Language of document : ECLI:EU:C:2018:788

Неокончателна редакция

РЕШЕНИЕ НА СЪДА (голям състав)

2 октомври 2018 година(*)

„Преюдициално запитване — Електронни комуникации — Обработка на лични данни — Директива 2002/58/ЕО — Членове 1 и 3 — Приложно поле — Поверителност на електронните комуникации — Защита — Член 5 и член 15, параграф 1 — Харта на основните права на Европейския съюз — Членове 7 и 8 — Данни, обработвани в рамките на предоставянето на електронни съобщителни услуги — Достъп на националните органи до данните за целите на разследване — Ниво на тежест на престъплението, което може да обоснове достъпа до данните“

По дело C‑207/16

с предмет преюдициално запитване, отправено на основание член 267 ДФЕС от Audiencia Provincial de Tarragona (съд на провинция Тарагона, Испания) с акт от 6 април 2016 г., постъпил в Съда на 14 април 2016 г., в рамките на производство по дело, образувано по протест на

Ministerio Fiscal

СЪДЪТ (голям състав),

състоящ се от: K. Lenaerts, председател, A. Tizzano, заместник-председател, R. Silva de Lapuerta, T. von Danwitz (докладчик), J. L. da Cruz Vilaça, C. G. Fernlund и C. Vajda, председатели на състави, E. Juhász, A. Borg Barthet, C. Toader, M. Safjan, D. Šváby, M. Berger, E. Jarašiūnas и E. Regan, съдии,

генерален адвокат: H. Saugmandsgaard Øe,

секретар: L. Carrasco Marco, администратор,

предвид изложеното в писмената фаза на производството и в съдебното заседание от 29 януари 2018 г.,

като има предвид становищата, представени:

–        за Ministerio Fiscal, от E. Tejada de la Fuente,

–        за испанското правителство, от M. Sampol Pucurull, в качеството на представител,

–        за чешкото правителство, от M. Smolek, J. Vláčil и A. Brabcová, в качеството на представители,

–        за датското правителство, от J. Nymann-Lindegren и M. Wolff, в качеството на представители,

–        за естонското правителство, от N. Grünberg, в качеството на представител,

–        за Ирландия, от M. Browne, L. Williams, E. Creedon и A. Joyce, в качеството на представители, подпомагани от E. Gibson, BL,

–        за френското правителство, от D. Colas, E. de Moustier и E. Armoet, в качеството на представители,

–        за латвийското правителство, от I. Kucina и J. Davidoviča, в качеството на представители,

–        за унгарското правителство, от M. Fehér и G. Koós, в качеството на представители,

–        за австрийското правителство, от C. Pesendorfer, в качеството на представител,

–        за полското правителство, от B. Majczyna, D. Lutostańska и J. Sawicka, в качеството на представители,

–        за правителството на Обединеното кралство, от S. Brandon и C. Brodie, в качеството на представители, подпомагани от C. Knight, barrister, и G. Facenna, QC,

–        за Европейската комисия, от I. Martínez del Peral, P. Costa de Oliveira, R. Troosters и D. Nardi, в качеството на представители,

след като изслуша заключението на генералния адвокат, представено в съдебното заседание от 3 май 2018 г.,

постанови настоящото

Решение

1        Преюдициалното запитване се отнася по същество до тълкуването на член 15, параграф 1 от Директива 2002/58/ЕО на Европейския парламент и на Съвета от 12 юли 2002 година относно обработката на лични данни и защита на правото на неприкосновеност на личния живот в сектора на електронните комуникации (Директива за правото на неприкосновеност на личния живот и електронни комуникации) (ОВ L 201, 2002 г., стр. 37; Специално издание на български език, 2007 г., глава 13, том 36, стр. 63), изменена с Директива 2009/136/ЕО на Европейския парламент и на Съвета от 25 ноември 2009 г. (ОВ L 337, 2009 г., стр. 11) (наричана по-нататък „Директива 2002/58“), във връзка с членове 7 и 8 от Хартата на основните права на Европейския съюз (наричана по-нататък „Хартата“).

2        Запитването е отправено в рамките на производство, образувано по протест на Ministerio Fiscal (прокуратурата на Испания) срещу решението на Juzgado de Instrucción n° 3 de Tarragona (съдия-следовател № 3, Тарагона, Испания, наричан по-нататък „съдия-следователят“), с което се отказва разрешаването на достъп на съдебната полиция до лични данни, запазени от доставчици на електронни съобщителни услуги.

 Правна уредба

 Правото на Съюза

 Директива 95/46

3        Съгласно член 2, буква б) от Директива 95/46/ЕО на Европейския парламент и на Съвета от 24 октомври 1995 година за защита на физическите лица при обработването на лични данни и за свободното движение на тези данни (ОВ L 281, 1995 г., стр. 31; Специално издание на български език, 2007 г., глава 13, том 17, стр. 10) по смисъла на посочената директива „обработване на лични данни“ означава „всяка операция или набор от операции, извършвани или не с автоматични средства, прилагани към личните данни, като събиране, запис, организиране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друга форма на предоставяне на данните, актуализиране или комбиниране, блокиране, изтриване или унищожаване“.

4        Член 3 от посочената директива е озаглавен „Приложно поле“ и предвижда:

„1.      Настоящата директива се прилага към пълната или частична обработка на лични данни с автоматизирани средства, както и към обработката със средства, които не са автоматизирани, на лични данни, съставляващи част от файлова система или които са предназначени да съставляват част от файлова система.

