UNIONIN TUOMIOISTUIMEN TUOMIO (suuri jaosto)
21 päivänä joulukuuta 2016 (*)
Ennakkoratkaisupyyntö – Sähköinen viestintä – Henkilötietojen käsittely – Sähköisen viestinnän luottamuksellisuus – Suoja – Direktiivi 2002/58/EY – 5, 6 ja 9 artikla sekä 15 artiklan 1 kohta – Euroopan unionin perusoikeuskirja – 7, 8 ja 11 artikla sekä 52 artiklan 1 kohta – Kansallinen lainsäädäntö – Sähköisten viestintäpalvelujen tarjoajat – Liikenne- ja paikkatietojen yleistä ja erotuksetta tapahtuvaa säilyttämistä koskeva velvollisuus – Kansalliset viranomaiset – Oikeus saada tietoja – Ei tuomioistuimen tai riippumattoman hallintoelimen ennakkovalvontaa – Yhteensoveltuvuus unionin oikeuden kanssa
Yhdistetyissä asioissa C‑203/15 ja C‑698/15,
joissa on kyse SEUT 267 artiklaan perustuvista ennakkoratkaisupyynnöistä, jotka ovat esittäneet Kammarrätten i Stockhom (Tukholman kamarioikeus, Ruotsi) 29.4.2015 tekemällään päätöksellä, joka saapui unionin tuomioistuimeen 4.5.2015, ja Court of Appeal (England & Wales) (Civil Division) (muutoksenhakutuomioistuin (Englanti ja Wales) (siviiliasiain jaosto), Yhdistynyt kuningaskunta) 9.12.2015 tekemällään päätöksellä, joka saapui unionin tuomioistuimeen 28.12.2015, asioissa
Tele2 Sverige AB (C-203/15)
vastaan
Post- och telestyrelsen
ja
Secretary of State for the Home Department (C-698/15)
vastaan
Tom Watson,
Peter Brice ja
Geoffrey Lewis,
Open Rights Groupin,
Privacy Internationalin ja
Law Society of England and Walesin
osallistuessa asian käsittelyyn,
UNIONIN TUOMIOISTUIN (suuri jaosto),
toimien kokoonpanossa: presidentti K. Lenaerts, varapresidentti A. Tizzano, jaostojen puheenjohtajat R. Silva de Lapuerta, T. von Danwitz (esittelevä tuomari), J. L. da Cruz Vilaça, E. Juhász ja M. Vilaras sekä tuomarit A. Borg Barthet, J. Malenovský, E. Levits, J.-C. Bonichot, A. Arabadjiev, S. Rodin, F. Biltgen ja C. Lycourgos,
julkisasiamies: H. Saugmandsgaard Øe,
kirjaaja: hallintovirkamies C. Strömholm,
ottaen huomioon unionin tuomioistuimen presidentin 1.2.2016 tekemän päätöksen asian C-698/15 saattamisesta käsiteltäväksi unionin tuomioistuimen työjärjestyksen 105 artiklan 1 kohdassa tarkoitetussa nopeutetussa menettelyssä,
ottaen huomioon kirjallisessa käsittelyssä ja 12.4.2016 pidetyssä istunnossa esitetyn,
ottaen huomioon huomautukset, jotka sille ovat esittäneet
– Tele2 Sverige AB, edustajinaan M. Johansson ja N. Torgerzon, advokater, sekä E. Lagerlöf ja S. Backman,
– Tom Watson, edustajinaan J. Welch ja E. Norton, solicitors, I. Steele, advocate, B. Jaffey, barrister, sekä D. Rose, QC,
– Peter Brice ja Geoffrey Lewis, edustajinaan A. Suterwalla ja R. de Mello, barristers, R. Drabble, QC, sekä S. Luke, solicitor,
– Open Rights Group ja Privacy International, edustajinaan D. Carey, solicitor, sekä R. Mehta ja J. Simor, barristers,
– Law Society of England and Wales, edustajinaan T. Hickman, barrister, ja N. Turner,
– Ruotsin hallitus, asiamiehinään A. Falk, C. Meyer-Seitz, U. Persson, N. Otte Widgren ja L. Swedenborg,
– Yhdistyneen kuningaskunnan hallitus, asiamiehinään S. Brandon, L. Christie ja V. Kaye, avustajinaan D. Beard, G. Facenna, J. Eadie, QC, ja S. Ford, barrister,
– Belgian hallitus, asiamiehinään J.-C. Halleux, S. Vanrie ja C. Pochet,
– Tšekin hallitus, asiamiehinään M. Smolek ja J. Vláčil,
– Tanskan hallitus, asiamiehinään C. Thorning ja M. Wolff,
– Saksan hallitus, asiamiehinään T. Henze, M. Hellmann ja J. Kemper, avustajinaan M. Kottmann ja U. Karpenstein, Rechtsanwälte,
– Viron hallitus, asiamiehenään K. Kraavi-Käerdi,
– Irlanti, asiamiehinään E. Creedon, L. Williams ja A. Joyce, avustajanaan D. Fennelly, BL,
– Espanjan hallitus, asiamiehenään A. Rubio González,
– Ranskan hallitus, asiamiehinään G. de Bergues, D. Colas, F.-X. Bréchot ja C. David,
– Kyproksen hallitus, asiamiehenään K. Kleanthous,
– Unkarin hallitus, asiamiehinään M. Fehér ja G. Koós,
– Alankomaiden hallitus, asiamiehinään M. Bulterman, M. Gijzen ja J. Langer,
– Puolan hallitus, asiamiehenään B. Majczyna,
– Suomen hallitus, asiamiehenään J. Heliskoski,
– Euroopan komissio, asiamiehinään H. Krämer, K. Simonsson, H. Kranenborg, D. Nardi, P. Costa de Oliveira ja J. Vondung,
kuultuaan julkisasiamiehen 19.7.2016 pidetyssä istunnossa esittämän ratkaisuehdotuksen,
on antanut seuraavan
tuomion
1 Ennakkoratkaisupyynnöt koskevat henkilötietojen käsittelystä ja yksityisyyden suojasta sähköisen viestinnän alalla 12.7.2002 annetun Euroopan parlamentin ja neuvoston direktiivin 2002/58/EY (sähköisen viestinnän tietosuojadirektiivi) (EYVL 2002, L 201, s. 37), sellaisena kuin se on muutettuna 25.11.2009 annetulla Euroopan parlamentin ja neuvoston direktiivillä 2009/136/EY (EUVL 2009, L 337, s. 11) (jäljempänä direktiivi 2002/58) 15 artiklan 1 kohdan tulkintaa, kun se luetaan Euroopan unionin perusoikeuskirjan (jäljempänä perusoikeuskirja) 7 ja 8 artiklan sekä 52 artiklan 1 kohdan valossa.
2 Nämä pyynnöt on esitetty kahdessa asiassa, joista ensimmäisessä asianosaisina ovat Tele2 Sverige AB (jäljempänä Tele2 Sverige) ja Post- och telestyrelsen (Ruotsin posti- ja telehallitus, jäljempänä PTS) ja jossa on kyse siitä, että PTS määräsi Tele2 Sverigen säilyttämään tilaajiensa ja rekisteröityjen käyttäjiensä liikenne- ja paikkatiedot (asia C-203/15), ja toisessa asianosaisina ovat Tom Watson, Peter Brice ja Geoffrey Lewis sekä Secretary of State for the Home Department (sisäministeri, Ison-Britannian ja Pohjois-Irlannin yhdistynyt kuningaskunta) ja jossa on kyse siitä, onko tietojen säilyttämisestä ja tutkintavaltuuksista annetun vuoden 2014 lain (Data Retention and Investigatory Powers Act 2014, jäljempänä DRIPA) 1 § yhteensoveltuva unionin oikeuden kanssa (asia C-698/15).
Asiaa koskevat oikeussäännöt
Unionin oikeus
Direktiivi 2002/58
3 Direktiivin 2002/58 johdanto-osan 2, 6, 7, 11, 21, 22, 26 ja 30 perustelukappaleessa todetaan seuraavaa:
”(2) Tässä direktiivissä pyritään kunnioittamaan perusoikeuksia ja siinä noudatetaan erityisesti [perusoikeuskirjassa] tunnustettuja periaatteita. Tässä direktiivissä pyritään erityisesti varmistamaan [sen] 7 ja 8 artiklassa vahvistettujen oikeuksien täysimääräinen kunnioittaminen.
– –
(6) Internet mullistaa markkinoiden perinteisiä rakenteita tarjoamalla käyttöön yhteisen ja maailmanlaajuisen infrastruktuurin, jossa voidaan jakaa laajaa valikoimaa sähköisiä viestintäpalveluja. Internetissä yleisesti saatavilla olevat sähköiset viestintäpalvelut avaavat käyttäjille uusia mahdollisuuksia, mutta aiheuttavat samalla heidän henkilötietoihinsa ja yksityisyyteensä liittyviä uusia riskejä.
(7) Yleisten viestintäverkkojen osalta olisi annettava erityiset lait, asetukset ja tekniset määräykset, jotta luonnollisten henkilöiden perusoikeudet ja ‑vapaudet sekä oikeushenkilöiden oikeutetut edut voidaan suojata ottaen erityisesti huomioon tilaajia ja käyttäjiä koskevien tietojen automaattisen tallennus- ja käsittelykapasiteetin lisääntyminen.
– –
(11) Tämä direktiivi, samoin kuin [yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta 24.10.1995 annettu Euroopan parlamentin ja neuvoston] direktiivi 95/46/EY [(EYVL 1995, L 281, s. 31)] ei koske perusoikeuksien ja ‑vapauksien turvaamista sellaisessa toiminnassa, joka ei kuulu yhteisön oikeuden soveltamisalaan. Tästä syystä se ei vaikuta tasapainoon, joka tällä hetkellä vallitsee yksittäisten henkilöiden yksityisyyden suojan ja niiden tämän direktiivin 15 artiklan 1 kohdassa tarkoitettujen toimenpiteiden välillä, joita jäsenvaltiot voivat toteuttaa yleisen turvallisuuden, maanpuolustuksen tai valtion turvallisuuden (valtion taloudellinen hyvinvointi mukaan lukien, kun toimet liittyvät valtion turvallisuuteen) suojelemiseksi sekä rikosoikeuden täytäntöönpanemiseksi. Näin ollen tämä direktiivi ei vaikuta jäsenvaltioiden mahdollisuuteen harjoittaa sähköisen viestinnän laillista telekuuntelua tai toteuttaa muita toimenpiteitä, jos ne ovat välttämättömiä edellä mainittuja tarkoituksia varten ja jos noudatetaan ihmisoikeuksien ja perusvapauksien suojaamiseksi tehtyä eurooppalaista yleissopimusta sellaisena kuin sitä on Euroopan ihmisoikeustuomioistuimen päätöksissä tulkittu. Näiden toimenpiteiden on oltava asianmukaisia, niiden on ehdottomasti oltava oikeassa suhteessa niiden tarkoitukseen nähden sekä välttämättömiä demokraattisessa yhteiskunnassa ja ihmisoikeuksien ja perusvapauksien suojaamiseksi tehdyn eurooppalaisen yleissopimuksen mukaisia asianmukaisia suojamääräyksiä olisi sovellettava niihin.
– –
(21) Olisi toteutettava toimenpiteet viestinnän luvattoman käytön estämiseksi, jotta yleisissä viestintäverkoissa ja yleisesti saatavilla olevissa sähköisissä viestintäpalveluissa voidaan turvata viestinnän luottamuksellisuus, mukaan lukien sekä sisältö että tällaiseen viestintään liittyvät tiedot. Joidenkin jäsenvaltioiden kansallinen lainsäädäntö kieltää viestinnän luvattoman käytön ainoastaan, jos se on tahallista.
(22) Muiden kuin käyttäjien toimesta tai ilman käyttäjän suostumusta tapahtuvan viestinnän ja siihen liittyvien liikennetietojen tallentamisen kiellolla ei ole tarkoitus kieltää näiden tietojen automaatti-, väli- tai väliaikaistallennusta, jos sen ainoana tarkoituksena on välittää viestintää sähköisessä viestintäverkossa, edellyttäen, että tietoja ei tallenneta pidempään kuin on tarpeen niiden välittämistä ja liikenteen hallintaa varten ja että niiden luottamuksellisuus voidaan taata myös niiden ollessa tallennettuina. – –
– –
(26) Tilaajiin liittyvät tiedot, joita käsitellään sähköisissä viestintäverkoissa liittymien luomiseksi ja tietojen välittämiseksi, sisältävät tietoja luonnollisten henkilöiden yksityiselämästä ja koskevat heidän oikeuttaan viestintänsä suojaan tai oikeushenkilöiden oikeutettuja etuja. Tällaista tietoa voidaan tallentaa vain siinä määrin, kuin se on palvelun tarjoamisen kannalta välttämätöntä laskutuksen tai yhteenliittämismaksujen vuoksi ja vain rajoitetun ajan. Kaikki muu tällaisen tiedon jatkokäsittely – – sallitaan ainoastaan, jos tilaaja on tähän suostunut yleisesti saatavilla olevan sähköisen viestintäpalvelun tarjoajan hänelle antamien täsmällisten ja täydellisten tietojen perusteella, jotka koskevat näitä suunniteltuja jatkokäsittelymuotoja ja tilaajan oikeutta olla antamatta suostumustaan tai peruuttaa suostumuksensa tällaiseen käsittelyyn. – –
– –
(30) Sähköisiä viestintäverkkoja ja ‑palveluita tarjoavat järjestelmät olisi suunniteltava niin, että tarvittavien henkilötietojen määrä rajoitetaan mahdollisimman pieneksi. – –”
4 Direktiivin 2002/58 1 artiklassa, jonka otsikko on ”Soveltamisala ja tavoite”, säädetään seuraavaa:
”1. Tässä direktiivissä säädetään sellaisten kansallisten säännösten yhdenmukaistamisesta, joita tarvitaan samantasoisen perusoikeuksien ja ‑vapauksien, erityisesti yksityisyyttä ja luottamuksellisuutta koskevan oikeuden, suojan varmistamiseksi henkilötietojen käsittelyssä sähköisen viestinnän alalla sekä tällaisten tietojen ja sähköisten viestintälaitteiden ja ‑palvelujen vapaan liikkuvuuden varmistamiseksi yhteisössä.
2. Tämän direktiivin säännöksillä täsmennetään ja täydennetään direktiiviä [95/46] edellä 1 kohdassa mainittuja tarkoituksia varten. Niissä säädetään lisäksi tilaajien, jotka ovat oikeushenkilöitä, oikeutettujen etujen suojelemisesta.
3. Tätä direktiiviä ei sovelleta Euroopan yhteisön perustamissopimuksen soveltamisalan ulkopuolelle jääviin toimiin, kuten niihin, joita Euroopan unionista tehdyn sopimuksen V ja VI osasto koskee, eikä missään tapauksessa yleistä turvallisuutta, puolustusta ja valtion turvallisuutta (mukaan lukien valtion taloudellinen hyvinvointi, kun toimet liittyvät valtion turvallisuuteen) koskeviin toimiin eikä valtion toimiin rikosoikeuden alalla.”
5 Direktiivin 2002/58 2 artiklassa, jonka otsikko on ”Määritelmät”, säädetään seuraavaa:
”Jollei toisin ole säädetty, tässä direktiivissä sovelletaan direktiivin [95/46] ja sähköisten viestintäverkkojen ja ‑palvelujen yhteisestä sääntelyjärjestelmästä (puitedirektiivi) 7 päivänä maaliskuuta 2002 annetun Euroopan parlamentin ja neuvoston direktiivin 2002/21/EY [(EYVL 2002, L 108, s. 33)] sisältämiä määritelmiä.
