Language of document : ECLI:EU:C:2016:970

A BÍRÓSÁG ÍTÉLETE (nagytanács)

2016. december 21.(*)

„Előzetes döntéshozatal – Elektronikus hírközlés – A személyes adatok kezelése – Az elektronikus hírközlés titkossága – Védelem – 2002/58/EK irányelv – Az 5., 6. és 9. cikk, valamint a 15. cikk (1) bekezdése – Az Európai Unió Alapjogi Chartája – A 7., 8. és 11. cikk, valamint az 52. cikk (1) bekezdése – Nemzeti jogszabályok – Elektronikus hírközlési szolgáltatók – A forgalmi és a helymeghatározó adatok általános és különbségtétel nélküli megőrzésére vonatkozó kötelezettség – Nemzeti hatóságok – Az adatokhoz való hozzáférés – Bíróság vagy független közigazgatási szerv előzetes felülvizsgálatának hiánya – Az uniós joggal való összeegyeztethetőség”

A C‑203/15. és C‑698/15. sz. egyesített ügyekben,

az EUMSZ 267. cikk alapján benyújtott előzetes döntéshozatal iránti kérelmek tárgyában, amelyeket a Kammarrätten i Stockholm (stockholmi közigazgatási fellebbviteli bíróság, Svédország) a Bírósághoz 2015. május 4‑én érkezett 2015. április 29‑i határozatával, valamint a Court of Appeal (England & Wales) (Civil Division) (fellebbviteli bíróság [Anglia és Wales] [polgári tanács], Egyesült Királyság) a Bírósághoz 2015. december 28‑án érkezett 2015. december 9‑i határozatával terjesztett elő az előttük

a Tele2 Sverige AB (C‑203/15)

és

a Post‑ och telestyrelsen,

valamint

a Secretary of State for the Home Department (C‑698/15)

és

Tom Watson,

Peter Brice,

Geoffrey Lewis

között,

az Open Rights Group,

a Privacy International,

a The Law Society of England and Wales

részvételével folyamatban lévő eljárásokban,

A BÍRÓSÁG (nagytanács),

tagjai: K. Lenaerts elnök, A. Tizzano elnökhelyettes, R. Silva de Lapuerta, T. von Danwitz (előadó), J. L. da Cruz Vilaça, Juhász E. és M. Vilaras tanácselnökök, A. Borg Barthet, J. Malenovský, E. Levits, J.‑C. Bonichot, A. Arabadjiev, S. Rodin, F. Biltgen és C. Lycourgos bírák,

főtanácsnok: H. Saugmandsgaard Øe,

hivatalvezető: C. Strömholm tanácsos,

tekintettel a Bíróság elnökének 2016. február 1‑jei határozatára, amely szerint a C‑698/15. sz. ügyben a Bíróság eljárási szabályzata 105. cikkének (1) bekezdésében foglaltak szerinti gyorsított eljárást kell lefolytatni,

tekintettel az írásbeli szakaszra és a 2016. április 12‑i tárgyalásra,

figyelembe véve a következők által előterjesztett észrevételeket:

–        a Tele2 Sverige AB képviseletében M. Johansson és N. Torgerzon advokater, valamint E. Lagerlöf és S. Backman,

–        T. Watson képviseletében J. Welch és E. Norton solicitors, I. Steele advocate, B. Jaffey barrister, valamint D. Rose QC,

–        P. Brice és G. Lewis képviseletében A. Suterwalla és R. de Mello barristers, R. Drabble QC, valamint S. Luke solicitor,

–        az Open Rights Group és a Privacy International képviseletében D. Carey solicitor, valamint R. Mehta és J. Simor barristers,

–        a The Law Society of England and Wales képviseletében T. Hickman barrister és N. Turner,

–        a svéd kormány képviseletében A. Falk, C. Meyer‑Seitz, U. Persson, N. Otte Widgren és L. Swedenborg, meghatalmazotti minőségben,

–        az Egyesült Királyság kormánya képviseletében S. Brandon, L. Christie és V. Kaye, meghatalmazotti minőségben, segítőik: D. Beard, G. Facenna és J. Eadie QC, valamint S. Ford barrister,

–        a belga kormány képviseletében J.‑C. Halleux, S. Vanrie és C. Pochet, meghatalmazotti minőségben,

–        a cseh kormány képviseletében M. Smolek és J. Vláčíl, meghatalmazotti minőségben,

–        a dán kormány képviseletében C. Thorning és M. Wolff, meghatalmazotti minőségben,

–        a német kormány képviseletében T. Henze, M. Hellmann és J. Kemper, meghatalmazotti minőségben, segítőik: M. Kottmann és U. Karpenstein Rechtsanwälte,

–        az észt kormány képviseletében K. Kraavi‑Käerdi, meghatalmazotti minőségben,

–        Írország képviseletében E. Creedon, L. Williams és A. Joyce, meghatalmazotti minőségben, segítőjük: D. Fennelly BL,

–        a spanyol kormány képviseletében A. Rubio González, meghatalmazotti minőségben,

–        a francia kormány képviseletében G. de Bergues, D. Colas, F.‑X. Bréchot és C. David, meghatalmazotti minőségben,

–        a ciprusi kormány képviseletében K. Kleanthous, meghatalmazotti minőségben,

–        a magyar kormány képviseletében Fehér M. Z. és Koós G., meghatalmazotti minőségben,

–        a holland kormány képviseletében M. Bulterman, M. Gijzen és J. Langer, meghatalmazotti minőségben,

–        a lengyel kormány képviseletében B. Majczyna, meghatalmazotti minőségben,

–        a finn kormány képviseletében J. Heliskoski, meghatalmazotti minőségben,

–        az Európai Bizottság képviseletében H. Krämer, K. Simonsson, H. Kranenborg, D. Nardi, P. Costa de Oliveira és J. Vondung, meghatalmazotti minőségben,

a főtanácsnok indítványának a 2016. július 19‑i tárgyaláson történt meghallgatását követően,

meghozta a következő

Ítéletet

1        Az előzetes döntéshozatal iránti kérelmek a 2009. november 25‑i 2009/136/EK európai parlamenti és tanácsi irányelvvel (HL 2009. L 337., 11. o.; helyesbítés: HL 2013. L 241., 9. o.) módosított, az elektronikus hírközlési ágazatban a személyes adatok kezeléséről, feldolgozásáról [helyesen: a személyes adatok kezeléséről] és a magánélet védelméről szóló, 2002. július 12‑i 2002/58/EK európai parlamenti és tanácsi irányelv (elektronikus hírközlési adatvédelmi irányelv) (HL 2002. L 201., 37. o.; magyar nyelvű különkiadás 13. fejezet, 29. kötet, 514. o.; a továbbiakban: 2002/58 irányelv) – az Európai Unió Alapjogi Chartájának (a továbbiakban: Charta) 7. és 8. cikkével, valamint 52. cikkének (1) bekezdésével összefüggésben értelmezett – 15. cikke (1) bekezdésének értelmezésére vonatkoznak.

2        E kérelmeket egyrészt a Tele2 Sverige AB és a Post‑ och telestyrelsen (svéd posta‑ és telekommunikációs felügyeleti hatóság, a továbbiakban: PTS) között a PTS által hozott, a Tele2 Sverige‑t arra kötelező intézkedés tárgyában folyamatban lévő jogvitában terjesztették elő, hogy intézkedjen előfizetői és nyilvántartott felhasználói forgalmi és helymeghatározó adatainak megőrzéséről (C‑203/15. sz. ügy), másrészt a Tom Watson, Peter Brice és Geoffrey Lewis, valamint a Secretary of State for the Home Department (belügyminiszter, Nagy‑Britannia és Észak‑Írország Egyesült Királysága) között a Data Retention and Investigatory Powers Act 2014 (az adatmegőrzésről és a nyomozati jogkörökről szóló 2014. évi törvény, a továbbiakban: DRIPA) 1. cikke uniós jognak való megfelelősége tárgyában folyamatban lévő jogvitában terjesztették elő (C‑698/15. sz. ügy).

 Jogi háttér

 Az uniós jog

 A 2002/58 irányelv

3        A 2002/58 irányelv (2), (6), (7), (11), (21), (22), (26) és (30) preambulumbekezdése az alábbiakat mondja ki:

„(2)      Ennek az irányelvnek a célja az alapvető jogok tiszteletben tartása, és ez az irányelv figyelembe veszi különösen [a Chartában] elismert elveket. Ennek az irányelvnek célja különösen [a Charta] 7. és 8. cikkében megállapított jogok teljes tiszteletben tartásának biztosítása.

[…]

(6)      Az Internet felborítja a hagyományos piaci struktúrákat azáltal, hogy közös, világméretű infrastruktúrát biztosít az elektronikus hírközlési szolgáltatások széles körének szolgáltatásához. Az Interneten keresztül nyilvánosan elérhető elektronikus hírközlési szolgáltatások új lehetőségeket jelentenek a felhasználók számára, de egyben új veszélyeket is rejtenek személyes adataik és a magánélet tiszteletben tartásához való joguk vonatkozásában.

(7)      A nyilvános hírközlő hálózatok esetében különös törvényi, rendeleti és műszaki rendelkezéseket kell megállapítani a természetes személyek alapvető jogainak és szabadságainak, valamint a jogi személyek jogos érdekeinek védelme érdekében, különösen az előfizetői és felhasználói adatok automatikus tárolását és feldolgozását [helyesen: kezelését] szolgáló növekvő kapacitásra tekintettel.

[…]

(11)      A [személyes adatok feldolgozása {helyesen: kezelése} vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló, 1995. október 24‑i 95/46/EK európai parlamenti és tanácsi irányelvhez (HL 1995. L 281., 31. o.; magyar nyelvű különkiadás 13. fejezet, 15. kötet, 355. o.)] hasonlóan, ez az irányelv nem szól a közösségi jog által nem szabályozott tevékenységekkel kapcsolatos alapvető jogok és szabadságok védelmének kérdéseiről. Ezáltal nem borítja fel a meglévő egyensúlyt az egyén magánélet tiszteletben tartásához való joga és a tagállamok azon lehetősége között, hogy a közbiztonság védelme, a nemzetvédelem, a nemzetbiztonság (beleértve a nemzetbiztonsági ügyekkel kapcsolatos tevékenységek tekintetében az állam gazdasági prosperitását), valamint a büntetőjogi szankciók végrehajtásának érdekében szükséges, az ezen irányelv 15. cikkének (1) bekezdésében említett intézkedéseket meghozzák. Következésképpen ez az irányelv nem érinti a tagállamok azon lehetőségét, hogy jogszerűen megfigyeljék az elektronikus közléseket, vagy – ha bármely említett cél érdekében szükséges – olyan egyéb intézkedéseket hozzanak, amelyek összhangban vannak az emberi jogok és alapvető szabadságok védelméről szóló európai egyezménynek az Emberi Jogok Európai Bírósága által hozott határozatok szerint értelmezett szövegével. Az ilyen intézkedéseknek megfelelőnek, a tervezett céllal szigorúan arányosnak és egy demokratikus társadalomban szükségesnek kell lenniük, továbbá az ilyen intézkedésekre az Emberi jogok és alapvető szabadságok védelméről szóló európai egyezménnyel összhangban megfelelő garanciáknak kell vonatkozniuk.

[…]

(21)      Intézkedni kell a közlésekhez való jogosulatlan hozzáférés megelőzése iránt annak érdekében, hogy a nyilvános hírközlő hálózatok és nyilvánosan elérhető elektronikus hírközlési szolgáltatások segítségével történő közlések bizalmas jellege – ideértve mind a tartalmat, mind pedig az ilyen közlésekhez kapcsolódó adatokat – védelmet élvezzen. A nemzeti jogszabályok néhány tagállamban csak a közlésekhez való jogosulatlan hozzáférés szándékos esetét tiltják.

(22)      A közléseknek és az azokhoz kapcsolódó forgalmi adatoknak a felhasználókon kívüli személyek által történő vagy a felhasználók hozzájárulása nélkül történő tárolására vonatkozó tilalomnak nem célja, hogy ezeknek az adatoknak bármilyen automatikus, közbenső és átmeneti tárolását tiltsa, amennyiben az ilyen tárolásra kizárólag az elektronikus hírközlő hálózaton keresztül történő továbbítás céljával kerül sor, továbbá feltéve, hogy az adatot csak a továbbításhoz és a forgalomirányításhoz szükséges ideig tárolják, valamint a tárolás ideje alatt a bizalmas kezelés mindvégig garantált. […]

[…]

(26)      Az elektronikus hírközlő hálózatokon kezelt, a csatlakozás létrejöttéhez és az adattovábbításhoz szükséges, előfizetőkre vonatkozó adatok természetes személyek magánéletére vonatkozó információkat tartalmaznak, és érintik azoknak a levéltitokhoz való jogát, illetve a jogi személyek jogos érdekeit. Az ilyen adatokat kizárólag a szolgáltatásnyújtáshoz szükséges mértékig lehet tárolni, a számlázás és az összekapcsolási díjak megfizetése céljából, és a tárolás csak korlátozott ideig tarthat. [Ezen adatok bármely további kezelése] kizárólag akkor engedélyezhető, ha a nyilvánosan elérhető elektronikus hírközlési szolgáltatások szolgáltatója az előfizetőt pontosan és teljeskörűen tájékoztatta arról, hogy milyen további adatfeldolgozást [helyesen: adatkezelést] kíván végezni, valamint arról, hogy az előfizetőnek joga van az ilyen adatfeldolgozáshoz [helyesen: adatkezeléshez] való hozzájárulást megtagadni és a hozzájárulását visszavonni, továbbá e tájékoztatás alapján az előfizető az adatfeldolgozáshoz [helyesen: adatkezeléshez] hozzájárult. […]

[…]

(30)      Az elektronikus hírközlő hálózatok és elektronikus hírközlési szolgáltatások rendszereit úgy kell megtervezni, hogy a szükséges személyes adatok mennyisége szigorúan a minimálisra korlátozott legyen. […]”

4        A 2002/58 irányelvnek a „Hatály és cél” című 1. cikke a következőképpen rendelkezik:

„(1)      Ez az irányelv előírja azon nemzeti rendelkezések összehangolását, amelyekre azért van szükség, hogy biztosítsák az elektronikus hírközlési ágazatban a személyes adatok kezelése vonatkozásában az alapvető jogok és szabadságok védelmének egyenértékű szintjét – különös tekintettel a magánélethez és a bizalmas adatkezeléshez való jogra –, valamint biztosítsák az ilyen adatoknak, az elektronikus hírközlő berendezéseknek és az elektronikus hírközlési szolgáltatásoknak a Közösségen belüli szabad mozgását.

(2)      Ennek az irányelvnek a rendelkezései az (1) bekezdésben említett célok érdekében pontosítják és kiegészítik a [95/46] irányelvet. Rendelkeznek továbbá a jogi személyiséggel rendelkező előfizetők jogos érdekeinek védelméről.

(3)      Ez az irányelv nem alkalmazható azokra a tevékenységekre, amelyek nem tartoznak az Európai Közösséget létrehozó szerződés hatálya alá – így az Európai Unióról szóló szerződés V. és VI. címe alá tartozó tevékenységekre –, valamint nem alkalmazható a közbiztonsággal, a nemzetvédelemmel, a nemzetbiztonsággal (beleértve a nemzetbiztonsági ügyekkel kapcsolatos tevékenységek tekintetében az állam gazdasági prosperitását) összefüggő tevékenységekre, valamint a büntetőjogi szankciók végrehajtása terén kifejtett állami tevékenységekre.”

