FÖRSLAG TILL AVGÖRANDE AV GENERALADVOKAT
YVES BOT
föredraget den 14 oktober 20081(1)
Mål C‑301/06
Irland
mot
Europaparlamentet,
Europeiska unionens råd
”Talan om ogiltigförklaring – Direktiv 2006/24/EG – Elektronisk kommunikation – Lagring av uppgifter – Val av rättslig grund – Artikel 95 EG – Avdelning VI i EU-fördraget”
1. De tvister som handlat om val av rättslig grund har den senaste tiden föranlett ett flertal avgöranden där domstolen har fått fastställa avgränsningen mellan områden där Europeiska gemenskapen respektive Europeiska unionen är behörig.(2)
2. Det är kompetensfördelningen inom en konstitutionell struktur som består av tre pelare, närmare bestämt en gemenskapspelare och två pelare som är av mer mellanstatlig art, som ger upphov till sådana tvister. Domstolen har följaktligen ställts inför den känsliga och komplexa uppgiften att slå fast var skiljelinjen går mellan de verksamhetsområden som ankommer på gemenskapslagstiftaren och dem som unionslagstiftaren ansvarar för.
3. I förevarande mål har domstolen anmodats att precisera avgränsningen mellan gemenskapspelaren och tredje pelaren, närmare bestämt avdelning VI i EU-fördraget, som avser polissamarbete och straffrättsligt samarbete.
4. Genom sin talan har Irland yrkat att domstolen ska ogiltigförklara Europaparlamentets och rådets direktiv 2006/24/EG av den 15 mars 2006 om lagring av uppgifter som genererats eller behandlats i samband med tillhandahållande av allmänt tillgängliga elektroniska kommunikationstjänster eller allmänna kommunikationsnät och om ändring av direktiv 2002/58/EG,(3) på den grunden att det inte antagits med stöd av en korrekt rättslig grund.
5. Irland anser, med stöd av Republiken Slovakien, att den enda möjliga rättsliga grunden för sådana åtgärder som föreskrivs i direktiv 2006/24 finns inom avdelning VI i EU-fördraget, som avser polissamarbete och straffrättsligt samarbete och, i synnerhet, i artiklarna 30 EU, 31.1 c EU och 34.2 b EU, och inte i artikel 95 EG.
6. I detta förslag till avgörande kommer jag att redogöra för de skäl som, enligt min uppfattning, talar för att gemenskapslagstiftaren fattade rätt beslut vid valet av artikel 95 EG som rättslig grund för antagandet av direktiv 2006/24.
I – Tillämpliga bestämmelser
7. I artikel 47 EU föreskrivs följande:
”Om inte annat följer av bestämmelserna om ändring av Fördraget om upprättandet av Europeiska ekonomiska gemenskapen i syfte att upprätta Europeiska gemenskapen, Fördraget om upprättandet av Europeiska kol- och stålgemenskapen, Fördraget om upprättandet av Europeiska atomenergigemenskapen och dessa slutbestämmelser skall ingen bestämmelse i det här fördraget inverka på fördragen om upprättandet av Europeiska gemenskaperna eller på senare fördrag och rättsakter om ändring eller komplettering av de fördragen.”
8. I artikel 95.1 EG föreskrivs följande:
”Med avvikelse från artikel 94 och om inte annat föreskrivs i detta fördrag skall följande bestämmelser tillämpas för att nå de mål som anges i artikel 14. Rådet skall enligt förfarandet i artikel 251 och efter att ha hört Ekonomiska och sociala kommittén, besluta om åtgärder för tillnärmning av sådana bestämmelser i lagar och andra författningar i medlemsstaterna som syftar till att upprätta den inre marknaden och få den att fungera.”
9. Artikel 95 EG har tjänat som grund för antagandet av nedanstående tre direktiv:
– Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter,(4)
– Europaparlamentets och rådets direktiv 2002/58/EG av den 12 juli 2002 om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation (direktiv om integritet och elektronisk kommunikation),(5) och
– direktiv 2006/24.
A – Direktiv 95/46
10. I direktiv 95/46 fastställs regler för behandling av personuppgifter, vilka syftar till att skydda fysiska personers grundläggande fri- och rättigheter, särskilt rätten till privatliv, samtidigt som det fria flödet av personuppgifter inom gemenskapen garanteras.
11. I artikel 3.2 i direktiv 95/46 föreskrivs en avgränsning av direktivets materiella tillämpningsområde. Däri stadgas följande:
”Detta direktiv gäller inte för sådan behandling av personuppgifter
– som utgör ett led i en verksamhet som inte omfattas av gemenskapsrätten, exempelvis sådan verksamhet som avses i avdelningarna V och VI i Fördraget om Europeiska unionen, och inte under några omständigheter behandlingar som rör allmän säkerhet, försvar, statens säkerhet (inbegripet statens ekonomiska välstånd när behandlingen har samband med frågor om statens säkerhet) och statens verksamhet på straffrättens område,
…”
12. Artikel 13.1 i direktiv 95/46 har rubriken Undantag och begränsningar och lyder som följer:
”Medlemsstaterna får genom lagstiftning vidta åtgärder för att begränsa omfattningen av de skyldigheter och rättigheter som anges i artiklarna 6.1, 10, 11.1, 12 och 21 i fall då en sådan begränsning är en nödvändig åtgärd med hänsyn till
a) statens säkerhet,
b) försvaret,
c) allmän säkerhet,
d) förebyggande, undersökning, avslöjande av brott eller åtal för brott eller av överträdelser av etiska regler som gäller för lagreglerade yrken,
e) ett viktigt ekonomiskt eller finansiellt intresse hos en medlemsstat eller hos Europeiska unionen, inklusive monetära frågor, budgetfrågor och skattefrågor,
f) en tillsyns-, inspektions- eller regleringsfunktion som, även om den är av övergående karaktär, är förbunden med myndighetsutövning i de under punkterna c), d) och e) nämnda fallen,
g) skydd av den registrerades eller andras fri- och rättigheter.”
B – Direktiv 2002/58
13. Direktiv 2002/58 antogs för att komplettera direktiv 95/46 med särskilda bestämmelser som avser sektorn för elektronisk kommunikation.
14. Artikel 1.1 i direktiv 2002/58 lyder som följer:
”Genom detta direktiv harmoniseras medlemsstaternas bestämmelser för att säkerställa ett likvärdigt skydd av de grundläggande fri- och rättigheterna, i synnerhet rätten till integritet, när det gäller behandling av personuppgifter inom sektorn för elektronisk kommunikation, samt för att säkerställa fri rörlighet för sådana uppgifter samt för utrustning och tjänster avseende elektronisk kommunikation inom gemenskapen.”
15. På motsvarande sätt som i artikel 3.2 i direktiv 95/46, fastställs i artikel 1.3 i direktiv 2002/58 en avgränsning av tillämpningsområdet för sistnämnda direktiv:
”Detta direktiv skall inte tillämpas på verksamheter som faller utanför tillämpningsområdet för Fördraget om upprättandet av Europeiska gemenskapen, t.ex. de som omfattas av avdelningarna V och VI i Fördraget om Europeiska unionen, och inte i något fall på verksamheter som avser allmän säkerhet, försvar, statens säkerhet (inbegripet statens ekonomiska välstånd när verksamheten rör statens säkerhet) och statens verksamhet på straffrättens område.”
16. I artiklarna 5, 6 och 9 i direktiv 2002/58 fastställs de regler som gäller för hur leverantörer av kommunikationsnät och kommunikationstjänster ska behandla de trafik- och lokaliseringsuppgifter som genereras vid användning av elektroniska kommunikationstjänster. Sådana uppgifter ska utplånas eller avidentifieras när de inte längre behövs för överföringen av en kommunikation, med undantag av uppgifter som är nödvändiga för fakturering och betalning av samtrafikavgifter. Vidare kan vissa uppgifter, förutsatt att den berörde gett sitt samtycke, behandlas och användas i marknadsföringssyften eller för att tillhandahålla mervärdestjänster.
17. I artikel 6.1 i direktiv 2002/58 preciseras följande:
”Trafikuppgifter om abonnenter och användare som behandlas och lagras av leverantören av ett allmänt kommunikationsnät eller en allmänt tillgänglig elektronisk kommunikationstjänst skall utplånas eller avidentifieras när de inte längre behövs för sitt syfte att överföra en kommunikation, utan att det påverkar tillämpningen av punkterna 2, 3 och 5 i den här artikeln samt artikel 15.1.”
18. I artikel 15.1 i samma direktiv stadgas följande:
”Medlemsstaterna får genom lagstiftning vidta åtgärder för att begränsa omfattningen av de rättigheter och skyldigheter som anges i artikel 5, artikel 6, artikel 8.1, 8.2, 8.3 och 8.4 och artikel 9 i detta direktiv när en sådan begränsning i ett demokratiskt samhälle är nödvändig, lämplig och proportionell för att skydda nationell säkerhet (dvs. statens säkerhet), försvaret och allmän säkerhet samt för förebyggande, undersökning, avslöjande av och åtal för brott eller vid obehörig användning av ett elektroniskt kommunikationssystem enligt artikel 13.1 i direktiv 95/46/EG. Medlemsstaterna får för detta ändamål bland annat vidta lagstiftningsåtgärder som innebär att uppgifter får bevaras under en begränsad period som motiveras av de skäl som fastställs i denna punkt. Alla åtgärder som avses i denna punkt skall vara i enlighet med de allmänna principerna i gemenskapslagstiftningen, inklusive principerna i artikel 6.1 och 6.2 i Fördraget om Europeiska unionen.”
C – Direktiv 2006/24
19. Skälen 5–11 i direktiv 2006/24 lyder som följer:
”5) Flera medlemsstater har antagit lagstiftning om leverantörers skyldighet att lagra trafikuppgifter för att kunna förebygga, utreda, avslöja och åtala brott. Dessa nationella bestämmelser är i stor utsträckning olika.
6) Skillnader i rättsliga och tekniska bestämmelser i medlemsstaterna avseende lagring av trafikuppgifter i syfte att förebygga, utreda, avslöja och åtala brott utgör hinder för den inre marknaden för elektronisk kommunikation, eftersom tjänsteleverantörer ställs inför olika krav avseende typen av trafik- och lokaliseringsuppgifter som skall lagras liksom villkoren för lagring och lagringstiderna.
