SODBA SODIŠČA (veliki senat)
z dne 10. februarja 2009(*)
„Ničnostna tožba – Direktiva 2006/24/ES – Hramba podatkov, pridobljenih ali obdelanih v okviru zagotavljanja elektronskih komunikacijskih storitev – Izbira pravne podlage“
V zadevi C‑301/06,
zaradi ničnostne tožbe na podlagi člena 230 ES, vložene 6. julija 2006,
Irska, ki jo zastopajo D. O’Hagan, zastopnik, skupaj z E. Fitzsimons, D. Barniville in A. Collins, SC, z naslovom za vročanje v Luxembourgu,
tožeča stranka,
ob intervenciji
Slovaške republike, ki jo zastopa J. Čorba, zastopnik,
intervenientka,
proti
Evropskemu parlamentu, ki so ga sprva zastopali H. Duintjer Tebbens, M. Dean in A. Auersperger Matić, nato zadnjenavedena in K. Bradley, zastopniki, z naslovom za vročanje v Luxembourgu,
Svetu Evropske unije, ki ga zastopajo J.-C. Piris, J. Schutte in S. Kyriakopoulou, zastopniki,
toženi stranki,
ob intervenciji
Kraljevine Španije, ki jo zastopata M. A. Sampol Pucurull in J. Rodríguez Cárcamo, zastopnika, z naslovom za vročanje v Luxembourgu,
Kraljevine Nizozemske, ki jo zastopata C. ten Dam in C. Wissels, zastopnici,
Komisije Evropskih skupnosti, ki jo zastopajo C. Docksey, R. Troosters in C. O’Reilly, zastopniki, z naslovom za vročanje v Luxembourgu,
evropskega nadzornika za varstvo podatkov, ki ga zastopa H. Hijmans, zastopnik,
intervenienti,
SODIŠČE (veliki senat),
v sestavi V. Skouris, predsednik, P. Jann, C. W. A. Timmermans, A. Rosas in K. Lenaerts, predsedniki senatov, A. Tizzano, J. N. Cunha Rodrigues (poročevalec), sodnika, R. Silva de Lapuerta, sodnica, K. Schiemann, J. Klučka, A. Arabadjiev, sodniki, C. Toader, sodnica, in J.‑J. Kasel, sodnik,
generalni pravobranilec: Y. Bot,
sodna tajnica: C. Strömholm, administratorka,
na podlagi pisnega postopka in obravnave z dne 1. julija 2008,
po predstavitvi sklepnih predlogov generalnega pravobranilca na obravnavi 14. oktobra 2008
izreka naslednjo
Sodbo
1 Irska v tožbi Sodišču predlaga, naj razglasi ničnost Direktive 2006/24/ES Evropskega parlamenta in Sveta z dne 15. marca 2006 o hrambi podatkov, pridobljenih ali obdelanih v zvezi z zagotavljanjem javno dostopnih elektronskih komunikacijskih storitev ali javnih komunikacijskih omrežij, in spremembi Direktive 2002/58/ES (UL L 105, str. 54), ker naj ne bi bila sprejeta na ustrezni pravni podlagi.
Pravni okvir
Direktiva 95/46/ES
2 Direktiva Evropskega parlamenta in Sveta 95/46/ES z dne 24. oktobra 1995 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov (UL L 281, str. 31) določa pravila glede obdelave osebnih podatkov zaradi varstva pravic fizičnih oseb in hkratne zagotovitve prostega pretoka teh podatkov v Evropski skupnosti.
3 Člen 3(2) Direktive 95/46 določa:
„Ta direktiva se ne uporablja za obdelavo osebnih podatkov:
– med dejavnostjo, ki ne sodi na področje uporabe zakonodaje Skupnosti, kot so tiste, opredeljene v naslovih V in VI Pogodbe o Evropski uniji, in v vsakem primeru v postopkih obdelave v zvezi z javno varnostjo, obrambo, državno varnostjo (vključno z gospodarsko blaginjo države, kadar se postopek obdelave nanaša na zadeve državne varnosti) in pri dejavnostih države na področju kazenskega prava,
– s strani fizične osebe med potekom popolnoma osebne ali domače dejavnosti.“
Direktiva 2002/58/ES
4 Direktiva 2002/58/ES Evropskega parlamenta in Sveta z dne 12. julija 2002 o obdelavi osebnih podatkov in varstvu zasebnosti na področju elektronskih komunikacij (Direktiva o zasebnosti in elektronskih komunikacijah) (UL L 201, str. 37) je bila sprejeta za dopolnitev Direktive 95/46 s posebnimi določbami v sektorju telekomunikacij.
5 Člen 6(1) Direktive 2002/58 določa:
„Podatki o prometu, ki se nanašajo na naročnike in uporabnike in ki jih je ponudnik javnega komunikacijskega omrežja ali javno razpoložljive elektronske komunikacijske storitve obdelal in shranil, morajo biti izbrisani ali predelani v anonimne, potem ko niso več potrebni za namen prenosa sporočila, kar ne vpliva na odstavke 2, 3 in 5 tega člena in člen 15(1).“
6 Člen 15(1) te direktive določa:
„Države članice lahko sprejmejo zakonske ukrepe, s katerimi omejijo obseg pravic in obveznosti, določenih v členu 5, členu 6, členu 8(1), (2), (3) in (4) ter členu 9 te direktive, kadar takšna omejitev pomeni potreben, primeren in ustrezen ukrep znotraj demokratične družbe za zaščito državne varnosti (to je Državne varnosti), obrambe, javne varnosti in preprečevanje, preiskovanje, odkrivanje in pregon kriminalnih dejanj ali nedovoljene uporabe elektronskega komunikacijskega sistema iz člena 13(1) Direktive 95/46/ES. V ta namen lahko države članice med drugim sprejmejo zakonske ukrepe, ki določajo zadrževanje podatkov za določeno obdobje, upravičeno iz razlogov iz tega odstavka. Vsi ukrepi iz tega odstavka so v skladu s splošnimi načeli zakonodaje Skupnosti, vključno s tistimi iz člena 6(1) in (2) Pogodbe o Evropski uniji.“
Direktiva 2006/24
7 V uvodnih izjavah od 5 do 11 Direktive 2006/24 je določeno:
„(5) Številne države članice so sprejele zakonodajo, ki določa hrambo podatkov pri ponudnikih storitev za preprečevanje, preiskovanje, odkrivanje in pregon kaznivih dejanj. Te nacionalne določbe se bistveno razlikujejo.
