Language of document : ECLI:EU:C:2016:970

Gevoegde zaken C‑203/15 en C‑698/15


en


[verzoeken om een prejudiciële beslissing, ingediend door de Kammarrätt i Stockholm en de Court of Appeal (England and Wales) (Civil Division)]

„Prejudiciële verwijzing – Elektronische communicatie – Verwerking van persoonsgegevens – Vertrouwelijk karakter van de elektronische communicatie – Bescherming – Richtlijn 2002/58/EG – Artikelen 5, 6 en 9 en artikel 15, lid 1 – Handvest van de grondrechten van de Europese Unie – Artikelen 7, 8 en 11 en artikel 52, lid 1 – Nationale wettelijke regeling – Aanbieders van elektronischecommunicatiediensten – Verplichting betreffende het algemeen en ongedifferentieerd bewaren van de verkeersgegevens en de locatiegegevens – Nationale autoriteiten – Toegang tot de gegevens – Geen voorafgaande toetsing door een rechterlijke instantie of door een onafhankelijke bestuurlijke autoriteit – Verenigbaarheid met het Unierecht”

Samenvatting – Arrest van het Hof (Grote kamer) van 21 december 2016

1.        Harmonisatie van de wetgevingen – Telecommunicatiesector – Verwerking van de persoonsgegevens en bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie – Richtlijn 2002/58 – Mogelijkheid voor de lidstaten om de draagwijdte van bepaalde rechten en verplichtingen te beperken – Werkingssfeer –Wettelijke maatregel waarbij aan de aanbieders van elektronischecommunicatiediensten de verplichting wordt opgelegd, de verkeers- en locatiegegevens van de gebruikers te bewaren – Daaronder begrepen

(Richtlijn 2002/58 van het Europees Parlement en de Raad, zoals gewijzigd bij richtlijn 2009/136, art. 5, lid 1, en 15, lid 1)

2.        Harmonisatie van de wetgevingen – Telecommunicatiesector – Verwerking van de persoonsgegevens en bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie – Richtlijn 2002/58 – Mogelijkheid voor de lidstaten om de draagwijdte van bepaalde rechten en verplichtingen te beperken – Strikte uitlegging – Gronden die een beperking kunnen rechtvaardigen – Uitputtend karakter

(Richtlijn 2002/58 van het Europees Parlement en de Raad, zoals gewijzigd bij richtlijn 2009/136, art. 5, lid 1, en 15, lid 1)

3.        Harmonisatie van de wetgevingen – Telecommunicatiesector – Verwerking van de persoonsgegevens en bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie – Richtlijn 2002/58 – Mogelijkheid voor de lidstaten om de draagwijdte van bepaalde rechten en verplichtingen te beperken –Nationale regeling die ten behoeve van de bestrijding van de criminaliteit voorziet in algemene en ongedifferentieerde bewaring van de verkeers- en locatiegegevens van de gebruikers – Ontoelaatbaarheid –Zware ingreep in het recht op eerbiediging van het privéleven en bescherming van de persoonsgegevens en in de vrijheid van meningsuiting

(Handvest van de grondrechten van de Europese Unie, art. 7, 8, 11 en 52, lid 1; richtlijn 2002/58 van het Europees Parlement en de Raad, zoals gewijzigd bij richtlijn 2009/136, art. 15, lid 1)

4.        Harmonisatie van de wetgevingen – Telecommunicatiesector – Verwerking van de persoonsgegevens en bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie – Richtlijn 2002/58 – Mogelijkheid voor de lidstaten om de draagwijdte van bepaalde rechten en verplichtingen te beperken –Nationale regeling die ten behoeve van de bestrijding van de zware criminaliteit de gerichte bewaring van de verkeers- en locatiegegevens van de gebruikers toestaat – Toelaatbaarheid – Voorwaarden

(Handvest van de grondrechten van de Europese Unie, art. 7, 8, 11 en 52, lid 1; richtlijn 2002/58 van het Europees Parlement en de Raad, zoals gewijzigd bij richtlijn 2009/136, art. 15, lid 1)