Lisäksi tässä direktiivissä tarkoitetaan:
– –
b) ’liikennetiedoilla’ tietoja, joita käsitellään sähköisessä viestintäverkossa välitettävää viestintää tai sen laskutusta varten;
c) ’paikkatiedoilla’ sähköisessä viestintäverkossa tai sähköisen viestintäpalvelun avulla käsiteltäviä tietoja, jotka ilmaisevat yleisesti saatavilla olevan sähköisen viestintäpalvelun käyttäjän päätelaitteen maantieteellisen sijainnin;
d) ’viestinnällä’ tietoa, jota vaihdetaan tai jota siirretään tiettyjen osapuolten kesken yleisesti saatavilla olevan sähköisen viestintäpalvelun avulla. Määritelmään ei sisälly tieto, joka välitetään yleisradiotoiminnan yhteydessä yleisölle sähköisessä viestintäverkossa, paitsi siltä osin kuin tieto voidaan yhdistää tietoa vastaanottavaan tunnistettavissa olevaan tilaajaan tai käyttäjään;
– –”
6 Direktiivin 2002/58 3 artiklassa, jonka otsikko on ”Palvelut”, säädetään seuraavaa:
”Tätä direktiiviä sovelletaan henkilötietojen käsittelyyn, joka liittyy yleisesti saatavilla olevien sähköisten viestintäpalvelujen tarjoamiseen yleisissä viestintäverkoissa yhteisössä, mukaan luettuina tiedonkeruu- ja tunnistuslaitteita tukevat yleiset viestintäverkot.”
7 Direktiivin 4 artiklassa, jonka otsikko on ”Käsittelyn turvallisuus”, säädetään seuraavaa:
”1. Yleisesti saatavilla olevien sähköisten viestintäpalvelujen tarjoajan on toteutettava asianmukaiset tekniset ja organisatoriset toimenpiteet varmistaakseen tarjoamiensa palvelujen turvallisuuden, verkon turvallisuuden osalta tarvittaessa yhdessä yleisen viestintäverkon tarjoajan kanssa. Näillä toimenpiteillä on voitava varmistaa riskiin suhteutettu turvallisuustaso ottaen huomioon uusin tekniikka ja toimenpiteiden käyttöönottokustannukset.
1 a. Rajoittamatta direktiivin [95/46] soveltamista 1 kohdassa tarkoitetuilla toimenpiteillä on vähintään
– varmistettava, että henkilötietoja pääsee käsittelemään vain siihen luvan saanut henkilöstö oikeudellisesti perustelluissa tapauksissa,
– suojattava tallennetut tai siirretyt henkilötiedot tahattomalta tai laittomalta tuhoamiselta, tahattomalta kadottamiselta tai muuttamiselta taikka luvattomalta tai laittomalta säilyttämiseltä, käsittelyltä, käytöltä tai luovuttamiselta,
– varmistettava henkilötietojen käsittelyä koskevan turvapolitiikan toteuttaminen.
– –”
8 Direktiivin 2002/58 5 artiklassa, jonka otsikko on ”Viestinnän luottamuksellisuus”, säädetään seuraavaa:
”1. Jäsenvaltioiden on kansallisella lainsäädännöllä varmistettava yleisen viestintäverkon ja yleisesti saatavilla olevien sähköisten viestintäpalvelujen välityksellä tapahtuvan viestinnän ja siihen liittyvien liikennetietojen luottamuksellisuus. Niiden on erityisesti kiellettävä se, että muut henkilöt kuin käyttäjät ilman kyseisten käyttäjien nimenomaista suostumusta kuuntelevat, salakuuntelevat, tallentavat tai muulla tavalla sieppaavat tai valvovat viestintää ja siihen liittyviä liikennetietoja, jollei se ole laillisesti sallittua 15 artiklan 1 kohdan mukaisesti. Mitä tässä kohdassa säädetään, ei estä teknistä tallentamista, joka on tarpeen viestinnän välittämiselle, tämän rajoittamatta luottamuksellisuuden periaatteen soveltamista.
– –
3. Jäsenvaltioiden on varmistettava, että tietojen tallentaminen tai tilaajan tai käyttäjän päätelaitteelle tallennettujen tietojen käyttäminen sallitaan ainoastaan sillä edellytyksellä, että kyseinen tilaaja tai käyttäjä on antanut suostumuksensa saatuaan selkeät ja kattavat tiedot muun muassa käsittelyn tarkoituksesta direktiivin [95/46] mukaisesti. Tämä ei estä teknistä tallentamista tai käyttöä, jonka ainoana tarkoituksena on toteuttaa viestinnän välittäminen sähköisissä viestintäverkoissa tai joka on ehdottoman välttämätöntä tietoyhteiskuntapalvelun tarjoajalle sellaisen palvelun tarjoamiseksi, jota tilaaja tai käyttäjä on erityisesti pyytänyt.”
9 Direktiivin 2002/58 6 artiklan otsikko on ”Liikennetiedot”, ja kyseisessä artiklassa säädetään seuraavaa:
”1. Tilaajia ja käyttäjiä koskevat liikennetiedot, jotka yleisen viestintäverkon tai yleisesti saatavilla olevien sähköisten viestintäpalvelujen tarjoaja käsittelee ja tallentaa, on poistettava tai tehtävä nimettömiksi, kun niitä ei enää tarvita viestinnän välittämiseen, sanotun kuitenkaan rajoittamatta tämän artiklan 2, 3 ja 5 kohdan sekä 15 artiklan 1 kohdan soveltamista.
2. Tilaajalaskutusta ja yhteenliittämismaksuja varten tarvittavia liikennetietoja voidaan käsitellä. Tällainen käsittely on sallittua ainoastaan sen ajanjakson loppuun asti, jona lasku voidaan laillisesti riitauttaa tai maksu periä.
3. Yleisesti saatavilla olevien sähköisten viestintäpalvelujen tarjoaja voi sähköisten viestintäpalvelujen markkinoimiseksi tai lisäarvopalvelujen tarjoamiseksi käsitellä 1 kohdassa tarkoitettuja tietoja siinä määrin ja niin kauan kuin tällainen palvelu tai markkinointi sitä edellyttää, jos tilaaja tai käyttäjä, jota tiedot koskevat, on antanut siihen ennakolta suostumuksensa. Käyttäjille tai tilaajille on annettava mahdollisuus perua liikennetietojen käsittelyä koskeva suostumuksensa milloin tahansa.
– –
5. Liikennetietojen käsittely 1, 2, 3 ja 4 kohdan mukaisesti on rajoitettava yleisten viestintäverkkojen ja yleisesti saatavilla olevien palvelujen tarjoajien vastuulla toimiviin henkilöihin, jotka käsittelevät laskutusta tai liikenteenhallintaa, asiakastiedusteluja, petosten paljastamista, sähköisten viestintäpalvelujen markkinoimista tai lisäarvopalvelujen tarjoamista, ja sitä voidaan suorittaa ainoastaan kyseisten toimien vaatimassa laajuudessa.”
10 Kyseisen direktiivin 9 artiklan, jonka otsikko on ”Muut paikkatiedot kuin liikennetiedot”, 1 kohdassa säädetään seuraavaa:
”Jos yleisten viestintäverkkojen tai yleisesti saatavilla olevien sähköisten viestintäpalvelujen käyttäjien tai tilaajien muita paikkatietoja kuin liikennetietoja voidaan käsitellä, näitä tietoja saa käsitellä vain silloin, kun ne on tehty nimettömiksi tai jos käyttäjät tai tilaajat ovat antaneet siihen suostumuksensa, ja tietoja saa käsitellä ainoastaan siinä määrin ja niin kauan kuin lisäarvopalvelujen tarjoaminen edellyttää. Ennen kuin käyttäjät tai tilaajat antavat suostumuksensa, palvelun tarjoajan on ilmoitettava heille, minkä tyyppisiä muita paikkatietoja kuin liikennetietoja käsitellään, mikä on käsittelyn tarkoitus ja kuinka kauan se kestää sekä siirretäänkö tiedot kolmannelle osapuolelle lisäarvopalvelun tarjoamista varten. – –”
11 Kyseisen direktiivin 15 artiklassa, jonka otsikko on ”Direktiivin [95/46] tiettyjen säännösten soveltaminen”, säädetään seuraavaa:
”1. Jäsenvaltiot voivat toteuttaa lainsäädännöllisiä toimenpiteitä, joilla rajoitetaan tämän direktiivin 5 artiklassa, 6 artiklassa, 8 artiklan 1, 2, 3 ja 4 kohdassa sekä 9 artiklassa säädettyjen oikeuksien ja velvollisuuksien soveltamisalaa, jos tällaiset rajoitukset ovat välttämättömiä, asianmukaisia ja oikeasuhteisia demokraattisen yhteiskunnan toimenpiteitä kansallisen turvallisuuden (valtion turvallisuus) sekä puolustuksen, yleisen turvallisuuden tai rikosten tai sähköisen viestintäjärjestelmän luvattoman käytön torjunnan, tutkinnan, selvittämisen ja syyteharkinnan varmistamiseksi direktiivin [95/46] 13 artiklan 1 kohdan mukaisesti. Tätä varten jäsenvaltiot voivat muun muassa hyväksyä lainsäädännöllisiä toimenpiteitä, joissa säädetään tietojen säilyttämisestä sellaiseksi rajoitetuksi ajaksi, joka on perusteltua tässä kohdassa säädetyistä syistä. Kaikkien tässä kohdassa tarkoitettujen toimenpiteiden on oltava yhteisön oikeuden yleisten periaatteiden mukaisia, mukaan lukien Euroopan unionista tehdyn sopimuksen 6 artiklan 1 ja 2 kohdassa tarkoitetut periaatteet.
– –
1 b. Palveluntarjoajien on 1 kohdan mukaisesti hyväksyttyjen kansallisten säännösten perusteella otettava käyttöön sisäisiä menettelyjä, jotta ne voivat vastata käyttäjien henkilötietojen saantia koskeviin pyyntöihin. Niiden on pyynnöstä toimitettava toimivaltaiselle kansalliselle viranomaiselle tietoja näistä menettelyistä, vastaanotettujen pyyntöjen määrästä, sovelletusta oikeudellisesta perustelusta ja vastauksestaan.
2. Direktiivin [95/46] III jakson säännöksiä oikeuskeinoista, vastuista ja seuraamuksista sovelletaan ottaen huomioon tämän direktiivin mukaisesti annetut kansalliset säännökset ja tästä direktiivistä johtuvat henkilökohtaiset oikeudet.
– –”
Direktiivi 95/46
12 Direktiivin 95/46 III lukuun sisältyvän 22 artiklan sanamuoto on seuraava:
”Jäsenvaltioiden on säädettävä siitä, että kenellä tahansa henkilöllä on mahdollisuus käyttää oikeussuojakeinoa, jos kyseessä olevaan käsittelyyn sovellettavien kansallisten säännösten mukaisesti hänelle kuuluvia oikeuksia loukataan, sanotun kuitenkaan rajoittamatta sellaisen hallinnollisen keinon soveltamista, johon voidaan turvautua, muun muassa 28 artiklassa tarkoitetun valvontaviranomaisen avulla ennen asian vireillepanoa oikeudessa.”
Direktiivi 2006/24/EY
13 Yleisesti saatavilla olevien sähköisten viestintäpalvelujen tai yleisten viestintäverkkojen yhteydessä tuotettavien tai käsiteltävien tietojen säilyttämisestä ja direktiivin 2002/58/EY muuttamisesta 15.3.2006 annetun Euroopan parlamentin ja neuvoston direktiivin 2006/24/EY (EUVL 2006, L 105, s. 54) 1 artiklan, jonka otsikko on ”Kohde ja soveltamisala”, 2 kohdassa säädetään seuraavaa:
”Tätä direktiiviä sovelletaan oikeushenkilöiden ja luonnollisten henkilöiden liikenne- ja paikkatietoihin sekä tilaajan tai rekisteröityneen käyttäjän tunnistamiseksi tarvittaviin tietoihin. Direktiiviä ei sovelleta sähköisen viestinnän sisältöön eikä sähköistä viestintäverkkoa käyttämällä haettuihin tietoihin.”
14 Kyseisen direktiivin 3 artiklassa, jonka otsikko on ”Tietojen säilyttämisvelvollisuus”, säädetään seuraavaa:
”1. Poiketen siitä, mitä direktiivin [2002/58] 5, 6 ja 9 artiklassa säädetään, jäsenvaltioiden on toteutettava toimenpiteitä sen varmistamiseksi, että tämän direktiivin 5 artiklassa eritellyt tiedot säilytetään tämän direktiivin säännösten mukaisesti, jos ne ovat yleisesti saatavilla olevien sähköisten viestintäpalvelujen tai yleisten viestintäverkkojen tarjoajien toimivaltansa puitteissa kyseessä olevia viestintäpalveluja toimittaessaan tuottamia tai käsittelemiä.
2. Edellä 1 kohdassa säädetty tietojen säilyttämisvelvollisuus koskee myös 5 artiklassa eriteltyjen tietojen säilyttämistä epäonnistuneista kutsuista, joissa yleisesti saatavilla olevien sähköisten viestintäpalvelujen tai yleisten viestintäverkkojen tarjoajat tuottavat tai käsittelevät ja varastoivat puhelutietoja taikka kirjaavat Internet-yhteystietoja kyseisen jäsenvaltion toimivallan puitteissa kyseessä olevia viestintäpalveluja toimittaessaan. Tässä direktiivissä ei edellytetä tietojen säilyttämistä puheluista, joissa yhteyttä ei saatu.”
Ruotsin oikeus
15 Ennakkoratkaisupyynnöstä asiassa C-203/15 käy ilmi, että direktiivin 2006/24 saattamiseksi osaksi kansallista oikeutta Ruotsin lainsäätäjä muutti sähköisestä viestinnästä annettua lakia 2003:389 (lagen (2003:389) om elektronisk kommunikation, jäljempänä LEK) ja sähköisestä viestinnästä annettua asetusta 2003:396 (förordningen (2003:396) om elektronisk kommunikation). Näiden molempien säädösten pääasiassa sovellettavaan versioon sisältyy sääntöjä sähköisen viestinnän tietojen säilyttämisestä ja kansallisten viranomaisten oikeudesta saada näitä tietoja.
16 Oikeudesta saada kyseisiä tietoja säädetään lisäksi myös sähköistä viestintää koskevasta tietojenhausta rikosten torjunnasta vastaavien viranomaisten tutkintatoimintaa varten annetussa laissa 2012:278 (lagen (2012:278) om inhämtning av uppgifter om elektronisk kommunikation i de brottsbekämpande myndigheternas underrättelseverksamhet, jäljempänä laki 2012:278) ja oikeudenkäymiskaaressa (rättegångsbalken, jäljempänä RB).
Sähköistä viestintää koskevien tietojen säilyttämisvelvollisuus
17 Asiassa C-203/15 ennakkoratkaisua pyytäneen tuomioistuimen esittämien tietojen mukaan LEK:n 6 lukuun sisältyvän 16 a §:n säännöksissä, kun ne luetaan yhdessä tämän lain 2 luvun 1 §:n kanssa, säädetään sähköisten viestintäpalvelujen tarjoajien velvollisuudesta säilyttää tiedot, joiden säilyttämisestä säädettiin direktiivissä 2006/24. Kyse on tilauksia ja kaikkea sähköistä viestintää koskevista tiedoista, joita viestinnän lähteen ja kohteen jäljittäminen ja tunnistaminen, päivämäärän, kellonajan, keston ja viestityypin määrittäminen, käytetyn viestintälaitteen tunnistaminen sekä käytetyn matkaviestintälaitteen paikantaminen viestinnän alkaessa ja päättyessä edellyttävät. Säilyttämisvelvollisuus koskee tietoja, joita käsitellään puhelinpalvelussa, matkapuhelinliittymän kautta puhelinpalvelussa, viestien välityksessä sekä internetyhteyttä ja internetyhteyden edellyttämää kapasiteettia tarjottaessa (liittymismuoto). Velvollisuus käsittää myös epäonnistunutta viestintää koskevat tiedot. Se ei kuitenkaan koske viestien sisältöä.
