Esialgne tõlge
EUROOPA KOHTU OTSUS (suurkoda)
21. detsember 2016(*)
Eelotsusetaotlus – Elektrooniline side – Isikuandmete töötlemine – Elektroonilise side konfidentsiaalsus – Kaitse – Direktiiv 2002/58/EÜ – Artiklid 5, 6 ja 9 ning artikli 15 lõige 1 – Euroopa Liidu põhiõiguste harta – Artiklid 7, 8 ja 11 ning artikli 52 lõige 1 – Liikmesriigi õigusnormid – Elektroonilise side teenuste pakkujad – Kohustus säilitada üldiselt ja vahet tegemata kõik liiklusandmed ja asukohaandmed – Liikmesriigi ametiasutused – Juurdepääs andmetele – Kohtu või sõltumatu haldusasutuse eelneva kontrolli puudumine – Kooskõla liidu õigusega
Liidetud kohtuasjades C‑203/15 ja C‑698/15,
mille ese on ELTL artikli 267 alusel Kammarrätten i Stockholm’i (Stockholmi apellatsiooniastme halduskohus, Rootsi) ja Court of Appeal’i (England & Wales) (Civil Division) (apellatsioonikohus (Inglismaa ja Wales) (tsiviilkoda), Ühendkuningriik) vastavalt 29. aprilli 2015. aasta ja 9. detsembri 2015. aasta otsustega esitatud eelotsusetaotlused, mis saabusid Euroopa Kohtusse 4. mail 2015 ja 28. detsembril 2015, menetlustes
Tele2 Sverige AB (C‑203/15)
versus
Post- och telestyrelsen,
ja
Secretary of State for the Home Department (C‑698/15)
versus
Tom Watson,
Peter Brice,
Geoffrey Lewis,
menetluses osalesid:
Open Rights Group,
Privacy International,
The Law Society of England and Wales,
EUROOPA KOHUS (suurkoda),
koosseisus: president K. Lenaerts, asepresident A. Tizzano, kodade presidendid R. Silva de Lapuerta, T. von Danwitz (ettekandja), J. L. da Cruz Vilaça, E. Juhász ja M. Vilaras, kohtunikud A. Borg Barthet, J. Malenovský, E. Levits, J.‑C. Bonichot, A. Arabadjiev, S. Rodin, F. Biltgen ja C. Lycourgos,
kohtujurist: H. Saugmandsgaard Øe,
kohtusekretär: ametnik C. Strömholm,
arvestades Euroopa Kohtu presidendi 1. veebruari 2016. aasta otsust lahendada kohtuasi C‑698/15 kiirendatud menetluses vastavalt Euroopa Kohtu kodukorra artikli 105 lõikele 1,
arvestades kirjalikus menetluses ja 12. aprilli 2016. aasta kohtuistungil esitatut,
arvestades seisukohti, mille esitasid:
– Tele2 Sverige AB, esindajad: advokat M. Johansson, advokat N. Torgerzon, E. Lagerlöf ja S. Backman,
– T. Watson, esindajad: solicitor J. Welch, solicitor E. Norton, advocate I. Steele, barrister B. Jaffey ja D. Rose, QC,
– P. Brice ja G. Lewis, esindajad: barrister A. Suterwalla, barrister R. de Mello, R. Drabble, QC, ja solicitor S. Luke,
– Open Rights Group ja Privacy International, esindajad: solicitor D. Carey, barrister R. Mehta ja barrister J. Simor,
– The Law Society of England and Wales, esindajad: barrister T. Hickman ja barrister N. Turner,
– Rootsi valitsus, esindajad: A. Falk, C. Meyer-Seitz, U. Persson, N. Otte Widgren ja L. Swedenborg,
– Ühendkuningriigi valitsus, esindajad: S. Brandon, L. Christie ja V. Kaye, keda abistasid D. Beard, G. Facenna, J. Eadie, QC, ja barrister S. Ford,
– Belgia valitsus, esindajad: J.‑C. Halleux, S. Vanrie ja C. Pochet,
– Tšehhi valitsus, esindajad: M. Smolek ja J. Vláčil,
– Taani valitsus, esindajad: C. Thorning ja M. Wolff,
– Saksamaa valitsus, esindajad: T. Henze, M. Hellmann ja J. Kemper, keda abistasid Rechtsanwalt M. Kottmann ja Rechtsanwalt U. Karpenstein,
– Eesti valitsus, esindaja: K. Kraavi‑Käerdi,
– Iirimaa, esindajad: E. Creedon ja L. Williams ja A. Joyce, keda abistas D. Fennelly, BL,
– Hispaania valitsus, esindaja: A. Rubio González,
– Prantsuse valitsus, esindajad: G. de Bergues, D. Colas, F.‑X. Bréchot ja C. David,
– Küprose valitsus, esindaja: K. Kleanthous,
– Ungari valitsus, esindajad: M. Fehér ja G. Koós,
– Madalmaade valitsus, esindajad: M. Bulterman, M. Gijzen ja J. Langer,
– Poola valitsus, esindaja: B. Majczyna,
– Soome valitsus, esindaja: J. Heliskoski,
– Euroopa Komisjon, esindajad: H. Krämer, K. Simonsson, H. Kranenborg, D. Nardi, P. Costa de Oliveira ja J. Vondung,
olles 19. juuli 2016. aasta kohtuistungil ära kuulanud kohtujuristi ettepaneku,
on teinud järgmise
otsuse
1 Eelotsusetaotlused puudutavad seda, kuidas tõlgendada Euroopa Parlamendi ja nõukogu 12. juuli 2002. aasta direktiivi 2002/58/EÜ, milles käsitletakse isikuandmete töötlemist ja eraelu puutumatuse kaitset elektroonilise side sektoris (eraelu puutumatust ja elektroonilist sidet käsitlev direktiiv) (EÜT 2002, L 201, lk 37; ELT eriväljaanne 13/29, lk 514), muudetud Euroopa Parlamendi ja nõukogu 25. novembri 2009. aasta direktiiviga 2009/136/EÜ (ELT 2009, L 337, lk 11) (edaspidi „direktiiv 2002/58“), artikli 15 lõiget 1 koostoimes Euroopa Liidu põhiõiguste harta (edaspidi „harta“) artiklitega 7 ja 8 ning artikli 52 lõikega 1.
2 Taotlused on esitatud kahes kohtuvaidluses, millest esimeses vaidleb Tele2 Sverige AB Post- och telestyrelsen’iga (Rootsi posti- ja telekommunikatsiooni järelevalveasutus; edaspidi „PTS“) ettekirjutuse üle, mille PTS tegi Tele2 Sverigele, kohustades teda säilitama oma abonentide ja registreeritud kasutajate liiklusandmeid ja asukohaandmeid (kohtuasi C‑203/15), ja teises vaidlevad Tom Watson, Peter Brice ja Geoffrey Lewis Secretary of State for the Home Department’iga (Suurbritannia ja Põhja-Iiri Ühendkuningriigi siseminister) selle üle, kas Data Retention and Investigatory Powers Act 2014 (2014. aasta seadus andmete säilitamise ja uurimisvolituste kohta, edaspidi „DRIPA“) § 1 on Euroopa Liidu õigusega kooskõlas (kohtuasi C‑698/15).
Õiguslik raamistik
Liidu õigus
Direktiiv 2002/58
3 Direktiivi 2002/58 põhjendustes 2, 6, 7, 11, 21, 22, 26 ja 30 on märgitud:
„(2) Käesoleva direktiiviga püütakse austada põhiõigusi ja selles järgitakse eelkõige […] hartas tunnustatud põhimõtteid. Eelkõige püütakse käesoleva direktiiviga tagada […] harta artiklites 7 ja 8 sätestatud õiguste täielik austamine.
[…]
(6) Internet muudab radikaalselt traditsioonilisi turustruktuure, sest ühise globaalse infrastruktuurina võimaldab ta pakkuda suurt hulka erinevaid elektroonilisi sideteenuseid. Interneti vahendusel pakutavad üldkasutatavad elektroonilised sideteenused loovad kasutajatele uusi võimalusi, kuid samas tekitavad ka uusi ohte kasutajate isikuandmetele ja eraelu puutumatusele.
(7) Üldkasutatavate elektrooniliste sidevõrkude puhul tuleks ette näha konkreetsed õigusnormid ja tehnilised normid, et kaitsta füüsiliste isikute põhiõigusi ja -vabadusi ning juriidiliste isikute õigustatud huve, arvestades eelkõige abonentide ja kasutajate andmete automatiseeritud salvestamise ja töötlemise suurenevat mahtu.
[…]
(11) Nagu [Euroopa Parlamendi ja nõukogu 24. oktoobri 1995. aasta direktiivis] 95/46/EÜ [üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta (EÜT 1995, L 281, lk 31; ELT eriväljaanne 13/15, lk 355)], ei käsitleta ka käesolevas direktiivis põhiõiguste ja -vabaduste kaitsmist selliste toimingute puhul, mis ei kuulu ühenduse õiguse reguleerimisalasse. Seega ei muuda käesolev direktiiv senist tasakaalu üksikisiku eraelu puutumatuse õiguse ja liikmesriikide võimaluse vahel võtta käesoleva direktiivi artikli 15 lõikes 1 osutatud meetmeid, mis on vajalikud avaliku korra, riigikaitse, riigi julgeoleku (kaasa arvatud riigi majanduslik heaolu, kui tegevus on seotud riigi julgeolekuga) ja kriminaalõiguse rakendamise seisukohast. Seega ei mõjuta käesolev direktiiv liikmesriikide võimalust kuulata õiguspäraselt pealt elektroonilist sidet või võtta vajaduse korral meetmeid eespool nimetatud eesmärkidel ja kooskõlas inimõiguste ja põhivabaduste kaitse Euroopa konventsiooniga nii, nagu seda on tõlgendatud Euroopa Inimõiguste Kohtu otsustes. Sellised meetmed peavad olema asjakohased, rangelt proportsionaalsed kavandatud eesmärgiga ja vajalikud demokraatlikus ühiskonnas ning nendega peaksid kaasnema piisavad tagatised kooskõlas inimõiguste ja põhivabaduste kaitse Euroopa konventsiooniga.
[…]
(21) Tuleks võtta meetmeid sidevahenditele volitamata juurdepääsu välistamiseks, et kaitsta side – nii selle sisu kui ka sellise sidega seotud andmete – konfidentsiaalsust üldkasutatavates sidevõrkudes ja üldkasutatavate elektrooniliste sideteenuste puhul. Mõnede liikmesriikide siseriiklike õigusaktidega on volitamata juurdepääs sidevahenditele keelatud ainult siis, kui see on tahtlik.
(22) Sidet ja sellega seotud liiklusandmeid ei või salvestada muud kui ainult kasutajad ja isikud, kellel on nende nõusolek; selle keeluga ei taheta keelustada igasugust automaatset, vahepealset või lühiajalist teabe salvestamist, kui selle ainus eesmärk on edastuse toimumine elektroonilises sidevõrgus, tingimusel, et teavet ei salvestata kauemaks, kui on vaja edastuse ja liikluse haldamise seisukohast, ning et selle konfidentsiaalsus tagatakse ka salvestatuna. […]
[…]
(26) Abonentide kohta käivad andmed, mida töödeldakse elektroonilistes sidevõrkudes ühenduse loomiseks ja teabe edastamiseks, sisaldavad teavet füüsiliste isikute eraelu kohta ja on seotud õigusega vabale kirjavahetusele või on seotud juriidiliste isikute õigustatud huvidega. Selliseid andmeid võib säilitada ainult sel määral, kui on vaja teenuse osutamise puhul arveldamiseks ja sidumistasude maksmiseks, ning piiratud aja jooksul. Selliste andmete igasugust täiendavat töötlemist […] võib lubada ainult siis, kui abonent on sellega nõustunud täpse ja täieliku teabe põhjal, mille üldkasutatavate elektrooniliste sideteenuste osutaja on talle edastanud kavandatud täiendavate töötlemisviiside kohta ja abonendi õiguste kohta jätta oma nõusolek selliseks töötlemiseks andmata või tühistada selline nõusolek. […]
[…]
(30) Elektrooniliste sidevõrkude pakkumise ja elektrooniliste sideteenuste osutamise süsteemid peaksid olema välja töötatud nii, et vajalike isikuandmete hulk oleks minimaalne. […]“
4 Direktiivi 2002/58 artiklis 1 „Reguleerimisala ja eesmärk“ on sätestatud:
„1. Käesoleva direktiiviga nähakse ette nende siseriiklike sätete ühtlustamine, mis on vajalikud põhiõiguste ja -vabaduste, eelkõige eraelu puutumatuse ja konfidentsiaalsuse kaitse võrdväärse taseme tagamiseks isikuandmete töötlemise puhul elektroonilise side sektoris ja selliste andmete ning elektrooniliste sideseadmete ja -teenuste vaba liikumise tagamiseks ühenduses.
2. Käesoleva direktiivi sätted täpsustavad ja täiendavad direktiivi [95/46] sätteid lõikes 1 nimetatud eesmärkidel. Lisaks sellele nähakse nende sätetega ette juriidilistest isikutest abonentide õigustatud huvide kaitse.
3. Käesolevat direktiivi ei kohaldata tegevuse suhtes, mis jääb väljapoole Euroopa Ühenduse asutamislepingu reguleerimisala, nagu näiteks Euroopa Liidu lepingu V ja VI jaotise kohane tegevus, ja igal juhul sellise tegevuse suhtes, mis on seotud avaliku korra, riigikaitse, riigi julgeoleku (kaasa arvatud riigi majanduslik heaolu, kui tegevus on seotud riigi julgeolekuga) ja riigi sunnijõuga kriminaalõiguse valdkonnas.“
5 Direktiivi 2002/58 artiklis 2 „Mõisted“ on sätestatud:
„Kui ei ole sätestatud teisiti, kohaldatakse direktiivis [95/46] ning Euroopa Parlamendi ja nõukogu 7. märtsi 2002. aasta direktiivis 2002/21/EÜ elektrooniliste sidevõrkude ja -teenuste ühise reguleeriva raamistiku kohta (raamdirektiiv) [EÜT 2002, L 108, lk 33; ELT eriväljaanne 13/29, lk 349] sätestatud mõisteid.