2.      Настоящата директива не се прилага за обработването на лични данни:

–      при извършване на дейности, извън приложното поле на правото на Общността, например дейностите, предвидени в дял V и дял VI от Договора за Европейския съюз, и във всички случаи при дейности по обработването на данни, отнасящи се до обществената сигурност, отбраната, държавната сигурност (включително икономическото благосъстояние на държавата, когато процесът на обработка е свързани с държавната сигурност) и при дейности на държавата в областта на наказателното право,

–      когато се извършва от физическо лице в хода на предимно лични или домашни занимания“.

 Директива 2002/58

5        Съображения 2, 11, 15 и 21 от Директива 2002/58 гласят:

„(2)      Настоящата директива се стреми да зачита основните права и да спазва признатите принципи, по-специално от [Хартата]. По-специално настоящата директива се стреми да осигури пълно зачитане на правата, предвидени в членове 7 и 8 от [нея].

[…]

(11)      Както Директива [95/46], настоящата директива не се отнася до въпросите за защита на основните права и свободи свързани с дейности, които не се [уреждат] от законодателството на Общността. Затова тя не променя съществуващия баланс между правото на индивида на неприкосновеност на личния живот и възможността на държавите членки да предприемат мерки, съгласно член 15, параграф 1 от настоящата директива, необходими за защита на обществената сигурност, отбраната, сигурността на държавата (включително икономическото благополучие на държавата, когато дейностите се отнасят до въпроси по сигурността на държавата) и прилагане в изпълнение на наказателното право. Следователно, настоящата директива не засяга възможността на държавите членки да провеждат законно прихващане на електронни комуникации или да предприемат други мерки, ако е необходимо за някои от тези цели и в съответствие с Европейската конвенция за защита на човешките права и основните свободи, съгласно тълкуването на решенията на Европейския съд за човешките права. Такива мерки трябва да бъдат уместни, строго пропорционални на предвидената цел и необходими в едно демократично общество, и следва да бъдат предмет на съответна защита в съответствие с Европейската конвенция за защита на човешките права и основните свободи.

[…]

(15)      Комуникацията може да включва всякаква информация относно наименование, номериране или адресиране на информация, предоставена от изпращача на комуникация или потребителя на връзка, за да извърши комуникацията. Данните за трафика могат да включват всякакво преобразуване на тази информация от мрежата, през която комуникацията се предава за целите на осъществяване на предаването. […]

[…]

(21)      Трябва да се вземат мерки, за да се предотврати неоторизираният достъп до съобщения, за да се защити конфиденциалният характер на комуникациите, включително както на съдържанията, така и на всякакви данни, свързани с такива съобщения, посредством публични комуникационни мрежи и налични електронни комуникационни услуги. Националното законодателство в някои държави членки забранява само преднамерения неразрешен достъп до съобщения.

6        Член 1 от Директива 2002/58 е озаглавен „Обхват и цел“ и гласи:

„1.      Настоящата директива предвижда да се хармонизират националните разпоредби, необходими за осигуряване на еднаква степен на защита на основните права и свободи, и по-специално правото на неприкосновеност на личния живот и правото на поверителност по отношение на обработката на лични данни в електронно съобщителния сектор и да се осигури свободно движение на такива данни и оборудване за електронни съобщения и услуги в Общността.

2.      Разпоредбите на настоящата директива конкретизират и допълват Директива [95/46] за целите, упоменати в параграф 1. Освен това те [предвиждат] защита на легитимните интереси на абонати, които са юридически лица.

3.      Настоящата директива не се прилага за дейности, които попадат извън обхвата на Договора за създаване на Европейската общност, като тези обхванати от дялове V и VI от Договора за Европейския съюз, и във всички случаи за дейности, отнасящи се до обществената сигурност, отбраната, сигурността на държавата (включително икономическото благосъстояние на държавата, когато дейностите се отнасят до проблемите за сигурността на държавата) и дейностите на държавата в областта на наказателното право“.

7        Съгласно член 2 от Директива 2002/58, озаглавен „Дефиниции“:

„Освен ако не е предвидено друго, се прилагат дефинициите от Директива [95/46] и от Директива 2002/21/ЕО на Европейския парламент и на Съвета от 7 март 2002 година относно обща[та регулаторна рамка за електронните съобщителни] мрежи и услуги (Рамкова директива) [ОВ L 108, 2002 г., стр. 33; Специално издание на български език, 2007 г., глава 13, том 35, стр. 195)].

Прилагат се също следните дефиниции:

[…]

б)      „данни за трафик“ означава всякакви данни, обработени с цел пренасяне на комуникация през електронни комуникационни мрежи или за изготвяне на сметка за това;

в)      „данни за местонахождение“ означава всякакви данни, обработени в електронна съобщителна мрежа или чрез електронна съобщителна услуга, показващи географското местоположение на крайното оборудване на ползвателя на обществено достъпни електронни съобщителни услуги;

г)      „комуникация“ означава всяка информация, обменена или пренесена между определен брой страни с помощта на публично достъпни електронни комуникационни услуги. Това не включва информация, пренасяна като част от услуга за публично радио-разпръскване през електронни комуникационни мрежи с изключение на информацията, която може да бъде свързана с идентифицируем абонат или потребител, получаващ информацията;

[…]“.

8        Член 3 от Директива 2002/58 е озаглавен „Обхванати услуги“ и предвижда:

„Настоящата директива се прилага при обработката на лични данни във връзка с предоставянето на обществено достъпни електронни съобщителни услуги в обществени съобщителни мрежи в Общността, включително обществени съобщителни мрежи, поддържащи събиране на данни и устройства за идентификация“.

