Language of document : ECLI:EU:C:2014:238

UNIONIN TUOMIOISTUIMEN TUOMIO (suuri jaosto)

8 päivänä huhtikuuta 2014 (*)

Sähköiset viestintäpalvelut – Direktiivi 2006/24/EY – Yleisesti saatavilla olevat sähköiset viestintäpalvelut tai yleiset viestintäverkot – Tällaisten palvelujen yhteydessä tuotettavien tai käsiteltävien tietojen säilyttäminen – Pätevyys – Euroopan unionin perusoikeuskirjan 7, 8 ja 11 artikla

Yhdistetyissä asioissa C‑293/12 ja C‑594/12,

joissa on kyse High Courtin (Irlanti) 27.1.2012 ja Verfassungsgerichtshofin (Itävalta) 28.11.2012 SEUT 267 artiklan nojalla esittämistä ennakkoratkaisupyynnöistä, jotka ovat saapuneet unionin tuomioistuimeen 11.6.2012 ja 19.12.2012, asioissa

Digital Rights Ireland Ltd (C-293/12)

vastaan

Minister for Communications, Marine and Natural Resources,

Minister for Justice, Equality and Law Reform,

Commissioner of the Garda Síochána,

Irlanti ja

The Attorney General,

Irish Human Rights Commissionin

osallistuessa asian käsittelyyn,

ja

Kärntner Landesregierung (C-594/12),

Michael Seitlinger ja

Christof Tschohl ym.

UNIONIN TUOMIOISTUIN (suuri jaosto),

toimien kokoonpanossa: presidentti V. Skouris, varapresidentti K. Lenaerts, jaostojen puheenjohtajat A. Tizzano, R. Silva de Lapuerta, T. von Danwitz (esittelevä tuomari), E. Juhász, A. Borg Barthet, C. G. Fernlund ja J. L. da Cruz Vilaça sekä tuomarit A. Rosas, G. Arestis, J.‑C. Bonichot, A. Arabadjiev, C. Toader ja C. Vajda,

julkisasiamies: P. Cruz Villalón,

kirjaaja: hallintovirkamies K. Malacek,

ottaen huomioon kirjallisessa käsittelyssä ja 9.7.2013 pidetyssä istunnossa esitetyn,

ottaen huomioon huomautukset, jotka sille ovat esittäneet

–        Digital Rights Ireland Ltd, edustajinaan F. Callanan, SC, ja F. Crehan, BL, solicitor S. McGarrin valtuuttamina,

–        Michael Seitlinger, edustajanaan Rechtsanwalt G. Otto,

–        Christof Tschohl ym., edustajanaan Rechtsanwalt E. Scheucher,

–        Irish Human Rights Commission, edustajanaan P. Dillon Malone, BL, solicitor S. Luceyn valtuuttamana,

–        Irlanti, asiamiehinään E. Creedon ja D. McGuinness, avustajinaan E. Regan, SC, ja D. Fennelly, JC,

–        Itävallan hallitus, asiamiehinään G. Hesse ja G. Kunnert, 

–        Espanjan hallitus, asiamiehenään N. Díaz Abad,

–        Ranskan hallitus, asiamiehinään G. de Bergues, D. Colas ja B. Beaupère-Manokha,

–        Italian hallitus, asiamiehenään G. Palmieri, avustajanaan avvocato dello Stato A. De Stefano,

–        Puolan hallitus, asiamiehinään B. Majczyna ja M. Szpunar,

–        Portugalin hallitus, asiamiehinään L. Inez Fernandes ja C. Vieira Guerra,

–        Yhdistyneen kuningaskunnan hallitus, asiamiehenään L. Christie, avustajanaan barrister S. Lee,

–        Euroopan parlamentti, asiamiehinään U. Rösslein, A. Caiola ja K. Zejdová,

–        Euroopan unionin neuvosto, asiamiehinään J. Monteiro, E. Sitbon ja I. Šulce,

–        Euroopan komissio, asiamiehinään D. Maidani, B. Martenczuk ja M. Wilderspin,

kuultuaan julkisasiamiehen 12.12.2013 pidetyssä istunnossa esittämän ratkaisuehdotuksen,

on antanut seuraavan

tuomion

1        Ennakkoratkaisupyynnöt koskevat yleisesti saatavilla olevien sähköisten viestintäpalvelujen tai yleisten viestintäverkkojen yhteydessä tuotettavien tai käsiteltävien tietojen säilyttämisestä ja direktiivin 2002/58/EY muuttamisesta 15.3.2006 annetun Euroopan parlamentin ja neuvoston direktiivin 2006/24/EY (EUVL L 105, s. 54) pätevyyttä.

2        High Courtin esittämä pyyntö (asia C‑293/12) koskee riitaa, jossa kantajana on Digital Rights Ireland Ltd (jäljempänä Digital Rights) ja vastaajina ovat Minister for Communications, Marine and Natural Resources, Minister for Justice, Equality and Law Reform, Commissioner of the Garda Síochána, Irlanti sekä Attorney General ja joka koskee sähköiseen viestintään liittyvien tietojen säilyttämistä koskevien kansallisten lainsäädännöllisten ja hallinnollisten toimenpiteiden lainmukaisuutta.

3        Verfassungsgerichtshofin esittämä pyyntö (asia C‑594/12) liittyy perustuslainmukaisuutta koskeviin kanteisiin, jotka Kärntner Landesregierung (Kärntenin osavaltion hallitus) sekä Michael Seitlinger, Christof Tschohl ja 11 128 muuta kantajaa ovat nostaneet tässä tuomioistuimessa ja joissa on kyse lain, jolla direktiivi 2006/24 on saatettu osaksi Itävallan sisäistä oikeusjärjestystä, yhteensoveltuvuudesta liittovaltion perustuslain (Bundes-Verfassungsgesetz) kanssa.

 Asiaa koskevat oikeussäännöt

 Direktiivi 95/46/EY

4        Yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta 24.10.1995 annetun Euroopan parlamentin ja neuvoston direktiivin 95/46/EY (EYVL L 281, s. 31) tavoitteena on sen 1 artiklan 1 kohdan mukaan turvata henkilötietojen käsittelyssä yksilöille heidän perusoikeutensa ja ‑vapautensa ja erityisesti heidän oikeutensa yksityisyyteen.

5        Tällaisten tietojen käsittelyn turvallisuudesta säädetään mainitun direktiivin 17 artiklan 1 kohdassa seuraavaa:

ˮJäsenvaltioiden on säädettävä siitä, että rekisterinpitäjän on toteutettava tarpeelliset tekniset ja organisatoriset toimenpiteet henkilötietojen suojaamiseksi vahingossa tapahtuvalta tai laittomalta tuhoamiselta, vahingossa tapahtuvalta häviämiseltä, muuttamiselta, luvattomalta luovuttamiselta tai tietojen antamiselta, erityisesti jos käsittely muodostuu tietojen siirtämisestä verkossa, sekä kaikelta muulta laittomalta käsittelyltä.

Ottaen huomioon kehityksen taso ja toimenpiteiden kustannukset on taattava asianmukainen turvallisuuden taso suhteessa käsittelyn riskeihin ja suojattavien tietojen luonteeseen.ˮ

 Direktiivi 2002/58/EY

6        Henkilötietojen käsittelystä ja yksityisyyden suojasta sähköisen viestinnän alalla (sähköisen viestinnän tietosuojadirektiivi) 12.7.2002 annetun Euroopan parlamentin ja neuvoston direktiivin 2002/58/EY (EYVL L 201, s. 37), sellaisena kuin se on muutettuna 25.11.2009 annetulla Euroopan parlamentin ja neuvoston direktiivillä 2009/136/EY (EUVL L 337, s. 11; jäljempänä direktiivi 2002/58), tarkoituksena on sen 1 artiklan 1 kohdan mukaan yhdenmukaistaa sellaiset kansalliset säännökset, joita tarvitaan samantasoisen perusoikeuksien ja ‑vapauksien, erityisesti yksityisyyttä ja luottamuksellisuutta koskevan oikeuden, suojan varmistamiseksi henkilötietojen käsittelyssä sähköisen viestinnän alalla sekä tällaisten tietojen ja sähköisten viestintälaitteiden ja -palvelujen vapaan liikkuvuuden varmistamiseksi Euroopan unionissa. Saman artiklan 2 kohdan mukaan tämän direktiivin säännöksillä täsmennetään ja täydennetään direktiiviä 95/46 edellä 1 kohdassa mainittuja tarkoituksia varten.

7        Tietojen käsittelyn turvallisuudesta säädetään direktiivin 2002/58 4 artiklassa seuraavaa:

ˮ1.      Yleisesti saatavilla olevien sähköisten viestintäpalvelujen tarjoajan on toteutettava asianmukaiset tekniset ja organisatoriset toimenpiteet varmistaakseen tarjoamiensa palvelujen turvallisuuden, verkon turvallisuuden osalta tarvittaessa yhdessä yleisen viestintäverkon tarjoajan kanssa. Näillä toimenpiteillä on voitava varmistaa riskiin suhteutettu turvallisuustaso ottaen huomioon uusin tekniikka ja toimenpiteiden käyttöönottokustannukset.

1a. Rajoittamatta direktiivin 95/46/EY soveltamista 1 kohdassa tarkoitetuilla toimenpiteillä on vähintään

–        varmistettava, että henkilötietoja pääsee käsittelemään vain siihen luvan saanut henkilöstö oikeudellisesti perustelluissa tapauksissa,

–        suojattava tallennetut tai siirretyt henkilötiedot tahattomalta tai laittomalta tuhoamiselta, tahattomalta kadottamiselta tai muuttamiselta taikka luvattomalta tai laittomalta säilyttämiseltä, käsittelyltä, käytöltä tai luovuttamiselta, ja

–        varmistettava henkilötietojen käsittelyä koskevan turvapolitiikan toteuttaminen.

Kansallisilla sääntelyviranomaisilla on valtuudet tarkastaa yleisesti saatavilla olevien sähköisten viestintäpalvelujen tarjoajien toteuttamia toimenpiteitä ja antaa suosituksia parhaista käytännöistä, jotka koskevat turvallisuuden tasoa, joka näillä toimenpiteillä olisi saavutettava.