Kasutatakse ka järgmisi mõisteid:
[…]
b) liiklusandmed – andmed, mida töödeldakse side edastamiseks elektroonilises sidevõrgus või sellise edastamisega seotud arveldamiseks;
c) asukohaandmed – elektroonilises sidevõrgus või elektrooniliste sideteenuste poolt töödeldavad andmed, mis näitavad üldkasutatavate elektrooniliste sideteenuste kasutaja lõppseadme geograafilist asukohta;
d) side – teave, mida vahetatakse või edastatakse määratud hulga osaliste vahel üldkasutatava elektroonilise side teenuse abil. Mõiste ei hõlma teavet, mida edastatakse üldsusele ringhäälinguteenuse raames elektroonilise sidevõrgu kaudu, välja arvatud juhul, kui sellist teavet võib seostada tuvastatava abonendi või kasutajaga, kes teavet saab;
[…]“.
6 Direktiivi 2002/58 artiklis 3 „Teenused“ on sätestatud:
„Käesolevat direktiivi kohaldatakse isikuandmete töötlemisele, mis toimub seoses üldkasutatavate elektrooniliste sideteenuste osutamisega ühenduse üldkasutatavates sidevõrkudes, sealhulgas andmete kogumist ja tuvastusseadmeid toetavates üldkasutatavates sidevõrkudes.“
7 Direktiivi artikkel 4 „Töötlemise turvalisus“ on sõnastatud järgmiselt:
„1. Üldkasutatava elektroonilise sideteenuse osutaja peab võtma asjakohased tehnilised ja korralduslikud meetmed oma teenuste turvalisuse tagamiseks, tehes seda võrgu turvalisuse puhul vajaduse korral koos üldkasutatava sidevõrgu pakkujaga. Tehnika taset ja kõnealuste meetmete rakenduskulusid arvesse võttes tagatakse nende meetmetega olemasolevale ohule vastav turvalisuse tase.
1a. Ilma et see piiraks direktiivi [95/46] kohaldamist, tehakse lõikes 1 osutatud meetmetega vähemalt järgmist:
– tagatakse, et isikuandmetele oleks juurdepääs üksnes volitatud töötajatel seaduslikult lubatud eesmärkidel;
– kaitstakse salvestatud või edastatud isikuandmeid juhusliku või ebaseadusliku hävitamise, juhusliku kaotsimineku või muutmise ja loata või ebaseadusliku salvestamise, töötlemise, juurdepääsu või avalikustamise eest ning
– tagatakse isikuandmete töötlemise turvapoliitika rakendamine.
[…]“.
8 Direktiivi 2002/58 artikli 5 „Side konfidentsiaalsus“ kohaselt:
„1. Liikmesriigid tagavad üldkasutatava sidevõrgu ja üldkasutatavate elektrooniliste sideteenuste kaudu toimuva side ja sellega seotud liiklusandmete konfidentsiaalsuse siseriiklike õigusaktidega. Eelkõige keelatakse nende õigusaktidega isikutel, kes ei ole kasutajad, kuulata, salaja pealt kuulata, salvestada või muul viisil pealt kuulata või jälgida sidet ja sellega seotud liiklusandmeid ilma asjaomaste kasutajate loata, kui see ei ole õiguspärane artikli 15 lõike 1 kohaselt. Käesolev lõige ei takista side edastamiseks vajalikku tehnilist salvestamist, ilma et see piiraks konfidentsiaalsuse põhimõtet.
[…]
3. Liikmesriigid tagavad, et teabe salvestamine abonendi või kasutaja lõppseadmesse ja juurdepääsu saamine sinna juba salvestatud teabele on lubatud ainult tingimusel, et asjaomane abonent või kasutaja on andnud selleks oma nõusoleku, ning talle on esitatud direktiivi [95/46] kohaselt selge ja arusaadav teave, muu hulgas andmete töötlemise eesmärgi kohta. See ei takista andmete tehnilist salvestamist ega juurdepääsu, mille ainus eesmärk on edastada sidet elektroonilises sidevõrgus või mis on teenuseosutajale hädavajalik sellise infoühiskonna teenuse osutamiseks, mida abonent või kasutaja on sõnaselgelt taotlenud.“
9 Direktiivi 2002/58 artiklis 6 „Liiklusandmed“ on sätestatud:
„1. Abonentide ja kasutajatega seotud liiklusandmed, mida töötleb üldkasutatava sidevõrgu pakkuja või üldkasutatavate elektrooniliste sideteenuste osutaja, tuleb kustutada või muuta anonüümseks, kui neid ei ole enam vaja side edastamiseks, ilma et see piiraks käesoleva artikli lõigete 2, 3 ja 5 ning artikli 15 lõike 1 kohaldamist.
2. Töödelda võib liiklusandmeid, mis on vajalikud abonentide arvete ja sidumistasude jaoks. Selline töötlemine on lubatud ainult selle tähtaja lõpuni, mille jooksul võib arve õiguspäraselt vaidlustada või mille jooksul võib võtta meetmeid arve sissenõudmiseks.
3. Elektrooniliste sideteenuste turustamiseks ja lisaväärtusteenuste osutamiseks võib üldkasutatavate elektrooniliste sideteenuste osutaja töödelda lõikes 1 osutatud andmeid selliste teenuste või turustamise jaoks vajalikul määral ja vajaliku aja jooksul, kui abonent või kasutaja, kelle kohta andmed käivad, on andnud oma eelneva nõusoleku. Kasutajatele ja abonentidele antakse võimalus oma liiklusandmete töötlemiseks antud nõusolek igal ajal tühistada.
[…]
5. Lõigete 1, 2, 3 ja 4 kohaselt võivad liiklusandmeid töödelda ainult üldkasutatavate sidevõrkude pakkuja ja üldkasutatavate elektrooniliste sideteenuste osutaja loal tegutsevad isikud, kes tegelevad arveldamise või andmeliikluse korraldamise, klientide küsimustele vastamise, pettuste avastamise, elektrooniliste sideteenuste turustamise või lisaväärtusteenuste osutamisega, ja selline töötlemine peab toimuma ainult kõnealusteks toiminguteks vajalikul määral.“
10 Direktiivi artikli 9 „Asukohaandmed (v.a liiklusandmed)“ lõikes 1 on sätestatud:
„Kui üldkasutatavate sidevõrkude või üldkasutatavate elektrooniliste sideteenuste kasutajate või abonentidega seotud asukohaandmeid (v.a liiklusandmed) võib töödelda, töödeldakse neid andmeid ainult pärast nende anonüümseks muutmist või kasutajate või abonentide nõusolekul ning lisaväärtusteenuse osutamiseks vajalikul määral ja selleks vajaliku aja jooksul. Teenuseosutaja peab enne kasutajate või abonentide nõusoleku saamist teatama neile töödeldavate asukohaandmete (v.a liiklusandmed) liigi, töötlemise eesmärgi, kui kaua see kestab ja kas andmed edastatakse lisaväärtusteenuste osutamiseks kolmandatele isikutele. […]“.
11 Kõnealuse direktiivi artikkel 15 „Direktiivi [95/46] teatavate sätete rakendamine“ on sõnastatud järgmiselt:
„1. Liikmesriigid võivad võtta seadusandlikke meetmeid, millega piiratakse käesoleva direktiivi artiklites 5 ja 6, artikli 8 lõigetes 1, 2, 3 ja 4 ning artiklis 9 sätestatud õiguste ja kohustuste ulatust, kui selline piiramine on vajalik, otstarbekas ja proportsionaalne abinõu selleks, et kaitsta direktiivi [95/46] artikli 13 lõikes 1 nimetatud riiklikku julgeolekut (st riigi julgeolekut), riigikaitset, avalikku korda, kriminaalkuritegude või elektroonilise sidesüsteemi volitamata kasutamise ennetamist, uurimist, avastamist ja kohtus menetlemist. Selleks võivad liikmesriigid muu hulgas võtta seadusandlikke meetmeid, millega nähakse ette andmete säilitamine piiratud aja jooksul käesolevas lõikes sätestatud põhjustel. Kõik käesolevas lõikes osutatud meetmed on kooskõlas ühenduse õiguse üldpõhimõtetega, kaasa arvatud Euroopa Liidu lepingu artikli 6 lõigetes 1 ja 2 osutatud põhimõtetega.
[…]
1b. Teenuseosutajad kehtestavad sisemise korra kasutajate isikuandmetele juurdepääsu taotlustele vastamiseks lõike 1 kohaselt vastu võetud siseriiklike sätete alusel. Nad esitavad pädevale riigiasutusele viimase taotlusel teabe asjaomase korra, saabunud taotluste arvu, viidatud õigusliku selgituse ja oma vastuse kohta.
2. Direktiivi [95/46] III peatüki „Õiguskaitsevahendid, vastutus ja sanktsioonid“ sätteid kohaldatakse, võttes arvesse liikmesriikides käesoleva direktiivi kohaselt vastuvõetud õigusakte ja käesolevast direktiivist tulenevaid üksikisikute õigusi.
[…]“.
Direktiiv 95/46
12 Direktiivi 95/46 III peatükis asuv artikkel 22 on sõnastatud järgmiselt:
„Liikmesriigid sätestavad kõigi isikute õiguse kasutada õiguskaitsevahendeid, kui on rikutud õigusi, mis neile on antud kõigi asjaomase töötlemise suhtes kohaldatavate siseriiklike õigusaktidega, ilma et see piiraks ühegi võimaliku sätestatava haldusliku kaitsevahendi kohaldamist, muu hulgas artiklis 28 osutatud järelevalveasutuse kaudu enne küsimuse suunamist kohtutele.“
Direktiiv 2006/24/EÜ
13 Euroopa Parlamendi ja nõukogu 15. märtsi 2006. aasta direktiivi 2006/24/EÜ, mis käsitleb üldkasutatavate elektrooniliste sideteenuste või üldkasutatavate sidevõrkude pakkujate tegevusega kaasnevate või nende töödeldud andmete säilitamist ja millega muudetakse direktiivi 2002/58/EÜ (ELT 2006, L 105, lk 54), artikli 1 „Sisu ja reguleerimisala“ lõikes 2 oli ette nähtud:
„Käesolevat direktiivi kohaldatakse nii füüsiliste kui ka juriidiliste isikute liiklus- ja asukohaandmete ning nendega seotud teabe suhtes, mis on vajalik abonendi või registreeritud kasutaja kindlaksmääramiseks. Direktiiv ei ole kohaldatav elektroonilise sideteenuse sisu suhtes, sealhulgas teave, mis kaasneb elektroonilise sidevõrgu kasutamisega.“
14 Vastavalt selle direktiivi artiklile 3 „Kohustus andmeid säilitada“:
„1. Erandina direktiivi [2002/58] artiklitest 5, 6 ja 9 võtavad liikmesriigid meetmeid, mis tagavad, et nende jurisdiktsiooni alla kuuluvate üldkasutatavate elektrooniliste sideteenuste või üldkasutatavate sidevõrkude pakkujate tegevusega kaasnevaid või nende töödeldud andmeid, mida nimetatakse käesoleva direktiivi artiklis 5, säilitatakse vastavalt käesoleva direktiivi sätetele.
2. Lõikes 1 viidatud andmete säilitamise kohustus hõlmab ka artiklis 5 nimetatud andmete säilitamist, mis on seotud ebaõnnestunud helistamiskatsetega, kui need andmed luuakse või neid töödeldakse ja säilitatakse (telefonisideandmed) või registreeritakse (interneti-sideandmed) asjaomase liikmesriigi jurisdiktsiooni alla kuuluvate üldkasutatavate elektrooniliste sideteenuste või üldkasutatavate sidevõrkude pakkujate tegevuse käigus. Käesoleva direktiiviga ei nõuta selliste andmete säilitamist, mis on seotud kõnedega, mille puhul ühendust ei saadud.“
Rootsi õigus
15 Eelotsusetaotlusest kohtuasjas C‑203/15 ilmneb, et Rootsi seadusandja muutis direktiivi 2006/24 riigisisesesse õigusse ülevõtmiseks elektroonilise side seadust (2003:389) (lagen (2003:389) om elektronisk kommunikation; edaspidi „LEK“) ja elektroonilise side määrust (2003:396) (förordningen (2003:396) om elektronisk kommunikation). Mõlemad õigusaktid sisaldavad põhikohtuasjade asjaoludele kohaldatavas redaktsioonis norme, mis käsitlevad elektroonilise sidega seotud andmete säilitamist ja liikmesriigi ametiasutuste juurdepääsu nendele andmetele.
16 Juurdepääsu kõnealustele andmetele reguleerivad lisaks seadus (2012:278), mis käsitleb elektroonilise side andmete kogumist õiguskaitseasutuste uurimistegevuse raames (lagen (2012:278) om inhämtning av uppgifter om elektronisk kommunikation i de brottsbekämpande myndigheternas underrättelseverksamhet; edaspidi „seadus 2012:278“) ja kohtumenetluse seadustik (rättegångsbalken; edaspidi „RB“).
Elektroonilise sidega seotud andmete säilitamise kohustus
17 Kohtuasjas C‑203/15 eelotsusetaotluse esitanud kohtu selgituste kohaselt näevad LEK 6. peatüki § 16a sätted koostoimes selle seaduse 2. peatüki §‑ga 1 elektroonilise side teenuste pakkujatele ette kohustuse säilitada andmeid, mille säilitamine oli ette nähtud direktiiviga 2006/24. Tegemist on abonente ja kõiki elektroonilise side seansse hõlmavate andmetega, mis on vajalikud side lähte- ja sihtkoha, kuupäeva, kellaaja ja kestuse, sideteenuse liigi, kasutatud seadme ja mobiilsideseadme kasutamise asukohta tuvastamiseks seansi alguses ja lõpus. Andmete säilitamise kohustus hõlmab andmeid, mis on loodud või mida on töödeldud telefoni- või mobiiltelefoniteenuse, sõnumside süsteemi, internetiühenduse teenuse ja internetiühenduse mahu pakkumise teel (ühenduse liik). See kohustus hõlmab ka vastamata kõnesid puudutavaid andmeid. Küll aga ei hõlma see kohustus elektroonilise side sisu.
18 Elektroonilise side määruse (2003:396) §-des 38–43 on täpsustatud säilitatavate andmete liigid. Telefoniteenuste puhul tuleb muu hulgas säilitada kõnedega ja valitud numbritega seotud andmed ning kõne alguse ja lõpu kuupäev ning kellaaeg. Mobiiliühenduse kaudu toimuva telefoniteenuse puhul on seatud täiendavad kohustused, sealhulgas tuleb säilitada seadme asukohaandmed kõne alguses ja lõpus. IP paketi abil kasutatavate telefoniteenuste puhul tuleb lisaks ülalmainitud andmetele muu hulgas säilitada andmed helistaja ja vastuvõtja IP aadressi kohta. Elektroonilise sõnumside teenuste puhul tuleb muu hulgas säilitada sõnumi saatjate ja vastuvõtjate numbritega seotud andmed, IP aadressid või mis tahes muud sõnumside aadressid. Internetiühenduse teenuste puhul tuleb säilitada näiteks andmed kasutajate IP aadresside kohta ning internetiseansi jälgitavad alguse ja lõpu kuupäev ja kellaaeg.
