MANUEL CAMPOS SÁNCHEZ‑BORDONA
FŐTANÁCSNOK INDÍTVÁNYA
Az ismertetés napja: 2020. január 15.(1)
C‑623/17. sz. ügy
Privacy International
kontra
Secretary of State for Foreign and Commonwealth Affairs,
Secretary of State for the Home Department,
Government Communications Headquarters,
Security Service Srl,
Secret Intelligence Service
(az Investigatory Powers Tribunal [nyomozati hatásköröket vizsgáló bíróság, Egyesült Királyság] által benyújtott előzetes döntéshozatal iránti kérelem)
„Előzetes döntéshozatal – A személyes adatok kezelése és a magánélet védelme az elektronikus hírközlési ágazatban – 2002/58 irányelv – Hatály – Az 1. cikk (3) bekezdése – A 15. cikk (3) bekezdése – Az Európai Unió Alapjogi Chartája – A 7., 8., és 51. cikk, valamint az 52. cikk (1) bekezdése – Az EUSZ 4. cikk (2) bekezdése – Valamely elektronikus hírközlési szolgáltatás felhasználóira vonatkozó csatlakozási adatoknak a biztonsági szolgálatok számára történő, általános és különbségtétel nélküli továbbítása”
1. A Bíróság az utóbbi években a személyes adatok megőrzésével és az ezen adatokhoz való hozzáféréssel kapcsolatos ítélkezési gyakorlatában olyan állandó irányvonalat követett, amelynek legfontosabb mérföldkövei a következők:
– A 2014. április 8‑i Digital Rights Ireland és társai ítélet,(2) amelyben a 2006/24/EK irányelvet(3) érvénytelennek nyilvánította, mert az az Európai Unió Alapjogi Chartájának 7. és 8. cikke által elismert jogokba való aránytalan beavatkozást tett lehetővé.
– A 2016. december 21‑i Tele2 Sverige és Watson és társai ítélet,(4) amelyben a Bíróság a 2002/58/EK irányelv(5) 15. cikkének (1) bekezdését értelmezte.
– A 2018. október 2‑i Ministerio Fiscal ítélet,(6) amelyben a Bíróság megerősítette a 2002/58 irányelv ugyanezen rendelkezésének értelmezését.
2. Ezen ítéletek (különösen a második) aggodalmat keltenek néhány tagállam hatóságaiban, mivel véleményük szerint az ítéletek következtében megfosztják őket egy olyan eszköztől, amelyet szükségesnek tartanak a nemzetbiztonság védelme és a terrorizmus elleni küzdelem céljából. Ezért e tagállamok közül néhányan a hivatkozott ítélkezési gyakorlat visszavonását vagy pontosítását támogatják.
3. Bizonyos tagállami bíróságok ugyanezt az aggodalmat hangsúlyozták négy előzetes döntéshozatal iránti kérelemben,(7) amelyekre vonatkozó valamennyi indítványomat a mai napon ismertetem.
4. A négy ügy elsősorban a 2002/58 irányelvnek a nemzetbiztonsággal és a terrorizmus elleni küzdelemmel kapcsolatos tevékenységekre történő alkalmazásának kérdésével foglalkozik. Ha a hivatkozott irányelv az említett kontextusban irányadó, ezt követően azt kell tisztázni, hogy a tagállamok milyen mértékben korlátozhatják az irányelv által védett magánélethez való jogot. Végül azt kell megvizsgálni, hogy az e tárgykörre vonatkozó különböző nemzeti (egyesült királysági,(8) belga(9) és francia(10)) szabályozások mennyiben felelnek meg a Bíróság által értelmezett uniós jognak.
I. Jogi háttér
A. Az uniós jog
5. A C‑511/18. és C‑512/18. sz. egyesített ügyekre vonatkozó indítványom vonatkozó bekezdéseire hivatkozom.
B. A nemzeti jog (a jelen ügyre alkalmazandó változatában)
1. Telecommunications Act 1984(11)
6. A 94. cikk értelmében a miniszterek a nyilvános elektronikus hírközlő hálózat üzemeltetőjének – a nemzetbiztonság vagy valamely ország, illetve az Egyesült Királyságon kívüli terület kormányával fennálló kapcsolatok érdekében általuk szükségesnek tűnő – általános vagy konkrét utasításokat adhatnak.
2. Data Retention and Investigatory Powers Act 2014(12)
7. Az 1. cikk megállapítja:
„(1) A miniszter megőrzési utasítással kötelezheti a nyilvános hírközlési szolgáltatót a releváns hírközlési adatok megőrzésére, amennyiben úgy véli, hogy az erre való kötelezés szükséges és arányos a Regulation of Investigatory Powers Act 2000 [a nyomozati jogkörök szabályozásáról szóló 2000. évi törvény] 22. cikke (2) bekezdésének a)–h) pontjában foglalt cél vagy célok eléréséhez.
