Först den praktiska tillämpningen av lagar preciserar deras innebörd eftersom lagstiftningens innehåll alltid påverkas av olika tolkningar.
Ibland kan domstolars avvikande tolkningar även pressa lagstiftaren till att ändra lagen. Så har varit fallet med dataskyddsärenden i EU-rätten: det urgamla dataskyddsdirektivet blev hopplöst föråldrat, konstaterar professor i offentlig rätt Susanna Lindroos-Hovinheimo vid Juridiska fakulteten vid Helsingfors universitet.
– Lagstiftningsprojekt inom EU är långsamma och politiska, med ett flertal olika intressentgrupper som påverkar i bakgrunden. När EU inte lyckades få till stånd en förändrad lagstiftning tillräckligt snabbt, satte unionens domstol fart på processen, säger Lindroos-Hovinheimo.
I domstolens tolkningspraxis förstärktes skyddet av integriteten och speciellt dataskyddet, och resultatet var den stränga dataskyddsförordning som trädde i kraft i maj 2018. Pådrivande faktorer var den snabba utvecklingen inom IT samt till exempel det dataläckagefall som blev välkänt genom Edward Snowden.
– Till en början var det unionens domstol som reagerade, och först därefter trädde dataskyddsförordningen i kraft, förklarar Lindroos-Hovinheimo bakgrunden. I vanliga fall är det parlamentsledamöterna som inför lagar och förordningar som sedan börjar tillämpas vid domstolar.
Professorn tror inte att unionens domstol skulle ha haft för avsikt att trampa lagstiftaren på tårna politiskt.
– Eftersom lagstiftningsprocessen hamnat på efterkälken, fanns det inga andra alternativ. Alla domstolar har alltid skyldighet att döma.
Inom dataskyddet är rättigheterna individcentrerade, men ser det ut så i människolivet också?
Lindroos-Hovinheimo och hennes forskningsgrupp intresserar sig för de former av integritet som avspeglas i rättspraxis. I projektet Reconfiguring Privacy – A Study of the Political Foundations of Privacy Regulation undersöks framför allt vad det är för värde hos integriteten som man vill skydda.
Filosofiskt-ideologiskt sett är det en tankemodell från 1700-talet som ligger till grund för integritetsskyddet: det västerländska och europeiska rättstänkandet fokuserar på mänskliga och grundläggande rättigheter och har en liberalistisk bakgrund som betonar individens frihet.
– Ju djupare man gräver i ämnet, desto mer fundamental rättsfilosofisk problemställning möter man. Idag måste juristerna bland annat ta ställning till vilket slags liv, kommunikation eller samvaro som över huvud taget anses värdefullt och inom vilka gränser. Och i vilken grad vi kan skyddas som rena individer, i vilka fall som medlemmar i en gemenskap, beskriver Lindroos-Hovinheimo.
I rättspraxisen varierar tolkningarna stort mellan olika domstolar och i frågor som tillhör olika rättsområden.
– Vad gäller dataskyddsfrågor har lagstiftningen och rättspraxisen i EU kunnat utveckla tekniska metoder och redskap för att skydda integriteten, men den individcentrerade människosyn i rätten som skyddet grundar sig på är artificiell, säger Lindroos-Hovinheimo.
Enligt henne beror våra dataskyddsproblem på tekniska apparater och plattformar som ökar våra möjligheter att kommunicera, nätverka och dela med oss till andra – det vill säga vara mindre privata.
– Möjligheten att hålla kontakten mer och på nya sätt har därmed paradoxalt lett till att domstolar och lagstiftare försöker lösa hur vi som individer kan skyddas.
Individens rättigheter vinner över ekonomiska intressen
EU:s allmänna dataskyddsförordning som trädde i kraft 2018 har enligt Lindroos-Hovinheimo i praktiken utarbetats för att hitta en balans mellan grundläggande rättigheter och ekonomiska intressen i EU-rätten. Förordningen har två uttalade mål: att å ena sidan skydda människors integritet inom dataskyddet och å andra sidan garantera den fria rörligheten av data inom EU-området.
– Man upptäcker ganska snart att dessa mål ofta är motstridiga. I rätten är det inte alltid praktiskt möjligt att nå båda målen samtidigt, säger Lindroos-Hovinheimo.
För dem som tolkar dataskyddsförordningen orsakar denna motsägelse huvudbry och lämnar ett stort utrymme för tolkning vid tillämpning av förordningen. För närvarande ligger individen bra till i EU-domstolarnas tolkningar.
– Hitintills har de flesta fallen slutat med att dataskyddet för individen vunnit över både ekonomiska intressen och offentligrättsliga myndigheter.
– Det finns dock ännu inte så många prejudikat som handlar om hur integritetsskyddet förhåller sig till insamling av myndighetsuppgifter. Till exempel när det gäller nationell säkerhet är det inom dataskydd som EU:s medlemsländer fått de största egna genomförandebefogenheterna. Till sådana fall räknas bland annat polisen och försvarsmakten, berättar Lindroos-Hovinheimo.
Med den stränga dataskyddslagstiftningen skyddar EU sin inre marknad
Idag är dataskyddet i Europa på den högsta nivån i världen. EU har de strängaste reglerna och även möjlighet att bötfälla för dataskyddsförseelser.
Med EU:s dataskyddslagstiftning kan aktörer som behandlar personuppgifter, till exempel multinationella teknologiföretag och webbplattformar, effektivt förpliktas att säkra integriteten och skyddet av personuppgifter om människorna i sina användarregister samt att främja en smidig och säker internetanvändning på mobila enheter.
De flesta som blivit straffade av EU i dataskyddssammanhang är internationella eller amerikanska storföretag.
Enligt Lindroos-Hovinheimo kan vi bara spekulera om anledningar till att EU profilerat sig i dataskyddsfrågor. Hon anser inte att det bara handlar om att man altruistiskt vill värna om medborgarnas rättigheter. Det skulle vara angeläget med mer rättssociologisk forskning i ämnet.
– Självklart är det delvis fråga om en ekonomisk kamp. EU är en ekonomisk gemenskap som försöker bli starkare på en global marknad. På denna marknad spelar data en avgörande roll, och framför allt är det viktigt att dataöverföringen inom EU:s egen inre marknad är stark och skyddad.