Language of document : ECLI:EU:C:2014:238

SODBA SODIŠČA (veliki senat)

z dne 8. aprila 2014(*)

„Elektronske komunikacije – Direktiva 2006/24/ES – Javno dostopne elektronske komunikacijske storitve ali javna komunikacijska omrežja – Hramba podatkov, pridobljenih ali obdelanih v zvezi z zagotavljanjem takih storitev – Veljavnost – Členi 7, 8 in 11 Listine Evropske unije o temeljnih pravicah“

V združenih zadevah C‑293/12 in C‑594/12,

katerih predmet sta predloga za sprejetje predhodne odločbe na podlagi člena 267 PDEU, ki sta ju vložila High Court (Irska) in Verfassungsgerichtshof (Avstrija) z odločbama z dne 27. januarja 2012 oziroma 28. novembra 2012, ki sta na Sodišče prispeli 11. junija 2012 oziroma 19. decembra 2012, v postopkih

Digital Rights Ireland Ltd (C‑293/12)

proti

Minister for Communications, Marine and Natural Resources,

Minister for Justice, Equality and Law Reform,

Commissioner of the Garda Síochána,

Ireland,

The Attorney General,

ob udeležbi

Irish Human Rights Commission

in

Kärntner Landesregierung (C‑594/12),

Michael Seitlinger,

Christof Tschohl in drugi,

SODIŠČE (veliki senat),

v sestavi V. Skouris, predsednik, K. Lenaerts, podpredsednik, A. Tizzano, predsednik senata, R. Silva de Lapuerta, predsednica senata, T. von Danwitz (poročevalec), E. Juhász, A. Borg Barthet, C. G. Fernlund in J. L. da Cruz Vilaça, predsedniki senatov, A. Rosas, G. Arestis, J.‑C. Bonichot, A. Arabadžiev, sodniki, C. Toader, sodnica, in C. Vajda, sodnik,

generalni pravobranilec: P. Cruz Villalón,

sodni tajnik: K. Malacek, administrator,

na podlagi pisnega postopka in obravnave z dne 9. julija 2013,

ob upoštevanju stališč, ki so jih predložili:

–        za Digital Rights Ireland Ltd F. Callanan, SC, in F. Crehan, BL, po pooblastilu S. McGarra, solicitor,

–        za M. Seitlingerja G. Otto, odvetnik,

–        za C. Tschohla in druge E. Scheucher, odvetnik,

–        za Irish Human Rights Commission P. Dillon Malone, BL, po pooblastilu S. Lucey, solicitor,

–        za Ireland E. Creedon in D. McGuinness, agenta, skupaj z E. Reganom, SC, in D. Fennellyjem, JC,

–        za avstrijsko vlado G. Hesse in G. Kunnert, agenta,

–        za špansko vlado N. Díaz Abad, agentka,

–        za francosko vlado G. de Bergues, D. Colas in B. Beaupère-Manokha, agenti,

–        za italijansko vlado G. Palmieri, agentka, skupaj z A. De Stefanom, avvocato dello Stato,

–        za poljsko vlado B. Majczyna in M. Szpunar, agenta,

–        za portugalsko vlado L. Inez Fernandes in C. Vieira Guerra, agenta,

–        za vlado Združenega kraljestva L. Christie, agent, skupaj s S. Leejem, barrister,

–        za Evropski parlament U. Rösslein, A. Caiola in K. Zejdová, agenti,

–        za Svet Evropske unije J. Monteiro, E. Sitbon in I. Šulce, agenti,

–        za Evropsko komisijo D. Maidani, B. Martenczuk in M. Wilderspin, agenti,

po predstavitvi sklepnih predlogov generalnega pravobranilca na obravnavi 12. decembra 2013

izreka naslednjo

Sodbo

1        Predloga za sprejetje predhodne odločbe se nanašata na veljavnost Direktive 2006/24/ES Evropskega parlamenta in Sveta z dne 15. marca 2006 o hrambi podatkov, pridobljenih ali obdelanih v zvezi z zagotavljanjem javno dostopnih elektronskih komunikacijskih storitev ali javnih komunikacijskih omrežij, in spremembi Direktive 2002/58/ES (UL L 105, str. 54).

2        Predlog, ki ga je vložilo High Court (zadeva C‑293/12), zadeva spor med družbo Digital Rights Ireland Ltd (v nadaljevanju: Digital Rights) ter Minister for Communications, Marine and Natural Resources, Minister for Justice, Equality and Law Reform, Commissioner of the Garda Síochána, Ireland in Attorney General glede zakonitosti nacionalnih zakonodajnih in upravnih ukrepov v zvezi s hrambo podatkov o elektronskih komunikacijah.

3        Predlog, ki ga je vložilo Verfassungsgerichtshof (zadeva C‑594/12), se nanaša na ustavne pritožbe, ki so jih pri tem sodišču vložili Kärntner Landesregierung (koroška deželna vlada) ter M. Seitlinger, C. Tschohl in 11.128 drugih tožečih strank, glede združljivosti zakona o prenosu Direktive 2006/24 v avstrijsko nacionalno pravo z zveznim ustavnim zakonom (Bundes-Verfassungsgesetz).

 Pravni okvir

 Direktiva 95/46/ES

4        V skladu s členom 1(1) Direktive 95/46/ES Evropskega parlamenta in Sveta z dne 24. oktobra 1995 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov (UL, posebna izdaja v slovenščini, poglavje 13, zvezek 15, str. 355) je njen namen varovati temeljne pravice in svoboščine fizičnih oseb in predvsem njihovo pravico do zasebnosti pri obdelavi osebnih podatkov.

5        Člen 17(1) navedene direktive glede varnosti obdelave takih podatkov določa:

„Države članice določijo, da mora upravljavec izvajati ustrezne tehnične in organizacijske ukrepe za zavarovanje osebnih podatkov pred slučajnim ali nezakonitim uničenjem ali slučajno izgubo, predelavo, nepooblaščenim posredovanjem ali dostopom, predvsem kadar obdelava vključuje prenos podatkov po omrežju, ter proti vsem drugim nezakonitim oblikam obdelave.

Taki ukrepi ob upoštevanju stanja tehnologije in stroškov za njihovo izvajanje zagotavljajo raven zaščite, ustrezno tveganju, ki ga predstavljata obdelava in narava podatkov, ki jih je potrebno varovati.“

 Direktiva 2002/58/ES

6        V skladu s členom 1(1) Direktive 2002/58/ES Evropskega parlamenta in Sveta z dne 12. julija 2002 o obdelavi osebnih podatkov in varstvu zasebnosti na področju elektronskih komunikacij (Direktiva o zasebnosti in elektronskih komunikacijah) (UL, posebna izdaja v slovenščini, poglavje 13, zvezek 29, str. 514), kakor je bila spremenjena z Direktivo 2009/136/ES Evropskega parlamenta in Sveta z dne 25. novembra 2009 (UL L 337, str. 11, v nadaljevanju: Direktiva 2002/58), je njen cilj usklajevati določbe držav članic, ki so potrebne za zagotovitev enakovredne ravni varstva temeljnih pravic in svoboščin ter zlasti pravice do zasebnosti in zaupnosti v zvezi z obdelavo osebnih podatkov na področju elektronskih komunikacij in za zagotovitev prostega pretoka takih podatkov ter elektronske komunikacijske opreme in storitev v Evropski uniji. V skladu z odstavkom 2 istega člena določbe te direktive podrobno opredeljujejo in dopolnjujejo Direktivo 95/46 za namene, navedene v zgoraj navedenem odstavku 1.

7        Člen 4 Direktive 2002/58 glede varnosti obdelave podatkov določa:

„1.      Ponudnik javno razpoložljive elektronske komunikacijske storitve mora sprejeti ustrezne tehnične in organizacijske ukrepe, da zagotovi varnost svojih storitev, če je treba skupaj s ponudnikom javnega komunikacijskega omrežja, kar zadeva varnost omrežja. Ob upoštevanju stanja tehnike in stroškov za izvedbo, morajo ti ukrepi zagotoviti raven varnosti, ki ustreza predvidenemu tveganju.

1a.      Brez poseganja v Direktivo 95/46/ES, ukrepi iz odstavka 1 najmanj:

–        zagotavljajo, da ima dostop do osebnih podatkov le pooblaščeno osebje za z zakonom dovoljene namene,

–        varujejo shranjene ali poslane osebne podatke pred nenamernim ali nezakonitim uničenjem, nenamerno izgubo ali spremembo ter nepooblaščeno ali nezakonito hrambo, obdelavo, dostopom ali razkritjem, in

–        zagotavljajo izvajanje varnostne politike pri obdelavi osebnih podatkov.

