Language of document : ECLI:EU:C:2018:300

FÖRSLAG TILL AVGÖRANDE AV GENERALADVOKAT

HENRIK SAUGMANDSGAARD ØE

föredraget den 3 maj 2018(1)

Mål C207/16

Ministerio Fiscal

(begäran om förhandsavgörande från Audiencia Provincial de Tarragona (Provinsdomstolen i Tarragona, Spanien))

”Begäran om förhandsavgörande – Elektronisk kommunikation – Behandling av personuppgifter – Rätten till privatliv och rätten till skydd av personuppgifter – Direktiv 2002/58/EG – Artiklarna 1 och 15.1 – Europeiska unionens stadga om de grundläggande rättigheterna – Artiklarna 7, 8 och 52.1 – Uppgifter som samlas in i samband med tillhandahållande av elektroniska kommunikationstjänster – Ansökan från en polismyndighet om tillgång till uppgifter för användning i en brottsutredning – Proportionalitetsprincipen – Begreppet ’allvarliga brott’ som kan motivera ingrepp i grundläggande rättigheter – Kriterier för vad som utgör ett allvarligt brott – Påföljd som kan utdömas – Miniminivå”






I.      Inledning

1.        Denna begäran om förhandsavgörande rör tolkningen av begreppet ”allvarliga brott”(2) i den mening som avses i domstolens praxis som grundar sig på domen i målet Digital Rights Ireland m.fl.(3) (nedan kallad Digital Rights-domen) och den därefter meddelade domen i målet Tele2 Sverige och Watson m.fl.(4) (nedan kallad Tele2-domen), där nämnda begrepp användes som kriterium för att bedöma det berättigade och proportionerliga i ett ingrepp i de rättigheter som stadfästs i artiklarna 7 och 8 i Europeiska unionens stadga om de grundläggande rättigheterna (nedan kallad stadgan), nämligen rätten till respekt för privatlivet och familjelivet respektive rätten till skydd av personuppgifter.

2.        Bakgrunden till begäran om förhandsavgörande är ett överklagande av ett domstolsbeslut varigenom polismyndigheter fick avslag på en ansökan om att få tillgång till vissa uppgifter av folkbokföringskaraktär som mobiltelefonoperatörer förfogade över. Polisen avsåg att använda uppgifterna för att identifiera personer inom ramen för en brottsutredning. I skälen till det överklagade beslutet angavs bland annat att den gärning som låg till grund för utredningen inte kunde anses utgöra ett allvarligt brott, vilket var ett krav enligt den tillämpliga spanska lagstiftningen.

3.        Den hänskjutande domstolen önskar nu att EU-domstolen ska bringa klarhet i hur det ska slås fast vad som är den nedre gränsen för när ett brott är så allvarligt att det, mot bakgrund av ovan nämnd praxis, kan anses motivera att de grundläggande rättigheter som skyddas genom artiklarna 7 och 8 i stadgan blir föremål för ett ingrepp i form av att behöriga nationella myndigheter bereds tillgång till personuppgifter som har lagrats av leverantörer av elektroniska kommunikationstjänster.

4.        Jag kommer i det följande att – efter att först ha slagit fast att EU-domstolen är behörig att pröva begäran om förhandsavgörande och att denna kan tas upp till prövning i sak – visa att tillgång till personuppgifter under sådana omständigheter som är för handen i det nationella målet innebär ett ingrepp i de ovannämnda grundläggande rättigheterna som inte är av sådan art att det är att hänföra till de fall där det i överensstämmelse med ovan nämnd praxis endast är bekämpandet av allvarliga brott som kan motivera ingrepp i dessa rättigheter.

5.        Mot bakgrund av vad som är i fråga i det nationella målet anser jag att EU-domstolen saknar anledning att besvara tolkningsfrågorna i deras ursprungliga lydelse. Därför kommer jag endast i andra (och tredje) hand att lämna upplysningar om de kriterier som eventuellt skulle kunna användas för att definiera begreppet ”allvarliga brott” i den mening som avses i ovan nämnd praxis, särskilt såvitt avser det kriterium som grundar sig på den påföljd som kan utdömas.

II.    Tillämpliga bestämmelser

A.      Unionsrätt

6.        I ingressen till Europaparlamentets och rådets direktiv 2002/58/EG av den 12 juli 2002 om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation (direktiv om integritet och elektronisk kommunikation)(5) i dess lydelse enligt direktiv 2009/136/EG(6) (nedan kallat direktiv 2002/58) anges följande:

”(2)      I detta direktiv eftersträvas respekt för de grundläggande rättigheterna och iakttagande av de principer som erkänns i synnerhet i [stadgan]. I synnerhet eftersträvas i detta direktiv att säkerställa full respekt för rättigheterna i artiklarna 7 och 8 i [stadgan].

(11)      I likhet med direktiv 95/46/EG[(7)] omfattar det här direktivet inte sådana frågor om skydd av grundläggande fri- och rättigheter som rör verksamhet som inte regleras av gemenskapslagstiftningen. Det ändrar därför inte den befintliga jämvikten mellan den enskildes rätt till integritet och medlemsstaternas möjligheter att vidta sådana åtgärder, enligt artikel 15.1 i det här direktivet, som krävs för att skydda allmän säkerhet, försvar, statens säkerhet (inbegripet statens ekonomiska välstånd när verksamheten rör statens säkerhet) och brottsbekämpning. Det här direktivet påverkar följaktligen inte medlemsstaternas möjlighet att utföra laglig avlyssning av elektronisk kommunikation eller att vidta andra åtgärder om det är nödvändigt för något av dessa ändamål och sker i enlighet med Europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna [nedan kallad Europakonventionen] i den tolkning dessa fått i rättspraxis från Europeiska domstolen för de mänskliga rättigheterna [nedan kallad Europadomstolen]. Sådana åtgärder måste vara lämpliga, i strikt proportion till det avsedda ändamålet och nödvändiga i ett demokratiskt samhälle. De bör omfattas av lämpliga skyddsmekanismer i överensstämmelse med [Europakonventionen][(8)].”

7.        Artikel 1 i direktiv 2002/58, med rubriken ”Tillämpningsområde och syfte”, har följande lydelse:

”1.      Genom detta direktiv möjliggörs en harmonisering av nationella bestämmelser för att säkerställa ett likvärdigt skydd av de grundläggande fri- och rättigheterna, särskilt rätten till integritet och konfidentialitet, när det gäller behandling av personuppgifter inom sektorn för elektronisk kommunikation …

3.      Detta direktiv skall inte tillämpas på verksamheter som faller utanför tillämpningsområdet för Fördraget om upprättandet av Europeiska gemenskapen, t.ex. de som omfattas av avdelningarna V och VI i Fördraget om Europeiska unionen, och inte i något fall på verksamheter som avser allmän säkerhet, försvar, statens säkerhet (inbegripet statens ekonomiska välstånd när verksamheten rör statens säkerhet) och statens verksamhet på straffrättens område.”

8.        Artikel 2 i samma direktiv, med rubriken ”Definitioner”, har följande lydelse:

”Om inte annat anges skall definitionerna i … direktiv [95/46] och [i Europaparlamentets och rådets] direktiv 2002/21/EG av den 7 mars 2002 om ett gemensamt regelverk för elektroniska kommunikationsnät och kommunikationstjänster (ramdirektiv)[(9)] gälla i detta direktiv.

Dessutom skall följande definitioner gälla:

a)      användare: en fysisk person som använder en allmänt tillgänglig elektronisk kommunikationstjänst för privat eller affärsmässigt bruk utan att nödvändigtvis ha abonnerat på denna tjänst.

b)      trafikuppgifter: alla uppgifter som behandlas i syfte att överföra en kommunikation via ett elektroniskt kommunikationsnät eller för att fakturera den.

c)      lokaliseringsuppgifter: alla uppgifter som behandlas i ett elektroniskt kommunikationsnät eller av en elektronisk kommunikationstjänst och som visar den geografiska positionen för terminalutrustningen för en användare av en allmänt tillgänglig elektronisk kommunikationstjänst.

d)      kommunikation: all information som utbyts eller överförs mellan ett begränsat antal parter genom en allmänt tillgänglig elektronisk kommunikationstjänst. Detta inbegriper inte information som överförs som del av en sändningstjänst för rundradio eller TV till allmänheten via ett elektroniskt kommunikationsnät utom i den mån informationen kan sättas i samband med den enskilde abonnenten eller användaren av informationen.

…”

9.        I artikel 15.1 i direktiv 2002/58, under artikelrubriken ”Tillämpningen av vissa bestämmelser i direktiv [95/46]”, föreskrivs att ”[m]edlemsstaterna … genom lagstiftning [får] vidta åtgärder för att begränsa omfattningen av de rättigheter och skyldigheter som anges i artikel 5, artikel 6, artikel 8.1, 8.2, 8.3 och 8.4 och artikel 9 i detta direktiv när en sådan begränsning i ett demokratiskt samhälle är nödvändig, lämplig och proportionell för att skydda nationell säkerhet (dvs. statens säkerhet), försvaret och allmän säkerhet samt för förebyggande, undersökning, avslöjande av och åtal för brott eller vid obehörig användning av ett elektroniskt kommunikationssystem enligt artikel 13.1 i direktiv [95/46]. Medlemsstaterna får för detta ändamål bland annat vidta lagstiftningsåtgärder som innebär att uppgifter får bevaras under en begränsad period som motiveras av de skäl som fastställs i denna punkt. Alla åtgärder som avses i denna punkt skall vara i enlighet med de allmänna principerna i gemenskapslagstiftningen, inklusive principerna i artikel 6.1 och 6.2 i Fördraget om Europeiska unionen.”

B.      Spansk rätt

1.      Lag 25/2007

10.      Genom Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones (lag 25/2007 av den 18 oktober [2007] om lagring av uppgifter rörande elektronisk kommunikation och allmänna kommunikationsnät)(10) (nedan kallad lag 25/2007) införlivades direktiv 2006/24(11) – som domstolen ogiltigförklarade genom Digital Rights-domen – med den spanska rättsordningen.

11.      I artikel 1 i lag 25/2007, i den version som är tillämplig på de faktiska omständigheterna i det nationella målet, föreskrivs följande:

”1.      Syftet med denna lag är att reglera operatörernas skyldighet att lagra uppgifter som genereras eller behandlas i samband med tillhandahållande av elektroniska kommunikationstjänster eller allmänna kommunikationsnät samt skyldigheten att överföra sådana uppgifter till behöriga aktörer i fall där operatörerna i kraft av vederbörligt tillstånd meddelat av domstol anmodas att lämna ut uppgifter för att dessa ska kunna användas för att avslöja, utreda och lagföra allvarliga brott som anges i strafflagen eller i specialstraffrättsliga lagar.

2.      Denna lag är tillämplig på trafik- och lokaliseringsuppgifter om såväl fysiska som juridiska personer samt på därtill hörande uppgifter som är nödvändiga för att kunna identifiera abonnenten eller den registrerade användaren.

…”

12.      Artikel 3 i samma lag innehåller en uppräkning av de uppgifter som operatörerna är skyldiga att lagra. Det rör sig (enligt artikel 3.1 a.1 ii) bland annat om de uppgifter som krävs för att spåra och identifiera en kommunikationskälla, exempelvis – när det gäller mobiltelefoni – abonnentens eller den registrerade användarens namn och adress.

2.      Strafflagen

13.      I artikel 13.1 i den spanska strafflagen, i den version som är tillämplig på de faktiska omständigheterna i det nationella målet, stadgas att ”[a]llvarliga brott är de brott för vilka lagen föreskriver en allvarlig påföljd”.

14.      Artikel 33 i samma lag har följande lydelse:

”1.      Påföljderna indelas utifrån sin art och varaktighet i allvarliga, mindre allvarliga och lindriga.

2.      Följande påföljder är allvarliga:

a)      Fängelse på livstid med möjlighet till omvandling till fängelse på viss tid.

b)      Fängelse i mer än fem år.

…”

3.      Straffprocesslagen

15.      Den spanska straffprocesslagen har ändrats genom Ley Orgánica 13/2015, de 5 de octubre, de modificación de la Ley de Enjuiciamiento Criminal para el fortalecimiento de las garantías procesales y la regulación de las medidas de investigación tecnológica (Organisk lag 13/2015 av den 5 oktober [2015] om ändring av straffprocesslagen i syfte att stärka de processuella garantierna och reglera tekniska utredningsåtgärder)(12) (nedan kallad lag 13/2015).

16.      Till följd av lag 13/2015, som trädde i kraft den 6 december 2015, omfattar straffprocesslagen numera frågor som rör tillgång till uppgifter om telefonkommunikation och elektronisk dataöverföring vilka har lagrats av leverantörer av elektroniska kommunikationstjänster.

17.      Enligt artikel 579.1 i straffprocesslagen i dess lydelse enligt lag 13/2015 får ”[d]omstol … meddela tillstånd till uppfångande av privat korrespondens, per post eller telegraf, inbegripet fax, ’burofax’ och internationella postanvisningar, som den misstänkte sänder eller mottar samt öppnande och analys därav, förutsatt dels att det finns indicier som tyder på att detta kommer att göra det möjligt att upptäcka eller kontrollera en omständighet eller en faktor av relevans för ärendet, dels att utredningen avser något av följande brott:

1.      Uppsåtliga brott för vilka fängelse i minst tre år ingår i straffskalan.

2.      Brott som har begåtts inom ramen för en kriminell organisation.

3.      Terrorbrott.”

18.      I artikel 588 ter j i straffprocesslagen, under artikelrubriken ”Uppgifter som finns i tjänsteleverantörers automatiserade register”, stadgas följande:

”1.      Elektroniska uppgifter som har samband med kommunikationsprocesser och som lagras av tjänsteleverantörer eller personer som möjliggör kommunikation, antingen i enlighet med lagstiftningen om lagring av uppgifter rörande elektronisk kommunikation eller på eget initiativ av kommersiella eller andra skäl, får lämnas ut för användning i förfarandet endast om domstol meddelar tillstånd till detta.

2.      När kännedom om sådana uppgifter befinns vara oundgänglig för en utredning, ska det till behörig domstol inges en ansökan om tillstånd att få ta del av den information som återfinns i tjänsteleverantörernas automatiserade register, inbegripet genom samkörning eller intelligent sökning efter uppgifter, varvid arten av de uppgifter som det krävs kännedom om och skälen till att dessa uppgifter behöver lämnas ut ska anges.”