5        A 2002/58 irányelvnek a „Fogalommeghatározások” című 2. cikke a következőképpen rendelkezik:

„Eltérő rendelkezés hiányában, a [95/46] irányelvben, valamint az elektronikus hírközlő hálózatok és elektronikus hírközlési szolgáltatások közös keretszabályozásáról szóló, 2002. március 7‑i 2002/21/EK európai parlamenti és tanácsi irányelvben (»keretirányelv«) [HL 2002. L 108., 33. o.; magyar nyelvű különkiadás: 13. fejezet, 29. kötet, 349. o.] szereplő fogalommeghatározásokat kell alkalmazni.

Szintén alkalmazni kell a következő fogalommeghatározásokat:

[…]

b)      »forgalmi adat«: egy közlésnek az elektronikus hírközlő hálózaton keresztül történő továbbítása vagy erre vonatkozó számlázás céljából kezelt minden adat;

c)      »helymeghatározó adat«: egy nyilvánosan elérhető elektronikus hírközlési szolgáltatás felhasználója végberendezésének földrajzi helyzetét jelző, az elektronikus hírközlő hálózatban vagy elektronikus hírközlési szolgáltatás keretében kezelt minden adat;

d)      »közlés«: valamely nyilvánosan elérhető elektronikus hírközlési szolgáltatás révén megvalósított adatcsere vagy ‑továbbítás véges számú felek között. Ez nem foglalja magában az elektronikus hírközlő hálózaton keresztül műsorterjesztési szolgáltatás részeként a nyilvánosságnak továbbított adatokat, kivéve ha az adat az azt átvevő, azonosítható előfizetőhöz vagy felhasználóhoz kapcsolható.

[…]”

6        A 2002/58 irányelvnek „Az érintett szolgáltatások” című 3. cikke előírja:

„Ezt az irányelvet a Közösségben a nyilvánosan elérhető hírközlési szolgáltatások nyilvános hírközlő hálózaton – az adatgyűjtést és az azonosító eszközöket támogató nyilvános hírközlő hálózatokat is beleértve – történő nyújtásával összefüggő személyes adatok kezelésére kell alkalmazni.”

7        Ezen irányelvnek „Az adatfeldolgozás [helyesen: adatkezelés] biztonsága” című 4. cikke a következőképpen szól:

„(1)      Egy nyilvánosan elérhető elektronikus hírközlési szolgáltatás szolgáltatójának megfelelő műszaki és szervezeti intézkedéseket kell tennie szolgáltatásai biztonságának biztosítása érdekében, a hálózati biztonság tekintetében szükség szerint a nyilvános hírközlő hálózat szolgáltatójával együttműködésben. Tekintettel a legfejlettebb műszaki lehetőségekre és azok igénybevételének költségére, ezeknek az intézkedéseknek a felmerülő kockázatokhoz igazodó biztonsági szintet kell biztosítaniuk.

(1a)      A [95/46] irányelv sérelme nélkül, az (1) bekezdésben említett intézkedések legalább a következőket foglalják magukban:

–        annak biztosítása, hogy a személyes adatokhoz engedélyezett jogi célból csak az arra jogosult személyek férjenek hozzá,

–        a tárolt vagy továbbított személyes adatok védelme a véletlen vagy jogellenes megsemmisítés, véletlen elvesztés vagy módosítás, jogosulatlan vagy jogellenes tárolás, feldolgozás [helyesen: kezelés], hozzáférés vagy nyilvánosságra hozatal ellen, valamint

–        a személyes adatok feldolgozásának [helyesen: kezelésének] biztonságára vonatkozó politika biztosítása.

[…]”

8        A 2002/58 irányelvnek „A közlések titkossága” című 5. cikke értelmében:

„(1)      A tagállamok nemzeti jogszabályok révén biztosítják a nyilvános hírközlő hálózatok és a nyilvánosan elérhető elektronikus hírközlési szolgáltatások segítségével történő közlések és az azokra vonatkozó forgalmi adatok titkosságát. Különösen megtiltják a közlések és az azokra vonatkozó forgalmi adatok felhasználókon kívüli személyek által történő, az érintett felhasználó hozzájárulása nélküli meghallgatását, lehallgatását, tárolását vagy más módon történő elfogását vagy megfigyelését, kivéve ha az ilyen személy a 15. cikk (1) bekezdésével összhangban jogszerűen jár el. Ez a bekezdés nem akadályozza a közlés továbbításához szükséges műszaki tárolást, a bizalmas adatkezelés elvének sérelme nélkül.

[…]

(3)      A tagállamok gondoskodnak arról, hogy egy előfizető vagy felhasználó végberendezésében történő adattárolás, illetve az ott tárolt adatokhoz való hozzáférés csak azzal a feltétellel legyen megengedett, ha az érintett előfizető vagy felhasználó a [95/46] irányelvvel összhangban történő – többek között az adatkezelés céljairól szóló – egyértelmű és teljes körű tájékoztatás alapján ehhez előzetes hozzájárulását adta. Ez a rendelkezés nem akadályozza az olyan műszaki tárolást, illetve műszaki hozzáférést, amelynek kizárólagos célja az elektronikus hírközlő hálózaton keresztül történő közléstovábbítás, vagy amelyre az előfizető vagy felhasználó által kifejezetten kért, az információs társadalommal összefüggő szolgáltatás nyújtásához a szolgáltatónak feltétlenül szüksége van.”

9        A 2002/58 irányelvnek a „Forgalmi adatok” című 6. cikke így rendelkezik:

„(1)      E cikk (2), (3) és (5) bekezdésének, valamint a 15. cikk (1) bekezdésének sérelme nélkül, az előfizetőkre és felhasználókra vonatkozó, a nyilvános hírközlő hálózat vagy nyilvánosan elérhető elektronikus hírközlési szolgáltatás nyújtója által feldolgozott [helyesen: kezelt] és tárolt forgalmi adatokat törölni kell, vagy anonimmé kell tenni, ha a közlés továbbításához ezek már nem szükségesek.

(2)      Az előfizetői számlázás és az összekapcsolási díjak megállapítása céljából szükséges forgalmi adatok kezelhetők. Az ilyen adatkezelés kizárólag annak az időszaknak a végéig megengedett, ameddig a számla jogszerűen megtámadható, illetve a kifizetés követelhető.

(3)      Az elektronikus hírközlési szolgáltatások értékesítése vagy értéknövelt szolgáltatások nyújtása céljából, a nyilvánosan elérhető elektronikus hírközlési szolgáltatás nyújtója az ilyen szolgáltatásokhoz, illetve értékesítéshez szükséges mértékig és ideig feldolgozhatja [helyesen: kezelheti] az (1) bekezdésben említett adatokat, amennyiben az az előfizető vagy felhasználó, akire az adat vonatkozik, az adatfeldolgozáshoz [helyesen: adatkezeléshez] előzetesen hozzájárult. A felhasználó és az előfizető a forgalmi adatok kezelésére vonatkozó hozzájárulását bármikor visszavonhatja.

[…]

(5)      A forgalmi adatoknak az (1), (2), (3), és (4) bekezdéssel összhangban történő feldolgozását [helyesen: kezelését] csak olyan személy végezheti, aki a nyilvános hírközlő hálózatokat és nyilvánosan elérhető elektronikus hírközlési szolgáltatásokat nyújtó szolgáltató irányítása alatt számlakezeléssel vagy forgalomirányítással foglalkozik, vagy ügyfélszolgálatot lát el, vagy csalások felderítésével, az elektronikus hírközlési szolgáltatások értékesítésével vagy értéknövelt szolgáltatások nyújtásával foglalkozik; ezt az adatfeldolgozást [helyesen: adatkezelést] az említett tevékenységek céljának megfelelő mértékre kell korlátozni.”

10      Ezen irányelvnek „A forgalmi adatokon kívüli helymeghatározó adatok” című 9. cikke (1) bekezdésében előírja:

„Amennyiben nyilvános hírközlő hálózatok vagy nyilvánosan elérhető elektronikus hírközlési szolgáltatások felhasználóival vagy előfizetőivel kapcsolatos, forgalmi adatokon kívüli helymeghatározó adatok kezelésére kerülhet sor, az ilyen adatok kizárólag akkor kezelhetők, ha anonimmé tették azokat, vagy a felhasználók, illetve előfizetők ehhez hozzájárultak, és csak olyan mértékben és időtartamig, amely az értéknövelt szolgáltatás nyújtásához szükséges. A szolgáltatónak a felhasználókat, illetve az előfizetőket a hozzájárulásuk megszerzése előtt tájékoztatnia kell a kezelni kívánt, forgalmi adatokon kívüli helymeghatározó adatok típusáról, az adatkezelés céljairól és időtartamáról, valamint arról, hogy az értéknövelt szolgáltatás nyújtása céljából az adatokat továbbítják‑e harmadik személynek. […]”

11      Az említett irányelvnek „A [95/46] irányelv egyes rendelkezéseinek alkalmazása” című 15. cikke a következőképpen szól:

„(1)      A tagállamok jogszabályi intézkedéseket fogadhatnak el az ezen irányelv 5. és 6. cikkében, 8. cikkének (1), (2), (3) és (4) bekezdésében, valamint 9. cikkében előírt jogok és kötelezettségek hatályának korlátozására vonatkozóan, ha az ilyen jellegű korlátozás – a [95/46] irányelv 13. cikkének (1) bekezdésében említettek szerint – egy demokratikus társadalomban szükséges, megfelelő és arányos intézkedésnek minősül a nemzetbiztonság (vagyis az állam biztonsága), a nemzetvédelem és a közbiztonság védelme érdekében, valamint a bűncselekmények, illetve az elektronikus hírközlési rendszer jogosulatlan használata megelőzésének, kivizsgálásának, felderítésének és üldözésének a biztosítása érdekében. E célból a tagállamok többek között jogszabályi intézkedéseket fogadhatnak el az adatoknak az e bekezdésben megállapított indokok alapján korlátozott ideig történő visszatartására [helyesen: megőrzésére] vonatkozóan. Az e bekezdésben említett valamennyi intézkedésnek összhangban kell lennie a közösségi jog általános elveivel, beleértve az Európai Unióról szóló szerződés 6. cikkének (1) és (2) bekezdésében említetteket.

[…]

(1b)      A szolgáltatók az (1) bekezdéssel összhangban elfogadott nemzeti rendelkezéseken alapuló belső eljárásokat dolgoznak ki a felhasználók személyes adataihoz való hozzáférés iránti kérelmek megválaszolására. A szolgáltatók az illetékes nemzeti hatóságokat kérésükre tájékoztatják ezekről az eljárásokról, a beérkezett kérelmek számáról, az említett jogi indokolásról és a szolgáltató válaszáról.

(2)      A [95/46] irányelv bírósági jogorvoslatról, felelősségről és szankciókról szóló III. fejezetének rendelkezéseit kell alkalmazni az ezen irányelv szerint elfogadott nemzeti rendelkezésekre és az ezen irányelvből eredő egyedi jogokra.

[…]”

 A 95/46 irányelv

12      A 95/46 irányelvnek a III. fejezetében szereplő 22. cikke a következőképpen szól:

„A jogszabályban esetlegesen előírt közigazgatási jogorvoslat sérelme nélkül, amelynek keretében többek között a 28. cikkben meghatározott felügyelő hatósághoz lehet fordulni, a bíróság elé utalást megelőzően, a tagállamoknak biztosítaniuk kell mindenki számára a jogorvoslathoz való jogot bármely olyan jogának megsértése esetén, amelyet a szóban forgó adatfeldolgozásra [helyesen: adatkezelésre] alkalmazandó nemzeti jog biztosít számára.”

 A 2006/24/EK irányelv

13      A nyilvánosan elérhető elektronikus hírközlési szolgáltatások nyújtása, illetve a nyilvános hírközlő hálózatok szolgáltatása keretében előállított vagy feldolgozott [helyesen: kezelt] adatok megőrzéséről és a 2002/58/EK irányelv módosításáról szóló, 2006. március 15‑i 2006/24/EK európai parlamenti és tanácsi irányelvnek (HL 2006. L 105., 54. o.; helyesbítés: HL 2009. L 50., 52. o.) a „Tárgy és hatály” című 1. cikke (2) bekezdésében előírja:

„Ezen irányelvet kell alkalmazni a mind a jogi, mind a természetes személyek forgalmi és helymeghatározó adataira, valamint az előfizető vagy nyilvántartott felhasználó azonosításához szükséges kapcsolódó adatokra. Ez az irányelv nem alkalmazandó az elektronikus közlések tartalmára, ideértve a valamely elektronikus hírközlő hálózat használata során lehívott információkat is.”

14      Ezen irányelvnek az „Adatmegőrzési kötelezettség” című 3. cikke értelmében:

„(1)      A [2002/58] irányelv 5., 6. és 9. cikkétől eltérve a tagállamok intézkedéseket fogadnak el annak biztosítása érdekében, hogy a joghatóságukon belül található nyilvánosan elérhető elektronikus hírközlési szolgáltatások nyújtói vagy nyilvános hírközlő hálózatok szolgáltatói által az érintett hírközlési szolgáltatások nyújtása során előállított vagy feldolgozott [helyesen: kezelt], és az ezen irányelv 5. cikkében felsorolt adatokat annak rendelkezéseivel összhangban megőrizzék.

(2)      Az (1) bekezdésben előírt adatmegőrzési kötelezettség magában foglalja a sikertelen hívási kísérletek során keletkező, az 5. cikkben felsorolt adatok megőrzését, amikor a tagállam joghatóságán belül található, nyilvánosan elérhető elektronikus hírközlési szolgáltatások nyújtói vagy nyilvános hírközlő hálózatok szolgáltatói az adatokat az érintett hírközlési szolgáltatások nyújtása során állítják elő vagy dolgozzák fel [helyesen: kezelik], illetve (telefonos adat vonatkozásában) tárolják azokat, vagy (internetes adat vonatkozásában) nyilvántartásba veszik. Ezen irányelv nem ír elő adatmegőrzési kötelezettséget a nem kapcsolt hívások esetén.”

 A svéd jog

15      A C‑203/15. sz. ügyben az előzetes döntéshozatalra utaló határozatból következik, hogy a svéd jogalkotó a 2006/24 irányelvnek a nemzeti jogba történő átültetése érdekében módosította a lagen (2003:389) om elektronisk kommunikationt (az elektronikus hírközlésről szóló [2003:389] törvény, a továbbiakban: LEK) és a förordningent (2003:396) om elektronisk kommunikationt (az elektronikus hírközlésről szóló [2003:396] rendelet). Mindkét jogszabály alapjogvitára alkalmazandó változata tartalmaz az elektronikus hírközlési adatok megőrzésére, valamint a nemzeti hatóságok ezen adatokhoz való hozzáférésére vonatkozó szabályokat.

16      Az említett adatokhoz való hozzáférést továbbá a lagen (2012:278) om inhämtning av uppgifter om elektronisk kommunikation i de brottsbekämpande myndigheternas underrättelseverksamhet (az elektronikus hírközlésre vonatkozó adatoknak a bűnüldöző szervek hírszerző tevékenysége keretében történő közléséről szóló [2012:278] törvény, a továbbiakban: 2012:278 törvény), valamint a rättegångsbalken (a bírósági eljárásról szóló törvény, a továbbiakban: RB) szabályozza.