2.      Jos verkon turvallisuuteen kohdistuu erityinen riski, on yleisesti saatavilla olevan sähköisen viestintäpalvelun tarjoajan ilmoitettava tilaajille tällaisesta riskistä, ja jos palvelujen tarjoaja ei voi vaikuttaa riskiin, mahdollisista korjauskeinoista mukaan lukien asiaan liittyvät todennäköiset kustannukset.ˮ

8        Viestinnän ja liikennetietojen luottamuksellisuudesta mainitun direktiivin 5 artiklan 1 ja 3 kohdassa säädetään seuraavaa:

ˮ1.      Jäsenvaltioiden on kansallisella lainsäädännöllä varmistettava yleisen viestintäverkon ja yleisesti saatavilla olevien sähköisten viestintäpalvelujen välityksellä tapahtuvan viestinnän ja siihen liittyvien liikennetietojen luottamuksellisuus. Niiden on erityisesti kiellettävä se, että muut henkilöt kuin käyttäjät ilman kyseisten käyttäjien nimenomaista suostumusta kuuntelevat, salakuuntelevat, tallentavat tai muulla tavalla sieppaavat tai valvovat viestintää ja siihen liittyviä liikennetietoja, jollei se ole laillisesti sallittua 15 artiklan 1 kohdan mukaisesti. Mitä tässä kohdassa säädetään, ei estä teknistä tallentamista, joka on tarpeen viestinnän välittämiselle, tämän rajoittamatta luottamuksellisuuden periaatteen soveltamista.

– –

3.      Jäsenvaltioiden on varmistettava, että sähköisten viestintäverkkojen käyttö tietojen tallentamiseksi tai tilaajan tai käyttäjän päätelaitteelle tallennettujen tietojen käyttämiseen sallitaan ainoastaan sillä edellytyksellä, että kyseiselle tilaajalle tai käyttäjälle annetaan selkeät ja kattavat tiedot muun muassa käsittelyn tarkoituksesta direktiivin 95/46/EY mukaisesti ja että hänelle annetaan oikeus kieltää tietojen käsittelystä vastaavaa tahoa suorittamasta tällaista käsittelyä. Tämä ei estä teknistä tallentamista tai käyttöä, jonka ainoana tarkoituksena on toteuttaa viestinnän välittäminen sähköisissä viestintäverkoissa tai helpottaa sitä tai joka on ehdottoman välttämätöntä sellaisen tietoyhteiskunnan palvelun tarjoamiseksi, jota tilaaja tai käyttäjä on erityisesti pyytänyt.ˮ

9        Direktiivin 2002/58 6 artiklan 1 kohdassa säädetään seuraavaa:

ˮTilaajia ja käyttäjiä koskevat liikennetiedot, jotka yleisen viestintäverkon tai yleisesti saatavilla olevien sähköisten viestintäpalvelujen tarjoaja käsittelee ja tallentaa, on poistettava tai tehtävä nimettömiksi, kun niitä ei enää tarvita viestinnän välittämiseen, sanotun kuitenkaan rajoittamatta tämän artiklan 2, 3 ja 5 kohdan sekä 15 artiklan 1 kohdan soveltamista.ˮ

10      Direktiivin 2002/58 15 artiklan 1 kohdassa säädetään seuraavaa:

ˮJäsenvaltiot voivat toteuttaa lainsäädännöllisiä toimenpiteitä, joilla rajoitetaan tämän direktiivin 5 artiklassa, 6 artiklassa, 8 artiklan 1, 2, 3 ja 4 kohdassa sekä 9 artiklassa säädettyjen oikeuksien ja velvollisuuksien soveltamisalaa, jos tällaiset rajoitukset ovat välttämättömiä, asianmukaisia ja oikeasuhteisia demokraattisen yhteiskunnan toimenpiteitä kansallisen turvallisuuden (valtion turvallisuus) sekä puolustuksen, yleisen turvallisuuden tai rikosten tai sähköisen viestintäjärjestelmän luvattoman käytön torjunnan, tutkinnan, selvittämisen ja syyteharkinnan varmistamiseksi direktiivin 95/46/EY 13 artiklan 1 kohdan mukaisesti. Tätä varten jäsenvaltiot voivat muun muassa hyväksyä lainsäädännöllisiä toimenpiteitä, joissa säädetään tietojen säilyttämisestä sellaiseksi rajoitetuksi ajaksi, joka on perusteltua tässä kohdassa säädetyistä syistä. Kaikkien tässä kohdassa tarkoitettujen toimenpiteiden on oltava yhteisön oikeuden yleisten periaatteiden mukaisia, mukaan lukien Euroopan unionista tehdyn sopimuksen 6 artiklan 1 ja 2 kohdassa tarkoitetut periaatteet.ˮ

 Direktiivi 2006/24

11      Konsultoituaan lainvalvontayksikköjen ja sähköisen viestinnän edustajia ja tietotosuoja-alan asiantuntijoita komissio esitti 21.9.2005 arvioinnin liikennetietojen säilyttämistä koskevien sääntöjen poliittisten vaihtoehtojen vaikutuksista (jäljempänä vaikutustenarviointi). Tämä arviointi oli pohjana ehdotukselle yleisten sähköisten viestintäpalvelujen yhteydessä käsiteltävien tietojen säilyttämisestä ja direktiivin 2002/58/EY muuttamisesta annettavaksi Euroopan parlamentin ja neuvoston direktiiviksi (KOM(2005) 438 lopullinen; jäljempänä ehdotus direktiiviksi), joka tehtiin samana päivänä ja joka johti direktiivin 2006/24 antamiseen EY 95 artiklan nojalla.

12      Direktiivin 2006/24 johdanto-osan neljännessä perustelukappaleessa todetaan seuraavaa:

ˮDirektiivin 2002/58/EY 15 artiklan 1 kohdassa säädetään, millaisin ehdoin jäsenvaltiot voivat rajoittaa mainitun direktiivin 5 ja 6 artiklassa, 8 artiklan 1, 2, 3 ja 4 kohdassa sekä 9 artiklassa säädettyjen oikeuksien ja velvollisuuksien soveltamisalaa. Rajoitusten on demokraattisessa yhteiskunnassa oltava välttämättömiä, asianmukaisia ja oikeasuhteisia tiettyihin yleiseen järjestykseen liittyviin syihin nähden, kuten kansallisen turvallisuuden (valtion turvallisuus) sekä puolustuksen, yleisen turvallisuuden tai rikosten tai sähköisen viestintäjärjestelmän luvattoman käytön torjunnan, tutkinnan, selvittämisen ja syyteharkinnan varmistamiseksi.ˮ

13      Direktiivin 2006/24 johdanto-osan viidennen perustelukappaleen ensimmäisen virkkeen mukaan ˮuseissa jäsenvaltioissa on annettu lainsäädäntöä, jonka mukaan palvelujen tarjoajien on säilytettävä tietoja rikosten torjuntaa, tutkintaa, selvittämistä ja syyteharkintaa vartenˮ.

14      Direktiivin 2006/24 johdanto-osan 7–11 perustelukappaleessa todetaan seuraavaa:

ˮ(7)      Joulukuun 19 päivänä 2002 kokoontuneen oikeus- ja sisäasioiden neuvoston päätelmissä korostetaan, että sähköisen viestinnän tarjoamien mahdollisuuksien huomattavan lisääntymisen johdosta sähköisen viestinnän käyttöön liittyvät tiedot ovat erityisen tärkeä ja näin myös hyödyllinen väline rikosten ja varsinkin järjestäytyneen rikollisuuden, torjunnassa, tutkinnassa, selvittämisessä ja syyteharkinnassa.

(8)      Eurooppa-neuvoston 25 päivänä maaliskuuta 2004 antamassa julkilausumassa terrorismin torjunnasta neuvostoa kehotettiin tarkastelemaan toimenpiteitä, joiden avulla palvelujen tarjoajille laaditaan viestintäliikennetietojen säilyttämistä koskevat säännöt.

(9)      [Roomassa 4.11.1950 allekirjoitetun] Euroopan ihmisoikeussopimuksen 8 artiklan mukaan jokaisella on oikeus nauttia yksityiselämäänsä ja kirjeenvaihtoonsa kohdistuvaa kunnioitusta. Viranomaiset saavat puuttua tämän oikeuden käyttämiseen ainoastaan silloin kun laki sen sallii ja se on demokraattisessa yhteiskunnassa välttämätöntä esimerkiksi kansallisen tai yleisen turvallisuuden vuoksi, epäjärjestyksen ja rikollisuuden estämiseksi tai muiden henkilöiden oikeuksien ja vapauksien turvaamiseksi. Koska tietojen säilyttäminen on osoittautunut niin tarpeelliseksi ja tehokkaaksi tutkintakeinoksi lainvalvonnassa monissa jäsenvaltioissa ja erityisesti vakavissa asioissa, kuten järjestäytyneen rikollisuuden ja terrorismin tutkinnassa, on tarpeen taata, että säilytetyt tiedot saatetaan lainvalvontaviranomaisten saataville tietyn ajanjakson ajaksi tässä direktiivissä säädetyin edellytyksin. – –

(10)      Neuvosto vahvisti uudelleen 13 päivänä heinäkuuta 2005 julkilausumassaan Lontoon terrori-iskujen tuomitsemisesta, että teletietojen liikennetietojen säilyttämistä koskevia yhteisiä toimenpiteitä on toteutettava mahdollisimman pian.

(11)      Kun otetaan huomioon liikenne- ja paikkatietojen merkitys rikosten tutkinnassa, selvittämisessä ja syyteharkinnassa, minkä eri tutkimukset ja useiden jäsenvaltioiden käytännön kokemus ovat osoittaneet, on syytä varmistaa Euroopan tasolla, että yleisesti saatavilla olevien sähköisten viestintäpalvelujen tai yleisten viestintäverkkojen tarjoajien viestintäpalvelujen tarjoamisen yhteydessä tuottamia tai käsittelemiä tietoja on säilytettävä tietty aika tässä direktiivissä säädetyin edellytyksin.ˮ

15      Mainitun direktiivin johdanto-osan 16, 21 ja 22 perustelukappaleessa täsmennetään seuraavaa:

ˮ(16) Palveluntoimittajien velvollisuudet, jotka koskevat tietojen laadun turvaavia toimia ja jotka aiheutuvat direktiivin 95/46/EY 6 artiklasta, samoin kuin niiden velvollisuudet, jotka koskevat tietojen käsittelyn luottamuksellisuuden ja turvallisuuden takaavia toimia ja jotka aiheutuvat kyseisen direktiivin 16 ja 17 artiklasta, koskevat täysimääräisesti tietoja, jotka säilytetään tässä direktiivissä tarkoitetulla tavalla.

