CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2018:788

SODBA SODIŠČA (veliki senat)

z dne 2. oktobra 2018(*)

„Predhodno odločanje – Elektronske komunikacije – Obdelava osebnih podatkov – Direktiva 2002/58/ES – Člena 1 in 3 – Področje uporabe – Zaupnost elektronskih komunikacij – Varstvo – Člena 5 in 15(1) – Listina Evropske unije o temeljnih pravicah – Člena 7 in 8 – Podatki, obdelani v okviru zagotavljanja elektronskih komunikacijskih storitev – Dostop nacionalnih organov do podatkov za namene preiskave – Prag teže kaznivega dejanja, ki lahko upravičuje dostop do podatkov“

V zadevi C‑207/16,

katere predmet je predlog za sprejetje predhodne odločbe na podlagi člena 267 PDEU, ki ga je vložilo Audiencia Provincial de Tarragona (sodišče pokrajine Tarragona, Španija) z odločbo z dne 6. aprila 2016, ki je na Sodišče prispela 14. aprila 2016, v postopku, ki ga je sprožilo

Ministerio Fiscal,

SODIŠČE (veliki senat),

v sestavi K. Lenaerts, predsednik, A. Tizzano, podpredsednik, R. Silva de Lapuerta, predsednica senata, T. von Danwitz (poročevalec), J. L. da Cruz Vilaça, C. G. Fernlund in C. Vajda, predsedniki senatov, E. Juhász in A. Borg Barthet, sodnika, C. Toader, sodnica, M. Safjan in D. Šváby, sodnika, M. Berger, sodnica, ter E. Jarašiūnas in E. Regan, sodnika,

generalni pravobranilec: H. Saugmandsgaard Øe,

sodna tajnica: L. Carrasco Marco, administratorka,

na podlagi pisnega postopka in obravnave z dne 29. januarja 2018,

ob upoštevanju stališč, ki so jih predložili:

– za Ministerio Fiscal E. Tejada de la Fuente,

– za špansko vlado M. Sampol Pucurull, agent,

– za češko vlado M. Smolek, J. Vláčil in A. Brabcová, agenti,

– za dansko vlado J. Nymann-Lindegren in M. Wolff, agenta,

– za estonsko vlado N. Grünberg, agentka,

– za Irsko M. Browne, L. Williams, E. Creedon in A. Joyce, agenti, skupaj z E. Gibson, BL,

– za francosko vlado D. Colas, E. de Moustier in E. Armoet, agenti,

– za latvijsko vlado I. Kucina in J. Davidoviča, agentki,

– za madžarsko vlado M. Fehér in G. Koós, agenta,

– za avstrijsko vlado C. Pesendorfer, agentka,

– za poljsko vlado B. Majczyna, D. Lutostańska in J. Sawicka, agenti,

– za vlado Združenega kraljestva S. Brandon in C. Brodie, agenta, skupaj z M. C. Knightom, barrister, in G. Facenno, QC,

– za Evropsko komisijo I. Martínez del Peral, P. Costa de Oliveira, R. Troosters in D. Nardi, agenti,

po predstavitvi sklepnih predlogov generalnega pravobranilca na obravnavi 3. maja 2018

izreka naslednjo

Sodbo

1 Predlog za sprejetje prehodne odločbe se v bistvu nanaša na razlago člena 15(1) Direktive 2002/58/ES Evropskega parlamenta in Sveta z dne 12. julija 2002 o obdelavi osebnih podatkov in varstvu zasebnosti na področju elektronskih komunikacij (Direktiva o zasebnosti in elektronskih komunikacijah) (UL, posebna izdaja v slovenščini, poglavje 13, zvezek 29, str. 514), kakor je bila spremenjena z Direktivo 2009/136/ES Evropskega parlamenta in Sveta z dne 25. novembra 2009 (UL 2009, L 337, str. 11) (v nadaljevanju: Direktiva 2002/58) v povezavi s členoma 7 in 8 Listine Evropske unije o temeljnih pravicah (v nadaljevanju: Listina).

2 Ta predlog je bil vložen v okviru pritožbe, ki jo je Ministerio Fiscal (državno tožilstvo, Španija) vložilo zoper sklep Juzgado de Instrucción n° 3 de Tarragona (preiskovalno sodišče št. 3 v Tarragoni, v nadaljevanju: preiskovalno sodišče) o zavrnitvi odobritve dostopa kriminalistične policije do osebnih podatkov, ki jih hranijo ponudniki elektronskih komunikacijskih storitev.

Pravni okvir

Pravo Unije

Direktiva 95/46

3 V skladu s členom 2(b) Direktive Evropskega parlamenta in Sveta 95/46/ES z dne 24. oktobra 1995 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov (UL, posebna izdaja v slovenščini, poglavje 13, zvezek 15, str. 355) v tej direktivi „obdelava osebnih podatkov“ pomeni „kakršen koli postopek ali niz postopkov, ki se izvajajo v zvezi z osebnimi podatki z avtomatskimi sredstvi ali brez njih, kakršno je zbiranje, beleženje, urejanje, shranjevanje, prilagajanje ali predelava, iskanje, posvetovanje, uporaba, posredovanje s prenosom, širjenje ali drugo razpolaganje, prilagajanje ali kombiniranje, blokiranje, izbris ali uničenje“.

4 Člen 3 te direktive, naslovljen „Področje uporabe“, določa:

„1. Ta direktiva se uporablja za obdelavo osebnih podatkov v celoti ali delno z avtomatskimi sredstvi in za drugačno obdelavo kakor z avtomatskimi sredstvi za osebne podatke, ki sestavljajo del zbirke ali so namenjeni sestavljanju dela zbirke.

2. Ta direktiva se ne uporablja za obdelavo osebnih podatkov:

– med dejavnostjo, ki ne sodi na področje uporabe zakonodaje Skupnosti, kot so tiste, opredeljene v naslovih V in VI Pogodbe o Evropski uniji, in v vsakem primeru v postopkih obdelave v zvezi z javno varnostjo, obrambo, državno varnostjo (vključno z gospodarsko blaginjo države, kadar se postopek obdelave nanaša na zadeve državne varnosti) in pri dejavnostih države na področju kazenskega prava,

– s strani fizične osebe med potekom popolnoma osebne ali domače dejavnosti.“

Direktiva 2002/58

5 V uvodnih izjavah 2, 11, 15 in 21 Direktive 2002/58 je navedeno:

„(2) Ta direktiva uveljavlja spoštovanje temeljnih pravic in upošteva načela, priznana zlasti z [Listino]. Zlasti pa želi ta direktiva zagotoviti popolno spoštovanje pravic, določenih v členih 7 in 8 navedene listine.

