ΑΠΟΦΑΣΗ ΤΟΥ ΔΙΚΑΣΤΗΡΙΟΥ (τμήμα μείζονος συνθέσεως)
της 6ης Οκτωβρίου 2020 (*)
«Προδικαστική παραπομπή – Επεξεργασία δεδομένων προσωπικού χαρακτήρα στον τομέα των ηλεκτρονικών επικοινωνιών – Πάροχοι υπηρεσιών ηλεκτρονικών επικοινωνιών – Γενική και χωρίς διάκριση διαβίβαση των δεδομένων κίνησης και των δεδομένων θέσης – Διαφύλαξη της εθνικής ασφάλειας – Οδηγία 2002/58/ΕΚ – Πεδίο εφαρμογής – Άρθρο 1, παράγραφος 3, και άρθρο 3 – Απόρρητο των ηλεκτρονικών επικοινωνιών – Προστασία – Άρθρο 5 και άρθρο 15, παράγραφος 1 – Χάρτης των Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης – Άρθρα 7, 8 και 11 καθώς και άρθρο 52, παράγραφος 1 – Άρθρο 4, παράγραφος 2, ΣΕΕ»
Στην υπόθεση C‑623/17,
με αντικείμενο αίτηση προδικαστικής αποφάσεως δυνάμει του άρθρου 267 ΣΛΕΕ, που υπέβαλε το Investigatory Powers Tribunal (ειδικό δικαιοδοτικό όργανο προστασίας των δεδομένων και της ιδιωτικής ζωής, Ηνωμένο Βασίλειο) με απόφαση της 18ης Οκτωβρίου 2017, η οποία περιήλθε στο Δικαστήριο στις 31 Οκτωβρίου 2017, στο πλαίσιο της δίκης
Privacy International
κατά
Secretary of State for Foreign and Commonwealth Affairs,
Secretary of State for the Home Department,
Government Communications Headquarters,
Security Service,
Intelligence Service,
ΤΟ ΔΙΚΑΣΤΗΡΙΟ (τμήμα μείζονος συνθέσεως),
συγκείμενο από τους K. Lenaerts, Πρόεδρο, R. Silva de Lapuerta, Αντιπρόεδρο, J. C. Bonichot, A. Arabadjiev, A. Prechal, M. Safjan, P. G. Xuereb και L. S. Rossi, προέδρους τμήματος, J. Malenovský, L. Bay Larsen, T. von Danwitz (εισηγητή), C. Toader, K. Jürimäe, Κ. Λυκούργο και N. Piçarra, δικαστές,
γενικός εισαγγελέας: M. Campos Sánchez‑Bordona
γραμματέας: C. Strömholm, διοικητική υπάλληλος,
έχοντας υπόψη την έγγραφη διαδικασία και κατόπιν της επ’ ακροατηρίου συζητήσεως της 9ης και της 10ης Σεπτεμβρίου 2019,
λαμβάνοντας υπόψη τις παρατηρήσεις που υπέβαλαν:
– η Privacy International, εκπροσωπούμενη από τους B. Jaffey και T. de la Mare, QC, από τον D. Cashman, solicitor, καθώς και από τον H. Roy, avocat,
– η Κυβέρνηση του Ηνωμένου Βασιλείου, εκπροσωπούμενη από τις Z. Lavery και D. Guðmundsdóttir καθώς και από τον S. Brandon, επικουρούμενους από τους G. Facenna και D. Beard, QC, καθώς και από τους C. Knight και R. Palmer, barristers,
– η Βελγική Κυβέρνηση, εκπροσωπούμενη από τους P. Cottin και J.‑C. Halleux, επικουρούμενους από τους J. Vanpraet, advocaat, και E. de Lophem, avocat,
– η Τσεχική Κυβέρνηση, εκπροσωπούμενη από τους M. Smolek, J. Vláčil και O. Serdula,
– η Γερμανική Κυβέρνηση, εκπροσωπούμενη αρχικώς από τους M. Hellmann, R. Kanitz, D. Klebs και T. Henze, στη συνέχεια από τους J. Möller, M. Hellmann, R. Kanitz και D. Klebs,
– η Εσθονική Κυβέρνηση, εκπροσωπούμενη από την A. Kalbus,
– η Ιρλανδική Κυβέρνηση, εκπροσωπούμενη από τις M. Browne και G. Hodge καθώς και από τον A. Joyce, επικουρούμενους από τον D. Fennelly, barrister,
– η Ισπανική Κυβέρνηση, εκπροσωπούμενη αρχικώς από τον L. Aguilera Ruiz και την M. J. García‑Valdecasas Dorrego, στη συνέχεια από τον L. Aguilera Ruiz,
– η Γαλλική Κυβέρνηση, εκπροσωπούμενη αρχικώς από τις E. de Moustier, E. Armoët και A.‑L. Desjonquères καθώς και από τους F. Alabrune, D. Colas και D. Dubois, στη συνέχεια από τις E. de Moustier, E. Armoët και A.‑L. Desjonquères καθώς και από τους F. Alabrune και D. Dubois,
– η Κυπριακή Κυβέρνηση, εκπροσωπούμενη από τις Ε. Συμεωνίδου και Ε. Νεοφύτου,
– η Λεττονική Κυβέρνηση, εκπροσωπούμενη αρχικώς από τις V. Soņeca και I. Kucina, στη συνέχεια από τη V. Soņeca,
– η Ουγγρική Κυβέρνηση, εκπροσωπούμενη αρχικώς από τους G. Koós, Μ. Z. Fehér και G. Tornyai καθώς και από τη Z. Wagner, στη συνέχεια από τους G. Koós και Μ. Z. Fehér,
– η Ολλανδική Κυβέρνηση, εκπροσωπούμενη από τις C. S. Schillemans και M. K. Bulterman,
– η Πολωνική Κυβέρνηση, εκπροσωπούμενη από τον B. Majczyna καθώς και από τις J. Sawicka και M. Pawlicka,
– η Πορτογαλική Κυβέρνηση, εκπροσωπούμενη από τους L. Inez Fernandes και M. Figueiredo καθώς και από την F. Aragão Homem,
– η Σουηδική Κυβέρνηση, εκπροσωπούμενη αρχικώς από τις A. Falk, H. Shev, C. Meyer‑Seitz, L. Zettergren και A. Alriksson, στη συνέχεια από τις H. Shev, C. Meyer‑Seitz, L. Zettergren και A. Alriksson,
– η Νορβηγική Κυβέρνηση, εκπροσωπούμενη από τους T. B. Leming, M. Emberland και J. Vangsnes,
– η Ευρωπαϊκή Επιτροπή, εκπροσωπούμενη αρχικώς από τους H. Kranenborg, M. Wasmeier και D. Nardi καθώς και από την P. Costa de Oliveira και, στη συνέχεια από τους H. Kranenborg, M. Wasmeier και D. Nardi,
– ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων, εκπροσωπούμενος από τον T. Zerdick και την A. Buchta,
αφού άκουσε τον γενικό εισαγγελέα που ανέπτυξε τις προτάσεις του κατά τη συνεδρίαση της 15ης Ιανουαρίου 2020,
εκδίδει την ακόλουθη
Απόφαση
1 Η αίτηση προδικαστικής αποφάσεως αφορά την ερμηνεία του άρθρου 1, παράγραφος 3, και του άρθρου 15, παράγραφος 1, της οδηγίας 2002/58/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 12ης Ιουλίου 2002, σχετικά με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα και την προστασία της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών (οδηγία για την προστασία ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες) (ΕΕ 2002, L 201, σ. 37), όπως τροποποιήθηκε με την οδηγία 2009/136/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 25ης Νοεμβρίου 2009 (ΕΕ 2009, L 337, σ. 11) (στο εξής: οδηγία 2002/58), υπό το πρίσμα του άρθρου 4, παράγραφος 2, ΣΕΕ καθώς και των άρθρων 7 και 8 και του άρθρου 52, παράγραφος 1, του Χάρτη των Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης (στο εξής: Χάρτης).
2 Η αίτηση αυτή υποβλήθηκε στο πλαίσιο ένδικης διαφοράς μεταξύ, αφενός, της Privacy International και, αφετέρου, του Secretary of State for Foreign and Commonwealth Affairs (Υπουργού Εξωτερικών και Κοινοπολιτείας, Ηνωμένο Βασίλειο), του Secretary of State for the Home Departement (Υπουργού Εσωτερικών, Ηνωμένο Βασίλειο), του Government Communications Headquarters (Κυβερνητικού Αρχηγείου Επικοινωνιών, Ηνωμένο Βασίλειο) (στο εξής: GCHQ), της Security Service (Υπηρεσίας ασφαλείας, Ηνωμένο Βασίλειο, στο εξής: ΜΙ5), και της Secret Intelligence Service (Μυστικής Υπηρεσίας Πληροφοριών, Ηνωμένο Βασίλειο, στο εξής: ΜΙ6), σχετικά με τη νομιμότητα κανονιστικής ρύθμισης που επιτρέπει την απόκτηση και χρήση μαζικών δεδομένων επικοινωνίας (bulk communications data) από τις υπηρεσίες ασφαλείας και πληροφοριών.
Το νομικό πλαίσιο
Το δίκαιο της Ένωσης
Η οδηγία 95/46
3 Η οδηγία 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 24ης Οκτωβρίου 1995, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών (ΕΕ 1995, L 281, σ. 31), καταργήθηκε, από τις 25 Μαΐου 2018, με τον κανονισμό (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (ΕΕ 2016, L 119, σ. 1). Το άρθρο 3 της ως άνω οδηγίας, με τίτλο «Πεδίο εφαρμογής», όριζε τα εξής:
«1. Οι διατάξεις της παρούσας οδηγίας εφαρμόζονται στην αυτοματοποιημένη, εν όλω ή εν μέρει, επεξεργασία δεδομένων προσωπικού χαρακτήρα καθώς και στη μη αυτοματοποιημένη επεξεργασία τέτοιων δεδομένων που περιλαμβάνονται ή πρόκειται να περιληφθούν σε αρχείο.
2. Οι διατάξεις της παρούσας οδηγίας δεν εφαρμόζονται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα:
– η οποία πραγματοποιείται στο πλαίσιο δραστηριοτήτων που δεν εμπίπτουν στο πεδίο εφαρμογής του κοινοτικού δικαίου, όπως οι δραστηριότητες που προβλέπονται στις διατάξεις των τίτλων V και VI [ΣΕΕ] και, εν πάση περιπτώσει, στην επεξεργασία δεδομένων που αφορά τη δημόσια ασφάλεια, την εθνική άμυνα, την ασφάλεια του κράτους (συμπεριλαμβανομένης και της οικονομικής ευημερίας του, εφόσον η επεξεργασία αυτή συνδέεται με θέματα ασφάλειας του κράτους) και τις δραστηριότητες του κράτους σε τομείς του ποινικού δικαίου,
– η οποία πραγματοποιείται από φυσικό πρόσωπο στο πλαίσιο αποκλειστικά προσωπικών ή οικιακών δραστηριοτήτων.»
Η οδηγία 2002/58
4 Οι αιτιολογικές σκέψεις 2, 6, 7, 11, 22, 26 και 30 της οδηγίας 2002/58 αναφέρουν τα εξής:
«(2) Επιδίωξη της παρούσας οδηγίας είναι να σεβαστεί τα θεμελιώδη δικαιώματα, τηρεί δε τις βασικές αρχές που αναγνωρίζονται ιδίως από τον [Χάρτη]. Συγκεκριμένα, η παρούσα οδηγία επιδιώκει να διασφαλισθεί η πλήρης τήρηση των δικαιωμάτων που προβλέπονται στα άρθρα 7 και 8 του χάρτη αυτού.
[…]
(6) Το Διαδίκτυο ανατρέπει τις παραδοσιακές δομές της αγοράς παρέχοντας ενιαία, παγκόσμια υποδομή για την παροχή ευρέος φάσματος υπηρεσιών ηλεκτρονικών επικοινωνιών. Οι διαθέσιμες στο κοινό υπηρεσίες επικοινωνιών στο Διαδίκτυο δημιουργούν νέες δυνατότητες για τους χρήστες αλλά και νέους κινδύνους για τα προσωπικά τους δεδομένα και την ιδιωτική τους ζωή.
(7) Στην περίπτωση των δημόσιων δικτύων επικοινωνίας, θα πρέπει να θεσπισθούν ειδικές νομοθετικές, κανονιστικές και τεχνικές διατάξεις προκειμένου να προστατευθούν τα θεμελιώδη δικαιώματα και οι ελευθερίες των φυσικών προσώπων, καθώς και τα έννομα συμφέροντα των νομικών προσώπων, ιδίως έναντι των αυξανομένων δυνατοτήτων αυτόματης αποθήκευσης και επεξεργασίας δεδομένων που αφορούν συνδρομητές και χρήστες.
[…]
(11) Η παρούσα οδηγία, όπως και η οδηγία [95/46], δεν υπεισέρχεται σε θέματα προστασίας των θεμελιωδών δικαιωμάτων και ελευθεριών που συνδέονται με δραστηριότητες οι οποίες δεν διέπονται από το [δίκαιο της Ένωσης]. Επομένως, δεν αλλάζει την υφιστάμενη ισορροπία ανάμεσα στο δικαίωμα του ατόμου στην ιδιωτική ζωή και τη δυνατότητα των κρατών μελών να θεσπίζουν μέτρα όπως αυτά που αναφέρονται στο άρθρο 15 παράγραφος 1 της παρούσας οδηγίας, εφόσον είναι αναγκαία για την προστασία της δημόσιας ασφάλειας, της εθνικής άμυνας, της ασφάλειας του κράτους (περιλαμβανομένης της οικονομικής ευημερίας του κράτους εφόσον οι δραστηριότητες συνδέονται με θέματα ασφάλειας του κράτους) και την εφαρμογή του ποινικού δικαίου. Ως εκ τούτου, η παρούσα οδηγία δεν θίγει τη δυνατότητα των κρατών μελών να προβαίνουν σε νόμιμη παρακολούθηση των ηλεκτρονικών επικοινωνιών ή να λαμβάνουν άλλα μέτρα, όταν αυτό είναι αναγκαίο, για οποιονδήποτε από τους προαναφερόμενους σκοπούς και σύμφωνα με την ευρωπαϊκή σύμβαση για την προάσπιση των δικαιωμάτων του ανθρώπου και των θεμελιωδών ελευθεριών, [που υπογράφηκε στη Ρώμη στις 4 Νοεμβρίου 1950,] όπως ερμηνεύθηκε από τις αποφάσεις του Ευρωπαϊκού Δικαστηρίου για τα Δικαιώματα του Ανθρώπου. Τα μέτρα αυτά πρέπει να είναι κατάλληλα, αυστηρώς ανάλογα των προς επίτευξη σκοπών και αναγκαία στα πλαίσια μιας δημοκρατικής κοινωνίας και θα πρέπει επίσης να υπόκεινται σε επαρκείς διασφαλίσεις σύμφωνα με την ευρωπαϊκή σύμβαση για την προάσπιση των δικαιωμάτων του ανθρώπου και των θεμελιωδών ελευθεριών.
[…]
(22) Η απαγόρευση της αποθήκευσης των επικοινωνιών από πρόσωπα άλλα πέραν των χρηστών ή χωρίς τη συγκατάθεσή τους δεν αποκλείει την τυχόν αυτόματη, ενδιάμεση και παροδική αποθήκευση των πληροφοριών εφόσον αυτή γίνεται με μοναδικό σκοπό την πραγματοποίηση της μετάδοσης στο ηλεκτρονικό δίκτυο επικοινωνιών και υπό την προϋπόθεση ότι οι πληροφορίες δεν φυλάσσονται για διάστημα μεγαλύτερο απ’ όσο απαιτείται για τη μετάδοση και για σκοπούς διαχείρισης της κίνησης, και ότι κατά τη διάρκεια της περιόδου αποθήκευσης διατηρούνται οι εγγυήσεις του απορρήτου. Όπου αυτό απαιτείται, για να μπορούν να διαβιβασθούν αποτελεσματικότερα σε άλλους παραλήπτες της υπηρεσίας πληροφορίες προσιτές στο κοινό κατόπιν αιτήσεώς τους, η παρούσα οδηγία δεν θα πρέπει να κωλύει την περαιτέρω φύλαξη των πληροφοριών αυτών, υπό την προϋπόθεση ότι αυτές θα είναι εν πάση περιπτώσει προσιτές στο κοινό χωρίς περιορισμό και ότι τα δεδομένα που τυχόν αφορούν τους συγκεκριμένους συνδρομητές ή χρήστες που ζητούν τέτοιες πληροφορίες απαλείφονται.