(21)      Jäsenvaltiot eivät voi riittävällä tavalla toteuttaa tämän direktiivin tavoitteita, eli yhdenmukaistaa palvelujen tarjoajien velvollisuudet säilyttää tietyt tiedot ja varmistaa, että kyseiset tiedot ovat käytettävissä kunkin jäsenvaltion kansallisessa lainsäädännössä vakavaksi rikollisuudeksi määritellyn rikollisuuden tutkintaa, selvittämistä ja syyteharkintaa varten, vaan ne voidaan tämän direktiivin laajuuden ja vaikutusten takia saavuttaa paremmin yhteisön tasolla, joten yhteisö voi toteuttaa toimenpiteitä perustamissopimuksen 5 artiklassa vahvistetun toissijaisuusperiaatteen mukaisesti. Kyseisessä artiklassa vahvistetun suhteellisuusperiaatteen mukaisesti tässä direktiivissä ei ylitetä sitä, mikä on näiden tavoitteiden saavuttamiseksi tarpeen.

(22)      Tässä direktiivissä kunnioitetaan perusoikeuksia ja noudatetaan erityisesti Euroopan unionin perusoikeuskirjassa tunnustettuja periaatteita. Tällä direktiivillä ja direktiivillä 2002/58/EY pyritään erityisesti varmistamaan kansalaisten perusoikeus siihen, että heidän yksityiselämäänsä ja viestejään kunnioitetaan sekä henkilötietojaan suojataan, kuten perusoikeuskirjan 7 ja 8 artiklassa todetaan.ˮ

16      Direktiivissä 2006/24 säädetään yleisesti saatavilla olevien sähköisten viestintäpalvelujen tai yleisten viestintäverkkojen tarjoajien tuottamien tai käsittelemien eräiden tietojen säilyttämisvelvollisuudesta. Tästä säädetään tämän direktiivin 1–9, 11 ja 13 artiklassa seuraavaa:

”1 artikla

Kohde ja soveltamisala

1.      Tämän direktiivin tavoitteena on yhdenmukaistaa jäsenvaltioiden säännökset, jotka koskevat yleisesti saatavilla olevien sähköisten viestintäpalvelujen tai yleisten viestintäverkkojen tarjoajien tuottamien tai käsittelemien eräiden tietojen säilyttämiseen liittyviä velvollisuuksia, sen varmistamiseksi, että kyseisiä tietoja voidaan käyttää kunkin jäsenvaltion kansallisessa lainsäädännössä vakavaksi rikollisuudeksi määritellyn rikollisuuden tutkintaa, selvittämistä ja syyteharkintaa varten. 

2.      Tätä direktiiviä sovelletaan oikeushenkilöiden ja luonnollisten henkilöiden liikenne- ja paikkatietoihin sekä tilaajan tai rekisteröityneen käyttäjän tunnistamiseksi tarvittaviin tietoihin. Direktiiviä ei sovelleta sähköisen viestinnän sisältöön eikä sähköistä viestintäverkkoa käyttämällä haettuihin tietoihin.

2 artikla

Määritelmät

1.       Tässä direktiivissä sovelletaan direktiivissä 95/46/EY, sähköisten viestintäverkkojen ja -palvelujen yhteisestä sääntelyjärjestelmästä Euroopan parlamentin ja neuvoston 7 päivänä maaliskuuta 2002 antamassa direktiivissä 2002/21/EY (puitedirektiivi) – – ja direktiivissä 2002/58/EY annettuja määritelmiä.

2.       Tässä direktiivissä tarkoitetaan

a)      ’tiedoilla’ liikenne- ja paikkatietoja sekä tarvittaessa tilaajan tai käyttäjän tunnistamiseksi tarvittavia tietoja;

b)      ’käyttäjällä’ oikeushenkilöitä tai luonnollisia henkilöitä, jotka käyttävät yleisesti saatavilla olevaa sähköistä viestintäpalvelua yksityis- tai liikeasioihin olematta välttämättä tämän palvelun tilaajia;

c)      ’puhelinpalvelulla’ puheluita (mukaan lukien äänipuhelut, puheposti sekä neuvottelu- ja datapuhelut), lisäpalveluita (mukaan lukien kutsunsiirto ja puhelunsiirto) ja viestipalveluita ja multimediapalveluita (mukaan lukien tekstiviestipalvelut, EMS-palvelut (Enhanced Media Service) ja multimediapalvelut);

d)      ’käyttäjätunnuksella’ yksilöllistä, henkilöille Internet-yhteyspalvelun tai Internet-viestintäpalvelun tilaamisen tai siihen kirjautumisen yhteydessä osoitettavaa tunnistetta;

e)      ’solun tunnistenumerolla’ sen solun tunnusta, josta tai johon matkapuhelu soitettiin;

f)      ’epäonnistuneella kutsulla’ viestintää, jossa puhelinyhteys on saatu, mutta siihen ei vastattu, tai on tehty verkonhallintatoimenpide.

3 artikla

Tietojen säilyttämisvelvollisuus

1.       Poiketen siitä, mitä direktiivin 2002/58/EY 5, 6 ja 9 artiklassa säädetään, jäsenvaltioiden on toteutettava toimenpiteitä sen varmistamiseksi, että tämän direktiivin 5 artiklassa eritellyt tiedot säilytetään tämän direktiivin säännösten mukaisesti, jos ne ovat yleisesti saatavilla olevien sähköisten viestintäpalvelujen tai yleisten viestintäverkkojen tarjoajien toimivaltansa puitteissa kyseessä olevia viestintäpalveluja toimittaessaan tuottamia tai käsittelemiä.

2.       Edellä 1 kohdassa säädetty tietojen säilyttämisvelvollisuus koskee myös 5 artiklassa eriteltyjen tietojen säilyttämistä epäonnistuneista kutsuista, joissa yleisesti saatavilla olevien sähköisten viestintäpalvelujen tai yleisten viestintäverkkojen tarjoajat tuottavat tai käsittelevät ja varastoivat puhelutietoja taikka kirjaavat Internet-yhteystietoja kyseisen jäsenvaltion toimivallan puitteissa kyseessä olevia viestintäpalveluja toimittaessaan. Tässä direktiivissä ei edellytetä tietojen säilyttämistä puheluista, joissa yhteyttä ei saatu.

4 artikla

Tietojen saanti

Jäsenvaltioiden on toteutettava toimenpiteitä sen varmistamiseksi, että tämän direktiivin nojalla säilytetyt tiedot toimitetaan yksinomaan erityistapauksissa kansallisen lainsäädännön mukaan toimivaltaisille kansallisille viranomaisille. Kunkin jäsenvaltion on kansallisessa lainsäädännössään määritettävä noudatettavat menettelyt ja säilytettävien tietojen saannin edellytykset ottaen huomioon välttämättömyyden ja suhteellisuuden vaatimusten täyttyminen sekä Euroopan unionin oikeuden ja kansainvälisen julkisoikeuden asiaan liittyvät säännökset ja erityisesti Euroopan ihmisoikeussopimuksen määräykset, sellaisina kuin Euroopan ihmisoikeustuomioistuin on niitä tulkinnut.

5 artikla

Säilytettävät tietoluokat

1.       Jäsenvaltioiden on varmistettava, että tämän direktiivin nojalla säilytetään seuraavat tietoluokat:

a)      viestinnän lähteen jäljittämiseksi ja tunnistamiseksi tarvittavat tiedot:

1)      kiinteissä verkoissa ja matkaviestintäverkoissa tapahtuvan puhelintoiminnan osalta:

i)      puhelinnumero, josta on soitettu;

ii)      tilaajan tai rekisteröidyn käyttäjän nimi ja osoite;

2)       Internet-yhteyden, Internet-sähköpostin ja Internet-puhelimen osalta:

i)      osoitettu käyttäjätunnus tai osoitetut käyttäjätunnukset;

ii)      yleiseen puhelinverkkoon saapuvalle viestille rekisteröity käyttäjätunnus ja puhelinnumero;

iii)      sen tilaajan tai rekisteröidyn käyttäjän nimi ja osoite, jonka nimiin Internet-protokollaosoite (IP-osoite), käyttäjätunnus tai puhelinnumero oli rekisteröity silloin, kun yhteys otettiin;

b)      viestinnän kohteen jäljittämiseksi ja tunnistamiseksi tarvittavat tiedot:

1)      kiinteissä verkoissa ja matkaviestintäverkoissa tapahtuvan puhelintoiminnan osalta:

i)      valittu puhelinnumero tai valitut puhelinnumerot (johon tai joihin on soitettu) sekä tapauksissa, joissa on käytetty lisäpalveluita, kuten ennakkosiirtoa tai kutsunsiirtoa, numero tai numerot, joihin puhelu siirrettiin;

ii)      tilaajien tai rekisteröityjen käyttäjien nimet ja osoitteet;

2)      Internet-sähköpostin ja Internet-puhelimen osalta:

i)      Internet-puhelun aiotun vastaanottajan tai aiottujen vastaanottajien käyttäjätunnus tai puhelinnumero;

ii)      tilaajien tai rekisteröityjen käyttäjien nimet ja osoitteet sekä viestinnän aiotun vastaanottajan käyttäjätunnus;

c)      viestinnän päivämäärän, kellonajan ja keston määrittämiseen tarvittavat tiedot:

1)      kiinteissä verkoissa ja matkaviestintäverkoissa tapahtuvan puhelintoiminnan osalta yhteyden alkamisen ja päättymisen päivämäärä ja kellonaika;

