Language of document : ECLI:EU:C:2014:238

EUROOPA KOHTU OTSUS (suurkoda)

8. aprill 2014(*)

Elektrooniline side – Direktiiv 2006/24/EÜ – Üldkasutatavad elektroonilised sideteenused või üldkasutatavate sidevõrkude teenused – Selliste teenustega kaasnevate või nende käigus töödeldud andmete säilitamine – Kehtivus – Euroopa Liidu põhiõiguste harta artiklid 7, 8 ja 11

Liidetud kohtuasjades C‑293/12 ja C‑594/12,

mille ese on ELTL artikli 267 alusel High Courti (Iirimaa) 27. jaanuari 2012. aasta otsusega ja Verfassungsgerichtshofi (Austria) 28. novembri 2012. aasta otsusega esitatud eelotsusetaotlused, mis saabusid Euroopa Kohtusse 11. juunil ja 19. detsembril 2012, menetlustes

Digital Rights Ireland Ltd (C‑293/12)

versus

Minister for Communications, Marine and Natural Resources,

Minister for Justice, Equality and Law Reform,

Commissioner of the Garda Síochána,

Iirimaa,

The Attorney General,

menetluses osales:

Irish Human Rights Commission,

ja

Kärntner Landesregierung (C‑594/12),

Michael Seitlinger,

Christof Tschohl jt,

EUROOPA KOHUS (suurkoda),

koosseisus: president V. Skouris, asepresident K. Lenaerts, kodade presidendid A. Tizzano, R. Silva de Lapuerta, T. von Danwitz (ettekandja), E. Juhász, A. Borg Barthet, C. G. Fernlund ja J. L. da Cruz Vilaça, kohtunikud A. Rosas, G. Arestis, J‑C. Bonichot, A. Arabadjiev, C. Toader ja C. Vajda,

kohtujurist: P. Cruz Villalón,

kohtusekretär: ametnik K. Malacek,

arvestades kirjalikus menetluses ja 9. juuli 2013. aasta kohtuistungil esitatut,

arvestades seisukohti, mille esitasid:

–        Digital Rights Ireland Ltd, esindajad: F. Callanan, SC, ja F. Crehan, BL, keda volitas solicitor S. McGarr,

–        M. Seitlinger, esindaja: Rechtsanwalt G. Otto,

–        C. Tschohl jt, esindaja: Rechtsanwalt E. Scheucher,

–        Irish Human Rights Commission, esindaja: P. Dillon Malone, BL, keda volitas solicitor S. Lucey,

–        Iirimaa, esindajad: E. Creedon ja D. McGuinness, keda abistasid E. Regan, SC, ja D. Fennelly, JC,

–        Austria valitsus, esindajad: G. Hesse ja G. Kunnert,

–        Hispaania valitsus, esindaja: N. Díaz Abad,

–        Prantsusmaa valitsus, esindajad: G. de Bergues, D. Colas ja B. Beaupère-Manokha,

–        Itaalia valitsus, esindaja: G. Palmieri, keda abistas avvocato dello Stato A. De Stefano,

–        Poola valitsus, esindajad: B. Majczyna ja M. Szpunar,

–        Portugali valitsus, esindajad: L. Inez Fernandes ja C. Vieira Guerra,

–        Ühendkuningriigi valitsus, esindaja: L. Christie, keda abistas barrister S. Lee,

–        Euroopa Parlament, esindajad: U. Rösslein, A. Caiola ja K. Zejdová,

–        Euroopa Liidu Nõukogu, esindajad: J. Monteiro, E. Sitbon ja I. Šulce,

–        Euroopa Komisjon, esindajad: D. Maidani, B. Martenczuk ja M. Wilderspin,

olles 12. detsembri 2013. aasta kohtuistungil ära kuulanud kohtujuristi ettepaneku,

on teinud järgmise

otsuse

1        Eelotsusetaotlused puudutavad Euroopa Parlamendi ja nõukogu 15. märtsi 2006. aasta direktiivi 2006/24/EÜ (mis käsitleb üldkasutatavate elektrooniliste sideteenuste või üldkasutatavate sidevõrkude pakkujate tegevusega kaasnevate või nende töödeldud andmete säilitamist ja millega muudetakse direktiivi 2002/58/EÜ) (ELT L 105, lk 54) kehtivuse küsimust.

2        High Courti esitatud eelotsusetaotlus (kohtuasi C‑293/12) on seotud vaidlusega, milles osalevad ühelt poolt Digital Rights Ireland Ltd (edaspidi „Digital Rights”) ja teiselt poolt Minister for Communications, Marine and Natural Resources, Minister for Justice, Equality and Law Reform, Commissioner of the Garda Síochána, Iirimaa ja Attorney General ning mis puudutab küsimust, kas elektroonilise side kohta käivate andmete säilitamist käsitlevad siseriiklikud seadusandlikud ja haldusmeetmed on seaduslikud.

3        Verfassungsgerichtshofi (kohtuasi C‑594/12) esitatud eelotsusetaotlus on seotud põhiseaduslikkuse järelevalve taotlustega, mille on sellesse kohtusse esitanud Kärntner Landesregierung (Kärnteni liidumaa valitsus) ning M. Seitlinger, C. Tschohl ja veel 11 128 isikut ning mis puudutavad küsimust, kas seadus, millega võeti direktiiv 2006/24 üle Austria siseriiklikku õigusesse, on kooskõlas föderaalse põhiseadusega (Bundes-Verfassungsgesetz).

 Õiguslik raamistik

 Direktiiv 95/46/EÜ

4        Euroopa Parlamendi ja nõukogu 24. oktoobri 1995. aasta direktiivi 95/46/EÜ üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta (EÜT L 281, lk 31; ELT eriväljaanne 13/15, lk 355) artikli 1 lõike 1 kohaselt on selle direktiivi eesmärk tagada, et isikuandmete töötlemisel oleks kaitstud füüsiliste isikute põhiõigused ja -vabadused ning eelkõige nende õigus eraelu puutumatusele.

5        Isikuandmete töötlemise turvalisuse kohta sätestab direktiivi artikli 17 lõige 1 järgmist:

„Liikmesriigid näevad ette, et vastutav töötleja peab rakendama vajalikke tehnilisi ja organisatsioonilisi meetmeid kaitsmaks isikuandmeid juhusliku või ebaseadusliku hävitamise või juhusliku kaotsimineku, muutmise, ebaseadusliku avalikustamise või juurdepääsu eest, eelkõige juhul, kui töötlemine hõlmab andmete edastamist võrgu kaudu, ning igasuguse muu võimaliku ebaseadusliku töötlemise eest.

Võttes arvesse tehnika taset ja selliste meetmete elluviimise kulusid, peavad kõnealused meetmed tagama töötlemise ja kaitstavate andmete laadiga kaasnevale ohule vastava turvalisuse taseme.”

 Direktiiv 2002/58/EÜ

6        Euroopa Parlamendi ja nõukogu 12. juuli 2002. aasta direktiivi 2002/58/EÜ, milles käsitletakse isikuandmete töötlemist ja eraelu puutumatuse kaitset elektroonilise side sektoris (eraelu puutumatust ja elektroonilist sidet käsitlev direktiiv) (EÜT L 201, lk 37; ELT eriväljaanne 13/29, lk 514), muudetud Euroopa Parlamendi ja nõukogu 25. novembri 2009. aasta direktiiviga 2009/136/EÜ (ELT L 337, lk 11) (edaspidi „direktiiv 2002/58”), artikli 1 lõike 1 kohaselt on direktiivi eesmärk ühtlustada liikmesriikide sätted, mis on vajalikud põhiõiguste ja -vabaduste, eelkõige eraelu puutumatuse ja konfidentsiaalsuse kaitse võrdväärse taseme tagamiseks isikuandmete töötlemise puhul elektroonilise side sektoris ja selliste andmete ning elektrooniliste sideseadmete ja -teenuste vaba liikumise tagamiseks Euroopa Liidus. Vastavalt sama artikli lõikele 2 täpsustavad ja täiendavad selle direktiivi sätted direktiivi 95/46 sätteid lõikes 1 nimetatud eesmärkidel.

7        Andmete töötlemise turvalisuse kohta sätestab direktiivi 2002/58 artikkel 4 järgmist:

„1.      Üldkasutatava elektroonilise sideteenuse osutaja peab võtma asjakohased tehnilised ja korralduslikud meetmed oma teenuste turvalisuse tagamiseks, tehes seda võrgu turvalisuse puhul vajaduse korral koos üldkasutatava sidevõrgu pakkujaga. Tehnika taset ja kõnealuste meetmete rakenduskulusid arvesse võttes tagatakse nende meetmetega olemasolevale ohule vastav turvalisuse tase.

