Femte juli

Nätet till folket!

EU-domstolen

EU-domstolen: Nej till kassettskatt

av

EU-domstolen säger nej till kassettskatten. Samtidigt är riksdagen på väg att förlänga den.

Som vi nyligen kunde rapportera vill regeringen förlänga privatkopieringsavgiften – a.k.a. kassettskatten.

Det vill säga en avgift på lagringsmedia, för att kompensera upphovsrättsindustrin för människors privata kopior av den underhållning de redan köpt. Numera drabbar avgiften främst den som lagrar sina egna filer på till exempel minneskort och hårddiskar.

Riksdagen håller redan på att behandla frågan och lagen är tänkt att träda i kraft i höst.

Men nu kommer en dom från EU-domstolen (C-496/24) om Nederländernas motsvarande skatt. Enkelt uttryckt säger den att med dagens strömmande teknik är den fysiska lagringen och delning av underhållning försumbar. Och därmed finns det inte längre någon grund för denna avgift.

Elektronikbranschen förklarar

»En ersättningsordning enligt artikel 5.2 b i upphovsrättsdirektivet bygger på att privatkopieringen orsakar en beaktansvärd skada för rättighetshavarna. Omfattningen av denna skada påverkas av hur konsumtionsmönstren utvecklas. När en större del av användningen sker i digitala tjänster, och när offline-kopior inom sådana tjänster enligt dagens dom inte ger rätt till ersättning, försvinner grunden för ersättningsgill privatkopiering.«

Det enda rimliga är att riksdagens näringsutskott nu föreslår att regeringens proposition (2025/26:184) avslås. Eller att regeringen själv drar tillbaka sitt förslag.

Om riksdag och regering kommer att bete sig rimligt är en annan fråga.

• Elektronikbranschen: EU-domstolen: offline-kopior är inte privatkopiering »

EU vill lagra IP-adresser och metadata

av

EU-kommissionen vill börja lagra metadata från meddelandetjänster. Och man ber dig om idéer för att kringgå EU-domstolens förbud.

EU-kommissionen har utlyst ett »call for evidence« (samråd) kring ett förslag om att bland annat datalagra IP-adresser.

Här ber man om åsikter innan man skriver ihop ett lagförslag som sedan går ut på en »public consultation« (remissrunda). Du är alltså välkommen att lämna synpunkter i ett tidigt stadie i processen.

2014 upphävde EU-domstolen EU:s datalagringdsdirektiv (lagring av metadata om telefonsamtal, SMS, e-post-medddelanden, uppkopplingar, mobilpositioner m.m.)

Eftersom medlemsstaterna (bl.a. Sverige) ändå fortsatt datalagra har EU-domstolen med tilltagande irritation upprepat sitt ställningstagande 2016, 2020, 2022 och 2024.

Domstolens lutar sig mot vad de grundläggande mänskliga rättigheterna har att säga om rätten till privatliv och privat korrespondens. Principen är enkel: Övervaka dem som misstänks för brott – inte alla andra, hela tiden.

Dock har domstolen börjat lätta på principerna vad gäller IP-adresser.

Därför testar EU-kommissionen tanken på EU-lagstiftning om generell lagring av IP-adresser för att hantera nationell säkerhet och bekämpa brottslighet. (Vilket Sverige redan gör.)

Ett skäl som anges är »harmonisering« av reglerna i alla EU-länder.

Men det verkliga skälet tycks vara att man vill komma åt mer metadata – för de elektroniska meddelandetjänster som vuxit fram de senaste tio åren och som inte omfattades av det ursprungliga (upphävda) datalagringsdirektivet.

»Initiativets övergripande mål är att säkerställa tillgången till vissa kategorier av icke-innehållsdata…« (Avsändare, mottagare, tid, abonnemangstyp, utrustning m.m.)

Sammantaget kan sådan metadata avslöja mycket om enskilda användare, deras nätverk, preferenser, politiska åsikter m.m.

Detta med EU-domstolens uppmjukade inställning till lagring av IP-nummer som murbräcka.