[…]

(11) Ta direktiva, tako kot Direktiva 95/46/ES, ne obravnava vprašanj varstva temeljnih pravic in svoboščin, povezanih z dejavnostmi, ki jih ne ureja pravni red Skupnosti. Zato ne spreminja obstoječega ravnotežja med posameznikovo pravico do zasebnosti in možnostjo držav članic, da sprejmejo ukrepe iz člena 15(1) te direktive, potrebne za zaščito javne varnosti, obrambe, državne varnosti (vključno z gospodarsko blaginjo države, kadar se dejavnosti nanašajo na zadeve državne varnosti) in izvajanje kazenske zakonodaje. Ta direktiva torej ne vpliva na zmožnost držav članic, da zakonito prestrezajo elektronska sporočila ali da sprejmejo druge ukrepe, če so potrebni iz katerega koli od teh namenov ter v skladu z Evropsko konvencijo o varstvu človekovih pravic in temeljnih svoboščin, kakor jo razlaga Evropsko sodišče za človekove pravice v svojih sodbah. Taki ukrepi morajo biti ustrezni, dosledno sorazmerni z namenom in potrebni v demokratični družbi ter predmet primernih zaščitnih ukrepov v skladu z Evropsko konvencijo o varstvu človekovih pravic in temeljnih svoboščin.

[…]

(15) Sporočilo lahko vključuje kakršne koli podatke o poimenovanju, številčenju ali naslavljanju, ki jih zagotovi pošiljatelj sporočila ali uporabnik zveze za prenos sporočila. Podatki o prometu lahko vključujejo vsako pretvorbo tega podatka v omrežju, po katerem se sporočilo prenaša z namenom izvedbe prenosa. […]

[…]

(21) Za zagotovitev zaupnosti sporočil, vključno z njihovo vsebino in vsemi podatki glede teh sporočil, je treba sprejeti ukrepe za preprečitev nedovoljenega dostopa do sporočil, poslanih prek javnih komunikacijskih omrežij in javno dostopnih elektronskih komunikacijskih storitev. Nacionalna zakonodaja v nekaterih državah članicah prepoveduje le nameren nedovoljen dostop do sporočil.“

6 Člen 1 Direktive 2002/58, naslovljen „Področje in cilj“, določa:

„1. Ta direktiva določa uskladitev določb držav članic, ki je potrebna za zagotovitev enakovredne ravni varstva temeljnih pravic in svoboščin ter zlasti pravice do zasebnosti in zaupnosti v zvezi z obdelavo osebnih podatkov na področju elektronskih komunikacij in za zagotovitev prostega pretoka takih podatkov ter elektronske komunikacijske opreme in storitev v Skupnosti.

2. Določbe te direktive podrobno opredeljujejo in dopolnjujejo Direktivo [95/46] za namene, navedene v odstavku 1. Razen tega predvidevajo varstvo zakonitih interesov naročnikov, ki so pravne osebe.

3. Ta direktiva se ne uporablja za dejavnosti, ki so zunaj obsega Pogodbe o ustanovitvi Evropske skupnosti, kot na primer tiste, zajete v naslovih V in VI Pogodbe o Evropski uniji in v vsakem primeru za dejavnosti v zvezi z javno varnostjo, obrambo, državno varnostjo (vključno gospodarsko blaginjo države, kadar se dejavnosti nanašajo na zadeve v zvezi z državno varnostjo) ter dejavnosti države na področju kazenskega prava.“

7 Člen 2 Direktive 2002/58, naslovljen „Opredelitve“, določa:

„Razen če je drugače določeno, se uporabijo opredelitve pojmov iz Direktive [95/46] in Direktive 2002/21/ES Evropskega parlamenta in Sveta z dne 7. marca 2002 o skupnem regulativnem okviru za elektronska komunikacijska omrežja in storitve (Okvirna direktiva) [(UL, posebna izdaja v slovenščini, poglavje 13, zvezek 29, str. 349)].

Uporabijo se tudi naslednje opredelitve pojmov:

[…]

(b) ‚podatki o prometu‘ pomenijo katere koli podatke, obdelane za namen prenosa sporočila po elektronskem komunikacijskem omrežju ali zaradi zaračunavanja tega sporočila;

(c) ‚podatki o lokaciji‘ pomenijo vsakršne podatke, obdelane v elektronskem komunikacijskem omrežju ali v okviru elektronske komunikacijske storitve, ki razkrivajo zemljepisni položaj terminalske opreme uporabnika javno razpoložljive elektronske komunikacijske storitve;

(d) ‚sporočilo‘ (komunikacija) pomeni vsak podatek, ki se izmenjuje ali prenaša med končnim številom strank s pomočjo javno razpoložljive elektronske komunikacijske storitve. To ne vključuje nobenih podatkov, prenesenih javnosti kot del radiodifuzijske storitve prek elektronskega komunikacijskega omrežja, razen v obsegu, v katerem se da podatek povezati s prepoznavnim naročnikom ali uporabnikom, ki ga prejme;

[…]“

8 Člen 3 Direktive 2002/58, naslovljen „Storitve“, določa:

„Ta direktiva se uporablja za obdelavo osebnih podatkov v zvezi z zagotavljanjem javno razpoložljivih elektronskih komunikacijskih storitev v javnih komunikacijskih omrežjih v Skupnosti, vključno z javnimi komunikacijskimi omrežji, ki podpirajo zbiranje podatkov in identifikacijske naprave.“

9 Člen 5 Direktive 2002/58, naslovljen „Zaupnost sporočil“, določa:

„1. Države članice s svojo nacionalno zakonodajo zagotovijo zaupnost sporočil in s tem povezanih podatkov o prometu, ki se pošiljajo prek javnega komunikacijskega omrežja in javno razpoložljivih elektronskih komunikacijskih storitev. Zlasti prepovejo vsem osebam razen uporabnikom, da poslušajo, prisluškujejo, shranjujejo ali na druge načine prestrezajo ali nadzirajo komunikacije (sporočila) in z njimi povezane podatke o prometu, brez privolitve zadevnih uporabnikov, razen kadar je to zakonsko dovoljeno v skladu s členom 15(1). […]