[…]
(26) Τα δεδομένα που αφορούν συνδρομητές και υποβάλλονται σε επεξεργασία σε δίκτυα ηλεκτρονικών επικοινωνιών για την αποκατάσταση συνδέσεων και για τη μετάδοση πληροφοριών περιέχουν πληροφορίες για την ιδιωτική ζωή φυσικών προσώπων, άπτονται δε του δικαιώματος σεβασμού της αλληλογραφίας τους ή των εννόμων συμφερόντων νομικών προσώπων. Τα δεδομένα αυτά επιτρέπεται να αποθηκεύονται μόνον εφόσον είναι απαραίτητο για την παροχή υπηρεσιών για τη χρέωση και την πληρωμή διασυνδέσεων και μόνο για περιορισμένο χρόνο. Κάθε άλλη επεξεργασία […] επιτρέπεται μόνον εφόσον συμφωνεί με αυτήν ο συνδρομητής, με βάση ακριβείς και πλήρεις πληροφορίες που παρέχει ο φορέας παροχής των διαθέσιμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών σχετικά με τα είδη περαιτέρω επεξεργασίας που σκοπεύει να διενεργήσει, καθώς και με το δικαίωμα του συνδρομητή να μην συναινεί ή να αποσύρει τη συναίνεσή του για την εν λόγω επεξεργασία. Δεδομένα κίνησης που χρησιμοποιούνται για εμπορική προώθηση υπηρεσιών επικοινωνιών ή για την παροχή υπηρεσιών προστιθέμενης αξίας θα πρέπει επίσης να εξαλείφονται ή να καθίστανται ανώνυμα […]
[…]
(30) Τα συστήματα για την παροχή ηλεκτρονικών επικοινωνιακών δικτύων και υπηρεσιών θα πρέπει να σχεδιάζονται έτσι ώστε να περιορίζουν την ποσότητα των απαιτούμενων δεδομένων προσωπικού χαρακτήρα στο ελάχιστο δυνατό. […]»
5 Το άρθρο 1 της οδηγίας 2002/58, που φέρει τον τίτλο «Πεδίο εφαρμογής και στόχος», ορίζει τα εξής:
«1. Η παρούσα οδηγία προβλέπει την εναρμόνιση των εθνικών διατάξεων οι οποίες απαιτούνται προκειμένου να διασφαλίζεται ισοδύναμο επίπεδο προστασίας των θεμελιωδών δικαιωμάτων και ελευθεριών, και ιδίως του δικαιώματος στην ιδιωτική ζωή και την εμπιστευτικότητα, όσον αφορά την επεξεργασία προσωπικών δεδομένων στον τομέα των ηλεκτρονικών επικοινωνιών, καθώς και να διασφαλίζεται η ελεύθερη κυκλοφορία των δεδομένων αυτών και των εξοπλισμών και υπηρεσιών ηλεκτρονικών επικοινωνιών στην [Ευρωπαϊκή Ένωση].
2. Οι διατάξεις της παρούσας οδηγίας εξειδικεύουν και συμπληρώνουν την οδηγία [95/46] για τους σκοπούς που αναφέρονται στην παράγραφο 1. Επιπλέον, οι εν λόγω διατάξεις παρέχουν προστασία των εννόμων συμφερόντων των συνδρομητών που είναι νομικά πρόσωπα.
3. Η παρούσα οδηγία δεν εφαρμόζεται σε δραστηριότητες οι οποίες δεν εμπίπτουν στο πεδίο εφαρμογής της [ΣΛΕΕ], όπως οι δραστηριότητες που καλύπτονται από τους τίτλους V και VI της συνθήκης για την Ευρωπαϊκή Ένωση, και σε κάθε περίπτωση στις δραστηριότητες που αφορούν τη δημόσια ασφάλεια, την εθνική άμυνα, την ασφάλεια του κράτους (συμπεριλαμβανομένης της οικονομικής ευημερίας του κράτους εφόσον οι δραστηριότητες συνδέονται με θέματα ασφάλειας του κράτους) και στις δραστηριότητες του κράτους σε τομείς του ποινικού δικαίου.»
6 Κατά το άρθρο 2 της οδηγίας αυτής, το οποίο φέρει τον τίτλο «Ορισμοί»:
«Εκτός αν άλλως ορίζεται, [για τους σκοπούς της παρούσας οδηγίας] ισχύουν οι ορισμοί που περιλαμβάνονται στην οδηγία [95/46] και την οδηγία 2002/21/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 7ης Μαρτίου 2002, σχετικά με κοινό κανονιστικό πλαίσιο για δίκτυα και υπηρεσίες ηλεκτρονικών επικοινωνιών (οδηγία πλαίσιο) [(ΕΕ 2002, L 108, σ. 33)].
Επίσης, ισχύουν και οι ακόλουθοι ορισμοί, βάσει των οποίων νοούνται ως:
α) “χρήστης”, κάθε φυσικό πρόσωπο που χρησιμοποιεί διαθέσιμη στο κοινό υπηρεσία ηλεκτρονικών επικοινωνιών, για προσωπικούς ή επαγγελματικούς σκοπούς, χωρίς να είναι απαραίτητα συνδρομητής της εν λόγω υπηρεσίας·
β) “δεδομένα κίνησης”, τα δεδομένα που υποβάλλονται σε επεξεργασία για τους σκοπούς της διαβίβασης μιας επικοινωνίας σε δίκτυο ηλεκτρονικών επικοινωνιών ή της χρέωσής της·
γ) “δεδομένα θέσης”, τα δεδομένα που υποβάλλονται σε επεξεργασία σε δίκτυο ηλεκτρονικών επικοινωνιών ή από υπηρεσία ηλεκτρονικών επικοινωνιών και που υποδεικνύουν τη γεωγραφική θέση του τερματικού εξοπλισμού του χρήστη μιας διαθέσιμης στο κοινό υπηρεσίας ηλεκτρονικών επικοινωνιών·
δ) “επικοινωνία”, κάθε πληροφορία που ανταλλάσσεται ή διαβιβάζεται μεταξύ ενός πεπερασμένου αριθμού μερών, μέσω μιας διαθέσιμης στο κοινό υπηρεσίας ηλεκτρονικών επικοινωνιών. Δεν περιλαμβάνονται πληροφορίες που διαβιβάζονται ως τμήμα ραδιοτηλεοπτικών υπηρεσιών στο κοινό μέσω δικτύου ηλεκτρονικών επικοινωνιών, εκτός από τις περιπτώσεις κατά τις οποίες οι πληροφορίες μπορούν να αφορούν αναγνωρίσιμο συνδρομητή ή χρήστη που τις λαμβάνει.
[…]»
7 Το άρθρο 3 της οδηγίας 2002/58, που φέρει τον τίτλο «Σχετικές υπηρεσίες», προβλέπει τα εξής:
«Η παρούσα οδηγία εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα στο πλαίσιο της παροχής διαθέσιμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών σε δημόσια δίκτυα επικοινωνιών στην [Ένωση], περιλαμβανομένων των δημοσίων δικτύων επικοινωνιών που υποστηρίζουν συσκευές συλλογής δεδομένων και ταυτοποίησης.»
8 Το άρθρο 5 της οδηγίας 2002/58, με τίτλο «Απόρρητο των επικοινωνιών», έχει ως εξής:
«1. Τα κράτη μέλη κατοχυρώνουν, μέσω της εθνικής νομοθεσίας, το απόρρητο των επικοινωνιών που διενεργούνται μέσω δημόσιου δικτύου επικοινωνιών και των διαθέσιμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών, καθώς και των συναφών δεδομένων κίνησης. Ειδικότερα, απαγορεύουν την ακρόαση, υποκλοπή, αποθήκευση ή άλλο είδος παρακολούθησης ή επιτήρησης των επικοινωνιών και των συναφών δεδομένων κίνησης από πρόσωπα πλην των χρηστών, χωρίς τη συγκατάθεση των ενδιαφερομένων χρηστών, εκτός αν υπάρχει σχετική νόμιμη άδεια, σύμφωνα με το άρθρο 15 παράγραφος 1. Η παρούσα παράγραφος δεν εμποδίζει την τεχνική αποθήκευση, η οποία είναι αναγκαία για τη διαβίβαση επικοινωνίας, με την επιφύλαξη της αρχής του απορρήτου.
[…]
3. Τα κράτη μέλη μεριμνούν ώστε η αποθήκευση πληροφοριών ή η απόκτηση πρόσβασης σε ήδη αποθηκευμένες πληροφορίες στον τερματικό εξοπλισμό συνδρομητή ή χρήστη [να] επιτρέπεται μόνον εάν ο συγκεκριμένος συνδρομητής ή χρήστης έχει δώσει τη συγκατάθεσή του με βάση σαφείς και εκτενείς πληροφορίες σύμφωνα με την οδηγία [95/46], μεταξύ άλλων για το σκοπό της επεξεργασίας. Τούτο δεν εμποδίζει οιαδήποτε τεχνικής φύσεως αποθήκευση ή πρόσβαση, αποκλειστικός σκοπός της οποίας είναι η διενέργεια της διαβίβασης μιας επικοινωνίας μέσω δικτύου ηλεκτρονικών επικοινωνιών ή που είναι απολύτως αναγκαία για να μπορεί ο πάροχος υπηρεσίας της κοινωνίας της πληροφορίας την οποία έχει ζητήσει ρητά ο συνδρομητής ή ο χρήστης να παρέχει τη συγκεκριμένη υπηρεσία.»
9 Το άρθρο 6 της οδηγίας 2002/58, που φέρει τον τίτλο «Δεδομένα κίνησης», ορίζει τα εξής:
«1. Τα δεδομένα κίνησης που αφορούν συνδρομητές και χρήστες, τα οποία υποβάλλονται σε επεξεργασία και αποθηκεύονται από τον πάροχο δημόσιου δικτύου ή διαθέσιμης στο κοινό υπηρεσίας ηλεκτρονικών επικοινωνιών, πρέπει να απαλείφονται ή να καθίστανται ανώνυμα όταν δεν είναι πλέον απαραίτητα για το σκοπό της μετάδοσης μιας επικοινωνίας, με την επιφύλαξη των παραγράφων 2, 3 και 5 του παρόντος άρθρου και του άρθρου 15 παράγραφος 1.
2. Τα δεδομένα κίνησης που είναι απαραίτητα για τη χρέωση των συνδρομητών και την πληρωμή των διασυνδέσεων μπορούν να υποβάλλονται σε επεξεργασία. Η επεξεργασία αυτή επιτρέπεται μόνον έως το τέλος της χρονικής περιόδου εντός της οποίας δύναται να αμφισβητείται νομίμως ο λογαριασμός ή να επιδιώκεται η πληρωμή.
3. Για την εμπορική προώθηση των υπηρεσιών ηλεκτρονικών επικοινωνιών ή για την παροχή υπηρεσιών προστιθέμενης αξίας, ο πάροχος διαθέσιμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών μπορεί να επεξεργάζεται τα δεδομένα που αναφέρονται στην παράγραφο 1 στην απαιτούμενη έκταση και για την απαιτούμενη διάρκεια για αυτή την υπηρεσία ή την εμπορική προώθηση, εφόσον ο συνδρομητής ή ο χρήστης τον οποίο αφορούν δίδει προηγουμένως τη συγκατάθεσή του. Στους χρήστες ή συνδρομητές πρέπει να δίνεται η δυνατότητα να ανακαλούν οποτεδήποτε τη συγκατάθεσή τους για την επεξεργασία των δεδομένων κίνησης.
[…]
5. Η επεξεργασία των δεδομένων κίνησης, σύμφωνα με τις παραγράφους 1, 2, 3 και 4, πρέπει να περιορίζεται σε πρόσωπα τα οποία ενεργούν υπό την εποπτεία του φορέα παροχής του δημοσίου δικτύου και της διαθέσιμης στο κοινό υπηρεσίας ηλεκτρονικών επικοινωνιών και ασχολούνται με τη διαχείριση της χρέωσης ή της κίνησης, τις απαντήσεις σε ερωτήσεις πελατών, την ανίχνευση της απάτης, την εμπορική προώθηση των υπηρεσιών ηλεκτρονικών επικοινωνιών ή την παροχή υπηρεσίας προστιθέμενης αξίας, και πρέπει να περιορίζεται στα απολύτως αναγκαία για την εξυπηρέτηση των σκοπών αυτών.»
10 Το άρθρο 9 της εν λόγω οδηγίας, το οποίο φέρει τον τίτλο «Δεδομένα θέσης εκτός των δεδομένων κίνησης», ορίζει στην παράγραφο 1 τα εξής:
«Στις περιπτώσεις όπου δεδομένα θέσης εκτός των δεδομένων κίνησης, που αφορούν τους χρήστες ή συνδρομητές δικτύων ή διαθέσιμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών, είναι δυνατό να υποστούν επεξεργασία, η επεξεργασία αυτή επιτρέπεται μόνον όταν αυτά καθίστανται ανώνυμα ή με τη ρητή συγκατάθεση των χρηστών ή συνδρομητών στην απαιτούμενη έκταση και για την απαιτούμενη διάρκεια για την παροχή μιας υπηρεσίας προστιθέμενης αξίας. Ο φορέας παροχής υπηρεσιών είναι υποχρεωμένος να ενημερώνει τους χρήστες ή συνδρομητές, προτού δώσουν τη συγκατάθεσή τους, σχετικά με τον τύπο των δεδομένων θέσης εκτός των δεδομένων [κίνησης] που υποβάλλονται σε επεξεργασία, τους σκοπούς και τη διάρκεια της εν λόγω επεξεργασίας, καθώς και το ενδεχόμενο μετάδοσής τους σε τρίτους για το σκοπό παροχής της υπηρεσίας προστιθέμενης αξίας. […]»
11 Το άρθρο 15 της εν λόγω οδηγίας, που φέρει τον τίτλο «Εφαρμογή ορισμένων διατάξεων της οδηγίας [95/46]», προβλέπει στην παράγραφο 1 τα εξής:
«Τα κράτη μέλη δύνανται να λαμβάνουν νομοθετικά μέτρα για να περιορίζουν τα δικαιώματα και τις υποχρεώσεις που προβλέπονται στα άρθρα 5 και 6, στο άρθρο 8 παράγραφοι 1 έως 4 και στο άρθρο 9 της παρούσας οδηγίας, εφόσον ο περιορισμός αυτός αποτελεί αναγκαίο, κατάλληλο και ανάλογο μέτρο σε μια δημοκρατική κοινωνία για τη διαφύλαξη της εθνικής ασφάλειας (δηλαδή της ασφάλειας του κράτους), της εθνικής άμυνας, της δημόσιας ασφάλειας, και για την πρόληψη, διερεύνηση, διαπίστωση και δίωξη ποινικών αδικημάτων ή της άνευ αδείας χρησιμοποίησης του συστήματος ηλεκτρονικών επικοινωνιών, όπως προβλέπεται στο άρθρο 13 παράγραφος 1 της οδηγίας [95/46]. Για το σκοπό αυτό, τα κράτη μέλη δύνανται, μεταξύ άλλων, να λαμβάνουν νομοθετικά μέτρα που θα προβλέπουν τη [διατήρηση] δεδομένων για ορισμένο χρονικό διάστημα για τους λόγους που αναφέρονται στην παρούσα παράγραφο. Όλα τα μέτρα που προβλέπονται στην παρούσα παράγραφο είναι σύμφωνα με τις γενικές αρχές του [δικαίου της Ένωσης], συμπεριλαμβανομένων αυτών που αναφέρονται στο άρθρο 6 παράγραφοι 1 και 2 της συνθήκης για την Ευρωπαϊκή Ένωση.»
O κανονισμός 2016/679
12 Το άρθρο 2 του κανονισμού 2016/679 προβλέπει τα εξής:
«1. Ο παρών κανονισμός εφαρμόζεται στην, εν όλω ή εν μέρει, αυτοματοποιημένη επεξεργασία δεδομένων προσωπικού χαρακτήρα, καθώς και στη μη αυτοματοποιημένη επεξεργασία τέτοιων δεδομένων τα οποία περιλαμβάνονται ή πρόκειται να περιληφθούν σε σύστημα αρχειοθέτησης.
