Väliaikainen versio
JULKISASIAMIEHEN RATKAISUEHDOTUS
MACIEJ SZPUNAR
27 päivänä lokakuuta 2022 (1)
Asia C-470/21
La Quadrature du Net,
Fédération des fournisseurs d’accès à Internet associatifs,
Franciliens.net ja
French Data Network
vastaan
Premier ministre ja
Ministère de la Culture
(Ennakkoratkaisupyyntö – Conseil d’État (ylin hallintotuomioistuin, Ranska))
Ennakkoratkaisupyyntö – Henkilötietojen käsittely ja yksityisyyden suoja sähköisen viestinnän alalla – Direktiivi 2002/58/EY – 15 artiklan 1 kohta – Jäsenvaltioiden mahdollisuus rajoittaa tiettyjen oikeuksien ja velvollisuuksien ulottuvuutta – Tuomioistuimen tai riippumattoman hallinnollisen elimen, jolla on velvoittava toimivalta, etukäteisvalvontaa koskeva velvollisuus – IP-osoitetta vastaavaa henkilöllisyyttä koskevat tiedot
I Johdanto
1. Internetin käyttäjien tietojen säilyttäminen ja oikeus saada näitä tietoja on jatkuvasti ajankohtainen kysymys, josta unionin tuomioistuimelle on kertynyt jo runsaasti viimeaikaista oikeuskäytäntöä.
2. Käsiteltävä asia tarjoaa unionin tuomioistuimelle tilaisuuden tarkastella tätä kysymystä uudessa asiayhteydessä, joka koskee yksinomaan verkossa tehtyjen immateriaalioikeuksien loukkausten torjuntaa.
II Asiaa koskevat oikeussäännöt
A Unionin oikeus
3. Direktiivin 2002/58/EY(2) 2, 6, 7, 11, 22, 26 ja 30 perustelukappaleessa todetaan seuraavaa:
”(2) Tässä direktiivissä pyritään kunnioittamaan perusoikeuksia ja siinä noudatetaan erityisesti Euroopan unionin perusoikeuskirjassa tunnustettuja periaatteita. Tässä direktiivissä pyritään erityisesti varmistamaan mainitun perusoikeuskirjan [jäljempänä perusoikeuskirja] 7 ja 8 artiklassa vahvistettujen oikeuksien täysimääräinen kunnioittaminen.
– –
(6) Internet mullistaa markkinoiden perinteisiä rakenteita tarjoamalla käyttöön yhteisen ja maailmanlaajuisen infrastruktuurin, jossa voidaan jakaa laajaa valikoimaa sähköisiä viestintäpalveluja. Internetissä yleisesti saatavilla olevat sähköiset viestintäpalvelut avaavat käyttäjille uusia mahdollisuuksia, mutta aiheuttavat samalla heidän henkilötietoihinsa ja yksityisyyteensä liittyviä uusia riskejä.
(7) Yleisten viestintäverkkojen osalta olisi annettava erityiset lait, asetukset ja tekniset määräykset, jotta luonnollisten henkilöiden perusoikeudet ja -vapaudet sekä oikeushenkilöiden oikeutetut edut voidaan suojata ottaen erityisesti huomioon tilaajia ja käyttäjiä koskevien tietojen automaattisen tallennus- ja käsittelykapasiteetin lisääntyminen.
– –
(11) Tämä direktiivi, samoin kuin direktiivi [95/46/EY(3)], ei koske perusoikeuksien ja -vapauksien turvaamista sellaisessa toiminnassa, joka ei kuulu yhteisön oikeuden soveltamisalaan. Tästä syystä se ei vaikuta tasapainoon, joka tällä hetkellä vallitsee yksittäisten henkilöiden yksityisyyden suojan ja niiden tämän direktiivin 15 artiklan 1 kohdassa tarkoitettujen toimenpiteiden välillä, joita jäsenvaltiot voivat toteuttaa yleisen turvallisuuden, maanpuolustuksen tai valtion turvallisuuden (valtion taloudellinen hyvinvointi mukaan lukien, kun toimet liittyvät valtion turvallisuuteen) suojelemiseksi sekä rikosoikeuden täytäntöönpanemiseksi. Näin ollen tämä direktiivi ei vaikuta jäsenvaltioiden mahdollisuuteen harjoittaa sähköisen viestinnän laillista telekuuntelua tai toteuttaa muita toimenpiteitä, jos ne ovat välttämättömiä edellä mainittuja tarkoituksia varten ja jos noudatetaan [Roomassa 4.11.1950 allekirjoitettua] ihmisoikeuksien ja perusvapauksien suojaamiseksi tehtyä eurooppalaista yleissopimusta sellaisena kuin sitä on Euroopan ihmisoikeustuomioistuimen päätöksissä tulkittu. Näiden toimenpiteiden on oltava asianmukaisia, niiden on ehdottomasti oltava oikeassa suhteessa niiden tarkoitukseen nähden sekä välttämättömiä demokraattisessa yhteiskunnassa ja ihmisoikeuksien ja perusvapauksien suojaamiseksi tehdyn eurooppalaisen yleissopimuksen mukaisia asianmukaisia suojamääräyksiä olisi sovellettava niihin.
– –
(22) Muiden kuin käyttäjien toimesta tai ilman käyttäjän suostumusta tapahtuvan viestinnän ja siihen liittyvien liikennetietojen tallentamisen kiellolla ei ole tarkoitus kieltää näiden tietojen automaatti-, väli- tai väliaikaistallennusta, jos sen ainoana tarkoituksena on välittää viestintää sähköisessä viestintäverkossa, edellyttäen, että tietoja ei tallenneta pidempään kuin on tarpeen niiden välittämistä ja liikenteen hallintaa varten ja että niiden luottamuksellisuus voidaan taata myös niiden ollessa tallennettuina. – –
– –
(26) Tilaajiin liittyvät tiedot, joita käsitellään sähköisissä viestintäverkoissa liittymien luomiseksi ja tietojen välittämiseksi, sisältävät tietoja luonnollisten henkilöiden yksityiselämästä ja koskevat heidän oikeuttaan viestintänsä suojaan tai oikeushenkilöiden oikeutettuja etuja. Tällaista tietoa voidaan tallentaa vain siinä määrin, kuin se on palvelun tarjoamisen kannalta välttämätöntä laskutuksen tai yhteenliittämismaksujen vuoksi ja vain rajoitetun ajan. Kaikki muu tällaisen tiedon jatkokäsittely – – sallitaan ainoastaan, jos tilaaja on tähän suostunut yleisesti saatavilla olevan sähköisen viestintäpalvelun tarjoajan hänelle antamien täsmällisten ja täydellisten tietojen perusteella, jotka koskevat näitä suunniteltuja jatkokäsittelymuotoja ja tilaajan oikeutta olla antamatta suostumustaan tai peruuttaa suostumuksensa tällaiseen käsittelyyn. – –
– –
(30) Sähköisiä viestintäverkkoja ja -palveluita tarjoavat järjestelmät olisi suunniteltava niin, että tarvittavien henkilötietojen määrä rajoitetaan mahdollisimman pieneksi. – –”
4. Kyseisen direktiivin 2 artiklassa, jonka otsikko on ”Määritelmät”, säädetään seuraavaa:
”– –
Lisäksi tässä direktiivissä tarkoitetaan
a) ’käyttäjällä’ luonnollisia henkilöitä, jotka käyttävät yleisesti saatavilla olevaa sähköistä viestintäpalvelua yksityis- tai liikeasioihin olematta välttämättä tämän palvelun tilaajia;
b) ’liikennetiedoilla’ tietoja, joita käsitellään sähköisessä viestintäverkossa välitettävää viestintää tai sen laskutusta varten;
c) ’paikkatiedoilla’ sähköisessä viestintäverkossa tai sähköisen viestintäpalvelun avulla käsiteltäviä tietoja, jotka ilmaisevat yleisesti saatavilla olevan sähköisen viestintäpalvelun käyttäjän päätelaitteen maantieteellisen sijainnin;
d) ’viestinnällä’ tietoa, jota vaihdetaan tai jota siirretään tiettyjen osapuolten kesken yleisesti saatavilla olevan sähköisen viestintäpalvelun avulla. Määritelmään ei sisälly tieto, joka välitetään yleisradiotoiminnan yhteydessä yleisölle sähköisessä viestintäverkossa, paitsi siltä osin kuin tieto voidaan yhdistää tietoa vastaanottavaan tunnistettavissa olevaan tilaajaan tai käyttäjään;
– –”
5. Kyseisen direktiivin 3 artiklassa, jonka otsikko on ”Palvelut”, säädetään seuraavaa:
”Tätä direktiiviä sovelletaan henkilötietojen käsittelyyn, joka liittyy yleisesti saatavilla olevien sähköisten viestintäpalvelujen tarjoamiseen yleisissä viestintäverkoissa yhteisössä, mukaan luettuina tiedonkeruu- ja tunnistuslaitteita tukevat yleiset viestintäverkot.”
6. Saman direktiivin 5 artiklassa, jonka otsikko on ”Viestinnän luottamuksellisuus”, säädetään seuraavaa:
”1. Jäsenvaltioiden on kansallisella lainsäädännöllä varmistettava yleisen viestintäverkon ja yleisesti saatavilla olevien sähköisten viestintäpalvelujen välityksellä tapahtuvan viestinnän ja siihen liittyvien liikennetietojen luottamuksellisuus. Niiden on erityisesti kiellettävä se, että muut henkilöt kuin käyttäjät ilman kyseisten käyttäjien nimenomaista suostumusta kuuntelevat, salakuuntelevat, tallentavat tai muulla tavalla sieppaavat tai valvovat viestintää ja siihen liittyviä liikennetietoja, jollei se ole laillisesti sallittua 15 artiklan 1 kohdan mukaisesti. Mitä tässä kohdassa säädetään, ei estä teknistä tallentamista, joka on tarpeen viestinnän välittämiselle, tämän rajoittamatta luottamuksellisuuden periaatteen soveltamista.