[…]

3. Države članice zagotovijo, da je shranjevanje podatkov ali pridobivanje dostopa do podatkov, shranjenih v terminalski opremi naročnika ali uporabnika, dovoljeno samo pod pogojem, da je zadevni naročnik ali uporabnik v to privolil po tem, ko je bil jasno in izčrpno obveščen v skladu z Direktivo [95/46], med drugim o namenih obdelave. […]“

10 Člen 6 Direktive 2002/58, naslovljen „Podatki o prometu“, določa:

„1. Podatki o prometu, ki se nanašajo na naročnike in uporabnike in ki jih je ponudnik javnega komunikacijskega omrežja ali javno razpoložljive elektronske komunikacijske storitve obdelal in shranil, morajo biti izbrisani ali predelani v anonimne, potem ko niso več potrebni za namen prenosa sporočila, kar ne vpliva na odstavke 2, 3 in 5 tega člena in člena 15(1).

2. Podatki o prometu, potrebni za namene zaračunavanja naročnikom in plačil za medsebojne povezave, se lahko obdelujejo. Taka obdelava je dovoljena samo do poteka obdobja, med katerim se lahko obračun zakonito izpodbija ali sprožijo postopki za pridobitev plačila.

[…]“

11 Člen 15 navedene direktive, naslovljen „Uporaba nekaterih določb Direktive [95/46]“, v odstavku 1 določa:

„Države članice lahko sprejmejo zakonske ukrepe, s katerimi omejijo obseg pravic in obveznosti, določenih v členu 5, členu 6, členu 8(1), (2), (3) in (4) ter členu 9 te direktive, kadar takšna omejitev pomeni potreben, primeren in ustrezen ukrep znotraj demokratične družbe za zaščito državne varnosti (to je Državne varnosti), obrambe, javne varnosti in preprečevanje, preiskovanje, odkrivanje in pregon kriminalnih dejanj ali nedovoljene uporabe elektronskega komunikacijskega sistema iz člena 13(1) Direktive [95/46]. V ta namen lahko države članice med drugim sprejmejo zakonske ukrepe, ki določajo zadrževanje podatkov za določeno obdobje, upravičeno iz razlogov iz tega odstavka. Vsi ukrepi iz tega odstavka so v skladu s splošnimi načeli zakonodaje Skupnosti, vključno s tistimi iz člena 6(1) in (2) Pogodbe o Evropski uniji.“

Španska zakonodaja

Zakon 25/2007

12 Člen 1 Ley 25/2007 de conservación de datos relativos a las comunicaciones electrónicas y a la redes públicas de comunicaciones (zakon 25/2007 o shranjevanju podatkov v zvezi z elektronskimi komunikacijami in javnimi komunikacijskimi omrežji) z dne 18. oktobra 2007 (BOE št. 251 z dne 19. oktobra 2007, str. 42517) določa:

„1. Namen tega zakona je ureditev obveznosti operaterjev, da hranijo podatke, ki se pridobijo ali obdelujejo v okviru zagotavljanja elektronskih komunikacijskih storitev ali javnih komunikacijskih omrežij, kot tudi njihove dolžnosti posredovanja navedenih podatkov pooblaščenim osebam, kadar se ti zahtevajo na podlagi ustrezne sodne odobritve za namene odkrivanja, preiskovanja in pregona hudih kaznivih dejanj, določenih v kazenskem zakoniku ali posebnih kazenskih zakonih.

2. Ta zakon se uporablja za podatke o prometu in lokaciji, ki zadevajo fizične in pravne osebe, ter za povezane podatke, potrebne za določitev naročnika ali registriranega uporabnika.

[…]“

Kazenski zakonik

13 Člen 13(1) Ley Orgánica 10/1995 del Código Penal (kazenski zakonik) z dne 23. novembra 1995 (BOE št. 281 z dne 24. novembra 1995, str. 33987) določa:

„Huda kazniva dejanja so tista, za katera je v zakonu zagrožena visoka kazen.“

14 Člen 33 navedenega zakonika določa:

„1. Kazni so glede na svojo naravo in trajanje razvrščene na visoke, manj visoke in nizke.

2. Visoke kazni so:

(a) dosmrtni zapor z možnostjo spremembe;

(b) zapor, daljši od petih let.

[…]“

Zakon o kazenskem postopku

15 Po datumu dejanskega stanja iz postopka v glavni stvari je bil Ley de Enjuiciamiento Criminal (zakon o kazenskem postopku) spremenjen z Ley Orgánica 13/2015 de modificación de la Ley de Enjuiciamiento Criminal para el fortalecimiento de las garantías procesales y la regulación de las medidas de investigación tecnológica (organski zakon 13/2015 o spremembi zakona o kazenskem postopku za okrepitev procesnih jamstev in ureditev ukrepov tehnoloških preiskav) z dne 5. oktobra 2015 (BOE št. 239 z dne 6. oktobra 2015, str. 90192).

16 Ta zakon je začel veljati 6. decembra 2015. Z njim je bilo v zakon o kazenskem postopku vključeno področje dostopa do podatkov v zvezi s telefonskimi in telematskimi komunikacijami, ki so jih shranili ponudniki elektronskih komunikacijskih storitev.

17 Člen 579(1) zakona o kazenskem postopku v različici, ki izhaja iz organskega zakona 13/2015, določa:

„1. Sodišče lahko odobri prestrezanje zasebne, poštne in telegrafske korespondence, vključno s telefaksi, dopisi Burofax in mednarodnimi poštnimi nakaznicami, ki jih osumljenec pošlje ali prejme, ter njihovo odprtje in analizo, če obstajajo indici, na podlagi katerih je mogoče sklepati, da bo to omogočilo ugotovitev ali preverjanje dejstva ali dejavnika, pomembnega za primer, pod pogojem, da je predmet preiskave katero od naslednjih kaznivih dejanj:

1. naklepno kaznivo dejanje, ki se kaznuje z najvišjo kaznijo zapora vsaj treh let;

2. kaznivo dejanje, storjeno v okviru hudodelske združbe;

3. teroristično kaznivo dejanje.

