Language of document : ECLI:EU:C:2020:5

JULKISASIAMIEHEN RATKAISUEHDOTUS

MANUEL CAMPOS SÁNCHEZ-BORDONA

15 päivänä tammikuuta 2020 (1)

Asia C623/17

Privacy International

vastaan

Secretary of State for Foreign and Commonwealth Affairs,

Secretary of State for the Home Department,

Government Communications Headquarters,

Security Service ja

Secret Intelligence Service

(Ennakkoratkaisupyyntö – Investigatory Powers Tribunal (tutkintavaltuuksia koskevia asioita käsittelevä tuomioistuin, Yhdistynyt kuningaskunta))

Ennakkoratkaisupyyntö – Henkilötietojen käsittely ja yksityisyyden suoja sähköisen viestinnän alalla – Direktiivi 2002/58/EY – Soveltamisala – 1 artiklan 3 kohta – 15 artiklan 3 kohta – Euroopan unionin perusoikeuskirja – 7, 8 ja 51 artikla ja 52 artiklan 1 kohta – SEU 4 artiklan 2 kohta – Sähköisen viestintäpalvelun käyttäjien yhteyttä koskevien tietojen yleinen ja erotuksetta tapahtuva siirtäminen turvallisuuspalveluille






1.        Unionin tuomioistuimen henkilötietoihin pääsyä ja niiden säilyttämistä koskeva oikeuskäytäntö on viime vuosina vakiintunut ja sen muodostumiseen ovat erityisesti vaikuttaneet seuraavat tuomiot:

–      Tuomio 8.4.2014, Digital Rights Ireland ym.,(2) jossa direktiivi 2006/24/EY(3) todettiin pätemättömäksi siksi, että siinä sallitaan suhteeton puuttuminen Euroopan unionin perusoikeuskirjan 7 ja 8 artiklassa vahvistettuihin oikeuksiin.

–      Tuomio 21.12.2016, Tele2 Sverige ja Watson ym.,(4) jossa tulkitaan direktiivin 2002/58/EY 15 artikla 1 kohtaa.(5)

–      Tuomio 2.10.2018, Ministerio Fiscal,(6) jossa vahvistetaan direktiivissä 2002/58 olevan tämän saman säännöksen tulkinta.

2.        Nämä tuomiot (erityisesti näistä toinen) huolestuttavat joidenkin jäsenvaltioiden viranomaisia, sillä nämä katsovat niiden johdosta menettävänsä kansallisen turvallisuuden turvaamiselle ja terrorismin torjumiselle välttämättömänä pitämänsä välineen. Siksi jotkin näistä jäsenvaltioista pyrkivät kumoamaan tämän oikeuskäytännön tai nyansoimaan sitä.

3.        Jäsenvaltioiden tietyt tuomioistuimet ovat tuoneet tämän huolen esiin neljässä ennakkoratkaisupyynnössä(7), joiden ratkaisuehdotukset esitän tänä samana päivänä.

4.        Näissä neljässä asiassa on kyse ennen kaikkea ongelmasta soveltaa direktiivin 2002/58 kansallista turvallisuutta koskevin toimiin ja terrorismin torjuntaan. Jos tämä direktiivi on sovellettavissa näissä asiayhteyksissä, on heti seuraavaksi selvitettävä, missä määrin jäsenvaltiot voivat rajoittaa sillä suojattuja yksityisyyttä koskevia oikeuksia. Viimeiseksi on tarkasteltava, missä määrin tätä asiaa koskevat eri kansalliset lainsäädännöt (Yhdistyneen kuningaskunnan,(8) Belgian(9) ja Ranskan(10) lainsäädännöt) noudattavat unionin oikeutta sellaisena kuin unionin tuomioistuin sitä tulkitsee.

I       Asiaa koskevat oikeussäännöt

A       Euroopan unionin oikeus

5.        Viittaan yhdistetyissä asioissa C‑511 ja C‑512/18 antamani ratkaisuehdotuksen vastaavaan kohtaan.

B       Yhdistyneen kuningaskunnan oikeus (joka on sovellettavissa käsiteltävään oikeusriitaan)

1.     Vuoden 1984 televiestintälaki(11)

6.        Vuoden 1984 televiestintälain 94 §:n mukaan Secretary of State (valtiosihteeri, Yhdistynyt kuningaskunta) voi antaa yleisen sähköisen viestintäverkon operaattorille yleisiä tai erityisiä ohjaavia määräyksiä, joita hän pitää tarpeellisina kansallisen turvallisuuden vuoksi tai suhteissa Yhdistyneen kuningaskunnan ulkopuolella sijaitsevien alueiden tai valtioiden hallitusten kanssa.

2.     Tietojen säilyttämisestä ja tutkintavaltuuksista annettu vuoden 2014 laki(12)

7.        DRIPAn 1 §:ssä säädetään seuraavaa:

”(1)      Secretary of State voi antamallaan säilyttämismääräyksellä velvoittaa yleisen televerkon operaattorin säilyttämään merkityksellisiä viestintätietoja, jos hän pitää vaatimusta tarpeellisena ja oikeasuhteisena vuoden 2000 tutkintavaltuuksista annetun lain [Regulation of Investigatory Powers Act 2000, jäljempänä RIPA] 22 §:n 2 momentin a–h kohdassa mainittujen yhden tai useamman tarkoituksen vuoksi.

(2)      Säilyttämismääräyksellä voidaan

(a)      viitata määrättyyn operaattoriin tai tietyn tyyppisiin operaattoreihin

(b)      velvoittaa kaikkien tietojen tai tietyn tyyppisten tietojen sälyttämiseen

c)      täsmentää tietojen säilytysaika tai säilytysajat

(d)      asettaa muita vaatimuksia tai rajoituksia, jotka koskevat tietojen säilyttämistä

(e)      määrätä muusta toimintatavasta eri tarkoituksiin

(f)      viitata tietoihin riippumatta siitä, onko niitä olemassa säilyttämismääräyksen antamisen tai voimaantulon ajankohtana.