Pristojni nacionalni organi morajo imeti možnost opravljati revizijo ukrepov ponudnikov javno dostopnih elektronskih komunikacijskih storitev in izdajati priporočila o najboljših praksah glede ravni varnosti, ki bi jo ti ukrepi morali doseči.

2.      V primeru posebnega tveganja za kršitev varnosti omrežja mora ponudnik javno razpoložljive elektronske komunikacijske storitve obvestiti naročnike o takem tveganju in, če tveganje presega obseg ukrepov, ki jih ponudnik storitve lahko sprejme, o vseh možnih sredstvih za odpravo tveganja, vključno z navedbo verjetnih stroškov.“

8        Člen 5(1) in (3) navedene direktive glede zaupnosti sporočil in podatkov o prometu določa:

„1.      Države članice s svojo nacionalno zakonodajo zagotovijo zaupnost sporočil in s tem povezanih podatkov o prometu, ki se pošiljajo prek javnega komunikacijskega omrežja in javno razpoložljivih elektronskih komunikacijskih storitev. Zlasti prepovejo vsem osebam razen uporabnikom, da poslušajo, prisluškujejo, shranjujejo ali na druge načine prestrezajo ali nadzirajo komunikacije (sporočila) in z njimi povezane podatke o prometu, brez privolitve zadevnih uporabnikov, razen kadar je to zakonsko dovoljeno v skladu s členom 15(1). Ta odstavek ne preprečuje tehničnega shranjevanja, ki je potrebno za prenos sporočila, brez vpliva na načelo zaupnosti.

[…]

3.      Države članice zagotovijo, da je shranjevanje podatkov ali pridobivanje dostopa do podatkov, shranjenih v terminalski opremi naročnika ali uporabnika, dovoljeno samo pod pogojem, da je zadevni naročnik ali uporabnik v to privolil po tem, ko je bil jasno in izčrpno obveščen v skladu z Direktivo 95/46/ES, med drugim o namenih obdelave. To ne prepreči nobenega tehničnega shranjevanja ali dostopa izključno za namen opravljanja prenosa sporočila prek elektronskega komunikacijskega omrežja, ali, če je nujno potrebno, da ponudnik zagotovi storitve informacijske družbe, ki jo naročnik ali uporabnik izrecno zahtevata.“

9        Člen 6(1) Direktive 2002/58 določa:

„Podatki o prometu, ki se nanašajo na naročnike in uporabnike in ki jih je ponudnik javnega komunikacijskega omrežja ali javno razpoložljive elektronske komunikacijske storitve obdelal in shranil, morajo biti izbrisani ali predelani v anonimne, potem ko niso več potrebni za namen prenosa sporočila, kar ne vpliva na odstavke 2, 3 in 5 tega člena in člena 15(1).“

10      Člen 15(1) Direktive 2002/58 določa:

„Države članice lahko sprejmejo zakonske ukrepe, s katerimi omejijo obseg pravic in obveznosti, določenih v členu 5, členu 6, členu 8(1), (2), (3) in (4) ter členu 9 te direktive, kadar takšna omejitev pomeni potreben, primeren in ustrezen ukrep znotraj demokratične družbe za zaščito državne varnosti (to je Državne varnosti), obrambe, javne varnosti in preprečevanje, preiskovanje, odkrivanje in pregon kriminalnih dejanj ali nedovoljene uporabe elektronskega komunikacijskega sistema iz člena 13(1) Direktive 95/46/ES. V ta namen lahko države članice med drugim sprejmejo zakonske ukrepe, ki določajo zadrževanje podatkov za določeno obdobje, upravičeno iz razlogov iz tega odstavka. Vsi ukrepi iz tega odstavka so v skladu s splošnimi načeli zakonodaje Skupnosti, vključno s tistimi iz člena 6(1) in (2) Pogodbe o Evropski uniji.“

 Direktiva 2006/24

11      Potem ko je Komisija začela posvetovanje s predstavniki organov pregona, sektorja elektronskih komunikacij in strokovnjakov na področju varstva podatkov, je 21. septembra 2005 predstavila oceno učinka izbire politike v zvezi s pravili o hrambi podatkov o prometu (v nadaljevanju: ocena učinka). Ta ocena je bila podlaga za pripravo predloga direktive Evropskega parlamenta in Sveta o hrambi podatkov, pridobljenih ali obdelanih v zvezi z zagotavljanjem javno dostopnih elektronskih komunikacijskih storitev, in spremembi Direktive 2002/58/ES (COM(2005) 438 final, v nadaljevanju: predlog direktive), ki je bil predstavljen isti dan in je privedel do sprejetja Direktive 2006/24 na podlagi člena 95 ES.

12      V uvodni izjavi 4 Direktive 2006/24 je navedeno:

„Člen 15(1) Direktive 2002/58/ES določa pogoje, pod katerimi lahko države članice omejijo obseg pravic in obveznosti, določenih v členu 5, členu 6, členu 8(1), (2), (3) in (4) ter členu 9 navedene direktive. Vsaka takšna omejitev mora biti potrebna, primerna in ustrezna znotraj demokratične družbe zaradi posebnih namenov javnega reda, tj. za zaščito nacionalne varnosti (tj. državne varnosti), obrambe, javne varnosti ali preprečevanje, preiskovanje, odkrivanje in pregon kaznivih dejanj ali nedovoljene uporabe elektronskih komunikacijskih sistemov.“

13      V uvodni izjavi 5 Direktive 2006/24 je navedeno, da so „[š]tevilne države članice […] sprejele zakonodajo, ki določa hrambo podatkov pri ponudnikih storitev za preprečevanje, preiskovanje, odkrivanje in pregon kaznivih dejanj“.

14      V uvodnih izjavah od 7 do 11 Direktive 2006/24 je navedeno:

„(7)      V sklepih Sveta za pravosodje in notranje zadeve z dne 19. decembra 2002 je bilo poudarjeno, da so zaradi bistveno večjih možnosti elektronskih komunikacij podatki, povezani z uporabo elektronskih komunikacij, še posebej pomembno in zato dragoceno sredstvo za preprečevanje, preiskovanje, odkrivanje in pregon kaznivih dejanj, zlasti organiziranega kriminala.

(8)      Izjava o boju proti terorizmu, ki jo je Evropski svet sprejel 25. marca 2004, je Svetu naložila, naj preuči ukrepe za vzpostavitev pravil o hrambi podatkov komunikacijskega prometa pri ponudnikih storitev.

(9)      V skladu s členom 8 Evropske konvencije o varstvu človekovih pravic in temeljnih svoboščin (EKČP)[, podpisane v Rimu 4. novembra 1950,] ima vsakdo pravico do spoštovanja svojega zasebnega življenja in korespondence. Javni organi se lahko vmešavajo v izvajanje teh pravic samo v skladu z zakonom in kjer je v demokratični družbi to potrebno zaradi interesov nacionalne in javne varnosti, preprečevanja neredov ali kriminala ter varovanja pravic in svoboščin drugih. Ker se je hramba podatkov izkazala za zelo potrebno in učinkovito preiskovalno orodje za organe pregona v nekaterih državah članicah, zlasti v hudih primerih, kot so organizirani kriminal in terorizem, je treba organom pregona zagotoviti dostop do shranjenih podatkov za določeno časovno obdobje pod pogoji, določenimi v tej direktivi. […]

(10)      Svet je 13. julija 2005 v izjavi o obsodbi terorističnih napadov na London poudaril potrebo po čimprejšnjem sprejetju skupnih ukrepov o hrambi telekomunikacijskih podatkov.

(11)      Glede na pomembnost podatkov o prometu in lokaciji za preiskovanje, odkrivanje in pregon kaznivih dejanj, kakor kažejo raziskave in praktične izkušnje več držav članic, obstaja potreba, da se na evropski ravni zagotovi, da se podatki, ki se pridobivajo ali obdelujejo med zagotavljanjem komunikacijskih storitev s strani ponudnikov javno dostopnih elektronskih komunikacij storitev ali javnih komunikacijskih omrežij, hranijo za določeno časovno obdobje v skladu s pogoji, določenimi v tej direktivi.“

15      V uvodnih izjavah 16, 21 in 22 te direktive je navedeno:

„(16) Obveznosti ponudnikov storitev glede ukrepov za zagotavljanje kakovosti podatkov, ki izhajajo iz člena 6 Direktive 95/46/ES in obveznosti ponudnikov storitev glede ukrepov za zagotavljanje zaupnosti in varnosti obdelave podatkov, ki izhajajo iz členov 16 in 17 navedene direktive, se v celoti uporabljajo za podatke, hranjene v smislu te direktive.