– –
3. Jäsenvaltioiden on varmistettava, että tietojen tallentaminen tai tilaajan tai käyttäjän päätelaitteelle tallennettujen tietojen käyttäminen sallitaan ainoastaan sillä edellytyksellä, että kyseinen tilaaja tai käyttäjä on antanut suostumuksensa saatuaan selkeät ja kattavat tiedot muun muassa käsittelyn tarkoituksesta direktiivin [95/46] mukaisesti. Tämä ei estä teknistä tallentamista tai käyttöä, jonka ainoana tarkoituksena on toteuttaa viestinnän välittäminen sähköisissä viestintäverkoissa tai joka on ehdottoman välttämätöntä tietoyhteiskuntapalvelun tarjoajalle sellaisen palvelun tarjoamiseksi, jota tilaaja tai käyttäjä on erityisesti pyytänyt.”
7. Direktiivin 2002/58 6 artiklassa, jonka otsikko on ”Liikennetiedot”, säädetään seuraavaa:
”1. Tilaajia ja käyttäjiä koskevat liikennetiedot, jotka yleisen viestintäverkon tai yleisesti saatavilla olevien sähköisten viestintäpalvelujen tarjoaja käsittelee ja tallentaa, on poistettava tai tehtävä nimettömiksi, kun niitä ei enää tarvita viestinnän välittämiseen, sanotun kuitenkaan rajoittamatta tämän artiklan 2, 3 ja 5 kohdan sekä 15 artiklan 1 kohdan soveltamista.
2. Tilaajalaskutusta ja yhteenliittämismaksuja varten tarvittavia liikennetietoja voidaan käsitellä. Tällainen käsittely on sallittua ainoastaan sen ajanjakson loppuun asti, jona lasku voidaan laillisesti riitauttaa tai maksu periä.
– –”
8. Direktiivin 2002/58 15 artiklan, jonka otsikko on ”Direktiivin [95/46] tiettyjen säännösten soveltaminen”, 1 kohdassa säädetään seuraavaa:
”Jäsenvaltiot voivat toteuttaa lainsäädännöllisiä toimenpiteitä, joilla rajoitetaan tämän direktiivin 5 artiklassa, 6 artiklassa, 8 artiklan 1, 2, 3 ja 4 kohdassa sekä 9 artiklassa säädettyjen oikeuksien ja velvollisuuksien soveltamisalaa, jos tällaiset rajoitukset ovat välttämättömiä, asianmukaisia ja oikeasuhteisia demokraattisen yhteiskunnan toimenpiteitä kansallisen turvallisuuden (valtion turvallisuus) sekä puolustuksen, yleisen turvallisuuden tai rikosten tai sähköisen viestintäjärjestelmän luvattoman käytön torjunnan, tutkinnan, selvittämisen ja syyteharkinnan varmistamiseksi direktiivin [95/46] 13 artiklan 1 kohdan mukaisesti. Tätä varten jäsenvaltiot voivat muun muassa hyväksyä lainsäädännöllisiä toimenpiteitä, joissa säädetään tietojen säilyttämisestä sellaiseksi rajoitetuksi ajaksi, joka on perusteltua tässä kohdassa säädetyistä syistä. Kaikkien tässä kohdassa tarkoitettujen toimenpiteiden on oltava [unionin] oikeuden yleisten periaatteiden mukaisia, mukaan lukien [SEU] 6 artiklan 1 ja 2 kohdassa tarkoitetut periaatteet.”
B Ranskan oikeus
1. Immateriaalioikeuskoodeksi
9. Immateriaalioikeuskoodeksin (code de la propriété intellectuelle), sellaisena kuin sitä sovelletaan pääasiaan (jäljempänä CPI), L. 331-12 §:ssä säädetään seuraavaa:
”Haute Autorité pour la diffusion des œuvres et la protection des droits sur internet [Internetissä tapahtuvasta teosten jakelusta ja oikeuksien suojaamisesta vastaava korkea viranomainen, Ranska; jäljempänä Hadopi] on riippumaton viranomainen.”
10. CPI:n L. 331-13 §:ssä säädetään seuraavaa:
”[Hadopi] hoitaa seuraavia tehtäviä:
– –
2° [Sähköisissä viestintäverkoissa tekijänoikeudella tai lähioikeuksilla suojattujen teosten ja aineistojen] suojaaminen yleisölle tarkoitettujen verkkoviestintäpalvelujen tarjontaan käytettävissä sähköisissä viestintäverkoissa tapahtuvilta oikeudenloukkauksilta; – –”
11. CPI:n L. 331-15 §:ssä säädetään seuraavaa:
”[Hadopi] muodostuu viranomaiskollegiosta ja oikeuksien suojaamisesta vastaavasta lautakunnasta. – –
– –
Toimivaltuuksiaan käyttäessään viranomaiskollegion ja oikeuksien suojaamisesta vastaavan lautakunnan jäsenet eivät saa ottaa ohjeita miltään muulta viranomaiselta.”
12. CPI:n L. 331-17 §:ssä säädetään seuraavaa:
”Oikeuksien suojaamisesta vastaavan lautakunnan tehtävänä on toteuttaa L. 331-25 §:ssä tarkoitetut toimenpiteet.”
13. CPI:n L. 331-21 §:ssä säädetään seuraavaa:
”[Hadopilla] on oikeuksien suojaamisesta vastaavan lautakunnan toimivaltuuksien käyttämistä varten valantehneitä virkamiehiä, jotka [Hadopin] puheenjohtaja on valtuuttanut Conseil d’État’n kuulemisen jälkeen annetussa asetuksessa vahvistetuilla edellytyksillä. – –
Oikeuksien suojaamisesta vastaavassa lautakunnassa L. 331-24 §:ssä säädetyillä edellytyksillä vireille pannut asiat toimitetaan kyseisen lautakunnan jäsenille ja ensimmäisessä momentissa mainituille virkamiehille. He suorittavat tosiseikkojen tutkinnan.
He voivat saada menettelyn tarpeita varten kaikki asiakirjat, riippumatta siitä, missä muodossa ne ovat, mukaan lukien sähköisen viestinnän operaattorien postista ja sähköisestä viestinnästä annetun koodeksin [code des postes et des communications électroniques] L. 34-1 §:n mukaisesti säilyttämät ja käsittelemät tiedot ja luottamuksesta digitaalisessa taloudessa 21.6.2004 annetun lain nro 2004-575 [loi no 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique] 6 artiklan 1 momentin 1 ja 2 kohdassa mainittujen palveluntarjoajien säilyttämät ja käsittelemät tiedot.
He voivat myös saada jäljennöksen edellisessä momentissa mainituista asiakirjoista.
He voivat muun muassa saada sähköisen viestinnän toimijoilta sellaisen tilaajan henkilötiedot, postiosoitteen, sähköpostiosoitteen ja puhelinyhteystiedot, jonka yhteyttä yleisölle tarkoitettuihin verkkoviestintäpalveluihin on käytetty kappaleen valmistamiseen suojatuista teoksista tai aineistoista, niiden esittämiseen, saattamiseen yleisön saataville tai yleisölle välittämiseen ilman – – oikeuksien haltijoiden lupaa, jos lupa vaaditaan.”
14. CPI:n L. 331-24 §:ssä säädetään seuraavaa:
”Oikeuksien suojaamisesta vastaava lautakunta toimii
– lainmukaisesti perustettujen alan edunvalvonnasta vastaavien elinten;
– yhteishallinnointiorganisaatioiden;
– Centre national du cinéma et de l’image animéen (kansallinen elokuva- ja animaatiokuvakeskus)
nimeämien – – valantehneiden ja valtuutettujen virkamiesten kyseisessä lautakunnassa vireille panemissa asioissa.
Oikeuksien suojaamisesta vastaava lautakunta voi toimia asiassa myös syyttäjän (procureur de la République) sille toimittamien tietojen perusteella.
Lautakunnan käsiteltäväksi ei voida saattaa asiaa, joka koskee yli kuuden kuukauden takaisia tekoja.”
15. CPI:n L. 331-25 § koskee menettelyä, josta käytetään nimitystä ”porrastettu reagointi” (”réponse graduée”), ja siinä säädetään seuraavaa:
”Kun oikeuksien suojaamisesta vastaavan lautakunnan käsiteltäväksi saatetaan asia, jossa kyseessä olevat teot voivat merkitä [CPI:n] L. 336-3 §:ssä määritellyn velvoitteen laiminlyöntiä, se voi antaa tilaajalle – – suosituksen, jossa muistutetaan L. 336-3 §:n säännöksistä, kehotetaan tilaajaa noudattamaan kyseisissä säännöksissä määriteltyä velvoitetta ja varoitetaan L. 335-7 ja L. 335-7-1 §:n mukaisesti määrättävistä seuraamuksista. Suosituksessa myös annetaan tilaajalle tietoja kulttuurisisältöjen lainmukaisesta verkkotarjonnasta ja ilmoitetaan suojaamiskeinoista, joiden avulla L. 336-3 §:ssä määritellyn velvoitteen laiminlyöntejä voidaan ehkäistä, ja riskeistä, joita tekijänoikeutta ja lähioikeuksia loukkaavista käytännöistä aiheutuu luovan taiteellisen työn jatkumiselle ja kulttuurielinkeinolle.
Jos teot, jotka voivat merkitä L. 336-3 §:ssä määritellyn velvoitteen laiminlyöntiä, toistuvat kuuden kuukauden kuluessa ensimmäisessä momentissa tarkoitetun suosituksen antamisesta, lautakunta voi antaa sähköisesti uuden suosituksen, joka sisältää samat tiedot kuin edellinen – –. Lautakunnan on toimitettava tämä suositus allekirjoitusta vastaan luovutettavalla kirjeellä tai muulla välineellä, jolla voidaan osoittaa suosituksen antamispäivämäärä.