(6) Pravne in tehnične razlike med nacionalnimi določbami glede hrambe podatkov za namen preprečevanja, preiskovanja, odkrivanja in pregona kaznivih dejanj predstavljajo ovire za notranji trg elektronskih komunikacij, saj se ponudniki storitev soočajo z različnimi zahtevami glede kategorij podatkov o prometu in lokaciji, ki jih je treba hraniti, ter pogojev in obdobij hrambe.
(7) V sklepih Sveta za pravosodje in notranje zadeve z dne 19. decembra 2002 je bilo poudarjeno, da so zaradi bistveno večjih možnosti elektronskih komunikacij podatki, povezani z uporabo elektronskih komunikacij, še posebej pomembno in zato dragoceno sredstvo za preprečevanje, preiskovanje, odkrivanje in pregon kaznivih dejanj, zlasti organiziranega kriminala.
(8) Izjava o boju proti terorizmu, ki jo je Evropski svet sprejel 25. marca 2004, je Svetu naložila, naj preuči ukrepe za vzpostavitev pravil o hrambi podatkov komunikacijskega prometa pri ponudnikih storitev.
(9) V skladu s členom 8 Evropske konvencije o varstvu človekovih pravic in temeljnih svoboščin (v nadaljevanju: EKČP) ima vsakdo pravico do spoštovanja svojega zasebnega življenja in korespondence. Javni organi se lahko vmešavajo v izvajanje teh pravic samo v skladu z zakonom in kjer je v demokratični družbi to potrebno zaradi interesov nacionalne in javne varnosti, preprečevanja neredov ali kriminala ter varovanja pravic in svoboščin drugih. Ker se je hramba podatkov izkazala za zelo potrebno in učinkovito preiskovalno orodje za organe pregona v nekaterih državah članicah, zlasti v hudih primerih, kot so organizirani kriminal in terorizem, je treba organom pregona zagotoviti dostop do shranjenih podatkov za določeno časovno obdobje pod pogoji, določenimi v tej direktivi. Sprejetje instrumenta hrambe podatkov, ki upošteva zahteve člena 8 EKČP, je zato nujen ukrep.
(10) Svet je 13. julija 2005 v izjavi o obsodbi terorističnih napadov na London poudaril potrebo po čimprejšnjem sprejetju skupnih ukrepov o hrambi telekomunikacijskih podatkov.
(11) Glede na pomembnost podatkov o prometu in lokaciji za preiskovanje, odkrivanje in pregon kaznivih dejanj, kakor kažejo raziskave in praktične izkušnje več držav članic, obstaja potreba, da se na evropski ravni zagotovi, da se podatki, ki se pridobivajo ali obdelujejo med zagotavljanjem komunikacijskih storitev s strani ponudnikov javno dostopnih elektronskih komunikacij storitev ali javnih komunikacijskih omrežij, hranijo za določeno časovno obdobje v skladu s pogoji, določenimi v tej direktivi.“
8 V uvodni izjavi 21 te direktive je določeno:
„Ker ciljev te direktive, in sicer uskladitve obveznosti ponudnikov, da hranijo določene podatke in zagotovijo, da so ti podatki dostopni za namene preiskovanja, odkrivanja in pregona hudih kaznivih dejanj, kakor jih države članice opredeljujejo v svojih nacionalnih zakonodajah, države članice same ne morejo zadovoljivo doseči in ker te cilje zaradi obsega in učinkov te direktive lažje doseže Skupnost, lahko Skupnost sprejme ukrepe v skladu z načelom subsidiarnosti iz člena 5 Pogodbe ?ES?. V skladu z načelom sorazmernosti iz navedenega člena ta direktiva ne prekoračuje okvirov, ki so potrebni za doseganje navedenih ciljev.“
9 V uvodni izjavi 25 navedene direktive je določeno:
„Ta direktiva ne posega v pristojnosti držav članic, da sprejmejo zakonodajne ukrepe glede pravice nacionalnih organov, ki jih določijo, do dostopa in do uporabe podatkov. Omogočanje dostopa do podatkov, ki jih v skladu s to direktivo hranijo nacionalni organi za dejavnosti, kakršne so naštete v prvi alinei člena 3(2) Direktive 95/46/ES, so zunaj področja uporabe prava Skupnosti. Vendar pa so lahko predmet nacionalnega prava ali dejavnosti v skladu z naslovom VI Pogodbe o Evropski uniji. Taki zakoni ali dejavnosti morajo v celoti spoštovati temeljne pravice, kakršne izhajajo iz skupne ustavne tradicije držav članic in kakor jih zagotavlja EKČP. […]“
10 Člen 1(1) Direktive 2006/24 določa:
„Namen te direktive je uskladiti določbe držav članic glede obveznosti ponudnikov javno dostopnih elektronskih komunikacijskih storitev ali javnih komunikacijskih omrežij glede hrambe določenih podatkov, ki jih pridobivajo ali obdelujejo, da se zagotovi dostopnost podatkov za namen preprečevanja, preiskovanja, odkrivanja in pregona hudih kaznivih dejanj, kakor jih opredeljuje nacionalna zakonodaja vsake od držav članic.“
11 Člen 3(1) navedene direktive določa:
„Z odstopanjem od členov 5, 6 in 9 Direktive 2002/58/ES države članice sprejmejo ukrepe za zagotovitev, da so podatki, opredeljeni v členu 5 te direktive, hranjeni v skladu z določbami te direktive, kolikor se pridobivajo ali obdelujejo pri ponudnikih javno dostopnih elektronskih komunikacijskih storitev ali javnega komunikacijskega omrežja v njihovi pristojnosti v procesu zagotavljanja zadevnih komunikacijskih storitev.“
