Language of document : ECLI:EU:C:2016:970

Yhdistetyt asiat C-203/15 ja C-698/15

Tele2 Sverige ABvastaanPost- och telestyrelsen

ja

Secretary of State for the Home Department

vastaan

Tom Watson ym.

Kammarrätten i Stockholmin ja Court of Appealin (England & Wales) (Civil Division) esittämät ennakkoratkaisupyynnöt

Ennakkoratkaisupyyntö – Sähköinen viestintä – Henkilötietojen käsittely – Sähköisen viestinnän luottamuksellisuus – Suoja – Direktiivi 2002/58/EY – 5, 6 ja 9 artikla sekä 15 artiklan 1 kohta – Euroopan unionin perusoikeuskirja – 7, 8 ja 11 artikla sekä 52 artiklan 1 kohta – Kansallinen lainsäädäntö – Sähköisten viestintäpalvelujen tarjoajat – Liikenne- ja paikkatietojen yleistä ja erotuksetta tapahtuvaa säilyttämistä koskeva velvollisuus – Kansalliset viranomaiset – Oikeus saada tietoja – Ei tuomioistuimen tai riippumattoman hallintoelimen ennakkovalvontaa – Yhteensoveltuvuus unionin oikeuden kanssa

Tiivistelmä – Unionin tuomioistuimen tuomio (suuri jaosto) 21.12.2016

1.        Jäsenvaltioiden lainsäädännön lähentäminen – Televiestintäala – Henkilötietojen käsittely ja yksityisyyden suoja sähköisen viestinnän alalla – Direktiivi 2002/58 – Jäsenvaltioiden mahdollisuus rajoittaa tiettyjen oikeuksien ja velvollisuuksien ulottuvuutta – Soveltamisala – Lainsäädännöllinen toimenpide, jossa velvoitetaan sähköisten viestintäpalvelujen tarjoajat säilyttämään käyttäjien liikenne- ja paikkatiedot – Kuuluminen soveltamisalaan

(Euroopan parlamentin ja neuvoston direktiivin 2002/58, sellaisena kuin se on muutettuna direktiivillä 2009/136, 5 artiklan 1 kohta ja 15 artiklan 1 kohta)

2.        Jäsenvaltioiden lainsäädännön lähentäminen – Televiestintäala – Henkilötietojen käsittely ja yksityisyyden suoja sähköisen viestinnän alalla – Direktiivi 2002/58 – Jäsenvaltioiden mahdollisuus rajoittaa tiettyjen oikeuksien ja velvollisuuksien ulottuvuutta – Suppea tulkinta – Perusteet, joilla rajoituksen tekeminen voidaan oikeuttaa – Luonteeltaan tyhjentävä

(Euroopan parlamentin ja neuvoston direktiivin 2002/58, sellaisena kuin se on muutettuna direktiivillä 2009/136, 5 artiklan 1 kohta ja 15 artiklan 1 kohta)

3.        Jäsenvaltioiden lainsäädännön lähentäminen – Televiestintäala – Henkilötietojen käsittely ja yksityisyyden suoja sähköisen viestinnän alalla – Direktiivi 2002/58 – Jäsenvaltioiden mahdollisuus rajoittaa tiettyjen oikeuksien ja velvollisuuksien ulottuvuutta – Kansallinen säännöstö, jossa rikollisuuden torjumiseksi säädetään käyttäjien liikenne- ja paikannustietojen yleisestä ja erotuksetta tapahtuvasta säilyttämisestä – Ei voida hyväksyä – Vakava puuttuminen yksityiselämän kunnioitusta koskevaan oikeuteen, henkilötietojen suojaan ja sananvapauteen

(Euroopan unionin perusoikeuskirjan 7, 8, 11 artikla ja 52 artiklan 1 kohta; Euroopan parlamentin ja neuvoston direktiivin 2002/58, sellaisena kuin se on muutettuna direktiivillä N:o 2009/136, 15 artiklan 1 kohta)

