Laikina versija
TEISINGUMO TEISMO (didžioji kolegija) SPRENDIMAS
2016 m. gruodžio 21 d.(*)
„Prašymas priimti prejudicinį sprendimą – Elektroniniai ryšiai – Asmens duomenų tvarkymas – Elektroninių pranešimų konfidencialumas – Apsauga – Direktyva 2002/58/EB – 5, 6, 9 straipsniai ir 15 straipsnio 1 dalis – Europos Sąjungos pagrindinių teisių chartija – 7, 8, 11 straipsniai ir 52 straipsnio 1 dalis – Nacionalinės teisės aktai – Elektroninių ryšių paslaugų teikėjai – Pareiga bendrai nediferencijuojant saugoti srauto ir vietos nustatymo duomenis – Nacionalinės institucijos – Prieiga prie duomenų – Išankstinės kontrolės, kurią atliktų teismas arba nepriklausoma administracinė institucija, nebuvimas – Suderinamumas su Sąjungos teise“
Sujungtose bylose C‑203/15 ir C‑698/15
dėl Kammarrätten i Stockholm (Stokholmo apeliacinis administracinis teismas, Švedija) ir Court of Appeal (England & Wales) (Civil Division) (Apeliacinis teismas (Anglija ir Velsas) (Civilinių bylų skyrius), Jungtinė Karalystė) atitinkamai 2015 m. balandžio 29 d. sprendimu ir 2015 m. gruodžio 9 d. nutartimi, kuriuos Teisingumo Teismas gavo 2015 m. gegužės 4 d. ir 2015 m. gruodžio 28 d., pagal SESV 267 straipsnį pateiktų prašymų priimti prejudicinį sprendimą bylose
Tele2 Sverige AB (C‑203/15)
prieš
Post‑ och telestyrelsen
ir
Secretary of State for the Home Department (C‑698/15)
prieš
Tom Watson,
Peter Brice,
Geoffrey Lewis,
dalyvaujant:
Open Rights Group,
Privacy International,
The Law Society of England and Wales,
TEISINGUMO TEISMAS (didžioji kolegija),
kurį sudaro pirmininkas K. Lenaerts, pirmininko pavaduotojas A. Tizzano, kolegijų pirmininkai R. Silva de Lapuerta, T. von Danwitz (pranešėjas), J. L. da Cruz Vilaça, E. Juhász ir M. Vilaras, teisėjai A. Borg Barthet, J. Malenovský, E. Levits, J.-C. Bonichot, A. Arabadjiev, S. Rodin, F. Biltgen ir C. Lycourgos,
generalinis advokatas H. Saugmandsgaard Øe,
posėdžio sekretorė C. Strömholm, administratorė,
atsižvelgęs į 2016 m. vasario 1 d. Teisingumo Teismo pirmininko sprendimą nagrinėti bylą C‑698/15 pagal pagreitintą procedūrą, numatytą Teisingumo Teismo procedūros reglamento 105 straipsnio 1 dalyje,
atsižvelgęs į rašytinę proceso dalį ir įvykus 2016 m. balandžio 12 d. posėdžiui,
išnagrinėjęs pastabas, pateiktas:
– Tele2 Sverige AB, atstovaujamos advokato M. Johansson, advokato N. Torgerzon, E. Lagerlöf ir S. Backman,
– T. Watson, atstovaujamo solisitorių J. Welch ir E. Norton, advokatės I. Steele, baristerio B. Jaffey, taip pat QC D. Rose,
– P. Brice ir G. Lewis, atstovaujamų baristerių A. Suterwalla ir R. de Mello, QC R. Drabble ir solisitoriaus S. Luke,
– Open Rights Group ir Privacy International, atstovaujamų solisitoriaus D. Carey ir baristerių R. Mehta ir J. Simor,
– The Law Society of England and Wales, atstovaujamos baristerio T. Hickman ir N. Turner,
– Švedijos vyriausybės, atstovaujamos A. Falk, C. Meyer-Seitz, U. Persson, N. Otte Widgren ir L. Swedenborg,
– Jungtinės Karalystės, atstovaujamos S. Brandon, L. Christie ir V. Kaye, padedamų QC D. Beard, G. Facenna, J. Eadie ir baristerės S. Ford,
– Belgijos vyriausybės, atstovaujamos J.-C. Halleux, S. Vanrie ir C. Pochet,
– Čekijos vyriausybės, atstovaujamos M. Smolek ir J. Vláčíl,
– Danijos vyriausybės, atstovaujamos C. Thorning ir M. Wolff,
– Vokietijos vyriausybės, atstovaujamos T. Henze, M. Hellmann ir J. Kemper, padedamų advokatų M. Kottmann ir U. Karpenstein,
– Estijos vyriausybės, atstovaujamos K. Kraavi-Käerdi,
– Airijos, atstovaujamos E. Creedon, L. Williams ir A. Joyce, padedamų BL D. Fennelly,
– Ispanijos vyriausybės, atstovaujamos A. Rubio González,
– Prancūzijos vyriausybės, atstovaujamos G. de Bergues, D. Colas, F.-X. Bréchot ir C. David,
– Kipro vyriausybės, atstovaujamos K. Kleanthous,
– Vengrijos vyriausybės, atstovaujamos M. Fehér ir G. Koós,
– Nyderlandų vyriausybės, atstovaujamos M. Bulterman, M. Gijzen ir J. Langer,
– Lenkijos vyriausybės, atstovaujamos B. Majczyna,
– Suomijos vyriausybės, atstovaujamos J. Heliskoski,
– Europos Komisijos, atstovaujamos H. Krämer, K. Simonsson, H. Kranenborg, D. Nardi, P. Costa de Oliveira ir J. Vondung,
susipažinęs su 2016 m. liepos 19 d. posėdyje pateikta generalinio advokato išvada,
priima šį
Sprendimą
1 Prašymai priimti prejudicinį sprendimą pateikti dėl 2002 m. liepos 12 d. Europos Parlamento ir Tarybos direktyvos 2002/58/EB dėl asmens duomenų tvarkymo ir privatumo apsaugos elektroninių ryšių sektoriuje (Direktyva dėl privatumo ir elektroninių ryšių) (OL L 201, 2002, p. 37; 2004 m. specialusis leidimas lietuvių k., 13 sk., 29 t., p. 514), iš dalies pakeistos 2009 m. lapkričio 25 d. Europos Parlamento ir Tarybos direktyva 2009/136/EB (OL L 337, 2009, p. 11) (toliau – Direktyva 2002/58), 15 straipsnio 1 dalies, siejamos su Europos Sąjungos pagrindinių teisių chartijos (toliau – Chartija) 7, 8 straipsniais ir 52 straipsnio 1 dalimi, išaiškinimo.
2 Šie prašymai pateikti nagrinėjant du ginčus: pirmąjį, t. y. Tele2 Sverige AB ir Post- och telestyrelsen (Švedijos pašto ir telekomunikacijų priežiūros institucija, toliau – PTS) ginčą dėl šios institucijos Tele2 Sverige duoto nurodymo saugoti su jos abonentais ir registruotais naudotojais susijusius srauto ir vietos nustatymo duomenis (byla C‑203/15), ir antrąjį, t. y. Tom Watson, Peter Brice, Geoffrey Lewis ginčą su Secretary of State for the Home Department (vidaus reikalų ministras, Jungtinė Didžiosios Britanijos ir Šiaurės Airijos Karalystė) dėl Data Retention and Investigatory Powers Act 2014 (2014 m. Duomenų saugojimo ir tyrimo įgaliojimų įstatymas, toliau – DRIPA) 1 straipsnio atitikties Sąjungos teisei (byla C‑698/15).
Teisinis pagrindas
Sąjungos teisė
Direktyva 2002/58
3 Direktyvos 2002/58 2, 6, 7, 11, 21, 22, 26 ir 30 konstatuojamosiose dalyse nurodyta:
„(2) Šia direktyva siekiama gerbti pagrindines žmogaus teises ir laikomasi [Chartijos] principų; visų pirma šia direktyva siekiama užtikrinti visapusišką pagarbą minėtos Chartijos 7 ir 8 straipsniuose išdėstytoms teisėms.
<…>
(6) Internetas keičia tradicines rinkos struktūras sukurdamas bendrą, pasaulinę infrastruktūrą įvairioms elektroninių ryšių paslaugoms teikti. Viešai prieinamos elektroninių ryšių interneto paslaugos atveria naujas galimybes naudotojams, bet dėl jų taip pat iškyla rizika asmens duomenims ir privatumui.
(7) Viešiesiems ryšių tinklams reikėtų nustatyti specifines teisines, normines ir technines nuostatas, kad būtų apsaugotos fizinių asmenų pagrindinės teisės ir laisvės bei juridinių asmenų teisėti interesai, visų prima dėl didėjančių automatinio duomenų, susijusių su abonentais ir naudotojais, kaupimo ir tvarkymo pajėgumų.
<…>
(11) Ši direktyva, kaip ir [1995 m. spalio 24 d. Europos Parlamento ir Tarybos direktyva 95/46/EB dėl asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo (OL L 281, 1995, p. 31; 2004 m. specialusis leidimas lietuvių k., 13 sk., 15 t., p. 355)], nenagrinėja pagrindinių teisių ir laisvių apsaugos klausimų, susijusių su veiklos rūšimis, kurių nereglamentuoja Bendrijos teisės aktai. Todėl ji nekeičia esamos pusiausvyros tarp fizinio asmens teisės į privatumą ir valstybių narių galimybės imtis šios direktyvos 15 straipsnio 1 dalyje nurodytų priemonių, kurių reikia užtikrinti visuomenės saugumą, gynybą, valstybės saugumą (įskaitant valstybės ekonominę gerovę, kai veiklos rūšys yra susijusios su valstybės saugumo klausimais) ir baudžiamosios teisės vykdymu. Tokiu būdu ši direktyva neturi jokio poveikio valstybių narių galimybėms teisėtu būdu perimti elektroninių ryšių pranešimus arba imtis kitų priemonių, kurių reikia minėtiems tikslams pasiekti laikantis Europos žmogaus teisių ir pagrindinių laisvių apsaugos konvencijos, kaip išaiškinta Europos žmogaus teisių teismo nutarime [kaip ją savo sprendimuose aiškina Europos Žmogaus Teisių Teismas]. Tokios priemonės turi būti tinkamos, griežtai atitinkančios siekiamą tikslą ir būtinos demokratinėje visuomenėje, taip pat joms turi būti taikoma tinkama apsaugos garantija pagal Europos žmogaus teisių ir pagrindinių laisvių apsaugos konvenciją.
<…>
(21) Siekiant užtikrinti ir paties turinio, ir visų su pranešimu susijusių duomenų konfidencialumą, reikėtų imtis priemonių, užkertančių kelią neteisėtai prieigai prie pranešimų, kurios taikytinos viešiesiems ryšių tinklams ir viešai prieinamoms elektroninių ryšių paslaugoms. Kai kuriose valstybėse narėse nacionalinės teisės aktai draudžia tik neteisėtą tyčinę prieigą prie pranešimų.
(22) Draudimas saugoti pranešimus ir srauto duomenis kitiems nei naudotojai asmenims, taip pat saugoti juos be naudotojų sutikimo nėra skirtas uždrausti šios informacijos automatinį, tarpinį ir tranzitinį saugojimą, jeigu tai daroma tik siekiant perduoti pranešimą elektroninių ryšių tinklu, ir ne ilgiau, nei reikia perdavimui ir srautams valdyti, garantuojant konfidencialumą saugojimo metu. <…>
<…>
(26) Su abonentais susiję duomenys, kurie yra tvarkomi elektroninių ryšių tinkluose sujungimų ir informacijos perdavimo tikslais, apima duomenis apie fizinių asmenų privatų gyvenimą ir susiję su jų teise į susirašinėjimo slaptumą arba susiję su teisėtais juridinių asmenų interesais. Tokie duomenys saugotini tiek, kiek jie reikalingi sąskaitoms pateikti ir sumokėti už tinklų sujungimus, ir tik ribotą laiko tarpą. <…> [Bet koks kitas tokių duomenų tvarkymas] leidžiama[s] tik abonentui sutikus, kuris apsisprendžia, remdamasis tikslia ir išsamia informacija iš šio teikėjo apie numatomus duomenų tolimesnio tvarkymo būdus, apie abonento teisę nesutikti arba panaikinti duotą sutikimą tvarkyti tokius duomenis. <…>
<…>
(30) Elektroninių ryšių tinklų ir paslaugų teikimo sistemos turi būti suprojektuotos taip, kad reikalingas asmens duomenų kiekis būtų griežtai apribotas iki minimumo. <…>“
4 Direktyvos 2002/58 1 straipsnyje „Taikymo sritis ir tikslas“ nustatyta:
„1. Šioje direktyvoje numatytas valstybių narių nuostatų, užtikrinančių vienodo lygio pagrindinių teisių ir laisvių, ypač teisės į privatumą ir konfidencialumą, apsaugą, susijusių su asmens duomenų tvarkymu elektroninių ryšių sektoriuje, ir užtikrinančių laisvą tokių duomenų judėjimą ir laisvą elektroninių ryšių įrangos ir paslaugų judėjimą Bendrijoje, suderinimas.
2. Šios direktyvos nuostatos smulkiau išaiškina ir papildo [Direktyvą 95/46] šio straipsnio pirmoje dalyje nurodytais tikslais. Be to, jos numato abonentų, kurie yra juridiniai asmenys, teisėtų interesų apsaugą.
3. Ši direktyva netaikoma veiklos rūšims, kurios neįeina į Europos bendrijos steigimo sutarties taikymo sritį, tokioms, kurios nurodytos Europos Sąjungos steigimo sutarties V ir VI antraštinėse dalyse, ir visais atvejais veiklos rūšims, susijusioms su visuomenės saugumu, gynyba, valstybės saugumu (įskaitant valstybės ekonominę gerovę, kai atitinkamos veiklos rūšys yra susijusios su valstybės saugumo klausimais) bei valstybės veiksmais baudžiamosios teisės srityje.“
5 Direktyvos 2002/58 2 straipsnyje „Sąvokų apibrėžimai“ nurodyta:
„Jeigu toliau nepateikta kitaip, šioje direktyvoje vartojamos sąvokos yra apibrėžiamos taip, kaip apibrėžta [Direktyvoje 95/46] ir 2002 m. kovo 7 d. Europos Parlamento ir Tarybos direktyvoje 2002/21/EB dėl elektroninių ryšių tinklų ir paslaugų bendrosios reguliavimo sistemos (Pagrindų direktyva; OL L 108, 2002, p. 33; 2004 m. specialusis leidimas lietuvių k., 13 sk., 29 t., p. 349).