12 Člen 4 te direktive določa:
„Države članice sprejmejo ukrepe za zagotovitev, da se podatki, hranjeni v skladu s to direktivo, zagotovijo samo pristojnim nacionalnim organom za vsak primer posebej in v skladu z nacionalnim pravom. Vsaka država članica v nacionalnem pravu določi postopke in pogoje za pridobitev dostopa do hranjenih podatkov v skladu z zahtevami glede nujnosti in sorazmernosti, in sicer ob upoštevanju ustreznih določb prava Evropske unije ali mednarodnega javnega prava, zlasti pa EKČP, kakor jo razlaga Evropsko sodišče za človekove pravice.“
13 Člen 5 Direktive 2006/24 določa:
„1. Države članice zagotovijo, da se v skladu s to direktivo hranijo naslednje kategorije podatkov:
a) podatki, potrebni za sledenje in prepoznanje vira komunikacije:
[…]
b) podatki, potrebni za prepoznanje cilja komunikacije:
[…]
c) podatki, potrebni za ugotovitev datuma, časa in trajanja komunikacije:
[…]
d) podatki, potrebni za ugotovitev vrste komunikacije:
[…]
e) podatki, potrebni za razpoznavo komunikacijske opreme uporabnikov ali njihove dozdevne opreme:
[…]
f) podatki, potrebni za ugotovitev lokacije opreme za mobilno komunikacijo:
[…]
2. Podatki, ki razkrivajo vsebino komunikacije, ne smejo biti hranjeni v skladu s to direktivo.“
14 Člen 6 navedene direktive določa:
„Države članice zagotovijo, da se kategorije podatkov, opredeljene v členu 5, hranijo za obdobje najmanj šestih mesecev in največ dveh let od datuma komunikacije.“
15 Člen 7 iste direktive določa:
„Brez poseganja v predpise, sprejete na podlagi Direktive 95/46/ES in Direktive 2002/58/ES, vsaka država članica zagotovi, da ponudniki javno dostopnih elektronskih komunikacijskih storitev ali javnega komunikacijskega omrežja, glede podatkov hranjenih v skladu s to direktivo, spoštujejo vsaj naslednja načela varstva podatkov:
[…]“
16 Člen 8 Direktive 2006/24 določa:
„Države članice zagotovijo, da se podatki, kakor so opredeljeni v členu 5, hranijo v skladu s to direktivo na način, da se lahko podatki in vse druge potrebne informacije, povezane s temi podatki, na zahtevo posredujejo pristojnim organom brez nepotrebnega odlašanja.“
17 Člen 11 iste direktive določa:
„V člen 15 Direktive 2002/58/ES se vstavi naslednji odstavek:
‘1a Odstavek 1 se ne uporablja za podatke, katerih hramba je posebej zahtevana v Direktivi [2006/24] za namene iz člena 1(1) navedene direktive.“
Dejansko stanje
18 Francoska republika, Irska, Kraljevina Švedska in Združeno kraljestvo Velika Britanija in Severna Irska so 28. aprila 2004 Svetu Evropske unije predložili pobudo za sprejetje okvirnega sklepa na podlagi členov 31(1)(c) in 34(2)(b) EU. Ta osnutek se je nanašal na hrambo obdelanih in shranjenih podatkov v zvezi z zagotavljanjem javno dostopnih elektronskih komunikacijskih storitev ali podatkov o javnih komunikacijskih omrežjih za preprečevanje, preiskovanje, odkrivanje in pregon kaznivih dejanj, vključno s terorizmom (dokument Sveta 8958/04).
19 Komisija Evropskih skupnosti je izrekla podporo pravni podlagi, uporabljeni v tem osnutku okvirnega sklepa. Zlasti je opozorila, da člen 47 EU ne dopušča, da bi akt, ki temelji na Pogodbi EU, vplival na pravni red Skupnosti, v tem primeru direktivi 95/46 in 2002/58. Ker opredelitev kategorij podatkov, ki jih je treba hraniti, in obdobja njihove hrambe spada v pristojnost zakonodajalca Skupnosti, je Komisija menila, da ima pravico predlagati direktivo.
20 Komisija je 21. septembra 2005 sprejela predlog direktive Evropskega parlamenta in Sveta o hrambi podatkov, pridobljenih ali obdelanih v zvezi z zagotavljanjem javno dostopnih elektronskih komunikacijskih storitev, in spremembi Direktive 2002/58 (COM(2005) 438 konč.), predlog, ki temelji na členu 95 ES.
21 Svet se je na seji 1. in 2. decembra 2005 namesto za nadaljevanje postopka sprejetja okvirnega sklepa raje odločil za sprejetje direktive na pravni podlagi Pogodbe ES.
22 Evropski parlament je 14. decembra 2005 izdal svoje mnenje v okviru postopka soodločanja iz člena 251 ES.
23 Svet je na seji 21. februarja 2006 s kvalificirano večino sprejel Direktivo 2006/24. Irska in Slovaška republika sta glasovali proti sprejetju tega besedila.
Predlogi strank
24 Irska predlaga Sodišču, naj:
– razglasi ničnost Direktive 2006/24, ker naj ne bi bila sprejeta na ustrezni pravni podlagi, in
– Svetu in Parlamentu naloži plačilo stroškov.
25 Parlament Sodišču predlaga, naj:
– primarno, tožbo zavrne kot neutemeljeno in
– Irski naloži plačilo vseh stroškov, nastalih v tem postopku;
– podredno, če bi Sodišče razglasilo ničnost Direktive 2006/24, odloči, da bo ta direktiva še naprej imela učinke, dokler ne začne veljati nov akt.
26 Svet Sodišču predlaga, naj:
– zavrne tožbo, ki jo je vložila Irska, in
– tej državi članici naloži plačilo stroškov.