Andmete säilitamise kestus
19 LEK 6. peatüki §-st 16 ilmneb, et elektroonilise side teenuste osutajad peavad säilitama §‑s 16a osutatud andmeid kuus kuud alates päevast, mil asjaomane sideseanss lõppes. Pärast seda tuleb andmed kohe kustutada, välja arvatud juhul, kui LEK 6. peatüki § 16d teises lõigus on ette nähtud teisiti.
Juurdepääs andmetele
20 Riigi ametiasutuste juurdepääsu säilitatavatele andmetele reguleerivad seaduse 2012:278, LEK ja RB sätted.
– Seadus 2012:278
21 Teabe kogumise raames võivad Rootsi politsei, Säkerhetspolisen (Rootsi kaitsepolitsei) ja Tullverket (Rootsi toll) seaduse 2012:278 § 1 alusel selles seaduses ette nähtud tingimustel ja LEK põhjal väljastatud loa alusel tegutseva elektroonilise side võrgu või elektroonilise side teenuste osutaja teadmata koguda andmeid elektroonilise side võrgus edastatud sõnumite kohta, teatavas geograafilises piirkonnas asuvate elektroonilise side seadmete kohta või nende geograafiliste asukohtade kohta, kus elektroonilise side seade asub või asus.
22 Seaduse 2012:278 §-de 2 ja 3 kohaselt võib andmeid põhimõtteliselt koguda siis, kui asjaolud on sellised, et meede on eriti tähtis, selleks et hoida ära, ennetada või avastada kuritegevust, mis hõlmab ühte või mitut kuritegu, mille eest on karistuseks ette nähtud vähemalt kaheaastane vangistus või mis on loetletud selle seaduse §-s 3 ja mille eest on karistuseks ette nähtud vähem kui kaheaastane vangistus. Niisuguse meetme võtmist õigustavad põhjendused peavad üles kaaluma kaalutlused, mis on seotud riive või kahjuga, mille meede toob kaasa isikule, kes on meetme objekt, või vastanduvale huvile. Kõnealuse seaduse § 5 kohaselt ei tohi niisugune meede kesta kauem kui üks kuu.
23 Kõnealuse meetme võtmise otsuse teeb pädeva asutuse juht või selleks volitatud töötaja. Meetme võtmiseks ei ole vaja kohtu või sõltumatu haldusasutuse eelnevat luba.
24 Seaduse 2012:278 §-s 6 on sätestatud, et igast andmete kogumise otsusest tuleb teatada Säkerhets- och integritetsskyddsnämnden’ile (Rootsi julgeoleku- ja terviklikkuse kaitse komisjon). Õiguskaitseasutuste repressiivtegevuse üle järelevalve teostamise seaduse (2007:980) (lagen (2007:980) om tillsyn över viss brottsbekämpande verksamhet) § 1 näeb ette, et see komisjon kontrollib seaduse täitmist õiguskaitseasutuste poolt.
– LEK
25 LEK 6. peatüki § 22 esimese lõigu punkti 2 kohaselt peab elektroonilise side teenuse osutaja abonenti puudutavad andmed prokuratuuri, Rootsi politsei, julgeolekupolitsei või muu õiguskaitseasutuse nõudmisel üle andma, kui need andmed on seotud mõne kahtlustatava kuriteoga. Kohtuasjas C‑203/15 eelotsusetaotluse esitanud kohtu poolt esitatud teabe kohaselt ei ole nõutav, et tegemist oleks raske kuriteoga.
– RB
26 RB reguleerib säilitatavate andmete edastamist siseriiklikele ametiasutustele eeluurimistegevuse raames. RB 27. peatüki § 19 kohaselt on isiku teadmata „elektroonilise side jälgimise alla võtmine“ põhimõtteliselt lubatud eeluurimises, mis muu hulgas puudutab kuritegusid, mille eest on karistusena ette nähtud vähemalt kuuekuuline vangistus. „Elektroonilise side jälgimise alla võtmise“ all tuleb vastavalt RB 27. peatüki §‑le 19 mõista isiku teadmata niisuguste andmete omandamist, mis puudutavad elektroonilise side võrgu teel edastatud sõnumit, konkreetses geograafilises asukohas kasutatavaid või kasutatud elektroonilise side seadmeid või geograafilist asukohta või asukohti, kus teatavad elektroonilise side seadmed asuvad või asusid.
27 Eelotsusetaotluse esitanud kohtu poolt kohtuasjas C‑203/15 esitatud andmete kohaselt ei ole RB 27. peatüki § 19 alusel võimalik saada teavet sõnumi sisu kohta. Loa elektroonilise side jälgimise alla võtmiseks saab RB 27. peatüki § 20 alusel põhimõtteliselt anda ainult juhul, kui on usutavaid tõendeid, mis võimaldavad kahtlustada, et isik on toime pannud süüteo, ja kui meede on vältimatult vajalik uurimise eesmärgi saavutamiseks, kusjuures uurimise esemeks peab olema kuritegu, mille eest on ette nähtud vähemalt kaheaastane vangistus, või niisuguse kuriteo toimepanemise katse, ettevalmistamine või selle tarbeks kuritegeliku ühenduse loomine. RB 27. peatüki § 21 järgi peab prokuratuur elektroonilise side jälgimise alla võtmiseks küsima luba pädevalt kohtult, välja avatud siis, kui vajadus selleks toiminguks on kiireloomuline.
Säilitatavate andmete turvalisus ja kaitse
28 LEK 6. peatüki §‑s 3a on ette nähtud, et elektroonilise side teenuste osutajad peavad rakendama vajalikke tehnilisi ja korralduslikke meetmeid säilitatavate andmete kaitsmiseks oma andmetöötluse käigus. Eelotsusetaotluse esitanud kohtu poolt kohtuasjas C‑203/15 esitatud teabe kohaselt ei ole Rootsi õiguses siiski ette nähtud sätteid andmete säilitamise koha kohta.
Ühendkuningriigi õigus
DRIPA
29 DRIPA §‑s 1 „Volitused asjassepuutuvate sideandmete säilitamiseks, tingimusel et võetakse kaitsemeetmeid“ on sätestatud:
„(1) Siseminister võib teatisega („säilitamisteatis“) nõuda, et üldkasutatavate elektroonilise side teenuste pakkuja säilitab asjassepuutuvad sideandmed, juhul kui siseminister leiab, et see nõue on vajalik ja proportsionaalne seoses ühe või mitme eesmärgiga, mis kuuluvad 2000. aasta uurimisvolituste reguleerimise seaduse (Regulation of Investigatory Powers Act 2000) § 22 lõike 2 punktide a–h kohaldamisalasse (põhjused, miks võib hankida sideandmeid).
(2) Säilitamisteatis võib:
(a) olla seotud konkreetse ettevõtjaga või ükskõik mis liiki ettevõtjatega;
(b) nõuda kõigi andmete või mis tahes liiki andmete säilitamist;
(c) täpsustada ajavahemiku või ajavahemikud, mille jooksul tuleb andmeid säilitada;
(d) sisaldada seoses andmete säilitamisega muid nõudeid või piiranguid;
(e) näha erinevatel eesmärkidel ette erinevaid sätteid;
(f) olla seotud andmetega, mis ei pruugi olla teatise väljastamise või jõustumise ajal olemas.
(3) Siseminister võib määrustega näha asjassepuutuvate sideandmete säilitamise kohta ette täiendavaid sätteid.
(4) Need sätted võivad muu hulgas puudutada:
(a) säilitamisteatise väljastamisele eelduseks olevaid nõudeid;
(b) maksimaalset ajavahemikku, mille jooksul tuleb andmeid säilitamisteatise kohaselt säilitada;
(c) säilitamisteatise sisu, väljastamist, jõustamist, läbivaatamist, muutmist või tühistamist;
(d) selle lõike alusel säilitatud andmete terviklikkust, turvalisust või kaitset, neile juurdepääsu, nende avaldamist või hävitamist;
(e) asjassepuutuvate nõuete või piirangute jõustumist või nende täitmise kontrollimist;
(f) tegevusjuhist seoses asjassepuutuvate nõuetega või asjassepuutuvate piirangute või volitustega;
(g) asjassepuutuvate nõuete või piirangute täitmisel avaliku sektori telekommunikatsiooniettevõtjate kantud kulutuste hüvitamist [siseministri] poolt (tingimuste täitmisega või ilma);
(h) 2009. aasta [andmete EÜ direktiivi tähenduses] säilitamise määruste kehtivuse lõppemist ja üleminekut andmete säilitamisele käesoleva paragrahvi järgi.
(5) Lõike 4 punkti b alusel ette nähtud maksimaalne ajavahemik ei tohi ületada 12 kuud alates päevast, mis on seoses asjassepuutuvate andmetega lõike 3 kohaselt määrustega kindlaks määratud.
[…]“.
30 DRIPA § 2 määratleb „asjassepuutuvad sideandmed” kui „sideandmed, mida on nimetatud 2009. aasta andmete säilitamise (EÜ direktiiv) määruse lisas, niivõrd, kuivõrd üldkasutatava elektroonilise side teenuse pakkujad saavad Ühendkuningriigis selliseid andmeid või töötlevad neid asjassepuutuvate elektroonilise side teenuste osutamise käigus.“
RIPA
31 2000. aasta uurimisvolituste reguleerimise seaduse (edaspidi „RIPA“) II peatükis oleva § 21 „Sideandmete omandamine ja avaldamine“ lõikes 4 on ette nähtud:
„Käesolevas peatükis tähendavad „sideandmed“ mõnda järgnevalt loetletutest:
(a) igasugused liiklusandmed, mis sisalduvad teabevahetuses või on sellele lisatud (saatja poolt või muul viisil) mis tahes postiteenuse või elektroonilise side süsteemi jaoks, mille vahendusel seda edastatakse või võidakse edastada;
(b) igasugune teave, milles ei sisaldu teatise sisu (välja arvatud mis tahes teave, mis kuulub punkti a kohaldamisalasse) ja mis puudutab ükskõik kelle poolt:
(i) mis tahes posti- või elektroonilise side teenuse kasutamist; või
(ii) elektroonilise side süsteemi mis tahes osa kasutamist seoses ükskõik millise elektroonilise side teenuse kasutamisega ükskõik millise inimese poolt või sellise teenuse osutamisega ükskõik millisele isikule;
(c) igasugust teavet, mis ei kuulu punktide a ega b kohaldamisalasse, mida posti- või elektroonilise side teenust osutav isik hoiab või omandab seoses isikutega, kellele teenust osutatakse.“
32 Kohtuasja C‑698/15 eelotsusetaotluse esitanud kohtu poolt esitatud andmete kohaselt hõlmavad need andmed „kasutaja asukohaandmeid“, kuid mitte teavet sõnumi sisu kohta.
33 Säilitatavatele andmetele juurdepääsu kohta sätestab RIPA § 22:
„(1) Käesolevat artiklit kohaldatakse juhul, kui käesoleva peatüki kohaselt vastutav isik leiab, et lõikes 2 loetletud põhjustel on vajalik omandada mis tahes sideandmeid.
(2) Käesolevas lõikes loetletud põhjustel on sideandmete omandamine vajalik, kui neid on tarvis:
(a) riigi julgeoleku huvides;
(b) kuritegude vältimiseks või avastamiseks või avaliku korra rikkumiste ärahoidmiseks;
(c) Ühendkuningriigi majandusliku heaolu huvides;
(d) avaliku julgeoleku huvides;
(e) rahvatervise kaitsmiseks;
(f) mis tahes maksu või muu kohustuse, sissemakse või valitsusasutusele makstava tasu kohta otsuse tegemiseks või maksu kogumiseks;
(g) eriolukorras surma või vigastuste või isiku füüsilise või vaimse tervise kahjustamise vältimiseks või isiku füüsilise või vaimse tervise kahjustuste leevendamiseks;
(h) mis tahes muul (punktides a–g nimetamata otstarbel) [siseministri] määruses nimetatud otstarbel.
(4) Kui lõikes 5 ei ole ette nähtud teisiti, võib vastutav isik, juhul kui talle tundub, et telekommunikatsiooni või postiside operaatori valduses on või võib olla andmeid, või ta võib olla võimeline neid andmeid omandama, nõuda, et see elektroonilise side või postiside operaator
(a) omandaks need andmed, kui tal neid juba ei ole;
(b) igal juhul avaldaks kõik enda valduses olevad andmed või andmed, mis ta järgnevalt omandab.
(5) Vastutav isik võib anda lõikes 3 ette nähtud loa või teha lõikes 4 ette nähtud taotluse ainult juhul, kui ta leiab, et kõnealuste andmete omandamine, mis toimub lubatud tegevuse tagajärjel või sellekohase loa või taotluse alusel, on proportsionaalne eesmärgiga, milleks andmeid omandatakse.“
34 RIPA § 65 alusel võib esitada kaebuse Investigatory Powers Tribunalile (ametiasutuste järelevalve kohta esitatud kaebusi lahendav kohus, Ühendkuningriik), kui on alust arvata, et andmed saadi sobimatul viisil.
2014. aasta andmete säilitamise määrus
35 DRIPA alusel vastu võetud 2014. aasta andmete säilitamise määrus (Data Retention Regulations 2014) jaguneb kolme ossa, millest teise ossa kuuluvad selle määruse §-d 2–14. § 4 „Säilitamisteatised“ näeb ette:
„(1) säilitamisteatises peab olema märgitud:
(a) adressaadiks olev üldkasutatava telekommunikatsioonivõrgu operaator (või operaatorite kirjeldus);
(b) asjakohased sideandmed, mis tuleb säilitada;
(c) ajavahemik või ajavahemikud, mille jooksul tuleb andmeid säilitada;
(d) andmete säilitamisega seotud muud nõuded või piirangud.
(2) Säilitamisteates ei tohi nõuda andmete säilitamist kauem kui 12 kuud alates:
(a) liiklusandmete või teenuse kasutamise andmete puhul säilitamisteate väljastamise päevast, ja
(b) abonente puudutavate andmete puhul päevast, mis asjassepuutuv isik lõpetab teenuse kasutamise või päevast, mis vastavaid andmeid muudeti (kui see on varasem).
[…]“.