4.        Jäsenvaltioiden lainsäädännön lähentäminen – Televiestintäala – Henkilötietojen käsittely ja yksityisyyden suoja sähköisen viestinnän alalla – Direktiivi 2002/58 – Jäsenvaltioiden mahdollisuus rajoittaa tiettyjen oikeuksien ja velvollisuuksien ulottuvuutta – Kansallinen säännöstö, jossa sallitaan käyttäjien liikenne- ja paikkatietojen kohdennettu säilyttäminen vakavan rikollisuuden torjumiseksi – Hyväksyttävyys – Edellytykset

(Euroopan unionin perusoikeuskirjan 7, 8 ja 11 artikla ja 52 artiklan 1 kohta; Euroopan parlamentin ja neuvoston direktiivin 2002/58, sellaisena kuin se on muutettuna direktiivillä N:o 2009/136, 15 artiklan 1 kohta)

5.        Jäsenvaltioiden lainsäädännön lähentäminen – Televiestintäala – Henkilötietojen käsittely ja yksityisyyden suoja sähköisen viestinnän alalla – Direktiivi 2002/58 – Jäsenvaltioiden mahdollisuus rajoittaa tiettyjen oikeuksien ja velvollisuuksien ulottuvuutta – Kansallinen säännöstö, jossa säännellään käyttäjien liikenne- ja paikkatietojen suojaa ja turvaa – Toimivaltaisten kansallisten viranomaisten mahdollisuus saada mainittuja tietoja ilman tuomioistuimen tai hallinnollisen elimen suorittamaa etukäteisvalvontaa – Ei voida hyväksyä – Sähköisten viestintäpalvelujen tarjoajilla ei velvollisuutta säilyttää kyseisiä tietoja unionin alueella – Ei voida hyväksyä

(Euroopan unionin perusoikeuskirjan 7, 8 ja 11 artikla ja 52 artiklan 1 kohta; Euroopan parlamentin ja neuvoston direktiivin 95/46 22 artikla ja Euroopan parlamentin ja neuvoston direktiivin 2002/58, sellaisena kuin se on muutettuna direktiivillä 2009/136, 15 artiklan 1 ja 2 kohta)

6.        Perusoikeudet – Euroopan ihmisoikeussopimus – Väline, joka ei sisälly muodollisesti unionin oikeusjärjestykseen

(SEU 6 artiklan 3 kohta; Euroopan unionin perusoikeuskirjan 52 artiklan 3 kohta)

7.        Ennakkoratkaisukysymykset – Unionin tuomioistuimen toimivalta – Rajat – Yleiset tai hypoteettiset kysymykset – Pääasian kohteen kannalta abstrakti ja täysin hypoteettinen kysymys – Tutkimatta jättäminen

(SEUT 267 artikla)

1.      Henkilötietojen käsittelystä ja yksityisyyden suojasta sähköisen viestinnän alalla annetun direktiivin 2002/58 (sähköisen viestinnän tietosuojadirektiivi), sellaisena kuin se on muutettuna direktiivillä 2009/136, 15 artiklan 1 kohdan nojalla jäsenvaltiot voivat siinä säädetyin edellytyksin toteuttaa lainsäädännöllisiä toimenpiteitä, joilla rajoitetaan tämän direktiivin 5 artiklassa, 6 artiklassa, 8 artiklan 1, 2, 3 ja 4 kohdassa sekä 9 artiklassa säädettyjen oikeuksien ja velvollisuuksien soveltamisalaa.

Tämän säännöksen soveltamisalaan kuuluu erityisesti lainsäädännöllinen toimenpide, jossa velvoitetaan nämä palveluntarjoajat säilyttämään liikenne- ja paikkatiedot, koska tällainen toiminta merkitsee väistämättä sitä, että ne käsittelevät henkilötietoja. Kyseiseen soveltamisalaan kuuluu myös lainsäädännöllinen toimenpide, joka koskee kansallisten viranomaisten oikeutta saada kyseisten palveluntarjoajien säilyttämiä tietoja. Direktiivin 2002/58 5 artiklan 1 kohdassa taattua sähköisen viestinnän ja siihen liittyvien liikennetietojen luottamuksellisuuden suojaa sovelletaan muiden henkilöiden kuin käyttäjien toteuttamiin toimenpiteisiin, oli kyse sitten henkilöistä, yksityisistä elimistä tai valtion elimistä.