7) I slutsatserna från rådet (rättsliga och inrikes frågor) av den 19 december 2002 understryks det att eftersom omfattningen av elektronisk kommunikation ökat avsevärt är uppgifter om användningen av sådan kommunikation särskilt viktiga och därför ett värdefullt verktyg när det gäller att förebygga, utreda, avslöja och åtala brott, särskilt organiserad brottslighet.
8) I Europeiska rådets uttalande om kampen mot terrorism av den 25 mars 2004 ges rådet i uppdrag att undersöka åtgärder om fastställande av regler för lagring av trafikuppgifter från kommunikation hos tjänsteoperatörer.
9) Enligt artikel 8 i Europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna [undertecknad den 4 november 1950 i Rom (nedan kallad Europakonventionen)] har alla personer rätt till skydd för sitt privatliv och sin korrespondens. En offentlig myndighets inblandning i utövandet av denna rättighet får bara ske i enlighet med vad som är stadgat i lag och om det är nödvändigt i ett demokratiskt samhälle, bland annat med hänsyn till landets nationella säkerhet eller den allmänna säkerheten, för att förebygga oordning eller brott eller för att skydda andra personers fri- och rättigheter. Eftersom lagring av uppgifter har visat sig vara ett så nödvändigt och effektivt redskap för de brottsbekämpande myndigheternas utredningar i många medlemsstater och framför allt i allvarliga fall som organiserad brottslighet och terrorism är det därför nödvändigt att se till att brottsbekämpande myndigheter får tillgång till lagrade uppgifter under en viss tid i enlighet med de villkor som föreskrivs i detta direktiv. Antagandet av ett instrument om lagring av uppgifter i enlighet med kraven i artikel 8 i Europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna är därför en nödvändig åtgärd.
10) Den 13 juli 2005 upprepade rådet i sitt uttalande om fördömande av bombattentaten i London behovet av att så snart som möjligt anta gemensamma åtgärder om lagring av telekommunikationsuppgifter.
11) Med tanke på hur viktiga trafik- och lokaliseringsuppgifter är för att kunna utreda, avslöja och åtala brott, något som framkommit både genom forskning och genom medlemsstaternas praktiska erfarenheter, är det viktigt att på europeisk nivå säkerställa att uppgifter som vid tillhandahållande av kommunikationstjänster genereras eller behandlas av leverantörer av allmänt tillgängliga elektroniska kommunikationstjänster eller av allmänna kommunikationsnät lagras under en viss tid i enlighet med de villkor som föreskrivs i detta direktiv.”
20. Vidare ges följande förtydligande i skäl 15 i direktiv 2006/24:
”Direktiv 95/46/EG och direktiv 2002/58/EG är fullt tillämpliga på uppgifter som lagras i enlighet med detta direktiv. …”
21. I skäl 21 i direktiv 2006/24 föreskrivs följande:
”Eftersom målen med detta direktiv, nämligen att harmonisera leverantörernas skyldighet att lagra vissa uppgifter och säkerställa att de är tillgängliga för utredning, avslöjande och åtal av allvarliga brott såsom de definieras av varje medlemsstat i den nationella lagstiftningen inte i tillräcklig utsträckning kan uppnås av medlemsstaterna och de därför på grund av detta direktivs omfattning och verkningar bättre kan uppnås på gemenskapsnivå, får gemenskapen vidta åtgärder i enlighet med subsidiaritetsprincipen i artikel 5 i fördraget. I enlighet med proportionalitetsprincipen i samma artikel går detta direktiv inte utöver vad som är nödvändigt för att uppnå dessa mål.”
22. Mot denna bakgrund har skäl 25 i nämnda direktiv formulerats som följer:
”Detta direktiv påverkar inte medlemsstaternas befogenhet att anta lagstiftningsåtgärder om rätten till tillgång till och användning av uppgifter för de nationella myndigheter de utsett. Frågor om tillgång till de uppgifter som nationella myndigheter lagrar i enlighet med detta direktiv för de verksamheter som avses i artikel 3.2 första [strecksatsen] i direktiv 95/46/EG faller utanför tillämpningsområdet för gemenskapens lagstiftning. De kan emellertid omfattas av nationell lagstiftning eller nationella åtgärder i enlighet med avdelning VI i fördraget om Europeiska unionen. Sådana lagar eller åtgärder måste till fullo respektera de grundläggande rättigheter som följer av medlemsstaternas gemensamma författningsmässiga traditioner och som är garanterade i Europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna. Enligt den tolkning [som] Europeiska domstolen för de mänskliga rättigheterna gjort av artikel 8 i Europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna måste offentliga myndigheters intrång i rätten till privatliv stå i förhållande till vad som är nödvändigt och proportionerligt och därför tjäna närmare angivna, tydliga och legitima syften samt utövas på ett sätt som är rimligt och relevant och som inte är överdrivet i förhållande till syftet med intrånget.”
23. Artikel 1.1 i direktiv 2006/24 har följande lydelse:
”Syftet med detta direktiv är att harmonisera medlemsstaternas bestämmelser om de skyldigheter som leverantörer av allmänt tillgängliga elektroniska kommunikationstjänster eller allmänna kommunikationsnät har att lagra vissa uppgifter som de genererat eller behandlat för att säkerställa att uppgifterna är tillgängliga för utredning, avslöjande och åtal av allvarliga brott såsom de definieras av varje medlemsstat i den nationella lagstiftningen.”
24. I artikel 3 i samma direktiv fastställs en skyldighet att lagra uppgifter. Artikelns första punkt lyder som följer:
”Genom avvikelse från artiklarna 5, 6 och 9 i direktiv 2002/58/EG, skall medlemsstaterna anta åtgärder för att säkerställa lagring enligt bestämmelserna i det här direktivet av de uppgifter som specificeras i artikel 5 i detta, i den utsträckning som de genereras eller behandlas av leverantörer av allmänt tillgängliga elektroniska kommunikationstjänster eller allmänna kommunikationsnät inom statens territorium i samband med att leverantörerna levererar de kommunikationstjänster som berörs.”
25. Vad beträffar tillgången till de lagrade uppgifterna föreskrivs följande i artikel 4 i direktiv 2006/24:
”Medlemsstaterna skall anta åtgärder för att säkerställa att uppgifter som lagras i enlighet med detta direktiv endast görs tillgängliga för behöriga nationella myndigheter, i närmare angivna fall och i enlighet med nationell lagstiftning. De förfaranden som skall följas och de villkor som skall uppfyllas för att erhålla tillgång till lagrade uppgifter i enlighet med nödvändighets- och proportionalitetskraven skall fastställas av varje enskild medlemsstat i den nationella lagstiftningen och följa tillämpliga bestämmelser i EU-lagstiftningen och folkrätten, särskilt Europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna, i enlighet med den tolkning som görs av Europeiska domstolen för mänskliga rättigheter.”
26. När det gäller hur länge uppgifterna ska lagras föreskrivs följande i artikel 6 i samma direktiv:
”Medlemsstaterna skall säkerställa att de kategorier av uppgifter som anges i artikel 5 lagras under en period av minst sex månader och högst två år från det datum kommunikationen ägde rum.”
27. Vad beträffar de krav som uppställs för lagring av uppgifter, föreskrivs dessutom följande i artikel 8 i direktiv 2006/24:
”Medlemsstaterna skall säkerställa att uppgifter som anges i artikel 5 lagras i enlighet med detta direktiv på ett sådant sätt att uppgifterna och annan nödvändig information som är relaterad till uppgifterna utan dröjsmål kan överföras till de behöriga myndigheterna när de begär det.”
28. Mot bakgrund av den skyldighet att lagra uppgifter som inrättades genom direktiv 2006/24 infördes genom artikel 11 i nämnda direktiv ett nytt stycke i artikel 15 i direktiv 2002/58. Stycket lyder som följer:
”1a. Punkt 1 skall inte tillämpas på uppgifter som specifikt skall lagras enligt … direktiv 2006/24/EG … för de ändamål som avses i artikel 1.1 i det direktivet.”
29. Slutligen har artikel 12 i direktiv 2006/24 följande lydelse:
”1. En medlemsstat som står inför särskilda omständigheter som föranleder en tidsbegränsad förlängning av den högsta tillåtna lagringstid som avses i artikel 6 får vidta nödvändiga åtgärder. Medlemsstaten skall då omedelbart underrätta kommissionen och informera övriga medlemsstater om de åtgärder som vidtagits i enlighet med denna artikel och ange skälen till att de vidtagits.
2. Kommissionen skall inom sex månader efter den underrättelse som avses i punkt 1 godkänna eller förkasta de berörda nationella åtgärderna, efter att ha kontrollerat huruvida de utgör godtycklig diskriminering eller dolda handelsrestriktioner mellan medlemsstater eller inte och huruvida de utgör ett hinder för en fungerande inre marknad eller inte. Om kommissionen inte fattar något beslut inom denna tidsperiod skall de nationella åtgärderna anses vara godkända.
…”
II – Bakgrund till tvisten
30. Den 28 april 2004 förelade Republiken Frankrike, Irland, Konungariket Sverige och Förenade konungariket Storbritannien och Nordirland rådet ett utkast till rambeslut grundat på artiklarna 31.1 c EU och 34.2 b EU. Utkastet avsåg bevarande av uppgifter som har behandlats och lagrats i samband med tillhandahållande av allmänt tillgängliga elektroniska kommunikationstjänster eller uppgifter i allmänna kommunikationsnät, för förebyggande, utredning, upptäckt och lagföring av brott och straffbara gärningar, inklusive terrorism.(6)
31. Då utkastet till rambeslut innehöll två delar, nämligen dels skyldigheter för operatörerna att under en viss tid lagra trafikuppgifter om användarna av operatörernas tjänster, dels skyldigheter som avser tillgång till och utbyte av dessa uppgifter mellan myndigheter med straffrättslig behörighet, godtog kommissionen artikel 95 EG som rättslig grund för de åtgärder som avsågs i utkastets första del. Kommissionen påpekade särskilt att en rättsakt som har sin grund i EU‑fördraget, enligt artikel 47 EU inte får inverka på gemenskapens samlade regelverk, i förevarande fall direktiven 95/46 och 2002/58. Då det, enligt kommissionen, ankommer på gemenskapslagstiftaren att fastställa vilka uppgiftskategorier som ska bevaras och hur lång lagringstiden ska vara förbehöll sig kommissionen rätten att utarbeta ett förslag till direktiv.