36 Selle määruse §‑s 7 „Terviklikkus ja turvalisus“ on sätestatud:
„(1) Üldkasutatava telekommunikatsioonivõrgu operaator, kes säilitab andmeid [DRIPA] § 1 alusel, peab tagama:
(a) et säiliks andmete terviklikkus ning nende suhtes kehtiks samad turvalisuse ja kaitsemeetmed, mis kehtivad võrgus olevate andmete suhtes;
(b) sobivate tehniliste ja korralduslike meetmetega, et juurdepääs säilitatavatele andmetele oleks ainult sellekohast eriluba omavatel töötajatel, ja
(c) sobivate tehniliste ja korralduslike meetmetega, et andmed oleks kaitstud ebaseadusliku hävitamise, kadumise või juhusliku hävimise, loata või ebaseadusliku säilitamise, töötlemise, juurdepääsu või avalikustamise eest.
(2) Üldkasutatava telekommunikatsioonivõrgu operaator, kes säilitab andmeid DRIPA § 1 alusel, peab need andmed hävitama, kui andmete säilitamine ei ole selle paragrahvi alusel enam lubatud ja kui see ei ole lubatud muul seadusest tuleneval alusel.
(3) Lõikes 2 ette nähtud kohustus andmed hävitada tähendab nõuet andmed selliselt kustutada, et juurdepääs neile muudetakse võimatuks.
(4) Piisab, kui operaator võtab meetmed, et andmed kustutataks iga kuu või lühemate ajavahemike järel vastavalt operaatorile praktikas kättesaadavatele võimalustele.“
37 Selle määruse §-s 8 „Säilitatavate andmete avaldamine“ on ette nähtud:
„(1) Avaliku telekommunikatsioonivõrgu operaator peab looma asjakohased turvasüsteemid (mis hõlmavad tehnilisi ja korralduslikke meetmeid), millega määratakse juurdepääs [DRIPA] § 1 alusel säilitatavatele sideandmetele, et oleks välditud andmete selline avaldamine, mida ei ole ette nähtud [DRIPA] § 1 lõike 6 punktis a.
(2) Üldkasutatava telekommunikatsioonivõrgu operaator, kes säilitab andmeid DRIPA § 1 alusel, peab neid andmeid säilitama viisil, mis võimaldaks need sellekohase taotluse saamisel ilma põhjendamatu viivituseta edastada.“
38 Kõnealuse määruse § 9 „Teabe eest vastutava voliniku poolne kontroll“ on sõnastatud järgmiselt:
„Teabe eest vastutav volinik kontrollib käesolevas osas ette nähtud nõuete ja piirangute järgimist [DRIPA] § 1 alusel säilitatavate andmete terviklikkuse, turvalisuse ja hävitamise seisukohalt.“
Omandamisjuhis
39 Sideandmete omandamise ja avalikustamise tegevusjuhise (Acquisition and Disclosure of Communications Data Code of Practice, edaspidi „omandamisjuhis“) punktid 2.5–2.9 ja 2.36–2.45 annavad suuniseid sideandmete omandamise vajalikkuse ja proportsionaalsuse kohta. Kohtuasjas C‑698/15 eelotsusetaotluse esitanud kohtu selgituste kohaselt tuleb omandamisjuhise punktide 3.72–3.77 järgi vajalikkusele ja proportsionaalsusele erilist tähelepanu pöörata juhul, kui taotletavad sideandmed on seotud isikuga, kes tegutseb kutsealal, millega seoses saadakse ametisaladusega kaitstud või muul moel konfidentsiaalset teavet.
40 Omandamisjuhise punktide 3.78–3.84 kohaselt on erijuhul, kui taotletakse sideandmeid, mille eesmärk on tuvastada ajakirjaniku allikas, vajalik kohtumäärus. Sama juhise punktid 3.85–3.87 näevad ette, et ka kohalike omavalitsuste esitatud sideandmetele juurdepääsu taotluse rahuldamiseks on vajalik kohtu luba. Seevastu ei ole kohtu ega sõltumatu asutuse luba nõutav juurdepääsuks juristi kutsesaladusega kaitstud sideandmetele ega arstide, parlamendiliikmete või vaimulikega seotud sideandmetele.
41 Omandamisjuhise punktis 7.1 on ette nähtud, et RIPA sätete alusel omandatud või saadud sideandmeid ning kõiki nende väljavõtteid, kokkuvõtteid ja koopiaid tuleb töödelda ja säilitada turvaliselt. Lisaks tuleb järgida andmekaitseseaduses (Data Protection Act) ette nähtud nõudeid.
42 Omandamisjuhise punkti 7.18 kohaselt peab Ühendkuningriigi ametiasutus juhul, kui ta analüüsib, kas avaldada sideandmeid välismaa ametiasutustele, muu hulgas hindama, kas nende andmete nõuetekohane kaitse saab olema tagatud. Sellele vaatamata ilmneb omandamisjuhise punktist 7.22, et andmete edastamine teistesse riikidesse võib toimuda, kui seda on vaja olulisest avalikust huvist lähtuval kaalutlusel, ja seda isegi juhul, kui teine riik ei taga nõuetekohasel tasemel kaitset. Kohtuasjas C‑698/15 eelotsusetaotluse esitanud kohtu poolt esitatud andmete kohaselt võib siseminister väljastada riikliku julgeolekusertifikaadi, millega jäetakse teatavad andmed õigusaktide sätete kohaldamisalast välja.
43 Omandamisjuhise punktis 8.1 tuletatakse meelde, et RIPAga loodi Interception of Communications Commissioner’i (side jälgimise volinik, Ühendkuningriik) ametikoht, sellel töötav isik peab sõltumatult jälgima, kuidas RIPA I osa II peatükis sätestatud volitusi kasutatakse ja kohustusi täidetakse. Nimetatud juhise punktist 8.3 tuleneb, et kui volinik suudab „tõendada, et tahtlik või ettevaatamatusest toime pandud rikkumine on isiku huve kahjustanud“, on tal lubatud teatada isikule, et kahtlustakse volituste kuritarvitamist.
Põhikohtuasjad ja eelotsuse küsimused
Kohtuasi C‑203/15
44 Rootsis asuv elektroonilise side teenuste osutaja Tele2 Sverige teatas 9. aprillil 2014 PTSile, et pärast direktiivi 2006/24 kehtetuks tunnistamist 8. aprilli 2014. aasta kohtuotsusega Digital Rights Ireland jt (C‑293/12 ja C‑594/12, EU:C:2014:238; edaspidi „kohtuotsus Digital Rights“), lõpetab ta alates 14. aprillist 2014 LEKs ette nähtud elektroonilise side andmete säilitamise ja kustutab sideandmed, mida ta kuni nimetatud kuupäevani on säilitanud.
45 Rikspolisstyrelsen (Rootsi Politseiamet) esitas 15. aprillil 2014 PTSile kaebuse selle peale, et Tele2 Sverige lõpetas talle kõnealuste sideandmete edastamise.
46 Justitieminister (Rootsi justiitsminister) tegi 29. aprillil 2014 eriraportöörile ülesandeks analüüsida Rootsi seadusandlust kohtuotsuse Digital Rights seisukohalt. Eriraportöör jõudis 13. juuni 2014. aasta aruandes pealkirjaga „Datalagring, EU‑rätt och svensk rätt, n°Ds 2014:23“ („Andmete säilitamine, liidu õigus ja Rootsi õigus“, edaspidi „2014. aasta aruanne“) järeldusele, et andmete säilitamist käsitlevad riigisisesed õigusnormid, mis on ette nähtud LEK artiklites 16a–16f, ei ole vastuolus liidu õigusega ega 4. novembril 1950 Roomas allkirjastatud Euroopa inimõiguste ja põhivabaduste kaitse konventsiooniga (edaspidi „EIÕK“). Eriraportöör toonitas, et kohtuotsust Digital Rights ei saa tõlgendada nii, et see keelab põhimõtteliselt andmete üldiselt ja vahet tegemata säilitamise. Ta leidis ka, et kohtuotsust Digital Rights ei tohi mõista nii, et Euroopa Kohus nägi selles ette rea kriteeriume, mis kõik peavad olema täidetud selleks, et õigusakti saaks lugeda proportsionaalseks. Selleks et kontrollida, kas Rootsi õigus on liidu õigusega kooskõlas, tuleb hinnata kõiki asjaolusid, nagu andmete säilitamise ulatus andmetele juurdepääsu võimaldavaid sätteid arvestades, andmete säilitamise kestus, nende kaitse ja turvalisus.
47 Sellest lähtuvalt andis PTS 19. juunil 2014 Tele2 Sverigele teada, et viimane on rikkunud riigisisestes õigusaktides ette nähtud kohustusi, sest ta ei ole säilitanud LEKs ette nähtud andmeid kuritegevusega võitlemise eesmärgil kuue kuu jooksul. Seejärel tegi PTS talle 27. juunil 2014 ettekirjutuse, kohustades teda hiljemalt alates 25. juulist 2014 neid andmeid säilitama.
48 Tele2 Sverige leidis, et 2014. aasta aruanne lähtub kohtuotsuse Digital Rights ebaõigest tõlgendusest ja andmete säilitamise kohustus on vastuolus hartaga tagatud põhiõigustega, ning esitas seetõttu Förvaltningsrätten i Stockholmile (Stockholmi esimese astme halduskohus, Rootsi) 27. juuni 2014. aasta ettekirjutuse peale kaebuse. Kuna viimati nimetatud kohus jättis selle kaebuse 13. oktoobri 2014. aasta otsusega rahuldamata, esitas Tele2 Sverige selle kohtuotsuse peale apellatsioonkaebuse eelotsusetaotluse esitanud kohtule.
49 Eelotsusetaotluse esitanud kohus leiab, et Rootsi õigusaktide kooskõla liidu õigusega tuleb hinnata direktiivi 2002/58 artikli 15 lõike 1 alusel. Ta juhib tähelepanu sellele, et kuigi nimetatud direktiiv näeb ette põhimõtte, et kui liiklusandmed ja asukohaandmed ei ole enam edastuse toimumiseks vajalikud, tuleb need kustutada või anonüümseks muuta, näeb selle direktiivi artikli 15 lõige 1 ette erandi sellest põhimõttest, kuna see annab liikmesriikidele nimetatud sättes toodud juhtudel õiguse piirata kustutamise või anonüümseks muutmise kohustust või näha ette kohustused andmed säilitada. Eelotsusetaotluse esitanud kohtu hinnangul lubab liidu õigus teatud juhtudel seega elektroonilise side andmeid säilitada.
50 Nimetatud kohtul on siiski tekkinud küsimus, kas selline elektroonilise side andmete üldiselt ja vahet tegemata säilitamise kohustus, nagu on vaidluse all põhikohtuasjas, on kohtuotsust Digital Rights arvestades kooskõlas direktiivi 2002/58 artikli 15 lõikega 1, tõlgendatuna harta artikleid 7 ja 8 ning artikli 52 lõiget 1 arvestades. Kuna pooled on selles küsimuses erinevatel arvamustel, siis oleks vaja, et Euroopa Kohus lahendaks üheselt küsimuse, kas elektroonilise side andmete üldiselt ja vahet tegemata säilitamine on põhimõtteliselt vastuolus harta artiklitega 7 ja 8 ning artikli 52 lõikega 1, nagu leiab Tele2 Sverige, või tuleb andmete säilitamise kooskõla liidu õigusega hinnata lähtuvalt sätetest, mis reguleerivad neile juurdepääsu, nende kaitset ja turvalisust ning säilitamise kestust, nagu on leitud 2014. aasta aruandes.
51 Neil asjaoludel otsustas eelotsusetaotluse esitanud kohus menetluse peatada ja esitada Euroopa Kohtule järgmised eelotsuse küsimused:
„1. Kas üldine kohustus säilitada kuritegevuse vastu võitlemise eesmärgil andmeliiklusandmeid, mis hõlmavad ilma igasuguste eristuste, piirangute või eranditeta kõiki isikuid, kõiki elektroonilise side seadmeid ja kõiki andmeid […], on kooskõlas direktiivi 2002/58 artikli 15 lõikega 1, võttes arvesse harta artikleid 7 ja 8 ning artikli 52 lõiget 1?
2. Kas juhul, kui vastus esimesele küsimusele on eitav, võib niisugune säilitamiskohustus siiski olla lubatav, kui:
a) siseriiklike asutuste juurdepääs säilitatavatele andmetele on kindlaks määratud nii, nagu on kirjeldatud [eelotsusetaotluse] punktides 19–36, ning
b) andmete kaitset ja turvet käsitlevad nõuded on reguleeritud nii, nagu kirjeldatud [eelotsusetaotluse] punktides 38–43, ja
c) kõiki andmeid tuleb säilitada kuus kuud alates päevast, mil asjaomane sideseanss lõppes, ning pärast seda kustutada, [nagu kirjeldatud eelotsusetaotluse] punktis 37?“
Kohtuasi C‑698/15
52 T. Watson, P. Brice ja G. Lewis esitasid kohtule High Court of Justice (England & Wales), Queen’s Bench Division (Divisional Court) (kõrgema kohtu (Inglismaa ja Wales) Queens’ Benchi talitus (halduskoda)) kaebused, milles nad palusid kontrollida DRIPA § 1 õiguspärasust, viidates muu hulgas selle paragrahvi vastuolule harta artiklitega 7 ja 8 ning EIÕK artikliga 8.
53 High Court of Justice (England & Wales), Queen’s Bench Division (Divisional Court) (kõrgema kohtu (Inglismaa ja Wales) Queens’ Benchi talitus (halduskoda)) tõdes 17. juuli 2015. aasta kohtuotsuses, et kohtuotsuses Digital Rights on sõnastatud liidu õiguse imperatiivsed nõuded, mis on kohaldatavad sideandmete säilitamist ja neile juurdepääsu käsitlevatele liikmesriigi õigusaktidele. Nimetatud kohus leidis, et kuna Euroopa Kohus asus mainitud kohtuotsuses seisukohale, et direktiiv 2006/24 on vastuolus proportsionaalsuse põhimõttega, siis ei saa selle põhimõttega kooskõlas olla ka samasisulised liikmesriigi õigusnormid. Kohtuotsuses Digital Rights järgitud arutluskäigust tuleneb, et õigusnormid, millega nähakse ette sideandmete säilitamise üldine kord, rikub harta artiklitega 7 ja 8 tagatud õigusi, juhul kui liikmesriigi õiguses ei kaasne selle korraga andmetele juurdepääsu käsitlevat korda, mis näeks ette piisavad tagatised nende õiguste kaitsmiseks. DRIPA § 1 ei ole seega kooskõlas harta artiklitega 7 ja 8, kuna selles ei ole ette nähtud selgeid ja täpseid eeskirju säilitatavatele andmetele juurdepääsu ja nende andmete kasutamise kohta, ning see ei sea andmetele juurdepääsu tingimuseks eelnevat kontrolli kohtu või sõltumatu haldusasutuse poolt.