Tämän pykälän perusteella annettavissa suosituksissa mainitaan päivämäärä ja kellonaika, jona teot, jotka voivat merkitä L. 336-3 §:ssä määritellyn velvollisuuden laiminlyöntiä, on todettu. Suosituksissa ei kuitenkaan ilmaista niiden teosten tai suojattujen aineistojen sisältöä, joita tämä laiminlyönti koskee. Suosituksissa ilmoitetaan puhelinyhteystiedot, postiosoite ja sähköpostiosoite, joihin vastaanottaja voi ottaa yhteyttä halutessaan esittää oikeuksien suojaamisesta vastaavalle lautakunnalle huomautuksia ja joista hän voi saada pyynnöstä lisätietoja niiden teosten tai suojattujen aineistojen sisällöstä, joita hänen syykseen luettu laiminlyönti koskee.”
16. CPI:n L. 331-29 §:ssä säädetään seuraavaa:
”[Hadopilla] on oikeus sellaisten henkilötietojen automaattiseen käsittelyyn, jotka koskevat menettelyn kohteena olevia henkilöitä tämän alajakson yhteydessä.
Kyseisen tietojenkäsittelyn tarkoituksena on oikeuksien suojaamisesta vastaavan lautakunnan toimesta tapahtuva tässä alajaksossa säädettyjen toimenpiteiden ja kaikkien menettelyyn liittyvien toimien toteuttaminen ja yksityiskohtaisten sääntöjen, jotka koskevat alan edunvalvonnasta vastaaville elimille ja tekijänoikeusmaksujen keräämisestä ja jakamisesta vastaaville järjestöille tiedottamista asian mahdollisesta saattamisesta oikeusviranomaisen käsiteltäväksi, täytäntöönpano sekä L. 335-7 §:n viidennessä momentissa säädettyjen tiedoksiantojen toteuttaminen.
Tämän pykälän soveltamista koskevat yksityiskohtaiset säännöt vahvistetaan – – asetuksella. Kyseisessä asetuksessa täsmennetään erityisesti:
– tallennettavien tietojen ryhmät ja niiden säilyttämisaika;
– vastaanottajat, jolla on oikeus saada näitä tietoja, erityisesti henkilöt, joiden toimintaan kuuluu tarjota yhteys yleisölle tarkoitettuihin verkkoviestintäpalveluihin;
– edellytykset, joilla asianomaiset henkilöt voivat käyttää [Hadopissa] oikeuttaan saada heitä koskevia tietoja – –”
17. CPI:n R. 331-37 §:ssä säädetään seuraavaa:
”– – sähköisen viestinnän operaattoreilla ja – – palveluntarjoajilla on velvollisuus välittää yhteydellä [CPI:n] L. 331-29 §:ssä mainittuun henkilötietojen automaattiseen käsittelyjärjestelmään tai käyttämällä tallennusvälinettä, joka varmistaa tietojen koskemattomuuden ja tietoturvan, henkilötiedot ja [sen 5.3.2010 annetun asetuksen nro 2010-236, joka koskee [CPI:n] L. 331-29 §:ssä sallittua henkilötietojen automaattista käsittelyä, josta käytetään nimitystä ”Système de gestion des mesures pour la protection des œuvres sur internet” (teosten suojaamista internetissä koskevien toimenpiteiden hallintajärjestelmä)(4)] liitteen 2 kohdassa mainitut tiedot kahdeksan päivän kuluessa sen jälkeen, kun oikeuksien suojaamisesta vastaava lautakunta on välittänyt sellaisen tilaajan tunnistamiseen tarvittavat tekniset tiedot, jonka pääsyä yleisesti saatavilla olevia verkkoviestintäpalveluja koskeviin tietoihin on käytetty kappaleen valmistamiseen suojatuista teoksista tai aineistoista, niiden esittämiseen, saattamiseen yleisön saataville tai yleisölle välittämiseen ilman – – oikeuksien haltijoiden lupaa, jos lupa vaaditaan.
– –”
18. CPI:n R. 335-5 §:ssä säädetään seuraavaa:
”I. Törkeänä huolimattomuutena, josta rangaistaan viidennen luokan rikkomuksista säädetyllä sakolla, pidetään sitä, että yleisölle tarkoitettuja verkkoviestintäpalveluja koskevan yhteyden haltija on ilman perusteltua syytä ja jäljempänä II momentin mukaisten edellytysten täyttyessä menetellyt seuraavasti:
1° ei ole ottanut käyttöön mitään keinoa yhteyden suojaamiseksi tai
2° on toiminut huolimattomasti ottaessaan käyttöön kyseisen keinon.
II. Edellä olevan I momentin säännöksiä ei sovelleta, jos seuraavat kaksi edellytystä täyttyvät:
1° Yhteyden haltija on L. 331-25 §:n mukaisesti ja kyseisessä pykälässä tarkoitetuilla tavoilla saanut oikeuksien suojaamisesta vastaavalta lautakunnalta suosituksen ottaa yhteyden suojaamiseksi käyttöön keinon, jolla varmistetaan, ettei kyseistä yhteyttä enää toistamiseen käytetä kappaleen valmistamiseen suojatuista teoksista tai aineistoista, niiden esittämiseen, saattamiseen yleisön saataville tai yleisölle välittämiseen ilman – – oikeuksien haltijoiden lupaa, jos lupa vaaditaan;
2° Kyseisen suosituksen antamista seuraavana vuonna kyseistä yhteyttä on toistamiseen käytetty tämän II momentin 1° kohdassa mainittuihin tarkoituksiin.”
19. CPI:n L. 336-3 §:ssä säädetään seuraavaa:
”Yleisölle tarkoitettuja verkkoviestintäpalveluja koskevan yhteyden haltija on velvollinen huolehtimaan siitä, ettei kyseistä yhteyttä käytetä kappaleen valmistamiseen tekijänoikeudella tai lähioikeudella suojatuista teoksista tai aineistoista, niiden esittämiseen, saattamiseen yleisön saataville tai yleisölle välittämiseen ilman – – oikeuksien haltijan lupaa, jos lupa vaaditaan.
Se, että yhteyden haltija laiminlyö ensimmäisessä momentissa tarkoitetun velvollisuuden, ei johda asianomaisen henkilön rikosoikeudelliseen vastuuseen – –.”
2. 5.3.2010 annettu asetus
20. 5.3.2010 annetun asetuksen, sellaisena kuin sitä sovelletaan pääasian tosiseikkoihin, 1 §:ssä säädetään seuraavaa:
”Henkilötietojen automaattisen käsittelyn, josta käytetään nimitystä ’teosten suojaamista internetissä koskevien toimenpiteiden hallintajärjestelmä’, tarkoituksena on, että [Hadopin] oikeuksien suojaamisesta vastaava lautakunta panee täytäntöön:
1° [CPI:n] lait sisältävän osion III osassa (III osaston I luvun 3 jakson 3 alajakso) ja [CPI:n] asetukset sisältävän osion III osassa (III osaston I luvun 2 jakson 2 alajakso) tarkoitetut toimenpiteet;
2° Tekojen, jotka voivat olla [CPI:n] L. 335-2, L. 335-3, L. 335-4 ja R. 335-5 §:ssä tarkoitettuja rikkomuksia, saattaminen syyttäjän käsiteltäväksi ja tästä käsiteltäväksi saattamisesta ilmoittaminen alan edunvalvonnasta vastaaville elimille ja yhteishallinnointiorganisaatioille;
– –”
21. Kyseisen asetuksen 4 §:ssä säädetään seuraavaa:
”I. [Hadopin] puheenjohtajan [CPI:n] L. 331-21 §:n mukaisesti valtuuttamilla valantehneillä virkamiehillä ja edellä 1 §:ssä mainitun oikeuksien suojaamisesta vastaavan lautakunnan jäsenillä on oikeus saada suoraan henkilötietoja ja tämän asetuksen liitteessä mainittuja tietoja.
II. Seuraavien tietojen vastaanottajia ovat sähköisen viestinnän operaattorit ja tämän asetuksen liitteessä olevassa 2° kohdassa mainitut palveluntarjoajat:
– tilaajan tunnistamiseen tarvittavat tekniset tiedot;
– [CPI:n] L. 331-25 §:ssä tarkoitetut suositukset, jotka on tarkoitettu lähetettäväksi sähköisesti tilaajille;
– tiedot, jotka syyttäjän ilmoitettua oikeuksien suojaamisesta vastaavalle lautakunnalle lisärangaistuksista, joilla keskeytetään yhteys yleisölle tarkoitettuun verkkoviestintäpalveluun, ovat tarpeen niiden täytäntöönpanoa varten.
III. Sellaisten tietojen, jotka koskevat asian saattamista syyttäjän käsiteltäväksi, vastaanottajia ovat alan edunvalvonnasta vastaavat elimet ja yhteishallinnointiorganisaatiot.
IV. Sellaisten tekojen toteamista, jotka voivat olla [CPI:n] L. 335-2, L. 335-3, L. 335-4, L. 335-7, R. 331-37, R. 331-38 ja R. 335-5 §:ssä tarkoitettuja rikoksia, koskevien pöytäkirjojen vastaanottajia ovat oikeusviranomaiset.
Yhteyden keskeyttämistä koskevan rangaistuksen täytäntöönpanosta tehdään merkintä automaattiseen rikosrekisteriin.”
22. 5.3.2010 annetun asetuksen liitteessä säädetään seuraavaa:
”Tietojenkäsittelyjärjestelmään nimeltä ’teosten suojaamista internetissä koskevien toimenpiteiden hallintajärjestelmä’ tallennetaan seuraavat henkilötiedot ja muut tiedot:
1° Henkilötiedot ja lainmukaisesti perustetuilta alan edunvalvonnasta vastaavilta elimiltä, yhteishallinnointiorganisaatioilta ja Centre national du cinéma et de l’image animéelta sekä syyttäjältä saadut tiedot:
Teot, jotka voivat merkitä [CPI:n] L. 336-3 §:ssä määritellyn velvollisuuden laiminlyöntiä:
Tekojen päivämäärä ja kellonaika;
Asianomaisten tilaajien IP-osoitteet;
Käytetty vertaisverkkoprotokolla;
Tilaajan käyttämä peitenimi;
Tiedot teoksista tai suojatuista aineistoista, joita teot koskevat;
Tiedostonimi, sellaisena kuin se ilmenee tilaajan laitteen yksilöintitunnuksesta (tarvittaessa);
Internetyhteyden tarjoaja, jolta yhteys on tilattu tai joka on toimittanut teknisen IP-resurssin. – –
2° Henkilötiedot ja tilaajaan liittyvät muut tiedot, jotka on kerätty sähköisen viestinnän operaattoreilta – – ja palveluntarjoajilta – –:
sukunimi, etunimet;
posti- ja sähköpostiosoite;
puhelinyhteystiedot;
tilaajan puhelinlaitteiston osoite;
internetyhteyden tarjoaja, joka käyttää sen edellä 1° kohdassa mainitun internetyhteyden tarjoajan teknisiä resursseja, jonka kanssa tilaaja on tehnyt sopimuksen; asiakirjanumero;
päivämäärä, josta alkaen yhteys yleisölle tarkoitettuun verkkoviestintäpalveluun keskeytetään.
