Prozatímní vydání
ROZSUDEK SOUDNÍHO DVORA (velkého senátu)
21. prosince 2016(*)
„Řízení o předběžné otázce – Elektronické komunikace – Zpracování osobních údajů – Důvěrnost elektronických komunikací – Ochrana – Směrnice 2002/58/ES – Články 5, 6, 9 a čl. 15 odst. 1 – Listina základních práv Evropské unie – Články 7, 8, 11 a čl. 52 odst. 1 – Vnitrostátní právní předpisy – Poskytovatelé služeb elektronických komunikací – Povinnost plošného a nerozlišujícího uchovávání provozních a lokalizačních údajů – Vnitrostátní orgány – Přístup k údajům – Neexistence předchozího přezkumu ze strany soudu nebo nezávislého správního orgánu – Slučitelnost s unijním právem“
Ve spojených věcech C‑203/15 a C‑698/15,
jejichž předmětem jsou žádosti o rozhodnutí o předběžné otázce na základě článku 267 SFEU, podané rozhodnutím Kammarrätten i Stockholm (správní odvolací soud ve Stockholmu, Švédsko) ze dne 29. dubna 2015 došlým Soudnímu dvoru dne 4. května 2015 a rozhodnutím Court of Appeal (England & Wales) (Civil Division) [odvolací soud pro Anglii a Wales, občanskoprávní oddělení, Spojené království] ze dne 9. prosince 2015, došlým Soudnímu dvoru dne 28. prosince 2015, v řízeních
Tele2 Sverige AB (C‑203/15)
proti
Post- och telestyrelsen,
a
Secretary of State for the Home Department (C‑698/15)
proti
Tomu Watsonovi,
Peteru Briceovi,
Geoffreymu Lewisovi,
za přítomnosti:
Open Rights Group,
Privacy International,
The Law Society of England and Wales,
SOUDNÍ DVŮR (velký senát),
ve složení K. Lenaerts, předseda, A. Tizzano, místopředseda, R. Silva de Lapuerta, T. von Danwitz (zpravodaj), J. L. da Cruz Vilaça, E. Juhász a M. Vilaras, předsedové senátů, A. Borg Barthet, J. Malenovský, E. Levits, J.-C. Bonichot, A. Arabadžev, S. Rodin, F. Biltgen a C. Lycourgos, soudci,
generální advokát: H. Saugmandsgaard Øe,
vedoucí soudní kanceláře: C. Strömholm, rada,
s přihlédnutím k rozhodnutí předsedy Soudního dvora ze dne 1. února 2016 o projednání věci C‑698/15 ve zrychleném řízení podle čl. 105 odst. 1 jednacího řádu Soudního dvora,
s přihlédnutím k písemné části řízení a po jednání konaném dne 12. dubna 2016,
s ohledem na vyjádření předložená:
– za Tele2 Sverige AB M. Johanssonem a N. Torgerzonem, advokater, a E. Lagerlöfem a S. Backmanem,
– za T. Watsona J. Welchem a E. Norton, solicitors, I. Steelem, advocate, B. Jaffeym, barrister a D. Rose, QC,
– za P. Brice a G. Lewise A. Suterwallem a R. de Mellem, barristers, R. Drabblem, QC, a S. Lukem, solicitor,
– za Open Rights Group a Privacy International D. Careym, solicitor, jakož i R. Mehtouem a J. Simor, barristers,
– za The Law Society of England and Wales T. Hickmanem, barrister, a N. Turner,
– za švédskou vládu A. Falk, C. Meyer-Seitz, U. Persson, N. Otte Widgren a L. Swedenborgem, jako zmocněnci,
– za vládu Spojeného království S. Brandonem, L. Christiem a V. Kaye, jako zmocněnci, ve spolupráci s D. Beardem, G. Facennou a J. Eadiem, QC, a S. Ford, barrister,
– za belgickou vládu J.-C. Halleuxem, S. Vanriem a C. Pochet, jako zmocněnci,
– za českou vládu M. Smolkem a J. Vláčilem, jako zmocněnci,
– za dánskou vládu C. Thorningem a M. Wolff, jako zmocněnci,
– za německou vládu T. Henzem, M. Hellmannem a J. Kemper, jako zmocněnci, ve spolupráci s M. Kottmann a U. Karpenstein, Rechtsanwalte,
– za estonskou vládu K. Kraavi-Käerdi, jako zmocněnkyní,
– za Irsko E. Creedon, L. Williams a A. Joycem, jako zmocněnci, ve spolupráci s D. Fennellym, BL,
– za španělskou vládu A. Rubio Gonzálezem, jako zmocněncem,
– za francouzskou vládu G. de Berguesem, D. Colasem, F.-X. Bréchotem a C. David, jako zmocněnci,
– za kyperskou vládu K. Kleanthous, jako zmocněnkyní,
– za maďarskou vládu M. Fehérem a G. Koósem, jako zmocněnci,
– za nizozemskou vládu M. Bulterman, M. Gijzen a J. Langerem, jako zmocněnci,
– za polskou vládu B. Majczynou, jako zmocněncem,
– za finskou vládu J. Heliskoskim, jako zmocněncem,
– za Evropskou komisi H. Krämerem, K. Simonssonem, H. Kranenborgem, D. Nardim, P. Costa de Oliveira a J. Vondung, jako zmocněnci,
po vyslechnutí stanoviska generálního advokáta na jednání konaném dne 19. července 2016,
vydává tento
Rozsudek
1 Žádosti o rozhodnutí o předběžné otázce se týkají výkladu čl. 15 odst. 1 směrnice Evropského parlamentu a Rady 2002/58/ES ze dne 12. července 2002 o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací (směrnice o soukromí a elektronických komunikacích) (Úř. věst. 2002, L 201, s. 37; Zvl. vyd. 13/29, s. 514), ve znění směrnice Evropského parlamentu a Rady 2009/136/ES ze dne 25. listopadu 2009 (Úř. věst. 2009, L 337, s. 11) (dále jen „směrnice 2002/58“), ve spojení s články 7, 8 a čl. 52 odst. 1 Listiny základních práv Evropské unie (dále jen „Listina“).
2 Tyto žádosti byly předloženy v rámci dvou sporů, a to v prvním sporu mezi Tele2 Sverige AB a Post- och telestyrelsen (švédský orgán dozoru nad poštami a telekomunikacemi, dále jen „PTS“) ve věci rozhodnutí PTS, jímž se Tele2 Sverige ukládá, aby zahájila uchovávání provozních a lokalizačních údajů účastníků a registrovaných uživatelů (věc C‑203/15), a v druhém sporu mezi Tomem Watsonem, Peterem Bricem a Geoffrey Lewisem na straně jedné a Secretary of State for the Home Department (ministr vnitra, Spojené království Velké Británie a Severního Irska) na straně druhé ve věci slučitelnosti článku 1 Data Retention and Investigatory Powers Act 2014 (zákon o uchovávání údajů a vyšetřovacích pravomocích z roku 2014, dále jen „DRIPA“) s unijním právem (věc C‑698/15).
Právní rámec
Unijní právo
Směrnice 2002/58
3 Body 2, 6, 7, 11, 21, 22, 26 a 30 odůvodnění směrnice 2002/58 uvádějí:
„(2) tato směrnice usiluje o respektování základních práv a zachovává zásady uznané zejména v [Listině]. Tato směrnice zejména usiluje o to, aby byla plně dodržována práva stanovená v článcích 7 a 8 uvedené listiny;
[…]
(6) internet převrací tradiční struktury trhu tím, že poskytuje společnou, obecnou infrastrukturu pro široký okruh služeb elektronických komunikací. Veřejně dostupné služby elektronických komunikací prostřednictvím internetu otevírají uživatelům nové možnosti, ale zároveň vytvářejí i nová rizika pro jejich osobní údaje a soukromí;
(7) v případě sítí veřejných komunikací je nutno přijmout zvláštní právní, regulační a technická ustanovení na ochranu základních práv a svobod fyzických osob a ochranu oprávněných zájmů právnických osob, zejména s ohledem na zvyšující se kapacitu automatického uchovávání a zpracování údajů týkajících se účastníků a uživatelů;
[…]
(11) tato směrnice, obdobně jako směrnice 95/46/ES [směrnice Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (Úř. věst. 1995, L 281, s. 31; Zvl. vyd. 13/15, s. 355)], se netýká ochrany základních práv a svobod ve vztahu k činnostem, které se neřídí právem Společenství. Proto tato směrnice nemění stávající rovnováhu mezi právem jednotlivce na soukromí a možností, aby členské státy přijaly opatření uvedená v čl. 15 odst. 1 této směrnice, která jsou nezbytná pro ochranu veřejné bezpečnosti, obrany, bezpečnosti státu (včetně hospodářské prosperity státu, pokud jsou tyto činnosti spojeny s otázkami bezpečnosti státu) a pro prosazování trestního práva. Tato směrnice se tedy nedotýká možnosti členských států provádět zákonné zachycování elektronických sdělení nebo přijímat jiná opatření, je-li to nezbytné pro některý z těchto účelů a je-li to v souladu s Evropskou úmluvou o ochraně lidských práv a základních svobod, jak je vykládána v rozhodnutích Evropského soudu pro lidská práva. Tato opatření musí být vhodná, plně přiměřená vzhledem k zamýšlenému účelu a nezbytná v demokratické společnosti a musí být předmětem odpovídajících záruk v souladu s Evropskou úmluvou o ochraně lidských práv a základních svobod;
[…]
(21) měla by být přijata opatření pro zamezení neoprávněného přístupu ke sdělením, aby byla chráněna důvěrnost sdělení, včetně obsahu a údajů vztahujících se k takovým sdělením, přenášených prostřednictvím veřejných komunikačních sítí a veřejně dostupných služeb elektronických komunikací. Vnitrostátní právní předpisy některých členských států pouze zakazují úmyslný neoprávněný přístup ke sdělením;
(22) zákaz uchovávat sdělení a s nimi spojené provozní údaje jinými osobami než samotnými uživateli nebo bez jejich souhlasu neznamená zákaz jakéhokoli automatického, zprostředkovaného a přechodného uchovávání takových informací, pokud k němu dochází výlučně z důvodu provedení přenosu v síti elektronických komunikací a za předpokladu, že informace nejsou uchovávány po dobu delší než nezbytně nutnou pro účely přenosu a řízení provozu, a že po dobu tohoto uchovávání zůstane zajištěna důvěrnost. […];
[…]
(26) údaje o účastnících, které jsou zpracovávány v rámci sítí elektronických komunikací pro navázání spojení a přenos informací, obsahují informace o soukromém životě fyzických osob a dotýkají se práva na ochranu jejich korespondence nebo se dotýkají oprávněných zájmů právnických osob. Takové údaje je možno uchovávat pouze v rozsahu, který je nezbytný pro poskytování služby pro účely účtování a platby za propojení, a to po omezenou dobu. Jakékoli další zpracování takových údajů, které by poskytovatel veřejně dostupných služeb elektronických komunikací chtěl provádět pro potřeby marketingu služeb elektronických komunikací nebo pro poskytování služeb s přidanou hodnotou, je přípustné pouze za předpokladu, že účastník s tímto souhlasil na základě přesných a úplných informací o druhu následného zamýšleného zpracování, které obdržel od poskytovatele veřejně dostupných služeb elektronických komunikací, spolu s informací o právu účastníka nedat takový souhlas nebo svůj souhlas k takovému zpracování vzít zpět. […];
[…]
(30) systémy pro zajišťování sítí a služeb elektronických komunikací musí být navrženy tak, aby omezily na nutné minimum množství nezbytných osobních údajů. […]“
4 Článek 1 směrnice 2002/58, nadepsaný „Oblast působnosti a cíl“, stanoví:
„1. Touto směrnicí se harmonizují předpisy členských států, požadované pro zajištění rovnocenné úrovně ochrany základních práv a svobod, zejména práva na soukromí, se zřetelem na zpracování osobních údajů v odvětví elektronických komunikací, a pro zajištění volného pohybu těchto údajů a elektronických komunikačních zařízení a služeb ve Společenství.
2. Ustanovení této směrnice upřesňují a doplňují směrnici [95/46] pro účely uvedené v odstavci 1. Navíc poskytují ochranu oprávněných zájmů účastníků, kteří jsou právnickými osobami.
3. Tato směrnice se nevztahuje na činnosti, které nespadají do oblasti působnosti Smlouvy o založení Evropského společenství, jako činnosti uvedené v hlavě V a VI Smlouvy o založení Evropské unie, a v žádném případě na činnosti týkající se veřejné bezpečnosti, obrany, bezpečnosti státu (včetně hospodářské prosperity státu, pokud jsou tyto činnosti spojeny s otázkami bezpečnosti státu) a na činnosti státu v oblasti trestního práva.“
5 Článek 2 směrnice 2002/58, nadepsaný „Definice“, stanoví:
„Není-li stanoveno jinak, použijí se definice uvedené ve směrnici [95/46] a směrnici Evropského parlamentu a Rady 2002/21/ES ze dne 7. března 2002 o společném předpisovém rámci pro sítě a služby elektronických komunikací (rámcová směrnice) [Úř. věst. 2002, L 108, s. 33; Zvl. vyd. 13/29, s. 349].