54 Siseminister esitas selle kohtuotsuse peale apellatsioonkaebuse Court of Appealile (England & Wales) (Civil Division) (apellatsioonikohus (Inglismaa ja Wales) (tsiviilasjade koda), Ühendkuningriik).
55 Nimetatud kohus märgib, et DRIPA § 1 annab siseministrile õiguse võtta ilma kohtu või sõltumatu haldusasutuse eelneva loata vastu üldise korra, mis paneb üldkasutatava telekommunikatsiooniteenuse operaatoritele kohustuse säilitada maksimaalselt 12 kuu jooksul kõiki andmeid postiteenuse või telekommunikatsiooniteenuse kohta, juhul kui siseminister leiab, et niisugune nõue on vajalik ja proportsionaalne Ühendkuningriigi õigusaktides seatud eesmärkide saavutamiseks. Ehkki need andmed ei hõlma sideseansi sisu, võivad need olulisel määral sekkuda sideteenuste kasutajate eraellu.
56 Eelotsusetaotluse esitanud kohus leiab eelotsusetaotluses ja apellatsioonimenetluses tehtud 20. novembri 2015. aasta kohtuotsuses, millega ta otsustas esitada Euroopa Kohtule käesoleva eelotsusetaotluse, et andmete säilitamist reguleerivad riigisisesed õigusnormid kuuluvad tingimata direktiivi 2002/58 artikli 15 lõike 1 kohaldamisalasse ja peavad seega järgima hartast tulenevaid nõudeid. Samas ei ühtlustanud liidu seadusandja säilitatavatele andmetele juurdepääsu käsitlevaid norme, nagu ilmneb selle direktiivi artikli 1 lõikest 3.
57 Kohtuotsuse Digital Rights puutumuse kohta põhikohtuasjas tekkinud küsimustega märgib eelotsusetaotluse esitanud kohus, et selle kohtuotsuse tegemiseni viinud kohtuasjas pöörduti Euroopa Kohtu poole mitte riigisiseste õigusnormide, vaid direktiivi 2006/24 kehtivuse küsimuses. Iseäranis kui võtta arvesse tihedat seost andmete säilitamise ja neile juurdepääsu vahel, oleks olnud hädavajalik, et selle direktiiviga kaasnenuks erinevad tagatised ja kohtuotsuses Digital Rights oleks selle direktiiviga kehtestatud andmesäilituskorra seaduslikkuse hindamisel analüüsitud neile andmetele juurdepääsu eeskirju. Euroopa Kohus ei kavatsenud seega selles kohtuotsuses võtta seisukohta imperatiivsete nõuete suhtes, mis kehtivad andmetele juurdepääsu reguleerivatele riigisisestele õigusnormidele, millega ei rakendata liidu õigust. Lisaks oli Euroopa Kohtu arutluskäik tihedalt seotud sama direktiiviga taotletava eesmärgiga. Liikmesriikide õigusnorme tuleb siiski analüüsida lähtuvalt nende eesmärkidest ja kontekstist.
58 Seoses vajadusega esitada Euroopa Kohtule eelotsusetaotlus, rõhutab eelotsusetaotluse esitanud kohus asjaolu, et eelotsusetaotluse esitamise otsuse tegemise ajaks olid kuus teiste liikmesriikide kohut, sealhulgas viis kõrgeima astme kohut tunnistanud oma riigisisesed õigusaktid kohtuotsuse Digital Rights põhjal kehtetuks. Vastus tekkinud küsimustele ei ole seega ilmne, kuid on samas vajalik eelotsusetaotluse esitanud kohtu menetluses olevate kohtuasjade lahendamiseks.
59 Neil asjaoludel otsustas Court of Appeal (England & Wales) (Civil Division) (apellatsioonikohus (Inglismaa ja Wales) (tsiviilasjade koda)) menetluse peatada ja esitada Euroopa Kohtule järgmised eelotsuse küsimused:
„1. Kas kohtuotsuses Digital Rights (sh eelkõige selle punktides 60–62) on sedastatud Euroopa Liidu õiguses valitsevad imperatiivsed nõuded, mida kohaldatakse liikmesriigi korra suhtes, mis reguleerib juurdepääsu vastavalt siseriiklikele õigusaktidele säilitatavatele andmetele, et järgida harta artikleid 7 ja 8?
2. Kas kohtuotsusega Digital Rights on harta artikli 7 ja/või 8 kohaldamisala laiendatud üle EIÕK artikli 8 kohaldamisala, nagu selle on kindlaks määranud Euroopa Inimõiguste Kohus oma kohtupraktikas?“
Menetlus Euroopa Kohtus
60 Euroopa Kohtu president otsustas 1. veebruari 2016. aasta kohtumäärusega Davis jt (C‑698/15, ei avaldata, EU:C:2016:70) rahuldada Court of Appeali (England & Wales) (Civil Division) (apellatsioonikohus (Inglismaa ja Wales) (tsiviilkoda)) taotluse lahendada kohtuasi C‑698/15 kiirendatud menetluses vastavalt Euroopa Kohtu kodukorra artikli 105 lõikele 1.
61 Euroopa Kohtu presidendi 10. märtsi 2016. aasta määrusega liideti kohtuasjad C‑203/15 ja C‑698/15 suulise menetluse ja kohtuotsuse tegemise huvides.
Eelotsuse küsimuste analüüs
Esimene küsimus kohtuasjas C‑203/15
62 Kohtuasjas C‑203/15 esitatud esimese küsimusega palub Kammarrätten i Stockholm (Stockholmi apellatsiooniastme halduskohus) sisuliselt selgitada, kas direktiivi 2002/58 artikli 15 lõiget 1 tuleb harta artikleid 7 ja 8 ning artikli 52 lõiget 1 arvesse võttes tõlgendada nii, et sellega on vastuolus niisugused liikmesriigi õigusnormid, nagu on vaidluse all põhikohtuasjas ja mis näevad kuritegevuse vastu võitlemise eesmärgil ette kohustuse säilitada üldiselt ja vahet tegemata kõikide abonentide ja registreeritud kasutajate kõik liiklusandmed ja asukohaandmed, olenemata kasutatud elektroonilise sidevahendi liigist.
63 Selle küsimuse lähtekoht on eelkõige asjaolu, et direktiiv 2006/24, mille ülevõtmiseks põhikohtuasjas vaidluse all olevad liikmesriigi õigusnormid vastu võeti, on kohtuotsusega Digital Rights kehtetuks tunnistatud, kuid pooled on eri meelt selle kohtuotsuse ulatuse suhtes ja selle kohtuotsuse mõju suhtes vaidluse all olevatele siseriiklikele õigusnormidele, mis reguleerivad liiklusandmete ja asukohaandmete säilitamist ja riigi ametiasutuste juurdepääsu neile andmetele.
64 Esmalt tuleb analüüsida, kas sellised liikmesriigi õigusnormid, nagu on vaidluse all põhikohtuasjas, kuuluvad liidu õiguse kohaldamisalasse.
Direktiivi 2002/58 kohaldamisala
65 Liikmesriigid, kes on esitanud Euroopa Kohtule kirjalikud seisukohad, on avaldanud erinevaid arvamusi küsimuses, kas ja mil määral kuuluvad direktiivi 2002/58 kohaldamisalasse liikmesriigi õigusnormid, mis käsitlevad liiklusandmete ja asukohaandmete säilitamist ja riigi ametiasutuste juurdepääsu neile andmetele kuritegevuse vastu võitlemise eesmärgil. Eelkõige Belgia, Taani, Saksa, Eesti, Iirimaa ja Madalmaade valitsus on avaldanud arvamust, et niisugusele küsimusele tuleb vastata jaatavalt, samas kui Tšehhi valitsus on soovitanud sellele vastata eitavalt, tuues esile, et nende õigusnormide ainus eesmärk on võidelda kuritegevusega. Ühendkuningriigi valitsus aga rõhutas, et selle direktiivi kohaldamisalasse kuuluvad ainult õigusnormid, mis reguleerivad andmete säilitamist, mitte aga normid, mis käsitlevad liikmesriigi pädevate õiguskaitseasutuste juurdepääsu neile andmetele.
66 Mis viimaseks puudutab komisjoni, siis Euroopa Kohtule kohtuasjas C‑203/15 esitatud kirjalikes seisukohtades on komisjon seisukohal, et põhikohtuasjas vaidluse all olevad õigusnormid kuuluvad direktiivi 2002/58 kohaldamisalasse, kohtuasjas C‑698/15 esitatud kirjalikes seisukohtades märgib ta aga, et selle direktiivi kohaldamisalasse kuuluvad üksnes õigusnormid, mis reguleerivad andmete säilitamist, mitte aga normid, mis käsitlevad riigi ametiasutuste juurdepääsu neile andmetele. Neid norme tuleb aga komisjoni hinnangul siiski arvesse võtta selle hindamisel, kas liikmesriigi õigusnormid, mis reguleerivad andmete säilitamist elektroonilise side teenuste osutajate poolt, kujutavad endast proportsionaalset sekkumist harta artiklitega 7 ja 8 tagatud põhiõigustesse.
67 Selles suhtes tuleb märgida, et direktiivi 2002/58 kohaldamisala ulatust tuleb tõlgendada eelkõige lähtuvalt selle direktiivi üldisest ülesehitusest.
68 Direktiivi 2002/58 artikli 1 lõike 1 kohaselt nähakse selle direktiiviga ette nende siseriiklike sätete ühtlustamine, mis on vajalikud põhiõiguste ja -vabaduste, eelkõige eraelu puutumatuse ja konfidentsiaalsuse kaitse tagamiseks võrdväärsel tasemel elektroonilise side sektoris isikuandmete töötlemisel.
69 Selle direktiivi artikli 1 lõike 3 kohaselt on direktiivi kohaldamisalast välistatud „riigi tegevus“, mis jääb väljapoole direktiiviga hõlmatud valdkondi, nagu muu hulgas riigi tegevus karistusõiguse valdkonnas ja tegevus, mis on seotud avaliku korra, riigikaitse ja riigi julgeolekuga, kaasa arvatud riigi majandusliku heaoluga, kui tegevus on seotud riigi julgeolekuga (vt analoogia alusel direktiivi 95/46 artikli 3 lõike 2 esimese taande kohta kohtuotsused, 6.11.2003, Lindqvist, C‑101/01, EU:C:2003:596, punkt 43, ning 16.12.2008, Satakunnan Markkinapörssi ja Satamedia, C‑73/07, EU:C:2008:727, punkt 41).
70 Direktiivi 2002/58 artiklis 3 on aga ette nähtud, et seda direktiivi kohaldatakse isikuandmete töötlemisele, mis toimub seoses üldkasutatavate elektroonilise side teenuste osutamisega liidu üldkasutatavates sidevõrkudes, sealhulgas andmete kogumist ja tuvastusseadmeid toetavates üldkasutatavates sidevõrkudes (edaspidi „elektroonilise side teenused“). Seetõttu tuleb seda direktiivi käsitada nii, et see reguleerib niisuguste teenuste osutajate tegevust.
71 Direktiivi 2002/58 artikli 15 lõige 1 lubab liikmesriikidel võtta selles direktiivis ette nähtud tingimustel „seadusandlikke meetmeid, millega piiratakse […] direktiivi artiklites 5 ja 6, artikli 8 lõigetes 1, 2, 3 ja 4 ning artiklis 9 sätestatud õiguste ja kohustuste ulatust“. Mainitud direktiivi artikli 15 lõike 1 teises lauses on näitena meetmetest, mida liikmesriigid võivad nõnda võtta, nimetatud meetmeid, „millega nähakse ette andmete säilitamine“.
72 Mõistagi seonduvad direktiivi 2002/58 artikli 15 lõikes 1 nimetatud seadusandlikud meetmed riigi ametiasutustele tüüpiliste ülesannetega, mis ei puutu üksikisikute tegevusvaldkonda (vt selle kohta kohtuotsus, 29.1.2008, Promusicae, C‑275/06, EU:C:2008:54, punkt 51). Lisaks kattuvad eesmärgid, millele niisugused meetmed peavad selle sätte kohaselt vastama, ehk antud juhul riigi julgeoleku, riigikaitse ja avaliku korra tagamine ja kriminaalkuritegude või elektroonilise sidesüsteemi volitamata kasutamise ennetamine, uurimine, avastamine ja kohtus menetlemine, suures ulatuses eesmärkidega, mida on mainitud selle direktiivi artikli 1 lõikes 3.
73 Direktiivi 2002/58 üldist ülesehitust arvestades ei võimalda käesoleva kohtuotsuse eelmises punktis esile toodud asjaolud siiski järeldada, et direktiivi 2002/58 artikli 15 lõikes 1 mainitud seadusandlikud meetmed on selle direktiivi kohaldamisalast välistatud, vastasel juhul jääks see säte täielikult ilma oma soovitavast toimest. Kõnealune säte eeldab nimelt tingimata, et selles nimetatud riigisisesed meetmed nagu andmete säilitamine kuritegevuse vastu võitlemise eesmärgil kuuluvad selle direktiivi kohaldamisalasse, sest direktiiv lubab liikmesriikidel sõnaselgelt võtta neid meetmeid ainult seal ette nähtud tingimustel.
74 Lisaks reguleerivad direktiivi 2002/58 artikli 15 lõikes 1 nimetatud seadusandlikud meetmed selles sättes nimetatud otstarbel elektroonilise side teenuste osutajate tegevust. Seetõttu tuleb kõnealuse direktiivi artikli 15 lõiget 1 koostoimes sama direktiivi artikliga 3 tõlgendada nii, et niisugused seadusandlikud meetmed kuuluvad selle direktiivi kohaldamisalasse.
75 Täpsemalt kuulub sellesse kohaldamisalasse niisugune seadusandlik meede, nagu on vaidluse all põhikohtuasjas ja mis paneb neile teenuseosutajatele kohustuse säilitada liiklusandmed ja asukohaandmed, kuna see tegevus hõlmab tingimata ka isikuandmete töötlemist nende teenuseosutajate poolt.
76 Sellesse kohaldamisalasse kuulub ka seadusandlik meede, mis samamoodi nagu põhikohtuasjas käsitletav meede puudutab riigi ametiasutuste juurdepääsu elektroonilise side teenuste osutajate säilitatavatele andmetele.