III. Målet vid den nationella domstolen, tolkningsfrågorna och förfarandet vid EU-domstolen

19.      Hernández Sierra anmälde till polisen att han den 16 februari 2015 hade blivit rånad på sin plånbok och sin mobiltelefon, varvid han hade blivit allvarligt skadad.

20.      Den 27 februari 2015 ansökte kriminalpolisen hos Juzgado de Instrucción no 3 de Tarragona (Undersökningsdomstol nr 3 i Tarragona, Spanien) (nedan kallad undersökningsdomstolen) om att olika telefonoperatörer skulle föreläggas att lämna ut dels uppgifter om de telefonnummer som mellan den 16 och den 27 februari 2015 hade aktiverats med den stulna mobiltelefonens IMEI-kod,(13) dels personuppgifter för innehavarna eller användarna av samtliga telefonnummer som var knutna till de SIM-kort som hade aktiverats med hjälp av nämnda IMEI-kod.(14)

21.      Genom beslut av den 5 maj 2015 avslog undersökningsdomstolen ansökan med motiveringen att den efterfrågade åtgärden var föga ägnad att identifiera gärningsmännen och att lag 25/2007 dessutom i alla händelser innebar att uppgifter som telefonoperatörer hade lagrat fick lämnas ut endast i samband med allvarliga brott – det vill säga, enligt den spanska strafflagen,(15) brott för vilka fängelse i mer än fem år kunde utdömas – under det att den aktuella gärningen inte var att anse som ett allvarligt brott.

22.      Ministerio Fiscal (den spanska allmänna åklagarmyndigheten), som var ensam part i målet, överklagade detta beslut till Audiencia Provincial de Tarragona (Provinsdomstolen i Tarragona, Spanien) och gjorde därvid gällande att de berörda uppgifterna borde ha fått lämnas ut med tanke på gärningens art och mot bakgrund av en dom som Tribunal Supremo (Högsta domstolen, Spanien) hade meddelat i ett mål av liknande karaktär.(16)

23.      Genom beslut av den 9 februari 2016 förordnade nämnda appellationsdomstol interimistiskt om förlängning av den tid under vilken telefonoperatörerna var skyldiga att spara de uppgifter som berördes av den omtvistade ansökan.

24.      I begäran om förhandsavgörande har samma domstol angett att den spanska lagstiftaren, efter det att det överklagade beslutet meddelades, har infört (genom lag 13/2015(17)) två alternativa kriterier för att avgöra ett brotts grad av allvar. Det första kriteriet är materiellt och grundar sig på att vissa gärningar motsvarar brottsrubriceringar av specifik och allvarlig brottslig art och är särskilt skadliga för enskilda och kollektiva rättsligt erkända intressen.(18) Det andra kriteriet är normativt–formellt och grundar sig uteslutande på den föreskrivna påföljden för det aktuella brottet. Den nedre gräns på tre års fängelse som gäller inom ramen för detta andra kriterium innebär emellertid, enligt den hänskjutande domstolen, att de allra flesta brottsrubriceringarna kan uppfylla nämnda kriterium. Därutöver har den hänskjutande domstolen påpekat att statens intresse av att skydda medborgarna och bestraffa brottsliga handlingar inte kan motivera oproportionerliga ingrepp i enskildas grundläggande rättigheter.

25.      Mot denna bakgrund beslutade Audiencia Provincial de Tarragona (Provinsdomstolen i Tarragona, Spanien), genom beslut av den 6 april 2016 som inkom till EU-domstolen den 14 april 2016, att vilandeförklara målet och ställa följande tolkningsfrågor till EU-domstolen:

”1)      Kan det enbart på grundval av det straff som får dömas ut för det brott som utreds avgöras om brottet är tillräckligt grovt för att motivera ett ingrepp i de grundläggande rättigheter som erkänns i artiklarna 7 och 8 i stadgan, eller är det dessutom nödvändigt att det brottsliga handlandet ska ha medfört en viss skada för enskilda och/eller kollektiva rättsligt erkända intressen?

2)      Om ett fastställande av brottets svårighetsgrad enbart på grundval av det straff som kan dömas ut är förenligt med unionsrättens grundläggande principer, vilka domstolen tillämpade i [Digital Rights-domen] som normer för en strikt prövning av [det direktiv som ogiltigförklarades genom nämnda dom], vilken bör då miniminivån vara? Uppfyller en allmän bestämmelse om en gräns på tre års fängelse de aktuella kraven?”

26.      Förfarandet vid EU-domstolen vilandeförklarades genom beslut av dess ordförande den 23 maj 2016 i avvaktan på att EU-domstolen skulle meddela dom i de förenade målen Tele2 Sverige och Watson m.fl., C‑203/15 och C‑698/15.

27.      Som svar på en fråga som EU-domstolen ställde efter att den 21 december 2016 ha meddelat dom i de nämnda förenade målen(19) angav den hänskjutande domstolen att den avsåg att vidmakthålla sin begäran om förhandsavgörande. Därvid gjorde den hänskjutande domstolen gällande att dess tolkningsfrågor fortfarande var relevanta av det skälet att EU-domstolen visserligen i sin dom gav exempel på allvarliga brott(20) men däremot inte tillräckligt tydligt definierade det materiella innehållet i begreppet ”ett brotts grad av allvar” såsom kriterium för bedömning av huruvida en åtgärd som innebär ett ingrepp är motiverad. Enligt den hänskjutande domstolen fanns det en risk för att medlemsstaterna skulle göra en så vid tolkning av detta begrepp när de fastställde villkoren på nationell nivå för lagring och utlämnande av uppgifter att de grundläggande rättigheter som avses i Tele2-domen skulle komma att åsidosättas. Exempelvis hade den spanska lagstiftaren – oaktat de kriterier som anges i Digital Rights-domen(21) – i samband med antagandet av lag 13/2015 avsevärt (jämfört med de tidigare bestämmelser som härrörde från lag 25/2007) sänkt den gräns i fråga om brottets grad av allvar från och med vilken tillstånd kan meddelas för lagring och utlämnande av personuppgifter.

28.      Med anledning av detta svar återupptogs förfarandet vid EU-domstolen den 16 februari 2017. Därefter inkom skriftliga yttranden från den spanska, den tjeckiska, den estniska, den irländska, den franska, den lettiska, den ungerska och den österrikiska regeringen, Förenade kungarikets regering och Europeiska kommissionen.

29.      Inför den muntliga förhandlingen ställde domstolen frågor till den spanska regeringen att besvaras skriftligen, som denna besvarade den 9 januari 2018, och frågor att besvaras muntligen till samtliga intressenter som avses i artikel 23 i stadgan för Europeiska unionens domstol.

30.      Vid den muntliga förhandlingen den 29 januari 2018 yttrade sig den spanska allmänna åklagarmyndigheten, den spanska, den tjeckiska, den danska, den estniska, den irländska, den franska, den lettiska och den polska regeringen, Förenade kungarikets regering och kommissionen.

IV.    Bedömning

A.      Inledande synpunkter

31.      Innan jag går närmare in på de frågor som aktualiseras av begäran om förhandsavgörande anser jag det nödvändigt att redovisa några synpunkter som rör det specifika föremålet för nämnda begäran.

32.      För det första vill jag, mot bakgrund av de upplysningar som ges i begäran om förhandsavgörande och de kompletterande upplysningar som den spanska regeringen har lämnat, understryka att det nationella målet uppvisar vissa anmärkningsvärda kännetecken som i synnerhet innebär att det skiljer sig från de mål som föranledde Digital Rights-domen och Tele2-domen.(22)

33.      Vad polismyndigheterna i det aktuella fallet har ansökt om att få tillgång till är nämligen uteslutande uppgifter som gör det möjligt att identifiera innehavarna eller användarna av de telefonnummer som är knutna till de SIM-kort som har satts in i den stulna mobiltelefonen.(23) Dessutom avser ansökan en tydligt avgränsad och förhållandevis kort period av omkring tolv dagar.(24)

34.      Under sådana omständigheter är antalet personer som skulle kunna komma att beröras av den omtvistade åtgärden inte obegränsat utan begränsat. Dessa personer är dessutom inte vilka SIM-kortsinnehavare som helst utan personer som uppvisar ytterst specifika kännetecken, med tanke på att det ju rör sig om de personer som har använt den stulna telefonen efter tillgreppet eller till och med fortfarande har denna i sin besittning och således på goda grunder kan misstänkas för att antingen själva ha begått brottet eller ha någon form av relation till gärningsmännen.

35.      Vad som har efterfrågats är vidare inte samtliga typer av ”personuppgifter”(25) som finns hos leverantörerna av elektroniska kommunikationstjänster, utan endast uppgifter av folkbokföringskaraktär om de ovannämnda personerna, nämligen för- och efternamn och eventuellt adress(26) – något som också skulle kunna betecknas som kontaktuppgifter. Som jag förstår saken omfattar förfarandet vid den nationella domstolen inte övriga upplysningar om de berörda personerna som skulle kunna finnas i leverantörernas register.(27)

36.      Till yttermera visso är det mål som eftersträvas i det aktuella fallet enligt min uppfattning att samla in upplysningar som inte rör vare sig lokalisering eller kommunikation som sådana(28) utan som rör fysiska personer vilka eftersöks därför att de kan ha utnyttjat en elektronisk kommunikationstjänst med hjälp av den stulna telefonen. Detta kan dessa personer för övrigt ha gjort utan att ringa något konkret telefonsamtal. Av de förklaringar som domstolen har erhållit från den spanska allmänna åklagarmyndigheten framgår nämligen att det tekniskt sett är möjligt att en sådan anknytning mellan ett visst SIM-kort och den stulna telefonens IMEI-kod som ligger till grund för att de berörda personuppgifterna efterfrågas kan uppkomma genom att telefonen kopplar upp sig mot en mobiltelefonmast, utan att innehavaren av SIM-kortet ringer något samtal med den berörda telefonen och således oberoende av faktisk kommunikation.(29) Det ankommer på den hänskjutande domstolen att kontrollera riktigheten av detta sakpåstående, men jag anser att nämnda påstående framstår som tillräckligt plausibelt för att det ska vara rimligt att hålla det för sant.

37.      Mot bakgrund av det ovan anförda sammantaget vill jag inledningsvis understryka att det nationella målet inte rör en ansökan om ett generellt och odifferentierat utlämnande av personuppgifter, utan en ansökan om utlämnande av personuppgifter som avser specificerade personer och en begränsad period. Dessutom förefaller inte de efterfrågade uppgifterna vid första anblicken vara särskilt känsliga, även om de grundläggande rättigheter som stadfästs i artiklarna 7 och 8 i stadgan förvisso kan påverkas av att uppgifter av det aktuella slaget lämnas ut.(30)

38.      För det andra noterar jag att det framgår av skälen i begäran om förhandsavgörande att tolkningsfrågorna i detta mål inte rör villkoren för lagring av personuppgifter inom sektorn för elektronisk kommunikation utan villkoren för nationella myndigheters tillgång till sådana uppgifter som har lagrats av tjänsteleverantörer inom nämnda sektor.(31)

39.      Den hänskjutande domstolen har bland annat påtalat att det enligt artikel 588 ter j i straffprocesslagen krävs tillstånd av domstol för att elektroniska uppgifter som tjänsteleverantörerna har registrerat ska få överföras till de behöriga myndigheterna för användning i ett förfarande. I punkt 1 i den artikeln anges att leverantörerna kan ha lagrat uppgifterna antingen i enlighet med den relevanta lagstiftningen eller på eget initiativ, och då av kommersiella eller andra skäl.

40.      I det aktuella fallet torde de personuppgifter som polismyndigheterna har begärt tillgång till för utredningsändamål ha registrerats av mobiltelefonoperatörerna i enlighet med en skyldighet som följer av spansk lagstiftning.(32) Den hänskjutande domstolen har inte lämnat några upplysningar på denna punkt. Härvid ska det erinras om om att dess begäran om förhandsavgörande är inriktad på frågan om eventuell tillgång till uppgifter som redan har registrerats och att det i det nationella målet inte har ifrågasatts huruvida lagringen av uppgifterna är förenlig med unionsrättens krav.(33) Enligt min uppfattning är det därför lämpligt att utgå från att de uppgifter som är i fråga i det nationella målet har lagrats i enlighet med den nationella lagstiftningen och i överensstämmelse med de villkor som anges i artikel 15.1 i direktiv 2002/58, något som det uteslutande ankommer på den hänskjutande domstolen att kontrollera.(34)

41.      Jag återkommer i mina resonemang nedan till den rättsliga innebörden av dessa inledande konstateranden.(35)

B.      Den spanska regeringens processuella invändningar

42.      Den spanska regeringen har framställt processuella invändningar av två slag, avseende dels huruvida domstolen är behörig, dels huruvida begäran om förhandsavgörande kan tas upp till prövning i sak. Domstolen måste yttra sig om dessa invändningar innan den i förekommande fall prövar begäran om förhandsavgörande i sak.

1.      Domstolens behörighet mot bakgrund av unionsrättens tillämpningsområde

43.      Allra först vill jag erinra om att det följer av fast rättspraxis att de grundläggande rättigheter som garanteras i unionens rättsordning – däribland de rättigheter som stadfästs i artiklarna 7 och 8 i stadgan – är tillämpliga endast i situationer som regleras av unionsrätten.(36) Dessutom riktar sig stadgans bestämmelser enligt artikel 51.1 i denna till medlemsstaterna endast ”när dessa tillämpar unionsrätten” i den mening som avses i domstolens praxis rörande detta begrepp.(37) Om en rättslig situation inte faller inom unionsrättens tillämpningsområde saknar domstolen behörighet att pröva den situationen. De bestämmelser i stadgan som eventuellt har åberopats kan inte i och för sig grunda någon sådan behörighet.(38)

44.      I det aktuella fallet avser den hänskjutande domstolens tolkningsfrågor uteslutande artiklarna 7 och 8 i stadgan och ”unionsrättens grundläggande principer, vilka domstolen tillämpade i [Digital Rights-domen]”. Den hänskjutande domstolen anser emellertid att de direktiv som är tillämpliga på skydd av personuppgifter, exempelvis direktiv 95/46 och direktiv 2002/58, visar att det föreligger en sådan anknytning mellan det nationella målet och unionsrätten som krävs enligt artikel 51.1 i stadgan.