(ks. 71 ja 75–77 kohta)

2.      Henkilötietojen käsittelystä ja yksityisyyden suojasta sähköisen viestinnän alalla annetun direktiivin 2002/58 (sähköisen viestinnän tietosuojadirektiivi), sellaisena kuin se on muutettuna direktiivillä 2009/136, 15 artiklan 1 kohdassa annetaan jäsenvaltioille oikeus säätää poikkeuksista niille saman direktiivin 5 artiklan 1 kohdan perusteella kuuluvasta periaatteellisesta velvollisuudesta taata henkilötietojen luottamuksellisuus ja vastaavista muun muassa direktiivin 6 ja 9 artiklassa mainituista velvollisuuksista. Koska jäsenvaltiot voivat direktiivin 2002/58 15 artiklan 1 kohdan nojalla rajoittaa kyseisen lähtökohtaisen velvollisuuden ulottuvuutta, sitä on kuitenkin tulkittava suppeasti. Tällainen säännös ei näin ollen voi olla perusteena sille, että kyseisestä lähtökohtaisesta velvollisuudesta ja erityisesti kyseisen direktiivin 5 artiklassa säädetystä tietojen tallentamista koskevasta kiellosta tehtävästä poikkeuksesta tulisi sääntö – tällöin tehtäisiin viimeksi mainitun säännöksen sisältö laajalti tyhjäksi.

Tältä osin on todettava, että direktiivin 2002/58 15 artiklan 1 kohdan ensimmäisessä virkkeessä säädetään, että siinä tarkoitettujen lainsäädännöllisten toimenpiteiden, jotka poikkeavat viestinnän ja siihen liittyvien liikennetietojen luottamuksellisuuden periaatteesta, tavoitteena on oltava kansallisen turvallisuuden – toisin sanoen valtion turvallisuuden – sekä puolustuksen, yleisen turvallisuuden tai rikosten tai sähköisen viestintäjärjestelmän luvattoman käytön torjunnan, tutkinnan, selvittämisen ja syyteharkinnan varmistaminen, tai niillä on pyrittävä johonkin muuhun yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta annetun direktiivin 95/46 13 artiklan 1 kohdassa tarkoitettuun tavoitteeseen. Tällainen tavoitteiden luettelointi on luonteeltaan tyhjentävä, kuten ilmenee viimeksi mainitun direktiivin 15 artiklan 1 kohdan toisesta virkkeestä, jonka mukaan lainsäädännöllisten toimenpiteiden on oltava perusteltuja mainitun direktiivin 15 artiklan 1 kohdan ensimmäisessä virkkeessä säädetyistä syistä. Jäsenvaltiot eivät siis voi toteuttaa tällaisia toimenpiteitä muissa kuin kyseisessä viimeksi mainitussa säännöksessä luetelluissa tarkoituksissa.

(ks. 88–90 kohta)

3.      Henkilötietojen käsittelystä ja yksityisyyden suojasta sähköisen viestinnän alalla annetun direktiivin 2002/58/EY (sähköisen viestinnän tietosuojadirektiivi), sellaisena kuin se on muutettuna direktiivillä 2009/136, 15 artiklan 1 kohtaa, kun se luetaan Euroopan perusoikeuskirjan 7, 8 ja 11 artiklan sekä 52 artiklan 1 kohdan valossa, on tulkittava siten, että se on esteenä kansalliselle säännöstölle, jossa rikollisuuden torjumiseksi säädetään kaikkien tilaajien ja rekisteröityjen käyttäjien kaikkien liikenne- ja paikkatietojen yleisestä ja erotuksetta tapahtuvasta säilyttämisestä kaikkien sähköisten viestintävälineiden osalta.