(21) Ker ciljev te direktive, in sicer uskladitve obveznosti ponudnikov, da hranijo določene podatke in zagotovijo, da so ti podatki dostopni za namene preiskovanja, odkrivanja in pregona hudih kaznivih dejanj, kakor jih države članice opredeljujejo v svojih nacionalnih zakonodajah, države članice same ne morejo zadovoljivo doseči in ker te cilje zaradi obsega in učinkov te direktive lažje doseže Skupnost, lahko Skupnost sprejme ukrepe v skladu z načelom subsidiarnosti iz člena 5 Pogodbe. V skladu z načelom sorazmernosti iz navedenega člena ta direktiva ne prekoračuje okvirov, ki so potrebni za doseganje navedenih ciljev.

(22) Ta direktiva spoštuje temeljne pravice in upošteva sprejeta načela, zlasti načela Listine o temeljnih pravicah Evropske unije. Še posebej ta direktiva, skupaj z Direktivo 2002/58/ES, skuša zagotoviti polno spoštovanje temeljnih pravic državljanov glede spoštovanja zasebnega življenja in komunikacij ter varstvo njihovih osebnih podatkov, kakor je določeno v členih 7 in 8 Listine.“

16      Direktiva 2006/24 zavezuje ponudnike javno dostopnih elektronskih komunikacijskih storitev ali javnih komunikacijskih omrežij, da hranijo določene podatke, ki jih pridobivajo ali obdelujejo. V zvezi s tem členi od 1 do 9, 11 in 13 te direktive določajo:

Člen 1

Predmet urejanja in področje uporabe

1.      Namen te direktive je uskladiti določbe držav članic glede obveznosti ponudnikov javno dostopnih elektronskih komunikacijskih storitev ali javnih komunikacijskih omrežij glede hrambe določenih podatkov, ki jih pridobivajo ali obdelujejo, da se zagotovi dostopnost podatkov za namen preprečevanja, preiskovanja, odkrivanja in pregona hudih kaznivih dejanj, kakor jih opredeljuje nacionalna zakonodaja vsake od držav članic.

2.      Ta direktiva se uporablja za podatke o prometu in lokaciji pravnih subjektov in fizičnih oseb, kakor tudi za povezane podatke, potrebne za določitev naročnika ali registriranega uporabnika. Ne uporablja se za vsebino elektronskih komunikacij, vključno z informacijami, pregledanimi z uporabo elektronskega komunikacijskega omrežja.

Člen 2

Opredelitev pojmov

1.      V tej direktivi se uporabljajo opredelitve pojmov iz Direktive 95/46/ES, Direktive 2002/21/ES Evropskega parlamenta in Sveta z dne 7. marca 2002 o skupnem regulativnem okviru za elektronska komunikacijska omrežja in storitve (okvirna direktiva) […] in Direktive 2002/58/ES.

2.      V tej direktivi:

(a)      ,podatki‘ pomeni podatke o prometu in lokaciji ter povezane podatke, potrebne za določitev naročnika ali uporabnika;

(b)      ,uporabnik‘ pomeni vsako pravno ali fizično osebo, ki uporablja javno dostopno elektronsko komunikacijsko storitev v zasebne ali poslovne namene, ne da bi bila nujno naročena na to storitev;

(c)      ,telefonska storitev‘ pomeni klice (vključno z glasovnimi klici, glasovno pošto, konferenčnimi ali podatkovnimi klici), dodatne storitve (vključno s preusmeritvijo in transferjem klica), pošiljanje sporočil in multimedijske storitve (vključno s storitvijo kratkih sporočil, nadgrajene medijske storitve in multimedijske storitve);

(d)      ,uporabniško ime‘ pomeni enkratnega identifikatorja, dodeljenega osebam, ko se prijavijo ali registrirajo za storitev internetnega dostopa ali storitev internetne komunikacije;

(e)      ,ID celice‘ pomeni identiteto celice, od koder izvira klic mobilne telefonije ali kjer se konča;

(f)      ,neuspešen klic‘ pomeni komunikacijo, pri kateri je bila povezava uspešno vzpostavljena, a ni bilo odgovora oziroma je prišlo do prekinitve na upravljanju omrežja.

Člen 3

Obveznost hrambe podatkov

1.      Z odstopanjem od členov 5, 6 in 9 Direktive 2002/58/ES države članice sprejmejo ukrepe za zagotovitev, da so podatki, opredeljeni v členu 5 te direktive, hranjeni v skladu z določbami te direktive, kolikor se pridobivajo ali obdelujejo pri ponudnikih javno dostopnih elektronskih komunikacijskih storitev ali javnega komunikacijskega omrežja v njihovi pristojnosti v procesu zagotavljanja zadevnih komunikacijskih storitev.

2.      Obveznost hrambe podatkov iz odstavka 1 vključuje hrambo podatkov, kakor je določena v členu 5 glede neuspešnih klicev, kjer se podatki pridobivajo ali obdelujejo in hranijo (pri podatkih o telefoniji) ali beležijo (pri internetnih podatkih) pri ponudnikih javno dostopnih elektronskih komunikacijskih storitev ali javnega komunikacijskega omrežja v pristojnosti zadevnih držav članic v procesu zagotavljanja zadevnih komunikacijskih storitev. Ta direktiva ne zahteva hrambe podatkov o neuspešnih povezavah.

Člen 4

Dostop do podatkov

Države članice sprejmejo ukrepe za zagotovitev, da se podatki, hranjeni v skladu s to direktivo, zagotovijo samo pristojnim nacionalnim organom za vsak primer posebej in v skladu z nacionalnim pravom. Vsaka država članica v nacionalnem pravu določi postopke in pogoje za pridobitev dostopa do hranjenih podatkov v skladu z zahtevami glede nujnosti in sorazmernosti, in sicer ob upoštevanju ustreznih določb prava Evropske unije ali mednarodnega javnega prava, zlasti pa EKČP, kakor jo razlaga Evropsko sodišče za človekove pravice.

Člen 5

Kategorije podatkov, ki se hranijo

1.      Države članice zagotovijo, da se v skladu s to direktivo hranijo naslednje kategorije podatkov:

(a)      podatki, potrebni za sledenje in prepoznanje vira komunikacije:

(1)      pri telefoniji v fiksnem omrežju in mobilni telefoniji:

(i)      kličoča telefonska številka;

(ii)      ime in naslov naročnika ali registriranega uporabnika;

(2)      pri dostopu do interneta, internetne elektronske pošte in internetne telefonije:

(i)      dodeljeno(-a) uporabniško(-a) ime(-na);

(ii)      uporabniško ime in telefonska številka, dodeljeni za vsako komunikacijo, s katero se vstopa v javno telefonsko omrežje;

(iii) ime in naslov naročnika ali registriranega uporabnika, ki mu je bil v času komunikacije dodeljen naslov internetnega protokola (IP), uporabniško ime ali telefonska številka;

(b)      podatki, potrebni za prepoznanje cilja komunikacije:

(1)      pri telefoniji v fiksnem omrežju in mobilni telefoniji:

(i)      klicane telefonske številke (in telefonske številke, ko je bil klic sprejet) in v primerih, ki vključujejo dodatne storitve, kot je preusmeritev oziroma transfer klica, številka ali številke, na katere je klic preusmerjen;

(ii)      ime(-na) in naslov(-i) naročnika(-ov) ali registriranega(-ih) uporabnika(-ov);

(2)      pri internetni elektronski pošti in internetni telefoniji:

(i)      uporabniško ime ali telefonska številka namembnega(-ih) prejemnika(-ov) klica prek internetne telefonije;

(ii)      ime(-na) in naslov(-i) naročnika(-ov) ali registriranega(-ih) uporabnika(-ov) in uporabniško ime namembnega prejemnika komunikacije;

(c)      podatki, potrebni za ugotovitev datuma, časa in trajanja komunikacije:

(1)      pri telefoniji v fiksnem omrežju in mobilni telefoniji: datum in čas začetka in konca komunikacije;

