Förenade målen C‑203/15 och C‑698/15
Tele2 Sverige ABmotPost- och telestyrelsen
och
Secretary of State for the Home DepartmentmotTom Watson m.fl.
(begäran om förhandsavgörande från Kammarrätten i Stockholm och Court of Appeal (England & Wales) (Civil Division))
”Begäran om förhandsavgörande – Elektronisk kommunikation – Behandling av personuppgifter – Konfidentialitet vid elektronisk kommunikation – Skydd – Direktiv 2002/58/EG – Artiklarna 5, 6, 9 och 15.1 – Europeiska unionens stadga om de grundläggande rättigheterna – Artiklarna 7, 8, 11 och 52.1 – Nationell lagstiftning – Leverantörer av elektroniska kommunikationstjänster – Skyldighet som avser en generell och odifferentierad lagring av trafikuppgifter och lokaliseringsuppgifter – Nationella myndigheter – Tillgång till uppgifter – Ingen förhandskontroll av en domstol eller en oberoende förvaltningsmyndighet – Fråga om förenlighet med unionsrätten”
Sammanfattning – Domstolens dom (stora avdelningen) av den 21 december 2016
1. Tillnärmning av lagstiftning – Telesektorn – Behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation – Direktiv 2002/58 – Möjlighet för medlemsstaterna att begränsa omfattningen av vissa rättigheter och skyldigheter – Tillämpningsområde – Lagstiftning som ålägger leverantörer av elektroniska kommunikationstjänster att bevara trafikuppgifter och lokaliseringsuppgifter som rör användarna – Omfattas
(Europaparlamentets och rådets direktiv 2002/58, i dess lydelse enligt direktiv 2009/136, artiklarna 5.1 och 15.1)
2. Tillnärmning av lagstiftning – Telesektorn – Behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation – Direktiv 2002/58 – Möjlighet för medlemsstaterna att begränsa omfattningen av vissa rättigheter och skyldigheter – Restriktiv tolkning – Skäl som kan motivera att en begränsning införs – Uttömmande karaktär
(Europaparlamentets och rådets direktiv 2002/58, i dess lydelse enligt direktiv 2009/136, artiklarna 5.1 och 15.1)
3. Tillnärmning av lagstiftning – Telesektorn – Behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation – Direktiv 2002/58 – Möjlighet för medlemsstaterna att begränsa omfattningen av vissa rättigheter och skyldigheter – Nationell lagstiftning som föreskriver en generell och odifferentierad lagring av trafikuppgifter och lokaliseringsuppgifter rörande användarna, i syfte att bekämpa brottslighet – Otillåtet – Allvarligt ingrepp i integritetsskyddet, skyddet för personuppgifter och yttrandefriheten
(Europeiska unionens stadga om de grundläggande rättigheterna, artiklarna 7, 8, 11 och 52.1; Europaparlamentets och rådets direktiv 2002/58, i dess lydelse enligt förordning nr 2009/136, artikel 15.1)
4. Tillnärmning av lagstiftning – Telesektorn – Behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation – Direktiv 2002/58 – Möjlighet för medlemsstaterna att begränsa omfattningen av vissa rättigheter och skyldigheter – Nationell lagstiftning som tillåter en riktad lagring av trafikuppgifter och lokaliseringsuppgifter rörande användarna, för syften som avser bekämpning av grov brottslighet – Tillåtet – Villkor
(Europeiska unionens stadga om de grundläggande rättigheterna, artiklarna 7, 8, 11 och 52.1; Europaparlamentets och rådets direktiv 2002/58, i dess lydelse enligt förordning nr 2009/136, artikel 15.1)