– –”
3. Postista ja sähköisestä viestinnästä annettu koodeksi
23. Postista ja sähköisestä viestinnästä annetun koodeksin (code des postes et des communications électroniques), sellaisena kuin se on muutettuna 30.7.2021 annetun lain nro 2021-998(5) 17 §:llä (jäljempänä CPCE), L. 34-1 §:n II bis momentissa säädetään, että ”sähköisen viestinnän operaattorien on säilytettävä:
1° Rikosoikeudellisia menettelyjä, yleiseen turvallisuuteen kohdistuvien uhkien ehkäisemistä ja kansallisen turvallisuuden takaamista varten käyttäjän henkilöllisyyttä koskevat tiedot, kunnes viisi vuotta on kulunut hänen sopimuksensa voimassaolon päättymisestä;
2° Edellä 1 kohdassa mainittuja tarkoituksia varten muut tiedot, jotka käyttäjä antaa sopimusta tehtäessä tai tiliä perustettaessa sekä tiedot maksusta, kunnes vuosi on kulunut hänen sopimuksensa voimassaolon päättymisestä tai tilinsä päättämisestä;
3° Rikollisuuden ja vakavan rikollisuuden torjumista, yleiseen turvallisuuteen kohdistuvien vakavien uhkien ehkäisemistä ja kansallisen turvallisuuden takaamista varten tekniset tiedot, joiden avulla voidaan yksilöidä liittymän lähde, tai käytettyjä päätelaitteita koskevat tekniset tiedot, kunnes vuosi on kulunut päätelaitteiden liittämisestä tai käytöstä.”
III Pääasia, ennakkoratkaisukysymykset ja asian käsittely unionin tuomioistuimessa
24. La Quadrature du Net, Fédération des fournisseurs d’accès à Internet associatifs, Franciliens.net ja French Data Network nostivat 12.8.2019 päivätyllä kannekirjelmällä ja 12.11.2019 ja 6.5.2021 päivätyillä lisäkirjelmillä Conseil d’État’ssa kanteen, jossa vaadittiin kumoamaan implisiittinen päätös, jolla Premier ministre (pääministeri, Ranska) hylkäsi niiden vaatimuksen 5.3.2010 annetun asetuksen kumoamisesta, vaikka kyseisellä asetuksella ja sen oikeudellisen perustan muodostavilla säännöksillä paitsi loukataan kohtuuttomasti Ranskan perustuslaissa taattuja oikeuksia myös rikotaan direktiivin 2002/58 15 artiklaa ja perusoikeuskirjan 7, 8, 11 ja 52 artiklaa.
25. Pääasian kantajat väittävät erityisesti, että 5.3.2010 annetussa asetuksessa ja sen oikeudellisen perustan muodostavissa säännöksissä sallitaan yhteystietojen saaminen suhteettomalla tavalla sellaisten internetissä tapahtuneiden tekijänoikeusrikkomusten osalta, jotka eivät ole vakavia, ilman tuomioistuimen tai viranomaisen etukäteisvalvontaa, joka tarjoaa takeet riippumattomuudesta ja puolueettomuudesta.
26. Tältä osin ennakkoratkaisua pyytänyt tuomioistuin ensinnäkin toteaa, että unionin tuomioistuin on todennut äskettäin antamassaan tuomiossa La Quadrature du Net ym.,(6) että direktiivin 2002/58 15 artiklan 1 kohdan säännökset, luettuina Euroopan unionin perusoikeuskirjan 7, 8 ja 11 artiklan ja 52 artiklan 1 kohdan valossa, eivät ole esteenä lainsäädännöllisille toimenpiteille, joissa säädetään kansallisen turvallisuuden suojaamiseksi, rikollisuuden torjumiseksi ja yleisen turvallisuuden suojaamiseksi sähköisten viestintävälineiden käyttäjien henkilöllisyyttä koskevien tietojen yleisestä ja erotuksetta tapahtuvasta säilyttämisestä. Siksi näitä tietoja voidaan säilyttää tällä tavalla ilman erityistä määräaikaa rikosten tutkintaa, selvittämistä ja syyteharkintaa yleisesti koskeviin tarkoituksiin.
27. Tästä ennakkoratkaisua pyytänyt tuomioistuin päättelee, että pääasian kantajien esittämä kanneperuste, jonka mukaan 5.3.2010 annettu asetus on lainvastainen siltä osin kuin se on annettu sellaisten rikosten torjumisen yhteydessä, jotka eivät ole vakavia, on hylättävä.
28. Kyseinen tuomioistuin muistuttaa, että unionin tuomioistuin on tuomiossa Tele2 Sverige ja Watson(7) todennut, että direktiivin 2002/58 15 artiklan 1 kohtaa, luettuna yhdessä perusoikeuskirjan 7, 8 ja 11 artiklan ja 52 artiklan 1 kohdan kanssa, on tulkittava siten, että se on esteenä kansalliselle säännöstölle, jossa säännellään liikenne- ja paikkatietojen suojaa ja turvaa ja erityisesti toimivaltaisten kansallisten viranomaisten oikeutta saada säilytettäviä tietoja ja jossa tietojen saannin edellytykseksi ei aseteta tuomioistuimen tai riippumattoman hallintoviranomaisen suorittamaa etukäteisvalvontaa.
29. Ennakkoratkaisua pyytänyt tuomioistuin korostaa, että unionin tuomioistuin on tuomiossa Tele2(8) täsmentänyt, että sen takaamiseksi, että näitä edellytyksiä noudatetaan käytännössä täysimääräisesti, on olennaista se, että toimivaltaisten kansallisten viranomaisten oikeus saada säilytettyjä tietoja edellyttää lähtökohtaisesti asianmukaisesti perusteltuja kiireellisiä tapauksia lukuun ottamatta joko tuomioistuimen tai riippumattoman hallinnollisen elimen etukäteisvalvontaa, ja sitä, että kyseisen tuomioistuimen tai elimen ratkaisu annetaan perustellusta pyynnöstä, jonka nämä viranomaiset esittävät rikoksen estämis-, selvittämis- tai syyteharkintamenettelyssä.
30. Ennakkoratkaisua pyytänyt tuomioistuin toteaa, että unionin tuomioistuin on muistuttanut tästä vaatimuksesta tuomiossa La Quadrature du Net ym.,(9) jossa oli kyse yhteystietojen keräämisestä reaaliajassa tiedustelupalvelun toimesta, ja tuomiossa Prokuratuur (Sähköiseen viestintään liittyvien tietojen saannin edellytykset),(10) jossa oli kyse kansallisten viranomaisten oikeudesta saada yhteystietoja.
31. Ennakkoratkaisua pyytänyt tuomioistuin huomauttaa lopuksi, että Hadopi on perustamisestaan eli vuodesta 2009 lähtien lähettänyt liittymien haltijoille yli 12,7 miljoonaa suositusta, joista 827 791 pelkästään vuoden 2019 osalta, siinä CPI:n L 331-25 §:ssä tarkoitetussa menettelyssä, josta käytetään nimitystä ”porrastettu reagointi”. Tämän menettelyn toteuttamiseksi Hadopin oikeuksien suojaamisesta vastaavan lautakunnan virkamiesten on voitava kerätä joka vuosi huomattava määrä asianomaisten käyttäjien henkilöllisyyttä koskevia tietoja. Kyseinen tuomioistuin katsoo, että näiden suositusten lukumäärän huomioon ottaen se, että tämä tietojenkeruu alistetaan etukäteisvalvonnalle, saattaa tehdä suositusten täytäntöönpanon mahdottomaksi.
32. Tässä tilanteessa Conseil d’État on päättänyt lykätä asian käsittelyä ja esittää unionin tuomioistuimelle seuraavat ennakkoratkaisukysymykset:
”1) Kuuluvatko IP-osoitetta vastaavaa henkilöllisyyttä koskevat tiedot liikenne- tai paikkatietoihin, jotka edellyttävät lähtökohtaisesti tuomioistuimen tai riippumattoman hallinnollisen elimen, jolla on velvoittava toimivalta, suorittamaa ennakkovalvontaa?
2) Jos ensimmäiseen kysymykseen vastataan myöntävästi ja kun otetaan huomioon käyttäjien henkilöllisyyttä koskevien tietojen, mukaan lukien heidän yhteystietonsa, vähäinen arkaluonteisuus, onko [direktiiviä 2002/58], luettuna [perusoikeuskirjan] valossa, tulkittava siten, että se on esteenä kansalliselle lainsäädännölle, jossa säädetään hallinnollisen viranomaisen suorittamasta näiden tietojen, jotka vastaavat käyttäjien IP-osoitetta, keräämisestä ilman tuomioistuimen tai riippumattoman hallinnollisen elimen, jolla on velvoittava toimivalta, suorittamaa ennakkovalvontaa?