27 Predsednik Sodišča je s sklepoma z dne 1. februarja 2007 odobril intervencijo Slovaške republike v podporo predlogom Irske ter intervencijo Kraljevine Španije, Kraljevine Nizozemske, Komisije in evropskega nadzornika za varstvo podatkov v podporo predlogom Parlamenta in Sveta.
Tožba
Trditve strank
28 Irska navaja, da je izbira člena 95 ES za pravno podlago Direktive 2006/24 temeljna napaka. Niti ta člen niti nobena druga določba Pogodbe ES ne more zagotavljati ustrezne pravne podlage za to direktivo. Ta država članica predvsem zatrjuje, da je edini cilj ali vsaj glavni oziroma prevladujoči cilj navedene direktive olajšati preiskovanje, odkrivanje in pregon kaznivih dejanj, vključno s terorizmom. Zato naj bi bilo mogoče ukrepe iz Direktive 2006/24 veljavno sprejeti samo na pravni podlagi iz naslova VI Pogodbe EU, zlasti njenih členov 30, 31(1)(c) in 34(2)(b).
29 Po mnenju Irske naj bi se po preučitvi zlasti uvodnih izjav od 7 do 11 in 21 ter temeljnih določb Direktive 2006/24, zlasti njenega člena 1(1), izkazalo, da člen 95 ES ni ustrezna in utemeljena pravna podlaga za zadevno direktivo. Navedena direktiva naj bi bila jasno usmerjena k zatiranju kaznivih dejanj.
30 Po mnenju te države članice je nesporno, da mora biti „težišče“ ukrepov, sprejetih na podlagi člena 95 ES, približevanje nacionalnih zakonodaj za izboljšanje delovanja notranjega trga (glej zlasti sodbo z dne 30. maja 2006 v združenih zadevah Parlament proti Svetu in Komisiji, C‑317/04 in C‑318/04, ZOdl., str. I‑4721). Določbe Direktive 2006/24 naj bi se nanašale na zatiranje kaznivih dejanj, njihov namen pa naj bi bil odprava morebitnih motenj pri delovanju notranjega trga.
31 Tudi če bi Sodišče, v nasprotju z glavno trditvijo Irske, presodilo, da je namen Direktive 2006/24 zlasti preprečiti izkrivljanje konkurence ali ovire na notranjem trgu, ta država članica trdi, da bi bilo treba ta cilj obravnavati kot popolnoma drugotnega pomena v primerjavi z glavnim ali prevladujočim ciljem, ki naj bi bil zatiranje kaznivih dejanj.
32 Irska dodaja, da bi se Direktiva 2002/58 lahko spremenila z drugo direktivo, vendar po njenem zakonodajalec Skupnosti na podlagi člena 95 ES ni pooblaščen za sprejetje direktive o spremembi, da bi tako vnesel določbe zunaj pristojnosti Skupnosti v okviru prvega stebra. Obveznosti, katerih namen je zagotoviti, da bodo podatki na voljo za preiskovanje, odkrivanje in pregon hudih kaznivih dejanj, naj bi spadale na področje, glede katerega se lahko akti izdajajo le na podlagi naslova VI Pogodbe EU. Sprejetje takega akta naj torej ne bi vplivalo na določbe navedene direktive v smislu člena 47 EU. Čeprav je bila beseda „vplivati“, ki je uporabljena v tem členu, pravilno razumljena, bi jo bilo treba razlagati tako, da ne prepoveduje, da bi se akti Skupnosti in akti Unije prekrivali, če gre za manj pomembna področja.
33 Slovaška republika podpira predloge Irske. Meni, da člen 95 ES ne more biti pravna podlaga za Direktivo 2006/24, ker glavni cilj te direktive ni odprava ovir in izkrivljanja na notranjem trgu. Cilj te direktive naj bi bila uskladitev hrambe podatkov, ki naj bi presegala tržne cilje in katere namen naj bi bil olajšati delovanje držav članic na področju kazenskega prava, in naj je zato ne bi bilo mogoče sprejeti v okviru pristojnosti Skupnosti.
34 Ta država članica meni, da hramba osebnih podatkov, kakršna je določena z Direktivo 2006/24, vodi v znatno poseganje v pravico do zasebnosti, določeno v členu 8 EKČP. Obstajal naj bi dvom, da se tako veliko poseganje lahko utemelji z ekonomskimi razlogi, v tem primeru z boljšim delovanjem notranjega trga. Sprejetje akta zunaj pristojnosti Skupnosti, katerega glavni in neprikrit namen naj bi bilo zatiranje kriminala in terorizma, naj bi bila ustreznejša rešitev, ki bi omogočila primernejšo utemeljitev za poseg v pravico do zasebnosti.
35 Parlament navaja, da Irska določbe Direktive 2006/24 razlaga selektivno. Parlament meni, da uvodni izjavi 5 in 6 te direktive opredeljujeta, da je glavni oziroma prevladujoči cilj te direktive odpraviti ovire na notranjem trgu elektronskih komunikacij, z uvodno izjavo 25 pa naj bi bilo potrjeno, da dostop do shranjenih podatkov in njihova uporaba ne spadata v okvir pristojnosti Skupnosti.
36 Parlament zatrjuje, da so nekatere države članice zaradi terorističnih napadov 11. septembra 2001 v New Yorku (Združene države Amerike), 11. marca 2004 v Madridu (Španija) in 7. julija 2005 v Londonu (Združeno kraljestvo) sprejele različna pravila o hrambi podatkov. Po mnenju te institucije bi te razlike lahko ovirale zagotavljanje elektronskih komunikacijskih storitev. Parlament meni, da hramba podatkov pomeni velik strošek za ponudnike javno dostopnih elektronskih komunikacijskih storitev oziroma za upravljavce javnih komunikacijskih omrežij (v nadaljevanju: ponudniki storitev) in da lahko obstoj različnih pravil na tem področju izkrivlja konkurenco na notranjem trgu. Dodaja, da je glavni cilj Direktive 2006/24 uskladitev obveznosti, ki jih države članice nalagajo ponudnikom storitev na področju hrambe podatkov. Iz tega naj bi bilo razvidno, da je člen 95 ustrezna pravna podlaga za to direktivo.