„Šioje direktyvoje:
<…>
b) „srauto duomenys“ – tai duomenys, tvarkomi pranešimui perduoti elektroninių ryšių tinklu, taip pat sąskaitoms už tokį perdavimą pateikti;
c) „vietos nustatymo duomenys“ – elektroninių ryšių tinkluose arba elektroninių ryšių paslaugų teikimo metu tvarkomi duomenys, nurodantys viešosios elektroninių ryšių paslaugos gavėjo galinių įrenginių geografinę padėtį;
d) „pranešimas“ – tai informacija, kuria apsikeičiama arba kuri perduodama tarp baigtinio skaičiaus šalių, naudojantis viešai prieinamomis elektroninių ryšių paslaugomis. Jam nepriskiriama informacija, perduodama kaip dalis viešojo transliavimo paslaugos, naudojant elektroninių ryšių tinklus, išskyrus tuos atvejus, kai tokia informacija gali būti susijusi su informaciją gaunančiu abonentu arba naudotoju, kurio tapatybę galima nustatyti;
<…>“
6 Direktyvos 2002/58 3 straipsnyje „Paslaugos“ numatyta:
„Ši direktyva taikoma asmens duomenų tvarkymui, susijusiam su viešųjų elektroninių ryšių paslaugų teikimu viešaisiais ryšių tinklais Bendrijoje, įskaitant viešuosius ryšių tinklus, palaikančius duomenų rinkimo ir atpažinimo įrenginius.“
7 Šios direktyvos 4 straipsnis „Duomenų tvarkymo saugumas“ suformuluotas taip:
„1. Viešai prieinamų elektroninių ryšių paslaugų teikėjas turi imtis tinkamų techninių ir organizacinių priemonių, kad užtikrintų savo paslaugų saugumą, o tam tikrais atvejais tokių priemonių imasi kartu su viešųjų ryšių tinklo teikėju, kad užtikrintų ir paties tinklo saugumą. Atsižvelgiant į naujausius technikos laimėjimus bei jų įdiegimo kainą, šios priemonės užtikrina saugumo lygį, atitinkantį atsiradusiai rizikai.
1a Nepažeidžiant [Direktyvos 95/46], 1 dalyje nurodytomis priemonėmis bent:
– užtikrinama, kad su asmens duomenimis galėtų susipažinti tik tam teisę turintys darbuotojai tik tais tikslais, kurie leidžiami pagal įstatymus,
– užtikrinama saugomų arba perduodamų asmens duomenų apsauga nuo atsitiktinio arba neteisėto sunaikinimo, atsitiktinio praradimo ar pakeitimo, bei nesankcionuoto ir neteisėto saugojimo, tvarkymo, susipažinimo ar atskleidimo, ir
– užtikrinama, kad būtų įgyvendinama saugumo politika asmens duomenų tvarkymo srityje.
<…>“
8 Pagal Direktyvos 2002/58 5 straipsnį „Pranešimų konfidencialumas“:
„1. Valstybės narės užtikrina pranešimų ir su jais susijusių srauto duomenų, perduodamų per viešųjų ryšių tinklą ir teikiant viešai teikiamas elektroninių ryšių paslaugas, konfidencialumą, taikydamos nacionalinės teisės aktus. Visų pirma jos draudžia be atitinkamų naudotojų sutikimo klausytis, įrašyti, kaupti ar kitu būdu perimti bei stebėti pranešimus ir su jais susijusius srauto duomenis, išskyrus atvejus, kai tai galima teisėtai daryti pagal 15 straipsnio 1 dalį. Šios dalies nuostatos nedraudžia techninio saugojimo, būtino perduoti pranešimą nepažeidžiant konfidencialumo principo.
<…>
3. Valstybės narės užtikrina, kad saugoti informaciją arba suteikti galimybę naudotis jau saugoma informacija abonento ar naudotojo galiniame įrenginyje būtų leidžiama tik su sąlyga, jei atitinkamam abonentui ar naudotojui sutikus pagal [Direktyvą 95/46] pateikiama aiški ir išsami informacija, inter alia, apie tokio duomenų tvarkymo tikslus. Ši nuostata nedraudžia vykdyti techninį saugojimą ar naudotis duomenimis, jei siekiama tik atlikti pranešimo perdavimą elektroninių ryšių tinklu, taip pat būtinais atvejais, kad informacinės visuomenės paslaugų teikėjas galėtų teikti paslaugas, kurių aiškiai paprašo abonentas ar naudotojas.“
9 Direktyvos 2002/58 6 straipsnyje „Srauto duomenys“ nustatyta:
„1. Su abonentais ir naudotojais susiję srauto duomenys, kuriuos tvarko ir saugo viešųjų ryšių tinklo ar viešai prieinamų elektroninių ryšių paslaugų teikėjas, turi būti sunaikinti arba pakeisti taip, kad taptų anoniminiais, kai šie duomenys nebėra reikalingi pranešimui perduoti, jeigu nepažeidžiamos šio straipsnio 2, 3 ir 5 dalių ir 15 straipsnio 1 dalies nuostatos.
2. Srauto duomenys gali būti tvarkomi, kai reikia abonentams pateikti sąskaitas ir atsiskaityti už tinklų sujungimą. Toks tvarkymas leistinas tol, kol nepasibaigęs terminas, per kurį sąskaita gali būti teisėtai užginčyta ar išieškotas apmokėjimas.
3. Elektroninių ryšių paslaugų rinkodaros arba pridėtinės vertės paslaugų teikimo tikslais viešųjų elektroninių ryšių paslaugų teikėjas gali tvarkyti 1 dalyje nurodytus duomenis tokia apimtimi ir tiek laiko, kiek būtina tokių paslaugų teikimui ar rinkodarai, jeigu abonentas ar naudotojas, su kuriuo duomenys yra susiję, yra iš anksto davęs sutikimą. Naudotojams ar abonentams sudaroma galimybė bet kuriuo metu atšaukti duotą sutikimą srauto duomenims tvarkyti.
<…>
5. Tvarkyti srauto duomenis pagal šio straipsnio 1, 2, 3 ir 4 dalis leidžiama tik asmenims, kurie veikdami pagal viešųjų ryšių tinklų ar viešai prieinamų elektroninių ryšių paslaugų teikėjų įgaliojimą pateikia sąskaitas, valdo srautą, teikia informaciją klientams, nustato sukčiavimo atvejus, vykdo elektroninių ryšių paslaugų rinkodarą arba teikia pridėtinės vertės paslaugas. Šie asmenys gali atlikti tik tokius veiksmus, kurie yra būtini minėtos veiklos tikslams pasiekti.“
10 Šios direktyvos 9 straipsnio „Vietos nustatymo duomenys, nesudarantys srauto duomenų“ 1 dalyje numatyta:
„Kai vietos nustatymo duomenys, nesudarantys srauto duomenų, susiję su viešųjų ryšių tinklų ar viešųjų elektroninių ryšių naudotojais ar abonentais, gali būti tvarkomi, juos galima tvarkyti tik jeigu jie yra pakeisti taip, kad taptų anoniminiais, arba jeigu naudotojai ar abonentai sutinka su tokiu tvarkymu tokia apimtimi ir tiek laiko, kiek yra būtina teikti pridėtinės vertės paslaugai. Prieš gaudamas sutikimą, paslaugų teikėjas turi informuoti naudotojus ar abonentus apie tai, kokie vietos nustatymo duomenys, nesudarantys srauto duomenų, bus tvarkomi, kokiais tikslais ir kiek laiko, taip pat ar šie duomenys bus perduoti trečiajai šaliai pridėtinės vertės paslaugai teikti. <…>“
11 Minėtos direktyvos 15 straipsnyje „Kai kurių [Direktyvos 95/46] nuostatų taikymas“ nustatyta:
„1. Valstybės narės gali patvirtinti teisines priemones, ribojančias šios direktyvos 5 ir 6 straipsniuose, 8 straipsnio 1, 2, 3 ir 4 dalyse ir 9 straipsnyje nustatytų teisių ir pareigų taikymą, jeigu toks ribojimas yra būtina, tinkama ir adekvati demokratinės visuomenės priemonė, skirta apsaugoti nacionalinį saugumą (t. y. valstybės saugumą), gynybą, visuomenės saugumą, taip užkardant, tiriant ir nustatant baudžiamąsias veikas ar neteisėtą elektroninių ryšių sistemos naudojimą, kaip nurodyta [Direktyvos 95/46] 13 straipsnio 1 dalyje. Valstybės narės gali, inter alia, patvirtinti teisines priemones, leidžiančias ribotą laikotarpį saugoti duomenis, remiantis šioje dalyje nustatytais motyvais. Visos šioje dalyje nurodytos priemonės turi atitikti bendruosius Bendrijos teisės principus, tarp jų ir nurodytus Europos Sąjungos Sutarties 6 straipsnio 1 ir 2 dalyse.
<…>
1b. Remdamiesi šio straipsnio 1 dalies nuostatomis paslaugų teikėjai parengia prieigos prie [su naudotojais susijusių] asmens duomenų prašymų tvarkymo vidaus taisykles. Kompetentingai nacionalinei institucijai pareikalavus teikėjai pateikia jai informaciją apie šias procedūras, gautų prašymų skaičių, taikomą teisinį pagrindą ir jų atsakymą.
2. [Direktyvos 95/46] III skyriaus nuostatos dėl teisės gynimo būdų, atsakomybės ir sankcijų taikomos atsižvelgiant į pagal šią direktyvą priimtas nacionalines nuostatas bei atsižvelgiant į pagal šią direktyvą įgytas atskiras teises.
<…>“
Direktyva 95/46
12 Direktyvos 95/46 III skyriuje esantis 22 straipsnis suformuluotas taip:
„Nepažeidžiant jokių nuostatų dėl administracinio poveikio priemonių, kurios, inter alia, gali būti numatytos prieš perduodant klausimą 28 straipsnyje nurodytai priežiūros institucijai ir prieš kreipiantis į teismo instituciją, valstybės narės numato, kad kiekvienas asmuo turi teisę į teisminę gynybą, jei pažeidžiamos teisės, kurias jam garantuoja nacionaliniai įstatymai, taikomi tvarkant tam tikru aptariamu būdu.“
Direktyva 2006/24/EB
13 2006 m. kovo 15 d. Europos Parlamento ir Tarybos direktyvos 2006/24/EB dėl duomenų, generuojamų arba tvarkomų teikiant viešai prieinamas elektroninių ryšių paslaugas arba viešuosius ryšių tinklus, saugojimo ir iš dalies keičiančios Direktyvą 2002/58/EB (OL L 105, 2006, p. 54) 1 straipsnio „Dalykas ir taikymo sritis“ 2 dalyje buvo numatyta:
„Ši direktyva taikoma fizinių ir juridinių asmenų srauto ir vietos nustatymo duomenims bei susijusiems duomenims, būtiniems nustatyti abonentą ar registruotą naudotoją. Ji netaikoma elektroninių ryšių turiniui, įskaitant informaciją, kurios ieškoma naudojant elektroninių ryšių tinklus.“
14 Šios direktyvos 3 straipsnyje „Pareiga saugoti duomenis“ buvo nurodyta:
„1. Nukrypdamos nuo [Direktyvos 2002/58] 5, 6 ir 9 straipsnių, valstybės narės priima priemones siekdamos užtikrinti, kad šios direktyvos 5 straipsnyje nurodyti duomenys būtų išsaugomi pagal šios direktyvos nuostatas, jeigu tuos duomenis generuoja arba tvarko jų jurisdikcijai priklausantys viešai prieinamų elektroninių ryšių paslaugų ar viešųjų ryšių tinklų teikėjai teikdami atitinkamas ryšių paslaugas.
2. 1 dalyje nurodyta pareiga saugoti duomenis apima 5 straipsnyje nurodytų duomenų, susijusių su nesėkmingais skambučiais, saugojimą, kai tuos duomenis generuoja ar tvarko bei saugo (telefonijos duomenys) arba registruoja (interneto duomenys) atitinkamos valstybės narės jurisdikcijai priklausantys viešai prieinamų elektroninių ryšių paslaugų ar viešųjų ryšių tinklų teikėjai teikdami atitinkamas ryšių paslaugas. Pagal šią direktyvą neprivaloma saugoti duomenų apie skambučius, kurių nepavyko sujungti.“
Švedijos teisė
15 Iš sprendimo dėl prašymo priimti prejudicinį sprendimą byloje C‑203/15 matyti, kad, siekdamas perkelti į nacionalinę teisę Direktyvą 2006/24, Švedijos teisės aktų leidėjas iš dalies pakeitė lagen (2003:389) om elektronisk kommunikation (Elektroninių ryšių įstatymas (2003:389), toliau – LEK) ir förordningen (2003:396) om elektronisk kommunikation (Nutarimas (2003:396) dėl elektroninių ryšių). Abiejų šių dokumentų redakcijose, taikomose ginčui pagrindinėje byloje, išdėstytos taisyklės dėl su elektroniniais ryšiais susijusių duomenų saugojimo ir nacionalinių institucijų prieigos prie šių duomenų.
16 Prieigą prie šių duomenų reglamentuoja ir lagen (2012:278) om inhämtning av uppgifter om elektronisk kommunikation i de brottsbekämpande myndigheternas underrättelseverksamhet (Įstatymas (2012:278) dėl duomenų, susijusių su elektroniniais ryšiais, perdavimo teisėsaugos institucijoms vykdant tyrimo veiklą, toliau – Įstatymas (2012:278)) ir rättegångsbalken (Teismo proceso kodeksas, toliau – RB).
Dėl pareigos saugoti su elektroniniais ryšiais susijusius duomenis
17 Kaip nurodo prašymą priimti prejudicinį sprendimą pateikęs teismas byloje C‑203/15, LEK 6 skyriaus l6a straipsnio nuostatose, aiškinamose atsižvelgiant į šio įstatymo 2 skyriaus 1 straipsnį, numatyta elektroninių ryšių paslaugų teikėjų pareiga saugoti duomenis, kuriuos saugoti buvo numatyta Direktyvoje 2006/24. Tai apima duomenis, susijusius su registracija ir visais elektroniniais ryšiais, būtinais pranešimo šaltiniui ir adresatui surasti ir identifikuoti, ryšio datai, laikui, trukmei ir rūšiai nustatyti, naudojamai ryšio įrangai identifikuoti ir judriojo ryšio įrangos buvimo vietai ryšio pradžioje ir pabaigoje atsekti. Pareiga saugoti duomenis apima duomenis, generuojamus arba tvarkomus teikiant telefonijos, telefonijos naudojant judrųjį ryšį, elektroninių žinučių sistemos, prieigos prie interneto ir prieigos prie interneto galingumo (prisijungimo režimas) suteikimo paslaugas. Ši pareiga apima ir duomenis apie nesėkmingus pranešimus. Tačiau ji neapima pranešimų turinio.
18 Nutarimo (2003:396) dėl elektroninių ryšių 38–43 straipsniuose nurodytos saugotinų duomenų kategorijos. Kiek tai susiję su telefonijos paslaugomis, pažymėtina, kad, be kita ko, turi būti saugomi duomenys apie skambučius ir numerius, kuriais skambinta, taip pat galimi nustatyti duomenys, susiję su skambučio pradžios ir pabaigos data ir laiku. Kiek tai susiję su telefonijos naudojant judrųjį ryšį paslaugomis, reikia pažymėti, kad nustatytos papildomos pareigos, pvz., pareiga saugoti duomenis apie vietą, kurioje skambutis pradėtas ir baigtas. Kiek tai susiję su telefonijos naudojant IP paketą paslaugomis, be jau minėtų duomenų, turi būti saugomi duomenys apie skambinančio asmens ir asmens, kuriam skambinama, IP adresus. Elektroninių žinučių sistemų atveju, be kita ko, turi būti saugomi duomenys apie siuntėjų ir gavėjų numerius, IP adresai ar bet koks kitas žinutės adresas. Kiek tai susiję su prieigos prie interneto suteikimo paslaugomis, pažymėtina, kad turi būti saugomi, pvz., duomenys apie naudotojų IP adresus ir duomenys apie galimus nustatyti naudojimosi prieigos prie interneto suteikimo paslauga pradžios ir pabaigos datą ir laiką.