9        Съгласно член 5 от Директива 2002/58, озаглавен „Конфиденциалност на комуникациите“:

„1.      Държавите членки гарантират конфиденциалност на съобщенията и свързания трафик на данни през публични комуникационни мрежи и публично достъпни електронни комуникационни услуги, чрез националното си законодателство. По-специално те забраняват слушане, записване, съхранение и други видове подслушване или наблюдение на съобщения и свързаните данни за трафика от страна на лица, различни от потребители без съгласието на заинтересованите потребители, с изключение на законно упълномощени да извършват това в съответствие с член 15 параграф 1. […]

[…]

3.       Държавите членки гарантират, че съхраняването на информация или получаването на достъп до информация, вече съхранявана в крайното оборудване на абоната или ползвателя, е позволено само при условие че съответният абонат или ползвател е дал своето съгласие след получаване на предоставена ясна и изчерпателна информация в съответствие с Директива [95/46], inter alia, относно целите на обработката.[…]“.

10      Член 6 от Директива 2002/58 е озаглавен „Данни за трафик“ и гласи:

„1.      Данни за трафик, отнасящи се до абонати и потребители, обработени и съхранени от доставчика на публични комуникационни мрежи или публично достъпни електронни комуникационни услуги, трябва да бъдат изтрити или да се направят анонимни, когато не са необходими повече за целите на предаване на комуникация, без да се накърнява параграф 2, 3 и 5 от настоящия член и член 15, параграф 1.

2.       Могат да бъдат обработени данни за трафик, необходими за целите на изготвяне на сметката на абоната и плащания при взаимна връзка. Такава обработка е допустима само до края на периода, през който сметката може законно да бъде оспорена или плащането търсено.

[…]“.

11      Член 15 от посочената директива е озаглавен „Приложение на някои разпоредби от Директива [95/46]“ и параграф 1 от него предвижда:

„Държавите членки могат да приемат законодателни мерки, за да ограничат обхвата на правата и задълженията, предвидени в член 5, член 6, член 8, параграф 1, 2, 3, и 4 и член 9 от настоящата директива, когато такова ограничаване представлява необходима, подходяща и пропорционална мярка в рамките на демократично общество, за да гарантира национална сигурност (т.е държавна сигурност), отбрана, обществена безопасност и превенцията, разследването, разкриването и преследването на [престъпления] или неразрешено използване на електронна комуникационна система, както е посочено в член 13, параграф 1 от Директива [95/46].. В тази връзка, държавите членки могат, inter alia, да одобрят законодателни мерки, предвиждащи съхранението на данни за ограничен период, оправдани на основанията, изложени в настоящия параграф. Всички мерки, упоменати в настоящия параграф, трябва да бъдат в съответствие с общите принципи на законодателството на Общността, включително онези, упоменати в член 6, параграф 1 и 2 от Договора за Европейския съюз“.

 Испанското право

 Закон 25/2007

12      Член 1 от Ley 25/2007 de conservación de datos relativos a las comunicaciones electrónicas y a la redes públicas de comunicaciones (Закон 25/2007 за запазването на данни относно електронните съобщения и обществените съобщителни мрежи) от 18 октомври 2007 г. (BOE, бр. 251 от 19 октомври 2007 г., стр. 42517) предвижда:

„1.      Този закон урежда задължението на операторите да запазват данните, създадени или обработени при предоставянето на електронни съобщителни услуги или на обществени съобщителни мрежи, както и задължението за предаване на тези данни на оправомощените лица, когато са поискани, при наличие на съответното разрешение от съда за целите на разкриването, разследването и преследването на тежки престъпления по смисъла на Наказателния кодекс или на специалните наказателни закони.

2.      Този закон се прилага за данните за трафик и данните за местоположението както на физическите, така и на юридическите лица и за съпътстващите ги данни, необходими за идентифицирането на абоната или регистрирания потребител.

[…]“.

 Наказателен кодекс

13      Член 13, параграф 1 от Ley Orgánica 10/1995 del Código Penal (Наказателен кодекс) от 23 ноември 1995 г. (BOE, бр. 281 от 24 ноември 1995, стр. 33987) гласи следното:

„Тежки са престъпленията, за които законът предвижда тежко наказание“.

14      Съгласно член 33 от този кодекс:

„1.      В зависимост от естеството и продължителността им наказанията са тежки, средно тежки и леки.

2.      Тежки наказания са:

a)      доживотен затвор с право на замяна,

б)      лишаване от свобода за повече от пет години,

[…]“.

 Наказателно-процесуален кодекс

15      След настъпването на фактите по главното производство Ley de Enjuiciamiento Criminal (Наказателно-процесуален кодекс) е изменен с Ley Orgánica 13/2015 de modificación de la Ley de Enjuiciamiento Criminal para el fortalecimiento de las garantías procesales y la regulación de las medidas de investigación tecnológica (Устройствен закон 13/2015 за изменение на Наказателно-процесуалния кодекс с цел увеличаване на процесуалните гаранции и уреждане на мерките за разследване с използване на новите технологии) от 5 октомври 2015 г. (BOE, бр. 239 от 6 октомври 2015 г., стр. 90192).

16      Посоченият закон влиза в сила на 6 декември 2015 г. С него в Наказателно-процесуалния кодекс се въвежда уредба на достъпа до данните за телефонни и телематични съобщения, запазени от доставчиците на електронни съобщителни услуги.

17      Член 579, параграф 1 от Наказателно-процесуалния кодекс в редакцията след измененията с Устройствен закон 13/2015 предвижда:

„1.      Съдът може да разреши прихващането на частната пощенска и телеграфна кореспонденция, включително по факс, чрез услугата Burofax, както и международните пощенски записи, които заподозреният изпраща или получава, а също и тяхното отваряне и проучване, ако са налице улики, даващи основание да се счита, че това ще даде възможност за разкриването или проверката на факт или обстоятелство, от значение по делото, ако се разследва някое от следните престъпления:

1°)      умишлено престъпление, което се наказва с лишаване от свобода с максимален срок най-малко три години;

2°)      престъпление, извършено в рамките на престъпна група или организация;

3°)      престъплението „тероризъм“.