18 Sähköisestä viestinnästä annetun asetuksen (2003:396) 38–43 §:ssä täsmennetään ne tietoryhmät, jotka on säilytettävä. Puhelinpalvelujen osalta on säilytettävä muun muassa puheluita ja vastaanottajan numeroita koskevat tiedot sekä päivämäärä ja jäljitettävissä oleva viestinnän alkamis- ja päättymishetki. Kun kyse on puhelusta matkapuhelinliittymän välityksellä, on säännöksissä lisävaatimuksia esimerkiksi siitä, että myös viestin alkamisen ja päättymisen paikkatiedot on säilytettävä. IP-pakettia käyttävistä puhelinpalveluista on edellä mainittujen lisäksi säilytettävä soiton vastaanottajan ja soittajan IP-osoite. Viestien välityksen osalta on säilytettävä muun muassa lähettäjän ja vastaanottajan numero, IP-osoite tai jokin muu viestiosoite. Kun kyse on internetyhteydestä, säilytettävä on esimerkiksi käyttäjän IP-osoite ja päivämäärä sekä jäljitettävissä olevat internetyhteyden tarjoavaan palveluun kytkeytymishetki ja sen käytön päättämishetki.
Tietojen säilytysaika
19 LEK:n 6 luvun 16 d §:stä käy ilmi, että sähköisten viestintäpalvelujen tarjoajan on säilytettävä kyseisen luvun 16 a §:ssä tarkoitettuja tietoja kuusi kuukautta viestinnän päättymisestä. Tämän jälkeen tiedot on välittömästi poistettava, ellei kyseisen luvun 16 d §:n 2 momentista muuta seuraa.
Oikeus saada säilytettyjä tietoja
20 Kansallisten viranomaisten oikeudesta saada säilytettyjä tietoja säädetään laissa 2012:278, LEK:ssa ja RB:ssä.
– Laki 2012:278
21 Lain 2012:278 1 §:n mukaan kansalliset poliisiviranomaiset, Säkerhetspolisen (turvallisuuspoliisi, Ruotsi) ja Tullverket (tullilaitos, Ruotsi) voivat tässä laissa säädetyin edellytyksin tiedustelutoiminnassaan viestintäverkkojen ja sähköisten viestintäpalvelujen tarjoajien tietämättä LEK:n mukaisesti kerätä tietoja, jotka koskevat sähköisessä viestintäverkossa lähetettyjä viestejä, tietyllä maantieteellisesti määritellyllä alueella olevia sähköisen viestinnän laitteita sekä maantieteellisesti määriteltyä aluetta tai alueita, joilla tietyt sähköisen viestinnän laitteet ovat tai ovat olleet.
22 Lain 2012:278 2 ja 3 §:n mukaan tietoja voidaan lähtökohtaisesti hakea, jos olosuhteet ovat sellaiset, että toimenpidettä on pidettävä erityisen tärkeänä rikollisen toiminnan ehkäisemisen, torjunnan tai paljastamisen kannalta, kun kyse on rikoksesta tai rikoksista, joista on säädetty rangaistukseksi vähintään kaksi vuotta vankeutta, tai rikoksista, jotka on mainittu tämän lain 3 §:ssä olevassa luettelossa ja joihin kuuluu rikoksia, joista säädetty rangaistus on vähemmän kuin kaksi vuotta vankeutta. Toimenpiteiden syiden on oltava painavampia kuin se puuttuminen tai haitta, joka niistä aiheutuu toimenpiteen kohteena olevalle henkilölle tai jollekin muulle, toimenpiteelle vastakkaiselle intressille. Kyseisen lain 5 §:n mukaan toimenpide ei saa kestoltaan ylittää yhtä kuukautta.
23 Tällaisen toimenpiteen toteuttamista koskevan päätöksen tekee asianomaisen viranomaisen johtaja tai tämän asianomaisessa viranomaisessa valtuuttama henkilö. Toimenpide ei edellytä tuomioistuimen tai riippumattoman hallintoviranomaisen ennakkovalvontaa.
24 Säkerhets- och integritetsskyddsnämndenille (Ruotsin turvallisuus- ja yksityisyydensuojalautakunta) on lain 2012:278 6 §:n mukaan ilmoitettava tietojen hakemisesta tehdystä päätöksestä. Tietyntyyppisen rikosten torjunnan valvonnasta annetun lain 2007:980 (lagen (2007:980) om tillsyn över viss brottsbekämpande verksamhet) 1 §:n mukaan kyseisen lautakunnan on valvottava rikosten torjunnasta vastaavien viranomaisten lainsoveltamista.
– LEK
25 LEK:n 6 luvun 22 §:n 1 momentin 2 kohdassa säädetään, että palveluntarjoajan on pyynnöstä luovutettava liittymän tietoja syyttäjäviranomaiselle, poliisiviranomaiselle, turvallisuuspoliisille tai muulle rikosten torjunnasta vastaavalle viranomaiselle, jos tiedot liittyvät rikosepäilyyn. Asiassa C-203/15 ennakkoratkaisua pyytäneen tuomioistuimen mukaan ei edellytetä, että kyseessä on vakava rikos.
– RB
26 RB:ssä säädetään säilytettävien tietojen luovuttamisesta kansallisille viranomaisille esitutkinnan yhteydessä. RB:n 27 luvun 19 §:n mukaan sähköisen viestinnän salainen valvonta esitutkinnassa on lähtökohtaisesti sallittua sellaisten rikosten osalta, joista säädetty rangaistus on vähintään kuusi kuukautta vankeutta. RB:n 27 luvun 19 §:n mukaan sähköisen viestinnän valvonnalla tarkoitetaan sitä, että salaa haetaan tietoja viesteistä, jotka on välitetty sähköisessä viestintäverkossa, siitä, mitä sähköisen viestinnän laitteita on tietyllä maantieteellisesti määritellyllä alueella, ja siitä, millä maantieteellisesti määritellyllä alueella tietyt sähköisen viestinnän laitteet ovat tai ovat olleet.
27 Asiassa C-203/15 ennakkoratkaisua pyytäneen tuomioistuimen esittämien tietojen mukaan RB:n 27 luvun 19 §:n nojalla ei voida hankkia tietoja viestien sisällöstä. RB:n 27 luvun 20 §:n mukaan sähköisen viestinnän valvonta on lähtökohtaisesti mahdollista vain siinä tapauksessa, että henkilöä epäillään rikoksesta todennäköisin syin ja että tiedonhakutoimenpiteillä on erittäin tärkeä merkitys rikoksen selvittämiselle, kun esitutkinta koskee rikosta, josta säädetty rangaistus on vähintään kaksi vuotta vankeutta, tai tällaisen rikoksen rangaistavaa yritystä, valmistelua tai salahanketta sen tekemiseksi. RB:n 27 luvun 21 §:n mukaan syyttäjän on yleensä saatava toimivaltaisen tuomioistuimen lupa ennen kuin se voi aloittaa sähköisen viestinnän valvonnan.
Säilytettyjen tietojen turva ja suoja
28 LEK:n 6 luvun 3 a §:n mukaan säilyttämisvelvollisten palvelun tarjoajien on ryhdyttävä erityisiin teknisiin ja organisatorisiin toimenpiteisiin, joita tietojen suojaaminen niitä käsiteltäessä edellyttää. Asiassa C-203/15 ennakkoratkaisua pyytäneen tuomioistuimen esittämien tietojen mukaan Ruotsin lainsäädännössä ei kuitenkaan ole säännöksiä siitä, missä tietoja saadaan säilyttää.
Yhdistyneen kuningaskunnan oikeus
DRIPA
29 DRIPA:n 1 §:ssä, jonka otsikko on ”Merkityksellisten viestintätietojen, joille on annettu takeita, säilyttämistä koskevat valtuudet”, säädetään seuraavaa:
”(1) [Sisäministeri] voi antamallaan ilmoituksella (’säilyttämistä koskeva ilmoitus’) velvoittaa yleisen televerkon operaattorin säilyttämään merkityksellisiä viestintätietoja, jos hän pitää vaatimusta välttämättömänä ja oikeasuhteisena vuoden 2000 tutkintavaltuuksista annetun lain (Regulation of Investigatory Powers Act 2000) 22 §:n 2 momentin a–h kohdassa (tarkoitukset, joihin viestintätietoja voidaan saada) mainitun yhden tai useamman tarkoituksen vuoksi.
(2) Säilyttämistä koskevassa ilmoituksessa voidaan
(a) viitata määrättyyn operaattoriin tai tietyn tyyppiseen operaattoriin
(b) edellyttää kaikkien tietojen tai tietyn tyyppisten tietojen säilyttämistä
(c) täsmentää tietojen säilytysaika tai säilytysajat
(d) asettaa muita vaatimuksia tai rajoituksia, jotka koskevat tietojen säilyttämistä
(e) antaa eri säännöksiä eri tarkoituksiin
(f) viitata tietoihin riippumatta siitä, onko niitä olemassa ilmoituksen antamisen tai voimaantulon ajankohtana.
(3) [Sisäministeri] voi antaa asetuksella muita säännöksiä merkityksellisten viestintätietojen säilyttämisestä.
(4) Tällaisissa säännöksissä voidaan erityisesti säätää
(a) vaatimuksista ennen säilyttämistä koskevan ilmoituksen antamista
(b) enimmäisajasta, jonka ajan tietoja säilytetään säilyttämistä koskevan ilmoituksen mukaisesti
(c) säilyttämistä koskevan ilmoituksen sisällöstä, antamisesta, voimaantulosta, tarkistamisesta, muuttamisesta tai kumoamisesta
(d) tämän pykälän nojalla säilytettyjen tietojen koskemattomuudesta, tietoturvasta tai tietosuojasta, näiden tietojen saannista tai paljastamisesta taikka hävittämisestä
(e) merkityksellisten vaatimusten tai rajoitusten täytäntöönpanosta tai niiden mukaisuutta koskevasta tarkastuksesta
(f) käytännesäännöistä, jotka koskevat merkityksellisiä vaatimuksia tai rajoituksia tai toimivaltuuksia
(g) [sisäministerin] (ehdollisena tai ilman ehtoja) suorittamasta korvauksesta yleisen televerkon operaattoreille niille aiheutuneista kustannuksista merkityksellisten vaatimusten täyttämisen tai rajoitusten noudattamisen vuoksi
(h) [tietojen säilyttämisestä (EY direktiivi) annetun vuoden 2009 asetuksen Data Retention (EC Directive) Regulations 2009] voimassaolon lakkaamisesta ja siirtymisestä tietojen säilyttämiseen tämän pykälän nojalla.
(5) Edellä 4 momentin b kohdassa tarkoitettu enimmäisaika ei saa ylittää 12:ta kuukautta, joka lasketaan alkavaksi kyseessä olevien tietojen osalta edellä 3 momentin mukaisissa asetuksissa täsmennetystä päivästä.
– –”
30 DRIPA:n 2 §:ssä säädetään, että merkityksellisillä ”viestintätiedoilla” tarkoitetaan ”tietojen säilyttämisestä (EY:n direktiivi) vuonna 2009 annetun asetuksen liitteessä tarkoitetun kaltaisia viestintätietoja siltä osin kuin ne ovat yleisen televerkon operaattorien Yhdistyneessä kuningaskunnassa kyseessä olevia televiestintäpalveluja toimittaessaan tuottamia tai käsittelemiä”.
RIPA
31 Tutkintavaltuuksista annetun vuoden 2000 lain (jäljempänä RIPA) II lukuun sisältyvän 21 §:n, jonka otsikko on ”Viestintätietojen hankkiminen ja paljastaminen”, 4 momentissa säädetään seuraavaa:
”Tässä luvussa ’viestintätiedoilla’ tarkoitetaan mitä tahansa seuraavista:
(a) liikennetietoja, jotka sisältyvät tai on liitetty (lähettäjän toimesta tai muutoin) viestiin mitä tahansa postipalvelua tai televiestintäjärjestelmää varten ja joiden avulla viesti välitetään tai voidaan välittää
(b) tietoja, jotka eivät käsitä viestin sisältöä (lukuun ottamatta a kohdassa tarkoitettuja tietoja) ja jotka koskevat kenen tahansa henkilön
(i) minkä tahansa postipalvelun tai televiestintäpalvelun käyttöä tai
(ii) minkä tahansa televiestintäjärjestelmän osan käyttöä, joka liittyy televiestintäpalvelun tarjoamiseen kenelle tahansa tai kenen tahansa minkä tahansa televiestintäpalvelun käyttöön
(c) minkä tahansa sellaisen tiedon käyttöä, joka ei kuulu a tai b kohdan soveltamisalaan ja joka koskee postipalvelun tai televiestintäpalvelun tarjoajan hallussa olevaa tai tämän saamaa tietoa henkilöistä, joille palvelua tarjotaan”.
32 Asiassa C-698/15 esitettyyn ennakkoratkaisupyyntöön sisältyvien tietojen mukaan näihin tietoihin kuuluvat käyttäjän paikkatiedot, mutta eivät viestin sisältöä koskevat tiedot.
33 RIPA:n 22 §:ssä säädetään oikeudesta saada säilytettyjä tietoja seuraavaa:
”(1) Tätä pykälää sovelletaan, kun tässä luvussa tarkoitettu vastuuhenkilö katsoo, että viestintätietojen hankkiminen on tämän pykälän 2 momentissa tarkoitetuista syistä on tarpeen.
(2) Viestintätietojen hankkiminen on tarpeen tässä momentissa tarkoitetuista syistä, jos se on tarpeen
(a) kansalliseen turvallisuuteen liittyvistä syistä
(b) rikosten ehkäisemiseksi tai paljastamiseksi tai levottomuuksien ehkäisemiseksi
(c) taloudellisen hyvinvoinnin turvaamiseksi Yhdistyneessä kuningaskunnassa
(d) yleisen turvallisuuden vuoksi
(e) kansanterveyden suojelemiseksi
(f) verojen, maksujen tai muiden valtiolle suoritettavien summien määräämiseksi tai kantamiseksi
(g) kuolemantapausten tai vammojen tai henkilön fyysiselle terveydelle tai mielenterveydelle aiheutuvan vahingon välttämiseksi tai vammojen tai henkilön fyysiselle terveydelle tai mielenterveydelle aiheutuvan vahingon rajoittamiseksi hätätilanteissa
(h) johonkin muuhun tarkoitukseen (jota ei mainita a–g alakohdassa) ja jonka [sisäministeri] on täsmentänyt tätä momenttia sovellettaessa antamassaan määräyksessä.
(4) Jollei 5 momentista muuta johdu, mikäli vastuuhenkilö katsoo, että posti- tai televiestintäoperaattorilla on tai saattaa olla viestintätietoja tai se kykenee hankkimaan niitä, vastuuhenkilö voi posti- tai televiestintäoperaattorille tehtävällä ilmoituksella edellyttää, että operaattori
(a) hankkii nämä tiedot, jos sillä ei vielä ole niitä, ja
(b) joka tapauksessa luovuttaa kaikki hallussaan olevat tai sittemmin hankkimansa tiedot.
(5) Vastuuhenkilö ei saa antaa 3 momentin mukaista valtuutusta tai esittää 4 momentissa tarkoitettua ilmoitusta, jollei se katso, että kyseisten tietojen hankkiminen sallitulla menettelyllä tai valtuutuksen tai ilmoituksen kautta on oikeassa suhteessa siihen, mitä tietojen hankkimisella tavoitellaan.”
34 RIPA:n 65 §:n mukaan Investigatory Powers Tribunalille (tutkintavaltuuksia käyttävä tuomioistuin, Yhdistynyt kuningaskunta) voidaan tehdä valituksia, jos on syytä olettaa, että tiedot on hankittu epäasianmukaisesti.
Data Retention Regulations 2014
35 Tietojen säilyttämisestä vuonna 2014 annettu asetus (Data Retention Regulations 2014), joka annettiin DRIPA:n nojalla, on jaettu kolmeen osaan, joista toinen käsittää asetuksen 2–14 pykälän. Asetuksen 4 §:ssä, jonka otsikko on ”Säilyttämisilmoitukset”, säädetään seuraavaa:
”(1) Säilyttämisilmoituksessa on yksilöitävä
(a) yleisen televerkon operaattori (tai operaattorityyppi), jota se koskee
(b) säilytettävät viestintätiedot
(c) tietojen säilytysaika tai säilytysajat
(d) muut mahdolliset tietojen säilyttämiseen liittyvät vaatimukset tai rajoitukset.