5. Tillnärmning av lagstiftning – Telesektorn – Behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation – Direktiv 2002/58 – Möjlighet för medlemsstaterna att begränsa omfattningen av vissa rättigheter och skyldigheter – Nationell lagstiftning som reglerar skydd och säkerhet för trafikuppgifter och lokaliseringsuppgifter rörande användarna – Möjlighet för de nationella myndigheterna att få tillgång till dessa uppgifter utan förhandskontroll av domstol eller annan myndighet – Otillåtet – Inget krav på leverantörer av elektroniska kommunikationstjänster att bevara dessa uppgifter inom unionen – Otillåtet
(Europeiska unionens stadga om de grundläggande rättigheterna, artiklarna 7, 8, 11 och 52.1; Europaparlamentets och rådets direktiv 95/46, artikel 22, och 2002/58, i dess lydelse enligt förordning nr 2009/136, artikel 15.1 och 15.2)
6. Grundläggande rättigheter – Europakonventionen om skydd för de grundläggande rättigheterna – Instrument som inte formellt har införlivats med unionens rättsordning
(Artikel 6.3 FEU; Europeiska unionens stadga om de grundläggande rättigheterna, artikel 52.3)
7. Begäran om förhandsavgörande – Domstolens behörighet – Gränser – Allmänna eller hypotetiska frågor – Fråga som är abstrakt och rent hypotetisk i förhållande till saken i det nationella målet – Avvisning
(Artikel 267 FEUF)
1. Artikel 15.1 i direktiv 2002/58 om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation (direktiv om integritet och elektronisk kommunikation), i dess lydelse enligt direktiv 2009/136, låter medlemsstaterna, på de villkor den föreskriver, genom lagstiftning vidta åtgärder för att begränsa omfattningen av de rättigheter och skyldigheter som anges i artiklarna 5, 6, 8.1–8.4 och 9 i detta direktiv.
I tillämpningsområdet för den bestämmelsen ingår i synnerhet en lagstiftningsåtgärd som ålägger leverantörer av elektroniska kommunikationstjänster en skyldighet att lagra trafikuppgifter och lokaliseringsuppgifter. Deras verksamhet innebär nämligen med nödvändighet att de behandlar personuppgifter. Tillämpningsområdet inkluderar även en lagstiftningsåtgärd som innebär att nationella myndigheter får tillgång till uppgifter som lagrats av dessa leverantörer. Skyddet för konfidentialitet vid elektronisk kommunikation och för därmed förbundna trafikuppgifter, som säkerställs i artikel 5.1 i direktiv 2002/58, gäller för åtgärder som vidtas av andra personer än användarna, oavsett om de är privatpersoner eller privata enheter eller om de är statliga enheter.
(se punkterna 71 och 75–77)
2. Artikel 15.1 i direktiv 2002/58 om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation (direktiv om integritet och elektronisk kommunikation), i dess lydelse enligt direktiv 2009/136, ger medlemsstaterna möjlighet att föreskriva undantag från deras principiella skyldighet enligt artikel 5.1 i samma direktiv att garantera konfidentialiteten för personuppgifter liksom från motsvarande skyldigheter enligt bland annat artiklarna 6 och 9 i direktivet. I och med att artikel 15.1 i direktiv 2002/58 ger medlemsstaterna möjlighet att begränsa omfattningen av den principiella skyldigheten att säkerställa konfidentialiteten för kommunikation och därmed förbundna trafikuppgifter, ska denna artikel emellertid enligt domstolens fasta praxis tolkas strikt. En sådan bestämmelse kan alltså inte motivera att undantaget från denna principiella skyldighet, i synnerhet förbudet i artikel 5 i direktivet mot att lagra dessa uppgifter, görs till huvudregel. Det skulle i stor utsträckning förta verkan av sistnämnda bestämmelse.