[…]“.

18      Член 588ter j от посочения кодекс гласи:

„1.      Електронните данни, които се съхраняват от доставчиците на услуги или от лицата, които осъществяват предаването на съобщения, в съответствие със законодателството относно съхраняването на данни за електронните съобщения или по тяхна инициатива поради търговски или други съображения, и които са свързани с процесите в областта на съобщенията, могат да бъдат приобщени към материалите по делото само с разрешение от съда.

2.      Когато запознаването с тези данни е от съществено значение за разследването, от компетентния съд трябва да се поиска разрешение за получаване на информация от автоматизираните архиви на доставчиците на услуги, включително за кръстосано или интелигентно търсене на данни, като следва да се уточнят естеството на исканите данни и причините, обосноваващи тяхното предаване“.

 Главното производство и преюдициалните въпроси

19      Г‑н Hernández Sierra е подал жалба в полицията за извършен на 16 февруари 2015 г. грабеж, по време на който е претърпял наранявания и са му били отнети портфейлът и мобилният му телефон.

20      На 27 февруари 2015 г. съдебната полиция сезира Juzgado de Instrucción n° 3 de Tarragona с искане да се разпореди на различни доставчици на електронни съобщителни услуги да предоставят телефонните номера, активирани между 16 и 27 февруари 2015 г. с кода за международната идентификация на мобилното оборудване (наричан по-нататък „кодът IMEI“) на откраднатия мобилен телефон, и личните данни във връзка със самоличността на притежателите или ползвателите на телефонните номера, съответстващи на активираните с посочения код IMEI СИМ карти, като името и фамилия им, и според случая, техния адрес.

21      С определение от 5 май 2015 г. съдия-следователят отхвърля това искане. От една страна, той приема, че исканата мярка не била пригодна за разкриване на извършителите на престъплението. От друга страна, той отхвърлил искането, тъй като Закон 25/2007 ограничавал предаването на запазени от телефонните оператори данни до тежките престъпления. Съгласно испанския наказателен кодекс тежки били престъпленията, които се наказват с лишаване от свобода над пет години — а разглежданите в главното производство деяния, изглежда, не съставляват такова престъпление.

22      Прокуратурата протестира това определение пред запитващата юрисдикция, тъй като счита, че предоставянето на разглежданите данни е трябвало да бъде разрешено поради естеството на деянията и на решение на Tribunal Supremo (Върховен съд, Испания) от 26 юли 2010 г. по сходно дело.

23      Запитващата юрисдикция изтъква, че след постановяването на посоченото определение испанският законодател е изменил Наказателно-процесуалния кодекс, като приел Устройствен закон 13/2015. Посоченият закон, който бил релевантен за изхода на главното производство по протеста, въвел два нови алтернативни критерия за определяне на степента на тежест на дадено престъпление. От една страна, ставало въпрос за материалноправен критерий, очертан посредством действия или бездействия, съответстващи на определени наказателноправни квалификации, с конкретна и тежка наказателна противоправност, които са особено опасни за индивидуалните и колективните правни интереси. От друга страна, националният законодател използвал формално-нормативен критерий, основан на наказанието, предвидено за съответното престъпление. Понастоящем предвиденият в него праг от три години лишаване от свобода обаче се отнасял за по-голямата част от престъпленията. Запитващата юрисдикция счита освен това, че държавният интерес за наказване на противоправните деяния не би могъл да легитимира несъразмерното засягане на основни права на човека, заложени в Хартата.

24      В това отношение посочената юрисдикция приема, че в главното производство директиви 95/46 и 2002/58 установявали връзка с Хартата. Ето защо съгласно член 51, параграф 1 от Хартата разглежданата в главното производство национална правна уредба попадала в нейния обхват, независимо от обявяването за невалидна на Директива 2006/24/ЕО на Европейския парламент и на Съвета от 15 март 2006 година за запазване на данни, създадени или обработени, във връзка с предоставянето на обществено достъпни електронни съобщителни услуги или на обществени съобщителни мрежи и за изменение на Директива 2002/58/EО (ОВ L 105, 2006 г., стр. 54; Специално издание на български език, 2007 г., глава 13, том 53, стр. 51) с решение от 8 април 2014 г., Digital Rights Ireland и др. (C‑293/12 и C‑594/12, EU:C:2014:238).

25      В посоченото решение Съдът признал, че запазването и предоставянето на данни относно трафика представляват особено тежки намеси в правата, гарантирани в членове 7 и 8 от Хартата, и установил критерии за преценка по отношение на зачитането на принципа на пропорционалност, сред които е тежестта на престъпленията, обосноваващи запазването на тези данни и достъпа до тях за целите на разследването.

26      При тези обстоятелства Audiencia Provincial de Tarragona (съд на провинция Тарагона) решава да спре производството и да постави на Съда следните преюдициални въпроси:

„1)      Може ли достатъчната тежест на престъплението като критерий, обосноваващ засягането на признатите в членове 7 и 8 от [Хартата] основни права, да се определи единствено с оглед на наказанието, което може да се наложи за разследваното престъпление, или е необходимо освен това да се установи, че с престъпното деяние се увреждат в особена степен индивидуални и/или колективни правни интереси?