(2) A megőrzési utasítás:
a) vonatkozhat egy meghatározott szolgáltatóra vagy szolgáltatók bármely körére,
b) valamennyi adatnak, vagy az adatok bármely körének megőrzésére kötelezhet,
c) pontosan meghatározhatja azon időszakot vagy időszakokat, ameddig az adatokat meg kell őrizni,
d) egyéb követelményeket vagy korlátozásokat tartalmazhat az adatok megőrzésével kapcsolatban,
e) a különböző célok esetén különböző rendelkezéseket írhat elő,
f) az utasítás kiadásának vagy hatálybalépésének időpontjában létező vagy nem létező adatokra vonatkozhat.
(3) A miniszter rendeletek útján további rendelkezéseket állapíthat meg a releváns hírközlési adatok megőrzésével kapcsolatban.
(4) E rendelkezések különösen az alábbiakra vonatkozhatnak:
a) a megőrzési utasítás kiadásához szükséges előzetes követelmények,
b) azon maximális időtartam, ameddig a megőrzési utasítás alapján az adatokat meg kell őrizni,
c) az utasítás tartalma, kiadása, hatálybalépése, felülvizsgálata, módosítása vagy visszavonása,
d) a jelen cikk alapján megőrzött adatok integritása, biztonsága vagy védelme, az azokhoz való hozzáférés, valamint azok megosztása vagy megsemmisítése,
e) a releváns követelmények vagy korlátozások végrehajtása, valamint e követelményeknek vagy korlátozásoknak való megfelelés ellenőrzése,
f) magatartási szabályzat a releváns követelmények, korlátozások vagy jogkörök vonatkozásában,
g) a nyilvános hírközlési szolgáltatóknál a releváns követelmények vagy korlátozások betartása során felmerült költségeknek a miniszter általi (feltételhez kötött vagy feltétel nélküli) megtérítése,|
[…]
(5) A (4) bekezdés b) pontja alapján megállapított időszak maximális időtartama nem haladhatja meg a 12 hónapot, amely azon a napon kezdődik, amelyet a (3) bekezdésben említett rendeletekkel érintett adatok vonatkozásában meghatároztak.
(6) Valamely nyilvános távközlési szolgáltató, amely a jelen cikk alkalmazásában hírközléssel kapcsolatos releváns adatokat őriz, nem közölheti az említett adatokat, kivéve ha:
a) az adatokat az alábbiakkal összhangban közli:
i. a [RIPA] 1. rész 2. fejezete, vagy
ii. bíróság határozat, vagy bármely más bírósági engedély vagy utasítás, vagy ha
b) azt a (3) bekezdésben hivatkozott rendeletek írják elő.
(7) A miniszter a (4) bekezdés d)–g) pontjának és a (6) bekezdés alkalmazásában azon adatokkal kapcsolatban elfogadott (vagy elfogadható) bármely rendelkezés tekintetében rendelet útján utasításokat adhat ki, amely adatok a távközlési szolgáltató által – az Anti‑terrorism, Crime and Security Act 2001 [a terrorizmus elleni küzdelemről, a bűnözésről és a biztonságról szóló 2001. évi törvény] 102. cikke értelmében alkalmazott magatartási szabályzat alapján – megőrzött hírközlésekre vonatkoznak.”
3. RIPA
8. A 21. cikk megállapítja:
„[…]
(4) A jelen fejezetben a »hírközléssel kapcsolatos adatnak« kell tekinteni bármelyik alábbi fogalmat:
(a) minden forgalmi adat, amelyet valamely közlés tartalmaz vagy ahhoz kapcsolódik (függetlenül attól, hogy az a feladótól vagy mástól származik‑e), bármely postai vagy hírközlési szolgáltatás keretében, olyan módon, ahogyan az továbbításra került vagy kerülhet,
(b) bármely információ, amely nem tartalmazza a közlés tartalmát (kivéve az a) pontban említett információkat) és amely valamely személy részéről:
i. postai vagy hírközlési szolgáltatás igénybevételéről szól; vagy
ii. a hírközlési szolgáltatás vagy hírközlési rendszer valamely részének bármely személy részére történő nyújtásával vagy igénybevételével kapcsolatos;
(c) minden, az a) és a b) pont alá nem tartozó olyan információ, amelyet a postai szolgáltatás vagy hírközlési szolgáltatás nyújtója a szolgáltatást igénybe vevő személlyel kapcsolatban birtokol vagy gyűjtött.