Artikel 15.1 första meningen i direktiv 2002/58 föreskriver att de lagstiftningsåtgärder som den bestämmelsen avser och som avviker från principen om konfidentialitet för kommunikationer och därmed förbundna trafikuppgifter ska syfta till att skydda nationell säkerhet – det vill säga statens säkerhet – försvaret och allmän säkerhet samt för förebyggande, undersökning, avslöjande av och åtal för brott eller vid obehörig användning av ett elektroniskt kommunikationssystem eller ha ett annat syfte enligt artikel 13.1 i direktiv 95/46 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter. En sådan uppräkning av syftena är uttömmande, vilket också framgår av artikel 15.1 andra meningen i direktivet, enligt vilken lagstiftningsåtgärder ska vara motiverade av något av de skäl som fastställs i artikel 15.1 första meningen i direktivet. Medlemsstaterna kan alltså inte anta sådana åtgärder för andra syften än de som räknas upp i sistnämnda bestämmelse.
(se punkterna 88–90)
3. Artikel 15.1 i direktiv 2002/58 om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation (direktiv om integritet och elektronisk kommunikation), i dess lydelse enligt direktiv 2009/136, jämförd med artiklarna 7, 8, 11 och 52.1 i Europeiska unionens stadga om de grundläggande rättigheterna, ska tolkas på så sätt att den utgör hinder för en nationell lagstiftning som i brottsbekämpande syfte föreskriver en generell och odifferentierad lagring av samtliga trafikuppgifter och lokaliseringsuppgifter avseende samtliga abonnenter och registrerade användare och samtliga elektroniska kommunikationsmedel.
Dessa uppgifter kan sammantagna göra det möjligt att dra mycket precisa slutsatser om privatlivet för de personer vilkas uppgifter har lagrats, såsom deras vanor i vardagslivet, deras stadigvarande och tillfälliga uppehållsorter, deras dagliga förflyttningar och förflyttningar i övrigt, de aktiviteter de utövar, deras sociala relationer och de umgängeskretsar de rör sig i. Dessa uppgifter gör det möjligt att kartlägga de berörda personerna på ett sätt som är lika känsligt ur integritetssynpunkt som själva innehållet i kommunikationerna. Det ingrepp som en sådan lagstiftning utgör i de grundläggande rättigheter som är stadfästa i artiklarna 7 och 8 i stadgan är långtgående och måste betraktas som synnerligen allvarligt. Den omständigheten att lagringen av uppgifterna och den senare användningen av dem sker utan att abonnenten eller den registrerade användaren är underrättad om detta kan ge de berörda personerna en känsla av att deras privatliv står under ständig övervakning. Även om en sådan lagstiftning inte medger lagring av innehållet i en kommunikation, och därför inte kan kränka det väsentliga innehållet i dessa grundläggande rättigheter, skulle lagringen av trafikuppgifter och lokaliseringsuppgifter emellertid kunna inverka på användningen av de elektroniska kommunikationsmedlen och följaktligen på användarnas utövande av sin i artikel 11 i stadgan garanterade yttrandefrihet.
Med hänsyn till det allvarliga ingrepp i de berörda grundläggande rättigheterna som en nationell lagstiftning som i brottsbekämpande syfte föreskriver lagring av trafikuppgifter och lokaliseringsuppgifter utgör, kan endast bekämpning av grov brottslighet motivera en sådan åtgärd. En effektiv bekämpning av grov brottslighet och särskilt av organiserad brottslighet och terrorism kan förvisso i stor utsträckning vara beroende av användningen av moderna utredningstekniker. Fastän det syftet är av allmänt samhällsintresse kan det emellertid inte, trots sin grundläggande betydelse, i sig ensamt motivera att en nationell lagstiftning som föreskriver en generell och odifferentierad lagring av samtliga trafikuppgifter och lokaliseringsuppgifter ska anses vara nödvändig för detta ändamål. För det första får en sådan lagstiftning till följd att lagring av trafikuppgifter och lokaliseringsuppgifter blir huvudregeln, trots att det system som inrättats genom direktiv 2002/58 kräver att sådan lagring ska vara ett undantag. För det andra innebär en nationell lagstiftning som på ett generellt sätt omfattar samtliga abonnenter och registrerade användare och avser samtliga elektroniska kommunikationsmedel och samtliga trafikuppgifter att det inte görs några åtskillnader, begränsningar eller undantag utifrån det eftersträvade syftet. Den är således även tillämplig på personer beträffande vilka det inte föreligger något indicium som ger anledning att tro att deras beteende ens kan ha ett indirekt eller avlägset samband med grov brottslighet. En nationell lagstiftning som den som är i fråga i det nationella målet överskrider således gränserna för vad som är strängt nödvändigt och kan inte anses motiverad i ett demokratiskt samhälle, såsom krävs enligt artikel 15.1 i direktiv 2002/58 jämförd med artiklarna 7, 8, 11 och 52.1 i stadgan.