2)      Евентуално, ако определянето на тежестта на престъплението с оглед единствено на наказанието, което може да се наложи, отговаря на конституционните принципи на Съюза, приложени от Съда на ЕС в решението му [от 8 април 2014 г., Digital Rights Ireland и др., C‑293/12 и C‑594/12, EU:C:2014:238] като критерии за строг контрол на Директива [2002/58], то какъв следва да е минималният праг за наказанието? Допустимо ли е по общ начин да се предвиди праг от три години лишаване от свобода?“.

 Производството пред Съда

27      С решение на председателя на Съда от 23 май 2016 г. производството пред Съда е спряно до постановяване на решението по съединени дела Tele2 Sverige и Watson и др., C‑203/15 и C‑698/15 (решение от 21 декември 2016 г., EU:C:2016:970, наричано по-нататък „решение Tele2 Sverige и Watson и др.“). След постановяване на посоченото решение до запитващата юрисдикция е отправен въпрос дали възнамерява да поддържа, или да оттегли своето преюдициално запитване. В отговор, с писмо от 30 януари 2017 г., постъпило в Съда на 14 февруари 2017 г., запитващата юрисдикция уведомява, че счита, че посоченото решение не ѝ дава възможност да направи достатъчно сигурна преценка на разглежданата в главното производство национална уредба с оглед на правото на Съюза. Вследствие на това производството пред Съда е възобновено на 16 февруари 2017 г.

 По преюдициалните въпроси

28      Испанското правителство изтъква, от една страна, че Съдът не е компетентен да отговори на преюдициалното запитване и от друга страна, че запитването е недопустимо.

 По компетентността на Съда

29      В писменото си становище, представено пред Съда, испанското правителство излага виждането — споделено от правителството на Обединеното кралство в съдебното заседание — че Съдът не е компетентен да отговори на преюдицалното запитване на основание, че съгласно член 3, параграф 2, първо тире от Директива 95/46 и член 1, параграф 3 от Директива 2002/58 главното производство е изключено от приложното поле на двете директиви. Ето защо това дело не попадало в обхвата на правото на Съюза, поради което съгласно член 51, параграф 1 от Хартата тя не се прилагала.

30      Според испанското правителство в решение Tele2 Sverige и Watson и др. Съдът безспорно е приел, че законодателна мярка, която урежда достъпа на националните органи до запазените от доставчиците на електронни съобщителни услуги данни, попада в приложното поле на Директива 2002/58. В настоящия случай обаче ставало въпрос за искане за достъп на публичен орган — на основание на съдебно решение в рамките на наказателно производство — до лични данни, запазени от доставчиците на електронни съобщителни услуги. Въз основа на това испанското правителство прави извода, че посоченото искане за достъп спада към упражняването на ius puniendi от страна на националните органи, поради което представлявало дейност на държавата в областта на наказателното право, която попада в обхвата на изключението, предвидено в член 3, параграф 2, първо тире от Директива 95/46 и член 1, параграф 3 от Директива 2002/58.

31      С оглед на разглеждането на възражението за некомпетентност следва да се отбележи, че член 1, параграф 1 от Директива 2002/58 гласи, че тази директива предвижда да се хармонизират националните разпоредби, необходими за осигуряване на еднаква степен на защита на основните права и свободи, и по-специално правото на неприкосновеност на личния живот и правото на поверителност по отношение на обработката на лични данни в електронно съобщителния сектор. Съгласно член 1, параграф 2 посочената директива конкретизира и допълва Директива 95/46 за целите, упоменати в посочения параграф 1.

32      Член 1, параграф 3 от същата директива изключва от приложното ѝ поле „дейностите на държавата“ в определени области, а именно в тези на наказателното право, обществената сигурност, отбраната, сигурността на държавата, включително икономическото благосъстояние на държавата, когато дейностите се отнасят до сигурността на държавата (решение Tele2 Sverige и Watson и др., т. 69 и цитираната съдебна практика). Примерно посочените там дейности във всички случаи са присъщи на държавите или на държавните органи дейности, които са извън областите на дейност на частноправните субекти (вж. по аналогия във връзка с член 3, параграф 2, първо тире от Директива 95/46, решение от 10 юли 2018 г., Jehovan Todistajat, C‑25/17, EU:C:2018:551, т. 38 и цитираната съдебна практика).

33      Що се отнася до член 3 от Директива 2002/58, той предвижда, че тя се прилага при обработката на лични данни във връзка с предоставянето на обществено достъпни електронни съобщителни услуги в обществени съобщителни мрежи в Съюза, включително обществени съобщителни мрежи, поддържащи събиране на данни и устройства за идентификация (наричани по-нататък „електронни съобщителни услуги“). Споменатата директива трябва следователно да се разглежда като уреждаща дейността на доставчиците на такива услуги (решение Tele2 Sverige и Watson и др., т. 70)

34      Във връзка с член 15, параграф 1 от Директива 2002/58 Съдът вече е приел, че законодателните мерки по тази разпоредба попадат в приложното поле на посочената директива, независимо че се отнасят до дейности, които са присъщи на държавите или на държавните органи и са чужди на областите на дейност на частноправните субекти, и независимо че целите, които трябва да се преследват с такива мерки, по същество съвпадат с целите, които се преследват с дейностите по член 1, параграф 3 от Директива 2002/58. Всъщност член 15, параграф 1 от посочената директива логично предполага, че посочените в нея национални мерки попадат в приложното поле на същата директива, тъй като тя изрично допуска държавите членки да ги приемат само при спазване на предвидените в нея условия. Освен това законодателните мерки по член 15, параграф 1 от Директива 2002/58 регламентират — за посочените в същата разпоредба цели — дейността на доставчиците на електронни съобщителни услуги (вж. в този смисъл решение Tele2 Sverige и Watson и др., т. 72—74).