3) Jos toiseen kysymykseen vastataan myöntävästi ja kun otetaan huomioon henkilöllisyyttä koskevien tietojen vähäinen arkaluonteisuus, se seikka, että vain näitä tietoja voidaan kerätä ainoastaan kansallisessa oikeudessa täsmällisesti, tyhjentävästi ja rajoittavasti määriteltyjen velvollisuuksien rikkomisen torjuntaa koskevia tarpeita varten, ja se seikka, että tuomioistuimen tai kolmannen hallinnollisen elimen, jolla on velvoittava toimivalta, suorittama jokaisen käyttäjän tietojen saantia koskeva systemaattinen valvonta olisi omiaan vaarantamaan sen julkisen palvelun tehtävän suorittamisen, joka on uskottu hallintoviranomaiselle, joka itse on riippumaton ja joka suorittaa tämän keräämisen, onko direktiivi [direktiiviä 2002/58] esteenä sille, että tämä valvonta suoritetaan soveltuvilla tavoilla, kuten automaattisena valvontana, tarvittaessa sellaisen elimen sisäisen yksikön valvonnassa, joka tarjoaa takeet riippumattomuudesta ja puolueettomuudesta tästä keräämisestä vastaavien virkamiesten suhteen?”
33. Kirjallisia huomautuksia ovat esittäneet pääasian kantajat, Ranskan, Viron, Ruotsin ja Norjan hallitukset sekä Euroopan komissio. Nämä osapuolet Viron hallitusta lukuun ottamatta sekä Tanskan ja Suomen hallitukset olivat edustettuina 5.7.2022 pidetyssä istunnossa.
IV Asian tarkastelu
A Ensimmäinen ja toinen ennakkoratkaisukysymys
34. Ensimmäisellä ja toisella ennakkoratkaisukysymyksellään, jotka on mielestäni tutkittava yhdessä, kansallinen tuomioistuin haluaa lähinnä selvittää, onko direktiivin 2002/58 15 artiklan 1 kohtaa, luettuna perusoikeuskirjan 7, 8 ja 11 artiklan ja 52 artiklan 1 kohdan valossa, tulkittava siten, että se on esteenä kansalliselle lainsäädännölle, jossa annetaan hallintoviranomaiselle, joka vastaa tekijänoikeuksien ja lähioikeuksien suojaamisesta internetissä tapahtuvilta oikeudenloukkauksilta, oikeus saada IP-osoitetta vastaavaa henkilöllisyyttä koskevia tietoja, jotta tämä viranomainen voi yksilöidä IP-osoitteiden haltijat, joiden epäillään syyllistyneen näihin oikeudenloukkauksiin, ja tarvittaessa kohdistaa heihin toimenpiteitä, ilman että tämän tietojen saannin edellytykseksi asetetaan tuomioistuimen tai riippumattoman hallinnollisen elimen suorittama etukäteisvalvonta.
1. Ennakkoratkaisukysymysten rajaaminen
a) Oikeudenhaltijoita edustavien järjestöjen ensin suorittama IP-osoitteiden kerääminen
35. Ennakkoratkaisupyynnöstä ilmenee, että pääasiassa kyseessä olevaan porrastetun reagoinnin menettelyyn sisältyy kaksi peräkkäistä tietojenkäsittelyvaihetta, joista ensimmäisessä oikeudenhaltijoita edustavat järjestöt keräävät ensin tekijänoikeuksia loukanneiden henkilöiden IP-osoitteet vertaisverkoissa ja joista toisessa Hadopi, jonka käsiteltäväksi oikeudenloukkaukset on saatettu, yhdistää nämä IP-osoitteet kyseisten henkilöiden henkilöllisyyttä koskeviin tietoihin lähettääkseen sitten suosituksia henkilöille, joiden yhteyttä yleisölle tarkoitettuihin verkkoviestintäpalveluihin on käytetty tekijänoikeussääntöjen vastaisesti.
36. Ensimmäinen ja toinen ennakkoratkaisukysymys koskevat ainoastaan Hadopin toteuttamaa jälkimmäistä käsittelyä.
37. Pääasian kantajat kuitenkin väittävät, että ensimmäinen käsittely on saatettava unionin tuomioistuimen tutkittavaksi, koska jos IP-osoitteet on saatu direktiivin 2002/58 säännösten vastaisesti, niiden käyttämisellä jälkimmäisessä käsittelyssä rikotaan väistämättä kyseisiä säännöksiä.
38. Tällainen päätelmä ei vakuuta. Direktiivin 2002/58 3 artiklan 1 kohdan mukaan direktiiviä sovelletaan ainoastaan ”henkilötietojen käsittelyyn, joka liittyy – – sähköisten viestintäpalvelujen tarjoamiseen”. Kuten Ranskan hallitus istunnossa täsmensi, oikeudenhaltijoita edustavat järjestöt eivät saa kyseisiä IP-osoitteita sähköisten viestintäpalvelujen tarjoajien välityksellä vaan ne saavat ne suoraan verkosta hakemalla siellä yleisesti saatavilla olevia tietoja.
39. Näin ollen on todettava, ettei oikeudenhaltijoita edustavien järjestöjen ennakolta suorittama IP-osoitteiden keruu kuulu direktiivin 2002/58 säännösten soveltamisalaan ja että, kuten komissio toteaa, sitä voitaisiin siten arvioida asetuksen (EU) 2016/679(11) säännösten valossa. Vaikuttaa kuitenkin siltä, että tällaisella arvioinnilla ylitettäisiin unionin tuomioistuimelle esitettyjen ennakkoratkaisukysymysten rajat etenkin, kun ennakkoratkaisua pyytänyt tuomioistuin ei ole esittänyt ennakolta suoritettavasta keruusta sellaisia lisätäsmennyksiä, joiden avulla unionin tuomioistuin voisi antaa sille hyödyllisen vastauksen.
40. Näin ollen keskityn tarkastelussani kysymykseen Hadopin oikeudesta saada IP-osoitetta vastaavaa henkilöllisyyttä koskevia tietoja.
b) IP-osoitteiden ja henkilöllisyyttä koskevien tietojen yhdistäminen
41. Ensimmäisessä ja toisessa ennakkoratkaisukysymyksessä on kyse ”IP-osoitetta vastaavaa henkilöllisyyttä koskevista tiedoista”, jotka ennakkoratkaisua pyytäneen tuomioistuimen mukaan eivät ole kovin arkaluonteisia. Kyseinen tuomioistuin viittaa ennakkoratkaisupyynnössään pelkästään niihin tuomion Quadrature du Net ym. kohtiin, jotka koskevat henkilöllisyyttä koskevien tietojen säilyttämistä.
42. Pitää paikkansa, että unionin tuomioistuimen oikeuskäytännössä tehdään ero yhtäältä IP-osoitteiden säilyttämistä ja saantia ja toisaalta sähköisten viestintävälineiden käyttäjien henkilöllisyyttä koskevien tietojen säilyttämistä ja saantia koskevan järjestelmän välillä ja että jälkimmäinen järjestelmä on lievempi kuin ensimmäinen.(12)
43. Kyseisten kahden ennakkoratkaisukysymyksen muotoilusta huolimatta vaikuttaa kuitenkin siltä, ettei käsiteltävässä asiassa ole kyse pelkästään oikeudesta saada sähköisten viestintävälineiden käyttäjien henkilöllisyyttä koskevia tietoja, vaan siinä on kyse myös näiden tietojen yhdistämisestä IP-osoitteisiin, jotka Hadopilla on hallussaan sen vuoksi, että oikeudenhaltijoita edustavat järjestöt ovat keränneet nämä osoitteet ja toimittaneet ne sille. Kuten nimittäin komissio korostaa, Hadopin oikeuttamisella saamaan henkilöllisyyttä koskevia tietoja on pyritty vapauttamaan käyttöön laajempi tietokokonaisuus, erityisesti IP-osoitteet ja haetut tiedostot, ja mahdollistamaan tämän kokonaisuuden hyödyntäminen, koska henkilöllisyyttä koskevilla tiedoilla ja IP-osoitteilla ei ole kansallisille viranomaisille mitään merkitystä erikseen, sillä henkilöllisyys ja IP-osoite eivät kumpikaan itsessään anna tietoa luonnollisten henkilöiden toiminnasta verkossa, ellei niitä yhdistetä toisiinsa.
44. Tästä seuraa, että mielestäni ensimmäinen ja toinen ennakkoratkaisukysymys on ymmärrettävä siten, että niissä ei tarkoiteta ainoastaan sähköisen viestintävälineen käyttäjien henkilöllisyyttä koskevia tietoja, vaan niissä tarkoitetaan myös oikeutta saada IP-osoitteet, joiden avulla liittymän lähde voidaan yksilöidä.
c) IP-osoitteiden säilyttäminen viestintäpalvelujen tarjoajien toimesta
45. Pitää paikkansa, kuten Ranskan hallitus ja komissio korostavat, että unionin tuomioistuimelle esitetyt ennakkoratkaisukysymykset eivät muodollisesti koske tietojen säilyttämistä sähköisten viestintäpalvelujen tarjoajien toimesta, vaan ne koskevat ainoastaan Hadopin oikeutta saada IP-osoitetta vastaavaa henkilöllisyyttä koskevia tietoja.
46. Kysymys Hadopin oikeudesta saada näitä tietoja näyttää kuitenkin todellisuudessa liittyvän erottamattomasti siihen ensin ratkaistavaan kysymykseen, joka koskee näiden tietojen säilyttämistä viestintäpalvelujen tarjoajien toimesta. Kuten unionin tuomioistuin on korostanut, tietojen säilyttäminen tapahtuu vain siinä tarkoituksessa, että tiedot ovat tarvittaessa kansallisten toimivaltaisen viranomaisten saatavilla.(13) Toisin sanoen tietojen säilyttämistä ja saantia ei voida tarkastella erillään toisistaan, vaan jälkimmäinen on riippuvainen ensin mainitusta.
47. Unionin tuomioistuin on jo aiemmin tarkastellut kansallisen lainsäädännön, jossa säännellään ainoastaan toimivaltaisten viranomaisten oikeutta saada tiettyjä henkilötietoja, yhteensopivuutta direktiivin 2002/58 15 artiklan 1 kohdan kanssa, riippumatta siitä kysymyksestä, onko kyseisen tietojen säilyttäminen yhteensopivaa kyseisen säännöksen kanssa.(14) Nyt käsiteltäviin ennakkoratkaisukysymyksiin voitaisiin siten vastata ottamatta huomioon sitä, onko kyseisiä tietoja säilytetty unionin oikeussääntöjen mukaisesti.