(se punkterna 99–105, 107 och 112 samt punkt 1 i domslutet)
4. Artikel 15.1 i direktiv 2002/58 om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation (direktiv om integritet och elektronisk kommunikation), i dess lydelse enligt direktiv 2009/136, jämförd med artiklarna 7, 8, 11 och 52.1 i Europeiska unionens stadga om de grundläggande rättigheterna, hindrar inte att en medlemsstat antar lagstiftning som i förebyggande syfte tillåter en riktad lagring av trafikuppgifter och lokaliseringsuppgifter, i syfte att bekämpa grov brottslighet, förutsatt att lagringen av uppgifterna, vad gäller vilka slags uppgifter som ska lagras, vilka kommunikationsmedel som avses, vilka personer som berörs och hur länge lagringen ska ske, begränsas till vad som är strängt nödvändigt.
För att uppfylla dessa krav måste den nationella lagstiftningen för det första föreskriva tydliga och precisa bestämmelser som reglerar omfattningen och tillämpligheten av en sådan lagringsåtgärd och som slår fast minimikrav, så att de personer vars uppgifter har lagrats har tillräckliga garantier som möjliggör ett effektivt skydd av deras personuppgifter mot riskerna för missbruk. Den måste särskilt precisera under vilka omständigheter och villkor en sådan lagringsåtgärd får vidtas i förebyggande syfte, vilket säkerställer att lagringen begränsas till vad som är strängt nödvändigt.
Vad för det andra gäller de materiella villkor som en sådan nationell lagstiftning måste uppfylla för att säkerställa att den är begränsad till vad som är strängt nödvändigt, påpekar domstolen att även om de villkoren kan variera utifrån vilka åtgärder som vidtas för att förebygga, undersöka, avslöja och väcka åtal för grov brottslighet, måste lagringen av uppgifterna alltid uppfylla objektiva kriterier, som fastställer ett samband mellan de uppgifter som ska lagras och det eftersträvade syftet. I synnerhet måste villkoren vara sådana att de klart avgränsar åtgärdens omfattning och följaktligen den berörda personkretsen. Vad gäller denna avgränsning ska den nationella lagstiftningen grunda sig på objektiva omständigheter som gör det möjligt att ta sikte på en personkrets vars uppgifter kan avslöja en, åtminstone indirekt, koppling till grov brottslighet, på ett eller annat sätt bidra till att bekämpa grov brottslighet eller förhindra en allvarlig risk för den allmänna säkerheten. En sådan avgränsning kan säkerställas genom ett geografiskt kriterium när de behöriga nationella myndigheterna på grundval av objektiva omständigheter bedömer att det i ett eller flera geografiska områden finns en förhöjd risk för förberedelse eller genomförande av sådana handlingar.
(se punkterna 108–111)
5. Artikel 15.1 i direktiv 2002/58 om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation (direktiv om integritet och elektronisk kommunikation), i dess lydelse enligt direktiv 2009/136, jämförd med artiklarna 7, 8, 11 och 52.1 i Europeiska unionens stadga om de grundläggande rättigheterna, ska tolkas på så sätt att den utgör hinder för en nationell lagstiftning som reglerar skydd och säkerhet för trafikuppgifter och lokaliseringsuppgifter och, i synnerhet, behöriga nationella myndigheters tillgång till lagrade uppgifter och som inte – inom ramen för brottsbekämpning – begränsar denna tillgång till enbart åtgärder som syftar till att bekämpa grov brottslighet, inte föreskriver att tillgången ska vara underkastad förhandskontroll av en domstol eller en oberoende förvaltningsmyndighet och inte kräver att uppgifterna ska lagras inom unionen.