2. Ο παρών κανονισμός δεν εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα:
α) στο πλαίσιο δραστηριότητας η οποία δεν εμπίπτει στο πεδίο εφαρμογής του δικαίου της Ένωσης,
β) από τα κράτη μέλη κατά την άσκηση δραστηριοτήτων που εμπίπτουν στο πεδίο εφαρμογής του κεφαλαίου 2 του τίτλου V της ΣΕΕ,
[…]
δ) από αρμόδιες αρχές για τους σκοπούς της πρόληψης, της διερεύνησης, της ανίχνευσης ή της δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων, συμπεριλαμβανομένης της προστασίας και πρόληψης έναντι κινδύνων που απειλούν τη δημόσια ασφάλεια.
[…]»
13 Το άρθρο 4 του κανονισμού αυτού προβλέπει τα εξής:
«Για τους σκοπούς του παρόντος κανονισμού νοούνται ως:
[…]
2) “επεξεργασία”: κάθε πράξη ή σειρά πράξεων που πραγματοποιείται με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, σε δεδομένα προσωπικού χαρακτήρα ή σε σύνολα δεδομένων προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώριση, η οργάνωση, η διάρθρωση, η αποθήκευση, η προσαρμογή ή η μεταβολή, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η κοινολόγηση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης, η συσχέτιση ή ο συνδυασμός, ο περιορισμός, η διαγραφή ή η καταστροφή,
[…]».
14 Κατά το άρθρο 23, παράγραφος 1, του ίδιου κανονισμού:
«Το δίκαιο της Ένωσης ή του κράτους μέλους στο οποίο υπόκειται ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία των δεδομένων μπορεί να περιορίζει μέσω νομοθετικού μέτρου το πεδίο εφαρμογής των υποχρεώσεων και των δικαιωμάτων που προβλέπονται στα άρθρα 12 έως 22 και στο άρθρο 34, καθώς και στο άρθρο 5, εφόσον οι διατάξεις του αντιστοιχούν στα δικαιώματα και τις υποχρεώσεις που προβλέπονται στα άρθρα 12 έως 22, όταν ένας τέτοιος περιορισμός σέβεται την ουσία των θεμελιωδών δικαιωμάτων και ελευθεριών και συνιστά αναγκαίο και αναλογικό μέτρο σε μια δημοκρατική κοινωνία για τη διασφάλιση:
α) της ασφάλειας του κράτους,
β) της εθνικής άμυνας,
γ) της δημόσιας ασφάλειας,
δ) της πρόληψης, της διερεύνησης, της ανίχνευσης ή της δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων, περιλαμβανομένης της προστασίας από απειλές κατά της δημόσιας ασφάλειας και της πρόληψης αυτών,
ε) άλλων σημαντικών στόχων γενικού δημόσιου συμφέροντος της Ένωσης ή κράτους μέλους, ιδίως σημαντικού οικονομικού ή χρηματοοικονομικού συμφέροντος της Ένωσης ή κράτους μέλους, συμπεριλαμβανομένων των νομισματικών, δημοσιονομικών και φορολογικών θεμάτων, της δημόσιας υγείας και της κοινωνικής ασφάλισης,
στ) της προστασίας της ανεξαρτησίας της δικαιοσύνης και των δικαστικών διαδικασιών,
ζ) της πρόληψης, της διερεύνησης, της ανίχνευσης και της δίωξης παραβάσεων δεοντολογίας σε νομοθετικά κατοχυρωμένα επαγγέλματα,
η) της παρακολούθησης, της επιθεώρησης ή της κανονιστικής λειτουργίας που συνδέεται, έστω περιστασιακά, με την άσκηση δημόσιας εξουσίας στις περιπτώσεις που αναφέρονται στα στοιχεία α) έως ε) και ζ),
θ) της προστασίας του υποκειμένου των δεδομένων ή των δικαιωμάτων και των ελευθεριών τρίτων,
ι) της εκτέλεσης αστικών αξιώσεων.»
15 Κατά το άρθρο 94, παράγραφος 2, του κανονισμού 2016/679:
«Οι παραπομπές στην καταργούμενη οδηγία θεωρούνται παραπομπές στον παρόντα κανονισμό. Οι παραπομπές στην ομάδα προστασίας των προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, που συστάθηκε με το άρθρο 29 της οδηγίας [95/46/], θεωρούνται παραπομπές στο Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων που συστήνεται με τον παρόντα κανονισμό.»
Το δίκαιο του Ηνωμένου Βασιλείου
16 Το άρθρο 94 του Telecommunications Act 1984 (νόμου περί τηλεπικοινωνιών του 1984), όπως ίσχυε κατά τον χρόνο των πραγματικών περιστατικών της κύριας δίκης (στο εξής: νόμος του 1984), τιτλοφορείται «Οδηγίες προς το συμφέρον της εθνικής ασφάλειας κ.λπ.» και ορίζει τα εξής:
«(1) Ο Υπουργός δύναται, κατόπιν διαβούλευσης με πρόσωπο επί του οποίου έχει εφαρμογή το παρόν άρθρο, να δίδει στο πρόσωπο αυτό γενικές εντολές στο μέτρο που κρίνει ότι τούτο είναι αναγκαίο προς το συμφέρον της εθνικής ασφάλειας ή των σχέσεων με την κυβέρνηση χώρας ή εδαφικής περιοχής ευρισκόμενης εκτός του Ηνωμένου Βασιλείου.
(2) Αν ο Υπουργός κρίνει αναγκαίο να ενεργήσει κατ’ αυτόν τον τρόπο προς το συμφέρον της εθνικής ασφάλειας ή των σχέσεων με την κυβέρνηση χώρας ή εδαφικής περιοχής ευρισκόμενης εκτός του Ηνωμένου Βασιλείου, μπορεί, κατόπιν διαβούλευσης με πρόσωπο επί του οποίου έχει εφαρμογή το παρόν άρθρο, να δίδει εντολές στο πρόσωπο αυτό, ζητώντας του (ανάλογα με τις περιστάσεις της συγκεκριμένης περίπτωσης) να εκτελέσει ή να μην εκτελέσει συγκεκριμένη ενέργεια που προσδιορίζεται στις εντολές.
(2Α) Ο Υπουργός μπορεί να δίδει εντολές βάσει της παραγράφου (1) ή (2) μόνον αν εκτιμά ότι η συμπεριφορά την οποία απαιτούν οι οδηγίες είναι ανάλογη προς τον επιδιωκόμενο με τη συμπεριφορά αυτή σκοπό.
(3) Το πρόσωπο επί του οποίου έχει εφαρμογή το παρόν άρθρο πρέπει να εφαρμόζει όλες τις εντολές που του δίδονται από τον Υπουργό βάσει του παρόντος άρθρου, ανεξάρτητα από οποιαδήποτε άλλη υποχρέωση υπέχει από το μέρος 1 ή το μέρος 2, κεφάλαιο 1, του Communications Act 2003 [νόμου του 2003 περί επικοινωνιών] και, σε περίπτωση εντολών απευθυνόμενων προς τον φορέα παροχής δημοσίου δικτύου ηλεκτρονικών επικοινωνιών, ακόμη και αν οι εντολές αυτές ισχύουν γι’ αυτόν βάσει ιδιότητας διαφορετικής από εκείνη του φορέα παροχής πρόσβασης σε τέτοιο δίκτυο.
(4) Ο Υπουργός καταθέτει σε καθένα από τα σώματα του Κοινοβουλίου αντίγραφο όλων των εντολών που δίδονται δυνάμει του παρόντος άρθρου, εκτός εάν εκτιμά ότι η κοινολόγηση των εν λόγω εντολών είναι αντίθετη προς τα συμφέροντα της εθνικής ασφάλειας ή των σχέσεων με την κυβέρνηση χώρας ή εδαφικής περιοχής ευρισκόμενης εκτός του Ηνωμένου Βασιλείου ή προς τα εμπορικά συμφέροντα ενός προσώπου.
(5) Ένα πρόσωπο δεν πρέπει να κοινολογεί ούτε μπορεί να υποχρεωθεί να κοινολογήσει, δυνάμει οποιουδήποτε νόμου, πληροφορία σχετική με μέτρα που έχουν ληφθεί σύμφωνα με το παρόν άρθρο, αν ο Υπουργός του έχει γνωστοποιήσει ότι η κοινολόγηση των πληροφοριών αυτών είναι αντίθετη προς τα συμφέροντα της εθνικής ασφάλειας ή των σχέσεων με την κυβέρνηση χώρας ή εδαφικής περιοχής ευρισκόμενης εκτός του Ηνωμένου Βασιλείου ή προς τα εμπορικά συμφέροντα ενός προσώπου.
[…]
(8) Το παρόν άρθρο εφαρμόζεται στο [Office of communications (Αρχή για τις επικοινωνίες) (OFCOM)] και στους φορείς παροχής δημοσίων δικτύων ηλεκτρονικών επικοινωνιών.»
17 Το άρθρο 21, παράγραφοι 4 και 6, του Regulation of Investigatory Powers Act 2000 (νόμου του 2000 περί ρυθμίσεως των εξουσιών για διενέργεια ερευνών, στο εξής: RIPA) ορίζει τα εξής:
«(4) [M]ε τον όρο ‟δεδομένα σχετικά με επικοινωνίες” νοείται οποιαδήποτε από τις ακόλουθες έννοιες:
(a) κάθε είδους δεδομένα κίνησης που περιλαμβάνονται σε ή συναρτώνται με μια επικοινωνία (είτε από τον αποστολέα είτε με άλλο τρόπο) για τους σκοπούς οιασδήποτε ταχυδρομικής υπηρεσίας ή συστήματος τηλεπικοινωνιών διά του οποίου αυτή διαβιβάζεται ή μπορεί να διαβιβαστεί,
(b) οποιαδήποτε πληροφορία που δεν περιλαμβάνει κανένα από τα στοιχεία του περιεχομένου μιας επικοινωνίας (εκτός των πληροφοριών που εμπίπτουν στο στοιχείο a και αφορά τη χρήση εκ μέρους οιουδήποτε προσώπου:
(i) οιασδήποτε ταχυδρομικής υπηρεσίας ή υπηρεσίας τηλεπικοινωνιών, ή
(ii) σε σχέση με την παροχή προς ή την χρήση από οποιοδήποτε πρόσωπο οιασδήποτε υπηρεσίας τηλεπικοινωνιών, οιουδήποτε μέρους ενός τηλεπικοινωνιακού συστήματος·
(c) οποιαδήποτε πληροφορία μη εμπίπτουσα στο στοιχείο a ή στο στοιχείο b η οποία διατηρείται ή λαμβάνεται από πρόσωπο παρέχον ταχυδρομική ή τηλεπικοινωνιακή υπηρεσία και αφορά πρόσωπα στα οποία το πρόσωπο αυτό παρέχει την υπηρεσία.
[…]
(6) [Ο] όρος “δεδομένα κίνησης”, σε σχέση με οιαδήποτε επικοινωνία, περιλαμβάνει:
(a) κάθε είδους δεδομένα βάσει τον οποίων προσδιορίζεται, ή μπορεί να προσδιοριστεί, κάθε πρόσωπο, εξοπλισμός ή τοποθεσία προς ή από τα οποία συντελείται, ή μπορεί να συντελεστεί, η μετάδοση μιας επικοινωνίας·
(b) κάθε είδους δεδομένα βάσει των οποίων προσδιορίζεται ή απομονώνεται, ή μπορεί να προσδιοριστεί ή να απομονωθεί, ο εξοπλισμός διά του οποίου συντελείται, ή μπορεί να συντελεστεί, η μετάδοση μιας επικοινωνίας·
(c) κάθε είδους δεδομένα τα οποία περιλαμβάνουν σήματα σχετικά με τη θέση σε λειτουργία συσκευής η οποία χρησιμοποιείται στο πλαίσιο συστήματος τηλεπικοινωνιών για τους σκοπούς της μετάδοσης οιασδήποτε επικοινωνίας· και
(d) κάθε είδους δεδομένα βάσει των οποίων προσδιορίζονται τα δεδομένα που περιλαμβάνονται σε ή συναρτώνται με μια επικοινωνία ή άλλα δεδομένα ως δεδομένα τα οποία περιλαμβάνονται σε ή συναρτώνται με μια επικοινωνία.
[…]»
18 Τα άρθρα 65 έως 69 του RIPA καθορίζουν τους κανόνες σχετικά με τη λειτουργία και τις αρμοδιότητες του Investigatory Powers Tribunal (ειδικού δικαιοδοτικού οργάνου προστασίας των δεδομένων και της ιδιωτικής ζωής, Ηνωμένο Βασίλειο). Σύμφωνα με το άρθρο 65 του νόμου αυτού, καταγγελίες μπορούν να υποβάλλονται ενώπιον του εν λόγω ειδικού δικαιοδοτικού οργάνου εφόσον υπάρχει λόγος να θεωρηθεί ότι έλαβε χώρα αθέμιτη λήψη δεδομένων.
Η διαφορά της κύριας δίκης και τα προδικαστικά ερωτήματα
19 Στις αρχές του 2015 δημοσιοποιήθηκε, μεταξύ άλλων σε έκθεση της Intelligence and Security Committee of Parliament (επιτροπής πληροφοριών και ασφάλειας του Κοινοβουλίου, Ηνωμένο Βασίλειο), η ύπαρξη πρακτικών συλλογής και χρήσης μαζικών δεδομένων επικοινωνίας από τις υπηρεσίες ασφαλείας και πληροφοριών του Ηνωμένου Βασιλείου, ήτοι του GCHQ, της MI5 και της MI6. Στις 5 Ιουνίου 2015 η μη κυβερνητική οργάνωση Privacy International άσκησε ενώπιον του Investigatory Powers Tribunal (ειδικού δικαιοδοτικού οργάνου προστασίας των δεδομένων και της ιδιωτικής ζωής) προσφυγή κατά του Υπουργού Εξωτερικών και Κοινοπολιτείας, του Υπουργού Εσωτερικών καθώς και των ως άνω υπηρεσιών ασφαλείας και πληροφοριών, αμφισβητώντας τη νομιμότητα των πρακτικών αυτών.
20 Το αιτούν δικαστήριο εξέτασε τη νομιμότητα των εν λόγω πρακτικών υπό το πρίσμα, καταρχάς, του εσωτερικού δικαίου και των διατάξεων της Ευρωπαϊκής Σύμβασης για την Προάσπιση των Δικαιωμάτων του Ανθρώπου και των Θεμελιωδών Ελευθεριών, η οποία υπογράφηκε στη Ρώμη στις 4 Νοεμβρίου 1950 (στο εξής: ΕΣΔΑ), και, στη συνέχεια, του δικαίου της Ένωσης. Με απόφαση της 17ης Οκτωβρίου 2016, το δικαστήριο αυτό διαπίστωσε ότι οι καθών της κύριας δίκης αναγνώρισαν ότι οι προαναφερθείσες υπηρεσίες ασφαλείας και πληροφοριών συλλέγουν και χρησιμοποιούν, στο πλαίσιο των δραστηριοτήτων τους, σύνολα δεδομένων που αφορούν ιδιώτες και εμπίπτουν σε διάφορες κατηγορίες (bulk personal data), όπως βιογραφικά στοιχεία ή στοιχεία σχετικά με ταξίδια, πληροφορίες χρηματοοικονομικής ή εμπορικής φύσεως, δεδομένα σχετικά με επικοινωνίες που μπορούν να περιέχουν ευαίσθητα δεδομένα καλυπτόμενα από το επαγγελματικό απόρρητο, ή ακόμη και δημοσιογραφικό υλικό. Τα δεδομένα αυτά, τα οποία περιέρχονται στη διάθεση των οικείων υπηρεσιών με διάφορες μεθόδους, ενδεχομένως απόρρητες, αναλύονται μέσω διασταύρωσης καθώς και με αυτοματοποιημένη επεξεργασία, μπορούν δε να κοινολογηθούν σε άλλα πρόσωπα και αρχές και να γνωστοποιηθούν σε αλλοδαπούς εταίρους. Στο πλαίσιο αυτό, οι υπηρεσίες ασφαλείας και πληροφοριών χρησιμοποιούν επίσης μαζικά δεδομένα επικοινωνίας, τα οποία συλλέγονται από τους παρόχους δημοσίων δικτύων ηλεκτρονικών επικοινωνιών δυνάμει, μεταξύ άλλων, υπουργικών εντολών εκδιδόμενων βάσει του άρθρου 94 του νόμου του 1984. Το GCHQ και η MI5 ενεργούν κατ’ αυτόν τον τρόπο από το 2001 και το 2005 αντιστοίχως.