45.      Härvidlag ska det för det första påpekas att den spanska regeringen i första hand har gjort gällande att EU-domstolen saknar behörighet att pröva den aktuella begäran om förhandsavgörande av det skälet att nämnda begäran inte rör tillämpningen av unionsrätten. Till stöd för detta påstående har den spanska regeringen bland annat hävdat att det nationella målet faller utanför unionsrättens tillämpningsområde därför att det rör polisens möjligheter att få tillgång till uppgifter i enlighet med ett domstolsbeslut och inom ramen för en utredning, något som enligt den spanska regeringen är att hänföra till statens verksamhet på straffrättens område(39) och således träffas av undantagen enligt artikel 1.3 i direktiv 2002/58 och artikel 3.2 första strecksatsen i direktiv 95/46.(40) Vid den muntliga förhandlingen angav Förenade kungarikets regering att den delade den spanska regeringens uppfattning på denna punkt.

46.      Jag anser emellertid att direktiv 2002/58 är tillämpligt på sådana nationella åtgärder som är i fråga i det nationella målet. Domstolen har i Tele2-domen slagit fast att nationell lagstiftning om lagring av uppgifter för att bekämpa brott faller inom det direktivets tillämpningsområde, inte endast av det skälet att det i sådan lagstiftning anges skyldigheter i det aktuella sammanhanget för leverantörerna av elektroniska kommunikationstjänster utan även av det skälet att sådan lagstiftning reglerar de nationella myndigheternas tillgång till uppgifter som har lagrats i nämnda sammanhang.(41) Jag delar kommissionens uppfattning att de överväganden som anges i Tele2-domen kan tillämpas även på de här aktuella nationella reglerna, nämligen regler som härrör från lag 25/2007 jämförd med den spanska straffprocesslagen i dess lydelse enligt lag 13/2015,(42) och att nämnda överväganden således kan tillämpas på föremålet för det nationella målet.

47.      Till detta ska läggas att det är viktigt att inte blanda samman å ena sidan personuppgifter som direkt behandlas inom ramen för statens verksamhet – av ”regal”(43) karaktär – på ett straffrättsligt område(44) och å andra sidan personuppgifter som behandlas inom ramen för verksamhet – av kommersiell karaktär – som bedrivs av en leverantör av elektroniska kommunikationstjänster och som därefter används av behöriga statliga myndigheter.(45) Dessutom noterar jag att domstolen nyligen mottagit en begäran om förhandsavgörande angående, särskilt, tolkningen av artikel 1.3 i direktiv 2002/58 i samband med att säkerhets- och underrättelsetjänsterna i en medlemsstat använder uppgifter som överförts till dem i stora kvantiteter av sådana tjänsteleverantörer,(46) vilket är en problematik som jag inte anser att domstolen behöver behandla i detta mål.(47)

48.      För det andra noterar jag att det även har ifrågasatts huruvida tillämpningsområdet för direktiv 2002/58, som ligger till grund för domstolens behörighet i det aktuella målet, omfattar uppgifter av det slag som är i fråga i det nationella målet.

49.      Som jag redan har framhållit,(48) framgår det av handlingarna i målet att den omtvistade ansökan avsåg tillgång till uppgifter om vilka innehavarna eller användarna var av de telefonnummer som motsvarade de SIM-kort som hade aktiverats med hjälp av den stulna mobiltelefonen, och syftet med ansökan var att finna de personer som hade haft nämnda telefon i sin besittning, inte att få fram information om de samtal som eventuellt hade ringts med telefonen i fråga.

50.      Med andra ord rör det nationella målet – trots att den spanska lagstiftningen innebär att ett bredare spektrum av personuppgifter potentiellt hade kunnat beröras(49) – uppgifter som uteslutande avser identiteten för ”användarna” i den mening som avses i artikel 2 andra stycket led a i direktiv 2002/58 och som således inte avser vare sig någon ”lokalisering”(50) i den mening som avses i artikel 2 andra stycket led c eller någon egentlig ”kommunikation” i den mening som avses i artikel 2 andra stycket led d.(51)

51.      Enligt den spanska allmänna åklagarmyndigheten, den spanska, den danska, den irländska och den lettiska regeringen, Förenade kungarikets regering och kommissionen ska sådana uppgifter som är i fråga här – förutsatt att de beaktas separat, det vill säga oberoende av den kommunikation som i förekommande fall kan ha ägt rum – i princip inte heller omfattas av begreppet ”trafikuppgifter” i den mening som avses i artikel 2 andra stycket led b i direktiv 2002/58, där sådana uppgifter definieras som ”alla uppgifter som behandlas i syfte att överföra en kommunikation via ett elektroniskt kommunikationsnät eller för att fakturera den”.(52)

52.      Det förefaller förvisso som om de identifieringsuppgifter som polismyndigheterna i det aktuella fallet har efterfrågat inte avser kommunikationstrafik i egentlig mening, eftersom dessa uppgifter torde kunna fås fram även om det under den period som ansökan avser inte har ringts några samtal över huvud taget med den stulna telefonen och följaktligen ingen interpersonell kommunikation har förmedlats av en mobiltelefonoperatör under denna period.(53)

53.      Jag anser emellertid att ett sådant mål som det nationella målet omfattas av tillämpningsområdet för direktiv 2002/58, av det skälet att behandling av den aktuella informationen med anknytning till SIM-korten och deras innehavare är nödvändig i kommersiellt hänseende för tillhandahållandet av elektroniska kommunikationstjänster,(54) åtminstone för faktureringen av den tillhandahållna tjänsten,(55) oavsett vilka samtal som rings eller inte rings inom ramen för denna tjänst.

54.      Mot bakgrund av artiklarna 1.1 och 3 i direktiv 2002/58(56) delar jag därvidlag den åsikt som i synnerhet företräds av kommissionen, nämligen att nämnda direktiv på ett övergripande sätt reglerar behandlingen av personuppgifter inom ramen för tillhandahållande av elektroniska kommunikationstjänster och att dess tillämpningsområde därför innefattar även sådana identitetsuppgifter om användarna av sådana tjänster som är aktuella här – inte endast uppgifter som rör en specifik kommunikation. Med tanke även på de skyddssyften som eftersträvas genom direktiv 2002/58, vilka i huvudsak avser skydd av grundläggande rättigheter som garanteras i stadgan,(57) anser jag således att begreppet ”kommunikation” i den mening som avses i nämnda rättsakt ska ges en vid tolkning och att den princip om konfidentialitet vid kommunikation som föreskrivs i nämnda rättsakt(58) verkligen är i fråga i det aktuella fallet.

55.      Jag anser också att denna tolkning får stöd av en tidigare dom där domstolen fann att tillämpningsområdet för direktiv 2002/58 omfattade en tvist som rörde överföring av namn och adresser för användare av en elektronisk kommunikationstjänst.(59) Tilläggas bör att artikel 12 i nämnda direktiv, som rör abonnentförteckningar, enligt min uppfattning definitivt avser uppgifter av detta slag(60) och att skäl 15 i direktivet också avspeglar en flexibel syn på begreppet ”kommunikation” i så måtto att det där anges att detta begrepp bland annat innefattar ”uppgifter om … adress från sändaren av en kommunikation”.(61)

56.      Till yttermera visso ligger ett sådant synsätt i linje med Europadomstolens praxis på området,(62) varvid det ska erinras om att det framhålls i ingressen till direktiv 2002/58 att detta direktiv är avsett att garantera konfidentialiteten vid kommunikation och användarnas rätt till privatliv i överensstämmelse med Europakonventionen såsom denna har tolkats av Europadomstolen,(63) även om Europakonventionen inte i formell mening har införlivats med unionens rättsordning.(64)

57.      Följaktligen anser jag att ett sådant mål som det nationella målet faller inom det materiella tillämpningsområdet för direktiv 2002/58 och att den spanska regeringen därför inte kan vinna framgång med sin invändning om bristande behörighet.

58.      För fullständighetens skull ska det emellertid också – för den händelse att direktiv 2002/58 inte skulle befinnas vara tillämpligt i ett sådant fall som det aktuella – framhållas att direktiv 95/46, som såväl den hänskjutande domstolen som den spanska regeringen har hänvisat till, inte kan ligga till grund för domstolens behörighet att pröva det aktuella målet.

59.      Direktiv 95/46 är förvisso, som kommissionen också har påpekat, det instrument som har allmän räckvidd när det gäller behandling av personuppgifter,(65) men jag anser att den hänskjutande domstolens tolkningsfrågor skulle förlora sin relevans om de prövades uteslutande mot bakgrund av det direktivet, med tanke på att syftet med frågorna är att få klarhet i var den nedre gränsen går för när ett brott kan anses som ”allvarligt” i den mening som avses i den praxis som grundar sig på Digital Rights-domen och Tele2-domen – vilka inte rörde tolkningen av direktiv 95/46.(66)

2.      Huruvida begäran om förhandsavgörande kan tas upp till prövning i sak

60.      Den spanska regeringen har i andra hand – för den händelse att domstolen skulle finna att den är behörig att besvara tolkningsfrågorna – gjort gällande att begäran om förhandsavgörande ska avvisas, av två olika skäl.

61.      För det första har den spanska regeringen hävdat att den hänskjutande domstolen har underlåtit att tydligt ange de unionsrättsliga regler som EU-domstolen ska yttra sig om.

62.      I detta sammanhang har den spanska regeringen erinrat om att EU-domstolen, enligt sin egen fasta praxis, inom ramen för samarbetet enligt artikel 267 FEUF får avstå från att besvara tolknings- eller giltighetsfrågor (som ska presumeras vara relevanta) endast då det är uppenbart att den begärda tolkningen eller giltighetsprövningen av en unionsrättlig bestämmelse inte har något samband med de verkliga omständigheterna eller saken i det nationella målet, då frågorna är hypotetiska eller då EU-domstolen inte har tillgång till sådana uppgifter om de faktiska eller rättsliga omständigheterna som är nödvändiga för att kunna ge ett användbart svar på de frågor som har ställts till den.(67)

63.      Jag anser emellertid att den spanska regeringen saknar fog för sin invändning i det aktuella fallet. Mot bakgrund av de upplysningar som den hänskjutande domstolen har lämnat gör jag nämligen bedömningen att nämnda domstol i tillräcklig utsträckning har angett de unionsrättsliga bestämmelser som den anser vara relevanta. Härvidlag vill jag erinra om att tolkningsfrågorna särskilt avser artiklarna 7 och 8 i stadgan, om att den hänskjutande domstolen har framhållit att direktiven 95/46 och 2002/58 utgör den nödvändiga förbindelselänken mellan den i det nationella målet tillämpliga nationella lagstiftningen och unionsrätten(68) och avslutningsvis att direktiv 2002/58 – som anges i skäl 2 i detta – särskilt är avsett att säkerställa full respekt för de rättigheter som anges i artiklarna 7 och 8 i stadgan.(69)

64.      Till detta ska läggas att det saknar betydelse att en av de spanska författningar som det hänvisas till i begäran om förhandsavgörande, nämligen lag 25/2007, var avsedd att med den spanska rättsordningen införliva direktiv 2006/24, vilket har upphävts efter att ha ogiltigförklarats genom Digital Rights-domen.(70) Som den hänskjutande domstolen på goda grunder har framhållit, vore det felaktigt att anse att de här aktuella tolkningsfrågorna till EU-domstolen skulle ha blivit irrelevanta till följd av det ogiltigförklarandet. Därvidlag är det tillräckligt att konstatera att det område som dessa frågor rör, nämligen skydd av personuppgifter, faller inom unionens befogenhetsområde och att det nationella målet faller inom tillämpningsområdet för en unionsrättsakt, nämligen direktiv 2002/58,(71) som det ogiltigförklarade direktiv 2006/24 skulle ändra.

65.      För övrigt kan det noteras att de allra flesta av dem som har inkommit med yttranden till domstolen utgår från att den aktuella begäran om förhandsavgörande ska prövas mot bakgrund av artikel 15.1 i direktiv 2002/58 jämförd med artiklarna 7 och 8 i stadgan och på grundval av de upplysningar som kan hämtas i Digital Rights-domen och Tele2-domen. Jag företräder också den uppfattningen, även om jag vill framhålla att det uttryck som förekommer i direktiv 2002/58 är ”brott” och inte ”allvarliga brott” samt att detta uttryck endast förekommer i nämnda artikel 15.1.(72)

66.      För det andra har den spanska regeringen gjort gällande att artikel 7 i stadgan, som enligt dess uppfattning är den centrala beståndsdelen i den aktuella begäran om förhandsavgörande, saknar relevans, eftersom den utredningsåtgärd som ansökan i det nationella målet avser inte rör avlyssning av kommunikation och således inte kan påverka konfidentialiteten vid kommunikation, varför tolkningsfrågorna är hypotetiska.

67.      För min del anser jag att artikel 7 i stadgan faktiskt är relevant i det aktuella målet och att begäran om förhandsavgörande således inte är hypotetisk. Det är förvisso riktigt att det i det aktuella fallet inte föreligger någon risk för åsidosättande av rätten till kommunikationshemlighet, med tanke på syftet med den åtgärd som är i fråga i det nationella målet.(73) Däremot kan en åtgärd av det berörda slaget kränka den rätt till respekt för privatlivet som garanteras genom artikel 7 i stadgan, även om det enligt min uppfattning handlar om en mindre kränkning.(74)

68.      Som domstolen konsekvent har funnit, innebär nämligen en överföring av personuppgifter till tredje part, exempelvis en offentlig myndighet, att det sker ett ingrepp i den grundläggande rättighet som stadfästs i artikel 7 i stadgan, oavsett hur de överförda uppgifterna därefter används. Detsamma gäller när personuppgifter lagras, exempelvis av leverantörer av elektroniska kommunikationstjänster, och när offentliga myndigheter bereds tillgång till sådana uppgifter för att kunna använda dem.(75)

69.      Jag anser således att den spanska regeringen inte kan vinna framgång med sin invändning om rättegångshinder utan att domstolen ska pröva begäran om förhandsavgörande i sak.