(2)      pri dostopu do interneta, internetne elektronske pošte in internetne telefonije:

(i)      datum in čas prijave ter odjave z internetnega dostopa, temelječega na določenem časovnem pasu, skupaj z IP naslovom, statičnega ali dinamičnega, ki ga je ponudnik dostopa do interneta dodelil komunikaciji, in uporabniško ime naročnika ali registriranega uporabnika;

(ii)      datum in čas prijave ter odjave z internetnih storitev elektronske pošte ali internetne telefonije glede na določen časovni pas;

(d)      podatki, potrebni za ugotovitev vrste komunikacije:

(1)      pri telefoniji v fiksnem omrežju in mobilni telefoniji: uporabljena telefonska storitev;

(2)      pri internetni elektronski pošti in internetni telefoniji: uporabljena internetna storitev;

(e)      podatki, potrebni za razpoznavo komunikacijske opreme uporabnikov ali njihove dozdevne opreme:

(1)      pri telefoniji v fiksnem omrežju: kličoče in klicane telefonske številke;

(2)      pri mobilni telefoniji:

(i)      kličoče in klicane telefonske številke;

(ii)      mednarodna identiteta mobilnega naročnika (IMSI) kličoče stranke;

(iii) mednarodna identiteta mobilnega terminala (IMEI) kličoče stranke;

(iv)      IMSI klicane stranke;

(v)      IMEI klicane stranke;

(vi)      v primeru predplačniških anonimnih storitev datum in čas začetka uporabe storitve in lokacijska oznaka (ID celice), kjer je bila storitev izvedena;

(3)      pri dostopu do interneta, internetne elektronske pošte in internetne telefonije:

(i)      kličoča telefonska številka za klicni dostop;

(ii)      digitalni naročniški vod (DSL) ali druga končna točka začetnika komunikacije;

(f)      podatki, potrebni za ugotovitev lokacije opreme za mobilno komunikacijo:

(1)      lokacijska oznaka (ID celice) na začetku komunikacije;

(2)      podatki, ki določajo zemljepisno lego celic z navedbo njihovih lokacijskih oznak (ID celice) med obdobjem, za katerega se hranijo podatki o komunikaciji.

2.      Podatki, ki razkrivajo vsebino komunikacije, ne smejo biti hranjeni v skladu s to direktivo.

Člen 6

Obdobja hrambe

Države članice zagotovijo, da se kategorije podatkov, opredeljene v členu 5, hranijo za obdobje najmanj šestih mesecev in največ dveh let od datuma komunikacije.

Člen 7

Varovanje in varnost podatkov

Brez poseganja v predpise, sprejete na podlagi Direktive 95/46/ES in Direktive 2002/58/ES, vsaka država članica zagotovi, da ponudniki javno dostopnih elektronskih komunikacijskih storitev ali javnega komunikacijskega omrežja, glede podatkov hranjenih v skladu s to direktivo, spoštujejo vsaj naslednja načela varstva podatkov:

(a)      shranjeni podatki so enake kakovosti in zanje veljajo enaka določila o varnosti in zaščiti kot za podatke na omrežju;

(b)      v zvezi s podatki se sprejmejo primerni tehnični in organizacijski ukrepi, s katerimi se jih zaščiti pred nenamernim ali nezakonitim uničenjem, izgubo ali spremembami in nepooblaščenimi ali nezakonitimi oblikami hrambe, obdelave, dostopa ali razkrivanja;

(c)      v zvezi s podatki se sprejmejo primerni tehnični in organizacijski ukrepi, s katerimi se zagotovi, da so dostopni samo posebej pooblaščenemu osebju;

in

(d)      ob koncu obdobja hranjenja se uničijo vsi podatki, razen tistih, do katerih se je dostopalo in se jih shranilo.

Člen 8

Zahteve glede shranjevanja podatkov

Države članice zagotovijo, da se podatki, kakor so opredeljeni v členu 5, hranijo v skladu s to direktivo na način, da se lahko podatki in vse druge potrebne informacije, povezane s temi podatki, na zahtevo posredujejo pristojnim organom brez nepotrebnega odlašanja.

Člen 9

Nadzorni organ

1.      Vsaka država članica na svojem ozemlju določi enega ali več javnih organov, odgovornih za nadzorovanje uporabe določb, ki jih je v zvezi z varnostjo shranjenih podatkov država članica sprejela v skladu s členom 7. Ti organi so lahko organi iz člena 28 Direktive 95/46/ES.

2.      Organi iz odstavka 1 pri izvajanju nadzora iz navedenega odstavka delujejo povsem neodvisno.

[…]

Člen 11

Sprememba Direktive 2002/58/ES

V člen 15 Direktive 2002/58/ES se vstavi naslednji odstavek:

,1a.      Odstavek 1 se ne uporablja za podatke, katerih hramba je posebej zahtevana v [Direktivi 2006/24] za namene iz člena 1(1) navedene direktive.‘

[…]

Člen 13

Pravna sredstva, odgovornost in kazni

1.      Vsaka država članica sprejme potrebne ukrepe, s katerimi zagotovi popolno izvajanje nacionalnih ukrepov za izvajanje poglavja III Direktive 95/46/ES, ki določa pravna sredstva, odgovornost in sankcije za obdelavo podatkov po tej direktivi.

2      Vsaka država članica zlasti sprejme potrebne ukrepe, s katerimi zagotovi, da se vsakršno namerno dostopanje ali prenos podatkov, hranjenih v skladu s to direktivo, ki ga nacionalni predpisi, sprejeti pri prenosu te direktive, ne dopuščajo, kaznuje s kaznimi, vključno z učinkovitimi, sorazmernimi in odvračilnimi kaznimi, tako upravnimi kot kazenskimi.“

 Spora o glavni stvari in vprašanja za predhodno odločanje

 Zadeva C‑293/12

17      Družba Digital Rights je 11. avgusta 2006 pri High Court vložila tožbo, v kateri trdi, da je lastnica mobilnega telefona, ki je bil registriran 3. junija 2006 in ki ga uporablja od tega datuma. Izpodbija zakonitost nacionalnih zakonodajnih in upravnih ukrepov v zvezi s hrambo podatkov o elektronskih komunikacijah ter predložitvenemu sodišču med drugim predlaga, naj se razglasi neveljavnost Direktive 2006/24 in dela 7 zakona o kazenskem pravu iz leta 2005 (teroristična kazniva dejanja) (Criminal Justice (Terrorist Offences) Act 2005), ki določa, da morajo ponudniki storitev telefonskih komunikacij hraniti s temi storitvami povezane podatke o prometu in lokaciji v zakonsko določenem obdobju zaradi preprečevanja, odkrivanja, preiskovanja ali pregona kaznivih dejanj in zagotavljanja nacionalne varnosti.

18      Ker je High Court menilo, da ne more odločiti o vprašanjih v zvezi z nacionalnim pravom, ki so mu bila predložena, ne da bi bila preučena veljavnost Direktive 2006/24, je prekinilo odločanje in Sodišču v predhodno odločanje predložilo ta vprašanja:

„1.      Ali je omejitev pravic tožnika glede uporabe mobilne telefonije, ki izhajajo iz zahtev členov 3, 4 in 6 Direktive 2006/24, nezdružljiva s členom 5(4) PEU, ker je nesorazmerna in nepotrebna ali neprimerna za doseganje legitimnih ciljev:

(a)      zagotavljanja dostopnosti nekaterih podatkov za namene preiskovanja, odkrivanja in pregona hudih kaznivih dejanj?

in/ali

(b)      zagotavljanja pravilnega delovanja notranjega trga Evropske unije?

2.      Natančneje:

(a)      Ali je Direktiva 2006/24 združljiva s pravico državljanov do prostega gibanja in prebivanja na ozemlju držav članic iz člena 21 PDEU?

(b)      Ali je Direktiva 2006/24 združljiva s pravico do zasebnosti iz člena 7 [Listine Evropske unije o temeljnih pravicah (v nadaljevanju: Listina)] in člena 8 EKČP?

(c)      Ali je Direktiva 2006/24 združljiva s pravico do varstva osebnih podatkov iz člena 8 Listine?

(d)      Ali je Direktiva 2006/24 združljiva s pravico do svobodnega izražanja iz člena 11 Listine in člena 10 EKČP?

(e)      Ali je Direktiva 2006/24 združljiva s pravico do dobrega upravljanja iz člena 41 Listine?