Použijí se rovněž tyto definice:
[…]
b) ‚provozními údaji‘ se rozumějí jakékoli údaje zpracovávané pro účely přenosu sdělení sítí elektronických komunikací nebo pro jeho účtování;
c) ‚lokalizačními údaji‘ se rozumějí jakékoli údaje zpracovávané v síti elektronických komunikací nebo službou elektronických komunikací, které určují zeměpisnou polohu koncového zařízení uživatele veřejně dostupné služby elektronických komunikací;
d) ‚sdělením‘ se rozumí jakákoli informace, která se vyměňuje nebo přenáší mezi určitým počtem zúčastněných stran prostřednictvím veřejně dostupné služby elektronických komunikací; toto nezahrnuje informace přenášené jako součást vysílání pro veřejnost prostřednictvím sítě elektronických komunikací s výjimkou případů, kdy lze informace přiřadit k identifikovatelnému účastníku nebo uživateli, který tyto informace přijímá;
[…]“
6 Článek 3 směrnice 2002/58, nadepsaný „Dotčené služby“, stanoví:
„Tato směrnice se vztahuje na zpracování osobních údajů ve spojení s poskytováním veřejně dostupných služeb elektronických komunikací ve veřejných komunikačních sítích ve Společenství, včetně veřejných komunikačních sítí podporujících zařízení pro shromažďování a identifikaci údajů.“
7 Článek 4 této směrnice, nadepsaný „Bezpečnost zpracování“, zní:
„1. Poskytovatel veřejně dostupných služeb elektronických komunikací musí přijmout vhodná technická a organizační opatření, aby zajistil bezpečnost svých služeb, v případě nutnosti i v součinnosti s provozovatelem veřejné komunikační sítě, s ohledem na bezpečnost sítě. Se zřetelem na technickou a nákladovou stránku jejich provádění je třeba, aby tato opatření zajišťovala úroveň bezpečnosti odpovídající stávajícímu riziku.
1a. Aniž je dotčena směrnice [95/46], musí opatření uvedená v odstavci 1 alespoň
– zajistit, aby k osobním údajům měl přístup pouze oprávněný personál, a to výhradně k zákonným účelům,
– chránit uložené nebo přenášené osobní údaje před náhodným nebo nezákonným zničením, náhodnou ztrátou nebo změnou a neoprávněným nebo nezákonným uložením, [zpracováním], přístupem k nim či před jejich zveřejněním a
– zajistit provádění bezpečnostní politiky týkající se zpracování osobních údajů.
[…]“
8 Článek 5 směrnice 2002/58, nadepsaný „Důvěrný charakter sdělení“, stanoví:
„1. Členské státy zajistí prostřednictvím vnitrostátních právních předpisů důvěrný charakter sdělení přenášených pomocí veřejné komunikační sítě a veřejně dostupných služeb elektronických komunikací a s nimi souvisejících provozních údajů. Zejména zakáží příposlech, odposlech, uchovávání nebo jiné druhy zachycování či sledování sdělení a s nimi souvisejících provozních údajů osobami jinými než uživateli bez souhlasu dotčených uživatelů, pokud k takovému jednání nejsou zákonem oprávněny v souladu s čl. 15 odst. 1. Tento odstavec nebrání technickému uchovávání, které je nezbytné pro přenos sdělení, aniž by tím byla dotčena zásada důvěrnosti.
[…]
3. Členské státy zajistí, aby uchovávání informací nebo získávání přístupu k již uchovávaným informacím bylo v koncovém zařízení účastníka nebo uživatele povoleno pouze pod podmínkou, že dotčený účastník či uživatel poskytl svůj souhlas poté, co mu byly poskytnuty jasné a úplné informace v souladu se směrnicí [95/46], mimo jiné o účelu zpracování. To nebrání technickému ukládání nebo takovému přístupu, jehož jediným účelem je provedení přenosu sdělení prostřednictvím sítě elektronických komunikací, nebo je-li to nezbytně nutné k tomu, aby mohl poskytovatel služeb informační společnosti poskytovat služby, které si účastník nebo uživatel výslovně vyžádal.“
9 Článek 6 směrnice 2002/58, nadepsaný „Provozní údaje“, stanoví:
„1. Provozní údaje vztahující se k účastníkům a uživatelům zpracovávané a uchovávané provozovatelem veřejné komunikační sítě nebo poskytovatelem veřejně dostupné služby elektronických komunikací, musí být vymazány nebo anonymizovány, jakmile již nejsou potřebné pro přenos sdělení, aniž by tímto byly dotčeny odstavce 2, 3 a 5 tohoto článku a čl. 15 odst. 1.
2. Je možno zpracovávat provozní údaje nezbytné pro účely účtování a stanovení plateb za propojení. Takovéto zpracování je přípustné pouze do konce období, v němž lze právně napadnout účet či uplatňovat nárok na platbu.
3. Pro potřeby marketingu služeb elektronických komunikací nebo pro poskytování služeb s přidanou hodnotou může poskytovatel veřejně dostupných služeb elektronických komunikací zpracovávat údaje uvedené v odstavci 1 pouze v rozsahu nezbytném a po dobu nezbytnou pro tyto služby nebo marketing, pokud k tomu dal předem souhlas účastník nebo uživatel, jehož se údaje týkají. Účastníci či uživatelé musí mít možnost kdykoliv svůj souhlas se zpracováním provozních údajů vzít zpět.
[…]
5. Zpracování provozních údajů podle odstavců 1, 2, 3 a 4 musí být omezeno na osoby, které jednají z pověření provozovatelů veřejných komunikačních sítí a poskytovatelů veřejně dostupných služeb elektronických komunikací, a které se zabývají účtováním nebo řízením provozu, požadavky zákazníků, odhalováním podvodů, marketingem služeb elektronických komunikací nebo poskytováním služeb s přidanou hodnotou, a musí být omezeno na rozsah, který je nezbytný pro účely těchto činností.“
10 Článek 9 této směrnice, nadepsaný „Lokalizační údaje odlišné od provozních údajů“, v odstavci 1 stanoví:
„Mohou-li být zpracovávány lokalizační údaje odlišné od provozních údajů, které se vztahují k uživatelům nebo účastníkům veřejných komunikačních sítí nebo veřejně dostupných služeb elektronických komunikací, je možné tyto údaje zpracovávat pouze poté, co byly anonymizovány údaje, anebo se souhlasem uživatelů nebo účastníků v nezbytném rozsahu a po nezbytnou dobu pro poskytování služeb s přidanou hodnotou. Poskytovatel služeb musí informovat uživatele nebo účastníky před obdržením jejich souhlasu o druhu lokalizačních údajů odlišných od provozních údajů, které budou zpracovávány, o účelu a délce doby zpracování a o tom, zda budou údaje předány třetí osobě za účelem poskytování služeb s přidanou hodnotou. […]“
11 Ustanovení článku 15 uvedené směrnice, nadepsaného „Použití některých ustanovení směrnice [95/46]“, zní:
„1. Členské státy mohou přijmout legislativní opatření, kterými omezí rozsah práv a povinností uvedených v článku 5, článku 6, čl. 8 odst. 1, 2, 3 a 4 a článku 9 této směrnice, pokud toto omezení představuje v demokratické společnosti nezbytné, přiměřené a úměrné [vhodné a přiměřené] opatření pro zajištění národní bezpečnosti (tj. bezpečnosti státu), obrany, veřejné bezpečnosti a pro prevenci, vyšetřování, odhalování a stíhání trestných činů nebo neoprávněného použití elektronického komunikačního systému, jak je uvedeno v čl. 13 odst. 1 směrnice [95/46]. Za tímto účelem mohou členské státy mimo jiné přijmout legislativní opatření umožňující uchovávání údajů po omezenou dobu na základě důvodů uvedených v tomto odstavci. Veškerá opatření uvedená v tomto odstavci musí být v souladu s obecnými zásadami práva Společenství, včetně zásad uvedených v čl. 6 odst. 1 a 2 Smlouvy o Evropské unii.
[…]
1b. Poskytovatelé vytvoří vnitřní postupy pro vyřizování žádostí o přístup k osobním údajům uživatelů na základě vnitrostátních opatření přijatých podle odstavce 1. Na žádost příslušného vnitrostátního orgánu mu poskytovatelé poskytnout informace o těchto postupech, počtu přijatých žádostí, o právním odůvodnění těchto žádostí a o jejich zodpovězení.
2. Ustanovení směrnice [95/46], kapitoly III o soudním přezkumu, odpovědnosti a sankcích, se použijí s ohledem na vnitrostátní právní předpisy přijaté v souladu s touto směrnicí a s ohledem na práva jednotlivců vyplývající z této směrnice.
[…]“
Směrnice 95/46
12 Článek 22 směrnice 95/46 uvedený v kapitole III této směrnice zní následovně:
„Aniž je tím dotčena možnost opravného prostředku ve správním řízení, který je možno podat, zejména orgánu dozoru uvedenému v článku 28, stanoví všechny členské státy, že každá osoba má právo v případě porušení práv, jež jí jsou zaručeny vnitrostátními předpisy, které se uplatní na dotčené zpracování, předložit věc soudu.“
Směrnice 2006/24/ES
13 Článek 1 směrnice Evropského parlamentu a Rady 2006/24/ES ze dne 15. března 2006 o uchovávání údajů vytvářených nebo zpracovávaných v souvislosti s poskytováním veřejně dostupných služeb elektronických komunikací nebo veřejných komunikačních sítí a o změně směrnice 2002/58/ES (Úř. věst. 2006, L 105, s. 54), nadepsaný „Předmět a oblast působnosti“, stanovil v odstavci 2 následující:
„Tato směrnice se vztahuje na provozní a lokalizační údaje o právnických i fyzických osobách a na související údaje, které jsou nezbytné k identifikaci účastníka nebo registrovaného uživatele. Nevztahuje se na obsah elektronických sdělení ani na informace vyžadované při použití sítě elektronických komunikací.“
14 Článek 3 této směrnice, nadepsaný „Povinnost uchovávat údaje“, zní:
„1. Odchylně od článků 5, 6 a 9 směrnice [2002/58] přijmou členské státy opatření pro zajištění toho, že jsou v souladu s touto směrnicí uchovávány údaje uvedené v jejím článku 5, pokud jsou tyto údaje vytvářeny nebo zpracovávány poskytovateli veřejně dostupných služeb elektronických komunikací nebo veřejných komunikačních sítí v jejich jurisdikci při poskytování dotčených komunikačních služeb.
2. Povinnost uchovávat údaje stanovená v odstavci 1 zahrnuje uchovávání údajů uvedených v článku 5 týkajících se neúspěšných pokusů o volání, pokud jsou takové údaje vytvářeny nebo zpracovávány a uchovávány (pokud jde o údaje o telefonii) či zaznamenávány (pokud jde o internetové údaje) poskytovateli veřejně dostupných služeb elektronických komunikací nebo veřejných komunikačních sítí v jurisdikci dotyčného členského státu při poskytování dotčených komunikačních služeb. Tato směrnice nepožaduje uchovávání údajů týkajících se nespojených volání.“
Švédské právo
15 Z předkládacího rozhodnutí ve věci C‑203/15 vyplývá, že švédský zákonodárce novelizoval za účelem provedení směrnice 2006/24 do vnitrostátního práva lagen (2003:389) om elektronisk kommunikation (zákon 2003:389 o elektronických komunikacích, dále jen „LEK“) a förordningen (2003:396) om elektronisk kommunikation (nařízení 2003:396 o elektronických komunikacích). Oba tyto texty ve znění použitelném na spor v původním řízení obsahují pravidla týkající se uchovávání údajů o elektronických komunikacích, jakož i o přístupu k těmto údajům vnitrostátními orgány.
16 Přístup k uvedeným údajům je kromě toho upraven zákony lagen (2012:278) om inhämtning av uppgifter om elektronisk kommunikation i de brottsbekämpande myndigheternas underrättelseverksamhet [zákon (2012:278) o sdělování údajů týkajících se elektronické komunikace v rámci zpravodajské činnosti represivních orgánů, dále jen „zákon 2012:278“] a rättegångsbalken (soudní řád, dále jen „RB“).
K povinnosti uchovávání údajů týkajících se elektronických komunikací
17 Podle informací poskytnutých předkládajícím soudem ve věci C‑203/15 ustanovení §16 a kapitoly 6 LEK ve spojení s §1 kapitoly 2 tohoto zákona stanoví povinnost poskytovatelů služeb elektronických komunikací uchovávat takové údaje, jejichž uchovávání bylo stanoveno ve směrnici 2006/24. Jedná se o údaje týkající se předplatných a veškerých elektronických komunikací nezbytných k dohledání a identifikaci zdroje komunikace a adresáta komunikace, k určení data, času, doby trvání komunikace a druhu komunikace, k identifikaci použitého komunikačního zařízení a polohy použitého mobilního komunikačního zařízení na začátku a na konci komunikace. Tato povinnost uchovávání údajů se týká údajů vytvářených nebo zpracovávaných v rámci telefonních služeb, telefonních služeb využívajících mobilní připojení, přenosu zpráv, přístupu k internetu a zajištění kapacity pro přístup k internetu (způsob připojení). Tato povinnost zahrnuje rovněž údaje o neúspěšných pokusech o volání. Netýká se však obsahu komunikací.
18 Ustanovení § 38 až 43 nařízení (2003:396) o elektronických komunikacích vymezují kategorie údajů, které musí být uchovávány. Pokud jde o telefonní služby, musí být zejména uchovávány údaje o hovorech a volaných číslech a datech a hodinách vyznačujících začátek a konec komunikace. Pokud jde o telefonní služby využívající mobilní připojení, jsou uloženy dodatečné povinnosti, jako je například uchovávání lokalizačních údajů od začátku do konce komunikace. Pokud jde o telefonní služby využívající paketu IP, musí být vedle výše uvedených údajů navíc uchovávány zejména údaje, které se týkají IP adres volajícího a volaného. Pokud jde o systémy elektronické pošty, musí být zejména uchovávány údaje o číslech odesílatelů a příjemců, IP adresách nebo všech dalších adresách zpráv. Pokud jde o služby připojení k internetu, musí být například uchovávány údaje o IP adresách uživatelů a datech a hodinách vyznačujících připojení a odpojení od služby přístupu k internetu.