1a.      Ilma et see piiraks direktiivi 95/46/EÜ kohaldamist, tehakse lõikes 1 osutatud meetmetega vähemalt järgmist:

–        tagatakse, et isikuandmetele oleks juurdepääs üksnes volitatud töötajatel seaduslikult lubatud eesmärkidel;

–        kaitstakse salvestatud või edastatud isikuandmeid juhusliku või ebaseadusliku hävitamise, juhusliku kaotsimineku või muutmise ja loata või ebaseadusliku salvestamise, töötlemise, juurdepääsu või avalikustamise eest ning

–        tagatakse isikuandmete töötlemise turvapoliitika rakendamine.

Asjaomastel riigiasutustel peab olema võimalik kontrollida üldkasutatavate sideteenuste osutajate võetud meetmeid ning anda soovitusi parimate tavade kohta turvalisuse taseme osas, mille kõnealused meetmed saavutama peaksid.

2.      Kui on konkreetne oht, et võrgu turvalisust rikutakse, peab üldkasutatava elektroonilise sideteenuse osutaja teavitama abonente sellisest ohust, ja juhul kui ohu puhul ei ole teenuseosutaja võetavatest meetmetest abi, võimalikest abivahenditest, sealhulgas ka nendega kaasnevatest kuludest.”

8        Side ja liiklusandmete konfidentsiaalsuse kohta on direktiivi artikli 5 lõigetes 1 ja 3 ette nähtud:

„1.      Liikmesriigid tagavad üldkasutatava sidevõrgu ja üldkasutatavate elektrooniliste sideteenuste kaudu toimuva side ja sellega seotud liiklusandmete konfidentsiaalsuse siseriiklike õigusaktidega. Eelkõige keelatakse nende õigusaktidega isikutel, kes ei ole kasutajad, kuulata, salaja pealt kuulata, salvestada või muul viisil pealt kuulata või jälgida sidet ja sellega seotud liiklusandmeid ilma asjaomaste kasutajate loata, kui see ei ole õiguspärane artikli 15 lõike 1 kohaselt. Käesolev lõige ei takista side edastamiseks vajalikku tehnilist salvestamist, ilma et see piiraks konfidentsiaalsuse põhimõtet.

[...]

3.      Liikmesriigid tagavad, et teabe salvestamine abonendi või kasutaja lõppseadmesse ja juurdepääsu saamine sinna juba salvestatud teabele on lubatud ainult tingimusel, et asjaomane abonent või kasutaja on andnud selleks oma nõusoleku, ning talle on esitatud direktiivi 95/46/EÜ kohaselt selge ja arusaadav teave, muu hulgas andmete töötlemise eesmärgi kohta. See ei takista andmete tehnilist salvestamist ega juurdepääsu, mille ainus eesmärk on edastada sidet elektroonilises sidevõrgus või mis on teenuseosutajale hädavajalik sellise infoühiskonna teenuse osutamiseks, mida abonent või kasutaja on sõnaselgelt taotlenud.”

9        Direktiivi 2002/58 artikli 6 lõige 1 sätestab:

„Abonentide ja kasutajatega seotud liiklusandmed, mida töötleb üldkasutatava sidevõrgu pakkuja või üldkasutatavate elektrooniliste sideteenuste osutaja, tuleb kustutada või muuta anonüümseks, kui neid ei ole enam vaja side edastamiseks, ilma et see piiraks käesoleva artikli lõigete 2, 3 ja 5 ning artikli 15 lõike 1 kohaldamist.”

10      Direktiivi 2002/58 artikli 15 lõige 1 sätestab:

„Liikmesriigid võivad võtta seadusandlikke meetmeid, millega piiratakse käesoleva direktiivi artiklites 5 ja 6, artikli 8 lõigetes 1, 2, 3 ja 4 ning artiklis 9 sätestatud õiguste ja kohustuste ulatust, kui selline piiramine on vajalik, otstarbekas ja proportsionaalne abinõu selleks, et kaitsta direktiivi 95/46/EÜ artikli 13 lõikes 1 nimetatud riiklikku julgeolekut (s.t riigi julgeolekut), riigikaitset, avalikku korda, kriminaalkuritegude või elektroonilise sidesüsteemi volitamata kasutamise ennetamist, uurimist, avastamist ja kohtus menetlemist. Selleks võivad liikmesriigid muu hulgas võtta seadusandlikke meetmeid, millega nähakse ette andmete säilitamine piiratud aja jooksul käesolevas lõikes sätestatud põhjustel. Kõik käesolevas lõikes osutatud meetmed on kooskõlas ühenduse õiguse üldpõhimõtetega, kaasa arvatud Euroopa Liidu lepingu artikli 6 lõigetes 1 ja 2 osutatud põhimõtetega.”

 Direktiiv 2006/24

11      Pärast konsulteerimist õiguskaitseasutuste ja elektroonilise side sektori esindajatega ning andmekaitseekspertidega esitas komisjon 21. septembril 2005 liiklusandmete säilitamist käsitlevate eeskirjadega seotud poliitikavalikute mõju analüüsi (edaspidi „mõjuanalüüs”). See analüüs oli aluseks samal päeval esitatud ettepanekule võtta vastu Euroopa Parlamendi ja nõukogu direktiiv andmete säilitamise kohta, mida on töödeldud üldkasutatavate elektrooniliste sideteenuste osutamisel, ja millega muudetakse direktiivi 2002/58/EÜ (KOM(2005) 438 (lõplik), edaspidi „direktiivi ettepanek”), mis viis direktiivi 2006/24 vastuvõtmiseni EÜ artikli 95 alusel.

12      Direktiivi 2006/24 põhjendus 4 on sõnastatud järgmiselt:

„Direktiivi 2002/58/EÜ artikli 15 lõikes 1 sätestatakse tingimused, mille kohaselt liikmesriigid võivad piirata kõnealuse direktiivi artiklites 5 ja 6, artikli 8 lõigetes 1, 2, 3 ja 4 ning artiklis 9 sätestatud õigusi ja kohustusi. Selline piirang peab olema vajalik, otstarbekas ja proportsionaalne demokraatlikus ühiskonnas avaliku korra eesmärkidel, s.t riikliku julgeoleku (s.t riigi julgeoleku), avaliku turvalisuse kaitsmiseks või selleks, et ennetada, uurida, avastada ja kohtus menetleda kuritegusid või elektroonilise sidesüsteemi volitamata kasutamist.”

13      Direktiivi 2006/24 põhjenduse 5 esimeses lauses on märgitud, et „[m]itmed liikmesriigid on võtnud vastu õigusaktid, mille kohaselt teenuse pakkujad peaksid andmeid säilitama kuritegude ennetamiseks, uurimiseks, avastamiseks ja kohtus menetlemiseks”.

14      Direktiivi 2006/24 põhjendused 7–11 on sõnastatud järgmiselt:

„(7)      Justiits- ja siseküsimuste nõukogu 19. detsembri 2002. aasta kohtumise järeldustes rõhutatakse, et seoses elektrooniliste sideteenuste võimaluste märkimisväärse kasvuga on elektrooniliste sideteenuste kasutamisega seotud andmed eriti olulised ja seetõttu on need ka väärtuslikuks vahendiks kuritegevuse ja kuritegude, eriti organiseeritud kuritegevuse ennetamisel, uurimisel, avastamisel ja kohtus menetlemisel.

(8)      Terrorismivastase võitluse deklaratsiooniga, mille Euroopa Ülemkogu võttis vastu 25. märtsil 2004, tehti nõukogule ülesandeks analüüsida ettepanekuid seoses sideteenuste liiklusandmete säilitamist käsitlevate eeskirjade kehtestamisega teenuse pakkujatele.

(9)      [Roomas 4. novembril 1950. aastal allakirjutatud] Euroopa inimõiguste ja põhivabaduste kaitse konventsiooni [edaspidi „EIÕK”] artikli 8 kohaselt on igaühel õigus oma eraelu austamisele ja kirjavahetuse kaitsele. Avalik võim võib selle õiguse teostamisse sekkuda ainult õiguslikul alusel ja juhul, kui see on demokraatlikus ühiskonnas vajalik muu hulgas riikliku julgeoleku või üldise turvalisuse, korrarikkumise või kuriteo takistamise huvides või teiste isikute õiguste ja vabaduste kaitseks. Kuna andmete säilitamine on osutunud nii vajalikuks ja tõhusaks õiguskaitsevahendiks mitmes liikmesriigis toimunud uurimiste käigus, eriti selliste raskete juhtumite puhul nagu organiseeritud kuritegevus ja terrorism, on vaja tagada säilitatud andmete kättesaadavus õiguskaitseasutustele teatava ajavahemiku jooksul, käesolevas direktiivis sätestatud tingimustel. […]

(10)      Nõukogu kinnitas 13. juulil 2005 Londoni terrorirünnakuid hukka mõistvas deklaratsioonis vajadust võtta niipea kui võimalik vastu telekommunikatsiooniandmete säilitamist käsitlevad ühised meetmed.