3.      V kolikšni meri Pogodbe – natančneje načelo lojalnega sodelovanja iz člena 4(3) PEU – zavezujejo nacionalno sodišče, da preuči in oceni združljivost nacionalnih izvedbenih ukrepov za Direktivo 2006/24 z varstvom, ki ga zagotavlja [Listina], vključno z njenim členom 7 (kot je povzet iz člena 8 EKČP)?“

 Zadeva C‑594/12

19      Predlog za sprejetje predhodne odločbe v zadevi C‑594/12 izhaja iz več tožb, ki so jih pri Verfassungsgerichtshof vložili Kärntner Landesregierung, M. Seitlinger, C. Tschohl in 11.128 drugih tožečih strank, ki predlagajo razglasitev ničnosti člena 102a zakona o telekomunikacijah iz leta 2003 (Telekommunikationsgesetz 2003), ki je bil v ta zakon vnesen z zveznim zakonom o spremembi navedenega zakona (Bundesgesetz, mit dem das Telekommunikationsgesetz 2003 – TKG 2003 geändert wird, BGBl. I, 27/2011) zaradi prenosa Direktive 2006/24 v avstrijsko nacionalno pravo. Stranke med drugim menijo, da je s členom 102a kršena temeljna pravica posameznikov do varstva njihovih podatkov.

20      Verfassungsgerichtshof se predvsem sprašuje, ali je Direktiva 2006/24 združljiva z Listino v delu, v katerem omogoča shranjevanje številnih vrst podatkov v zvezi z neomejenim številom oseb za dolgo obdobje. Hramba podatkov naj bi zadevala skoraj izključno osebe, katerih ravnanje nikakor ne upravičuje hrambe podatkov, povezanih z njimi. Te osebe naj bi bile izpostavljene večjemu tveganju, da bi organi preiskovali njihove podatke, se seznanjali z njihovo vsebino, raziskovali njihovo zasebno življenje in te podatke uporabljali za številne namene, predvsem ob upoštevanju nepreglednega števila oseb, ki imajo dostop do podatkov v obdobju najmanj šestih mesecev. Predložitveno sodišče meni, da obstaja dvom, prvič, glede tega, ali bi bilo s to direktivo mogoče doseči cilje, ki jim sledi, in drugič, glede sorazmernosti poseganja v zadevne temeljne pravice.

21       V teh okoliščinah je Verfassungsgerichtshof prekinilo odločanje in Sodišču v predhodno odločanje predložilo ta vprašanja:

„1.      Veljavnost aktov institucij Unije:

Ali so členi od 3 do 9 Direktive 2006/24 v skladu s členi 7, 8 in 11 [Listine]?

2.      Razlaga Pogodb:

(a)      Ali je treba glede na pojasnila k členu 8 Listine, ki so v skladu s členom 52(7) Listine pripravljena kot vodilo za razlago Listine in jih mora Verfassungsgerichtshof ustrezno upoštevati, Direktivo 95/46 in Uredbo (ES) št. 45/2001 Evropskega parlamenta in Sveta z dne 18. decembra 2000 o varstvu posameznikov pri obdelavi osebnih podatkov v institucijah in organih Skupnosti in o prostem pretoku takih podatkov [(UL, posebna izdaja v slovenščini, poglavje 13, zvezek 26, str. 102)] pri presoji zakonitosti posegov obravnavati kot enakovredni pogojem iz členov 8(2) in 52(1) Listine?

(b)      V kakšnem odnosu je ,pravo Unije‘ iz člena 52(3), zadnji stavek, Listine z direktivami na področju prava varstva podatkov?

(c)      Ali je treba glede na to, da Direktiva 95/46 in Uredba […] št. 45/2001 vsebujeta pogoje in omejitve za zagotavljanje pravice do varstva osebnih podatkov iz Listine, pri razlagi člena 8 Listine upoštevati spremembe, ki izhajajo iz poznejšega sekundarnega prava?

(d)      Ali načelo spoštovanja višje ravni varstva iz člena 53 Listine ob upoštevanju člena 52(4) Listine povzroči, da je treba meje, ki so v Listini postavljene za dopustne omejitve, s sekundarnim pravom zožiti?

(e)      Ali lahko glede na člen 52(3) Listine, odstavek 5 preambule in pojasnila k členu 7 Listine, na podlagi katerih v tem zadnjenavedenem členu zagotovljene pravice ustrezajo pravicam iz člena 8 EKČP, sodna praksa Evropskega sodišča za človekove pravice v zvezi s členom 8 EKČP pomeni napotek za razlago člena 8 Listine, ki se odraža v razlagi zadnjenavedenega člena?“

22      S sklepom predsednika Sodišča z dne 11. junija 2013 sta bili zadevi C‑293/12 in C‑594/12 združeni za ustni postopek in izdajo sodbe.

 Vprašanja za predhodno odločanje

 Drugo vprašanje, točke od (b) do (d), v zadevi C‑293/12 in prvo vprašanje v zadevi C‑594/12

23      Predložitveni sodišči z drugim vprašanjem, točke od (b) do (d), v zadevi C‑293/12 in prvim vprašanjem v zadevi C‑594/12, ki ju je treba obravnavati skupaj, v bistvu predlagata Sodišču, naj preuči veljavnost Direktive 2006/24 z vidika členov 7, 8 in 11 Listine.

 Upoštevnost členov 7, 8 in 11 Listine za vprašanje veljavnosti Direktive 2006/24

24      Iz člena 1 ter uvodnih izjav 4, 5, od 7 do 11, 21 in 22 Direktive 2006/24 izhaja, da je njen glavni namen uskladiti določbe držav članic glede hrambe nekaterih podatkov, ki jih pridobivajo ali obdelujejo ponudniki javno dostopnih elektronskih komunikacijskih storitev ali javnih komunikacijskih omrežij, pri teh ponudnikih, da se zagotovi dostopnost teh podatkov za namen preprečevanja, preiskovanja, odkrivanja in pregona hudih kaznivih dejanj, kot so kazniva dejanja, povezana z organiziranim kriminalom in terorizmom, ob spoštovanju pravic, določenih v členih 7 in 8 Listine.

25      Zaradi obveznosti ponudnikov javno dostopnih elektronskih komunikacijskih storitev ali javnih komunikacijskih omrežij iz člena 3 Direktive 2006/24, da hranijo podatke, naštete v členu 5 navedene direktive, da so po potrebi na voljo pristojnim nacionalnim organom, se postavlja vprašanje o varstvu zasebnosti in komunikacij, potrjenem v členu 7 Listine, o varstvu osebnih podatkov iz člena 8 Listine in o spoštovanju svobode izražanja, zagotovljene s členom 11 Listine.

26      V zvezi s tem je treba opozoriti, da so podatki, ki jih morajo ponudniki javno dostopnih elektronskih komunikacijskih storitev ali javnih komunikacijskih omrežij hraniti na podlagi členov 3 in 5 Direktive 2006/24, med drugim podatki, potrebni za sledenje ter prepoznanje vira in cilja komunikacije, za ugotovitev datuma, časa, trajanja in vrste komunikacije, za razpoznavo komunikacijske opreme uporabnikov ter za ugotovitev lokacije opreme za mobilno komunikacijo, med katerimi so predvsem ime in naslov naročnika ali registriranega uporabnika, kličoča in klicana telefonska številka ter naslov IP za internetne storitve. Na podlagi teh podatkov je mogoče zlasti ugotoviti, s katero osebo je komuniciral naročnik ali registrirani uporabnik in katero sredstvo je uporabil za to, ter ugotoviti trajanje komunikacije in kraj, s katerega je potekala komunikacija. Poleg tega ti podatki omogočajo ugotoviti pogostost komunikacij naročnika ali registriranega uporabnika z določenimi osebami v danem obdobju.

27      Na podlagi vseh teh podatkov je mogoče izpeljati zelo natančne ugotovitve o zasebnem življenju oseb, katerih podatki so bili shranjeni, kot so vsakodnevne navade, kraji stalnega ali začasnega prebivališča, dnevne ali druge poti, dejavnosti, socialni odnosi in socialna okolja, ki jih obiskujejo.

28      V takih okoliščinah – tudi če Direktiva 2006/24, kot je razvidno iz njenih členov 1(2) in 5(2), ne dovoljuje hrambe vsebine komunikacij in informacij, pregledanih s pomočjo elektronskega komunikacijskega omrežja – ni izključeno, da lahko hramba zadevnih podatkov vpliva na uporabo komunikacijskih sredstev iz te direktive s strani naročnikov ali registriranih uporabnikov in, posledično, na njihovo uresničevanje svobode izražanja, zagotovljene s členom 11 Listine.