Kommissionens papper tar upp frågan om detta kan ske genom påtvingad frivillighet (»icke-bindande lagstiftningsåtgärder«) eller »lagstiftningsåtgärder som fastställer obligatoriska krav«.

Detta landar snubblande nära den generella datalagring av metadata för traditionella telefonsamtal / SMS / e-postmeddelanden / uppkopplingar som EU-domstolen redan förbjudit.

Vilket EU-kommissionen tycks medveten om. Man vill därför ha hjälp och idéer för att kunna införa lagring av metdata hos elektroniska meddelandetjänster – utan att gå över domstolens förbud mot generell datalagring.

»Syftet med samrådet är att se till att konsekvensbedömningen bygger på omfattande kvantitativa och kvalitativa underlag och sakkunskap och att göra det möjligt för berörda parter (inklusive allmänheten och dem som direkt skulle påverkas av detta initiativ) att lämna synpunkter på och uttrycka åsikter om de möjliga alternativen för vägen framåt.«

Nu har du alltså möjlighet att hjälpa kommissionen förstå att det inte går att bedriva generell datalagring (alltid mot alla) – ens av metadata – utan att kränka grundläggande mänskliga rättigheter.

Länk:
• Impact assessment on retention of data by service providers for criminal proceedings »

Tidigare, relaterade bloggposter med djuplänkar:
• ProtectEU – övervakning, datalagring och bakdörrar till krypterade meddelanden (april 2025) »
• Stoppa regeringens bakdörrs-lag! (mars 2025) »
• Försvarsmakten värnar rätten till krypterad kommunikation (februari 2025) »
• Datalagring – olaglig övervakning fortsätter och utökas (augusti 2023) »
• EU-stater registrerar användares IP-adresser (septeember 2022) »
• EU-domstolen: OK att samla IP-adresser i jakt på fildelare (juni 2021) »

CC0

Datalagring – olaglig övervakning fortsätter och utökas

av

Sedan EU-domstolen upphävde EU:s datalagringsdirektiv 2014 vägrar ett antal medlemsstater – däribland Sverige – att rätta sig efter domstolens beslut. Istället finns det tecken på att denna olagliga övervakning är på väg att utökas.

I maj 2006 infördes EU:s datalagringsdirektiv. Det går ut på att lagra metadata (inte innehåll) om alla medborgares alla telefonsamtal, SMS, e-postmeddelanden, uppkopplingar, mobilpositioner m.m.

I april 2014 upphävde EU-domstolen datalagringsdirektivet – med hänvisning till att det strider mot vad de mänskliga rättigheterna har att säga om rätten till privatliv och privat kommunikation.

Enkelt uttryckt slog domstolen fast principen: Övervaka dem som misstänks för brott – inte alla andra, hela tiden.

Detta är ett beslut som ett flertal medlemsstater valt att inte följa (med EU-kommissionens goda minne). Domstolen har gång på gång upprepat sitt beslut om att generell, svepande datalagring inte får förekomma.

Även Sverige har valt att obstruera mot EU-domstolens beslut. Efter en rättsprocess som initierades av internetoperatörerna Tele 2 och Bahnhof ogiltigförklarade EU-domstolen den svenska datalagringen i december 2016.

Efter domen justerades den svenska lagen. Dock gjordes inget för att komma till rätta med grundproblemet – det vill säga att man fortsätter lagra data om alla människors alla telekommunikationer.

Även om den nya svenska lagen inte prövats igen tyder allt på att inte heller den skulle klara en förnyad granskning av EU-domstolen.

Den förra, rödgröna, regeringen har verkat för att EU skall införa ett nytt datalagringsdirektiv. Hur detta är tänkt att gå till är dock oklart. I samband med detta avfärdade regeringen även tanken på riktad datalagring – det vill säga endast vid misstanke om brott.

Dock har EU-domstolen – även om den står fast vid sitt nej till generell datalagring – på senare år medgivit vissa undantag. Till exempel kan det under vissa förutsättningar vara tillåtet med just riktad datalagring (t.ex. vid brottsmisstanke eller på utsatta platser samt insamling av IP-adresser).