[…]
(6) E szakaszban a »forgalommal kapcsolatos adat« bármely hírközlés esetén a következőkre vonatkozik:
a) minden adat, amely bármely olyan személyt, készüléket vagy helymeghatározást azonosít vagy azonosításukra alkalmas, amelyhez vagy amelytől valamely hírközlést továbbítanak vagy az továbbítható;
b) minden adat, amely azt a berendezést azonosítja vagy kiválasztja, illetve ennek azonosítására vagy kiválasztására alkalmas, amely a hírközlést továbbítja vagy továbbíthatja;
c) minden adat, amely olyan jeleket tartalmaz, amelyek valamely hírközlési rendszerben – bármely hírközlés továbbítása céljából – használt készülék működtetéséhez szükségesek; és
d) minden adat, amely valamely egyedi közlésben szereplő vagy ahhoz kapcsolódó adatot, vagy egyedi közlésben foglalt vagy ahhoz kapcsolódó egyéb adatot azonosít.
[…]”
9. A 22. cikk előírja:
„(1) E cikk alkalmazandó, amennyiben az e fejezet alkalmazásában felelős személy megítélése szerint a jelen cikk (2) bekezdésben felsorolt okok miatt valamely hírközlési adat beszerzése szükséges.
(2) A jelen bekezdésben foglalt okokból akkor szükséges a hírközlési adatok beszerzése, ha ezen adatok szükségesek:
a) nemzetbiztonsági érdekekből,
b) bűnmegelőzési vagy ‑felderítési célból, illetve a közrend megzavarásának megelőzése céljából,
c) az Egyesült Királyság gazdasági jólétéhez fűződő érdekekből, feltéve, hogy ezek az érdekek a nemzetbiztonság érdekei szempontjából is relevánsak,
d) közbiztonsági érdekből,
e) a közegészség védelmére irányuló célból,
f) bármely adó, vám, díj vagy egyéb, valamely hatóság számára fizetendő adó, hozzájárulás vagy teher megállapításának vagy beszedésének értékelése céljából,
g) vészhelyzetben valamely személy halálának, fizikai vagy lelki egészsége sérülésének vagy károsodásának megelőzésére, vagy a személy fizikai vagy lelki egészsége sérülésének vagy károsodásának csökkentésére irányuló célból,
h) bármely más, (az a)–g) pont alá nem tartozó) a belügyminiszter által kiadott végzésben megállapított célból, a [DRIPA] 22. cikke (2) bekezdésének h) pontja értelmében.
(4) Az (5) bekezdésre is figyelemmel, amennyiben a felelős személy úgy ítéli meg, hogy valamely távközlési vagy postai szolgáltató adatok birtokában van, lehet vagy lehetne, a távközlési vagy postai szolgáltatót kötelezheti arra, hogy:
a) gyűjtse be az adatokat, ha azok még nincsenek a birtokában, és
b) mindenképpen közölje az összes rendelkezésére álló adatot, vagy a később gyűjtött adatokat.
(5) A felelős személy nem adhat a (3) bekezdésnek megfelelő engedélyt, illetve nem adhat utasítást a (4) bekezdés alapján, kivéve ha úgy ítéli meg, hogy a kérdéses adatoknak az engedéllyel vagy az utasítással engedélyezett vagy megkövetelt magatartás révén történő beszerzése arányos az adatgyűjtéssel elérni kívánt céllal”.
10. A 65. cikk értelmében panasszal az Investigatory Powers Tribunalhoz (nyomozati hatásköröket vizsgáló bíróság, Egyesült Királyság) lehet fordulni, ha okkal feltételezhető, hogy az adatot nem megfelelően szerezték be.
II. A tényállás és az előzetes döntéshozatalra előterjesztett kérdések
11. A kérdést előterjesztő bíróság szerint az alapügy tömeges kommunikációs adatoknak a United Kingdom Security and Intelligence Agencies (az Egyesült Királyság biztonsági és hírszerző ügynökségei) általi gyűjtésével és felhasználásával kapcsolatos.
12. A tömeges kommunikációs adatok mind a telefon, mind pedig az internet használatával kapcsolatban magukban foglalják a „ki, mikor, hol, hogyan és kivel” adatokat. Tartalmazzák a hívást indító vagy fogadó mobil‑ és vezetékes telefonok helyét, valamint az internet‑csatlakozáshoz használt számítógépek helyét. Nem foglalják magukban a közlések tartalmát, amely kizárólag bírósági végzéssel szerezhető meg.
13. Az alapeljárás felperese (Privacy International, nem kormányzati emberi jogi szervezet) keresetet terjesztett az eljáró bíróság elé arra hivatkozva, hogy az említett adatok biztonsági és hírszerző ügynökségek általi gyűjtése és felhasználása sérti az Emberi Jogok Európai Egyezményének (a továbbiakban: EJEE) 8. cikke szerinti magánélethez való jogot, és ellentétes az uniós joggal.
14. Az alperes hatóságok(13) előadták, hogy e jogkörök általuk történő alkalmazása jogszerű és – többek között a nemzetbiztonság megóvása céljából – alapvető fontosságú.