 Az elektronikus hírközlési adatok megőrzésére vonatkozó kötelezettségről

17      A C‑203/15. sz. ügyben a kérdést előterjesztő bíróság által adott tájékoztatás szerint a LEK 6. fejezete 16. §‑ának rendelkezései – e törvény 2. fejezetének 1. §‑ával összefüggésben értelmezve – azon adatok megőrzésére kötelezik az elektronikus hírközlési szolgáltatókat, amelyek megőrzését a 2006/24 irányelv írta elő. Az előfizetésekre és minden elektronikus közlésre vonatkozó, ahhoz szükségesek adatokról van szó, hogy a közlés forrása és címzettje megtalálható és azonosítható, a közlés napja, órája, időtartama és típusa meghatározható, a közléshez használt eszköz azonosítható, valamint a mobil közléshez használt eszköznek a közlés kezdetekori és befejezésekori helye meghatározható legyen. Az adatmegőrzési kötelezettség kiterjed a telefonszolgáltatás, a mobil csatlakozású telefonszolgáltatás, az elektronikus levelezési rendszer, az internet‑hozzáférési szolgáltatás és az internet‑hozzáférési kapacitás biztosítására irányuló szolgáltatás (csatlakozási mód) keretében előállított vagy kezelt adatokra. E kötelezettség magában foglalja a sikertelen kommunikációkra vonatkozó adatokat is. A közlések tartalmára ugyanakkor nem terjed ki.

18      Az elektronikus hírközlésről szóló [2003:396] rendelet 38–43. §‑a meghatározza a megőrzendő adatkategóriákat. A telefonszolgáltatások esetében többek között meg kell őrizni a hívásokra és a hívott számokra vonatkozó adatokat, valamint a kommunikáció kezdetének és befejezésének követhető időpontját és idejét. A mobil csatlakozású telefonos szolgáltatásokra olyan további kötelezettségek vonatkoznak, mint például a kommunikáció kezdete és befejezése helymeghatározó adatainak megőrzése. Az IP‑csomagokból álló telefonos szolgáltatások esetében a fent említett adatokon kívül többek között meg kell őrizni a hívó és a hívott fél IP‑címeire vonatkozó adatokat. Az elektronikus levelezési rendszerek esetében többek között meg kell őrizni a küldők és a címzettek számaira vonatkozó adatokat, az IP‑címeket, illetve a levelezési rendszer minden egyéb címét. Az internethozzáférési‑szolgáltatások esetében például meg kell őrizni a felhasználók IP‑címeire vonatkozó adatokat, valamint az internethozzáférési‑szolgáltatáshoz való csatlakozás és annak bontása követhető napját és óráját.

 Az adatmegőrzés időtartamáról

19      A LEK 6. fejezetének 16d. §‑ában szereplő rendelkezések alapján az elektronikus hírközlési szolgáltatók az e fejezet 16a. §‑ában hivatkozott adatokat a közlés befejezésének napjától számított hat hónapig kötelesek megőrizni. Ezt követően kötelesek haladéktalanul megsemmisíteni az adatokat, kivéve ha az említett fejezet 16d. §‑ának második bekezdése eltérően rendelkezik.

 A megőrzött adatokhoz való hozzáférésről

20      A nemzeti hatóságoknak a megőrzött adatokhoz való hozzáférését a 2012:278 törvény, a LEK és az RB rendelkezései szabályozzák.

–       A 2012:278 törvény

21      Hírszerzési tevékenységei keretében a nemzeti rendőrség, a Säkerhetspolisen (nemzetbiztonsági szolgálat, Svédország) és a Tullverket (vámhatóság, Svédország) a 2012:278 törvény 1. §‑a alapján – az e törvényben előírt feltételek mellett és a LEK értelmében engedéllyel rendelkező elektronikus hírközlő hálózat üzemeltetőjének vagy elektronikus hírközlési szolgáltatónak a tudta nélkül – jogosult az elektronikus hírközlő hálózaton továbbított üzenetekre, meghatározott földrajzi területen található hírközlési berendezésekre, valamint azon földrajzi területre, illetve területekre vonatkozó adatokat gyűjteni, ahol a hírközlési berendezés jelen van vagy jelen volt.

22      A 2012:278 törvény 2. és 3. §‑a értelmében főszabály szerint akkor kerülhet sor az adatgyűjtésre, ha a körülmények alapján az intézkedés különös jelentőséggel bír olyan bűncselekmény vagy bűncselekmények elkövetésére irányuló bűnözői tevékenység megelőzésében, megakadályozásában vagy felderítésében, amelynél a büntetés mértéke legalább két év szabadságvesztés büntetés, vagy az szerepel e törvénynek a legfeljebb két év szabadságvesztés büntetéssel fenyegetett bűncselekményeket felsoroló 3. §‑ában. Ezen intézkedés alkalmazásának indoka súlyosabbnak kell lennie, mint az a beavatkozás vagy más sérelem, amelyet ezen intézkedés jelent az azzal célzott személyek vagy bármely más ellentétes érdek számára. Az említett törvény 5. §‑a értelmében az intézkedés időtartama nem haladhatja meg az egy hónapot.

23      Az ilyen intézkedés elrendeléséről szóló határozatot az illetékes hatóság vezetője vagy az erre felhatalmazott személy hozza meg. A határozat meghozatala nincs bíróság vagy független közigazgatási szerv előzetes felülvizsgálatához kötve.

24      A 2012:278 törvény 6. §‑a alapján a Säkerhets och integritetsskyddsnämndent (biztonsági és személyiségvédelmi bizottság, Svédország) tájékoztatni kell minden adatgyűjtést engedélyező határozatról. A lagen (2007:980) om tillsyn över viss brottsbekämpande verksamhet (az egyes bűnüldöző tevékenységek felülvizsgálatáról szóló [2007:980] törvény) 1. §‑a alapján e hatóság felügyeletet gyakorol a törvénynek a bűnüldöző szervek általi alkalmazása felett.

–       A LEK

25      A LEK 6. fejezete 22. §‑a első bekezdésének 2. pontja szerint minden elektronikus hírközlési szolgáltató köteles átadni az előfizetői adatokat az ügyészség, a rendőrség, a nemzetbiztonsági szolgálat vagy bármely más, bűnüldözési feladatot ellátó hatóság kérésére, amennyiben ezen adatok valamely vélelmezett bűncselekménnyel állnak kapcsolatban. A C‑203/15. sz. ügyben a kérdést előterjesztő bíróság által adott tájékoztatás szerint nem szükséges az, hogy súlyos bűncselekményről legyen szó.

–       Az RB

26      Az RB szabályozza a megőrzött adatoknak a nemzeti hatóságokkal az előzetes nyomozás során való közlését. Az RB 27. fejezetének 19. §‑a értelmében „az elektronikus kommunikáció [harmadik személy tudta nélküli] megfigyelése” főszabály szerint többek között a legalább hat hónap szabadságvesztés büntetéssel büntetendő bűncselekményekkel kapcsolatos előzetes nyomozás keretében engedélyezett. Az RB 27. fejezetének 19. §‑a értelmében „az elektronikus kommunikáció megfigyelése” az elektronikus hírközlő hálózaton továbbított üzenetekre, meghatározott földrajzi területen jelen lévő vagy jelen volt hírközlési berendezésekre, valamint azon földrajzi területre, illetve területekre vonatkozó adatok harmadik személy tudta nélküli gyűjtését jelenti, ahol a hírközlési berendezés jelen van vagy volt.

27      A C‑203/15. sz. ügyben a kérdést előterjesztő bíróság által adott tájékoztatás szerint az üzenet tartalmára vonatkozó információk nem gyűjthetők az RB 27. fejezetének 19. §‑a alapján. Az elektronikus kommunikáció megfigyelésének elrendelésére az RB 27. fejezetének 20. §‑a értelmében főszabály szerint csak akkor van lehetőség, ha fennáll az alapos gyanú, hogy valaki bűncselekményt követett el, és ha az intézkedés a vizsgálat szempontjából kiemelt jelentőséggel bír, a vizsgálatnak továbbá legalább két év szabadságvesztés büntetéssel büntetendő bűncselekményre, vagy ilyen bűncselekmény elkövetésének kísérletére, előkészületére vagy bűnszövetkezetben való elkövetésére kell irányulnia. Az RB 27. fejezetének 21. §‑a alapján az ügyésznek – a sürgősség esetét kivéve – az elektronikus kommunikáció megfigyelése előtt kérnie kell az illetékes bíróság engedélyét.

 A megőrzött adatok biztonságáról és védelméről

28      A LEK 6. fejezetének 3a. §‑ában szereplő rendelkezések alapján az elektronikus hírközlési szolgáltatóknak megfelelő műszaki és szervezeti intézkedéseket kell tenniük az általuk végzett kezelés során a megőrzött adatok biztonságának biztosítása érdekében. A C‑203/15. sz. ügyben a kérdést előterjesztő bíróság által adott tájékoztatás szerint a svéd jog azonban nem tartalmaz az adatmegőrzés helyére vonatkozó rendelkezéseket.

 Az Egyesült Királyság joga

 A DRIPA

29      A DRIPA‑nak „A releváns hírközlési adatok bizonyos biztosítékok mellett történő megőrzésének joga” című 1. cikke a következőképpen rendelkezik:

„(1)      A [belügyminiszter] utasításával (a továbbiakban: megőrzési utasítás) kötelezheti a nyilvános hírközlési szolgáltatót a releváns hírközlési adatok megőrzésére, amennyiben úgy véli, hogy az erre való kötelezés szükséges és arányos a Regulation of Investigatory Powers Act 2000 [a nyomozati jogkörök szabályozásáról szóló 2000. évi törvény] 22. cikke (2) bekezdésének (a)–(h) pontjában foglalt cél vagy célok eléréséhez (azon célok, amelyekhez a hírközlési adatok beszerezhetők).

(2)      A megőrzési utasítás:

(a)      vonatkozhat egy meghatározott szolgáltatóra vagy szolgáltatók bármely körére;

(b)      valamennyi adatnak, vagy az adatok bármely körének megőrzésére kötelezhet;

(c)      meghatározhatja azt az időszakot vagy időszakokat, ameddig az adatokat meg kell őrizni;

(d)      egyéb követelményeket vagy korlátozásokat tartalmazhat az adatok megőrzésével kapcsolatban;

(e)      a különböző célok esetén különböző rendelkezéseket írhat elő;

(f)      az utasítás kiadásának vagy hatálybalépésének időpontjában létező vagy nem létező adatokra vonatkozhat.

(3)      A [belügyminiszter] rendeletek útján további rendelkezéseket állapíthat meg a releváns hírközlési adatok megőrzésével kapcsolatban.

(4)      E rendelkezések egyebek mellett a következőkről rendelkezhetnek:

(a)      a megőrzési utasítás kiadásához szükséges előzetes követelmények;

(b)      azon maximális időtartam, ameddig a megőrzési utasítás alapján az adatokat meg kell őrizni;

(c)      az utasítás tartalma, kiadása, hatálybalépése, felülvizsgálata, módosítása vagy visszavonása;

(d)      a jelen cikk alapján megőrzött adatok integritása, biztonsága vagy védelme, az azokhoz való hozzáférés, valamint azok megosztása vagy megsemmisítése;

(e)      a releváns követelmények vagy korlátozások végrehajtása, valamint e követelményeknek vagy korlátozásoknak való megfelelőségük igazolása;

(f)      magatartási szabályzat a releváns követelmények, korlátozások vagy jogkörök vonatkozásában;

(g)      a nyilvános hírközlési szolgáltatóknak a releváns követelmények vagy korlátozások betartása során felmerült költségeinek a [belügyminiszter] általi (feltételhez kötött vagy feltétel nélküli) megtérítése;

(h)      a [Data Retention (EC Directive) Regulations 2009 (az EK irányelv szerinti adatmegőrzésről szóló 2009. évi rendelet)] hatályának megszűnése és a jelen cikk szerinti adatmegőrzésre való áttérés.

(5)      A (4) bekezdés (b) pontja alapján meghatározható időszak maximális időtartama nem haladhatja meg a 12 hónapot, amely azon a napon kezdődik, amelyet a (3) bekezdés alapján a rendelettel érintett adatok vonatkozásában meghatároztak.

[…]”

30      A DRIPA 2. cikke úgy határozza meg a „releváns hírközlési adat” fogalmát, mint „valamely, az EK irányelv szerinti adatmegőrzésről szóló 2009. évi rendelet mellékletében felsorolt kommunikációra vonatkozó releváns adat, amennyiben ezen adatot valamely nyilvános hírközlési szolgáltató az érintett hírközlési szolgáltatás nyújtása során az Egyesült Királyságban hozza létre vagy kezeli”.

 A RIPA

31      A nyomozati jogkörök szabályozásáról szóló 2000. évi törvény (a továbbiakban: RIPA) II. fejezetében szereplő, „A hírközlési adatok megszerzése és közlése” című 21. cikk (4) bekezdésében kimondja:

„Jelen fejezetben a »hírközlési adat« az alábbiak valamelyikét jelenti:

(a)      bármely forgalmi adat, amelyet valamely közlés tartalmaz vagy ahhoz kapcsolódik (függetlenül attól, hogy az a feladótól vagy mástól származik‑e), bármely postai vagy hírközlési szolgáltatás keretében, olyan módon, ahogyan az továbbításra került vagy kerülhet;

(b)      bármely információ, amely nem tartalmazza a közlés tartalmát (kivéve az (a) pontban említett információkat) és amely valamely személy részéről

i.      postai vagy hírközlési szolgáltatás igénybevételéről szól; vagy

ii.      a hírközlési szolgáltatás vagy hírközlési rendszer valamely részének igénybevételével kapcsolatos;

(c)      minden, az (a) és a (b) pont alá nem tartozó információ igénybevételéről szól, amely olyan személyekre vonatkozik, amelyeknek a szolgáltatást a postai szolgáltatás vagy hírközlési szolgáltatás nyújtója nyújtja.”

32      A C‑698/15. sz. ügyben előterjesztett előzetes döntéshozatalra utaló határozat értelmében ezen adatok magukban foglalják „a felhasználó helyét meghatározó adatokat”, azonban nem terjednek ki a közlés tartalmára.

33      A megőrzött adatokhoz való hozzáférést illetően a RIPA 22. cikke a következőképpen rendelkezik:

„(1)      E cikk alkalmazandó, amennyiben az e fejezet alkalmazásában felelős személy megítélése szerint a jelen cikk (2) bekezdése alá tartozó indokok miatt valamely hírközlési adat beszerzése szükséges.

(2)      A jelen bekezdés alá tartozó indokokból akkor szükséges a hírközlési adatok beszerzése, ha ezen adatok szükségesek:

(a)      nemzetbiztonsági érdekekből;

b)      bűnmegelőzési vagy ‑felderítési célból, illetve a közrend megzavarásának megelőzése céljából;

(c)      az Egyesült Királyság gazdasági jólétéhez fűződő érdekekből;

(d)      közbiztonsági érdekből;

(e)      a közegészség védelmére irányuló célból;

(f)      bármely adó, illeték, vám, vagy egyéb, valamely hatóság számára fizetendő díj, hozzájárulás vagy teher megállapítására vagy beszedésére irányuló célból;

(g)      vészhelyzetben valamely személy halálának, fizikai vagy lelki sérülésének vagy károsodásának megakadályozására, vagy a személy fizikai vagy lelki sérülésének vagy károsodásának csökkentésére irányuló célból;

(h)      bármely más, (az (a)–(g) pont alá nem tartozó) a [belügyminiszter] által kiadott végzésben megállapított célból.

(4)      Az (5) bekezdésre is figyelemmel, amennyiben a felelős személy úgy ítéli meg, hogy valamely távközlési vagy postai szolgáltató adatok birtokában van, lehet vagy lehetne, a távközlési vagy postai szolgáltatóhoz intézett utasítással kötelezheti arra, hogy:

(a)      gyűjtse be az adatokat, ha azok már nincsenek a birtokában, és

(b)      mindenesetre közölje mindazokat az adatokat, amelyek a rendelkezésére állnak vagy fognak állni.