Dėl duomenų saugojimo trukmės
19 Pagal LEK 6 skyriaus 16d straipsnį to paties skyriaus 16a straipsnyje nurodytus duomenis elektroninių ryšių paslaugų teikėjai privalo saugoti šešis mėnesius nuo ryšio baigimo dienos. Paskui jie turi būti nedelsiant sunaikinti, nebent minėto skyriaus 16d straipsnio antroje pastraipoje numatyta kitaip.
Dėl prieigos prie saugomų duomenų
20 Nacionalinių institucijų prieigą prie saugomų duomenų reglamentuoja Įstatymo (2012:278), LEK ir RB nuostatos.
– Įstatymas (2012:278)
21 Pagal Įstatymo (2012:278) 1 straipsnį, rinkdamos informaciją, nacionalinė policija, Säkerhetspolisen (saugumo policija, Švedija) ir Tullverket (Muitinės administracija, Švedija), laikydamosi minėtame įstatyme nustatytų sąlygų, gali be pagal LEK leidžiamų elektroninių ryšių tinklo ar elektroninių ryšių paslaugų teikėjo žinios rinkti duomenis, susijusius su elektroninių ryšių tinklu perduota informacija, konkrečioje geografinėje teritorijoje esančia elektroninių ryšių įranga ir su geografine (-ėmis) zona (-omis), kurioje (-iose) yra arba buvo naudojama elektroninių ryšių įranga.
22 Pagal Įstatymo (2012:278) 2 ir 3 straipsnius duomenys iš principo gali būti renkami, jeigu aplinkybės yra tokios, kad priemonė ypač reikalinga siekiant užkardyti nusikalstamą veiką, kurią sudaro vienas arba keli nusikaltimai, už kuriuos baudžiama ne mažesne nei dvejų metų laisvės atėmimo bausme, arba šio įstatymo 3 straipsnyje išvardyti nusikaltimai, už kuriuos baudžiama mažesne nei dviejų metų laisvės atėmimo bausme, siekiant sutrukdyti tokiai veikai arba ją atskleisti. Tokią priemonę pagrindžiantys motyvai turi nusverti neigiamas pasekmes, kurių gali kilti asmeniui, kuriam tokia priemonė taikoma, ar atitinkamam interesui, kuriam tokia priemonė prieštarauja. Minėto įstatymo 5 straipsnyje numatyta, kad priemonė negali būti taikoma ilgiau nei vieną mėnesį.
23 Sprendimą taikyti tokią priemonę priima atitinkamos institucijos vadovas arba asmuo, kuriam suteikti tokie įgaliojimai. Teisminė ar nepriklausoma administracinė institucija neatlieka išankstinės tokios priemonės kontrolės.
24 Pagal Įstatymo (2012:278) 6 straipsnį Säkerhets‑ och integritetsskyddsnämnden (Saugumo ir integralumo apsaugos tarnyba, Švedija) turi būti informuota apie visus sprendimus leisti rinkti duomenis. Pagal llagen (2007:980) om tillsyn över viss brottsbekämpande verksamhet (Įstatymas (2007:980) dėl tam tikros teisėsaugos veiklos priežiūros) 1 straipsnį ši institucija prižiūri, kaip teisėsaugos institucijos taiko įstatymą.
– LEK
25 Pagal LEK 6 skyriaus 22 straipsnio pirmos pastraipos 2 punkto nuostatas bet kuris elektroninių ryšių paslaugų teikėjas privalo perduoti registracijos duomenis prokuroro, nacionalinės policijos, saugumo policijos arba bet kurios kitos teisėsaugos institucijos reikalavimu, jei duomenys susiję su įtariamu nusikaltimu. Prašymą priimti prejudicinį sprendimą pateikęs teismas byloje C‑203/15 nurodo, kad nebūtina, jog tai būtų sunkus nusikaltimas.
– RB
26 RB reglamentuojama saugomų duomenų perdavimo nacionalinėms institucijoms tvarka vykstant ikiteisminiam tyrimui. Pagal RB 27 skyriaus 19 straipsnį „elektroninių ryšių stebėjimas“ be trečiųjų asmenų žinios iš esmės leidžiamas vykstant, be kita ko, ikiteisminiam nusikaltimų, už kuriuos numatyta ne mažesnė nei šešių mėnesių laisvės atėmimo bausmė, tyrimui. Pagal RB 27 skyriaus 19 straipsnį „elektroninių ryšių stebėjimas“ apima duomenų, susijusių su elektroninių ryšių tinklu perduota informacija, konkrečioje geografinėje teritorijoje esančia ar buvusia elektroninių ryšių įranga ir su geografine (-ėmis) zona (-omis), kurioje (-iose) yra arba buvo naudojama elektroninių ryšių įranga, gavimą be trečiųjų asmenų žinios.
27 Kaip nurodo prašymą priimti prejudicinį sprendimą pateikęs teismas byloje C‑203/15, remiantis RB 27 skyriaus 19 straipsniu negalima gauti duomenų apie informacijos turinį. Iš esmės pagal RB 27 skyriaus 20 straipsnį elektroninių ryšių stebėjimas galimas tik esant patikimų duomenų, leidžiančių įtarti, kad asmuo padarė nusikaltimą, o tokia priemonė itin reikalinga vykdant tyrimą, kurio objektas turi būti nusikaltimas, už kurį skiriama ne mažesnė kaip dvejų metų laisvės atėmimo bausmė, arba bandymas, rengimasis ar kėsinimasis padaryti tokį nusikaltimą. Pagal RB 27 skyriaus 21 straipsnį, prieš pradedant stebėti elektroninius ryšius, prokuratūra turi prašyti kompetentingo teismo išduoti tam leidimą, išskyrus skubos atvejus.
Dėl saugomų duomenų saugumo ir apsaugos
28 Pagal LEK 6 skyriaus 3a straipsnį elektroninių ryšių paslaugų teikėjai, kuriems taikoma pareiga saugoti duomenis, privalo imtis tinkamų techninių ir organizacinių priemonių, kad apsaugotų saugomus duomenis juos tvarkant. Kaip nurodo prašymą priimti prejudicinį sprendimą pateikęs teismas byloje C‑203/15, vis dėlto Švedijos teisėje neįtvirtintos nuostatos dėl duomenų saugojimo vietos.
Jungtinės Karalystės teisė
DRIPA
29 DRIPA 1 straipsnyje „Įgaliojimai saugoti svarbius ryšio duomenis taikant apsaugos priemones“ nurodyta:
„(1) Skelbdamas nurodymą [nurodymas saugoti duomenis] [vidaus reikalų ministras] gali reikalauti, kad viešųjų telekomunikacijų operatorius saugotų svarbius ryšio duomenis, jeigu [vidaus reikalų ministras] mano, kad toks reikalavimas būtinas siekiant vieno ar kelių tikslų, nurodytų Regulation of Investigatory Powers Act 2000 [2000 m. Tyrimo įgaliojimų reglamentavimo įstatymas] 22 skyriaus 2 dalies a–h punktuose (tikslai, kurių siekiant gali būti gauti su ryšiais susiję duomenys), ir yra jiems proporcingas.
(2) Nurodymu saugoti duomenis gali būti:
a) kreipiamasi į konkretų operatorių arba į tam tikrą operatorių kategoriją;
b) reikalaujama saugoti visus duomenis arba tam tikros kategorijos duomenis;
c) nurodomas laikotarpis ar laikotarpiai, per kuriuos reikia saugoti duomenis;
d) nustatomi kiti reikalavimai ar apribojimai dėl duomenų saugojimo;
e) nustatomos įvairios nuostatos įvairiais tikslais;
f) nurodoma saugoti duomenis, kurie jau egzistuoja arba kurių dar nėra, kai skelbiamas arba įsigalioja nurodymas saugoti duomenis.
(3) Priimdamas taisykles, [vidaus reikalų ministras] gali patvirtinti papildomas nuostatas dėl svarbių ryšio duomenų saugojimo.
(4) Tokios nuostatos visų pirma gali būti susijusios su:
a) reikalavimais, taikomais prieš paskelbiant nurodymą saugoti duomenis;
b) ilgiausiu laikotarpiu, per kurį turi būti saugomi duomenys pagal nurodymą saugoti duomenis;
c) nurodymo saugoti duomenis turiniu, priėmimu, įsigaliojimu, peržiūra, keitimu arba atšaukimu;
d) pagal šį straipsnį saugomų duomenų vientisumu, saugumu arba apsauga, prieiga prie šių duomenų ir jų atskleidimu ar sunaikinimu;
e) atitinkamų reikalavimų ar apribojimų vykdymo užtikrinimu arba atitikties jiems tikrinimu;
f) praktikos kodeksu, susijusiu su atitinkamais reikalavimais, apribojimais arba įgaliojimais;
g) [vidaus reikalų ministro] išmokamu (kai įvykdytos tam tikros sąlygos arba nenustačius sąlygų) viešųjų telekomunikacijų operatorių išlaidų, patirtų įgyvendinant atitinkamus reikalavimus ar apribojimus, atlyginimu;
h) [Data Retention (EC Directive) Regulations 2009 (2009 m. Duomenų saugojimo pagal EB direktyvą taisyklės)] galiojimo pabaiga ir perėjimu prie duomenų saugojimo tvarkos pagal šį straipsnį.
(5) Ilgiausias laikotarpis, nustatytas pagal 4 dalies b punktą, negali viršyti 12 mėnesių skaičiuojant nuo datos, nustatytos dėl duomenų, kuriems taikomos 3 dalyje nurodytos taisyklės.
<…>“
30 DRIPA 2 straipsnyje „svarbūs ryšio duomenys“ apibrėžiami kaip „svarbūs ryšio duomenys, kaip nurodyta 2009 m. Duomenų saugojimo pagal EB direktyvą taisyklių priede, jeigu tokius duomenis generuoja arba tvarko Jungtinės Karalystės viešieji telekomunikacijų operatoriai teikdami atitinkamas telekomunikacijų paslaugas“.
RIPA
31 2000 m. Tyrimo įgaliojimų reglamentavimo įstatymo (toliau – RIPA) II skyriuje esančio 21 straipsnio „Ryšio duomenų gavimas ir atskleidimas“ 4 dalyje nurodyta:
„Šiame skyriuje „ryšio duomenys“:
a) bet kokie srauto duomenys, esantys pranešime (kurį teikia siuntėjas arba kitas asmuo) arba su juo susiję teikiant bet kokias pašto paslaugas arba naudojant telekomunikacijų sistemas, per kurias tokie duomenys perduodami arba gali būti perduodami;
b) bet kokia informacija, kurioje nėra pranešimo turinio (išskyrus informaciją, kuriai taikomas a punktas) ir kuri susijusi su bet kokio asmens atliekamu naudojimusi:
i) bet kokiomis pašto arba telekomunikacijų paslaugomis arba
ii) bet kokia telekomunikacijų sistemos dalimi bet kokiam asmeniui teikiant telekomunikacijų paslaugas arba kai tokiomis paslaugomis naudojamasi;
c) bet kokia informacija, kuriai netaikomas a arba b punktas ir kurią turi arba gauna pašto arba telekomunikacijų paslaugas teikiantis asmuo dėl asmenų, kuriems tos paslaugos teikiamos.“
32 Kaip nurodo prašymą priimti prejudicinį sprendimą pateikęs teismas byloje C‑698/15, šie duomenys apima „naudotojo buvimo vietos nustatymo duomenis“, bet neapima duomenų apie pranešimo turinį.
33 Kiek tai susiję su prieiga prie saugomų duomenų, RIPA 22 straipsnyje nustatyta:
„(1) Šis straipsnis taikomas tuo atveju, kai pagal šį skyrių atsakingas asmuo mano, kad dėl šio straipsnio 2 dalyje nurodytų priežasčių būtina gauti kokius nors ryšio duomenis.
(2) Pagal šią dalį egzistuoja priežastys gauti ryšių duomenis, jeigu to reikia siekiant:
a) įgyvendinti nacionalinio saugumo interesus;
b) užkirsti kelią nusikaltimams ar juos nustatyti arba užkirsti kelią viešosios tvarkos pažeidimams;
c) Jungtinės Karalystės ekonominės gerovės;
d) užtikrinti visuomenės saugumą;
e) apsaugoti visuomenės sveikatą;
f) apskaičiuoti arba surinkti mokesčius, rinkliavas arba kitas vyriausybės padaliniams mokėtinas įmokas ar kitas sumas;
g) kritinėje situacijoje išvengti mirties, sužalojimo arba bet kokios žalos asmens fizinės ar psichinės sveikatos būklei arba sumažinti sužalojimus ar žalą asmens fizinės ar psichinės sveikatos būklei;
(h) bet kokių kitų tikslų (nenurodytų a–g punktuose), nurodytų [vidaus reikalų ministro] nutarime.
(4) Nepažeidžiant 5 dalies, tuo atveju, kai mano, kad telekomunikacijų operatorius arba pašto paslaugas teikiantis operatorius turi, galėtų turėti arba galėtų tokių duomenų gauti, atsakingas asmuo gali iš tokio operatoriaus pareikalauti:
a) gauti duomenis, jeigu pastarasis jų neturi, ir
b) bet kuriuo atveju atskleisti visus turimus ar vėliau gautus duomenis.
(5) Atsakingas asmuo gali duoti leidimą pagal 3 dalį arba pateikti reikalavimą pagal 4 dalį, tik jeigu mano, kad atitinkamų duomenų, gautų veikiant pagal leidimą arba taip, kaip to reikalaujama, gavimas proporcingas tikslui, kurio siekiama tokių duomenų gavimu.“
34 Pagal RIPA 65 straipsnį skundai taip pat gali būti pateikti Investigatory Powers Tribunal (Tyrimo įgaliojimų teismas, Jungtinė Karalystė), jeigu yra pagrindo manyti, kad duomenys gauti netinkamai.
Data Retention Regulations 2014
35 Data Retention Regulations 2014 (2014 m. Duomenų saugojimo taisyklės), kurios priimtos remiantis DRIPA, sudaro trys dalys. Antroje dalyje yra 2–14 straipsniai. 4 straipsnyje „Nurodymai dėl duomenų saugojimo“ numatyta:
„(1) Nurodymuose dėl duomenų saugojimo turi būti nurodyta:
a) viešasis telekomunikaciją operatorius (arba aprašas operatorių), kuriam (kuriems) skirti nurodymai;
b) atitinkamų ryšių duomenys, kurie turi būti saugomi;
c) laikotarpis (-iai), per kurį (-iuos) reikia saugoti duomenis;
d) kiti reikalavimai ar apribojimai dėl duomenų saugojimo.
(2) Nurodymuose dėl duomenų saugojimo negali būti numatyta, kad duomenys būtų saugomi ilgiau nei 12 mėnesių, skaičiuojamų:
a) nuo atitinkamo ryšio dienos srauto ar su paslaugos naudojimu susijusių duomenų atveju;
b) nuo dienos, kai atitinkamas asmuo nutraukia naudojimąsi atitinkamo ryšio paslaugomis, arba nuo dienos, kai duomenys pakeičiami (jeigu ši data ankstesnė), su abonentais susijusių duomenų atveju.