29      Hramba podatkov za to, da bi do njih morebiti dostopali pristojni nacionalni organi, kot je predvidena v Direktivi 2006/24, se neposredno in posebej nanaša na zasebno življenje in tako na pravice, zagotovljene s členom 7 Listine. Poleg tega spada taka hramba podatkov tudi v okvir člena 8 Listine, ker pomeni obdelavo osebnih podatkov v smislu tega člena in mora zato nujno izpolnjevati zahteve glede varstva podatkov, ki izhajajo iz tega člena (sodba Volker und Markus Schecke in Eifert, C‑92/09 in C‑93/09, EU:C:2010:662, točka 47).

30      Čeprav se s predlogoma za sprejetje predhodne odločbe v teh zadevah postavlja predvsem načelno vprašanje, ali se podatki naročnikov in registriranih uporabnikov smejo hraniti ali ne glede na člen 7 Listine, predloga zadevata tudi vprašanje, ali Direktiva 2006/24 izpolnjuje zahteve o varstvu osebnih podatkov, ki izhajajo iz člena 8 Listine.

31      Ob upoštevanju zgornjih ugotovitev je treba za odgovor na drugo vprašanje, točke od (b) do (d), v zadevi C‑293/12 in prvo vprašanje v zadevi C‑594/12 veljavnost zgoraj navedene direktive preučiti z vidika členov 7 in 8 Listine.

 Obstoj poseganja v pravice, določene v členih 7 in 8 Listine

32      Direktiva 2006/24 s tem, da nalaga hrambo podatkov, naštetih v členu 5(1), in s tem, da omogoča dostop pristojnih nacionalnih organov do teh podatkov, odstopa – kot je generalni pravobranilec opozoril zlasti v točkah 39 in 40 sklepnih predlogov – od ureditve varstva pravice do spoštovanja zasebnega življenja, uvedene z direktivama 95/46 in 2002/58, v zvezi z obdelavo osebnih podatkov na področju elektronskih komunikacij, saj sta bili z zadnjenavedenima direktivama določeni zaupnost komunikacij in podatkov o prometu ter obveznost brisanja teh podatkov ali zagotovitve njihove anonimnosti, ko niso več potrebni za prenos sporočila, razen če so potrebni za zaračunavanje in samo dokler je to potrebno.

33      Za dokaz, ali obstaja tako poseganje v temeljno pravico do spoštovanja zasebnega življenja, ni pomembno, ali so zadevni podatki o zasebnem življenju občutljivi, niti to, ali so bile zadevne osebe zaradi tega posega oškodovane ali ne (glej v tem smislu sodbo Österreichischer Rundfunk in drugi, C‑465/00, C‑138/01 in C‑139/01, EU:C:2003:294, točka 75).

34      Iz tega sledi, da obveznost, ki je s členoma 3 in 6 Direktive 2006/24 naložena ponudnikom javno dostopnih elektronskih komunikacijskih storitev ali javnih komunikacijskih omrežij, da v določenem obdobju hranijo podatke o zasebnem življenju osebe in njenih komunikacijah, kot so navedeni v členu 5 te direktive, sama po sebi pomeni poseganje v pravice, zagotovljene s členom 7 Listine.

35      Poleg tega pomeni dostop pristojnih nacionalnih organov do podatkov dodatno poseganje v to temeljno pravico (glej v zvezi s členom 8 EKČP sodbi Evropskega sodišča za človekove pravice z dne 26. marca 1987 v zadevi Leander proti Švedski, série A št. 116, točka 48, in z dne 4. maja 2000 v zadevi Rotaru proti Romuniji (veliki senat), št. 28341/95, točka 46, CEDH 2000-V, ter odločbo z dne 29. junija 2006 v zadevi Weber in Saravia proti Nemčiji, št. 54934/00, točka 79, CEDH 2006-XI). Ker člena 4 in 8 Direktive 2006/24 določata pravila o dostopu pristojnih nacionalnih organov do podatkov, prav tako pomenita poseganje v pravice, zagotovljene s členom 7 Listine.

36      Tudi Direktiva 2006/24 pomeni poseganje v temeljno pravico do varstva osebnih podatkov, zagotovljeno s členom 8 Listine, ker določa obdelavo osebnih podatkov.

37      Ugotoviti je treba, da je poseganje v temeljne pravice, potrjene s členoma 7 in 8 Listine, kot ga pomeni Direktiva 2006/24 – kot je opozoril tudi generalni pravobranilec zlasti v točkah 77 in 80 sklepnih predlogov – občutno in ga je treba šteti za posebej resno. Poleg tega lahko okoliščina, da se podatki hranijo in pozneje uporabljajo, ne da bi bil naročnik ali registrirani uporabnik o tem obveščen, pri zadevnih osebah – kot je generalni pravobranilec opozoril v točkah 52 in 72 sklepnih predlogov – vzbuja občutek, da je njihovo zasebno življenje pod stalnim nadzorom.

 Utemeljitev poseganja v pravice, zagotovljene s členoma 7 in 8 Listine

38      V skladu s členom 52(1) Listine mora biti kakršno koli omejevanje uresničevanja pravic in svoboščin, ki jih priznava Listina, predpisano z zakonom in spoštovati njihovo bistveno vsebino, ob upoštevanju načela sorazmernosti pa so omejitve teh pravic in svoboščin dovoljene samo, če so potrebne in če dejansko ustrezajo ciljem splošnega interesa, ki jih priznava Unija, ali če so potrebne zaradi zaščite pravic in svoboščin drugih.

39      Glede bistvene vsebine temeljne pravice do spoštovanja zasebnega življenja in drugih pravic, potrjenih v členu 7 Listine, je treba ugotoviti, da čeprav hramba podatkov, določena z Direktivo 2006/24, pomeni posebej resno poseganje v te pravice, ne more posegati v navedeno vsebino, saj ta direktiva, kot izhaja iz njenega člena 1(2), ne dovoljuje seznanjanja z vsebino elektronskih komunikacij kot tako.

40      Ta hramba podatkov tudi ne more posegati v bistveno vsebino temeljne pravice do varstva osebnih podatkov, potrjene v členu 8 Listine, saj Direktiva 2006/24 v členu 7 določa pravilo o varovanju in varnosti podatkov, v skladu s katerim morajo ponudniki javno dostopnih elektronskih komunikacijskih storitev ali javnih komunikacijskih omrežij – brez poseganja v predpise, sprejete na podlagi direktiv 95/46 in 2002/58 – spoštovati nekatera načela varovanja in varnosti podatkov, v skladu s katerimi države članice zagotovijo sprejetje primernih tehničnih in organizacijskih ukrepov za zaščito podatkov pred nenamernim ali nezakonitim uničenjem, izgubo ali spremembami.

41      Kar zadeva vprašanje, ali navedeno poseganje ustreza cilju v splošnem interesu, je treba opozoriti, da čeprav je namen Direktive 2006/24 uskladiti določbe držav članic glede obveznosti navedenih ponudnikov glede hrambe določenih podatkov, ki jih pridobivajo ali obdelujejo, je stvarni cilj te direktive, kot izhaja iz njenega člena 1(1), zagotoviti dostopnost teh podatkov za namen preiskovanja, odkrivanja in pregona hudih kaznivih dejanj, kakor jih opredeljuje nacionalna zakonodaja vsake od držav članic. Stvarni cilj te direktive je zato prispevati k boju proti hudemu kriminalu in tako nazadnje k javni varnosti.

42      Kot izhaja iz sodne prakse Sodišča, je boj proti mednarodnemu terorizmu z namenom vzdrževanja mednarodnega miru in varnosti cilj v splošnem interesu Unije (glej v tem smislu sodbi Kadi in Al Barakaat International Foundation/Svet in Komisija, C‑402/05 P in C‑415/05 P, EU:C:2008:461, točka 363, ter Al-Aqsa/Svet, C‑539/10 P in C‑550/10 P, EU:C:2012:711, točka 130). Enako velja za boj proti hudemu kriminalu zaradi zagotavljanja javne varnosti (glej v tem smislu sodbo Tsakouridis, C‑145/09, EU:C:2010:708, točki 46 in 47). Poleg tega je treba v zvezi s tem opozoriti, da člen 6 Listine določa pravico vsakogar ne le do svobode, ampak tudi do varnosti.