(2) Säilyttämisilmoituksessa voidaan vaatia tietojen säilyttämistä enintään 12 kuukautta alkaen
(a) liikennetietojen tai palvelun käyttöä koskevien tietojen osalta asianomaisen viestinnän päivästä ja
(b) tilaajia koskevien tietojen osalta päivästä, jolloin asianomainen henkilö jättää asianomaisen televiestintäpalvelun, tai päivästä, jolloin tiedot ovat muuttuneet (jos tämä on aikaisempi).
– –”
36 Tämän asetuksen 7 §:ssä, jonka otsikko on ”Tietojen koskemattomuus ja tietoturva”, säädetään seuraavaa:
”(1) Yleisen televerkon operaattorin, joka säilyttää viestintätietoja [DRIPA:n] 1 §:n nojalla, on
(a) varmistettava, että tiedoilla on samanlainen koskemattomuus ja että niitä koskevat vähintään samat turvan ja suojan tasot kuin järjestelmässä, josta ne ovat peräisin
(b) varmistettava asianmukaisilla teknisillä ja organisatorisilla toimenpiteillä, että ainoastaan erityisen valtuutuksen omaavalla henkilökunnalla on pääsy tietoihin
(c) suojattava asianmukaisilla teknisillä ja organisatorisilla toimenpiteillä tiedot tahatonta tai laitonta hävittämistä vastaan, tahatonta menettämistä tai muuttamista vastaan tai luvatonta tai lainvastaista säilyttämistä, käsittelyä, saantia tai paljastamista vastaan.
(2) Yleisen televerkon operaattorin, joka säilyttää viestintätietoja [DRIPA:n] 1 §:n nojalla, on hävitettävä tiedot, kun niiden säilyttäminen ei enää ole kyseisen pykälän nojalla sallittua eikä muuten laissa sallittua.
(3) 2 momentissa vahvistettu tietojen hävittämistä koskeva vaatimus tarkoittaa, että tiedot on hävitettävä siten, että niihin pääsy on mahdotonta.
(4) On riittävää, että operaattori järjestää tietojen poistamisen tapahtuvaksi tarpeellisiksi katsominsa väliajoin, esimerkiksi kuukausittain tai tätä lyhyemmin väliajoin.”
37 Asetuksen 8 §:ssä, jonka otsikko on ”Säilytettyjen tietojen paljastaminen”, säädetään seuraavaa:
”(1) Yleisen televerkon operaattorin on otettava käyttöön riittävät turvajärjestelmät (joihin kuuluvat tekniset ja organisatoriset toimenpiteet), jotka määrittävät [DRIPA:n] 1 §:n nojalla säilytettäviin viestintätietoihin pääsyä, jotta estetään sellainen tietojen paljastaminen, joka ei kuulu [DRIPA:n] 1 §:n 6 momentin a kohdan alaan.
(2) Yleisen televerkon operaattorin, joka säilyttää viestintätietoja [DRIPA:n] 1 §:n nojalla, on säilytettävä tiedot siten, että ne voidaan ilman aiheetonta viivytystä lähettää pyynnöstä edelleen.”
38 Saman asetuksen 9 §:ssä, jonka otsikko on ”Tietosuojavaltuutetun valvonta”, säädetään seuraavaa:
”Tietosuojavaltuutetun on tarkastettava, että tässä osassa asetettuja vaatimuksia tai rajoituksia noudatetaan [DRIPA:n] 1 §:n nojalla säilytettävien tietojen koskemattomuuden, suojan tai hävittämisen osalta.”
Käytännesäännöt
39 Viestintätietojen hankkimista ja paljastamista koskevien käytännesääntöjen (Acquisition and Disclosure of Communications Data Code of Practice, jäljempänä käytännesäännöt) 2.5–2.9 ja 2.36–2.45 kohtaan sisältyvät ohjeet viestintätietojen saannin tarpeellisuudesta ja oikeasuhteisuudesta. Asiassa C-698/15 ennakkoratkaisupyynnön esittäneen tuomioistuimen selitysten mukaan käytännesääntöjen 3.72–3.77 kohdan mukaisesti tarpeellisuuteen ja oikeasuhteisuuteen on kiinnitettävä erityistä huomiota silloin, kun pyydetyt viestintätiedot liittyvät henkilöön, joka käsittelee ammattinsa puolesta salassapitovelvollisuuden piiriin kuuluvia tai muutoin luottamuksellisia tietoja.
40 Käytännesääntöjen 3.78–3.84 kohdan mukaan tuomioistuimen päätöstä edellytetään erityistilanteessa, jossa viestintätietoja koskeva hakemus on tehty toimittajan lähteen selvittämiseksi. Käytännesääntöjen 3.85–3.87 kohdan mukaan tuomioistuimen hyväksyntää edellytetään, kun tietoja on pyytänyt paikallisviranomainen. Tuomioistuimen tai riippumattoman elimen lupaa ei sen sijaan edellytetä asianajosalaisuuden piiriin kuuluvien viestintätietojen tai lääkäreihin, parlamentin jäseniin tai pappeihin liittyvien viestintätietojen saamiseksi.
41 Käytännesääntöjen 7.1 kohdan mukaan RIPA:n säännösten nojalla hankitut tai saadut viestintätiedot sekä kaikki niiden jäljennökset, otteet ja yhteenvedot on käsiteltävä ja varastoitava turvallisesti. Lisäksi on noudatettava tietosuojalakiin (Data Protection Act) sisältyviä vaatimuksia.
42 Käytännesääntöjen 7.18 kohdassa todetaan, että kun Yhdistyneen kuningaskunnan viranomainen harkitsee viestintätietojen luovuttamista ulkomaisille viranomaisille, sen on muun muassa tutkittava, tullaanko tiedot suojaamaan riittävin tavoin. Käytännesääntöjen 7.22 kohdasta käy kuitenkin ilmi, että tiedot voidaan siirtää kolmanteen maahan, kun siirto on tarpeen tärkeään yleiseen etuun liittyvistä syistä, vaikka kyseinen kolmas maa ei varmistaisi riittävää suojan tasoa. Asiassa C-698/15 ennakkoratkaisua pyytäneen tuomioistuimen esittämien tietojen mukaan sisäministeri voi antaa kansallista turvallisuutta koskevan todistuksen, jolla tietyt tiedot jätetään lainsäädännön soveltamisalan ulkopuolelle.
43 Käytännesääntöjen 8.1 kohdassa todetaan, että RIPA:lla perustettiin Interception of Communications Commissioner (telekuunteluvaltuutettu, Yhdistynyt kuningaskunta), jonka tehtävänä on muun muassa RIPA:n I osan II lukuun sisältyvien valtuuksien käyttämisen ja velvollisuuksien toteuttamisen itsenäinen valvominen. Kuten käytännesääntöjen 8.3 kohdasta ilmenee, tilanteessa, jossa tämä valtuutettu voi ”osoittaa, että tarkoituksellinen tai piittaamattomuudesta johtuva laiminlyönti on vaikuttanut epäedullisesti yksityishenkilöön”, hän voi ilmoittaa tälle yksityishenkilölle lainvastaista valtuuksien käyttöä koskevasta epäilystä.
Pääasiat ja ennakkoratkaisukysymykset
Asia C-203/15
44 Ruotsiin sijoittautunut sähköisten viestintäpalvelujen tarjoaja Tele2 Sverige ilmoitti 9.4.2014 PTS:lle, että koska direktiivi 2006/24 oli todettu pätemättömäksi 8.4.2014 annetussa tuomiossa Digital Rights Ireland ym. (C-293/12 ja C-594/12, EU:C:2014:238; jäljempänä tuomio Digital Rights), se lopettaisi 14.4.2014 alkaen LEK:ssa tarkoitetun sähköisten viestintätietojen säilyttämisen ja poistaisi tähän saakka säilytetyt tiedot.
45 Rikspolisstyrelsen (poliisiylihallitus, Ruotsi) ilmoitti 15.4.2014 PTS:lle kirjelmässään, että Tele2 Sverige oli lakannut toimittamasta sille kyseessä olevia tietoja.
46 Justitieminister (oikeusministeri, Ruotsi) asetti 29.4.2014 erityisen selvittäjän, jonka tehtävänä oli varmistaa Ruotsin lainsäädännön yhteensoveltuvuus tuomion Digital Rights kanssa. Selvittäjä totesi 13.6.2014 jättämässään selvityksessä, jonka otsikko on ”Datalagring, EU-rätt och svensk rätt, n° Ds 2014:23” (tietojen säilytys, Euroopan unionin oikeus ja Ruotsin oikeus, jäljempänä vuoden 2014 selvitys), että kansallinen tietosuojalainsäädäntö, sellaisena kuin se ilmenee LEK:n 16 a–16 f §:stä, ei ole ristiriidassa unionin oikeuden eikä ihmisoikeuksien ja perusvapauksien suojaamiseksi tehdyn, Roomassa 4.11.1950 allekirjoitetun yleissopimuksen (jäljempänä Euroopan ihmisoikeussopimus) kanssa. Selvittäjä katsoi, että tuomiota Digital Rights ei voida tulkita siten, että sillä arvosteltaisiin tietojen yleisen ja erotuksettoman säilytyksen periaatetta sinällään. Hänen mukaansa tuomiota Digital Rights ei tule myöskään ymmärtää siten, että unionin tuomioistuin olisi vahvistanut joukon kriteerejä, joista kaikkien on täytyttävä, jotta säännöstöä voitaisiin pitää oikeasuhteisena. Hän katsoi, että sen ratkaisemiseksi, onko Ruotsin säännöstö yhdenmukainen unionin oikeuden kanssa, on arvioitava kaikkia olosuhteita, kuten tietojen säilyttämisen laajuutta suhteessa tietojensaantioikeutta koskeviin säännöksiin, tietojen säilyttämisen kestoa sekä niiden suojaa ja turvaa.
47 PTS ilmoitti tämän perusteella 19.6.2014 Tele2 Sverigelle, että Tele2 Sverige ei noudattanut kansallisen säännöstön mukaisia velvoitteitaan, kun se ei säilyttänyt LEK:ssa tarkoitettuja tietoja kuutta kuukautta rikollisuuden torjumisen tarkoituksessa. PTS määräsi 27.6.2014 sen säilyttämään nämä tiedot viimeistään 25.7.2014.
48 Koska Tele2 Sverige katsoi, että vuoden 2014 selvitys perustui tuomion Digital Rights virheelliseen tulkintaan ja että tietojen säilyttämisvelvollisuus oli vastoin perusoikeuskirjassa taattuja perusoikeuksia, se valitti 27.6.2014 annetusta määräyksestä Förvaltningsrätten i Stockholmiin (Tukholman hallinto-oikeus, Ruotsi). Kyseinen tuomioistuin hylkäsi valituksen 13.10.2014 antamallaan tuomiolla, josta Tele2 Sverige valitti ennakkoratkaisua pyytäneeseen tuomioistuimeen.
49 Ennakkoratkaisua pyytäneen tuomioistuimen mukaan Ruotsin säännöstön yhteensoveltuvuutta unionin oikeuden kanssa on arvioitava direktiivin 2002/58 15 artiklan 1 kohdan valossa. Tässä direktiivissä vahvistetaan periaate, jonka mukaan liikennetiedot ja paikkatiedot on poistettava tai tehtävä nimettömiksi, kun niitä ei enää tarvita viestinnän välittämiseen, mutta direktiivin 15 artiklan 1 kohdassa säädetään poikkeus tästä periaatteesta, koska sen nojalla jäsenvaltiot voivat tässä kohdassa säädetyistä syistä rajoittaa kyseistä poistamista tai nimettömäksi tekemistä koskevaa velvollisuutta tai jopa säätää tietojen säilyttämisestä. Unionin oikeudessa sallitaan siis tietyissä tilanteissa sähköisten viestintätietojen säilyttäminen.
50 Ennakkoratkaisua pyytänyt tuomioistuin pohtii kuitenkin, onko pääasiassa kyseessä olevan kaltainen viestintätietojen yleinen ja erotukseton säilyttämisvelvollisuus yhteensoveltuva – kun otetaan huomioon tuomio Digital Rights – direktiivin 2002/58 15 artiklan 1 kohdan kanssa, kun se luetaan perusoikeuskirjan 7 ja 8 artiklan sekä 52 artiklan 1 kohdan valossa. Kun otetaan huomioon asianosaisten tältä osin esittämät eriävät näkemykset, unionin tuomioistuimen olisi vastattava yksiselitteisesti kysymykseen siitä, onko, kuten Tele2 Sverige katsoo, viestintätietojen yleinen ja erotukseton säilyttäminen sinällään yhteensoveltumatonta 7 ja 8 artiklan sekä perusoikeuskirjan 52 artiklan 1 kohdan kanssa, vai onko, kuten vuoden 2014 selvityksessä todetaan, tämän tietojen säilyttämisen yhteensoveltuvuutta arvioitava tietojen saantia, niiden suojaa ja turvaa sekä niiden säilyttämisen kestoa koskevien säännösten perusteella.
51 Tässä tilanteessa ennakkoratkaisua pyytänyt tuomioistuin päätti lykätä asian käsittelyä ja esittää unionin tuomioistuimelle seuraavat ennakkoratkaisukysymykset:
”1) Onko sellainen yleinen velvollisuus viestintää koskevien tietojen säilyttämiseen, joka kattaa kaikki henkilöt, kaikki sähköiset viestintävälineet ja kaikki liikennetiedot ilman, että tehtäisiin mitään erottelua, rajoituksia tai poikkeuksia rikollisuuden torjunnan tavoitteen perusteella – –, sopusoinnussa direktiivin 2002/58 15 artiklan 1 kohdan kanssa, kun huomioon otetaan perusoikeuskirjan 7 ja 8 artikla sekä 52 artiklan 1 kohta?
2) Jos ensimmäiseen kysymykseen vastataan kieltävästi, voiko säilyttäminen kuitenkin olla sallittua,
a) jos kansallisten viranomaisten oikeudesta saada säilytettyjä tietoja on säädetty [ennakkoratkaisupyynnön 9–36 kohdassa kuvatulla tavalla] ja
b) jos turvallisuusvaatimuksista on säädetty [ennakkoratkaisupyynnön 38–43 kohdassa kuvatulla tavalla] ja
c) jos kaikkia tällaisia tietoja on säilytettävä kuuden kuukauden ajan viestinnän päättymisestä ja ne on tämän jälkeen poistettava [ennakkoratkaisupyynnön 37 kohdassa kuvatulla tavalla]?”
Asia C-698/15
52 Tom Watson, Peter Brice ja Geoffrey Lewis ovat kukin nostaneet High Court of Justice (England & Wales), Queen’s Bench Divisionissa (Divisional Court) (ylempi tuomioistuin (Englanti ja Wales), Queen’s Bench ‑jaosto (usean tuomarin kokoonpano), Yhdistynyt kuningaskunta) DRIPA:n 1 §:n laillisuusvalvontaa koskevan kanteen ja vedonneet erityisesti siihen, että tämä pykälä on ristiriidassa perusoikeuskirjan 7 ja 8 artiklan sekä Euroopan ihmisoikeussopimuksen 8 artiklan kanssa.
