Liidetud kohtuasjad C‑793/19 ja C‑794/19
Bundesrepublik Deutschland
versus
SpaceNet AG
ja
Telekom Deutschland GmbH
(eelotsusetaotlused, mille on esitanud Bundesverwaltungsgericht)
Euroopa Kohtu (suurkoda) 20. septembri 2022. aasta otsus
Eelotsusetaotlus – Isikuandmete töötlemine elektroonilise side sektoris – Side konfidentsiaalsus – Elektroonilise side teenuste osutajad – Liiklus- ja asukohaandmete üldine ja vahet tegemata säilitamine – Direktiiv 2002/58/EÜ – Artikli 15 lõige 1 – Euroopa Liidu põhiõiguste harta – Artiklid 6, 7, 8 ja 11 ning artikli 52 lõige 1 – ELL artikli 4 lõige 2
1. Õigusaktide ühtlustamine – Telekommunikatsioonisektor – Isikuandmete töötlemine ja eraelu kaitse elektroonilise side sektoris – Direktiiv 2002/58 – Kohaldamisala – Liikmesriigi õigusnormid, mis panevad elektroonilise side teenuste osutajatele kohustuse säilitada liiklus- ja asukohaandmeid – Eesmärgid kaitsta riigi julgeolekut ja võidelda kuritegevuse vastu – Hõlmamine
(ELL artikli 4 lõige 2; Euroopa Parlamendi ja nõukogu direktiiv 2002/58, muudetud direktiiviga 2009/136, artikli 1 lõiked 1 ja 3, artikkel 3 ning artikli 15 lõige 1)
(vt punkt 48)
2. Õigusaktide ühtlustamine – Telekommunikatsioonisektor – Isikuandmete töötlemine ja eraelu kaitse elektroonilise side sektoris – Direktiiv 2002/58 – Liikmesriikide õigus piirata teatavate õiguste ja kohustuste ulatust – Liikmesriigi meetmed, mis panevad elektroonilise side teenuste osutajatele liiklus- ja asukohaandmete üldise ja vahet tegemata säilitamise kohustuse – Eesmärk võidelda raske kuritegevuse vastu ja ennetada avalikku julgeolekut ähvardavat suurt ohtu – Lubamatus – Nende andmete üldise ja vahet tegemata säilitamise tähtaja pikkus – Mõju puudumine – Liikmesriigi meetmed, mis puudutavad teatavat liiki andmete säilitamist – Eesmärgid kaitsta riigi julgeolekut, võidelda raske kuritegevuse vastu ja ennetada avalikku julgeolekut ähvardavat suurt ohtu – Lubatavus – Tingimused
(Euroopa Liidu põhiõiguste harta, artiklid 7, 8 ja 11 ning artikli 52 lõige 1; Euroopa Parlamendi ja nõukogu direktiiv 2002/58, muudetud direktiiviga 2009/136, artikli 15 lõige 1)
(vt punktid 49–75, 77–81, 83–85, 87–94, 97–99, 110, 113, 116–121 ja 127–131 ning resolutsioon)
Kokkuvõte
Viimastel aastatel on Euroopa Kohus mitmes kohtuotsuses käsitlenud isikuandmete säilitamist ja nendele andmetele juurdepääsu elektroonilise side valdkonnas(1).
Hiljuti kinnitas Euroopa Kohus 6. oktoobril 2020 suurkojas tehtud kohtuotsuses La Quadrature du Net jt(2) oma kohtupraktikat, mis sai alguse kohtuotsusest Tele2 Sverige ja Watson jt(3) ning mille kohaselt on elektroonilise side liiklus- ja asukohaandmete üldine ja vahet tegemata säilitamine ebaproportsionaalne. Ta täpsustas ka liikmesriikidele eraelu puutumatust ja elektroonilist sidet käsitleva direktiiviga antud volituste ulatust seoses selliste andmete säilitamisega riigi julgeoleku tagamise, kuritegevuse vastu võitlemise ja avaliku julgeoleku kaitsmise eesmärgil.
