Den aktuelle avgjørelsen, C-623/17 (Privacy International), hvor Norge har avgitt innlegg dreier seg om en britisk lov om sikkerhets- og etterretningstjenestenes innhenting av kommunikasjonsdata for å ivareta nasjonal sikkerhet. Det domstolen konkret tar stilling til, er betydningen av kommunikasjonsverndirektivet når det gjelder innsamling og lagring av kommunikasjonsdata i bulk for å verne nasjonal sikkerhet, og hvorvidt domstolens tidligere praksis vedrørende datainnsamling også har gyldighet når datainnsamlingens formål er relatert til nasjonal sikkerhet og terrorbekjempelse. «Bulkinnsamling» av data vil si at etterretningstjenesten samler inn store mengder informasjon i form av metadata før de eventuelt gjør søk. Stortingets EU/EØS-nytt omtalte generaladvokatens uttalelse i saken i januar i år.

I de senere årene har EU-domstolen i flere dommer slått fast at medlemslandene ikke kan pålegge teleoperatørene å lagre trafikk- og lokasjonsdata om alle sine brukere. Især dommen Tele2/Watson har forårsaket bekymringer blant medlemslandene om at de er blitt fratatt et instrument som de anser nødvendig for å ivareta nasjonal sikkerhet og for å bekjempe kriminalitet.

I lovproposisjonen til etterretningstjenesteloven fremgår at Norge innga skriftlig tredjepartsinnlegg til domstolen i saken, samt holdt innlegg under den muntlige høringen. I likhet med et stort flertall andre stater som innga innlegg, ga Norge uttrykk for at tiltak innen nasjonal sikkerhet ikke omfattes av kommunikasjonsverndirektivets virkeområde. Det følger i så måte av direktivets artikkel 1 (3) at direktivet ikke får anvendelse på virksomhet som «gjelder offentlig sikkerhet, forsvar, statens sikkerhet […]).  

Hvorvidt datalagring med formål om å ivareta nasjonal sikkerhet er omfattet av direktivets virkeområde, er således det første spørsmålet domstolen tar stilling til.

Domstolen er ikke enig i at direktivets artikkel 1 (3) utelukker at lovgivningstiltak som i den foreliggende saken er unndratt direktivets virkeområde. Etter en tolkning av direktivets artikkel 15 (1), som innrømmer medlemslandene visse muligheter til å innskrenke direktivets rettigheter blant annet ut fra hensynet til nasjonens sikkerhet, sammenholdt med artikkel 3, som slår fast at direktivet får anvendelse på «behandling av personopplysninger i forbindelse med at offentlig tilgjengelige elektroniske kommunikasjonstjenester tilbys i offentlige kommunikasjonsnett i Fellesskapet», kommer domstolen til at aktivitetene saken omhandler gjelder behandling av data i direktivets forstand. De utgjør altså ikke typiske «statlige» aktiviteter. Under henvisning til artikkel 4 TFEU om medlemslandenes kompetanseområder, fremholder domstolen videre at et nasjonalt tiltak som har til formål å beskytte nasjonal sikkerhet, ikke kan ha som konsekvens at tiltaket faller utenfor EU-lovgivningen og på den måten fritar medlemslandene fra forpliktelsen til å overholde regelverket. Tiltakene faller altså innenfor direktivets virkeområde.

Domstolen behandler deretter spørsmålet om kommunikasjonsverndirektivet er til hinder for en nasjonal lovgivning som muliggjør innhenting av kommunikasjonsdata i bulk for å ivareta nasjonal sikkerhet.

Domstolen viser først til direktivets fortale punkt 6 og 7, hvor sistnevnte eksplisitt angir at et av direktivets formål er å «verne fysiske personers grunnleggende rettigheter og friheter og juridiske personers rettmessige interesser, særlig når det gjelder den økende evnen til automatisk lagring og behandling av opplysninger om abonnenter og brukere». 

Videre følger det av direktivets artikkel 5 (1) at «Medlemsstatene skal gjennom nasjonal lovgivning sikre fortrolighet for kommunikasjon som foregår via offentlige kommunikasjonsnett og offentlig tilgjengelige elektroniske kommunikasjonstjenester samt fortrolighet for trafikkopplysninger knyttet til slik kommunikasjon. De skal særlig forby enhver annen person enn brukerne, uten samtykke fra vedkommende bruker, å avlytte, oppfange, lagre eller på andre måter oppfange eller overvåke kommunikasjonen og tilhørende trafikkopplysninger, unntatt dersom denne virksomheten er tillatt i henhold til lov, i samsvar med artikkel 15 nr. 1».

Ifølge domstolen omfatter ordlyden i bestemmelsen ethvert tilfelle som gjør det mulig for tredjeparter - hvis formål ikke er kommunikasjonsformidling - å få tilgang til kommunikasjonen. Den fremholder i denne forbindelse at de aktuelle bestemmelsene i direktivet er et konkret utslag av artiklene 6 og 7 i EUs charter om fundamentale rettigheter som omhandler retten til frihet og sikkerhet, samt respekt for privatliv og familieliv. Charteret er ikke en del av EØS-avtalen.

Domstolen finner etter dette at kommunikasjonsverndirektivet, lest i lys av artikkel 4 (2) TFEU og EUs charter om fundamentale rettigheter, utelukker nasjonal lovgivning som muliggjør generell og vilkårlig overføring av trafikkdata og lokasjonsdata til sikkerhetsmyndighetene med det formål å beskytte den nasjonale sikkerhet. I situasjoner hvor et medlemsland står overfor en alvorlig trussel mot nasjonal sikkerhet, er EU-lovgivningen imidlertid ikke til hinder for å iverksette masseinnsamling av data. Et slikt tiltak må imidlertid være tidsbegrenset, skje etter objektivt etterprøvbare kriterier og må være gjenstand for effektiv kontroll av domstoler eller organer med bindende avgjørelsesmyndighet. 

Avgjørelsen vil trolig få konsekvenser for flere EU-medlemslands lovgivninger knyttet til masseovervåkning av elektronisk kommunikasjon. Domstolen finner at EU-retten, herunder de rettssikkerhetsgarantier som følger av grunnleggende rettigheter, får anvendelse i saker som berører nasjonal sikkerhet. Dette er et område som i utgangspunktet er et nasjonalt anliggende. Blant annet må medlemslandene sikre at avgjørelser om masseovervåkning er gjenstand for uavhengig domstolskontroll, og at domstoler/uavhengig myndighetsorgan skal ha myndighet til å fatte bindende avgjørelser om EU-rettens vilkår er oppfylt i det enkelte tilfelle. Det kan synes som om domstolen her viderefører den strenge beskyttelseslinjen den la seg på i den prinsipielt viktige Schrems-avgjørelsen om EU-US Privacy Shield, som ble kjent ugyldig grunnet personvernhensyn. Et annet interessant spørsmål er avgjørelsens eventuelle betydning for EØS-retten, og om det er av relevans at domstolen for en stor del tolker direktivet i lys av EUs charter, som ikke er en del av EØS-avtalen.