32. Den 21 september 2005 antog kommissionen ett förslag till Europaparlamentets och rådets direktiv om lagring av uppgifter som behandlats i samband med tillhandahållande av allmänt tillgängliga elektroniska kommunikationstjänster och om ändring av direktiv 2002/58,(7) med artikel 95 EG som grund.
33. Vid sitt sammanträde den 1 och den 2 december 2005 bestämde rådet sig för ett direktiv med rättslig grund i EG‑fördraget i stället för att fullfölja antagandet av ett rambeslut.
34. Den 28 november 2005 antog Europaparlamentets utskott för medborgerliga fri- och rättigheter samt rättsliga och inrikes frågor ett betänkande om direktivförslaget.(8) Den 14 december 2005 lämnade Europaparlamentet sitt yttrande i enlighet med medbeslutandeförfarandet i artikel 251 EG.(9)
35. Vid sitt sammanträde den 21 februari 2006 antog rådet direktiv 2006/24 med kvalificerad majoritet. Irland och Republiken Slovakien röstade emot.
III – Parternas yrkanden
36. Irland har yrkat att domstolen ska
– ogiltigförklara direktiv 2006/24 på den grunden att det inte antagits med stöd av en korrekt rättslig grund och
– förplikta rådet och parlamentet att ersätta rättegångskostnaderna.
37. Parlamentet har yrkat att domstolen ska
– ogilla talan och
– förplikta sökanden att ersätta samtliga rättegångskostnader i förevarande mål,
– alternativt besluta att rättsverkningarna av det omtvistade direktivet ska gälla fram till dess att en ny rättsakt träder i kraft.
38. Rådet har yrkat att domstolen ska
– ogilla Irlands talan om ogiltigförklaring av direktiv 2006/24 och
– förplikta Irland att ersätta rättegångskostnaderna.
IV – Förfarandet vid domstolen
39. Genom sitt beslut av den 1 februari 2007 tillät domstolens ordförande Republiken Slovakien att intervenera till stöd för sökandens yrkanden och Konungariket Spanien, Konungariket Nederländerna, kommissionen och Europeiska datatillsynsmannen (nedan kallad EDPS) att intervenera till stöd för svarandenas yrkanden.
V – Parternas huvudargument
40. Irland har gjort gällande att valet av artikel 95 EG som rättslig grund för direktiv 2006/24 är felaktigt. Enligt medlemsstaten utgör varken artikel 95 EG eller någon annan bestämmelse i EG‑fördraget en korrekt rättslig grund för direktivet.
41. Enligt Irland är det enda syftet med direktiv 2006/24, alternativt dess huvudsakliga syfte, att underlätta utredning, avslöjande och åtal av allvarliga brott, inklusive terrorism. Irland gör mot denna bakgrund gällande att den enda möjliga rättsliga grunden för sådana åtgärder som föreskrivs enligt direktivet finns inom avdelning VI i EU-fördraget, särskilt artiklarna 30 EU, 31.1 c EU och 34.2 b EU.
42. Om man beaktar skälen (särskilt skälen 7–11 och 21) och de grundläggande bestämmelserna (särskilt artikel 1.1) i direktiv 2006/24 framgår det att det inte är korrekt att använda artikel 95 EG som rättslig grund för direktivet. Direktivet är nämligen klart och tydligt inriktat mot bekämpning av allvarliga brott.
43. Det är fastslaget att åtgärder som antas med stöd av artikel 95 EG främst ska avse tillnärmning av nationell lagstiftning som gör att den inre marknaden fungerar bättre. Bestämmelserna i direktiv 2006/24 rör bekämpning av allvarliga brott och avsikten är inte att komma till rätta med den inre marknadens brister.
44. Alternativt, även om domstolen, i motsats till vad Irland i huvudsak har gjort gällande, skulle slå fast att direktiv 2006/24 bland annat har som målsättning att bekämpa en snedvridning av, eller hinder för, den inre marknaden, anser Irland att denna målsättning ska anses vara av helt underordnad betydelse i förhållande till den huvudsakliga eller förhärskande målsättningen att bekämpa brott.
45. Medlemsstaten hävdar att gemenskapslagstiftaren inte är behörig att använda sig av ett ändringsdirektiv som antas på grundval av artikel 95 EG för att anta bestämmelser som faller utanför gemenskapens behörighet inom ramen för första pelaren. De skyldigheter som syftar till att säkerställa att uppgifter är tillgängliga för utredning, avslöjande och åtal av allvarliga brott faller inom ett område som endast kan regleras i ett instrument med rättslig grund i avdelning VI i EU-fördraget. Antagandet av ett sådant instrument kan således inte inverka på bestämmelserna i direktiv 2002/58, i den mening som avses i artikel 47 EU.
46. Vidare har Irland gjort gällande att verksamhet som inte omfattas av EG‑fördraget, verksamhet som avser allmän säkerhet, försvar, statens säkerhet eller statens verksamhet på straffrättens område, i enlighet med artikel 3.2 första strecksatsen i direktiv 95/46 och artikel 1.3 i direktiv 2002/58, uttryckligen är utesluten från de nämnda direktivens tillämpningsområde. I direktiv 2006/24 finns inget motsvarande undantag. Tvärtom faller de områden som är uteslutna från tillämpningsområdet för direktiven 95/46 och 2002/58 inom tillämpningsområdet för direktiv 2006/24, vilket tydligt framgår av bestämmelserna i artikel 1.1 i det sistnämnda direktivet. Även om detta inte gäller för direktiv 95/46 och direktiv 2002/58 kan man ifrågasätta valet av artikel 95 EG som rättslig grund för direktiv 2006/24. Skälet till detta är att sistnämnda direktiv innefattar områden som uttryckligen undantas från de förstnämnda direktiven.
47. Den omständigheten att direktiv 2006/24 inte innehåller några bestämmelser om uppgifters tillgänglighet för utredning, avslöjande och åtal av allvarliga brott är inte avgörande och hindrar inte domstolen från att tillämpa samma resonemang som den förde i sin dom i det ovannämnda målet parlamentet och rådet mot kommissionen.
48. Till sist, vad beträffar parlamentets yrkande om att rättsverkningarna av en eventuell dom om ogiltigförklaring ska begränsas i tiden, har Irland hävdat dels att en sådan ogiltigförklaring inte medför risk för allvarliga ekonomiska svårigheter, dels att det inte med hänsyn till rättssäkerheten krävs att bestämmelserna i direktiv 2006/24 ska ha fortsatt giltighet om direktivet ogiltigförklaras. Mot denna bakgrund menar Irland att det inte skulle vara lämpligt att domstolen begränsade rättsverkningarna i tiden av en eventuell ogiltigförklaring av nämnda direktiv.
49. Republiken Slovakien delar Irlands inställning. Nämnda stat anser att artikel 95 EG inte kan tjäna som rättslig grund för direktiv 2006/24, eftersom det huvudsakliga syftet med direktivet inte är att undanröja hinder och snedvridningar på den inre marknaden. Genom direktivet harmoniseras lagring av personuppgifter också för ickekommersiella syften så att stater lättare ska kunna agera på det straffrättsliga området. Av denna anledning kan direktivet inte antas inom ramen för gemenskapens behörighet, och detta oberoende av frågan huruvida det i gemenskapsrättsakten finns bestämmelser om att uppgifterna överförs eller på annat sätt behandlas av de brottsbekämpande myndigheterna.
50. Bevarande av personuppgifter i den omfattning som krävs enligt direktiv 2006/24 innebär ett betydande intrång i privatpersoners rätt till privatliv, som skyddas i artikel 8 i Europakonventionen. Det är tveksamt om ett så långtgående intrång kan anses motiverat av ekonomiska skäl, i förevarande fall en mer välfungerande inre marknad. En lämpligare lösning skulle vara att utanför gemenskapens behörighet anta en rättsakt vars huvudsakliga och framträdande målsättning var bekämpning av kriminalitet och terrorism. Under sådana förhållanden skulle intrånget i enskildas rätt till privatliv vara mer motiverat.
51. I motsats till Irland anser Republiken Slovakien att det, för det fall direktiv 2006/24 ogiltigförklaras, är lämpligt att domstolen upphäver rättsverkningarna av sin dom fram till dess att en ersättningsrättsakt antas.
52. Enligt parlamentet vilar Irlands talan på en felaktig tolkning av syftet och innehållet i direktiv 2006/24 samt på en missuppfattning av den behörighet gemenskapen har inom ramen för första pelaren och den som tillkommer unionen inom ramen för tredje pelaren, närmare bestämt avdelning VI i EU-fördraget.
53. Parlamentet hävdar att sökanden har gjort en selektiv tolkning av bestämmelserna i direktiv 2006/24. I skälen 5 och 6 i nämnda direktiv förtydligas nämligen att direktivets huvudsakliga eller förhärskande syfte är att undanröja hinder för den inre marknaden för elektronisk kommunikation, och i skäl 25 i nämnda direktiv bekräftas att tillgången till och användningen av lagrade uppgifter inte faller inom gemenskapens behörighet.
54. Artikel 3.1 i direktiv 2006/24 utgör ett undantag från artiklarna 5, 6 och 9 i direktiv 2002/58. Genom förstnämnda artikel förpliktas leverantörer av elektronisk kommunikation att lagra sådana uppgifter som de tidigare varit skyldiga att utplåna. En sådan ändring av befintliga skyldigheter måste antas inom ramen för den behörighet som gäller inom första pelaren. Det skulle nämligen vara oförenligt med artikel 47 EU att använda en rättsakt under tredje pelaren. Parlamentet har också påpekat att de grundläggande bestämmelserna i direktiv 2006/24, det vill säga artiklarna 5–8, tveklöst syftar till att harmonisera de krav som uppställs avseende de lagrade uppgifterna.
55. Parlamentet har påpekat att vissa medlemsstater till följd av terrorattackerna den 11 september 2001 i Amerikas förenta stater och de senare attentaten i Madrid och i London antog eller var i färd med att anta högst skilda regler om lagring av uppgifter. Sådana skillnader kunde utgöra hinder för den fria rörligheten av personuppgifter mellan medlemsstaterna och därmed också för tillhandahållandet av tjänster inom elektronisk kommunikation.