I EU:s ministerråd är datalagring ett återkommande ämne. Man har dock inte (ännu) lyckats komma fram till något fungerande sätt att kringgå EU-domstolens domar.

Ett lysande undantag bland EU:s medlemsstsater är Tyskland. Den nu sittande regeringen har bestämt att man skall sluta med allmän datalagring och istället satsa på »quick freeze« (frysning av kommunikationsdata för en viss plats eller användare om något brottsligt skett eller är på väg att ske).

Allt tyder på att även vår nya regering vill se en fortsatt datalagring. Och att man vill utöka den.

Nyligen föreslog en utredning (tillsatt av den förra regeringen) att även data om elektronisk kommunikation via meddelande-appar skall datalagras. (5 juli-stiftelsen kommer att skriva ett remissvar på denna utredning.)

(Man kan för övrigt notera att utredningens förslag om att lagra meddelande-data kommer samtidigt som EU-kommissionen vill granska innehållet i folks elektroniska meddelanden, Chatcontrol.)

I Sverige kommer riksdag och regering att behöva hantera datalagringen under denna mandatperiod. I EU är det troligt att frågan kommer att aktualiseras igen efter EU-valet nästa sommar, då med en ny EU-kommission och ett nyvalt Europaparlament.

Du följer utvecklingen här på bloggen.

Relaterade länkar:
• Datalagringsdirektivet (Wikipedia) »
• Advokaten (2014): EU-domstolen ogiltigförklarar datalagringsdirektivet »
• Computer Sweden (2014): Datalagringsdirektivet ogiltigförklaras »
• GP (2019): Expert: Den nya datalagen kan få problem »
• EU-domstolen upprepar: Det är förbjudet att använda allmän datalagring (2022) »
• Den ständiga striden om datalagring (2022) »
• EU-stater registrerar användares IP-adresser (2022) »
• Så kan delar av den förbjudna datalagringen ändå fortsätta (2022) »
• Utredning: Data om all slags meddelanden bör lagras (2023) »

(Fler djuplänkar i de länkade texterna ovan.)

Utredning: Data om all slags meddelanden bör lagras

av

Den svenska lagen om datalagring är olaglig. Därför föreslår en utredare nu att denna form av övervakning begränsas till 70% av Sveriges befolkning. Och utökas till att även gälla meddelande-appar.

Idag har den av förra regeringen tillsatta utredningen om »Datalagring och åtkomst till elektronisk information« överlämnat ett delbetänkande till den nya regeringen.

Detta är komplex materia, men jag skall försöka vara så tydlig och kortfattad som möjligt.

Notera till en början att detta inte är samma sak som EU-kommissionens förslag om Chatcontrol / CSAR (automatiserad granskning av innehållet i folks elektroniska meddelanden). Men det finns en koppling. Mer om det längre ner.

Istället handlar det om datalagring (lagring av data om allas alla telefonsamtal, SMS, mobilpositioner, uppkopplingar m.m.)

EU-domstolen har sagt nej till svepande datalagring för alla, överallt, hela tiden och utan misstanke om brottslig verksamhet. Vilket många medlemsstater – däribland Sverige – struntar i.

• Bakgrund: Den svenska datalagringen är olaglig

Efter att den svenska datalagringslagen fick underkänt av EU-domstolen skrevs den om.

Dock är kärnfrågan olöst: Det handlar fortfarande om svepande datalagring utan misstanke om brott.

Den nya lagen har inte prövats av EU-domstolen. Medveten om problemet tillsatte den förra regeringen en utredning.

• Lagra allt men inte alltid

Till att börja med noterar utredaren att EU-rätten ger utrymme för att lagra all kommunikationsdata man kan (nationell säkerhetslagring) i händelse av ett nationellt nödläge. Vilket kan antas vara en tidsbegränsad situation.

Utredaren föreslår att huruvida detta skall ske bör bestämmas av Säkerhetspolisen.