Kõnealustes liidetud kohtuasjades esitas kaks eelotsusetaotlust Bundesverwaltungsgericht (Saksamaa Liitvabariigi kõrgeim halduskohus), kellele Saksamaa Liitvabariik oli esitanud kassatsioonkaebused kahe kohtuotsuse peale, millega rahuldati kahe internetiühenduse teenuseid pakkuva äriühingu SpaceNet AG (kohtuasi C‑793/19) ja Telekom Deutschland GmbH (kohtuasi C‑794/19) kaebused. Nende kaebustega vaidlustasid need äriühingud Saksamaa õigusnormidega(4) kehtestatud kohustuse säilitada oma klientide elektroonilist sidet puudutavaid liiklus‑ ja asukohaandmeid.
Eelotsusetaotluse esitanud kohtu kahtlused puudutasid eelkõige seda, kas eraelu puutumatust ja elektroonilist sidet käsitleva direktiiviga(5), tõlgendatuna arvestades Euroopa Liidu põhiõiguste hartat (edaspidi „harta“)(6) ja ELL artikli 4 lõiget 2, on kooskõlas liikmesriigi õigusnormid, mis panevad üldkasutatavate elektroonilise side teenuste pakkujatele eelkõige raskete kuritegude eest vastutusele võtmise või riigi julgeolekut ähvardava konkreetse ohu ennetamise eesmärgil kohustuse üldiselt ja vahet tegemata säilitada kõnealuste teenuste kasutajate põhilisi liiklus‑ ja asukohaandmeid ja näevad seejuures ette mitme nädala pikkuse säilitamisaja ning kehtestavad reeglid, mille eesmärk on tagada säilitatavate andmete tõhus kaitse kuritarvitamise ja neile ebaseadusliku juurdepääsu ohu eest.
Euroopa Kohtu suurkoda kinnitas kohtuotsusest La Quadrature du Net jt ja hiljutisemast kohtuotsusest Commissioner of An Garda Síochána jt(7) tulenevat kohtupraktikat ja täpsustas selle ulatust. Ta tuletas muu hulgas meelde, et elektroonilise side liiklus- ja asukohaandmete üldine ja vahet tegemata ennetav säilitamine raske kuritegevuse vastu võitlemise ja avalikku julgeolekut ähvardava suure ohu ennetamise eesmärgil ei ole lubatud.
Euroopa Kohtu hinnang
Alustuseks kinnitas Euroopa Kohus, et eraelu puutumatust ja elektroonilist sidet käsitlev direktiiv on vaidlusaluste riigisiseste õigusnormide suhtes kohaldatav, siis andis ta didaktilistel kaalutlustel meeldetuletuseks ülevaate oma kohtupraktikast tulenevatest põhimõtetest ning seejärel analüüsis üksikasjalikult eelotsusetaotluse esitanud kohtu poolt esile toodud riigisiseste õigusnormide tunnuseid.
Mis puudutab kõigepealt säilitatavate andmete ulatust, siis märkis Euroopa Kohus, et liiklus‑ ja asukohaandmete säilitamine, mis on vaidlusaluste riigisiseste õigusnormidega ette nähtud, hõlmab väga laia liiklus‑ ja asukohaandmete kogumit ning puudutab peaaegu kõiki elanikkonna hulka kuuluvaid isikuid, ilma et nad oleksid kas või kaudselt olukorras, mis võib kaasa tuua kriminaalmenetluse. Ta märkis ka, et need õigusnormid näevad ette kohustuse säilitada ilma põhjenduseta, üldistatult ning isikulisest, ajalisest ja geograafilisest aspektist eristamata suurem osa liiklus- ja asukohaandmetest, mille ulatus vastab sisuliselt andmetele, mille säilitamist käsitleti kohtuasjades, milles tehti kohtuotsus La Quadrature du Net jt. Seetõttu leidis Euroopa Kohus seda kohtupraktikat arvesse võttes, et niisugust andmete säilitamise kohustust, nagu oli kõne all käsitletavas kohtuasjas, ei saa pidada andmete eesmärgipäraseks säilitamiseks.