(5)      A felelős személy nem adhat a (3) bekezdésnek megfelelő engedélyt, illetve nem intézhet utasítást a (4) bekezdés alapján, kivéve ha úgy ítéli meg, hogy a kérdéses adatoknak az engedéllyel vagy az utasítással engedélyezett vagy megkövetelt magatartás révén történő beszerzése arányos az adatgyűjtéssel elérni kívánt céllal.”

34      A RIPA 65. cikke értelmében panasszal az Investigatory Powers Tribunalhoz (nyomozati hatásköröket vizsgáló bíróság, Egyesült Királyság) lehet fordulni, ha felmerül a gyanú, hogy az adatot nem megfelelően szerezték be.

 A Data Retention Regulations 2014

35      A DRIPA alapján elfogadott Data Retention Regulations 2014 (2014. évi adatmegőrzési rendelet) három részből áll, amelyek közül a második tartalmazza e rendelet 2–14. cikkét. A „Megőrzési utasítás” című 4. cikk a következőképpen rendelkezik:

„(1)      A megőrzési utasításnak tartalmaznia kell:

(a)      azon nyilvános távközlési szolgáltatót (vagy azon szolgáltatók leírását), amelyhez vagy amelyekhez az utasítást intézik;

(b)      a megőrzendő releváns hírközlési adatokat;

(c)      azon időszakot vagy időszakokat, ameddig az adatokat meg kell őrizni,

(d)      az adatmegőrzéssel kapcsolatos minden egyéb követelményt vagy korlátozást.

(2)      A megőrzési utasítás az adatok legfeljebb 12 hónap időtartamú megőrzését írhatja elő:

(a)      a forgalmi adatok vagy a szolgáltatás használatára vonatkozó adatok esetében a szóban forgó közlés napjától kezdve;

(b)      az előfizetőkre vonatkozó adatok esetében azon időponttól kezdve, amikor az érintett személy a szóban forgó távközlési szolgáltatást megszünteti, vagy (ha ez előbb következik be) adatmódosításra kerül sor.

[…]”

36      E rendeletnek az „Adatok integritása és biztonsága” című 7. cikke szerint:

„(1)      Az a nyilvános távközlési szolgáltató, amely a [DRIPA] 1. cikke alapján adatokat tárol, köteles:

(a)      biztosítani, hogy az adatok ugyanolyan integritással, valamint legalább olyan biztonsági és védelmi szinttel rendelkezzenek, mint annak a rendszernek az adatai, ahonnan azok származnak;

(b)      megfelelő műszaki és szervezeti intézkedésekkel biztosítani, hogy kizárólag a külön felhatalmazással rendelkező személyek férhessenek hozzá az adatokhoz;

(c)      megfelelő műszaki és szervezeti intézkedésekkel védelmet biztosítani a jogellenes megsemmisítés, a véletlen elvesztés vagy károsodása, jogosulatlan vagy jogellenes megőrzés, kezelés, hozzáférés vagy nyilvánosságra hozatal ellen.

(2)      Az a nyilvános távközlési szolgáltató, amely a [DRIPA] 1. cikke alapján hírközlési adatokat tárol, köteles megsemmisíteni az adatokat, amennyiben az adatok megőrzése e cikk alapján már nem megengedett és a törvény másképpen nem engedi az adatmegőrzést.

(3)      A (2) bekezdésben szereplő, az adatok megsemmisítésére vonatkozó követelmény az adatok olyan módon való törlésére vonatkozó követelményt jelenti, hogy az azokhoz való hozzáférés lehetetlenné váljon.

(4)      Elegendő, ha a szolgáltató intézkedik arról, hogy az adatok törlésére a szolgáltató gyakorlati lehetőségei szerint havi vagy ennél rövidebb időközönként kerüljön sor.”

37      Az említett rendeletnek „A megőrzött adatok nyilvánosságra hozatala” című 8. cikke a következőképpen rendelkezik:

„(1)      A nyilvános távközlési szolgáltató megfelelő (műszaki és szervezeti intézkedéseket magukban foglaló), a [DRIPA] 1. cikke alapján megőrzött hírközlési adatokhoz való hozzáférést meghatározó biztonsági rendszereket vezet be a [DRIPA] 1. cikke (6) bekezdése a) pontjának hatálya alá nem tartozó nyilvánosságra hozatal megelőzése céljából.

(2)      Az a nyilvános távközlési szolgáltató, amely a [DRIPA] 1. cikke alapján hírközlési adatokat őriz, köteles olyan módon megőrizni az adatokat, hogy az utasításra válaszul indokolatlan késedelem nélkül átadhassa azokat.”

38      Ugyanezen rendeletnek „Az információügyi biztos által végzett ellenőrzés” című 9. cikke előírja:

„Az információügyi biztos ellenőrzi az e részben foglalt követelmények és korlátozások tiszteletben tartását a [DRIPA] 1. cikke alapján megőrzött adatok integritásával, biztonságával és megsemmisítésével kapcsolatban.”

 A magatartási szabályzat

39      Az Acquisition and Disclosure of Communications Data Code of Practice (a hírközlési adatok begyűjtéséről és nyilvánosságra hozataláról szóló magatartási szabályzat, a továbbiakban: magatartási szabályzat) 2.5–2.9. és 2.36–2.45. pontja iránymutatásokat tartalmaz a hírközlési adatok begyűjtésének szükségességére és arányosságára vonatkozóan. A C‑698/15. sz. ügyben a kérdést előterjesztő bíróság által adott magyarázat szerint a szabályzat 3.72–3.77. pontjának megfelelően különös figyelmet kell fordítani a szükségességre és az arányosságra, amennyiben a kért hírközlési adatok olyan szakma képviselőjére vonatkoznak, amely szakmai vagy másfajta titok hatálya alá tartozó információkkal bír.

40      Az említett szabályzat 3.78–3.84. pontja értelmében bírósági végzés szükséges az újságírói források azonosítsa céljából benyújtott, hírközlési adatokra vonatkozó kérelem különleges esetében. Ugyanezen szabályzat 3.85–3.87. pontja szerint bírósági jóváhagyás szükséges a helyi hatóságok által benyújtott hozzáférés iránti kérelem esetén. Ugyanakkor nincs szükség bíróság vagy független hatóság engedélyére a jogi szakmai titoktartás hatálya alá tartozó, illetve orvosokkal, parlamenti képviselőkkel vagy egyházi személyekkel kapcsolatos hírközlési adatokhoz való hozzáférés esetében.

41      A magatartási szabályzat 7.1. pontja előírja, hogy a RIPA alapján begyűjtött vagy megszerzett hírközlési adatokat, azok minden másolatát, kivonatát és összefoglalóját biztonságosan kell kezelni és tárolni. A Data Protection Actben (adatvédelmi törvény) szereplő követelményeket továbbá tiszteletben kell tartani.

42      A magatartási szabályzat 7.18. pontjának megfelelően amennyiben az Egyesült Királyság valamely hatósága esetlegesen hírközlési adatokat szándékozik külföldi hatóságok számára hozzáférhetővé tenni, különösen meg kell vizsgálnia, hogy ezen adatok megfelelő védelemben részesülnek‑e majd. E szabályzat 7.22. pontjából mindazonáltal következik, hogy az adatok harmadik országokba való továbbítására sor kerülhet, ha e továbbítás nyomós közérdekkel összefüggő indokok miatt szükséges, még akkor is, ha a harmadik ország nem biztosít azonos szintű védelmet. A kérdést előterjesztő bíróság által a C‑698/15. sz. ügyben adott tájékoztatás szerint a belügyminiszter nemzetbiztonsági igazolást állíthat ki, amellyel bizonyos adatokat kivon a jogszabályi rendelkezések tiszteletben tartása alól.

43      E szabályzat 8.1. pontja megismétli, hogy a RIPA létrehozta az Interception of Communications Commissioner (hírszerzési biztos, Egyesült Királyság) intézményét, amelynek szerepe többek között a RIPA I. részének II. fejezetében foglalt jogok és kötelességek gyakorlásának és végrehajtásának független felügyelete. Amint ugyanezen szabályzat 8.3. pontjából következik, a biztos, amennyiben „megállapítja, hogy valamely személyt szándékos vagy súlyosan gondatlan mulasztás miatt hátrány ért”, jogosult e személyt tájékoztatni arról, hogy fennáll a hatáskörök jogellenes gyakorlásának gyanúja.

 Az alapeljárások és az előzetes döntéshozatalra előterjesztett kérdések

 A C‑203/15. sz. ügy

44      2014. április 9‑én a Tele2 Sverige, egy Svédországban letelepedett elektronikus hírközlési szolgáltató, tájékoztatta a PTS‑t, hogy a 2006/24 irányelv érvénytelenségének a 2014. április 8‑i Digital Rights Ireland és társai ítélettel (C‑293/12 és C‑594/12, a továbbiakban: Digital Rights ítélet, EU:C:2014:238) való megállapítását követően 2014. április 14‑től beszünteti a LEK‑ben hivatkozott elektronikus hírközlési adatok megőrzését, és hogy törli az ezen időpontig megőrzött adatokat.

45      2014. április 15‑én a Rikspolisstyrelsen (a nemzeti rendőrség főigazgatósága, Svédország) panaszt terjesztett a PTS elé amiatt, hogy a Tele2 Sverige beszüntette a szóban forgó adatok vele való közlését.

46      2014. április 29‑én a justitieminister (igazságügyi miniszter, Svédország) különmegbízottat nevezett ki a szóban forgó svéd szabályozásnak a Digital Rights ítélet alapján történő vizsgálatára. A 2014. június 13‑i „Datalagring, EU‑rätten och svensk rätt, n° Ds 2014:23” (Adatmegőrzés, uniós jog és svéd jog) című jelentésben (a továbbiakban: 2014. évi jelentés) a különmegbízott arra a következtetésre jutott, hogy az adatok megőrzésére vonatkozó, a LEK 16a–16f. §‑ában szereplő nemzeti szabályozás nem ellentétes az uniós joggal, sem pedig az emberi jogok és alapvető szabadságok védelméről szóló, Rómában 1950. november 4‑én aláírt európai egyezménnyel (a továbbiakban: EJEE). A különmegbízott kiemelte, hogy a Digital Rights ítélet nem értelmezhető úgy, hogy az az adatok általános és különbségtétel nélküli megőrzésének magát az elvét kifogásolta. Álláspontja szerint a Digital Rights ítélet úgy sem értelmezhető, hogy a Bíróság abban számos, egyszerre teljesítendő kritériumot állított fel ahhoz, hogy valamely szabályozást arányosnak lehessen tekinteni. Minden körülményt értékelni kell annak meghatározásához, hogy a svéd szabályozás megfelel‑e az uniós jognak, így az adatokhoz való hozzáférésre, a megőrzésük időtartamára, a védelmükre, valamint a biztonságukra vonatkozó rendelkezésekre tekintettel kell vizsgálni az adatmegőrzés terjedelmét.

47      A PTS ennek alapján 2014. június 19‑én tájékoztatta a Tele2 Sverige‑t, hogy nem teljesítette a nemzeti szabályozásban előírt kötelezettségeit, mivel nem őrizte meg hat hónapig a LEK‑ben említett adatokat a bűnözés elleni küzdelem céljából. 2014. június 27‑i végzésében a PTS ezt követően elrendelte ezen adatok legkésőbb 2014. július 25‑től történő megőrzését.

48      Tele2 Sverige, mivel úgy ítélte meg, hogy a 2014. évi jelentés a Digital Rights ítélet téves értelmezésén alapul, és hogy az adatmegőrzési kötelezettség ellentétes a Chartában biztosított alapvető jogokkal, keresetet indított a Förvaltningsrätten i Stockholm (stockholmi közigazgatási bíróság, Svédország) előtt a 2014. június 27‑i végzés ellen. Mivel e bíróság 2014. október 13‑i ítéletével elutasította a keresetét, a Tele2 Sverige fellebbezéssel fordult a kérdést előterjesztő bírósághoz.

49      A kérdést előterjesztő bíróság szerint a svéd szabályozás uniós joggal való összeegyeztethetőségét a 2002/58 irányelv 15. cikkének (1) bekezdése alapján kell megítélni. Ugyanis, noha az irányelv lefekteti azon elvet, hogy a forgalmi és helymeghatározó adatokat törölni vagy anonimizálni kell, ha a közlés továbbításához már nem szükségesek, az említett irányelv 15. cikkének (1) bekezdése eltérést vezet be ezen elv aló, mivel engedélyezi a tagállamok számára, hogy – amennyiben az ott meghatározott indokok igazolják – korlátozzák e törlési vagy anonimizálási kötelezettséget, vagy pedig előírják az adatok megőrzését. Az uniós jog így bizonyos helyzetekben megengedi az elektronikus hírközlési adatok megőrzését.

50      A kérdést előterjesztő bíróság ugyanakkor azt a kérdést teszi fel, hogy az elektronikus hírközlési adatok megőrzésének az alapügyben szereplőhöz hasonló, általános és különbségtétel nélküli kötelezettsége a Digital Rights ítéletre tekintettel összeegyeztethető‑e – a Charta 7. és 8. cikkével, valamint 52. cikkének (1) bekezdésével összefüggésben értelmezett – 2002/58 irányelv 15. cikkének (1) bekezdésével. A felek ezzel kapcsolatos eltérő véleményeire tekintettel a Bíróságnak egyértelmű határozatot kell hoznia azon kérdésben, hogy – a Tele2 Sverige álláspontjának megfelelően – az elektronikus hírközlési adatok általános és különbségtétel nélküli megőrzése önmagában ellentétes‑e a Charta 7. és 8. cikkével, valamint 52. cikkének (1) bekezdésével, vagy pedig a 2014. jelentésből következően az ilyen adatmegőrzés összeegyeztethetőségét az adatokhoz való hozzáférésre, a védelmükre és biztonságukra, valamint a megőrzésük időtartamára vonatkozó rendelkezésekre tekintettel kell értékelni.

51      E körülmények között a kérdést előterjesztő bíróság úgy határozott, hogy az eljárást felfüggeszti, és előzetes döntéshozatal céljából a következő kérdéseket terjeszti a Bíróság elé:

„1)      A Charta 7. és 8. cikkére, valamint 52. cikkének (1) bekezdésére figyelemmel összeegyeztethető‑e a 2002/58 irányelv 15. cikkének (1) bekezdésével a minden személyre és az elektronikus hírközlés minden módjára, valamint bármiféle – a bűnözés elleni küzdelem célja alapján való – megkülönböztetés, korlátozás vagy kivétel nélkül minden forgalmi adatra kiterjedő […] általános adatmegőrzési kötelezettség?

2)      Amennyiben az első kérdésre nemleges válasz adandó, megengedhető‑e mégis a megőrzési kötelezettség olyan esetben, amikor:

a)      a nemzeti hatóságok megőrzött adatokhoz való hozzáférése [az előzetes döntéshozatalra utaló határozat] 19–36. pontjában ismertetettek szerint korlátozott, és

b)      az adatvédelmi és ‑biztonsági követelmények [az előzetes döntéshozatalra utaló határozat] 38–43. pontjában ismertetettek szerint szabályozottak, és

c)      minden releváns adat a közlés befejezésének napjától számított hat hónapig kerül megőrzésre és utána [az előzetes döntéshozatalra utaló határozat] 37. pontjában ismertetettek szerinti módon törlésre kerül?”