Näiden tietojen kokonaisuus voi mahdollistaa hyvin tarkkojen päätelmien tekemisen niiden henkilöiden, joiden tietoja on säilytetty, yksityiselämästä, kuten elämäntavoista, vakituisista tai tilapäisistä oleskelupaikoista, päivittäisestä tai muusta liikkumisesta, tekemisestä sekä näiden henkilöiden sosiaalisista suhteista ja heidän sosiaalisesta ympäristöstään. Näiden tietojen perusteella voidaan laatia asianomaisten henkilöiden profiili, joka on yksityiselämän kunnioittamista koskevan oikeuden kannalta aivan yhtä arkaluonteista tietoa kuin itse viestinnän sisältö. Tämän säännöstön merkitsemä puuttuminen perusoikeuskirjan 7 ja 8 artiklassa vahvistettuihin perusoikeuksiin on laajamittaista, ja se on katsottava erityisen vakavaksi. Tietojen säilyttäminen ilman, että sähköisten viestintäpalvelujen käyttäjille ilmoitetaan siitä, voi aiheuttaa kyseisille ihmisille tunteen siitä, että heidän yksityiselämänsä on jatkuvan tarkkailun kohteena. Vaikka tällä säännöstöllä ei sallita viestin sisällön säilyttämistä, eikä sillä näin ollen vahingoiteta näiden oikeuksien keskeistä sisältöä, liikenne- ja paikkatietojen säilyttäminen voi vaikuttaa sähköisten viestintävälineiden käyttöön ja näin ollen näiden välineiden käyttäjien perusoikeuskirjan 11 artiklassa taatun sananvapauden harjoittamiseen.

Kun otetaan huomioon, miten vakavaa puuttumista perusoikeuksiin tällainen kansallinen säännöstö merkitsee, vain vakavan rikollisuuden torjuminen voi olla tällaisen toimenpiteen perusteena. Lisäksi on niin, että vaikka vakavan rikollisuuden, muun muassa järjestäytyneen rikollisuuden ja terrorismin, torjumisen tehokkuus voi riippua suuressa määrin nykyaikaisten tutkintatekniikkojen käytöstä, tällainen yleisen edun mukainen tavoite, niin perustavanluonteinen kuin se onkaan, ei kuitenkaan yksin voi oikeuttaa sitä, että kansallista säännöstöä, jossa säädetään kaikkien liikenne- ja paikkatietojen yleisestä ja erotuksetta tapahtuvasta säilyttämisestä, pidetään välttämättömänä mainitun torjumisen kannalta. Tällaisen säännöstön vaikutuksena on, että liikenne- ja paikkatietojen säilyttäminen on sääntö, vaikka direktiivillä 2002/58 käyttöön otettu järjestelmä edellyttää, että tämä tietojen säilyttäminen on poikkeus. Toisaalta kansallinen säännöstö, joka kattaa yleisesti kaikki tilaajat ja rekisteröidyt käyttäjät ja koskee kaikkia sähköisiä viestintävälineitä ja kaikkia liikennetietoja, ei tee mitään erottelua eikä aseta rajoituksia tai poikkeuksia asetetun tavoitteen perusteella. Sitä sovelletaan siis myös henkilöihin, joiden osalta ei ole mitään seikkaa, jonka perusteella voitaisiin olettaa, että heidän toimintansa voisi olla edes epäsuorasti tai kaukaisesti yhteydessä vakavaan rikollisuuteen. Tällainen säännöstö ylittää siis täysin välttämättömän rajat, eikä sitä voida pitää perusteltuna demokraattisessa yhteiskunnassa siten kuin edellytetään direktiivin 2002/58 15 artiklan 1 kohdassa, kun se luetaan perusoikeuskirjan 7, 8 ja 11 artiklan sekä 52 artiklan 1 kohdan valossa.

(ks. 99–105, 107 ja 112 kohta sekä tuomiolauselman 1 kohta)

4.      Henkilötietojen käsittelystä ja yksityisyyden suojasta sähköisen viestinnän alalla annetun direktiivin 2002/58 (sähköisen viestinnän tietosuojadirektiivi), sellaisena kuin se on muutettuna direktiivillä 2009/136, 15 artiklan 1 kohta, kun se luetaan perusoikeuskirjan 7, 8 ja 11 artiklan sekä 52 artiklan 1 kohdan valossa, ei ole esteenä sille, että jäsenvaltio antaa ennaltaehkäisevästi säännöstön, joka sallii liikenne- ja paikkatietojen kohdennetun säilyttämisen vakavan rikollisuuden torjumiseksi sillä edellytyksellä, että näiden tietojen säilyttäminen on, siltä osin kuin kyse on säilytettävistä tietoluokista, tarkoitetuista viestintävälineistä, asianomaisista henkilöistä ja aiotun säilytyksen kestosta, rajoitettu täysin välttämättömään.