35      Съдът стига до заключението, че посоченият член 15, параграф 1, във връзка с член 3 от Директива 2002/58 трябва да се тълкува в смисъл, че в приложното поле на посочената директива попадат не само законодателна мярка, с която на доставчиците на електронни съобщителни услуги се налага задължение за запазване на данни за трафик и на данни за местонахождение, а и законодателна мярка, която се отнася до достъпа на националните органи до запазените от тези доставчици данни (вж. в този смисъл решение Tele2 Sverige и Watson и др., т. 75 и 76).

36      Всъщност гарантираната с член 5, параграф 1 от Директива 2002/58 защита на поверителността на електронните съобщения и на свързаните с тях данни за трафик се отнася за мерки, приети от всяко различно от ползвателите лица, независимо дали става въпрос за частноправни субекти, или образувания, или пък за държавни структури. Както се потвърждава в съображение 21 от посочената директива, същата има за цел да се предотврати „неоторизираният достъп“ до съобщения, включително и до „всякакви данни, свързани с такива съобщения“, за да се защити поверителността на електронните съобщения (решение Tele2 Sverige и Watson и др., т. 77).

37      Следва да се добави, че законодателните мерки, които налагат на доставчиците на електронни съобщителни услуги задължението да запазват лични данни или да предоставят на компетентните национални органи достъп до тези данни, по необходимост предполагат обработване на посочените данни от доставчиците (вж. в този смисъл решение Tele2 Sverige и Watson и др., т. 75 и 78). Доколкото тези мерки уреждат дейностите на посочените доставчици, те следователно не могат да се приравнят на присъщи на държавите дейности, посочени в член 1, параграф 3 от Директива 2002/58.

38      В настоящия случай, както следва от акта за преюдициално запитване, разглежданото в главното производство искане, с което съдебната полиция иска разрешение от съда, за да получи достъп до лични данни, запазени от доставчици на електронни съобщителни услуги, е направено на основание Закон 25/2007, разглеждан във връзка с Наказателно-процесуалния кодекс — в редакцията, приложима към фактите в главното производство — който урежда достъпа на публични органи до такива данни. Посочената правна уредба може да позволи на съдебната полиция — в случай че е предоставено поисканото въз основа на нея разрешение от съда — да изиска от доставчиците на електронни съобщителни услуги да ѝ предоставят на разположение лични данни и по този начин, с оглед на съдържащото се в член 2, буква б) от Директива 95/46 определение, приложимо в контекста на Директива 2002/58 съгласно член 2, първа алинея от нея, да извършват „обработване“ на тези данни по смисъла на двете директиви. Ето защо посочената правна уредба регламентира дейностите на доставчиците на електронни съобщителни услуги и следователно попада в приложното поле на Директива 2002/58.

39      При тези условия изтъкнатото от испанското правителство обстоятелство, че посоченото искане за достъп е направено в рамките на наказателно производство, не може да доведе до неприложимостта на Директива 2002/58 към главното производство по силата на член 1, параграф 3 от нея.

40      В това отношение е без значение и обстоятелството, че както следва от писмения отговор на испанското правителство на поставен от Съда въпрос и както потвърждават в съдебното заседание и посоченото правителство, и прокуратурата, разглежданото в главното производство искане за достъп има за цел да се разреши достъпът само до телефонните номера, съответстващи на СИМ карти, активирани с кода IMEI на откраднатия мобилен телефон, и до данните относно самоличността на притежателите на тези карти, като тяхното име и фамилия, и според случая, техния адрес, като се изключат данните относно осъществените комуникации с тези СИМ карти и данните за местонахождението, отнасящи се до откраднатия мобилен телефон.

41      Всъщност, както посочва генералният адвокат в точка 54 от своето заключение, съгласно член 1, параграф 1 и член 3 от Директива 2002/58 тя урежда всяко обработване на лични данни, осъществявано при предоставянето на електронни съобщителни услуги. Освен това съгласно член 2, втора алинея, буква б) от посочената директива понятието „данни за трафик“ обхваща „всякакви данни, обработени с цел пренасяне на комуникация през електронни комуникационни мрежи или за изготвяне на сметка за това“.

42      С оглед на последното, що се отнася по-специално до данните относно самоличността на притежателите на СИМ картите, от съображение 15 на Директива 2002/58 следва, че данните за трафика могат да включват по-конкретно наименованието и адреса на изпращача на комуникация или потребителя на връзка за извършване на комуникацията. Данните относно самоличността на притежателите на СИМ картите могат освен това да се окажат необходими за изготвянето на сметка за предоставените електронни съобщителни услуги и поради това са част от данните за трафика съгласно определението в член 2, втора алинея, буква б) от посочената директива. Ето защо тези данни попадат в приложното поле на Директива 2002/58.

43      Следователно Съдът е компетентен да отговори на поставения от запитващата юрисдикция въпрос.

 По допустимостта

44      Испанското правителство изтъква, че преюдициалното запитване е недопустимо, тъй като в него не са ясно посочени разпоредбите от правото на Съюза, по които Съдът е сезиран да се произнесе. Освен това разглежданото в главното производство искане на съдебната полиция не се отнасяло до прихващането на осъществените комуникации със СИМ картите, активирани с кода IMEI на откраднатия мобилен телефон, а до установяването на връзка между тези карти и техните притежатели, поради което поверителността на съобщенията не била засегната. Следователно член 7 от Хартата, до който се отнасят преюдициалните въпроси, не бил релевантен в контекста на настоящото дело.