Mis järgmiseks puudutab andmete säilitamise kestust, siis tuletas Euroopa Kohus meelde, et eraelu puutumatust ja elektroonilist sidet käsitlevast direktiivist(8) tuleneb, et liikmesriigi meetmega – millega kehtestatakse üldine ja vahet tegemata säilitamiskohustus – ette nähtud säilitamisaeg on kahtlemata üks olulistest teguritest, mis võimaldavad teha kindlaks, kas selline meede on liidu õigusega vastuolus, kuna see direktiiv nõuab, et säilitamisaeg oleks „piiratud“. Kuid riive raskus tuleneb siiski ohust, et säilitatavad andmed koos võetuna võimaldavad eriti nende hulka ja mitmekesisust arvestades teha väga täpseid järeldusi selle isiku või nende isikute eraelu kohta, kelle andmeid säilitatakse, ja eelkõige võimaldavad need koostada andmesubjekti või ‑subjektide profiili, mis on õiguse eraelu puutumatusele seisukohast sama tundlik teave kui side sisu ise. Seetõttu kujutab selliste liiklus- või asukohaandmete säilitamine endast igal juhul rasket riivet, sõltumata säilitamise kestusest või andmete hulgast või liigist, kui säilitatavate andmete kogum võimaldab teha niisuguseid järeldusi(9).
Mis puudutab lõpuks tagatisi, mille eesmärk on kaitsta säilitatavaid andmeid kuritarvitamise ohu ja ebaseadusliku juurdepääsu eest, siis märkis Euroopa Kohus varasemale kohtupraktikale tuginedes, et nende andmete säilitamine ja neile juurdepääs kujutavad endast andmesubjektide põhiõiguste eraldiseisvaid riiveid, mida on vaja eraldi põhjendada. Sellest tuleneb, et liikmesriigi õigusnormid, mis säilitatavatele andmetele juurdepääsu osas tagavad kohtupraktikast tulenevate tingimuste täieliku täitmise, ei saa piirata ega isegi mitte heastada andmesubjektide õiguste rasket riivet, mis nende andmete üldise säilitamisega kaasneb.
Talle esitatud argumentidele vastamiseks märkis Euroopa Kohus esiteks, et selleks, et õigustada liiklus- ja asukohaandmete üldise ja vahet tegemata säilitamise meedet piiratud aja jooksul, peab oht riigi julgeolekule olema tegelik ja vahetu või vähemalt ettenähtav, see aga eeldab piisavalt konkreetsete asjaolude esinemist. See oht erineb seega oma laadi, raskusastme ja seda moodustavate asjaolude erilisuse poolest üldisest ja püsivast ohust, et võivad tekkida avalikku julgeolekut kahjustada võivad – sh rasked – pinged või häired, või raskete kuritegude toimepanemise ohust. Seega ei saa kuritegevust, isegi kui see on eriti raske, samastada ohuga riigi julgeolekule.
Teiseks märkis ta, et kui raske kuritegevuse vastu võitlemise eesmärgil antaks juurdepääs liiklus- ja asukohaandmetele, mida riigi julgeoleku kaitsmise eesmärgil säilitatakse üldiselt ja vahet tegemata, läheks see vastuollu hierarhiaga, millesse paigutuvad üldisest huvist lähtuvad eesmärgid, mis võivad põhjendada meetmete võtmist eraelu puutumatust ja elektroonilist sidet käsitleva direktiivi(10) alusel. See tähendaks nimelt, et juurdepääsu saaks põhjendada vähem tähtsa eesmärgiga kui säilitamise aluseks olnud eesmärk, milleks on riigi julgeoleku tagamine, see aga võtaks keelult andmeid raske kuritegevuse vastu võitlemise eesmärgil üldiselt ja vahet tegemata säilitada kogu soovitava toime.