<…>“
36 Pagal šių taisyklių 7 straipsnį „Duomenų vientisumas ir saugumas“:
„(1) Pagal [DRIPA] 1 straipsnį duomenis saugantis viešasis telekomunikacijų operatorius privalo:
a) užtikrinti, kad duomenys būtų tokie pat vientisi ir jiems taikomas apsaugos ir saugumo lygis būtų ne mažesnis nei taikomas sistemų, iš kurių jie gaunami, duomenims;
b) taikant atitinkamas technines ir organizacines priemones užtikrinti, kad prieigą prieš šių duomenų turėtų tik specialų leidimą turintis darbuotojai, ir
c) taikant tinkamas technines ir organizacines priemones apsaugoti duomenis nuo neteisėto sunaikinimo, atsitiktinio praradimo ar sugadinimo arba nuo neteisėto saugojimo, tvarkymo, naudojimo ar atskleidimo ar jų saugojimo, tvarkymo, naudojimo ir atskleidimo neturint tam leidimo.
(2) Viešasis telekomunikacijų operatorius, saugantis ryšių duomenis pagal [DRIPA] 1 straipsnį, privalo juos sunaikinti, jeigu nebegalioja leidimas juos saugoti pagal šį straipsnį arba toks saugojimas neleidžiamas pagal įstatymą.
(3) 2 dalyje nurodytas reikalavimas sunaikinti duomenis reiškia, kad šie duomenys turi būti pašalinti taip, kad nebūtų galima prieiga prie jų.
(4) Užtenka, kad operatorius imtųsi priemonių, užtikrinančių, kad duomenys būtų šalinami kas mėnesį arba trumpesniais laiko tarpais, jeigu operatorius turi galimybių tai padaryti.“
37 Minėtų taisyklių 8 straipsnyje „Saugomų duomenų atskleidimas“ nurodyta:
„(1) Viešasis telekomunikacijų operatorius turi nustatyti tinkamas saugumo sistemas (kurios apimtų technines ir organizacines priemones), nustatančias prieigą prie pagal [DRIPA] 1 straipsnį saugomų ryšių duomenų, siekiant apsaugoti nuo atskleidimo, kurio neapima [DRIPA] 1 straipsnio 6 dalies a punktas.
(2) Viešasis telekomunikacijų operatorius, saugantis ryšių duomenis pagal [DRIPA] 1 straipsnį, privalo saugoti duomenis taip, kad, gavęs nurodymą, galėtų juos perduoti nepagrįstai nedelsdamas.“
38 Tų pačių taisyklių 9 straipsnyje „Už informaciją atsakingo komisaro atliekama kontrolė“ nurodyta:
„Už informaciją atsakingas komisaras privalo kontroliuoti, kaip laikomasi šioje dalyje nustatytų reikalavimų ar apribojimų, kiek tai susiję su pagal [DRIPA] 1 straipsnį saugomų duomenų vientisumu, saugumu ir sunaikinimu.“
Praktikos kodeksas
39 Acquisition and Disclosure of Communications Data Code of Practice (Ryšio duomenų gavimo ir atskleidimo praktikos kodeksas, toliau – Praktikos kodeksas) 2.5–2.9 ir 2.36–2.45 punktuose įtvirtintos gairės dėl ryšio duomenų gavimo būtinumo ir proporcingumo. Kaip nurodo prašymą priimti prejudicinį sprendimą pateikęs teismas byloje C‑698/15, pagal šio kodekso 3.72–3.77 punktus būtinumą ir proporcingumą reikia įvertinti ypač atidžiai, jeigu siekiami gauti ryšio duomenys susiję su asmeniu, kuris dėl savo profesijos tvarko profesinės paslapties saugomą arba dėl kitų priežasčių konfidencialią informaciją.
40 Pagal minėto kodekso 3.78–3.84 punktus, kai konkrečiai teikiamas prašymas dėl ryšio duomenų siekiant nustatyti žurnalistų šaltinį, turi būti gautas teismo įsakymas. Pagal to paties kodekso 3.85–3.87 punktus, norėdamos susipažinti su duomenimis, vietos valdžios institucijos turi gauti teismo leidimą. Tačiau norint susipažinti su ryšio duomenimis, kuriems taikoma profesinės paslapties apsauga, arba su ryšio duomenimis, susijusiais su gydytojais, Parlamento nariais arba religinių profesijų atstovais, teismo ar nepriklausomos įstaigos leidimo nereikia.
41 Praktikos kodekso 7.1 punkte numatyta, kad pagal RIPA nuostatas įsigyti ar gauti ryšio duomenys ir visos jų ištraukos, santraukos ir kopijos turi būti tvarkomi ir saugomi saugiai. Be to, turi būti laikomasi Data Protection Act (Duomenų apsaugos įstatymas) nustatytų reikalavimų.
42 Pagal Praktikos kodekso 7.18 punktą tuo atveju, kai Jungtinės Karalystės valdžios institucija svarsto klausimą dėl galimybės perduoti ryšio duomenis užsienio institucijoms, ji, be kita ko, turi nustatyti, ar šie duomenys bus tinkamai apsaugoti. Vis dėlto iš šio kodekso 7.22 punkto matyti, kad duomenys trečiajai šaliai gali būti perduoti tuo atveju, kai tai būtina dėl su svarbiu viešuoju interesu susijusių priežasčių, net jeigu trečioji šalis neužtikrina tinkamo apsaugos lygio. Kaip nurodo prašymą priimti prejudicinį sprendimą pateikęs teismas byloje C‑698/15, vidaus ministras gali išduoti nacionalinio saugumo pažymėjimą, kuriame nurodoma, kad tam tikriems duomenims galima netaikyti teisės aktuose įtvirtintų nuostatų.
43 Minėto kodekso 8.1 punkte primenama, kad RIPA numatytas Interception of Communications Commissioner (pranešimų perėmimo komisaras, Jungtinė Karalystė), be kita ko, įpareigotas vykdyti nepriklausomą RIPA II skyriaus I dalyje numatytų įgaliojimų ir pareigų vykdymo ir įgyvendinimo priežiūrą. Kaip matyti iš to paties kodekso 8.3 punkto, jeigu toks komisaras gali „nustatyti, kad dėl tyčinių ar neatsargių veiksmų asmuo patyrė neigiamų pasekmių“, jis turi teisę informuoti tokį asmenį, kad egzistuoja įtarimų dėl neteisėto naudojimosi įgaliojimais.
Pagrindinės bylos ir prejudiciniai klausimai
Byla C‑203/15
44 2014 m. balandžio 9 d. Tele2 Sverige, Švedijoje įsisteigusi elektroninių ryšių paslaugų teikėja, pranešė PTS, kad, atsižvelgdama į tai, jog 2014 m. balandžio 8 d. Sprendimu Digital Rights Ireland ir kt. (C‑293/12 ir C‑594/12, toliau – Sprendimas Digital Rights, EU:C:2014:238) Direktyva 2006/24 pripažinta negaliojančia, nuo 2014 m. balandžio 14 d. ji nebesaugos LEK nurodytų elektroninių ryšių duomenų ir kad ji ištrins iki šios datos saugotus duomenis.
45 2014 m. balandžio 15 d. Rikspolisstyrelsen (Nacionalinės policijos generalinis direktoratas, Švedija) padavė PTS skundą dėl to, kad Tele2 Sverige nutraukė nagrinėjamų duomenų perdavimą jam.
46 2014 m. balandžio 29 d. justitieminister (teisingumo ministras, Švedija) paskyrė specialųjį pranešėją, kuriam pavedė atlikti Švedijos teisės aktų analizę atsižvelgiant į Sprendimą Digital Rights. 2014 m. birželio 13 d. ataskaitoje „Datalagring, ES-rätten och svensk rätt, no Ds 2014:23“ (Duomenų saugojimas. Sąjungos ir Švedijos teisė; toliau – 2014 m. ataskaita) specialusis pranešėjas padarė išvadą, kad duomenų saugojimą reglamentuojančios nacionalinės teisės nuostatos, kaip antai LEK 16a–16f straipsniai, neprieštarauja nei Sąjungos teisei, nei 1950 m. lapkričio 4 d. Romoje pasirašytai Europos žmogaus teisių ir pagrindinių laisvių apsaugos konvencijai (toliau – EŽTK). Specialusis pranešėjas pabrėžė, kad Sprendimo Digital Rights negalima aiškinti taip, kad pagal jį iš principo draudžiama bendrai nediferencijuojant saugoti duomenis. Jo nuomone, Sprendimo Digital Rights taip pat negalima aiškinti taip, kad jame Teisingumo Teismas nustatė grupę kriterijų, kurie visi turi būti tenkinami tam, kad teisės aktus galima būtų laikyti proporcingais. Siekiant nustatyti, ar Švedijos teisės aktai atitinka Sąjungos teisę, reikia įvertinti visas aplinkybes, kaip antai: duomenų saugojimo mastą atsižvelgiant į prieigą prie duomenų reglamentuojančias nuostatas, jų saugojimo trukmę, jų apsaugą ir saugumą.
47 Tuo remdamasi PTS 2014 m. birželio 19 d. informavo Tele2 Sverige, kad, nesaugodama LEK nurodytų duomenų šešis mėnesius kovos su nusikalstamumu tikslais, pastaroji nevykdo nacionalinės teisės aktuose įtvirtintų pareigų. 2014 m. birželio 27 d. įsakymu PTS ją įpareigojo pradėti saugoti šiuos duomenis vėliausiai nuo 2014 m. liepos 25 d.
48 Manydama, kad 2014 m. ataskaita paremta klaidingu Sprendimo Digital Rights aiškinimu ir kad pareiga saugoti duomenis pažeidžia Chartijos užtikrinamas pagrindines teises, dėl 2014 m. birželio 27 d. įsakymo Tele2 Sverige pateikė ieškinį Förvaltningsrätten i Stockholm (Stokholmo administracinis teismas, Švedija). 2014 m. spalio 13 d. sprendimu minėtam teismui šį ieškinį atmetus, Tele2 Sverige apskundė nurodytą sprendimą prašymą priimti prejudicinį sprendimą pateikusiam teismui.
49 Prašymą priimti prejudicinį sprendimą pateikusio teismo nuomone, Švedijos teisės aktų atitiktį Sąjungos teisei reikia vertinti atsižvelgiant į Direktyvos 2002/58 15 straipsnio 1 dalį. Šioje direktyvoje įtvirtintas principas, kad srauto ir vietos nustatymo duomenys turi būti sunaikinti arba pakeisti taip, kad taptų anoniminiai, kai jie tampa nebereikalingi pranešimui perduoti, o jos 15 straipsnio 1 dalyje numatyta nuo šio principo leidžianti nukrypti nuostata, pagal kurią valstybės narės gali apriboti tokią sunaikinimo arba anoniminimo pareigą arba net numatyti, kad duomenys turi būti saugomi, kai tai pateisinama kuria nors šioje direktyvoje nurodyta priežastimi. Taigi, pagal Sąjungos teisę tam tikrais atvejais leidžiama saugoti elektroninių ryšių duomenis.
50 Vis dėlto prašymą priimti prejudicinį sprendimą pateikusiam teismui kyla klausimas, ar pareiga, kaip antai nagrinėjama pagrindinėje byloje, bendrai nediferencijuojant saugoti elektroninių ryšių duomenis atitinka, atsižvelgiant į Sprendimą Digital Rights, Direktyvos 2002/58 15 straipsnio 1 dalį, siejamą su Chartijos 7, 8 straipsniais ir 52 straipsnio 1 dalimi. Atsižvelgiant į tai, kad šalių nuomonės dėl to skiriasi, reikia, kad Teisingumo Teismas vienareikšmiškai atsakytų į klausimą, ar, kaip mano Tele2 Sverige, bendras nediferencijuotas elektroninių ryšių duomenų saugojimas yra pats savaime nesuderinamas su Chartijos 7, 8 straipsniais ir 52 straipsnio 1 dalimi, ar, kaip matyti iš 2014 m. ataskaitos, tokių duomenų saugojimo suderinamumas turi būti įvertintas atsižvelgiant į prieigą prie duomenų reglamentuojančias nuostatas, tokių duomenų apsaugą, saugumą ir jų saugojimo trukmę.
51 Tokiomis aplinkybėmis prašymą priimti prejudicinį sprendimą pateikęs teismas nusprendė sustabdyti bylos nagrinėjimą ir pateikti Teisingumo Teismui tokius prejudicinius klausimus:
„1. Ar bendra pareiga kovos su nusikaltimais tikslais saugoti duomenis, apimanti visus asmenis, visas elektroninių ryšių priemones ir visus srauto duomenis, nedarant jokio skirtumo, apribojimo ar išimties <…>, yra suderinama su Direktyvos 2002/58 15 straipsnio 1 dalimi, atsižvelgiant į Chartijos 7, 8 straipsnius ir 52 straipsnio 1 dalį?
2. Jei į pirmąjį klausimą būtų atsakyta neigiamai, ar tokia pareiga saugoti duomenis vis dėlto gali būti nustatyta, jei:
a) nacionalinių institucijų prieiga prie saugomų duomenų reglamentuojama taip, kaip nurodyta [sprendimo dėl prašymo priimti prejudicinį sprendimą] 19–36 punktuose,
b) duomenų apsaugos ir saugumo reikalavimai reglamentuojami taip, kaip nurodyta [sprendimo dėl prašymo priimti prejudicinį sprendimą] 38–43 punktuose, ir
c) visa reikalinga informacija turi būti saugoma šešis mėnesius nuo tos dienos, kai baigėsi ryšys, ir vėliau ištrinta, kaip nurodyta [sprendimo dėl prašymo priimti prejudicinį sprendimą] 37 punkte?“
Byla C‑698/15
52 T. Watson, P. Brice ir G. Lewis pateikė High Court of Justice (England & Wales), Queens’ Bench Division (Divisional Court) (Aukščiausiasis teisingumo teismas (Anglija ir Velsas), Karalienės suolo skyrius (teisėjų kolegija)) po ieškinį dėl teisminės DRIPA 1 straipsnio teisėtumo peržiūros; ieškiniuose jie visų pirma teigė, kad šis straipsnis prieštarauja Chartijos 7 ir 8 straipsniams ir EŽTK 8 straipsniui.
53 2015 m. liepos 17 d. sprendimu High Court of Justice (England & Wales), Queens’ Bench Division (Divisional Court) (Aukščiausiasis teisingumo teismas (Anglija ir Velsas), Karalienės suolo skyrius (teisėjų kolegija)) konstatavo, kad Sprendime Digital Rights įtvirtinti „privalomi Sąjungos teisės reikalavimai“, kuriuos turi atitikti ryšio duomenų saugojimo ir prieigos prie tokių duomenų tvarką reglamentuojantys valstybių narių teisės aktai. Minėto teismo teigimu, kadangi Sprendime Digital Rights Teisingumo Teismas nusprendė, kad Direktyva 2006/24 neatitinka proporcingumo principo, nacionalinės teisės aktai, kurių turinys tapatus šios direktyvos turiniui, taip pat negali atitikti šio principo. Pagal logiką, kuria vadovautasi Sprendime Digital Rights, matyti, kad teisės aktai, kuriuose įtvirtinta bendra elektroninių ryšių duomenų saugojimo sistema, pažeidžia Chartijos 7 ir 8 straipsniais užtikrinamas teises, nebent šie teisės aktai papildyti nacionalinėje teisėje įtvirtinta prieigos prie šių duomenų sistema, suteikiančia pakankamas garantijas tam, kad tokios teisės būtų apsaugotos. Taigi, DRIPA 1 straipsnis nesuderinamas su Chartijos 7 ir 8 straipsniais, nes jame neįtvirtintos aiškios ir tikslios prieigą prie saugomų duomenų ir jų naudojimą reglamentuojančios taisyklės ir jame nenumatyta, jog, prieš suteikiant prieigą prie tokių duomenų, būtina, kad teismas arba nepriklausoma administracinė institucija atliktų kontrolę.