37 Parlament tudi navaja, da pomen, ki se daje zatiranju kaznivih dejanj, ne pomeni, da navedena direktiva ne more biti sprejeta na podlagi člena 95 ES. Čeprav bi zatiranje kriminala očitno vplivalo na izbiro v okviru te direktive, s tem ni omajana izbira člena 95 ES za pravno podlago.
38 Poleg tega naj bi člen 4 Direktive 2006/24 določal, v skladu s pravico iz njene uvodne izjave 25, da morajo države članice opredeliti pogoje za dostop in obdelavo shranjenih podatkov ob upoštevanju določb prava Unije, mednarodnega prava in zlasti EKČP. Ta pristop naj bi bil drugačen od tistega pri ukrepih, ki so bili obravnavani v zgoraj navedeni sodbi Parlament proti Svetu in Komisiji, v zadevi, v kateri so bile letalske družbe zavezane omogočiti dostop do podatkov o potnikih organom pregona tretje države. Z navedeno direktivo naj bi tako bila upoštevana razdelitev pristojnosti med prvim in tretjim stebrom.
39 Parlament meni, da čeprav hramba osebnih podatkov posameznika res načeloma lahko pomeni poseganje v smislu člena 8 EKČP, je mogoče to poseganje v okviru tega člena utemeljiti s sklicevanjem na javno varnost in preprečevanje kriminala. Vprašanje upravičenosti takega posega bi bilo treba razlikovati od vprašanja izbire ustrezne pravne podlage v okviru pravnega reda Unije, saj ti vprašanji nikakor nista povezani.
40 Svet navaja, da so bili nacionalni organi pregona v letih po sprejetju Direktive 2002/58 vse bolj zaskrbljeni glede izkoriščanja novosti na področju elektronskih komunikacijskih storitev pri storitvi kaznivih dejanj. Meni, da so te nove skrbi vodile države članice k sprejetju ukrepov za preprečevanje izbrisa podatkov o teh komunikacijah in za zagotavljanje njihove dostopnosti organom pregona. Ta institucija navaja, da je raznolikost teh ukrepov začela ovirati dobro delovanje notranjega trga. Uvodni izjavi 5 in 6 Direktive 2006/24 naj bi bili glede tega jasni.
41 Ta položaj naj bi zavezoval zakonodajalca Skupnosti, da zagotovi, da se za ponudnike storitev določijo enotna pravila glede pogojev, pod katerimi lahko izvajajo dejavnosti.
42 Iz teh razlogov naj bi zakonodajalec Skupnosti leta 2006 presodil, da je nujno, da obveznost izbrisa podatkov, določena s členi 5, 6 in 9 Direktive 2002/58, preneha in da se določi, da bi se v prihodnje morali podatki, navedeni v členu 5 Direktive 2006/24, shranjevati neko obdobje. S to spremembo bi bile države članice zavezane zagotavljati shranjevanje navedenih podatkov najmanj šest mesecev in največ dve leti od dneva komunikacije. Cilj te spremembe naj bi bila določitev natančnih in usklajenih pogojev, ki jih morajo izpolnjevati ponudniki storitev glede izbrisa oziroma neizbrisa osebnih podatkov, navedenih v členu 5 Direktive 2006/24, z vzpostavitvijo skupnih pravil v Skupnosti, da se zagotovi enotnost notranjega trga.
43 Svet ugotavlja, da čeprav je bila potreba po zatiranju kriminala, vključno s terorizmom, odločilni dejavnik pri odločitvi o spremembi obsega pravic in obveznosti, določenih v členih 5, 6 in 9 Direktive 2002/58, ta okoliščina ne pomeni, da Direktive 2006/24 ni bilo mogoče sprejeti na podlagi člena 95 ES.
44 Niti členi 30 EU, 31 EU in 34 EU niti noben drug člen Pogodbe EU ne bi mogli utemeljiti akta, katerega cilj bi bil v bistvu spremeniti pogoje izvajanja dejavnosti ponudnikov storitev oziroma preprečiti, da bi se ureditev, določena z Direktivo 2002/58, uporabljala zanje.
45 Predpisi o kategorijah podatkov, ki jih morajo hraniti ponudniki storitev, in o obdobju hrambe teh podatkov, s katerimi bi bile spremenjene obveznosti, naložene ponudnikom storitev z Direktivo 2002/85, ne bi mogli biti predmet akta, ki temelji na naslovu VI Pogodbe EU. Sprejetje takega akta bi namreč vplivalo na določbe te direktive, kar bi pomenilo kršitev člena 47 EU.
46 Svet meni, da pravice, varovane s členom 8 EKČP, niso absolutne in se lahko omejijo pod pogoji, določenimi v točki 2 tega člena. Hramba podatkov, kot je predvidena z Direktivo 2006/24, naj bi imela splošni legitimni interes, priznan s členom 8, točka 2, EKČP in naj bi pomenil ustrezno sredstvo za varovanje tega interesa.
47 Kraljevina Španija in Kraljevina Nizozemska zatrjujeta, da kot je razvidno iz uvodnih izjav 1, 2, 5 in 6 Direktive 2006/24, je v bistvu cilj te direktive odpraviti ovire na notranjem trgu, ki jih povzročajo zakonodajne in tehnične razlike med nacionalnimi določbami držav članic. Menita, da navedena direktiva ureja hrambo podatkov zato, da se take ovire odpravijo, po eni strani z usklajevanjem obveznosti v zvezi s hrambo podatkov in po drugi strani z določitvijo elementov, na katere se nanaša ta obveznost, kot so kategorije podatkov, ki naj se hranijo, in obdobje njihove hrambe.