Näiden edellytysten täyttämiseksi kansallisessa säännöstössä on ensiksikin säädettävä selvistä ja täsmällisistä tällaisen tietojen säilyttämistoimenpiteen laajuutta ja soveltamista koskevista säännöistä, joissa asetetaan vähimmäisvaatimukset, jotta henkilöillä, joiden tietoja on säilytetty, on riittävät takeet, joiden avulla voidaan tehokkaasti suojata heidän henkilötietonsa väärinkäytön vaaroja vastaan. Siinä on erityisesti mainittava, missä olosuhteissa ja millä edellytyksillä tietojen säilyttämistoimenpide voidaan toteuttaa ennaltaehkäisevästi, jotta taataan, että toimenpide rajoittuu täysin välttämättömään.

Toiseksi siltä osin kuin kyse on aineellisista edellytyksistä, jotka tällaisen kansallisen säännöstön on täytettävä, jotta taataan, että se rajoittuu täysin välttämättömään, on todettava, että vaikka nämä edellytykset voivat vaihdella vakavan rikollisuuden ehkäisemistä, tutkintaa, selvittämistä ja syyteharkintaa koskevien toimenpiteiden mukaan, tietojen säilyttämisen on kuitenkin aina oltava sellaisten objektiivisten perusteiden mukaista, joilla luodaan yhteys säilytettävien tietojen ja asetetun tavoitteen välille. Näiden edellytysten on erityisesti oltava käytännössä sellaisia, että niissä rajataan tehokkaasti toimenpiteen laajuus ja tätä kautta asianomainen yleisö. Siltä osin kuin kyse on tällaisen toimenpiteen rajaamisesta, kansallisen säännöstön on perustuttava objektiivisiin seikkoihin, joiden perusteella voidaan kohdentaa yleisö, jonka tiedot voivat paljastaa ainakin välillisen yhteyden vakavaan rikollisuuteen, myötävaikuttaa tavalla tai toisella vakavan rikollisuuden torjumiseen tai ehkäistä yleistä turvallisuutta kokeva uhka. Tällainen rajaaminen voidaan varmistaa maantieteellisen kriteerin keinoin, jos toimivaltaiset kansalliset viranomaiset katsovat objektiivisten seikkojen perusteella, että yhdellä tai useammalla maantieteellisellä alueella on kohonnut riski tällaisten tekojen valmisteluun tai toteuttamiseen.

(ks. 108–111 kohta)

5.      Henkilötietojen käsittelystä ja yksityisyyden suojasta sähköisen viestinnän alalla annetun direktiivin 2002/58 (sähköisen viestinnän tietosuojadirektiivi), sellaisena kuin se on muutettuna direktiivillä 2009/136, 15 artiklan 1 kohtaa, kun se luetaan perusoikeuskirjan 7, 8 ja 11 artiklan sekä 52 artiklan 1 kohdan valossa, on tulkittava siten, että se on esteenä kansalliselle säännöstölle, jossa säännellään liikenne- ja paikkatietojen suojaa ja turvaa, erityisesti toimivaltaisten kansallisten viranomaisten oikeutta saada säilytettäviä tietoja, ja jossa ei rikollisuuden torjumisen puitteissa rajoiteta tätä tietojen saantia vain vakavan rikollisuuden torjumisen tarkoitukseen, eikä tietojen saannin edellytykseksi aseteta tuomioistuimen tai riippumattoman hallintoviranomaisen suorittamaa ennakkovalvontaa eikä vaadita, että kyseessä olevat tiedot säilytetään unionin alueella.