K době uchovávání údajů
19 V souladu s § 16d kapitoly 6 LEK musí být údaje uvedené v § 16a této kapitoly uchovávány poskytovateli služeb elektronických komunikací po dobu šesti měsíců ode dne ukončení komunikace. Poté musí být údaje okamžitě zničeny, není-li v § 16d odst. 2 uvedené kapitoly uvedeno jinak.
K přístupu k uchovávaným údajům
20 Přístup k údajům uchovávaným vnitrostátními orgány je upraven ustanoveními zákona 2012:278 LEK a RB.
– Zákon 2012:278
21 Na základě ustanovení § 1 zákona 2012:278 mohou v rámci zpravodajské činnosti státní policie, Säkerhetspolisen (bezpečnostní služba, Švédsko) a Tullverket (celní správa, Švédsko) za podmínek stanovených tímto zákonem a bez vědomí poskytovatele sítě elektronických komunikací nebo služeb elektronických komunikací oprávněného na základě LEK shromažďovat údaje o zprávách zaslaných prostřednictvím elektronické komunikační sítě, o elektronických komunikačních zařízeních nacházejících se ve stanovené územní oblasti a o územní oblasti či oblastech, kde se nachází nebo nacházelo elektronické komunikační zařízení.
22 V souladu s § 2 a 3 zákona 2012:278 lze údaje v zásadě shromažďovat tehdy, pokud má dané opatření v závislosti na okolnostech zásadní význam pro předcházení, odvracení nebo odhalování trestné činnosti týkající se jednoho nebo více trestných činů, za které lze uložit trest odnětí svobody v délce trvání minimálně dvou let, nebo některého z trestných činů uvedených v § 3 tohoto zákona včetně trestných činů, za které lze uložit trest odnětí svobody v délce kratší než dva roky. Důvody pro uplatnění tohoto opatření musí převážit nad úvahami o ohrožení nebo újmě, které toto opatření vyvolává ve vztahu k osobě, vůči které směřuje, nebo ve vztahu k protikladnému zájmu. V souladu s § 5 uvedeného zákona nesmí doba trvání opatření překročit jeden měsíc.
23 Rozhodnutí o použití takového opatření přijímá vedoucí příslušného orgánu nebo k tomu pověřená osoba. Toto rozhodnutí nepodléhá předchozímu přezkumu ze strany soudního orgánu nebo nezávislého správního orgánu.
24 Podle § 6 zákona 2012:278 musí být Säkerhets och integritetsskyddsnämnden (Komise pro bezpečnost a ochranu integrity, Švédsko) informována o jakémkoli rozhodnutí o povolení týkajícím se shromažďování údajů. V souladu s § 1 lagen (2007:980) om tillsyn över viss brottsbekämpande verksamhet (zákon 2007:980 o dozoru nad některými donucovacími činnostmi) tato komise dohlíží na uplatňování práva donucovacími orgány.
– LEK
25 Podle ustanovení § 22 odst. 1 bodu 2 kapitoly 6 LEK je jakýkoli poskytovatel služeb elektronických komunikací povinen na žádost předat údaje o předplatném státnímu zástupci, státní policii, bezpečnostní policii nebo jakémukoliv jinému veřejnému donucovacímu orgánu, pokud tyto údaje souvisí s podezřením ze spáchání trestného činu. Podle informací poskytnutých předkládajícím soudem ve věci C‑203/14 není nezbytné, aby se jednalo o závažný trestný čin.
– RB
26 RB upravuje předávání uchovávaných údajů vnitrostátním orgánům v průběhu přípravného řízení. V souladu s § 19 kapitoly 27 RB je „sledování elektronických komunikací“ bez vědomí třetí osoby v zásadě povoleno v rámci přípravného řízení, jehož předmětem jsou zejména trestné činy, za něž lze uložit trest odnětí svobody v délce trvání minimálně šest měsíců. „Sledováním elektronických komunikací“ je třeba v souladu s § 19 kapitoly 27 RB rozumět shromažďování údajů bez vědomí dotčených třetích osob, pokud jde o zprávu zaslanou prostřednictvím elektronických komunikačních sítí, o elektronická komunikační zařízení, která se nachází nebo nacházela ve stanovené územní oblasti a o územní oblast či oblasti, kde se nachází nebo nacházelo elektronické komunikační zařízení.
27 Podle informací poskytnutých předkládajícím soudem ve věci C‑203/15 nelze na základě § 19 kapitoly 27 RB shromažďovat informace o obsahu zprávy. Sledování elektronických komunikací může být na základě § 20 kapitoly 27 RB v zásadě nařízeno, pouze pokud existuje důvodné podezření, že určitá osoba spáchala trestný čin a opatření má pro vyšetřování zvláštní význam, přičemž uvedené vyšetřování se týká trestného činu, za který lze uložit trest odnětí svobody v délce trvání minimálně dvou let, nebo pokusu, přípravy nebo zločinného spolčení za účelem spáchání takového trestného činu. V souladu s ustanovením § 21 kapitoly 27 RB musí státní zástupce požádat, kromě naléhavých případů, příslušný soud o povolení k použití sledování elektronických komunikací.
K bezpečnosti a ochraně uchovávaných údajů
28 Podle ustanovení § 3 kapitoly 6 LEK mají poskytovatelé služeb elektronických komunikací, kteří jsou povinni uchovávat údaje, přijmout vhodná technická a organizační opatření nezbytná pro zajištění ochrany údajů v průběhu jejich zpracovávání. Podle informací poskytnutých předkládajícím soudem ve věci C‑203/15 švédské právo nicméně neupravuje ustanovení o místě uchovávání údajů.
Právo Spojeného království
DRIPA
29 Článek 1 DRIPA, nadepsaný „Pravomoc uchovávat údaje o relevantních komunikacích podléhajících ochraně“, stanoví:
„(1) Ministr [vnitra] může formou výzvy (dále jen ‚výzva k uchovávání údajů‘) uložit poskytovateli veřejných telekomunikačních služeb povinnost uchovávat relevantní komunikační údaje, má-li za to, že uložení takové povinnosti je nezbytné a přiměřené s ohledem na některý z následujících účelů stanovených v čl. 22 odst. 2 písm. a) až h) Regulation of Investigatory Powers Act 2000 (zákon o úpravě vyšetřovacích pravomocí z roku 2000) (účely, ke kterým lze shromažďovat komunikační údaje).
(2) Výzva k uchovávání údajů může:
a) souviset s konkrétním poskytovatelem nebo určitým druhem poskytovatelů;
b) ukládat povinnost uchovávat všechny údaje nebo určité jejich kategorie;
c) stanovit dobu či doby uchovávání údajů;
d) stanovit další požadavky či omezení, pokud jde o uchovávání údajů;
e) stanovit jiné požadavky pro jiné účely;
f) souviset s údaji, které existují či dosud neexistují v okamžiku vydání dotčené výzvy nebo v okamžiku, kdy výzva nabývá účinnosti.
(3) Ministr [vnitra] může vyhláškou stanovit další podmínky uchovávání relevantních komunikačních údajů.
(4) Tyto podmínky se mohou týkat zejména:
a) požadavků předcházejícím vydání výzvy k uchovávání údajů,
b) maximální doby uchovávání údajů na základě výzvy k uchovávání údajů,
c) obsahu, vydání, nabytí účinnosti, přezkoumání, změny a zrušení výzvy k uchovávání údajů,
d) integrity, bezpečnosti či ochrany údajů uchovávaných na základě tohoto článku, přístupu k takovým údajům, jejich sdělování a likvidace,
e) uplatňování relevantních požadavků či omezení nebo kontroly jejich plnění,
f) metodických předpisů ohledně relevantních požadavků či omezení nebo relevantních pravomocí,
g) náhrady (podmíněné či nepodmíněné) výdajů vzniklých poskytovatelům veřejných telekomunikačních služeb při plnění relevantních požadavků či omezení poskytované ministrem [vnitra],
h) skutečnosti, že [Data Retention (EC Directive) Regulations 2009 (vyhláška z roku 2009 o uchovávání údajů ve smyslu směrnice ES)] pozbývá účinnosti, a přechodu na režim uchovávání údajů na základě tohoto článku.
(5) Maximální doba podle odst. 4 písm. b) nesmí překročit 12 měsíců počínaje dnem stanoveným ve vztahu k dotyčným údajům vyhláškou vydanou podle odstavce 3.
[…]“
30 Článek 2 DRIPA vymezuje pojem „relevantní komunikační údaje“ jako „komunikační údaje druhu uvedeného v příloze k vyhlášce o uchovávání údajů ve smyslu směrnice ES z roku 2009, jsou-li takové údaje vytvářeny nebo zpracovávány ve Spojeném království poskytovateli veřejných telekomunikačních služeb v rámci poskytování dotyčných telekomunikačních služeb“.
RIPA
31 Článek 21 zákona o úpravě vyšetřovacích pravomocí z roku 2000 (dále jen „RIPA“), který je uveden v kapitole II tohoto zákona, nadepsaný „Shromažďování a sdělování komunikačních údajů“, v odstavci 4 stanoví:
„Pro účely této kapitoly se pojmem ‚komunikační údaje‘ rozumí jakýkoli z následujících pojmů:
a) jakékoli provozní údaje, jež jsou součástí sdělení nebo jsou k němu připojeny (odesílatelem nebo jinou osobou) pro účely jakékoli poštovní služby nebo telekomunikačního systému, jejichž prostřednictvím je nebo může být sdělení přenášeno;
b) jakékoli informace, jejichž součástí není žádný obsah sdělení (kromě informací spadajících pod písmeno a)) a týkají se využití jakoukoli osobou:
i) jakékoli poštovní nebo telekomunikační služby nebo
ii) jakékoli součásti telekomunikačního systému v souvislosti s poskytnutím jakékoli telekomunikační služby jakékoli osobě nebo použitím takové služby jakoukoli osobou;
c) jakékoli informace, které nespadají pod písmena a) ani b) a které jsou v držení jakékoli osoby poskytující poštovní nebo telekomunikační službu nebo jsou takovou osobou shromážděny, a to ve vztahu k osobám, kterým takovou službu poskytuje.“
32 Na základě informací uvedených v předkládacím rozhodnutí ve věci C‑698/15, tyto údaje zahrnují „lokalizační údaje uživatele“, avšak nikoli údaje týkající se obsahu sdělení.
33 Přístup k uchovávaným údajům je upraven v článku 22 RIPA, který stanoví:
„(1) Tento článek se použije, má-li osoba stanovená pro účely této kapitoly za to, že je na základě důvodů uvedených v odstavci 2 tohoto článku nezbytné získat jakékoli komunikační údaje.
(2) Získání komunikačních údajů je podle tohoto odstavce nezbytné tehdy, je-li to nutné z těchto důvodů:
a) v zájmu národní bezpečnosti;
b) pro účely předcházení či odhalování trestné činnosti nebo zabránění narušení veřejného pořádku;
c) v zájmu hospodářské prosperity Spojeného království,
d) v zájmu veřejné bezpečnosti;
e) za účelem ochrany veřejného zdraví;
f) za účelem vyměření či výběru jakékoli daně, poplatku, odvodu či jiné dávky, příspěvku nebo poplatku splatného státnímu orgánu;
g) v případě nouze, pro účely předcházení úmrtí či zranění nebo jakékoli újmě na fyzickém či psychickém zdraví určité fyzické osoby nebo zmírnění jakéhokoli zranění nebo újmy na fyzickém či psychickém zdraví určité fyzické osoby;
h) pro jakýkoli jiný účel (neuvedený v písmenech a) až g)), stanovený pro účely tohoto odstavce vyhláškou [ministra vnitra].
(4) S výhradou odstavce 5 příslušná osoba, má-li za to, že poskytovatel poštovních nebo telekomunikačních služeb má nebo může disponovat nebo může získat jakékoli komunikační údaje, může vyzvat poskytovatele poštovních nebo telekomunikačních služeb, aby
a) získal určité údaje v případě, že je dosud nemá k dispozici, a
b) v každém případě poskytl veškeré údaje, jimiž disponuje, nebo které následně získal.
(5) Příslušná osoba neudělí povolení podle odstavce 3 nebo neučiní výzvu podle odstavce 4, není-li přesvědčena o tom, že získání dotčených údajů povoleným jednáním nebo jednáním vyžadovaným na základě povolení nebo výzvy je přiměřené ve vztahu k cíli, kterého má být prostřednictvím takto získaných údajů dosaženo.“
34 Je-li důvod se domnívat, že dochází k protiprávnímu shromažďování údajů, může být podle článku 65 RIPA podána stížnost k Investigatory Powers Tribunal (tribunál pro kontrolu vyšetřovacích pravomocí, Spojené království).
Data Retention Regulations 2014
35 Data Retention Regulations 2014 (vyhláška o uchovávání údajů z roku 2014), která byla přijata na základě DRIPA, je rozdělena do tří částí, přičemž ve druhé části jsou uvedeny články 2 až 14 tohoto nařízení. V článku 4, nadepsaném „Výzvy k uchovávání“, se stanoví:
„(1) Výzvy k uchovávání musí vymezit:
a) poskytovatele veřejných telekomunikačních služeb (nebo popis poskytovatelů), jehož se výzvy týkají,
b) příslušné komunikační údaje, které musí být uchovávány,
c) dobu či doby uchovávání údajů;
d) další požadavky či omezení v souvislosti s uchováváním údajů.