48. Korostan kuitenkin ensinnäkin, että unionin tuomioistuimen tuomiossa Ministerio Fiscal(15) tekemä arviointi siitä, voitiinko kansallisten viranomaisten oikeutta saada tiettyjä henkilötietoja pitää unionin oikeuden mukaisena, perustuu täsmälleen samoihin periaatteisiin kuin unionin tuomioistuimen arviointi siitä, onko tällaisten tietojen säilyttäminen unionin oikeuden mukaista. Unionin tuomioistuin nimittäin viittaa yksinomaan viimeksi mainittua koskevaan oikeuskäytäntöön soveltaakseen sitä sitten kysymykseen oikeudesta saada henkilötietoja. Toisin sanoen, jos tietojen säilyttämisen yhteensopivuutta unionin oikeuden kanssa ei arvioida, tämä arviointi lykätään siihen vaiheeseen, jossa tarkastellaan kysymystä oikeudesta saada henkilötietoja, joten tietojen saannin yhteensopivuus unionin oikeuden kanssa riippuu viime kädessä niiden säilyttämisen yhteensopivuudesta kyseisen oikeuden kanssa.
49. Unionin tuomioistuin on myös selvästi todennut, että oikeus saada henkilötietoja voidaan myöntää ainoastaan, jos sähköisten viestintäpalvelujen tarjoajat ovat säilyttäneet näitä tietoja tavalla, joka on yhteensopiva direktiivin 2002/58(16) 15 artiklan 1 kohdan kanssa, ja että yksityishenkilöiden oikeus saada henkilötietoja, jotta siviilituomioistuimissa voidaan panna vireille menettely tekijänoikeuksien loukkauksien vuoksi, on yhteensopiva unionin oikeuden kanssa vain sillä edellytyksellä, että näitä tietoja säilytetään tavalla, joka on yhteensopiva kyseisen säännöksen kanssa.(17)
50. Unionin tuomioistuin on myös vakiintuneesti todennut, että oikeus saada palveluntarjoajien direktiivin 2002/58 15 artiklan 1 kohdan nojalla toteutetun toimenpiteen nojalla säilyttämiä liikenne- ja paikkatietoja, mikä on toteutettava direktiivin 2002/58 tulkintaa koskevaa oikeuskäytäntöä täysimääräisesti noudattaen, voidaan lähtökohtaisesti perustella ainoastaan sillä yleisen edun mukaisella tavoitteella, jonka tähden kyseisille palveluntarjoajille on asetettu tämä säilyttämisvelvollisuus.(18) Toisin sanoen se, voidaanko unionin oikeuden kanssa yhteensopivana pitää sitä, että kansallisilla viranomaisilla on oikeus saada tiettyjä henkilötietoja, riippuu täysin siitä, onko kyseisten tietojen säilyttäminen yhteensopivaa unionin oikeuden kanssa.
51. Nähdäkseni tästä seuraa, että sen määrittämiseksi, voidaanko unionin oikeuden kanssa yhteensopivana pitää kansallista lainsäädäntöä, jossa säädetään kansallisen viranomaisen oikeudesta saada henkilötietoja, on ensin selvitettävä, onko kyseisten tietojen säilyttäminen yhteensopivaa unionin oikeuden kanssa.
52. Näin ollen aloitan tarkasteluni palauttamalla mieleen liittymän lähteelle annettujen IP-osoitteiden säilyttämistä koskevan unionin tuomioistuimen oikeuskäytännön, minkä jälkeen osoitan tämän oikeuskäytännön rajat ja ehdotan kyseessä olevan lainsäädännön tulkintakehyksen uudelleentarkastelua.
2. Unionin tuomioistuimen oikeuskäytäntö, joka koskee direktiivin 2002/58 15 artiklan 1 kohdan tulkintaa siltä osin kuin on kyse liittymän lähteelle annettujen IP-osoitteiden säilyttämistä koskevista toimenpiteistä
53. Direktiivin 2002/58 5 artiklan 1 kohdassa vahvistetaan sekä sähköisen viestinnän että siihen liittyvien liikennetietojen luottamuksellisuuden periaate, ja se merkitsee muun muassa sitä, että muita henkilöitä kuin käyttäjiä on lähtökohtaisesti kielletty tallentamasta kyseistä viestintää ja kyseisiä tietoja ilman käyttäjien suostumusta.(19)
54. Siltä osin kuin on kyse tilaajia ja käyttäjiä koskevien liikennetietojen käsittelystä ja tallentamisesta sähköisten viestintäpalvelujen tarjoajien toimesta, direktiivin 2002/58 6 artiklan 1 kohdassa säädetään, että nämä tiedot on poistettava tai tehtävä nimettömiksi, kun niitä ei enää tarvita viestinnän välittämiseen, ja sen 2 kohdassa täsmennetään, että tilaajalaskujen ja yhteenliittämismaksujen laatimiseen tarvittavia liikennetietoja voidaan käsitellä vain sen ajanjakson päättymiseen saakka, jona maksu voidaan laillisesti riitauttaa. Kyseisen direktiivin 9 artiklan 1 kohdan mukaan muita kuin liikennettä koskevia paikkatietoja saa käsitellä vain tietyin edellytyksin ja sen jälkeen, kun ne on tehty nimettömiksi, tai jos käyttäjät tai tilaajat ovat antaneet siihen suostumuksensa.(20)
55. Unionin lainsäätäjä on siis direktiivin 2002/58 antaessaan konkretisoinut perusoikeuskirjan 7 ja 8 artiklassa vahvistetut oikeudet, joten sähköisten viestintävälineiden käyttäjillä on oikeus odottaa lähtökohtaisesti, että heidän viestintänsä ja siihen liittyvät tiedot säilyvät nimettöminä eikä niitä voida tallentaa, jos he eivät ole antaneet siihen suostumustaan.(21) Näin ollen tässä direktiivissä ei ainoastaan rajata tällaisten tietojen saantia asettamalla takeet, joilla pyritään estämään väärinkäytökset, vaan siinä myös vahvistetaan erityisesti periaate, jonka mukaan kolmannet eivät saa tallentaa tietoja.
56. Näin ollen siltä osin kuin direktiivin 2002/58 15 artiklan 1 kohdassa sallitaan se, että jäsenvaltiot toteuttavat lainsäädännöllisiä toimenpiteitä, joilla muun muassa kyseisen direktiivin 5, 6 ja 9 artiklassa säädettyjen oikeuksien ja velvollisuuksien ”soveltamisalaa rajoitetaan”, kyseisessä säännöksessä säädetään poikkeuksesta muun muassa mainituissa 5, 6 ja 9 artiklassa säädettyyn pääsääntöön, ja sitä on näin ollen vakiintuneen oikeuskäytännön mukaisesti tulkittava suppeasti. Tällainen säännös ei näin ollen voi olla perusteena sille, että sähköisen viestinnän ja siihen liittyvien tietojen luottamuksellisuuden takaamista koskevasta periaatteellisesta velvollisuudesta ja erityisesti kyseisen direktiivin 5 artiklassa nimenomaisesti säädetystä näiden tietojen tallentamista koskevasta kiellosta poikkeamisesta tulisi sääntö, sillä muutoin tehtäisiin viimeksi mainitun säännöksen sisältö laajalti tyhjäksi.(22)
57. Unionin tuomioistuin on jo todennut tavoitteista, joilla voidaan oikeuttaa muun muassa direktiivin 2002/58 5, 6 ja 9 artiklassa säädettyjen oikeuksien ja velvollisuuksien rajoittaminen, että kyseisen direktiivin 15 artiklan 1 kohdan ensimmäisessä virkkeessä oleva tavoitteiden luettelo on tyhjentävä, joten kyseisen säännöksen nojalla toteutetun lainsäädännöllisen toimenpiteen on vastattava tosiasiallisesti ja ehdottomasti jotain näistä tavoitteista.(23)
58. Direktiivin 2002/58 15 artiklan 1 kohdan kolmannesta virkkeestä ilmenee lisäksi, että jäsenvaltioiden tämän säännöksen nojalla toteuttamien toimenpiteiden on oltava unionin oikeuden yleisten periaatteiden, joihin kuuluu suhteellisuusperiaate, mukaisia ja niiden on varmistettava perusoikeuskirjassa taattujen perusoikeuksien kunnioittaminen. Unionin tuomioistuin on tältä osin jo katsonut, että jäsenvaltion sähköisten viestintäpalvelujen tarjoajille kansallisella lainsäädännöllä asettama velvollisuus säilyttää liikennetiedot, jotta toimivaltaiset kansalliset viranomaiset voivat tarvittaessa saada niitä, herättää kysymyksiä paitsi perusoikeuskirjan 7 ja 8 artiklaan, jotka koskevat yksityisyyden ja henkilötietojen suojaa, myös sananvapautta koskevaan perusoikeuskirjan 11 artiklaan nähden, koska tämä perusvapaus on eräs demokraattiseen ja moniarvoiseen yhteiskuntaan liittyvä olennainen perusta ja kuuluu arvoihin, joille unioni SEU 2 artiklan mukaisesti perustuu.(24)