54 Šį sprendimą vidaus reikalų ministras apskundė Court of Appeal (England & Wales) (Civil Division) (Apeliacinis teismas (Anglija ir Velsas) (Civilinių bylų skyrius), Jungtinė Karalystė).
55 Minėtas teismas nurodo, kad pagal DRIPA 1 straipsnio 1 dalį vidaus reikalų ministrui suteikiami įgaliojimai, nesant jokio teismo arba nepriklausomos administracinės institucijos išduoto išankstinio leidimo, nustatyti bendrą tvarką, pagal kurią viešųjų telekomunikacijų operatoriai būtų įpareigoti saugoti visus su pašto arba telekomunikacijų paslaugomis susijusius duomenis maksimalų 12 mėnesių laikotarpį, jeigu jis mano, kad toks reikalavimas būtinas ir proporcingas siekiant Jungtinės Karalystės teisės aktuose nurodytų tikslų. Net jeigu tokie duomenys neapima pranešimo turinio, jais gali būti labai kišamasi į telekomunikacijų paslaugų naudotojų privatų gyvenimą.
56 Nutartyje dėl prašymo priimti prejudicinį sprendimą ir 2015 m. lapkričio 20 d. sprendime, kuris priimtas vykstant apeliaciniam procesui ir kuriuo nuspręsta pateikti Teisingumo Teismui šį prašymą priimti prejudicinį sprendimą, nacionalinis teismas nurodo, kad duomenų apsaugą reglamentuojančios nacionalinės teisės nuostatos neabejotinai paremtos Direktyvos 2002/58 15 straipsnio 1 dalimi, taigi, turi atitikti iš Chartijos kylančius reikalavimus. Vis dėlto, kaip matyti iš minėtos direktyvos 1 straipsnio 3 dalies, Sąjungos teisės aktų leidėjas nesiekė suderinti prieigą prie saugomų duomenų reglamentuojančių taisyklių.
57 Kiek tai susiję su Sprendimo Digital Rights poveikiu pagrindinėje byloje iškeltiems klausimams, prašymą priimti prejudicinį sprendimą pateikęs teismas nurodo, kad byloje, kurioje priimtas Sprendimas Digital Rights, į Teisingumo Teismą buvo kreiptasi dėl Direktyvos 2006/24, o ne dėl nacionalinės teisės aktų galiojimo. Be kita ko, atsižvelgiant į glaudų duomenų saugojimo ir prieigos prie jų ryšį, ši direktyva privalėjo būti lydima tam tikrų garantijų, o Sprendime Digital Rights tikrinant minėtoje direktyvoje nustatytos duomenų saugojimo tvarkos teisėtumą turėjo būti vertinamos prieigą prie šių duomenų reglamentuojančios taisyklės. Taigi, Sprendime Digital Rights Teisingumo Teismas nesiekė nustatyti privalomų reikalavimų, kuriuos turėtų atitikti prieigą prie duomenų reglamentuojantys nacionalinės teisės aktai, neskirti įgyvendinti Sąjungos teisę. Be to, Teisingumo Teismo motyvai buvo glaudžiai susiję su minėta direktyva siekiamu tikslu. Vis dėlto nacionalinės teisės aktai turėtų būti vertinami atsižvelgiant į jais siekiamus tikslus ir į jų kontekstą.
58 Kiek tai susiję su būtinybe kreiptis į Teisingumo Teismą, prašymą priimti prejudicinį sprendimą pateikęs teismas pabrėžia, kad tuo metu, kai priimta nutartis dėl prašymo priimti prejudicinį sprendimą, šeši kitų valstybių narių teismai, iš kurių penki – galutinės instancijos teismai, panaikino nacionalinės teisės aktus remdamiesi Sprendimu Digital Rights. Taigi, atsakymas į iškeltus klausimus nėra akivaizdus, o tokio atsakymo reikia, kad šis teismas galėtų priimti sprendimą jam pateiktose nagrinėti bylose.
59 Tokiomis aplinkybėmis Court of Appeal (England & Wales) (Civil Division) (Apeliacinis teismas (Anglija ir Velsas) (Civilinių bylų skyrius)) nutarė sustabdyti bylos nagrinėjimą ir pateikti Teisingumo Teismui šiuos prejudicinius klausimus:
„1. Ar Sprendimu Digital Rights (ypač jo 60–62 punktais) nustatomi privalomi Sąjungos teisės reikalavimai, taikytini valstybės narės vidaus tvarkai dėl galimybės susipažinti su duomenimis, saugomais pagal nacionalinę teisę, siekiant užtikrinti atitiktį Chartijos 7 ir 8 straipsniams?
2. Ar Sprendimu Digital Rights išplečiama Chartijos 7 ir (arba) 8 straipsnių taikymo sritis, palyginti su EŽTK 8 straipsnio taikymo sritimi, nustatyta Europos Žmogaus Teisių Teismo praktikoje?“
Dėl proceso Teisingumo Teisme
60 2016 m. vasario 1 d. Nutartimi Davis ir kt. (C‑698/15, nepaskelbta Rink., EU:C:2016:70) Teisingumo Teismo pirmininkas nusprendė patenkinti Court of Appeal (England & Wales) (Civil Division) (Apeliacinis teismas (Anglija ir Velsas) (Civilinių bylų skyrius)) prašymą nagrinėti bylą C‑698/15 pagal Teisingumo Teismo procedūros reglamento 105 straipsnio 1 dalyje numatytą pagreitintą procedūrą.
61 2016 m. kovo 10 d. Teisingumo Teismo pirmininko sprendimu bylos C‑203/15 ir C‑698/15 buvo sujungtos, kad būtų bendrai vykdoma žodinė proceso dalis ir priimtas sprendimas.
Dėl prejudicinių klausimų
Dėl byloje C‑203/15 pateikto pirmojo klausimo
62 Pirmuoju klausimu, pateiktu byloje C‑203/15, Kammarrätten i Stockholm (Stokholmo apeliacinis administracinis teismas) iš esmės siekia išsiaiškinti, ar Direktyvos 2002/58 15 straipsnio 1 dalį, siejamą su Chartijos 7, 8 straipsniais ir 52 straipsnio 1 dalimi, reikia aiškinti taip, kad pagal ją draudžiami nacionalinės teisės aktai, kaip antai nagrinėjami pagrindinėje byloje, kuriuose kovos su nusikalstamumu tikslais numatyta pareiga bendrai nediferencijuojant saugoti visus su visais abonentais ir registruotais naudotojais susijusius srauto ir vietos nustatymo duomenis, perduodamus bet kokia elektroninio ryšio priemone.
63 Šis klausimas visų pirma kyla dėl to, kad Direktyva 2006/24, kuriai perkelti į vidaus teisę skirti pagrindinėje byloje nagrinėjami nacionalinės teisės aktai, buvo pripažinta negaliojančia Sprendimu Digital Rights; vis dėlto šalys turi skirtingą nuomonę dėl minėto sprendimo apimties ir jo poveikio minėtiems teisės aktams, kurie reglamentuoja srauto duomenų ir vietos nustatymo duomenų saugojimo tvarką ir nacionalinių institucijų prieigą prie šių duomenų.
64 Visų pirma reikia nustatyti, ar nacionalinės teisės aktai, kaip antai nagrinėjami pagrindinėje byloje, patenka į Sąjungos teisės taikymo sritį.
Dėl Direktyvos 2002/58 taikymo srities
65 Rašytines pastabas Teisingumo Teismui pateikusios valstybės narės išreiškė skirtingą nuomonę dėl to, ar (ir kiek) srauto duomenų ir vietos nustatymo duomenų saugojimo tvarką ir nacionalinių institucijų prieigą prie šių duomenų kovos su nusikalstamumu tikslais reglamentuojantys nacionalinės teisės aktai patenka į Direktyvos 2002/58 taikymo sritį. Visų pirma Belgijos, Danijos, Vokietijos, Estijos vyriausybės, Airija ir Nyderlandų vyriausybė išreiškė nuomonę, kad į tokį klausimą reikia atsakyti teigiamai, o Čekijos vyriausybė į šį klausimą siūlė atsakyti neigiamai ir nurodė, kad vienintelis šių teisės aktų tikslas yra kova su nusikalstamumu. Jungtinės Karalystės vyriausybė tvirtino, kad į minėtos direktyvos taikymo sritį patenka tik duomenų saugojimą, o ne kompetentingų nacionalinių teisėsaugos institucijų prieigą prieš šių duomenų reglamentuojantys teisės aktai.
66 Galiausiai Komisija rašytinėse pastabose, kurias pateikė Teisingumo Teismui byloje C‑203/15, tvirtino, kad pagrindinėje byloje nagrinėjami teisės aktai patenka į Direktyvos 2002/58 taikymo sritį, tačiau rašytinėse pastabose, kurias pateikė byloje C‑698/15, ji nurodė, kad į šios direktyvos taikymo sritį patenka tik nacionalinės duomenų saugojimo taisyklės ir į ją nepatenka taisyklės, reglamentuojančios nacionalinių institucijų prieigą prie šių duomenų. Vis dėlto, jos nuomone, į šias taisykles reikia atsižvelgti siekiant įvertinti, ar nacionalinės teisės aktai, kurie reglamentuoja elektroninių ryšių paslaugų teikėjų turimą atlikti duomenų saugojimą, proporcingai apriboja Chartijos 7 ir 8 straipsniais užtikrinamas pagrindines teises.
67 Šiuo klausimu pabrėžtina, kad Direktyvos 2002/58 taikymo srities aprėptį reikia aiškinti atsižvelgiant, be kita ko, į jos bendrą sistemą.
68 Direktyvos 2002/58 1 straipsnio 1 dalyje nurodyta, kad šioje direktyvoje, be kita ko, numatytas valstybių narių nuostatų, užtikrinančių vienodo lygio pagrindinių teisių ir laisvių, ypač teisės į privatumą ir konfidencialumą, apsaugą, susijusių su asmens duomenų tvarkymu elektroninių ryšių sektoriuje, suderinimas.
69 Šios direktyvos 1 straipsnio 3 dalyje nurodyta, kad direktyvos taikymo sritis neapima „valstybės veiksmų“ joje nurodytose srityse, t. y. be kita ko, valstybės veiksmų baudžiamosios teisės srityje ir veiklos, susijusios su visuomenės saugumu, gynyba, valstybės saugumu, įskaitant valstybės ekonominę gerovę, kai atitinkama veikla susijusi su valstybės saugumu (pagal analogiją, kiek tai susiję su Direktyvos 95/46 3 straipsnio 2 dalies pirma įtrauka, žr. 2003 m. lapkričio 6 d. Sprendimo Lindqvist, C‑101/01, EU:C:2003:596, 43 punktą ir 2008 m. gruodžio 16 d. Sprendimo Satakunnan Markkinapörssi ir Satamedia, C‑73/07, EU:C:2008:727, 41 punktą).
70 Direktyvos 2002/58 3 straipsnyje numatyta, kad ši direktyva taikoma asmens duomenų tvarkymui, susijusiam su viešųjų elektroninių ryšių paslaugų teikimu viešaisiais ryšių tinklais Sąjungoje, įskaitant viešuosius ryšių tinklus, palaikančius duomenų rinkimo ir atpažinimo įrenginius (toliau – elektroninių ryšių paslaugos). Taigi, reikia manyti, kad ši direktyva reglamentuoja tokių paslaugų teikėjų veiklą.
71 Pagal Direktyvos 2002/58 15 straipsnio 1 dalį valstybėms narėms leidžiama, laikantis joje nustatytų sąlygų, patvirtinti „teisines priemones, ribojančias šios direktyvos 5 ir 6 straipsniuose, 8 straipsnio 1, 2, 3 ir 4 dalyse ir 9 straipsnyje nustatytų teisių ir pareigų taikymą“. Šios direktyvos 15 straipsnio 1 dalies antrame sakinyje kaip tokių priemonių, kurias gali patvirtinti valstybės narės, pavyzdys nurodytos priemonės, „leidžiančios <…> saugoti duomenis“.
72 Iš tiesų Direktyvos 2002/58 15 straipsnio 1 dalyje numatytos priemonės susijusios su pačių valstybių ar valstybės valdžios institucijų veikla, kuri nėra privačių asmenų veikla (šiuo klausimu žr. 2008 m. sausio 29 d. Sprendimo Promusicae, C‑275/06, EU:C:2008:54, 51 punktą). Be to, tikslai, kuriems įgyvendinti turi būti skirtos tokios priemonės, konkrečiu atveju – nacionalinio saugumo apsauga, gynyba ir visuomenės saugumas ir baudžiamųjų veikų ar neteisėto elektroninių ryšių sistemų naudojimo atvejų prevencija, tyrimas ir nustatymas, iš esmės sutampa su tikslais, kurių siekiama šios direktyvos 1 straipsnio 3 dalyje nurodytomis veiklos rūšimis.
73 Vis dėlto, atsižvelgiant į bendrą Direktyvos 2002/58 sistemą, pažymėtina, kad iš to, kas nurodyta šio sprendimo pirmesniame punkte, negalima daryti išvados, kad Direktyvos 2002/58 15 straipsnio 1 dalyje nurodytos teisinės priemonės nepatenka į šios direktyvos taikymo sritį, nes kitu atveju ši nuostata prarastų bet kokį veiksmingumą. Iš tikrųjų minėta nuostata neišvengiamai paremta prielaida, kad joje numatytos nacionalinės priemonės, kaip antai susijusios su duomenų saugojimu kovos su nusikalstamumu tikslais, patenka į šios direktyvos taikymo sritį, nes joje aiškiai numatyta, kad valstybės narės gali jas patvirtinti, tik jeigu laikosi joje numatytų sąlygų.
74 Be to, Direktyvos 2002/58 15 straipsnio 1 dalyje numatytos teisinės priemonės, siekiant joje numatytų tikslų, reglamentuoja elektroninių ryšių paslaugų teikėjų veiklą. Todėl minėtos direktyvos 15 straipsnio 1 dalį, siejamą su jos 3 straipsniu, reikia aiškinti taip, kad minėtos teisinės priemonės patenka į šios direktyvos taikymo sritį.
75 Visų pirma tokia taikymo sritis apima teisinę priemonę, kaip antai nagrinėjamą pagrindinėje byloje, kuria šiems teikėjams nustatoma pareiga saugoti srauto ir vietos nustatymo duomenis, nes tokia veikla neišvengiamai apima šių teikėjų atliekamą asmens duomenų tvarkymą.
76 Į minėtą taikymo sritį patenka ir teisinė priemonė, reglamentuojanti, kaip yra pagrindinėje byloje, nacionalinių institucijų prieigą prie elektroninių ryšių paslaugų teikėjų saugomų duomenų.
77 Iš tiesų elektroninių pranešimų ir su jais susijusių srauto duomenų konfidencialumo apsauga, užtikrinama Direktyvos 2002/58 5 straipsnio 1 dalimi, taikoma priemonėms, kurių imasi bet kokie asmenys, kurie nėra naudotojai, nesvarbu, ar tai privatūs asmenys, ar subjektai, ar valstybės subjektai. Kaip patvirtinta šios direktyvos 21 konstatuojamojoje dalyje, ja siekiama užkirsti kelią neteisėtai „prieigai“ prie pranešimų, įskaitant „visus su [tokiais] pranešimais susijusius duomenis“, kad būtų apsaugotas elektroninių pranešimų konfidencialumas.