(2) Výzva k uchovávání nesmí požadovat uchovávání údajů po dobu delší než 12 měsíců, která počíná běžet:
a) v případě provozních údajů nebo údajů souvisejících s využitím služby dnem, kdy se uskutečnilo dotčené sdělení, a
b) v případě údajů týkajících se předplatitelů dnem, kdy dotčená osoba ukončila dotčenou komunikační službu, nebo dnem, kdy došlo ke změně údajů (nastane-li tento okamžik dříve).
[…]“
36 V článku 7 této vyhlášky, nadepsaném „Integrita a bezpečnost údajů“, se stanoví:
„(1) Poskytovatel veřejných telekomunikačních služeb, který uchovává komunikační údaje podle článku 1[DRIPA], musí:
a) zajistit stejnou integritu a přinejmenším stejnou bezpečnost a ochranu údajů, jakou mají údaje obsažené v systému, z něhož pocházejí,
b) zajistit vhodnými technickými a organizačními opatřeními, aby přístup k údajům mohly mít pouze osoby se zvláštním oprávněním, a
c) ochránit údaje vhodnými technickými a organizačními opatřeními proti náhodnému nebo nedovolenému zničení, náhodné ztrátě nebo poškození nebo neoprávněnému či protiprávnímu uchovávání, zpracování, přístupu nebo sdělování.
(2) Provozovatel veřejných telekomunikačních služeb, který uchovává komunikační údaje podle článku 1 [DRIPA], musí data zničit, není-li již uchovávání takových údajů dále povoleno podle tohoto článku nebo na základě jiných právních předpisů.
(3) Požadavkem stanoveným v odstavci 2, který se týká zničení údajů, se rozumí požadavek vymazání údajů způsobem, kterým se znemožní přístup k těmto údajům.
(4) Postačuje, když poskytovatel přijme taková opatření, jimiž zajistí výmaz těchto údajů v měsíčních nebo kratších intervalech dle praktických možností poskytovatele.“
37 V článku 8 uvedené vyhlášky, nadepsaném „Poskytování uchovávaných údajů“, se stanoví:
„(1) Poskytovatel veřejných telekomunikačních služeb musí zavést vhodné bezpečnostní systémy (včetně technických a organizačních opatření), kterými se řídí přístup ke komunikačním údajům uchovávaným podle článku 1 [DRIPA], aby zamezil jakémukoli poskytnutí údajů, s výjimkou poskytnutí učiněných na základě čl. 1 odst. 6 písm. a) [DRIPA].
(2) Poskytovatel veřejných telekomunikačních služeb, jenž uchovává komunikační údaje podle článku 1 [DRIPA], musí údaje uchovávat takovým způsobem, aby mohly být poskytnuty na žádost bez zbytečného prodlení.“
38 Článek 9 téže vyhlášky, nadepsaný „Dohled komisaře pro informace“, zní:
„Komisař pro informace musí ověřovat dodržování požadavků nebo omezení, které jsou uloženy v této části, v souvislosti s integritou, bezpečností a zničením údajů, jež jsou uchovávány na základě článku 1 [DRIPA].“
Metodický předpis
39 Acquisition and Disclosure of Communications Data Code of Practice (metodický předpis o získávání a sdělování komunikačních údajů, dále jen „metodický předpis“) obsahuje ve svých bodech 2.5 až 2.9 a 2.36 až 2.45 pokyny, týkající se nezbytnosti a přiměřenosti získání komunikačních údajů. Podle vysvětlení předkládajícího soudu ve věci C‑698/15 je třeba v souladu s body 3.72 až 3.77 metodického předpisu zvláště zohlednit nezbytnost a přiměřenost, pokud se požadované komunikační údaje týkají osoby, která v rámci svého povolání nakládá s informacemi, na které se vztahuje profesní tajemství, nebo jinak důvěrnými informacemi.
40 Podle bodů 3.78 až 3.84 uvedeného metodického předpisu je třeba rozhodnutí soudu, pokud je žádost o komunikační údaje podávána za účelem identifikace novinářského zdroje. Podle bodů 3.85 až 3.87 téhož metodického předpisu je vyžadován souhlas soudu, pokud o přístup k údajům žádají místní orgány. Schválení ze strany soudu nebo jiného nezávislého orgánu není naproti tomu třeba pro přístup ke komunikačním údajům, které podléhají profesnímu tajemství nebo se týkají lékařů, poslanců Parlamentu nebo duchovních.
41 V bodě 7.1 metodického předpisu se stanoví požadavek zabezpečeného zpracování komunikačních údajů, které jsou získány nebo obdrženy na základě ustanovení RIPA, včetně veškerých jejich kopií, výpisů a shrnutí, a jejich zabezpečeného uchovávání. Kromě toho musí být dodržovány požadavky Data Protection Act (zákon o ochraně osobních údajů).
42 V bodě 7.18 metodického předpisu se stanoví, že pokud má veřejný orgán Spojeného království v úmyslu získat komunikační údaje jménem orgánu jiného státu a má v úmyslu mu tyto údaje sdělit, musí posoudit, zda budou tyto údaje odpovídajícím způsobem chráněny. Z bodu 7.22 tohoto přepisu ovšem vyplývá, že k předání údajů třetímu státu může dojít z důvodu zásadního veřejného zájmu i tehdy, nezajišťuje-li třetí země odpovídající úroveň ochrany údajů. Podle informací, které předkládající soud uvedl ve věci C‑698/15, může ministr vnitra vydat národní bezpečnostní osvědčení, na jehož základě se určité údaje vyjímají z povinnosti dodržovat ustanovení právních předpisů.
43 V bodě 8.1 uvedeného předpisu se připomíná, že zákonem RIPA se zřizuje úřad Interception of Communications Commissioner (dále jen „komisař pro zachycování komunikace“), jehož úkolem je zajišťovat nezávislý dohled nad výkonem a plněním pravomocí a povinností stanovených v části I kapitole II RIPA. Z bodu 8.3 téhož předpisu vyplývá, že pokud tento komisař prokáže, že „určité fyzické osobě byla způsobena újma úmyslným nebo nedbalostním jednáním“, vyrozumí ji o tom, že existuje podezření ze zneužití pravomoci.
Spory v původních řízeních a předběžné otázky
Věc C‑203/15
44 Dne 9. dubna 2014 oznámila společnost Tele2 Sverige, která je poskytovatelem služeb elektronických komunikací se sídlem ve Švédsku, orgánu PTS, že v návaznosti na prohlášení směrnice 2006/24 za neplatnou rozsudkem ze dne 8. dubna 2014, Digital Rights Ireland a další (C‑293/12 a C‑594/12, dále jen „rozsudek Digital Rights“, EU:C:2014:238), přestane od 14. dubna 2014 uchovávat údaje elektronických komunikací, na které se vztahuje LEK, a odstraní údaje, které byly k tomuto datu uchovávány.
45 Dne 15. dubna 2014 Rikspolisstyrelsen (policejní prezídium, Švédsko) podalo u PTS stížnost z důvodu, že mu společnost Tele2 Sverige přestala sdělovat dotčené údaje.
46 Dne 29. dubna 2014 justitieminister (ministr spravedlnosti, Švédsko) jmenoval zvláštního zpravodaje pověřeného analýzou dotčené švédské právní úpravy s ohledem na rozsudek Digital Rights. Ve zprávě ze dne 13. června 2014, nazvané „Datalagring, EU-rätten och svensk rätt, no Ds 2014:23“ (Uchovávání údajů, unijní a švédské právo, dále jen „zpráva z roku 2014“) dospěl zvláštní zpravodaj k závěru, že taková vnitrostátní právní úprava, jaká se týká uchovávání údajů, která je stanovena v článcích 16 a až 16 f LEK, není v rozporu s unijním právem ani s Evropskou Úmluvou o ochraně lidských práv a základních svobod, podepsanou v Římě dne 4. listopadu 1950 (dále jen „EÚLP“). Zvláštní zpravodaj zdůraznil, že rozsudek Digital Rights nemůže být vykládán v tom smyslu, že by sankcionoval samotný princip plošného a nerozlišujícího uchovávání údajů. Zvláštní zpravodaj byl toho názoru, že rozsudek Digital Rights nelze vykládat ani tak, že by v něm Soudní dvůr stanovil soubor kritérií, jež je třeba splnit k tomu, aby bylo možné považovat určitou právní úpravu za přiměřenou. K určení, zda jsou švédské právní předpisy v souladu s unijním právem, je podle něj třeba posoudit veškeré okolnosti, jako je rozsah uchovávání údajů s ohledem na ustanovení o přístupu k údajům, době jejich uchovávání, jejich ochraně a jejich bezpečnosti.
47 Na tomto základě orgán PTS vyrozuměl dne 19. června 2014 společnost Tele2 Sverige o tom, že nesplnila povinnosti stanovené vnitrostátními právními předpisy, neboť neuchovávala údaje, na které se vztahuje LEK, po dobu šesti měsíců pro účely boje proti trestné činnosti. Rozhodnutím ze dne 27. června 2014 orgán PTS nařídil společnosti Tele2 Sverige, aby nejpozději ode dne 25. července 2014 začala tyto údaje opět uchovávat.
48 Společnost Tele2 Sverige, která měla za to, že zpráva z roku 2014 vychází z nesprávného výkladu rozsudku Digital Rights a že povinnost uchovávat údaje je v rozporu se základními právy zakotvenými Listinou, napadla rozhodnutí ze dne 27. června 2014 žalobou podanou k Förvaltningsrätten i Stockholm (správní soud ve Stockholmu). Vzhledem k tomu, že posledně uvedený soud tuto žalobu rozsudkem ze dne 13. října 2014 zamítl, podala společnost Tele2 Sverige odvolání k předkládajícímu soudu.
49 Předkládající soud má za to, že slučitelnost švédské právní úpravy s unijním právem musí být posuzována ve světle čl. 15 odst. 1 směrnice 2002/58. Předkládající soud má totiž za to, že i když tato směrnice stanovuje zásadu, podle níž musí být provozní a lokalizační údaje vymazány nebo anonymizovány, jakmile již nejsou potřebné pro přenos sdělení, je v čl. 15 odst. 1 uvedené směrnice stanovena výjimka z této zásady, neboť toto ustanovení umožňuje členským státům, aby omezily tuto povinnost vymazávání nebo anonymizace, či dokonce stanovily povinnost uchovávání údajů, je-li to ospravedlněno některým z důvodů, jež jsou v něm uvedeny. Unijní právo tak podle předkládajícího soudu v určitých situacích umožňuje uchovávání údajů elektronických komunikací.
50 Předkládající soud se nicméně táže, zda taková povinnost plošného a nerozlišujícího uchovávání údajů elektronických komunikací, jaká je dotčena v původním řízení, je s ohledem na rozsudek Digital Rights v souladu s čl. 15 odst. 1 směrnice 2002/58 ve spojení s články 7, 8 a čl. 52 odst. 1 Listiny. S ohledem na rozdílná stanoviska zúčastněných stran k této otázce je třeba, aby se Soudní dvůr jednoznačně vyslovil k otázce, zda je plošné a nerozlišující uchovávání údajů elektronických komunikací samo o sobě neslučitelné s články 7, 8 a čl. 52 odst. 1 Listiny, jak tvrdí společnost Tele2 Sverige, nebo zda musí být slučitelnost takového uchovávání údajů posouzena s ohledem na ustanovení o přístupu k údajům, jejich ochraně, bezpečnosti a době jejich uchovávání, jak vyplývá ze zprávy z roku 2014.
51 Za těchto podmínek se předkládající soud rozhodl přerušit řízení a položit Soudnímu dvoru následující předběžné otázky:
„1) Je obecná povinnost uchovávat údaje týkající se veškerých osob, veškerých prostředků elektronické komunikace a veškerých provozních údajů bez jakéhokoli rozlišení, omezení nebo jakýchkoli výjimek pro účely boje proti trestné činnosti […] v souladu s čl. 15 odst. 1 směrnice 2002/58/ES, a to s ohledem na články 7, 8 a čl. 52 odst. 1 Listiny?
2) Pokud bude odpověď na první otázku záporná, může být uchovávání přesto přípustné, pokud:
a) je přístup vnitrostátních orgánů k uchovávaným údajům upraven tak, jak je popsáno v bodech 19 až 36 [předkládacího rozhodnutí], a
b) požadavky na ochranu a bezpečnost údajů jsou upraveny tak, jak je popsáno v bodech 38 až 43 [předkládacího rozhodnutí], a
c) veškeré relevantní údaje musí být uchovávány po dobu šesti měsíců ode dne ukončení komunikace a následně vymazány, jak je popsáno v bodě 37 [předkládacího rozhodnutí]?“
Věc C‑698/15
52 T. Watson, P. Brice a G. Lewis podali u High Court of Justice (England & Wales), Queen’s Bench Division (Divisional Court) [Nejvyšší soud (pro Anglii a Wales), Queen’s Bench Division (správní senát), Spojené království] návrhy, jimiž se domáhají soudního přezkum zákonnosti článku 1 DRIPA, přičemž se dovolávají zejména neslučitelnosti tohoto článku s články 7 a 8 Listiny a s článkem 8 EÚLP.