 A C‑698/15. sz. ügy

52      T. Watson, P. Brice és G. Lewis külön indított keresetet a High Court of Justice (England & Wales), Queen’s Bench Division (Divisional Court) (felsőbíróság [Anglia és Wales], Queen’s Bench kollégium [kollégiumi tanács], Egyesült Királyság) előtt a DRIPA 1. cikkének jogszerűségi felülvizsgálata iránt, többek között e cikknek a Charta 7. és 8. cikkével, valamint az EJEE 8. cikkével való összeegyeztethetetlenségére hivatkozva.

53      2015. július 17‑i ítéletében a High Court of Justice (England & Wales), Queen’s Bench Division (Divisional Court) (felsőbíróság [Anglia és Wales], Queen’s Bench kollégium [kollégiumi tanács]) megállapította, hogy a Digital Rights Ireland ítélet a tagállamoknak a hírközlési adatok megőrzésére és az ilyen adatokhoz való hozzáférésre vonatkozó szabályozásaira alkalmazandó, „az uniós jog alapján feltétlenül érvényesítendő követelményeket” határoz meg. E bíróság szerint, mivel a Bíróság ezen ítéletben megállapította, hogy a 2006/24 irányelv összeegyeztethetetlen az arányosság elvével, az ezen irányelvével azonos tartalmú nemzeti szabályozás sem lehet összeegyeztethető ezen elvvel. A Digital Rights ítélet logikájából következik, hogy a hírközlési adatok megőrzésének általános rendszerét létrehozó szabályozás sérti a Charta 7. és 8. cikkében biztosított jogokat, ha azt nem egészíti ki az adatokhoz való hozzáférés nemzeti jog által meghatározott olyan rendszere, amely elegendő biztosítékot ír elő e jogok védelmére. Így a DRIPA 1. cikke nem egyeztethető össze a Charta 7. és 8. cikkével, amennyiben nem tartalmaz egyértelmű és pontos szabályokat a megőrzött adatokhoz való hozzáférésre és azok felhasználására vonatkozóan, és amennyiben az ezen adatokhoz való hozzáférés nem tárgya olyan előzetes felülvizsgálatnak, amelyet bíróság vagy független közigazgatási szerv végez.

54      A belügyminiszter fellebbezést nyújtott be ezen ítélettel szemben a Court of Appeal (England & Wales) (Civil Division) (fellebbviteli bíróság [Anglia és Wales] [polgári tanács], Egyesült Királyság) előtt.

55      E bíróság rámutat arra, hogy a DRIPA 1. cikkének (1) bekezdése – bármely bíróság vagy független közigazgatási szerv előzetes felülvizsgálata hiányában – feljogosítja a belügyminisztert olyan általános szabályozás elfogadására, amely kötelezi a nyilvános távközlési szolgáltatókat a postai vagy hírközlési szolgáltatásra vonatkozó minden adat legfeljebb tizenkét hónapig történő megőrzésére, amennyiben úgy ítéli meg, hogy e követelmény szükséges az Egyesült Királyság szabályozásában kitűzött célok eléréséhez és arányos azokkal. Habár ezen adatok nem tartalmazzák a közlések tartalmát, azok komoly beavatkozást jelentenek a hírközlési szolgáltatások felhasználóinak magánéletébe.

56      A kérdést előterjesztő bíróság az előzetes döntéshozatalra utaló határozatában és a fellebbezési eljárás során hozott, 2015. november 20‑i ítéletében, amelyben úgy határozott, hogy a jelen előzetes döntéshozatal iránti kérelmet terjeszti a Bíróság elé, úgy ítélte meg, hogy a nemzeti adatmegőrzési szabályok mindenképpen a 2002/58 irányelv 15. cikke (1) bekezdésének hatálya alá tartoznak, és ezért tiszteletben kell tartaniuk a Chartából fakadó követelményeket. Ezen irányelv 1. cikke (3) bekezdésének megfelelően azonban az uniós jogalkotó nem harmonizálta a megőrzött adatokhoz való hozzáférésre vonatkozó szabályokat.

57      A Digital Rights ítéletnek az alapjogvitában felmerült kérdésekre gyakorolt hatását illetően a kérdést előterjesztő bíróság rámutat arra, hogy az ezen ítélethez vezető ügyben a 2006/24 irányelv érvényességének kérdésével kapcsolatban fordultak a Bírósághoz, és nem a nemzeti szabályozás érvényességének kérdésével. Különösen az adatok megőrzése és az azokhoz való hozzáférés között fennálló szoros kapcsolatra tekintettel volt nélkülözhetetlen, hogy ezen irányelvet számos biztosíték egészítse ki, és hogy a Digital Rights ítélet az adatokhoz való hozzáférésre vonatkozó szabályokat ezen adatok megőrzésének az említett irányelv által létrehozott rendszerének jogszerűségi vizsgálata keretében elemezze. A Bíróság ezen ítéletben tehát nem kívánt nyilatkozni az adatokhoz való hozzáférésre vonatkozó azon nemzeti szabályozásokra alkalmazandó feltétlenül érvényesítendő követelményekről, amelyek nem az uniós jogot hajtják végre. A Bíróság érvelése továbbá szorosan kapcsolódott ugyanezen irányelv célkitűzéséhez. A nemzeti szabályozásokat mindazonáltal az ezen irányelv által követett célokra és annak összefüggéseire tekintettel kell értékelni.

58      Annak szükségességével kapcsolatban, hogy előzetes döntéshozatallal forduljon a Bírósághoz, a kérdést előterjesztő bíróság kiemeli, hogy az előzetes döntéshozatalra utaló határozat elfogadásának időpontjában más tagállamok hat bírósága – közülük öt végső fokon eljáró bíróság – helyezett hatályon kívül nemzeti jogszabályokat a Digital Rights ítélet alapján. A felmerült kérdésekre adandó válasz tehát nem nyilvánvaló, noha e bíróságnak döntést kell hoznia az előtte folyamatban lévő ügyekben.

59      E körülmények között a Court of Appeal (England & Wales) (Civil Division) (fellebbviteli bíróság [Anglia és Wales] [polgári tanács]) úgy határozott, hogy az eljárást felfüggeszti, és előzetes döntéshozatal céljából a következő kérdéseket terjeszti a Bíróság elé:

„1)      A Digital Rights ítélet (különösen annak 60–62. pontja) a valamely tagállam nemzeti jogának megfelelően megőrzött adatokhoz való hozzáférésre vonatkozó nemzeti szabályozására az uniós jog alapján feltétlenül érvényesítendő követelményeket határoz‑e meg a Charta 7. és 8. cikkének való megfelelés érdekében?

2)      A Digital Rights ítélet szélesebb körben határozza‑e meg a Charta 7. és/vagy 8. cikkének hatályát annál, amelyet az Emberi Jogok Európai Bíróságának ítélkezési gyakorlata az EJEE 8. cikke vonatkozásában megállapított?”

 A Bíróság előtti eljárásról

60      A 2016. február 1‑jei Davis és társai végzésében (C‑698/15, nem tették közzé, EU:C:2016:70) a Bíróság elnöke úgy határozott, hogy helyt ad a Court of Appeal (England & Wales) (Civil Division) (fellebbviteli bíróság [Anglia és Wales] [polgári tanács]) arra irányuló kérelmének, hogy a C‑698/15. sz. ügyet a Bíróság eljárási szabályzata 105. cikkének (1) bekezdésében szereplő gyorsított eljárásban bírálják el.

61      A Bíróság elnöke 2016. március 10‑i végzésével elrendelte a C‑203/15. és a C‑698/15. sz. ügy egyesítését a szóbeli szakasz lefolytatása és az ítélet meghozatala céljából.

 Az előzetes döntéshozatalra előterjesztett kérdésekről

 A C‑203/15. sz. ügyben előterjesztett első kérdésről

62      A C‑203/15. sz. ügyben a Kammarrätten i Stockholm (stockholmi közigazgatási fellebbviteli bíróság) által előterjesztett első kérdés lényegében arra irányul, hogy a 2002/58 irányelv 15. cikkének (1) bekezdését – a Charta 7. és 8. cikkével, valamint 52. cikkének (1) bekezdésével összefüggésben – úgy kell‑e értelmezni, hogy azzal ellentétes az olyan, az alapügyben szereplőhöz hasonló nemzeti szabályozás, amely a bűnözés elleni küzdelem céljából minden elektronikus hírközlési berendezés tekintetében valamennyi előfizető és nyilvántartott felhasználó összes forgalmi és helymeghatározó adatának általános és különbségtétel nélküli megőrzését írja elő.

63      E kérdés különösen abból ered, hogy a Digital Rights ítélet megállapította az alapügyben szereplő nemzeti szabályozás átültetését célzó 2006/24 irányelv érvénytelenségét, a felek álláspontja azonban eltér ezen ítélet terjedelme és annak e nemzeti szabályozásra gyakorolt hatása tekintetében, amely szabályozás a forgalmi és helymeghatározó adatok megőrzésére, valamint az ezen adatokhoz a nemzeti hatóságok általi hozzáférésre vonatkozik.

64      Előzetes azt kell megvizsgálni, hogy az olyan nemzeti szabályozás, mint amely az alapügyben szerepel, az uniós jog hatálya alá tartozik‑e.

 A 2002/58 irányelv hatályáról

65      A Bírósághoz írásbeli észrevételeket benyújtó tagállamok eltérő véleményeket fejtettek ki azon kérdéssel kapcsolatban, hogy a forgalmi és helymeghatározó adatoknak a bűnözés elleni küzdelem céljából való megőrzésére, valamint az ezen adatokhoz a nemzeti hatóságok által ugyanezen célból való hozzáférésre vonatkozó nemzeti szabályozások a 2002/58 irányelv hatálya alá tartoznak‑e, és ha igen, milyen mértékben. Ugyanis, míg többek között a belga, a dán, a német és az észt kormány, Írország, valamint a holland kormány azon véleményt fejtette ki, mely szerint igenlő választ kell adni e kérdésre, a cseh kormány a kérdés nemleges megválaszolását javasolta, megjegyezve, hogy e szabályozások egyedüli célja a bűnözés elleni küzdelem. Az Egyesült Királyság kormánya azt állította, hogy ezen irányelv hatálya alá csak az adatmegőrzésre vonatkozó szabályozások tartoznak, az ezen adatokhoz a nemzeti bűnüldöző hatóságok általi hozzáférésre vonatkozó szabályozások viszont nem.

66      Ami végül a Bizottságot illeti, habár a Bírósághoz a C‑203/15. sz. ügyben benyújtott írásbeli észrevételeiben azt állította, hogy az alapügyben szóban forgó nemzeti szabályozás a 2002/58 irányelv hatálya alá tartozik, a C‑698/15. sz. ügyben benyújtott írásbeli észrevételeiben kifejtette, hogy kizárólag az adatmegőrzésre vonatkozó nemzeti szabályok tartoznak ezen irányelv hatálya alá, az ezen adatokhoz a nemzeti hatóságok általi hozzáférésre vonatkozó szabályok viszont nem. Álláspontja szerint azonban ez utóbbi szabályokat figyelembe kell venni annak értékelése során, hogy az adatok elektronikus hírközlési szolgáltatók általi megőrzésére vonatkozó nemzeti szabályozás arányos beavatkozást jelent‑e a Charta 7. és 8. cikkében biztosított alapvető jogokba.

67      E tekintetben meg kell jegyezni, hogy a 2002/58 irányelv hatályának terjedelmét különösen annak általános rendszerét figyelembe véve kell értelmezni.

68      A 2002/58 irányelv 1. cikkének (1) bekezdése értelmében ezen irányelv előírja különösen azon nemzeti rendelkezések összehangolását, amelyekre azért van szükség, hogy biztosítsák az elektronikus hírközlési ágazatban a személyes adatok kezelése vonatkozásában az alapvető jogok és szabadságok védelmének egyenértékű szintjét, különös tekintettel a magánélethez és a bizalmas adatkezeléshez való jogra.

69      Ezen irányelv 1. cikkének (3) bekezdése kizárja az irányelv hatálya alól az ott meghatározott területeken, azaz különösen a büntetőjog területén, valamint a közbiztonsággal, a nemzetvédelemmel, a nemzetbiztonsággal – beleértve a nemzetbiztonsági ügyekkel kapcsolatos tevékenységek tekintetében az állam gazdasági prosperitását – összefüggő területeken kifejtett „állami tevékenységeket” (a 95/46 irányelv 3. cikke (2) bekezdésének első francia bekezdésére vonatkozóan lásd analógia útján: 2003. november 6‑i Lindqvist‑ítélet, C‑101/01, EU:C:2003:596, 43. pont; 2008. december 16‑i Satakunnan Markkinapörssi és Satamedia ítélet, C‑73/07, EU:C:2008:727, 41. pont).

70      A 2002/58 irányelv 3. cikke kimondja, hogy ezt az irányelvet az Unióban a nyilvánosan elérhető hírközlési szolgáltatások nyilvános hírközlő hálózaton – az adatgyűjtést és az azonosító eszközöket támogató nyilvános hírközlő hálózatokat is beleértve – történő nyújtásával összefüggő személyes adatok kezelésére kell alkalmazni (a továbbiakban: elektronikus hírközlési szolgáltatások). Ezért az említett irányelvet úgy kell tekinteni, mint amely az ilyen szolgáltatók tevékenységeit szabályozza.

71      A 2002/58 irányelv 15. cikkének (1) bekezdése felhatalmazza a tagállamokat, hogy az ott előírt feltételek mellett „jogszabályi intézkedéseket [fogadjanak] el az ezen irányelv 5. és 6. cikkében, 8. cikkének (1), (2), (3) és (4) bekezdésében, valamint 9. cikkében előírt jogok és kötelezettségek hatályának korlátozására vonatkozóan”. Az említett irányelv 15. cikke (1) bekezdésének második mondata a tagállamok által ekképpen elfogadható intézkedések között példálózó jelleggel felsorolja „az adatok[…] megőrzésére vonatkozó” intézkedéseket.

72      Kétségtelen, hogy a 2002/58 irányelv 15. cikkének (1) bekezdésében említett jogszabályi intézkedések állami vagy államhatósági tevékenységekre vonatkoznak, amelyek nem kapcsolódnak az egyének tevékenységeihez (lásd ebben az értelemben: 2008. január 29‑i Promusicae‑ítélet, C‑275/06, EU:C:2008:54, 51. pont). Továbbá azok a célkitűzések, amelyeknek e rendelkezés értelmében az ilyen intézkedéseknek meg kell felelniük – a jelen esetben a nemzetbiztonság, a nemzetvédelem és a közbiztonság védelme, valamint a bűncselekmények, illetve az elektronikus hírközlési rendszer jogosulatlan használata megelőzésének, kivizsgálásának, felderítésének és üldözésének biztosítása – lényegében az ezen irányelv 1. cikkének (3) bekezdésében említett tevékenységek által követett célokat ismétlik meg.

73      A 2002/58 irányelv általános rendszerére tekintettel a jelen ítélet előző pontjában kifejtettek alapján mindazonáltal nem vonható le az a következtetés, hogy a 2002/58 irányelv 15. cikkének (1) bekezdésében említett jogszabályi intézkedések ki vannak zárva ezen irányelv hatálya alól, különben az e rendelkezés hatékony érvényesüléstől való megfosztását eredményezné. Az említett rendelkezés ugyanis szükségképpen feltételezi, hogy az abban említett nemzeti intézkedések, így az adatok bűnözés elleni küzdelem céljából való megőrzésére vonatkozó intézkedések, ugyanezen irányelv hatálya alá tartoznak, mivel ez utóbbi kizárólag az abban foglalt feltételek tiszteletben tartása mellett hatalmazza fel a tagállamokat azok elfogadására.