78 Tokiomis aplinkybėmis pažymėtina, kad teisinė priemonė, kuria remdamasi pagal Direktyvos 2002/58 15 straipsnio 1 dalį valstybė narė nustato elektroninių ryšių paslaugų teikėjams pareigą siekiant šioje nuostatoje numatytų tikslų suteikti nacionalinėms institucijoms šioje priemonėje nustatytomis sąlygomis prieigą prie tokių teikėjų saugomų duomenų, apima asmens duomenų tvarkymą, kurį atlieka tokie teikėjai, t. y. tvarkymą, kuris patenka į šios direktyvos taikymo sritį.
79 Be to, kadangi duomenys saugomi tik tam, kad prireikus su jais galėtų susipažinti kompetentingos nacionalinės institucijos, duomenų apsaugą reglamentuojantys nacionalinės teisės aktai paprastai neišvengiamai lemia nuostatų dėl kompetentingų nacionalinių institucijų prieigos prie elektroninių ryšių paslaugų teikėjų saugomų duomenų egzistavimą.
80 Tokį aiškinimą patvirtina Direktyvos 2002/58 15 straipsnio 1b dalis, kurioje numatyta, kad remdamiesi šios direktyvos 15 straipsnio 1 dalies nuostatomis paslaugų teikėjai parengia prieigos prie su naudotojais susijusių asmens duomenų prašymų tvarkymo vidaus taisykles.
81 Iš to, kas išdėstyta, matyti, kad nacionalinės teisės aktai, kaip antai nagrinėjami pagrindinėse bylose, kuriomis remiantis pradėtos bylos C‑203/15 ir C‑698/15, patenka į Direktyvos 2002/58 taikymo sritį.
Dėl Direktyvos 2002/58 15 straipsnio 1 dalies aiškinimo atsižvelgiant į Chartijos 7, 8, 11 straipsnius ir 52 straipsnio 1 dalį
82 Reikia pažymėti, kad pagal Direktyvos 2002/58 1 straipsnio 2 dalį jos nuostatos „smulkiau išaiškina ir papildo“ Direktyvą 95/46. Kaip nurodyta šios direktyvos 2 konstatuojamojoje dalyje, visų pirma šia direktyva siekiama užtikrinti visapusišką pagarbą Chartijos 7 ir 8 straipsniuose nurodytoms teisėms. Šiuo klausimu pažymėtina, kad iš Europos Parlamento ir Tarybos direktyvos dėl asmens duomenų tvarkymo ir privatumo apsaugos elektroninių ryšių sektoriuje pasiūlymo (KOM(2000) 385 galutinis), kuriuo remiantis parengta Direktyva 2002/58, motyvų matyti, jog Sąjungos teisės aktų leidėjas siekė „užtikrinti, kad ir toliau būtų laikomasi asmens duomenų ir privataus gyvenimo aukšto lygio apsaugos visų elektroninių ryšių paslaugų atveju, nepaisant naudojamos technologijos“.
83 Šiuo tikslu Direktyvoje 2002/58 įtvirtintos specifinės nuostatos, kuriomis siekiama, kaip matyti, be kita ko, iš jos 6 ir 7 konstatuojamųjų dalių, apsaugoti elektroninių ryšių paslaugų naudotojus nuo pavojaus, kuris asmens duomenims ir privačiam gyvenimui kyla dėl naujųjų technologijų ir dėl didėjančių automatinio duomenų kaupimo ir tvarkymo pajėgumų.
84 Konkrečiai kalbant, šios direktyvos 5 straipsnio 1 dalyje numatyta, kad valstybės narės turi užtikrinti pranešimų ir su jais susijusių srauto duomenų, perduodamų per viešųjų ryšių tinklą ir teikiant viešai teikiamas elektroninių ryšių paslaugas, konfidencialumą, taikydamos nacionalinės teisės aktus.
85 Direktyvoje 2002/58 įtvirtintas pranešimų konfidencialumo principas, be kita ko, reiškia, kad, kaip matyti iš jos 5 straipsnio 1 dalies antro sakinio, iš principo bet kuriam asmeniui, kuris nėra naudotojas, draudžiama be naudotojų sutikimo kaupti su elektroniniais ryšiais susijusius srauto duomenis. Išimtys taikomos tik asmenims, kuriems teisėtai suteiktas leidimas pagal šios direktyvos 15 straipsnio 1 dalį, ir dėl techninio saugojimo, būtino pranešimui perduoti (2008 m. sausio 29 d. Sprendimo Promusicae, C‑275/06, EU:C:2008:54, 47 punktas).
86 Taigi, kaip patvirtina Direktyvos 2002/58 22 ir 26 konstatuojamosios dalys, pagal šios direktyvos 6 straipsnį srauto duomenis galima tvarkyti ir saugoti tik kiek to reikia ir kol to reikia sąskaitoms už paslaugas pateikti, šių paslaugų rinkodarai ir teikiant pridėtinės vertės paslaugas (šiuo klausimu žr. 2008 m. sausio 29 d. Sprendimo Promusicae, C‑275/06, EU:C:2008:54, 47 ir 48 punktus). Kiek tai konkrečiai susiję su sąskaitų už paslaugas pateikimu, reikia pažymėti, kad toks tvarkymas leistinas, tik kol nepasibaigia terminas, per kurį sąskaita gali būti teisėtai užginčyta ar išieškotas apmokėjimas. Pasibaigus šiam terminui, tvarkomi ir saugomi duomenys turi būti sunaikinti arba pakeisti taip, kad taptų anoniminiai. Kiek tai susiję su vietos nustatymo duomenimis, kurie nėra srauto duomenys, minėtos direktyvos 9 straipsnio 1 dalyje numatyta, kad tokie duomenys gali būti tvarkomi, tik kai tenkinamos tam tikros sąlygos ir kai jie pakeisti taip, kad tapo anoniminiai, arba kai tam gautas naudotojų arba abonentų sutikimas.
87 Be to, Direktyvos 2002/58 5, 6 straipsnių ir 9 straipsnio 1 dalies nuostatų, kuriomis siekiama užtikrinti pranešimų ir su jais susijusių duomenų konfidencialumą ir sumažinti piktnaudžiavimo riziką, apimtį reikia vertinti atsižvelgiant į šios direktyvos 30 konstatuojamąją dalį, kurioje numatyta, kad „elektroninių ryšių tinklų ir paslaugų teikimo sistemos turi būti suprojektuotos taip, kad reikalingas asmens duomenų kiekis būtų griežtai apribotas iki minimumo“.
88 Iš tiesų Direktyvos 2002/58 15 straipsnio 1 dalimi valstybėms narėms suteikiama galimybė nustatyti šios direktyvos 5 straipsnio 1 dalyje numatytos pagrindinės pareigos užtikrinti asmens duomenų konfidencialumą ir atitinkamų pareigų, numatytų šios direktyvos, be kita ko, 6 ir 9 straipsniuose, išimtis (šiuo klausimu žr. 2008 m. sausio 29 d. Sprendimo Promusicae, C‑275/06, EU:C:2008:54, 50 punktą).
89 Vis dėlto, nors Direktyvos 2002/58 15 straipsnio 1 dalimi valstybėms narėms leidžiama apriboti pagrindinės pareigos užtikrinti pranešimų ir su jais susijusių srauto duomenų konfidencialumą, pagal nusistovėjusią Teisingumo Teismo praktiką šį straipsnį reikia aiškinti siaurai (pagal analogiją žr. 2012 m. lapkričio 22 d. Sprendimo Probst, C‑119/12, EU:C:2012:748, 23 punktas). Taigi, remiantis šiuo straipsniu negalima pateisinti to, kad nukrypimas nuo šios pagrindinės pareigos ir ypač nuo šios direktyvos 5 straipsnyje nustatyto draudimo saugoti tokius duomenis taptų taisykle, nes taip būtų labai susiaurinta šio straipsnio apimtis.
90 Šiuo klausimu reikia pažymėti, kad Direktyvos 2002/58 15 straipsnio 1 dalies pirmame sakinyje numatyta, kad jame nurodytomis teisinėmis priemonėmis, kuriomis nukrypstama nuo pranešimų ir su jais susijusių srauto duomenų konfidencialumo principo, turi būti siekiama „apsaugoti nacionalinį saugumą (t. y. valstybės saugumą), gynybą, visuomenės saugumą, taip užkardant, tiriant ir nustatant baudžiamąsias veikas ar neteisėtą elektroninių ryšių sistemos naudojimą“, arba vieno iš kitų tikslų, nurodytų Direktyvos 95/46 13 straipsnio 1 dalyje, į kurią pateikta nuoroda Direktyvos 2002/58 15 straipsnio 1 dalies pirmame sakinyje (šiuo klausimu žr. 2008 m. sausio 29 d. Sprendimo Promusicae, C‑275/06, EU:C:2008:54, 53 punktą). Toks tikslų sąrašas yra baigtinis, kaip tai matyti iš pastarosios direktyvos 15 straipsnio 1 dalies antro sakinio, kuriame numatyta, kad teisines priemones turi pateisinti 15 straipsnio 1 dalies pirmame sakinyje „nustatyti motyvai“. Taigi, valstybės narės negali nustatyti tokių priemonių siekdamos pastarojoje nuostatoje nenurodytų tikslų.
91 Be to, Direktyvos 2002/58 15 straipsnio 1 dalies trečiame sakinyje nurodyta, kad „[v]isos [šios direktyvos 15 straipsnio 1] dalyje nurodytos priemonės turi atitikti bendruosius [Sąjungos] teisės principus, tarp jų ir nurodytus [ES] 6 straipsnio 1 ir 2 dalyse“, kurie apima ir bendruosius principus bei pagrindines teises, nuo šiol garantuojamus Chartijoje. Taigi, Direktyvos 2002/58 15 straipsnio 1 dalis turi būti aiškinama atsižvelgiant į Chartijoje garantuojamas pagrindines teises (pagal analogiją, kiek tai susiję su Direktyva 95/46, žr. 2003 m. gegužės 20 d. Sprendimo Österreichischer Rundfunk ir kt., C‑465/00, C‑138/01 ir C‑139/01, EU:C:2003:294, 68 punktą; 2014 m. gegužės 13 d. Sprendimo Google Spain ir Google, C‑131/12, EU:C:2014:317, 68 punktą ir 2015 m. spalio 6 d. Sprendimo Schrems, C‑362/14, EU:C:2015:650, 38 punktą).
92 Šiuo aspektu svarbu pabrėžti, kad nacionalinės teisės aktais, kaip antai nagrinėjamais pagrindinėje byloje, elektroninių ryšių paslaugų teikėjams nustatyta pareiga saugoti srauto duomenis, kad prireikus jie būtų prieinami kompetentingoms nacionalinėms institucijoms, kelia klausimų ne tik dėl Chartijos 7 ir 8 straipsnių, aiškiai minimų prejudiciniuose klausimuose, laikymosi, bet ir dėl Chartijos 11 straipsnyje garantuojamos saviraiškos laisvės paisymo (pagal analogiją, kiek tai susiję su Direktyva 2006/24, žr. Sprendimo Digital Rights 25 ir 70 punktus).
93 Tiek į Chartijos 7 straipsnyje garantuojamos teisės į privatų gyvenimą, tiek į jos 8 straipsnyje garantuojamos teisės į asmens duomenų apsaugą reikšmę, kokią ją patvirtino Teisingumo Teismas (šiuo klausimu žr. 2015 m. spalio 6 d. Sprendimo Schrems, C‑362/14, EU:C:2015:650, 39 punktą ir jame nurodytą teismo praktiką), turi būti atsižvelgiama aiškinant Direktyvos 2002/58 15 straipsnio 1 dalį. Tas pats pasakytina apie teisę į saviraiškos laisvę, atsižvelgiant į ypatingą šios teisės reikšmę demokratinėje visuomenėje. Ši Chartijos 11 straipsnyje garantuojama pagrindinė teisė yra vienas iš pagrindinių demokratinės ir pliuralistinės visuomenės pagrindų, kurie yra vertybių, kuriomis pagal ESS 2 straipsnį grindžiama Sąjunga, dalis (šiuo klausimu žr. 2003 m. birželio 12 d. Sprendimo Schmidberger, C‑112/00, EU:C:2003:333, 79 punktą ir 2011 m. rugsėjo 6 d. Sprendimo Patriciello, C‑163/10, EU:C:2011:543, 31 punktą).
94 Šiuo klausimu reikia priminti, kad pagal Chartijos 52 straipsnio 1 dalį bet koks apribojimas naudotis šios Chartijos pripažintomis teisėmis ir laisvėmis turi būti numatytas įstatymo ir nekeisti šių teisių ir laisvių esmės. Laikantis proporcingumo principo apribojimai naudotis šiomis teisėmis ir laisvėmis galimi tik tuo atveju, kai jie būtini ir tikrai atitinka Sąjungos pripažintus bendrojo intereso tikslus arba reikalingi tam, kad būtų apsaugotos kitų asmenų teisės ir laisvės (2016 m. vasario 15 d. Sprendimo N., C‑601/15 PPU, EU:C:2016:84, 50 punktas).
95 Dėl pastarojo aspekto reikia pabrėžti, kad Direktyvos 2002/58 15 straipsnio 1 dalies pirmame sakinyje numatyta, kad valstybės narės gali nustatyti nuo pranešimų ir su jais susijusių srauto duomenų konfidencialumo pareigos nukrypstančią priemonę, kai ji yra „būtina, tinkama ir adekvati demokratinės visuomenės priemonė“ atsižvelgiant į šia nuostata siekiamus tikslus. Minėtos direktyvos 11 konstatuojamojoje dalyje patikslinama, kad tokio pobūdžio priemonė turi „griežtai“ atitikti siekiamą tikslą. Kiek tai konkrečiai susiję su duomenų saugojimu, pažymėtina, kad šios direktyvos 15 straipsnio 1 dalies antrame sakinyje nustatytas reikalavimas, kad tokia priemonė būtų taikoma tik „ribotą laikotarpį“ ir „remiantis“ kuriuo nors iš šios direktyvos 15 straipsnio 1 dalies pirmame sakinyje nurodytų tikslų.
96 Pareiga laikytis proporcingumo principo įtvirtinta ir nusistovėjusioje Teisingumo Teismo praktikoje, pagal kurią pagrindinės teisės į privatų gyvenimą apsauga Sąjungos lygiu reikalauja, kad nukrypti nuo asmens duomenų apsaugos leidžiančios nuostatos ir jos apribojimai neviršytų to, kas griežtai būtina (2008 m. gruodžio 16 d. Sprendimo Satakunnan Markkinapörssi ir Satamedia, C‑73/07, EU:C:2008:727, 56 punktas; 2010 m. lapkričio 9 d. Sprendimo Volker und Markus Schecke ir Eifert, C‑92/09 ir C‑93/09, EU:C:2010:662, 77 punktas; Sprendimo Digital Rights, 52 punktas ir 2015 m. spalio 6 d. Sprendimo Schrems, C‑362/14, EU:C:2015:650, 92 punktas).