Man kan tycka att om man skall övervaka hela folket hela tiden, då kanske det slutliga beslutet borde fattas på en högre nivå än hos en tjänsteman på hemliga polisen.

Men det är lite av ett sidospår. Nu kommer det verkligt intressanta.

• Lagra alltid men inte allt

I en av sina datalagringsdomar säger EU-domstolen att det dock kan få förekomma riktad datalagring – till exempel vid större stationer i kollektivtrafiken, i områden med hög brottslighet och där det kan tänkas bli trubbel.

Vilket leder till att utredaren glatt konstaterar att man kan övervaka uppåt 70% av befolkningen – om man gör en sådan bedömning från kommun till kommun.

Vilket sannolikt inte skulle flyga hos EU-domstolen, som slagit fast principen: Övervaka dem som misstänks för brott – inte alla, hela tiden.

Om det sedan handlar om alla i Sverige eller alla i Örebro kommun torde i sammanhanget vara av mindre betydelse.

Man kommer att övervaka människor som inte misstänks för brott, urskiljningslöst.

• Lagra mer

Utredaren vill att även data om elektronisk kommunikation via meddelande-appar skall datalagras. (De meddelanden där EU redan vill granska innehållet med Chatcontrol.)

Vilket naturligtvis blir problematiskt då nästan alla meddelandetjänster har sin bas utanför svensk jurisdiktion och som regel även utanför EU. Vilket utredaren dock tror går att hantera.

Material från lagringen skall överlämnas till polisen i läsbar – icke krypterad – form, på operatörernas bekostnad. Detta måste kontrolleras närmare när utredningen läggs upp. För datalagringen skulle ju bara handla om metadata – och den är väl inte krypterad? Eller?

Vad som skall hända med meddelandeappar som inte lagrar data om sina användares kommunikationer är oklart. (Knepet i förslaget om Chatcontrol är att förbjuda apparna i app-stores.)

• Kommentarer

Det är lite lustigt att utredaren kommer med detta förslag nu, då EU och dess medlemsstater befinner sig mitt i processen om hur man skall göra med datalagringen i framtiden. Är detta en testballong för att se hur långt man kan tänja på de gränser EU-domstolen har satt upp?

I så fall kan man konstatera att utredaren med största sannolikhet har passerat den gränsen, med råge. Vilket justitieminister Strömmer – om någon – lär vara medveten om.

Nu blir det remissrunda och sedan skall regeringen fundera på saken.

• Justitiedepartementet: Pressträff vid överlämning av betänkandet Datalagring och åtkomst till elektronisk information »

Se presskonferensen på Youtube:

Söker du information om Chatcontrol, som nämns ovan?

• Chatcontrol.se »
• Chatcontrol.eu »
• Allt du behöver veta om #ChatControl »
• StopScanningMe.eu »

Följ oss även på Twitter: @femtejuli

Förslaget om Chat Control är slöseri med tid

av

EU-kommissionens förslag om att granska innehållet i allas elektroniska meddelanden är ett slöseri med tid och resurser – som skulle kunna användas bättre om det är barnens bästa man har för ögonen.

Egentligen är det mycket enkelt. EU-kommissionen skriver själv i sitt förslag till #ChatControl (granskning av innehållet i allas elektroniska meddelanden) att det inskränker användarnas möjlighet att utöva sina grundläggande rättigheter.

De grundläggande fri- och rättigheter som kommissionen nämner är rätten till privatliv och privat korrespondens samt yttrandefriheten. (Man nämner också ”informationsfriheten” även om den formellt sett inte är en fördragsskyddad rättighet. Samma sak gäller skyddet av personuppgifter.)

Låt oss nu backa bandet till 2014. Då ogiltigförklarade EU-domstolen EU:s datalagringsdirektiv (lagring av data om folks tele- och datakommunikationer m.m.). Skälet man angav var att det strider mot rätten till privatliv.

Enkelt uttryckt: Övervaka dem som misstänks för brott, inte alla andra hela tiden.