21 Το αιτούν δικαστήριο έκρινε ότι τα εν λόγω μέτρα συλλογής και χρήσης δεδομένων είναι σύμφωνα με το εσωτερικό δίκαιο και, από το 2015, υπό την επιφύλαξη ζητημάτων που δεν έχουν ακόμη εξεταστεί και αφορούν την αναλογικότητα των εν λόγω μέτρων και τη διαβίβαση δεδομένων σε τρίτους, με το άρθρο 8 της ΕΣΔΑ. Ως προς το τελευταίο αυτό ζήτημα, το αιτούν δικαστήριο διευκρίνισε ότι προσκομίστηκαν ενώπιόν του αποδεικτικά στοιχεία σχετικά με τις εφαρμοστέες εγγυήσεις, ιδίως όσον αφορά τις διαδικασίες πρόσβασης και κοινολόγησης εκτός των υπηρεσιών ασφαλείας και πληροφοριών, τους όρους διατήρησης των δεδομένων και την ύπαρξη ανεξάρτητων ελέγχων.
22 Όσον αφορά τη νομιμότητα των επίμαχων στην κύρια δίκη μέτρων συλλογής και χρήσης υπό το πρίσμα του δικαίου της Ένωσης, το αιτούν δικαστήριο εξέτασε, με απόφαση της 8ης Σεπτεμβρίου 2017, κατά πόσον τα μέτρα αυτά εμπίπτουν στο πεδίο εφαρμογής του δικαίου αυτού και, σε περίπτωση καταφατικής απάντησης, κατά πόσον είναι συμβατά με αυτό. Το δικαστήριο αυτό διαπίστωσε, όσον αφορά τα μαζικά δεδομένα επικοινωνίας, ότι, δυνάμει του άρθρου 94 του νόμου του 1984, οι πάροχοι δικτύων ηλεκτρονικών επικοινωνιών υποχρεούνται, σε περίπτωση που δίδεται σχετική εντολή από Υπουργό, να παρέχουν στις υπηρεσίες ασφαλείας και πληροφοριών τα δεδομένα που συλλέγονται στο πλαίσιο της οικονομικής τους δραστηριότητας η οποία εμπίπτει στο δίκαιο της Ένωσης. Αντιθέτως, τούτο δεν ισχύει για τη συλλογή των λοιπών δεδομένων που αποκτούν οι υπηρεσίες αυτές χωρίς να καταφεύγουν στην άσκηση τέτοιων δεσμευτικών εξουσιών. Βάσει της διαπίστωσης αυτής, το εν λόγω δικαστήριο έκρινε αναγκαίο να υποβάλει αίτηση προδικαστικής αποφάσεως στο Δικαστήριο προκειμένου να καθοριστεί αν ένα καθεστώς όπως αυτό που απορρέει από το εν λόγω άρθρο 94 εμπίπτει στο δίκαιο της Ένωσης και, σε περίπτωση καταφατικής απάντησης, αν και με ποιον τρόπο έχουν εφαρμογή στο καθεστώς αυτό οι απαιτήσεις που θέτει η νομολογία η οποία διαμορφώθηκε με την απόφαση της 21ης Δεκεμβρίου 2016, Tele2 Sverige και Watson κ.λπ. (C‑203/15 και C‑698/15, EU:C:2016:970, στο εξής: απόφαση Tele2).
23 Συναφώς, στην αίτηση προδικαστικής αποφάσεως, το αιτούν δικαστήριο επισημαίνει ότι, κατά το εν λόγω άρθρο 94, ένας υπουργός μπορεί να δίνει στους παρόχους υπηρεσιών ηλεκτρονικών επικοινωνιών τις γενικές ή ειδικές εντολές που θεωρεί αναγκαίες προς το συμφέρον της εθνικής ασφάλειας ή των σχέσεων με αλλοδαπή κυβέρνηση. Παραπέμποντας στους ορισμούς του άρθρου 21, παράγραφοι 4 και 6, του RIPA, το αιτούν δικαστήριο διευκρινίζει ότι τα οικεία δεδομένα περιλαμβάνουν τα δεδομένα κίνησης καθώς και τις πληροφορίες σχετικά με τις χρησιμοποιούμενες υπηρεσίες, κατά την έννοια της τελευταίας αυτής διάταξης, εξαιρουμένου μόνον του περιεχομένου των επικοινωνιών. Τα εν λόγω δεδομένα και πληροφορίες παρέχουν, μεταξύ άλλων, τη δυνατότητα να καταστεί γνωστό το «πού, πότε και πώς» μιας επικοινωνίας. Τα εν λόγω δεδομένα διαβιβάζονται στις υπηρεσίες ασφαλείας και πληροφοριών και διατηρούνται από αυτές για τις δραστηριότητές τους.
24 Κατά το εν λόγω δικαστήριο, το επίμαχο στην κύρια δίκη καθεστώς διαφέρει από εκείνο του Data Retention and Investigatory Powers Act 2014 (νόμου του 2014 για τη διατήρηση των δεδομένων και τις εξουσίες έρευνας), επίμαχο στην υπόθεση επί της οποίας εκδόθηκε η απόφαση της 21ης Δεκεμβρίου 2016, Tele2 (C‑203/15 και C‑698/15, EU:C:2016:970), δεδομένου ότι το δεύτερο καθεστώς προέβλεπε τη διατήρηση των δεδομένων από τους παρόχους υπηρεσιών ηλεκτρονικών επικοινωνιών και τη θέση τους στη διάθεση όχι μόνον των υπηρεσιών ασφαλείας και πληροφοριών, προς το συμφέρον της εθνικής ασφάλειας, αλλά και άλλων δημοσίων αρχών, αναλόγως των αναγκών τους. Επιπλέον, η απόφαση αυτή αφορούσε ποινική έρευνα και όχι την εθνική ασφάλεια.
25 Το αιτούν δικαστήριο προσθέτει ότι οι βάσεις δεδομένων που δημιουργούν οι υπηρεσίες ασφαλείας και πληροφοριών υπόκεινται σε μαζική και αυτοματοποιημένη –μη εξειδικευμένη– επεξεργασία, με σκοπό να αποκαλυφθεί η ύπαρξη ενδεχόμενων άγνωστων απειλών. Προς τούτο, το αιτούν δικαστήριο εκθέτει ότι τα σύνολα μεταδεδομένων που δημιουργούνται κατ’ αυτόν τον τρόπο πρέπει να είναι όσο το δυνατόν πληρέστερα, ώστε να υπάρχουν τα «άχυρα» και να μπορεί να βρεθεί ο «ψύλλος» που κρύβεται μέσα σε αυτά. Όσον αφορά τη χρησιμότητα της συλλογής μαζικών δεδομένων από τις εν λόγω υπηρεσίες και των τεχνικών πρόσβασης στα δεδομένα αυτά, το εν λόγω δικαστήριο παραπέμπει ειδικότερα στα πορίσματα της έκθεσης που συνέταξε στις 19 Αυγούστου 2016 ο David Anderson, QC, τότε United Kingdom Independent Reviewer of Terrorism Legism Legislation (ανεξάρτητος ελεγκτής της αντιτρομοκρατικής νομοθεσίας του Ηνωμένου Βασιλείου), ο οποίος στηρίχθηκε, για την κατάρτιση της έκθεσης αυτής, σε έρευνα διενεργηθείσα από ομάδα ειδικών στη συλλογή πληροφοριών και σε μαρτυρίες υπαλλήλων των υπηρεσιών ασφαλείας και πληροφοριών.
26 Το αιτούν δικαστήριο διευκρινίζει επίσης ότι, κατά την Privacy International, το επίμαχο στην κύρια δίκη καθεστώς είναι παράνομο υπό το πρίσμα του δικαίου της Ένωσης, ενώ οι καθών της κύριας δίκης εκτιμούν ότι η προβλεπόμενη από το καθεστώς αυτό υποχρέωση διαβίβασης δεδομένων, η πρόσβαση στα δεδομένα αυτά καθώς και η χρήση τους δεν εμπίπτουν στις αρμοδιότητες της Ένωσης, σύμφωνα, μεταξύ άλλων, με το άρθρο 4, παράγραφος 2, ΣΕΕ, κατά το οποίο η εθνική ασφάλεια εξακολουθεί να εμπίπτει στην αποκλειστική ευθύνη κάθε κράτους μέλους.
27 Συναφώς, το αιτούν δικαστήριο, στηριζόμενο στην απόφαση της 30ής Μαΐου 2006, Κοινοβούλιο κατά Συμβουλίου και Επιτροπής (C‑317/04 και C‑318/04, EU:C:2006:346, σκέψεις 56 έως 59), η οποία αφορά τη διαβίβαση δεδομένων PNR (Passenger Name Record) με σκοπό την προστασία της δημόσιας ασφάλειας, εκτιμά ότι οι δραστηριότητες των εμπορικών εταιριών στο πλαίσιο της επεξεργασίας και της διαβίβασης δεδομένων με σκοπό την προστασία της εθνικής ασφάλειας δεν φαίνεται να εμπίπτουν στο πεδίο εφαρμογής του δικαίου της Ένωσης. Πρέπει να εξεταστεί όχι αν η επίμαχη δραστηριότητα συνιστά επεξεργασία δεδομένων, αλλά μόνον αν η δραστηριότητα αυτή αποσκοπεί, κατ’ ουσίαν και κατ’ αποτέλεσμα, στη στήριξη ουσιώδους λειτουργίας του κράτους, κατά την έννοια του άρθρου 4, παράγραφος 2, ΣΕΕ, μέσω ενός πλαισίου που καθορίζουν οι δημόσιες αρχές σχετικά με τη δημόσια ασφάλεια.
28 Εντούτοις, εφόσον τα επίμαχα στην κύρια δίκη μέτρα εμπίπτουν στο δίκαιο της Ένωσης, το αιτούν δικαστήριο εκτιμά ότι οι απαιτήσεις που περιλαμβάνονται στις σκέψεις 119 έως 125 της απόφασης της 21ης Δεκεμβρίου 2016, Tele2 (C‑203/15 και C‑698/15, EU:C:2016:970), είναι προφανώς ακατάλληλες στο πλαίσιο της εθνικής ασφάλειας και ενδέχεται να υπονομεύσουν την ικανότητα των υπηρεσιών ασφαλείας και πληροφοριών να διαχειριστούν ορισμένες απειλές για την εθνική ασφάλεια.
29 Υπό τις συνθήκες αυτές, το Investigatory Powers Tribunal (ειδικό δικαιοδοτικό όργανο προστασίας των δεδομένων και της ιδιωτικής ζωής) αποφάσισε να αναστείλει την ενώπιόν του διαδικασία και να υποβάλει στο Δικαστήριο τα ακόλουθα προδικαστικά ερωτήματα:
«Υπό συνθήκες κατά τις οποίες:
α) οι δυνατότητες [των υπηρεσιών ασφαλείας και πληροφοριών] να χρησιμοποιούν [τα μαζικά δεδομένα επικοινωνίας] που τους παρέχονται είναι ουσιώδεις για την προστασία της εθνικής ασφάλειας του Ηνωμένου Βασιλείου, συμπεριλαμβανομένων των πεδίων της καταπολέμησης της τρομοκρατίας, της κατασκοπείας και της διάδοσης της χρήσης πυρηνικών όπλων·
β) ένα θεμελιώδες χαρακτηριστικό της χρήσης των [μαζικών δεδομένων επικοινωνίας] από τις υπηρεσίες [ασφαλείας και πληροφοριών] είναι ο εντοπισμός άγνωστων μέχρι πρότινος απειλών για την εθνική ασφάλεια μέσω μη στοχευμένων μαζικών τεχνικών, οι οποίες βασίζονται στη συγκέντρωση των [ως άνω δεδομένων] σε ένα σημείο. Η κύρια χρησιμότητά τους έγκειται στο ότι καθιστούν δυνατή τη γρήγορη ταυτοποίηση και ανάλυση των στόχων, ενώ παρέχουν επίσης μια βάση για την ανάληψη δράσης ενόψει επικείμενης απειλής·
γ) ο πάροχος δικτύου ηλεκτρονικών επικοινωνιών δεν οφείλει να διατηρεί κατόπιν τα [μαζικά δεδομένα επικοινωνίας] (πέραν του χρονικού διαστήματος που επιβάλλουν οι συνήθεις επιχειρηματικές του υποχρεώσεις), τα οποία διατηρούνται μόνον από τις κρατικές υπηρεσίες ([υπηρεσίες ασφαλείας και πληροφοριών])·
δ) το εθνικό δικαστήριο έκρινε (υπό την επιφύλαξη ορισμένων ζητημάτων) ότι οι εγγυήσεις σχετικά με τη χρήση των [μαζικών δεδομένων επικοινωνίας] από τις υπηρεσίες [ασφαλείας και πληροφοριών] συνάδουν με τις απαιτήσεις της ΕΣΔΑ· και
ε) το εθνικό δικαστήριο έκρινε ότι τυχόν επιβολή των απαιτήσεων [που περιλαμβάνονται στις σκέψεις 119 έως 125 της απόφασης της 21ης Δεκεμβρίου 2016, Tele2 (C‑203/15 και C‑698/15, EU:C:2016:970)], θα έθιγε τα μέτρα που λαμβάνουν οι υπηρεσίες [ασφαλείας και πληροφοριών] για την προστασία της εθνικής ασφάλειας και, συνεπώς, θα έθετε σε κίνδυνο την εθνική ασφάλεια του Ηνωμένου Βασιλείου·
1) Λαμβανομένων υπόψη του άρθρου 4 ΣΕΕ και του άρθρου 1, παράγραφος 3, της οδηγίας [2002/58], εμπίπτει στο πεδίο εφαρμογής του δικαίου της Ένωσης και της οδηγίας [2002/58] υποχρέωση παροχής μαζικών δεδομένων επικοινωνίας στις υπηρεσίες ασφαλείας και πληροφοριών […] ενός κράτους μέλους, η οποία απορρέει από εντολή [του Υπουργού] προς πάροχο δικτύου ηλεκτρονικών επικοινωνιών;
2) Σε περίπτωση καταφατικής απάντησης στο πρώτο ερώτημα, υπόκειται αυτή η εντολή [του] Υπουργού στις απαιτήσεις [που εφαρμόζονται στα διατηρούμενα δεδομένα σχετικά με επικοινωνίες και περιλαμβάνονται στις σκέψεις 119 έως 125 της απόφασης της 21ης Δεκεμβρίου 2016, Tele2 (C‑203/15 και C‑698/15, EU:C:2016:970)], ή σε άλλες πρόσθετες απαιτήσεις πέραν εκείνων που επιβάλλονται από την ΕΣΔΑ; Αν ναι, με ποιον τρόπο και σε ποιον βαθμό εφαρμόζονται οι σχετικές απαιτήσεις, λαμβανομένων υπόψη, αφενός, της βασικής ανάγκης των υπηρεσιών [ασφαλείας και πληροφοριών] να χρησιμοποιούν τεχνικές μαζικής απόκτησης και αυτόματης επεξεργασίας δεδομένων για να προστατεύουν την εθνική ασφάλεια και, αφετέρου, του βαθμού στον οποίο οι δυνατότητες αυτές, καίτοι κατά τα άλλα συνάδουν με την ΕΣΔΑ, ενδέχεται να περιορίζονται ουσιωδώς λόγω της επιβολής τέτοιων απαιτήσεων;»
Επί των προδικαστικών ερωτημάτων
Επί του πρώτου προδικαστικού ερωτήματος
30 Με το πρώτο προδικαστικό ερώτημα, το αιτούν δικαστήριο ζητεί, κατ’ ουσίαν, να διευκρινιστεί αν το άρθρο 1, παράγραφος 3, της οδηγίας 2002/58, ερμηνευόμενο υπό το πρίσμα του άρθρου 4, παράγραφος 2, ΣΕΕ, έχει την έννοια ότι εμπίπτει στο πεδίο εφαρμογής της οδηγίας αυτής εθνική ρύθμιση η οποία επιτρέπει σε κρατική αρχή να επιβάλλει στους παρόχους υπηρεσιών ηλεκτρονικών επικοινωνιών την υποχρέωση να διαβιβάζουν στις υπηρεσίες ασφαλείας και πληροφοριών δεδομένα κίνησης και δεδομένα θέσης με σκοπό τη διαφύλαξη της εθνικής ασφάλειας.