53 High Court of Justice (England & Wales), Queen’s Bench Division (Divisional Court) [Nejvyšší soud (pro Anglii a Wales), Queen’s Bench Division (správní senát)] konstatoval v rozsudku ze dne 17. července 2015, že rozsudkem Digital Rights byly stanoveny „závazné požadavky unijního práva“, které se vztahují na právní úpravu členských států v oblasti uchovávání komunikačních údajů a přístupu k takovým údajům. Uvedený soud má za to, že jelikož Soudní dvůr v uvedeném rozsudku rozhodl o neslučitelnosti směrnice 2006/24 se zásadou proporcionality, nemůže být s touto zásadou slučitelná ani vnitrostátní právní úprava, která má stejný obsah jako tato směrnice. Z logiky, na které je založen rozsudek Digital Rights, podle uvedeného soudu vyplývá, že právní předpis, který stanovuje obecný režim pro uchovávání komunikačních údajů, je v rozporu s právy zaručenými články 7 a 8 Listiny, není-li tento právní předpis doplněn režimem přístupu k údajům, který je vymezen vnitrostátním právem a stanovuje dostatečné záruky pro ochranu těchto práv. Článek 1 DRIPA tak podle uvedeného soudu není slučitelný s články 7 a 8 Listiny, jelikož nestanovuje jasná a přesná pravidla týkající se přístupu k uchovávaným údajům a nakládání s nimi a přístup k těmto údajům nepodléhá předchozímu přezkumu ze strany soudu nebo nezávislého správního orgánu.
54 Ministr vnitra podal proti tomuto rozsudku odvolání u Court of Appeal (England & Wales) (Civil Division) [odvolací soud pro Anglii a Wales, občanskoprávní oddělení, Spojené království].
55 Uvedený soud uvádí, že ministr vnitra je na základě čl. 1 odst. 1 DRIPA zmocněn k přijímání obecného režimu, podle kterého se ukládá poskytovatelům veřejných telekomunikačních služeb povinnost uchovávat veškeré údaje související se všemi poštovním či telekomunikačními službami po dobu nejvýše dvanácti měsíců, má-li za to, že je takový požadavek nezbytný a přiměřený k dosažení cílů stanovených právními předpisy Spojeného království, aniž je stanoven jakýkoli požadavek předchozího schválení ze strany soudu nebo nezávislého správního orgánu. I když součástí těchto údajů není obsah sdělení, jejich povaha může vážně zasahovat do soukromí uživatelů komunikačních služeb.
56 Předkládající soud má v předkládacím rozhodnutí a v rozsudku ze dne 20. listopadu 2015, který byl vydán v rámci odvolacího řízení, v němž uvedený soud rozhodl o předložení projednávané žádosti o rozhodnutí o předběžné otázce Soudnímu dvoru, za to, že se na vnitrostátní právní předpisy týkající se uchovávání údajů nutně vztahuje čl. 15 odst. 1 směrnice 2002/58, a proto musí splňovat požadavky, jež vyplývají z Listiny. Nicméně, jak vyplývá z čl. 1 odst. 3 této směrnice, unijní normotvůrce neharmonizoval pravidla týkající se přístupu k uchovávaným údajům.
57 Pokud jde o dopad rozsudku Digital Rights na otázky předložené ve sporu v původním řízení, předkládající soud uvádí, že se ve věci, v níž byl vydán uvedený rozsudek, Soudní dvůr zabýval otázkou platnosti směrnice 2006/24, a nikoli platností vnitrostátní právní úpravy. Zejména s ohledem na úzký vztah mezi uchováváním údajů a přístupem k těmto údajům by podle předkládajícího soudu bylo nutné, aby tuto směrnici doplnila řada záruk a aby byla v rozsudku Digital Rights v rámci přezkumu zákonnosti režimu uchovávání údajů stanoveného uvedenou směrnicí analyzována pravidla, která se týkají přístupu k těmto údajům, k čemuž ovšem nedošlo. Soudní dvůr tudíž v uvedeném rozsudku neusiloval o vymezení závazných požadavků, které by se vztahovaly na vnitrostátní právní úpravy přístupu k údajům, které neprovádějí unijní právo. Kromě toho bylo podle předkládajícího soudu odůvodnění Soudního dvora úzce spojeno s cíli sledovanými uvedenou směrnicí. Vnitrostátní právní úprava by ovšem měla být posuzována s ohledem na cíle, které sleduje, a její kontext.
58 Stran potřeby předložit Soudnímu dvoru žádost o rozhodnutí o předběžné otázce předkládající soud zdůrazňuje, že v okamžiku přijetí předkládacího rozhodnutí šest soudů v jiných členských státech, z nichž se v pěti případech jednalo o soud posledního stupně, zrušilo na základě rozsudku Digital Rights příslušné vnitrostátní právní předpisy. Odpověď na vznesené otázky není tudíž jednoznačná, avšak je nezbytná k rozhodnutí sporu předloženému předkládajícímu soudu.
59 Za těchto podmínek se Court of Appeal (England & Wales) (Civil Division) [odvolací soud pro Anglii a Wales, občanskoprávní oddělení] rozhodl přerušit řízení a položit Soudnímu dvoru následující předběžné otázky:
„1) Uvádí rozsudek Digital Rights (a zejména body 60 až 62 rozsudku) závazné požadavky unijního práva, které se vztahují na vnitrostátní režim členského státu upravující přístup k údajům uchovávaným podle vnitrostátních právních předpisů a které je nutno dodržet k dosažení souladu s články 7 a 8 Listiny?
2) Rozšiřuje rozsudek Digital Rights dosah článku 7 nebo článku 8 Listiny nad rámec článku 8 EÚLP vymezený judikaturou Evropského soudu pro lidská práva?“
K řízení před Soudním dvorem
60 Usnesením ze dne 1. února 2016, Davis a další, (C‑698/15, nezveřejněné, EU:C:2016:70) předseda Soudního dvora rozhodl, že vyhoví žádosti Court of Appeal (England & Wales) (Civil Division) [odvolací soud pro Anglii a Wales, občanskoprávní oddělení] a věc C‑698/15 bude projednána ve zrychleném řízení podle čl. 105 odst. 1 jeho jednacího řádu Soudního dvora.
61 Rozhodnutím předsedy Soudního dvora ze dne 10. března 2016 byly věci C‑203/15 a C‑698/15 spojeny pro účely ústní části řízení a rozsudku.
K předběžným otázkám
K první otázce ve věci C‑203/15
62 Podstatou první otázky Kammarrätten i Stockholm (správní odvolací soud ve Stockholmu) ve věci C‑203/15 je, zda čl. 15 odst. 1 směrnice 2002/58 ve spojení s články 7, 8 a čl. 52 odst. 1 Listiny musí být vykládán v tom smyslu, že brání takové vnitrostátní právní úpravě, jako je právní úprava dotčená ve věci v původním řízení, která za účelem boje proti trestné činnosti stanoví plošné a nerozlišující uchovávání veškerých provozních a lokalizačních údajů všech účastníků a registrovaných uživatelů, které se vztahuje na veškeré prostředky elektronické komunikace.
63 Tato otázka vychází zejména ze skutečnosti, že směrnice 2006/24, jejíž provedení bylo cílem vnitrostátní právní úpravy dotčené v původním řízení, byla rozsudkem Digital Rights prohlášena za neplatnou, avšak mezi zúčastněnými stranami panuje spor ohledně dosahu tohoto rozsudku a jeho dopadu na tuto právní úpravu, která upravuje uchovávání provozních a lokalizačních údajů a přístup k těmto údajům ze strany vnitrostátních orgánů.
64 Nejprve je třeba zkoumat, zda se na takovou vnitrostátní právní úpravu, jaká je dotčena v původním řízení, vztahuje oblast působnosti unijního práva.
K oblasti působnosti směrnice 2002/58
65 Členské státy, jež předložily písemná vyjádření Soudnímu dvoru, vyjádřily odlišné názory ohledně otázky, zda a v jakém rozsahu se oblast působnosti směrnice 2002/58 vztahuje na vnitrostátní právní úpravy, které se týkají uchovávání provozních a lokalizačních údajů a přístupu k těmto údajům ze strany vnitrostátních orgánů za účelem boje proti trestné činnosti. Belgická, dánská, německá, estonská a nizozemská vláda a Irsko mají mimo jiné za to, že na tuto otázku je třeba odpovědět kladně, kdežto česká vláda navrhuje, aby na ni bylo odpovězeno záporně, přičemž uvádí, že jediným cílem těchto právních úprav je boj proti trestné činnosti. Pokud jde o vládu Spojeného království, ta tvrdí, že se oblast působnosti této směrnice vztahuje pouze na právní úpravy, které se týkají uchovávání údajů, a nikoli na právní úpravy týkající se přístupu k těmto údajům ze strany příslušných donucovacích vnitrostátních orgánů.
66 Konečně pokud jde o Komisi, ta přestože ve svém písemném vyjádření předloženém Soudnímu dvoru ve věci C‑203/15 tvrdí, že se na vnitrostátní právní úpravu dotčenou v původním řízení vztahuje oblast působnosti směrnice 2002/58, ve svém písemném vyjádření předloženém ve věci C‑698/15 uvádí, že se oblast působnosti této směrnice vztahuje pouze na vnitrostátní právní předpisy, které se týkají uchovávání údajů, a nikoli na vnitrostátní právní předpisy týkající se přístupu vnitrostátních orgánů k těmto údajům. Posledně uvedené právní předpisy je podle Komise nicméně třeba zohlednit při posuzování, zda vnitrostátní právní úprava, kterou se řídí uchovávání údajů poskytovateli služeb elektronických komunikací, představuje přiměřený zásah do základních práv zaručených články 7 a 8 Listiny.
67 V této souvislosti je třeba uvést, že rozsah oblasti působnosti směrnice 2002/58 musí být posouzen zejména s ohledem na obecnou systematiku uvedené směrnice.
68 Podle čl. 1 odst. 1 směrnice 2002/58 se zejména stanoví, že se touto směrnicí harmonizují vnitrostátní právní předpisy požadované pro zajištění rovnocenné úrovně ochrany základních práv a svobod, zejména práva na soukromí a zachování důvěrnosti informací, se zřetelem na zpracování osobních údajů v odvětví elektronických komunikací.
69 Podle čl. 1 odst. 3 této směrnice se její oblast působnosti nevztahuje na „činnosti státu“ v uvedených oblastech, tj. zejména činnosti státu v oblasti trestního práva a činnosti, které se týkají veřejné bezpečnosti, obrany, bezpečnosti státu, včetně hospodářské prosperity státu, pokud jsou tyto činnosti spojeny s otázkami bezpečnosti státu (stran čl. 3 odst. 2 první odrážky směrnice 95/46 viz obdobně rozsudek ze dne 6. listopadu 2003, Lindqvist, C‑101/01, EU:C:2003:596, bod 43 a rozsudek ze dne 16. prosince 2008, Satakunnan Markkinapörssi a Satamedia, C‑73/07, EU:C:2008:727, bod 41).
70 Článek 3 směrnice 2002/58 uvádí, že se tato směrnice vztahuje na zpracování osobních údajů ve spojení s poskytováním veřejně dostupných služeb elektronických komunikací ve veřejných komunikačních sítích v Unii, včetně veřejných komunikačních sítí podporujících zařízení pro shromažďování a identifikaci údajů (dále jen „služby elektronických komunikací“). Z toho vyplývá, že na uvedenou směrnice musí být nahlíženo tak, že upravuje činnosti poskytovatelů takových služeb.
71 Článek 15 odst. 1 směrnice 2002/58 umožňuje členským státům přijímat za dodržení jím stanovených podmínek „legislativní opatření, kterými omezí rozsah práv a povinností uvedených v článku 5, článku 6, čl. 8 odst. 1, 2, 3 a 4 a článku 9 [této] směrnice.“ V článku 15 odst. 1 druhé větě uvedené směrnice jsou v rámci demonstrativního výčtu opatření, jež mohou členské státy takto přijímat, uvedena „opatření umožňující uchovávání údajů.“
72 Je jistě pravda, že se legislativní opatření uvedená v čl. 15 odst. 1 směrnice 2002/58 týkají činností, jež jsou vlastní státům nebo státním orgánům a nesouvisí s oblastmi činností jednotlivců (v tomto smyslu viz rozsudek ze dne 29. ledna 2008, Promusicae, C‑275/06, EU:C:2008:54, bod 51). Kromě toho se účely, které taková opatření musí na základě tohoto ustanovení naplňovat, jimiž je v projednávané věci zajištění národní bezpečnosti, obrany, veřejné bezpečnosti a prevence, vyšetřování, odhalování a stíhání trestných činů nebo neoprávněného použití elektronického komunikačního systému, v podstatě kryjí s účely sledovanými činnostmi, na které se vztahuje čl. 1 odst. 3 této směrnice.
73 Nicméně s ohledem na celkovou systematiku směrnice 2002/58 nelze na základě skutečností uvedených v předchozím bodě tohoto rozsudku dospět k závěru, že oblast působnosti směrnice 2002/58 se nevztahuje na legislativní opatření uvedená v jejím čl. 15 odst. 1, nemá-li být toto ustanovení zcela zbaveno užitečného účinku. Uvedené ustanovení totiž nutně předpokládá, že vnitrostátní opatření, která jsou v něm uvedena, jako jsou opatření týkající se uchovávání údajů za účelem boje proti trestné činnosti, spadají do oblasti působnosti téže směrnice, neboť posledně uvedená směrnice výslovně opravňuje členské státy k jejich přijetí pouze tehdy, jsou-li dodrženy podmínky, které tato směrnice stanoví.
74 Kromě toho legislativními opatřeními podle čl. 15 odst. 1 směrnice 2002/58 se pro účely, jež jsou uvedeny v tomto ustanovení, řídí činnost poskytovatelů služeb elektronických komunikací. Proto musí být tento čl. 15 odst. 1 ve spojení s článkem 3 uvedené směrnice 2002/58 vykládán v tom smyslu, že taková legislativní opatření spadají do oblasti působnosti této směrnice.
75 Do této oblasti působnosti spadá zejména takové legislativní opatření, o jaké se jedná v původním řízení, které ukládá poskytovatelům povinnost uchovávat provozní a lokalizační údaje, neboť tato činnost nutně zahrnuje zpracování osobních údajů ze strany těchto poskytovatelů.