För att säkerställa att behöriga nationella myndigheters tillgång till lagrade uppgifter begränsas till vad som är strängt nödvändigt, ankommer det förvisso på nationell rätt att fastställa på vilka villkor leverantörer av elektroniska kommunikationstjänster ska ge sådan tillgång. Det räcker dock inte att den berörda nationella lagstiftningen stadgar att tillgång enbart ska medges för något av de syften som avses i artikel 15.1 i direktiv 2002/58, även om det gäller bekämpning av grov brottslighet. Den måste även ange de materiella och formella villkoren för de behöriga nationella myndigheternas tillgång till de lagrade uppgifterna. Eftersom en allmän tillgång till samtliga lagrade uppgifter, oberoende av om det finns någon koppling, ens indirekt, till det eftersträvade syftet, inte kan anses vara begränsad till vad som är strängt nödvändigt, måste den berörda nationella lagstiftningen således vara grundad på objektiva kriterier som avgör under vilka omständigheter och på vilka villkor behöriga nationella myndigheter ska ges tillgång till uppgifter om abonnenter eller registrerade användare. Tillgång kan i princip bara beviljas, i samband med bekämpning av brott, till uppgifter om personer som misstänks planera, begå eller ha begått ett allvarligt brott eller på något sätt vara inblandade i ett sådant brott. I särskilda fall, som när vitala intressen för nationell säkerhet, försvar eller allmän säkerhet hotas av terrorism, skulle dock tillgång kunna ges även till uppgifter om andra personer när det finns objektiva omständigheter som ger skäl att anta att de uppgifterna i ett konkret fall effektivt skulle kunna bidra till att bekämpa terrorism.
För att säkerställa att dessa villkor uppfylls fullt ut i praktiken, är det väsentligt att behöriga nationella myndigheters tillgång till de lagrade uppgifterna i princip, utom i vederbörligen motiverade brådskande fall, är underkastad förhandskontroll av en domstol eller en oberoende myndighet och att domstolen meddelar sitt avgörande eller myndigheten fattar sitt beslut efter det att de behöriga nationella myndigheterna framställt en motiverad ansökan, vilket kan ske bland annat inom ramen för ett förfarande för förebyggande, avslöjande eller lagföring av brott. Vidare krävs att de behöriga nationella myndigheter som beviljats tillgång till lagrade uppgifter informerar de berörda personerna om detta, enligt tillämpliga nationella förfaranden, så snart en sådan upplysning inte längre riskerar att skada myndigheternas utredningar. Den informationen är i själva verket nödvändig bland annat för att dessa personer ska kunna utöva sin rätt till rättslig prövning vid kränkning av deras rättigheter, såsom uttryckligen stadgas i artikel 15.2 i direktiv 2002/58, jämförd med artikel 22 i direktiv 95/46 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter.
Med hänsyn till att det är fråga om en stor mängd uppgifter och att dessa är av känslig natur samt att det finns en risk för otillåten tillgång till uppgifterna, måste leverantörerna av elektroniska kommunikationstjänster, för att säkerställa fullständig integritet och konfidentialitet för uppgifterna, garantera en särskilt hög skydds- och säkerhetsnivå genom lämpliga tekniska och organisatoriska åtgärder. Den nationella lagstiftningen måste i synnerhet föreskriva att lagringen sker inom unionen och att uppgifterna oåterkalleligen förstörs när deras lagringstid gått ut.
(se punkterna 118–122 och 125 samt punkt 2 i domslutet)
6. Se domen.
(se punkterna 127–129)
7. Se domen.
(se punkt 130)