(3)      Secretary of State voi antaa asetuksella täydentäviä säännöksiä merkityksellisten viestintätietojen säilyttämisestä.

(4)      Tällaisissa säännöksissä voidaan erityisesti säätää

(a)      säilyttämismääräystä edeltävistä vaatimuksista

(b)      säilyttämismääräyksen perusteella säilytettävien tietojen säilyttämisen enimmäisajasta

(c)      säilyttämismääräyksen sisällöstä, antamisesta, voimaantulosta, tarkistamisesta, muuttamisesta tai peruuttamisesta

(d)      tämän pykälän nojalla säilytettyjen tietojen koskemattomuudesta, tietoturvasta tai tietosuojasta, näiden tietojen saannista tai julkistamisesta taikka tietojen hävittämisestä

(e)      merkityksellisten vaatimusten tai rajoitusten täytäntöönpanosta ja niiden sääntöjenmukaisuuden tarkistamisesta

(f)      käytännesäännöistä, jotka koskevat merkityksellisiä vaatimuksia, rajoituksia tai toimivaltuuksia

(g)      maksusta, jonka Secretary of State suorittaa (ehdollisena tai ilman ehtoja) yleisen televerkon operaattoreille korvatakseen niille aiheutuneet kustannukset, jotka liittyvät merkityksellisten vaatimusten täyttämiseen tai rajoitusten noudattamiseen

– –

(5)      Edellä 4 momentin b kohdassa tarkoitettu enimmäisaika, joka lasketaan alkavaksi kyseessä olevien tietojen osalta edellä 3 momentin mukaisessa asetuksessa täsmennetystä päivästä, ei saa ylittää 12:ta kuukautta.

(6)      Tämän pykälän nojalla merkityksellisiä tietoja säilyttävä yleisen televerkon operaattori ei saa julkistaa näitä tietoja, paitsi jos

(a)      julkistaminen perustuu

(i)      [RIPA]:n 1 osan 2 lukuun

(ii)      tuomioistuimen päätökseen tai muuhun tuomioistuimen lupaan tai valtuutukseen, tai

(b)      luovuttaminen perustuu 3 momentissa tarkoitettuun asetukseen.

(7)      Secretary of State voi antaa asetuksella mitä tahansa 4 momentin d–g kohdan tai 6 momentin nojalla annettua säädöstä koskevia säännöksiä, jotka liittyvät viestintätietoihin, jotka viestintäpalvelujen tarjoajat ovat säilyttäneet terrorismin ja rikollisuuden torjumisesta ja turvallisuudesta vuonna 2001 annetun lain (Anti-Terrorism, Crime and Security Act 2001) 102 §:n nojalla annettujen käytännesääntöjen perusteella.

3.     RIPA

8.        Lain 21 §:ssä säädetään seuraavaa:

”– –

(4)      Tässä luvussa ’viestintätiedoilla’ tarkoitetaan mitä tahansa seuraavista:

(a)      liikennetietoja, jotka sisältyvät tai on liitetty (lähettäjän toimesta tai muutoin) viestiin mitä tahansa viestin välittämiseen käytettävää tai käytettävissä olevaa postipalvelua tai televiestintäjärjestelmää varten

(b)      tietoja, jotka eivät käsitä viestin sisältöä (lukuun ottamatta a kohdassa tarkoitettuja tietoja) ja jotka koskevat kenen tahansa henkilön

(i)      minkä tahansa postipalvelun tai televiestintäpalvelun käyttöä tai

(ii)      minkä tahansa televiestintäjärjestelmän osan käyttöä, joka liittyy televiestintäpalvelun tarjoamiseen kenelle tahansa tai kenen tahansa minkä tahansa televiestintäpalvelun käyttöön

(c)      minkä tahansa sellaisen tiedon käyttöä, joka ei kuulu a tai b kohdan soveltamisalaan ja joka koskee postipalvelun tai televiestintäpalvelun tarjoajan hallussa olevaa tai tämän saamaa tietoa henkilöistä, joille palvelua tarjotaan.

– –

(6)      Tässä pykälässä minkä tahansa viestin ’liikennetiedoilla’ tarkoitetaan

(a)      kaikkia kenen tahansa henkilön, minkä tahansa laitteen tai sijainnin, johon tai josta viesti lähetään tai se voidaan lähettää, tunnistetietoja ja tunnistamisen mahdollistavia tietoja

(b)      kaikkia laiteen, josta viesti on lähetetty tai josta se voidaan lähettää, tunnistetietoja ja valintatietoja ja tunnistamisen tai valinnan mahdollistavia tietoja

(c)      kaikkia tietoja, joihin sisältyy signaaleja viestintäjärjestelmässä käytettävän laitteen toimintaa varten kaiken viestinnän siirtämiseksi

(d)      kaikkia tietoja, joilla tunnistetaan tiedot tai muut tiedot yksittäiseen viestiin sisältyviksi tai liitetyiksi tiedoiksi.

– –”

9.        RIPAn 22 §:ssä säädetään seuraavaa:

”(1)      Tätä pykälää sovelletaan, kun tässä luvussa tarkoitettu vastuuhenkilö katsoo, että viestintätietojen hankkiminen on tarpeen tämän pykälän 2 momentissa tarkoitetuista syistä.