Tältä osin sen takaamiseksi, että toimivaltaisten kansallisten viranomaisten oikeus saada tietoja rajataan täysin välttämättömään, kansallisessa oikeudessa on tosin määritettävä edellytykset, joilla sähköisten viestintäpalvelujen tarjoajien on annettava tällainen oikeus. Asianomaisessa kansallisessa säännöstössä ei kuitenkaan voida pelkästään tyytyä vaatimaan, että tietojen saantia koskeva oikeus vastaa johonkin direktiivin 2002/58 15 artiklan 1 kohdassa tarkoitetuista tavoitteista, vaikka se olisikin vakavan rikollisuuden torjuminen. Tällaisessa kansallisessa säännöstössä on näet säädettävä myös aineellisista ja menettelyllisistä edellytyksistä, joilla toimivaltaiset kansalliset viranomaiset voivat saada säilytettyjä tietoja. Näin ollen ja koska yleisen kaikkien säilytettyjen tietojen saamista koskevan oikeuden, joka on riippumaton siitä, onko olemassa mitään edes välillistä yhteyttä asetettuun tavoitteeseen nähden, ei voida katsoa olevan rajattu täysin välttämättömään, asianomaisen kansallisen säännöstön on perustuttava objektiivisiin kriteereihin niiden olosuhteiden ja edellytysten määrittelemiseksi, joilla toimivaltaisille kansallisille viranomaisille on annettava oikeus saada tilaajien tai rekisteröityjen käyttäjien tietoja. Tältä osin oikeus voidaan lähtökohtaisesti myöntää rikollisuuden torjumisen tavoitteen yhteydessä vain sellaisten henkilöiden tietoihin, joiden epäillään suunnittelevan, tekevän tai tehneen vakavan rikoksen tai olevan jollakin tavalla mukana tällaisessa rikoksessa. Erityisissä tilanteissa, kuten niissä, joissa kansallisen turvallisuuden, maanpuolustuksen tai yleisen turvallisuuden elintärkeitä intressejä uhkaa terrorismi, oikeus saada muiden henkilöiden tietoja voidaan kuitenkin myöntää myös, jos olemassa on objektiivisia seikkoja, joiden perusteella voidaan katsoa, että näillä tiedoilla voidaan konkreettisessa tapauksessa tosiasiallisesti myötävaikuttaa tällaisen toiminnan torjumiseen.

Sen takaamiseksi, että näitä edellytyksiä noudatetaan käytännössä täysimääräisesti, on olennaista se, että toimivaltaisten kansallisten viranomaisten oikeus saada säilytettyjä tietoja edellyttää lähtökohtaisesti asianmukaisesti perusteltuja kiireellisiä tapauksia lukuun ottamatta joko tuomioistuimen tai riippumattoman hallinnollisen elimen etukäteisvalvontaa ja sitä, että kyseisen tuomioistuimen tai elimen ratkaisu annetaan perustellusta pyynnöstä, jonka nämä viranomaiset esittävät rikoksen estämis‑, selvittämis- tai syyteharkintamenettelyssä. On myös tärkeää, että toimivaltaiset kansalliset viranomaiset, joille on annettu oikeus saada säilytettyjä tietoja, tiedottavat tästä asianomaisille henkilöille sovellettavien kansallisten menettelyjen mukaisesti heti, kun tämä tiedoksianto ei vaaranna kyseisten viranomaisten suorittamia tutkimuksia. Tämä tiedottaminen on välttämätöntä, jotta he voivat käyttää oikeussuojakeinoja, joista nimenomaisesti säädetään direktiivin 2002/58 15 artiklan 2 kohdassa, kun se luetaan yhdessä yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta annetun direktiivin 95/46 22 artiklan kanssa, jos heidän oikeuksiaan loukataan.

Kun otetaan huomioon säilytettyjen tietojen määrä, niiden arkaluonteisuus sekä niiden lainvastaista saantia koskeva vaara, sähköisten viestintäpalvelujen tarjoajien on mainittujen tietojen täyden koskemattomuuden ja luottamuksellisuuden takaamiseksi varmistettava erityisen korkea suojan ja turvan taso turvautumalla asianmukaisiin teknisiin ja organisatorisiin toimiin. Kansallisessa säännöstössä on erityisesti säädettävä tietojen säilyttämisestä unionin alueella ja tietojen lopullisesta hävittämisestä, kun niiden säilyttämisaika päättyy.

(ks. 118–122 ja 125 kohta sekä tuomiolauselman 2 kohta)

6.      Ks. tuomion teksti.

(ks. 127–129 kohta)

7.      Ks. tuomion teksti.

(ks. 130 kohta)