43      V zvezi s tem je iz uvodne izjave 7 Direktive 2006/24 razvidno, da je Svet za pravosodje in notranje zadeve v sklepih z dne 19. decembra 2002 menil, da so zaradi bistveno večjih možnosti elektronskih komunikacij podatki, povezani z uporabo elektronskih komunikacij, še posebej pomembno in zato dragoceno sredstvo za preprečevanje kaznivih dejanj in boj proti kriminalu, zlasti organiziranemu kriminalu.

44      Ugotoviti je torej treba, da hramba podatkov, da se pristojnim nacionalnim organom omogoči možnost dostopa do teh podatkov, kot določa Direktiva 2006/24, dejansko ustreza cilju v splošnem interesu.

45      V teh okoliščinah je treba preveriti sorazmernost ugotovljenega poseganja.

46      V zvezi s tem je treba opozoriti, da načelo sorazmernosti v skladu z ustaljeno prakso Sodišča zahteva, da je z ravnanjem institucij Unije mogoče uresničiti legitimne cilje, ki jim sledi zadevna ureditev, in da to ravnanje ne prestopi meje tega, kar je primerno in potrebno za uresničitev teh ciljev (glej v tem smislu sodbe Afton Chemical, C‑343/09, EU:C:2010:419, točka 45; Volker und Markus Schecke in Eifert, EU:C:2010:662, točka 74; Nelson in drugi, C‑581/10 in C‑629/10, EU:C:2012:657, točka 71; Sky Österreich, C‑283/11, EU:C:2013:28, točka 50, in Schaible, C‑101/12, EU:C:2013:661, točka 29).

47      Kar zadeva sodni nadzor nad upoštevanjem teh pogojev, se lahko, ker gre za poseganje v temeljne pravice, izkaže, da je obseg polja proste presoje, ki ga ima zakonodajalec Unije, omejen glede na nekatere elemente, med katerimi so zlasti zadevno področje, narava zadevne pravice, zagotovljene z Listino, narava in teža poseganja ter cilj tega poseganja (glej po analogiji, kar zadeva člen 8 EKČP, sodbo Evropskega sodišča za človekove pravice z dne 4. decembra 2008 v zadevi S in Marper proti Združenemu kraljestvu (veliki senat), št. 30562/04 in 30566/04, točka 102, CEDH 2008-V).

48      V obravnavani zadevi je ob upoštevanju, prvič, pomembne vloge varstva osebnih podatkov z vidika temeljne pravice do spoštovanja zasebnega življenja ter, drugič, obsega in teže poseganja v to pravico, ki jo pomeni Direktiva 2006/24, polje proste presoje zakonodajalca Unije zmanjšano, tako da je treba izvajati strog nadzor.

49      Kar zadeva vprašanje, ali je s hrambo podatkov mogoče uresničiti cilj Direktive 2006/24, je treba ugotoviti, da glede na vedno večji pomen sredstev elektronske komunikacije podatki, ki jih je treba hraniti na podlagi te direktive, nacionalnim organom, pristojnim za kazenski pregon, omogočajo dodatne možnosti za razkritje hudih kaznivih dejanj in so torej v zvezi s tem dragoceno sredstvo za kazenske preiskave. Tako se lahko šteje, da je s hrambo takih podatkov mogoče uresničiti cilj navedene direktive.

50      Te presoje ne more ovreči okoliščina, ki jo v pisnih stališčih, predloženih Sodišču, navajajo zlasti C. Tschohl, M. Seitlinger in portugalska vlada, da obstaja več načinov elektronskih komunikacij, ki ne spadajo na področje uporabe Direktive 2006/24 ali ki omogočajo anonimno komunikacijo. Čeprav lahko ta okoliščina seveda omejuje primernost ukrepa hrambe podatkov za uresničitev zastavljenega cilja, vseeno ne more povzročiti, da bi bil ta ukrep neprimeren, kot je generalni pravobranilec opozoril v točki 137 sklepnih predlogov.

51      Kar zadeva nujnost hrambe podatkov, ki jo določa Direktiva 2006/24, je treba ugotoviti, da je boj proti hudemu kriminalu, zlasti proti organiziranemu kriminalu in terorizmu, nedvomno ključnega pomena za zagotavljanje javne varnosti, njegova učinkovitost pa je lahko precej odvisna od uporabe sodobnih preiskovalnih tehnik. Vendar tak cilj v splošnem interesu, čeprav je temeljnega pomena, sam po sebi ne more upravičiti, da se ukrep hrambe, kot je uveden z Direktivo 2006/24, šteje za nujen za namene navedenega boja.

52      V zvezi s pravico do spoštovanja zasebnega življenja varstvo te temeljne pravice v skladu z ustaljeno sodno prakso Sodišča v vsakem primeru zahteva, da se odstopanja od varstva osebnih podatkov in njegove omejitve določijo v mejah tega, kar je nujno potrebno (sodba IPI, C‑473/12, EU:C:2013:715, točka 39 in navedena sodna praksa).

53      V zvezi s tem je treba opozoriti, da je varstvo osebnih podatkov, ki izhaja iz izrecne obveznosti, določene v členu 8(1) Listine, posebno pomembno za pravico do spoštovanja zasebnega življenja, potrjeno v členu 7 te listine.

54      Zadevni predpisi Unije morajo tako določati jasna in natančna pravila, ki urejajo obseg in uporabo zadevnega ukrepa ter določajo minimalne zahteve, tako da imajo osebe, katerih podatki so bili hranjeni, zadostna jamstva, ki omogočajo učinkovito varovanje njihovih osebnih podatkov pred tveganji zlorabe in vsakršnim nezakonitim dostopom do teh podatkov ter njihovo nezakonito uporabo (glej po analogiji v zvezi s členom 8 EKČP sodbo Evropskega sodišča za človekove pravice z dne 1. julija 2008 v zadevi Liberty in drugi proti Združenemu kraljestvu, št. 58243/00, točki 62 in 63, ter zgoraj navedeni sodbi Rotaru proti Romuniji, točke od 57 do 59, ter S in Marper proti Združenemu kraljestvu, točka 99).

55      Potreba po takih jamstvih je toliko pomembnejša, če so osebni podatki, kot je določeno v Direktivi 2006/24, predmet avtomatske obdelave in obstaja veliko tveganje nezakonitega dostopa do teh podatkov (glej po analogiji v zvezi s členom 8 EKČP zgoraj navedeno sodbo Evropskega sodišča za človekove pravice S in Marper proti Združenemu kraljestvu, točka 103, in sodbo z dne 18. aprila 2013 v zadevi M. K. proti Franciji, št. 19522/09, točka 35).

56      Glede vprašanja, ali je poseganje, ki ga pomeni Direktiva 2006/24, omejeno na to, kar je nujno potrebno, je treba opozoriti, da ta direktiva v skladu s členom 3 v povezavi s členom 5(1) določa hrambo vseh podatkov o prometu v zvezi s telefonijo v fiksnem omrežju, mobilno telefonijo, dostopom do interneta, internetno elektronsko pošto in internetno telefonijo. Tako se nanaša na vsa sredstva elektronske komunikacije, katerih uporaba je zelo razširjena in postaja vedno pomembnejša v vsakdanjem življenju vseh. Poleg tega navedena direktiva v skladu s členom 3 vključuje vse naročnike in registrirane uporabnike. Torej pomeni poseganje v temeljne pravice skoraj vsega evropskega prebivalstva.

57      V zvezi s tem je treba ugotoviti, prvič, da Direktiva 2006/24 na splošno zajema vse osebe in vsa sredstva elektronske komunikacije ter vse podatke o prometu brez razlikovanja, omejitve ali izjeme v zvezi s ciljem boja proti hudim kaznivim dejanjem.

58      Po eni strani Direktiva 2006/24 namreč na splošno zadeva vse osebe, ki uporabljajo elektronske komunikacijske storitve, ne da bi bile osebe, katerih podatki se hranijo, v položaju – čeprav samo posredno – ki bi lahko privedel do kazenskega pregona. Torej se uporablja tudi za osebe, za katere ne obstaja noben indic, iz katerega bi bilo mogoče sklepati, da ima njihovo ravnanje povezavo, čeprav posredno ali daljno, s hudimi kaznivimi dejanji. Poleg tega ne določa nobene izjeme, tako da se uporablja celo za osebe, katerih komunikacije so v skladu s pravili nacionalnega prava predmet poslovne skrivnosti.