53 High Court of Justice (England & Wales), Queen’s Bench Division (Divisional Court) totesi 17.7.2015 antamassaan tuomiossa, että tuomiossa Digital Rights asetetaan ”unionin oikeuden mukaisia pakottavia vaatimuksia” jäsenvaltioiden järjestelmille, jotka koskevat viestintätietojen säilyttämistä ja oikeutta saada näitä tietoja. Kyseinen tuomioistuin katsoi, että koska unionin tuomioistuin oli kyseisessä tuomiossa todennut, että direktiivi 2006/24 ei ollut yhteensoveltuva suhteellisuusperiaatteen kanssa, tämän direktiivin kanssa samansisältöinen kansallinen lainsäädäntö ei myöskään voi olla yhteensoveltuva tämän periaatteen kanssa. Tuomion Digital Rights taustalla olevasta logiikasta seuraa, että lainsäädäntö, jossa otetaan käyttöön viestintätietojen säilyttämistä koskeva yleinen järjestelmä, loukkaa perusoikeuskirjan 7 ja 8 artiklassa taattuja oikeuksia, ainakin jollei tätä lainsäädäntöä täydennetä kansallisessa oikeudessa määritellyllä järjestelmällä, joka koskee tietojen saantia ja jossa säädetään näiden oikeuksien turvaamiselle riittävät takeet. DRIPA:n 1 § ei siis ole yhteensopiva perusoikeuskirjan 7 ja 8 artiklan kanssa, koska siinä ei vahvisteta näiden tietojen saantia ja käyttämistä koskevia selkeitä ja täsmällisiä sääntöjä ja koska siinä ei aseteta näiden tietojen saannin edellytykseksi tuomioistuimen tai riippumattoman hallintoelimen suorittamaa etukäteisvalvontaa.
54 Sisäministeri haki muutosta tähän tuomioon Court of Appealissa (England & Wales) (Civil Division) (muutoksenhakutuomioistuin (Englanti ja Wales) (siviiliasiain jaosto)).
55 Kyseinen tuomioistuin toteaa, että DRIPA:n 1 §:n 1 momentin nojalla sisäministeri voi ilman tuomioistuimen tai riippumattoman hallintoelimen suorittamaa ennakkovalvontaa hyväksyä yleisen järjestelmän, jossa velvoitetaan yleisen televerkon operaattorit säilyttämään mitä tahansa postipalvelua tai televiestintäjärjestelmää koskevia tietoja enintään 12 kuukauden ajan, jos se pitää vaatimusta tarpeellisena ja oikeasuhteisena Yhdistyneen kuningaskunnan säännöstössä asetettujen tarkoituksen saavuttamiseksi. Vaikka nämä tiedot eivät käsitä viestin sisältöä, ne voivat olla luonteeltaan sellaisia, että niillä erityisesti puututaan viestintäpalvelujen käyttäjien yksityiselämään.
56 Ennakkoratkaisua pyytänyt tuomioistuin katsoo ennakkoratkaisupyynnössään ja muutoksenhakumenettelyssä 20.11.2015 antamassaan päätöksessä, jossa se päätti esittää unionin tuomioistuimelle käsiteltävänä olevan ennakkoratkaisupyynnön, että tietojen säilyttämistä koskevat kansalliset säännöt kuuluvat väistämättä direktiivin 2002/58 15 artiklan 1 kohdan soveltamisalaan ja niiden on siis noudatettava perusoikeuskirjasta johtuvia vaatimuksia. Direktiivin 1 artiklan 3 kohdan mukaisesti unionin lainsäätäjä ei kuitenkaan ole yhdenmukaistanut sääntöjä, jotka koskevat oikeutta saada tutustua säilytettyihin tietoihin.
57 Siltä osin kuin kyse on tuomion Digital Rights vaikutuksesta pääasiassa esitettyihin kysymyksiin, ennakkoratkaisua pyytänyt tuomioistuin toteaa, että kyseiseen tuomioon johtaneessa asiassa unionin tuomioistuimen käsiteltävänä oli direktiivin 2006/24 pätevyys eikä kansallisen säännöstön pätevyys. Kun otetaan huomioon erityisesti tietojen säilyttämisen ja tietoihin tutustumista koskevan oikeuden kiinteä yhteys, oli ollut välttämätöntä, että direktiiviin liitettiin joukko takeita ja että tuomiossa Digital Rights tarkasteltiin direktiivillä käyttöön otetun tietojen säilyttämistä koskevan järjestelmän laillisuuden tarkastelun yhteydessä sääntöjä, jotka koskevat näiden tietojen saantia. Unionin tuomioistuimen tarkoituksena ei siis kyseisessä tuomiossa ollut asettaa pakottavia vaatimuksia, joita sovellettaisiin tietojen saantia koskeviin kansallisiin säännöstöihin, joilla ei panna täytäntöön unionin oikeutta. Lisäksi unionin tuomioistuimen päättely liittyi kiinteästi samalla direktiivillä tavoiteltuun päämäärään. Kansallista säännöstöä on kuitenkin arvioitava sen tavoitteiden ja asiayhteyden perusteella.
58 Siltä osin kuin kyse on tarpeesta esittää unionin tuomioistuimelle ennakkoratkaisupyyntö, ennakkoratkaisua pyytänyt tuomioistuin tuo esiin, että ajankohtana, jolloin ennakkoratkaisua koskeva päätös tehtiin, kuusi muiden jäsenvaltioiden tuomioistuinta, joista viisi ylimmän oikeusasteen tuomioistuinta, oli kumonnut kansallista lainsäädäntöä tuomion Digital Rights perusteella. Esiin tulleisiin kysymyksiin ei ole ilmeistä vastausta, ja vastaus on tarpeen tämän tuomioistuimen käsiteltäväksi saatettujen asioiden ratkaisemiseksi.
59 Court of Appeal (England & Wales) (Civil Division) päätti tässä tilanteessa lykätä asian käsittelyä ja esittää unionin tuomioistuimelle seuraavat ennakkoratkaisukysymykset:
”1) Asetetaanko unionin tuomioistuimen tuomiossa Digital Rights (ja erityisesti sen 60–62 kohdassa) unionin oikeuden mukaisia pakottavia vaatimuksia jäsenvaltion kansalliselle järjestelmälle, joka koskee kansallisen lainsäädännön mukaisesti säilytettyjen tietojen saantia, jotta se olisi [perusoikeuskirjan] 7 ja 8 artiklan mukainen?
2) Laajennetaanko tuomiolla Digital Rights [perusoikeuskirjan] 7 ja/tai 8 artiklan soveltamisalaa Euroopan ihmisoikeussopimuksen 8 artiklan soveltamisalan ulkopuolelle, sellaisena kuin se on vahvistettu Euroopan ihmisoikeustuomioistuimen oikeuskäytännössä?”
Asian käsittelyn vaiheet unionin tuomioistuimessa
60 Unionin tuomioistuin presidentti hyväksyi 1.2.2016 antamallaan määräyksellä Davis ym. (C-698/15, ei julkaistu, EU:C:2016:70) Court of Appealin (England & Wales) (Civil Division) esittämän pyynnön asian C-698/15 käsittelemisestä unionin tuomioistuimen työjärjestyksen 105 artiklan 1 kohdan mukaisessa nopeutetussa menettelyssä.
61 Asiat C‑203/15 ja C‑698/15 yhdistettiin unionin tuomioistuimen presidentin 10.3.2016 antamalla määräyksellä suullista käsittelyä ja tuomion antamista varten.
Ennakkoratkaisukysymysten tarkastelu
Ensimmäinen kysymys asiassa C-203/15
62 Kammarrätten i Stockholm (Tukholman kamarioikeus) kysyy asiassa C-203/15 ensimmäisellä kysymyksellään ennen kaikkea, onko direktiivin 2002/58 15 artiklan 1 kohtaa, kun se luetaan perusoikeuskirjan 7 ja 8 artiklan sekä 52 artiklan 1 kohdan valossa, tulkittava siten, että se on esteenä pääasiassa kyseessä olevan kaltaiselle kansalliselle säännöstölle, jossa rikollisuuden torjumiseksi säädetään kaikkien tilaajien ja rekisteröityjen käyttäjien liikenne- ja paikkatietojen yleisestä ja erotuksetta tapahtuvasta säilyttämisestä kaikkien sähköisten viestintävälineiden osalta.
63 Tämän kysymyksen lähtökohtana on erityisesti se, että direktiivi 2006/24, joka pääasiassa kyseessä olevalla kansallisella säännöstöllä oli tarkoitus panna täytäntöön, todettiin pätemättömäksi tuomiolla Digital Rights, mutta asianosaiset ovat eri mieltä tämän tuomion ulottuvuudesta ja sen vaikutuksesta tähän säännöstöön, jolla säännellään liikenne- ja paikkatietojen säilyttämistä ja kansallisten viranomaisten oikeutta saada näitä tietoja.
64 On ensiksi tutkittava, kuuluuko pääasiassa kyseessä olevan kaltainen kansallinen säännöstö unionin oikeuden soveltamisalaan.
Direktiivin 2002/58 soveltamisala
65 Unionin tuomioistuimelle kirjallisia huomautuksia esittäneet jäsenvaltiot ovat esittäneet eriäviä mielipiteitä siitä, kuuluvatko rikollisuuden torjumiseksi annetut liikenne- ja paikkatietojen säilyttämistä sekä kansallisten viranomaisten oikeutta saada näitä tietoja rikollisuuden torjumiseksi koskevat kansalliset säännöstöt direktiivin 2002/58 soveltamisalaan, ja jos kuuluvat, niin missä määrin. Belgian, Tanskan, Saksan ja Viron hallitukset, Irlanti sekä Alankomaiden hallitus ovat katsoneet, että tähän kysymykseen on vastattava myöntävästi, kun taas Tšekin hallitus on ehdottanut, että siihen olisi vastattava kieltävästi, ja todennut, että näiden säännösten ainoa tarkoitus on rikollisuuden torjunta. Yhdistynyt kuningaskunta puolestaan on todennut, että tämän direktiivin soveltamisalaan kuuluvat vain tietojen säilyttämistä koskevat säännöstöt mutta eivät toimivaltaisten kansallisten rikostentorjuntaviranomaisten oikeutta saada näitä tietoja koskevat säännöstöt.
66 Lopulta komissio on asiassa C-203/15 unionin tuomioistuimelle esittämissään kirjallisissa huomautuksissa todennut, että pääasiassa kyseessä oleva kansallinen säännöstö kuuluu direktiivin 2002/58 soveltamisalaan, mutta asiassa C-698/15 esittämissään kirjallisissa huomautuksissa katsonut, että tämän direktiivin soveltamisalaan kuuluvat vain tietojen säilyttämistä koskevat kansalliset säännöt, mutta eivät kansallisten viranomaisten oikeutta saada näitä tietoja koskevat säännöt. Sen mukaan viimeksi mainitut säännöt on kuitenkin otettava huomioon arvioitaessa, merkitsevätkö sähköisten viestintäpalvelujen tarjoajan tietojen säilyttämistä koskevat kansalliset säännöstöt oikeasuhteista puuttumista perusoikeuskirjan 7 ja 8 artiklassa taattuihin perusoikeuksiin.
67 Tältä osin on todettava, että direktiivin 2002/58 soveltamisalaa on arvioitava siten, että otetaan huomioon muun muassa direktiivin yleinen rakenne.
68 Direktiivin 2002/58 1 artiklan 1 kohdan mukaan direktiivissä säädetään sellaisten kansallisten säännösten yhdenmukaistamisesta, joita tarvitaan samantasoisen perusoikeuksien ja ‑vapauksien, erityisesti yksityisyyttä ja luottamuksellisuutta koskevan oikeuden, suojan varmistamiseksi henkilötietojen käsittelyssä sähköisen viestinnän alalla.
69 Direktiivin 1 artiklan 3 kohdassa suljetaan direktiivin soveltamisalan ulkopuolelle valtion toimet siinä tarkoitetuilla aloilla, joita ovat muun muassa valtion toimet rikosoikeuden alalla ja yleistä turvallisuutta, puolustusta ja valtion turvallisuutta koskevat toimet, mukaan lukien valtion taloudellinen hyvinvointi, kun toimet liittyvät valtion turvallisuuteen (ks. analogisesti siltä osin kuin kyse on direktiivin 95/46 3 artiklan 2 kohdan ensimmäisestä luetelmakohdasta tuomio 6.11.2003, Lindqvist, C-101/01, EU:C:2003:596, 43 kohta ja tuomio 16.12.2008, Satakunnan Markkinapörssi ja Satamedia, C-73/07, EU:C:2008:727, 41 kohta).
70 Direktiivin 2002/58 artiklan 3 artiklassa puolestaan todetaan, että tätä direktiiviä sovelletaan henkilötietojen käsittelyyn, joka liittyy yleisesti saatavilla olevien sähköisten viestintäpalvelujen tarjoamiseen yleisissä viestintäverkoissa unionissa, mukaan luettuina tiedonkeruu- ja tunnistuslaitteita tukevat yleiset viestintäverkot (jäljempänä sähköiset viestintäpalvelut). Direktiivin on siis katsottava sääntelevän tällaisten palvelujen tarjoajien toimia.
71 Direktiivin 2002/58 15 artiklan 1 kohdan nojalla jäsenvaltiot voivat siinä säädetyin edellytyksin toteuttaa ”lainsäädännöllisiä toimenpiteitä, joilla rajoitetaan tämän direktiivin 5 artiklassa, 6 artiklassa, 8 artiklan 1, 2, 3 ja 4 kohdassa sekä 9 artiklassa säädettyjen oikeuksien ja velvollisuuksien soveltamisalaa”. Direktiivin 15 artiklan 1 kohdan toisessa virkkeessä esitetään esimerkkinä toimenpiteistä, joita jäsenvaltiot voivat näin toteuttaa, toimenpiteet, ”joissa säädetään tietojen säilyttämisestä”.
72 Direktiivin 2002/58 15 artiklan 1 kohdassa tarkoitetut lainsäädännölliset toimenpiteet liittyvät tosin valtiolle tai valtion viranomaisille tyypillisiin toimintoihin, jotka eivät liity yksityisten henkilöiden toiminta-aloihin (ks. vastaavasti tuomio 29.1.2008, Promusicae, C-275/06, EU:C:2008:54, 51 kohta). Tavoitteet, joihin näillä toimenpiteillä on kyseisen säännöksen nojalla vastattava eli tässä tapauksessa kansallisen turvallisuuden, puolustuksen ja yleisen turvallisuuden turvaaminen sekä rikosten tai sähköisen viestintäjärjestelmän luvattoman käytön torjunnan, tutkinnan, selvittämisen ja syyteharkinnan varmistaminen, käyvät pääasiallisesti yksiin direktiivin 1 artiklan 3 kohdassa tarkoitettujen toimintojen tavoitteiden kanssa.
73 Kun otetaan huomioon direktiivin 2002/58 yleinen rakenne, tämän tuomion edellisessä kohdassa mainittujen seikkojen perusteella ei kuitenkaan voida päätellä, että direktiivin 2002/58 15 artiklan 1 kohdassa tarkoitetut lainsäädännölliset toimenpiteet olisi suljettu tämän direktiivin soveltamisalan ulkopuolelle, koska muutoin tältä säännökseltä riistettäisiin täysin sen tehokas vaikutus. Kyseinen säännös edellyttää väistämättä, että siinä tarkoitetut kansalliset toimenpiteet, kuten tietojen säilyttämistä koskevat toimenpiteet rikollisuuden torjumiseksi, kuuluvat tämän direktiivin soveltamisalaan, koska siinä nimenomaisesti sallitaan jäsenvaltioiden toteuttaa niitä vain siinä säädettyjä edellytyksiä noudattaen.
74 Lisäksi direktiivin 2002/58 15 artiklan 1 kohdassa tarkoitetuilla lainsäädännöllisillä toimenpiteillä säännellään kyseisessä säännöksessä mainitussa tarkoituksessa sähköisten viestintäpalvelujen tarjoajien toimintaa. Kyseistä 15 artiklan 1 kohtaa on, kun se luetaan yhdessä mainitun direktiivin 3 artiklan kanssa, siis tulkittava siten, että tällaiset lainsäädännölliset toimenpiteet kuuluvat tämän saman direktiivin soveltamisalaan.
75 Soveltamisalaan kuuluu erityisesti pääasiassa kyseessä olevan kaltainen lainsäädännöllinen toimenpide, jossa velvoitetaan nämä palveluntarjoajat säilyttämään liikenne- ja paikkatiedot, koska tällainen toiminta merkitsee väistämättä sitä, että ne käsittelevät henkilötietoja.
76 Kyseiseen soveltamisalaan kuuluu myös lainsäädännöllinen toimenpide, joka – kuten pääasiassa – koskee kansallisten viranomaisten oikeutta saada viestintäpalvelujen tarjoajien säilyttämiä tietoja.