97 Dėl klausimo ar nacionalinės teisės aktai, kaip antai nagrinėjami byloje C‑203/15, tenkina šias sąlygas, reikia pabrėžti, kad juose numatytas bendras ir nediferencijuotas visų su visais abonentais ir registruotais naudotojais susijusių srauto ir vietos nustatymo duomenų, perduodamų bet kokia elektroninio ryšio priemone, saugojimas ir jais elektroninių ryšių paslaugų teikėjai įpareigojami saugoti šiuos duomenis sistemingai ir be jokios išimties galimybės. Taigi iš sprendimo dėl prašymo priimti prejudicinį sprendimą matyti, kad duomenų kategorijos, kurias apima šie teisės aktai, iš esmės atitinka duomenis, kurių saugojimas numatytas Direktyva 2006/24.
98 Duomenys, kuriuos turi saugoti elektroninių ryšių paslaugų teikėjai, leidžia surasti ir identifikuoti pranešimo šaltinį ir adresatą, identifikuoti ryšio datą, laiką, trukmę ir rūšį, naudotojų ryšio įrangą ir nustatyti judriojo ryšio įrangos buvimo vietą. Šie duomenys, be kita ko, apima abonento ar registruoto naudotojo vardą, pavardę ir adresą, telefono numerius, į kuriuos ir iš kurių skambinta, ir IP adresą interneto paslaugų atveju. Šie duomenys visų pirma leidžia išsiaiškinti asmenį, su kuriuo vyko abonento ar registruoto naudotojo komunikacija, ir komunikacijos būdą, laiką ir vietą, iš kurios ji vykdyta. Be to, jie leidžia sužinoti, kaip dažnai vyko abonento arba registruoto naudotojo ir tam tikrų asmenų komunikacija tam tikru laikotarpiu (pagal analogiją, kiek tai susiję su Direktyva 2006/24, žr. Sprendimo Digital Rights 26 punktą).
99 Iš šių duomenų, vertinamų kaip visumos, gali būti daromos labai tikslios išvados apie asmenų, kurių duomenys saugomi, privatų gyvenimą, pavyzdžiui, kasdienio gyvenimo įpročius, nuolatinę ar laikiną gyvenamąją vietą, kasdienį ir kitokį judėjimą, vykdomą veiklą, socialinius ryšius ir lankomą socialinę aplinką (pagal analogiją, kiek tai susiję su Direktyva 2006/24, žr. Sprendimo Digital Rights 27 punktą). Visų pirma, kaip savo išvados 253, 254 ir 257–259 punktuose nurodė generalinis advokatas, tokie duomenys suteikia priemonių atitinkamų asmenų profiliui, jautriai informacijai, kiek tai susiję su teise į privataus gyvenimo užtikrinimą, ir net pranešimų turiniui nustatyti.
100 Chartijos 7 ir 8 straipsniuose įtvirtintų pagrindinių teisių apribojimas, kurį lemia tokie teisės aktai, yra plataus masto ir laikytinas itin rimtu. Aplinkybė, kad duomenys saugomi apie tai neinformuojant elektroninių ryšių paslaugų naudotojų, gali sudaryti atitinkamiems asmenims įspūdį, kad jų privatus gyvenimas yra nuolat stebimas (pagal analogiją, kiek tai susiję su Direktyva 2006/24, žr. Sprendimo Digital Rights 37 punktą).
101 Net jeigu pagal tokius teisės aktus neleidžiama saugoti pranešimo turinio, taigi, jų pobūdis nėra toks, kad keltų pavojų minėtų teisių esmei (pagal analogiją, kiek tai susiję Direktyva 2006/24, žr. Sprendimo Digital Rights 39 punktą), vis dėlto srauto ir vietos nustatymo duomenų saugojimas galėtų paveikti naudojimąsi elektroninio ryšio priemonėmis, todėl ir šių priemonių naudotojų naudojimąsi savo saviraiškos laisve, užtikrinama Chartijos 11 straipsnyje (pagal analogiją, kiek tai susiję Direktyva 2006/24, žr. Sprendimo Digital Rights 28 punktą).
102 Atsižvelgiant į nagrinėjamų pagrindinių teisių ribojimo, kurį lemia nacionalinės teisės aktai, kuriuose kovos su nusikalstamumu tikslais numatyta pareiga saugoti srauto ir vietos nustatymo duomenis, rimtumą, pažymėtina, kad tokią priemonę gali pateisinti tik kovos su sunkiais nusikaltimais tikslas (pagal analogiją, kiek tai susiję Direktyva 2006/24, žr. Sprendimo Digital Rights 60 punktą).
103 Be to, nors kovos su sunkiais nusikaltimais, visų pirma organizuotu nusikalstamumu ir terorizmu, efektyvumas gali labai priklausyti nuo pažangių tyrimo technikų naudojimo, vien toks bendrojo intereso tikslas, kad ir koks fundamentalus būtų, negali pateisinti to, kad nacionalinės teisės aktai, kuriuose numatyta pareiga bendrai nediferencijuojant saugoti visus srauto ir vietos nustatymo duomenis, būtų laikomi būtinais tokios kovos tikslams pasiekti (pagal analogiją, kiek tai susiję Direktyva 2006/24, žr. Sprendimo Digital Rights 51 punktą).
104 Šiuo klausimu reikia pabrėžti, viena vertus, kad dėl tokių teisės aktų, atsižvelgiant į šio sprendimo 97 punkte nurodytą jų specifiką, srauto ir vietos nustatymo duomenų saugojimas yra taisyklė, nors pagal Direktyva 2002/58 nustatytą sistemą reikalaujama, kad toks duomenų saugojimas būtų išimtis.
105 Kita vertus, nacionalinės teisės aktai, kaip antai nagrinėjami pagrindinėje byloje, kurie bendrai apima visus abonentus ir registruotus naudotojus, bet kokias elektroninio ryšio priemones ir visus srauto ir vietos nustatymo duomenis, nenumato jokio skirtumo, apribojimo arba išimties atsižvelgiant į siekiamą tikslą. Jie taikomi visuotinai, visiems elektroninių ryšių paslaugas naudojantiems asmenims, nepaisant to, kad tokių asmenų padėtis net netiesiogiai nėra pagrindas inicijuoti baudžiamąjį persekiojimą. Taigi, jie taikomi net tiems asmenims, dėl kurių neegzistuoja jokių požymių, leidžiančių manyti, kad jų elgesys gali turėti bent netiesioginį ar tolimą ryšį su sunkiais nusikaltimais. Be to, juose nenumatyta jokių išimčių, taigi jie taikomi net tiems asmenims, kurių komunikacija pagal nacionalinę teisę pripažįstama profesine paslaptimi (pagal analogiją, kiek tai susiję su Direktyva 2006/24, žr. Sprendimo Digital Rights 57 ir 58 punktus).
106 Tokiais teisės aktais nereikalaujama jokios sąsajos tarp numatytų saugoti duomenų ir grėsmės visuomenės saugumui. Visų pirma, juose nenustatyta, kad saugomi tik tie duomenys, kurie susiję su tam tikru laikotarpiu ir (arba) geografine zona, ir (arba) asmenų, kurie, vienaip ar kitaip, galėtų būti siejami su vienu iš sunkių nusikaltimų, ratu arba asmenimis, kurių duomenų saugojimas galėtų prisidėti prie kovos su nusikalstamumu (pagal analogiją, kiek tai susiję su Direktyva 2006/24, žr. Sprendimo Digital Rights 59 punktą).
107 Taigi, nacionalinės teisės aktai, kaip antai nagrinėjami pagrindinėje byloje, viršija tai, kas griežtai būtina, ir negali būti laikomi pateisinamais demokratinėje visuomenėje, kaip to reikalaujama pagal Direktyvos 2002/58 15 straipsnio 1 dalį, siejamą su Chartijos 7, 8, 11 straipsniais ir 52 straipsnio 1 dalimi.
108 Tačiau Direktyvos 2002/58 15 straipsnio 1 dalis, siejama su Chartijos 7, 8, 11 straipsniais ir 52 straipsnio 1 dalimi, nedraudžia valstybei narei priimti teisės aktų, pagal kuriuos siekiant prevencijos leidžiamas tikslinis srauto ir vietos nustatymo duomenų saugojimas kovos su sunkiais nusikaltimais tikslais, su sąlyga, kad, kiek tai susiję su saugotinų duomenų kategorijomis, konkrečiomis ryšio priemonėmis, atitinkamais asmenimis ir numatyta saugojimo trukme, duomenų saugojimas būtų apribotas tuo, kas griežtai būtina.
109 Tam, kad būtų tenkinami šio sprendimo pirmesniame punkte nurodyti reikalavimai, tokiuose nacionalinės teisės aktuose visų pirma turi būti numatytos aiškios ir tikslios taisyklės, kuriomis būtų reglamentuojama tokios duomenų saugojimo priemonės apimtis ir taikymas ir būtų nustatomi minimalūs reikalavimai, kad asmenims, kurių duomenys saugomi, būtų suteikta pakankamai garantijų, leidžiančių veiksmingai apsaugoti jų asmens duomenis nuo piktnaudžiavimo pavojų. Juose konkrečiai turi būti nurodyta, kokiomis aplinkybėmis ir sąlygomis galima siekiant prevencijos numatyti duomenų saugojimo priemonę, ir taip užtikrinta, kad tokia priemonė neviršytų to, kas griežtai būtina (pagal analogiją, kiek tai susiję su Direktyva 2006/24, žr. Sprendimo Digital Rights 54 punktą ir jame nurodytą teismo praktiką).
110 Antra, kiek tai susiję su materialinėmis sąlygomis, kurias turi tenkinti nacionalinės teisės aktai, pagal kuriuos kovojant su nusikalstamumu leidžiama prevencijos tikslais saugoti srauto ir vietos nustatymo duomenis, siekiant užtikrinti, kad tokie teisės aktai neviršytų to, kas griežtai būtina, reikia pabrėžti, kad nors šios sąlygos gali skirtis, nelygu, kokios priemonės numatytos siekiant užkardyti, ištirti ir nustatyti sunkius nusikaltimus, ne mažiau svarbu, kad jos visada tenkintų objektyvius kriterijus, kuriais saugotini duomenys būtų susieti su siekiamu tikslu. Konkrečiai kalbant, tokios sąlygos turi leisti praktiškai veiksmingai nubrėžti priemonės dydžio ribas, o vėliau – nustatyti atitinkamą visuomenę.
111 Dėl tokios priemonės apribojimo, kiek tai susiję su asmenimis ir situacijomis, kurioms ji būtų taikoma, pažymėtina, kad nacionalinės teisės aktai turi būti grindžiami objektyviais kriterijais, leidžiančiais nustatyti asmenis, kurių duomenys gali bent netiesiogiai atskleisti ryšį su sunkia nusikalstama veika, vienaip ar kitaip prisidėti prie kovos su sunkiais nusikaltimais arba užkirsti didelį pavojų visuomenės saugumui. Toks apribojimas turi būti užtikrintas taikant geografinį kriterijų, jeigu kompetentingos nacionalinės institucijos, remdamosi objektyvia informacija, mano, kad vienoje ar keliose geografinėse zonose kyla didelis pavojus, kad ruošiamasi tokiai veikai ar kad ji bus padaryta.
112 Atsižvelgiant į visa tai, kas išdėstyta, į pirmąjį klausimą byloje C‑203/15 reikia atsakyti taip: Direktyvos 2002/58 15 straipsnio 1 dalį, siejamą su Chartijos 7, 8, 11 straipsniais ir 52 straipsnio 1 dalimi, reikia aiškinti taip, kad pagal ją draudžiami nacionalinės teisės aktai, kuriuose kovos su nusikalstamumu tikslais numatyta pareiga bendrai nediferencijuojant saugoti visus su visais abonentais ir registruotais naudotojais susijusius srauto ir vietos nustatymo duomenis, perduodamus bet kokia elektroninio ryšio priemone.
Dėl antrojo klausimo byloje C‑203/15 ir pirmojo klausimo byloje C‑698/15
113 Pirmiausia reikia pabrėžti, kad antrąjį klausimą byloje C‑203/15 Kammarrätten i Stockholm (Stokholmo apeliacinis administracinis teismas) uždavė tik tuo atveju, jeigu į pirmąjį klausimą šioje byloje būtų atsakyta neigiamai. Vis dėlto šis antrasis klausimas nesusijęs su visuotiniu ar tiksliniu duomenų saugojimu, kaip tai suprantama pagal šio sprendimo 108–111 punktus. Taigi, į antrąjį klausimą byloje C‑203/15 ir pirmąjį klausimą byloje C‑698/15, kur šis klausimas pateiktas nesiejant jo su elektroninių ryšių paslaugų teikėjams nustatytos duomenų saugojimo pareigos apimtimi, reikia pateikti bendrą atsakymą.
114 Antruoju klausimu byloje C‑203/15 ir pirmuoju klausimu byloje C‑698/15 prašymus priimti prejudicinį sprendimą pateikę teismai iš esmės siekia išsiaiškinti, ar Direktyvos 2002/58 15 straipsnio 1 dalį, siejamą su Chartijos 7, 8 straipsniais ir 52 straipsnio 1 dalimi, reikia aiškinti taip, kad ji draudžia nacionalinės teisės aktus, reglamentuojančius srauto ir vietos nustatymo duomenų apsaugą ir saugumą, ypač kompetentingų nacionalinių instituciją prieigą prie saugomų duomenų, jeigu ji neapribojama tik kovos su sunkiais nusikaltimais tikslais, jai netaikoma išankstinė teismo ar nepriklausomos administracinės institucijos kontrolės ir nereikalaujama, kad nagrinėjami duomenys būtų saugomi Sąjungos teritorijoje.
115 Dėl tikslų, galinčių pateisinti nacionalinės teisės aktus, kuriais nukrypstama nuo elektroninių pranešimų konfidencialumo principo, reikia priminti, kad, atsižvelgiant į tai, kad, kaip nurodyta šio sprendimo 90 ir 102 punktuose, Direktyvos 2002/58 15 straipsnio 1 dalyje pateiktas baigtinis tikslų sąrašas, prieiga prie saugomų duomenų iš tikrųjų griežtai turi atitikti vieną iš šių tikslų. Be to, kadangi šiais teisės aktais siekiamas tikslas turi būti susietas su pagrindinių teisių apribojimo, kurį lemia tokia prieiga, rimtumu, užkardant, tiriant ir nustatant baudžiamąsias veikas, tokią prieigą prie saugomų duomenų gali pateisinti tik kova su sunkiais nusikaltimais.
116 Kiek tai susiję su proporcingumo principo laikymusi, pabrėžtina, kad nacionalinės teisės aktais, reglamentuojančiais sąlygas, kuriomis elektroninių ryšių paslaugų teikėjai kompetentingoms nacionalinėms institucijoms gali suteikti prieigą prie saugomų duomenų, turi būti užtikrinta, remiantis tuo, kas konstatuota šio sprendimo 95 ir 96 punktuose, kad tokia prieiga būtų leidžiama tik tiek, kiek tai griežtai būtina.
117 Be to, kadangi Direktyvos 2002/58 15 straipsnio 1 dalyje nurodytoms teisinėms priemonėms turi būti „taikoma tinkama apsaugos garantija“, kaip numatyta šios direktyvos 11 konstatuojamojoje dalyje, tokia priemonė, kaip matyti iš šio sprendimo 109 punkte nurodytos teismo praktikos, turi numatyti aiškias ir tikslias taisykles, nustatančias, kokiomis aplinkybėmis ir sąlygomis elektroninių ryšių paslaugų teikėjai turi suteikti kompetentingoms nacionalinėms institucijoms prieigą prie duomenų. Be to, tokio pobūdžio priemonė pagal vidaus teisę turi būti teisiškai privaloma.