5.        Harmonisatie van de wetgevingen – Telecommunicatiesector – Verwerking van de persoonsgegevens en bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie – Richtlijn 2002/58 – Mogelijkheid voor de lidstaten om de draagwijdte van bepaalde rechten en verplichtingen te beperken –Nationale regeling die de bescherming en de beveiliging van de verkeers- en locatiegegevens van de gebruikers regelt –Mogelijkheid voor de nationale autoriteiten om zonder voorafgaande rechterlijke of bestuurlijke controle toegang te krijgen tot die gegevens – Ontoelaatbaarheid –Geen verplichting voor de aanbieders van elektronischecommunicatiediensten om deze gegevens op het grondgebied van de Unie te bewaren – Ontoelaatbaarheid

(Handvest van de grondrechten van de Europese Unie, art. 7, 8, 11 en 52, lid 1; richtlijnenvan het Europees Parlement en de Raad 95/46, art. 22, en 2002/58, zoals gewijzigd bij richtlijn 2009/136, art. 15, leden 1 en 2)

6.        Grondrechten – Europees Verdrag voor de rechten van de mens – Instrument dat niet formeel is opgenomen in de rechtsorde van de Unie

(Art. 6, lid 3, VEU; Handvest van de grondrechten van de Europese Unie, art. 52, lid 3)

7.        Prejudiciële vragen – Bevoegdheid van het Hof – Grenzen – Algemene of hypothetische vragen – Vraag die, gelet op het voorwerp van het hoofdgeding, louter abstract of hypothetisch van aard is – Niet-ontvankelijkheid

(Art. 267 VWEU)

1.      Artikel 15, lid 1, van richtlijn 2002/58 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie (richtlijn betreffende privacy en elektronische communicatie), zoals gewijzigd bij richtlijn 2009/136, staat de lidstaten toe om, met inachtneming van de aldaar geformuleerde voorwaarden, wettelijke maatregelen te treffen ter beperking van de reikwijdte van de in de artikelen 5 en 6, artikel 8, leden 1 tot en met 4, en artikel 9 van deze richtlijn bedoelde rechten en plichten.

In het bijzonder een wettelijke maatregel die aan de aanbieders van elektronischecommunicatiediensten de verplichting oplegt om de verkeersgegevens en de locatiegegevens te bewaren, valt binnen de werkingssfeer van deze bepaling, omdat een dergelijke activiteit noodzakelijkerwijze inhoudt dat die aanbieders persoonsgegevens verwerken. Binnen de werkingssfeer van die bepaling valt ook een wettelijke maatregel die betrekking heeft op de toegang van de nationale autoriteiten tot de door die aanbieders van elektronischecommunicatiediensten bewaarde gegevens. De in artikel 5, lid 1, van richtlijn 2002/58 gewaarborgde bescherming van het vertrouwelijke karakter van de elektronische communicaties en van de daarmee verband houdende verkeersgegevens, geldt immers voor de door alle andere personen dan de gebruikers getroffen maatregelen, ongeacht of het daarbij gaat om particuliere personen of entiteiten dan wel om overheidsentiteiten.

(zie punten 71, 75‑77)

2.      Artikel 15, lid 1, van richtlijn 2002/58 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie (richtlijn betreffende privacy en elektronische communicatie), zoals gewijzigd bij richtlijn 2009/136, staat de lidstaten toe, te voorzien in uitzonderingen op de in artikel 5, lid 1, van deze richtlijn geformuleerde principeverplichting om de vertrouwelijkheid van de persoonsgegevens te waarborgen, en op de in de artikelen 6 en 9 van die richtlijn vermelde overeenkomstige verplichtingen. Omdat artikel 15, lid 1, van richtlijn 2002/58 de lidstaten toestaat, de draagwijdte van die principeverplichting te beperken, moet het echter strikt worden uitgelegd. Een dergelijke bepaling kan dus niet rechtvaardigen dat de in artikel 5 van deze richtlijn bepaalde uitzondering op deze principeverplichting en, in het bijzonder, op het verbod om deze gegevens op te slaan de regel wordt, omdat laatstgenoemde bepaling in dat geval grotendeels haar inhoud zou verliezen.