31 Συναφώς, η Privacy International υποστηρίζει, κατ’ ουσίαν, ότι, λαμβανομένων υπόψη των διδαγμάτων που απορρέουν από τη νομολογία του Δικαστηρίου όσον αφορά το πεδίο εφαρμογής της οδηγίας 2002/58, τόσο η εκ μέρους των υπηρεσιών ασφαλείας και πληροφοριών συλλογή δεδομένων από τους παρόχους αυτούς, δυνάμει του άρθρου 94 του νόμου του 1984, όσο και η χρήση των δεδομένων από τις εν λόγω υπηρεσίες εμπίπτουν στο πεδίο εφαρμογής της οδηγίας αυτής, ανεξαρτήτως του αν τα εν λόγω δεδομένα συλλέγονται μέσω διαβίβασης πραγματοποιούμενης ετεροχρονισμένα ή σε πραγματικό χρόνο. Ειδικότερα, το γεγονός ότι ο σκοπός της προστασίας της εθνικής ασφάλειας απαριθμείται ρητώς στο άρθρο 15, παράγραφος 1, της εν λόγω οδηγίας δεν έχει ως συνέπεια τη μη εφαρμογή της τελευταίας σε τέτοιες περιπτώσεις, το δε άρθρο 4, παράγραφος 2, ΣΕΕ δεν επηρεάζει την εκτίμηση αυτή.
32 Αντιθέτως, η Κυβέρνηση του Ηνωμένου Βασιλείου, η Τσεχική και η Εσθονική Κυβέρνηση, η Ιρλανδία, καθώς και η Γαλλική, η Κυπριακή, η Ουγγρική, η Πολωνική και η Σουηδική Κυβέρνηση υποστηρίζουν, κατ’ ουσίαν, ότι η οδηγία 2002/58 δεν έχει εφαρμογή στην επίμαχη στην κύρια δίκη εθνική ρύθμιση, στο μέτρο που η ρύθμιση αυτή έχει ως σκοπό τη διαφύλαξη της εθνικής ασφάλειας. Οι δραστηριότητες των υπηρεσιών ασφαλείας και πληροφοριών εμπίπτουν στις ουσιώδεις λειτουργίες των κρατών μελών οι οποίες αφορούν τη διατήρηση της δημόσιας τάξης καθώς και τη διαφύλαξη της εσωτερικής ασφάλειας και της εδαφικής ακεραιότητας και, κατά συνέπεια, υπάγονται στην αποκλειστική αρμοδιότητά τους, όπως προκύπτει ιδίως από το άρθρο 4, παράγραφος 2, τρίτη περίοδος, ΣΕΕ.
33 Επομένως, κατά τις κυβερνήσεις αυτές, η οδηγία 2002/58 δεν μπορεί να ερμηνευθεί υπό την έννοια ότι εθνικά μέτρα που αποσκοπούν στη διαφύλαξη της εθνικής ασφάλειας εμπίπτουν στο πεδίο εφαρμογής της. Το άρθρο 1, παράγραφος 3, της οδηγίας αυτής οριοθετεί το εν λόγω πεδίο εφαρμογής και εξαιρεί από αυτό, όπως προέβλεπε ήδη το άρθρο 3, παράγραφος 2, πρώτη περίπτωση, της οδηγίας 95/46, τις δραστηριότητες που αφορούν τη δημόσια ασφάλεια, την άμυνα και την ασφάλεια του κράτους. Οι διατάξεις αυτές αντικατοπτρίζουν την κατανομή των αρμοδιοτήτων που προβλέπονται στο άρθρο 4, παράγραφος 2, ΣΕΕ και θα στερούνταν πρακτικής αποτελεσματικότητας αν τα μέτρα που εμπίπτουν στον τομέα της εθνικής ασφάλειας έπρεπε να τηρούν τις απαιτήσεις της οδηγίας 2002/58. Εξάλλου, η νομολογία του Δικαστηρίου που απορρέει από την απόφαση της 30ής Μαΐου 2006, Κοινοβούλιο κατά Συμβουλίου και Επιτροπής (C‑317/04 και C‑318/04, EU:C:2006:346), σχετικά με το άρθρο 3, παράγραφος 2, πρώτη περίπτωση, της οδηγίας 95/46, μπορεί να τύχει εφαρμογής και στην περίπτωση του άρθρου 1, παράγραφος 3, της οδηγίας 2002/58.
34 Συναφώς, επισημαίνεται ότι το άρθρο 1, παράγραφος 1, της οδηγίας 2002/58 προβλέπει, μεταξύ άλλων, την εναρμόνιση των εθνικών διατάξεων οι οποίες απαιτούνται προκειμένου να διασφαλίζεται ισοδύναμο επίπεδο προστασίας των θεμελιωδών δικαιωμάτων και ελευθεριών, και ιδίως του δικαιώματος στην ιδιωτική ζωή και την εμπιστευτικότητα, όσον αφορά την επεξεργασία δεδομένων προσωπικού χαρακτήρα στον τομέα των ηλεκτρονικών επικοινωνιών.
35 Το άρθρο 1, παράγραφος 3, της οδηγίας αυτής αποκλείει από το πεδίο εφαρμογής της τις «δραστηριότητες του κράτους» στους προβλεπόμενους σε αυτό τομείς, στις οποίες περιλαμβάνονται οι δραστηριότητες στον ποινικό τομέα και οι δραστηριότητες εκείνες που αφορούν τη δημόσια ασφάλεια, την εθνική άμυνα, την ασφάλεια του κράτους, συμπεριλαμβανομένης της οικονομικής ευημερίας του κράτους εφόσον οι δραστηριότητες συνδέονται με θέματα ασφάλειας του κράτους. Οι δραστηριότητες που μνημονεύονται ως παραδείγματα στη διάταξη αυτή είναι, σε όλες τις περιπτώσεις, δραστηριότητες που ασκούνται από τα κράτη ή από τις κρατικές αρχές και δεν αφορούν τους τομείς δραστηριότητας των ιδιωτών (απόφαση της 2ας Οκτωβρίου 2018, Ministerio Fiscal, C‑207/16, EU:C:2018:788, σκέψη 32 και εκεί μνημονευόμενη νομολογία).
36 Επιπλέον, το άρθρο 3 της οδηγίας 2002/58 ορίζει ότι αυτή εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα στο πλαίσιο της παροχής υπηρεσιών ηλεκτρονικών επικοινωνιών διαθέσιμων στο κοινό σε δημόσια δίκτυα επικοινωνίας στην Ένωση, περιλαμβανομένων των δημοσίων δικτύων επικοινωνιών που υποστηρίζουν συσκευές συλλογής δεδομένων και ταυτοποίησης (στο εξής: υπηρεσίες ηλεκτρονικών επικοινωνιών). Συνεπώς, η εν λόγω οδηγία πρέπει να θεωρηθεί ότι ρυθμίζει τις δραστηριότητες των παρόχων τέτοιων υπηρεσιών (απόφαση της 2ας Οκτωβρίου 2018, Ministerio Fiscal, C‑207/16, EU:C:2018:788, σκέψη 33 και εκεί μνημονευόμενη νομολογία).
37 Στο πλαίσιο αυτό, το άρθρο 15, παράγραφος 1, της οδηγίας 2002/58 εξουσιοδοτεί τα κράτη μέλη να λαμβάνουν, υπό τους όρους που αυτό θεσπίζει, «νομοθετικά μέτρα για να περιορίζουν τα δικαιώματα και τις υποχρεώσεις που προβλέπονται στα άρθρα 5 και 6, στο άρθρο 8 παράγραφοι 1 έως 4 και στο άρθρο 9 της [εν λόγω] οδηγίας» (απόφαση της 21ης Δεκεμβρίου 2016, Tele2, C‑203/15 και C‑698/15, EU:C:2016:970, σκέψη 71).
38 Όμως, το άρθρο 15, παράγραφος 1, της οδηγίας 2002/58 προϋποθέτει κατ’ ανάγκην ότι τα εθνικά νομοθετικά μέτρα στα οποία αυτό αναφέρεται εμπίπτουν στο πεδίο εφαρμογής της οδηγίας αυτής, δεδομένου ότι η τελευταία εξουσιοδοτεί ρητώς τα κράτη μέλη να λαμβάνουν τέτοια μέτρα μόνον υπό τους όρους που αυτή θεσπίζει. Επιπλέον, τα μέτρα αυτά διέπουν, για τους σκοπούς που απαριθμούνται στη διάταξη αυτή, τη δραστηριότητα των παρόχων υπηρεσιών ηλεκτρονικών επικοινωνιών (απόφαση της 2ας Οκτωβρίου 2018, Ministerio Fiscal, C‑207/16, EU:C:2018:788, σκέψη 34 και εκεί μνημονευόμενη νομολογία).
39 Υπό το πρίσμα ιδίως των εκτιμήσεων αυτών, το Δικαστήριο έχει κρίνει ότι το άρθρο 15, παράγραφος 1, της οδηγίας 2002/58, ερμηνευόμενο σε συνδυασμό με το άρθρο 3 της ίδιας οδηγίας, έχει την έννοια ότι στο πεδίο εφαρμογής της ως άνω οδηγίας εμπίπτουν όχι μόνο νομοθετικά μέτρα τα οποία υποχρεώνουν τους παρόχους υπηρεσιών ηλεκτρονικών επικοινωνιών να διατηρούν τα δεδομένα κίνησης και τα δεδομένα θέσης αλλά και νομοθετικά μέτρα τα οποία τους επιβάλλουν υποχρέωση να χορηγούν στις αρμόδιες εθνικές αρχές πρόσβαση στα δεδομένα αυτά. Πράγματι, τέτοιου είδους νομοθετικά μέτρα συνεπάγονται υποχρεωτικά την εκ μέρους των εν λόγω παρόχων επεξεργασία των εν λόγω δεδομένων και δεν μπορούν, καθόσον διέπουν τις δραστηριότητες των ίδιων αυτών παρόχων, να εξομοιωθούν με δραστηριότητες που ασκούνται από τα κράτη, κατά την έννοια του άρθρου 1, παράγραφος 3, της εν λόγω οδηγίας (πρβλ. απόφαση της 2ας Οκτωβρίου 2018, Ministerio Fiscal, C‑207/16, EU:C:2018:788, σκέψεις 35 και 37 και εκεί μνημονευόμενη νομολογία).
40 Όσον αφορά νομοθετικό μέτρο όπως το άρθρο 94 του νόμου του 1984, βάσει του οποίου η αρμόδια αρχή μπορεί να δίνει στους παρόχους υπηρεσιών ηλεκτρονικών επικοινωνιών την εντολή να κοινολογούν με διαβίβαση μαζικά δεδομένα στις υπηρεσίες ασφαλείας και πληροφοριών, επισημαίνεται ότι, σύμφωνα με τον ορισμό που περιλαμβάνεται στο άρθρο 4, σημείο 2, του κανονισμού 2016/679, ο οποίος έχει εφαρμογή, σύμφωνα με το άρθρο 2 της οδηγίας 2002/58, σε συνδυασμό με το άρθρο 94, παράγραφος 2, του εν λόγω κανονισμού, ως «επεξεργασία δεδομένων προσωπικού χαρακτήρα» νοείται «κάθε πράξη ή σειρά πράξεων που πραγματοποιείται με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, σε δεδομένα προσωπικού χαρακτήρα ή σε σύνολα δεδομένων προσωπικού χαρακτήρα, όπως η συλλογή, […], η αποθήκευση, […], η αναζήτηση πληροφοριών, η χρήση, η κοινολόγηση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης […]».
41 Επομένως, η κοινολόγηση δεδομένων προσωπικού χαρακτήρα με διαβίβαση συνιστά, ακριβώς όπως και η αποθήκευση δεδομένων ή κάθε άλλη μορφή διάθεσης, επεξεργασία κατά την έννοια του άρθρου 3 της οδηγίας 2002/58 και, ως εκ τούτου, εμπίπτει στο πεδίο εφαρμογής της οδηγίας αυτής (πρβλ. απόφαση της 29ης Ιανουαρίου 2008, Promusicae, C‑275/06, EU:C:2008:54, σκέψη 45).
42 Επιπλέον, λαμβανομένων υπόψη των εκτιμήσεων που εκτίθενται στη σκέψη 38 της παρούσας απόφασης και της όλης οικονομίας της οδηγίας 2002/58, τυχόν ερμηνεία της οδηγίας υπό την έννοια ότι τα νομοθετικά μέτρα που αναφέρονται στο άρθρο 15, παράγραφος 1, αυτής αποκλείονται από το πεδίο εφαρμογής της οδηγίας, λόγω του ότι οι σκοποί τους οποίους πρέπει να επιδιώκουν τα μέτρα αυτά αλληλεπικαλύπτονται σε μεγάλο βαθμό με τους σκοπούς τους οποίους επιδιώκουν οι δραστηριότητες που παρατίθενται στο άρθρο 1, παράγραφος 3, της οδηγίας, θα καθιστούσε το άρθρο 15, παράγραφος 1, άνευ πρακτικής αποτελεσματικότητας (πρβλ. απόφαση της 21ης Δεκεμβρίου 2016, Tele2, C‑203/15 και C‑698/15, EU:C:2016:970, σκέψεις 72 και 73).
43 Επομένως, όπως επισήμανε κατ’ ουσίαν ο γενικός εισαγγελέας με το σημείο 75 των προτάσεών του στις συνεκδικασθείσες υποθέσεις La Quadrature du Net κ.λπ. (C‑511/18 και C‑512/18, EU:C:2020:6), στις οποίες παραπέμπει με το σημείο 24 των προτάσεών του στην υπό κρίση υπόθεση, ο όρος «δραστηριότητες» του άρθρου 1, παράγραφος 3, της οδηγίας 2002/58 δεν μπορεί να ερμηνευθεί υπό την έννοια ότι καλύπτει τα νομοθετικά μέτρα στα οποία αναφέρεται το άρθρο 15, παράγραφος 1, της οδηγίας αυτής.
44 Οι διατάξεις του άρθρου 4, παράγραφος 2, ΣΕΕ, στις οποίες παρέπεμψαν οι κυβερνήσεις που μνημονεύονται στη σκέψη 32 της παρούσας απόφασης, δεν αναιρούν το συμπέρασμα αυτό. Πράγματι, κατά πάγια νομολογία του Δικαστηρίου, μολονότι εναπόκειται στα κράτη μέλη να καθορίζουν τα ουσιώδη συμφέροντα ασφαλείας τους και να θεσπίζουν τα κατάλληλα μέτρα για την προάσπιση της εσωτερικής και εξωτερικής τους ασφάλειας, το γεγονός και μόνον ότι έχει ληφθεί εθνικό μέτρο για τη διαφύλαξη της εθνικής ασφάλειας δεν μπορεί να συνεπάγεται τη μη εφαρμογή του δικαίου της Ένωσης και να απαλλάσσει τα κράτη μέλη από τον αναγκαίο σεβασμό του δικαίου αυτού [πρβλ. αποφάσεις της 4ης Ιουνίου 2013, ZZ, C‑300/11, EU:C:2013:363, σκέψη 38 και εκεί μνημονευόμενη νομολογία, της 20ής Μαρτίου 2018, Επιτροπή κατά Αυστρίας (Κρατικό τυπογραφείο), C‑187/16, EU:C:2018:194, σκέψεις 75 και 76, και της 2ας Απριλίου 2020, Επιτροπή κατά Πολωνίας, Ουγγαρίας και Τσεχικής Δημοκρατίας (Προσωρινός μηχανισμός μετεγκατάστασης αιτούντων διεθνή προστασία), C‑715/17, C‑718/17 και C‑719/17, EU:C:2020:257, σκέψεις 143 και 170].