77 Direktiivin 2002/58 5 artiklan 1 kohdassa taattua sähköisen viestinnän ja siihen liittyvien liikennetietojen luottamuksellisuuden suojaa sovelletaan muiden henkilöiden kuin käyttäjien toteuttamiin toimenpiteisiin, oli kyse sitten henkilöistä, yksityisistä elimistä tai valtion elimistä. Kuten kyseisen direktiivin johdanto-osan 21 perustelukappaleessa todetaan, direktiivillä pyritään estämään viestinnän, myös ”tällaiseen viestintään liittyvien tietojen”, luvaton käyttö sähköisen viestinnän luottamuksellisuuden suojaamiseksi.
78 Näissä olosuhteissa lainsäädännöllinen toimenpide, jolla jäsenvaltio direktiivin 2002/58 15 artiklan 1 kohdan nojalla velvoittaa sähköisten viestintäpalvelujen tarjoajat kyseisessä säännöksessä mainituissa tarkoituksissa antamaan kansallisille viranomaisille tässä toimenpiteessä säädetyin edellytyksin oikeuden saada mainittujen palveluntarjoajien säilyttämiä tietoja, koskee viimeksi mainittujen suorittamaa henkilötietojen käsittelyä, joka kuuluu kyseisen direktiivin soveltamisalaan.
79 Koska tietojen säilyttäminen lisäksi tapahtuu vain siinä tarkoituksessa, että tiedot ovat tarvittaessa kansallisten toimivaltaisen viranomaisten saatavilla, kansallinen lainsäädäntö, jossa säädetään tietojen säilyttämisestä, merkitsee lähtökohtaisesti väistämättä sellaisten säännösten olemassaoloa, jotka koskevat toimivaltaisten kansallisten viranomaisten oikeutta saada sähköisten viestintäpalvelujen tarjoajien säilyttämiä tietoja.
80 Tätä tulkintaa tukee direktiivin 2002/58 15 artiklan 1 b kohta, jossa säädetään, että palveluntarjoajien on 15 artiklan 1 kohdan mukaisesti hyväksyttyjen kansallisten säännösten perusteella otettava käyttöön sisäisiä menettelyjä, jotta ne voivat vastata käyttäjiä koskevien henkilötietojen saantia koskeviin pyyntöihin.
81 Edellä esitetystä seuraa, että asioissa C-203/15 ja C-698/15 pääasiassa kyseessä olevan kaltainen kansallinen säännöstö kuuluu direktiivin 2002/58 soveltamisalaan.
Direktiivin 2002/58 15 artiklan 1 kohdan tulkinta perusoikeuskirjan 7, 8 ja 11 artiklaan sekä 52 artiklan 1 kohtaan nähden
82 On todettava, että direktiivin 2002/58 1 artiklan 2 kohdan mukaisesti tämän direktiivin säännöksillä ”täsmennetään ja täydennetään” direktiiviä 95/46. Kuten direktiivin 2002/58 johdanto-osan toisessa perustelukappaleessa todetaan, direktiivissä pyritään erityisesti varmistamaan perusoikeuskirjan 7 ja 8 artiklassa vahvistettujen oikeuksien täysimääräinen kunnioittaminen. Tältä osin direktiivin 2002/58 perustana olevan ehdotuksen Euroopan parlamentin ja neuvoston direktiiviksi henkilötietojen käsittelystä ja yksityisyyden suojasta sähköisen viestinnän alalla (KOM(2000) 385 lopullinen) perusteluista ilmenee, että unionin lainsäätäjän tarkoituksena oli ”varmistaa, että henkilötietojen ja yksityisyyden suojan korkean tason säilyminen taataan kaikissa sähköisen viestinnän palveluissa käytetystä tekniikasta riippumatta”.
83 Tätä varten direktiivin 2002/58 sisältyy erityisiä säännöksiä, joiden tarkoituksena on, kuten erityisesti sen johdanto-osan kuudennesta ja seitsemännestä perustelukappaleesta ilmenee, suojata sähköisten viestintäpalvelujen käyttäjiä uudesta teknologiasta ja tietojen automaattisen tallennus- ja käsittelykapasiteetin lisääntymisestä johtuvilta heidän henkilötietoihinsa ja yksityisyyteensä liittyviltä riskeiltä.
84 Direktiivin 5 artiklan 1 kohdassa säädetään, että jäsenvaltioiden on kansallisella lainsäädännöllä varmistettava yleisen viestintäverkon ja yleisesti saatavilla olevien sähköisten viestintäpalvelujen välityksellä tapahtuvan viestinnän ja siihen liittyvien liikennetietojen luottamuksellisuus.
85 Direktiivillä 2002/58 käyttöön otettu viestinnän luottamuksellisuuden periaate edellyttää muun muassa, kuten erityisesti direktiivin 5 artiklan 1 kohdan toisesta virkkeestä ilmenee, lähtökohtaisesti sen kieltämistä, että muut henkilöt kuin käyttäjät ilman kyseisten käyttäjien nimenomaista suostumusta tallentavat sähköiseen viestintään liittyviä liikennetietoja. Poikkeuksien kohteena ovat ainoastaan henkilöt, joiden asianomainen toiminta on kyseisen direktiivin 15 artiklan 1 kohdan mukaisesti laillisesti sallittua, ja tekninen tallentaminen, joka on tarpeen viestinnän välittämiselle (ks. vastaavasti tuomio 29.1.2008, Promusicae, C-275/06, EU:C:2008:54, 47 kohta).
86 Kuten direktiivin johdanto-osan 22 ja 26 perustelukappaleessa vahvistetaan, liikennetietojen käsittely ja tallentaminen on sallittua kyseisen direktiivin 6 artiklan nojalla vain siinä määrin ja niin kauan kuin palvelujen laskuttaminen, niiden markkinoiminen tai lisäarvopalvelujen tarjoaminen sitä edellyttävät (ks. vastaavasti tuomio 29.1.2008, Promusicae, C-275/06, EU:C:2008:54, 47 ja 48 kohta). Erityisesti palvelujen laskuttamisen osalta tällainen käsittely on sallittua ainoastaan sen ajanjakson loppuun asti, jona lasku voidaan laillisesti riitauttaa tai maksu periä. Tämän ajan päätyttyä käsitellyt ja tallennetut tiedot on poistettava tai tehtävä nimettömiksi. Kyseisen direktiivin 9 artiklan 1 kohdan mukaan muita kuin liikennettä koskevia paikkatietoja saa käsitellä vain tietyin edellytyksin ja sen jälkeen, kun ne on tehty nimettömiksi, tai jos käyttäjät tai tilaajat ovat antaneet siihen suostumuksensa.
87 Direktiivin 2002/58 5 ja 6 artiklan sekä 9 artiklan 1 kohdan säännösten, joilla pyritään takaamaan viestinnän ja siihen liittyvien tietojen luottamuksellisuus ja minimoimaan väärinkäytön vaara, ulottuvuutta on lisäksi arvioitava kyseisen direktiivin johdanto-osan 30 perustelukappaleeseen nähden, jonka mukaan ”sähköisiä viestintäverkkoja ja ‑palveluita tarjoavat järjestelmät olisi suunniteltava niin, että tarvittavien henkilötietojen määrä rajoitetaan mahdollisimman pieneksi”.
88 Direktiivin 2002/58 15 artiklan 1 kohdassa annetaan jäsenvaltioille oikeus säätää poikkeuksista niille saman direktiivin 5 artiklan 1 kohdan perusteella kuuluvasta periaatteellisesta velvollisuudesta taata henkilötietojen luottamuksellisuus ja vastaavista muun muassa direktiivin 6 ja 9 artiklassa mainituista velvollisuuksista (ks. vastaavasti tuomio 29.1.2008, Promusicae, C-275/06, EU:C:2008:54, 50 kohta).
89 Koska jäsenvaltiot voivat direktiivin 2002/58 15 artiklan 1 kohdan nojalla rajoittaa viestinnän ja siihen liittyvien liikennetietojen luottamuksellisuuden varmistamista koskevan lähtökohtaisen velvollisuuden ulottuvuutta, sitä on unionin tuomioistuimen vakiintuneen oikeuskäytännön mukaan kuitenkin tulkittava suppeasti (ks. analogisesti tuomio 22.11.2012, Probst, C-119/12, EU:C:2012:748, 23 kohta). Tällainen säännös ei näin ollen voi olla perusteena sille, että kyseisestä lähtökohtaisesta velvollisuudesta ja erityisesti kyseisen direktiivin 5 artiklassa säädetystä tietojen tallentamista koskevasta kiellosta tehtävästä poikkeuksesta tulisi sääntö – tällöin tehtäisiin viimeksi mainitun säännöksen sisältö laajalti tyhjäksi.
90 Tältä osin on todettava, että direktiivin 2002/58 15 artiklan 1 kohdan ensimmäisessä virkkeessä säädetään, että siinä tarkoitettujen lainsäädännöllisten toimenpiteiden, jotka poikkeavat viestinnän ja siihen liittyvien liikennetietojen luottamuksellisuuden periaatteesta, tavoitteena on oltava ”kansallisen turvallisuuden (valtion turvallisuus) sekä puolustuksen, yleisen turvallisuuden tai rikosten tai sähköisen viestintäjärjestelmän luvattoman käytön torjunnan, tutkinnan, selvittämisen ja syyteharkinnan varmistami[nen]”, tai niillä on pyrittävä johonkin muuhun direktiivin 95/46 13 artiklan 1 kohdassa, johon direktiivin 2002/58 15 artiklan 1 kohdan ensimmäisessä virkkeessä viitataan, tarkoitettuun tavoitteeseen (ks. vastaavasti tuomio 29.1.2008, Promusicae, C-275/06, EU:C:2008:54, 53 kohta). Tällainen tavoitteiden luettelointi on luonteeltaan tyhjentävä, kuten ilmenee viimeksi mainitun direktiivin 15 artiklan 1 kohdan toisesta virkkeestä, jonka mukaan lainsäädännöllisten toimenpiteiden on oltava perusteltuja mainitun direktiivin 15 artiklan 1 kohdan ensimmäisessä virkkeessä ”säädetyistä syistä”. Jäsenvaltiot eivät siis voi toteuttaa tällaisia toimenpiteitä muissa kuin kyseisessä viimeksi mainitussa säännöksessä luetelluissa tarkoituksissa.
91 Direktiivin 2002/58 15 artiklan 1 kohdan kolmannessa virkkeessä säädetään lisäksi, että ”kaikkien tässä kohdassa tarkoitettujen toimenpiteiden on oltava [unionin] oikeuden yleisten periaatteiden mukaisia, mukaan lukien [EU] 6 artiklan 1 ja 2 kohdassa tarkoitetut periaatteet”, joihin kuuluvat nykyisin perusoikeuskirjassa taatut yleiset periaatteet ja perusoikeudet. Direktiivin 2002/58 15 artiklan 1 kohtaa on siis tulkittava perusoikeuskirjassa taattujen perusoikeuksien valossa (ks. analogisesti direktiivin 95/46 osalta tuomio 20.5.2003, Österreichischer Rundfunk ym., C-465/00, C-138/01 ja C-139/01, EU:C:2003:294, 68 kohta; tuomio 13.5.2014, Google Spain ja Google, C-131/12, EU:C:2014:317, 68 kohta ja tuomio 6.10.2015, Schrems, C-362/14, EU:C:2015;650, 38 kohta).
92 Tältä osin on korostettava, että sähköisten viestintäpalvelujen tarjoajille pääasiassa kyseessä olevan kaltaisella kansallisella säännöstöllä asetettu velvollisuus säilyttää liikennetietoja, jotta toimivaltaiset kansalliset viranomaiset voivat tarvittaessa saada niitä, herättää kysymyksiä paitsi perusoikeuskirjan 7 ja 8 artiklaan nähden, jotka nimenomaisesti mainitaan ennakkoratkaisukysymyksissä, myös perusoikeuskirjan 11 artiklassa taattuun sananvapauteen nähden (ks. analogisesti direktiivin 2006/24 osalta tuomion Digital Rights 25 ja 70 kohta).
93 Sekä yksityiselämän kunnioitusta koskevan perusoikeuden, joka taataan perusoikeuskirjan 7 artiklassa, että henkilötietojen suojaa koskevan perusoikeuden, joka taataan perusoikeuskirjan 8 artiklassa, tärkeys, sellaisena kuin se ilmenee unionin tuomioistuimen oikeuskäytännöstä (ks. vastaavasti tuomio 6.10.2015, Schrems, C-362/14, EU:C:2015:650, 39 kohta oikeuskäytäntöviittauksineen), on otettava huomioon direktiivin 2002/58 15 artiklan 1 kohtaa tulkittaessa. Sama koskee sananvapautta, kun otetaan huomioon tämän vapauden erityinen merkitys kaikissa demokraattisissa yhteiskunnissa. Tämä perusoikeuskirjan 11 artiklassa taattu perusoikeus on eräs demokraattiseen ja moniarvoiseen yhteiskuntaan liittyvä olennainen perusta ja kuuluu arvoihin, joille unioni SEU 2 artiklan mukaisesti perustuu (ks. vastaavasti tuomio 12.6.2003, Schmidberger, C-112/00, EU:C:2003:333, 79 kohta ja tuomio 6.9.2011, Patriciello, C-163/10, EU:C:2011:543, 31 kohta).
94 Tältä osin on muistettava, että perusoikeuskirjan 52 artiklan 1 kohdan mukaan perusoikeuskirjassa tunnustettujen oikeuksien ja vapauksien käyttämistä voidaan rajoittaa ainoastaan lailla ja niiden keskeistä sisältöä kunnioittaen. Suhteellisuusperiaatteen mukaisesti näiden oikeuksien ja vapauksien käytön rajoituksia voidaan säätää ainoastaan, jos ne ovat välttämättömiä ja vastaavat tosiasiallisesti unionin tunnustamia yleisen edun mukaisia tavoitteita tai tarvetta suojella muiden henkilöiden oikeuksia ja vapauksia (tuomio 15.2.2016, N., C‑601/15 PPU, EU:C:2016:84, 50 kohta).
95 Direktiivin 2002/58 15 artiklan 1 kohdan ensimmäisessä virkkeessä säädetään, että jäsenvaltiot voivat toteuttaa viestinnän ja siihen liittyvien liikennetietojen luottamuksellisuuden periaatteesta poikkeavan toimenpiteen, jos se on välttämätön, asianmukainen ja oikeasuhteinen demokraattisen yhteiskunnan toimenpide tässä säännöksessä ilmaistuihin tavoitteisiin nähden. Kyseisen direktiivin johdanto-osan 11 perustelukappaleessa puolestaan täsmennetään, että tällaisen toimenpiteen on ”ehdottomasti” oltava oikeassa suhteessa sen tarkoitukseen nähden. Siltä osin kuin erityisesti on kyse tietojen säilyttämisestä, tämän direktiivin 15 artiklan 1 kohdan toisessa virkkeessä edellytetään, että säilyttämisestä säädetään sellaiseksi rajoitetuksi ajaksi, joka on perusteltua saman direktiivin 15 artiklan 1 kohdan ensimmäisessä virkkeessä säädetyistä syistä.
96 Suhteellisuusperiaatteen noudattaminen perustuu myös unionin tuomioistuimen vakiintuneeseen oikeuskäytäntöön, jonka mukaan yksityiselämän kunnioitusta koskevan perusoikeuden suoja unionin tasolla edellyttää, että henkilötietojen suojaa koskevat poikkeukset ja rajoitukset on toteutettava täysin välttämättömän rajoissa (tuomio 16.12.2008, Satakunnan Markkinapörssi ja Satamedia, C-73/07, EU:C:2008:727, 56 kohta; tuomio 9.11.2010, Volker und Markus Schecke ja Eifert, C-92/09 ja C-93/09, EU:C:2010:662, 77 kohta; tuomio Digital Rights, 52 kohta ja tuomio 6.10.2015, Schrems, C-362/14, EU:C:2015:650, 92 kohta).