77 Elektroonilise side ja sellega seotud andmeliikluse konfidentsiaalsuse kaitse, mis on tagatud direktiivi 2002/58 artikli 5 lõikega 1, laieneb nimelt meetmetele, mille on võtnud mis tahes isikud peale kasutajate, olenemata sellest, kas tegemist on eraõiguslike isikute või üksustega või riiklike üksustega. Nähtuvalt selle direktiivi põhjendusest 21 on direktiivi eesmärk välistada mis tahes „volitamata juurdepääs“ sideandmetele, sealhulgas „sidega seotud andmetele“, et kaitsta elektroonilise side konfidentsiaalsust.
78 Neil asjaoludel puudutab seadusandlik meede – millega liikmesriik paneb direktiivi 2002/58 artikli 15 lõike 1 alusel elektroonilise side teenuste osutajatele selles sättes mainitud otstarbel kohustuse anda riigi ametiasutustele kehtestatavas meetmes ette nähtud tingimustel juurdepääs nende teenuseosutajate säilitatavatele sideandmetele – isikuandmete töötlemist nende teenuseosutajate poolt, selline töötlemine kuulub aga kõnealuse direktiivi kohaldamisalasse.
79 Kuna andmete säilitamine toimub üksnes eesmärgil teha need andmed vajaduse korral kättesaadavaks pädevatele liikmesriigi ametiasutustele, siis eeldab andmete säilitamise kohustuse ette nägev liikmesriigi regulatsioon lisaks niisuguste sätete olemasolu, mis käsitlevad riigi pädevate ametiasutuste juurdepääsu elektroonilise side teenuste osutajate säilitatavatele andmetele.
80 Seda tõlgendust kinnitab direktiivi 2002/58 artikli 15 lõige 1b, mis näeb ette, et teenuseosutajad kehtestavad sisemise korra kasutajate isikuandmetele juurdepääsu taotlustele vastamiseks selle direktiivi artikli 15 lõike 1 kohaselt vastu võetud riigisiseste sätete alusel.
81 Eelnevast tuleneb, et sellised liikmesriigi õigusnormid, nagu on vaidluse all kohtuasjade C‑203/15 ja C‑698/15 põhikohtuasjades, kuuluvad direktiivi 2002/58 kohaldamisalasse.
Direktiivi 2002/58 artikli 15 lõike 1 tõlgendamine harta artikleid 7, 8 ja 11 ning artikli 52 lõiget 1 arvestades
82 Olgu märgitud, et direktiivi 2002/58 artikli 1 lõike 2 kohaselt „täpsustavad ja täiendavad“ selle direktiivi sätted direktiivi 95/46 sätteid. Direktiivi 2002/58 põhjenduses 2 on täpsustatud, et eelkõige püütakse selle direktiiviga tagada harta artiklites 7 ja 8 sätestatud õiguste täielik austamine. Selle kohta ilmneb seletuskirjast ettepanekule võtta vastu Euroopa Parlamendi ja nõukogu direktiiv, mis käsitleb isikuandmete töötlemist ja eraelu puutumatuse kaitset elektroonilise side sektoris (KOM(2000) 385 lõplik), millel direktiiv 2002/58 põhineb, et liidu seadusandja soovis teha nii, et isikuandmete ja eraelu kõrgetasemeline kaitse jätkuks kõigi elektroonilise side teenuste puhul, olenemata kasutatavast tehnoloogiast.
83 Sel otstarbel sisaldab direktiiv 2002/58 spetsiaalseid sätteid, mille eesmärk nähtuvalt direktiivi põhjendustest 6 ja 7 on kaitsta elektroonilise side teenuste kasutajaid nende isikuandmeid ja eraelu puudutavate ohtude eest, mis on tingitud uutest tehnoloogiatest ning andmete automatiseeritud salvestamise ja töötlemise suurenevast mahust.
84 Täpsemalt on direktiivi artikli 5 lõikes 1 ette nähtud, et liikmesriigid peavad siseriiklike õigusaktidega tagama üldkasutatava sidevõrgu ja üldkasutatavate elektroonilise side teenuste kaudu toimuva side ja sellega seotud liiklusandmete konfidentsiaalsuse.
85 Direktiiviga 2002/58 sätestatud sideandmete konfidentsiaalsuse põhimõte tähendab nähtuvalt direktiivi artikli 5 lõike 1 teisest lausest, et põhimõtteliselt on kõigil isikutel peale kasutajate keelatud ilma kasutajate nõusolekuta salvestada elektroonilise sidega seotud liiklusandmeid. Ainsad erandid puudutavad isikuid, kes võivad seda õiguspäraselt teha asjaomase direktiivi artikli 15 lõike 1 kohaselt, ja side edastamiseks vajalikku tehnilist salvestamist (vt selle kohta kohtuotsus, 29.1.2008, Promusicae, C‑275/06, EU:C:2008:54, punkt 47).
86 Niisiis, ja nagu kinnitavad direktiivi 2002/58 põhjendused 22 ja 26, on liiklusandmete töötlemine ja säilitamine selle direktiivi artikli 6 kohaselt lubatud ainult niisuguse ulatuse ja kestusega, kui see on vajalik teenuste eest arvete koostamiseks, nende turustamiseks ja lisaväärtusteenuste osutamiseks (vt selle kohta kohtuotsus, 29.1.2008, Promusicae, C‑275/06, EU:C:2008:54, punktid 47 ja 48). Mis täpsemalt puudutab teenuste eest arvete koostamist, siis selline töötlemine on lubatud ainult selle tähtaja lõpuni, mille jooksul võib arve õiguspäraselt vaidlustada või mille jooksul võib võtta meetmeid arve sissenõudmiseks. Pärast selle tähtaja möödumist tuleb töödeldud ja salvestatud andmed kustutada või anonüümseks muuta. Muude asukohaandmete kui liiklusandmed kohta näeb kõnealuse direktiivi artikli 9 lõige 1 ette, et neid andmeid võib töödelda ainult teatavatel tingimustel ja pärast nende anonüümseks muutmist või kasutajate või abonentide nõusolekul.
87 Lisaks tuleb selle hindamisel, millise ulatusega on direktiivi 2002/58 artiklid 5 ja 6 ning artikli 9 lõige 1, mille eesmärk on sideseansside ja nendega seonduvate andmete konfidentsiaalsuse tagamine ja kuritarvituste ohu vähendamine, lähtuda selle direktiivi põhjendusest 30, mille kohaselt peaks „[e]lektrooniliste sidevõrkude pakkumise ja elektrooniliste sideteenuste osutamise süsteemid […] olema välja töötatud nii, et vajalike isikuandmete hulk oleks minimaalne“.
88 Direktiivi 2002/58 artikli 15 lõige 1 võimaldab küll liikmesriikidel teha erandeid direktiivi artikli 5 lõikes 1 ette nähtud põhimõttelisest kohustusest tagada isikuandmete konfidentsiaalsus, ja sellele vastavatest kohustustest, mida on mainitud eelkõige selle direktiivi artiklites 6 ja 9 (vt selle kohta kohtuotsus, 29.1.2008, Promusicae, C‑275/06, EU:C:2008:54, punkt 50).
89 Direktiivi 2002/58 artikli 15 lõiget 1 tuleb aga osas, milles see võimaldab liikmesriikidel piirata sideseansside ja nendega seonduvate liiklusandmete konfidentsiaalsuse tagamise põhimõttelise kohustuse ulatust, vastavalt Euroopa Kohtu praktikale tõlgendada kitsalt (vt analoogia alusel kohtuotsus, 22.11.2012, Probst, C‑119/12, EU:C:2012:748, punkt 23). Selline säte ei saa põhjendada seda, et erand kõnealusest põhimõttelisest kohustusest ja täpsemalt kõnealuse direktiivi artiklis 5 ette nähtud andmete säilitamise keelust saaks reegliks, vastasel juhul jääks viimati nimetatud säte suuresti sisutühjaks.
90 Sellega seoses tuleb märkida, et direktiivi 2002/58 artikli 15 lõike 1 esimeses lauses on ette nähtud, et selles sättes mainitud seadusandlikud meetmed, millega piiratakse sideseansside ja nendega seonduva andmeliikluse konfidentsiaalsuse põhimõtet, peavad aitama kaitsta „riiklikku julgeolekut (st riigi julgeolekut), riigikaitset, avalikku korda, kriminaalkuritegude või elektroonilise sidesüsteemi volitamata kasutamise ennetamist, uurimist, avastamist ja kohtus menetlemist“ või olema võetud mõnel muul eesmärgil, mida on nimetatud direktiivi 95/46 artikli 13 lõikes 1, millele viitab direktiivi 2002/58 artikli 15 lõike 1 esimene lause (vt selle kohta kohtuotsus, 29.1.2008, Promusicae, C‑275/06, EU:C:2008:54, punkt 53). See eesmärkide loetelu on ammendav, nagu selgub viimati nimetatud direktiivi artikli 15 lõike 1 teisest lausest, mille kohaselt peavad seadusandlikud meetmed olema võetud selle direktiivi artikli 15 lõike 1 esimeses lauses „sätestatud põhjustel“. Seetõttu ei tohi liikmesriigid võtta niisuguseid meetmeid muudel põhjustel kui need, mida on mainitud viimati nimetatud sättes.
91 Lisaks on direktiivi 2002/58 artikli 15 lõike 1 kolmandas lauses ette nähtud, et „[k]õik [selle direktiivi artikli 15 lõikes 1] osutatud meetmed on kooskõlas [liidu] õiguse üldpõhimõtetega, kaasa arvatud [EL] artikli 6 lõigetes 1 ja 2 osutatud põhimõtetega“, mille hulgas on üldpõhimõtted ja põhiõigused, mis nüüdsest on tagatud hartaga. Direktiivi 2002/58 artikli 15 lõike 1 tõlgendamisel tuleb niisiis lähtuda hartaga tagatud põhiõigustest (vt analoogia alusel direktiivi 95/46 kohta kohtuotsused, 20.5.2003, Österreichischer Rundfunk jt, C‑465/00, C‑138/01 ja C‑139/01, EU:C:2003:294, punkt 68; 13.5.2014, Google Spain ja Google, C‑131/12, EU:C:2014:317, punkt 68, ning 6.10.2015, Schrems, C‑362/14, EU:C:2015:650, punkt 38).
92 Sellega seoses olgu rõhutatud, et niisuguste liikmesriigi õigusnormidega, nagu on käsitluse all põhikohtuasjas, elektroonilise side teenuste osutajatele pandud kohustus säilitada liiklusandmeid, et neid oleks vajaduse korral võimalik teha kättesaadavaks pädevatele liikmesriigi ametiasutustele, tekitab küsimusi mitte ainult harta artiklite 7 ja 8 järgimise kohta, mida on eelotsuse küsimustes sõnaselgelt mainitud, vaid ka harta artikliga 11 tagatud sõnavabaduse järgimise kohta (vt analoogia alusel direktiivi 2006/24 kohta kohtuotsus Digital Rights, punktid 25 ja 70).
93 Nii harta artikliga 7 tagatud õiguse eraelu puutumatusele kui ka artikliga 8 tagatud õiguse isikuandmete kaitsele tähtsust, mida on rõhutatud Euroopa Kohtu praktikas (vt selle kohta kohtuotsus 6.10.2015, Schrems, C‑362/14, EU:C:2015:650, punkt 39 ja seal viidatud kohtupraktika), tuleb direktiivi 2002/58 artikli 15 lõike 1 tõlgendamisel seega arvesse võtta. Sama kehtib ka sõnavabaduse suhtes, kui võtta arvesse selle vabaduse eriti suurt tähtsust igas demokraatlikus ühiskonnas. See harta artikliga 11 tagatud põhivabadus on üks demokraatliku ja pluralistliku ühiskonna alustaladest, kuuludes väärtuste hulka, millel liit ELL artikli 2 kohaselt rajaneb (vt selle kohta kohtuotsused, 12.6.2003, Schmidberger, C‑112/00, EU:C:2003:333, punkt 79, ja 6.9.2011, Patriciello, C‑163/10, EU:C:2011:543, punkt 31).
94 Selle kohta olgu meelde tuletatud, et vastavalt harta artikli 52 lõikele 1 tohib hartaga tunnustatud õiguste ja vabaduste teostamist piirata ainult seadusega ning nende olemust arvestades. Proportsionaalsuse põhimõtte kohaselt võib nende õiguste ja vabaduste kasutamisele piiranguid seada üksnes juhul, kui need on vajalikud ning vastavad tegelikult liidu poolt tunnustatud üldist huvi pakkuvatele eesmärkidele või vajadusele kaitsta teiste isikute õigusi ja vabadusi (kohtuotsus, 15.2.2016, N., C‑601/15 PPU, EU:C:2016:84, punkt 50).
95 Direktiivi 2002/58 artikli 15 lõike 1 esimeses lauses on selle kohta ette nähtud, et liikmesriigid võivad võtta seadusandlikke meetmeid, millega piiratakse sideseansside ja nendega kaasnevate liiklusandmete konfidentsiaalsuse põhimõtet, kui selline piiramine on demokraatlikus ühiskonnas „vajalik, otstarbekas ja proportsionaalne“ viidatud sättes loetletud eesmärkide saavutamiseks. Direktiivi põhjenduses 11 on aga märgitud, et seda laadi meetmed peavad olema „rangelt“ proportsionaalsed kavandatud eesmärgiga. Mis täpsemalt puudutab andmete säilitamist, siis nõuab nimetatud direktiivi artikli 15 lõike 1 teine lause, et andmeid tohib säilitada ainult „piiratud aja jooksul“, ja see peab toimuma selle direktiivi artikli 15 lõike 1 esimeses lauses „sätestatud põhjustel“.
96 Proportsionaalsuse põhimõtte järgimine tuleneb samuti Euroopa Kohtu väljakujunenud praktikast, mille kohaselt nõuab eraelu puutumatuse põhiõiguse kaitsmine liidu tasandil, et isikuandmete kaitse erandid ja piirangud piirduksid rangelt vajalikuga (kohtuotsused, 16.12.2008, Satakunnan Markkinapörssi ja Satamedia, C‑73/07, EU:C:2008:727, punkt 56; 9.11.2010, Volker und Markus Schecke ja Eifert, C‑92/09 ja C‑93/09, EU:C:2010:662, punkt 77; Digital Rights, punkt 52, ja 6.10.2015, Schrems, C‑362/14, EU:C:2015:650, punkt 92).
97 Küsimuse kohta, kas niisugused liikmesriigi õigusnormid, nagu on vaidluse all kohtuasjas C‑203/15, vastavad neile tingimustele, tuleb märkida, et need õigusnormid näevad ette kohustuse säilitada üldiselt ja vahet tegemata kõikide abonentide ja registreeritud kasutajate kõik liiklusandmed ja asukohaandmed, olenemata kasutatud elektroonilise sidevahendi liigist, ja kohustavad elektroonilise side teenuste osutajaid neid andmeid süstemaatiliselt ja pidevalt säilitama, nägemata ette mingeid erandeid. Eelotsusetaotlusest ilmneb, et nende õigusnormidega ette nähtud andmeliigid vastavad sisuliselt neile andmeliikidele, mille säilitamine oli ette nähtud direktiiviga 2006/24.