48 To, da je namen Direktive 2006/24, kot določa njen člen 1, usklajevanje, „da se zagotovi dostopnost podatkov za namen preiskovanja, odkrivanja in pregona hudih kaznivih dejanj, kakor jih opredeljuje nacionalna zakonodaja vsake od držav članic“, naj bi bilo drugo vprašanje. Ta direktiva naj ne bi urejala, kako naj javni ali policijski organi držav članic obdelujejo podatke. Nasprotno, usklajevanje naj bi se nanašalo le na vidik hrambe podatkov, ki neposredno vplivajo na poslovne dejavnosti ponudnikov storitev.
49 Čeprav navedena direktiva spreminja Direktivo 2002/58 in pomeni zvezo z Direktivo 95/46, se spremembe, ki jih obsega, lahko pravilno izvedejo le z aktom Skupnosti, in ne z aktom, ki temelji na Pogodbi EU.
50 Komisija opozarja, da je pred sprejetjem Direktive 2006/24 več držav članic na podlagi člena 15(1) Direktive 2002/58 sprejelo nacionalne ukrepe glede hrambe podatkov. Poudarja, da so se ti ukrepi zelo razlikovali. Hramba naj bi na primer trajala od treh mesecev na Nizozemskem do štirih let na Irskem. Po njenem mnenju imajo obveznosti glede hrambe podatkov pomembne ekonomske posledice za ponudnike storitev. Razlika med temi obveznostmi bi lahko povzročila izkrivljanje notranjega trga. V tem okviru naj bi bila Direktiva 2006/24 zakonito sprejeta na podlagi člena 95 ES.
51 Poleg tega naj bi ta zadnjenavedena direktiva na ravni Skupnosti usklajeno omejevala obveznosti, določene z Direktivo 2002/58. Ker pa ta temelji na členu 95 ES, pravna podlaga Direktive 2006/24 ne more biti drugačna.
52 Navedba raziskovanja, odkrivanja in pregona hudih kaznivih dejanj v členu 1(1) Direktive 2006/24 naj bi spadala na področje prava Skupnosti, saj je naveden legitimni cilj omejitev osebnih pravic, ki so bile s to direktivo omejene na področju varstva podatkov. Taka navedba naj bi bila potrebna zaradi upoštevanja zahtev, postavljenih z direktivama 95/46 in 2002/58 in skladnosti s členom 8 EKČP.
53 Evropski nadzornik navaja, da cilj Direktive 2006/24 izhaja iz člena 95 ES, ker ima po eni strani ta direktiva neposreden vpliv na gospodarske dejavnosti ponudnikov storitev in lahko torej prispeva k vzpostavitvi in delovanju notranjega trga, in da bi po drugi strani, če zakonodajalec skupnosti ne bi posredoval, nastalo izkrivljanje konkurence na tem notranjem trgu. Cilj zatiranja kaznivih dejanj naj ne bi bil niti edini niti prevladujoči cilj navedene direktive. Nasprotno, cilj te direktive naj bi bil primarno prispevati k vzpostavitvi in delovanju notranjega trga ter k odpravi izkrivljanja konkurence. Ta direktiva naj bi uskladila nacionalne določbe o tem, kako naj zasebna podjetja hranijo nekatere podatke v okviru svoje običajne gospodarske dejavnosti.
54 Poleg tega naj bi bila z Direktivo 2006/24 spremenjena Direktiva 2002/58, ki je bila sprejeta na podlagi člena 95 ES in bi zato morala biti sprejeta na isti pravni podlagi. Na podlagi člena 47 EU naj bi bil le zakonodajalec Skupnosti pristojen spreminjati obveznosti, ki izhajajo iz direktive, ki temelji na Pogodbi ES.
55 Evropski nadzornik meni, da če Pogodba ES ne bi mogla biti uporabljena kot pravna podlaga za Direktivo 2006/24, določbe prava Skupnosti o varstvu podatkov ne bi varovale državljanov, kadar je obdelava njihovih osebnih podatkov olajšana zaradi zatiranja kriminala. V takih primerih bi se splošna ureditev varstva podatkov na podlagi prava Skupnosti uporabila za obdelavo podatkov v poslovne namene, vendar ne za obdelavo istih podatkov zaradi zatiranja kriminala. Iz tega naj bi izhajalo, da bi ponudniki storitev težko razlikovali med njimi in da bi se raven varstva za zadevne osebe znižala. Zato bi bilo treba tak položaj preprečiti. S tako potrebo po skladnosti naj bi bilo torej mogoče utemeljiti sprejetje Direktive 2006/24 na podlagi Pogodbe ES.
Presoja Sodišča
56 Najprej je treba poudariti, da se vprašanje pristojnosti Evropske unije pojavlja drugače glede na to, ali je bila zadevna pristojnost že priznana Evropski uniji v širšem smislu. V prvem primeru gre za odločanje o razdelitvi pristojnosti v Uniji in podrobneje o vprašanju, ali je primerno nadaljevati z direktivo na podlagi Pogodbe ES ali z okvirnim sklepom na podlagi Pogodbe EU. Nasprotno pa gre v drugem primeru za odločanje o delitvi pristojnosti med Unijo in državami članicami in podrobneje o vprašanju, ali je Unija posegla v pristojnosti držav članic. V obravnavani zadevi gre za prvega od teh dveh primerov.
57 Treba je tudi opredeliti, da se tožba, ki jo je vložila Irska, nanaša le na izbiro pravne podlage, in ne na morebitno kršitev temeljnih pravic, ki je posledica poseganja v pravico do zasebnosti iz Direktive 2006/24.
58 Irska s podporo Slovaške republike navaja, da Direktiva 2006/24 ne more temeljiti na členu 95 ES, ker se njeno „težišče“ ne nanaša na delovanje notranjega trga. Edini ali vsaj glavni cilj te direktive naj bi bilo raziskovanje, odkrivanje in pregon kaznivih dejanj.
59 Tega stališča ni mogoče upoštevati.
60 V skladu z ustaljeno sodno prakso Sodišča mora izbira pravne podlage akta Skupnosti temeljiti na objektivnih dejstvih, ki jih je mogoče sodno preskusiti, med temi pa sta zlasti cilj in vsebina akta (glej sodbo z dne 23. oktobra 2007 v zadevi Komisija proti Svetu, C-440/05, ZOdl., str. I-9097, točka 61 in navedena sodna praksa).