15. Az előzetes döntéshozatalra utaló határozatban foglalt információk szerint, a miniszter által az 1984. évi törvény 94. cikke értelmében adott utasítások alapján a biztonsági és hírszerző ügynökségek a tömeges kommunikációs adatokat a nyilvános elektronikus hírközlő hálózatok üzemeltetőitől kapják meg.
16. A szóban forgó adatok forgalmi és helymeghatározó adatokat, valamint a felhasználók társadalmi, kereskedelmi és pénzügyi tevékenységeivel, kommunikációjával és utazásával kapcsolatos adatokat foglalnak magukban. A biztonsági és hírszerző ügynökségek – a már birtokukban lévő – említett adatokat biztonságosan tárolják és nem célzott, azaz nem konkrét, ismert személyekre irányuló technikákat (például szűrést és a csoportosítást) alkalmaznak.
17. A kérdést előterjesztő bíróság a rendelkezésére álló bizonyítékok alapján megbizonyosodott arról, hogy az említett technikák elengedhetetlenek a biztonsági és hírszerző ügynökségeknek a közbiztonságot érintő súlyos fenyegetések – többek között a terrorizmus, a kémkedés és az atomfegyverek elterjedése – elleni küzdelem terén végzett munkájához. Az Egyesült Királyság nemzetbiztonságának megóvása érdekében elengedhetetlen, hogy a biztonsági és hírszerző ügynökségek az adatok gyűjtésére és felhasználására való képességgel rendelkezzenek.
18. A kérdést előterjesztő bíróság szerint a vitatott intézkedések megfelelnek a belső jognak és az EJEE 8. cikkének. Kétségét fejezi ki azonban azzal kapcsolatban, hogy azok összeegyeztethetők‑e az uniós joggal a Tele2 Sverige és Watson ítéletre tekintettel.
19. E körülmények között az említett bíróság előzetes döntéshozatal céljából az alábbi kérdéseket terjeszti a Bíróság elé:
„1) Az EUSZ 4. cikkre és a […] 2002/58 […] irányelv […] 1. cikkének (3) bekezdésére tekintettel az uniós jog és a [2002/58] irányelv hatálya alá tartozik‑e a valamely belügyminiszter elektronikus hírközlő hálózat üzemeltetőjének adott utasításában szereplő olyan követelmény, amely szerint a szolgáltatónak tömeges kommunikációs adatokat kell valamely tagállam biztonsági és hírszerző ügynökségeinek rendelkezésére bocsátania?
2) Az első kérdésre adott igenlő válasz esetén alkalmazni kell‑e valamelyik Watson‑követelményt[(14)] vagy az EJEE által előírt követelményeken felüli más követelményeket az ilyen belügyminiszteri utasításra? Amennyiben igen, e követelmények hogyan és milyen mértékben érvényesülnek, figyelembe véve azt, hogy a biztonsági és hírszerző szolgálatok számára a nemzeti biztonság megóvása céljából a tömeges gyűjtési és automatizált kezelési technikák alkalmazása elengedhetetlenül szükséges, és azt a mértéket, amennyire ezeknek – az EJEE‑nek egyébként megfelelő – képességeknek az említett követelmény előírása jelentős gátját képezi?”
20. A kérdést előterjesztő bíróság a következőképpen helyezi kontextusba a kérdéseit:
„a) a [biztonsági és hírszerzési ügynökségeknek] a kapott [tömeges kommunikációs adatok] felhasználására való képessége az Egyesült Királyság nemzeti biztonságának megóvása céljából – többek között a terrorizmus elleni küzdelem, a kémelhárítás és az atomfegyverek elterjedése elleni küzdelem terén – alapvető fontosságú;
b) a [szóban forgó adatok] biztonsági és hírszerző szolgálatok általi felhasználásának alapvető jellemzője, hogy az [említett adatok] egy helyen történő összesítésén alapuló, nem célzott, tömeges technikák segítségével a nemzeti biztonsággal kapcsolatos, korábban ismeretlen fenyegetések feltárását szolgálja. Annak elsődleges hasznossága a cél gyors azonosításában és kidolgozásában, valamint közvetlen fenyegetés esetén a fellépés alapjának biztosításában áll;
c) az elektronikus hírközlő hálózat üzemeltetőjének ezt követően nem kell (a rendes üzletmenethez szükséges időszakot követően) megőriznie az említett adatokat, amelyeket kizárólag az állam (a biztonsági és hírszerzési ügynökségek) őriz(nek) meg;
d) a nemzeti bíróság (bizonyos fenntartások mellett) megállapította, hogy [az említett adatok] biztonsági és hírszerző ügynökségek általi felhasználásával kapcsolatos biztosítékok összhangban vannak az EJEE‑ben foglalt követelményekkel; valamint
e) a nemzeti bíróság megállapította, hogy a [Tele2 Sverige és Watson] ítéletben meghatározott követelmények előírása, amennyiben azok alkalmazandók, meghiúsítaná a biztonsági és hírszerző ügynökségek által a nemzeti biztonság megóvása érdekében tett intézkedéseket, ezáltal pedig kockázatnak tenné ki az Egyesült Királyság nemzeti biztonságát.”