97 Siltä osin kuin kyse on siitä, täyttääkö asiassa C-203/15 kyseessä olevan kaltainen kansallinen säännöstö nämä edellytykset, on todettava, että siinä säädetään kaikkien tilaajien ja rekisteröityjen käyttäjien liikenne- ja paikkatietojen yleisestä ja erotuksetta tapahtuvasta säilyttämisestä kaikkien sähköisten viestintävälineiden osalta ja että siinä velvoitetaan sähköisten viestintäpalvelujen tarjoajat säilyttämään nämä tiedot systemaattisesti ja jatkuvasti ilman mitään poikkeuksia. Kuten ennakkoratkaisupyynnöstä ilmenee, kyseisessä säännöstössä tarkoitetut tietoluokat vastaavat pääasiallisesti niitä, joiden säilyttämisestä säädettiin direktiivissä 2006/24.
98 Tiedot, joita sähköisten viestintäpalvelujen tarjoajien on siis säilytettävä, sisältävät viestinnän lähteen ja kohteen jäljittämiseksi ja tunnistamiseksi tarvittavat tiedot, viestinnän päivämäärän, kellonajan, keston ja tyypin sekä käyttäjien viestintälaitteen määrittämiseksi tarvittavat tiedot sekä matkaviestintälaitteen sijainnin tunnistamiseksi tarvittavat tiedot. Näihin tietoihin kuuluvat muun muassa tilaajan tai rekisteröidyn käyttäjän nimi ja osoite, soittajan puhelinnumero ja valittu numero sekä internetpalvelujen IP-osoite. Näiden tietojen avulla voidaan muun muassa saada selville, kuka on se henkilö, jonka kanssa tilaaja tai rekisteröity käyttäjä on viestinyt, ja millä laitteella, sekä määrittää viestinnän ajankohta sekä paikka, josta käsin viestintä tapahtui. Niiden avulla voidaan lisäksi saada tietoon, kuinka tiheästi tilaaja tai rekisteröity käyttäjä on viestinyt tiettyjen henkilöiden kanssa tietyn ajanjakson aikana (ks. analogisesti direktiivin 2006/24 osalta tuomio Digital Rights, 26 kohta).
99 Näiden tietojen kokonaisuus voi mahdollistaa hyvin tarkkojen päätelmien tekemisen niiden henkilöiden, joiden tietoja on säilytetty, yksityiselämästä, kuten elämäntavoista, vakituisista tai tilapäisistä oleskelupaikoista, päivittäisestä tai muusta liikkumisesta, tekemisestä sekä näiden henkilöiden sosiaalisista suhteista ja heidän sosiaalisesta ympäristöstään (ks. analogisesti direktiivin 2006/24 osalta tuomio Digital Rights, 27 kohta). Kuten julkisasiamies on todennut ratkaisuehdotuksensa 253, 254 ja 257–259 kohdassa, näiden tietojen perusteella voidaan laatia asianomaisten henkilöiden profiili, joka on yksityiselämän kunnioittamista koskevan oikeuden kannalta aivan yhtä arkaluonteista tietoa kuin itse viestinnän sisältö.
100 Tämän säännöstön merkitsemä puuttuminen perusoikeuskirjan 7 ja 8 artiklassa vahvistettuihin perusoikeuksiin on laajamittaista, ja se on katsottava erityisen vakavaksi. Tietojen säilyttäminen ilman, että sähköisten viestintäpalvelujen käyttäjille ilmoitetaan siitä, voi aiheuttaa kyseisille ihmisille tunteen siitä, että heidän yksityiselämänsä on jatkuvan tarkkailun kohteena (ks. analogisesti direktiivin 2006/24 osalta tuomio Digital Rights, 37 kohta).
101 Vaikka tällä säännöstöllä ei sallita viestin sisällön säilyttämistä, eikä sillä näin ollen vahingoiteta näiden oikeuksien keskeistä sisältöä (ks. analogisesti direktiivin 2006/24 osalta tuomio Digital Rights, 39 kohta), liikenne- ja paikkatietojen säilyttäminen voi vaikuttaa sähköisten viestintävälineiden käyttöön ja näin ollen näiden välineiden käyttäjien perusoikeuskirjan 11 artiklassa taatun sananvapauden harjoittamiseen (ks. analogisesti direktiivin 2006/24 osalta tuomio Digital Rights, 28 kohta).
102 Kun otetaan huomioon, miten vakavaa puuttumista perusoikeuksiin merkitsee kansallinen säännöstö, jossa rikollisuuden torjumiseksi säädetään liikenne- ja paikkatietojen säilyttämisestä, vain vakavan rikollisuuden torjuminen voi olla tällaisen toimenpiteen perusteena (ks. analogisesti direktiivin 2006/24 osalta tuomio Digital Rights, 60 kohta).
103 Lisäksi on niin, että vaikka vakavan rikollisuuden, muun muassa järjestäytyneen rikollisuuden ja terrorismin, torjumisen tehokkuus voi riippua suuressa määrin nykyaikaisten tutkintatekniikkojen käytöstä, tällainen yleisen edun mukainen tavoite, niin perustavanluonteinen kuin se onkaan, ei kuitenkaan yksin voi oikeuttaa sitä, että kansallista säännöstöä, jossa säädetään kaikkien liikenne- ja paikkatietojen yleisestä ja erotuksetta tapahtuvasta säilyttämisestä, pidetään välttämättömänä mainitun torjumisen kannalta (ks. analogisesti direktiivin 2006/24 osalta tuomio Digital Rights, 51 kohta).
104 Tältä osin on todettava yhtäältä, että tällaisen säännöstön vaikutuksena on, kun otetaan huomioon sen edellä 97 kohdassa kuvatut ominaisuudet, että liikenne- ja paikkatietojen säilyttäminen on sääntö, vaikka direktiivillä 2002/58 käyttöön otettu järjestelmä edellyttää, että tämä tietojen säilyttäminen on poikkeus.
105 Toisaalta pääasiassa kyseessä olevan kaltainen kansallinen säännöstö, joka kattaa yleisesti kaikki tilaajat ja rekisteröidyt käyttäjät ja koskee kaikkia sähköisiä viestintävälineitä ja kaikkia liikennetietoja, ei tee mitään erottelua eikä aseta rajoituksia tai poikkeuksia asetetun tavoitteen perusteella. Se koskee yleisellä tavalla sähköisiä viestintäpalveluja käyttäviä kaikkia henkilöitä ilman, että henkilöt, joiden tietoja säilytetään, olisivat edes epäsuorasti sellaisessa tilanteessa, joka voisi johtaa rikosoikeudellisiin toimiin. Sitä sovelletaan siis myös henkilöihin, joiden osalta ei ole mitään seikkaa, jonka perusteella voitaisiin olettaa, että heidän toimintansa voisi olla edes epäsuorasti tai kaukaisesti yhteydessä vakavaan rikollisuuteen. Siinä ei myöskään säädetä minkäänlaisesta poikkeuksesta, joten sitä sovelletaan jopa henkilöihin, joiden viestintään sovelletaan kansallisen lainsäädännön mukaan salassapitovelvollisuutta (ks. analogisesti direktiivin 2006/24 osalta tuomio Digital Rights, 57 ja 58 kohta).
106 Tällaisessa säännöstössä ei vaadita minkäänlaista yhteyttä säilytettäviksi säädettyjen tietojen ja yleistä turvallisuutta koskevan uhan välillä. Siinä ei varsinkaan rajoituta säilyttämään joko tiettyyn ajanjaksoon ja/tai maantieteellisesti määriteltyyn alueeseen ja/tai sellaisten tiettyjen henkilöiden piiriin, jotka voisivat olla sekaantuneita tavalla tai toisella vakavaan rikollisuuteen, liittyviä tietoja, tai henkilöihin, joiden tietojen säilyttäminen voisi muilla perusteilla myötävaikuttaa rikollisuuden torjumiseen, liittyviä tietoja (ks. analogisesti direktiivin 2006/24 osalta tuomio Digital Rights, 59 kohta).
107 Pääasiassa kyseessä oleva kansallinen säännöstö ylittää siis täysin välttämättömän rajat, eikä sitä voida pitää perusteltuna demokraattisessa yhteiskunnassa siten kuin edellytetään direktiivin 2002/58 15 artiklan 1 kohdassa, kun se luetaan perusoikeuskirjan 7, 8 ja 11 artiklan sekä 52 artiklan 1 kohdan valossa.
108 Sen sijaan direktiivin 2002/58 15 artiklan 1 kohta, kun se luetaan perusoikeuskirjan 7, 8 ja 11 artiklan sekä 52 artiklan 1 kohdan valossa, ei ole esteenä sille, että jäsenvaltio antaa ennaltaehkäisevästi säännöstön, joka sallii liikenne- ja paikkatietojen kohdennetun säilyttämisen vakavan rikollisuuden torjumiseksi sillä edellytyksellä, että näiden tietojen säilyttäminen on, siltä osin kuin kyse on säilytettävistä tietoluokista, tarkoitetuista viestintävälineistä, asianomaisista henkilöistä ja aiotun säilytyksen kestosta, rajoitettu täysin välttämättömään.
109 Tämän tuomion edellisessä kohdassa mainittujen edellytysten täyttämiseksi kansallisessa säännöstössä on ensiksikin säädettävä selvistä ja täsmällisistä tällaisen tietojen säilyttämistoimenpiteen laajuutta ja soveltamista koskevista säännöistä, joissa asetetaan vähimmäisvaatimukset, jotta henkilöillä, joiden tietoja on säilytetty, on riittävät takeet, joiden avulla voidaan tehokkaasti suojata heidän henkilötietonsa väärinkäytön vaaroja vastaan. Siinä on erityisesti mainittava, missä olosuhteissa ja millä edellytyksillä tietojen säilyttämistoimenpide voidaan toteuttaa ennaltaehkäisevästi, jotta taataan, että toimenpide rajoittuu täysin välttämättömään (ks. analogisesti direktiivin 2006/24 osalta tuomio Digital Rights, 54 kohta oikeuskäytäntöviittauksineen).
110 Toiseksi siltä osin kuin kyse on aineellisista edellytyksistä, jotka kansallisen säännöstön, jossa rikollisuuden torjumiseksi sallitaan ennaltaehkäisevästi liikenne- ja paikkatietojen säilyttäminen, on täytettävä, jotta taataan, että se rajoittuu täysin välttämättömään, on todettava, että vaikka nämä edellytykset voivat vaihdella vakavan rikollisuuden ehkäisemistä, tutkintaa, selvittämistä ja syyteharkintaa koskevien toimenpiteiden mukaan, tietojen säilyttämisen on kuitenkin aina oltava sellaisten objektiivisten perusteiden mukaista, joilla luodaan yhteys säilytettävien tietojen ja asetetun tavoitteen välille. Näiden edellytysten on erityisesti oltava käytännössä sellaisia, että niissä rajataan tehokkaasti toimenpiteen laajuus ja tätä kautta asianomainen yleisö.
111 Siltä osin kuin kyse on tällaisen toimenpiteen rajaamisesta mahdollisen yleisön ja mahdollisten tilanteiden osalta, kansallisen säännöstön on perustuttava objektiivisiin seikkoihin, joiden perusteella voidaan kohdentaa yleisö, jonka tiedot voivat paljastaa ainakin välillisen yhteyden vakavaan rikollisuuteen, myötävaikuttaa tavalla tai toisella vakavan rikollisuuden torjumiseen tai ehkäistä yleistä turvallisuutta kokeva uhka. Tällainen rajaaminen voidaan varmistaa maantieteellisen kriteerin keinoin, jos toimivaltaiset kansalliset viranomaiset katsovat objektiivisten seikkojen perusteella, että yhdellä tai useammalla maantieteellisellä alueella on kohonnut riski tällaisten tekojen valmisteluun tai toteuttamiseen.
112 Edellä esitettyjen seikkojen perusteella asiassa C-203/15 esitettyyn ensimmäiseen kysymykseen on vastattava, että direktiivin 2002/58 15 artiklan 1 kohtaa, kun se luetaan perusoikeuskirjan 7, 8 ja 11 artiklan sekä 52 artiklan 1 kohdan valossa, on tulkittava siten, että se on esteenä kansalliselle säännöstölle, jossa rikollisuuden torjumiseksi säädetään kaikkien tilaajien ja rekisteröityjen käyttäjien liikenne- ja paikannustietojen yleisestä ja erotuksetta tapahtuvasta säilyttämisestä kaikkien sähköisten viestintävälineiden osalta.
Asiassa C‑203/15 esitetty toinen kysymys ja asiassa C‑698/15 esitetty ensimmäinen kysymys
113 Aluksi on todettava, että Kammarrätten i Stockholm esitti asiassa C-203/15 toisen kysymyksen vain sen varalta, että mainitussa asiassa ensimmäiseen kysymykseen vastataan kieltävästi. Tämä toinen kysymys on kuitenkin riippumaton siitä, onko tietojen säilyttäminen yleistä vai kohdennettua edellä 108–111 kohdassa kuvatuin tavoin. On siis vastattava yhdessä asiassa C-203/15 esitettyyn toiseen kysymykseen ja asiassa C-698/15 esitettyyn ensimmäiseen kysymykseen, joka esitettiin sähköisten viestintäpalvelujen tarjoajille asetetun tietojen säilyttämistä koskevan velvollisuuden laajuudesta riippumatta.
114 Ennakkoratkaisua pyytäneet tuomioistuimet kysyvät asiassa C-203/15 esitetyllä toisella kysymyksellä ja asiassa C-698/15 esitetyllä ensimmäisellä kysymyksellä ennen kaikkea, onko direktiivin 2002/58 15 artiklan 1 kohtaa, kun se luetaan perusoikeuskirjan 7 ja 8 artiklan ja 52 artiklan 1 kohdan valossa, tulkittava siten, että se on esteenä kansalliselle säännöstölle, jossa säännellään liikenne- ja paikkatietojen suojaa ja turvaa ja erityisesti toimivaltaisten kansallisten viranomaisten oikeutta saada säilytettäviä tietoja ja jossa ei rajoiteta tätä tietojen saantia vain vakavan rikollisuuden torjumisen tarkoitukseen, eikä aseteta tietojen saannin edellytykseksi tuomioistuimen tai riippumattoman hallintoviranomaisten suorittamaa ennakkovalvontaa eikä vaadita, että kyseessä olevat tiedot säilytetään unionin alueella.
115 Siltä osin kuin kyse on tavoitteista, joilla voidaan oikeuttaa sähköisen viestinnän luottamuksellisuuden periaatteesta poikkeava kansallinen säännöstö, on palautettava mieleen, että koska – kuten edellä 90 ja 102 kohdassa on todettu – tavoitteet on direktiivin 2002/58 15 artiklan 1 kohdan ensimmäisessä virkkeessä lueteltu tyhjentävästi, säilytettyjen tietojen saannin on vastattava tosiasiallisesti ja täysin jotakin näistä tavoitteista. Koska säännöksen tavoitteella on lisäksi oltava yhteys sen perusoikeuksiin puuttumisen vakavuuteen, jota tämä tietojen saanti merkitsee, tästä seuraa, että rikosten ehkäisemisen, tutkinnan, selvittämisen ja syyteharkinnan alalla vain vakavan rikollisuuden torjuminen voi oikeuttaa tällaisen säilytettyjen tietojen saannin.
116 Suhteellisuusperiaatteen noudattamisesta on todettava, että kansallisen säännöstön, jossa säännellään edellytyksiä, joilla sähköisten viestintäpalvelujen tarjoajien on annettava toimivaltaisille kansallisille viranomaisille oikeus saada säilytettyjä tietoja, on edellä tämän tuomion 95 ja 96 kohdassa todetun mukaisesti varmistettava, että tietojen saanti tapahtuu täysin välttämättömän rajoissa.