76 Do uvedené oblasti působnosti rovněž spadá legislativní opatření, které se týká, jak je tomu v původním řízení, přístupu vnitrostátních orgánů k údajům uchovávaným poskytovateli služeb elektronických komunikací.
77 Ochrana důvěrnosti elektronických komunikací a souvisejících provozních údajů, jež je zaručena čl. 5 odst. 1 směrnice 2002/58, se totiž vztahuje na opatření, která přijímají veškeré osoby s výjimkou uživatelů, ať již se jedná o soukromé fyzické nebo právnické osoby nebo o státní subjekty. Jak potvrzuje bod 21 odůvodnění této směrnice, jejím cílem je zamezit [„jakémukoli“] neoprávněnému „přístupu“ ke sdělením, včetně „[veškerých] údajů vztahujících se k takovým sdělením“, aby byla chráněna důvěrnost elektronických komunikací.
78 Za těchto podmínek se legislativní opatření, jehož prostřednictvím členský stát ukládá na základě čl. 15 odst. 1 směrnice 2002/58 poskytovatelům služeb elektronických komunikací, aby pro účely uvedené tímto ustanovením udělili za podmínek stanovených takovým opatřením přístup k údajům uchovávaným uvedenými poskytovateli, týká zpracování osobních údajů ze strany uvedených poskytovatelů, na které se vztahuje oblast působnosti této směrnice.
79 Dále vzhledem k tomu, že jediným účelem uchovávání je v příslušném případě zpřístupnění údajů příslušným vnitrostátním orgánům, znamená to, že vnitrostátní právní úprava, která stanoví uchovávání údajů, s sebou v zásadě nutně ponese, že budou existovat ustanovení, která upravují přístup příslušných vnitrostátních orgánů k údajům uchovávaným poskytovateli služeb elektronických komunikací.
80 Tento výklad je podporován čl. 15 odst. 1b směrnice 2002/58, v němž se stanoví, že poskytovatelé vytvoří vnitřní postupy pro vyřizování žádostí o přístup k osobním údajům uživatelů na základě vnitrostátních opatření přijatých podle čl. 15 odst. 1 této směrnice.
81 Z výše uvedeného vyplývá, že taková vnitrostátní právní úprava, jaká je dotčená v původním řízení ve věcech C‑203/15 a C‑698/15, spadá do oblasti působnosti směrnice 2002/58.
K výkladu čl. 15 odst. 1 směrnice 2002/58 s ohledem na články 7, 8, 11 a čl. 52 odst. 1 Listiny
82 Je třeba uvést, že podle čl. 1 odst. 2 směrnice 2002/58 její ustanovení „upřesňují a doplňují“ směrnici 95/46. Jak je uvedeno v bodě 2 jejího odůvodnění, směrnice 2002/58 usiluje zejména o to, aby byla plně dodržována práva stanovená v článcích 7 a 8 Listiny. V této souvislosti z důvodové zprávy k návrhu směrnice Evropského parlamentu a Rady o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací [COM (2000) 385 final], z něhož vychází směrnice 2002/58, vyplývá záměr unijního normotvůrce, kterým je „zachovat vysokou úroveň ochrany osobních údajů a soukromí u všech služeb elektronických komunikací bez ohledu na použitou technologii“.
83 Za tímto účelem obsahuje směrnice 2002/58 konkrétní ustanovení, jejichž cílem je, jak vyplývá mimo jiné z bodů 6 a 7 jejího odůvodnění, ochránit uživatele služeb elektronických komunikací před riziky pro jejich osobní údaje a soukromí v důsledku nových technologií a zvyšující se kapacity automatického uchovávání a zpracování údajů.
84 V článku 5 odst. 1 této směrnice se konkrétně stanoví, že členské státy musí prostřednictvím svých vnitrostátních právních předpisů zajistit důvěrný charakter sdělení přenášených pomocí veřejné komunikační sítě a veřejně dostupných služeb elektronických komunikací a s nimi souvisejících provozních údajů.
85 Zásada důvěrnosti sdělení, jež je zakotvena směrnicí 2002/58, mimo jiné vyžaduje, jak vyplývá z čl. 5 odst. 1 druhé věty uvedené směrnice, že se komukoli kromě účastníků v zásadě zakazuje uchovávat provozní údaje související s elektronickými komunikacemi bez souhlasu těchto účastníků. Předmětem výjimky jsou pouze osoby oprávněné zákonem v souladu s čl. 15 odst. 1 této směrnice a technické uchovávání, které je nezbytné pro přenos sdělení (v tomto smyslu viz rozsudek ze dne 29. ledna 2008, Promusicae, C‑275/06, EU:C:2008:54, bod 47).
86 Jak je potvrzeno v bodech 22 a 26 odůvodnění směrnice 2002/58, platí totiž, že zpracování a uchovávání provozních údajů je povoleno na základě článku 6 této směrnice pouze v rozsahu a na dobu, jež jsou nezbytné pro účely účtování, marketingu těchto služeb a poskytování služeb s přidanou hodnotou (v tomto smyslu viz rozsudek ze dne 29. ledna 2008, Promusicae, C‑275/06, EU:C:2008:54, body 47 a 48). Konkrétně stran účtování služeb platí, že takové zpracování je přípustné pouze do konce období, v němž lze právně napadnout účet či uplatňovat nárok na platbu. Po uplynutí této lhůty musí být zpracovávané a uchovávané údaje vymazány nebo anonymizovány. V případě lokalizačních údajů odlišných od provozních údajů se v čl. 9 odst. 1 uvedené směrnice stanoví, že tyto údaje lze zpracovávat pouze tehdy, jsou-li splněny určité podmínky, a poté, co byly anonymizovány, anebo se souhlasem uživatelů nebo účastníků.
87 Dosah ustanovení článků 5, 6 a čl. 9 odst. 1 směrnice 2002/58, jejichž cílem je zajišťovat důvěrnost sdělení a souvisejících údajů a minimalizovat riziko zneužití, musí být kromě toho posuzován ve spojení s bodem 30 odůvodnění této směrnice, v němž se uvádí, že „[s]ystémy pro zajišťování sítí a služeb elektronických komunikací musí být navrženy tak, aby omezily na nutné minimum množství nezbytných osobních údajů“.
88 Je jistě pravda, že čl. 15 odst. 1 směrnice 2002/58 umožňuje členským státům zavést výjimky ze základní povinnosti, která je stanovena v čl. 5 odst. 1 této směrnice, podle které musí být zajištěna důvěrnost osobních údajů, a ze souvisejících povinností, které jsou uvedeny mimo jiné v článcích 6 a 9 uvedené směrnice (v tomto smyslu viz rozsudek ze dne 29. ledna 2008, Promusicae, C‑275/06, EU:C:2008:54, bod 50).
89 Nicméně v rozsahu, v němž čl. 15 odst. 1 směrnice 2002/58 umožňuje členským státům omezit dosah základní povinnosti, podle které musí být zajištěna důvěrnost osobních údajů a souvisejících provozních údajů, musí být toto ustanovení v souladu s ustálenou judikaturou Soudního dvora vykládáno striktně (viz obdobně rozsudek ze dne 22. listopadu 2012, Probst, C‑119/12, EU:C:2012:748, bod 23). Takovým ustanovením tudíž nemůže být odůvodněno, aby se výjimka z této základní povinnosti, a zejména ze zákazu uchovávání těchto údajů stanoveného v článku 5 této směrnice, stala pravidlem, neboť jinak by bylo posledně uvedené ustanovení zbaveno ve značném rozsahu jeho působnosti.
90 V této souvislosti je třeba uvést, že v čl. 15 odst. 1 první větě směrnice 2002/58 se stanoví, že účelem legislativních opatření, kterých se toto ustanovení týká a jež představují výjimku ze zásady důvěrnosti sdělení a souvisejících provozních údajů, musí být „zajištění národní bezpečnosti – tj. bezpečnosti státu – obrany, veřejné bezpečnosti nebo prevence, vyšetřování, odhalování a stíhání trestných činů nebo neoprávněného použití elektronického komunikačního systému“ nebo musí sledovat některý z jiných účelů stanovených v čl. 13 odst. 1 směrnice 95/46, na který odkazuje čl. 15 odst. 1 první věta směrnice 2002/58 (v tomto smyslu viz rozsudek ze dne 29. ledna 2008, Promusicae, C‑275/06, EU:C:2008:54, bod 53). Povaha takového výčtu je taxativní, jak vyplývá z čl. 15 odst. 1 druhé věty posledně uvedené směrnice, podle jejíhož znění musí být legislativní opatření ospravedlněna „důvody uvedenými“ v čl. 15 odst. 1 první větě uvedené směrnice. Z toho vyplývá, že členské státy taková opatření nemohou přijímat k jiným účelům, než které jsou uvedeny v posledně uvedeném ustanovení.
91 Kromě toho se v čl. 15 odst. 1 třetí větě směrnice 2002/58 stanoví, že „[v]eškerá opatření uvedená v [čl. 15 odst. 1 této směrnice] musí být v souladu s obecnými zásadami práva [Unie], včetně zásad uvedených v čl. 6 odst. 1 a 2 [EU]“, k nimž patří mimo jiné obecné zásady a základní práva, které jsou nyní zakotvena v Listině. Článek 15 odst. 1 směrnice 2002/58 musí být tudíž vykládán ve světle základních práv zaručených Listinou (viz obdobně, pokud jde o směrnici 95/46, rozsudek ze dne 20. května 2003, Österreichischer Rundfunk a další, C‑465/00, C‑138/01 a C‑139/01, EU:C:2003:294, bod 68, rozsudek ze dne 13. května 2014, Google Spain a Google, C‑131/12, EU:C:2014:317, bod 68, a rozsudek ze dne 6. října 2015, Schrems, C‑362/14, EU:C:2015:650, bod 38).
92 V této souvislosti je třeba připomenout, že povinnost, kterou stanovuje poskytovatelům služeb elektronických komunikací taková vnitrostátní právní úprava, jaká je dotčena ve věci v původním řízení, podle které musí uchovávat provozní údaje pro účely jejich zpřístupnění příslušným vnitrostátním orgánům, je-li to nezbytné, vyvolává otázky, jež se týkají nejen dodržování článků 7 a 8 Listiny, které jsou výslovně uvedeny v předběžných otázkách, ale i svobody projevu, jež je zakotvena v článku 11 Listiny (obdobně, pokud jde o směrnici 2006/24, viz rozsudek Digital Rights, body 25 a 70).
93 Při výkladu čl. 15 odst. 1 směrnice 2002/58 je tak třeba zohlednit nejen význam práva na respektování soukromého života zaručeného článkem 7 Listiny, ale i základního práva na ochranu osobních údajů zaručeného jejím článkem 8, jak vyplývá z judikatury Soudního dvora (v tomto smyslu viz rozsudek ze dne 6. října 2015, Schrems, C‑362/14, EU:C:2015:650, bod 39 a citovaná judikatura.) Stejně je tomu i u práva na svobodu projevu s ohledem na zvláštní význam, který má tato svoboda v každé demokratické společnosti. Toto základní právo zakotvené v článku 11 Listiny je jedním ze základních pilířů demokratické a pluralitní společnosti a je součástí hodnot, na kterých je podle článku 2 SEU založena Unie (v tomto smyslu viz rozsudek ze dne 12. června 2003, Schmidberger, C‑112/00, EU:C:2003:333, bod 79 a rozsudek ze dne 6. září 2011, Patriciello, C‑163/10, EU:C:2011:543, bod 31).
94 V této souvislosti je třeba připomenout, že podle čl. 52 odst. 1 Listiny musí být každé omezení výkonu práv a svobod uznaných touto Listinou stanoveno zákonem a respektovat jejich podstatu. Při dodržení zásady proporcionality mohou být omezení výkonu těchto práv a svobod zavedena pouze tehdy, pokud jsou nezbytná a skutečně odpovídají cílům obecného zájmu, které uznává Unie, nebo potřebě ochrany práv a svobod druhého (rozsudek ze dne 15. února 2016, N., C‑601/15 PPU, EU:C:2016:84, bod 50).
95 V posledně uvedené souvislosti čl. 15 odst. 1 první věta směrnice 2002/58 stanoví, že členské státy mohou přijímat opatření, která jsou výjimkou ze zásady důvěrnosti sdělení a s nimi souvisejících provozních údajů, pokud je toto opatření „v demokratické společnosti nezbytné, vhodné a přiměřené“ s ohledem na účely, jež jsou uvedené v tomto ustanovení. Pokud jde o bod 11 odůvodnění této směrnice, je v něm upřesněno, že opatření této povahy musí být „plně“ přiměřené vzhledem k zamýšlenému účelu. Stran uchovávání údajů je v čl. 15 odst. 1 druhé větě směrnice 2002/58 konkrétně upřesněn požadavek, podle kterého je uchovávání možné „po omezenou dobu“ a „na základě důvodů“ uvedených v čl. 15 odst. 1 první větě této směrnice.
96 Dodržování zásady proporcionality vyplývá rovněž z ustálené judikatury Soudního dvora, podle které ochrana základního práva na respektování soukromého života na unijní úrovni vyžaduje, aby výjimky z ochrany osobních údajů a její omezení byly činěny v mezích toho, co je naprosto nezbytné (rozsudek ze dne 16. prosince 2008, Satakunnan Markkinapörssi a Satamedia, C‑73/07, EU:C:2008:727, bod 56, rozsudek ze dne 9. listopadu 2010, Volker und Markus Schecke a Eifert, C‑92/09 a C‑93/09, EU:C:2010:662, bod 77, rozsudek Digital Rights, bod 52, a rozsudek ze dne 6. října 2015, Schrems, C‑362/14, EU:C:2015:650, bod 92).