[…]“

18 Člen 588b(j) navedenega zakona določa:

„1. Elektronski podatki, ki jih ponudniki storitev ali osebe, ki omogočajo komunikacijo, hranijo v skladu z zakonodajo o shranjevanju podatkov o elektronskih komunikacijah ali na lastno pobudo iz poslovnih razlogov ali iz drugih razlogov in ki so povezani s komunikacijskimi procesi, se lahko za namene njihovega upoštevanja v postopku posredujejo le na podlagi sodne odobritve.

2. Kadar je dostop do teh podatkov bistven za preiskavo, se pristojno sodišče zaprosi, naj odobri zbiranje informacij iz avtomatiziranih podatkovnih zbirk ponudnikov storitev, vključno z navzkrižnim ali inteligentnim iskanjem podatkov, pod pogojem, da so opredeljeni narava podatkov, do katerih je treba dostopiti, in razlogi, ki upravičujejo njihovo posredovanje.“

Postopek v glavni stvari in vprašanji za predhodno odločanje

19 G. Hernández Sierra je pri policiji prijavil rop, ki se je zgodil 16. februarja 2015, v katerem je bil poškodovan ter sta mu bila ukradena denarnica in mobilni telefon.

20 Kriminalistična policija je 27. februarja 2015 pri preiskovalnem sodišču vložila predlog, naj se različnim ponudnikom elektronskih komunikacijskih storitev odredi, da posredujejo telefonske številke, ki so bile od 16. februarja do 27. februarja 2015 aktivirane z mednarodno identifikacijsko številko mobilnega terminala (v nadaljevanju: številka IMEI), in osebne podatke o osebni istovetnosti imetnikov ali uporabnikov telefonskih številk, ki ustrezajo karticam SIM, aktiviranim s to številko, kot so priimek, ime in po potrebi naslov.

21 Preiskovalno sodišče je s sklepom z dne 5. maja 2015 ta predlog zavrnilo. Na eni strani je presodilo, da zahtevani ukrep ni koristen za identifikacijo storilcev kaznivega dejanja. Na drugi strani pa je predlog zavrnilo, ker zakon 25/2007 posredovanje podatkov, ki jih hranijo ponudniki elektronskih komunikacijskih storitev, omejuje na huda kazniva dejanja. V skladu s kazenskim zakonikom se za huda kazniva dejanja izreče kazen več kot petih let zapora, medtem ko se za dejansko stanje v postopku v glavni stvari ne zdi, da bi bili podani znaki takega kaznivega dejanja.

22 Državno tožilstvo je zoper ta sklep vložilo pritožbo pri predložitvenem sodišču, ker je štelo, da bi moralo biti posredovanje zadevnih podatkov odobreno zaradi narave dejanskega stanja in na podlagi sodbe Tribunal Supremo (vrhovno sodišče, Španija) z dne 26. julija 2010, ki je se je nanašala na podoben primer.

23 Predložitveno sodišče navaja, da je španski zakonodajalec po navedenem sklepu zakon o kazenskem postopku spremenil s sprejetjem organskega zakona 13/2015. S tem zakonom, ki naj bi bil upošteven za izid pritožbe v postopku v glavni stvari, naj bi bili uvedeni dve novi alternativni merili za določitev praga teže kaznivega dejanja. Na eni strani naj bi šlo za materialno merilo, opredeljeno z ravnanji, ki ustrezajo kazenskim kvalifikacijam, katerih kriminalna narava je posebna in resna, ter ki so posebej škodljiva za posamične in kolektivne pravne interese. Na drugi strani naj bi nacionalni zakonodajalec uporabil formalno normativno merilo, ki temelji na kazni, zagroženi za zadevno kaznivo dejanje. Prag treh let zapora, ki ga določa, pa naj bi zdaj zajemal veliko večino kaznivih dejanj. Predložitveno sodišče poleg tega šteje, da interes države za sankcioniranje kaznivih ravnanj ne more upravičiti nesorazmernega posega v temeljne pravice, ki so zagotovljene z Listino.

24 V zvezi s tem navedeno sodišče meni, da v postopku v glavni stvari direktivi 95/46 in 2002/58 določata navezno okoliščino z Listino. Nacionalna ureditev iz postopka v glavni stvari naj bi torej v skladu s členom 51(1) Listine spadala na njeno področje uporabe kljub razveljavitvi Direktive 2006/24/ES Evropskega parlamenta in Sveta z dne 15. marca 2006 o hrambi podatkov, pridobljenih ali obdelanih v zvezi z zagotavljanjem javno dostopnih elektronskih komunikacijskih storitev ali javnih komunikacijskih omrežij, in spremembi Direktive 2002/58/ES (UL 2006, L 105, str. 54) s sodbo z dne 8. aprila 2014, Digital Rights Ireland in drugi (C‑293/12 in C‑594/12, EU:C:2014:238).

25 V tej sodbi naj bi Sodišče priznalo, da je shranjevanje in posredovanje podatkov o prometu posebej resen poseg v pravice, zagotovljene s členoma 7 in 8 Listine, in naj bi opredelilo merila za presojo spoštovanja načela sorazmernosti, med katerimi so teža kaznivih dejanj, ki upravičuje shranjevanje teh podatkov, in dostop do njih za namene preiskave.

26 V teh okoliščinah je Audiencia Provincial de Tarragona (sodišče pokrajine Tarragona) prekinilo odločanje in Sodišču v predhodno odločanje predložilo ti vprašanji:

„1. Ali se lahko zadostna resnost kaznivih dejanj kot merilo, ki upravičuje poseganje v temeljne pravice, priznane v členih 7 in 8 Listine, ugotovi zgolj glede na kazen, ki se lahko naloži za preiskovano kaznivo dejanje, ali pa je treba poleg tega pri kriminalnem dejanju ugotoviti posebne stopnje škodljivosti za posamične in/ali kolektivne pravne dobrine?