2)      Internet-yhteyden, Internet-sähköpostin ja Internet-puhelimen osalta:

i)       Internet-yhteyspalvelun alkamisen ja päättymisen päivämäärät ja kellonajat määrätyllä aikavyöhykkeellä, Internet-palvelun tarjoajan liittymälle osoittama dynaaminen tai staattinen Internet-protokollaosoite (IP-osoite) sekä tilaajan tai rekisteröidyn käyttäjän käyttäjätunnus;

ii)      Internet-sähköpostin tai Internet-puhelimen palvelun alkamisen ja päättymisen päivämäärät ja kellonajat määrätyllä aikavyöhykkeellä;

d)      viestintätyypin tunnistamiseksi tarvittavat tiedot:

1)      kiinteissä verkoissa ja matkaviestintäverkoissa tapahtuvan puhelintoiminnan osalta: käytetty puhelinpalvelu;

2)      Internet-sähköpostin ja Internet-puhelimen osalta: käytetty Internet-palvelu;

e)      käyttäjien viestintälaitteen tai oletetun viestintälaitteen tunnistamiseksi tarvittavat tiedot:

1)      kiinteissä verkoissa tapahtuvan puhelintoiminnan osalta puhelinnumerot, joista ja joihin on soitettu;

2)      matkaviestintäverkoissa tapahtuvan puhelintoiminnan osalta:

i)      puhelinnumerot, joista ja joihin on soitettu;

ii)      soittajan kansainvälinen matkaviestintilaajan tunnus (IMSI-tunnus);

iii)      soittajan kansainvälinen matkaviestimen laitetunnus (IMEI-tunnus);

iv)      vastaanottajan IMSI-tunnus;

v)      vastaanottajan IMEI-tunnus;

vi)      ennalta maksetun anonyymin palvelun tapauksessa palvelun ensimmäisen aktivoinnin päivämäärä ja kellonaika sekä sijaintitunniste (solun tunnistenumero), josta palvelu aktivoitiin;

3)      Internet-yhteyden, Internet-sähköpostin ja Internet-puhelimen osalta:

i)      modeemia käyttävien yhteyksien osalta puhelinnumero, josta on soitettu;

ii)      digitaalinen liittymä (DSL-liittymä) tai muu viestinnän lähteen loppupiste;

f)      matkaviestintälaitteen sijainnin tunnistamiseksi tarvittavat tiedot:

1)      sijaintitunniste (solun tunnistenumero) viestinnän alkaessa;

2)      tiedot solujen maantieteellisestä sijainnista sen perusteella, mitkä olivat solujen sijaintitunnisteet (solujen tunnistenumerot) sinä aikana, jolta viestintätiedot on säilytetty.

2.      Viestinnän sisällön paljastavia tietoja ei voida säilyttää tämän direktiivin nojalla.

6 artikla

Säilytysaika

Jäsenvaltioiden on varmistettava, että 5 artiklassa eritellyt tietoluokat säilytetään vähintään kuuden kuukauden ja enintään kahden vuoden ajan viestinnän päivämäärästä.

7 artikla

Tietosuoja ja tietoturva

Rajoittamatta direktiivin 95/46/EY ja direktiivin 2002/58/EY nojalla annettuja säännöksiä jokaisen jäsenvaltion on varmistettava, että yleisesti saatavilla olevien sähköisten viestintäpalvelujen ja yleisten viestintäverkkojen tarjoajat noudattavat tämän direktiivin mukaisesti säilytettyjen tietojen käsittelyssä vähintään seuraavia tietoturvaperiaatteita:

a)      säilytettyjen tietojen on oltava laadultaan samanlaisia ja niiden on nautittava samaa tietoturvaa ja -suojaa kuin kyseisten verkossa olevien tietojen;

b)      tiedoille on suoritettava asianmukaisia teknisiä ja organisatorisia toimia niiden suojaamiseksi tahattomalta tai laittomalta tuhoamiselta, tahattomalta kadottamiselta tai muuttamiselta taikka luvattomalta tai laittomalta varastoinnilta, käsittelyltä, käytöltä tai välittämiseltä edelleen;

c)      tiedoille on suoritettava asianmukaisia teknisiä ja organisatorisia toimia sen varmistamiseksi, että vain henkilöt, joilla on siihen erityisvaltuudet, voivat käyttää tietoja;

ja

d)      tiedot, lukuun ottamatta tietoja, joita on käytetty ja jotka on tallennettu, on tuhottava säilytysajan lopussa.

8 artikla

Säilytettyjen tietojen varastointia koskevat vaatimukset

Jäsenvaltioiden on varmistettava, että tämän direktiivin nojalla säilytettävät 5 artiklassa eritellyt tiedot ja kyseisiin tietoihin liittyvät muut tarpeelliset tiedot säilytetään sellaisella tavalla, että ne voidaan toimittaa pyynnöstä toimivaltaisille viranomaisille ilman tarpeetonta viivästystä.

9 artikla

Tarkastusviranomainen

1.      Kunkin jäsenvaltion on nimettävä yksi tai useampi viranomainen, joka valvoo jäsenvaltioiden 7 artiklan mukaisesti hyväksymien, säilytettyjen tietojen turvallisuutta koskevien säännösten soveltamista asianomaisen jäsenvaltion alueella. Valvonnasta voivat huolehtia direktiivin 95/46/EY 28 artiklassa tarkoitetut viranomaiset.

2.      Edellä 1 kohdassa tarkoitetut viranomaiset toimivat ehdottoman riippumattomasti kyseisessä kohdassa tarkoitettua valvontaa suorittaessaan.

– –

11 artikla

Direktiivin 2002/58/EY muuttaminen

Lisätään direktiivin 2002/58/EY 15 artiklaan kohta seuraavasti:

ʼ1a.  Edellä olevaa 1 kohtaa ei sovelleta tietoihin, jotka on [direktiivin 2006/24] nojalla erityisesti säilytettävä kyseisen direktiivin 1 artiklan 1 kohdassa eriteltyjä tarkoituksia varten.

– –’

13 artikla

Oikeuskeinot, vastuu ja seuraamukset

1.       Kunkin jäsenvaltion on aiheellisin toimin varmistettava, että direktiivin 95/46/EY III luvun oikeuskeinoja, vastuuta ja sanktioita koskevien säännösten kansalliset täytäntöönpanotoimet toteutetaan täysimittaisesti tämän direktiivin nojalla tapahtuvassa tietojen käsittelyssä.

2.       Kunkin jäsenvaltion on aiheellisin toimin varmistettava erityisesti, että tämän direktiivin mukaisesti säilytettyjen tietojen tahallisesta käytöstä tai siirtämisestä, jota ei ole sallittu tämän direktiivin nojalla annetussa kansallisessa lainsäädännössä, langetetaan tehokkaita, oikeasuhteisia ja varoittavia hallinnollisia tai rikosoikeudellisia seuraamuksia.ˮ

 Pääasiat ja ennakkoratkaisukysymykset

 Asia C-293/12

17      Digital Rights nosti 11.8.2006 High Courtissa kanteen, jossa se väittää omistavansa matkapuhelimen, joka rekisteröitiin 3.6.2006 ja jota se väittää käyttäneensä rekisteröintipäivästä lähtien. Se kyseenalaistaa sähköiseen viestintään liittyvien tietojen säilyttämistä koskevien kansallisten lainsäädäntö- ja hallintotoimien lainmukaisuuden ja vaatii ennakkoratkaisupyynnön esittänyttä tuomioistuinta muun muassa toteamaan mitättömiksi direktiivin 2006/24 ja vuoden 2005 rikosoikeutta (terrorismirikoksia) koskevan lain (Criminal Justice (Terrorist Offences) Act 2005) seitsemännen osan, jossa säädetään, että puhelinviestintäpalvelujen tarjoajien on säilytettävä näihin palveluihin liittyviä liikenne- ja paikkatietoja laissa määritetyn ajan rikosten ehkäisemistä, selvittämistä, tutkimista ja syyteharkintaa varten sekä valtion turvallisuuden suojelemiseksi.

18      High Court katsoo, ettei se voi ratkaista sen käsiteltäväksi saatettuja kansalliseen oikeuteen liittyviä kysymyksiä ilman, että direktiivin 2006/24 pätevyys tutkitaan, ja se on päättänyt lykätä asian käsittelyä ja esittää unionin tuomioistuimelle seuraavat ennakkoratkaisukysymykset:

ˮ1)      Onko direktiivin 2006/24 3, 4 ja 6 artiklan vaatimuksista johtuva kantajan matkapuhelinviestintään liittyvien oikeuksien rajoittaminen ristiriidassa SEU 5 artiklan 4 kohdan kanssa siltä osin, että se on suhteetonta ja tarpeetonta tai ei sovellu seuraavien hyväksyttävien tavoitteiden saavuttamiseen:

a)      sen varmistaminen, että tietyt tiedot ovat käytettävissä vakavan rikollisuuden tutkintaa, selvittämistä ja syyteharkintaa varten

ja/tai

b)      Euroopan unionin sisämarkkinoiden moitteettoman toiminnan varmistaminen?

2)      Erityisesti halutaan selvittää seuraavaa:

a)      Onko direktiivi 2006/24 yhteensopiva SEUT 21 artiklassa vahvistetun vapaata liikkumista ja oleskelua jäsenvaltioiden alueella koskevan kansalaisten oikeuden kanssa?

b)      Onko direktiivi 2006/24 yhteensopiva [Euroopan unionin perusoikeuskirjan (jäljempänä perusoikeuskirja)] 7 artiklassa ja Euroopan ihmisoikeussopimuksen 8 artiklassa vahvistetun yksityiselämän kunnioitusta koskevan oikeuden kanssa?

c)      Onko direktiivi 2006/24 yhteensopiva perusoikeuskirjan 8 artiklassa vahvistetun henkilötietojen suojaa koskevan oikeuden kanssa?

d)      Onko direktiivi 2006/24 yhteensopiva perusoikeuskirjan 11 artiklassa ja Euroopan ihmisoikeussopimuksen 10 artiklassa vahvistetun sananvapautta koskevan oikeuden kanssa?

e)      Onko direktiivi 2006/24 yhteensopiva perusoikeuskirjan 41 artiklassa vahvistetun hyvää hallintoa koskevan oikeuden kanssa?