98 Andmed, mida elektroonilise side teenuste osutajad peavad säilitama, võimaldavad kindlaks teha side lähte- ja sihtkoha, kuupäeva, kellaaja ja kestuse, sideteenuse liigi, kasutatud seadme ja mobiilsideseadme kasutamise asukoha. Muu hulgas kuuluvad nende andmete hulka abonendi või registreeritud kasutaja aadress, helistaja telefoninumber ja valitud number ning internetiteenuste IP‑aadress. Täpsemalt võimaldavad need andmed teada saada, millise isikuga ja millise sidevahendi kaudu abonent või registreeritud kasutaja suhtles, ning teha kindlaks sideseansi toimumise aja ja koha. Need andmed võimaldavad ka teada saada, kui sageli abonent või registreeritud kasutaja teatud isikutega mingil ajavahemikul suhtles (vt analoogia alusel direktiivi 2006/24 kohta kohtuotsus Digital Rights, punkt 26).
99 Need andmed koosvõetuna võimaldavad teha väga täpseid järeldusi selliste isikute eraelu kohta, kelle andmeid säilitatakse, näiteks nende igapäevaelu harjumuste, alalise või ajutise elukoha, igapäevaste või muude liikumiste, tegevuste, sotsiaalsete suhete ja ühiskonnagruppide kohta, kellega nad läbi käivad (vt analoogia alusel direktiivi 2006/24 kohta kohtuotsus Digital Rights, punkt 27). Täpsemalt – seda rõhutab ka kohtujurist oma ettepaneku punktides 253, 254 ja 257–259 – võimaldavad need andmed koostada asjaomaste isikute profiili, mis on õigust eraelu puutumatusele arvestades sama tundlik teave kui sideseansi sisu ise.
100 Niisugused õigusnormid toovad kaasa harta artiklites 7 ja 8 ette nähtud põhiõiguste ulatusliku riive, mida tuleb pidada eriti raskeks. Asjaolu, et andmete säilitamine toimub ilma elektroonilise side teenuste kasutajaid sellest teavitamata, võib neis isikutes tekitada tunde, et nende eraelu pidevalt jälgitakse (vt analoogia alusel direktiivi 2006/24 kohta kohtuotsus Digital Rights, punkt 37).
101 Ehkki niisugused õigusnormid ei anna luba sideseansi sisu säilitamiseks ega kahjusta seega nimetatud õiguste põhisisu (vt analoogia alusel direktiivi 2006/24 kohta kohtuotsus Digital Rights, punkt 39), võib liiklusandmete ja asukohaandmete säilitamine ikkagi avaldada otsustava tähtsusega mõju elektrooniliste sidevahendite kasutamisele ning seeläbi mõjutada ka harta artikliga 11 tagatud sõnavabaduse teostamist (vt analoogia alusel direktiivi 2006/24 kohta kohtuotsus Digital Rights, punkt 28).
102 Arvestades seda, kui raske on käesoleval juhul põhiõiguste riive, mis tekitatakse liikmesriigi õigusnormidega, mis näevad kuritegevuse vastu võitlemise eesmärgil ette liiklusandmete ja asukohaandmete säilitamise, on sellist meedet võimalik põhjendada ainult võitlusega raskete kuritegude vastu (vt analoogia alusel direktiivi 2006/24 kohta kohtuotsus Digital Rights, punkt 60).
103 Kuigi raske kuritegevuse, eeskätt organiseeritud kuritegevuse ja terrorismi vastase võitluse tõhusus võib suures ulatuses sõltuda nüüdisaegse uurimistehnika kasutamisest, ei saa ainuüksi selle üldist huvi pakkuva eesmärgiga – olenemata sellest, kui oluline see ka on – siiski põhjendada seda, et liikmesriigi õigusnorme, millega nähakse ette kohustus säilitada üldiselt ja vahet tegemata kõik liiklusandmed ja asukohaandmed, peetakse kuritegevusvastase võitluse jaoks vajalikuks (vt analoogia alusel direktiivi 2006/24 kohta kohtuotsus Digital Rights, punkt 51).
104 Selle kohta tuleb esiteks märkida, et arvestades niisuguste õigusnormide omadusi, mida on kirjeldatud käesoleva kohtuotsuse punktis 97, saab liiklusandmete ja asukohaandmete säilitamine nende normide tagajärjel reegliks, samas kui direktiiviga 2002/58 kehtestatud süsteem nõuab, et selline andmete säilitamine oleks erand.
105 Teiseks ei näe niisugused riigisisesed õigusnormid, nagu on vaidluse all põhikohtuasjas ja mis hõlmavad üldiselt kõiki abonente ja registreeritud kasutajaid ning kõiki elektroonilise side vahendeid ja liiklusandmeid, ette mingeid taotletavast eesmärgist lähtuvaid eristamisi, piiranguid või erandeid. Need puudutavad üldiselt kõiki isikuid, kes kasutavad elektroonilise side teenuseid, ilma et isikud, kelle andmeid säilitatakse, oleksid kas või kaudselt olukorras, mis võiks anda alust kriminaalmenetluse algatamiseks. Järelikult on need kohaldatavad ka isikutele, kelle kohta pole mingeid tõendeid, mille põhjal võiks arvata, et nende käitumisel oleks kas või kaudne või kauge seos raskete kuritegudega. Peale selle ei näe need ette ühtegi erandit, mistõttu on need kohaldatavad ka isikutele, kelle sideseansid kuuluvad liikmesriigi õiguse kohaselt ametisaladuse alla (vt analoogia alusel direktiivi 2006/24 kohta kohtuotsus Digital Rights, punktid 57 ja 58).
106 Niisugused õigusnormid ei nõua mingi seose olemasolu säilitatavate andmete ja ohu vahel avalikule julgeolekule. Eelkõige ei piira need säilitamist andmetega, mis kuuluvad kindlasse ajavahemikku ja/või kindlasse geograafilisse piirkonda ja/või puudutavad teatavaid isikuid, kes võivad olla mingil viisil seotud raske kuriteoga, või isikutega, kelle andmete säilitamine võib muul põhjusel kaasa aidata kuritegude vastu võitlemisele (vt analoogia alusel direktiivi 2006/24 kohta kohtuotsus Digital Rights, punkt 59).
107 Niisugused liikmesriigi õigusnormid, nagu on käsitluse all põhikohtuasjas, väljuvad seega rangelt vajaliku piiridest ja demokraatlikus ühiskonnas ei saa neid lugeda põhjendatuks, nagu nõuab direktiivi 2002/58 artikli 15 lõige 1, tõlgendatuna harta artikleid 7, 8 ja 11 ning artikli 52 lõiget 1 arvestades.
108 Küll aga ei ole direktiivi 2002/58 artikli 15 lõikega 1, tõlgendatuna harta artikleid 7, 8 ja 11 ning artikli 52 lõiget 1 arvestades, vastuolus see, kui liikmesriik võtab vastu õigusnormid, mis raske kuritegevuse vastu võitlemise eesmärgil võimaldavad liiklusandmete ja asukohaandmete eesmärgipärast ennetavat säilitamist, tingimusel et andmete säilitamine oleks säilitatavate andmete liigi, asjassepuutuvate sidevahendite ja isikute ning säilitamise kestuse osas piiratud rangelt vajalikuga.
109 Käesoleva kohtuotsuse eelmises punktis esitatud nõuete täitmiseks peavad need liikmesriigi õigusnormid esiteks sätestama selged ja täpsed eeskirjad niisuguse andmete säilitamise meetme ulatuse ja kohaldamise kohta ning kehtestama miinimumnõuded, nii et isikutel, kelle andmeid säilitatakse, oleksid piisavad garantiid, mis võimaldaks tõhusalt kaitsta nende isikuandmeid kuritarvitamise ohu eest. Täpsemalt peavad need liikmesriigi õigusnormid ette nägema, millistel asjaoludel ja milliste tingimuste kohaselt võib andmete säilitamise meetme ennetavalt võtta, tagades seeläbi, et niisugune meede piirduks rangelt vajalikuga (vt analoogia alusel direktiivi 2006/24 kohta kohtuotsus Digital Rights, punkt 54 ja seal viidatud kohtupraktika).
110 Mis teiseks puudutab sisulisi tingimusi, millele liikmesriigi õigusnormid, mis lubavad kuritegevuse vastu võitlemise raames ennetavalt säilitada liiklusandmeid ja asukohaandmeid, peavad vastama, et tagada, et need piirduks rangelt vajalikuga, siis tuleb märkida, et kuigi need tingimused võivad varieeruda vastavalt meetmetele, mis võetakse raske kuriteo ennetamiseks, uurimiseks, avastamiseks ja menetlemiseks, peab andmete säilitamine siiski alati vastama objektiivsetele kriteeriumidele, mis loovad seose säilitatavate andmete ja taotletava eesmärgi vahel. Täpsemalt peavad need tingimused olema sellised, mis praktikas võimaldaks meetme ulatust ja seeläbi ka puudutatud isikute ringi tõhusalt piirata.
111 Mis puudutab niisuguse meetme piiramist seoses potentsiaalselt puudutatud isikute ringi ja olukordadega, siis liikmesriigi õigusnormid peavad lähtuma objektiivsetest asjaoludest, mis võimaldavad meetme suunata isikute ringile, kellega seotud andmetest võib avalduda kas või kaudne seos raskete kuritegudega, või mis võimaldavad ühel või teisel viisil võidelda raske kuritegevusega või ära hoida suurt ohtu avalikule julgeolekule. Niisuguse piirangu võib saavutada geograafilise kriteeriumi seadmise teel, kui pädevad ametiasutused leivad objektiivsete asjaolude pinnalt, et ühes või mitmes geograafilises piirkonnas esineb kõrgendatud oht selliste kuritegude ettevalmistamiseks või toimepanemiseks.
112 Kõiki eelnevaid kaalutlusi arvestades tuleb kohtuasjas C‑203/15 esitatud esimesele küsimusele vastata, et direktiivi 2002/58 artikli 15 lõiget 1 tuleb harta artikleid 7, 8 ja 11 ning artikli 52 lõiget 1 arvesse võttes tõlgendada nii, et sellega on vastuolus liikmesriigi õigusnormid, mis näevad kuritegevuse vastu võitlemise eesmärgil ette kõiki elektroonilise side vahendeid puudutava kohustuse säilitada üldiselt ja vahet tegemata kõikide abonentide ja registreeritud kasutajate kõik liiklusandmed ja asukohaandmed.
Teine küsimus kohtuasjas C‑203/15 ja esimene küsimus kohtuasjas C‑698/15
113 Sissejuhatuseks tuleb märkida, et Kammarrätten i Stockholm (Stockholmi apellatsiooniastme halduskohus) esitas teise küsimuse kohtuasjas C‑203/15 ainult eeldusel, et esimesele küsimusele selles kohtuasjas vastatakse eitavalt. Samas ei ole teisel küsimusel puutumust sellega, kas andmete säilitamine toimub üldiselt või eesmärgipäraselt, nagu on käsitletud käesoleva kohtuotsuse punktides 108–111. Seetõttu tuleb anda ühine vastus kohtuasja C‑203/15 teisele küsimusele ja kohtuasja C‑698/15 esimesele küsimusele, mis on esitatud sõltumata elektroonilise side teenuste osutajatele pandud andmesäilitamise kohustuse ulatusest.
114 Kohtuasjas C‑203/15 esitatud teise küsimusega ja kohtuasjas C‑698/15 esitatud esimese küsimusega paluvad eelotsusetaotlused esitanud kohtud sisuliselt selgitada, kas direktiivi 2002/58 artikli 15 lõiget 1 tuleb harta artikleid 7 ja 8 ning artikli 52 lõiget 1 arvesse võttes tõlgendada nii, et sellega on vastuolus liikmesriigi õigusnormid, mis reguleerivad liiklusandmete ja asukohaandmete kaitset ja turvalisust ning eelkõige pädevate ametiasutuste juurdepääsu säilitatavatele andmetele, piiramata seda juurdepääsu üksnes raske kuritegevuse vastu võitlemisega; nägemata ette, et andmetele juurdepääsu saamise eeltingimuseks on kohtu või sõltumatu haldusasutuse eelnev kontroll; ning nõudmata, et kõnealuseid andmeid säilitataks liidu territooriumil.
115 Seoses eesmärkidega, millega saab põhjendada elektroonilise side konfidentsiaalsuse põhimõttest kõrvalekalduvaid liikmesriigi õigusnorme, tuleb meelde tuletada, et nagu sai tõdetud käesoleva kohtuotsuse punktides 90 ja 102, on direktiivi 2002/58 artikli 15 lõike 1 esimeses lauses toodud eesmärkide loetelu ammendav, tohib juurdepääs säilitatavatele andmetele toimuda ainult tõepoolest neil ja rangelt neil eesmärkidel. Kuna liikmesriigi õigusnormidega taotletav eesmärk peab lisaks olema proportsioonis andmetele juurdepääsuga kaasneva põhiõiguste riive raskusega, siis järeldub sellest, et kuritegude ennetamise, uurimise, avastamise ja menetlemise puhul saab niisugust säilitatavatele andmetele juurdepääsu andmist põhjendada ainult võitlusega raske kuritegevuse vastu.
116 Mis puudutab proportsionaalsuse põhimõtte järgimist, siis õigusnormid, mis käsitlevaid tingimusi, mille kohaselt elektroonilise side teenuste osutajad on kohustatud riigi pädevatele ametiasutustele võimaldama juurdepääsu säilitatavatele andmetele, peavad vastavalt käesoleva kohtuotsuse punktides 95 ja 96 tõdetule tagama, et niisugune juurdepääs jääks rangelt vajaliku piiridesse.
117 Kuna lisaks peavad direktiivi 2002/58 artikli 15 lõikes 1 nimetatud meetmetega vastavalt selle direktiivi põhjendusele 11 „kaasnema piisavad tagatised“, peab niisugune meede nähtuvalt käesoleva kohtuotsuse punktis 109 viidatud kohtupraktikast nägema ette selged ja täpsed eeskirjad selgitamaks, millistel asjaoludel ja milliste tingimuste kohaselt peavad elektrooniliste teenuste osutajad andma riigi pädevatele ametiasutustele juurdepääsu säilitatavatele andmetele. Samuti peab seda laadi meede olema riigisiseses õiguses õiguslikult siduv.