III. A Bíróság előtti eljárás
21. Az előzetes döntéshozatal iránti kérelem 2017. október 31‑én érkezett a Bírósághoz.
22. A német és a belga kormány, az Egyesült Királyság kormánya, a cseh, a ciprusi, a spanyol, az észt, a francia, a magyar, az ír, a lett, a holland, a norvég, a lengyel, a portugál és a svéd kormány, valamint a Bizottság nyújtott be írásbeli észrevételeket.
23. A 2019. szeptember 9‑én tartott nyilvános tárgyaláson a C‑511/18., C‑512/18. és C‑520/18. sz. ügyeket együttesen tárgyalták, és e tárgyaláson részt vettek a négy előzetes döntéshozatali eljárásban érintett felek, a fent hivatkozott kormányok, valamint a Bizottság és az európai adatvédelmi biztos.
IV. Elemzés
A. A 2002/58 irányelv hatályáról és a nemzeti biztonság ezen irányelv hatálya alóli kizárásáról (az előzetes döntéshozatalra előterjesztett első kérdés)
24. A C‑511/18. és C‑512/18. sz. egyesített ügyekre vonatkozó, szintén a mai napon ismertetett indítványomban előadom azon okokat, amelyek alapján véleményem szerint a 2002/58 irányelvet „alapvetően akkor kell alkalmazni, ha az elektronikus hírközlési szolgáltatókat a törvény kötelezi az előfizetőik adatainak megőrzésére és annak lehetővé tételére, hogy a hatóságok az adatokhoz hozzáférhessenek. Ezen az állásponton nem változtat az, hogy a kötelezettségeket a nemzetbiztonságra való hivatkozással írják elő a szolgáltatókkal szemben”.(15)
25. Az érveim kifejtése során kitérek a Bíróság 2006. május 30‑i Európai Parlament kontra Tanács és Bizottság ítéletének,(16) illetve Tele2 Sverige és Watson ítéletének hatására, és támogatom a két ítélet egységes értelmezését.(17)
26. Az említett indítványban a 2002/58 irányelv alkalmazhatóságának megállapítását követően megvizsgálom a nemzeti biztonság abban foglalt kizárását és az EUSZ 4. cikk (2) bekezdésének joghatását.(18)
27. Független attól, amit az alábbiakban kifejtek, a fent említett indítványra és a C‑520/18. sz. ügyben már megállapítottakra is hivatkozom.
1. A 2002/58 irányelvnek a jelen ügyre való alkalmazása
28. A jelen ügyben vitatott szabályok értelmében az elektronikus hírközlési szolgáltatók olyan kötelezettség címezettjei, amelyek az adatmegőrzésen kívül magába foglalják azon adatok kezelését, amelyeket az Unió nyilvános hírközlési hálózatainak felhasználói számára nyújtott szolgáltatások okán birtokolnak.(19)
29. Az említett szolgáltatók ugyanis kötelesek továbbítani a hivatkozott adatokat a biztonsági és hírszerző ügynökségek számára. A jelen ügyben az a kérdés merül fel, hogy a 2002/58 irányelv 15. cikkének (1) bekezdése a tárgyára tekintettel megengedi‑e az említett továbbításnak az uniós jog hatálya alóli feltétel nélkül kizárását.
30. Véleményem szerint nem. A hivatkozott adatoknak a későbbi továbbítást követő megőrzése az elektronikus távközlési szolgáltatók által végzett személyesadat‑kezelésnek minősülhet, ezért azok természetesen a 2002/58 irányelv hatálya alá tartoznak.
31. A nemzetbiztonsági okok nem írhatják felül a fenti megállapítást, ahogy azt a kérdést előterjesztő bíróság javasolja, amelynek következtében a vitatott kötelezettség nem tartozna az uniós jog hatálya alá. Véleményem szerint, ismétlem, a szolgáltatók a nyilvánosan elérhető elektronikus hírközlési szolgáltatások nyilvános uniós hírközlő hálózaton történő nyújtásával összefüggő adatok kezelésére kötelesek, amely éppen a 2002/58 irányelv alkalmazási körébe tartozik ezen irányelv 3. cikke (1) bekezdésének rendelkezései szerint.
32. Ha ezen előfeltevés igazolást nyer, a vita már nem a biztonsági és hírszerző ügynökségek tevékenységeire (amelyek, ahogy azt korábban említettem, az uniós jog hatályán kívül helyezhetők el, ha nem érintik az elektronikus hírközlési szolgáltatókat), hanem az említett szolgáltatók birtokában lévő adatok megőrzésére és későbbi továbbítására helyeződik át. Ebből a szempontból az Unió által biztosított alapvető jogokat kell számításba venni.