97 Stran otázky, zda taková vnitrostátní právní úprava, jaká je dotčena ve věci C‑203/15, splňuje tyto podmínky, je třeba uvést, že uvedená právní úprava stanoví plošné a nerozlišující uchovávání veškerých provozních a lokalizačních údajů všech účastníků a registrovaných uživatelů, které se vztahuje na veškeré prostředky elektronické komunikace, a ukládá poskytovatelům služeb elektronických komunikací povinnost uchovávat tyto údaje systematicky a průběžně bez jakékoli výjimky. Jak vyplývá z předkládacího rozhodnutí, kategorie údajů, na které se tato právní úprava vztahuje, v podstatě odpovídají kategoriím údajů, jejichž uchovávání bylo stanoveno na základě směrnice 2006/24.
98 Údaje, které poskytovatelé služeb elektronických komunikací musí takto uchovávat, umožňují dohledání a identifikaci zdroje sdělení a jeho adresáta, zjištění data, času a doby trvání komunikace a určení typu sdělení, identifikaci komunikačního vybavení uživatelů a zjištění polohy mobilního komunikačního zařízení. Mezi řadu těchto údajů náleží mimo jiné jméno a adresa účastníka nebo registrovaného uživatele, telefonní číslo volajícího a volaného a adresa internetového protokolu (IP) pro internetové služby. Tyto údaje umožňují zejména zjistit, s kým a jakým způsobem daný účastník nebo registrovaný uživatel komunikoval, stejně jako určit čas této komunikace a místo, ze kterého probíhala. Dále umožňují znát četnost komunikace daného účastníka nebo registrovaného uživatele s určitými osobami v určitém období (obdobně, pokud jde o směrnici 2006/24, viz rozsudek Digital Rights, bod 26).
99 Z těchto údajů jako celku lze vyvodit velmi přesné závěry o soukromém životě osob, jejichž údaje byly uchovány, tedy o každodenních zvyklostech, o místech, kde trvale či přechodně pobývají, o denních či jiných přesunech, o jejich aktivitách, společenských vztazích těchto osob a o společenských kruzích, s kterými se stýkají (obdobně, pokud jde o směrnici 2006/24, viz rozsudek Digital Rights, bod 27). Na základě těchto údajů lze, jak uvedl generální advokát v bodech 253, 254 a 257 až 259 svého stanoviska, zejména vytvořit profil dotčených osob, který je s ohledem na právo na ochranu soukromého života informací stejně citlivé povahy, jako je samotný obsah sdělení.
100 Taková právní úprava je zásahem do základních práv zakotvených v článcích 7 a 8 Listiny, který se jeví jako rozsáhlý a musí být považován za zvlášť závažný. Okolnost, že k uchovávání údajů dochází bez vyrozumění uživatelů služeb elektronických komunikací, může v dotčených osobách vyvolávat dojem, že jejich soukromí je pod neustálým dohledem (obdobně, pokud jde o směrnici 2006/24, viz rozsudek Digital Rights, bod 37).
101 I když taková právní úprava neopravňuje k uchovávání obsahu sdělení, a není tudíž způsobilá zasáhnout do podstaty uvedených práv (obdobně, pokud jde o směrnici 2006/24, viz rozsudek Digital Rights, bod 39), může mít uchovávání provozních a lokalizačních údajů nicméně dopad na využívání prostředků elektronické komunikace, a v důsledku toho na výkon svobody projevu zaručené v článku 11 Listiny ze strany uživatelů těchto prostředků komunikace (obdobně, pokud jde o směrnici 2006/24, viz rozsudek Digital Rights, bod 28).
102 Vzhledem k závažnosti zásahu do dotčených základních práv, který představuje vnitrostátní právní úprava, která stanoví uchovávání provozních a lokalizačních údajů pro účely boje proti trestné činnosti, může být takové opatření odůvodněno pouze bojem proti závažné trestné činnosti (obdobně, pokud jde o směrnici 2006/24, viz rozsudek Digital Rights, bod 60).
103 Dále, i když účinnost boje proti závažné trestné činnosti, zejména proti organizované trestné činnosti a terorismu, může ve značném rozsahu záviset na využívání moderních vyšetřovacích postupů, nemůže takový cíl obecného zájmu, jakkoli se jedná o cíl základní, však sám o sobě odůvodnit, že vnitrostátní právní úprava, která stanoví plošné a nerozlišující uchovávání veškerých provozních a lokalizačních údajů, je považována za nezbytnou pro účely uvedeného boje (obdobně, pokud jde o směrnici 2006/24, viz rozsudek Digital Rights, bod 51).
104 V této souvislosti je třeba uvést, že s ohledem na své vlastnosti uvedené v bodě 97 tohoto rozsudku vede taková právní úprava k tomu, že uchovávání provozních a lokalizačních údajů je pravidlem, ačkoli režim zavedený směrnicí 2002/58 vyžaduje, aby toto uchovávání údajů bylo výjimkou.
105 Dále taková vnitrostátní právní úprava, jaká je dotčena ve věci v původním řízení, která se vztahuje obecně na všechny účastníky a registrované uživatele a týká se všech prostředků elektronické komunikace a veškerých provozních údajů, nestanovuje žádné rozlišení, omezení nebo výjimky činěné v závislosti na sledovaném cíli. Týká se globálně všech osob, které využívají služeb elektronických komunikací, avšak osoby, jejichž údaje jsou uchovávány, se nenacházejí, byť nepřímo, v situaci, která může vést k trestnímu stíhání. Vztahuje se tedy i na osoby, v jejichž případě neexistuje důvod se domnívat, že by jejich chování mohlo, byť nepřímo nebo vzdáleně, souviset se závažnou trestnou činností. Kromě toho nestanoví žádnou výjimku, takže se vztahuje i na osoby, jejichž sdělení jsou podle pravidel vnitrostátního práva předmětem profesního tajemství (obdobně, pokud jde o směrnici 2006/24, viz rozsudek Digital Rights, body 57 a 58).
106 Taková právní úprava nevyžaduje souvislost mezi údaji, jejichž uchovávání je stanoveno, a ohrožením veřejné bezpečnosti. Zejména se neomezuje na uchovávání údajů vztahujících se buď k určitému časovému období či určité zeměpisné oblasti či okruhu určitých osob, které mohou být jakýmkoli způsobem zapojeny do závažné trestné činnosti, anebo k osobám, které by prostřednictvím uchovávání jejich údajů mohly z jiných důvodů přispívat k boji proti trestné činnosti (obdobně, pokud jde o směrnici 2006/24, viz rozsudek Digital Rights, bod 59).
107 Taková vnitrostátní právní úprava, jako je právní úprava dotčená ve věci v původním řízení, proto překračuje meze toho, co je naprosto nezbytné, a nelze ji v demokratické společnosti považovat za odůvodněnou, jak vyžaduje čl. 15 odst. 1 směrnice 2002/58 ve spojení s články 7, 8, 11 a čl. 52 odst. 1 Listiny.
108 Naproti tomu čl. 15 odst. 1 směrnice 2002/58 ve spojení s články 7, 8, 11 a čl. 52 odst. 1 Listiny nebrání tomu, aby členský stát přijal právní úpravu, která preventivně umožňuje cílené uchovávání provozních a lokalizačních údajů za účelem boje proti závažné trestné činnosti za podmínky, že uchovávání je omezeno na to, co je nezbytně nutné, pokud jde o kategorie údajů, které mají být uchovávány, komunikační prostředky, na něž se toto uchovávání vztahuje, dotčené osoby a dobu trvání uchovávání.
109 K tomu, aby tato vnitrostátní právní úprava splňovala požadavky uvedené v předchozím bodě tohoto rozsudku, musí tato právní úprava zaprvé stanovit jasná a přesná pravidla pro rozsah a použití takového opatření pro uchovávání údajů a stanovit minimální požadavky, tak aby osoby, jejichž údaje byly uchovány, měly dostatečné záruky umožňující účinně chránit jejich osobní údaje proti riziku zneužití. Taková právní úprava musí zejména vymezit okolnosti a podmínky, za nichž může být preventivně přijato opatření pro uchovávání údajů, čímž zaručí, že takové opatření se omezí na to, co je nezbytně nutné (obdobně stran směrnice 2006/24, viz rozsudek Digital Rights, bod 54 a citovaná judikatura).
110 Zadruhé, pokud jde o hmotněprávní podmínky, které musí splňovat vnitrostátní právní úprava, jež umožňuje v rámci boje proti trestné činnosti preventivní uchovávání provozních a lokalizačních údajů, aby byla omezena na to, co je nezbytně nutné, je třeba uvést, že i když tyto podmínky mohou být různé v závislosti na opatřeních, jež jsou přijímána pro účely předcházení, vyšetřování, odhalování a stíhání závažné trestné činnosti, uchovávání údajů musí nicméně vždy odpovídat objektivním kritériím, která vymezují vztah mezi údaji, které mají být uchovávány, a sledovaným účelem. Takové podmínky musí v praxi zejména umožňovat účinné vymezení rozsahu opatření, a v návaznosti na to i dotčené veřejnosti.
111 Pokud jde o vymezení takového opatření ve vztahu k veřejnosti a situacím, na které se může vztahovat, vnitrostátní právní úprava musí být založena na objektivních skutečnostech, na jejichž základě lze vymezit okruh osob z řad veřejnosti, jejichž údaje mohou vykázat minimálně nepřímou souvislost se závažnou trestnou činností nebo určitým způsobem přispívat k boji proti závažné trestné činnosti či k předcházení závažného ohrožení veřejné bezpečnosti. Takové vymezení lze zajistit prostřednictvím zeměpisného kritéria, jestliže příslušné vnitrostátní orgány mají na základě objektivních skutečností za to, že v jedné nebo více z územních oblastí existuje zvýšené riziko přípravy či páchání takových trestných činů.
112 S ohledem na všechny výše uvedené úvahy je třeba na první otázku položenou ve věci C‑203/15 odpovědět tak, že čl. 15 odst. 1 směrnice 2002/58 ve spojení s články 7, 8, 11 a čl. 52 odst. 1 Listiny musí být vykládán v tom smyslu, že brání vnitrostátní právní úpravě, která za účelem boje proti trestné činnosti stanoví plošné a nerozlišující uchovávání veškerých provozních a lokalizačních údajů všech účastníků a registrovaných a uživatelů, které se vztahuje na veškeré prostředky elektronické komunikace.
Ke druhé otázce ve věci C‑203/15 a k první otázce ve věci C‑698/15
113 Předně je třeba uvést, že Kammarrätten i Stockholm (správní odvolací soud ve Stockholmu) položil druhou otázku ve věci C‑203/15 pouze pro případ záporné odpovědi na první otázku v uvedené věci. Tato druhá otázka ovšem nezávisí na plošné nebo cílené povaze uchovávání údajů ve smyslu uvedeném v bodech 108 až 111 tohoto rozsudku. Z toho vyplývá, že je třeba odpovědět společně na druhou otázku ve věci C‑203/15 a na první otázku ve věci C‑698/15, která je položena nezávisle od rozsahu povinnosti uchovávání údajů, jež je stanovena poskytovatelům služeb elektronických komunikací.
114 Podstatou druhé otázky předkládajícího soudu ve věci C‑203/15 a první otázky předkládajícího soudu ve věci C‑698/15 je, zda musí být čl. 15 odst. 1 směrnice 2002/58 ve spojení s články 7, 8 a 52 odst. 1 Listiny vykládán v tom smyslu, že brání vnitrostátní právní úpravě, která upravuje ochranu a bezpečnost provozních a lokalizačních údajů, zejména přístup příslušných vnitrostátních orgánů k uchovávaným údajům, a která neomezuje tento přístup tak, aby byl umožněn výlučně pro účely boje proti závažné trestné činnosti, a nepodmiňuje tento přístup předchozím přezkumem ze strany soudu nebo nezávislého správního orgánu, a která nevyžaduje, aby dotčené údaje byly uchovávány na území Unie.
115 Stran cílů, jimiž lze odůvodnit vnitrostátní právní úpravu, která stanoví výjimku ze zásady důvěrnosti elektronických komunikací, je třeba připomenout, že – jak bylo konstatováno v bodech 90 a 102 tohoto rozsudku – je výčet účelů uvedený v čl. 15 odst. 1 první větě směrnice 2002/58 taxativní, a proto musí přístup k uchovávaným údajům skutečně a nezbytně odpovídat některému z těchto cílů. Dále je třeba uvést, že jelikož cíl sledovaný touto právní úpravou musí být úměrný závažnosti zásahu do základních práv v důsledku tohoto přístupu, vyplývá z toho, že v oblasti předcházení, vyšetřování, odhalování a stíhání trestných činů lze takový přístup k uchovávaným údajům odůvodnit pouze bojem proti závažné trestné činnosti.
116 Pokud jde o dodržení zásady proporcionality, vnitrostátní právní úprava, kterou se řídí podmínky, za nichž musí poskytovatelé služeb elektronických komunikací poskytnout příslušným vnitrostátním orgánům přístup k uchovávaným údajům, musí zajistit v souladu s tím, co bylo konstatováno v bodech 95 a 96 tohoto rozsudku, že takový přístup je možný pouze v rozsahu, který je nezbytně nutný.