C.      Kriterier för att ett brott ska anses så allvarligt att det kan motivera ett ingrepp i de berörda grundläggande rättigheterna (den första tolkningsfrågan)

70.      Den hänskjutande domstolen har ställt sin första tolkningsfråga till EU-domstolen för att få klarhet i vilka aspekter som ska beaktas vid bedömningen av huruvida ett brott, i överensstämmelse med den rättspraxis som grundar sig på Digital Rights-domen och den därefter meddelade Tele2-domen, är tillräckligt allvarligt för att kunna motivera ett ingrepp i de grundläggande rättigheter som garanteras i artiklarna 7 och 8 i stadgan när det gäller lagring av och tillgång till personuppgifter.

71.      Härvidlag ska det erinras om att begreppet ”allvarliga brott” användes av EU-domstolen i Digital Rights-domen,(76) emellanåt i kombination med begreppet ”grov brottslighet”,(77) som kriterium för kontroll av syftet med och det proportionerliga i det ingrepp i de ovannämnda grundläggande rättigheterna som uppkom till följd av de unionsrättsliga bestämmelserna om personuppgifter, närmare bestämt bestämmelserna i direktiv 2006/24. Begreppet ”allvarliga brott” förekommer inte i direktiv 2002/58(78) men användes däremot i direktiv 2006/24,(79) som ju ogiltigförklarades genom Digital Rights-domen. Därefter använde domstolen båda begreppen ”allvarliga brott” och ”grov brottslighet” i Tele2-domen,(80) också där som bedömningskriterium, även om bedömningen denna gång avsåg huruvida bestämmelser som medlemsstaterna hade antagit var förenliga med unionsrätten.(81)

72.      Den första tolkningsfrågan innebär närmare bestämt att domstolen uppmanas att slå fast huruvida det, vid bedömning av huruvida det föreligger ett ”allvarligt brott” som kan motivera ett personuppgiftsrelaterat ingrepp i de grundläggande rättigheter som stadfästs i artiklarna 7 och 8 i stadgan, uteslutande ska tas hänsyn till vilken påföljd det omtvistade brottet kan föranleda eller även till huruvida den brottsliga gärningen är särskilt skadlig för de enskilda eller kollektiva rättsligt erkända intressen som är i fråga.

73.      Liksom kommissionen anser jag emellertid att det inte är möjligt att yttra sig i denna fråga innan det har undersökts huruvida det ingrepp som är i fråga i ett sådant mål som det nationella målet är så allvarligt att det enligt unionsrätten kan tillåtas endast om det kan motiveras med hänvisning till bekämpande av ett brott av allvarlig karaktär. Om EU-domstolen skulle finna att ingreppet inte är så allvarligt, bör den enligt min uppfattning göra en tolkning av de relevanta unionsrättsliga bestämmelserna där den inte inskränker sig till den tolkning som den hänskjutande domstolen har begärt utan först omformulerar den första tolkningsfrågan(82) i den utsträckning som krävs mot bakgrund av omständigheterna i det nationella målet.(83)

1.      Beaktande av att det omtvistade ingreppet saknar allvarlig karaktär

74.      Inledningsvis ska det slås fast att sådana åtgärder som är i fråga i det nationella målet verkligen kan kränka de grundläggande rättigheter som garanteras genom artiklarna 7 och 8 i stadgan och således utgöra ett ingrepp i dessa rättigheter i den mening som avses i den rättspraxis som grundar sig på Digital Rights-domen och Tele2-domen.

75.      De uppgifter som i det aktuella fallet har efterfrågats av de myndigheter som ansvara för brottsutredningen förefaller förvisso – som den spanska och den danska regeringen har framhållit i sina muntliga yttranden(84) och som jag själv redan har påpekat(85) – vara av mindre känslig art än personuppgifter tillhörande vissa andra kategorier.(86) Den aktuella ansökan avser ju uteslutande för- och efternamn och eventuellt adress för de personer som ingår i utredningen av det skälet att de använder telefonnummer som har aktiverats från den stulna mobiltelefonen som utredningen avser.

76.      Jag anser emellertid att när det gäller att fastställa huruvida personuppgifter ska omfattas av det skydd som föreskrivs i unionsrätten, särskilt i direktiv 2002/58,(87) saknar det betydelse huruvida de uppgifter som avses i en ansökan om lagring eller tillgång är av särskilt känslig art eller inte. Som påpekades i de första förarbetena på området, kan ”[v]arje uppgift som rör en person, även skenbart harmlösa uppgifter (såsom en postadress), … vara av känslig art, beroende på de ändamål för vilka uppgiften används”.(88) Dessutom har domstolen slagit fast att när det gäller att avgöra huruvida det föreligger ett ingrepp i den grundläggande rättighet som stadfästs i artikel 7 i stadgan, ”har [det] föga betydelse huruvida de uppgifter som avser privatlivet är av känslig art eller huruvida de berörda har fått utstå eventuella olägenheter på grund av ingreppet eller inte”.(89)

77.      Jag vill också erinra om att överföring av personuppgifter till tredje part, även till en offentlig myndighet som kriminalpolisen, alltid utgör ett ingrepp i den grundläggande rättighet som garanteras genom artikel 7 i stadgan,(90) även när uppgifterna överförs för att användas i en brottsutredning – ett fall som för övrigt uttryckligen avses i artikel 15.1 i direktiv 2002/58.(91) En sådan åtgärd kan därutöver, eftersom den medför att personuppgifter behandlas, även innebära en kränkning av den grundläggande rätt till skydd av personuppgifter som garanteras genom artikel 8 i stadgan.(92)

78.      Därför anser jag att det finns fog för slutsatsen att en sådan åtgärd som den som är i fråga i det nationella målet utgör ett ingrepp i de grundläggande rättigheter som stadfästs i artiklarna 7 och 8 i stadgan.

79.      Emellertid saknas det i det aktuella fallet enligt min bedömning en väsentlig faktor som EU-domstolen har angett som förutsättning för att ett sådant ingrepp, i egenskap av undantag från principen om konfidentialitet vid elektronisk kommunikation, måste motiveras av förekomsten av ett ”allvarligt brott” (det begrepp som den hänskjutande domstolen önskar få uttolkat). Det som jag anser saknas i det aktuella fallet, och som gör att det inte finns förutsättningar för att besvara den första tolkningsfrågan såsom den hänskjutande domstolen har formulerat denna, är ett allvarligt ingrepp. Om ingreppet hade varit allvarligt, skulle det däremot ha krävts en sådan särskild motivering.

80.      I detta sammanhang vill jag påpeka att EU-domstolen i Digital Rights-domen särskilt betonade den långtgående och synnerligen allvarliga karaktären av det ingrepp som den berörda lagstiftningen gav upphov till och därvid bland annat framhöll att ”direktiv 2006/24 generellt omfattar samtliga personer, samtliga elektroniska kommunikationsmedel och samtliga trafikuppgifter utan att det görs några åtskillnader, begränsningar eller undantag utifrån syftet att bekämpa allvarliga brott”.(93)

81.      På liknande sätt slog domstolen i Tele2-domen fast att ”[a]rtikel 15.1 i direktiv 2002/58 … utgör hinder för en nationell lagstiftning som i brottsbekämpande syfte föreskriver en generell och odifferentierad lagring av samtliga trafikuppgifter och lokaliseringsuppgifter avseende samtliga abonnenter och registrerade användare och samtliga elektroniska kommunikationsmedel”.(94) Domstolen noterade också i samma dom att det fanns ett samband mellan å ena sidan konstaterandet att ingreppet således var särskilt allvarligt och å andra sidan behovet av att motivera ett så omfattande ingrepp i de grundläggande rättigheter som garanteras genom artiklarna 7 och 8 i stadgan genom att hänvisa till ett så centralt mål av allmänintresse som ”bekämpning av grov brottslighet”.(95)

82.      Denna koppling mellan det konstaterade ingreppets grad av allvar och vikten av det intresse som kan motivera ingreppet gjordes i överensstämmelse med proportionalitetsprincipen.(96) Dessutom förefaller det som om Europadomstolen i sin praxis rörande artikel 8 i Europakonventionen(97) har slagit fast ett samband motsvarande det som enligt mig framgår av Digital Rights-domen och Tele2-domen.

83.      Som jag har nämnt ovan(98) – och som särskilt har framhållits av den franska regeringen, Förenade kungarikets regering och kommissionen – skiljer sig arten av det ingrepp som är i fråga i det här aktuella nationella målet i flera avseenden från de ingrepp som domstolen hade att ta ställning till i dessa båda tidigare domar. Detta betyder att bedömningen av huruvida en sådan åtgärd som den här aktuella är förenlig med unionsrätten ska göras på ett annat sätt.

84.      I det aktuella fallet rör det sig inte om en åtgärd som avser en skyldighet att ombesörja en generell och odifferentierad lagring av trafik- och lokaliseringsuppgifter avseende samtliga abonnenter och registrerade användare och samtliga elektroniska kommunikationsmedel. I stället rör det sig om en riktad åtgärd i fråga om en möjlighet för behöriga myndigheter att, i syfte att tillgodose behov inom ramen för en brottsutredning, få tillgång till uppgifter som tjänsteleverantörer innehar för kommersiella ändamål, varvid de efterfrågade uppgifterna dels uteslutande avser identiteten (för- och efternamn och eventuellt adress) för en avgränsad kategori av abonnenter eller användare av ett specifikt kommunikationsmedel (nämligen de personer vilkas telefonnummer har aktiverats från den mobiltelefon som blev föremål för det tillgrepp som ligger till grund för brottsutredningen), dels rör en begränsad period (nämligen omkring tolv dagar).(99)

85.      Till detta ska läggas att de potentiella skadeverkningarna för de personer som berörs av den aktuella ansökan om tillgång till uppgifter dels är måttliga, dels omgärdas av regler. Eftersom de efterfrågade uppgifterna endast ska användas inom ramen för en utredningsåtgärd, är de nämligen inte avsedda att spridas till allmänheten.(100) Dessutom innebär den spanska lagstiftningen att polismyndigheternas möjligheter att få tillgång till uppgifter är underkastade processuella garantier i form av domstolskontroll – som ju för övrigt faktiskt föranledde ett avslag på polisens ansökan i det nationella målet.

86.      Det ingrepp i de ovannämnda grundläggande rättigheterna som ett utlämnande av de aktuella uppgifterna av folkbokföringskaraktär skulle medföra är enligt min uppfattning inte av särskilt allvarlig natur,(101) eftersom uppgifterna är av sådan art och har så begränsad omfattning att det inte är möjligt att enbart utifrån dem få fram utförliga och/eller exakta upplysningar om de berörda personerna,(102) vilket betyder att ett utlämnande under just de aktuella omständigheterna inte skulle medföra någon direkt och mer betydande inverkan på dessa personers privatliv.(103)

87.      Följaktligen anser jag i likhet med kommissionen att det är nödvändigt att omformulera den första tolkningsfrågan för att den hänskjutande domstolen ska kunna erhålla relevanta upplysningar som gör det möjligt för den att avgöra det mål som den ska pröva. Närmare bestämt bör EU-domstolens svar avse tolkningen av artikel 15.1 i direktiv 2002/58 mot bakgrund av sådana omständigheter som är för handen i det nationella målet, nämligen ett fall där det görs ett ingrepp utan särskilt allvarlig karaktär i de ovannämnda grundläggande rättigheterna och hänvisas till bekämpning av en typ av brott vars allvarliga karaktär ifrågasätts.

88.      I detta sammanhang ska det erinras om att artikel 15.1 i direktiv 2002/58 innehåller en uttömmande uppräkning av de syften som kan motivera en nationell lagstiftning som innebär undantag från principen om konfidentialitet vid elektronisk kommunikation och att tillgång till lagrade uppgifter därför endast får ges om det som eftersträvas faktiskt och strikt motsvarar något av dessa syften.(104) Ett av de syften som räknas upp är det mål av allmänintresse som avser ”förebyggande, undersökning, avslöjande av och åtal för brott”(105) – utan närmare specificering av brottens art.

89.      Av denna formulering framgår att nämnda artikel 15.1 inte uppställer något krav på att de brott som motiverar en viss begränsande åtgärd måste betraktas som ”allvarliga” i den mening som avses i den rättspraxis som grundar sig på Digital Rights-domen och Tele2-domen. Enligt min uppfattning är det endast när det aktuella ingreppet är särskilt allvarligt, såsom i de mål som föranledde dessa båda domar, som de brott som ska motivera ingreppet också måste vara särskilt allvarliga. När ingreppet däremot inte är allvarligt, gäller i stället den grundprincip som går att utläsa ur lydelsen av nämnda bestämmelse, nämligen att samtliga typer av ”brott” kan motivera ett sådant ingrepp.

90.      Jag anser att det är viktigt att undvika att övertolka de krav som domstolen har uppställt i Digital Rights-domen och Tele2-domen, så att medlemsstaterna inte hindras – åtminstone inte oskäligen – från att utnyttja sin möjlighet enligt artikel 15.1 i direktiv 2002/58 att göra undantag från ordningen enligt det direktivet i fall där ingrepp i privatlivet har både ett legitimt syfte och en begränsad räckvidd – exempelvis sådana ingrepp som i det aktuella fallet kan komma att ske till följd av kriminalpolisens ansökan. Mer konkret anser jag att unionsrätten inte utgör hinder för att behöriga myndigheter får tillgång till identifikationsuppgifter som finns hos leverantörer av elektroniska kommunikationstjänster och som gör det möjligt att hitta de personer som misstänks ha begått ett brott som inte är att anse som allvarligt.

91.      Följaktligen förordar jag att domstolen ska besvara den första tolkningsfrågan i dess omformulerade lydelse med att artikel 15.1 i direktiv 2002/58 jämförd med artiklarna 7, 8 och 52.1 i stadgan ska tolkas så, att en åtgärd som under sådana omständigheter som är för handen i det nationella målet medger att de behöriga nationella myndigheterna i brottsbekämpande syfte får tillgång till identifikationsuppgifter för användare av telefonnummer som under en begränsad period har aktiverats från en viss mobiltelefon visserligen utgör ett ingrepp i de grundläggande rättigheter som garanteras av nämnda direktiv och av stadgan men att detta ingrepp inte är så allvarligt att möjlighet till sådan tillgång ska förbehållas fall där det berörda brottet är av allvarlig karaktär.