59. Koska direktiivin 2002/58 15 artiklan 1 kohdassa annetaan kuitenkin jäsenvaltioille mahdollisuus rajoittaa kyseisen direktiivin 5, 6 ja 9 artiklassa tarkoitettuja oikeuksia ja velvollisuuksia, kyseinen säännös ilmentää sitä, että perusoikeuskirjan 7, 8 ja 11 artiklassa vahvistetut oikeudet eivät ole ehdottomia vaan ne on suhteutettava siihen tehtävään, joka niillä on yhteiskunnassa. Kuten perusoikeuskirjan 52 artiklan 1 kohdasta ilmenee, siinä sallitaan näet näiden oikeuksien käyttämisen rajoittaminen, kunhan näistä rajoituksista säädetään lailla mainittujen oikeuksien keskeistä sisältöä kunnioittaen ja kunhan ne suhteellisuusperiaatteen mukaisesti ovat tarpeellisia ja vastaavat tosiasiallisesti unionin tunnustamia yleisen edun mukaisia tavoitteita tai tarvetta suojella muiden henkilöiden oikeuksia ja vapauksia. Kun direktiivin 2002/58 15 artiklan 1 kohtaa tulkitaan perusoikeuskirjan valossa, tulkinnassa on siten otettava huomioon myös perusoikeuskirjan 3, 4, 6 ja 7 artiklassa vahvistettujen oikeuksien tärkeys sekä kansallisen turvallisuuden suojelua ja vakavan rikollisuuden torjuntaa koskevien tavoitteiden tärkeys, millä myötävaikutetaan muiden henkilöiden oikeuksien ja vapauksien suojeluun, sekä sellaisten perusoikeuskirjan 3, 4, 6 ja 7 artiklassa vahvistettujen oikeuksien tärkeys,(25) joista voi seurata viranomaisia koskevia toimintavelvollisuuksia(26)
60. Kun otetaan huomioon nämä erilaiset toimintavelvollisuudet, kyseessä olevat eri intressit ja oikeudet on välttämättä sovitettava yhteen. Tässä yhteydessä jo direktiivin 2002/58 15 artiklan 1 kohdan ensimmäisen virkkeen sanamuodosta ilmenee, että jäsenvaltiot voivat toteuttaa viestinnän ja siihen liittyvien liikennetietojen luottamuksellisuuden periaatteesta poikkeavan toimenpiteen, jos tällainen toimenpide on ”välttämätön, asianmukainen ja oikeasuhteinen demokraattisen yhteiskunnan toimenpide” kyseisessä säännöksessä mainittujen tavoitteiden kannalta, ja kyseisen direktiivin johdanto-osan 11 perustelukappaleessa täsmennetään, että tällaisen toimenpiteen on ”ehdottomasti” oltava oikeassa suhteessa sen tarkoitukseen nähden.(27)
61. Tältä osin unionin tuomioistuimen oikeuskäytännöstä ilmenee erityisesti, että jäsenvaltioiden mahdollisuutta oikeuttaa muun muassa direktiivin 2002/58 5, 6 ja 9 artiklassa säädettyjen oikeuksien ja velvollisuuksien rajoittaminen on arvioitava mittaamalla tällaiseen rajoittamiseen sisältyvän puuttumisen vakavuus ja tarkastamalla, että kyseisen rajoituksen yleisen edun mukaisen tavoitteen tärkeys on suhteessa tähän vakavuuteen.(28)
62. Totean myös, että unionin tuomioistuimen oikeuskäytännössä tehdään ero yhtäältä sellaisen perusoikeuksiin puuttumisen, joka johtuu oikeudesta saada tietoja, jotka antavat jo sellaisinaan tarkkoja tietoja kyseisestä viestinnästä ja siten asianomaisen henkilön yksityiselämästä ja joihin sovelletaan tiukkaa säilyttämisjärjestelmää, ja toisaalta sellaisen perusoikeuksiin puuttumisen välillä, joka johtuu oikeudesta saada tietoja, jotka antavat tällaisia tietoja vain, jos ne yhdistetään muihin tietoihin, kuten IP-osoitteisiin.(29)
63. Erityisesti IP-osoitteista unionin tuomioistuin on siten todennut, että ne luodaan ilman, että ne liittyvät tiettyyn viestintään, ja niiden ensisijaisena tarkoituksena on yksilöidä sähköisten viestintäpalvelujen tarjoajien välityksellä luonnollinen henkilö, joka omistaa päätelaitteen, jonka kautta viestintä internetin välityksellä tapahtuu. Näin ollen on todettava, että siltä osin kuin pelkästään viestinnän lähteen eikä viestinnän vastaanottajan IP-osoitteet säilytetään, tähän ryhmään kuuluvat tiedot eivät ole yhtä arkaluonteisia kuin muut liikennetiedot.(30)
64. Unionin tuomioistuin on samalla korostanut, että koska IP-osoitteita voidaan käyttää muun muassa internetin käyttäjän selailupolun ja siten hänen verkkotoimintansa kattavaan jäljittämiseen, näiden tietojen perusteella voidaan selvittää internetin käyttäjän yksityiskohtainen profiili ja tehdä hyvin tarkkoja päätelmiä hänen yksityiselämästään. Mainittujen IP-osoitteiden säilyttäminen ja analysointi, jota tällainen jäljittäminen edellyttää, merkitsee siten sellaista vakavaa puuttumista perusoikeuskirjan 7 ja 8 artiklassa vahvistettuihin internetin käyttäjän perusoikeuksiin, jolla voi olla sen 11 artiklassa taatun sananvapauden käyttämistä ehkäisevä vaikutus.(31)
65. Vakiintuneen oikeuskäytännön mukaan oikeuskäytännössä edellytetyn kyseessä olevien oikeuksien ja intressien välttämättömän yhteensovittamisen kannalta on kuitenkin otettava huomioon se, että verkkorikoksen tapauksessa IP-osoite voi olla ainoa tutkintakeino, jolla voidaan yksilöidä henkilö, jolle kyseinen osoite oli annettu kyseisen rikoksen tekohetkellä.(32)
66. Unionin tuomioistuin on näin ollen katsonut, että lainsäädännöllinen toimenpide, jossa säädetään pelkästään jonkin liittymän lähteelle annettujen IP-osoitteiden yleisesti ja erotuksetta tapahtuvasta säilyttämisestä, ei lähtökohtaisesti ole vastoin direktiivin 2002/58 15 artiklan 1 kohtaa, luettuna perusoikeuskirjan 7, 8 ja 11 artiklan sekä 52 artiklan 1 kohdan valossa, kunhan kyseisen mahdollisuuden osalta noudatetaan tiukasti sellaisia aineellisia ja menettelyllisiä edellytyksiä, joita kyseisten tietojen käyttöön on sovellettava, ja että kun otetaan huomioon se, että kyseisestä säilyttämisestä johtuva puuttuminen perusoikeuksiin on vakavaa, ainoastaan vakavan rikollisuuden torjunta ja yleiseen turvallisuuteen kohdistuvien vakavien uhkien ehkäiseminen voivat kansallisen turvallisuuden takaamisen tavoin oikeuttaa kyseisen puuttumisen.(33)
67. Unionin tuomioistuin on myös täsmentänyt, että säilyttämisen kesto ei saa ylittää sitä, mikä on täysin välttämätöntä tavoitellun päämäärän kannalta, ja että tällaisessa toimenpiteessä on säädettävä tiukoista edellytyksistä ja takeista siltä osin kuin on kyse näiden tietojen hyödyntämisestä.(34)
3. Direktiivin 2002/58 15 artiklan 1 kohdan tulkintaa koskevan oikeuskäytännön rajat siltä osin kuin on kyse liittymän lähteelle annettujen IP-osoitteiden säilyttämistä koskevista toimenpiteistä
68. Ratkaisussa, johon unionin tuomioistuin on päätynyt liittymän lähteelle annettujen IP-osoitteiden säilyttämistä koskevien kansallisten toimenpiteiden osalta, sellaisina kuin niitä on tulkittu direktiivin 2002/58 15 artiklan 1 kohdan valossa, on nähdäkseni kaksi keskeistä ongelmaa.
a) Yhteensovittaminen sen oikeuskäytännön kanssa, joka koskee liittymän lähteelle annettujen IP-osoitteiden välittämistä immateriaalioikeuksien suojaamiseksi nostettujen kanteiden yhteydessä
69. Ensinnäkin, kuten ratkaisuehdotuksessani M.I.C.M.(35) jo totesin, edellä tarkastellun oikeuskäytännön ja sen oikeuskäytännön, joka koskee IP-osoitteiden välittämistä immateriaalioikeuksien haltijoille näiden oikeuksien suojaamiseksi nostettujen kanteiden yhteydessä ja jossa painotetaan jäsenvaltioiden velvollisuutta varmistaa, että immateriaalioikeuksien haltijoilla on tosiasiallisesti mahdollisuus saada korvaus kyseisten oikeuksien loukkauksesta aiheutuvista vahingoista, välillä on jännitteitä.(36)
70. Jälkimmäisessä oikeuskäytännössä unionin tuomioistuin on nimittäin vakiintuneesti katsonut, että unionin oikeus ei ole esteenä sille, että jäsenvaltiot säätävät velvollisuudesta luovuttaa yksityisille henkilötietoja, jotta siviilituomioistuimissa voidaan panna vireille menettely tekijänoikeuksien loukkauksien vuoksi.(37)
71. Tältä osin unionin tuomioistuin on todennut, että jäsenvaltioiden mahdollisuus säätää velvollisuudesta luovuttaa henkilötietoja siviiliprosessin yhteydessä perustui alun perin mahdollisuuteen säätää tällaisesta luovuttamisesta rikosten syyteharkinnan yhteydessä(38) ja että sitä on sittemmin laajennettu koskemaan siviiliprosesseja.
72. IP-osoitteista unionin tuomioistuin on kuitenkin samalla todennut, että näitä tietoja voidaan säilyttää ainoastaan vakavan rikollisuuden torjuntaan ja yleiseen turvallisuuteen kohdistuvien vakavien uhkien ehkäisemiseen liittyvissä yhteyksissä(39)
73. Kaikki yritykset näiden kahden oikeuskäytäntölinjan yhteensovittamiseksi johtavat mielestäni epäasianmukaiseen lopputulokseen eivätkä ole vakuuttavia.