(2)      Viestintätietojen hankkiminen on tarpeen tässä momentissa tarkoitetuista syistä, jos se on tarpeen

(a)      kansalliseen turvallisuuteen liittyvistä syistä

(b)      rikosten ehkäisemiseksi tai paljastamiseksi tai levottomuuksien ehkäisemiseksi

(c)      taloudellisen hyvinvoinnin turvaamiseksi Yhdistyneessä kuningaskunnassa, jos sillä on merkitystä myös kansalliselle turvallisuudelle

(d)      yleisen turvallisuuden vuoksi

(e)      kansanterveyden suojelemiseksi

(f)      eri verojen, veronluonteisten maksujen tai muiden julkishallinnolle suoritettavien maksujen määräämiseksi tai kantamiseksi

(g)      kuolemantapausten tai vammojen tai henkilön fyysiselle terveydelle tai mielenterveydelle aiheutuvan vahingon välttämiseksi tai vammojen tai henkilön fyysiselle terveydelle tai mielenterveydelle aiheutuvan vahingon rajoittamiseksi hätätilanteissa

(h)      johonkin muuhun tarkoitukseen (jota ei mainita a–g kohdassa) ja jonka Secretary of State on määrittänyt [DIRPAn] 22 §:n 2 momentin h kohdan nojalla antamassaan määräyksessä.

(4)      Jos 5 momentista ei muuta johdu, siinä tapauksessa, että vastuussa oleva henkilö katsoo, että posti- tai televiestintäoperaattorin hallussa on tai saattaa olla viestintätietoja tai se kykenee hankkimaan niitä, vastuussa oleva henkilö voi vaatia posti- tai televiestintäoperaattorilta, että operaattori

(a)      hankkii nämä tiedot, jos sillä ei vielä ole niitä, ja

(b)      joka tapauksessa julkistaa kaikki hallussaan olevat tai sittemmin hankkimansa tiedot.

(5)      Vastuussa oleva henkilö ei saa antaa 3 momentissa tarkoitettua lupaa eikä esittää 4 momentissa tarkoitettua määräystä, ellei se katso, että kyseisten tietojen hankkiminen luvalla sallitulla tai määräyksessä vaaditulla menettelyllä on oikeassa suhteessa tietojen hankkimisella tavoiteltuun päämäärään nähden.”

10.      RIPAn 65 §:n mukaan Investigatory Powers Tribunalille (tutkintavaltuuksia koskevia asioita käsittelevä tuomioistuin, Yhdistynyt kuningaskunta) voidaan tehdä valituksia, jos on syytä olettaa, että tiedot on hankittu epäasianmukaisesti.

II     Tosiseikat ja ennakkoratkaisukysymykset

11.      Ennakkoratkaisua pyytäneen tuomioistuimen mukaan pääasiassa on kyse siitä, että Yhdistyneen kuningaskunnan turvallisuus- ja tiedustelupalvelut hankkivat ja käyttävät valikoimattomia viestintätietoja.

12.      Näihin tietoihin sisältyvät tiedot siitä, ”kuka” käyttää puhelinta tai internetiä, sekä siitä, ”milloin, missä, miten ja kenen kanssa” hän niitä käyttää. Näihin sisältyvät tiedot matkapuhelinten ja kiinteiden puhelinliittymien, joista tai joihin on soitettu, sijainnista sekä tietokoneiden, joilla on otettu internetyhteys, sijainnista. Näihin ei sisälly tietoja viestien sisällöstä, joita saa hankkia ainoastaan tuomioistuimen päätöksellä.

13.      Pääasian kantaja (Privacy International, ihmisoikeuksia puolustava kansalaisjärjestö) on nostanut ennakkoratkaisupyynnön esittäneessä tuomioistuimessa kanteen, koska se katsoo, että se, että Yhdistyneen kuningaskunnan turvallisuus- ja tiedustelupalvelut hankkivat ja käyttävät mainittuja tietoja, loukkaa ihmisoikeuksien ja perusvapauksien suojaamiseksi tehdyn yleissopimuksen (Euroopan ihmisoikeussopimus) 8 artiklassa vahvistettua yksityiselämän suojaa ja on unionin lainsäädännön vastaista.

14.      Vastaajana olevat viranomaiset(13) väittävät, että niiden toimivallan käyttö on laillista ja olennaista erityisesti kansallisen turvallisuuden suojaamiseksi.

15.      Ennakkoratkaisupyyntöön sisältyvien tietojen perusteella on niin, että Secretary of Staten vuoden 1984 televiestintälain 94 §:n nojalla antamien ohjaavien määräysten nojalla turvallisuus- ja tiedustelupalvelut saavat valikoimattomia viestintätietoja yleisten sähköisten viestintäverkkojen operaattorien kautta.

16.      Näihin tietoihin sisältyy tietoja käyttäjien liikenteestä ja sijainnista sekä sosiaalisesta, kaupallisesta ja rahoitukseen liittyvästä toiminnasta, viesteistä ja matkoista. Saatuaan nämä tiedot haltuunsa turvallisuus- ja tiedustelupalvelut säilyttävät niitä turvallisesti ja käyttävät kohdentamattomia tekniikoita (esimerkiksi suodattamista ja koostamista), joita ei siis ole suunnattu erityisiin ja tunnettuihin kohteisiin.

17.      Ennakkoratkaisua pyytänyt tuomioistuin pitää toteen näytettynä, että nämä tekniikat ovat olennaisen merkittäviä turvallisuus- ja tiedustelupalvelujen työlle yleiseen turvallisuuteen kohdistuvien uhkien, erityisesti terrorismin, vakoilun ja ydinaseiden leviämisen torjumisessa. Turvallisuus- ja tiedustelupalvelujen mahdollisuudet hankkia ja käyttää tietoja ovat olennaisia Yhdistyneen kuningaskunnan kansallisen turvallisuuden suojaamiseksi.