(11)      Võttes arvesse liiklus- või asukohaandmete tähtsust kuritegude uurimisel, avastamisel ja kohtus menetlemisel, mida näitavad uurimused ja kinnitab mitme liikmesriikide praktiline kogemus, on vaja Euroopa tasandil tagada elektrooniliste sideteenuste pakkujate üldkasutatava elektroonilise sideteenuse või üldkasutatava võrguteenuse pakkujate tegevusega kaasnevate või nende töödeldud andmete säilitamine teatud ajavahemiku jooksul vastavalt käesolevas direktiivis sätestatud tingimustele.”

15      Nimetatud direktiivi põhjendused 16, 21 ja 22 täpsustavad:

„(16) Teenusepakkujate kohustused seoses direktiivi 95/46/EÜ artiklist 6 tulenevate meetmetega andmete kvaliteetsuse tagamiseks, samuti nende kohustused seoses meetmetega andmetöötluse konfidentsiaalsuse ja turvalisuse tagamiseks, mis tulenevad selle direktiivi artiklitest 16 ja 17, kehtivad täielikult ka käesoleva direktiivi tähenduses säilitatavate andmete kohta.

(21)      Kuna käesoleva direktiivi eesmärke, milleks on ühtlustada teenusepakkujate kohustused säilitada teatavaid sideandmeid, nii et oleks tagatud nende kättesaadavus vastavalt liikmesriikide riiklikule õigusele määratletud raskete kuritegude uurimiseks, avastamiseks ja kohtus menetlemiseks, ei ole liikmesriikidel võimalik piisaval määral saavutada ning seetõttu on eesmärk käesoleva direktiivi ulatuse ja mõju tõttu paremini saavutatav ühenduse tasandil, võib ühendus võtta meetmeid kooskõlas asutamislepingu artiklis 5 sätestatud subsidiaarsuse põhimõttega. Nimetatud artiklis sätestatud proportsionaalsuse põhimõtte kohaselt ei lähe käesolev direktiiv kaugemale sellest, mis on vajalik nimetatud eesmärkide saavutamiseks.

(22)      Käesolevas direktiivis peetakse kinni põhiõigustest ja eelkõige Euroopa Liidu põhiõiguste hartaga tunnustatud põhimõtetest. Eelkõige püüab käesolev direktiiv koos direktiiviga 2002/58/EÜ tagada põhiõigustest kinnipidamise kodanike eraelu ja teabevahetuse puutumatusest kinnipidamise ja isikuandmete kaitsmisega, nagu see on esitatud harta artiklites 7 ja 8.”

16      Direktiiv 2006/24 näeb ette üldkasutatavate elektrooniliste sideteenuste või üldkasutatavate sidevõrkude pakkujate kohustuse säilitada teatavaid andmeid, mida nad loovad või töötlevad. Direktiivi artiklid 1–9, 11 ja 13 sätestavad sellega seoses järgmist:

Artikkel 1

Sisu ja reguleerimisala

1.      Käesoleva direktiivi eesmärk on ühtlustada liikmesriikide sätted, mis käsitlevad üldkasutatavate elektrooniliste sideteenuste või üldkasutatavate sidevõrkude pakkujate kohustusi säilitada teatavaid andmeid, mida nad loovad või töötlevad, et need oleksid kättesaadavad iga liikmesriigi riiklikus õiguses määratletud raskete kuritegude uurimiseks, avastamiseks ja kohtus menetlemiseks.

2.      Käesolevat direktiivi kohaldatakse nii füüsiliste kui ka juriidiliste isikute liiklus- ja asukohaandmete ning nendega seotud teabe suhtes, mis on vajalik abonendi või registreeritud kasutaja kindlaksmääramiseks. Direktiiv ei ole kohaldatav elektroonilise sideteenuse sisu suhtes, sealhulgas teave, mis kaasneb elektroonilise sidevõrgu kasutamisega.

Artikkel 2

Mõisted

1.      Käesolevas direktiivis kasutatakse direktiivis 95/46/EÜ, Euroopa Parlamendi ja nõukogu 7. märtsi 2002. aasta direktiivis 2002/21/EÜ elektrooniliste sidevõrkude ja -teenuste ühise reguleeriva raamistiku kohta (raamdirektiiv) […] ja direktiivis 2002/58/EÜ sisalduvaid mõisteid.

2.      Käesolevas direktiivis kasutatakse järgmisi mõisteid:

a)      andmed – liiklus- või asukohaandmed ja nendega seotud teave, mis on vajalik abonendi või kasutaja kindlakstegemiseks;

b)      kasutaja – juriidiline või füüsiline isik, kes kasutab üldkasutatavat elektroonilist sideteenust isiklikel või ärilistel eesmärkidel, ilma et ta oleks tingimata ise kõnealust teenust tellinud;

c)      telefoniteenus – telefonikõned (kaasa arvatud häälkõned, kõnepost, konverentsi- ja andmekõned), lisateenused (kaasa arvatud kõne suunamine ja kõne edastamine) ning sõnumi- ja multimeediateenus (kaasa arvatud lühisõnumiteenus, täiustatud sõnumiteenus või multimeediateenus);

d)      kasutajatunnus – isikule Interneti-ühenduse või Interneti-teenuse abonendiks saamisel või registreerimisel antav unikaalne tunnus;

e)      kärjetunnus – selle tugijaama kärje tunnus, kust mobiiltelefoniside lähtus või kuhu see suundus;

f)      ebaõnnestunud helistamiskatse – side, mille puhul ühendati telefonikõne edukalt, kuid sellele ei vastatud või ühendus ei tekkinud võrguhalduse tõttu.

Artikkel 3

Kohustus andmeid säilitada

1.      Erandina direktiivi 2002/58/EÜ artiklitest 5, 6 ja 9 võtavad liikmesriigid meetmeid, mis tagavad, et nende jurisdiktsiooni alla kuuluvate üldkasutatavate elektrooniliste sideteenuste või üldkasutatavate sidevõrkude pakkujate tegevusega kaasnevaid või nende töödeldud andmeid, mida nimetatakse käesoleva direktiivi artiklis 5, säilitatakse vastavalt käesoleva direktiivi sätetele.

2.      Lõikes 1 viidatud andmete säilitamise kohustus hõlmab ka artiklis 5 nimetatud andmete säilitamist, mis on seotud ebaõnnestunud helistamiskatsetega, kui need andmed luuakse või neid töödeldakse ja säilitatakse (telefonisideandmed) või registreeritakse (Interneti-sideandmed) asjaomase liikmesriigi jurisdiktsiooni alla kuuluvate üldkasutatavate elektrooniliste sideteenuste või üldkasutatavate sidevõrkude pakkujate tegevuse käigus. Käesoleva direktiiviga ei nõuta selliste andmete säilitamist, mis on seotud kõnedega, mille puhul ühendust ei saadud.

Artikkel 4

Juurdepääs andmetele

Liikmesriigid võtavad vastu meetmed, millega tagatakse, et käesoleva direktiivi kohaselt säilitatud andmeid antakse ainult pädevatele siseriiklikele asutustele, konkreetsetel juhtudel ja vastavalt siseriiklikele õigusaktidele. Menetluse, mida tuleb järgida, ja tingimused, mis peavad olema täidetud säilitatud andmetele juurdepääsu saamiseks vastavalt vajaduse ja proportsionaalsuse nõuetele, määratleb iga liikmesriik siseriiklikus õiguses vastavalt asjakohastele sätetele Euroopa Liidu või rahvusvahelises avalikus õiguses ning eriti [EIÕK-s], nagu Euroopa Inimõiguste Kohus seda tõlgendab.

Artikkel 5

Säilitatavate andmete liigid

1.      Liikmesriigid tagavad, et käesoleva direktiivi kohaselt säilitatakse järgmisi andmeliike:

a)      andmed, mis on vajalikud sideallika seiramiseks ja tuvastamiseks:

1)      telefonivõrgu ja mobiiltelefonivõrgu puhul:

i)      helistaja telefoninumber;

ii)      abonendi või registreeritud kasutaja nimi ja aadress;

2)      Interneti-ühenduse, e-posti ja Interneti-telefoni puhul:

i)      eraldatud kasutajatunnused;

ii)      üldkasutatavasse telefonivõrku saabuva side kasutajatunnus ja telefoninumber;

iii)      selle abonendi või registreeritud kasutaja nimi ja aadress, kelle nimele Interneti-protokolli aadress, kasutajatunnus või telefoninumber olid eraldatud hetkel, mil side toimus;

b)      andmed, mis on vajalikud side sihtpunkti tuvastamiseks:

1)      telefonivõrgu ja mobiiltelefonivõrgu puhul:

i)      valitud number või numbrid (number või numbrid, millele helistati) ja juhul, kui kasutati lisateenuseid, nt kõne suunamine või kõne edastamine, number või numbrid, kuhu kõne suunati;

ii)      abonendi (abonentide) või registreeritud kasutaja(te) nimi (nimed) ja aadress(id);