2. Če je določitev resnosti kaznivega dejanja zgolj na podlagi zagrožene kazni v skladu z ustavnimi načeli Unije, ki jih je Sodišče uporabilo v sodbi [z dne 8. aprila 2014, Digital Rights Ireland in drugi, C‑293/12 in C‑594/12, EU:C:2014:238,] kot merila za strog nadzor nad Direktivo [2002/58], kakšen bi moral biti spodnji prag te kazni? Ali bi bil v skladu s splošno zahtevo po najmanj triletni zaporni kazni?“

Postopek pred Sodiščem

27 S sklepom predsednika Sodišča z dne 23. maja 2016 je bil postopek pred Sodiščem prekinjen do izreka sodbe v združenih zadevah Tele2 Sverige ter Watson in drugi, C‑203/15 in C‑698/15 (sodba z dne 21. decembra 2016, EU:C:2016:970, v nadaljevanju: sodba Tele2 Sverige ter Watson in drugi). Po razglasitvi te sodbe je bilo predložitveno sodišče vprašano, ali želi vztrajati pri predlogu za sprejetje predhodne odločbe ali pa ga želi umakniti. V odgovoru je predložitveno sodišče z dopisom z dne 30. januarja 2017, ki je na Sodišče prispel 14. februarja 2017, sporočilo, da šteje, da mu ta sodba ne omogoča, da nacionalno zakonodajo iz postopka v glavni stvari z zadostno gotovostjo presodi glede na pravo Unije. Postopek se je zato pred Sodiščem 16. februarja 2017 nadaljeval.

Vprašanji za predhodno odločanje

28 Španska vlada trdi, prvič, da Sodišče ni pristojno za odgovor na predlog za sprejetje predhodne odločbe in, drugič, da ta predlog ni dopusten.

Pristojnost Sodišča

29 V pisnih stališčih, predloženih Sodišču, je španska vlada izrazila mnenje, ki se mu je na obravnavi pridružila vlada Združenega kraljestva, in sicer da Sodišče ni pristojno za odgovor na predlog za sprejetje predhodne odločbe, ker je spor o glavni stvari v skladu s členom 3(2), prva alinea, Direktive 95/46 in členom 1(3) Direktive 2002/58 izključen iz področja uporabe teh dveh direktiv. Ta zadeva naj torej ne bi spadala na področje uporabe prava Unije, zato naj se Listina v skladu z njenim členom 51(1) ne bi uporabljala.

30 Španska vlada meni, da je Sodišče v sodbi Tele2 Sverige ter Watson in drugi sicer razsodilo, da zakonski ukrep, ki ureja dostop nacionalnih organov do podatkov, ki jih hranijo ponudniki elektronskih komunikacijskih storitev, spada na področje uporabe Direktive 2002/58. Vendar naj bi šlo v obravnavani zadevi za zahtevo za dostop javnega organa do osebnih podatkov, ki jih hranijo ponudniki elektronskih komunikacijskih storitev, na podlagi sodne odločbe v okviru kazenskega preiskovalnega postopka. Španska vlada na podlagi tega sklepa, da ta zahteva za dostop spada v izvrševanje ius puniendi nacionalnih organov, zato pomeni dejavnost države na področju kazenskega prava, ki je zajeta z izjemo iz člena 3(2), prva alinea, Direktive 95/46 in člena 1(3) Direktive 2002/58.

31 Za preučitev tega ugovora nepristojnosti je treba poudariti, da člen 1 Direktive 2002/58 v odstavku 1 predpisuje, da ta direktiva določa uskladitev nacionalnih določb, ki so med drugim potrebne za zagotovitev enakovredne ravni varstva temeljnih pravic in svoboščin ter zlasti pravice do zasebnosti in zaupnosti v zvezi z obravnavo osebnih podatkov na področju elektronskih komunikacij. Navedena direktiva v skladu s svojim členom 1(2) podrobno opredeljuje in dopolnjuje Direktivo 95/46 za namene, navedene v navedenem odstavku 1.

32 Člen 1(3) Direktive 2002/58 iz področja uporabe te direktive izključuje „dejavnosti države“ na področjih, ki so v njem navedena, med katerimi so dejavnosti države na področju kazenskega prava ter dejavnosti v zvezi z javno varnostjo, obrambo in državno varnostjo, vključno z gospodarsko blaginjo države, kadar se dejavnosti nanašajo na zadeve v zvezi z državno varnostjo (sodba Tele2 Sverige ter Watson in drugi, točka 69 in navedena sodna praksa). Dejavnosti, ki so v tem členu navedene primeroma, so vedno dejavnosti držav ali drugih državnih organov, ki niso povezane s področji dejavnosti posameznikov (v zvezi s členom 3(2), prva alinea, Direktive 95/46 glej po analogiji sodbo z dne 10. julija 2018, Jehovan Todistajat, C‑25/17, EU:C:2018:551, točka 38 in navedena sodna praksa).

33 Člen 3 Direktive 2002/58 določa, da se ta direktiva uporablja za obdelavo osebnih podatkov v zvezi z zagotavljanjem javno razpoložljivih elektronskih komunikacijskih storitev v javnih komunikacijskih omrežjih v Uniji, vključno z javnimi komunikacijskimi omrežji, ki podpirajo zbiranje podatkov in identifikacijske naprave (v nadaljevanju: elektronske komunikacijske storitve). Zato je treba šteti, da ta direktiva ureja dejavnosti ponudnikov teh storitev (sodba Tele2 Sverige ter Watson in drugi, točka 70).

34 V zvezi s členom 15(1) Direktive 2002/58 je Sodišče že razsodilo, da zakonski ukrepi iz te določbe na področje uporabe te direktive spadajo tudi, če se nanašajo na dejavnosti držav ali drugih državnih organov, ki niso povezane s področji dejavnosti posameznikov, in če so nameni, ki jim morajo slediti ti ukrepi, v bistvu enaki namenom, ki jim sledijo dejavnosti iz člena 1(3) Direktive 2002/58. Člen 15(1) te direktive namreč nujno predpostavlja, da nacionalni ukrepi, ki so v njej navedeni, spadajo na področje uporabe navedene direktive, ker ta državam članicam izrecno dopušča, da jih sprejmejo le ob upoštevanju pogojev, ki jih določa. Poleg tega zakonski ukrepi iz člena 15(1) Direktive 2002/58 za namene, navedene v tej določbi, urejajo dejavnost ponudnikov elektronskih komunikacijskih storitev (glej v tem smislu sodbo Tele2 Sverige ter Watson in drugi, točke od 72 do 74).