117 Dále vzhledem k tomu, že legislativní opatření uvedená v čl. 15 odst. 1 směrnice 2002/58 musí být v souladu s bodem 11 odůvodnění této směrnice „předmětem odpovídajících záruk“, musí takové opatření, jak vyplývá z judikatury citované v bodě 109 tohoto rozsudku, stanovovat jasná a přesná pravidla, která vymezují okolnosti a podmínky, za nichž mohou poskytovatelé služeb elektronických komunikací poskytnout příslušným vnitrostátním orgánům přístup k údajům. Stejně tak opatření této povahy musí být právně závazná ve vnitrostátním právu.
118 Je pravda, že v zájmu zajištění toho, aby byl přístup příslušných vnitrostátních orgánů k uchovávaným údajům omezen pouze na to, co je nezbytně nutné, je na vnitrostátním právu, aby stanovilo podmínky, za nichž poskytovatelé služeb elektronických komunikací musí poskytnout takový přístup. V případě dotčené vnitrostátní právní úpravy však nestačí, aby vyžadovala pouze to, že přístup odpovídá jednomu z cílů stanovených v čl. 15 odst. 1 směrnice 2002/58, i kdyby se jednalo o boj proti závažné trestné činnosti. Taková vnitrostátní právní úprava totiž musí rovněž stanovit hmotněprávní a procesní podmínky, jimiž se řídí přístup příslušných vnitrostátních orgánů k uchovávaným údajům (obdobně, pokud jde o směrnici 2006/24, viz rozsudek Digital Rights, bod 61).
119 Přitom vzhledem k tomu, že obecný přístup ke všem uchovávaným údajům bez ohledu na jakoukoli přinejmenším nepřímou souvislost se sledovaným cílem nelze považovat za omezený na to, co je nezbytně nutné, musí dotčená vnitrostátní právní úprava vycházet z objektivních kritérií, na jejichž základě jsou vymezeny okolnosti a podmínky, za nichž musí být poskytnut příslušným vnitrostátním orgánům přístup k údajům účastníků nebo registrovaných uživatelů. V této souvislosti lze v zásadě udělit v souvislosti s cílem boje proti trestné činnosti přístup pouze k údajům osob, u nichž je podezření, že připravují, páchají či spáchaly závažný trestný čin nebo se určitým způsobem na takovém trestném činu podílely (viz obdobně Evropský soud pro lidská práva, 4. prosince 2015, Zacharov v. Rusko, CE:ECHR:2015:1204JUD004714306, § 260). Nicméně v určitých situacích, jako jsou případy, kdy jsou stěžejní zájmy národní bezpečnosti, obrany nebo veřejné bezpečnosti ohroženy teroristickými činnostmi, lze rovněž poskytnout přístup k údajům jiných osob, jsou-li dány objektivní skutečnosti, na jejich základě lze mít za to, že tyto údaje mohou v konkrétním případě účinně přispět k boji proti takovým činnostem.
120 K tomu, aby byly v praxi tyto podmínky plně dodržovány, je zásadní, aby byl přístup příslušných vnitrostátních orgánů k uchovávaným údajům, s výjimkou naléhavých případů, řádně odůvodněn, podléhal předchozímu přezkumu ze strany soudu nebo nezávislého správního orgánu a aby tento soud nebo orgán rozhodoval na základě odůvodněné žádosti těchto příslušných orgánů, zejména v rámci postupů pro předcházení, odhalování nebo stíhání trestných činů (obdobně, pokud jde o směrnici 2006/24, viz rozsudek Digital Rights, bod 62, rovněž obdobně, pokud jde o článek 8 EÚLP, viz Evropský soud pro lidská práva, 12. ledna 2016, Szabó a Vissy v. Maďarsko, CE:ECHR:2016:0112JUD003713814, § 77 a § 80).
121 Stejně tak je důležité, aby příslušné vnitrostátní orgány, jimž byl poskytnut přístup k uchovávaným údajům, o tomto přístupu vyrozuměly dotčené osoby v rámci použitelných vnitrostátních postupů, a to od okamžiku, kdy tímto sdělením nebude možné ohrozit probíhající vyšetřování vedené těmito orgány. Tato informace je totiž nezbytná k tomu, aby dotčené osoby mohly uplatnit právo na soudní přezkum, které je výslovně stanoveno v čl. 15 odst. 2 směrnice 2002/58 ve spojení s článkem 22 směrnice 95/46, v případě, že byla porušena jejich práva (viz obdobně rozsudek ze dne 7. května 2009, Rijkeboer, C‑553/07, EU:C:2009:293, bod 52, a rozsudek ze dne 6. října 2015, Schrems, C‑362/14, EU:C:2015:650, bod 95).
122 Stran pravidel o bezpečnosti a ochraně údajů uchovávaných poskytovateli služeb elektronických komunikací je třeba uvést, že čl. 15 odst. 1 směrnice 2002/58 členským státům neumožňuje, aby se odchýlily od čl. 4 odst. 1 nebo od čl. 4 odst. 1a této směrnice. Na základě posledně uvedených ustanovení mají uvedení poskytovatelé povinnost přijmout vhodná technická a organizační opatření, která umožní zajistit účinnou ochranu uchovávaných údajů proti riziku zneužití a proti veškerému neoprávněnému přistupování k těmto údajům. Vzhledem k množství uchovávaných údajů, jejich citlivé povaze a riziku neoprávněného přistupování k nim musí poskytovatelé služeb elektronických komunikací v zájmu zajištění plné integrity a důvěrné povahy těchto údajů zaručit vhodnými technickými a organizačními opatřeními mimořádně vysokou úroveň ochrany a bezpečnosti. Vnitrostátní právní úprava musí zejména stanovit, že údaje musí být uchovávány na území Unie a že po uplynutí lhůty pro jejich uchovávání musí dojít k jejich nevratné likvidaci (obdobně, pokud jde o směrnici 2006/24, viz rozsudek Digital Rights, body 66 až 68).
123 V každém případě členské státy musí zajistit, aby nezávislý orgán vykonával dohled nad dodržováním úrovně ochrany, kterou zaručuje unijní právo fyzickým osobám v souvislosti se zpracováním osobních údajů, neboť takový dohled je výslovně vyžadován podle čl. 8 odst. 3 Listiny a podle ustálené judikatury Soudního dvora představuje podstatný prvek dodržování ochrany osob při zpracovávání osobních údajů. V opačném případě by bylo osobám, jejichž osobní údaje byly uchovávány, upřeno právo – zaručené čl. 8 odst. 1 a 3 Listiny – obrátit se na vnitrostátní orgány dohledu se žádostí za účelem ochrany svých základních práv (v tomto smyslu viz rozsudek Digital Rights, bod 68, a rozsudek ze dne 6. října 2015, Schrems, C‑362/14, EU:C:2015:650, body 41 a 58).
124 Je na předkládajících soudech, aby ověřily, zda a v jakém rozsahu vnitrostátní právní úpravy dotčené v původních řízeních dodržují požadavky, které vyplývají z čl. 15 odst. 1 směrnice 2002/58 ve spojení s články 7, 8, 11 a čl. 52 odst. 1 Listiny a jež jsou výslovně uvedené v bodech 115 až 123 tohoto rozsudku, pokud jde o přístup příslušných vnitrostátních orgánů k uchovávaným údajům a ochranu a úroveň bezpečnosti těchto údajů.
125 S ohledem na všechny výše uvedené úvahy je třeba na druhou otázku ve věci C‑203/15 a na první otázku ve věci C‑698/15 odpovědět tak, že čl. 15 odst. 1 směrnice 2002/58 ve spojení s články 7, 8, 11 a 52 odst. 1 Listiny musí být vykládán v tom smyslu, že brání vnitrostátní právní úpravě, která upravuje ochranu a bezpečnost provozních a lokalizačních údajů, zejména přístup příslušných vnitrostátních orgánů k uchovávaným údajům, a která v rámci boje proti trestné činnosti neomezuje tento přístup tak, aby byl umožněn výlučně pro účely boje proti závažné trestné činnosti, a nepodmiňuje tento přístup předchozím přezkumem ze strany soudu nebo nezávislého správního orgánu, a která nevyžaduje, aby dotčené údaje byly uchovávány na území Unie.
Ke druhé otázce ve věci C‑698/15
126 Podstatou druhé otázky ve věci C-698/15 Court of Appeal (England & Wales) (Civil Division) [odvolací soud pro Anglii a Wales, občanskoprávní oddělení] je, zda Soudní dvůr vyložil v rozsudku Digital Rights článek 7 nebo 8 Listiny v tom smyslu, že má dosah širší, než jaký Evropský soud pro lidská práva přiznává článku 8 EÚLP.
127 Úvodem je třeba připomenout, že i když jsou základní práva, která jsou přiznaná EÚLP – jak potvrzuje čl. 6 odst. 3 SEU – součástí unijního práva jakožto obecné zásady, uvedená Úmluva nepředstavuje právní nástroj formálně začleněný do unijního právního řádu, dokud k ní Unie nepřistoupila (v tomto smyslu viz rozsudek ze dne 15. února 2016, N., C‑601/15 PPU, EU:C:2016:84, bod 45 a citovaná judikatura).
128 Výklad směrnice 2002/58 dotčené v projednávaném případě tak musí být podán pouze s ohledem na základní práva zaručená Listinou (v tomto smyslu viz rozsudek ze dne 15. února 2016, N., C‑601/15 PPU, EU:C:2016:84, bod 46 a citovaná judikatura).
129 Kromě toho je třeba připomenout, že vysvětlení k článku 52 Listiny uvádějí, že její čl. 52 odst. 3 má zajistit nezbytný soulad mezi Listinou a EÚLP, „aniž by [byla narušena] autonomi[e] práva Unie a Soudního dvora Evropské unie“ (rozsudek ze dne 15. února 2016, N., C‑601/15 PPU, EU:C:2016:84, bod 47 a citovaná judikatura). Konkrétně, jak je výslovně uvedeno v čl. 52 odst. 3 druhé větě Listiny, ustanovení čl. 52 odst. 3 první věty listiny nebrání tomu, aby unijní právo poskytovalo širší ochranu než EÚLP. Konečně kromě toho je třeba uvést, že se článek 8 Listiny týká jiného základního práva, než které je zakotveno v jejím článku 7, a toto právo nemá v EÚLP ekvivalent.
130 Podle ustálené judikatury Soudního dvora přitom platí, že důvodem pro žádost o rozhodnutí o předběžné otázce není poskytnutí konzultativního stanoviska k obecným nebo hypotetickým otázkám, nýbrž její nezbytnost pro efektivní vyřešení sporu týkajícího se unijního práva (v tomto smyslu viz rozsudek ze dne 24. dubna 2012, Kamberaj, C‑571/10, EU:C:2012:233, bod 41, rozsudek ze dne 26. února 2013, Åkerberg Fransson, C‑617/10, EU:C:2013:105, bod 42, a rozsudek ze dne 27. února 2014, Pohotovosť, C‑470/12, EU:C:2014:101, bod 29).
131 V projednávaném případě vzhledem k úvahám uvedeným zejména v bodech 128 a 129 tohoto rozsudku nemůže mít otázka, zda má ochrana poskytovaná na základě článků 7 a 8 Listiny širší dosah než ochrana zaručovaná článkem 8 EÚLP, vliv na výklad směrnice 2002/58 ve spojení s Listinou, který je dotčený v původním řízení ve věci C‑698/15.
132 Nejeví se tak, že by v rámci odpovědi na druhou otázku ve věci C‑698/15 mohly být poskytnuty prvky výkladu unijního práva, které jsou nezbytné k vyřešení uvedeného sporu s ohledem na toto právo.
133 Z toho vyplývá, že druhá otázka ve věci C‑698/15 je nepřípustná.
K nákladům řízení
134 Vzhledem k tomu, že řízení má, pokud jde o účastníky původního řízení, povahu incidenčního řízení ve vztahu ke sporům probíhajícím před předkládajícími soudy, jsou k rozhodnutí o nákladech řízení příslušné uvedené soudy. Výdaje vzniklé předložením jiných vyjádření Soudnímu dvoru než vyjádření uvedených účastníků řízení se nenahrazují.
Z těchto důvodů Soudní dvůr (velký senát) rozhodl takto:
1) Článek 15 odst. 1 směrnice Evropského parlamentu a Rady 2002/58/ES ze dne 12. července 2002 o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací (směrnice o soukromí a elektronických komunikacích), ve znění směrnice Evropského parlamentu a Rady 2009/136/ES ze dne 25. listopadu 2009, ve spojení s články 7, 8, 11 a čl. 52 odst. 1 Listiny základních práv Evropské unie, musí být vykládán v tom smyslu, že brání vnitrostátní právní úpravě, která za účelem boje proti trestné činnosti stanoví plošné a nerozlišující uchovávání veškerých provozních a lokalizačních údajů všech účastníků a registrovaných a uživatelů, které se vztahuje na veškeré prostředky elektronické komunikace.
2) Článek 15 odst. 1 směrnice 2002/58, ve znění směrnice 2009/136, ve spojení s články 7, 8, 11 a čl. 52 odst. 1 Listiny základních práv, musí být vykládán v tom smyslu, že brání vnitrostátní právní úpravě, která upravuje ochranu a bezpečnost provozních a lokalizačních údajů, zejména přístup příslušných vnitrostátních orgánů k uchovávaným údajům, a která v rámci boje proti trestné činnosti neomezuje tento přístup tak, aby byl umožněn výlučně pro účely boje proti závažné trestné činnosti, a nepodmiňuje tento přístup předchozím přezkumem ze strany soudu nebo nezávislého správního orgánu, a která nevyžaduje, aby dotčené údaje byly uchovávány na území Unie.
3) Druhá otázka předložená Court of Appeal (England & Wales) (Civil Division) [odvolací soud pro Anglii a Wales, občanskoprávní oddělení, Spojené království] je nepřípustná.
Podpisy.