18.      Ennakkoratkaisua pyytäneen tuomioistuimen näkemyksen mukaan oikeusriidan kohteena olevat toimenpiteet ovat kansallisen oikeuden ja Euroopan ihmisoikeussopimuksen 8 artiklan mukaisia. Se on kuitenkin epävarma siitä, ovatko ne yhteensopivia unionin oikeuden kanssa, kun otetaan huomioon tuomio Tele2 Sverige ja Watson.

19.      Tässä tilanteessa tämä kansallinen tuomioistuin on esittänyt unionin tuomioistuimelle seuraavat ennakkoratkaisukysymykset:

”1)      Kun otetaan huomioon SEU 4 artikla ja [direktiivin 2002/58] 1 artiklan 3 kohta, kuuluuko Secretary of Staten sähköisen viestintäverkon tarjoajalle antamaan ohjaavaan määräykseen sisältyvä vaatimus siitä, että tämän on toimitettava valikoimattomia viestintätietoja jäsenvaltion tiedustelu- ja turvallisuuspalveluille, unionin oikeuden ja [direktiivin 2002/58] soveltamisalaan?

2)      Jos ensimmäiseen kysymykseen vastataan myöntävästi, sovelletaanko tällaiseen Secretary of Staten antamaan ohjaavaan määräykseen tuomiosta Watson[(14)] johtuvia vaatimuksia tai muita vaatimuksia Euroopan ihmisoikeussopimuksessa asetettujen vaatimusten lisäksi? Jos näin on, miten ja missä laajuudessa näitä vaatimuksia sovelletaan, kun otetaan huomioon se, että tieto- ja turvallisuuspalvelujen on ehdottoman tarpeellista käyttää suurien tietomäärien hankintaa ja automaattisen tietojenkäsittelyn tekniikoita kansallisen turvallisuuden suojaamiseksi, ja se, miten laajalti näitä mahdollisuuksia – jos ne ovat muuten Euroopan ihmisoikeussopimuksen mukaisia – tällaisten vaatimusten asettaminen voi vakavasti haitata?”

20.      Ennakkoratkaisua pyytänyt tuomioistuin asettaa kysymyksensä seuraavaan kontekstiin:

”a)      turvallisuus- ja tiedustelupalvelujen mahdollisuudet käyttää niille toimitettuja valikoimattomia viestintätietoja ovat olennaisia Yhdistyneen kuningaskunnan kansallisen turvallisuuden suojaamiseksi, erityisesti terrorismin torjunnan, vastavakoilun ja ydinaseiden leviämisen estämisen aloilla

b)      turvallisuus- ja tiedustelupalvelujen [näiden tietojen] käytön yksi keskeinen tavoite on se, että löydetään aiemmin tuntemattomia kansallisen turvallisuuden uhkia käyttämällä kohdentamattomia suureen tietomäärään käytettäviä tekniikoita, jotka edellyttävät, että [nämä tiedot] kootaan yhteen paikkaan. Sen pääasiallinen hyöty on nopeassa kohteiden tunnistamisessa ja kehittämisessä sekä siinä, että se on toiminnan perustana välittömän uhan ilmetessä

c)      sähköisen viestintäverkon tarjoajien ei edellytetä tämän jälkeen säilyttävän (pakollisia määräaikoja pidempään) [näitä tietoja], jotka jäävät yksinomaan valtion (turvallisuus ja tiedustelupalvelun) haltuun

d)      kansallinen tuomioistuin on katsonut, että (tietyin varauksin) turvallisuus- ja tiedustelupalvelujen [näiden tietojen] käyttöä koskevat varotoimet ovat yhteensopivia Euroopan ihmisoikeussopimuksessa asetettujen vaatimusten kanssa; ja

e)      kansallinen tuomioistuin on katsonut, että velvoittaminen täyttämään [tuomiossa Tele2 Sverige ja Watson] täsmennetyt vaatimukset – jos niitä sovelletaan – tekisi tyhjäksi turvallisuus- ja tiedustelupalvelujen kansallisen turvallisuuden varmistamiseksi toteuttamat toimenpiteet ja näin vaarantaisi Yhdistyneen kuningaskunnan turvallisuuden.”

III  Menettely unionin tuomioistuimessa

21.      Ennakkoratkaisupyyntö kirjattiin saapuneeksi unionin tuomioistuimeen 31.10.2017.

22.      Kirjallisia huomautuksia ovat esittäneet Saksan, Belgian, Yhdistyneen kuningaskunnan, Tšekin, Kyproksen, Espanjan, Viron, Ranskan, Unkarin, Irlannin, Latvian, Alankomaiden, Norjan, Puolan, Portugalin ja Ruotsin hallitukset sekä Euroopan komissio.

23.      Nyt käsiteltävässä asiassa pidettiin 9.9.2019 yhdessä asioiden C‑511/18, C‑512/18 ja C‑520/18 kanssa julkinen istunto, johon osallistuivat kyseisten neljän ennakkoratkaisupyynnön asianosaiset, edellä mainitut hallitukset sekä komissio ja Euroopan tietosuojavaltuutettu.