56. Lagring av uppgifter medför avsevärda kostnader för de berörda operatörerna och förekomsten av olika regler kan snedvrida konkurrensen på den inre marknaden. Det huvudsakliga syftet med direktiv 2006/24 är en harmonisering av de skyldigheter som medlemsstaterna ålägger leverantörerna av elektronisk kommunikation med avseende på lagring av uppgifter. Av denna anledning ska artikel 95 EG anses utgöra den korrekta rättsliga grunden för nämnda direktiv. Den betydelse som tillmäts bekämpning av brottslighet innebär inget förbud mot att direktivet antas med stöd av artikel 95 EG. Kampen mot brottsligheten har klart påverkat de val som har gjorts i direktiv 2006/24, men detta hänsyn utgör inget hinder mot att artikel 95 EG väljs som rättslig grund för direktivet.
57. Parlamentet har också påpekat att det i direktiv 2006/24 – i motsats till vad som var fallet i de tvister som gav upphov till domen i det ovannämnda målet parlamentet mot rådet och kommissionen, där åtkomst hade medgivits en brottsbekämpande myndighet från ett tredjeland – inte finns någon bestämmelse som har till syfte eller får den verkan att åtkomst ges till lagrade uppgifter eller tillstånd ges för att dessa behandlas i brottsbekämpningssyfte. Direktivet innehåller heller inte några bestämmelser om samarbete mellan brottsbekämpande myndigheter i den mening som avses i artikel 30 EU eller om ett samarbete mellan rättsliga myndigheter i den mening som avses i artikel 31 EU. Sammanfattningsvis finns det således ingen bestämmelse i direktivet som avser ”statens verksamhet på straffrättens område” i den mening som avses i artikel 1.3 i direktiv 2002/58.
58. Parlamentet har gjort gällande att även om lagring av enskildas personuppgifter i princip kan anses utgöra ett intrång i den mening som avses i artikel 8 i Europakonventionen kan ett sådant intrång godtas enligt nämnda artikel med hänvisning till allmän säkerhet eller förebyggande av brott. Ett sådant rättfärdigande måste däremot hållas isär från valet av korrekt rättslig grund inom unionens rättsordning. Det finns nämligen inget samband mellan dessa frågeställningar.
59. Om domstolen skulle ogiltigförklara direktiv 2006/24, anser parlamentet avslutningsvis att direktivets rättsverkningar, med stöd i artikel 231 EG, bör gälla fram till dess att en ersättningsrättsakt antas. Även om sökanden har yrkat ogiltigförklaring av direktivet med hänvisning till felaktig rättslig grund har den nämligen inte ifrågasatt direktivets innehåll. Det är motiverat att upprätthålla direktivets rättsverkningar med hänsyn till rättssäkerheten och för att skydda de berördas intressen.
60. Rådet har framhållit att nationella brottsbekämpande myndigheter åren efter det att direktiv 2002/58 antogs blev alltmer bekymrade över hur innovationer på området för tjänster inom elektronisk kommunikation utnyttjades som ett led i brottsliga gärningar. Dessa nya bekymmer ledde till att medlemsstaterna vidtog åtgärder för att förhindra att uppgifter hänförliga till sådan kommunikation utplånades och för att säkerställa att de brottsbekämpande myndigheterna fick tillgång till dem. Åtgärderna var disparata och började inverka negativt på den inre marknadens funktion. Detta framgår uttryckligen av skälen 5 och 6 i direktiv 2006/24. Situationen ledde till att gemenskapslagstiftaren fastställde precisa och harmoniserade villkor för tjänsteleverantörerna avseende huruvida sådana personuppgifter som avses i artikel 5 i direktivet skulle utplånas eller ej. Genom gemensamma regler inom gemenskapen ville man på så sätt garantera enhetlighet inom den inre marknaden.
61. Vidare anser rådet att även om behovet att bekämpa brottslighet, inklusive terrorism, har varit en avgörande faktor för beslutet att ändra omfattningen av de rättigheter och skyldigheter som avses i artiklarna 5, 6 och 9 i direktiv 2002/58 förändrar denna omständighet inte det faktum att direktiv 2006/24 skulle antas med artikel 95 EG som grund. Varken artikel 30 EU, 31 EU eller 34 EU eller någon annan artikel i EU-fördraget hade kunnat tjäna som grund för en rättsakt som förändrade de skyldigheter som leverantörerna hade enligt direktiv 2002/58, eftersom detta skulle ha varit oförenligt med artikel 47 EU.
62. Förutom de inskränkningar som gäller enligt artikel 47 EU bestrider rådet att det område som omfattas av direktiv 2006/24 kan regleras i en rättsakt som måste antas på grundval av avdelning VI i EU‑fördraget, eftersom varken organisering av samarbete mellan i synnerhet polisen, tullmyndigheter och rättsliga myndigheter eller tillnärmning av medlemsstaternas straffrättsliga regler över huvudtaget regleras i nämnda direktiv.
63. Rådet har också anfört att de rättigheter som skyddas genom artikel 8 i Europakonventionen inte är absoluta och kan bli föremål för inskränkningar enligt de villkor som uppställs i andra stycket i artikeln. Lagring av uppgifter i den mening som avses i direktiv 2006/24 tjänar ett legitimt allmänintresse som erkänns genom artikel 8.2 i Europakonventionen och utgör ett lämpligt sätt att skydda detta intresse.
64. Konungariket Spanien och Konungariket Nederländerna stöder parlamentets och rådets inställning och har framställt argument inför domstolen som i sak överensstämmer dem som svarandesidan har fört fram.
65. Kommissionen har erinrat om att flera medlemsstater, med stöd av artikel 15.1 i direktiv 2002/58, före antagandet av direktiv 2006/24 hade vidtagit nationella åtgärder med avseende på lagring av uppgifter. Kommissionen har betonat att betydande skillnader förelåg mellan dessa åtgärder. Exempelvis varierade lagringstiden mellan tre månader i Nederländerna och fyra år på Irland. Skyldigheterna vad gäller lagring av uppgifter innebar betydande ekonomiska konsekvenser för tjänsteleverantörerna. Skillnader i omfattningen av dessa skyldigheter innebar potentiellt betydande störningar på marknaden. I detta sammanhang var det berättigat att anta direktiv 2006/24 med stöd av artikel 95 EG.
66. Genom sistnämnda direktiv begränsades de skyldigheter som föreskrivs i direktiv 2002/58 på ett harmoniserat sätt på gemenskapsnivå. Då direktiv 2002/58 antogs med stöd av artikel 95 EG borde direktiv 2006/24, genom vilket ändringar infördes i det förstnämnda direktivet, antas med stöd av samma artikel i EG‑fördraget.
67. Kommissionen anser också, till skillnad från vad Irland har framfört inom ramen för sin argumentation, att direktiv 2006/24 ska ses som ett instrument för skydd av uppgifter som ingår i det regelverk som har inrättats genom direktiven 95/46 och 2002/58. Vad gäller skyddet av uppgifter bör man främst skilja mellan behandling som i enlighet med en uteslutningsklausul faller utanför gemenskapsrättens tillämpningsområde och sådan som regleras enligt gemenskapsrätten men som med stöd av en begränsningsklausul kan bli föremål för vissa berättigade och proportionella begränsningar.
68. Det är riktigt att statens verksamhet på straffrättens område enligt artikel 3.2 i direktiv 95/46 och artikel 1.3 i direktiv 2002/58 är ett av undantagen från tillämpningsområdet för nämnda direktiv. I direktiv 2006/24 avses emellertid inte statens verksamhet som sådan, utan den behandling av uppgifter som utförs av telekommunikationsoperatörer i kommersiella syften, som hör samman med tillhandahållandet av elektroniska kommunikationstjänster via allmänna kommunikationsnät. Sådan verksamhet faller klart inom gemenskapsrättens tillämpningsområde och särskilt direktiv 95/46 och direktiv 2002/58.
69. Vidare förhåller det sig så att om en medlemsstats möjlighet att inskränka omfattningen av rätten till uppgiftsskydd med hänvisning till undersökning och avslöjande av samt åtal för allvarliga brott verkligen var en fråga som inte täcktes av gemenskapsrätten, skulle artikel 13.1 i direktiv 95/46 och artikel 15.1 i direktiv 2002/58 vara överflödiga och sakna ändamålsenlig verkan med avseende på artikel 3.2 i direktiv 95/46 och artikel 1.3 i direktiv 2002/58.
70. Slutligen har kommissionen påstått att den hänvisning till undersökning och avslöjande av samt åtal för allvarliga brott som görs i artikel 1.1 i direktiv 2006/24 omfattas av gemenskapsrätten, eftersom den anger det legitima skäl för inskränkningar i enskildas rättigheter som införs genom direktivet, vad gäller skyddet av deras personuppgifter. En sådan hänvisning är en nödvändig förutsättning för att tillgodose de krav som uppställs i direktiven 95/46 och 2002/58 men också för att iaktta artikel 8 i Europakonventionen.
71. Den argumentation som EDPS har framfört syftar främst till att visa vilken inverkan valet av rättslig grund har på gemenskapens skyddssystem för personuppgifter. Om EG‑fördraget inte kunde användas som grund för direktiv 2006/24 skulle, enligt EDPS, gemenskapsrättsliga bestämmelser om uppgiftsskydd inte skydda medborgarna i de fall då behandling av de sistnämndas personuppgifter kunde underlätta förebyggande och bekämpning av brottslighet. I en sådan situation skulle den allmänna gemenskapsrättsliga skyddsordningen för personuppgifter, främst grundad på direktiv 95/46 och direktiv 2002/58, tillämpas med avseende på behandling av uppgifter i kommersiella syften men inte med avseende på behandling av samma uppgifter i brottsbekämpande syften. Detta skulle resultera i svåra avgränsningar för tjänsteleverantörerna och en lägre skyddsnivå för de berörda. En sådan situation bör undvikas. Behovet av samstämmighet motiverade således att direktiv 2006/24 antogs med EG‑fördraget som grund.