117 Koska direktiivin 2002/58 15 artiklan 1 kohdassa tarkoitettujen lainsäädännöllisten toimenpiteiden on direktiivin johdanto-osan 11 perustelukappaleen mukaisesti sovellettava asianmukaisia suojamääräyksiä, tällaisessa toimenpiteessä on, kuten edellä tämän tuomion 109 kohdassa mainitusta oikeuskäytännöstä ilmenee, oltava selkeät ja täsmälliset säännöt, joissa ilmaistaan, missä olosuhteissa ja millä edellytyksillä sähköisten viestintäpalvelujen tarjoajien on annettava toimivaltaisille kansallisille viranomaisille oikeus saada tietoja. Tällaisen toimenpiteen on myös oltava kansallisen oikeuden mukaan sitova.
118 Sen takaamiseksi, että toimivaltaisten kansallisten viranomaisten oikeus saada tietoja rajataan täysin välttämättömään, kansallisessa oikeudessa on tosin määritettävä edellytykset, joilla sähköisten viestintäpalvelujen tarjoajien on annettava tällainen oikeus. Asianomaisessa kansallisessa säännöstössä ei kuitenkaan voida pelkästään tyytyä vaatimaan, että tietojen saantia koskeva oikeus vastaa johonkin direktiivin 2002/58 15 artiklan 1 kohdassa tarkoitetuista tavoitteista, vaikka se olisikin vakavan rikollisuuden torjuminen. Tällaisessa kansallisessa säännöstössä on näet säädettävä myös aineellisista ja menettelyllisistä edellytyksistä, joilla toimivaltaiset kansalliset viranomaiset voivat saada säilytettyjä tietoja (ks. analogisesti direktiivin 2006/24 osalta tuomio Digital Rights, 61 kohta).
119 Näin ollen ja koska yleisen kaikkien säilytettyjen tietojen saamista koskevan oikeuden, joka on riippumaton siitä, onko olemassa mitään edes välillistä yhteyttä asetettuun tavoitteeseen nähden, ei voida katoa olevan rajattu täysin välttämättömään, asianomaisen kansallisen säännöstön on perustuttava objektiivisiin kriteereihin niiden olosuhteiden ja edellytysten määrittelemiseksi, joilla toimivaltaisille kansallisille viranomaisille on annettava oikeus saada tilaajien tai rekisteröityjen käyttäjien tietoja. Tältä osin oikeus voidaan lähtökohtaisesti myöntää rikollisuuden torjumisen tavoitteen yhteydessä vain sellaisten henkilöiden tietoihin, joiden epäillään suunnittelevan, tekevän tai tehneen vakavan rikoksen tai olevan jollakin tavalla mukana tällaisessa rikoksessa (ks. analogisesti Euroopan ihmisoikeustuomioistuimen tuomio 4.12.2015, Zakharov v. Venäjä, CE:ECHR:2015:1204JUD004714306, 260 kohta). Erityisissä tilanteissa, kuten niissä, joissa kansallisen turvallisuuden, maanpuolustuksen tai yleisen turvallisuuden elintärkeitä intressejä uhkaa terrorismi, oikeus saada muiden henkilöiden tietoja voidaan kuitenkin myöntää myös, jos olemassa on objektiivisia seikkoja, joiden perusteella voidaan katsoa, että näillä tiedoilla voidaan konkreettisessa tapauksessa tosiasiallisesti myötävaikuttaa tällaisen toiminnan torjumiseen.
120 Sen takaamiseksi, että näitä edellytyksiä noudatetaan käytännössä täysimääräisesti, on olennaista se, että toimivaltaisten kansallisten viranomaisten oikeus saada säilytettyjä tietoja edellyttää lähtökohtaisesti asianmukaisesti perusteltuja kiireellisiä tapauksia lukuun ottamatta joko tuomioistuimen tai riippumattoman hallinnollisen elimen etukäteisvalvontaa ja sitä, että kyseisen tuomioistuimen tai elimen ratkaisu annetaan perustellusta pyynnöstä, jonka nämä viranomaiset esittävät rikoksen estämis-, selvittämis- tai syyteharkintamenettelyssä (ks. analogisesti direktiivin 2006/24 osalta tuomio Digital Rights, 62 kohta; ks. myös analogisesti Euroopan ihmisoikeussopimuksen 8 artiklan osalta Euroopan ihmisoikeustuomioistuimen tuomio 12.1.2016, Szabó ja Vissy v. Unkari, CE:ECHR:2016:0112JUD003713814, 77 ja 80 kohta).
121 On myös tärkeää, että toimivaltaiset kansalliset viranomaiset, joille on annettu oikeus saada säilytettyjä tietoja, tiedottavat tästä asianomaisille henkilöille sovellettavien kansallisten menettelyjen mukaisesti heti, kun tämä tiedoksianto ei vaaranna kyseisten viranomaisten suorittamia tutkimuksia. Tämä tiedottaminen on välttämätöntä, jotta he voivat käyttää oikeussuojakeinoja, joista nimenomaisesti säädetään direktiivin 2002/58 15 artiklan 2 kohdassa, kun se luetaan yhdessä direktiivin 95/46 22 artiklan kanssa, jos heidän oikeuksiaan loukataan (ks. analogisesti tuomio 7.5.2009, Rijkeboer, C-553/07, EU:C:2009:293, 52 kohta ja tuomio 6.10.2015, Schrems, C-362/14, EU:C:2015:650, 95 kohta).
122 Säännöistä, jotka koskevat sähköisten viestintäpalvelujen tarjoajien säilyttämien tietojen turvaa ja suojaa, on todettava, että direktiivin 2002/58 15 artiklan 1 kohdassa ei sallita jäsenvaltioiden poiketa direktiivin 4 artiklan 1 kohdasta eikä 4 artiklan 1 a kohdasta. Viimeksi mainituissa säännöksissä edellytetään, että kyseiset palveluntarjoajat toteuttavat asianmukaiset tekniset ja organisatoriset toimenpiteet, joilla voidaan varmistaa säilytettyjen tietojen tehokas suoja väärinkäytön vaaraa vastaan sekä näiden tietojen kaikenlaista laitonta saantia vastaan. Kun otetaan huomioon säilytettyjen tietojen määrä, niiden arkaluonteisuus sekä niiden lainvastaista saantia koskeva vaara, sähköisten viestintäpalvelujen tarjoajien on mainittujen tietojen täyden koskemattomuuden ja luottamuksellisuuden takaamiseksi varmistettava erityisen korkea suojan ja turvan taso turvautumalla asianmukaisiin teknisiin ja organisatorisiin toimiin. Kansallisessa säännöstössä on erityisesti säädettävä tietojen säilyttämisestä unionin alueella ja tietojen lopullisesta hävittämisestä, kun niiden säilyttämisaika päättyy (ks. analogisesti direktiivin 2006/24 osalta tuomio Digital Rights, 66–68 kohta).
123 Jäsenvaltioiden on joka tapauksessa taattava, että riippumaton viranomainen valvoo unionin oikeudessa taatun suojan tason noudattamista luonnollisten henkilöiden henkilötietojen käsittelyssä. Tällaista valvontaa edellytetään nimenomaisesti perusoikeuskirjan 8 artiklan 3 kohdassa, ja se on unionin tuomioistuimen vakiintuneen oikeuskäytännön mukaisesti keskeinen tekijä yksilöiden suojelussa henkilötietojen käsittelyssä. Jos näin ei olisi, henkilöiltä, joiden henkilötiedot on säilytetty, vietäisiin perusoikeuskirjan 8 artiklan 1 ja 3 kohdassa taattu oikeus saattaa kansallisten valvontaviranomaisten käsiteltäväksi vaatimus tietojensa suojaamisesta (ks. vastaavasti tuomio Digital Rights, 68 kohta ja tuomio 6.10.2015, Schrems, C-362/14, EU:C:2015:650, 41 ja 58 kohta).
124 Ennakkoratkaisua pyytäneiden tuomioistuinten tehtävänä on arvioida, täyttävätkö – ja missä määrin – pääasioissa kyseessä olevat kansalliset säännöstöt direktiivin 2002/58 15 artiklan 1 kohdasta, kun se luetaan perusoikeuskirjan 7, 8 ja 11 artiklan sekä 52 artiklan 1 kohdan valossa, johtuvat edellytykset, sellaisina kuin ne on selitetty edellä 115–123 kohdassa, siltä osin kuin kyse on sekä toimivaltaisten kansallisten viranomaisten oikeudesta saada säilytettyjä tietoja että näiden tietojen turvasta ja suojan tasosta.
125 Kaiken edellä esitetyn perusteella asiassa C-203/15 esitettyyn toiseen kysymykseen ja asiassa C-698/15 esitettyyn ensimmäiseen kysymykseen on vastattava, että direktiivin 2002/58 15 artiklan 1 kohtaa, kun se luetaan perusoikeuskirjan 7, 8 ja 11 artiklan sekä 52 artiklan 1 kohdan valossa, on tulkittava siten, että se on esteenä kansalliselle säännöstölle, jossa säännellään liikenne- ja paikkatietojen suojaa ja turvaa ja erityisesti toimivaltaisten kansallisten viranomaisten oikeutta saada säilytettäviä tietoja ja jossa ei rikollisuuden torjumisen puitteissa rajoiteta tätä tietojen saantia vain vakavan rikollisuuden torjumisen tarkoitukseen, eikä tietojen saannin edellytykseksi aseteta tuomioistuimen tai riippumattoman hallintoviranomaisten suorittamaa ennakkovalvontaa eikä vaadita, että kyseessä olevat tiedot säilytetään unionin alueella.
Asiassa C-698/15 esitetty toinen kysymys
126 Court of Appeal (England & Wales) (Civil Division) kysyy asiassa C-698/15 esittämällään toisella kysymyksellä ennen kaikkea, tulkitsiko unionin tuomioistuin tuomiossa Digital Rights perusoikeuskirjan 7 ja/tai 8 artiklaa tavalla, joka menee pidemmälle kuin tulkinta, jonka Euroopan ihmisoikeustuomioistuin on antanut Euroopan ihmisoikeussopimuksen 8 artiklalle.
127 Aluksi on muistutettava, että vaikka SEU 6 artiklan 3 kohdassa vahvistetuin tavoin Euroopan ihmisoikeussopimuksessa tunnustetut perusoikeudet ovat osa unionin oikeutta yleisinä periaatteina, kyseistä sopimusta ei voida pitää – niin kauan kuin unioni ei ole siihen liittynyt – muodollisesti unionin oikeusjärjestykseen sisältyvänä oikeudellisena välineenä (ks. vastaavasti tuomio 15.2.2016, N., C‑601/15 PPU, EU:C:2016:84, 45 kohta oikeuskäytäntöviittauksineen).
128 Direktiivin 2002/58 pätevyyttä on siten tutkittava yksinomaan perusoikeuskirjassa taattujen perusoikeuksien perusteella (ks. vastaavasti tuomio 15.2.2016, N., C‑601/15 PPU, EU:C:2016:84, 46 kohta oikeuskäytäntöviittauksineen).
129 On lisäksi muistettava, että perusoikeuskirjan 52 artiklan selityksissä todetaan, että sen 52 artiklan 3 kohdan tarkoituksena on varmistaa tarvittava johdonmukaisuus perusoikeuskirjan ja Euroopan ihmisoikeussopimuksen välillä, ”sanotun kuitenkaan vaikuttamatta unionin oikeuden ja Euroopan unionin tuomioistuimen riippumattomuuteen” (tuomio 15.2.2016, N., C‑601/15 PPU, EU:C:2016:84, 47 kohta oikeuskäytäntöviittauksineen). Perusoikeuskirjan 52 artiklan 3 kohdan toisessa virkkeessä todetaan nimenomaisesti, että sen 52 artiklan 3 kohdan ensimmäinen virke ei estä unionia myöntämästä Euroopan ihmisoikeussopimusta laajempaa suojaa. Tähän liittyy lopulta se, että perusoikeuskirjan 8 artikla koskee eri perusoikeutta kuin se, joka vahvistetaan 7 artiklassa ja jolle ei ole vastinetta Euroopan ihmisoikeussopimuksessa.
130 Unionin tuomioistuimen vakiintuneessa oikeuskäytännössä on katsottu, että ennakkoratkaisupyynnön esittämisen oikeutuksena ei ole intressi saada neuvoa-antavia lausuntoja yleisistä tai hypoteettisista kysymyksistä vaan se, että kysymys on tarpeen unionin oikeutta koskevan asian todelliseksi ratkaisemiseksi (ks. vastaavasti tuomio 24.4.2012, Kamberaj, C-571/10, EU:C:2012:233, 41 kohta; tuomio 26.2.2013, Åkerberg Fransson, C-617/10, EU:C:2013:105, 42 kohta ja tuomio 27.2.2014, Photovost’, C-470/12, EU:C:2014:101, 29 kohta).
131 Kun otetaan huomioon erityisesti edellä 128 ja 129 kohdassa esitetyt seikat, kysymys siitä, meneekö perusoikeuskirjan 7 ja 8 artiklassa taattu suoja pidemmälle kuin Euroopan ihmisoikeussopimuksen 8 artiklassa taattu suoja, ei vaikuta asiassa C-698/15 pääasian kohteena olevaan direktiivin 2002/58, kun se luetaan perusoikeuskirjan valossa, tulkintaan.
132 Ei siis vaikuta siltä, että vastaus asiassa C-698/15 esitettyyn toiseen kysymykseen voisi tuoda esiin sellaisia unionin oikeuden tulkintaan liittyviä seikkoja, jotka ovat unionin oikeuden kannalta tarpeen mainitun asian ratkaisemiseksi.
133 Tästä seuraa, että asiassa C-698/15 esitetty toinen kysymys jätetään tutkimatta.
Oikeudenkäyntikulut
134 Pääasioiden asianosaisten osalta asioiden käsittely unionin tuomioistuimessa on välivaihe kansallisissa tuomioistuimissa vireillä olevan asian käsittelyssä, minkä vuoksi kansallisten tuomioistuinten asiana on päättää oikeudenkäyntikulujen korvaamisesta. Oikeudenkäyntikuluja, jotka ovat aiheutuneet muille kuin näille asianosaisille huomautusten esittämisestä unionin tuomioistuimelle, ei voida määrätä korvattaviksi.
Näillä perusteilla unionin tuomioistuin (suuri jaosto) on ratkaissut asiat seuraavasti:
1) Henkilötietojen käsittelystä ja yksityisyyden suojasta sähköisen viestinnän alalla 12.7.2002 annetun Euroopan parlamentin ja neuvoston direktiivin 2002/58/EY (sähköisen viestinnän tietosuojadirektiivi), sellaisena kuin se on muutettuna 25.11.2009 annetulla Euroopan parlamentin ja neuvoston direktiivillä 2009/136/EY, 15 artiklan 1 kohtaa, kun se luetaan Euroopan perusoikeuskirjan 7, 8 ja 11 artiklan sekä 52 artiklan 1 kohdan valossa, on tulkittava siten, että se on esteenä kansalliselle säännöstölle, jossa rikollisuuden torjumiseksi säädetään kaikkien tilaajien ja rekisteröityjen käyttäjien kaikkien liikenne- ja paikkatietojen yleisestä ja erotuksetta tapahtuvasta säilyttämisestä kaikkien sähköisten viestintävälineiden osalta.
2) Direktiivin 2002/58, sellaisena kuin se on muutettuna direktiivillä 2009/136, 15 artiklan 1 kohtaa, kun se luetaan perusoikeuskirjan 7, 8 ja 11 artiklan sekä 52 artiklan 1 kohdan valossa, on tulkittava siten, että se on esteenä kansalliselle säännöstölle, jossa säännellään liikenne- ja paikkatietojen suojaa ja turvaa, erityisesti toimivaltaisten kansallisten viranomaisten oikeutta saada säilytettäviä tietoja, ja jossa ei rikollisuuden torjumisen puitteissa rajoiteta tätä tietojen saantia vain vakavan rikollisuuden torjumisen tarkoitukseen, eikä tietojen saannin edellytykseksi aseteta tuomioistuimen tai riippumattoman hallintoviranomaisten suorittamaa ennakkovalvontaa eikä vaadita, että kyseessä olevat tiedot säilytetään unionin alueella.
3) Court of Appealin (England & Wales) (Civil Division) esittämä toinen kysymys jätetään tutkimatta.
Allekirjoitukset