92.      Med tanke på detta föreslagna svar är samtliga överväganden i det följande att betrakta som redovisade i andra (och tredje) hand, för fullständighetens skull.

2.      Eventuellt fastställande av relevanta kriterier för att avgöra huruvida ett brott är tillräckligt allvarligt

93.      För den händelse att domstolen skulle finna – i motsats till vad jag förordar – att det i det aktuella målet, oaktat de ytterst särpräglade omständigheterna i det nationella målet, ska slås fast vad som avses med ett ”allvarligt brott” i den mening som avses i den rättspraxis som grundar sig på Digital Rights-domen och Tele2-domen,(106) behöver det för det första avgöras huruvida denna term avser ett självständigt begrepp inom unionsrätten som det således ankommer på domstolen att definiera. Jag anser, i likhet med vad den franska regeringen har föreslagit i sitt förstahandssvar, att så inte är fallet. Skälen till detta redovisas i det följande.

94.      Till att börja med ska det noteras att direktiv 2006/24, varifrån användningen av begreppet ”allvarligt brott” ursprungligen kommer,(107) inte innehöll någon definition av detta begrepp utan i stället en hänvisning till medlemsstaternas rättsordningar.(108) Vidare ska de relevanta övervägandena i Digital Rights-domen och Tele2-domen enligt min uppfattning inte förstås så, att de är avsedda att harmonisera gällande rättsregler i medlemsstaterna som rör innehållet i nämnda begrepp.

95.      Därvidlag ska det erinras om att straffrätten och straffprocessrätten faller under medlemsstaternas behörighet, även om deras rättsordningar kan påverkas av unionsrättsliga bestämmelser på området.(109) Enligt artikel 83.2 FEUF är det endast om en harmonisering av medlemsstaternas straffrätt visar sig nödvändig för att säkerställa att unionens politik på ett område som omfattas av harmoniseringsåtgärder ska kunna genomföras effektivt som unionen får anta direktiv där det föreskrivs minimiregler för fastställande av brottsrekvisit och påföljder på det berörda området. På unionsrättens nuvarande utvecklingsstadium finns det inte någon bestämmelse med allmän räckvidd som slår fast en harmoniserad definition av begreppet ”allvarligt brott”.(110)

96.      Det förefaller därför som om befogenheten att fastställa vad som utgör ett ”allvarligt brott” i princip tillkommer de behöriga myndigheterna i medlemsstaterna. Det ankommer emellertid på EU-domstolen att kontrollera – vilket sker på grundval av de nationella domstolarnas möjlighet att begära förhandsavgörande av domstolen – att samtliga krav som följer av unionsrätten är uppfyllda, inbegripet att det skydd som stadgans bestämmelser ger tillämpas på ett sammanhängande sätt.

97.      Här ska det påtalas att vad som avses med ett allvarligt brott dels kan skilja sig från en medlemsstat till en annan, beroende olika traditioner och de prioriteringar som fastställs i var och en av dem, dels även kan variera i tiden, beroende på den inriktning (med tonvikt på strängare eller mildare påföljder) som fastställs för politiken på området brott och straff i syfte att beakta brottslighetens utveckling(111) och mer allmänt beroende på förändringar i samhället och behovet av bland annat brottsbekämpning på nationell nivå.

98.      Vidare ska det understrykas att det finns stora skillnader mellan de straffskalor som traditionellt tillämpas i de olika medlemsstaterna(112) och att ett brotts grad av allvar därför inte endast beror på den därtill knutna påföljdens stränghet. Huruvida ett visst brott är allvarligt är i hög grad en relativ fråga i så måtto att svaret beror på de straffskalor som generellt tillämpas i den berörda medlemsstaten. Att man i en medlemsstat föreskriver ett kort fängelsestraff eller en påföljd av annat slag påverkar inte i och för sig den berörda brottstypens inneboende grad av allvar.(113)

99.      Jag anser att det är nödvändigt att respektera särarten hos varje enskild medlemsstats straffrättsliga system, i den mån som unionsrätten inte fastställer några strikt bindande skyldigheter för medlemsstaterna. Detta ligger i linje med vad domstolen har slagit fast såvitt avser upprätthållandet av allmän säkerhet(114) – ett begrepp som enligt min uppfattning ligger nära begreppet bekämpning av grov brottslighet, bland annat med tanke på lydelsen av artikel 15.1 första meningen i direktiv 2002/58.

100. Därför är min åsikt i andra hand att begreppet ”allvarligt brott” i den mening som avses i domstolens praxis som grundar sig på Digital Rights-domen och Tele2-domen inte utgör ett självständigt unionsrättsligt begrepp vars innehåll ska fastställas av domstolen, även om domstolen förvisso ska kontrollera att medlemsstaterna tillämpar undantaget enligt artikel 15.1 i direktiv 2002/58 i överensstämmelse med de skyldigheter som följer av unionsrätten, bland annat de grundläggande rättigheter som garanteras i stadgan.

101. Såvitt avser detta krav på iakttagande av unionsrätten ska det påpekas att det av domstolens praxis framgår i synnerhet att artikel 15.1 i direktiv 2002/58, eftersom den medger att medlemsstaterna begränsar tillämpningsområdet för vissa rättigheter och skyldigheter som föreskrivs i det direktivet, ska tolkas strikt och följaktligen inte får medföra att undantag från dessa principiella rättigheter och skyldigheter blir regel.(115) Således får medlemsstaterna inte ge begreppet ”allvarligt brott” en alltför vid tolkning.

102. För det andra, och i tredje hand, skulle det kunna tänkas att EU-domstolen finner att ”allvarligt brott” faktiskt är ett självständigt begrepp. Då ska EU-domstolen besvara tolkningsfrågan såsom den hänskjutande domstolen har formulerat den och således uttala sig om de kriterier som på unionsrättslig nivå ska användas för att bedöma huruvida ett brott är tillräckligt allvarligt för att kunna motivera ett ingrepp i de grundläggande rättigheter som stadfästs i artiklarna 7 och 8 i stadgan.

103. Närmare bestämt ska EU-domstolen avgöra huruvida det vid bedömningen av huruvida det föreligger ett ”allvarligt brott” i den mening som avses i ovan nämnd praxis är tillräckligt att utgå från den påföljd som föreskrivs för det påstådda brottet eller huruvida det även krävs att gärningen har varit särskilt skadlig för de enskilda eller kollektiva rättsliga intressen som är i fråga. Enligt min åsikt – som delas av den danska, den spanska, den franska, den ungerska, den österrikiska och den polska regeringen samt Förenade kungarikets regering – bör i allt väsentligt det sistnämnda alternativet väljas och en definition baserad på ett flertal bedömningskriterier ges företräde.(116)

104. Såvitt avser den grad av allvar hos ett brott som kan motivera utlämnande av uppgifter, innebär proportionalitetsprincipen enligt min uppfattning att det är omöjligt att avgöra en brottslig gärnings grad av allvar enbart med ledning av den påföljd som kan utdömas. Med tanke på de betydande skillnader som fortfarande finns mellan medlemsstaternas påföljdssystem anser jag nämligen att påföljden – i kvalitativ bemärkelse, med avseende på dess typ, och/eller i kvantitativ bemärkelse, med avseende på dess nivå – inte ensam kan avspegla graden av allvar för ett visst brott.

105. Påföljden är förvisso synnerligen betydelsefull i det hänseendet, men trots detta bör även andra objektiva faktorer beaktas, med ledning av omständigheterna i det enskilda fallet. Närmare bestämt avser dessa faktorer dels sammanhanget för det påstådda brottet, det vill säga huruvida den brottsliga gärningen är uppsåtlig, huruvida det föreligger försvårande omständigheter och/eller är fråga om återfallsbrott, dels vikten av de samhällsintressen som gärningsmannen kan ha åsidosatt och arten och/eller omfattningen av den skada som brottsoffret kan ha lidit,(117) och slutligen den allmänt tillämpliga straffskalan i den berörda medlemsstaten.(118) Enligt min uppfattning är det med tillämpning av denna uppsättning alternativa bedömningskriterier – uppräkningen ovan är inte uttömmande – som ett brott i förekommande fall ska klassificeras som ”allvarligt” i den mening som avses i domstolens ifrågavarande praxis.

106. Tilläggas ska att denna föreslagna tolkning är förenlig med det synsätt som Europadomstolen enligt min uppfattning har använt i sin praxis rörande ”förebyggande av … brott”, vilket är ett av de syften som – förutsatt att även andra villkor är uppfyllda(119) – kan motivera ett ingrepp i den rätt till privatliv som stadfästs i artikel 8 i Europakonventionen. Enligt min uppfattning framgår det av nämnda praxis att de stater som har ingått Europakonventionen med framgång kan anföra bekämpandet av vissa kategorier av brott i detta sammanhang,(120) varvid inte endast påföljden är relevant utan snarare en uppsättning olika bedömningskriterier, bland vilka särskilt märks de berörda brottens art och de allmänna och enskilda intressen som brotten har påverkat.(121)

107. Jag anser således att om domstolen finner att begreppet ”allvarligt brott” i den mening som avses i den praxis som grundar sig på Digital Rights-domen och Tele2-domen är ett självständigt unionsrättsligt begrepp, ska detta begrepp tolkas så, att vid bedömningen av huruvida ett brott är tillräckligt allvarligt för att kunna motivera att behöriga nationella myndigheter med stöd av artikel 15.1 i direktiv 2002/58 får tillgång till personuppgifter ska hänsyn inte uteslutande tas till den påföljd som kan utdömas utan även till en uppsättning andra sådana objektiva bedömningskriterier som har nämnts ovan.

D.      Fastställandet i andra hand av den miniminivå för påföljden som krävs för att ett brott ska anses vara tillräckligt allvarligt för att kunna motivera ett ingrepp i de berörda grundläggande rättigheterna (den andra tolkningsfrågan)

108. Den hänskjutande domstolen har genom sin andra tolkningsfråga uppmanat EU-domstolen att dels slå fast den miniminivå som påföljden för ett brott måste uppnå för att detta brott ska kunna anses som ”allvarligt” i den mening som avses i den praxis som grundar sig på Digital Rights-domen och Tele2-domen, dels slå fast huruvida en sådan tröskelnivå på tre års fängelse som sedan 2015 års reform(122) föreskrivs i den spanska straffprocesslagen är förenlig med unionsrättens krav.

109. Dessa båda delfrågor har ställts enbart i andra hand, för den händelse att EU-domstolen i sitt svar på den första tolkningsfrågan skulle finna att bedömningen av huruvida ett brott är att anse som allvarligt, och således med stöd av ovan nämnd praxis kan motivera ett ingrepp i grundläggande rättigheter, ska grunda sig uteslutande på varaktigheten av det frihetsberövande som brottet kan föranleda.

110. Med tanke på mitt föreslagna svar på den första tolkningsfrågan anser jag att EU-domstolen saknar anledning att yttra sig över den andra tolkningsfrågan. För fullständighetens skull kommer jag emellertid ändå att redovisa vissa överväganden i det berörda ämnet.

111. Såvitt avser den andra tolkningsfrågans inledande del anser jag – i likhet med bland annat den tjeckiska och den estniska regeringen – att den påföljdsnivå som i och för sig är tillräcklig för att ett brott ska anses som ”allvarligt” inte kan fastställas på ett enhetligt sätt för hela unionen. Skälet till detta har samband med de överväganden som jag har redovisat ovan med anledning av den hänskjutande domstolens första tolkningsfråga.(123)

112. För övrigt skiljer sig mellan unionsrättsakter definitionen av vad som är att anse som ett ”allvarligt brott” – närmare bestämt såvitt avser den lägsta påföljdsnivå som medger en sådan klassificering. I olika unionsrättsakter som har antagits med stöd av artikel 83.1 FEUF föreskrivs nämligen olika långa fängelsestraff för brott som likafullt samtliga anses utgöra ”särskilt allvarlig brottslighet”.(124) Som illustration kan nämnas artikel 3 i direktiv 2011/92/EU(125) och artikel 15 i direktiv (EU) 2017/541,(126) två direktiv som avser bekämpande av sexuella övergrepp mot barn respektive bekämpande av terrorism. Unionslagstiftaren har således själv inte valt en enhetlig definition av begreppet ”allvarligt brott” i form av en specificerad längd på den därtill knutna påföljden.

113. Här ska det erinras om att medlemsstaternas frihet att fastställa den lägsta påföljdsnivå från och med vilken ett brott ska anses som ”allvarligt” begränsas av inte endast de regler som slås fast i de unionsrättsliga bestämmelserna på området utan också av principen att ett undantag inte får ges så stor räckvidd att det i själva verket blir till allmän regel.(127)

114. I det aktuella fallet får visserligen varje enskild medlemsstat avgöra vad som är en lämplig lägsta påföljdsnivå för att karakterisera ett brott som allvarligt, men medlemsstaterna är därvid skyldiga att inte sätta gränsen så lågt – i förhållande till den sedvanliga nivån på straffskalorna i respektive stat(128) – att undantagen enligt artikel 15.1 i direktiv 2002/58 från förbudet att lagra och utnyttja personuppgifter blir principer. Detta är för övrigt något som den irländska regeringen med rätta har framhållit.

115. Sådana ingrepp i rättigheterna enligt artiklarna 7 och 8 i stadgan som medlemsstaterna kan tillåta med stöd av artikel 15.1 i direktiv 2002/58 får dessutom ske endast under iakttagande av de allmänna krav som följer av proportionalitetsprincipen såsom denna kommer till uttryck i artikel 52.1 i stadgan.(129)

116. Såvitt avser den andra tolkningsfrågans avslutande del anser den estniska regeringen och kommissionen dels att en nedre gräns som grundar sig uteslutande på en påföljd på minst tre års fängelse rent allmänt torde vara tillräcklig för klassificering av ett brott som ”allvarligt” i den mening som avses i domstolens på Digital Rights-domen grundade praxis rörande tillgång till personuppgifter, dels att en sådan nedre gräns inte är uppenbart oförenlig med unionsrätten i allmänhet(130) och med artikel 15.1 i direktiv 2002/58 i synnerhet.