IV     Asian tarkastelu

A       Direktiivin 2002/58 soveltamisala ja kansallisen turvallisuuden perusteella tehtävä poikkeus (ensimmäinen ennakkoratkaisukysymys)

24.      Tänä samana päivänä yhdistetyissä asioissa C‑511/18 ja C‑512/18 esittämässäni ratkaisuehdotuksessa selitän perusteet sille, miksi näkemykseni mukaan direktiiviä 2002/58 ”sovelletaan lähtökohtaisesti silloin, kun sähköisten palvelujen tarjoajien on lain mukaan säilytettävä tilaajiensa tietoja ja asetettava ne viranomaisten saataville. Tähän näkemykseen ei vaikuta se, että velvoitteet asetetaan tarjoajille kansalliseen turvallisuuteen liittyvien syiden vuoksi”.(15)

25.      Perustelujeni esittämisen yhteydessä käsittelen 30.5.2006 annetun tuomion parlamentti v. komissio ja neuvosto(16) ja tuomion Tele2 Sverige ja Watson vaikutusta pyrkien kokoavaan tulkintaan näistä molemmista.(17)

26.      Mainitussa ratkaisuehdotuksessa katson ensin direktiivin 2002/58 olevan sovellettavissa ja tarkastelen sitten siihen sisältyvän, kansallisen turvallisuuden perusteella tehtävän poikkeuksen ja SEU 4 artiklan 2 kohdan vaikutusta.(18)

27.      Viitaan siihen, mitä olen todennut edellä mainitussa ratkaisuehdotuksessa ja asian C‑520/18 ratkaisuehdotuksessa, ja esitän lisäksi niiden täydennykseksi seuraavat perustelut.

1.     Direktiivin 2002/58 soveltaminen nyt käsiteltävässä asiassa

28.      Käsiteltävässä asiassa riitautettujen sääntöjen mukaan sähköisten viestintäpalvelujen tarjoajat ovat velvoitettuja säilyttämään unionin yleisten sähköisten viestintäverkkojen käyttäjille tarjoamansa palvelun vuoksi saamansa tiedot ja käsittelemään näitä tietoja näissä säännöissä tarkoitetulla tavalla.(19)

29.      Nämä operaattorit ovat nimittäin velvollisia siirtämään kyseiset tiedot turvallisuus- ja tiedustelupalveluille. Nyt on kyse siitä, onko direktiivin 2002/58 15 artiklan 1 kohdan perusteella sallittua, että tämä siirtäminen, sen tavoite huomioon ottaen, jätetään yksiviivaisesti unionin oikeuden ulkopuolelle.

30.      Mielestäni näin ei ole. Kyseisten tietojen säilyttämistä ja niiden myöhemmin tapahtuvaa siirtämistä voidaan pitää sähköisten viestintäpalvelujen tarjoajien suorittamana henkilötietojen käsittelynä, minkä vuoksi ne sijoittautuvat luontevasti direktiivin 2002/58 soveltamisalaan.

31.      Kansalliseen turvallisuuteen liittyviä syitä ei voida asettaa tämän toteamuksen edelle, kuten ennakkoratkaisua pyytänyt tuomioistuin ehdottaa, mistä olisi seurauksena, ettei riitautettu velvoite kuuluisi unionin oikeuden soveltamisalaan. Kuten jo edellä olen todennut, mielestäni palveluntarjoajat velvoitetaan tietojen käsittelyyn, joka liittyy yleisesti saatavilla olevien sähköisten viestintäpalvelujen tarjoamiseen yleisissä viestintäverkoissa unionissa, mikä nimenomaan kuuluu direktiivin 2002/58 soveltamisalaan, kuten sen 3 artiklan 1 kohdassa säädetään.

32.      Kun tämä lähtökohta on vahvistettu, tarkastelu siirtyy turvallisuus- ja tiedustelupalvelujen toiminnasta (joka, kuten olen aiemmin todennut, ei ehkä kuuluisi unionin oikeuden piiriin, jos se ei vaikuttaisi sähköisen viestinnän operaattoreihin) operaattorien hallussa olevien tietojen säilyttämiseen ja myöhempään siirtämiseen. Tästä näkökulmasta tarkasteltaessa asiassa tulevat merkitykselliseksi unionissa taatut perusoikeudet.

33.      Keskeinen tekijä tämän kysymyksen ratkaisemiseksi on, jälleen kerran, velvoite viranomaisten saataville asetettavien tietojen yleisestä ja erotuksetta tapahtuvasta säilyttämisestä.

2.     Kansalliseen turvallisuuteen vetoaminen

34.      Koska ennakkoratkaisua pyytänyt tuomioistuin tässä asiassa erityisesti korostaa turvallisuus- ja tiedustelupalvelujen toimintaa, joka vaikuttaa kansalliseen turvallisuuteen, toistan joitakin tätä samaa seikkaa koskevia kohtia tänä samana päivänä esittämästäni yhdistettyjen asioiden C‑511/18 ja C‑512/18 ratkaisuehdotuksesta.

”77.      Kansallisesta turvallisuudesta – – säädetään direktiivissä 2002/58 kahdelta eri kannalta. Yhtäältä se on poissulkemisperuste, jonka nojalla direktiivin soveltamisalan ulkopuolelle voidaan jättää kaikki sellaiset jäsenvaltioiden toimet, jotka nimenomaisesti ’koskevat’ kansallista turvallisuutta. Toisaalta se on lailla täytäntöön pantava rajoittamisperuste, jonka nojalla voidaan rajoittaa direktiivissä 2002/58 säädettyjä oikeuksia ja velvollisuuksia eli luonteeltaan yksityistä tai kaupallista toimintaa, joka ei kuulu julkisen vallan tehtäviin. – –

78.      Mihin toimiin direktiivin 2002/58 1 artiklan 3 kohdassa viitataan? Mielestäni Conseil d’État itse esittää niistä hyvän esimerkin viitatessaan sisäisestä turvallisuudesta annetun lain L. 851-5 ja L. 851-6 §:ään, jotka koskevat ’tiedonkeruumenetelmiä, joita valtio käyttää suoraan sääntelemättä sähköisten viestintäpalvelujen tarjoajien toimintaa määräämällä niille erityisiä velvoitteita’. – –

79.      Uskoakseni tämä on avain direktiivin 2002/58 1 artiklan 3 kohdan soveltamisalan ulkopuolelle jäävien toimien määrittämiseen. Sen soveltamisalaan eivät kuulu kansallisen turvallisuuden suojaamiseen liittyvät toimet, joita julkinen valta toteuttaa omaan lukuunsa edellyttämättä yksityisiltä yhteistyötä ja siten asettamatta niille mitään liiketoimintaan liittyviä velvoitteita.