45      Съгласно постоянната съдебна практика само националният съд, който е сезиран със спора и трябва да поеме отговорността за последващото му съдебно решаване, може да прецени — предвид особеностите на делото — както необходимостта от преюдициално решение, за да може да се произнесе, така и релевантността на въпросите, които поставя на Съда. Следователно, щом като поставените въпроси се отнасят до тълкуването на правото на Съюза, Съдът по принцип е длъжен да се произнесе. Съдът може да откаже да се произнесе по отправеното от национална юрисдикция преюдициално запитване само когато е съвсем очевидно, че исканото тълкуване на правото на Съюза няма никаква връзка с действителността или с предмета на спора в главното производство, когато проблемът е от хипотетично естество или когато Съдът не разполага с необходимите данни от фактическа и правна страна, за да бъде полезен с отговора на поставените му въпроси (решение от 10 юли 2018 г., Jehovan Todistajat, C‑25/17, EU:C:2018:551, т. 31 и цитираната съдебна практика).

46      В настоящия случай в акта за преюдициално запитване се съдържат обстоятелства от фактическа и правна страна, които са достатъчни както за установяването на разпоредбите от правото на Съюза, до които се отнасят преюдициалните въпроси, така и за разбирането на обхвата на тези въпроси. По-специално от акта за преюдициално запитване следва, че преюдициалните въпроси имат за цел да предоставят възможност на запитващата юрисдикция да прецени дали и доколко с националната правна уредба, на основание на която е направено разглежданото в главното производство искане на съдебната полиция, се преследва цел, която може да обоснове накърняване на основните права, закрепени в членове 7 и 8 от Хартата. При това съгласно посоченото от същата юрисдикция тази национална правна уредба попада в приложното поле на Директива 2002/58 и поради това Хартата е приложима към главното производство. Така преюдициалните въпроси имат пряка връзка с предмета на главното производство и поради това не могат да считат за хипотетични.

47      При тези условия преюдициалните въпроси са допустими.

 По същество

48      С двата си въпроса, които следва да се разгледат заедно, запитващата юрисдикция иска по същество да установи дали член 15, параграф 1 от Директива 2002/58 във връзка с членове 7 и 8 от Хартата трябва да се тълкува в смисъл, че достъпът на публични органи до данни с цел установяването на самоличността на притежатели на СИМ карти, активирани с откраднат мобилен телефон, като име и фамилия, и според случая, адреса на тези притежатели, води до намеса в основните им права, уредени в посочените членове от Хартата, чиято тежест е от такова естество, че посоченият достъп следва да бъде ограничен — в областта на превенцията, разследването, разкриването и преследването на престъпления — до борбата с тежката престъпност, и ако отговорът е положителен, съобразно какви критерии следва да бъде преценявана тежестта на съответното престъпление.

49      В това отношение, както по същество отбелязва генералният адвокат в точка 38 от своето заключение, от акта за преюдициално запитване е видно, че преюдицалното запитване няма за цел да установи дали разглежданите в главното производство лични данни са запазени от доставчиците на електронни съобщителни услуги при спазване на условията по член 15, параграф 1 от Директива 2002/58 във връзка с членове 7 и 8 от Хартата. Както следва от точка 46 от настоящото решение, запитването се отнася само до въпроса дали и доколко преследваната цел с разглежданата в главното производство правна уредба може да обоснове достъпа на публични органи като съдебната полиция до такива данни, като другите условия за достъп, които произтичат от въпросния член 15, параграф 1, не са предмет на запитването.

50      По-специално посочената юрисдикция си поставя въпроса относно обстоятелствата, които следва да се вземат предвид, за да се прецени дали престъпленията, във връзка с които за целите на разследването на полицейските органи може да бъде разрешен достъп до лични данни, запазени от доставчиците на електронни съобщителни услуги, са достатъчно тежки, за да обосноват свързаната с този достъп намеса в основните права, гарантирани в членове 7 и 8 от Хартата, съобразно тълкуването им от Съда в неговите решения от 8 април 2014 г., Digital Rights Ireland и др. (C‑293/12 и C‑594/12, EU:C:2014:238) и Tele2 Sverige и Watson и др.

51      Що се отнася до наличието на намеса в тези основни права, следва да се напомни, че както отбелязва генералният адвокат в точки 76 и 77 от своето заключение, достъпът на публичните органи до такива данни съставлява намеса в основното право на зачитане на личния живот, закрепено в член 7 от Хартата, дори да не са налице обстоятелства, които дават основание тази намеса да се квалифицира като „тежка“, като при това е без значение дали данните за личния живот имат чувствителен характер и дали заинтересованите лица са претърпели евентуални неудобства поради тази намеса. Такъв достъп представлява и намеса в основното право на защита на личните данни, гарантирано в член 8 от Хартата, тъй като представлява обработка на лични данни (вж. в този смисъл становище 1/15 (Споразумение PNR ЕС—Канада) от 26 юли 2017 г., EU:C:2017:592, т. 124 и 126 и цитираната съдебна практика).

52      По отношение на целите, които могат да обосноват национална правна уредба като разглежданата в главното производство, регламентираща достъпа на публични органи до данни, запазени от доставчици на електронни съобщителни услуги, като по този начин дерогира принципа на поверителност на електронните съобщения, следва да се напомни, че тези цели са изчерпателно изброени в член 15, параграф 1, първо изречение от Директива 2002/58, поради което при този достъп трябва действително и строго да се преследва някоя от тях (вж. в този смисъл Tele2 Sverige и Watson и др., т. 90 и 115).

53      Що се отнася обаче до целта за превенция, разследване, разкриване и преследване на престъпления, следва да се отбележи, че текстът на член 15, параграф 1, първо изречение от Директива 2002/58 не ограничава тази цел до борбата само с тежките престъпления, а се отнася общо до „[престъпления]“.