74      Továbbá a 2002/58 irányelv 15. cikkének (1) bekezdésében említett jogszabályi intézkedések az e rendelkezésben említett célból szabályozzák az elektronikus hírközlési szolgáltatók tevékenységét. Ennélfogva az említett irányelv 15. cikkének (1) bekezdését – annak 3. cikkével összefüggésben – úgy kell értelmezni, hogy az ilyen jogszabályi intézkedések ugyanezen irányelv hatálya alá tartoznak.

75      Különösen annak hatálya alá tartozik az olyan, az alapügyben szereplőhöz hasonló jogszabályi intézkedés, amely a forgalmi és helymeghatározó adatok megőrzésére kötelezi a szolgáltatókat, mivel az ilyen tevékenység szükségképpen maga után vonja a személyes adatok e szolgáltatók általi kezelését.

76      Annak hatálya alá tartozik az olyan jogszabályi intézkedés is, amely az alapügyben szereplőhöz hasonlóan a nemzeti hatóságoknak az elektronikus hírközlési szolgáltatók által megőrzött adatokhoz való hozzáférésére vonatkozik.

77      Az elektronikus közlések és az azokkal kapcsolatos forgalomra vonatkozó adatok titkosságának a 2002/58 irányelv 5. cikkének (1) bekezdésében biztosított védelme ugyanis a felhasználókon kívüli bármely más személy által hozott intézkedésekre alkalmazandó, függetlenül attól, hogy magánszemélyekről, illetve magánjogi vagy állami szervekről van‑e szó. Amint azt ezen irányelv (21) preambulumbekezdése megerősíti, a közlések – ideértve „az ilyen közlésekhez kapcsolódó adatokat” – bizalmas jellegének védelme érdekében az irányelv a közlésekhez való minden jogosulatlan „hozzáférés” megelőzésére irányul.

78      E körülmények között az olyan jogszabályi intézkedés, amellyel valamely tagállam a 2002/58 irányelv 15. cikkének (1) bekezdése alapján az e rendelkezésben meghatározott célból kötelezi az elektronikus hírközlési szolgáltatókat, hogy az ilyen intézkedésben foglalt feltételek mellett a nemzeti hatóságok részére biztosítsanak hozzáférését az említett szolgáltatók által tárolt adatokhoz, a személyes adatok ez utóbbiak általi kezelésére vonatkozik, ami ezen irányelv hatálya alá tartozik.

79      Továbbá, amennyiben az adatok megőrzésére mindössze abból a célból kerül sor, hogy adott esetben hozzáférhetővé tegyék azokat az illetékes nemzeti hatóságok számára, az adatok megőrzését előíró nemzeti szabályozás főszabály szerint szükségképpen magában foglalja az illetékes nemzeti hatóságoknak az elektronikus hírközlési szolgáltatók által megőrzött adatokhoz való hozzáférésére vonatkozó rendelkezések létét.

80      Ezen értelmezést megerősíti a 2002/58 irányelv 15. cikkének (1b) bekezdése, amely szerint a szolgáltatók az ezen irányelv 15. cikkének (1) bekezdésével összhangban elfogadott nemzeti rendelkezéseken alapuló belső eljárásokat dolgoznak ki a felhasználók személyes adataihoz való hozzáférés iránti kérelmek megválaszolására.

81      A fentiekből következik, hogy a C‑203/15. és C‑698/15. sz. ügyben szereplőhöz hasonló nemzeti szabályozás a 2002/58 irányelv hatálya alá tartozik.

 A Charta 7., 8. és 11. cikkével, valamint 52. cikkének (1) bekezdésével összefüggésben értelmezett 2002/58 irányelv 15. cikke (1) bekezdésének értelmezéséről

82      Meg kell jegyezni, hogy a 2002/58 irányelv 1. cikke (2) bekezdésének megfelelően ezen irányelv rendelkezései „pontosítják és kiegészítik” a 95/46 irányelvet. Amint azt a 2002/58 irányelv (2) preambulumbekezdése kimondja, ezen irányelv célja különösen a Charta 7. és 8. cikkében megállapított jogok teljes tiszteletben tartásának biztosítása. E tekintetben a 2002/58 irányelv alapjául szolgáló, az elektronikus hírközlési ágazatban a személyes adatok kezeléséről és a magánélet védelméről szóló európai parlamenti és tanácsi irányelv tervezetének (COM(2000) 385 végleges) indokolásából kiderül, hogy az uniós jogalkotó szándéka arra irányult, hogy „az alkalmazott technológiától függetlenül valamilyen módon továbbra is biztosított legyen a személyes adatok és a magánélet magas szintű védelme valamennyi elektronikus hírközlési szolgáltatás tekintetében” [nem hivatalos fordítás].

83      A 2002/58 irányelv különös rendelkezéseket tartalmaz e célból, amelyek – amint az különösen a (6) és (7) preambulumbekezdéséből kitűnik – arra irányulnak, hogy az elektronikus hírközlési szolgáltatások felhasználói számára védelmet biztosítsanak a személyes adatokat és a magánéletet fenyegető, az új technológiákból, a megnövekedett tárolási kapacitásból, valamint az adatok automatizált kezeléséből eredő veszélyekkel szemben.

84      Konkrétan, ezen irányelv 5. cikkének (1) bekezdése előírja, hogy a tagállamok nemzeti jogszabályok révén biztosítsák a nyilvános hírközlő hálózatok és a nyilvánosan elérhető elektronikus hírközlési szolgáltatások segítségével történő közlések, valamint az azokra vonatkozó forgalmi adatok titkosságát.

85      A közlések titkosságának a 2002/58 irányelv által bevezetett elve többek között azon főszabály szerinti tilalmat jelenti – amint az annak 5. cikke (1) bekezdésének második mondatából kiderül –, hogy a felhasználókon kívüli bármely más személy a felhasználó hozzájárulása nélkül tárolja az elektronikus hírközléssel kapcsolatos forgalomra vonatkozó adatokat. Kizárólagos kivételt képeznek az ezen irányelv 15. cikkének (1) bekezdésével összhangban jogszerűen felhatalmazott személyek és a közlés továbbításához szükséges műszaki tárolás (lásd ebben az értelemben: 2008. január 29‑i Promusicae‑ítélet, C‑275/06, EU:C:2008:54, 47. pont).

86      Így, amint azt a 2002/58 irányelv (22) és (26) preambulumbekezdése megerősíti, ezen irányelv 6. cikke értelmében a forgalmi adatok kezelése és tárolása kizárólag a szolgáltatások számlázásához, azok értékesítéséhez vagy értéknövelt szolgáltatásnyújtásokhoz szükséges mértékig és ideig engedélyezett (lásd ebben az értelemben: 2008. január 29‑i Promusicae‑ítélet, C‑275/06, EU:C:2008:54, 47. és 48. pont). Ami különösen a szolgáltatások számlázását illeti, az ilyen adatkezelés kizárólag annak az időszaknak a végéig megengedett, ameddig a számla jogszerűen megtámadható, illetve a kifizetés követelhető. Amennyiben ezen időtartam letelt, a kezelt és tárolt adatokat törölni vagy anonimizálni kell. A forgalmi adatokon kívüli helymeghatározó adatokat illetően az említett irányelv 9. cikkének (1) bekezdése előírja, hogy ezen adatok csak bizonyos feltételekkel és akkor kezelhetők, ha anonimmá tették azokat, vagy a felhasználók, illetve előfizetők ehhez hozzájárultak.

87      A 2002/58 irányelv 5. és 6. cikke, valamint 9. cikke (1) bekezdése rendelkezéseinek – amelyek a közlések és az azokra vonatkozó adatok titkosságára, valamint a visszaélések veszélyének csökkentésére irányulnak – hatályát ezen irányelv (30) preambulumbekezdésére tekintettel kell értékelni, amelynek értelmében „[a]z elektronikus hírközlő hálózatok és elektronikus hírközlési szolgáltatások rendszereit úgy kell megtervezni, hogy a szükséges személyes adatok mennyisége szigorúan a minimálisra korlátozott legyen”.

88      Kétségtelen, hogy a 2002/58 irányelv 15. cikkének (1) bekezdése lehetővé teszi a tagállamoknak, hogy a személyes adatok titkosságának megőrzésére vonatkozó, ugyanezen irányelv 5. cikkének (1) bekezdésében számukra előírt alapvető kötelezettség, valamint az említett irányelvnek különösen a 6. és 9. cikkében említett, ezekkel összefüggő kötelezettségek alóli kivételekről rendelkezzenek (lásd ebben az értelemben: 2008. január 29‑i Promusicae‑ítélet, C‑275/06, EU:C:2008:54, 50. pont).

89      Mindazonáltal a 2002/58 irányelv 15. cikkének (1) bekezdése ugyan lehetővé teszi a tagállamok számára, hogy a közlések és az azokra vonatkozó forgalmi adatok titkosságának biztosítására vonatkozó alapvető kötelezettség terjedelmét korlátozzák, ezt a Bíróság állandó ítélkezési gyakorlatának megfelelően azonban szigorúan kell értelmezni (lásd analógia útján: 2012. november 22‑i Probst‑ítélet, C‑119/12, EU:C:2012:748, 23. pont). Az ilyen rendelkezés tehát nem igazolhatja, hogy az ezen alapvető kötelezettségtől, és különösen az ezen adatoknak az említett irányelv 5. cikkében előírt megőrzésének tilalmától való eltérés váljék szabállyá, különben ez utóbbi rendelkezés nagyrészt kiüresedne.

90      E tekintetben meg kell jegyezni, hogy a 2002/58 irányelv 15. cikke (1) bekezdésének első mondata előírja, hogy az ott említett jogszabályi intézkedéseknek, amelyek eltérést jelentenek a közlések és az azokra vonatkozó forgalmi adatok titkosságának elve alól, „a nemzetbiztonság (vagyis az állam biztonsága), a nemzetvédelem és a közbiztonság védelm[ér]e […], valamint a bűncselekmények, illetve az elektronikus hírközlési rendszer jogosulatlan használata megelőzésének, kivizsgálásának, felderítésének és üldözésének a biztosítás[ár]a” kell irányulniuk, vagy pedig a 95/46 irányelv 13. cikkének (1) bekezdésében említett más célokat kell követniük, amint arra a 2002/58 irányelv 15. cikke (1) bekezdésének első mondata utal (lásd ebben az értelemben: 2008. január 29‑i Promusicae‑ítélet, C‑275/06, EU:C:2008:54, 53. pont). A célok ezen felsorolása kimerítő jellegű, amint az ez utóbbi irányelv 15. cikke (1) bekezdésének második mondatából kiderül, amelynek értelmében a jogszabályi intézkedéseket az említett irányelv 15. cikke (1) bekezdésének első mondatában „megállapított indokokkal” kell igazolni. Ennélfogva a tagállamok ilyen intézkedéseket kizárólag az utóbbi rendelkezésben felsorolt célokból fogadhatnak el.

91      A 2002/58 irányelv 15. cikke (1) bekezdésének harmadik mondata továbbá úgy rendelkezik, hogy „[az ezen irányelv 15. cikkének (1) bekezdésében] említett valamennyi intézkedésnek összhangban kell lennie a[z uniós] jog általános elveivel, beleértve az [EU 6. cikk] (1) és (2) bekezdésében említetteket”, amelyek közé tartoznak az azóta már a Charta által biztosított általános elvek és alapvető jogok. A 2002/58 irányelv 15. cikkének (1) bekezdését ezért a Charta által biztosított alapvető jogok fényében kell értelmezni (a 95/46 irányelvre vonatkozóan lásd analógia útján: 2003. május 20‑i Österreichischer Rundfunk és társai ítélet, C‑465/00, C‑138/01 és C‑139/01, EU:C:2003:294, 68. pont; 2014. május 13‑i Google Spain és Google ítélet, C‑131/12, EU:C:2014:317, 68. pont; 2015. október 6‑i Schrems‑ítélet, C‑362/14, EU:C:2015:650, 38. pont).

92      E tekintetben ki kell emelni, hogy az elektronikus hírközlési szolgáltatók számára az alapügyben szereplőhöz hasonló nemzeti szabályozással előírt azon kötelezettség, hogy adott esetben az illetékes nemzeti hatóságok számára való hozzáférhetővé tétel céljából megőrizzék a forgalmi adatokat, nemcsak a Charta – előzetes döntéshozatalra előterjesztett kérdésekben kifejezetten említett – 7. és 8. cikkének, hanem a Charta 11. cikkében biztosított, a véleménynyilvánítás szabadságának tiszteletben tartásával kapcsolatos kérdéseket is felvet (a 2006/24 irányelvre vonatkozóan lásd analógia útján: Digital Rights ítélet, 25. és 70. pont).

93      Így mind a Charta 7. cikkében biztosított, a magánélet tiszteletben tartásához való jognak, mind pedig az annak 8. cikkében biztosított, a személyes adatok védelméhez való jognak az ítélkezési gyakorlatban megállapított jelentőségét (lásd ebben az értelemben: 2015. október 6‑i Schrems‑ítélet, C‑362/14, EU:C:2015:650, 39. pont, valamint az ott hivatkozott ítélkezési gyakorlat) figyelembe kell venni a 2002/58 irányelv 15. cikke (1) bekezdésének értelmezése során. Ugyanez érvényes a véleménynyilvánítás szabadságára, azon különös jelentőségre tekintettel, amellyel e szabadság minden demokratikus társadalomban bír. Ezen, a Charta 11. cikkében biztosított alapvető jog a demokratikus és pluralista társadalom egyik lényegi alapja, azon értékek közé tartozik, amelyen az EUSZ 2. cikk értelmében az Unió alapul (lásd ebben az értelemben: 2003. június 12‑i Schmidberger‑ítélet, C‑112/00, EU:C:2003:333, 79. pont; 2011. szeptember 6‑i Patriciello‑ítélet, C‑163/10, EU:C:2011:543, 31. pont).

94      E tekintetben emlékeztetni kell arra, hogy a Charta 52. cikke (1) bekezdésének megfelelően az abban elismert jogok és szabadságok gyakorlása csak a törvény által, és e jogok lényeges tartalmának tiszteletben tartásával korlátozható. Az arányosság elvére figyelemmel e jogok és szabadságok gyakorlásának korlátozására csak akkor és annyiban kerülhet sor, ha és amennyiben az elengedhetetlen, és ténylegesen az Unió által elismert általános érdekű célkitűzéseket vagy mások jogainak és szabadságainak védelmét szolgálja (2016. február 15‑i N.‑ítélet, C‑601/15 PPU, EU:C:2016:84, 50. pont).

95      Ez utóbbi tekintetben a 2002/58 irányelv 15. cikke (1) bekezdésének első mondata előírja, hogy a tagállamok a közlések és az azokra vonatkozó forgalmi adatok titkosságának elve alóli eltérést biztosító intézkedést fogadhatnak el, ha az e rendelkezésben meghatározott célokra tekintettel az „egy demokratikus társadalomban szükséges, megfelelő és arányos intézkedésnek minősül”. Ezen irányelv (11) preambulumbekezdése ugyanakkor pontosítja, hogy az ilyen jellegű intézkedésnek „szigorúan” arányosnak kell lennie a kitűzött céllal. Ami konkrétan az adatok megőrzését illeti, az említett irányelv 15. cikke (1) bekezdésének második mondata megköveteli, hogy arra kizárólag „korlátozott ideig” és az ugyanezen irányelv 15. cikke (1) bekezdésének első mondatában célként „megállapított indokok alapján” kerüljön sor.