118 Selleks et tagada, et riigi pädevatele ametiasutustele antaks juurdepääs säilitatavatele andmetele ainult rangelt vajalikus ulatuses, tuleb liikmesriigi õiguses mõistagi kindlaks määrata tingimused, mille kohaselt elektroonilise side teenuste osutajad niisuguse juurdepääsu peavad andma. Asjassepuutuvad liikmesriigi õigusnormid ei saa aga siiski piirduda üksnes sätestamisega, et juurdepääs antakse mõnel direktiivi 2002/58 artikli 15 lõikes 1 sätestatud eesmärgil, isegi kui see eesmärk on võitlemine raske kuritegevusega. Niisugustes liikmesriigi õigusnormides tuleb nimelt ette näha ka materiaal- ja menetlusõiguslikud tingimused, mille esinemise korral peavad riigi pädevad asutused saama juurdepääsu säilitatavatele andmetele (vt analoogia alusel direktiivi 2006/24 kohta kohtuotsus Digital Rights, punkt 61).
119 Kuna üldist juurdepääsu kõigile säilitatavatele andmetele, olenemata sellest, kas esineb mis tahes – kas või kaudne – seos taotletava eesmärgiga, ei saa lugeda piirduvaks rangelt vajalikuga, peavad asjassepuutuvad liikmesriigi õigusnormid lähtuma objektiivsetest kriteeriumidest, et määratleda asjaolud ja tingimused, mille esinemise korral tuleb riigi pädevatele ametiasutustele anda juurdepääs abonentide või registreeritud kasutajate andmetele. Selle kohta tuleb märkida, et põhimõttelist tohib kuritegevuse vastu võitlemise eesmärgil anda juurdepääsu ainult nende isikute andmetele, keda kahtlustatakse raske kuriteo kavandamises, toimepanemises või eelnevas toimepanemises või niisuguse kuriteoga ühel või teisel viisil seotud olemises (vt analoogia alusel Euroopa Inimõiguste Kohtu otsus, 4.12.2015, Zakharov vs. Venemaa, CE:ECHR:2015:1204JUD004714306, punkt 260). Teatavatel erijuhtudel, näiteks olukordades, kus terroristlik tegevus ohustab riiklikku julgeolekut, riigikaitset või avalikku julgeolekut, võib juurdepääsu teiste isikute andmetele anda ka juhul, kui esineb objektiivseid asjaolusid, mis võimaldavad järeldada, et need andmed võimaldavad konkreetsel juhul tulemuslikult kaasa aidata niisuguse tegevuse vastasele võitlemisele.
120 Selleks et tegelikkuses oleks tagatud nende tingimuste täielik järgimine, on esmatähtis, et – välja arvatud nõuetekohaselt põhjendatud kiireloomulistel juhtudel – riigi pädevate asutuste juurdepääs andmetele oleks allutatud kohtu või sõltumatu haldusasutuse teostatavale eelnevale kontrollile ja et see kohus või haldusasutus teeks oma otsuse juurdepääsu taotleva asutuse põhjendatud taotluse alusel, mis on ennekõike esitatud kuriteo ennetamise, avastamise või menetlemise raames (vt analoogia alusel direktiivi 2006/24 kohta kohtuotsus Digital Rights, punkt 62; vt ka EIÕK artikli 8 kohta Euroopa Inimõiguste Kohtu otsus, 12.1.2016, Szabó ja Vissy vs. Ungari, CE:ECHR:2016:0112JUD003713814, punktid 77 ja 80).
121 Ühtlasi on oluline, et riigi pädevad ametiasutused, kellele on antud juurdepääs säilitatavatele andmetele, teavitaksid sellest asjassepuutuvaid isikuid kohaldatavate riigisiseste menetluste raames alates hetkest, kui see teavitamine ei saa enam kahjustada nende ametiasutuste läbiviidavat menetlust. Selline teavitamine on vajalik selleks, et puudutatud isikud saaks juhul, kui nende õigusi on rikutud, kasutada õiguskaitsevahendeid, mis on sõnaselgelt ette nähtud direktiivi 2002/58 artikli 15 lõikes 2, tõlgendatuna koostoimes direktiivi 95/46 artikliga 22 (vt analoogia alusel kohtuotsused 7.5.2009, Rijkeboer, C‑553/07, EU:C:2009:293, punkt 52, ja 6.10.2015, Schrems, C‑362/14, EU:C:2015:650, punkt 95).
122 Mis puudutab elektroonilise side teenuste osutajate säilitatavate andmete turvalisust ja kaitset käsitlevaid eeskirju, siis tuleb tõdeda, et direktiivi 2002/58 artikli 15 lõige 1 ei võimalda liikmesriikidel kõrvale kalduda selle direktiivi artikli 4 lõikest 1 ja artikli 4 lõikest 1a. Viimati nimetatud sätted nõuavad, et need teenuseosutajad võtaks sobivad tehnilised ja korralduslikud meetmed, mis võimaldaks tagada säilitatavate andmete tõhusa kaitsmise kuritarvituste ohu eest ning ebaseadusliku juurdepääsu eest. Arvestades säilitatavate andmete hulka, delikaatsust ja neile ebaseaduslikult juurde pääsemise ohtu, peavad elektroonilise side teenuste osutajad, selleks et kindlustada säilitatavate andmete terviklikkus ja konfidentsiaalsus, tagama nende andmete eriti kõrgetasemelise kaitse ja turvalisuse, kasutades selleks sobivaid tehnilisi ja korralduslikke meetmeid. Täpsemalt peavad liikmesriigi õigusnormid nägema ette andmete säilitamise liidu territooriumil ja nende pöördumatu hävitamise pärast säilitamistähtaja lõppu (vt analoogia alusel direktiivi 2006/24 kohta kohtuotsus Digital Rights, punktid 66–68).
123 Igal juhul peavad liikmesriigid tagama, et sõltumatu järelevalveasutus kontrolliks, kas füüsiliste isikute isikuandmete töötlemisel on tagatud kaitse liidu õigusega ette nähtud tasemel, kuna selline kontroll on sõnaselgelt nõutud harta artikli 8 lõikes 3 ja vastavalt Euroopa Kohtu väljakujunenud praktikale kujutab see endast olulist tegurit üksikisikute kaitsmisel isikuandmete töötlemise korral. Kui see oleks teisiti, jäetaks isikud, kelle isikuandmeid säilitatakse, ilma harta artikli 8 lõigetega 1 ja 3 tagatud õigusest esitada liikmesriigi järelevalveasutusele taotlus neid puudutavate andmete kaitsmiseks (vt analoogia alusel kohtuotsused Digital Rights, punkt 68, ning 6.10.2015, Schrems, C‑362/14, EU:C:2015:650, punktid 41 ja 58).
124 Eelotsusetaotluse esitanud kohtute ülesanne on kontrollida, kas ja mil määral järgivad põhikohtuasjades vaidluse all olevad riigisisesed õigusnormid direktiivi 2002/58 artikli 15 lõikest 1 tulenevaid nõudeid, tõlgendatuna harta artikleid 7, 8 ja 11 ning artikli 52 lõiget 1 arvesse võttes, nii nagu neid nõudeid on selgitatud käesoleva kohtuotsuse punktides 115–123, nii osas, mis puudutab riigi pädevate ametiasutuste juurdepääsu säilitatavatele andmetele, kui ka osas, mis puudutab nende andmete kaitset ja turvalisuse taset.
125 Kõiki eelnevaid kaalutlusi arvestades tuleb kohtuasjas C‑203/15 esitatud teisele küsimusele ja kohtuasjas C‑698/15 esitatud esimesele küsimusele vastata, et direktiivi 2002/58 artikli 15 lõiget 1 tuleb harta artikleid 7, 8 ja 11 ning artikli 52 lõiget 1 arvesse võttes tõlgendada nii, et sellega on vastuolus liikmesriigi õigusnormid, mis reguleerivad liiklusandmete ja asukohaandmete kaitset ja turvalisust ning eelkõige pädevate ametiasutuste juurdepääsu säilitatavatele andmetele, piiramata seda juurdepääsu kuritegevuse vastu võitlemise raames üksnes raske kuritegevuse vastu võitlemisega; nägemata ette, et andmetele juurdepääsu saamise eeltingimuseks on kohtu või sõltumatu haldusasutuse eelnev kontroll; ning nõudmata, et kõnealuseid andmeid säilitataks liidu territooriumil.
Teine küsimus kohtuasjas C‑698/15
126 Kohtuasjas C‑698/15 esitatud teises küsimuses palub Court of Appeal (England & Wales) (Civil Division) (apellatsioonikohus (Inglismaa ja Wales) (tsiviilasjade koda)) sisuliselt selgitada, kas kohtuotsuses Digital Rights andis Euroopa Kohus harta artiklitele 7 ja/või 8 sellise tõlgenduse, mis läheb kaugemale sellest, mille andis Euroopa Inimõiguste Kohus EIÕK artiklile 8.
127 Sissejuhatuseks tuleb meelde tuletada, et kuigi EIÕKga tagatud põhiõigused kuuluvad nähtuvalt ELL artikli 6 lõikest 3 õiguse üldpõhimõtetena liidu õiguse hulka, ei ole see konventsioon ametlikult liidu õiguskorda integreeritud õigusakt, sest liit ei ole selle konventsiooniga ühinenud (vt selle kohta kohtuotsus, 15.2.2016, N., C‑601/15 PPU, EU:C:2016:84, punkt 45 ja seal viidatud kohtupraktika).
128 Seega tuleb käesolevas asjas käsitluse all oleva direktiivi 2002/58 kehtivust analüüsida ainult hartaga tagatud põhiõiguste seisukohast (vt selle kohta kohtuotsus, 15.2.2016, N., C‑601/15 PPU, EU:C:2016:84, punkt 46 ja seal viidatud kohtupraktika).
129 Lisaks olgu meelde tuletatud, et harta artiklit 52 puudutavates selgitustes on märgitud, et artikli 52 lõike 3 eesmärk on tagada vajalik kooskõla harta ja EIÕK vahel, „ilma et sellega kahjustataks liidu õiguse ja Euroopa Liidu Kohtu sõltumatust“ (kohtuotsus, 15.2.2016, N., C‑601/15 PPU, EU:C:2016:84, punkt 47). Täpsemalt on harta artikli 52 lõike 3 teises lauses sõnaselgelt ette nähtud, et harta artikli 52 lõike 3 esimene lause ei takista liidu õiguses EIÕKst ulatuslikuma kaitse kehtestamist. Viimaseks lisandub sellele asjaolu, et harta artikkel 8 puudutab harta artiklist 7 erinevat põhiõigust: viimasel ei ole EIÕKs vastet.
130 Euroopa Kohtu väljakujunenud praktikast tuleneb aga, et eelotsuse küsimuse mõte ei ole anda nõuandvaid arvamusi üldistes või hüpoteetilistes küsimustes, vaid küsimus esitatakse, kui seda on vaja liidu õigust puudutava vaidluse tegelikuks lahendamiseks (vt selle kohta kohtuotsused, 24.4.2012, Kamberaj, C‑571/10, EU:C:2012:233, punkt 41; 26.2.2013, Åkerberg Fransson, C‑617/10, EU:C:2013:105, punkt 42, ja 27.2.2014, Pohotovosť, C‑470/12, EU:C:2014:101, C‑470/12, punkt 29).
131 Arvestades eeskätt käesoleva kohtuotsuse punktides 128 ja 129 toodud kaalutlusi, ei mõjuta küsimus, kas harta artiklites 7 ja 8 ette nähtud kaitse läheb kaugemale EIÕK artikliga 8 tagatud kaitsest, käesoleval juhul seda, kuidas tuleb hartat arvesse võttes tõlgendada direktiivi 2002/58, mis on arutuse all kohtuasjas C‑698/15.
132 Niisiis tundub, et vastus kohtuasjas C‑698/15 esitatud teisele küsimusele ei saa anda liidu õiguse tõlgendamise juhtnööre, mis oleksid liidu õiguse seisukohalt vajalikud selle kohtuasja lahendamiseks.
133 Sellest järeldub, et teine küsimus kohtuasjas C‑698/15 on vastuvõetamatu.
Kohtukulud
134 Kuna põhikohtuasja poolte jaoks on käesolev menetlus eelotsusetaotluse esitanud kohtutes pooleli olevate asjade üks staadium, otsustavad kohtukulude jaotuse siseriiklikud kohtud. Euroopa Kohtule seisukohtade esitamisega seotud kulusid, välja arvatud poolte kohtukulud, ei hüvitata.
Esitatud põhjendustest lähtudes Euroopa Kohus (suurkoda) otsustab:
1. Euroopa Parlamendi ja nõukogu 12. juuli 2002. aasta direktiivi 2002/58/EÜ, milles käsitletakse isikuandmete töötlemist ja eraelu puutumatuse kaitset elektroonilise side sektoris (eraelu puutumatust ja elektroonilist sidet käsitlev direktiiv), muudetud Euroopa Parlamendi ja nõukogu 25. novembri 2009. aasta direktiiviga 2009/136/EÜ, artikli 15 lõiget 1 tuleb Euroopa Liidu põhiõiguste harta artikleid 7, 8 ja 11 ning artikli 52 lõiget 1 arvesse võttes tõlgendada nii, et sellega on vastuolus liikmesriigi õigusnormid, mis näevad kuritegevuse vastu võitlemise eesmärgil ette kõiki elektroonilise side vahendeid puudutava kohustuse säilitada üldiselt ja vahet tegemata kõikide abonentide ja registreeritud kasutajate kõik liiklusandmed ja asukohaandmed.
2. Direktiivi 2002/58 (direktiiviga 2009/136 muudetud redaktsioonis) artikli 15 lõiget 1 tuleb harta artikleid 7, 8 ja 11 ning artikli 52 lõiget 1 arvesse võttes tõlgendada nii, et sellega on vastuolus liikmesriigi õigusnormid, mis reguleerivad liiklusandmete ja asukohaandmete kaitset ja turvalisust ning eelkõige pädevate ametiasutuste juurdepääsu säilitatavatele andmetele, piiramata seda juurdepääsu kuritegevuse vastu võitlemise raames üksnes raske kuritegevuse vastu võitlemisega; nägemata ette, et andmetele juurdepääsu saamise eeltingimuseks on kohtu või sõltumatu haldusasutuse eelnev kontroll; ning nõudmata, et kõnealuseid andmeid säilitataks liidu territooriumil.
3. Court of Appeali (England & Wales) (Civil Division) (apellatsioonikohus (Inglismaa ja Wales) (tsiviilasjade koda), Ühendkuningriik) esitatud teine küsimus on vastuvõetamatu.
Allkirjad