80.      Luetteloa niistä julkisen vallan toimista, jotka jäävät henkilötietojen käsittelyä koskevan yleisen järjestelmän soveltamisalan ulkopuolelle, on kuitenkin tulkittava suppeasti. Kansallisen turvallisuuden, josta kukin jäsenvaltio on SEU 4 artiklan 2 kohdan nojalla yksinomaisesti vastuussa, käsitettä ei siten voida laajentaa koskemaan muita, julkiseen elämään enemmän tai vähemmän läheisesti liittyviä aloja.

– –

82.      Katson – –, että tähän voisi soveltua ohjenuoraksi puitepäätöksessä 2006/960/YOS – – vahvistettu arviointiperuste, sillä sen 2 artiklan a alakohdassa tehdään ero yhtäältä lainvalvontaviranomaisen, jolla sanan laajassa merkityksessä tarkoitetaan ’jäsenvaltion poliisi-, tulli- tai muuta viranomaista, jolla on kansallisen lainsäädännön mukaan valta paljastaa, ehkäistä ja tutkia rikoksia tai rikollista toimintaa sekä käyttää julkista valtaa ja pakkokeinoja tämän toiminnan yhteydessä’ – ja toisaalta sellaisten ’virastojen tai yksiköiden, jotka käsittelevät erityisesti kansallisia turvallisuuskysymyksiä’, välillä. – –

– –

84.      Direktiivien 95/46 ja 2002/58 välillä on nimittäin tietty jatkumo siltä osin kuin on kyse jäsenvaltioiden toimivallasta kansallisen turvallisuuden alalla. Kummankaan direktiivin tavoitteena ei ole turvata perusoikeuksia tällä nimenomaisella alalla, jolla jäsenvaltioiden toiminta ’ei kuulu [unionin] oikeuden soveltamisalaan’.

85.      ’Tasapaino’, johon kyseisessä johdanto-osan perustelukappaleessa viitataan, perustuu tarpeeseen kunnioittaa kullekin jäsenvaltiolle kansallisen turvallisuuden alalla kuuluvaa toimivaltaa silloin, kun ne käyttävät sitä suoraan ja omin avuin. Sitä vastoin silloin, kun tämän toimivallan käyttäminen, mukaan lukien kansalliseen turvallisuuteen liittyvistä syistä, edellyttää apua yksityisiltä, joille tässä yhteydessä asetetaan tiettyjä velvoitteita, sen on tämä seikan perusteella katsottava tapahtuvan alalla, joka kuuluu unionin oikeuden soveltamisalaan (eli kyseisten yksityisten toimijoiden yksityisyyden suojan alalla).

86.      Sekä direktiivissä 95/46 että direktiivissä 2002/58 pyritään saavuttamaan tämä tasapaino sallimalla se, että yksityisten oikeuksia voidaan rajoittaa lainsäädännöllisillä toimenpiteillä, joita jäsenvaltiot toteuttavat ensin mainitun 13 artiklan ja 1 kohdan ja jälkimmäisen 15 artiklan 1 kohdan nojalla. Direktiiveissä ei tässä kohden ole mitään eroa.

– –

89.      Tämä julkisen vallan toiminta on pakostikin määritettävä suppeasti, sillä muuten yksityisyyden suojaa koskeva unionin lainsäädäntö jää vaille tehokasta vaikutusta. Asetuksen 2016/679 23 artiklassa säädetään – direktiivin 2002/58 15 artiklan 1 kohdan mukaisesti – siinä säädettyjen oikeuksien ja velvollisuuksien rajoittamisesta lainsäädäntötoimenpiteellä, jos se on tarpeen muun muassa kansallisen turvallisuuden, puolustuksen ja yleisen turvallisuuden takaamiseksi. Jälleen kerran on todettava, että jos näiden tarkoitusten suojaaminen riittäisi jo yksinään asetuksen 2016/679 soveltamisalan ulkopuolelle jättämisen perusteeksi, valtion turvallisuuteen olisi tarpeetonta vedota perusteena kyseisessä asetuksessa säädettyjen oikeuksien rajoittamiseen lainsäädäntötoimenpiteillä.”

3.     Tuomion Tele2 Sverige ja Watson tähän asiaan soveltamisen seuraukset

35.      Ennakkoratkaisua pyytänyt tuomioistuin on keskittynyt unionin tuomioistuimen tuomiossa Tele2 Sverige ja Watson tekemään tulkintaan ja esittää näkemyksensä siitä, millaisia vaikeuksia aiheutuisi sen soveltamisesta tähän asiaan.

36.      Tuomioissa Tele2 Sverige ja Watson todellakin ilmoitettiin sellaiselle kansalliselle lainsäädännölle asetettavat ehdot, jossa velvoitetaan säilyttämään liikenne- ja paikkatiedot viranomaisten myöhemmin tapahtuvaa tietoihin tutustumista varten.

37.      Samoin kuin yhdistetyissä asioissa C‑511/18 ja C‑512/18, ja vastaavista syistä, katson, että kansallisissa säännöissä, joita tässä ennakkoratkaisupyynnössä käsitellään, eivät täyty tuomiossa Tele2 Sverige ja Watson asetetut edellytykset, koska nämä säännöt aiheuttavat henkilötietojen yleisen ja erotuksetta tapahtuvan säilyttämisen, mikä mahdollistaa yksityiskohtaisen kuvan muodostamisen kyseessä olevien henkilöiden elämästä hyvin pitkältä ajalta.