2)      e-posti ja Interneti-telefoni puhul:

i)      Interneti-telefonikõne kavandatud vastuvõtja(te) kasutajatunnus(ed) või telefoninumber (telefoninumbrid);

ii)      kavandatud vastuvõtva abonendi (abonentide) või registreeritud kasutaja(te) nimi (nimed), aadress(id) ja kasutajatunnus(ed);

c)      andmed, mis on vajalikud side kuupäeva, aja ja kestuse kindlaksmääramiseks:

1)      telefonivõrgu ja mobiiltelefonivõrgu puhul side alguse ja lõpu kuupäev ja kellaaeg;

2)      Interneti-ühenduse, e-posti ja Interneti-telefoni puhul:

i)      Interneti-seansi alguse ja lõpu kuupäev ja kellaaeg konkreetse ajavööndi järgi koos dünaamilise või staatilise Interneti-protokolli aadressiga, mille on kasutajale eraldanud Interneti-teenuse pakkuja, ja abonendi või registreeritud kasutaja kasutajatunnusega;

ii)      e-posti või Interneti-telefoni kasutamise alguse (log‑in) ja lõpu (log‑off) kuupäev ja kellaaeg konkreetse ajavööndi järgi;

d)      andmed, mis on vajalikud sideliigi kindlaksmääramiseks:

1)      telefonivõrgu ja mobiiltelefonivõrgu puhul: kasutatud telefoniteenus;

2)      e-posti ja Interneti-telefoni puhul: kasutatud Interneti-teenus;

e)      andmed, mis on vajalikud kasutaja sidevahendi või oletatava sidevahendi kindlaksmääramiseks:

1)      telefonivõrgu puhul telefoninumbrid, millelt ja millele helistati;

2)      mobiiltelefonivõrgu puhul:

i)      telefoninumbrid, millelt ja millele helistati;

ii)      helistaja rahvusvaheline mobiilside abonendi tunnus (IMSI);

iii)      helistaja rahvusvaheline mobiilside lõppseadme tunnus (IMEI);

iv)      vastuvõtja IMSI;

v)      vastuvõtja IMEI;

vi)      anonüümsete ettemakstud teenuste puhul teenuse esmase aktiveerimise kuupäev ja kellaaeg ning tugijaama kärjetunnus (Cell ID), millest teenus aktiveeriti;

3)      Interneti-ühenduse, e-posti ja Interneti-telefoni puhul:

i)      helistaja telefoninumber sissehelistamisega ühenduse puhul;

ii)      digitaalne abonendiliin (DSL) või mõni muu tunnus side algataja kohta;

f)      andmed, mis on vajalikud mobiilsidevahendi asukoha kindlaksmääramiseks:

1)      tugijaama tunnus (Cell ID) side alustamise ajal;

2)      andmed, mis määratlevad tugijaamade geograafilise asukoha viitega nende tunnustele (Cell ID) ajavahemikul, mille jooksul sideandmeid säilitatakse.

2.      Side sisu paljastavaid andmeid ei tohi käesoleva direktiivi kohaselt säilitada.

Artikkel 6

Säilitamistähtajad

Liikmesriigid tagavad, et artiklis 5 osutatud andmeid säilitatakse mitte vähem kui kuue kuu ja kõige rohkem kahe aasta jooksul alates side toimumise kuupäevast.

Artikkel 7

Andmekaitse ja andmete turvalisus

Ilma et see piiraks vastavalt direktiividele 95/46/EÜ ja 2002/58/EÜ vastu võetud sätete kohaldamist, tagab iga liikmesriik, et üldkasutatavate elektrooniliste sideteenuste või üldkasutatavate sidevõrkude pakkujad peavad käesoleva direktiivi alusel säilitatud andmete puhul kinni vähemalt järgnevatest andmete turvalisuse põhimõtetest:

a)      säilitatud andmed on sama kvaliteediga ning nende suhtes kehtivad samad turvalisuse ja kaitse meetmed, nagu võrgus olevate andmete suhtes;

b)      andmete suhtes kehtivad asjakohased tehnilised ja korralduslikud meetmed, millega kaitstakse andmeid juhusliku hävimise või ebaseadusliku hävitamise, kadumise või muutmise, loata või ebaseadusliku säilitamise, töötlemise, juurdepääsu või avalikustamise eest;

c)      andmete suhtes kehtivad asjakohased tehnilised ja korralduslikud meetmed, millega tagatakse, et andmetele pääsevad juurde ainult eriloaga töötajad,

ja

d)      säilitamisperioodi lõpus hävitatakse kõik andmed, v.a andmed, mida on kasutatud ja mis on kaitstud.

Artikkel 8

Säilitatavate andmete säilitamistingimused

Liikmesriigid tagavad, et artiklis 5 nimetatud andmed säilitatakse vastavalt käesolevale direktiivile sel viisil, et säilitatud andmeid ja kogu muud andmetega seonduvat vajalikku teavet saaks taotluse korral viivitamatult pädevatele ametiasutustele edastada.

Artikkel 9

Järelevalveasutus

1.      Iga liikmesriik näeb ette ühe või mitu ametiasutust, et teostada oma territooriumil järelevalvet artikli 7 kohaselt vastu võetud sätete kohaldamise üle seoses säilitatavate andmete turvalisusega. Need asutused võivad olla samad, millele on viidatud direktiivi 95/46/EÜ artiklis 28.

2.      Lõikes 1 osutatud asutused tegutsevad selles lõikes nimetatud järelevalve alal täiesti sõltumatult.

[...]

Artikkel 11

Direktiivi 2002/58/EÜ muutmine

Direktiivi 2002/58/EÜ artiklisse 15 lisatakse järgmine lõige:

„1a.      Lõiget 1 ei kohaldata andmete suhtes, mille säilitamist eraldi nõutakse [direktiivis 2006/24] selle direktiivi artikli 1 lõikes 1 viidatud eesmärkidel.”

[...]

Artikkel 13

Õiguskaitsevahendid, vastutus ja sanktsioonid

1.      Iga liikmesriik võtab vajalikud meetmed tagamaks, et siseriiklikud meetmed direktiivi 95/46/EÜ III peatüki (mis näeb ette õiguskaitsevahendid, vastutuse ja sanktsioonid) rakendamiseks viiakse käesoleva direktiivi alla kuuluvate andmete töötlemisel täielikult ellu.

2.      Eriti võtab iga liikmesriik vajalikud meetmed tagamaks, et tahtlik käesoleva direktiivi alusel säilitatud andmetega tutvumine või nende edastamine, mida selle direktiivi kohaselt vastu võetud siseriiklikud õigusaktid ei luba, oleks karistatav sanktsioonidega, sealhulgas haldus- või kriminaalsanktsioonidega, mis on tõhusad, proportsionaalsed ja hoiatavad.”

 Põhikohtuasjad ja eelotsuse küsimused

 Kohtuasi C‑293/12

17      Digital Rights esitas 11. augustil 2006 High Courtile kaebuse, millega seoses ta väidab, et talle kuulub mobiiltelefon, mis registreeriti 3. juunil 2006 ja mida ta on kasutanud alates sellest kuupäevast. Ta seab kahtluse alla, kas elektroonilise side kohta käivate andmete säilitamist käsitlevad siseriiklikud seadusandlikud ja haldusmeetmed on seaduslikud, ning eelkõige palub ta eelotsusetaotluse esitanud kohtul tuvastada, et direktiiv 2006/24 ja 2005. aasta karistusseaduse (terrorikuriteod) (Criminal Justice (Terrorist Offences) Act 2005) seitsmes osa – millega nähti telefoniteenuste pakkujatele ette kohustus säilitada seaduses kindlaksmääratud ajavahemiku jooksul liiklus- ja asukohaandmed, et kuritegusid ennetada, avastada, uurida ja kohtus menetleda ning tagada riigi julgeolek – on kehtetud.

18      High Court, kes leidis, et ta ei saa talle esitatud siseriikliku õiguse küsimusi lahendada, kui direktiivi 2006/24 kehtivust ei ole kontrollitud, otsustas menetluse peatada ja esitada Euroopa Kohtule järgmised eelotsuse küsimused:

„1.      Kas seoses mobiiltelefonivõrgu kasutamisega kaebaja õiguste piiramine tulenevalt direktiivi 2006/24 artiklites 3, 4 ja 6 sätestatud nõuetest on vastuolus ELL artikli 5 lõikega 4, kuna see on ebaproportsionaalne ja ebavajalik või ebasobiv selleks, et saavutada järgimisi õiguspäraseid eesmärke:

a)      tagada, et teatud andmed oleksid kättesaadavad raskete kuritegude uurimiseks, avastamiseks ja kohtus menetlemiseks

ja/või

b)      tagada Euroopa Liidu siseturu nõuetekohane toimimine?