In dit verband bepaalt artikel 15, lid 1, eerste zin, van richtlijn 2002/58 dat de aldaar bedoelde wettelijke maatregelen die afwijken van het beginsel van vertrouwelijkheid van de communicaties en van de daarmee verband houdende verkeersgegevens, tot doel moeten hebben de waarborging van de nationale veiligheid – dit wil zeggen de staatsveiligheid –, de landsverdediging, de openbare veiligheid, of het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten of van onbevoegd gebruik van het elektronischecommunicatiesysteem, of een van de andere doelen genoemd in artikel 13, lid 1, van richtlijn 95/46 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens. Een dergelijke opsomming van doelstellingen is exhaustief, zoals blijkt uit artikel 15, lid 1, tweede zin, van deze richtlijn, volgens welke de wettelijke maatregelen moeten worden gerechtvaardigd door een van de redenen die in artikel 15, lid 1, eerste zin, van die richtlijn worden genoemd. Bijgevolg mogen de lidstaten dergelijke maatregelen niet treffen voor andere doeleinden dan die welke in laatstgenoemde bepaling worden genoemd

(zie punten 88‑90)

3.      Artikel 15, lid 1, van richtlijn 2002/58 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie (richtlijn betreffende privacy en elektronische communicatie), zoals gewijzigd bij richtlijn 2009/136, gelezen tegen de achtergrond van de artikelen 7, 8 en 11 en artikel 52, lid 1, van het Handvest van de grondrechten van de Europese Unie, moet in die zin worden uitgelegd dat het zich verzet tegen een nationale regeling die, ter bestrijding van criminaliteit, voorziet in algemene en ongedifferentieerde bewaring van alle verkeers- en locatiegegevens van alle abonnees en geregistreerde gebruikers betreffende alle elektronischecommunicatiemiddelen.

Uit deze gegevens, in hun geheel beschouwd, kunnen immers zeer precieze conclusies worden getrokken over het privéleven van de personen van wie de gegevens zijn bewaard, zoals hun dagelijkse gewoonten, hun permanente of tijdelijke verblijfplaats, hun dagelijkse of andere verplaatsingen, de activiteiten die zij uitoefenen, hun sociale relaties en de sociale kringen waarin zij verkeren. In het bijzonder kan aan de hand van deze gegevens het profiel van de betrokken personen worden bepaald, informatie die, wat het recht op bescherming van het privéleven betreft, even gevoelig is als de inhoud zelf van de communicaties. De ingreep die een dergelijke regeling in de door de artikelen 7 en 8 van het Handvest gewaarborgde grondrechten verricht, is groot en moet als bijzonder ernstig worden beschouwd. De omstandigheid dat de gegevens worden bewaard zonder dat de gebruikers van de elektronischecommunicatiediensten hierover worden ingelicht, kan bij de betrokken personen het gevoel opwekken dat hun privéleven constant in de gaten wordt gehouden. Ook al staat een dergelijke regeling niet toe, de inhoud van een communicatie te bewaren, en maakt zij dus geen inbreuk op de wezenlijke inhoud van die rechten, toch kan de bewaring van de verkeers- en locatiegegevens invloed hebben op het gebruik van de elektronischecommunicatiemiddelen en dus op de wijze waarop de gebruikers van deze communicatiemiddelen van hun in artikel 11 van het Handvest gewaarborgde vrijheid van meningsuiting gebruikmaken.

Gelet op de ernst van de ingreep in de betrokken grondrechten door een dergelijke nationale regeling, kan alleen de bestrijding van zware criminaliteit een dergelijke maatregel rechtvaardigen. Ook al kan de doeltreffendheid van de bestrijding van zware criminaliteit, met name van georganiseerde misdaad en terrorisme, weliswaar in aanzienlijke mate afhangen van het gebruik van moderne onderzoekstechnieken, toch kan een dergelijke doelstelling van algemeen belang, hoe wezenlijk zij ook is, op zich niet rechtvaardigen dat een nationale regeling die voorziet in algemene en ongedifferentieerde bewaring van alle verkeers- en locatiegegevens, noodzakelijk wordt geacht voor het voeren van deze strijd. Enerzijds heeft een dergelijke regeling tot gevolg dat de bewaring van de verkeers- en locatiegegevens de regel is, terwijl het bij richtlijn 2002/58 ingevoerde stelsel eist dat deze bewaring van gegevens de uitzondering vormt. Anderzijds voorziet een dergelijke nationale regeling, die algemeen geldt voor alle abonnees en geregistreerde gebruikers en ziet op alle elektronischecommunicatiemiddelen en op alle verkeersgegevens, in geen enkele differentiatie, beperking of uitzondering naargelang van het nagestreefde doel. Zij is zelfs van toepassing op personen voor wie er geen enkele aanwijzing bestaat dat hun gedrag – zelfs maar indirect of van ver – verband houdt met ernstige strafbare feiten. Een dergelijke regeling gaat dus verder dan strikt noodzakelijk is, en kan niet worden beschouwd als een regeling die in een democratische samenleving gerechtvaardigd is, zoals artikel 15, lid 1, van richtlijn 2002/58, gelezen tegen de achtergrond van de artikelen 7, 8 en 11 en artikel 52, lid 1, van het Handvest, eist.