117. Jag anser emellertid att det vore att föredra att domstolen avstod från att inta en ståndpunkt som innebär att den förordar en viss specificerad påföljdsnivå, eftersom vad som är lämpligt för vissa medlemsstater inte nödvändigtvis är det för andra och eftersom vad som för närvarande gäller för en viss brottstyp inte nödvändigtvis och oåterkalleligen kommer att gälla i framtiden, något som jag redan har nämnt.(131) Med tanke på att fastställandet av den berörda nedre gränsen skulle kräva en komplicerad bedömning som dessutom kan tänkas behöva ändras med tiden, är det som jag ser saken lämpligt att iaktta försiktighet på denna punkt och överlåta den aktuella bedömningen antingen på unionslagstiftaren, inom de befogenhetsområden som denne har tilldelats, eller på lagstiftaren i varje enskild medlemsstat, med förbehåll för de krav som följer av unionsrätten.

118. Såvitt avser det sistnämnda ska det framhållas att den hänskjutande domstolen i det aktuella fallet har påtalat att det finns en risk för att den allmänna regeln enligt direktiv 2002/58 ska bli till undantag och omvänt, vilket är en risk som också har tagits upp ovan,(132) genom att notera att ”en stor del av alla brottstyper” berörs av den nedre gräns på tre års fängelse som den spanska lagstiftaren införde 2015.(133) Den hänskjutande domstolen anser med andra ord att efter reformen av straffprocesslagen är förteckningen över brott som i Spanien kan motivera inskränkningar i de rättigheter som skyddas genom artiklarna 7 och 8 i stadgan så omfattande att den i praktiken inbegriper de flesta av brottsrubriceringarna i strafflagen.

119. Under förutsättning dels att EU-domstolen finner att det ingrepp som är i fråga i det nationella målet är att anse som allvarligt, dels att nämnda reform verkligen har medfört det resultat som den hänskjutande domstolen har angett, anser jag att detta resultat inte är förenligt med det proportionalitetskrav som gäller för sådana inskränkningar.(134) Så är enligt min uppfattning fallet trots att det – vilket den spanska regeringen har framhållit – finns en domstolskontroll, eftersom domstolarna genom att utöva sina kontrollbefogenheter förvisso kan förhindra genomförandet av sådana åtgärder som med ledning av den bedömning som görs i varje enskilt fall befinns vara godtyckliga eller alltför ingripande men däremot inte på ett mer allmänt plan kan minska benägenheten att tillgripa sådana åtgärder eller hejda deras utveckling.

120. Avslutningsvis ska det understrykas att det synsätt som jag har förespråkat i hela detta avsnitt enligt min uppfattning står i överensstämmelse med det synsätt som Europadomstolen har valt i sin praxis rörande skydd av personuppgifter. Visserligen har Europadomstolen – vilket den irländska regeringen och kommissionen har framhållit – prövat nationell lagstiftning där ”allvarliga” brott ägnade att motivera ingrepp i privatlivet definierades med hänvisning till en påföljd på minst tre års fängelse och då funnit att denna lagstiftning var tillräckligt tydlig,(135) men jag anser inte att Europadomstolen därvid slog fast den påföljdsnivån som ett absolut och oföränderligt kriterium såvitt avser den definitionen. Enligt min bedömning förefaller nämligen nämnda praxis i första hand röra kravet på tillräcklig förutsebarhet och tydlighet för medborgarnas del, och då med avseende mindre på den påföljd som kan utdömas än arten av de brott som medger sådana ingrepp.(136) Till yttermera visso tillerkänner Europadomstolen visserligen staterna ett visst utrymme för skön i bedömningen av huruvida och i vilken grad ett sådant ingrepp är nödvändigt, men detta utrymme för skönsmässig bedömning är föremål för kontroll på europeisk nivå.(137) I synnerhet strävar Europadomstolen efter att förebygga de risker för missbruk som kan uppstå när det i en lagstiftning hänvisas till ett så brett spektrum av brott att merparten av alla existerande brottsrubriceringar kan motivera ingripande åtgärder.(138)

121. Sammanfattningsvis anser jag att den andra tolkningsfrågan – för den händelse att domstolen (i motsats till vad jag förordar) skulle finna att den påföljd som kan utdömas är det enda som ska beaktas vid bedömningen av huruvida ett brott är att anse som ”allvarligt” i den mening som avses i domstolens praxis som grundar sig på Digital Rights-domen – ska besvaras med att det står medlemsstaterna fritt att fastställa den för det berörda ändamålet relevanta lägsta påföljdsnivån, under förutsättning att de iakttar de krav som följer av unionsrätten, i synnerhet kravet på att ingrepp i de grundläggande rättigheter som garanteras i artiklarna 7 och 8 i stadgan ska göras endast i undantagsfall och vara förenliga med proportionalitetsprincipen.

V.      Förslag till avgörande

122. Mot bakgrund av det ovan anförda föreslår jag att EU-domstolen ska besvara tolkningsfrågorna från Audiencia Provincial de Tarragona (Provinsdomstolen i Tarragona, Spanien) enligt följande:

Artikel 15.1 i Europaparlamentets och rådets direktiv 2002/58/EG av den 12 juli 2002 om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation (direktiv om integritet och elektronisk kommunikation), i dess lydelse enligt Europaparlamentets och rådets direktiv 2009/136/EG av den 25 november 2009, jämförd med artiklarna 7, 8 och 52.1 i Europeiska unionens stadga om de grundläggande rättigheterna, ska tolkas så, att en åtgärd som under sådana omständigheter som är för handen i det nationella målet medger att de behöriga nationella myndigheterna i brottsbekämpande syfte får tillgång till identifikationsuppgifter om användare av telefonnummer som under en begränsad period har aktiverats från en viss mobiltelefon visserligen utgör ett ingrepp i de grundläggande rättigheter som garanteras av nämnda direktiv och av stadgan men att detta ingrepp inte är så allvarligt att möjlighet till sådan tillgång ska förbehållas fall där det berörda brottet är av allvarlig karaktär.


1      Originalspråk: franska.


2      Detta uttryck avser här uteslutande brott i straffrättslig bemärkelse.


3      Dom av den 8 april 2014 (C‑293/12 och C‑594/12, EU:C:2014:238), genom vilken domstolen ogiltigförklarade Europaparlamentets och rådets direktiv 2006/24/EG av den 15 mars 2006 om lagring av uppgifter som genererats eller behandlats i samband med tillhandahållande av allmänt tillgängliga elektroniska kommunikationstjänster eller allmänna kommunikationsnät och om ändring av direktiv 2002/58/EG (EUT L 105, 2006, s. 54) med hänvisning till att ”unionslagstiftaren vid antagandet av direktiv 2006/24 överskred de gränser som proportionalitetsprincipen uppställer mot bakgrund av artiklarna 7, 8 och 52.1 i stadgan” (punkt 69).


4      Dom av den 21 december 2016 (C‑203/15 och C‑698/15, EU:C:2016:970), i vilken domstolen fann att unionsrätten dels ”utgör hinder för en nationell lagstiftning som i brottsbekämpande syfte föreskriver en generell och odifferentierad lagring av samtliga trafikuppgifter och lokaliseringsuppgifter avseende samtliga abonnenter och registrerade användare och samtliga elektroniska kommunikationsmedel”, dels ”utgör hinder för en nationell lagstiftning som reglerar skydd och säkerhet för trafikuppgifter och lokaliseringsuppgifter och, i synnerhet, behöriga nationella myndigheters tillgång till lagrade uppgifter och som inte – inom ramen för brottsbekämpning – begränsar denna tillgång till enbart åtgärder som syftar till att bekämpa grov brottslighet, inte föreskriver att tillgången ska vara underkastad förhandskontroll av en domstol eller en oberoende förvaltningsmyndighet och inte kräver att uppgifterna ska lagras inom unionen” (punkterna 1 och 2 i domslutet).


5      EGT L 201, 2002, s. 37.


6      Europaparlamentets och rådets direktiv av den 25 november 2009 (EUT L 337, 2009, s. 11).


7      Europaparlamentets och rådets direktiv av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (EGT L 281, 1995, s. 31).


8      Särskilt i överensstämmelse med artikel 8 i Europakonventionen, som har följande lydelse: ”1. Var och en har rätt till skydd för sitt privat- och familjeliv, sitt hem och sin korrespondens. 2. Offentlig myndighet får inte ingripa i denna rättighet annat än med stöd av lag och om det i ett demokratiskt samhälle är nödvändigt med hänsyn till den nationella säkerheten, den allmänna säkerheten eller landets ekonomiska välstånd, till förebyggande av oordning eller brott, till skydd för hälsa eller moral eller till skydd för andra personers fri- och rättigheter.”


9      EGT L 108, 2002, s. 33.


10      BOE nr 251, 19 oktober 2007, s. 42517.


11      Detta framgår både av ingressen till lagen och av dess centrala bestämmelser, vilkas lydelse är analog med lydelsen av de motsvarande bestämmelserna i direktiv 2006/24.


12      BOE nr 239, 6 oktober 2015, s. 90192.


13      IMEI står för ”International Mobile Equipment Identity” (internationell mobilutrustningsidentitet). Det rör sig om en unik identifikationskod bestående av omkring femton siffror som brukar anges på insidan av mobiltelefonens batterifack, på kartongen och på inköpskvittot.


14      Enligt den spanska regeringen avsåg ansökan fyra telefonbolag, och det specificerades i ansökan att för den händelse att IMEI-koden hade utnyttjat ett telefonnät som tillhörde ett av bolagen men förvaltades av en virtuell mobiloperatör, skulle även uppgifter av det ovannämnda slaget som hade samlats in av den virtuella operatören lämnas ut.


15      Se de bestämmelser som återges i punkterna 13 och 14 i detta förslag till avgörande.


16      Se dom meddelad av Sala de lo Penal (straffrättsliga avdelningen) den 26 juli 2010 (nr 745/2010, ES:TS:2010:4200), som finns på följande internetadress: http://www.poderjudicial.es/search/contenidos.action?action=contentpdf&databasematch=TS&reference=5697924&links=&optimize=20100812&publicinterface=true.


17      Se punkt 15 och följande punkter i detta förslag till avgörande. Enligt den hänskjutande domstolen är denna reform uppenbart relevant för begäran om förhandsavgörande. Vid den muntliga förhandlingen angav den spanska regeringen att de nya reglerna var tillämpliga på det aktuella fallet.


18      Det vill säga terrorbrott och brott som har begåtts inom ramen för en kriminell organisation.


19      Se fotnot 4 i detta förslag till avgörande.


20      Se punkt 103 i Tele2-domen, där ”organiserad brottslighet och terrorism” nämns. Jag noterar att samma två exempel angavs i punkterna 24 och 51 i Digital Rights-domen, med en tydlig koppling till lydelsen av skälen 7–10 i det genom den domen ogiltigförklarade direktiv 2006/24.


21      Den hänskjutande domstolen hänvisade bland annat till punkt 60 i Digital Rights-domen, där EU-domstolen påtalade att ”det i direktiv 2006/24 inte föreskrivs något objektivt kriterium för att avgränsa behöriga nationella myndigheters tillgång till uppgifterna och deras senare användning för utredning, avslöjande och åtal av brott, vilka med hänsyn till det omfattande och allvarliga ingreppet i de grundläggande rättigheterna i artiklarna 7 och 8 i stadgan, kan anses tillräckligt allvarliga för att motivera ett sådant ingrepp. Direktiv 2006/24 inskränker sig i stället till att i artikel 1.1 göra en allmänt hållen hänvisning till allvarliga brott såsom de definieras i varje medlemsstats nationella lagstiftning”.


22      Se, bland annat, fotnoterna 3 och 4 i detta förslag till avgörande.


23      Som jag förstår saken är de ”innehavare eller användare” som avses i ansökan nödvändigtvis personer som har tecknat abonnemang, har registrerats eller åtminstone är identifierbara (se även fotnot 25 i detta förslag till avgörande), inte personer som har köpt ett SIM-kort utan att lämna några spår efter sig.


24      Se punkt 20 i detta förslag till avgörande.


25      ”Personuppgifter” definieras i artikel 2 led a i direktiv 95/46 (som det hänvisas till i artikel 2 i direktiv 2002/58) som ”varje upplysning som avser en identifierad eller identifierbar fysisk person”, varvid det anges att ”[e]n identifierbar person är en person som kan identifieras, direkt eller indirekt, framför allt genom hänvisning till ett identifikationsnummer eller till en eller flera faktorer som är specifika för hans fysiska, fysiologiska, psykiska, ekonomiska, kulturella eller sociala identitet”. Domstolen har slagit fast att ”respekten för privatlivet vad avser behandling av personuppgifter omfattar varje upplysning” som motsvarar den definitionen (se, bland annat, dom av den 17 oktober 2013, Schwarz, C‑291/12, EU:C:2013:670, punkt 26) och att definitionens tillämpningsområde är mycket stort (se, bland annat. dom av den 20 december 2017, Nowak, C‑434/16, EU:C:2017:994, punkt 33).


26      Enligt den spanska regeringen har de berörda personernas adress inte uttryckligen efterfrågats.


27      Exempelvis upplysningar om civilstånd, nationellt identitetskortsnummer, bankuppgifter eller eventuellt telefonabonnemang.


28      Sådana upplysningar skulle exempelvis kunna avse numren för inkommande eller utgående samtal, eller datum, längd och frekvens för och till och med innehåll i kommunikation. Den spanska regeringen har klargjort att polisen i det aktuella fallet uttryckligen angav att dess ansökan inte avsåg uppgifter som skyddas av konfidentialitet vid kommunikation.


29      Med andra ord kan en sådan anknytning uppkomma redan genom att den berörda mobiltelefonen aktiveras, oberoende av huruvida den som äger eller innehar telefonen därefter använder den i en specifik process för interpersonell kommunikation.


30      Se punkt 74 och följande punkter i detta förslag till avgörande.


31      Här ska det framhållas att jag rent allmänt inte anser att utlämnande av personuppgifter är förenat med mindre risker såvitt avser de grundläggande rättigheter som stadfästs i artiklarna 7 och 8 i stadgan än vad lagring av sådana uppgifter är. I själva verket kan faran ses som större, med tanke på att utlämnandet av lagrade uppgifter innebär att den potentiellt skadliga användning som uppgifterna kan bli föremål för kommer till konkret uttryck genom att de lämnas ut.