2.      Konkreetsemalt:

a)      Kas direktiiv 2006/24 on kooskõlas kodanike õigusega vabalt liikuda ja elada liikmesriikide territooriumil, mis on sätestatud ELTL artiklis 21?

b)      Kas direktiiv 2006/24 on kooskõlas [Euroopa Liidu põhiõiguste harta, edaspidi „harta”] artiklis 7 ja [EIÕK] artiklis 8 sätestatud õigusega eraelu puutumatusele?

c)      Kas direktiiv 2006/24 on kooskõlas harta artiklis 8 sätestatud õigusega isikuandmete kaitsele?

d)      Kas direktiiv 2006/24 on kooskõlas harta artiklis 11 ja [EIÕK] artiklis 10 sätestatud õigusega sõnavabadusele?

e)      Kas direktiiv 2006/24 on kooskõlas harta artiklis 41 sätestatud õigusega heale haldusele?

3.      Millises ulatuses aluslepingud – ja täpsemalt ELL artikli 4 lõikes 3 sätestatud lojaalse koostöö põhimõte – nõuavad, et siseriiklik kohus analüüsiks ja hindaks seda, kas direktiivi 2006/24 ülevõtvad siseriiklikud meetmed on kooskõlas hartas, sealhulgas selle artiklis 7 (mis lähtub EIÕK artiklist 8), ette nähtud tagatistega?”

 Kohtuasi C–594/12

19      Eelotsusetaotlus kohtuasjas C‑594/12 põhineb taotlustel, mille on Verfassungsgerichtshofile esitanud Kärntner Landesregierung ning M. Seitlinger, C. Tschohl ja veel 11 128 isikut, kes paluvad tühistada 2003. aasta telekommunikatsiooniseaduse (Telekommunikationsgesetz 2003) § 102a, mis lisati seda seadust muutva föderaalseadusega (Bundesgesetz, mit dem das Telekommunikationsgesetz 2003 – TKG 2003 geändert wird, BGBl I, 27/2011), et võtta direktiiv 2006/24 üle Austria siseriiklikku õigusesse. Need taotluste esitajad on muu hulgas seisukohal, et nimetatud § 102a rikub isikute põhiõigust oma andmete kaitsele.

20      Verfassungsgerichtshof soovib eelkõige teada, kas direktiiv 2006/24 on hartaga kooskõlas, kuivõrd direktiiv lubab säilitada pika aja jooksul hulgaliselt andmeid piiramatu arvu isikute kohta. Andmete säilitamine hõlmab peaaegu eranditult neid isikuid, kelle käitumine ei ole neid puudutavate andmete säilitamiseks põhjust andnud. Neid isikuid ohustab suurenenud risk, et ametiasutused nende andmeid uurivad, võtavad andmete sisu teadmiseks ja saavad teavet nende eraelu kohta ning – arvestades seda, et vähemalt kuue kuu jooksul on andmed kättesaadavad teadmata hulgale isikutele – kasutavad andmeid mitmesugustel eesmärkidel. Eelotsusetaotluse esitanud kohtu sõnul on kaheldav, kas direktiiviga on võimalik taotletud eesmärke saavutada ja kas põhiõiguste riive on proportsionaalne.

21      Neil asjaoludel otsustas Verfassungsgerichtshof menetluse peatada ja esitada Euroopa Kohtule järgmised eelotsuse küsimused:

„1.      Liidu institutsioonide aktide kehtivuse kohta:

Kas direktiivi 2006/24 artiklid 3–9 on kooskõlas [harta] artiklitega 7, 8 ja 11?

2.      Aluslepingute tõlgendamise kohta:

a)      Kas pidades silmas selgitusi harta artikli 8 kohta, mis vastavalt harta artikli 52 lõikele 7 koostati harta tõlgendamise juhendina ja mida Verfassungsgerichtshof nõuetekohaselt arvesse võtab, tuleb direktiivi 95/46 ning Euroopa Parlamendi ja nõukogu 18. detsembri 2000. aasta määrust (EÜ) nr 45/2001 üksikisikute kaitse kohta isikuandmete töötlemisel ühenduse institutsioonides ja asutustes ning selliste andmete vaba liikumise kohta [EÜT 2001, L 8, lk 1; ELT eriväljaanne 13/26, lk 102] riivete lubatavuse hindamisel arvesse võtta võrdväärselt tingimustega, mis on sätestatud harta artikli 8 lõikes 2 ja artikli 52 lõikes 1?

b)      Milline on harta artikli 52 lõike 3 viimases lauses nimetatud „liidu õiguse” ja andmekaitseõiguse valdkonna direktiivide omavaheline vahekord?

c)      Kas pidades silmas tingimusi ja piiranguid, mis direktiiviga 95/46 ja määrusega […] nr 45/2001 on kehtestatud hartas sätestatud andmekaitse põhiõiguse kaitsmisele, tuleb harta artikli 8 tõlgendamisel arvesse võtta hilisemast teisesest õigusest tulenevaid muudatusi?

d)      Kas harta artikli 52 lõiget 4 silmas pidades on harta artiklis 53 sätestatud kõrgema kaitsetaseme säilitamise põhimõtte tagajärg see, et piirid, mis harta seab teiseses õiguses kehtestada lubatud piirangutele, peavad olema kitsamad?

e)      Kas pidades silmas harta artikli 52 lõiget 3, preambuli viiendat lõiku ja selgitusi harta artikli 7 kohta, mille kohaselt vastavad artikliga 7 tagatud õigused EIÕK artiklis 8 tagatud õigustele, võivad Euroopa Inimõiguste Kohtu praktikast EIÕK artikli 8 kohta tuleneda harta artikli 8 tõlgendamise suunised, mis mõjutavad viimati nimetatud artikli tõlgendamist?”

22      Euroopa Kohtu presidendi 11. juuni 2013. aasta määrusega liideti kohtuasjad C‑293/12 ja C‑594/12 suulise menetluse ja kohtuotsuse tegemise huvides.

 Eelotsuse küsimuste analüüs

 Kohtuasjas C‑293/12 esitatud teise küsimuse punktid b–d ja kohtuasjas C‑594/12 esitatud esimene küsimus

23      Kohtuasjas C‑293/12 esitatud teise küsimuse punktidega b–d ja kohtuasjas C‑594/12 esitatud esimese küsimusega, mida tuleb analüüsida koos, paluvad eelotsusetaotluse esitanud kohtud sisuliselt seda, et Euroopa Kohus hindaks direktiivi 2006/24 kehtivust harta artiklite 7, 8 ja 11 valguses.

 Harta artiklite 7, 8 ja 11 asjassepuutuvus direktiivi 2006/24 kehtivuse hindamisel

24      Direktiivi 2006/24 artiklist 1 ning põhjendustest 4, 5, 7–11, 21 ja 22 nähtuvalt on direktiivi peamiseks eesmärgiks ühtlustada liikmesriikide sätted, mis käsitlevad üldkasutatavate elektrooniliste sideteenuste või üldkasutatavate sidevõrkude pakkujate kohustusi säilitada teatavaid andmeid, mida nad loovad või töötlevad, et need andmed oleksid kättesaadavad selliste raskete kuritegude uurimiseks, avastamiseks ja kohtus menetlemiseks, nagu organiseeritud kuritegevuse ja terrorismiga seotud kuriteod, võttes arvesse harta artiklites 7 ja 8 ette nähtud õigusi.

25      Direktiivi 2006/24 artiklis 3 sätestatud üldkasutatavate elektrooniliste sideteenuste või üldkasutatavate sidevõrkude pakkujate kohustus säilitada direktiivi artiklis 5 loetletud andmeid, et teha need pädevatele siseriiklikele asutustele vajadusel kättesaadavaks, tõstatab küsimusi, mis on seotud harta artiklis 7 ette nähtud eraelu ja sõnumite saladuse austamisega, artiklis 8 ette nähtud isikuandmete kaitsega ja harta artiklis 11 ette nähtud sõnavabaduse austamisega.

26      Seoses sellega olgu märgitud, et andmed, mida üldkasutatavate elektrooniliste sideteenuste või üldkasutatavate sidevõrkude pakkujad peavad direktiivi 2006/24 artiklite 3 ja 5 kohaselt säilitama, on eelkõige andmed, mis on vajalikud sideallika ja side sihtpunkti seiramiseks ja tuvastamiseks, side kuupäeva, aja ja kestuse ning sideliigi kindlaksmääramiseks, kasutaja sidevahendi kindlaksmääramiseks ja mobiilsidevahendi asukoha kindlaksmääramiseks, ning nende andmete hulka kuuluvad abonendi või registreeritud kasutaja nimi ja aadress, telefoninumbrid, millelt ja millele helistati, ning internetiteenuste puhul IP‑aadress. Need andmed võimaldavad muu hulgas teada, millise isikuga ja millise sidevahendi kaudu abonent või registreeritud kasutaja suhtles, ning teha kindlaks side toimumise aja ja koha. Need andmed võimaldavad ka teada, kui sageli abonent või registreeritud kasutaja teatud isikutega mingil ajavahemikul suhtles.

27      Need andmed kokku võimaldavad teha väga täpseid järeldusi selliste isikute eraelu kohta, kelle andmeid säilitatakse, näiteks nende igapäevaelu harjumuste, alalise või ajutise elukoha, igapäevaste või muude liikumiste, tegevuste, sotsiaalsete suhete ja ühiskonnagruppide kohta, kellega nad läbi käivad.