96      Az arányosság elvének tiszteletben tartása a Bíróság azon ítélkezési gyakorlatából is következik, amely szerint a magánélet tiszteletben tartásához való alapvető jog védelme uniós szinten megköveteli, hogy a személyes adatok védelme alóli kivételek és e védelem korlátozásai a feltétlenül szükséges határokon belül maradjanak (2008. december 16‑i Satakunnan Markkinapörssi és Satamedia ítélet, C‑73/07, EU:C:2008:727, 56. pont; 2010. november 9‑i Volker und Markus Schecke és Eifert ítélet, C‑92/09 és C‑93/09, EU:C:2010:662, 77. pont; Digital Rights ítélet, 52. pont; 2015. október 6‑i Schrems‑ítélet, C‑362/14, EU:C:2015:650, 92. pont).

97      Ami azon kérdést illeti, hogy az olyan nemzeti szabályozás, mint amely a C‑203/15. sz. ügyben szerepel, teljesíti‑e ezeket a feltételeket, meg kell jegyezni, hogy e szabályozás minden elektronikus hírközlési eszköz tekintetében valamennyi előfizető és nyilvántartott felhasználó összes forgalmi és helymeghatározó adatának általános és különbségtétel nélküli megőrzését írja elő, és hogy kivétel nélkül kötelezi az elektronikus hírközlési szolgáltatókat ezen adatok szisztematikus és folyamatos megőrzésére. Amint az előzetes döntéshozatalra utaló határozatból kiderül, az e szabályozásban szereplő adatok kategóriái lényegében megfelelnek azoknak, amelyek megőrzését a 2006/24 irányelv előírta.

98      Azok az adatok, amelyeket ily módon az elektronikus hírközlési szolgáltatóknak meg kell őrizniük, lehetővé teszik valamely közlés forrásának és címzettjének megtalálását és beazonosítását, a közlés napjának, órájának, időtartamának és típusának, a felhasználók kommunikációs eszközének, valamint a mobil kommunikációs eszköz helyének meghatározását. Ezen adatok között szerepel többek között az előfizető vagy nyilvántartott felhasználó neve és címe, a hívó telefonszáma és a hívott szám, valamint az internetes szolgáltatások esetén az IP‑cím. Ezen adatok lehetővé teszik különösen annak megismerését, hogy valamely előfizető vagy nyilvántartott felhasználó mely személlyel és milyen eszköz segítségével közölt valamit, továbbá a közlés idejének és annak a helynek a meghatározását, ahonnan arra sor került. Ezenkívül lehetővé teszik az előfizető vagy nyilvántartott felhasználó bizonyos személyekkel egy adott időszakon belül folytatott közlései gyakoriságának megismerését is (a 2006/24 irányelvre vonatkozóan lásd analógia útján: Digital Rights ítélet, 26. pont).

99      Ezen adatok együttesen véve igen pontos következtetések levonását tehetik lehetővé azon személyek magánélete vonatkozásában, akiknek az adatait megőrizték, így például a napi szokások, az állandó vagy ideiglenes tartózkodási helyek, a napi vagy egyéb helyváltoztatások, a gyakorolt tevékenységek, az e személyek társadalmi kapcsolatai és az általuk látogatott társadalmi közegek tekintetében (a 2006/24 irányelvre vonatkozóan lásd analógia útján: Digital Rights ítélet, 27. pont). Konkrétan, ezen adatok – amint azt a főtanácsnok indítványának 253., 254. és 257–259. pontjában kifejtette – eszközül szolgálnak az érintett személyek profiljának megalkotásához, amely információ a magánélet tiszteletben tartásához való jog tekintetében ugyanolyan érzékeny, mint a közléseknek maga a tartalma.

100    Az a beavatkozás, amelyet az ilyen szabályozás jelent a Charta 7. és 8. cikkében kimondott alapvető jogokba, széles körű, és azt különösen súlyosnak kell tekinteni. Az a körülmény, hogy az adatok megőrzésére anélkül kerül sor, hogy az elektronikus hírközlési szolgáltatások felhasználóit erről tájékoztatnák, az érintett személyekben azt az érzést keltheti, hogy magánéletük állandó felügyelet alatt áll (a 2006/24 irányelvre vonatkozóan lásd analógia útján: Digital Rights ítélet, 37. pont).

101    Még ha az ilyen szabályozás nem is engedi meg a közlés tartalmának megőrzését, és ezért ezen alapvető jogok lényeges tartalmát nem sérti (a 2006/24 irányelvre vonatkozóan lásd analógia útján: Digital Rights ítélet, 39. pont), a forgalmi és a helymeghatározó adatok megőrzése mégis befolyásolhatja az elektronikus hírközlési berendezések használatát, és ennek következtében a Charta 11. cikkében biztosított véleménynyilvánítás szabadságának ezen felhasználók általi gyakorlását (a 2006/24 irányelvre vonatkozóan lásd analógia útján: Digital Rights ítélet, 28. pont).

102    Azon beavatkozás súlyosságára tekintettel, amelyet a forgalmi és helymeghatározó adatoknak a bűnözés elleni küzdelem céljából való megőrzését előíró nemzeti szabályozás jelent a szóban forgó alapvető jogokba, kizárólag a súlyos bűncselekmények elleni küzdelem alkalmas az ilyen intézkedés igazolására (a 2006/24 irányelvre vonatkozóan lásd analógia útján: Digital Rights ítélet, 60. pont).

103    Továbbá, noha a súlyos bűncselekmények, különösen a szervezett bűnözés és a terrorizmus elleni küzdelem hatékonysága nagymértékben függhet a modern nyomozási technikák használatától, az ilyen közérdekű cél azonban, bármilyen alapvető is, önmagában nem igazolhatja, hogy az összes forgalmi és helymeghatározó adat általános és különbségtétel nélküli megőrzését előíró nemzeti szabályozást az említett küzdelem céljából szükségesnek lehessen tekinteni (a 2006/24 irányelvre vonatkozóan lásd analógia útján: Digital Rights ítélet, 51. pont).

104    E tekintetben egyfelől meg kell jegyezni, hogy az ilyen szabályozásnak a jelen ítélet 97. pontjában leírt jellemzőire tekintettel az a hatása, hogy a forgalmi és helymeghatározó adatok megőrzése a szabály, holott a 2002/58 irányelv által létrehozott rendszer azt követeli meg, hogy ezen adatmegőrzés legyen a kivétel.

105    Másfelől az alapügyben szereplőhöz hasonló nemzeti szabályozás, amely általánosan vonatkozik minden előfizetőre és nyilvántartott felhasználóra, továbbá minden elektronikus hírközlési berendezésre és az összes forgalmi adatra kiterjed, nem ír elő semmilyen különbségtételt, korlátozást vagy kivételt a követett cél alapján. Általánosságban vonatkozik az összes, elektronikus hírközlési szolgáltatást használó személyre, anélkül hogy e személyek – akár csak közvetve is – olyan helyzetben lennének, amely alkalmat adhatna büntetőeljárás lefolytatására. Olyan személyekre is alkalmazandó tehát, akik tekintetében semmilyen jel nem utal arra, hogy magatartásuk súlyos bűncselekményekkel akár közvetett vagy távoli kapcsolatban állhat. Ezenkívül nem rendelkezik kivételekről, így olyan személyekre is alkalmazandó, akiknek a közlései a nemzeti jog szabályai alapján szakmai titoktartás körébe tartoznak (a 2006/24 irányelvre vonatkozóan lásd analógia útján: Digital Rights ítélet, 57. és 58. pont).

106    Az ilyen szabályozás nem követeli meg, hogy kapcsolat álljon fenn a megőrizendő adatok és a közbiztonság elleni fenyegetés között. E szabályozás különösen nem korlátozódik olyan meghatározott időszakkal és/vagy földrajzi területtel és/vagy adott személyi körrel kapcsolatos adatok megőrzésére, amelyek valamilyen módon valamely súlyos bűncselekménnyel hozhatók kapcsolatba, vagy olyan személyekre, akik egyéb okokból – adataik megőrzése révén – hozzájárulhatnak a bűnözés elleni küzdelemhez (a 2006/24 irányelvre vonatkozóan lásd analógia útján: Digital Rights ítélet, 59. pont).

107    Az alapügyben szereplőhöz hasonló nemzeti szabályozás tehát túllép a feltétlenül szükséges mérték korlátain, és egy demokratikus társadalomban nem tekinthető igazoltnak, amint azt a Charta 7., 8. és 11. cikkével, valamint 52. cikkének (1) bekezdésével összefüggésben értelmezett 2002/58 irányelv 15. cikkének (1) bekezdése megköveteli.

108    A Charta 7., 8. és 11. cikkével, valamint 52. cikkének (1) bekezdésével összefüggésben értelmezett 2002/58 irányelv 15. cikkének (1) bekezdésével viszont nem ellentétes az, hogy valamely tagállam olyan szabályozást fogadjon el, amely megelőző jelleggel lehetővé teszi a forgalmi és helymeghatározó adatok célzott megőrzését a súlyos bűncselekmények elleni küzdelem céljából, azzal a feltétellel, hogy az adatok megőrzése – a megőrzendő adatok kategóriái, az érintett hírközlési eszközök, az érintett személyek és a megőrzés időtartama tekintetében – a feltétlenül szükséges mértékre korlátozódik.

109    A jelen ítélet előző pontjában foglalt követelmények teljesítése érdekében e nemzeti szabályozásnak először is egyértelmű és pontos szabályokat kell tartalmaznia az ilyen adatmegőrzési intézkedés hatálya és alkalmazása vonatkozásában, és minimális követelményeket kell előírnia annak érdekében, hogy azon személyek, akiknek az adatait megőrizték, elegendő olyan biztosítékkal rendelkezzenek, amely lehetővé teszi az adataiknak a visszaélések veszélyeivel szembeni hatékony védelmét. Különösen meg kell jelölnie, hogy az adatok megőrzésére vonatkozó intézkedés milyen körülmények esetén és milyen feltételekkel fogadható el megelőző jelleggel, ezáltal biztosítva, hogy ezen intézkedés a feltétlenül szükséges mértékre korlátozódjék (a 2006/24 irányelvre vonatkozóan lásd analógia útján: Digital Rights ítélet, 54. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

110    Másodszor, azon anyagi jogi feltételeket illetően, amelyeknek azon nemzeti szabályozásnak kell megfelelnie, amely a bűnözés elleni küzdelem célból lehetővé teszi a forgalmi és helymeghatározó adatok megelőző jelleggel való megőrzését, annak biztosítása céljából, hogy e szabályozás a feltétlenül szükséges mértékre korlátozódjék, meg kell állapítani, hogy noha e feltételek a súlyos bűncselekmények megelőzése, kivizsgálása, felderítése és üldözése céljából meghozott intézkedések alapján változhatnak, az adatmegőrzésnek ugyanakkor mindig objektív, a megőrzendő adatok és a kitűzött cél között kapcsolatot mutató kritériumoknak kell megfelelniük. Konkrétan, az ilyen feltételeknek a gyakorlatban hatékonyan korlátozniuk kell az intézkedés terjedelmét, és ennélfogva az érintett személyi kört.

111    Ami ezen intézkedésnek a potenciálisan érintett személyi kör és helyzetek szempontjából történő korlátozását illeti, a nemzeti szabályozásnak olyan objektív tényezőkön kell alapulnia, amelyek lehetővé teszik, hogy az olyan személyi körre irányuljon, amelynek adatai alkalmasak a súlyos bűncselekményekkel fennálló – legalábbis közvetett – kapcsolat felállítására, a súlyos bűncselekmények elleni küzdelem valamilyen módon történő elősegítésére, vagy a közbiztonságot fenyegető súlyos veszély megelőzésére. E korlátozás biztosítható földrajzi kritérium révén, amennyiben az illetékes nemzeti hatóságok objektív tényezők alapján úgy ítélik meg, hogy valamely földrajzi területen vagy területeken magas kockázat áll fenn ilyen cselekmények előkészületére vagy elkövetésére.

112    A fenti megállapítások összességére tekintettel a C‑203/15. sz. ügyben előterjesztett első kérdésre azt a választ kell adni, hogy a 2002/58 irányelv 15. cikkének (1) bekezdését – a Charta 7., 8. és 11. cikkével, valamint 52. cikkének (1) bekezdésével összefüggésben – úgy kell értelmezni, hogy azzal ellentétes az olyan nemzeti szabályozás, amely a bűnözés elleni küzdelem céljából minden elektronikus hírközlési berendezés tekintetében valamennyi előfizető és nyilvántartott felhasználó összes forgalmi és helymeghatározó adatának általános és különbségtétel nélküli megőrzését írja elő.

 A C‑203/15. sz. ügyben előterjesztett második kérdésről és a C‑698/15. sz. ügyben előterjesztett első kérdésről

113    Előzetesen meg kell jegyezni, hogy a C‑203/15. sz. ügyben a Kammarrätten i Stockholm (stockholmi közigazgatási fellebbviteli bíróság) csak az első kérdésre adott nemleges válasz esetére terjesztette elő a második kérdést. E második kérdés azonban független az adatmegőrzésnek a jelen ítélet 108–111. pontjában kifejtettek szerinti általános vagy célzott jellegétől. Ennélfogva együttesen kell válaszolni a C‑203/15. sz. ügyben előterjesztett második kérdésre és a C‑698/15. sz. ügyben előterjesztett első kérdésre, amelyet az elektronikus hírközlési szolgáltatók számára előírt adatmegőrzési kötelezettség terjedelmétől függetlenül tettek fel.

114    A kérdést előterjesztő bíróságoknak a C‑203/15. sz. ügyben előterjesztett második kérdése, illetve a C‑698/15. sz. ügyben előterjesztett első kérdése lényegében arra irányul, hogy a 2002/58 irányelv 15. cikkének (1) bekezdését a Charta 7. és 8. cikkével, valamint 52. cikkének (1) bekezdésével összefüggésben úgy kell‑e értelmezni, hogy azzal ellentétes az olyan nemzeti szabályozás, amely anélkül szabályozza a forgalmi és helymeghatározó adatok védelmét és biztonságát, különösen az illetékes nemzeti hatóságoknak a megőrzött adatokhoz való hozzáférését, hogy e hozzáférést kizárólag a súlyos bűncselekmények elleni küzdelem céljára korlátozná és bíróság vagy független közigazgatási szerv előzetes felülvizsgálatához kötné, továbbá megkövetelné, hogy a szóban forgó adatokat az Unió területén őrizzék.

115    Az elektronikus hírközlés titkosságának elve alól eltérést engedő nemzeti szabályozás igazolására alkalmas célokat illetően emlékeztetni kell arra, hogy mivel – amint a jelen ítélet 90. és 102. pontjában megállapításra került – a céloknak a 2002/58 irányelv 15. cikke (1) bekezdésének első mondatában szereplő felsorolása kimerítő jellegű, a megőrzött adatokhoz való hozzáférésnek ténylegesen és szigorúan e célok egyikének kell megfelelnie. Továbbá, mivel az e szabályozás által követett célnak kapcsolatban kell állnia azon beavatkozás súlyosságával, amelyet e hozzáférés jelent az alapvető jogokba, ebből következően a bűncselekmények megelőzése, kivizsgálása, felderítése és üldözése területén kizárólag a súlyos bűncselekmények elleni küzdelem alkalmas a megőrzött adatokhoz való ilyen hozzáférés igazolására.

116    Ami az arányosság elvének tiszteletben tartását illeti, az azon feltételeket meghatározó nemzeti szabályozásnak, amelyek esetén az elektronikus hírközlési szolgáltatók kötelesek hozzáférést biztosítani az illetékes nemzeti hatóságok számára a megőrzött adatokhoz, a jelen ítélet 95. és 96. pontjában megállapítottaknak megfelelően biztosítania kell, hogy az ilyen hozzáférésre csak a feltétlenül szükséges határokon belül kerüljön sor.