3)      Missä määrin perussopimukset – ja erityisesti SEU 4 artiklan 3 kohdassa vahvistettu vilpittömän yhteistyön periaate – edellyttävät kansallisen tuomioistuimen tutkivan ja arvioivan direktiivin 2006/24 kansallisten täytäntöönpanotoimenpiteiden yhteensopivuutta perusoikeuskirjan, muun muassa sen 7 artiklan (joka noudattelee Euroopan ihmisoikeussopimuksen 8 artiklaa), mukaisten takeiden kanssa?”

 Asia C-594/12

19      Asiassa C-594/12 esitetyn ennakkoratkaisupyynnön taustalla on useita kanteita, jotka Kärntner Landesregierung sekä Seitlinger, Tschohl ja 11 128 muuta kantajaa nostivat Verfassungsgerichtshofissa ja joissa ne vaativat kumoamaan vuoden 2003 televiestintälain (Telekommunikationsgesetz 2003) 102a §:n, joka lisättiin tähän lakiin sitä muuttavalla liittovaltion lailla (Bundesgesetz, mit dem das Telekommunikationsgesetz 2003 – TKG 2003 geändert wird; BGBl. I, 27/2011) direktiivin 2006/24 saattamiseksi osaksi Itävallan sisäistä oikeutta. Nämä asianosaiset väittävät muun muassa, että 102a §:llä loukataan yksilöiden perusoikeutta heidän tietojensa suojaan.

20      Verfassungsgerichtshof kysyy muun muassa, onko direktiivi 2006/24 yhteensoveltuva perusoikeuskirjan kanssa siltä osin kuin direktiivissä sallitaan monenlaisten tietojen varastointi rajoittamattoman henkilömäärän osalta pitkäksi ajaksi. Tietojen säilyttäminen koskee lähes yksinomaan henkilöitä, joiden käyttäytyminen ei mitenkään oikeuta heitä koskevien tietojen säilyttämiseen. Näihin henkilöihin kohdistuu tavallista suurempi vaara siitä, että viranomaiset keräävät heidän tietojaan, tutustuvat tietojen sisältöön, hankkivat tietoa tällaisten henkilöiden yksityiselämästä ja käyttävät tällaisia tietoja muihin tarkoituksiin, kun otetaan huomioon muun muassa niiden henkilöiden ääretön määrä, jotka voivat saada tietoja vähintään kuuden kuukauden ajan. Ennakkoratkaisupyynnön esittäneen tuomioistuimen mukaan on epäiltävä yhtäältä sitä, voidaanko tällä direktiivillä saavuttaa sillä tavoitellut päämäärät, ja toisaalta sitä, onko kyseisiin perusoikeuksiin puuttuminen oikeasuhteista.

21      Näissä olosuhteissa Verfassungsgerichtshof on päättänyt lykätä asian käsittelyä ja esittää unionin tuomioistuimelle seuraavat ennakkoratkaisukysymykset:

ˮ1)      Unionin toimielinten toimien pätevyys:

Ovatko direktiivin 2006/24 3–9 artikla yhteensopivia [perusoikeuskirjan] 7, 8 ja 11 artiklan kanssa?

2)      Perussopimusten tulkinta

a)      Onko direktiivi 95/46 ja yksilöiden suojelusta yhteisöjen toimielinten ja elinten suorittamassa henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta 18.12.2000 annettu Euroopan parlamentin ja neuvoston asetus (EY) N:o 45/2001 [EYVL 2001, L 8, s. 1] otettava huomioon puuttumisten sallittavuutta arvioitaessa samanveroisesti perusoikeuskirjan 8 artiklan 2 kohdassa ja 52 artiklan 1 kohdassa vahvistettujen edellytysten kanssa, kun otetaan huomioon perusoikeuskirjan 8 artiklaa koskevat selitykset, jotka on laadittu perusoikeuskirjan 52 artiklan 7 kohdan mukaan [sen] tulkitsemisen ohjaamiseksi ja jotka Verfassungsgerichtshofin on otettava asianmukaisesti huomioon?

b)      Mikä on perusoikeuskirjan 52 artiklan 3 kohdan viimeisessä virkkeessä tarkoitetun unionin oikeuden (’Recht der Union’) suhde tietosuojaoikeuksia koskeviin direktiiveihin?

c)      Kun pidetään mielessä direktiivin 95/46 ja asetuksen – – N:o 45/2001 sisältämät ehdot ja rajoitukset, jotka liittyvät perusoikeuskirjassa vahvistetun tietosuojaa koskevan perusoikeuden turvaamiseen, onko myöhemmin annettuun johdettuun oikeuteen perustuvat muutokset otettava huomioon perusoikeuskirjan 8 artiklan tulkinnassa?

d)      Kun otetaan huomioon perusoikeuskirjan 52 artiklan 4 kohta, seuraako perusoikeuskirjan 53 artiklassa tarkoitetusta suojan korkeamman tason säilyttämistä koskevasta periaatteesta, että perusoikeuskirjaan perustuvia rajoja, jotka koskevat johdetulla oikeudella hyväksyttävästi tehtäviä rajoituksia, on tiukennettava?

e)      Kun otetaan huomioon perusoikeuskirjan 52 artiklan 3 kohta, johdanto-osan viides perustelukappale ja 7 artiklaa koskevat selitykset, joiden mukaan siinä taatut oikeudet vastaavat Euroopan ihmisoikeussopimuksen 8 artiklassa tarkoitettuja oikeuksia, voiko Euroopan ihmisoikeussopimuksen 8 artiklaa koskevasta Euroopan ihmisoikeustuomioistuimen oikeuskäytännöstä ilmetä sellaisia perusoikeuskirjan 8 artiklan tulkintaa koskevia näkökohtia, joilla on vaikutusta viimeksi mainitun artiklan tulkintaan?”

22      Unionin tuomioistuimen presidentin 11.6.2013 antamalla määräyksellä asiat C‑293/12 ja C‑594/12 yhdistettiin suullista käsittelyä sekä tuomion antamista varten.

 Ennakkoratkaisukysymykset

 Toisen kysymyksen b–d kohta asiassa C-293/12 ja ensimmäinen kysymys asiassa C-594/12

23      Toisen kysymyksen b–d kohdassa asiassa C-293/12 ja ensimmäisessä kysymyksessä asiassa C-594/12, joita on tutkittava yhdessä, ennakkoratkaisua pyytäneet tuomioistuimet pyytävät unionin tuomioistuinta tutkimaan direktiivin 2006/24 pätevyyden perusoikeuskirjan 7, 8 ja 11 artiklan kannalta.

 Perusoikeuskirjan 7, 8 ja 11 artiklan merkitys direktiivin 2006/24 pätevyyttä koskevan kysymyksen kannalta

24      Direktiivin 2006/24 1 artiklasta ja sen johdanto-osan 4, 5, 7–11, 21 ja 22 perustelukappaleesta ilmenee, että direktiivin tavoitteena on yhdenmukaistaa jäsenvaltioiden säännökset, jotka koskevat yleisesti saatavilla olevien sähköisten viestintäpalvelujen tai yleisten viestintäverkkojen tarjoajien tuottamien tai käsittelemien eräiden tietojen säilyttämistä sen varmistamiseksi, että kyseiset tiedot ovat käytettävissä vakavan rikollisuuden, kuten järjestäytyneen rikollisuuden ja terrorismin, ehkäisemistä, tutkintaa, selvittämistä ja syyteharkintaa varten perusoikeuskirjan 7 ja 8 artiklan mukaisia oikeuksia noudattaen.

25      Direktiivin 2006/24 3 artiklassa säädetty yleisesti saatavilla olevien sähköisten viestintäpalvelujen tai yleisten viestintäverkkojen tarjoajien velvollisuus säilyttää direktiivin 5 artiklassa lueteltuja tietoja, jotta toimivaltaiset kansalliset viranomaiset voivat tarvittaessa saada ne, herättää kysymyksiä perusoikeuskirjan 7 artiklassa vahvistetun yksityiselämän ja viestien suojan, perusoikeuskirjan 8 artiklassa määrätyn henkilötietojen suojan sekä perusoikeuskirjan 11 artiklassa vahvistetun sananvapauden noudattamisen kannalta.

26      Tästä on todettava, että tiedot, joita yleisesti saatavilla olevien sähköisten viestintäpalvelujen tai yleisten viestintäverkkojen tarjoajien on direktiivin 2006/24 3 ja 5 artiklan nojalla säilytettävä, ovat muun muassa viestinnän lähteen ja kohteen jäljittämiseksi ja tunnistamiseksi tarvittavat tiedot, viestinnän päivämäärän, kellonajan, keston ja tyypin sekä käyttäjien viestintälaitteen määrittämiseksi tarvittavat tiedot sekä matkaviestintälaitteen sijainnin tunnistamiseksi tarvittavat tiedot, joihin kuuluu muun muassa tilaajan tai rekisteröidyn käyttäjän nimi ja osoite, soittajan puhelinnumero ja valittu numero sekä internetpalvelujen IP-protokollaosoite. Näiden tietojen avulla voidaan muun muassa saada selville kuka on se henkilö, jonka kanssa tilaaja tai rekisteröity käyttäjä on viestinyt ja millä laitteella, sekä määrittää viestinnän ajankohta sekä paikka, josta käsin viestintä tapahtui. Niiden avulla voidaan lisäksi saada tietoon, kuinka tiheästi tilaaja tai rekisteröity käyttäjä on viestinyt tiettyjen henkilöiden kanssa tietyn ajanjakson aikana.

27      Näiden tietojen kokonaisuus voi mahdollistaa hyvin tarkkojen päätelmien tekemisen niiden henkilöiden, joiden tietoja on säilytetty, yksityiselämästä, kuten elämäntavoista, vakituisista tai väliaikaisista oleskelupaikoista, päivittäisestä tai muusta liikkumisesta, tekemisestä sekä näiden henkilöiden sosiaalisista suhteista ja heidän sosiaalisesta ympäristöstään.