28      Seetõttu ei saa välistada, et kuigi direktiivi 2006/24 artikli 1 lõikest 2 ja artikli 5 lõikest 2 nähtuvalt ei ole side sisu ega elektroonilise sidevõrgu kasutamisega kaasnevat teavet lubatud säilitada, võib kõnesolevate andmete säilitamine mõjutada direktiivis käsitletud sidevahendite kasutamist abonentide või registreeritud kasutajate poolt ning seeläbi ka harta artikliga 11 tagatud sõnavabaduse teostamist nende poolt.

29      Direktiivis 2006/24 ette nähtud andmete säilitamine eesmärgiga teha need vajadusel pädevatele siseriiklikele asutustele kättesaadavaks puudutab otse ja konkreetselt eraelu ning seeläbi ka harta artikliga 7 tagatud õigusi. Lisaks kuulub niisugune andmete säilitamine ka harta artikli 8 kohaldamisalasse, kuna tegemist on isikuandmete töötlemisega selle artikli tähenduses ning seetõttu peab see vastama artiklist tulenevatele andmekaitsenõuetele (kohtuotsus Volker und Markus Schecke ja Eifert, C‑92/09 ja C‑93/09, EU:C:2010:662, punkt 47).

30      Kuigi käesolevates asjades esitatud eelotsusetaotlused tõstatavad eeskätt põhimõttelise küsimuse, kas harta artiklit 7 arvestades võib abonentide ja registreeritud kasutajate andmeid säilitada, käsitlevad need eelotsusetaotlused ka küsimust, kas direktiiv 2006/24 vastab harta artiklist 8 tulenevatele isikuandmete kaitsmise nõuetele.

31      Eeltoodud kaalutlusi arvesse võttes tuleb kohtuasjas C‑293/12 esitatud teise küsimuse punktidele b–d ja kohtuasjas C‑594/12 esitatud esimesele küsimusele vastamiseks hinnata direktiivi kehtivust harta artiklite 7 ja 8 valguses.

 Harta artiklites 7 ja 8 ette nähtud õiguste riive

32      Direktiivi 2006/24 artikli 5 lõikes 1 loetletud andmete säilitamise kohustusega ja pädevatele siseriiklikele asutustele neile andmetele juurdepääsu lubamisega on direktiiv 2006/24, nagu märkis kohtujurist eeskätt oma ettepaneku punktides 39 ja 40, erandiks direktiivis 95/46 ja direktiivis 2002/58 ette nähtud eraelu puutumatuse kaitse regulatsioonist isikuandmete töötlemisel elektroonilise side sektoris, kuna need direktiivid näevad ette side ja liiklusandmete konfidentsiaalsuse ning kohustuse andmed kustutada või anonüümseks muuta, kui neid ei ole enam side edastamiseks vaja, välja arvatud juhul ja ainult niikaua, kui neid on vaja arve esitamiseks.

33      Eraelu puutumatuse põhiõiguse riive tuvastamisel ei ole oluline, kas edastatud isikuandmed on delikaatsed või mitte või kas asjaomased isikud on selle riive tõttu pidanud taluma mingeid ebamugavusi (vt selle kohta kohtuotsus Österreichischer Rundfunk jt, C‑465/00, C‑138/01 ja C‑139/01, EU:C:2003:294, punkt 75).

34      Sellest järeldub, et üldkasutatavate elektrooniliste sideteenuste või üldkasutatavate sidevõrkude pakkujatele direktiivi 2006/24 artiklitega 3 ja 6 pandud kohustus säilitada teatud aja jooksul isiku eraelu ja sideseanssidega seotud andmeid, nagu on ette nähtud direktiivi artiklis 5, kujutab endast harta artikliga 7 tagatud õiguste riivet.

35      Lisaks kujutab pädevate siseriiklike asutuste juurdepääs andmetele endast täiendavat põhiõiguse riivet (vt seoses EIÕK artikliga 8 Euroopa Inimõiguste Kohtu otsused, Leander vs. Rootsi, 26. märts 1987, A‑seeria nr 116, punkt 48; Rotaru vs. Rumeenia [SK], nr 28341/95, punkt 46, CEDH 2000‑V, ning Weber ja Saravia vs. Saksamaa (otsus), nr 54934/00, punkt 79, CEDH 2006‑XI). Seega kujutavad ka direktiivi 2006/24 artiklid 4 ja 8, mis sätestavad reeglid pädevate siseriiklike asutuste juurdepääsu kohta andmetele, endast harta artikliga 7 tagatud õiguste riivet.

36      Samamoodi riivab direktiiv 2006/24 harta artikliga 8 tagatud põhiõigust isikuandmete kaitsele, sest direktiiv näeb ette isikuandmete töötlemise.

37      Tuleb tõdeda, et nagu märkis kohtujurist oma ettepaneku punktides 77 ja 80, kujutab direktiiv 2006/24 endast harta artiklites 7 ja 8 ette nähtud põhiõiguste ulatuslikku riivet, mida tuleb pidada eriti raskeks. Lisaks võib asjaolu, et andmete säilitamine ja hilisem kasutamine toimub abonenti või registreeritud kasutajat sellest teavitamata, tekitada asjassepuutuvates isikutes tunde, et nende eraelu pidevalt jälgitakse, nagu märkis kohtujurist oma ettepaneku punktides 52 ja 72.

 Harta artiklitega 7 ja 8 tagatud õiguste riive õigustatus

38      Vastavalt harta artikli 52 lõikele 1 tohib hartaga tunnustatud õiguste ja vabaduste teostamist piirata ainult seadusega ja nende olemust arvestades ning proportsionaalsuse põhimõtte kohaselt võib nende õiguste ja vabaduste piiranguid seada üksnes juhul, kui need on vajalikud ning vastavad tegelikult liidu tunnustatud üldist huvi pakkuvatele eesmärkidele või kui on vaja kaitsta teiste isikute õigusi ja vabadusi.

39      Eraelu puutumatuse põhiõiguse ja teiste harta artiklis 7 ette nähtud õiguste olemuse kohta olgu märgitud, et kuigi direktiiviga 2006/24 sätestatud andmete säilitamine on nende õiguste raske riive, ei ole see siiski selline, et kahjustaks nende õiguste olemust, sest direktiivi artikli 1 lõikest 2 nähtuvalt ei luba direktiiv elektroonilise side sisuga tutvumist.

40      Andmete säilitamine ei ole ka selline, et see kahjustaks harta artiklis 8 ette nähtud isikuandmete kaitse põhiõiguse olemust, kuna direktiivi 2006/24 artikkel 7 sisaldab andmekaitse ja andmete turvalisuse kohta käivat sätet, mis näeb ette – ilma et see piiraks vastavalt direktiividele 95/46 ja 2002/58 vastu võetud sätete kohaldamist –, et üldkasutatavate elektrooniliste sideteenuste või üldkasutatavate sidevõrkude pakkujad peavad kinni pidama teatavatest andmekaitse ja andmeturbe põhimõtetest. Nende põhimõtete kohaselt tagavad liikmesriigid asjakohaste tehniliste ja korralduslike meetmete võtmise, et kaitsta andmeid juhusliku hävimise või ebaseadusliku hävitamise, kadumise või juhusliku muutmise eest.

41      Seoses küsimusega, kas kõnesolev riive vastab üldist huvi pakkuvale eesmärgile, olgu meenutatud, et kuigi direktiiv 2006/24 on suunatud sellele, et ühtlustada liikmesriikide sätted, mis käsitlevad üldkasutatavate elektrooniliste sideteenuste või üldkasutatavate sidevõrkude pakkujate kohustust säilitada teatavaid nende loodud või töödeldud andmeid, on direktiivi artikli 1 lõikest 1 nähtuvalt direktiivi peamine eesmärk tagada, et need andmed oleksid kättesaadavad iga liikmesriigi riiklikus õiguses määratletud raskete kuritegude uurimiseks, avastamiseks ja kohtus menetlemiseks. Seega on direktiivi peamine eesmärk aidata kaasa võitlusele raske kuritegevuse vastu ja seeläbi avalikule julgeolekule.

42      Euroopa Kohtu praktikast tulenevalt kujutab rahvusvaheline terrorismivastane võitlus rahvusvahelise rahu ja julgeoleku säilitamiseks endast üldist huvi pakkuvat liidu eesmärki (vt selle kohta kohtuotsused Kadi ja Al Barakaat International Foundation vs. nõukogu ja komisjon, C‑402/05 P ja C‑415/05 P, EU:C:2008:461, punkt 363, ning Al-Aqsa vs. nõukogu, C‑539/10 P ja C‑550/10 P, EU:C:2012:711, punkt 130). Sama kehtib seoses võitlusega raske kuritegevuse vastu avaliku julgeoleku tagamiseks (vt selle kohta kohtuotsus Tsakouridis, C‑145/09, EU:C:2010:708, punktid 46 ja 47). Olgu lisatud, et harta artikli 6 kohaselt on igaühel õigus mitte üksnes isikuvabadusele, vaid ka turvalisusele.