59      Po drugi strani navedena direktiva, katere namen je prispevati k boju proti hudemu kriminalu, ne zahteva nobene povezave med podatki, katerih hramba je določena, in grožnjo za javno varnost, predvsem pa ni omejena na hrambo bodisi podatkov v zvezi z obdobjem in/ali določenim geografskim območjem in/ali krogom danih oseb, ki so lahko tako ali drugače vpletene v hudo kaznivo dejanje, bodisi podatkov v zvezi z osebami, ki bi lahko iz drugih razlogov, s tem da bi se hranili njihovi podatki, prispevale k preprečevanju, odkrivanju ali pregonu hudih kaznivih dejanj.

60      Drugič, temu splošnemu neobstoju omejitev je treba dodati dejstvo, da Direktiva 2006/24 ne določa nobenega objektivnega merila, s katerim bi bilo mogoče omejiti dostop pristojnih nacionalnih organov do podatkov in njihovo nadaljnjo uporabo za namene preprečevanja, odkrivanja ali pregona kaznivih dejanj, ki jih je glede na obseg in težo poseganja v temeljne pravice, potrjene v členih 7 in 8 Listine, mogoče šteti za dovolj hude, da upravičujejo tako poseganje. Nasprotno, Direktiva 2006/24 se v členu 1(1) le na splošno sklicuje na huda kazniva dejanja, kakor jih opredeljuje nacionalna zakonodaja vsake od držav članic.

61      Poleg tega Direktiva 2006/24, kar zadeva dostop pristojnih nacionalnih organov do podatkov in njihovo nadaljnjo uporabo, ne vsebuje s tem povezanih vsebinskih in postopkovnih pogojev. Člen 4 te direktive, ki ureja dostop teh organov do hranjenih podatkov, ne določa izrecno, da morata biti ta dostop in nadaljnja uporaba zadevnih podatkov strogo omejena na preprečevanje in odkrivanje natančno opredeljenih hudih kaznivih dejanj ali njihov kazenski pregon, temveč le določa, da vsaka država članica določi postopke in pogoje za pridobitev dostopa do hranjenih podatkov v skladu z zahtevami glede nujnosti in sorazmernosti.

62      Direktiva 2006/24 predvsem ne določa nobenega objektivnega merila, s katerim bi bilo mogoče omejiti število oseb, ki imajo pooblastilo za dostop do shranjenih podatkov in njihovo nadaljnjo uporabo, na to, kar je nujno potrebno glede na zastavljeni cilj. Predvsem pa dostop pristojnih nacionalnih organov do hranjenih podatkov ni odvisen od predhodnega nadzora, ki ga opravi sodišče ali neodvisen upravni subjekt, čigar odločitev omejuje dostop do podatkov in njihovo uporabo na to, kar je nujno potrebno za uresničevanje zastavljenega cilja, in se sprejme na podlagi obrazloženega predloga, ki ga ti organi vložijo v postopkih preprečevanja, odkrivanja ali pregona kaznivih dejanj. Prav tako ni bila določena natančna obveznost držav članic, da določijo take omejitve.

63      Tretjič, Direktiva 2006/24 glede trajanja hrambe podatkov v členu 6 določa, da se ti hranijo najmanj šest mesecev, ne da bi se kakor koli razlikovalo med kategorijami podatkov, določenimi v členu 5 te direktive, glede na njihovo možno uporabnost za zastavljeni cilj ali glede na osebe, ki jih to zadeva.

64      Poleg tega ta hramba traja od najmanj šest mesecev do največ štiriindvajset mesecev, ne da bi bilo natančneje določeno, da mora določitev trajanja hrambe temeljiti na objektivnih merilih, da se zagotovi njena omejitev na to, kar je nujno potrebno.

65      Iz navedenega izhaja, da Direktiva 2006/24 ne določa jasnih in natančnih pravil, ki bi urejala obseg poseganja v temeljne pravice, potrjene s členoma 7 in 8 Listine. Ugotoviti je torej treba, da ta direktiva pomeni občutno in posebej hudo poseganje v te temeljne pravice v pravnem redu Unije, ne da bi bilo to poseganje natančno določeno v predpisih, s katerimi bi bilo zagotovljeno, da je dejansko omejeno na to, kar je nujno potrebno.

66      Poleg tega je treba, kar zadeva pravila glede varnosti in varstva podatkov, ki jih hranijo ponudniki javno dostopnih elektronskih komunikacijskih storitev ali javnih komunikacijskih omrežij, ugotoviti, da Direktiva 2006/24 ne določa zadostnih jamstev, kot se zahtevajo v členu 8 Listine, ki bi omogočala zagotovitev učinkovitega varovanja hranjenih podatkov pred tveganji zlorabe ter vsakršnim nezakonitim dostopom do teh podatkov in njihovo nezakonito uporabo. Prvič, člen 7 Direktive 2006/24 namreč ne določa posebnih pravil, prilagojenih veliki količini podatkov, katerih hramba je določena s to direktivo, občutljivosti teh podatkov in tveganju nezakonitega dostopa do njih, to je pravil, ki bi bila namenjena predvsem jasnemu in strogemu urejanju varovanja in varnosti zadevnih podatkov, da se zagotovita njihova celovitost in zaupnost. Poleg tega prav tako ni bila določena natančna obveznost držav članic, da določijo taka pravila.

67      Člen 7 Direktive 2006/24 v povezavi s členom 4(1) Direktive 2002/58 in členom 17(1), drugi pododstavek, Direktive 95/46 ne zagotavlja, da navedeni ponudniki uporabljajo posebej visoko raven varovanja in varnosti s tehničnimi in organizacijskimi ukrepi, temveč tem ponudnikom predvsem dovoljuje, da upoštevajo ekonomske premisleke pri določitvi ravni varnosti, ki jo uporabljajo, kar zadeva stroške izvajanja varnostnih ukrepov. Direktiva 2006/24 predvsem ne zagotavlja nepreklicnega uničenja podatkov po koncu obdobja hrambe.

68      Drugič, dodati je treba, da navedena direktiva ne določa, da se zadevni podatki hranijo na ozemlju Unije, tako da ni mogoče šteti, da je v celoti zagotovljen nadzor neodvisnega organa, izrecno zahtevan v členu 8(3) Listine, nad spoštovanjem zahtev glede varovanja in varnosti, kot so navedene v prejšnjih dveh točkah. Tak nadzor, ki se izvaja na podlagi prava Unije, pa je bistven element varstva oseb pri obdelavi osebnih podatkov (glej v tem smislu sodbo Komisija/Avstrija, C‑614/10, EU:C:2012:631, točka 37).

69      Ob upoštevanju vsega navedenega je treba šteti, da je zakonodajalec Unije s sprejetjem Direktive 2006/24 presegel meje, ki jih določa spoštovanje načela sorazmernosti z vidika členov 7, 8 in 52(1) Listine.

70      V teh okoliščinah ni treba preučiti veljavnosti Direktive 2006/24 z vidika člena 11 Listine.

71      Zato je treba na drugo vprašanje, točke od (b) do (d), v zadevi C‑293/12 in prvo vprašanje v zadevi C‑594/12 odgovoriti, da je Direktiva 2006/24 neveljavna.

 Prvo vprašanje, drugo vprašanje, točki (a) in (e), in tretje vprašanje v zadevi C‑293/12 ter drugo vprašanje v zadevi C‑594/12

72      Iz navedenega v prejšnji točki izhaja, da ni treba odgovoriti na prvo vprašanje, drugo vprašanje, točki (a) in (e), in tretje vprašanje v zadevi C‑293/12 niti na drugo vprašanje v zadevi C‑594/12.

 Stroški

73      Ker je ta postopek za stranke v postopku v glavni stvari ena od stopenj v postopkih pred predložitvenima sodiščema, ti odločita o stroških. Stroški, priglašeni za predložitev stališč Sodišču, ki niso stroški omenjenih strank, se ne povrnejo.

Iz teh razlogov je Sodišče (veliki senat) razsodilo:

Direktiva 2006/24/ES Evropskega parlamenta in Sveta z dne 15. marca 2006 o hrambi podatkov, pridobljenih ali obdelanih v zvezi z zagotavljanjem javno dostopnih elektronskih komunikacijskih storitev ali javnih komunikacijskih omrežij, in spremembi Direktive 2002/58/ES je neveljavna.

Podpisi


* Jezika postopka: angleščina in nemščina.