28      Vaikka direktiivissä 2006/24 ei sen 1 artiklan 2 kohdan ja 5 artiklan 2 kohdan mukaan sallita viestinnän sisällön eikä sähköistä viestintäverkkoa käyttämällä haettujen tietojen säilyttämistä, tässä tilanteessa ei voida sulkea pois sitä, että kyseisten tietojen säilyttäminen voi vaikuttaa tilaajien tai rekisteröityjen käyttäjien tässä direktiivissä tarkoitettujen viestintävälineiden käyttöön ja näin ollen viimeksi mainittujen perusoikeuskirjan 11 artiklassa taatun sananvapauden harjoittamiseen.

29      Tietojen säilyttäminen direktiivissä 2006/24 säädetyllä tavalla, jotta toimivaltaiset viranomaiset voivat saada niitä, koskee suoraan ja erityisesti yksityiselämää ja näin ollen perusoikeuskirjan 7 artiklassa taattuja oikeuksia. Lisäksi tällainen tietojen säilyttäminen kuuluu myös sen 8 artiklan soveltamisalaan, koska se merkitsee tässä artiklassa tarkoitettua henkilötietojen käsittelyä ja sen on näin ollen välttämättä täytettävä tästä artiklasta johtuvat tietojen suojan vaatimukset (tuomio Volker und Markus Schecke ja Eifert, C-92/09 ja C-93/09, EU:C:2010:662, 47 kohta).

30      Vaikka käsiteltävissä asioissa tehdyissä ennakkoratkaisupyynnöissä nousee esille muun muassa periaatteellinen kysymys siitä, voidaanko tilaajien ja rekisteröityjen käyttäjien tietoja perusoikeuskirjan 7 artikla huomioon ottaen säilyttää vai ei, ne koskevat myös kysymystä siitä, täytetäänkö direktiivissä 2006/24 perusoikeuskirjan 8 artiklasta johtuvat henkilötietojen suojan vaatimukset.

31      Edellä esitetyillä perusteilla vastauksen antamiseksi toisen kysymyksen b–d kohtaan asiassa C-293/12 ja ensimmäiseen kysymykseen asiassa C-594/12 on tutkittava direktiivin pätevyyttä perusoikeuskirjan 7 ja 8 artiklan kannalta.

 Perusoikeuskirjan 7 ja 8 artiklassa vahvistettuihin oikeuksiin puuttumisen olemassaolo

32      Kun direktiivissä 2006/24 velvoitetaan säilyttämään sen 5 artiklan 1 kohdassa luetellut tiedot ja annetaan toimivaltaisille kansallisille viranomaisille oikeus saada niitä, tässä direktiivissä poiketaan, kuten julkisasiamies erityisesti ratkaisuehdotuksensa 39 ja 40 kohdassa totesi, yksityiselämän suojan kunnioitusta koskevan oikeuden suojaa koskevasta säännöstöstä, joka luotiin direktiiveillä 95/46 ja 2002/58 sähköisen viestinnän alalla tapahtuvan henkilötietojen käsittelyn osalta, sillä näissä viimeksi mainituissa direktiiveissä säädettiin viestien ja liikennetietojen luottamuksellisuudesta sekä velvollisuudesta poistaa nämä tiedot tai tehdä ne nimettömiksi, kun niitä ei enää tarvita viestinnän välittämiseen, paitsi jos ne ovat tarpeellisia laskuttamisessa ja ainoastaan niin kauan kuin tämä tarve on voimassa.

33      Yksityiselämän kunnioituksen perusoikeuteen puuttumisen olemassaolon osoittamisessa merkitystä ei ole sillä, ovatko kyseiset yksityiselämään liittyvät tiedot arkaluonteisia vai eivät tai onko asianomaisille mahdollisesti aiheutunut haittaa tästä puuttumisesta (ks. vastaavasti tuomio Österreichischer Rundfunk ym., C-465/00, C-138/01 ja C-139/01, EU:C:2003:294, 75 kohta).

34      Tästä seuraa, että direktiivin 2006/24 3 ja 6 artiklassa yleisesti saatavilla olevien sähköisten viestintäpalvelujen tai yleisten viestintäverkkojen tarjoajille asetettu velvollisuus säilyttää tietyn ajan tietoja henkilön yksityiselämästä ja hänen viestinnästään, kuten tämän direktiivin 5 artiklassa mainittuja tietoja, merkitsee sellaisenaan puuttumista perusoikeuskirjan 7 artiklassa taattuihin oikeuksiin.

35      Lisäksi toimivaltaisten kansallisten viranomaisten oikeus saada tietoja merkitsee myös puuttumista tähän perusoikeuteen (ks. Euroopan ihmisoikeussopimuksen 8 artiklan osalta Euroopan ihmisoikeustuomioistuimen tuomiot asiassa Leander v. Ruotsi, 26.3.1987, A-sarja, nro 116, 48 kohta; asiassa Rotaru v. Romania (suuri jaosto), nro 28341/95, 46 kohta, CEDH 2000-V ja asiassa Weber ja Saravia v. Saksa (päätös), nro 54934/00, 79 kohta, CEDH 2006-XI). Näin ollen direktiivin 2006/24 4 ja 8 artikla, joissa säädetään toimivaltaisten kansallisten viranomaisten tietojen saantia koskevista säännöistä, merkitsevät myös puuttumista perusoikeuskirjan 7 artiklassa taattuihin oikeuksiin.

36      Direktiivi 2006/24 merkitsee samoin puuttumista perusoikeuskirjan 8 artiklassa taattuun henkilötietojen suojan perusoikeuteen, koska direktiivissä säädetään henkilötietojen käsittelystä.

37      On todettava, että direktiivin 2006/24 sisältämä puuttuminen perusoikeuskirjan 7 ja 8 artiklassa vahvistettuihin perusoikeuksiin on, kuten julkisasiamies esittää erityisesti ratkaisuehdotuksensa 77 ja 80 kohdassa, laajamittaista, ja se on katsottava erityisen vakavaksi. Lisäksi tietojen säilyttäminen ja niiden myöhempi käyttö ilman, että tilaajalle tai rekisteröidylle käyttäjälle ilmoitetaan siitä, voi aiheuttaa kyseisille ihmisille, kuten julkisasiamies toteaa ratkaisuehdotuksensa 52 ja 72 kohdassa, tunteen siitä, että heidän yksityiselämänsä on jatkuvan tarkkailun kohteena.

 Perusoikeuskirjan 7 ja 8 artiklassa taattuihin oikeuksiin puuttumisen perusteltavuus

38      Perusoikeuskirjan 52 artiklan 1 kohdan mukaan perusoikeuskirjassa vahvistettujen oikeuksien ja vapauksien käyttämistä voidaan rajoittaa ainoastaan lailla ja niiden keskeistä sisältöä kunnioittaen ja suhteellisuusperiaatteen mukaisesti rajoituksia näihin oikeuksiin ja vapauksiin voidaan säätää ainoastaan, jos ne ovat välttämättömiä ja vastaavat tosiasiallisesti unionin tunnustamia yleisen edun mukaisia tavoitteita tai tarvetta suojella muiden henkilöiden oikeuksia ja vapauksia.

39      Yksityiselämän kunnioitusta koskevan perusoikeuden ja muiden perusoikeuskirjan 7 artiklassa vahvistettujen oikeuksien keskeisestä sisällöstä on todettava, että vaikka tietojen säilyttäminen, johon direktiivissä 2006/24 velvoitetaan, merkitsee erityisen vakavaa puuttumista näihin oikeuksiin, se ei ole omiaan aiheuttamaan haittaa mainitulle sisällölle, koska kuten direktiivin 1 artiklan 2 kohdasta ilmenee, siinä ei sallita tiedon saamista sähköisen viestinnän sisällöstä sellaisenaan.

40      Tämä tietojen säilyttäminen ei myöskään ole omiaan aiheuttamaan haittaa perusoikeuskirjan 8 artiklassa vahvistetun henkilötietojen suojaa koskevan perusoikeuden keskeiselle sisällölle, koska direktiivin 2006/24 7 artiklassa säädetään tietosuojaa ja tietoturvaa koskevasta säännöstä, jonka mukaan rajoittamatta direktiivin 95/46 ja direktiivin 2002/58 nojalla annettuja säännöksiä yleisesti saatavilla olevien sähköisten viestintäpalvelujen ja yleisten viestintäverkkojen tarjoajien on noudatettava tiettyjä tietosuojaa ja tietoturvaa koskevia periaatteita, joiden mukaan jäsenvaltiot varmistavat, että suoritetaan asianmukaisia teknisiä ja organisatorisia toimia tietojen suojaamiseksi tahattomalta tai laittomalta tuhoamiselta sekä tahattomalta kadottamiselta tai muuttamiselta.

41      Siitä kysymyksestä, vastaako mainittu puuttuminen yleisen edun mukaista tavoitetta, on todettava, että vaikka direktiivin 2006/24 tarkoituksena on yhdenmukaistaa jäsenvaltioiden säännökset, jotka koskevat mainittujen tarjoajien tuottamien tai käsittelemien eräiden tietojen säilyttämiseen liittyviä velvollisuuksia, tämän direktiivin aineellinen tavoite on, kuten sen 1 artiklan 1 kohdasta ilmenee, varmistaa, että kyseiset tiedot ovat käytettävissä kunkin jäsenvaltion kansallisessa lainsäädännössä vakavaksi rikollisuudeksi määritellyn rikollisuuden tutkintaa, selvittämistä ja syyteharkintaa varten. Tämän direktiivin aineellinen tavoite on näin ollen myötävaikuttaa vakavan rikollisuuden torjumiseen ja näin ollen lopulta yleiseen turvallisuuteen.

42      Unionin tuomioistuimen oikeuskäytännöstä ilmenee, että kansainvälisen terrorismin torjuminen kansainvälisen rauhan ja turvallisuuden ylläpitämiseksi on unionin yleisen edun mukainen tavoite (ks. vastaavasti tuomio Kadi ja Al Barakaat International Foundation v. neuvosto ja komissio, C-402/05 P ja C-415/05 P, EU:C:2008:461, 363 kohta ja tuomio Al-Aqsa v. neuvosto, C-539/10 P ja C-550/10 P, EU:C:2012:711, 130 kohta). Sama koskee vakavan rikollisuuden torjuntaa yleisen turvallisuuden takaamiseksi (ks. vastaavasti tuomio Tsakouridis, C-145/09, EU:C:2010:708, 46 ja 47 kohta). Lisäksi on tältä osin todettava, että perusoikeuskirjan 6 artiklassa mainitaan jokaisen oikeus paitsi vapauteen, myös henkilökohtaiseen turvallisuuteen.