33. A szóban forgó vita megoldásának kulcstényezője ismét azon adatok általános és különbségtétel nélküli megőrzésére vonatkozó kötelezettség, amelyekhez hozzáférést kell biztosítani a közigazgatási szervek számára.
2. A nemzeti biztonságra való hivatkozás
34. Mivel a jelen ügyben a kérdést előterjesztő bíróság különös hangsúlyt fektet a biztonsági és hírszerző ügynökségek nemzetbiztonsággal kapcsolatos tevékenységére, szeretném a C‑511/18. és C‑512/18. sz. egyesített ügyekre vonatkozó – szintén a mai napon ismertetett – indítványom néhány pontját e tekintetben átvenni:
„77. A nemzetbiztonság […] a 2002/58 irányelvben kettős megfontolás tárgyát képezi. Egyfelől (az irányelv hatálya alóli) kizáró oknak minősül a tagállamok összes olyan tevékenysége tekintetében, amelyek a [nemzetbiztonsággal] kifejezetten »összefüggnek«. Másfelől mint törvénybe foglalt korlátozó ok jelenik meg a 2002/58 irányelvben megállapított jogokra és kötelezettségekre vonatkozóan, azaz a magán és üzleti jellegű tevékenységek tekintetében, amelyek az állami jellegű tevékenységek körén kívül esnek.
78. Milyen tevékenységekre vonatkozik a 2002/58 irányelv 1. cikkének (3) bekezdése? Véleményem szerint a Conseil d’État (államtanács) jó példát nyújt a belbiztonságról szóló törvénykönyv L.851‑5. és L.851‑6. cikkeinek említésével, amikor arra hivatkozik, hogy azok »a tagállamok által közvetlenül végrehajtott, a hírszerzéssel szerzett ismeretek gyűjtésére vonatkozó technikákra vonatkoznak, azonban nem szabályozzák az elektronikus hírközlési szolgáltatók tevékenységeit sajátos kötelezettségek előírásával«. […]
79. Úgy vélem, hogy ebben rejlik a megoldás a 2002/58 irányelv 1. cikke (3) bekezdése alkalmazási köréből való kizárás hatályának megállapítása tekintetében. Nem tartoznak a szabályozása alá azok a nemzetbiztonság megőrzésére irányuló tevékenységek, amelyeket közhatalmi szervek saját maguk végeznek el, az egyének közreműködése iránti igény és ennélfogva anélkül, hogy kötelezettségeket írnának elő velük szemben az üzletvitelük során.
80. A közhatalmi szervek azon tevékenységeinek körét azonban, amely nem tartozik a személyes adatok kezelésére vonatkozó általános szabályozás hatálya alá, megszorítóan kell értelmezni. Konkrétan a nemzeti biztonság fogalma, amelynek kizárólagos felelőssége az EUSZ 4. cikk (2) bekezdése szerint az egyes tagállamokat terheli, nem terjeszthető ki a közélet más, többé‑kevésbé egymáshoz közel álló területeire.
[…]
82. Úgy vélem […], hogy iránymutatásként szolgálhat a 2006/960/IB kerethatározat […] szerinti kritérium, amelynek 2. cikkének a) pontja különbséget tesz egyfelől a tágabb értelemben vett bűnüldöző hatóságok – amely fogalom magában foglalja az »olyan nemzeti rendőrség[et], vám‑ vagy más hatóság[ot], amely a nemzeti jog alapján bűncselekmények vagy bűnözői tevékenység felderítésére, megelőzésére és kivizsgálására, valamint felügyelet gyakorlására és ilyen cselekmények vonatkozásában kényszerítő intézkedések meghozatalára jogosult« –, másfelől, »a különösen nemzetbiztonsági kérdésekkel foglalkozó ügynökségek[…] vagy egységek[…]« között. […]
[…]
84. A 95/46 irányelv és a 2002/58 irányelv között […] folytonosság áll fenn a tagállamok nemzetbiztonsággal kapcsolatos hatásköreit illetően. A két irányelv közül egyiknek sem célja az alapvető jogok védelme az említett konkrét területen, amelyen a tagállami tevékenységeket nem az »[uniós] jog szabályozza«.
85. A [2002/58 irányelv (11)] preambulumbekezdésében hivatkozott »egyensúly« abból ered, hogy tiszteletben kell tartani a tagállamok hatásköreit a nemzetbiztonság területén, ha azokat közvetlen módon és saját eszközeikkel gyakorolják. Ezzel szemben, ha akár ugyanúgy a nemzetbiztonság okán szükség van azon egyének részvételére, akik számára bizonyos kötelezettségeket előírtak, e körülmény olyan területre (a magánszemélyekkel szemben megkövetelt, a magánélethez való jog védelme) történő belépést biztosít, amelyet az uniós jog szabályoz.