VI – Bedömning
72. För att i tvister om val av rättslig grund kunna fastställa var skiljelinjen går mellan de områden där gemenskapslagstiftaren får vidta åtgärder och dem där det ankommer på Europeiska unionen att lagstifta, har domstolen förtydligat räckvidden av artikel 47 EU. I denna bestämmelse dras gränsen mellan det som omfattas av gemenskapsrätten och det som omfattas av unionsrätten.
73. Jag skulle vilja erinra om att enligt artikel 47 EU får ingen bestämmelse i EU-fördraget inverka på en bestämmelse i EG‑fördraget. Samma krav uppställs också i artikel 29 första stycket EU, som inleder avdelning VI i sistnämnda fördrag och reglerar polissamarbete och straffrättsligt samarbete.
74. I dess egenskap av garant för en avgränsning mellan områden som omfattas av EG‑fördraget respektive EU-fördraget, i enlighet med den regel som artikel 47 EU ger uttryck för, ankommer det på domstolen att tillse att rättsakter som enligt någon av parterna omfattas av avdelning V eller VI i EU-fördraget inte inkräktar på den behörighet som gemenskapen tilldelas enligt bestämmelserna i EG‑fördraget.(10)
75. I sammanhanget ska den behörighet som tillkommer gemenskapen enligt EG‑fördraget anses vara föremål för sådan inverkan som avses i artikel 47 EU, om bestämmelserna i en rättsakt som antagits med stöd av EU-fördraget hade kunnat antas med stöd av en artikel i EG‑fördraget.(11) Enligt domstolen syftar artikel 47 EU, i enlighet med artikel 2 femte strecksatsen EU och artikel 3 första stycket EU, nämligen till att upprätthålla och bygga ut gemenskapens regelverk.(12)
76. Vad beträffar den metod som ska användas för att bestämma huruvida en rättsakt som har antagits på grundval av EU-fördraget hade kunnat antas på grundval av EG‑fördraget prövar domstolen huruvida en sådan rättsakt med hänsyn till sitt syfte och innehåll har till huvudsakligt ändamål att genomföra en politik som tilldelats gemenskapen genom EG‑fördraget.(13) Domstolen tillämpar därvid sin fasta rättspraxis, enligt vilken valet av rättslig grund för en rättsakt ska ske utifrån objektiva kriterier som kan bli föremål för domstolsprövning. Bland dessa kriterier ingår bland annat rättsaktens syfte och innehåll.(14)
77. I förevarande mål handlar det visserligen inte om att fastställa huruvida en rättsakt som har antagits på grundval av EU-fördraget hade kunnat antas med stöd av EG‑fördraget, utan om att undersöka om det, såsom sökanden har gjort gällande, var rätt att anta en rättsakt på grundval av EG‑fördraget och inte på grundval av EU-fördraget. Den metod som ska användas är däremot identisk. Den består i att undersöka huruvida det med hänsyn till den omtvistade åtgärdens tyngdpunkt, enligt artikel 47 EU hade varit tillåtet att anta nämnda rättsakt på grundval av EU-fördraget.
78. I det mål vi har framför oss består problemet således i att bestämma huruvida Irlands ståndpunkt att direktiv 2006/24 borde ha antagits med stöd av artiklarna 30 EU, 31.1 c EU och 34.2 b EU är förenlig med vad som föreskrivs enligt artikel 47 EU. Annorlunda uttryckt: Har antagandet av de åtgärder som ingår i nämnda direktiv med EU-fördraget som grund medfört ett åsidosättande av artikel 47 EU? För att kunna besvara denna fråga bör det först undersökas om direktiv 2006/24 i fråga om dess syfte och innehåll verkligen faller inom det område som regleras i artikel 95 EG.
79. När det gäller användningen av artikel 95 EG som rättslig grund för en gemenskapsrättsakt framgår det av domstolens praxis att det inte är tillräckligt att enbart konstatera att det föreligger skillnader mellan de nationella bestämmelserna för att motivera valet av denna artikel. Däremot gäller detta inte i ett fall då det föreligger skillnader mellan medlemsstaternas lagar och andra författningar som kan utgöra hinder för de grundläggande friheterna och på så sätt ha direkt betydelse för den inre marknadens funktion.(15) Det följer vidare av fast rättspraxis att även om artikel 95 EG kan tillämpas som rättslig grund för att förebygga framtida handelshinder till följd av att medlemsstaternas lagstiftning utvecklas i olika riktningar, måste det dock vara sannolikt att sådana hinder kan komma att uppstå, och åtgärden i fråga måste ha till syfte att förebygga dem.(16) Sammanfattningsvis är det avgörande, för att motivera att artikel 95 EG tillämpas som rättslig grund, att den rättsakt som antas på denna grund faktiskt syftar till att förbättra villkoren för att upprätta den inre marknaden och få den att fungera.(17)
80. Att direktiv 2006/24 antogs på grundval av artikel 95 EG är, enligt min uppfattning, förenligt med de krav som domstolen har uppställt.
81. Av skälen 4–6 i direktivet framgår nämligen uttryckligen att gemenskapslagstiftaren har utgått från konstaterandet att det finns rättsliga och tekniska skillnader mellan de nationella bestämmelserna om tjänsteleverantörernas lagring av uppgifter. Ett antal medlemsstater hade nämligen använt sig av den befogenhet som tillkommer dem enligt artikel 15.1 i direktiv 2002/58 och lagstiftat om tjänsteleverantörernas lagring av uppgifter för förebyggande, undersökning och avslöjande av samt åtal för brott. Dessa nationella bestämmelser uppvisade emellertid betydande skillnader, särskilt vad gällde lagringstidens längd och vilka slags uppgifter som skulle lagras.(18)
82. De aktuella skillnaderna var således av sådan art att det kunde anses nödvändigt med en tillnärmning av nationella bestämmelser om de skyldigheter i fråga om lagring av uppgifter som gäller för leverantörer av allmänt tillgängliga tjänster inom elektronisk kommunikation eller allmänna kommunikationsnät.
83. Det bör emellertid undersökas huruvida de skillnader som konstaterats verkligen var av sådan beskaffenhet att de kunde inverka på den inre marknadens upprättande och funktion, och att gemenskapslagstiftaren följaktligen hade rätt att använda sig av artikel 95 EG som grund för att anta de åtgärder som ingår i direktiv 2006/24.
84. I sammanhanget är det viktigt att notera att lagring av uppgifter medför betydande kostnader för leverantörerna av tjänster på området för elektronisk kommunikation och att denna kostnad står i proportion till mängden uppgifter som ska lagras och lagringstidens längd.(19) De aktuella kostnaderna är dels hänförliga till den uppgraderade teknik som är nödvändig för att lagra och arkivera uppgifter på ett säkert sätt, dels till underhåll och användning av system som möjliggör lagring av uppgifter.
85. Då det inte hade skett någon harmonisering varierade de kostnader för lagring av uppgifter som en leverantör av tjänster på området för elektronisk kommunikation måste stå för, beroende på i vilken medlemsstat leverantören önskade tillhandahålla sina tjänster. Skillnader av detta slag kan begränsa den fria rörligheten för tjänster på området för elektronisk kommunikation mellan medlemsstaterna och därmed skapa hinder för upprättandet av en inre marknad för tjänster på området för elektronisk kommunikation och för marknadens funktion. Dessa skillnader kan i synnerhet bromsa den gränsöverskridande utvecklingen av nya tjänster på området för elektronisk kommunikation, vilka regelbundet skapas i informationssamhället. Skillnaderna kan också medföra att konkurrensen mellan de företag som är verksamma på marknaden för elektronisk kommunikation snedvrids.
86. Det framgår uttryckligen av skäl 6 i direktiv 2006/24 att sådana skillnader i medlemsstaternas lagstiftning ”utgör hinder för den inre marknaden för elektronisk kommunikation, eftersom tjänsteleverantörer ställs inför olika krav avseende typen av trafik- och lokaliseringsuppgifter som skall lagras liksom villkoren för lagring och lagringstiderna”.
87. Då det genom direktiv 2006/24 har skett en tillnärmning av nationell lagstiftning med avseende på skyldigheten att lagra uppgifter (artikel 3), kategorier av uppgifter som ska lagras (artikel 5), lagringstiden för uppgifterna (artikel 6) samt uppgiftsskydd och datasäkerhet (artikel 7), anser jag att direktivet främjar utvecklingen av den inre marknaden för elektronisk kommunikation genom att det ställs gemensamma krav på tjänsteleverantörerna.
88. Jag skulle vilja tillägga att den inverkan som skillnaderna i nationell lagstiftning om lagring av uppgifter har på den inre marknadens funktionssätt också berörs i artikel 12.2 i direktiv 2006/24. Vid en utvärdering av nationella bestämmelser enligt vilka den högsta tillåtna lagringstiden för uppgifterna under särskilda omständigheter och under en begränsad tid kan förlängas, ska kommissionen nämligen undersöka huruvida åtgärder av detta slag utgör godtycklig diskriminering eller dolda restriktioner för handeln mellan medlemsstaterna och huruvida de utgör ett hinder för en fungerande inre marknad.
89. Mot bakgrund av det ovanstående framstår gemenskapslagstiftarens ingripande med stöd av artikel 95 EG, enligt min uppfattning, som motiverat.
90. Irland har däremot, med stöd av Republiken Slovakien, hävdat att direktiv 2006/24 inte kan ha sin grund i artikel 95 EG, eftersom direktivet inte har sin tyngdpunkt i den inre marknadens upprättande och funktion. Direktivets enda eller i vart fall huvudsakliga syfte är i själva verket undersökning och avslöjande av samt åtal för allvarliga brott. Irland stödjer sig, i detta avseende, på ett flertal bestämmelser i direktivet, och det är riktigt att nämnda syfte framhävs i dessa.