Euroopa Kohus järeldas oma varasemat kohtupraktikat kinnitades, et eraelu puutumatust ja elektroonilist sidet käsitleva direktiiviga, tõlgendatuna lähtuvalt hartast, on vastuolus liikmesriigi seadusandlikud meetmed, mis näevad raske kuritegevuse vastu võitlemiseks ja avalikku julgeolekut ähvardava suure ohu ärahoidmiseks ennetavalt ette liiklus- ja asukohaandmete üldise ja vahet tegemata säilitamise.
Selle direktiiviga ei ole seevastu vastuolus liikmesriigi seadusandlikud meetmed, mis võimaldavad riigi julgeoleku kaitse eesmärgil teha elektroonilise side teenuste osutajatele ettekirjutuse säilitada liiklus- ja asukohaandmeid üldiselt ja vahet tegemata olukordades, kus asjaomane liikmesriik seisab silmitsi riigi julgeolekut ähvardava suure ohuga, mis osutub tõeliseks ja vahetuks või ettearvatavaks. Euroopa Kohus täpsustas sellega seoses, et otsust, millega selline ettekirjutus tehakse, võib tõhusalt kontrollida kas kohus või sõltumatu haldusasutus – kelle otsus on siduv –, selleks et teha kindlaks, kas esineb üks neist olukordadest ning kas on järgitud tingimusi ja tagatisi, mis peavad olema ette nähtud, ning ettekirjutus peab olema ajaliselt piiratud sellega, mis on tingimata vajalik, kuid seda võib ohu püsimise korral pikendada.
Selle direktiiviga, tõlgendatuna lähtuvalt hartast, ei ole vastuolus ka liikmesriigi seadusandlikud meetmed, mis näevad riigi julgeoleku kaitsmise, raske kuritegevuse vastu võitlemise ja avalikku julgeolekut ähvardava suure ohu ennetamise eesmärgil ette liiklus- ja asukohaandmete eesmärgipärase säilitamise, mis on objektiivsete ja mittediskrimineerivate kriteeriumide alusel piiritletud vastavalt andmesubjektide kategooriatele või geograafilise kriteeriumi põhjal ja ajaliselt piiratud tingimata vajalikuga, kuid mida on võimalik pikendada.
Sama kehtib ka liikmesriigi seadusandlike meetmete kohta, mis näevad riigi julgeoleku kaitsmiseks, raske kuritegevuse vastu võitlemiseks ja avalikku julgeolekut ähvardava suure ohu ennetamiseks ette sideallikale omistatud IP-aadresside üldise ja vahet tegemata säilitamise ajavahemikuks, mis on piiratud tingimata vajalikuga, ja samuti elektroonilise side vahendite kasutajate identiteediga seotud andmete üldise ja vahet tegemata säilitamise kohta juhul, kui see säilitamine võib aidata kaasa võitlusele raske kuritegevuse vastu, tingimusel, et need andmed võimaldavad kindlaks teha isikud, kes on selliseid vahendeid kasutanud raske kuriteona käsitatava teo ettevalmistamisel või toimepanemisel.
Teisiti on see liikmesriigi seadusandlike meetmete puhul, mis võimaldavad raske kuritegevuse vastu võitlemise ja seda enam riigi julgeoleku kaitse eesmärgil teha pädeva asutuse otsusega, mille suhtes tehakse tõhusat kohtulikku kontrolli, elektroonilise side teenuste osutajatele ettekirjutuse nende valduses olevaid liiklus- ja asukohaandmeid kindlaksmääratud ajaks kiirsäilitada.
Euroopa Kohus märkis siiski, et kõik ülalmainitud meetmed peavad selgete ja täpsete reeglitega tagama, et kõnealuste andmete säilitamisel järgitakse sellega seotud materiaalõiguslikke ja menetluslikke tingimusi ning et andmesubjektidel on tõhusad tagatised kuritarvituste ohu vastu. Neid erinevaid meetmeid võib liikmesriigi seadusandja valiku kohaselt ja rangelt vajaliku piire järgides kohaldada koos.