35 Sodišče je ugotovilo, da je treba navedeni člen 15(1) v povezavi s členom 3 Direktive 2002/58 razlagati tako, da na področje uporabe te direktive zlasti spada ne le zakonski ukrep, ki ponudnikom elektronskih komunikacijskih storitev nalaga, da hranijo podatke o prometu in podatke o lokaciji, temveč tudi zakonski ukrep, ki se nanaša na dostop nacionalnih organov do podatkov, ki jih hranijo ti ponudniki (glej v tem smislu sodbo Tele2 Sverige ter Watson in drugi, točki 75 in 76).

36 Varstvo zaupnosti elektronskih komunikacij in z njimi povezanih podatkov o prometu, ki ga zagotavlja člen 5(1) Direktive 2002/58, se namreč uporablja za ukrepe, ki so jih sprejele katere koli osebe razen uporabnikov, ne glede na to, ali gre za posameznike, zasebne subjekte ali državne organe. Kot je potrjeno v uvodni izjavi 21 te direktive, je njen namen preprečiti nedovoljen „dostop“ do sporočil, vključno „z vsemi podatki glede teh sporočil“, da se zagotovi zaupnost elektronskih sporočil (sodba Tele2 Sverige ter Watson in drugi, točka 77).

37 Treba je dodati, da zakonski ukrepi, ki ponudnikom elektronskih komunikacijskih storitev nalagajo, da hranijo osebne podatke ali da pristojnim nacionalnim organom odobrijo dostop do teh podatkov, nujno pomenijo obdelavo navedenih podatkov s strani teh ponudnikov (glej v tem smislu sodbo Tele2 Sverige ter Watson in drugi, točki 75 in 78). Takih ukrepov v delu, v katerem urejajo dejavnosti navedenih dobaviteljev, zato ni mogoče šteti za dejavnosti držav iz člena 1(3) Direktive 2002/58.

38 V obravnavani zadevi, kot je razvidno iz predložitvene odločbe, zahteva iz postopka v glavni stvari, s katero kriminalistična policija prosi za sodno odobritev dostopa do osebnih podatkov, ki jih hranijo ponudniki elektronskih komunikacijskih storitev, temelji na zakonu št. 25/2007 v povezavi z zakonom o kazenskem postopku v različici, ki se uporablja za dejansko stanje v postopku v glavni stvari in ki ureja dostop javnih organov do takih podatkov. Ta ureditev kriminalistični policiji v primeru sodne odobritve, za katero je zaprosila na podlagi te ureditve, omogoča, da od ponudnikov elektronskih komunikacijskih storitev zahteva, da ji dajo na razpolago osebne podatke in da ob tem – glede na opredelitev iz člena 2(b) Direktive 95/46, ki se v okviru Direktive 2002/58 uporablja v skladu s členom 2, prvi odstavek, zadnjenavedene direktive – „obdelujejo“ osebne podatke v smislu teh dveh direktiv. Navedena ureditev torej ureja dejavnosti ponudnikov elektronskih komunikacijskih storitev in zato spada na področje uporabe Direktive 2002/58.

39 V teh pogojih okoliščina, ki jo je navedla španska vlada, da je ta zahteva vložena v okviru kazenskega preiskovalnega postopka, ne more povzročiti, da Direktive 2002/58 v skladu s členom 1(3) te direktive ne bi bilo mogoče uporabiti v postopku v glavni stvari.

40 V zvezi s tem prav tako nima vpliva to, da je namen zadevne zahteve za dostop iz postopka v glavni stvari, kot je razvidno iz pisnega odgovora španske vlade na vprašanje Sodišča in kakor sta na obravnavi potrdili ta vlada in državno tožilstvo, omogočiti dostop zgolj do telefonskih številk, ki ustrezajo karticam SIM, aktiviranim s številko IMEI ukradenega mobilnega telefona, in do podatkov o osebni istovetnosti imetnikov teh kartic, kot so priimek, ime in po potrebi naslov, pri čemer so izključeni podatki v zvezi s komunikacijami, ki so bile opravljene z navedenimi karticami SIM, in podatki glede lokacije ukradenega mobilnega telefona.

41 Kot je namreč poudaril generalni pravobranilec v točki 54 sklepnih predlogov, Direktiva 2002/58 v skladu s svojim členom 1(1) in členom 3 ureja vsako obdelavo osebnih podatkov v okviru zagotavljanja elektronskih komunikacijskih storitev. Poleg tega v skladu s členom 2, drugi odstavek, točka (b), te direktive pojem „podatki o prometu“ zajema „katere koli podatke, obdelane za namen prenosa sporočila po elektronskem komunikacijskem omrežju ali zaradi zaračunavanja tega sporočila“.

42 V zvezi z zadnjenavedenim, natančneje glede podatkov o osebni istovetnosti imetnikov kartic SIM, iz uvodne izjave 15 Direktive 2002/58 izhaja, da lahko podatki o prometu med drugim vključujejo ime in naslov osebe, ki pošlje sporočilo ali uporabi zvezo za prenos sporočila. Podatki o osebni istovetnosti imetnikov kartic SIM so lahko med drugim potrebni za namene zaračunavanja zagotovljenih elektronskih komunikacijskih storitev in so zato del podatkov o prometu, kot so opredeljeni v členu 2, drugi odstavek, točka (b), te direktive. Ti podatki zato spadajo na področje uporabe Direktive 2002/58.

43 Sodišče je zato pristojno, da odgovori na vprašanje, ki ga je zastavilo predložitveno sodišče.

Dopustnost

44 Španska vlada trdi, da predlog za sprejetje predhodne odločbe ni dopusten, ker v njem niso jasno opredeljene določbe prava Unije, glede katerih naj se Sodišče izreče. Poleg tega naj se zahteva kriminalistične policije iz postopka v glavni stvari ne bi nanašala na prestrezanje sporočil, poslanih prek kartic SIM, aktiviranih s številko IMEI ukradenega mobilnega telefona, ampak na povezavo teh kartic in njihovih imetnikov, tako da naj v zaupnost komunikacij ne bi bilo poseženo. Člen 7 Listine, na katerega se nanašata vprašanji za predhodno odločanje, naj torej v okviru te zadeve ne bi bil upošteven.