117    Továbbá, mivel a 2002/58 irányelv 15. cikkének (1) bekezdésében szereplő jogszabályi intézkedésekre ezen irányelv (11) preambulumbekezdésének értelmében „megfelelő garanciáknak kell vonatkozniuk”, az ilyen intézkedésnek – amint a jelen ítélet 109. pontjában hivatkozott ítélkezési gyakorlatból következik – egyértelmű és pontos szabályokat kell tartalmaznia, megjelölve, hogy az elektronikus hírközlési szolgáltatók milyen körülmények esetén és milyen feltételekkel biztosíthatnak a megőrzött adatokhoz hozzáférést az illetékes nemzeti hatóságok számára. Ehhez hasonlóan, az ilyen jellegű intézkedésnek jogilag kötelező erejűnek kell lennie a belső jogban.

118    Annak biztosítsa érdekében, hogy az illetékes nemzeti hatóságoknak a megőrzött adatokhoz való hozzáférése a feltétlenül szükséges mértékűre korlátozódjék, kétségkívül a nemzeti jognak kell meghatározni azokat a feltételeket, amelyek esetén az elektronikus hírközlési szolgáltatóknak biztosítaniuk kell e hozzáférést. Az érintett nemzeti szabályozás mindazonáltal nem korlátozódhat annak megkövetelésére, hogy a hozzáférés megfeleljen a 2002/58 irányelv 15. cikkének (1) bekezdésében említett egyik célnak, akár a súlyos bűncselekmények elleni küzdelemnek. Az ilyen nemzeti szabályozásnak ugyanis tartalmaznia kell az illetékes nemzeti hatóságok adatokhoz való hozzáférését szabályozó anyagi jogi és eljárásjogi feltételeket is (a 2006/24 irányelvre vonatkozóan lásd analógia útján: Digital Rights ítélet, 61. pont).

119    Ezért, és mivel az összes megőrzött adathoz való általános, a kitűzött céllal fennálló bármilyen – akárcsak közvetett – kapcsolattól független hozzáférés nem tekinthető a feltétlenül szükséges mértékűre korlátozottnak, az érintett nemzeti szabályozásnak objektív kritériumokon kell alapulnia azon körülmények és feltételek meghatározása érdekében, amelyek esetén hozzáférést kell adni az illetékes nemzeti hatóságok számára az előfizetők vagy a nyilvántartott felhasználók adataihoz. E tekintetben főszabály szerint a bűnözés elleni küzdelem céljával összefüggésben csak azon személyek adataihoz lehet hozzáférést adni, akiket azzal gyanúsítanak, hogy súlyos bűncselekmény elkövetését tervezik, ilyen bűncselekményt követnek vagy követtek el, vagy pedig bármilyen más módon részesek ilyen bűncselekmény elkövetésében (lásd analógia útján: EJEB, 2015. december 4., Zakharov kontra Oroszország, CE:ECHR:2015:1204JUD004714306, 260. §). Mindazonáltal különleges helyzetekben, mint például amikor a nemzetbiztonság, a nemzetvédelem vagy a közbiztonság létfontosságú érdekét terrorcselekmények veszélyeztetik, a más személyek adataihoz való hozzáférés akkor is megadható, ha léteznek olyan objektív tényezők, amelyek alapján megállapítható, hogy ezen adatok valamely konkrét esetben hatékonyan hozzájárulhatnak az ilyen tevékenységek elleni küzdelemhez.

120    E feltételek teljes körű tiszteletben tartásának a gyakorlatban való biztosításához alapvető fontosságú, hogy az illetékes nemzeti hatóságok megőrzött adatokhoz való hozzáférése főszabály szerint – a kellően indokolt sürgős esetek kivételével – valamely bíróság vagy független közigazgatási szerv által végzett előzetes felülvizsgálat tárgyát képezze, és hogy e bíróság vagy szerv különösen megelőzési, felderítési vagy bűnüldözési eljárások keretében az e hatóságok által előterjesztett indokolt kérelmet követően hozza meg határozatát (a 2006/24 irányelvre vonatkozóan lásd analógia útján: Digital Rights ítélet, 62. pont; az EJEE 8. cikkére vonatkozóan lásd analógia útján továbbá: EJEB, 2016. január 12., Szabó és Vissy kontra Magyarország, CE:ECHR:2016:0112JUD003713814, 77. és 80. §).

121    Hasonlóképpen fontos, hogy az illetékes nemzeti hatóságok, amelyek számára hozzáférést adtak a megőrzött adatokhoz, az alkalmazandó nemzeti eljárások keretében erről haladéktalanul tájékoztassák az érintett személyeket, amikor e tájékoztatás már nem veszélyeztetheti az e hatóságok által folytatott nyomozást. Ezen információ ugyanis szükséges ahhoz, hogy jogaik megsértése esetén gyakorolhassák különösen a 95/46 irányelv 22. cikkével összefüggésben értelmezett 2002/58 irányelv 15. cikkének (2) bekezdésében kifejezetten előírt jogorvoslati jogukat (lásd analógia útján: 2009. május 7‑i Rijkeboer‑ítélet, C‑553/07, EU:C:2009:293, 52. pont; 2015. október 6‑i Schrems‑ítélet, C‑362/14, EU:C:2015:650, 95. pont).

122    Az elektronikus hírközlési szolgáltatók által megőrzött adatok biztonságára és védelmére vonatkozó szabályokat illetően meg kell állapítani, hogy a 2002/58 irányelv 15. cikkének (1) bekezdése nem teszi lehetővé a tagállamoknak, hogy ezen irányelv 4. cikkének (1) bekezdésétől, valamint 4. cikkének (1a) bekezdésétől eltérjenek. Ez utóbbi rendelkezések megkövetelik, hogy e szolgáltatók megfelelő műszaki és szervezeti intézkedéseket tegyenek, amelyek lehetővé teszik a megőrzött adatok visszaélés veszélyével, valamint az ezen adatokhoz való jogellenes hozzáféréssel szembeni hatékony védelmének biztosítását. A megőrzött adatok mennyiségére, ezen adatok minősített jellegére, valamint az ezekhez való jogellenes hozzáférés veszélyére tekintettel az elektronikus hírközlési szolgáltatások szolgáltatói az említett adatok teljes integritásának és titkosságának biztosítása céljából megfelelő műszaki és szervezeti intézkedések révén kötelesek a védelem és biztonság különösen magas szintjét biztosítani. A nemzeti szabályozásnak különösen rendelkeznie kell az Unió területén történő adatmegőrzésről, valamint az adatoknak az adatmegőrzési időszak végén történő visszafordíthatatlan megsemmisítéséről (a 2006/24 irányelvre vonatkozóan lásd analógia útján: Digital Rights ítélet, 66–68. pont).

123    Mindenesetre a tagállamoknak biztosítaniuk kell a természetes személyek számára a személyes adatok kezelése tekintetében biztosított védelemre vonatkozó uniós jog által garantált védelmi szint tiszteletben tartásának független hatóság általi felülvizsgálatát, mivel ezt a felülvizsgálatot kifejezetten megköveteli a Charta 8. cikkének (3) bekezdése, és mivel a Bíróság állandó ítélkezési gyakorlata értelemében az lényeges eleme az egyének személyes adatok kezelése tekintetében való védelmének. Ellenkező esetben azokat a személyeket, akiknek a személyes adatait tárolták, megfosztanák a Charta 8. cikkének (1) és (3) bekezdésében biztosított azon jogtól, hogy az alapvető jogaik védelmére irányuló kérelemmel forduljanak a nemzeti felügyelő hatóságokhoz (lásd ebben az értelmemben: Digital Rights ítélet, 68. pont; 2015. október 6‑i Schrems‑ítélet, C‑362/14, EU:C:2015:650, 41. és 58. pont).

124    A kérdést előterjesztő bíróságok feladata annak vizsgálata, hogy az alapügyben szereplőhöz hasonló nemzeti szabályozások tiszteletben tartják‑e a Charta 7., 8. és 11. cikkével, valamint 52. cikkének (1) bekezdésével összefüggésben értelmezett 2002/58 irányelv 15. cikkének (1) bekezdéséből eredő, a jelen ítélet 115–123. pontjában ismertetett követelményeket mind az illetékes nemzeti hatóságoknak a megőrzött adatokhoz való hozzáférése, mind pedig ezen adatok védelme és biztonsági szintje tekintetében.

125    A fenti megállapítások összességére tekintettel a C‑203/15. sz. ügyben előterjesztett második kérdésre, valamint a C‑698/15. sz. ügyben előterjesztett első kérdésre azt a választ kell adni, hogy a 2002/58 irányelv 15. cikkének (1) bekezdését – a Charta 7., 8. és 11. cikkével, valamint 52. cikkének (1) bekezdésével összefüggésben – úgy kell értelmezni, hogy azzal ellentétes az olyan nemzeti szabályozás, amely anélkül szabályozza a forgalmi és helymeghatározó adatok védelmét és biztonságát, különösen az illetékes nemzeti hatóságoknak a megőrzött adatokhoz való hozzáférését, hogy a bűnözés elleni küzdelem keretében történő e hozzáférést kizárólag a súlyos bűncselekmények elleni küzdelem céljára korlátozná, és bíróság vagy független közigazgatási szerv előzetes felülvizsgálatához kötné, továbbá megkövetelné, hogy a szóban forgó adatokat az Unió területén őrizzék.

 A C‑698/15. sz. ügyben előterjesztett második kérdésről

126    A Court of Appeal (England & Wales) (Civil Division) (fellebbviteli bíróság [Anglia és Wales] [polgári tanács]) C‑698/15. sz. ügyben előterjesztett második kérdése lényegében arra irányul, hogy a Bíróság a Digital Rights ítéletben szélesebb körben határozta‑e meg a Charta 7. és/vagy 8. cikkének hatályát annál, amelyet az Emberi Jogok Európai Bírósága az EJEE 8. cikke vonatkozásában megállapított.

127    Előzetesen emlékeztetni kell arra, hogy jóllehet – mint azt az EUSZ 6. cikk (3) bekezdése megerősíti – az EJEE által biztosított alapvető jogok általános elvként az uniós jogrend részét képezik, ez az egyezmény nem minősül az uniós jogrendbe szervesen beépülő jogforrásnak addig, amíg az Unió nem csatlakozott hozzá (lásd ebben az értelemben: 2016. február 15‑i N.‑ítélet, C‑601/15 PPU, EU:C:2016:84, 45. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

128    Így a jelen esetben a 2002/58 irányelv értelmezését kizárólag a Chartában biztosított alapvető jogokra tekintettel kell elvégezni (lásd ebben az értelemben: 2016. február 15‑i N.‑ítélet, C‑601/15 PPU, EU:C:2016:84, 46. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

129    Emlékeztetni kell továbbá arra, hogy a Charta 52. cikkéhez fűzött magyarázatok kifejtik, hogy az 52. cikk (3) bekezdésének célja a Charta és az EJEE közötti szükséges összhang biztosítása, „anélkül hogy mindez hátrányosan befolyásolná az uniós jognak és az Európai Unió Bíróságának az autonómiáját” (lásd ebben az értelemben: 2016. február 15‑i N.‑ítélet, C‑601/15 PPU, EU:C:2016:84, 47. pont). Különösen, amint azt a Charta 52. cikke (3) bekezdésének második mondata kifejezetten kimondja, a Charta 52. cikke (3) bekezdésének első mondata nem akadályozza meg azt, hogy az Unió joga kiterjedtebb védelmet nyújtson, mint az EJEE. Végül ehhez hozzá kell tenni, hogy a Charta 8. cikke más alapvető jogra vonatkozik, mint amely annak 7. cikkében szerepel, és az előbbinek nincsen megfelelője az EJEE‑ben.

130    Márpedig a Bíróság állandó ítélkezési gyakorlata szerint az előzetes döntéshozatalra utalást nem az általános vagy hipotetikus kérdésekkel kapcsolatos tanácsadó vélemények megfogalmazása indokolja, hanem a jogvita tényleges megoldásának szükségessége (lásd ebben az értelemben: 2012. április 24‑i Kamberaj‑ítélet, C‑571/10, EU:C:2012:233, 41. pont; 2013. február 26‑i Åkerberg Fransson ítélet, C‑617/10, EU:C:2013:105, 42. pont; 2014. február 27‑i Pohotovosť‑ítélet, C‑470/12, EU:C:2014:101, 29. pont).

131    A jelen esetben – különösen a jelen ítélet 128. és 129. pontjában szereplő megfontolásokra tekintettel – az a kérdés, hogy a Charta 7. és 8. cikke az EJEE 8. cikkében biztosított védelemnél szélesebb körű védelmet nyújt‑e, nem befolyásolja a 2002/58 irányelv Chartával összefüggésben történő értelmezését, amelyről a C‑698/15. sz. ügyben folyamatban lévő alapjogvitában szó van.

132    Ezért a C‑698/15. sz. ügyben előterjesztett második kérdésre adandó válasz nem szolgál az uniós jog értelmezéséhez olyan szempontokkal, amelyek e jogvitának az uniós jog alapján történő elbírálásához szükségesek lennének.

133    Ebből következik, hogy a C‑698/15. sz. ügyben előterjesztett második kérdés elfogadhatatlan.

 A költségekről

134    Mivel ez az eljárás az alapeljárásban részt vevő felek számára a kérdést előterjesztő bíróságok előtt folyamatban lévő eljárások egy szakaszát képezi, e bíróságok döntenek a költségekről. Az észrevételeknek a Bíróság elé terjesztésével kapcsolatban felmerült költségek, az említett felek költségeinek kivételével, nem téríthetők meg.

A fenti indokok alapján a Bíróság (nagytanács) a következőképpen határozott:

1)      A 2009. november 25‑i 2009/136/EK európai parlamenti és tanácsi irányelvvel módosított, az elektronikus hírközlési ágazatban a személyes adatok kezeléséről, feldolgozásáról [helyesen: a személyes adatok kezeléséről] és a magánélet védelméről szóló, 2002. július 12‑i 2002/58/EK európai parlamenti és tanácsi irányelv (elektronikus hírközlési adatvédelmi irányelv) 15. cikkének (1) bekezdését – az Európai Unió Alapjogi Chartája 7., 8. és 11. cikkével, valamint 52. cikkének (1) bekezdésével összefüggésben – úgy kell értelmezni, hogy azzal ellentétes az olyan nemzeti szabályozás, amely a bűnözés elleni küzdelem céljából minden elektronikus hírközlési eszköz tekintetében valamennyi előfizető és nyilvántartott felhasználó összes forgalmi és helymeghatározó adatának általános és különbségtétel nélküli megőrzését írja elő.

2)      A 2009/136 irányelvvel módosított 2002/58 irányelv 15. cikkének (1) bekezdését – az Alapjogi Charta 7., 8. és 11. cikkével, valamint 52. cikkének (1) bekezdésével összefüggésben – úgy kell értelmezni, hogy azzal ellentétes az olyan nemzeti szabályozás, amely anélkül szabályozza a forgalmi és helymeghatározó adatok védelmét és biztonságát, különösen az illetékes nemzeti hatóságoknak a megőrzött adatokhoz való hozzáférését, hogy a bűnözés elleni küzdelem keretében történő e hozzáférést kizárólag a súlyos bűncselekmények elleni küzdelem céljára korlátozná, és bíróság vagy független közigazgatási szerv előzetes felülvizsgálatához kötné, továbbá megkövetelné, hogy a szóban forgó adatokat az Unió területén őrizzék.

3)      A Court of Appeal (England & Wales) (Civil Division) (fellebbviteli bíróság [Anglia és Wales] [polgári tanács], Egyesült Királyság) által előterjesztett második kérdés elfogadhatatlan.

Aláírások


* Az eljárás nyelvei: svéd és angol.