38.      Näiden kahden asian ratkaisuehdotuksissa pohdin, olisiko kyseisessä tuomiossa esitettyä oikeuskäytäntöä mahdollista muokata tai täydentää ottaen huomioon siitä johtuvat seuraukset terrorismin torjunnalle tai valtion suojelemiselle muilta vastaavilta kansalliseen turvallisuuteen kohdistuvilta uhilta.

39.      Jäljempänä esitän myös tästä ratkaisuehdotuksesta toisintona joitakin kohtia, joissa pääasiallisesti puollan sitä, että koska kyseisen oikeuskäytännön voi käsittää monimerkityksellisesti, se on vahvistettava pääosin seuraavasti:

”135.      Sekä niiden tietoryhmien, joiden säilyttämistä pidetään välttämättömänä, että asianomaisten henkilöiden piirin määrittäminen tarkasti ja objektiivisilla perusteilla on toki vaikeaa, muttei suinkaan mahdotonta. Käytännöllisintä ja tehokkainta olisi tietysti asettaa sähköisten viestintäpalvelujen tarjoajille yleinen ja syrjimätön velvoite säilyttää kaikki keräämänsä tiedot, mutta totesin jo edellä, ettei tätä kysymystä voida ratkaista käytännön tehokkuuden vaan oikeudellisen tehokkuuden perusteella ja oikeusvaltion ehdoilla.

136.      Tämä määritystyö tapahtuu tyypillisesti antamalla lainsäädäntöä unionin tuomioistuimen oikeuskäytännössä vahvistetuissa rajoissa. – –

137.      Edellyttäen, että operaattorit ovat noudattaneet tietojen keruussa direktiivin 2002/58 säännöksiä ja että tietoja on säilytetty sen 15 artiklan 1 kohdan mukaisesti, – – toimivaltaisille viranomaisille on annettava oikeus saada näitä tietoja, jos ne täyttävät unionin tuomioistuimen vahvistamat edellytykset, joita tarkastelen asiassa C‑520/18 esittämässäni ratkaisuehdotuksessa, johon tässä viittaan.

138.      Kansallisessa lainsäädännössä on kuitenkin myös tällaisessa tilanteessa säädettävä aineellisista ja menettelyllisistä edellytyksistä, joiden täyttyessä toimivaltaiset viranomaiset voivat saada säilytettyjä tietoja. – – Nyt käsiteltävien ennakkoratkaisupyyntöjen yhteydessä tämä oikeus voidaan myöntää vain sellaisten henkilöiden tietoihin, joiden epäillään suunnittelevan, tekevän tai tehneen terroriteon tai olevan jollakin tavalla mukana tällaisessa teossa. – –

139.      Kaiken kaikkiaan olennaista on se, että toimivaltaisten kansallisten viranomaisten oikeus saada säilytettyjä tietoja edellyttää lähtökohtaisesti asianmukaisesti perusteltuja kiireellisiä tapauksia lukuun ottamatta joko tuomioistuimen tai riippumattoman hallinnollisen elimen etukäteisvalvontaa ja sitä, että kyseisen tuomioistuimen tai elimen ratkaisu annetaan perustellusta pyynnöstä, jonka nämä viranomaiset esittävät. – – Tällä tavoin tilanteessa, jossa lainsäädäntöön perustuva abstrakti arviointi ei ole mahdollista, pystytään takaamaan riippumattoman viranomaisen tekemä konkreettinen arviointi, jossa otetaan tasapuolisesti huomioon sekä valtion turvallisuuden takaaminen että kansalaisten perusoikeuksien suojelu.”

B       Toinen ennakkoratkaisukysymys

40.      Ennakkoratkaisua pyytänyt tuomioistuin esittää toisen kysymyksen siltä varalta, että ensimmäiseen kysymykseen vastataan myöntävästi. Siinä tapauksessa se haluaa tietää, mitä ”muita vaatimuksia Euroopan ihmisoikeussopimuksessa asetettujen vaatimusten lisäksi” tai tuomiosta Tele2 Sverige ja Watson johtuvien vaatimusten lisäksi on asetettava.

41.      Tässä tarkoituksessa se vakuuttaa, että velvoittaminen tuomion Tele2 Sverige ja Watson ehtoihin ”[tekisi] tyhjäksi turvallisuus- ja tiedustelupalvelujen kansallisen turvallisuuden varmistamiseksi toteuttamat toimenpiteet”.

42.      Koska ensimmäiseen kysymykseen ehdottamani vastaus on kieltävä, toisen kysymyksen käsitteleminen ei ole välttämätöntä. Tämä viimeksi mainittu, kuten ennakkoratkaisua pyytänyt tuomioistuinkin toteaa, edellyttää sen toteamista, että ”suurien tietomäärien hankintaa ja automaattisen tietojenkäsittelyn tekniikoita”, jotka koskevat Yhdistyneen kuningaskunnan kaikkien käyttäjien henkilötietoja, jotka sähköisten viestintäpalvelujen operaattorien olisi siirrettävä turvallisuus- ja tiedustelupalveluille, on pidettävä unionin oikeuden mukaisena.

43.      Jos unionin tuomioistuin katsoo, että on välttämätöntä vastata toiseen kysymykseen, katson, että on vahvistettava mainitut tuomion Tele2 Sverige ja Watson ehdot, jotka koskevat seuraavia:

–      kielto yleisestä pääsystä henkilötietoihin

–      vaatimus tuomioistuimen tai riippumattoman viranomaisen antamasta tämän tietojen saamisen oikeuttavasta ennakkoluvasta

–      velvollisuus ilmoittaa henkilöille, joita asia koskee, paitsi jos se vaarantaisi toimenpiteen tehokkuuden

–      tietojen säilyttäminen unionin sisällä.