43      Tältä osin direktiivin 2006/24 johdanto-osan seitsemännestä perustelukappaleesta ilmenee, että 19.12.2002 kokoontunut oikeus- ja sisäasioiden neuvosto totesi sähköisen viestinnän tarjoamien mahdollisuuksien huomattavan lisääntymisen johdosta, että sähköisen viestinnän käyttöön liittyvät tiedot ovat erityisen tärkeä ja näin myös hyödyllinen väline rikosten ja varsinkin järjestäytyneen rikollisuuden torjunnassa.

44      Näin ollen on todettava, että tietojen säilyttäminen, jotta toimivaltaiset viranomaiset voivat tarvittaessa käyttää niitä ja johon direktiivissä 2006/24 velvoitetaan, vastaa tehokkaasti yleisen edun mukaista tavoitetta.

45      Tässä tilanteessa on tarkastettava todetun puuttumisen oikeasuhteisuus.

46      Tästä on huomautettava, että suhteellisuusperiaate edellyttää unionin tuomioistuimen vakiintuneen oikeuskäytännön mukaan, että kyseessä olevan säännöstön legitiimit tavoitteet ovat toteutettavissa unionin toimielinten säädöksillä, päätöksillä ja muilla toimilla ja että niillä ei ylitetä niitä rajoja, jotka johtuvat siitä, mikä on tarpeellista näiden tavoitteiden toteuttamiseksi ja tähän soveltuvaa (ks. vastaavasti tuomio Afton Chemical, C-343/09, EU:C:2010:419, 45 kohta; tuomio Volker und Markus Schecke ja Eifert, EU:C:2010:662, 74 kohta; tuomio Nelson ym., C-581/10 ja C-629/10, EU:C:2012:657, 71 kohta; tuomio Sky Österreich, C-283/11, EU:C:2013:28, 50 kohta ja tuomio Schaible, C-101/12, EU:C:2013:661, 29 kohta).

47      Koska on kyse perusoikeuksiin puuttumisesta, näiden edellytysten noudattamista koskevassa tuomioistuinvalvonnassa unionin lainsäätäjän harkintavallan laajuus voi osoittautua rajoitetuksi tiettyjen seikkojen vuoksi, joita ovat muun muassa kyseinen ala, perusoikeuskirjassa taatun oikeuden luonne, puuttumisen luonne ja vakavuus sekä sen päämäärä (ks. analogisesti ihmisoikeussopimuksen 8 artiklan osalta Euroopan ihmisoikeustuomioistuimen tuomio asioissa S ja Marper v. Yhdistynyt kuningaskunta (suuri jaosto), nro 30562/04 ja nro 30566/04, 102 kohta, CEDH 2008-V).

48      Kun otetaan huomioon yhtäältä henkilötietojen suojan tärkeä rooli yksityiselämän kunnioitusta koskevan perusoikeuden kannalta ja toisaalta sen tähän oikeuteen puuttumisen laajuus ja vakavuus, jonka direktiivi 2006/24 sisältää, unionin lainsäätäjän harkintavalta on käsiteltävässä asiassa pieni, joten valvonnan on oltava tarkkaa.

49      Siitä kysymyksestä, voidaanko tietojen säilyttämisellä toteuttaa direktiivin 2006/24 tavoite, on todettava, että kun otetaan huomioon sähköisten viestintävälineiden kasvava merkitys, tämän direktiivin mukaan säilytettävät tiedot antavat rikosasioissa toimivaltaisille kansallisille viranomaisille lisämahdollisuuksia selvittää vakavia rikoksia ja tältä osin ne siis ovat hyödyllinen väline rikostutkinnassa. Näin ollen voidaan katsoa, että tällaisella tietojen säilyttämisellä voidaan saavuttaa mainitun direktiivin tavoite.

50      Tätä arviointia ei voida kyseenalaistaa sillä seikalla, johon muun muassa Tschohl ja Seitlinger sekä Portugalin hallitus vetoavat unionin tuomioistuimelle esittämissään kirjallisissa huomautuksissa, että on olemassa useita sähköisen viestinnän muotoja, jotka eivät kuulu direktiivin 2006/24 soveltamisalaan tai joiden avulla voidaan viestiä nimettömästi. Vaikka tämä seikka varmasti voi rajoittaa tietojen säilytystoimenpiteen soveltuvuutta tavoitellun päämäärän saavuttamiseen, se ei kuitenkaan voi tehdä tästä toimenpiteestä soveltumatonta siihen, kuten julkisasiamies toteaa ratkaisuehdotuksensa 137 kohdassa.

51      Direktiivissä 2006/24 edellytetyn tietojen säilyttämisen tarpeellisuudesta on todettava, että vakavan rikollisuuden, muun muassa järjestäytyneen rikollisuuden ja terrorismin, torjuminen on tosiaan ensisijaisen tärkeää yleisen turvallisuuden takaamiseksi, ja tämän torjumisen tehokkuus voi riippua suuressa määrin nykyaikaisten tutkintatekniikkojen käytöstä. Tällainen yleisen edun mukainen tavoite, niin perustavanluonteinen kuin se onkaan, ei kuitenkaan yksin voi oikeuttaa katsomaan direktiivissä 2006/24 säädetyn kaltaista säilyttämistoimenpidettä välttämättömäksi mainitun torjumisen kannalta.

52      Unionin tuomioistuimen vakiintuneen oikeuskäytännön mukaan yksityiselämän kunnioitusta koskevan perusoikeuden suoja kuitenkin edellyttää, että henkilötietojen suojaa koskevat poikkeukset ja rajoitukset on toteutettava täysin välttämättömän rajoissa (tuomio IPI, C-473/12, EU:C:2013:715, 39 kohta oikeuskäytäntöviittauksineen).

53      Tästä on huomattava, että henkilötietojen suoja, joka johtuu perusoikeuskirjan 8 artiklan 1 kohdassa määrätystä nimenomaisesta velvollisuudesta, on erityisen tärkeä sen 7 artiklassa vahvistetun yksityiselämän kunnioitusta koskevan oikeuden kannalta.

54      Näin ollen kyseisessä unionin lainsäädännössä on säädettävä selvistä ja täsmällisistä kyseisen toimenpiteen laajuutta ja soveltamista koskevista säännöistä, joissa asetetaan vähimmäisvaatimukset, jotta henkilöillä, joiden tietoja on säilytetty, on riittävät takeet, joiden avulla voidaan tehokkaasti suojata heidän henkilötietonsa väärinkäytön vaaroja vastaan sekä kaikenlaista näiden tietojen laitonta saantia ja käyttöä vastaan (ks. analogisesti Euroopan ihmisoikeussopimuksen 8 artiklan osalta Euroopan ihmisoikeustuomioistuimen tuomiot asiassa Liberty ym. v. Yhdistynyt kuningaskunta, nro 58243/00, 1.7.2008, 62 ja 63 kohta; em. asiassa Rotaru v. Romania, 57–59 kohta ja em. asioissa S ja Marper v. Yhdistynyt kuningaskunta, 99 kohta).

55      Tarve tällaisista takeista on sitä tärkeämpi, kun, kuten direktiivissä 2006/24 säädetään, henkilötietoja käsitellään automaattisesti ja on olemassa huomattava vaara laittomasta pääsystä näihin tietoihin (ks. analogisesti Euroopan ihmisoikeussopimuksen 8 artiklan osalta Euroopan ihmisoikeustuomioistuimen tuomiot em. asioissa S ja Marper v. Yhdistynyt kuningaskunta, 103 kohta ja asiassa K. v. Ranska, nro 19522/09, 18.4.2013, 35 kohta).

56      Siitä kysymyksestä, onko direktiivin 2006/24 sisältämä puuttuminen rajoitettu täysin välttämättömään, on todettava, että mainitun direktiivin 3 artiklassa, luettuna yhdessä sen 5 artiklan 1 kohdan kanssa, velvoitetaan kaikkien kiinteän puhelimen, matkapuhelimen, internetyhteyden, internetsähköpostin ja internetpuhelimen liikennetietojen säilyttämiseen. Näin ollen direktiivi koskee kaikkia sellaisia sähköisiä viestintävälineitä, joiden käyttö on hyvin laajaa ja joilla on kasvava merkitys jokaisen jokapäiväisessä elämässä. Lisäksi direktiivin 3 artiklan mukaan direktiivi kattaa kaikki tilaajat ja rekisteröityneet käyttäjät. Se sisältää siis puuttumisen lähes kaikkien Euroopan asukkaiden perusoikeuksiin.

57      Tästä on todettava ensiksi, että direktiivi 2006/24 kattaa yleisesti kaikki henkilöt ja kaikki sähköiset viestintävälineet sekä kaikki liikennetiedot ilman, että tehtäisiin mitään erottelua, rajoituksia tai poikkeuksia vakavan rikollisuuden torjunnan tavoitteen perusteella.

58      Yhtäältä direktiivi 2006/24 nimittäin koskee yleisellä tavalla sähköisiä viestintäpalveluja käyttäviä kaikkia henkilöitä ilman, että henkilöt, joiden tietoja säilytetään, olisivat edes epäsuorasti sellaisessa tilanteessa, joka voisi johtaa rikosoikeudellisiin toimiin. Sitä sovelletaan siis myös henkilöihin, joiden osalta ei ole mitään seikkaa, jonka perusteella voitaisiin olettaa, että heidän toimintansa voisi olla edes epäsuorasti tai kaukaisesti yhteydessä vakavaan rikollisuuteen. Siinä ei myöskään säädetä minkäänlaisesta poikkeuksesta, joten sitä sovelletaan jopa henkilöihin, joiden viestintään sovelletaan kansallisen lainsäädännön mukaan salassapitovelvollisuutta.