54      В това отношение Съдът безспорно е приел, че що се отнася до превенцията, разследването, разкриването и преследването на престъпления, само в случаите на борба с тежката престъпност може да е обоснован достъпът на публичните органи до лични данни, запазени от доставчиците на съобщителни услуги, които в своята съвкупност позволяват да се направят точни изводи относно личния живот на лицата, чиито данни са засегнати (вж. в този смисъл решение Tele2 Sverige и Watson и др., т. 99).

55      Съдът обаче мотивира това тълкуване с обстоятелството, че целта, преследвана с правна уредба, която регламентира този достъп, трябва да е свързана с тежестта на намесата в съответните основни права, до която води тази дейност (вж. в този смисъл решение Tele2 Sverige и Watson и др., т. 115).

56      Всъщност съгласно принципа на пропорционалност в областта на превенцията, разследването, разкриването и преследването на престъпления тежка намеса може да бъде обоснована само от цел за борба с престъпността, която също трябва да е квалифицирана като „тежка“.

57      Когато обаче намесата, до която води такъв достъп, не е тежка, този достъп може да бъде обоснован от целта за превенция, разследване, разкриване и преследване общо на „[престъпления]“.

58      Ето защо следва да се установи преди всичко дали с оглед на конкретните обстоятелства в настоящия случай намесата в основните права, закрепени в членове 7 и 8 от Хартата, до която би довел достъп на съдебната полиция до разглежданите в главното производство данни, трябва да се счита за „тежка“.

59      В това отношение единствената цел на разглеждането в главното производство искане, с което за целите на наказателно разследване съдебната полиция иска разрешение от съда за достъп до лични данни, запазени от доставчиците на електронни съобщителни услуги, е да се установят притежателите на СИМ карти, които са били активирани в рамките на дванадесетдневен период с кода IMEI на откраднатия мобилен телефон. Както беше посочено в точка 40 от настоящото съдебно решение, това искане се отнася до достъпа само до телефонните номера, които съответстват на посочените СИМ карти, както и до данните за самоличността на притежателите на тези карти, като името и фамилията им, и според случая, техния адрес. Както потвърждават в съдебното заседание и испанското правителство, и прокуратурата, тези данни обаче не се отнасят да осъществените комуникации с откраднатия мобилен телефон, нито до неговото местонахождение.

60      Следователно изглежда, че данните, за които се отнася разглежданото в главното производство искане за достъп, дават възможност само да се направи връзка през определен период между СИМ картата или картите, активирани с откраднатия мобилен телефон, и самоличността на притежателите на тези СИМ карти. Без да бъдат съпоставени с данните относно осъществените с посочените СИМ карти комуникации и данните за местонахождение, посочените данни не дават възможност да се установи нито датата, часа, продължителността и адресатите на комуникациите, осъществени с въпросната/въпросните СИМ карта или карти, нито местата, на които те са извършени, или тяхната честота с определени лица през даден период. Следователно посочените данни не дават възможност да се направят точни изводи относно личния живот на лицата, чиито данни са засегнати.

61      При тези условия достъпът само до данните, посочени в разглежданото в главното производство искане, не може да бъде квалифициран като „тежка“ намеса в основните права на лицата, чиито данни са засегнати.

62      Както следва от точки 53—57 от настоящото решение, намесата, до която води достъп до такива данни, може следователно да бъде обоснована от целта за превенция, разследване, разкриване и преследване общо на „[престъпления]“, посочена в член 15, параграф 1, първо изречение от Директива 2002/58, без да е необходимо тези престъпления да са квалифицирани като „тежки“.

63      По изложените съображения на поставените въпроси следва да се отговори, че член 15, параграф 1 от Директива 2002/58 във връзка с членове 7 и 8 от Хартата трябва да се тълкува в смисъл, че достъпът на публични органи до данни с цел установяване на самоличността на притежателите на СИМ карти, активирани с откраднат мобилен телефон, като име, фамилия, и според случая, адреса на тези притежатели, води до намеса в основните им права, закрепени в посочените членове от Хартата, която не е толкова тежка, че посоченият достъп да трябва да бъде ограничен — в областта на превенцията, разследването, разкриването и преследването на престъпления — до борбата с тежката престъпност.

 По съдебните разноски

64      С оглед на обстоятелството, че за страните по главното производство настоящото дело представлява отклонение от обичайния ход на производството пред запитващата юрисдикция, последната следва да се произнесе по съдебните разноски. Разходите, направени за представяне на становища пред Съда, различни от тези на посочените страни, не подлежат на възстановяване.

По изложените съображения Съдът (голям състав) реши:

Член 15, параграф 1 от Директива 2002/58/ЕО на Европейския парламент и на Съвета от 12 юли 2002 година относно обработката на лични данни и защита на правото на неприкосновеност на личния живот в сектора на електронните комуникации (Директива за правото на неприкосновеност на личния живот и електронни комуникации), изменена с Директива 2009/136/ЕО на Европейския парламент и на Съвета от 25 ноември 2009 г., във връзка с членове 7 и 8 от Хартата на основните права на Европейския съюз трябва да се тълкува в смисъл, че достъпът на публични органи до данни с цел установяването на самоличността на притежателите на СИМ карти, активирани с откраднат мобилен телефон, като име, фамилия, и според случая, адреса на тези притежатели, води до намеса в основните им права, закрепени в посочените членове от Хартата, която не е толкова тежка, че посоченият достъп да трябва да бъде ограничен — в областта на превенцията, разследването, разкриването и преследването на престъпления — до борбата с тежката престъпност.

Подписи


*      Език на производството: испански.