at vilkårlig innsamling av data bryter med rettigheter til personvern og databeskyttelse, til tross for begrunnelsen om «nasjonal sikkerhet».
Les også: Ansiktsgjenkjenning truer grunnleggende personvernrettigheter
Det ble innført en ny lovgivning i Storbritannia i 2016 kalt Investigatory Powers Act (IPA), men denne kan ikke kreve at tjenesteleverandører vilkårlig beholder trafikk- og lokaliseringsdata for nasjonale sikkerhetsformål.
Nasjonal overvåkningslovgivning i Storbritannia krever at telekommunikasjonsselskaper, inkludert internettleverandører (ISP-er), oppbevarer personopplysninger når og hvis det er nødvendig av politimyndighetene.
Kritikere, inkludert en rekke personvernaktivistgrupper, har stemplet fremgangsmåten som påtrengende og uforholdsmessig. Samtidig påpeker personvernaktivister potensialet for misbruk. Privacy International fremmet saken, og hevdet at det var ulovlig i henhold til EU-lovgivning, som i det tilfellet her erstatter nasjonal lovgivning.
Medlemslandene i EU, spesielt Storbritannia, Beliga og Frankrike, må følge Privacy and Electronic Communications Regulations (PECR), best kjent som e-Privacy-direktivet når det utformes lovgivning.
Dommen har ansett datalagringspraksisen som uforenlig med de grunnleggende rettighetene til personvern, ytringsfrihet, samt databeskyttelse som beskrevet i e-Privacy-direktivet samt lovgivning som GDPR. Det kommer fram at spesielt databehandlingsaktivitetene fra internettleverandører med overføring til offentlige myndigheter, ikke er kompatible med lovverket – selv om årsaken skulle være «nasjonal sikkerhet».
I en uttalelse fra Privacy International sier de at: «Dommen er spesielt viktig fordi den gjør det klart at EU-lovgivning gjelder, selv i nasjonal sikkerhetssammenheng, hvis et medlemslands overvåkningslov krever at en telekommunikasjonsleverandør behandler personopplysninger».
Videre sier Privacy International at: «Regjeringene i EU-landene er lovlig tvunget til å sikre at oppbevaring, tilgang og påfølgende bruk av data oppfyller spesifikke krav. Disse kravene, ofte referert til som «beskyttelsesforanstaltninger», er avgjørende for å sikre at det er riktig balanse mellom personvernet til den enkelte og beskyttelsen av publikum».
Type kommunikasjonsdata som samles inn i en slik prosess er trafikk, plassering, abbonementsdata – og andre data inkludert metadata rundt kommunikasjonen, mens innholdet i kommunikasjonen er unntatt.
Informasjonen som samles inn kan uansett si hvem folk har kontakt med, hvor en person befinner seg samt intensjoner. Enhetsinformasjon, kartsøk, søkemotorresultater og posisjonsinformasjon kan for eksempel kombineres for å hente informasjon om potensielle mistenkte.
«Disse dataene gjør det mulig å finne ut identiteten til personer som en bruker har kommunisert med, og på hvilke måter samt identifisere tidspunkt for kommunikasjonen og stedene kommunikasjonen har foregått», la Privacy International til i uttalelsen.
«Kommunikasjonsdata avslører også hyppigheten av brukerens kontakt med bestemte personer i en gitt periode».
Dommen er tydelig på at slike fullmakter som er beskrevet i IPA 2016, ikke er forenlig med EU-lovgivningen, men åpner likevel for at slike virkemidler kan brukes under eksepsjonelle omstendigheter.
Der et medlemsland av EU står ovenfor en alvorlig overhengende trussel mot nasjonal sikkerhet, sier EU-domstolen at lovhåndhevelse kan kan fravike sine juridiske forpliktelser til å oppbevare og samle inn data som er nødvendig, så lenge det er nødvendig.
Datalagringen/innhentingen kan brukes på en spesifikk og målrettet metode, om intensjonen er å bekjempe alvorlig kriminalitet og forhindre trusler mot offentlig sikkerhet. Det må imidlertid være garantier på plass, og slik praksis samt anvendelsen av disse garantiene må vurderes av en domstol.