61 Direktiva 2006/24 je bila sprejeta na podlagi Pogodbe ES in zlasti njenega člena 95.
62 Člen 95(1) ES določa, da Svet sprejme ukrepe za približevanje določb zakonov in drugih predpisov držav članic, katerih predmet je vzpostavitev in delovanje notranjega trga.
63 Zakonodajalec Skupnosti lahko uporabi člen 95 ES, zlasti če obstajajo razlike med nacionalnimi ureditvami, kadar take razlike ovirajo izvajanje temeljnih svoboščin ali povzročajo izkrivljanje konkurence in tako neposredno vplivajo na delovanje notranjega trga (glej v tem smislu sodbo z dne 12. decembra 2006 v zadevi Nemčija proti Parlamentu in Svetu, C‑380/03, ZOdl., str. I‑11573, točka 37 in navedena sodna praksa).
64 Če je uporaba člena 95 ES kot pravne podlage mogoča zaradi preprečitve prihodnjih ovir pri menjavi, ki nastanejo zaradi heterogenega razvoja nacionalnih zakonodaj, mora biti pojav teh ovir verjeten, namen spornega ukrepa pa mora biti njihova preprečitev (zgoraj navedena sodba Nemčija proti Parlamentu in Svetu, točka 38 in navedena sodna praksa).
65 Treba je preveriti, ali položaj, ki je pripeljal do sprejetja Direktive 2006/24, izpolnjuje pogoje, opisane v predhodnih dveh točkah.
66 Kot je razvidno iz uvodnih izjav 5 in 6 navedene direktive, je zakonodajalec Skupnosti izhajal iz ugotovitve, da obstajajo zakonodajne in tehnične razlike med nacionalnimi predpisi o tem, kako naj ponudniki storitev shranjujejo podatke.
67 Dokazi, predloženi Sodišču v zvezi s tem, potrjujejo, da je več držav članic po terorističnih napadih, navedenih v točki 36 te sodbe, ko so opazile, da so podatki o elektronskih komunikacijah učinkovito sredstvo za odkrivanje in zatiranje kriminala oziroma terorizma, sprejele ukrepe na podlagi člena 15(1) Direktive 2002/58, da bi ponudniku storitev naložile obveznosti glede shranjevanja takih podatkov.
68 Iz spisa je tudi razvidno, da imajo obveznosti glede shranjevanja podatkov bistvene gospodarske posledice za ponudnike storitev, ker lahko vključujejo velika vlaganja in stroške izkoriščanja.
69 Dokazi, predloženi Sodišču, sicer potrjujejo, da so se nacionalni ukrepi, sprejeti do leta 2005 na podlagi člena 15(1) Direktive 2002/58, zelo razlikovali predvsem glede kategorije dokumentov, ki se hranijo, in obdobja njihove hrambe.
70 Nazadnje je bilo mogoče povsem predvideti, da bi države članice, ki še niso imele predpisov o shranjevanju podatkov, uveljavile na tem področju pravila, ki bi lahko še povečala razlike med različnimi že obstoječimi nacionalnimi ukrepi.
71 Glede na to je očitno, da so bile razlike med nacionalnimi predpisi, sprejetimi glede hrambe podatkov o elektronskih komunikacijah, take, da so neposredno vplivale na delovanje notranjega trga in da je bilo predvidljivo, da se bo ta vpliv še povečal.
72 Zaradi takega položaja je bil upravičen namen zakonodajalca Skupnosti, da s sprejetjem usklajenih pravil zaščiti dobro delovanje notranjega trga.
73 Poleg tega je treba poudariti, da je Direktiva 2006/24 z določitvijo usklajene ravni shranjevanja podatkov o elektronskih komunikacijah spremenila določbe Direktive 2002/58.
74 Zadnjenavedena direktiva temelji na členu 95 ES.
75 Na podlagi člena 47 EU nobena določba Pogodbe EU ne sme vplivati na določbe Pogodbe ES. Ta zahteva je navedena tudi v prvem odstavku člena 29 EU, s katerim se začenja naslov VI te pogodbe, in sicer „Določbe o policijskem in pravosodnem sodelovanju v kazenskih zadevah“ (zgoraj navedena sodba Komisija proti Svetu, točka 52).
76 Ker je določeno, da nobena določba Pogodbe EU ne vpliva na pogodbe o ustanovitvi Evropskih skupnosti ali na poznejše pogodbe in akte, ki prve spreminjajo ali dopolnjujejo, se namreč člen 47 EU v skladu s členom 2, peta alinea, EU in členom 3, prvi odstavek, EU nanaša na ohranitev in razvijanje pravnega reda Skupnosti (sodba z dne 20. maja 2008 v zadevi Komisija proti Svetu, C‑91/05, še neobjavljena v ZOdl., točka 59).
77 Sodišče mora paziti, da akti, za katere Svet trdi, da se zanje uporablja naslov V Pogodbe EU, in ki lahko imajo pravne učinke, ne posegajo v pristojnosti, ki jih določbe Pogodbe ES priznavajo Skupnosti (zgoraj navedena sodba Komisija proti Svetu z dne 20. maja 2008, točka 33 in navedena sodna praksa).
78 Ker sprememba Direktive 2002/58, uveljavljena z Direktivo 2006/24, spada v pristojnosti Skupnosti, ta sprememba ne more temeljiti na določbi Pogodbe EU, ne da bi bil kršen člen 47 te pogodbe.
79 Za opredelitev, ali je zakonodajalec izbral ustrezno pravno podlago za sprejetje Direktive 2006/24, je treba, kot je razvidno iz točke 60 te sodbe, preizkusiti še vsebino njenih določb.
80 V zvezi s tem je treba ugotoviti, da so določbe te direktive predvsem omejene na dejavnosti ponudnikov storitev in da ne urejajo dostopa policijskih ali sodnih organov držav članic do podatkov niti njihove uporabe.