(zie punten 99‑105, 107, 112, dictum 1)

4.      Artikel 15, lid 1, van richtlijn 2002/58 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie (richtlijn betreffende privacy en elektronische communicatie), zoals gewijzigd bij richtlijn 2009/136, gelezen tegen de achtergrond van de artikelen 7, 8 en 11 en artikel 52, lid 1, van het Handvest van de grondrechten van de Europese Unie, staat niet eraan in de weg dat een lidstaat een regeling vaststelt op grond waarvan ter bestrijding van zware criminaliteit de verkeers- en locatiegegevens preventief gericht kunnen worden bewaard, op voorwaarde dat de bewaring van die gegevens, wat de categorieën van te bewaren gegevens, de betrokken communicatiemiddelen, de betrokken personen en de duur van de bewaring betreft, tot het strikt noodzakelijke wordt beperkt.

Om aan deze eisen te voldoen, moet deze nationale regeling in de eerste plaats duidelijke en nauwkeurige regels voor de draagwijdte en de toepassing van een dergelijke maatregel van bewaring van gegevens bevatten en een minimum aan eisen stellen, zodat de personen wier gegevens zijn bewaard, voldoende garanties hebben dat hun persoonsgegevens doeltreffend worden beschermd tegen het risico van misbruik. Zij moet in het bijzonder aangeven in welke omstandigheden en onder welke voorwaarden een maatregel van bewaring van gegevens preventief kan worden genomen, en aldus waarborgen dat een dergelijke maatregel tot het strikt noodzakelijke wordt beperkt.

In de tweede plaats kunnen – wat de materiële voorwaarden betreft waaraan een dergelijke nationale regeling moet voldoen om te waarborgen dat zij tot het strikt noodzakelijke is beperkt – die voorwaarden weliswaar verschillen naargelang van de maatregelen die voor het voorkomen, onderzoeken, opsporen en vervolgen van zware criminaliteit worden getroffen, maar moet de bewaring van de gegevens niettemin steeds voldoen aan objectieve criteria die een verband leggen tussen de te bewaren gegevens en het nagestreefde doel. In het bijzonder moeten dergelijke voorwaarden in de praktijk van dien aard zijn dat zij de omvang van de maatregel, en dus de kring van betrokken personen, daadwerkelijk afbakenen. Wat die afbakening betreft, moet de nationale regeling worden gebaseerd op objectieve elementen waarmee kan worden gemikt op een groep mensen wier gegevens, althans indirect, een band met handelingen van zware criminaliteit aan het licht kunnen brengen, waarmee op de een of andere wijze kan worden bijgedragen tot de bestrijding van zware criminaliteit of waarmee een ernstig risico voor de openbare veiligheid kan worden voorkomen. Een dergelijke afbakening kan aan de hand van een geografisch criterium worden verricht wanneer de bevoegde nationale autoriteiten op basis van objectieve elementen van mening zijn dat er in een of meer geografische gebieden een hoog risico bestaat dat dergelijke handelingen worden voorbereid of gepleegd.

(zie punten 108‑111)

5.      Artikel 15, lid 1, van richtlijn 2002/58 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie (richtlijn betreffende privacy en elektronische communicatie), zoals gewijzigd bij richtlijn 2009/136, gelezen tegen de achtergrond van de artikelen 7, 8 en 11 en artikel 52, lid 1, van het Handvest van de grondrechten van de Europese Unie, moet in die zin worden uitgelegd dat het zich verzet tegen een nationale regeling die de bescherming en de beveiliging van de verkeers- en de locatiegegevens en in het bijzonder de toegang van de bevoegde nationale autoriteiten tot de bewaarde gegevens regelt zonder, in het kader van de bestrijding van de criminaliteit, te bepalen dat die toegang alleen wordt verleend ter bestrijding van zware criminaliteit, dat die toegang aan een voorafgaand toezicht door een rechterlijke instantie of een onafhankelijke bestuurlijke autoriteit is onderworpen en dat de betrokken gegevens op het grondgebied van de Unie moeten worden bewaard.