43      Selle kohta nähtub direktiivi 2006/24 põhjendusest 7, et seoses elektrooniliste sideteenuste võimaluste märkimisväärse kasvuga leidis justiits- ja siseküsimuste nõukogu 19. detsembri 2002. aasta kohtumise järeldustes, et elektrooniliste sideteenuste kasutamisega seotud andmed on eriti olulised ja seetõttu on need ka väärtuslikuks vahendiks kuritegevuse ja kuritegude, eriti organiseeritud kuritegevuse ennetamisel, uurimisel, avastamisel ja kohtus menetlemisel.

44      Seetõttu tuleb tõdeda, et andmete säilitamine eesmärgiga teha need vajadusel pädevatele siseriiklikele asutustele kättesaadavaks, nagu näeb ette direktiiv 2006/24, tõepoolest vastab üldist huvi pakkuvale eesmärgile.

45      Neil asjaoludel tuleb kontrollida tuvastatud riive proportsionaalsust.

46      Seoses sellega olgu meenutatud, et vastavalt Euroopa Kohtu väljakujunenud praktikale nõuab proportsionaalsuse põhimõte, et liidu institutsioonide aktid oleksid vastava õigusaktiga taotletavate õiguspäraste eesmärkide saavutamiseks sobivad ega läheks kaugemale sellest, mis on nende eesmärkide saavutamiseks sobiv ja vajalik (vt selle kohta kohtuotsused Afton Chemical, C‑343/09, EU:C:2010:419, punkt 45; Volker und Markus Schecke ja Eifert, EU:C:2010:662, punkt 74; Nelson jt, C‑581/10 ja C‑629/10, EU:C:2012:657, punkt 71; Sky Österreich, C‑283/11, EU:C:2013:28, punkt 50, ning Schaible, C‑101/12, EU:C:2013:661, punkt 29).

47      Nende tingimuste täitmise kohtuliku kontrolli kohta olgu märgitud, et kui tegemist on põhiõiguse riivega, siis võib liidu seadusandja kaalutlusõigus olla piiratud sõltuvalt reast teguritest, mille hulka kuuluvad asjassepuutuv valdkond, hartaga tagatud õiguse olemus, riive laad ja raskus ning riive eesmärk (vt analoogia alusel seoses EIÕK artikliga 8, Euroopa Inimõiguste Kohtu otsus, S ja Marper vs. Ühendkuningriik [SK], nr 30562/04 ja 30566/04, punkt 102, CEDH 2008-V).

48      Võttes antud juhul arvesse ühelt poolt seda, kui oluline roll on isikuandmete kaitsel seoses põhiõigusega eraelu puutumatusele, ja teiselt poolt seda, kui ulatuslikult ja raskelt direktiiv 2006/24 seda õigust riivab, on liidu seadusandja kaalutlusõigust vähendatud, mistõttu peab kontroll olema range.

49      Seoses küsimusega, kas andmete säilitamine on direktiiviga 2006/24 taotletava eesmärgi saavutamiseks sobiv, tuleb tõdeda, et elektroonilise side vahendite suurenevat tähtsust arvestades pakuvad andmed, mida tuleb direktiivi kohaselt säilitada, pädevatele siseriiklikele õiguskaitseasutustele täiendavaid võimalusi raskete kuritegude lahendamiseks ning selle poolest on need järelikult uurimise jaoks kasulik vahend. Seega võib niisuguste andmete säilitamist pidada direktiiviga taotletava eesmärgi saavutamiseks sobivaks.

50      Seda hinnangut ei saa kõigutada Euroopa Kohtule esitatud kirjalikes seisukohtades M. Tschohli ja C. Seitlingeri ning Portugali valitsuse viidatud asjaolu, et esineb elektroonilise side viise, mis ei kuulu direktiivi 2006/24 kohaldamisalasse või mis võimaldavad anonüümset sidet. Kuigi see asjaolu kahtlemata piirab andmete säilitamises seisneva meetme sobivust taotletava eesmärgi saavutamiseks, ei ole see siiski selline, et muudaks selle meetme sobimatuks, nagu märkis ka kohtujurist oma ettepaneku punktis 137.

51      Direktiivis 2006/24 ette nähtud andmete säilitamise vajalikkusega seoses tuleb tõdeda, et võitlus raske kuritegevuse, eeskätt organiseeritud kuritegevuse ja terrorismi vastu on avaliku julgeoleku tagamiseks mõistagi esmatähtis ning selle tõhusus võib suures ulatuses sõltuda nüüdisaegse uurimistehnika kasutamisest. Kuitahes oluline see üldist huvi pakkuv eesmärk ka ei ole, ei saa see siiski üksinda õigustada seda, et niisugust andmete säilitamise meedet nagu direktiiviga 2006/24 sätestatu peetakse sellise kuritegevusvastase võitluse jaoks vajalikuks.

52      Mis puudutab õigust eraelu puutumatusele, siis Euroopa Kohtu väljakujunenud praktika kohaselt nõuab selle põhiõiguse kaitse, et isikuandmete kaitse erandite ja piirangute puhul tuleb piirduda rangelt vajalikuga (kohtuotsus IPI, C‑473/12, EU:C:2013:715, punkt 39 ja seal viidatud kohtupraktika).

53      Selle kohta olgu lisatud, et isikuandmete kaitse, milleks harta artikli 8 lõige 1 sõnaselgelt kohustab, on harta artiklis 7 ette nähtud eraelu puutumatuse õiguse jaoks eriti tähtis.

54      Järelikult peab kõnesolev liidu õigusakt sätestama selged ja täpsed reeglid meetme ulatuse ja kohaldamise kohta ning kehtestama miinimumnõuded, nii et isikutel, kelle andmeid säilitatakse, oleksid piisavad garantiid, mis võimaldavad tõhusalt kaitsta nende isikuandmeid kuritarvitamise ohu ning ebaseadusliku juurdepääsu ja kasutamise eest (vt analoogia alusel seoses EIÕK artikliga 8, Euroopa Inimõiguste Kohtu otsused, Liberty jt vs. Ühendkuningriik, nr 58243/00, punktid 62 ja 63, 1. juuli 2008; Rotaru vs. Rumeenia, punktid 57–59, ning S ja Marper vs. Ühendkuningriik, punkt 99).

55      Niisuguste garantiide olemasolu on veel vajalikum siis, kui isikuandmeid töödeldakse automaatselt, nagu näeb ette direktiiv 2006/24, ja kui esineb suur oht, et neile andmetele pääsetakse juurde ebaseaduslikult (vt analoogia alusel seoses EIÕK artikliga 8, Euroopa Inimõiguste Kohtu otsused, S ja Marper vs. Ühendkuningriik, punkt 103, ning M. K. vs. Prantsusmaa, nr 19522/09, punkt 35, 18. aprill 2013).

56      Küsimuse kohta, kas riive, mida kujutab endast direktiiv 2006/24, piirdub vältimatult vajalikuga, olgu märgitud, et vastavalt direktiivi artiklile 3 koostoimes artikli 5 lõikega 1 nõuab direktiiv kõigi selliste liiklusandmete säilitamist, mis puudutavad telefonivõrku, mobiiltelefonivõrku, internetiühendust, e‑posti ja internetitelefoni. Seega laieneb direktiiv kõigile elektroonilise side seadmetele, mille kasutamine on väga levinud ja kõigi inimeste igapäevaelus üha tähtsam. Vastavalt direktiivi artiklile 3 kohaldub direktiiv ka kõigile abonentidele ja registreeritud kasutajatele. Järelikult riivab direktiiv peaaegu kogu Euroopa elanikkonna põhiõigusi.

57      Esiteks tuleb sellega seoses tõdeda, et direktiiv 2006/24 hõlmab üldistatult kõiki isikuid ning kõiki elektroonilise side vahendeid ja liiklusandmeid, ilma et raskete kuritegude vastu võitlemise eesmärki arvestades oleks ette nähtud mingit eristamist, piirangut või erandit.

58      Ühelt poolt puudutab direktiiv 2006/24 üleüldiselt kõiki isikuid, kes kasutavad elektroonilisi sideteenuseid, ilma et isikud, kelle andmeid säilitatakse, oleksid kasvõi kaudselt olukorras, mis võiks anda alust kriminaalmenetluse algatamiseks. Järelikult kohaldub direktiiv ka isikutele, kelle kohta pole mingeid tõendeid, mille põhjal võiks arvata, et nende käitumisel oleks kasvõi kaudne või kauge seos raskete kuritegudega. Peale selle ei näe direktiiv ette ühtegi erandit, mistõttu see kohaldub ka isikutele, kelle sideseansid kuuluvad siseriikliku õiguse kohaselt ametisaladuse alla.