45 V skladu z ustaljeno sodno prakso Sodišča izključno nacionalno sodišče, ki odloča o sporu in mora prevzeti odgovornost za izrečeno sodno odločbo, glede na značilnosti zadeve presodi nujnost pridobitve predhodne odločbe, da bi lahko izdalo sodbo, in upoštevnost vprašanj, ki jih zastavi Sodišču. Zato Sodišče, kadar se postavljena vprašanja nanašajo na razlago prava Unije, načeloma mora odločiti. Sodišče lahko zavrne odgovor na vprašanje za predhodno odločanje le, če je očitno, da zahtevana razlaga ali zahtevana presoja veljavnosti pravila prava Unije ni v nikakršni zvezi z dejanskim stanjem ali predmetom spora o glavni stvari, če je problem hipotetičen ali če Sodišče nima na voljo pravnih in dejanskih okoliščin, ki jih potrebuje, da bi lahko na postavljena vprašanja dalo koristne odgovore (sodba z dne 10. julija 2018, Jehovan Todistajat, C‑25/17, EU:C:2018:551, točka 31 in navedena sodna praksa).

46 V obravnavanem primeru so v predložitveni odločbi navedene dejanske in pravne okoliščine zadostne tako za opredelitev določb prava Unije, na katere se nanašajo vprašanja za predhodno odločanje, kot za razumevanje obsega teh vprašanj. Natančneje, iz predložitvene odločbe je razvidno, da je namen vprašanj za predhodno odločanje predložitvenemu sodišču omogočiti presojo, ali in v kolikšnem obsegu nacionalna ureditev, na kateri temelji zahteva kriminalistične policije v postopku v glavni stvari, sledi cilju, ki lahko upravičuje poseg v temeljne pravice, ki so zagotovljene v členih 7 in 8 Listine. Vendar po navedbah tega sodišča ta nacionalna ureditev spada na področje uporabe Direktive 2002/58, zato se Listina uporablja za spor o glavni stvari. Vprašanji za predhodno odločanje sta zato v neposredni zvezi s predmetom postopka v glavni stvari in ju zato ni mogoče šteti za hipotetični.

47 Zato sta vprašanji za predhodno odločanje dopustni.

Vsebinska presoja

48 Predložitveno sodišče z vprašanjema, ki ju je treba obravnavati skupaj, v bistvu sprašuje, ali je treba člen 15(1) Direktive 2002/58 v povezavi s členoma 7 in 8 Listine razlagati tako, da dostop javnih organov do identifikacijskih podatkov imetnikov kartic SIM, aktiviranih z ukradenim mobilnim telefonom, kot so priimek, ime in po potrebi naslov teh imetnikov, pomeni tako hud poseg v njihove temeljne pravice, določene v navedenih členih Listine, da bi moral biti ta dostop na področju preprečevanja, preiskovanja, odkrivanja in pregona kaznivih dejanj omejen na boj proti hudemu kriminalu, in če je odgovor pritrdilen, na podlagi katerih meril je treba presojati težo zadevnega kaznivega dejanja.

49 V zvezi s tem je iz predložitvene odločbe razvidno, kot je v bistvu poudaril generalni pravobranilec v točki 38 sklepnih predlogov, da namen predloga za sprejetje predhodne odločbe ni opredeliti, ali so ponudniki elektronskih komunikacijskih storitev osebne podatke iz postopka v glavni stvari hranili v skladu s pogoji iz člena 15(1) Direktive 2002/58 v povezavi s členoma 7 in 8 Listine. Kot je razvidno iz točke 46 te sodbe, se ta predlog nanaša zgolj na vprašanje, ali in v kolikšnem obsegu lahko cilj, ki mu sledi ureditev iz postopka v glavni stvari, upravičuje dostop javnih organov, kot je kriminalistična policija, do takih podatkov, na da bi bili drugi pogoji dostopa iz člena 15(1) predmet tega predloga.

50 Natančneje, to sodišče se sprašuje o elementih, ki jih je treba upoštevati za presojo, ali so kazniva dejanja, pri katerih se lahko policijskim organom za namene preiskave dovoli dostop do osebnih podatkov, ki jih hranijo ponudniki elektronskih komunikacijskih storitev, dovolj huda, da upravičujejo poseg, ki ga pomeni tak dostop, v temeljne pravice, zagotovljene v členih 7 in 8 Listine, kot jih je razložilo Sodišče v sodbah z dne 8. aprila 2014, Digital Rights Ireland in drugi (C‑293/12 in C‑594/12, EU:C:2014:238), in Tele2 Sverige ter Watson in drugi.

51 Glede obstoja posega v te temeljne pravice je treba opozoriti, kot je poudaril generalni pravobranilec v točkah 76 in 77 sklepnih predlogov, da pomeni dostop javnih organov do takih podatkov poseg v temeljno pravico do spoštovanja zasebnega življenja iz člena 7 Listine, tudi če ni okoliščin, ki bi omogočale opredelitev tega posega kot „hudega“, in ne da bi bilo pomembno, ali so zadevne informacije o zasebnem življenju občutljive niti ali so bile zadevne osebe zaradi navedenega posega morda oškodovane. Tak dostop pomeni tudi poseg v temeljno pravico do varstva osebnih podatkov, zagotovljeno s členom 8 Listine, ker pomeni obdelavo osebnih podatkov (glej v tem smislu mnenje 1/15 (Sporazum PNR med EU in Kanado) z dne 26. julija 2017, EU:C:2017:592, točki 124 in 126 ter navedena sodna praksa).

52 Glede ciljev, ki lahko upravičijo nacionalno ureditev, kakršna je ta v postopku v glavni stvari, ki ureja dostop javnih organov do podatkov, ki jih hranijo ponudniki elektronskih komunikacijskih storitev, in tako odstopa od načela zaupnosti elektronskih komunikacij, je treba opozoriti, da je naštevanje ciljev iz člena 15(1), prvi stavek, Direktive 2002/58 izčrpno, zato mora ta dostop dejansko in strogo ustrezati kateremu od teh ciljev (glej v tem smislu sodbo Tele2 Sverige ter Watson in drugi, točki 90 in 115).

53 Vendar je treba v zvezi s ciljem preprečevanja, preiskovanja, odkrivanja in pregona kaznivih dejanj poudariti, da člen 15(1), prvi stavek, Direktive 2002/58 tega cilja ne omejuje na boj proti hudim kaznivim dejanjem, ampak se nanaša na „kazniva dejanja“ na splošno.