In dit verband dient, om te waarborgen dat de toegang van de bevoegde nationale autoriteiten tot de bewaarde gegevens niet verder gaat dan strikt noodzakelijk is, in het nationale recht inderdaad te worden bepaald, onder welke voorwaarden de aanbieders van elektronischecommunicatiediensten een dergelijke toegang moeten verlenen. De betrokken nationale regeling mag zich echter niet ertoe beperken, te eisen dat de toegang wordt verleend voor een van de in artikel 15, lid 1, van richtlijn 2002/58 genoemde doelstellingen, zelfs indien dit de bestrijding van zware criminaliteit zou zijn. Een dergelijke nationale regeling moet immers ook de materiële en procedurele voorwaarden voor de toegang van de bevoegde nationale autoriteiten tot de bewaarde gegevens bepalen. Aangezien een algemene toegang tot alle bewaarde gegevens los van enig – zelfs ook maar indirect – verband met het nagestreefde doel niet kan worden geacht tot het strikt noodzakelijke te zijn beperkt, moet de betrokken nationale regeling dus aan de hand van objectieve criteria bepalen in welke omstandigheden en onder welke voorwaarden aan de bevoegde nationale autoriteiten toegang tot de gegevens van de abonnees of de geregistreerde gebruikers moet worden verleend. In dit verband kan in beginsel voor het doel van bestrijding van de criminaliteit slechts toegang worden verleend tot de gegevens van personen die ervan worden verdacht een ernstig misdrijf te plannen, te plegen of te hebben gepleegd of op de een of andere wijze betrokken te zijn bij een dergelijk misdrijf. In bijzondere situaties, zoals die waarin vitale belangen van nationale veiligheid, landsverdediging of openbare veiligheid door terroristische activiteiten worden bedreigd, zou echter ook toegang tot de gegevens van andere personen kunnen worden verleend, wanneer op grond van objectieve elementen kan worden geoordeeld dat deze gegevens in het concrete geval een daadwerkelijke bijdrage tot de bestrijding van dergelijke activiteiten zouden kunnen leveren.

Om te waarborgen dat deze voorwaarden in de praktijk ten volle in acht worden genomen, is het van wezenlijk belang dat de toegang van de bevoegde nationale autoriteiten tot de bewaarde gegevens in beginsel, behalve in gevallen van naar behoren gerechtvaardigde spoedeisendheid, wordt onderworpen aan een voorafgaand toezicht door een rechterlijke instantie of door een onafhankelijke bestuurlijke entiteit, en dat deze rechterlijke instantie of deze entiteit haar beslissing geeft op een met redenen omkleed verzoek van deze autoriteiten dat met name is ingediend in het kader van procedures ter voorkoming, opsporing of vervolging van strafbare feiten. Verder is het van belang dat de bevoegde nationale autoriteiten waaraan toegang tot de bewaarde gegevens is verleend, in het kader van de toepasselijke nationale procedures de betrokken personen daarvan op de hoogte brengen wanneer dit de door deze autoriteiten gevoerde onderzoeken niet in gevaar kan brengen. Dit is immers in feite noodzakelijk om de betrokken personen in staat te stellen om, in geval van schending van hun rechten, met name gebruik te maken van het recht van beroep, waarin artikel 15, lid 2, van richtlijn 2002/58, gelezen in samenhang met artikel 22 van richtlijn 95/46 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, uitdrukkelijk voorziet.

Daarbij komt dat, gelet op de hoeveelheid bewaarde gegevens, op het gevoelige karakter van deze gegevens en op het risico van onrechtmatige toegang tot deze gegevens, de aanbieders van elektronischecommunicatiediensten, om de volle integriteit en vertrouwelijkheid van die gegevens te verzekeren, door middel van passende technische en organisatorische maatregelen een bijzonder hoog niveau van bescherming en beveiliging moeten waarborgen. In het bijzonder moet de nationale regeling bepalen dat de gegevens op het grondgebied van de Unie worden bewaard en na afloop van de bewaarperiode onherstelbaar worden vernietigd.

(zie punten 118‑122, 125, dictum 2)

6.      Zie de tekst van de beslissing.

(zie punten 127‑129)

7.      Zie de tekst van de beslissing.

(zie punt 130)