45 Είναι αληθές ότι, με την απόφαση της 30ής Μαΐου 2006, Κοινοβούλιο κατά Συμβουλίου και Επιτροπής (C‑317/04 και C‑318/04, EU:C:2006:346, σκέψεις 56 έως 59), το Δικαστήριο έκρινε ότι η διαβίβαση δεδομένων προσωπικού χαρακτήρα από αεροπορικές εταιρίες σε δημόσιες αρχές τρίτου κράτους με σκοπό την πρόληψη και την καταπολέμηση της τρομοκρατίας και άλλων σοβαρών εγκλημάτων δεν εμπίπτει, βάσει του άρθρου 3, παράγραφος 2, πρώτη περίπτωση, της οδηγίας 95/46, στο πεδίο εφαρμογής της οδηγίας αυτής, δεδομένου ότι η διαβίβαση αυτή εντάσσεται σε ένα πλαίσιο που έχουν δημιουργήσει οι δημόσιες αρχές σχετικά με τη δημόσια ασφάλεια.
46 Εντούτοις, λαμβανομένων υπόψη όσων εκτέθηκαν στις σκέψεις 36, 38 και 39 της παρούσας απόφασης, η νομολογία αυτή δεν μπορεί να τύχει εφαρμογής για την ερμηνεία του άρθρου 1, παράγραφος 3, της οδηγίας 2002/58. Συγκεκριμένα, όπως επισήμανε, κατ’ ουσίαν, ο γενικός εισαγγελέας με τα σημεία 70 έως 72 των προτάσεών του στις συνεκδικασθείσες υποθέσεις La Quadrature du Net κ.λπ. (C‑511/18 και C‑512/18, EU:C:2020:6), το άρθρο 3, παράγραφος 2, πρώτη περίπτωση, της οδηγίας 95/46, στο οποίο αναφέρεται η εν λόγω νομολογία, εξαιρούσε γενικώς από το πεδίο εφαρμογής της τελευταίας αυτής οδηγίας την «επεξεργασία δεδομένων που αφορά τη δημόσια ασφάλεια, την εθνική άμυνα, την ασφάλεια του κράτους», χωρίς διάκριση ανάλογα με τον οικείο φορέα επεξεργασίας των δεδομένων. Αντιθέτως, στο πλαίσιο της ερμηνείας του άρθρου 1, παράγραφος 3, της οδηγίας 2002/58, η διάκριση αυτή είναι αναγκαία. Πράγματι, όπως προκύπτει από τις σκέψεις 37 έως 39 και 42 της παρούσας απόφασης, το σύνολο των επεξεργασιών δεδομένων προσωπικού χαρακτήρα που πραγματοποιούν οι πάροχοι υπηρεσιών ηλεκτρονικών επικοινωνιών εμπίπτει στο πεδίο εφαρμογής της εν λόγω οδηγίας, περιλαμβανομένων των επεξεργασιών που απορρέουν από υποχρεώσεις που τους επιβάλλουν οι δημόσιες αρχές, ενώ οι τελευταίες αυτές επεξεργασίες θα μπορούσαν, ενδεχομένως, να εμπίπτουν στην εξαίρεση του άρθρου 3, παράγραφος 2, πρώτη περίπτωση, της οδηγίας 95/46, λαμβανομένης υπόψη της ευρύτερης διατύπωσης της διάταξης αυτής, η οποία καλύπτει το σύνολο των επεξεργασιών που αφορούν τη δημόσια ασφάλεια, την εθνική άμυνα ή την ασφάλεια του κράτους, ανεξαρτήτως του φορέα που τις πραγματοποιεί.
47 Επιπλέον, επισημαίνεται ότι, δυνάμει του άρθρου 94, παράγραφος 1, του κανονισμού 2016/679, η οδηγία 95/46, που αποτελούσε αντικείμενο της υπόθεσης επί της οποίας εκδόθηκε η απόφαση της 30ής Μαΐου 2006, Κοινοβούλιο κατά Συμβουλίου και Επιτροπής (C‑317/04 και C‑318/04, EU:C:2006:346), καταργήθηκε και αντικαταστάθηκε από τον κανονισμό αυτόν, με ισχύ από τις 25 Μαΐου 2018. Μολονότι ο εν λόγω κανονισμός διευκρινίζει, στο άρθρο 2, παράγραφος 2, στοιχείο δʹ, ότι δεν εφαρμόζεται στις επεξεργασίες που πραγματοποιούνται «από αρμόδιες αρχές» με σκοπό, μεταξύ άλλων, την πρόληψη και τη διερεύνηση αξιόποινων πράξεων, συμπεριλαμβανομένης της προστασίας και πρόληψης έναντι κινδύνων που απειλούν τη δημόσια ασφάλεια, εντούτοις από το άρθρο 23, παράγραφος 1, στοιχεία δʹ και ηʹ, του ίδιου κανονισμού προκύπτει ότι οι επεξεργασίες δεδομένων προσωπικού χαρακτήρα που πραγματοποιούνται για τους ίδιους σκοπούς από ιδιώτες εμπίπτουν στο πεδίο εφαρμογής του κανονισμού αυτού. Επομένως, η προεκτεθείσα ερμηνεία του άρθρου 1, παράγραφος 3, του άρθρου 3 και του άρθρου 15, παράγραφος 1, της οδηγίας 2002/58 συνάδει με την οριοθέτηση του πεδίου εφαρμογής του κανονισμού 2016/679, το οποίο συμπληρώνει και διευκρινίζει η οδηγία αυτή.
48 Αντιθέτως, όταν τα κράτη μέλη θέτουν απευθείας σε εφαρμογή μέτρα παρεκκλίνοντα από το απόρρητο των ηλεκτρονικών επικοινωνιών, χωρίς να επιβάλλουν υποχρεώσεις επεξεργασίας στους παρόχους τέτοιων υπηρεσιών, η προστασία των δεδομένων των προσώπων τα οποία αφορούν τα μέτρα αυτά δεν διέπεται από την οδηγία 2002/58, αλλά μόνον από το εθνικό δίκαιο, υπό την επιφύλαξη της εφαρμογής της οδηγίας (ΕΕ) 2016/680 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές για τους σκοπούς της πρόληψης, διερεύνησης, ανίχνευσης ή δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της απόφασης‑πλαίσιο 2008/977/ΔΕΥ του Συμβουλίου (ΕΕ 2016, L 119, σ. 89), όπερ σημαίνει ότι τα επίμαχα μέτρα πρέπει να τηρούν, μεταξύ άλλων, το εθνικό συνταγματικό δίκαιο και τις απαιτήσεις της ΕΣΔΑ.
49 Κατόπιν των ανωτέρω σκέψεων, στο πρώτο προδικαστικό ερώτημα πρέπει να δοθεί η απάντηση ότι το άρθρο 1, παράγραφος 3, το άρθρο 3 και το άρθρο 15, παράγραφος 1, της οδηγίας 2002/58, ερμηνευόμενα υπό το πρίσμα του άρθρου 4, παράγραφος 2, ΣΕΕ, έχουν την έννοια ότι εμπίπτει στο πεδίο εφαρμογής της οδηγίας αυτής εθνική ρύθμιση η οποία επιτρέπει σε κρατική αρχή να επιβάλλει στους παρόχους υπηρεσιών ηλεκτρονικών επικοινωνιών την υποχρέωση να διαβιβάζουν στις υπηρεσίες ασφαλείας και πληροφοριών δεδομένα κίνησης και δεδομένα θέσης με σκοπό τη διαφύλαξη της εθνικής ασφάλειας.
Επί του δεύτερου προδικαστικού ερωτήματος
50 Με το δεύτερο προδικαστικό ερώτημα, το αιτούν δικαστήριο ζητεί, κατ’ ουσίαν, να διευκρινιστεί αν το άρθρο 15, παράγραφος 1, της οδηγίας 2002/58, ερμηνευόμενο υπό το πρίσμα του άρθρου 4, παράγραφος 2, ΣΕΕ, καθώς και των άρθρων 7, 8 και 11 και του άρθρου 52, παράγραφος 1, του Χάρτη, έχει την έννοια ότι αντιτίθεται σε εθνική ρύθμιση η οποία επιτρέπει σε κρατική αρχή να επιβάλλει στους παρόχους υπηρεσιών ηλεκτρονικών επικοινωνιών, για τους σκοπούς της διαφύλαξης της εθνικής ασφάλειας, την υποχρέωση γενικής και χωρίς διάκριση διαβίβασης των δεδομένων κίνησης και των δεδομένων θέσης στις υπηρεσίες ασφαλείας και πληροφοριών.
51 Προκαταρκτικώς, υπενθυμίζεται ότι, σύμφωνα με τα στοιχεία που περιέχονται στην αίτηση προδικαστικής αποφάσεως, το άρθρο 94 του νόμου του 1984 επιτρέπει στον Υπουργό να δίδει εντολές στους παρόχους υπηρεσιών ηλεκτρονικών επικοινωνιών, εφόσον το κρίνει αναγκαίο προς το συμφέρον της εθνικής ασφάλειας ή των σχέσεων με αλλοδαπή κυβέρνηση, επιβάλλοντάς τους την υποχρέωση να διαβιβάζουν στις υπηρεσίες ασφαλείας και πληροφοριών τα μαζικά δεδομένα επικοινωνίας, στα οποία περιλαμβάνονται τα δεδομένα κίνησης και τα δεδομένα θέσης καθώς και πληροφορίες σχετικά με τις χρησιμοποιούμενες υπηρεσίες, κατά την έννοια του άρθρου 21, παράγραφοι 4 και 6, του RIPA. Η τελευταία αυτή διάταξη καλύπτει, μεταξύ άλλων, τα δεδομένα που είναι αναγκαία για τον εντοπισμό της πηγής μιας επικοινωνίας και του προορισμού της, για τον καθορισμό της ημερομηνίας, της ώρας, της διάρκειας και του είδους της επικοινωνίας, για τον προσδιορισμό του χρησιμοποιούμενου υλικού επικοινωνίας, καθώς και για τον γεωγραφικό εντοπισμό του τερματικού εξοπλισμού και των επικοινωνιών, δεδομένα μεταξύ των οποίων περιλαμβάνονται, ιδίως, το όνομα και η διεύθυνση του χρήστη, οι αριθμοί τηλεφώνου του καλούντος και του καλουμένου, οι διευθύνσεις IP της πηγής και του παραλήπτη της επικοινωνίας, καθώς και οι διευθύνσεις των ιστοτόπων στους οποίους υπήρξε πρόσβαση.
52 Η κοινολόγηση τέτοιων δεδομένων με διαβίβαση αφορά το σύνολο των χρηστών ηλεκτρονικών μέσων, χωρίς να διευκρινίζεται αν η διαβίβαση πρέπει να λαμβάνει χώρα σε πραγματικό χρόνο ή ετεροχρονισμένα. Σύμφωνα με τα στοιχεία που περιέχονται στην αίτηση προδικαστικής αποφάσεως, τα δεδομένα διατηρούνται, μετά τη διαβίβαση, από τις υπηρεσίες ασφαλείας και πληροφοριών και παραμένουν στη διάθεση των υπηρεσιών αυτών για τις δραστηριότητές τους, όπως ακριβώς και οι λοιπές βάσεις δεδομένων τις οποίες έχουν στην κατοχή τους οι εν λόγω υπηρεσίες. Ειδικότερα, τα δεδομένα που συλλέγονται κατ’ αυτόν τον τρόπο, και τα οποία υποβάλλονται σε μαζικές και αυτοματοποιημένες επεξεργασίες και αναλύσεις, μπορούν να διασταυρώνονται με τα στοιχεία άλλων βάσεων δεδομένων που περιλαμβάνουν διαφορετικές κατηγορίες μαζικών δεδομένων προσωπικού χαρακτήρα ή να κοινολογούνται εκτός των υπηρεσιών αυτών καθώς και σε τρίτα κράτη. Τέλος, για τις ενέργειες αυτές δεν απαιτείται προηγούμενη άδεια δικαστηρίου ή ανεξάρτητης διοικητικής αρχής ούτε ενημέρωση των ενδιαφερομένων.
53 Σκοπός της οδηγίας 2002/58, όπως προκύπτει, μεταξύ άλλων, από τις αιτιολογικές σκέψεις 6 και 7, είναι η προστασία των χρηστών των υπηρεσιών ηλεκτρονικών επικοινωνιών από τους κινδύνους για τα προσωπικά τους δεδομένα και την ιδιωτική τους ζωή που απορρέουν από τις νέες τεχνολογίες και, ιδιαιτέρως, τις αυξανόμενες δυνατότητες αυτόματης αποθήκευσης και επεξεργασίας δεδομένων. Ειδικότερα, η εν λόγω οδηγία αποσκοπεί, όπως εκτίθεται στην αιτιολογική της σκέψη 2, στη διασφάλιση του πλήρους σεβασμού των δικαιωμάτων που κατοχυρώνονται στα άρθρα 7 και 8 του Χάρτη. Συναφώς, από την αιτιολογική έκθεση της πρότασης οδηγίας του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου σχετικά με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα και την προστασία της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών [COM(2000) 385 final], στην οποία στηρίχθηκε η οδηγία 2002/58, προκύπτει ότι σκοπός του νομοθέτη της Ένωσης ήταν «να διασφαλιστεί ότι θα εξακολουθήσει να υφίσταται υψηλό επίπεδο προστασίας των προσωπικών δεδομένων και της ιδιωτικής ζωής για όλες τις υπηρεσίες ηλεκτρονικών επικοινωνιών, ανεξάρτητα από τη χρησιμοποιούμενη τεχνολογία».
54 Συναφώς, το άρθρο 5, παράγραφος 1, της οδηγίας 2002/58 προβλέπει ότι «τα κράτη μέλη κατοχυρώνουν, μέσω της εθνικής νομοθεσίας, το απόρρητο των επικοινωνιών που διενεργούνται μέσω δημόσιου δικτύου επικοινωνιών και των διαθέσιμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών, καθώς και των συναφών δεδομένων κίνησης». Η ίδια αυτή διάταξη υπογραμμίζει επίσης ότι, «[ε]ιδικότερα, [τα κράτη μέλη] απαγορεύουν την ακρόαση, υποκλοπή, αποθήκευση ή άλλο είδος παρακολούθησης ή επιτήρησης των επικοινωνιών και των συναφών δεδομένων κίνησης από πρόσωπα πλην των χρηστών, χωρίς τη συγκατάθεση των ενδιαφερομένων χρηστών, εκτός αν υπάρχει σχετική νόμιμη άδεια, σύμφωνα με το άρθρο 15, παράγραφος 1», και διευκρινίζει ότι «[η παράγραφος αυτή] δεν εμποδίζει την τεχνική αποθήκευση, η οποία είναι αναγκαία για τη διαβίβαση επικοινωνίας, με την επιφύλαξη της αρχής του απορρήτου».
55 Επομένως, το εν λόγω άρθρο 5, παράγραφος 1, καθιερώνει την αρχή του απορρήτου τόσο των ηλεκτρονικών επικοινωνιών όσο και των συναφών δεδομένων κίνησης και συνεπάγεται, μεταξύ άλλων, την απαγόρευση, καταρχήν, της αποθήκευσης των εν λόγω επικοινωνιών και δεδομένων κίνησης από πρόσωπα πλην των χρηστών, χωρίς τη συγκατάθεση των τελευταίων. Λαμβανομένης υπόψη της γενικόλογης διατύπωσής της, η διάταξη αυτή καλύπτει κατ’ ανάγκην κάθε ενέργεια που παρέχει σε τρίτους τη δυνατότητα να λαμβάνουν γνώση των επικοινωνιών και των συναφών δεδομένων για σκοπούς άλλους πλην της διαβίβασης μιας επικοινωνίας.
56 Συνεπώς, η κατά το άρθρο 5, παράγραφος 1, της οδηγίας 2002/58 απαγόρευση παρακολούθησης των επικοινωνιών και των συναφών δεδομένων περιλαμβάνει κάθε μορφή διάθεσης δεδομένων κίνησης και θέσης από τους παρόχους υπηρεσιών ηλεκτρονικών επικοινωνιών προς δημόσιες αρχές, όπως είναι οι υπηρεσίες ασφαλείας και πληροφοριών, καθώς και τη διατήρηση των εν λόγω δεδομένων από τις αρχές αυτές, όποια και αν είναι η μεταγενέστερη χρήση τους.