86. A 95/46 irányelvnek és a 2002/58 irányelvnek is célja az említett egyensúly elérése, és lehetővé teszik, hogy a tagállamok által elfogadott jogszabályi intézkedések értelmében korlátozhassák az egyének jogait a 13. cikk (1) bekezdése, illetve a 15. cikk (1) bekezdése alapján. Ebben a kérdésben egyáltalán nincs különbség a két irányelv között.
[…]
89. A közhatalom említett tevékenységeit szükségszerűen megszorítóan kell azonosítani, különben az uniós szabályozást megfosztanák a hatékony érvényesüléstől a magánélet védelme területén. A 2016/679 rendelet a 23. cikkében megállapítja – a 2002/58 irányelv 15. cikkének (1) bekezdésével összhangban – az irányelvben meghatározott jogok és kötelezettségek jogalkotási intézkedésekkel történő korlátozását, ha – egyéb célok mellett – az a nemzetbiztonság, a honvédelem vagy a közbiztonság védelme érdekében szükséges. Ha az említett célok védelme szintén elegendő volna a 2016/679 rendelet hatálya alóli kizárás megállapításához, felesleges lenne úgy hivatkozni a nemzetbiztonságra, mint a szóban forgó rendelet által biztosított jogok jogalkotási intézkedésekkel történő korlátozásának igazolására.”
3. A Tele2 Sverige és Watson ítélet jelen ügyre való alkalmazásának következményei
35. A kérdést előterjesztő bíróság a Bíróság által a Tele2 Sverige és Watson ítéletben kialakított értelmezésre összpontosított, és kifejtette azon nehézségeket, amelyeket a megítélése szerint az említett értelmezésnek a jelen ügyre való történő alkalmazása maga után von.
36. A Tele2 Sverige és Watson ítélet ugyanis megállapította az azon nemzeti szabályozás által követendő feltételeket, amely a forgalmi és helymeghatározó adatok megőrzésének kötelezettségét vezeti be abból a célból, hogy azokhoz a közigazgatási hatóságok később hozzáférjenek.
37. Ahogyan a C‑511/18. és C‑512/18. sz. egyesített ügyekben és hasonló okok alapján úgy vélem, hogy a jelen előzetes döntéshozatali ejárás tárgyát képező nemzeti szabályok nem felelnek meg a Tele2 Sverige és Watson ítéletben meghatározott feltételeknek, mivel a személyes adatok olyan általános és különbségtétel nélküli megőrzésére vonatkoznak, amely az érintett személy életéről tágabb időszakot felölelő, részletes beszámolót nyújt.
38. A hivatkozott két ügyre vonatkozó indítványban felteszem a kérdést, hogy pontosítható‑e vagy kiegészíthető‑e a szóban forgó ítéletben kidolgozott ítélkezési gyakorlat, a terrorizmus elleni küzdelemre vagy a nemzetbiztonság elleni egyéb hasonló fenyegetésekkel szembeni nemzetvédelemre gyakorolt következményekre tekintettel.
39. Szeretném a továbbiakban a hivatkozott indítvány néhány olyan pontját átvenni, amelyekben alapvetően azt állítom, hogy bár az említett ítélkezési gyakorlat pontosítható, azt lényegében meg kell erősíteni:
„135. Bár nehéz, de nem lehetetlen pontosan és objektív kritériumok alapján meghatározni mind azon adatkategóriákat, amelyek megőrzését nélkülözhetetlennek ítélik, mind az érintett személyek körét. A legcélszerűbb és leghatékonyabb kétségtelenül annyi adat általános és különbségtétel nélküli megőrzése lenne, amennyit az elektronikus hírközlési szolgáltatók gyűjthetnek, de […] a kérdést nem a gyakorlati hatékonyság, hanem a joghatás tekintetében és a jogállam kontextusában kell eldönteni.
136. E meghatározás jellemzően jogalkotási feladat, amelyet a Bíróság ítélkezési gyakorlata által meghatározott kereten belül kell elvégezni. […]
137. Feltételezve, hogy a szolgáltatók a 2002/58 irányelv rendelkezéseinek megfelelően gyűjtötték az adatokat és a 15. cikk (1) bekezdése alapján végezték a megőrzésüket, […] az illetékes hatóságok számára a Bíróság által megkövetelt feltételek szerint kell az említett információkhoz hozzáférést biztosítani, amely feltételeket az általam hivatkozott, C‑520/18. sz. ügyre vonatkozó indítványban vizsgálom meg.