54 V zvezi s tem je Sodišče sicer res presodilo, da lahko na področju preprečevanja, preiskovanja, odkrivanja in pregona kaznivih dejanj dostop javnih organov do osebnih podatkov, ki jih hranijo ponudniki elektronskih komunikacijskih storitev, upraviči le boj proti hudemu kriminalu, ker je na podlagi vseh teh podatkov mogoče izpeljati natančne ugotovitve o zasebnem življenju oseb, za podatke katerih gre (glej v tem smislu sodbo Tele2 Sverige ter Watson in drugi, točka 99).

55 Vendar je Sodišče to razlago utemeljilo s tem, da mora biti cilj, ki se uresničuje z ureditvijo, ki ta dostop ureja, povezan s težo posega v zadevne temeljne pravice, ki ga povzroči ta operacija (glej v tem smislu sodbo Tele2 Sverige ter Watson in drugi, točka 115).

56 V skladu z načelom sorazmernosti lahko namreč na področju preprečevanja, preiskovanja, odkrivanja in pregona kaznivih dejanj hud poseg upraviči le cilj boja proti kriminalu, ki mora biti prav tako opredeljen kot „hud“.

57 Nasprotno, kadar poseg, ki ga pomeni tak dostop, ni hud, se navedeni dostop lahko upraviči s ciljem preprečevanja, preiskovanja, odkrivanja in pregona „kaznivih dejanj“ na splošno.

58 Zato je treba najprej ugotoviti, ali je treba v tej zadevi na podlagi okoliščin obravnavanega primera poseg v temeljne pravice iz členov 7 in 8 Listine, ki bi ga povzročil dostop kriminalistične policije do podatkov iz postopka v glavni stvari, šteti za „hud“.

59 V zvezi s tem je edini namen zahteve iz postopka v glavni stvari, s katero kriminalistična policija za namene kazenske preiskave predlaga sodno odobritev dostopa do osebnih podatkov, ki jih hranijo ponudniki elektronskih komunikacijskih storitev, identifikacija imetnikov kartic SIM, ki so bile v obdobju dvanajstih dni aktivirane s številko IMEI ukradenega mobilnega telefona. Kot je bilo navedeno v točki 40 te sodbe, se ta zahteva nanaša le na dostop do telefonskih številk, ki ustrezajo tem karticam SIM, in do podatkov o osebni istovetnosti imetnikov navedenih kartic, kot so priimek, ime in po potrebi naslov. Nasprotno pa se, kot sta na obravnavi potrdila španska vlada in državno tožilstvo, ti podatki ne nanašajo na komunikacije, ki so bile opravljene z ukradenim mobilnim telefonom, niti na njegovo lokacijo.

60 Zato je očitno, da podatki iz zahteve za dostop iz postopka v glavni stvari omogočajo zgolj povezavo – v nekem obdobju – med kartico ali karticami SIM, aktiviranimi z ukradenim mobilnim telefonom, in osebno istovetnostjo imetnikov teh kartic SIM. Brez prekrivanja s podatki, ki se nanašajo na komunikacije, opravljene z navedenimi karticami SIM, in podatki o lokaciji navedeni podatki ne omogočajo seznanitve z datumom, uro, trajanjem in prejemniki komunikacij, opravljenih z zadevno kartico ali karticami SIM, niti z okoljem, v katerem so bile te komunikacije opravljene, ali z njihovo pogostostjo z določenimi osebami v danem obdobju. Navedeni podatki zato ne omogočajo izpeljave natančnih ugotovitev o zasebnem življenju oseb, za podatke katerih gre.

61 V teh okoliščinah dostopa le do podatkov, na katere se nanaša zahteva iz postopka v glavni stvari, ni mogoče opredeliti kot „hudega“ posega v temeljne pravice oseb, za podatke katerih gre.

62 Kot izhaja iz točk od 53 do 57 te sodbe, se poseg, ki ga pomeni dostop do takih podatkov, lahko upraviči s ciljem preprečevanja, preiskovanja, odkrivanja in pregona „kaznivih dejanj“ na splošno, na katerega se sklicuje člen 15(1), prvi stavek, Direktive 2002/58, ne da bi bilo treba ta kazniva dejanja opredeliti kot „huda“.

63 Na podlagi zgornjih preudarkov je treba na postavljeni vprašanji odgovoriti, da je treba člen 15(1) Direktive 2002/58 v povezavi s členoma 7 in 8 Listine razlagati tako, da dostop javnih organov do identifikacijskih podatkov imetnikov kartic SIM, aktiviranih z ukradenim mobilnim telefonom, kot so priimek, ime in po potrebi naslov teh imetnikov, ne pomeni tako hudega posega v njihove temeljne pravice, določene v navedenih členih Listine, da bi moral biti ta dostop na področju preprečevanja, preiskovanja, odkrivanja in pregona kaznivih dejanj omejen na boj proti hudemu kriminalu.

Stroški

64 Ker je ta postopek za stranki v postopku v glavni stvari ena od stopenj v postopku pred predložitvenim sodiščem, to odloči o stroških. Stroški za predložitev stališč Sodišču, ki niso stroški omenjenih strank, se ne povrnejo.

Iz teh razlogov je Sodišče (veliki senat) razsodilo:

Člen 15(1) Direktive 2002/58/ES Evropskega parlamenta in Sveta z dne 12. julija 2002 o obdelavi osebnih podatkov in varstvu zasebnosti na področju elektronskih komunikacij (Direktiva o zasebnosti in elektronskih komunikacijah), kakor je bila spremenjena z Direktivo 2009/136/ES Evropskega parlamenta in Sveta z dne 25. novembra 2009, v povezavi s členoma 7 in 8 Listine Evropske unije o temeljnih pravicah je treba razlagati tako, da dostop javnih organov do identifikacijskih podatkov imetnikov kartic SIM, aktiviranih z ukradenim mobilnim telefonom, kot so priimek, ime in po potrebi naslov teh imetnikov, ne pomeni tako hudega posega v njihove temeljne pravice, določene v navedenih členih Listine o temeljnih pravicah, da bi moral biti ta dostop na področju preprečevanja, preiskovanja, odkrivanja in pregona kaznivih dejanj omejen na boj proti hudemu kriminalu.

Podpisi

* Jezik postopka: španščina.