81 Natančneje, cilj določb Direktive 2006/24 je približevanje nacionalnih zakonodaj o obveznosti hrambe podatkov (člen 3), o kategorijah podatkov, ki se hranijo (člen 5), o obdobju hrambe podatkov (člen 6), o varovanju in varnosti podatkov (člen 7) ter o zahtevah glede shranjevanja podatkov (člen 8).
82 Vendar pa ukrepi, določeni z Direktivo 2006/24, ne vključujejo pregona s strani organov držav članic. Kot je razvidno zlasti iz člena 3 te direktive, morajo ponudniki storitev hraniti le podatke, ki jih pridobijo oziroma obdelujejo pri izvajanju zadevnih komunikacijskih storitev. To so le tisti podatki, ki so tesno povezani z izvajanjem poslovne dejavnosti teh ponudnikov.
83 Direktiva 2006/24 tako ureja postopke, ki so neodvisni od izvajanja vsakega morebitnega policijskega in sodnega ukrepa sodelovanja na kazenskem področju. S to direktivo niso poenoteni niti dostop pristojnih nacionalnih organov do podatkov na področju pregona niti uporaba in izmenjava teh podatkov med temi organi. Ti primeri, ki načeloma spadajo na področje, ki ga ureja naslov VI Pogodbe EU, so bili izključeni iz določb te direktive, kot je med drugim navedeno v njeni uvodni izjavi 25 in členu 4.
84 Iz tega izhaja, da se vsebina Direktive 2006/24 v bistvu nanaša na dejavnosti ponudnikov storitev v zadevnem sektorju notranjega trga, s tem da mednje ne sodijo državne dejavnosti iz naslova VI Pogodbe EU.
85 Glede na vsebino Direktive 2006/24 je treba ugotoviti, da se ta nanaša predvsem na delovanje notranjega trga.
86 Irska zoper to ugotovitev navaja, da je Sodišče z zgoraj navedeno sodbo Parlament proti Svetu in Komisiji razglasilo ničnost Sklepa Sveta 2004/496/ES z dne 17. maja 2004 o sklenitvi Sporazuma med Evropsko skupnostjo in Združenimi državami Amerike o obdelavi in prenosu podatkov iz PNR s strani letalskih prevoznikov Uradu za carine in varovanje meja pri Ministrstvu Združenih držav za domovinsko varnost (UL L 183, str. 83, in – popravek – UL 2005, L 255, str. 168).
87 Sodišče je v točki 68 zgoraj navedene sodbe Parlament proti Svetu in Komisiji ugotovilo, da se navedeni sporazum nanaša na isti prenos podatkov kot Odločba Komisije 2004/535/ES z dne 14. maja 2004 o ustreznem varstvu osebnih podatkov, vsebovanih v Evidenci imen letalskih potnikov, posredovani Uradu za carinsko in mejno zaščito Združenih držav Amerike (UL L 235, str. 11).
88 Zadnje navedena odločba se nanaša na prenos podatkov o letalskih potnikih, ki se prenesejo iz sistema rezervacij letalskih prevoznikov – s sedežem na ozemlju držav članic – v Urad za carine in varovanje meja pri Ministrstvu Združenih držav za domovinsko varnost. Sodišče je ugotovilo, da je bil cilj te odločbe obdelovanje podatkov, ki ni bilo potrebno za opravljanje storitev letalskega prevoznika, ampak je štelo za nujno zaradi ohranitve javne varnosti in za namene pregona. Sodišče je v točkah od 57 do 59 zgoraj navedene sodbe Parlament proti Svetu in Komisiji presodilo, da za tako obdelavo podatkov velja člen 3(2) Direktive 95/46, v skladu s katerim se ta direktiva ne uporablja za obdelavo osebnih podatkov, katere namen sta javna varnost in izvajanje dejavnosti države, povezane s področjem kazenskega prava. Sodišče je zato ugotovilo, da Odločba 2004/535 ne spada v področje uporabe Direktive 95/46.
89 Ker se je sporazum, ki je predmet Sklepa 2004/496, tako kot Odločba 2004/535 nanašal na obdelavo podatkov, ki so bili izključeni iz področja uporabe Direktive 95/46, je Sodišče presodilo, da Sklep 2004/496 ni mogel biti veljavno sprejet na podlagi člena 95 ES (zgoraj navedena sodba Parlament proti Svetu in Komisiji, točki 68 in 69).
90 Takih ugotovitev pa ni mogoče prenesti na Direktivo 2006/24.
91 Drugače kot Sklep 2004/496, ki se nanaša na prenos osebnih podatkov, ki spadajo v okvir, ki so ga javni organi vzpostavili za zagotavljanje javne varnosti, se Direktiva 2006/24 nanaša na dejavnosti ponudnikov storitev na notranjem trgu in ne vsebuje nobenih predpisov o dejavnostih javnih organov za namene pregona.
92 Iz tega je razvidno, da argumentov Irske v zvezi z razglasitvijo ničnosti Sklepa 2004/496 z zgoraj navedeno sodbo Parlament proti Svetu in Komisiji, ni mogoče upoštevati.
93 Glede na navedeno je treba ugotoviti, da je bilo sprejetje Direktive 2006/24 na podlagi člena 95 ES nujno.
94 Zato je treba to tožbo zavrniti.
Stroški
95 V skladu s členom 69(2) Poslovnika se neuspeli stranki naloži plačilo stroškov, če so bili priglašeni. Parlament in Svet sta predlagala, naj se Irski naloži plačilo stroškov, in ker ta s tožbenimi razlogi ni uspela, se ji naloži plačilo stroškov. Na podlagi člena 69(4), prvi pododstavek, intervenienti v tem sporu nosijo svoje stroške.
Iz teh razlogov je Sodišče (veliki senat) razsodilo:
1) Tožba se zavrne.
2) Irski se naloži plačilo stroškov.
3) Kraljevina Španija, Kraljevina Nizozemska, Slovaška republika, Komisija Evropskih skupnosti in evropski nadzornik za varstvo podatkov nosijo svoje stroške.
Podpisi