91. Bland nämnda bestämmelser skulle jag vilja citera skäl 11 i direktiv 2006/24, vari det erinras om följande: ”Med tanke på hur viktiga trafik- och lokaliseringsuppgifter är för att kunna utreda, avslöja och åtala brott, något som framkommit både genom forskning och genom medlemsstaternas praktiska erfarenheter, är det viktigt att på europeisk nivå säkerställa att uppgifter som vid tillhandahållande av kommunikationstjänster genereras eller behandlas av leverantörer av allmänt tillgängliga elektroniska kommunikationstjänster eller av allmänna kommunikationsnät lagras under en viss tid i enlighet med de villkor som föreskrivs i detta direktiv.” Vidare stadgas följande i artikel 1.1 i direktivet: ”Syftet med detta direktiv är att harmonisera medlemsstaternas bestämmelser om de skyldigheter som leverantörer av allmänt tillgängliga elektroniska kommunikationstjänster eller allmänna kommunikationsnät har att lagra vissa uppgifter som de genererat eller behandlat för att säkerställa att uppgifterna är tillgängliga för utredning, avslöjande och åtal av allvarliga brott såsom de definieras av varje medlemsstat i den nationella lagstiftningen.”
92. Ingen av parterna har under förevarande förfarande invänt mot – och enligt min uppfattning är det heller inte tvistigt – att den skyldighet att lagra uppgifter som åläggs tjänsteleverantörer inom elektronisk kommunikation, som sådan, har sitt existensberättigande i den omständigheten att den underlättar utredning, avslöjande och åtal av allvarliga brott. Det kan inte förnekas att anledningen till att gemenskapslagstiftaren velat införa en allmän skyldighet att lagra trafik- och lokaliseringsuppgifter som genererats eller behandlats av leverantörer av allmänt tillgängliga elektroniska kommunikationstjänster eller allmänna kommunikationsnät har varit att lagring av uppgifter utgör ett effektivt verktyg för utredning inom ramen för undersökningar som utförs av medlemsstaternas brottsbekämpande myndigheter, och särskilt i ärenden som rör organiserad brottslighet och terrorism.
93. Gemenskapslagstiftaren har på detta sätt velat träda in i nästa fas i förhållande till vad som föreskrivs i artikel 15.1 i direktiv 2002/58. Jag skulle vilja erinra om att medlemsstaterna genom bestämmelsen fick möjlighet att ”genom lagstiftning vidta åtgärder för att begränsa omfattningen av de rättigheter och skyldigheter som anges i artikel 5, artikel 6, artikel 8.1, 8.2, 8.3 och 8.4 och artikel 9 i detta direktiv när en sådan begränsning i ett demokratiskt samhälle är nödvändig, lämplig och proportionell för att skydda nationell säkerhet (dvs. statens säkerhet), försvaret och allmän säkerhet samt för förebyggande, undersökning, avslöjande av och åtal för brott eller vid obehörig användning av ett elektroniskt kommunikationssystem enligt artikel 13.1 i direktiv 95/46/EG. Medlemsstaterna får för detta ändamål bland annat vidta lagstiftningsåtgärder som innebär att uppgifter får bevaras under en begränsad period som motiveras av de skäl som fastställs i denna punkt.” Genom att anta direktiv 2006/24 har gemenskapslagstiftaren velat gå längre dels genom att omvandla den möjlighet att ålägga lagring av uppgifter som medlemsstaterna hade till en skyldighet att göra det, dels genom att harmonisera de kategorier av uppgifter som ska bevaras och lagringstiden för dem.
94. Av de hänsyn som återges i artikel 15.1 i direktiv 2002/58 har gemenskapslagstiftaren endast använt sig av det som avser undersökning och avslöjande av samt åtal för allvarliga brott. Därigenom har gemenskapslagstiftaren angivit det legitima syftet för de inskränkningar i enskildas rättigheter, med avseende på skyddet av deras personuppgifter, som har införts genom direktiv 2006/24. Ett av direktivets särdrag är nämligen att det måste betraktas som en del i ett system för skydd av personuppgifter som gemenskapslagstiftaren stegvis har infört. Då det genom nämnda direktiv infördes ett undantag från vissa skyddsåtgärder som föreskrivs i direktiv 2002/58 var gemenskapslagstiftaren, med hänsyn till de krav som uppställs i artikel 8 i Europakonventionen, tvungen att ange ett sådant mål av allmänintresse för att styrka nödvändigheten av att anta ett instrument om lagring av uppgifter.
95. Ska omnämnandet av ett sådant skäl för att motivera ett intrång i enskildas rätt till privatliv – vilket skyddas i artikel 8 i Europakonventionen – och påståendet att lagring av uppgifter utgör ett effektivt verktyg för undersökning och avslöjande av samt åtal för allvarliga brott på området för brottsbekämpning ändå anses oförenliga med användningen av artikel 95 EG som rättslig grund för en sådan gemenskapsrättsakt som direktiv 2006/24?
96. Jag anser inte det. Nedan följer skälen för min uppfattning.
97. För det första har domstolen redan haft anledning att bekräfta att gemenskapslagstiftaren, om villkoren för att tillämpa artikel 95 EG som rättslig grund är uppfyllda, inte är förhindrad att hänvisa till denna rättsliga grund på grund av att ett allmänintresse är avgörande för de val som ska göras.(20) I detta avseende får man inte bortse från att det, enligt artikel 95.3 EG, uttryckligen krävs att en rad tvingande hänsyn till allmänintresset beaktas och att en hög skyddsnivå säkerställs vid den harmonisering som genomförs.(21) Jag skulle vilja påpeka att säkerheten är ett av dessa tvingande hänsyn. Enligt min uppfattning bidrar en sådan rättsakt som direktiv 2006/24, genom vilken villkoren för lagring av vissa uppgifter i syfte att undersöka, avslöja och åtala för allvarliga brott harmoniseras, till att tillgodose kravet på en hög säkerhetsnivå på den inre marknaden. Följaktligen anser jag att det, enligt artikel 95.3 EG, är tillåtet att vidta åtgärder för tillnärmning av sådana bestämmelser i medlemsstaternas lagar och andra författningar som syftar till den inre marknadens upprättande och funktion och som samtidigt är avsedda att uppfylla ett sådant mål av allmänintresse som säkerställandet av en hög säkerhetsnivå inom gemenskapen.
98. Vidare, och i motsats till vad Irland har gjort gällande, anser jag att enbart den omständigheten att en rättsakt har ett sådant syfte som undersökning och avslöjande av samt åtal för allvarliga brott, inte är tillräcklig för att en sådan rättsakt ska flyttas över från första pelaren till tredje pelaren. Annorlunda uttryckt räcker det, enligt min uppfattning, inte att det har förelegat ett sådant syfte för att vi ska ha att göra med en rättsakt som faller inom området ”polissamarbete och straffrättsligt samarbete” i den mening som avses i avdelning VI i EU-fördraget.
99. I artikel 29 EU föreskrivs att unionens mål, utan att det påverkar gemenskapens befogenheter, ska vara att ge medborgarna en hög säkerhetsnivå inom ett område med frihet, säkerhet och rättvisa och att denna målsättning ska uppnås genom förebyggande och bekämpning av brott, genom tre slags åtgärder. För det första handlar det om ett närmare samarbete mellan polismyndigheter, tullmyndigheter och andra behöriga myndigheter i medlemsstaterna, både direkt och genom Europeiska polisbyrån (Europol), i enlighet med artiklarna 30 EU och 32 EU. För det andra rör det sig om ett närmare samarbete mellan rättsliga myndigheter och andra behöriga myndigheter i medlemsstaterna, inbegripet genom Europeiska enheten för rättsligt samarbete (Eurojust), i enlighet med artiklarna 31 EU och 32 EU. För det tredje handlar det om en tillnärmning, när det är nödvändigt, av straffrättsliga regler i medlemsstaterna i enlighet med bestämmelserna i artikel 31 e EU.
100. Enligt min uppfattning kan skyldigheten att lagra uppgifter som genererats eller behandlats i samband med tillhandahållande av allmänt tillgängliga elektroniska kommunikationstjänster emellertid inte anses motsvara någon av dessa åtgärdstyper. Nämnda skyldighet utmärks följaktligen inte av sådana särdrag som skulle placera den inom tillämpningsområdet för avdelning VI i EU‑fördraget.
101. Det syfte som är hänförligt till undersökning och avslöjande av samt åtal för allvarliga brott har förvisso en straffrättslig innebörd, och det skulle kunna vara lockande att placera samtliga rättsakter med detta syfte i tredje pelaren. Emellertid skulle ett sådant förhållningssätt leda till en alltför långtgående utvidgning av tillämpningsområdet för avdelning VI i EU-fördraget. Däri fastställs, som jag har anfört, inte enbart ett syfte, utan även olika slags åtgärder genom vilka begreppet ”polissamarbete och straffrättsligt samarbete”, i den mening som avses i avdelningen, konkretiseras.
102. I detta avseende kan jag konstatera att de åtgärder som avses i direktiv 2006/24 inte innebär något direkt ingripande från medlemsstaternas brottsbekämpande myndigheter. I direktivet föreskrivs endast att leverantörer av allmänt tillgängliga elektroniska kommunikationstjänster eller av allmänna kommunikationsnät är skyldiga att lagra uppgifter som genererats eller behandlats i samband med tillhandahållande av de aktuella kommunikationstjänsterna, det vill säga enbart sådana uppgifter som har nära samband med den affärsverksamhet som nämnda leverantörer utövar.
103. På det hela taget befinner sig de åtgärder som föreskrivs i direktiv 2006/24 på ett förstadium till ett eventuellt genomförande av en insats av polissamarbete och straffrättsligt samarbete. I direktivet harmoniseras varken de behöriga nationella brottsbekämpande myndigheternas tillgång till uppgifterna eller användningen och utbytet av dessa uppgifter mellan nämnda myndigheter, exempelvis inom ramen för brottsutredningar. Dessa frågor faller, enligt min uppfattning, inom det område som omfattas av avdelning VI i EU-fördraget och har med rätta uteslutits från bestämmelserna i direktiv 2006/24.(22)
104. För övrigt framgår det uttryckligen av skäl 25 i direktivet att ”[d]etta direktiv [inte] påverkar … medlemsstaternas befogenhet att anta lagstiftningsåtgärder om rätten till tillgång till och användning av uppgifter för de nationella myndigheter de utsett. Frågor om tillgång till de uppgifter som nationella myndigheter lagrar i enlighet med detta direktiv för de verksamheter som avses i artikel 3.2 första [strecksatsen] i direktiv 95/46/EG faller utanför tillämpningsområdet för gemenskapenslagstiftning. De kan emellertid omfattas av nationell lagstiftning eller nationella åtgärder i enlighet med avdelning VI i fördraget om Europeiska unionen.[(23)]” Gemenskapslagstiftaren har velat lägga tonvikten på ett enda krav vad gäller tillgången till uppgifter. Detta krav kan mer liknas vid en varning än en harmoniseringsåtgärd och fastställs i artikel 4 i direktiv 2006/24 som har följande lydelse: ”Medlemsstaterna skall anta åtgärder för att säkerställa att uppgifter som lagras i enlighet med detta direktiv endast görs tillgängliga för behöriga nationella myndigheter, i närmare angivna fall och i enlighet med nationell lagstiftning. De förfaranden som skall följas och de villkor som skall uppfyllas för att erhålla tillgång till lagrade uppgifter i enlighet med nödvändighets- och proportionalitetskraven skall fastställas av varje enskild medlemsstat i den nationella lagstiftningen och följa tillämpliga bestämmelser i EU-lagstiftningen och folkrätten, särskilt Europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna, i enlighet med den tolkning som görs av Europeiska domstolen för mänskliga rättigheter.”