32      Den spanska regeringen har uppgett att spansk lag medger att uppgifter om en SIM-kortsinnehavares för- och efternamn och eventuellt adress lagras. Det förefaller i själva verket framgå av artiklarna 1 och 3.1 a.1 ii i lag 25/2007 (se punkt 10 och följande punkter i detta förslag till avgörande) att mobiltelefonoperatörer är skyldiga att lagra uppgifter som genereras eller behandlas i samband med att de tillhandahåller tjänster, bland annat abonnenters och registrerade användares namn och adress, eftersom sådana uppgifter kan krävas för att spåra och identifiera en kommunikationskälla. Jag erinrar om att likvärdiga krav angavs i artiklarna 3 och 5.1 a.1 ii i direktiv 2006/24, som införlivades med den spanska rättsordningen genom lag 25/2007.


33      En motsvarande omständighet framhölls också av domstolen i dom av den 29 januari 2008, Promusicae (C‑275/06, EU:C:2008:54, punkt 45 in fine).


34      Se, för ett liknande resonemang, dom av den 19 april 2012, Bonnier Audio m.fl. (C‑461/10, EU:C:2012:219, punkt 37).


35      Se, såvitt avser domstolens behörighet respektive svaret på den första tolkningsfrågan, särskilt punkt 43 och följande punkter respektive punkt 70 och följande punkter i detta förslag till avgörande.


36      Se, bland annat, dom av den 16 maj 2017, Berlioz Investment Fund (C‑682/15, EU:C:2017:373, punkt 49 och där angiven rättspraxis).


37      Se, bland annat, dom av den 6 oktober 2016, Paoletti m.fl. (C‑218/15, EU:C:2016:748, punkt 14 och följande punkter).


38      Se, bland annat, dom av den 1 december 2016, Daouidi (C‑395/15, EU:C:2016:917, punkt 63).


39      Enligt den spanska regeringen rör det sig om statliga myndigheters utövande av befogenheter att bestraffa (ius puniendi). Se förslag till avgörande av generaladvokaten Campos Sánchez-Bordona i målet Breyer (C‑582/14, EU:C:2016:339, punkterna 86–92).


40      De principer som anges i dessa båda bestämmelser nämns också i skäl 11 i direktiv 2002/58, där det hänvisas till artikel 15.1 i samma direktiv (se punkterna 6 och 7 i detta förslag till avgörande).


41      Se punkterna 72–81 i Tele2-domen. Angående detta, se även mitt förslag till avgörande i de förenade målen Tele2 Sverige m.fl. (C‑203/15 och C‑698/15, EU:C:2016:572, punkterna 88–97 och 124).


42      Se, särskilt, artikel 1.1 i lag 25/2007 och artikel 579.1 i straffprocesslagen (vilka återges i punkt 11 respektive punkt 17 i detta förslag till avgörande) och, såvitt avser nämnda leverantörers lagstadgade skyldigheter, punkt 40 i detta förslag till avgörande.


43      Med statens ”regala” verksamhet avses de uppgifter som är förbehållna staten eller dess beståndsdelar och inte får delegeras till privata organ. I synnerhet rör det sig om verksamhet med koppling till rättskipningen, polisen och försvarsmakten.


44      Exempelvis uppgifter som polis- eller domstolsmyndigheter behandlar i syfte att finna gärningsmän (såsom uppgifter som samlas in och analyseras i samband med att poliser utför telefonavlyssning på begäran av en undersökningsdomstol).


45      Exempelvis kontaktuppgifter för användare av en telefonitjänst vilka utnyttjas i en brottsutredning, såsom i det nationella målet.


46      Se beslutet om hänskjutande i det pågående målet Privacy International (C‑623/17), i vilket nämns bland annat domen av den 30 maj 2006, parlamentet/rådet och kommissionen (C‑317/04 och C‑318/04, EU:C:2006:346, punkterna 56–59), och dom av den 10 februari 2009, Irland/parlamentet och rådet (C‑301/06, EU:C:2009:68, punkterna 88 och 91), av vilka det framgår att behandlingen av uppgifter angående flygpassagerare som omfattas av den förstnämnda domen inte krävs för att tillhandahålla tjänster, utan för att säkerställa allmän säkerhet och därför inte omfattas av tillämpningsområdet för direktiv 95/46.


47      Eftersom det nationella målet i detta fall rör en överföring som inte är omfattande, utan riktad, och de överväganden som domstolen gjorde i målet Tele2 enligt min mening kan tillämpas i förevarande fall, såsom jag angett i punkt 46 i detta förslag till avgörande.


48      Se punkt 33 och följande punkter i detta förslag till avgörande.


49      Se, bland annat, artikel 1.2 i lag 25/2007 och artikel 579.1 i straffprocesslagen.


50      Vad polismyndigheterna har eftersträvat genom sin ansökan är ju inte att bestämma den geografiska positionen för den stulna telefonen eller för de personer som har haft denna i sin besittning, utan endast att fastställa dessa personers identitet.


51      Bestämmelserna i nämnda artikel 2 återges i punkt 8 i detta förslag till avgörande.


52      Sådana trafikuppgifter regleras av artikel 6 i direktiv 2002/58.


53      Se punkt 36 i detta förslag till avgörande.


54      ”Elektronisk kommunikationstjänst” definieras i artikel 2 led c i direktiv 2002/21 (där det fastställs ett gemensamt regelverk för bland annat sådana tjänster) som ”en tjänst som vanligen tillhandahålls mot ersättning och som helt eller huvudsakligen utgörs av överföring av signaler i elektroniska kommunikationsnät …”.


55      Att behandling av uppgifter kan vara nödvändig för fakturering av tjänsten, särskilt när det rör sig om abonnenter, är något som det hänvisas till i flera bestämmelser i direktiv 2002/58 (bland annat skälen 26, 27 och 29, artikel 2 andra stycket led g och artikel 6.2 och 6.5). Se även punkt 86 i Tele2-domen och där angiven rättspraxis.


56      Dessa bestämmelser avser ”behandling av personuppgifter inom sektorn för elektronisk kommunikation” generellt respektive ”behandling av personuppgifter i samband med att … elektroniska kommunikationstjänster tillhandahålls”.


57      Se skälen 2, 7 och 11 samt artiklarna 1.1 och 15.3 i direktiv 2002/58.


58      Se skäl 21 och artiklarna 1.1 och 5 i direktiv 2002/58; den sistnämnda artikeln reglerar specifikt frågan om konfidentialitet vid kommunikation.


59      Se dom av den 29 januari 2008, Promusicae (C‑275/06, EU:C:2008:54, punkterna 29–31 och 45).


60      Såvitt avser tolkningen av nämnda artikel 12, se bland annat dom av den 15 mars 2017, Tele2 (Netherlands) m.fl. (C‑536/15, EU:C:2017:214, punkt 33 och följande punkter samt där angiven rättspraxis).


61      Enligt nämnda skäl 15 kan ”[e]n kommunikation … innehålla alla slags uppgifter om namn, nummer eller adress från sändaren av en kommunikation eller användaren av en förbindelse för att genomföra kommunikationen”.


62      Begreppet uppgifter om en persons privatliv i den mening som avses i artikel 8 i Europakonventionen (vilken återges i fotnot 8 i detta förslag till avgörande) har av Europadomstolen getts en vid tolkning (se, bland annat, Europadomstolen, 13 februari 2018, Ivashchenko mot Ryssland, CE:ECHR:2018:0213JUD006106410, § 63 och följande punkter), något som EU-domstolen redan tidigare har påtalat (se dom av den 9 november 2010, Volker und Markus Schecke och Eifert, C‑92/09 och C‑93/09, EU:C:2010:662, punkt 59 och där angiven rättspraxis från Europadomstolen).


63      Se skälen 3, 11 och 24 i direktiv 2002/58.


64      Se, bland annat, Tele2-domen (punkt 120, där det görs en analogi med Europadomstolens praxis, och punkt 126 och följande punkter, där det erinras om unionens förhållande till Europakonventionen).


65      Medan direktiv 2002/58 reglerar en specifik sektor, nämligen sektorn för elektronisk kommunikation (se, bland annat, skälen 4 och 10 samt artikel 1.1 och 1.2 i det direktivet).


66      Här ska det erinras om att begreppet ”allvarliga brott” infördes såsom begränsande kriterium för medlemsstaternas åtgärder genom direktiv 2006/24 om lagring av uppgifter – det direktiv som ogiltigförklarades genom Digital Rights-domen – och därefter användes av EU-domstolen i Tele2-domen vid tolkningen av bestämmelserna i direktiv 2002/58 såvitt avsåg nationell lagstiftning om lagring av och tillgång till uppgifter (se även fotnoterna 3 och 4 i detta förslag till avgörande). Av detta följer enligt min bedömning att om EU-domstolen skulle finna att direktiv 2002/58 inte var tillämpligt i det här aktuella fallet, skulle den sakna anledning att göra den tolkning av nämnda begrepp som den hänskjutande domstolen har efterfrågat.


67      Se, bland annat, dom av den 16 juni 2015, Gauweiler m.fl. (C‑62/14, EU:C:2015:400, punkterna 24 och 25), och dom av den 22 februari 2018, Porras Guisado (C‑103/16, EU:C:2018:99, punkt 34).


68      Se även punkt 44 i detta förslag till avgörande.


69      Se även Tele2-domen (punkt 82).


70      Se även punkt 10 i detta förslag till avgörande. Jag noterar att en liknande situation rådde i ett av de båda mål som Tele2-domen avsåg (se punkterna 15 och 63 i nämnda dom).


71      Se, såvitt avser det sistnämnda förhållandet, punkt 45 och följande punkter i detta förslag till avgörande.


72      Se även punkt 71 i detta förslag till avgörande.


73      Se punkterna 36 och 52 i detta förslag till avgörande.


74      Såvitt avser avsaknaden av allvarlig karaktär hos det ingrepp som uppkommer i det aktuella fallet, se punkt 74 och följande punkter i detta förslag till avgörande.


75      Se, bland annat, Digital Rights-domen (punkt 26 och följande punkter) och yttrande 1/15 (Avtal om passageraruppgiftssamlingar mellan EU och Kanada) av den 26 juli 2017 (EU:C:2017:592, punkt 124 och där angiven rättspraxis).


76      Se punkterna 24, 41, 49 och 57–61 i Digital Rights-domen.


77      Se punkterna 41, 42, 51 och 59 i Digital Rights-domen.


78      I direktiv 2002/58 förekommer alltså endast uttrycket ”brott”, närmare bestämt i artikel 15.1 första meningen.


79      Väsentligen i skäl 9 i direktiv 2006/24 och bokstavligen i skäl 21 och artikel 1.1 i samma direktiv.


80      Se, såvitt avser begreppet ”allvarliga brott”, punkterna 105, 106 och 119 i Tele2-domen och, såvitt avser begreppet ”grov brottslighet”, punkterna 102, 103, 108, 110, 111, 114, 115, 118, 125 och 134 i samma dom.


81      Nämligen artikel 15.1 i direktiv 2002/58, enligt vilken medlemsstaterna får vidta åtgärder som innebär att undantag görs från principen om konfidentialitet vid kommunikation och konfidentialitet för därtill hörande trafikuppgifter under förutsättning att dessa åtgärder i ett demokratiskt samhälle är nödvändiga och lämpliga för de syften som anges i nämnda bestämmelse och står i proportion till dessa syften.


82      Här ska det påpekas att den andra tolkningsfrågan endast har ställts i andra hand.


83      Det framgår av fast rättspraxis att EU-domstolen, för att kunna ge den hänskjutande domstol ett användbart svar som gör det möjligt för den domstolen att avgöra det mål som den ska pröva, i förekommande fall ska omformulera de frågor som har hänskjutits (se, bland annat, dom av den 22 februari 2018, SAKSA, C‑185/17, EU:C:2018:108, punkt 28).


84      Den spanska regeringen har understrukit att de uppgifter som det nationella målet avser exempelvis inte gör det möjligt att kartlägga den berörda personen.


85      Se punkterna 35–37 i detta förslag till avgörande.


86      Här ska det erinras om att det i artikel 8 i direktiv 95/46 föreskrivs särskilda regler för behandling av ”personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening samt uppgifter som rör hälsa och sexualliv”. Såvitt avser begreppet känsliga uppgifter och behandlingen av sådana uppgifter, se Handbok om den europeiska lagstiftningen om skydd av personuppgifter, utarbetad under överinseende av Europeiska unionens byrå för grundläggande rättigheter och Europarådet, 2014, uppdaterad version åtkomlig via följande internetadress: https://www.coe.int/en/web/data-protection/home, s. 46 och följande sidor samt s. 94 och följande sidor.


87      Att vissa uppgifter kan vara känsliga nämns endast i skäl 25 i direktiv 2002/58, och det är inte möjligt att utifrån detta omnämnande dra slutsatsen att det skulle röra sig om ett allmänt krav.


88      Se kommissionens meddelande av den 13 september 1990 om skydd för personer med avseende på behandling av personuppgifter i gemenskapen och om informationssystems säkerhet (KOM(90) 314 slutlig, s. 20).


89      Se yttrande 1/15 (Avtal om passageraruppgiftssamlingar mellan EU och Kanada) av den 26 juli 2017 (EU:C:2017:592, punkt 124 och där angiven rättspraxis). Europadomstolen har dragit en liknande slutsats (se Europadomstolen, 16 februari 2000, Amann mot Schweiz, CE:ECHR:2000:0216JUD002779895, §§ 68–70).


90      Se punkt 68 i detta förslag till avgörande. Se även Europadomstolen, 8 februari 2018, Ben Faiza mot Frankrike (CE:ECHR:2018:0208JUD003144612, §§ 66–68), på tal om ett domstolsföreläggande om utlämnande av uppgifter som rörde hur en telefon hade använts.


91      Enligt följande: ”förebyggande, undersökning, avslöjande av och åtal för brott”.


92      Se, för ett liknande resonemang, yttrande 1/15 (Avtal om passageraruppgiftssamlingar mellan EU och Kanada) av den 26 juli 2017 (EU:C:2017:592, punkt 126 och där angiven rättspraxis).


93      Punkt 57 i Digital Rights-domen. Såvitt avser det berörda ingreppets särskilt allvarliga karaktär, se även punkterna 37, 39, 47, 48, 60 och 65 i samma dom.