59      Toisaalta on niin, että vaikka tarkoituksena on myötävaikuttaa vakavan rikollisuuden torjumiseen, mainitussa direktiivissä ei vaadita minkäänlaista yhteyttä säilytettäviksi säädettyjen tietojen ja yleistä turvallisuutta koskevan uhan välillä, eikä siinä varsinkaan rajoituta säilyttämään joko tiettyyn ajanjaksoon ja/tai maantieteellisesti määriteltyyn alueeseen ja/tai sellaisten tiettyjen henkilöiden piiriin, jotka voisivat olla sekaantuneita tavalla tai toisella vakavaan rikollisuuteen, liittyviä tietoja, tai henkilöihin, joiden tietojen säilyttäminen voisi muilla perusteilla myötävaikuttaa vakavan rikollisuuden ehkäisemiseen, selvittämiseen tai syyteharkintaan, liittyviä tietoja.

60      Toiseksi tähän yleiseen rajoitusten puuttumiseen on lisättävä se seikka, ettei direktiivissä 2006/24 säädetä objektiivisesta perusteesta, jonka nojalla voitaisiin rajoittaa toimivaltaisten kansallisten viranomaisten oikeutta saada tietoja ja käyttää niitä myöhemmin sellaisten rikosten estämiseen, selvittämiseen tai syyteharkintaan, jotka voidaan perusoikeuskirjan 7 ja 8 artiklassa vahvistettuihin perusoikeuksiin puuttumisen laajuuden ja vakavuuden yhteydessä katsoa riittävän vakaviksi, jotta ne oikeuttavat tällaisen puuttumisen. Sitä vastoin direktiivin 2006/24 1 artiklan 1 kohdassa tyydytään viittaamaan yleisesti kunkin jäsenvaltion kansallisessa lainsäädännössä vakavaksi rikollisuudeksi määriteltyyn rikollisuuteen.

61      Direktiivi 2006/24 ei myöskään sisällä aineellisia ja menettelyllisiä edellytyksiä, joilla toimivaltaiset kansalliset viranomaiset voivat saada tietoja ja käyttää niitä myöhemmin. Direktiivin 4 artiklassa, jossa säädellään näiden viranomaisten oikeutta saada säilytettyjä tietoja, ei säädetä nimenomaisesti, että tämä kyseisten tietojen saanti ja myöhempi käyttö on täysin rajoitettava tarkasti rajatun vakavan rikollisuuden ehkäisemiseen ja selvittämiseen tai siihen liittyvään syyteharkintaan, vaan siinä säädetään pelkästään, että kunkin jäsenvaltion on määritettävä noudatettavat menettelyt ja säilytettävien tietojen saannin edellytykset ottaen huomioon välttämättömyyden ja suhteellisuuden vaatimusten täyttyminen.

62      Erityisesti on todettava, että direktiivissä 2006/24 ei säädetä mistään objektiivisesta perusteesta, jolla voitaisiin rajoittaa niiden henkilöiden määrää, joilla on oikeus saada ja myöhemmin käyttää säilytettäviä tietoja, tavoitellun päämäärän kannalta täysin välttämättömään. Se, että toimivaltaisilla kansallisilla viranomaisilla on oikeus saada säilytettäviä tietoja, ei ennen kaikkea edellytä joko tuomioistuimen tai itsenäisen hallinnollisen yksikön, jonka päätöksessä rajoitetaan tietojen saanti ja niiden käyttö siihen, mikä on täysin välttämätöntä tavoitellun päämäärän saavuttamiseksi, etukäteistä tarkastusta, joka suoritetaan perustellusta pyynnöstä, jonka nämä viranomaiset esittävät rikoksen estämis-, selvittämis- tai syyteharkintamenettelyssä. Ei ole myöskään säädetty jäsenvaltioiden täsmällisestä velvollisuudesta asettaa tällaisia rajoituksia.

63      Kolmanneksi on todettava näiden tietojen säilytysajasta, että direktiivin 2006/24 6 artiklassa säädetään niiden säilyttämisestä vähintään kuuden kuukauden ajan tekemättä minkäänlaista eroa tämän direktiivin 5 artiklassa säädettyjen tietoluokkien välillä sen mukaan, kuinka hyödyllisiä ne mahdollisesti ovat tavoitellun päämäärän kannalta, tai kyseessä olevien henkilöiden mukaan.

64      Lisäksi tämä kesto on vähintään kuusi kuukautta ja enintään 24 kuukautta, eikä ole tarkennettu, että säilyttämisen keston määrittämisen pitää nojautua objektiivisin perusteisiin sen takaamiseksi, että se rajoittuu täysin välttämättömään.

65      Edellä esitetystä johtuu, ettei direktiivissä 2006/24 säädetä selvistä ja täsmällisistä säännöistä, joilla säädellään perusoikeuskirjan 7 ja 8 artiklassa vahvistettuihin perusoikeuksiin puuttumisen laajuutta. Näin ollen on todettava, että tämä direktiivi sisältää laajaperäisen ja erityisen vakavan puuttumisen näihin perusoikeuksiin unionin oikeusjärjestyksessä ilman, että tällaista puuttumista olisi tarkasti rajoitettu säännöksillä, joilla voidaan taata, että se todella rajoitetaan täysin välttämättömään.

66      Lisäksi säännöistä, jotka koskevat yleisesti saatavilla olevien sähköisten viestintäpalvelujen tai yleisten viestintäverkkojen tarjoajien säilyttämien tietojen turvaa ja suojaa, on todettava, ettei direktiivissä 2006/24 säädetä sellaisista perusoikeuskirjan 8 artiklassa edellytetyistä riittävistä takeista, joilla voidaan varmistaa säilytettyjen tietojen tehokas suoja väärinkäytön vaaraa vastaan sekä näiden tietojen kaikenlaista laitonta saantia ja käyttöä vastaan. Direktiivin 2006/24 7 artiklassa ei nimittäin ensinnäkään säädetä niiden tietojen suureen määrään, joiden säilyttämistä tässä direktiivissä edellytetään, näiden tietojen arkaluonteisuuteen sekä niiden lainvastaista saantia koskevaan vaaraan mukautetuista erityisistä säännöistä, joilla on tarkoitus erityisesti säännellä selvästi ja tiukasti kyseisten tietojen suojaa ja turvaa niiden täyden koskemattomuuden ja luottamuksellisuuden takaamiseksi. Lisäksi ei säädetä myöskään jäsenvaltioiden täsmällisestä velvollisuudesta vahvistaa tällaisia sääntöjä.

67      Direktiivin 2006/24 7 artikla, luettuna yhdessä direktiivin 2002/58 4 artiklan 1 kohdan ja direktiivin 95/46 17 artiklan 1 kohdan toisen alakohdan kanssa, ei takaa sitä, että mainitut tarjoajat soveltavat erityisen korkeaa suojan ja turvan tasoa turvautumalla teknisiin ja organisatorisiin toimiin, vaan siinä annetaan näille tarjoajille muun muassa mahdollisuus ottaa soveltamansa turvallisuuden tason määrittämisessä huomioon taloudelliset näkökannat turvallisuustoimien toteuttamisen kulujen osalta. Erityisesti on todettava, että direktiivissä 2006/24 ei taata tietojen lopullista hävittämistä, kun niiden säilyttämisaika päättyy.

68      Toiseksi on lisättävä, ettei mainitussa direktiivissä edellytetä, että kyseisiä tietoja säilytetään unionin alueella, joten ei voida katsoa, että perusoikeuskirjan 8 artiklan 3 kohdassa nimenomaisesti vaadittu riippumattoman viranomaisen suorittama, tämän tuomion kahdessa edellisessä kohdassa tarkoitettujen suojaa ja turvaa koskevien vaatimusten noudattamista koskeva valvonta taataan täysin. Tällainen valvonta, joka tehdään unionin oikeuden perusteella, on kuitenkin keskeinen tekijä yksilöiden suojelussa henkilötietojen käsittelyssä (ks. vastaavasti tuomio komissio v. Itävalta, C-614/10, EU:C:2012:631, 37 kohta).

69      Edellä esitetyillä perusteilla on katsottava, että unionin lainsäätäjä ylitti direktiivin 2006/24 antaessaan rajat, joita suhteellisuusperiaatteen noudattaminen edellyttää perusoikeuskirjan 7 ja 8 artiklan ja 52 artiklan 1 kohdan kannalta.

70      Tässä tilanteessa ei tarvitse tutkia direktiivin 2006/24 pätevyyttä perusoikeuskirjan 11 artiklan kannalta.

71      Näin ollen toisen kysymyksen b–d kohtaan asiassa C-293/12 ja ensimmäiseen kysymykseen asiassa C-594/12 on vastattava, että direktiivi 2006/24 on pätemätön.

 Ensimmäinen kysymys ja toisen kysymyksen a ja e kohta sekä kolmas kysymys asiassa C-293/12 ja toinen kysymys asiassa C-594/12

72      Edellisessä kohdassa todetusta ilmenee, ettei ensimmäiseen kysymykseen, toisen kysymyksen a ja e kohtaan ja kolmanteen kysymykseen asiassa C-293/12 eikä toiseen kysymykseen asiassa C-594/12 ole tarpeen vastata.

 Oikeudenkäyntikulut

73      Pääasioiden asianosaisten osalta asioiden käsittely unionin tuomioistuimessa on välivaihe kansallisessa tuomioistuimessa vireillä olevien asioiden käsittelyssä, minkä vuoksi kansallisen tuomioistuimen asiana on päättää oikeudenkäyntikulujen korvaamisesta. Oikeudenkäyntikuluja, jotka ovat aiheutuneet muille kuin näille asianosaisille huomautusten esittämisestä unionin tuomioistuimelle, ei voida määrätä korvattaviksi.

Näillä perusteilla unionin tuomioistuin (suuri jaosto) on ratkaissut asiat seuraavasti:

Yleisesti saatavilla olevien sähköisten viestintäpalvelujen tai yleisten viestintäverkkojen yhteydessä tuotettavien tai käsiteltävien tietojen säilyttämisestä ja direktiivin 2002/58/EY muuttamisesta 15.3.2006 annettu Euroopan parlamentin ja neuvoston direktiivi 2006/24/EY on pätemätön.

Allekirjoitukset


* Oikeudenkäyntikielet: englanti ja saksa.