Jämfört med datalagringsdirektivet (som rörde metadata) är Chat Control värre – då det senare förslaget handlar om att granska och analysera innehållet i allas elektroniska meddelanden.

Allt tyder på att EU-domstolen även kommer att ogiltigförklara Chat Control / CSAR om förslaget skulle bli lag.

I så fall har EU satsat åratal av tid samt massor av engagemang och resurser på ett förslag som aldrig borde ha lagts fram från början. Tid, engagemang och resurser som kunde lagts på vettigare saker – inte minst för de barn som förordningen säger sig vilja värna.

Den ansvariga EU-kommissionären Ylva Johansson bör dra tillbaka sitt sitt förslag.

Istället kan hon fundera över vad man bör göra för att hantera alla de anmälningar om verkliga övergrepp mot barn som idag ligger på hög och samlar damm hos polisen i medlemsstaterna.

Lagstiftningsdokument:
• Kommissionens förslag »
• Legislative Observatory »

Relaterade länkar:
• Stop Scanning Me »
• ChatControl.eu »
• ChatControl – granskning av EU-kommissionens förslag
• EU-kommissionen: Övervakning är viktigare än mänskliga rättigheter »
• Why chat control is so dangerous »
• PP: EU-kommissionär Ylva Johansson ljuger om #ChatControl »
• ChatControl – nu är det skarpt läge i EU, men regeringen vill inte tala om saken »
• UN Human Rights Commissioner warns against chat control »
• ChatControl – detta händer i ministerrådet »
• EU:s ministerråd vill kontrollera allt du gör på nätet
• ChatControl: EU-kommissionen duckar alla jobbiga frågor »

TL;DR:
• ChatControl / CSA Regulation – enkelt förklarad »

EU-domstolen: Sökmotorer behöver inte radera information som är korrekt

av

EU-domstolen har idag kommit fram till att sökmotorer bara behöver radera information om juridiska personer, om den klagande kan visa att denna information är felaktig.

”Rätten att bli glömd” är ett begrepp inom EU-lingo som handlar om rätten att få sina uppgifter raderade av sökmotorer och andra som indexerar nätet. Vilket bland annat är till för att skydda enskildas privatliv. Men den är inte självklar.

Ur EU-domstolens pressmeddelande:

»Rätt till radering (rätten att bli bortglömd): en sökmotorleverantör måste ta bort uppgifter som förekommer i indexerat innehåll om den som framställt begäran om borttagande kan bevisa att uppgifterna är uppenbart felaktiga.«

Två företagsledare i ett tyskt investmentbolag ogillade att Google visar länkar till siter som beskriver deras investmentmodell som ofördelaktig. Därför vill de att dessa sökresultat skall tas bort, vilket Google vägrar. Det är detta som nu prövas.

Google vägrade att efterkomma denna begäran, med motiveringen att dessa artiklar och fotografier ingick i ett yrkesmässigt sammanhang, och hävdade att man inte hade kännedom om huruvida uppgifterna i artiklarna var felaktiga eller ej.

Domstolen utvecklar sitt resonemang:

I dagens dom erinrar domstolen om att rätten till skydd av personuppgifter inte är en absolut rättighet, utan måste förstås utifrån sin funktion i samhället och vägas mot andra grundläggande rättigheter i enlighet med proportionalitetsprincipen. Således föreskrivs uttryckligen i dataskyddsförordningen att det inte föreligger någon rätt till radering när behandlingen av uppgifterna är nödvändig, bland annat för utövandet av informationsfriheten.

I allmänhet väger den berörda personens rätt till skydd för sitt privatliv och sina personuppgifter tyngre än det berättigade intresset hos de internetanvändare som eventuellt önskar få tillgång till den aktuella informationen. Denna avvägning kan emellertid vara beroende av de relevanta omständigheterna i det enskilda fallet, bland annat vad gäller typen av information och dess känslighet för den registrerades privatliv samt allmänhetens intresse av informationen, vilket kan variera bland annat beroende på den roll som denna person spelar i det offentliga livet.