94      Punkt 1 i domslutet i Tele2-domen.


95      I punkt 102 i Tele2-domen slog domstolen fast att ”[m]ed hänsyn till det allvarliga ingrepp i de berörda grundläggande rättigheterna som en nationell lagstiftning som i brottsbekämpande syfte föreskriver lagring av trafikuppgifter och lokaliseringsuppgifter utgör, kan endast bekämpning av grov brottslighet motivera en sådan åtgärd (se analogt, angående direktiv 2006/24, Digital Rights-domen, punkt 60 [där uttrycket ’med hänsyn till det omfattande och allvarliga ingreppet’ användes])” (mina kursiveringar). Samma resonemang förs också i punkt 115 i Tele2-domen på tal om tillgång till sådana uppgifter. Såvitt avser det berörda ingreppets särskilt allvarliga karaktär, se även punkterna 97 och 100 i samma dom.


96      I punkt 115 i Tele2-domen framhöll domstolen exempelvis att ”[d]å syftet med [en nationell lagstiftning varigenom undantag görs från principen om konfidentialitet vid elektronisk kommunikation] måste stå i proportion till hur allvarligt ingrepp i de grundläggande rättigheterna det innebär att ge tillgång till de lagrade uppgifterna, är det vid förebyggande, undersökning, avslöjande av och åtal för brott endast bekämpning av grov brottslighet som kan motivera en sådan tillgång” (mina kursiveringar).


97      Europadomstolen har vid upprepade tillfällen framhållit behovet av att göra en avvägning mellan å ena sidan en stats intresse av att skydda nationell säkerhet genom åtgärder som påverkar personuppgifter och å andra sidan graden av allvar hos ingreppet i en enskilds rätt till respekt för privatlivet – två faktorer som avgör hur stort utrymme staten har för skönsmässig bedömning, särskilt när den avser att förhindra eller beivra allvarliga brott (se Europadomstolen, 26 mars 1987, Leander mot Sverige, CE:ECHR:1987:0326JUD000924881, § 59, Europadomstolen, 26 juni 2006, Weber och Saravia mot Tyskland, CE:ECHR:2006:0629DEC005493400, §§ 106, 125 och 126, och Europadomstolen, 4 december 2015, Roman Zakharov mot Ryssland, CE:ECHR:2015:1204JUD004714306, §§ 232 och 244).


98      Se punkt 32 och följande punkter i detta förslag till avgörande.


99      Det ska noteras att domstolen i yttrande 1/15 (Avtal om passageraruppgiftssamlingar mellan EU och Kanada) av den 26 juli 2017 (EU:C:2017:592, särskilt punkterna 194 och 207–209) också bedömde det nödvändiga i de ingrepp som det planerade avtalet skulle innebära genom att se närmare på de i avtalet föreskrivna villkoren för användning och lagring av uppgifter, särskilt mot bakgrund av det specifika sammanhanget för dessa åtgärder, den närmare beskrivningen av dessa och deras varaktighet.


100      Så skulle däremot kunna vara fallet exempelvis för identitetsuppgifter om personer som offentliggörs i en tidningsartikel eller på en internetplats.


101      Se, för ett liknande resonemang, den konvention om it-relaterad brottslighet som den 23 november 2001 ingicks i Budapest under Europarådets överinseende och som har undertecknats av unionens samtliga medlemsstater (finns på följande internetadress: https://www.coe.int/en/web/conventions/full-list/-/conventions/treaty/185?_coeconventions_WAR_coeconventionsportlet_languageId=en_EN). Enligt artikel 18 i den konventionen ska det vidtas nödvändiga lagstiftningsåtgärder för att ge behöriga myndigheter möjlighet att förelägga tjänsteleverantörer att lämna ut abonnentuppgifter såsom ”identitet, postadress [och] telefonnummer” som de har i sin besittning.


102      Som den danska regeringen på goda grunder har framhållit, är det i grunden ingen skillnad mellan fall där polisen, som här, erhåller uppgifter om namn och adress för ägaren till ett SIM-kort som har använts i samband med ett brott och fall där polisen exempelvis erhåller information om ägaren till ett fordon som har använts för att begå ett brott.


103      Till skillnad från sådana synnerligen ingripande upplysningar, bland annat med avseende på spårning av kommunikation och kartläggning av de berörda personerna, som var i fråga i de mål som föranledde Digital Rights-domen (se punkterna 26–29 och 37) och Tele2-domen (se punkterna 97–100).


104      Se, bland annat, punkterna 90 och 115 i Tele2-domen.


105      Min kursivering.


106      Det vill säga för den händelse att EU-domstolen finner antingen att det ingrepp som är i fråga i det nationella målet är så allvarligt att det finns anledning att besvara den första tolkningsfrågan såsom den hänskjutande domstolen har formulerat denna eller att det i detta hänseende saknar betydelse att ingreppet i fråga inte är allvarligt.


107      Se punkt 71 i detta förslag till avgörande.


108      I artikel 1.1 i direktiv 2006/24 angavs att ”[s]yftet med detta direktiv [var] att harmonisera medlemsstaternas bestämmelser om de skyldigheter som leverantörer av … elektroniska kommunikationstjänster … har … för att säkerställa att uppgifterna är tillgängliga för utredning, avslöjande och åtal av allvarliga brott såsom de definieras av varje medlemsstat i den nationella lagstiftningen” (min kursivering). Se även skäl 21 i samma direktiv.


109      Se, bland annat, dom av den 15 september 2011, Dickinger och Ömer (C‑347/09, EU:C:2011:582, punkt 31), och dom av den 6 december 2011, Achughbabian (C‑329/11, EU:C:2011:807, punkt 33).


110      Se även punkt 112 i detta förslag till avgörande.


111      Såvitt avser den grova brottslighetens dynamiska karaktär, se mitt förslag till avgörande i de förenade målen Tele2 Sverige m.fl. (C‑203/15 och C‑698/15, EU:C:2016:572, punkt 214).


112      Detta kan illustreras med att kommissionen i en rapport av den 7 juli 2016 om kampen mot organiserad brottslighet angav att de föreskrivna påföljderna för det allvarliga brottet deltagande i en kriminell organisation varierar stort mellan medlemsstaterna: från tre månaders fängelse till sjutton års fängelse (se rapport från kommissionen till Europaparlamentet och rådet enligt artikel 10 i rådets rambeslut 2008/841/RIF av den 24 oktober 2008 om kampen mot organiserad brottslighet, COM(2016) 448 final, s. 7, punkt 2.1.4.1).


113      Som den danska regeringen har påtalat, tillämpar man i Danmark mindre stränga påföljder än i andra medlemsstater utan att detta betyder att brott betraktas som mindre allvarliga. Den föreskrivna påföljden för innehav av barnpornografiskt material är exempelvis ett års fängelse, medan samma gärning kan föranleda upp till tio års fängelse i andra medlemsstater. Detta gör det emellertid inte möjligt att ifrågasätta att detta brott till sin natur är särskilt allvarligt.


114      Se, bland annat, dom av den 22 maj 2012, I (C‑348/09, EU:C:2012:300, punkterna 21–23), där domstolen fann att ”medlemsstaterna enligt unionsrätten inte är skyldiga att tillämpa en enhetlig värdeskala vid bedömningen av om ett beteende kan anses strida mot allmän säkerhet” och att ”medlemsstaterna … fortfarande är fria att utifrån nationella behov, vilka kan variera från en medlemsstat till en annan och från en tidsperiod till en annan, bestämma vad hänsynen till allmän ordning och allmän säkerhet kräver, särskilt om de anförs till stöd för ett undantag från den grundläggande principen om fri rörlighet för personer” men att ”dessa hänsyn [bör] tolkas restriktivt, så att deras räckvidd inte kan bestämmas ensidigt av varje medlemsstat utan kontroll av Europeiska unionens institutioner”.


115      Se, för ett liknande resonemang, punkt 89 och följande punkter i Tele2-domen, som rör den principiella skyldigheten att säkerställa konfidentialiteten för kommunikation och därmed förbundna trafikuppgifter.


116      Här ska det tilläggas att den tjeckiska och den estniska regeringen har föreslagit ett svar som väsentligen innebär att det är möjligt att med ledning enbart av den föreskrivna påföljden avgöra vad som är ett tillräckligt allvarligt brott för att motivera ingrepp i de grundläggande rättigheterna enligt artiklarna 7 och 8 i stadgan men att det enligt deras uppfattning ändå bör stå varje enskild medlemsstat fritt att, i den mån som den anser detta nödvändigt, därutöver även tillämpa andra objektiva kriterier som avspeglar rättsordningens särskilda kännetecken.


117      Jag håller med den franska regeringen om att det är självklart att angrepp mot nationens grundläggande intressen, angrepp mot institutioner och kränkningar av den nationella territoriella integriteten till sin natur är sådana att de utgör ”grov brottslighet” men att även andra typer av brott bör hänföras till denna kategori, exempelvis brott mot personers liv, fysiska eller psykiska integritet och värdighet, egendomsbrott som medför en betydande förmögenhetsskada för brottsoffret och brott av seriell karaktär som vid upprepade tillfällen undergräver den allmänna ordningen. Såvitt avser den sistnämnda brottskategorin har den ungerska regeringen även tagit upp möjligheten att beakta fall där vissa typer av brott begås i exceptionellt stor utsträckning i ett visst land.


118      Se, såvitt avser denna sistnämnda faktor, även punkt 98 i detta förslag till avgörande.


119      Enligt artikel 8.2 i Europakonventionen kan ett sådant ingrepp vara motiverat endast om det har stöd i lag, avser ett eller flera av de legitima syften som räknas upp i nämnda bestämmelse och är nödvändigt – i ett demokratiskt samhälle – för att detta eller dessa syften ska kunna uppnås.


120      Europadomstolen har funnit att medborgarna lätt måste kunna förstå vilka de aktuella brotten är men att detta krav på förutsebarhet inte innebär att staterna måste upprätta en uttömmande förteckning över de brott som kan föranleda en sådan åtgärd (se, bland annat, Europadomstolen, 4 december 2015, Roman Zakharov mot Ryssland, CE:ECHR:2015:1204JUD004714306, § 244).


121      Se, bland annat, Europadomstolen, 26 juni 2006, Weber och Saravia mot Tyskland (CE:ECHR:2006:0629DEC005493400, §§ 106 och 115), Europadomstolen, 4 december 2008, Marper mot Förenade kungariket (CE:ECHR:2008:1204JUD003056204, §§ 104 och 119), och Europadomstolen, 30 maj 2017, Trabajo Rueda mot Spanien (CE:ECHR:2017:0530JUD003260012, §§ 39 och 40).


122      Se punkt 15 och följande punkter i detta förslag till avgörande.


123      Se punkt 93 och följande punkter i detta förslag till avgörande.


124      Här ska det erinras om att artikel 83.1 FEUF medger att det antas ”minimiregler om fastställande av brottsrekvisit och påföljder inom områden med särskilt allvarlig brottslighet med ett gränsöverskridande inslag” och att de berörda områdena räknas upp i nämnda bestämmelse.


125      Europaparlamentets och rådets direktiv av den 13 december 2011 om bekämpande av sexuella övergrepp mot barn, sexuell exploatering av barn och barnpornografi samt om ersättande av rådets rambeslut 2004/68/RIF (EUT L 335, 2011, s. 1), där det i artikel 3 föreskrivs påföljder på mellan minst ett års fängelse och minst tio års fängelse för de olika typer av ”[b]rott som har samband med sexuella övergrepp” som avses i nämnda artikel.


126      Europaparlamentets och rådets direktiv av den 15 mars 2017 om bekämpande av terrorism, om ersättande av rådets rambeslut 2002/475/RIF och om ändring av rådets beslut 2005/671/RIF (EUT L 88, 2017, s. 6), där det i artikel 15.3 föreskrivs frihetsstraff som inte får understiga åtta respektive femton år för de olika typer av ”[b]rott med anknytning till en terroristgrupp” som avses i artikel 4 i samma direktiv.


127      Se även punkt 101 i detta förslag till avgörande.


128      Se punkt 98 i detta förslag till avgörande.


129      Se, bland annat, skäl 11 och artikel 15.1 i direktiv 2002/58 samt punkterna 94–96 och 116 i Tele2-domen.


130      Se, bland annat, utöver de bestämmelser som avses i fotnoterna 125 och 126 i detta förslag till avgörande, Europaparlamentets och rådets direktiv (EU) 2016/681 av den 27 april 2016 om användning av passageraruppgiftssamlingar (PNR-uppgifter) för att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet (EUT L 119, 2016, s. 132), där ”grov brottslighet” i artikel 3 led 9 definieras genom en hänvisning till de ”brott som förtecknas i bilaga II vilka bestraffas med fängelse eller annan frihetsberövande åtgärd i minst tre år enligt en medlemsstats nationella rätt”.


131      Se punkt 97 i detta förslag till avgörande.


132      Se punkt 101 i detta förslag till avgörande.


133      En reform som har nämnts i punkt 15 och följande punkter i detta förslag till avgörande.


134      Se även punkt 115 i detta förslag till avgörande.


135      Se, för ett liknande resonemang, Europadomstolen, 18 maj 2010, Kennedy mot Förenade kungariket (CE:ECHR:2010:0518JUD002683905, §§ 34 och 159), och Europadomstolen, 4 december 2015, Roman Zakharov mot Ryssland (CE:ECHR:2015:1204JUD004714306, § 244).


136      Se punkt 106 i detta förslag till avgörande.


137      Se, bland annat, Europadomstolen, 6 september 1978, Klass m.fl. mot Tyskland (CE:ECHR:1978:0906JUD000502971, § 49), och Europadomstolen, 18 maj 2010, Kennedy mot Förenade kungariket (CE:ECHR:2010:0518JUD002683905, §§ 153 och 154).


138      Se Europadomstolen, 10 februari 2009, Iordachi m.fl. mot Moldavien (CE:ECHR:2009:0210JUD002519802, § 44), där den moldaviska lagstiftningen befanns brista i tydlighet bland annat på grund av att över hälften av brottsrubriceringarna i strafflagen ingick bland de brott som kunde motivera telefonavlyssning. Se även Europadomstolen, 4 december 2015, Roman Zakharov mot Ryssland (CE:ECHR:2015:1204JUD004714306, § 248).