57 Επομένως, με την οδηγία αυτή, ο νομοθέτης της Ένωσης συγκεκριμενοποίησε τα δικαιώματα που κατοχυρώνονται στα άρθρα 7 και 8 του Χάρτη, με αποτέλεσμα οι χρήστες των μέσων ηλεκτρονικών επικοινωνιών να έχουν, καταρχήν, νόμιμη προσδοκία ότι, εφόσον δεν έχουν δώσει συγκατάθεση για το αντίθετο, οι επικοινωνίες τους και τα σχετικά δεδομένα παραμένουν ανώνυμα και δεν καταχωρίζονται (απόφαση της 6ης Οκτωβρίου 2020, La Quadrature du Net κ.λπ., C‑511/18, C‑512/18 και C‑520/18, σκέψη 109).
58 Εντούτοις, το άρθρο 15, παράγραφος 1, της οδηγίας 2002/58 επιτρέπει στα κράτη μέλη να εισάγουν εξαιρέσεις από την υποχρέωση διασφάλισης του απορρήτου των δεδομένων προσωπικού χαρακτήρα, την οποία υπέχουν καταρχήν από το άρθρο 5, παράγραφος 1, της οδηγίας αυτής, καθώς και από τις αντίστοιχες υποχρεώσεις που μνημονεύονται ιδίως στα άρθρα 6 και 9 της εν λόγω οδηγίας, όταν ο περιορισμός αυτός αποτελεί αναγκαίο, κατάλληλο και αναλογικό μέτρο σε μια δημοκρατική κοινωνία για τη διαφύλαξη της εθνικής ασφάλειας, της εθνικής άμυνας και της δημόσιας ασφάλειας, και για την πρόληψη, διερεύνηση, διαπίστωση και δίωξη ποινικών αδικημάτων ή της άνευ αδείας χρησιμοποίησης του συστήματος ηλεκτρονικών επικοινωνιών. Για τον σκοπό αυτό, τα κράτη μέλη δύνανται, μεταξύ άλλων, να λαμβάνουν νομοθετικά μέτρα που προβλέπουν τη διατήρηση δεδομένων για ορισμένο χρονικό διάστημα όταν τούτο δικαιολογείται από έναν εκ των ανωτέρω λόγων.
59 Τούτου δοθέντος, η δυνατότητα παρέκκλισης από τα δικαιώματα και τις υποχρεώσεις που προβλέπονται στα άρθρα 5, 6 και 9 της οδηγίας 2002/58 δεν μπορεί να δικαιολογήσει το να καταστεί κανόνας η παρέκκλιση από την καταρχήν υποχρέωση διασφάλισης του απορρήτου των ηλεκτρονικών επικοινωνιών και των συναφών δεδομένων και, ειδικότερα, από την απαγόρευση αποθήκευσης των δεδομένων αυτών, η οποία προβλέπεται ρητώς στο άρθρο 5 της οδηγίας (πρβλ. αποφάσεις της 21ης Δεκεμβρίου 2016, Tele2, C‑203/15 και C‑698/15, EU:C:2016:970, σκέψεις 89 και 104, και της 6ης Οκτωβρίου 2020, La Quadrature du Net κ.λπ., C‑511/18, C‑512/18 και C‑520/18, σκέψη 111).
60 Επιπλέον, από το άρθρο 15, παράγραφος 1, τρίτη περίοδος, της οδηγίας 2002/58 προκύπτει ότι τα κράτη μέλη επιτρέπεται να λαμβάνουν νομοθετικά μέτρα για να περιορίζουν την εμβέλεια των δικαιωμάτων και των υποχρεώσεων που προβλέπονται στα άρθρα 5, 6 και 9 της οδηγίας αυτής, αλλά μόνον εφόσον τηρούνται οι γενικές αρχές του δικαίου της Ένωσης, στις οποίες συγκαταλέγεται η αρχή της αναλογικότητας, και γίνονται σεβαστά τα θεμελιώδη δικαιώματα που κατοχυρώνονται στον Χάρτη. Συναφώς, το Δικαστήριο έχει κρίνει ότι η υποχρέωση την οποία επιβάλλει ένα κράτος μέλος στους παρόχους υπηρεσιών ηλεκτρονικών επικοινωνιών, βάσει εθνικής ρύθμισης, να διατηρούν τα δεδομένα κίνησης προκειμένου οι αρμόδιες εθνικές αρχές να έχουν πρόσβαση σε αυτά, εφόσον παρίσταται ανάγκη, εγείρει ζητήματα σχετικά με την τήρηση όχι μόνον των άρθρων 7 και 8 του Χάρτη, τα οποία αφορούν, αντιστοίχως, την προστασία της ιδιωτικής ζωής και την προστασία των δεδομένων προσωπικού χαρακτήρα, αλλά και του άρθρου 11 του Χάρτη, σχετικά με την ελευθερία έκφρασης (πρβλ. αποφάσεις της 8ης Απριλίου 2014, Digital Rights Ireland κ.λπ., C‑293/12 και C‑594/12, EU:C:2014:238, σκέψεις 25 και 70, και της 21ης Δεκεμβρίου 2016, Tele2, C‑203/15 και C‑698/15, EU:C:2016:970, σκέψεις 91 και 92 και εκεί μνημονευόμενη νομολογία).
61 Τα ίδια αυτά ερωτήματα τίθενται και για άλλα είδη επεξεργασίας δεδομένων, όπως η διαβίβασή τους σε άλλα πρόσωπα πλην των χρηστών ή η πρόσβαση στα δεδομένα αυτά με σκοπό τη χρήση τους [βλ., κατ’ αναλογίαν, γνωμοδότηση 1/15 (Συμφωνία PNR ΕΕ‑Καναδά), της 26ης Ιουλίου 2017, EU:C:2017:592, σκέψεις 122 και 123 και εκεί μνημονευόμενη νομολογία].
62 Επομένως, κατά την ερμηνεία του άρθρου 15, παράγραφος 1, της οδηγίας 2002/58 πρέπει να λαμβάνεται υπόψη η σημασία τόσο του δικαιώματος στον σεβασμό της ιδιωτικής ζωής, το οποίο κατοχυρώνεται στο άρθρο 7 του Χάρτη, όσο και του δικαιώματος στην προστασία των δεδομένων προσωπικού χαρακτήρα, το οποίο κατοχυρώνεται στο άρθρο 8 του Χάρτη, όπως προκύπτει από τη νομολογία του Δικαστηρίου, καθώς και του δικαιώματος στην ελευθερία έκφρασης, το οποίο κατοχυρώνεται στο άρθρο 11 του Χάρτη, αποτελεί ένα από τα ουσιώδη θεμέλια μιας δημοκρατικής και πλουραλιστικής κοινωνίας και περιλαμβάνεται μεταξύ των αξιών επί των οποίων στηρίζεται, κατά το άρθρο 2 ΣΕΕ, η Ένωση (πρβλ. αποφάσεις της 6ης Μαρτίου 2001, Connolly κατά Επιτροπής, C‑274/99 P, EU:C:2001:127, σκέψη 39, και της 21ης Δεκεμβρίου 2016, Tele2, C‑203/15 και C‑698/15, EU:C:2016:970, σκέψη 93 και εκεί μνημονευόμενη νομολογία).
63 Εντούτοις, τα δικαιώματα που κατοχυρώνονται στα άρθρα 7, 8 και 11 του Χάρτη δεν αποτελούν απόλυτα προνόμια, αλλά πρέπει να λαμβάνονται υπόψη σε σχέση με τη λειτουργία τους εντός της κοινωνίας (πρβλ. απόφαση της 16ης Ιουλίου 2020, Facebook Ireland και Schrems, C‑311/18, EU:C:2020:559, σκέψη 172 και εκεί μνημονευόμενη νομολογία).
64 Πράγματι, όπως προκύπτει από το άρθρο 52, παράγραφος 1, του Χάρτη, ο εν λόγω Χάρτης δέχεται περιορισμούς στην άσκηση των εν λόγω δικαιωμάτων υπό την προϋπόθεση ότι οι περιορισμοί αυτοί προβλέπονται από τον νόμο, ότι συνάδουν με το βασικό περιεχόμενο των εν λόγω δικαιωμάτων και ελευθεριών και ότι, τηρουμένης της αρχής της αναλογικότητας, είναι αναγκαίοι και ανταποκρίνονται πραγματικά σε σκοπούς γενικού συμφέροντος που αναγνωρίζει η Ένωση ή στην ανάγκη προστασίας των δικαιωμάτων και ελευθεριών των τρίτων.
65 Επισημαίνεται ακόμη ότι η απαίτηση να προβλέπεται από τον νόμο κάθε περιορισμός στην άσκηση των θεμελιωδών δικαιωμάτων συνεπάγεται ότι η νομική βάση που επιτρέπει την επέμβαση στα δικαιώματα αυτά πρέπει να προσδιορίζει η ίδια το περιεχόμενο του περιορισμού στην άσκηση του οικείου δικαιώματος (απόφαση της 16ης Ιουλίου 2020, Facebook Ireland και Schrems, C‑311/18, EU:C:2020:559, σκέψη 175 και εκεί μνημονευόμενη νομολογία).
66 Σε σχέση με την τήρηση της αρχής της αναλογικότητας, το άρθρο 15, παράγραφος 1, πρώτη περίοδος, της οδηγίας 2002/58 ορίζει ότι τα κράτη μέλη δύνανται να λαμβάνουν μέτρο το οποίο εισάγει παρέκκλιση από την αρχή του απορρήτου των επικοινωνιών και των συναφών δεδομένων κίνησης, εφόσον αποτελεί «αναγκαίο, κατάλληλο και ανάλογο μέτρο σε μια δημοκρατική κοινωνία», υπό το πρίσμα των σκοπών που προβλέπει η εν λόγω διάταξη. Η αιτιολογική σκέψη 11 της εν λόγω οδηγίας διευκρινίζει ότι ένα τέτοιο μέτρο πρέπει να είναι «αυστηρώς» ανάλογο του προς επίτευξη σκοπού.
67 Συναφώς, υπενθυμίζεται ότι η προστασία του θεμελιώδους δικαιώματος στον σεβασμό της ιδιωτικής ζωής απαιτεί, κατά πάγια νομολογία του Δικαστηρίου, οι παρεκκλίσεις από την προστασία των δεδομένων προσωπικού χαρακτήρα και οι περιορισμοί της να μην υπερβαίνουν τα όρια του απολύτως αναγκαίου. Επιπλέον, δεν μπορεί να επιδιώκεται σκοπός γενικού συμφέροντος χωρίς να λαμβάνεται υπόψη το γεγονός ότι πρέπει να συμβιβάζεται με τα θεμελιώδη δικαιώματα που αφορά το μέτρο, μέσω ισόρροπης στάθμισης μεταξύ, αφενός, του σκοπού γενικού συμφέροντος και, αφετέρου, των επίμαχων δικαιωμάτων [πρβλ. αποφάσεις της 16ης Δεκεμβρίου 2008, Satakunnan Markkinapörssi και Satamedia, C‑73/07, EU:C:2008:727, σκέψη 56, της 9ης Νοεμβρίου 2010, Volker und Markus Schecke και Eifert, C‑92/09 και C‑93/09, EU:C:2010:662, σκέψεις 76, 77 και 86, και της 8ης Απριλίου 2014, Digital Rights Ireland κ.λπ., C‑293/12 και C‑594/12, EU:C:2014:238, σκέψη 52, και γνωμοδότηση 1/15 (Συμφωνία PNR ΕΕ‑Καναδά), της 26ης Ιουλίου 2017, EU:C:2017:592, σκέψη 140].
68 Προκειμένου να πληροί την απαίτηση αναλογικότητας, η ρύθμιση πρέπει να προβλέπει σαφείς και ακριβείς κανόνες που να διέπουν την έκταση και την εφαρμογή του οικείου μέτρου και να επιβάλλουν έναν ελάχιστο αριθμό απαιτήσεων, έτσι ώστε τα πρόσωπα των οποίων τα δεδομένα προσωπικού χαρακτήρα αποτελούν αντικείμενο του μέτρου αυτού να έχουν επαρκείς εγγυήσεις δυνάμενες να προστατεύσουν αποτελεσματικά τα δεδομένα αυτά από κινδύνους κατάχρησης. Η ρύθμιση αυτή πρέπει να είναι νομικώς δεσμευτική στο εσωτερικό δίκαιο και, ειδικότερα, να ορίζει υπό ποιες περιστάσεις και υπό ποιες συνθήκες μπορεί να ληφθεί μέτρο το οποίο προβλέπει την επεξεργασία τέτοιων δεδομένων, προκειμένου να διασφαλίζεται κατά τον τρόπο αυτόν ότι η επέμβαση θα περιορίζεται στο απολύτως αναγκαίο. Η ανάγκη να παρέχονται τέτοιες εγγυήσεις καθίσταται έτι σημαντικότερη όταν τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε αυτοματοποιημένη επεξεργασία, ιδιαίτερα δε όταν υπάρχει σημαντικός κίνδυνος παράνομης πρόσβασης σε αυτά. Τα προεκτεθέντα ισχύουν ιδίως σε περίπτωση κατά την οποία διακυβεύεται η προστασία της ειδικής αυτής κατηγορίας δεδομένων προσωπικού χαρακτήρα την οποία αποτελούν τα ευαίσθητα δεδομένα [πρβλ. αποφάσεις της 8ης Απριλίου 2014, Digital Rights Ireland κ.λπ., C‑293/12 και C‑594/12, EU:C:2014:238, σκέψεις 54 και 55, και της 21ης Δεκεμβρίου 2016, Tele2, C‑203/15 και C‑698/15, EU:C:2016:970, σκέψη 117, γνωμοδότηση 1/15 (Συμφωνία PNR ΕΕ‑Καναδά), της 26ης Ιουλίου 2017, EU:C:2017:592, σκέψη 141].
69 Όσον αφορά το ζήτημα αν εθνική ρύθμιση, όπως η επίμαχη στην κύρια δίκη, πληροί τις απαιτήσεις του άρθρου 15, παράγραφος 1, της οδηγίας 2002/58, σε συνδυασμό με τα άρθρα 7, 8 και 11 καθώς και με το άρθρο 52, παράγραφος 1, του Χάρτη, επισημαίνεται ότι η διαβίβαση των δεδομένων κίνησης και των δεδομένων θέσης σε άλλα πρόσωπα πλην των χρηστών, όπως είναι οι υπηρεσίες ασφαλείας και πληροφοριών, συνιστά παρέκκλιση από την αρχή της εμπιστευτικότητας. Εφόσον η διαδικασία αυτή πραγματοποιείται, όπως εν προκειμένω, κατά τρόπο γενικό και χωρίς διάκριση, έχει ως αποτέλεσμα να καθίσταται κανόνας η παρέκκλιση από την καταρχήν υποχρέωση διασφάλισης του απορρήτου των δεδομένων, ενώ το σύστημα που θεσπίζει η οδηγία 2002/58 απαιτεί η παρέκκλιση αυτή να παραμένει η εξαίρεση.
70 Επιπλέον, κατά πάγια νομολογία του Δικαστηρίου, η διαβίβαση των δεδομένων κίνησης και των δεδομένων θέσης σε τρίτο συνιστά επέμβαση στα θεμελιώδη δικαιώματα που κατοχυρώνονται στα άρθρα 7 και 8 του Χάρτη, όποια και αν είναι η μεταγενέστερη χρήση των δεδομένων αυτών. Συναφώς, ελάχιστη σημασία έχει αν οι επίμαχες πληροφορίες για την ιδιωτική ζωή έχουν ευαίσθητο χαρακτήρα ή αν οι ενδιαφερόμενοι υπέστησαν τυχόν δυσμενείς συνέπειες λόγω της επέμβασης αυτής [πρβλ. γνωμοδότηση 1/15 (Συμφωνία PNR ΕΕ‑Καναδά), της 26ης Ιουλίου 2017, EU:C:2017:592, σκέψεις 124 και 126 και εκεί μνημονευόμενη νομολογία, και απόφαση της 6ης Οκτωβρίου 2020, La Quadrature du Net κ.λπ., C‑511/18, C‑512/18 και C‑520/18, σκέψεις 115 και 116].