118 Siekiant užtikrinti, kad kompetentingų nacionalinių institucijų prieiga prie saugomų duomenų būtų ribota ir neviršytų to, kas griežtai būtina, iš tiesų nacionalinėje teisėje turi būti nustatytos sąlygos, kuriomis elektroninių ryšių paslaugų teikėjai privalo suteikti tokią prieigą. Vis dėlto nacionalinės teisės aktuose negali būti apsiribota reikalavimu, kad prieiga atitiktų vieną iš Direktyvos 2002/58 15 straipsnio 1 dalyje nurodytų tikslų, nors tai ir būtų kovos su sunkiais nusikaltimais tikslas. Tokiuose nacionalinės teisės aktuose taip pat turi būti numatytos materialinės ir procedūrinės sąlygos, reglamentuojančios kompetentingų nacionalinių institucijų prieigą prie saugomų duomenų (pagal analogiją, kiek tai susiję su Direktyva 2006/24, žr. Sprendimo Digital Rights 61 punktą).
119 Taigi, kadangi bendra prieiga prie visų saugomų duomenų, nepaisant to, ar egzistuoja koks nors bent jau netiesioginis ryšys su siekiamu tikslu, negali būti laikoma neviršijančia to, kas griežtai būtina, atitinkami nacionalinės teisės aktai turi būti grindžiami objektyviais kriterijais, kai nustatomos aplinkybės ir sąlygos, kuriomis kompetentingoms nacionalinėms institucijoms turi būti suteikta prieiga prie abonentų ar registruotų naudotojų duomenų. Šiuo klausimu pabrėžtina, kad, kalbant apie kovą su nusikalstamumu, iš principo prieiga gali būti suteikta tik prie asmenų, kurie įtariami planuojantys sunkų nusikaltimą, jį darantys arba padarę, arba vienaip ar kitaip dalyvavę jį darant, duomenų (pagal analogiją žr. 2015 m. gruodžio 4 d. EŽTT sprendimo Zakharov / Rusija, CE:ECHR:2015:1204JUD004714306, 260 punktą). Vis dėlto ypatingais atvejais, pvz., kai terorizmo veikla kėsinamasi į gyvybinius nacionalinio saugumo, gynybos arba visuomenės saugumo interesus, gali būti leidžiama prieiga ir prie kitų asmenų duomenų, jeigu turima objektyvios informacijos, leidžiančios manyti, kad konkrečiu atveju šie duomenys iš tiesų prisidės kovojant prieš tokią veiklą.
120 Siekiant praktiškai užtikrinti visišką tokių sąlygų laikymąsi, iš esmės būtina, kad prieš suteikiant kompetentingoms nacionalinėms institucijoms prieigą prie saugomų duomenų paprastai, išskyrus tinkamai pagrįstus skubos atvejus, teismas arba nepriklausoma administracinė institucija atliktų išankstinę kontrolę ir toks teismas ar tokia institucija savo sprendimą priimtų gavę motyvuotą kompetentingų nacionalinių institucijų prašymą, kurį jos pateiktų vykdydamos prevencijos, atskleidimo arba baudžiamojo persekiojimo procedūras (pagal analogiją, kiek tai susiję su Direktyva 2006/24, žr. Sprendimo Digital Rights 62 punktą; taip pat pagal analogiją, kiek tai susiję su EŽTK 8 straipsniu, žr. 2016 m. sausio 12 d. EŽTT sprendimo Szabó ir Vissy / Vengrija, CE:ECHR:2016:0112JUD003713814, 77 ir 80 punktus).
121 Be to, svarbu, kad kompetentingos nacionalinės institucijos, kurioms suteikta prieiga prie saugomų duomenų, vykstant taikytinoms nacionalinėms procedūroms apie tai informuotų atitinkamus asmenis, kai pasiekiamas momentas, nuo kurio toks informavimas negali neigiamai paveikti šių institucijų atliekamų tyrimų. Tokia informacija asmenims faktiškai būtina tam, kad jie galėtų pasinaudoti teise pareikšti ieškinį, aiškiai numatyta Direktyvos 2002/58 15 straipsnio 2 dalyje, siejamoje su Direktyvos 95/46 22 straipsniu, tuo atveju, kai pažeidžiamos jų teisės (pagal analogiją žr. 2009 m. gegužės 7 d. Sprendimo Rijkeboer, C‑553/07, EU:C:2009:293, 52 punktą ir 2015 m. spalio 6 d. Sprendimo Schrems, C‑362/14, EU:C:2015:650, 95 punktą).
122 Kiek tai susiję su taisyklėmis, reglamentuojančiomis elektroninių ryšių paslaugų teikėjų saugomų duomenų saugumą ir apsaugą, reikia konstatuoti, kad Direktyvos 2002/58 15 straipsnio 1 dalimi valstybėms narėms nesuteikta galimybė nukrypti nuo šios direktyvos 4 straipsnio 1 ir 1a dalių. Pagal pastarąsias nuostatas reikalaujama, kad tokie teikėjai imtųsi tinkamų techninių ir organizacinių priemonių veiksmingai saugomų duomenų apsaugai užtikrinti nuo piktnaudžiavimo pavojaus ir bet kokios neteisėtos prieigos prie šių duomenų. Atsižvelgiant į saugomų duomenų kiekį, jautrų tokių duomenų pobūdį ir neteisėtos prieigos prie jų pavojų, elektroninių ryšių paslaugų teikėjai privalo užtikrinti itin aukštą apsaugos ir saugumo lygį imdamiesi tinkamų techninių ir organizacinių priemonių, siekdami garantuoti visišką tokių duomenų integralumą ir konfidencialumą. Konkrečiai kalbant, nacionalinės teisės aktuose turi būti numatyta, kad duomenys saugomi Sąjungos teritorijoje ir kad jie neatkuriamai sunaikinami pasibaigus jų saugojimo terminui (pagal analogiją, kiek tai susiję su Direktyva 2006/24, žr. Sprendimo Digital Rights 66–68 punktus).
123 Bet kuriuo atveju valstybės narės privalo užtikrinti, kad nepriklausoma institucija kontroliuotų, kaip laikomasi apsaugos lygio, kurį Sąjungos teisė užtikrina fizinių asmenų apsaugos srityje, kai tvarkomi asmens duomenys, nes tokios kontrolės aiškiai reikalaujama pagal Chartijos 8 straipsnio 3 dalį ir ji pagal nusistovėjusią Teisingumo Teismo praktiką yra esminis asmenų apsaugos tvarkant asmens duomenis elementas. Kitokiu atveju iš asmenų, kurių asmens duomenys saugomi, būtų atimta Chartijos 8 straipsnio 1 ir 3 dalyse garantuojama teisė pateikti nacionalinėms priežiūros institucijoms prašymą apsaugoti jų duomenis (šiuo klausimu žr. Sprendimo Digital Rights 68 punktą ir 2015 m. spalio 6 d. Sprendimo Schrems, C‑362/14, EU:C:2015:650, 41 ir 58 punktus).
124 Prašymą priimti prejudicinį sprendimą pateikę teismai turi patikrinti, ar ir kiek pagrindinėse byloje nagrinėjami nacionalinės teisės aktai atitinka reikalavimus, kylančius iš Direktyvos 2002/58 15 straipsnio 1 dalies, siejamos su Chartijos 7, 8, 11 straipsniais ir 52 straipsnio 1 dalimi, atsižvelgdami į tai, kaip jie aiškinami šio sprendimo 115–123 punktuose, kiek tai susiję su kompetentingų nacionalinių institucijų prieiga prie saugomų duomenų, šių duomenų apsauga ir saugumo lygiu.
125 Atsižvelgiant į visa tai, kas išdėstyta, į antrąjį klausimą byloje C‑203/15 ir į pirmąjį klausimą byloje C‑698/15 reikia atsakyti taip: Direktyvos 2002/58 15 straipsnio 1 dalį, siejamą su Chartijos 7, 8, 11 straipsniais ir 52 straipsnio 1 dalimi, reikia aiškinti taip, kad ji draudžia nacionalinės teisės aktus, reglamentuojančius srauto ir vietos nustatymo duomenų apsaugą ir saugumą, ypač kompetentingų nacionalinių instituciją prieigą prie saugomų duomenų, jeigu tokia prieiga neapribojama, kovojant su nusikalstamumu, tik kovos su sunkiais nusikaltimais tikslais, jai netaikoma išankstinė teismo ar nepriklausomos administracinės institucijos kontrolės ir nereikalaujama, kad nagrinėjami duomenys būtų saugomi Sąjungos teritorijoje.
Dėl antrojo klausimo byloje C‑698/15
126 Antruoju klausimu byloje C‑698/15 Court of Appeal (England & Wales) (Civil Division) (Apeliacinis teismas (Anglija ir Velsas) (Civilinių bylų skyrius)) iš esmės siekia išsiaiškinti, ar Sprendime Digital Rights Teisingumo Teismas Chartijos 7 ir (arba) 8 straipsnius (-į) išaiškino taip, kad suteikė jiems platesnę apimtį, palyginti su Europos Žmogaus Teisių Teismo EŽTK 8 straipsniui suteikta apimtimi.
127 Visų pirma reikia priminti, kad nors, kaip tvirtinama ESS 6 straipsnio 3 dalyje, EŽTK pripažįstamos pagrindinės teisės sudaro Sąjungos teisės bendruosius principus, minėta konvencija, kol Sąjunga prie jos neprisijungė, nėra į jos teisės sistemą formaliai integruota teisės priemonė (šiuo klausimu žr. 2016 m. vasario 15 d. Sprendimo N., C‑601/15 PPU, EU:C:2016:84, 45 punktą ir jame nurodytą teismo praktiką).
128 Taigi, šiuo atveju Direktyva 2002/58 turi būti aiškinama remiantis tik pagrindinėmis teisėmis, kurias užtikrina Chartija (šiuo klausimu žr. 2016 m. vasario 15 d. Sprendimo N., C‑601/15 PPU, EU:C:2016:84, 46 punktą ir jame nurodytą teismo praktiką).
129 Be to, reikia priminti, kad Chartijos 52 straipsnio išaiškinimuose nustatyta, kad pagal Chartijos 52 straipsnio 3 dalį siekiama užtikrinti būtiną Chartijos ir EŽTK darnumą, „nedarant neigiamos įtakos Sąjungos teisės [ir] Europos Sąjungos Teisingumo Teismo autonomijai“ (2016 m. vasario 15 d. Sprendimo N., C‑601/15 PPU, EU:C:2016:84, 47 punktas). Konkrečiai kalbant, kaip aiškiai numatyta Chartijos 52 straipsnio 3 dalies antrame sakinyje, jos 52 straipsnio 3 dalies pirmas sakinys nekliudo Sąjungos teisėje numatyti didesnę apsaugą, palyginti su nustatytąja EŽTK. Be to, galiausiai reikia paminėti tai, kad Chartijos 8 straipsnis skirtas pagrindinei teisei, kuri skiriasi nuo jos 7 straipsnyje numatytos teisės ir kuri neturi ekvivalento EŽTK.
130 Pagal nusistovėjusią Teisingumo Teismo praktiką prašymas priimti prejudicinį sprendimą pateikiamas ne dėl to, kad būtų suformuluotos patariamosios nuomonės bendro pobūdžio arba hipotetiniais klausimais, o dėl to, kad reikia veiksmingai išspręsti su Sąjungos teise susijusį ginčą (šiuo klausimu žr. 2012 m. balandžio 24 d. Sprendimo Kamberaj, C‑571/10, EU:C:2012:233, 41 punktą; 2013 m. vasario 26 d. Sprendimo Åkerberg Fransson, C‑617/10, EU:C:2013:105, 42 punktą ir 2014 m. vasario 27 d. Sprendimo Pohotovosť, C‑470/12, EU:C:2014:101, 29 punktą).
131 Nagrinėjamu atveju, ypač atsižvelgiant į tai, kas nurodyta šio sprendimo 128 ir 129 punktuose, klausimas, ar Chartijos 7 ir 8 straipsniais užtikrinama platesnė apsauga, palyginti su ta, kuri garantuojama pagal EŽTK 8 straipsnį, negali turėti poveikio Direktyvos 2002/58, siejamos su Chartija, dėl kurios keliamas klausimas nagrinėjant ginčą pagrindinėje byloje, kuria remiantis pradėta byla C‑698/15, aiškinimui.
132 Taigi, atsakymas į antrąjį klausimą byloje C‑698/15 negali pateikti Sąjungos teisės aiškinimo elementų, kurie būtų būtini, atsižvelgiant į šią teisę, norint išspręsti minėtą ginčą.
133 Iš to matyti, kad antrasis klausimas byloje C‑698/15 nepriimtinas.
Dėl bylinėjimosi išlaidų
134 Kadangi šis procesas pagrindinių bylų šalims yra vienas iš etapų prašymą priimti prejudicinį sprendimą pateikusių teismų nagrinėjamose bylose, bylinėjimosi išlaidų klausimą turi spręsti šie teismai. Išlaidos, susijusios su pastabų pateikimu Teisingumo Teismui, išskyrus tas, kurias patyrė minėtos šalys, nėra atlygintinos.
Remdamasis šiais motyvais, Teisingumo Teismas (didžioji kolegija) nusprendžia:
1. 2002 m. liepos 12 d. Europos Parlamento ir Tarybos direktyvos 2002/58/EB dėl asmens duomenų tvarkymo ir privatumo apsaugos elektroninių ryšių sektoriuje (Direktyva dėl privatumo ir elektroninių ryšių), iš dalies pakeistos 2009 m. lapkričio 25 d. Europos Parlamento ir Tarybos direktyva 2009/136/EB, 15 straipsnio 1 dalį, siejamą su Europos Sąjungos pagrindinių teisių chartijos 7, 8, 11 straipsniais ir 52 straipsnio 1 dalimi, reikia aiškinti taip, kad pagal ją draudžiami nacionalinės teisės aktai, kuriuose kovos su nusikalstamumu tikslais numatyta pareiga bendrai nediferencijuojant saugoti visus su visais abonentais ir registruotais naudotojais susijusius srauto ir vietos nustatymo duomenis, perduodamus bet kokia elektroninio ryšio priemone.
2. Direktyvos 2002/58, iš dalies pakeistos Direktyva 2009/136, 15 straipsnio 1 dalį, siejamą su Pagrindinių teisių chartijos 7, 8, 11 straipsniais ir 52 straipsnio 1 dalimi, reikia aiškinti taip, kad ji draudžia nacionalinės teisės aktus, reglamentuojančius srauto ir vietos nustatymo duomenų apsaugą ir saugumą, ypač kompetentingų nacionalinių instituciją prieigą prie saugomų duomenų, jeigu tokia prieiga neapribojama, kovojant su nusikalstamumu, tik kovos su sunkiais nusikaltimais tikslais, jai netaikoma išankstinė teismo ar nepriklausomos administracinės institucijos kontrolės ir nereikalaujama, kad nagrinėjami duomenys būtų saugomi Sąjungos teritorijoje.
3. Court of Appeal (England & Wales) (Civil Division) (Apeliacinis teismas (Anglija ir Velsas) (Civilinių bylų skyrius), Jungtinė Karalystė) pateiktas antrasis klausimas nepriimtinas.
Parašai.