105. Skiljelinjen mellan åtgärder som faller inom gemenskapspelaren och sådana som ska antas inom ramen för avdelning VI i EU-fördraget kan, enligt min uppfattning, därför dras på följande sätt.
106. Åtgärder som harmoniserar villkoren för hur leverantörer av kommunikationstjänster ska lagra trafik- och lokaliseringsuppgifter som genererats eller behandlats inom ramen för deras affärsverksamhet hör till gemenskapspelaren. Genom en sådan tillnärmning av nationell lagstiftning om lagring av uppgifter uppställs gemensamma krav på operatörerna och därmed minskar också risken för hinder mot utvecklingen av den inre marknaden för elektronisk kommunikation. Den omständigheten att gemenskapslagstiftaren har ansett det nödvändigt att ålägga lagring av uppgifter av det skälet att det är ett effektivt verktyg för undersökning och avslöjande av samt åtal för allvarliga brott är inte tillräcklig för att åtgärder av nämnda slag ska falla utanför gemenskapspelaren. Sådana tvingande hänsyn till allmänintresset kan nämligen tas tillvara genom harmoniseringsåtgärder som antas på grundval av artikel 95 EG. Dessutom måste sådana tvingande hänsyn till allmänintresset anges för att rättfärdiga gemenskapslagstiftarens intrång i den rätt till privatliv som tillkommer användare av elektronisk kommunikation.
107. Åtgärder genom vilka det sker en harmonisering av villkoren för behöriga nationella brottsbekämpande myndigheters tillgång till samt användning och utbyte av lagrade uppgifter som behövs för att myndigheterna ska kunna utföra sitt uppdrag omfattas däremot av tredje pelaren. Direkta ingripanden från sådana myndigheter hos privata operatörer och de sistnämndas skyldighet att tillhandahålla uppgifter i brottsbekämpningssyften täcks, enligt min uppfattning, av ”polissamarbete och straffrättsligt samarbete”, i den mening som avses i avdelning VI i EU-fördraget. I ett sådant skede antar privata operatörers deltagande i ett brottsbekämpningsförfarande och deras samarbete med behöriga nationella myndigheter på området nämligen en konkret och påtaglig form.
108. Visserligen kan denna avgränsning kritiseras och i vissa avseenden förefalla konstgjord. Jag medger att det skulle vara mer tillfredsställande om den övergripande problematiken vad gäller lagring av uppgifter hos leverantörer av tjänster inom elektronisk kommunikation och villkoren för operatörernas samarbete med nationella myndigheter, som är behöriga på området för brottsbekämpning, reglerades i en enda rättsakt så att samstämmighet mellan dessa två aspekter kunde säkerställas. Om än det kan anses beklagansvärt, ger den konstitutionella strukturen med tre pelare emellertid upphov till splittring mellan verksamhetsområden. Prioriteringen i ett sådant sammanhang måste vara att garantera rättssäkerheten genom en så tydlig gränsdragning som möjligt mellan verksamhetsområden som omfattas av de olika pelarna.
109. Den lösning jag här förordar står, enligt min mening, inte i motsatsförhållande till det som domstolen slog fast i sin dom i det ovannämnda målet parlamentet mot rådet och kommissionen. Tvärtom gör den det möjligt att klarlägga den räckvidd som den domen, enligt min uppfattning, ska ges.
110. Jag skulle vilja erinra om att parlamentet i det mål som givit upphov till nämnda dom hade yrkat ogiltigförklaring dels av rådets beslut 2004/496/EG av den 17 maj 2004 om ingående av ett avtal mellan Europeiska gemenskapen och Amerikas förenta stater om lufttrafikföretags behandling och överföring av passageraruppgifter till Bureau of Customs and Border Protection inom Förenta staternas Department of Homeland Security,(24) dels av kommissionens beslut 2004/535/CE av den 14 maj 2004 om adekvat skydd av personuppgifter som finns i Passenger Name Record för flygpassagerare som överförs till Förenta staternas tull- och gränsskyddsmyndighet.(25)
111. I sin dom företog domstolen, till att börja med, en laglighetsprövning av beslutet om adekvat skydd med avseende på artikel 3.2 första strecksatsen i direktiv 95/46. Jag skulle vilja erinra om att direktivet, enligt nämnda bestämmelse, inte gäller för en sådan behandling av personuppgifter ”som utgör ett led i en verksamhet som inte omfattas av gemenskapsrätten, exempelvis sådan verksamhet som avses i avdelningarna V och VI i Fördraget om Europeiska unionen, och inte under några omständigheter [de] behandlingar som rör allmän säkerhet, försvar, statens säkerhet (inbegripet statens ekonomiska välstånd när behandlingen har samband med frågor om statens säkerhet) och statens verksamhet på straffrättens område”.
112. Domstolen bedömde att överföring av personuppgifter som ingår i passagerarregister (nedan kallade PNR-uppgifter) till United States Bureau of Customs and Border Protection (Förenta staternas tull- och gränsskyddsmyndighet – nedan kallad CBP) utgör en behandling som rör allmän säkerhet och statens verksamhet på straffrättens område. Domstolen betonade att beslutet om adekvat skydd inte avser en uppgiftsbehandling som är nödvändig för tillhandahållandet av en tjänst, utan en behandling som anses vara nödvändig för att säkerställa allmän säkerhet och för att tillgodose repressiva syften. Dessutom preciserade domstolen att, även om det av domen av den 6 november 2003 i målet Lindqvist(26) framgår att den verksamhet som nämns såsom exempel i artikel 3.2 första strecksatsen i direktiv 95/46 i samtliga fall är statens eller statliga myndigheters specifika verksamhet och inte omfattas av enskildas verksamhetsområden, innebär detta inte att överföring av sådant slag skulle falla utanför tillämpningsområdet för nämnda bestämmelse av den anledningen att PNR-uppgifterna har samlats in av privata operatörer för kommersiella syften och att det är de sistnämnda som sköter överföringen av uppgifterna till ett tredjeland. Domstolen konstaterade att sådan överföring ska anses ingå i det ramverk som de statliga myndigheterna har inrättat och som avser allmän säkerhet.
113. Med ledning av dessa överväganden kom domstolen fram till att beslutet om adekvat skydd rör behandling av personuppgifter, i den mening som avses i artikel 3.2 första strecksatsen i direktiv 95/46, och att det därmed inte faller inom tillämpningsområdet för nämnda direktiv. På denna grund fann domstolen att beslutet om adekvat skydd skulle ogiltigförklaras.
114. Vidare gjorde domstolen en laglighetsprövning av rådsbeslutet och behandlade därvid endast den grund enligt vilken valet av artikel 95 EG som rättslig grund för nämnda beslut var felaktigt. Domstolen bedömde att artikel 95 EG, jämförd med artikel 25 i direktiv 95/46, inte kunde utgöra grund för gemenskapens behörighet att ingå avtalet mellan Europeiska gemenskapen och Amerikas förenta stater om lufttrafikföretags behandling och överföring av passageraruppgifter till Bureau of Customs and Border Protection inom Förenta staternas Department of Homeland Security (nedan kallat avtalet), vilket hade godkänts på gemenskapens vägnar genom nämnda beslut.(27) Till stöd för sitt konstaterande betonade domstolen att avtalet avsåg samma slags överföring av uppgifter som beslutet om adekvat skydd och således en behandling av uppgifter som inte omfattas av direktivet. Mot denna bakgrund drog domstolen slutsatsen att rådsbeslutet inte med giltig verkan hade kunnat antas på grundval artikel 95 EG.
115. Irland har åberopat domen i det ovannämnda målet parlamentet mot rådet och kommissionen till stöd för den ståndpunkt som nämnda stat försvarar i förevarande mål, det vill säga, i huvudsak, att direktiv 2006/24 med hänsyn till att dess enda, alternativt huvudsakliga, syfte är att underlätta utredning och avslöjande av samt åtal för allvarliga brott, borde ha antagits på grundval av avdelning VI i EU‑fördraget. Nämnda avgörande fattades emellertid i ett sammanhang med helt andra grundförutsättningar än dem som råder i förevarande mål.
116. I det ovannämnda målet parlamentet mot rådet och kommissionen var det huvudsakliga syftet med avtalet att förplikta lufttrafikföretag med trafik till eller från Förenta staternas territorium att ge CBP elektronisk tillgång till de PNR‑uppgifter som samlas in och lagras i lufttrafikföretagens automatiska system för bokning och kontroll vid avgångar. Avtalet utgjorde ett slags internationellt samarbete mellan de fördragsslutande parterna och det eftersträvade målet att bekämpa terrorism och andra grova brott samtidigt som det var avsett att jämka samman nämnda syfte med ändamålet att skydda flygpassagerarnas personuppgifter.(28) Den omständigheten att det förelåg en internationell samarbetsform av detta slag med en offentlig myndighet i ett tredjeland utgör i sig en viktig skillnad i förhållande till förevarande mål.
117. Vidare bör det betonas att den behandling av personuppgifter som var föremål för prövning i det ovannämnda målet parlamentet mot rådet och kommissionen avsåg ett senare skede än det initiala insamlandet av uppgifter som lufttrafikföretagen står för. Den aktuella behandlingen rörde inhämtandet, CBP:s användning och utlämnandet till sistnämnda av passageraruppgifter från bokningssystemen hos de lufttrafikföretag som var etablerade inom medlemsstaternas territorium.(29) Det handlade således om en samarbetsform i vilken inte bara privata operatörer, utan också en offentlig myndighet, i detta fall CBP, deltog och vars mål var att bekämpa terrorism och andra grova brott.