71 Η επέμβαση στο δικαίωμα που κατοχυρώνεται στο άρθρο 7 του Χάρτη την οποία συνεπάγεται η διαβίβαση των δεδομένων κίνησης και των δεδομένων θέσης στις υπηρεσίες ασφαλείας και πληροφοριών πρέπει να θεωρηθεί ως ιδιαιτέρως σοβαρή, λαμβανομένου ιδίως υπόψη του ευαίσθητου χαρακτήρα των πληροφοριών που μπορούν να παράσχουν τα εν λόγω δεδομένα και, ιδίως, της δυνατότητας προσδιορισμού, με βάση τα δεδομένα αυτά, του προφίλ των υποκειμένων των δεδομένων, καθόσον μια τέτοια πληροφορία είναι εξίσου ευαίσθητη με το ίδιο το περιεχόμενο των επικοινωνιών. Επιπλέον, μπορεί να δημιουργήσει στα υποκείμενα των δεδομένων την αίσθηση ότι η ιδιωτική τους ζωή αποτελεί αντικείμενο διαρκούς παρακολούθησης (βλ., κατ’ αναλογίαν, αποφάσεις της 8ης Απριλίου 2014, Digital Rights Ireland κ.λπ., C‑293/12 και C‑594/12, EU:C:2014:238, σκέψεις 27 και 37, καθώς και της 21ης Δεκεμβρίου 2016, Tele2, C‑203/15 και C‑698/15, EU:C:2016:970, σκέψεις 99 και 100).
72 Επισημαίνεται, ακόμη, ότι η διαβίβαση των δεδομένων κίνησης και των δεδομένων θέσης σε δημόσιες αρχές για σκοπούς ασφαλείας μπορεί, αφ’ εαυτής, να προσβάλει το δικαίωμα στον σεβασμό των επικοινωνιών, το οποίο κατοχυρώνεται στο άρθρο 7 του Χάρτη, και να έχει αποτρεπτικά αποτελέσματα για την άσκηση, από τους χρήστες των μέσων ηλεκτρονικών επικοινωνιών, της ελευθερίας έκφρασης, η οποία κατοχυρώνεται στο άρθρο 11 του Χάρτη. Τα αποτρεπτικά αυτά αποτελέσματα μπορούν να επηρεάσουν ειδικότερα τα πρόσωπα των οποίων οι επικοινωνίες υπόκεινται, σύμφωνα με τους εθνικούς κανόνες, στο επαγγελματικό απόρρητο, καθώς και τους μάρτυρες δημοσίου συμφέροντος των οποίων οι δραστηριότητες προστατεύονται από την οδηγία (ΕΕ) 2019/1937 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 23ης Οκτωβρίου 2019, σχετικά με την προστασία των προσώπων που αναφέρουν παραβιάσεις του δικαίου της Ένωσης (ΕΕ 2019, L 305, σ. 17). Επιπλέον, όσο μεγαλύτερος είναι ο αριθμός και η ποικιλία των διατηρούμενων δεδομένων τόσο επιτείνονται τα αποτελέσματα αυτά (πρβλ. αποφάσεις της 8ης Απριλίου 2014, Digital Rights Ireland κ.λπ., C‑293/12 και C‑594/12, EU:C:2014:238, σκέψη 28, της 21ης Δεκεμβρίου 2016, Tele2, C‑203/15 και C‑698/15, EU:C:2016:970, σκέψη 101, και της 6ης Οκτωβρίου 2020, La Quadrature du Net κ.λπ., C‑511/18, C‑512/18 και C‑520/18, σκέψη 118).
73 Τέλος, λαμβανομένης υπόψη της σημαντικής ποσότητας των δεδομένων κίνησης και των δεδομένων θέσης που μπορούν, δυνάμει μέτρου γενικής και χωρίς διάκριση διατήρησης, να διατηρούνται κατά τρόπο διαρκή καθώς και του ευαίσθητου χαρακτήρα των πληροφοριών που μπορούν να παρέχουν τα δεδομένα αυτά, η διατήρηση και μόνον των εν λόγω δεδομένων από τους παρόχους υπηρεσιών ηλεκτρονικών επικοινωνιών ενέχει κινδύνους κατάχρησης και παράνομης πρόσβασης.
74 Όσον αφορά τους σκοπούς που μπορούν να δικαιολογήσουν τέτοιες επεμβάσεις, και ειδικότερα τον επίμαχο στην κύρια δίκη σκοπό της διαφύλαξης της εθνικής ασφάλειας, επισημαίνεται εκ προοιμίου ότι το άρθρο 4, παράγραφος 2, ΣΕΕ ορίζει ότι η εθνική ασφάλεια παραμένει στην ευθύνη κάθε κράτους μέλους. Η ευθύνη αυτή ανταποκρίνεται στο πρωταρχικό συμφέρον της προστασίας των βασικών λειτουργιών του κράτους και των θεμελιωδών συμφερόντων της κοινωνίας και περιλαμβάνει την πρόληψη και την καταστολή δραστηριοτήτων ικανών να αποσταθεροποιήσουν σοβαρά τις θεμελιώδεις συνταγματικές, πολιτικές, οικονομικές ή κοινωνικές δομές μιας χώρας και, ειδικότερα, να απειλήσουν άμεσα την κοινωνία, τον πληθυσμό ή το ίδιο το κράτος, όπως είναι, μεταξύ άλλων, οι τρομοκρατικές δραστηριότητες (απόφαση της 6ης Οκτωβρίου 2020, La Quadrature du Net κ.λπ., C‑511/18, C‑512/18 και C‑520/18, σκέψη 135).
75 Πάντως, η σημασία του σκοπού της διαφύλαξης της εθνικής ασφάλειας, υπό το πρίσμα του άρθρου 4, παράγραφος 2, ΣΕΕ, υπερβαίνει τη σημασία των λοιπών σκοπών του άρθρου 15, παράγραφος 1, της οδηγίας 2002/58, ιδίως των σκοπών της καταπολέμησης της εγκληματικότητας εν γένει, έστω και σοβαρής, καθώς και της προστασίας της δημόσιας ασφάλειας. Πράγματι, απειλές όπως αυτές περί των οποίων γίνεται λόγος στην προηγούμενη σκέψη διακρίνονται, ως εκ της φύσεως και της ιδιαίτερης σοβαρότητάς τους, από τον γενικό κίνδυνο πρόκλησης εντάσεων ή έστω σοβαρών διαταράξεων της δημόσιας ασφάλειας. Επομένως, υπό την επιφύλαξη της τήρησης των λοιπών απαιτήσεων του άρθρου 52, παράγραφος 1, του Χάρτη, ο σκοπός της διαφύλαξης της εθνικής ασφάλειας μπορεί να δικαιολογήσει μέτρα που συνεπάγονται επεμβάσεις στα θεμελιώδη δικαιώματα σοβαρότερες από εκείνες που θα μπορούσαν να δικαιολογήσουν οι άλλοι αυτοί σκοποί (απόφαση της 6ης Οκτωβρίου 2020, La Quadrature du Net κ.λπ., C‑511/18, C‑512/18 και C‑520/18, σκέψη 136).
76 Εντούτοις, για να πληρούται η υπομνησθείσα στη σκέψη 67 της παρούσας απόφασης απαίτηση αναλογικότητας, κατά την οποία οι παρεκκλίσεις από την προστασία των δεδομένων προσωπικού χαρακτήρα και οι περιορισμοί της πρέπει να μην υπερβαίνουν τα όρια του απολύτως αναγκαίου, μια εθνική ρύθμιση συνεπαγόμενη επέμβαση στα θεμελιώδη δικαιώματα τα οποία κατοχυρώνονται στα άρθρα 7 και 8 του Χάρτη πρέπει να τηρεί τις απαιτήσεις που απορρέουν από τη νομολογία που παρατίθεται στις σκέψεις 65, 67 και 68 της παρούσας απόφασης.
77 Ειδικότερα, όσον αφορά την πρόσβαση μιας αρχής σε δεδομένα προσωπικού χαρακτήρα, μια τέτοια ρύθμιση δεν μπορεί να περιορίζεται στην απαίτηση η πρόσβαση των αρχών στα δεδομένα να ανταποκρίνεται στον σκοπό που επιδιώκει η ρύθμιση αυτή, αλλά πρέπει επίσης να προβλέπει τις ουσιαστικές και διαδικαστικές προϋποθέσεις που διέπουν τη χρήση των δεδομένων από τις αρμόδιες αρχές [βλ., κατ’ αναλογίαν, γνωμοδότηση 1/15 (Συμφωνία PNR ΕΕ‑Καναδά), της 26ης Ιουλίου 2017, EU:C:2017:592, σκέψη 192 και εκεί μνημονευόμενη νομολογία].
78 Επομένως, και στο μέτρο που δεν μπορεί να θεωρηθεί ότι μια γενική πρόσβαση σε όλα τα διατηρούμενα δεδομένα, ανεξαρτήτως του αν αυτά συνδέονται, τουλάχιστον έμμεσα, με τον επιδιωκόμενο σκοπό, περιορίζεται στο απολύτως αναγκαίο, η επίμαχη εθνική ρύθμιση πρέπει να στηρίζεται σε αντικειμενικά κριτήρια για τον προσδιορισμό των περιπτώσεων και των προϋποθέσεων υπό τις οποίες πρέπει να παρέχεται στις αρμόδιες εθνικές αρχές πρόσβαση στα επίμαχα δεδομένα (πρβλ. απόφαση της 21ης Δεκεμβρίου 2016, Tele2, C‑203/15 και C‑698/15, EU:C:2016:970, σκέψη 119 και εκεί μνημονευόμενη νομολογία).
79 Οι απαιτήσεις αυτές έχουν, κατά μείζονα λόγο, εφαρμογή στην περίπτωση νομοθετικού μέτρου όπως το επίμαχο στην κύρια δίκη, βάσει του οποίου η αρμόδια εθνική αρχή μπορεί να επιβάλει στους παρόχους υπηρεσιών ηλεκτρονικών επικοινωνιών την υποχρέωση να προβαίνουν στη γενική και χωρίς διάκριση κοινολόγηση με διαβίβαση των δεδομένων κίνησης και θέσης προς τις υπηρεσίες ασφαλείας και πληροφοριών. Πράγματι, μια τέτοια διαβίβαση έχει ως αποτέλεσμα να τίθενται τα δεδομένα αυτά στη διάθεση των δημοσίων αρχών [βλ., κατ’ αναλογίαν, γνωμοδότηση 1/15 (Συμφωνία PNR ΕΕ‑Καναδά), της 26 Ιουλίου 2017, EU:C:2017:592, σκέψη 212].
80 Δεδομένου ότι η διαβίβαση των δεδομένων κίνησης και των δεδομένων θέσης πραγματοποιείται κατά τρόπο γενικό και χωρίς διάκριση, αφορά συνολικώς όλα τα πρόσωπα που κάνουν χρήση υπηρεσιών ηλεκτρονικών επικοινωνιών. Επομένως, η εν λόγω ρύθμιση εφαρμόζεται ακόμη και σε πρόσωπα για τα οποία δεν υφίσταται καμία ένδειξη από την οποία να μπορεί να προκύψει ότι υφίσταται ενδεχομένως έστω έμμεση ή μακρινή σχέση μεταξύ της συμπεριφοράς τους και του σκοπού της διαφύλαξης της εθνικής ασφάλειας και, ειδικότερα, χωρίς να αποδεικνύεται σχέση μεταξύ των δεδομένων των οποίων προβλέπεται η διαβίβαση και της απειλής για την εθνική ασφάλεια (πρβλ. αποφάσεις της 8ης Απριλίου 2014, Digital Rights Ireland κ.λπ., C‑293/12 και C‑594/12, EU:C:2014:238, σκέψεις 57 και 58, και της 21ης Δεκεμβρίου 2016, Tele2, C‑203/15 και C‑698/15, EU:C:2016:970, σκέψη 105). Δεδομένου ότι η διαβίβαση τέτοιων δεδομένων στις δημόσιες αρχές ισοδυναμεί, σύμφωνα με όσα διαπιστώθηκαν στη σκέψη 79 της παρούσας απόφασης, με πρόσβαση, πρέπει να γίνει δεκτό ότι κανονιστική ρύθμιση η οποία επιτρέπει γενική και χωρίς διάκριση διαβίβαση των δεδομένων στις δημόσιες αρχές συνεπάγεται γενική πρόσβαση.
81 Επομένως, εθνική κανονιστική ρύθμιση η οποία επιβάλλει στους παρόχους υπηρεσιών ηλεκτρονικών επικοινωνιών την υποχρέωση να προβαίνουν, μέσω γενικής και χωρίς διάκριση διαβίβασης, στην κοινολόγηση των δεδομένων κίνησης και των δεδομένων θέσης προς τις υπηρεσίες ασφαλείας και πληροφοριών υπερβαίνει τα όρια του απολύτως αναγκαίου και δεν μπορεί να θεωρηθεί δικαιολογημένη σε μια δημοκρατική κοινωνία, όπως επιτάσσει το άρθρο 15, παράγραφος 1, της οδηγίας 2002/58, ερμηνευόμενο υπό το πρίσμα του άρθρου 4, παράγραφος 2, ΣΕΕ, καθώς και των άρθρων 7, 8 και 11 και του άρθρου 52, παράγραφος 1, του Χάρτη.
82 Λαμβανομένου υπόψη του συνόλου των προεκτεθέντων, στο δεύτερο προδικαστικό ερώτημα πρέπει να δοθεί η απάντηση ότι το άρθρο 15, παράγραφος 1, της οδηγίας 2002/58, ερμηνευόμενο υπό το πρίσμα του άρθρου 4, παράγραφος 2, ΣΕΕ, καθώς και των άρθρων 7, 8 και 11 και του άρθρου 52, παράγραφος 1, του Χάρτη, έχει την έννοια ότι αντιτίθεται σε εθνική ρύθμιση η οποία επιτρέπει σε κρατική αρχή να επιβάλλει στους παρόχους υπηρεσιών ηλεκτρονικών επικοινωνιών, για τους σκοπούς της διαφύλαξης της εθνικής ασφάλειας, την υποχρέωση γενικής και χωρίς διάκριση διαβίβασης των δεδομένων κίνησης και των δεδομένων θέσης στις υπηρεσίες ασφαλείας και πληροφοριών.
Επί των δικαστικών εξόδων
83 Δεδομένου ότι η παρούσα διαδικασία έχει ως προς τους διαδίκους της κύριας δίκης τον χαρακτήρα παρεμπίπτοντος που ανέκυψε ενώπιον του αιτούντος δικαστηρίου, σ’ αυτό εναπόκειται να αποφανθεί επί των δικαστικών εξόδων. Τα έξοδα στα οποία υποβλήθηκαν όσοι υπέβαλαν παρατηρήσεις στο Δικαστήριο, πλην των ως άνω διαδίκων, δεν αποδίδονται.
Για τους λόγους αυτούς, το Δικαστήριο (τμήμα μείζονος συνθέσεως) αποφαίνεται:
1) Το άρθρο 1, παράγραφος 3, το άρθρο 3 και το άρθρο 15, παράγραφος 1, της οδηγίας 2002/58/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 12ης Ιουλίου 2002, σχετικά με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα και την προστασία της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών (οδηγία για την προστασία ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες), όπως τροποποιήθηκε με την οδηγία 2009/136/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 25ης Νοεμβρίου 2009, ερμηνευόμενα υπό το πρίσμα του άρθρου 4, παράγραφος 2, ΣΕΕ, έχουν την έννοια ότι εμπίπτει στο πεδίο εφαρμογής της οδηγίας αυτής εθνική ρύθμιση η οποία επιτρέπει σε κρατική αρχή να επιβάλλει στους παρόχους υπηρεσιών ηλεκτρονικών επικοινωνιών την υποχρέωση να διαβιβάζουν στις υπηρεσίες ασφαλείας και πληροφοριών δεδομένα κίνησης και δεδομένα θέσης με σκοπό τη διαφύλαξη της εθνικής ασφάλειας.
2) Το άρθρο 15, παράγραφος 1, της οδηγίας 2002/58, όπως τροποποιήθηκε με την οδηγία 2009/136, ερμηνευόμενο υπό το πρίσμα του άρθρου 4, παράγραφος 2, ΣΕΕ, καθώς και των άρθρων 7, 8 και 11 και του άρθρου 52, παράγραφος 1, του Χάρτη των Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης, έχει την έννοια ότι αντιτίθεται σε εθνική ρύθμιση η οποία επιτρέπει σε κρατική αρχή να επιβάλλει στους παρόχους υπηρεσιών ηλεκτρονικών επικοινωνιών, με σκοπό τη διαφύλαξη της εθνικής ασφάλειας, υποχρέωση γενικής και χωρίς διάκριση διαβίβασης των δεδομένων κίνησης και των δεδομένων θέσης στις υπηρεσίες ασφαλείας και πληροφοριών.
(υπογραφές)