138. Ennélfogva a nemzeti szabályozásnak a jelen ügyben is […] tartalmaznia kell az illetékes nemzeti hatóságok adatokhoz való hozzáférését szabályozó anyagi jogi és eljárásjogi feltételeket is. […] A jelen előzetes döntéshozatali eljárások kontextusában az említett feltételek azon személyek adataihoz biztosíthatnak hozzáférést, akiket azzal gyanúsítanak, hogy terrorcselekmény elkövetését tervezik, ilyen bűncselekményt követnek vagy követtek el, vagy pedig részesek ilyen bűncselekmény elkövetésében. […]
139. Alapvető fontosságú azonban, hogy a szóban forgó adatokhoz való hozzáférés – a kellően indokolt sürgős esetek kivételével – valamely olyan bíróság vagy független közigazgatási szerv által végzett előzetes ellenőrzés tárgyát képezze, amely az illetékes hatóságok által előterjesztett indokolt kérelem alapján hozza meg határozatát. […] Ez alapján, amennyiben a törvény szerinti absztrakt felülvizsgálat nem elérhető, biztosítani kell a független hatóságnak a konkrét ügyre vonatkozó felülvizsgálatát, amely hatóság egyaránt elkötelezett a nemzetbiztonság és az állampolgárok alapvető jogainak védelme iránt.”
B. Az előzetes döntéshozatalra előterjesztett második kérdésről
40. A kérdést előterjesztő bíróság második kérdését arra az esetre fogalmazza meg, ha az első kérdésre igenlő lenne a válasz. Ebben az esetben azt kívánja megtudni, hogy milyen, az „EJEE által előírt követelményeken felüli más követelményeket” vagy a Tele2 Sverige és Watson ítéletből eredő követelményeket kell előírni.
41. E tekintetben azt állítja, hogy a Tele2 Sverige és Watson ítélet szerinti feltételek előírása „meghiúsítaná a biztonsági és hírszerző ügynökségek által a nemzeti biztonság megóvása érdekében tett intézkedéseket”.
42. Mivel az első kérdésre általam javasolt válasz nemleges, a második kérdés tárgyalása nem elengedhetetlen. Ez utóbbi – ahogy azt maga a kérdést előterjesztő bíróság kiemeli – attól függ, hogy az uniós joggal összeegyeztethetőnek minősítik‑e az Egyesült Királyság valamennyi felhasználójának azon személyi adataira irányuló „tömeges gyűjtési és automatizált kezelési technikákat”, amelyeket az elektronikus hírközlő hálózat üzemeltetőjének továbbítani kellene a biztonsági és hírszerző ügynökségek részére.
43. Ha a Bíróság szerint elengedhetetlen a második kérdés megválaszolása, akkor úgy vélem, hogy Tele2 Sverige és Watson ítéletben foglalt, hivatkozott feltételeket a Bíróságnak meg kell erősítenie az alábbiakkal összefüggésben:
– az adatokhoz való általános hozzáférés tilalma;
– valamely bíró vagy független hatóság által kiadott előzetes engedély szükségessége ahhoz, hogy az ilyen hozzáférés jogszerű legyen;
– az érintettek tájékoztatására vonatkozó kötelezettség, kivéve ha ezzel veszélyeztetnék az intézkedés hatékony érvényesülését;
– az adatoknak az Unió területén történő megőrzése.
44. Elegendő lenne – ismétlem – megerősíteni ezeket a kötelezően alkalmazandó feltételeket a C‑511/18. és C‑512/18. sz. egyesített ügyekre vonatkozó és a C‑520/18 ügyre vonatkozó indítványban általam kifejtetett okok miatt, „egyéb” további feltételek bevezetésének szükségessége nélkül, abban az értelemben, ahogy arra a kérdést előterjesztő bíróság hivatkozik.
V. Végkövetkeztetés
45. A fent kifejtettek értelmében, azt javaslom a Bíróságnak, hogy az Investigatory Powers Tribunal (nyomozati hatásköröket vizsgáló bíróság, Egyesült Királyság) által előterjesztett kérdésekre az alábbi választ adja:
„Az EUSZ 4. cikket és az elektronikus hírközlési ágazatban a személyes adatok kezeléséről, feldolgozásáról [helyesen: a személyes adatok kezeléséről] és a magánélet védelméről szóló, 2002. július 12‑i 2002/58/EK európai parlamenti és tanácsi irányelv (Elektronikus hírközlési adatvédelmi irányelv) 1. cikkének (3) bekezdését úgy kell értelmezni, hogy azokkal ellentétes az olyan nemzeti szabályozás, amely az elektronikus hírközlő hálózat valamely üzemeltetőjét arra kötelezi, hogy valamely tagállam biztonsági és hírszerző ügynökségeinek továbbítson olyan »tömeges kommunikációs adatokat«, amelyek ezen adatok korábbi általános és különbségtétel nélküli gyűjtését feltételezik.”
Másodlagosan:
„Valamely tagállam biztonsági és hírszerző ügynökségei számára az elektronikus hírszerző hálózatok szolgáltatói által továbbított adatokhoz biztosított hozzáférésnek összhangban kell állnia a 2016. december 21‑i Tele2 Sverige és Watson ítéletben (C‑203/15 és C‑698/15, EU:C:2016:970) meghatározott feltételekkel.”