118. I detta sammanhang framstår det för mig som om en rättsakt i vilken det föreskrivs att personuppgifter ska inhämtas och användas av en enhet som har till uppgift att säkerställa den inre säkerheten i en stat samt utlämnandet av dessa uppgifter till en sådan enhet kan likställas med en rättsakt om samarbete mellan offentliga myndigheter. I synnerhet i en sådan situation, med obligatorisk överföring av uppgifter till ett nationellt organ för säkerhets- och repressiva ändamål, förefaller det inte föreligga någon grundläggande skillnad mellan att ålägga en juridisk person att genomföra en överföring av uppgifter och ett direkt utbyte av uppgifter mellan offentliga myndigheter, exempelvis inom ramen för brottsutredningar.(30)
119. Det etablerade samarbetets internationella dimension och villkoren för samverkan mellan lufttrafikföretagen och CBP gör, enligt min uppfattning, att nämnda samarbete täcks av avdelning VI i EU-fördraget. De nämnda särdragen utgör därmed två grundläggande skillnader i förhållande till den situation som är aktuell i förevarande mål.
120. Det var för övrigt med anledning av de särdrag jag precis har nämnt som rådets beslut 2007/551/GUSP/RIF av den 23 juli 2007 om undertecknande på Europeiska unionens vägnar av ett avtal mellan Europeiska unionen och Amerikas förenta stater om lufttrafikföretags behandling av passageraruppgifter (PNR) och överföring av dessa till Förenta staternas Department of Homeland Security (DHS) (2007 års PNR-avtal)(31) antogs på grundval av artiklarna 24 EU och 38 EU.
121. Med ledning av de skillnader jag har pekat ut kan vi också bättre förstå räckvidden av domen i det ovannämnda målet parlamentet mot rådet och kommissionen.
122. Enligt min uppfattning innebär domen inte att det endast är relevant att undersöka syftena med behandling av personuppgifter för att fastställa huruvida behandlingen ska falla inom ramen för tillämpningsområdet för det skyddssystem för uppgifter som har inrättats genom direktiv 95/46. Det måste också undersökas inom vilket slags verksamhet behandlingen av uppgifterna sker. Det är enbart då nämnda behandling förekommer i sådan verksamhet som är statens eller statliga myndigheters specifika verksamhet och den inte omfattas av enskildas verksamhetsområden som den inte omfattas av gemenskapens skyddssystem för personuppgifter, som har inrättats genom direktiv 95/46. Stöd för detta finns i artikel 3.2 första strecksatsen i nämnda direktiv. I sådana fall ankommer det på Europeiska unionens lagstiftare att ta vid och inrätta ett allmänt system för skydd av uppgifter, som är avsett att omfatta behandling av uppgifter som företas inom ramen för sådan verksamhet som är specifik för staterna.(32)
123. I domen i det ovannämnda målet parlamentet mot rådet och kommissionen bedömde domstolen att lufttrafikföretagens överföring av uppgifter till CBP i syfte att garantera allmän säkerhet och tillgodose repressiva ändamål kunde likställas med en behandling av uppgifter som sker som ett led i sådan verksamhet som är statens eller statliga myndigheters specifika verksamhet och inte omfattas av enskildas verksamhetsområden. Mot denna bakgrund slog domstolen fast att den omtvistade överföringen inte omfattades av direktiv 95/46.
124. En sådan tolkning av domen i det ovannämnda målet parlamentet mot rådet och kommissionen gör det möjligt att rätt förstå den åtskillnad som måste göras mellan de klausuler som avser uteslutning och de som avser begränsning i direktiv 95/46 och direktiv 2002/58.
125. Såsom kommissionen mycket riktigt har förklarat inom ramen för förevarande förfarande utgör artikel 3.2 första strecksatsen i direktiv 95/46 och artikel 1.3 i direktiv 2002/58 uteslutningsklausuler. Enligt klausulerna är nämligen sådan behandling av uppgifter som utgör ett led i en verksamhet som inte omfattas av EG‑fördraget, exempelvis sådan verksamhet som avses i avdelningarna V och VI i EU-fördraget och, under alla omständigheter, behandlingar som rör allmän säkerhet, försvar, statens säkerhet och statens verksamhet på straffrättens område, undantagen från de två direktivens tillämpningsområde.
126. De begränsningsklausuler som återfinns i artiklarna 13.1 i direktiv 95/46 och 15.1 i direktiv 2002/58 har däremot en helt annan räckvidd. Med stöd av nämnda klausuler får medlemsstaterna nämligen endast begränsa omfattningen av vissa rättigheter och skyldigheter som anges i de två direktiven i de fall då en sådan begränsning är en nödvändig åtgärd för att tillgodose sådana mål av allmänintresse som statens säkerhet, försvaret och folkhälsan, liksom förebyggande, undersökning och avslöjande av samt åtal för brott. Sådan behandling av uppgifter som berörs omfattas emellertid alltjämt av gemenskapsystemet för skydd av personuppgifter.
127. Den omständigheten att likartade mål av allmänintresse omnämns i de två olika slagen av klausuler bidrar säkerligen till den rådande förvirringen om klausulernas respektive räckvidd. Troligen är det denna förvirring som i viss mån ligger bakom den ståndpunkt som Irland försvarar. Medlemsstaten hänvisar nämligen endast till uteslutningsklausulerna och ger dessa en tolkning, enligt vilken enbart den omständigheten att en rättsakt har ett mål av ett sådant allmänintresse som undersökning, avslöjande och åtal av allvarliga brott som omnämns i artikel 1.1 i direktiv 2006/24 räcker för att utesluta rättsakten från gemenskapsrättens tillämpningsområde.
128. Den omständigheten att direktiven 95/46 och 2002/58 innehåller begränsningsklausuler, i vilka de hänsyn till allmänintressen anges som motiverar att räckvidden av rättigheter och skyldigheter vad gäller uppgiftsskyddet begränsas, utgör emellertid i sig bevis nog för att Irlands ståndpunkt är felaktig, och att det inte räcker med att ett sådant allmänintresse som det mål som avser undersökning, avslöjande och åtal av allvarliga brott enligt artikel 1.1 i direktiv 2006/24 omnämns för att det ska kunna fastställas vad som omfattas av gemenskapsrätten och vad som inte gör det eller, närmare bestämt, vad som omfattas av gemenskapssystemet för skydd av personuppgifter.
129. För att bevara begränsningsklausulernas ändamålsenliga verkan och för att undvika att dessa endast innebär en upprepning av uteslutningsklausulerna bör följaktligen följande bedömning göras. Enligt uteslutningsklausulerna i artikel 3.2 första strecksatsen i direktiv 95/46 och artikel 1.3 i direktiv 2002/58 är det endast i de fall då – för att använda domstolens formulering i domen i det ovannämnda målet Lindqvist och senare i domen i målet parlamentet mot rådet och kommissionen – behandlingen av uppgifter används som ett led i sådan verksamhet som är statens eller statliga myndigheters specifika verksamhet och inte omfattas av enskildas verksamhetsområden som den kan anses falla utanför gemenskapens system för skydd av personuppgifter.
130. Med ledning av det ovanstående vidhåller jag följaktligen att det, mot bakgrund av att det i direktiv 2006/24 inte finns några bestämmelser om harmonisering av villkoren för tillgång till uppgifter och användning av dessa som ett led i sådan verksamhet som är statens eller statliga myndigheters specifika verksamhet och inte omfattas av enskildas verksamhetsområden, och i synnerhet ingen bestämmelse som kan täckas av begreppet ”polissamarbete och straffrättsligt samarbete”, i den mening som avses i avdelning VI i EU-fördraget, var riktigt att anta direktivet inom ramen för gemenskapspelaren och närmare bestämt på grundval av artikel 95 EG.
131. Om Irlands ståndpunkt, att direktiv 2006/24 borde ha antagits på grundval av artiklarna 30 EU, 31.1 c EU och 34.2 b EU, godtogs skulle detta innebära att artikel 47 EU åsidosattes.
132. Avslutningsvis bör det förtydligas att även om det kan anses att direktiv 2006/24 har två beståndsdelar, eftersom det avser både den inre marknadens upprättande och funktion, i enlighet med vad som stadgas i artikel 95 EG, och ”polissamarbete och straffrättsligt samarbete”, i den mening som avses i avdelning VI i EU-fördraget, utan att det ena är av underordnad betydelse i förhållande till det andra, utgör artikel 47 EU ändå hinder mot att en rättslig grund med stöd i denna avdelning i EU-fördraget tillämpas.
133. I sin dom av den 20 maj 2008 i det ovannämnda målet kommissionen mot rådet fastställde domstolen nämligen räckvidden av artikel 47 EU i ett fall där bedömningen av en åtgärd visade att det fanns två avsikter med den eller att den hade två beståndsdelar som omfattades av EG‑ respektive EU-fördragen, utan att den ena beståndsdelen var av underordnad betydelse i förhållande till den andra. Vad beträffar omständigheter av sådant slag, slog domstolen fast att eftersom artikel 47 EU uppställer hinder för att unionen på grundval av EU-fördraget antar en åtgärd som med giltig verkan hade kunnat antas på grundval av EG‑fördraget, kan unionen inte tillämpa en rättslig grund som hänför sig till ett område som omfattas av EU-fördraget för att anta bestämmelser som även omfattas av den behörighet som EG‑fördraget har tilldelat gemenskapen.
134. Om en åtgärd har två beståndsdelar som skulle kunna omfattas av såväl EG‑fördraget som EU-fördraget, ska EG‑fördraget således, enligt artikel 47 EU, under alla omständigheter ges företräde.
VII – Förslag till avgörande
135. Med beaktande av ovanstående överväganden föreslår jag att domstolen beslutar som följer:
1) Talan ogillas.
2) Irland ska ersätta rättegångskostnaderna.
3) Konungariket Spanien, Konungariket Nederländerna, Republiken Slovakien, Europeiska gemenskapernas kommission och Europeiska datatillsynsmannen ska bära sina rättegångskostnader.