Yttrande- och informationsfriheten ska dock inte tas i beaktande om åtminstone mer än en obetydlig del av de uppgifter som förekommer i det indexerade innehållet visar sig vara felaktiga.

Enkelt uttryckt gäller ”rätten att bli glömd” privatpersoner i sin privata kapacitet – men inte om det finns ett allmänintresse, till exempel om personen ifråga till exempel är beslutsfattare eller företagare. Uppenbart felaktig information kan dock raderas.

Regeln kan inte användas om till exempel ett företag, en organisation eller en politiker vill dölja dålig publicitet. Dock kan även de kräva att information som är felaktig raderas.

• EU-domstolens pressmeddelande »

EU-stater registrerar användares IP-adresser

av

EU:s medlemsstater tycks samla på sig kataloger över enskilda nätanvändares IP-adresser. Vilket EU-domstolen accepterar, trots att den säger nej till generell datalagring.

Gårdagens goda nyhet var att EU-domstolen åter säger tydligt nej till urskiljningslös datalagring. Men djävulen finns i detaljerna.

Bortom huvudnyheten, i det finstilta, läser vi följande i EU-domstolens dom:

»Unionsrätten utgör däremot inte hinder för en nationell lagstiftning (…) som, för att skydda nationell säkerhet, bekämpa brottslighet och skydda allmän säkerhet, föreskriver en generell och odifferentierad lagring av uppgifter om identiteten beträffande användare av elektroniska kommunikationsmedel…«

Ledamoten av Europaparlamentet Patrick Breyer (PP, DE) kommenterar:

»Unfortunately, the greatest consensus among governments currently seems to exist on mandating indiscriminate IP data retention throughout Europe, which the judges in Luxembourg green-lighted under massive pressure.

Under no circumstances should all internet users be placed under general suspicion and online anonymity be abolished!

IP addresses are our digital fingerprints on the internet. Bulk collection would endanger crime prevention in the form of anonymous counselling and pastoral care, victim support through anonymous self-help forums and also the free press, which depends on anonymous informants.

Incidentally, there is no evidence that IP data retention significantly increases the crime clearance rate. In the absence of data retention Germany today has a higher cybercrime clearance rate than with IP data retention in place.«

Det tycks alltså som om vissa av EU:s medlemsstater samlar IP-adresser för något slags egen katalog. Detta sker även i Sverige.

Här pågår en dragkamp i frågan mellan den svenska Post- och Telestyrelsen (PTS) och Bahnhof. Ur vår tidigare rapportering:

»PTS skriver i sitt pressmeddelande ”Vid misstanke om internetrelaterade brott måste Polismyndigheten kunna begära ut uppgifter om abonnemang från den bredbandsoperatör som tillhandahåller aktuell IP-adress för att kunna identifiera en person. Bahnhof har vid flera tillfällen vägrat lämna ut uppgifter när information om portnummer saknats i Polismyndighetens begäran.”

Nyckelformuleringen här är ”när information om portnummer saknas”. Det innebär att inte bara uppgifter om den misstänkte utan även en stor mängd andra kunder som använt samma IP-adress skulle komma att lämnas ut. Vilket Bahnhof inte vill gå med på.«

PTS hotar Bahnhof med vite om man inte lämnar ut dessa användaruppgifter. Vilket överklagats till Förvaltningsrätten.

Vi träffade nyligen Bahnhofs VD Jon Karlung, som kunde berätta att om PTS får som de vill – då kan det handla om att lämna ut identiteten på hundratals användare som inte är misstänkta för något brottsligt.

Skälet är att det börjar bli slut på IPv4-adresser och att många kunder därför måste dela på samma IP-adress (NATade adresser) i väntan på IPv6.

Det blir allt tydligare att myndigheterna vill ha en egen katalog över enskilda individers IP-adresser, vilket bland annat tyder på att de inte riktigt förstår hur internet fungerar.

Vi återkommer inom kort med en podcast / intervju med Jon Karlung.

EU-domstolen säger än en gång nej till datalagring

av

I det senaste av en lång rad beslut om datalagring säger EU-domstolen åter nej till generell lagring av kommunikationsdata utan misstanke om brott.