59      Teiselt poolt ei nõua direktiiv – kuigi selle eesmärk on aidata kaasa võitlusele raske kuritegevuse vastu – mingi seose olemasolu säilitatavate andmete ja ohu vahel avalikule julgeolekule, ning eelkõige ei piira see andmete säilitamist andmetega, mis kuuluvad kindlasse ajavahemikku ja/või kindlasse geograafilisse piirkonda ja/või teatavatele isikutele, kes võivad olla mingil viisil seotud raske kuriteoga, või isikutega, kelle andmete säilitamine võib muul põhjusel kaasa aidata raskete kuritegude ennetamisele, avastamisele või menetlemisele.

60      Teiseks, sellele üldisele piirangute puudumisele lisandub asjaolu, et direktiiv 2006/24 ei näe ette ühtegi objektiivset kriteeriumi, mis võimaldaks tagada, et pädevatel siseriiklikel asutustel on andmetele juurdepääs ja nad saavad hiljem andmeid kasutada üksnes selliste kuritegude ennetamise, avastamise või kohtus menetlemise eesmärgil, mida võib harta artiklites 7 ja 8 ette nähtud põhiõiguste riive ulatust ja raskust arvestades pidada piisavalt rasketeks kuritegudeks, et õigustada sellist riivet. Vastupidi – direktiiv 2006/24 piirdub artikli 1 lõikes 1 üldise viitega rasketele kuritegudele, mille määratleb iga liikmesriik oma siseriiklikus õiguses.

61      Peale selle ei kehtesta direktiiv 2006/24 materiaal- ega menetlusõiguslikke tingimusi pädevate siseriiklike asutuste juurdepääsu suhtes andmetele ja nende hilisema kasutamise suhtes. Direktiivi artikkel 4, mis reguleerib selliste asutuste juurdepääsu säilitatud andmetele, ei sätesta sõnaselgelt, et andmetele juurdepääs ja andmete hilisem kasutamine peaksid olema rangelt piiratud eesmärgiga ennetada ja avastada täpselt piiritletud raskeid kuritegusid või viia läbi nendega seotud menetlusi, vaid piirdub sätestamisega, et iga liikmesriik kehtestab menetluse, mida tuleb järgida, ja tingimused, mis peavad olema täidetud säilitatud andmetele juurdepääsu saamiseks vastavalt vajalikkuse ja proportsionaalsuse nõuetele.

62      Eelkõige ei näe direktiiv 2006/24 ette ühtegi objektiivset kriteeriumi, mis võimaldaks piirata isikute arvu, kellel on andmetele juurdepääsu ja nende hilisema kasutamise luba, vastavalt sellele, mis on taotletava eesmärgi seisukohast vältimatult vajalik. Eeskätt ei sõltu pädevate siseriiklike asutuste juurdepääs säilitatud andmetele eelkontrollist, mille viiks läbi kohus või sõltumatu haldusüksus, kelle otsus – mis tehakse põhjendatud taotluse alusel, mille esitavad pädevad asutused ennetamise, avastamise või kriminaalmenetluse raames – piiraks andmetele juurdepääsu ja nende kasutamist sellega, mis on taotletava eesmärgi saavutamiseks vältimatult vajalik. Direktiiv ei näe ka ette täpset liikmesriikide kohustust sellised piirangud kehtestada.

63      Kolmandaks, andmete säilitamistähtaja kohta sätestab direktiivi 2006/24 artikkel 6, et andmeid säilitatakse mitte vähem kui kuue kuu jooksul, ilma et direktiivi artiklis 5 ette nähtud andmeliikidel tehtaks mingit vahet selle järgi, kui kasulikud võivad andmed taotletava eesmärgi seisukohalt olla või milliseid isikuid need puudutavad.

64      Andmete säilitamise miinimumaeg on kuus kuud ja maksimumaeg 24 kuud, kuid direktiivis ei ole täpsustatud objektiivseid kriteeriume, mille alusel tuleks määrata andmete säilitamise aeg, et tagada selle piirdumine vältimatult vajalikuga.

65      Eeltoodust järeldub, et direktiiv 2006/24 ei sätesta selgeid ja täpseid reegleid, mis reguleeriksid harta artiklites 7 ja 8 ette nähtud põhiõiguste riive ulatust. Seetõttu tuleb tõdeda, et direktiiv toob kaasa liidu õiguskorras nende põhiõiguste ulatusliku ja väga raske riive, ilma et see riive oleks täpselt piiritletud sätetega, mis võimaldaks tagada, et riive piirdub tõepoolest vaid vältimatult vajalikuga.

66      Üldkasutatavate elektrooniliste sideteenuste või üldkasutatavate sidevõrkude pakkujate säilitatavate andmete turvalisust ja kaitset käsitlevate reeglitega seoses tuleb veel tõdeda, et direktiiv 2006/24 ei näe ette piisavaid garantiisid – nagu nõuab harta artikkel 8 –, mis võimaldaksid tagada säilitatavate andmete tõhusa kaitsmise kuritarvituste ohu eest ning ebaseadusliku juurdepääsu ja kasutamise eest. Esiteks ei näe direktiivi 2006/24 artikkel 7 ette spetsiaalseid reegleid, mis oleksid kohandatud vastavalt direktiivi alusel säilitatavate andmete suurele hulgale, andmete delikaatsusele ja neile ebaseadusliku juurdepääsu ohule. Sellised reeglid peaksid eeskätt selgelt ja rangelt reguleerima kõnesolevate andmete kaitset ja turvalisust, et tagada andmete täielik terviklus ja konfidentsiaalsus. Direktiiv ei näe ka ette täpset liikmesriikide kohustust sellised reeglid kehtestada.

67      Direktiivi 2006/24 artikkel 7 koostoimes direktiivi 2002/58 artikli 4 lõikega 1 ja direktiivi 95/46 artikli 17 lõike 1 teise lõiguga ei taga seda, et kõnesolevad teenuste või võrkude pakkujad rakendaksid tehniliste ja korralduslike meetmetega eriti kõrge kaitse- ja turbetaseme, vaid lubab neil teenuste või võrkude pakkujatel võtta rakendatava turbetaseme kindlaksmääramisel arvesse majanduslikke kaalutlusi seoses turbemeetmete rakendamise kuludega. Eelkõige ei taga direktiiv 2006/24 andmete pöördumatut hävitamist pärast säilitamistähtaja lõppu.

68      Teiseks olgu lisatud, et direktiiv ei nõua andmete säilitamist liidu territooriumil, mistõttu ei saa pidada täiel määral tagatuks, et eelmises kahes punktis kirjeldatud andmekaitse ja andmeturbega seotud nõuete täitmist kontrollib sõltumatu asutus, nagu on ette nähtud harta artikli 8 lõikes 3. Niisugune liidu õiguse alusel toimuv kontroll on aga oluline tegur üksikisikute kaitsmisel seoses isikuandmete töötlemisega (vt selle kohta kohtuotsus komisjon vs. Austria, C‑614/10, EU:C:2012:631, punkt 37).

69      Kõiki eeltoodud kaalutlusi arvesse võttes tuleb sedastada, et direktiivi 2006/24 vastuvõtmisega on liidu seadusandja ületanud piire, mida nõuab proportsionaalsuse põhimõtte järgimine, pidades silmas harta artikleid 7 ja 8 ning artikli 52 lõiget 1.

70      Neil asjaoludel ei ole direktiivi 2006/24 kehtivust harta artikli 11 seisukohast vaja hinnata.

71      Järelikult tuleb kohtuasjas C‑293/12 esitatud teise küsimuse punktidele b–d ja kohtuasjas C‑594/12 esitatud esimesele küsimusele vastata, et direktiiv 2006/24 on kehtetu.

 Kohtuasjas C‑293/12 esitatud esimene küsimus, teise küsimuse punktid a ja e ja kolmas küsimus ning kohtuasjas C‑594/12 esitatud teine küsimus

72      Eelmises punktis otsustatust tulenevalt ei ole kohtuasjas C‑293/12 esitatud esimesele küsimusele ja teise küsimuse punktidele a ja e ja kolmandale küsimusele ega kohtuasjas C‑594/12 esitatud teisele küsimusele vaja vastata.

 Kohtukulud

73      Kuna põhikohtuasja poolte jaoks on käesolev menetlus eelotsusetaotluse esitanud kohtutes pooleli oleva asja üks staadium, otsustavad kohtukulude jaotuse siseriiklikud kohtud. Euroopa Kohtule seisukohtade esitamisega seotud kulusid, välja arvatud poolte kohtukulud, ei hüvitata.

Esitatud põhjendustest lähtudes Euroopa Kohus (suurkoda) otsustab:

Euroopa Parlamendi ja nõukogu 15. märtsi 2006. aasta direktiiv 2006/24/EÜ, mis käsitleb üldkasutatavate elektrooniliste sideteenuste või üldkasutatavate sidevõrkude pakkujate tegevusega kaasnevate või nende töödeldud andmete säilitamist ja millega muudetakse direktiivi 2002/58/EÜ, on kehtetu.

Allkirjad


* Kohtumenetluse keeled: inglise ja saksa.