44.      Kuten edellä on jo todettu, riittää, että vahvistetaan nämä ehdot, joiden soveltaminen on pakollista, yhdistettyjen asioiden C‑511/18 ja C‑512/18 ja asian C‑520/18 ratkaisuehdotuksissa esittämieni syiden vuoksi ilman, että on tarpeen ottaa käyttöön ”muita” lisäehtoja ennakkoratkaisua pyytäneen tuomioistuimen viittaamassa merkityksessä.

V       Ratkaisuehdotus

45.      Edellä esitetyn perusteella ehdotan, että unionin tuomioistuin vastaa Investigatory Powers Tribunalille seuraavaa:

SEU 4 artiklaa ja henkilötietojen käsittelystä ja yksityisyyden suojasta sähköisen viestinnän alalla 12.7.2002 annetun Euroopan parlamentin ja neuvoston direktiivin 2002/58/EY (sähköisen viestinnän tietosuojadirektiivi) 1 artiklan 3 kohtaa on tulkittava siten, että ne ovat esteenä sellaiselle kansalliselle lainsäädännölle, jossa sähköisen viestintäverkon tarjoaja velvoitetaan toimittamaan jäsenvaltion tiedustelu- ja turvallisuuspalveluille ”valikoimattomia viestintätietoja”, mikä edellyttää niiden yleistä ja erotuksetta tapahtuvaa keräämistä ennakolta.

Toissijaisesti:

Jäsenvaltion tiedustelu- ja turvallisuuspalvelujen pääsyn sähköisten viestintäverkkojen tarjoajien siirtämiin tietoihin on tapahduttava 21.12.2016 annetussa tuomiossa Tele2 Sverige ja Watson (C‑203/15 ja C‑698/15, EU:C:2016:970) asetettujen ehtojen mukaisesti.


1      Alkuperäinen kieli: espanja.


2      Yhdistetyt asiat C‑293/12 ja C‑594/12, EU:C:2014:238; jäljempänä tuomio Digital Rights.


3      Yleisesti saatavilla olevien sähköisten viestintäpalvelujen tai yleisten viestintäverkkojen yhteydessä tuotettavien tai käsiteltävien tietojen säilyttämisestä ja direktiivin 2002/58/EY muuttamisesta 15.3.2006 annettu Euroopan parlamentin ja neuvoston direktiivi 2006/24/EY (EUVL 2006, L 105, s. 54).


4      Yhdistetyt asiat C‑203/15 ja C‑698/15, EU:C:2016:970; jäljempänä tuomio Tele2 Sverige ja Watson.


5      Henkilötietojen käsittelystä ja yksityisyyden suojasta sähköisen viestinnän alalla 12.7.2002 annettu Euroopan parlamentin ja neuvoston direktiivi 2002/58/EY (sähköisen viestinnän tietosuojadirektiivi; EYVL 2002, L 201, s. 37).


6      Asia C‑207/16, EU:C:2018:788; jäljempänä tuomio Ministerio Fiscal.


7      Tämän asian lisäksi on kyse yhdistetyistä asioista C‑511/18 ja C‑512/18, La Quadrature du Net ym. ja asiasta C‑520/18, Ordre des barreaux francophones et germanophone ym.


8      Asia Privacy International, C‑623/17.


9      Asia Ordre des barreaux francophones et germanophone ym., C‑520/18.


10      Yhdistetyt asiat La Quadrature du Net ym., C‑511/18 ja C‑512/18.


11      Telecommunications Act 1984, jäljempänä vuoden 1984 televiestintälaki.


12      Data Retention and Investigatory Powers Act 2014, jäljempänä DRIPA.


13      Secretary of State for Foreign and Commonwealth Affairs (ulko- ja kansainyhteisöasiain ministeri), Secretary of State for the Home Department (sisäasiainministeri) ja Yhdistyneen kuningaskunnan kolme turvallisuus- ja tiedustelupalvelua eli Government Communications Headquarters (Yhdistyneen kuningaskunnan tiedustelupalvelu; GCHQ), Security Service (turvallisuuspalvelu; MI5) ja Secret Intelligence Service (salainen tiedustelupalvelu; MI6).


14      Id est, tuomiossa Tele2 Sverige ja Watson vahvistettu oikeuskäytäntö.


15      Yhdistettyjen asioiden C‑511/18 ja C‑512/18 ratkaisuehdotus, 42 kohta.


16      Yhdistetyt asiat C‑317/04 ja C‑318/04 (EU:C:2006:346).


17      Yhdistettyjen asioiden C‑511/18 ja C‑512/18 ratkaisuehdotus, 44–76 kohta.


18      Ibidem, 77–90 kohta.


19      Direktiivin 2002/58 2 artiklan mukaan tässä direktiivissä sovelletaan direktiivin 95/46 sisältämiä määritelmä. Tämän viimeksi mainitun 2 artiklan b alakohdan mukaan henkilötietojen käsittelyllä tarkoitetaan ”kaikenlaisia sellaisia toimintoja tai toimintojen kokonaisuuksia, joita kohdistetaan henkilötietoihin joko automaattisen tietojenkäsittelyn avulla tai manuaalisesti, kuten tietojen kerääminen, tallentaminen, järjestäminen, säilyttäminen, muokkaaminen tai muuttaminen, tiedon haku, kysely, käyttö, luovuttaminen siirtämällä, levittämällä tai asettamalla muutoin saataville, yhteensovittaminen tai yhdistäminen sekä suojaaminen, poistaminen tai tuhoaminen” (kursivointi tässä).