I ett förhandsutlåtande för den tyska författningsdomstolen säger EU-domstolen än en gång nej till generell, svepande lagring av data om alla människors alla telekommunikationer m.m.

Till skillnad från andra länder som fått en åthutning av domstolen har den tyska regeringen dock redan beslutat att sluta med allmän datalagring.

Ur domstolens beslut (PDF):

»EU-domstolen bekräftar att en generell och odifferentierad lagring av trafik- och lokaliseringsuppgifter strider mot unionsrätten, förutom om det föreligger ett allvarligt hot mot nationell säkerhet.«

Vill man data lagra måste det finnas en inriktning mot till exempel personer som är misstänkta för brott.

Samma beslut skulle kunna fattas om den svenska datalagringen, där den nya lagen inte heller lever upp till de krav domstolen ställer upp.

EU-kommissionen och medlemsstaterna funderar just nu på om det går att besluta om ett nytt datalagringsdirektiv, som kringgår domstolens beslut. (EU-domstolen upphävde 2014 datalagringsdirektivet, då det strider mot de mänskliga rättigheterna och vad dessa har att säga om rätten till privatliv och privat korrespondens.)

• EU-domstolens pressmeddelande (PDF) »

(Domen verkar dock tillåta lagring av IP-adresser, vilket vi återkommer till inom kort.)

EU-domstolen: Sluta med urskiljningslös lagring av data om våra resor inom EU

av

EU-domstolen kräver misstanke om brott och säger nej till urskiljningslös lagring och analys av data om våra flygresor inom EU.

EU:s PNR-direktiv (Passenger Name Record) föreskriver att persondata skall samlas in och behandlas vad gäller flygresor till och från EU. Syftet är att bekämpa terrorism och grov brottslighet.

Direktivet gör det även möjligt (men inte obligatoriskt) för medlemsstater att samla in PNR-data för resor inom EU. Det är detta som nu prövats.

Ur EU-domstolens pressmeddelande (PDF):

»The Ligue des droits humains (LDH) is a not-for-profit association which filed an action for annulment with the Cour constitutionnelle (Constitutional Court, Belgium) in July 2017 against the Law of 25 December 2016 which transposed into domestic law the PNR Directive, the API Directive and also Directive 2010/65. According to LDH, that law infringes the right to respect for private life and the right to the protection of personal data guaranteed under Belgian and EU law. It criticises, first, the very broad nature of the PNR data and, secondly, the general nature of the collection, transfer and processing of those data. In its view, the law also infringes the free movement of persons in that it indirectly re-establishes border controls by extending the PNR system to intra-EU flights, as well as to transport by other means within the European Union.«

Och idag meddelar EU-domstolen sin dom. PNR-direktivet som sådant får grönt ljus, men enkelt uttryckt med följande begränsningar för resor inom EU:

  • Det måste finnas en misstanke om brott och/eller en eller flera misstänkta.
  • PNR-direktivet får endast användas för att bekämpa terrorism och allvarlig brottslighet.
  • PNR-registrering vad gäller resor inom EU skall begränsas till vad som är strikt nödvändigt.
  • Endast vid konkreta hot får PNR-data för alla flyg samlas in och analyseras.
  • Om det inte föreligger ett överhängande terrorhot får PNR endast användas för vissa resemönster eller flyglinjer där det finns indikationer på allvarlig brottslighet.
  • PNR-data får endast samköras mot register över personer som är misstänkta, efterlysta eller under utredning.
  • För att undvika falska flaggningar måste alla positiva träffar verifieras manuellt.
  • PNR-data får lagras högst sex månader, om ingen ny relevant information tillkommer.

EU-domstolen lutar sig alltså mot samma princip som vad gäller datalagringen: Det är inte tillåtet med svepande, urskiljningslös insamling av data utan misstanke om brott.

Läs mer i EU-domstolens pressmeddelande:
• The Court considers that respect for fundamental rights requires that the powers provided for by the PNR Directive be limited to what is strictly necessary (PDF) »