74. Yhtäältä, toisin kuin Ranskan hallitus väitti istunnossa, immateriaalioikeuksien loukkausten torjunnassa ei ole kysymys vakavan rikollisuuden torjunnasta. Vakavan rikollisuuden käsitteelle on mielestäni annettava itsenäinen tulkinta. Se ei voi olla riippuvainen kunkin jäsenvaltion omista käsityksistä, sillä muuten se mahdollistaisi direktiivin 2002/58 15 artiklan 1 kohdan vaatimusten kiertämisen sen mukaan, tulkitsevatko jäsenvaltiot vakavan rikollisuuden torjuntaa laajasti vai eivät. Kuten olen jo aikaisemmin todennut, immateriaalioikeuksien suojaamiseen liittyviä intressejä ei pidä sekoittaa vakavan rikollisuuden torjunnan taustalla oleviin intresseihin.(40)
75. Toisaalta IP-osoitteiden välittäminen immateriaalioikeuksien haltijoille näiden oikeuksien suojaa koskevissa menettelyissä, vaikka niiden säilyttäminen on säädetty mahdolliseksi ainoastaan vakavan rikollisuuden torjunnan yhteydessä, olisi selvästi yhteystietojen säilyttämistä koskevan unionin tuomioistuimen oikeuskäytännön vastaista ja veisi tällaisten tietojen säilyttämiselle asetetuilta edellytyksiltä niiden tehokkaan vaikutuksen, koska tietoja voitaisiin joka tapauksessa saada edellisistä poikkeavilla perusteilla.
76. Mielestäni tästä seuraa, että IP-osoitteiden säilyttäminen immateriaalioikeuksien suojaamiseksi ja niiden välittäminen kyseisten oikeuksien haltijoille tätä suojaa koskevissa menettelyissä voi olla vastoin direktiivin 2002/58 15 artiklan 1 kohtaa, sellaisena kuin sitä on tulkittu unionin tuomioistuimen oikeuskäytännössä. Näin ollen velvollisuus luovuttaa yksityisille henkilötietoja, jotta siviilituomioistuimissa voidaan panna vireille menettely tekijänoikeuksien loukkauksien vuoksi, on – vaikka unionin tuomioistuin on itse mahdollistanut tämän velvollisuuden asettamisen – samanaikaisesti tehty tyhjäksi unionin tuomioistuimen omalla oikeuskäytännöllä, joka koskee IP-osoitteiden säilyttämistä sähköisten viestintäpalvelujen tarjoajien toimesta.
77. Tällainen ratkaisu ei kuitenkaan ole tyydyttävä, sillä se vaarantaa kyseessä olevien intressien tasapainon, jonka unionin tuomioistuin on pyrkinyt määrittämään, viemällä immateriaalioikeuksien haltijoilta ehkä jopa ainoan keinon yksilöidä verkossa tapahtuneiden oikeudenloukkausten tekijät. Tästä pääsen toiseen ongelmaan, joka liittymän lähteelle annettujen IP-osoitteiden säilyttämistä koskeviin kansallisiin toimenpiteisiin, sellaisina kuin niitä on tulkittu direktiivin 2002/58 15 artiklan 1 kohdan valossa, liittyvästä unionin tuomioistuimen oikeuskäytännöstä voi nähdäkseni aiheutua.
b) Yksinomaan verkossa tehtyjen oikeudenloukkausten systemaattisen rankaisematta jäämisen riski
78. Toiseksi olen siis sillä kannalla, että tästä ratkaisusta aiheutuu myös tiettyjä käytännön ongelmia. Kuten unionin tuomioistuin itse korostaa, yksinomaan verkossa tehtyjen rikosten tapauksessa IP-osoite voi olla ainoa tutkintakeino, jolla voidaan yksilöidä henkilö, jolle kyseinen osoite oli annettu kyseisen rikoksen tekohetkellä.
79. Vaikuttaa kuitenkin siltä, ettei tätä näkökohtaa ole otettu täysin huomioon kyseessä olevien intressien tasapainottamisessa. Jos unionin tuomioistuin rajoittaa IP-osoitteiden säilyttämismahdollisuuden koskemaan pelkästään vakavan rikollisuuden torjuntaa, se samanaikaisesti sulkee pois sen, että näitä tietoja voitaisiin säilyttää yleisesti rikosten torjuntaa varten, vaikka tiettyjä rikoksia voidaan torjua ja selvittää tai niistä voidaan määrätä seuraamuksia ainoastaan näiden tietojen avulla.
80. Toisin sanoen unionin tuomioistuimen oikeuskäytäntö voi johtaa siihen, että kansalliset viranomaiset menettävät ainoan keinon yksilöidä verkkorikosten, jotka eivät kuitenkaan kuulu vakavaan rikollisuuteen, kuten immateriaalioikeuksien loukkausten, tekijät. Tästä seuraisi, että yksinomaan verkossa tehdyt rikokset jäisivät systemaattisesti rankaisematta, ja tämä tarkoittaisi myös muita rikoksia kuin immateriaalioikeuksien loukkauksia. Viittaan erityisesti verkossa tehtyihin kunnianloukkauksiin. Unionin oikeudessa toki säädetään kiellon määräämisestä välittäjille, joiden palveluja on käytetty tällaisten rikosten tekemiseen,(41) mutta unionin tuomioistuimen nykyisestä oikeuskäytännöstä voi seurata, ettei tällaisten rikosten tekijöitä voida koskaan asettaa syytteeseen.
81. Ellei hyväksytä, että suureen määrään rikoksia ei koskaan voida kohdistaa seuraamuksia, kyseessä olevien intressien tasapainoa olisi mielestäni syytä arvioida uudelleen.
82. Näiden eri seikkojen perusteella ehdotan, että unionin tuomioistuin tarkastelee tietyiltä osin uudelleen IP-osoitteiden säilyttämistä koskeviin kansallisiin toimenpiteisiin, sellaisina kuin niitä on tulkittu direktiivin 2002/58 15 artiklan 1 kohdan valossa, liittyvää oikeuskäytäntöään.
4. Ehdotus unionin tuomioistuimen oikeuskäytännön, joka koskee direktiivin 2002/58 15 artiklan 1 kohdan tulkintaa siltä osin kuin on kyse liittymän lähteelle annettujen IP-osoitteiden säilyttämistä koskevista toimenpiteistä, uudelleentarkastelusta
83. Edellä esitetyn perusteella olen sitä mieltä, että direktiivin 2002/58 15 artiklan 1 kohtaa on tulkittava siten, että se ei ole esteenä sellaisille toimenpiteille, joissa säädetään liittymän lähteelle annettujen IP-osoitteiden yleisestä ja erotuksetta tapahtuvasta säilyttämisestä sellaisen ajanjakson ajan, joka rajoittuu täysin välttämättömään, jotta varmistettaisiin sellaisten verkkorikosten torjunta, tutkinta, selvittäminen ja syyteharkinta, joiden tapauksessa IP-osoite on ainoa tutkintakeino, jolla voidaan yksilöidä henkilö, jolle kyseinen osoite oli annettu kyseisen rikoksen tekohetkellä.
84. Tässä yhteydessä on korostettava, että tällaisella ratkaisulla ei nähdäkseni kyseenalaisteta tietojen säilyttämiselle asetettua oikeasuhteisuuden vaatimusta, kun otetaan huomioon, miten vakavaa perusoikeuskirjan 7 ja 8 artiklassa taattuihin perusoikeuksiin puuttumista tällainen puuttuminen merkitsee.(42) Sillä päinvastoin täytetään täysimääräisesti tämä vaatimus.
85. Yhtäältä direktiivin 2002/58 5, 6 ja 9 artiklassa tarkoitettujen oikeuksien ja velvollisuuksien rajoituksella, jota IP-osoitteiden säilyttäminen merkitsee, pyritään yleisen edun mukaiseen tavoitteeseen, joka on oikeassa suhteessa tähän vakavuuteen, nimittäin kyseisissä säännöksissä, jotka muutoin jäisivät täysin vaille vaikutusta, tarkoitettujen rikosten torjuntaan, tutkintaan, selvittämiseen ja syyteharkintaan.
86. Toisaalta kyseisellä rajoituksella ei ylitetä sitä, mikä on täysin välttämätöntä. Tällainen säilyttäminen nimittäin rajoittuu tiettyihin nimenomaisiin tapauksiin eli verkkorikoksiin, joiden tekijät pystytään yksilöimään ainoastaan heille annettujen IP-osoitteiden avulla. Toisin sanoen kyse ei ole tietojen säilyttämisestä yleisesti ja erotuksetta ilman mitään muita edellytyksiä, vaan kyse on ainoastaan sen varmistamisesta, että tietyt tarkoin määritetyt rikokset – eivätkä rikokset yleisesti – voidaan saattaa syyteharkintaan.
87. Vaikka direktiivin 2002/58 15 artiklan 1 kohta ei ole esteenä liittymän lähteelle annettujen IP-osoitteiden yleiselle ja erotuksetta tapahtuvalle säilyttämiselle sellaisten verkkorikosten torjunnan, tutkinnan, selvittämisen ja syyteharkinnan varmistamiseksi, joiden tapauksessa IP-osoite on ainoa tutkintakeino, jolla voidaan yksilöidä henkilö, jolle kyseinen osoite oli annettu kyseisen rikoksen tekohetkellä, on kuitenkin vielä täsmennettävä, että oikeuskäytännön mukaan kyseistä mahdollisuutta voidaan käyttää, kunhan sen osalta ”noudatetaan tiukasti sellaisia aineellisia ja menettelyllisiä edellytyksiä, joita kyseisten tietojen käyttöön on sovellettava”.(43) Unionin tuomioistuin on myös täsmentänyt, että tällaisessa toimenpiteessä ”on säädettävä tiukoista edellytyksistä ja takeista – – siltä osin kuin on kyse näiden tietojen hyödyntämisestä”.(44)
88. Toisin sanoen, kuten edellä jo totesin, näiden tietojen säilyttämistä ja saantia ei voida tarkastella erillään toisistaan. Näin ollen, vaikka Hadopin mahdollisuus saada IP-osoitteita ei ole suoralta kädeltä direktiivin 2002/58 15 artiklan 1 kohdan vastaista, koska näitä tietoja on säilytetty kyseisen säännöksen vaatimusten mukaisesti, vastauksen antamiseksi unionin tuomioistuimelle esitettyihin ennakkoratkaisukysymyksiin on vielä selvitettävä, ovatko Hadopin oikeudelle saada liittymän lähteelle annetut IP-osoitteet asetetut edellytykset itsessään edellä mainitun säännöksen mukaisia erityisesti siltä osin kuin on kyse siitä, edellyttääkö näiden tietojen saanti tuomioistuimen tai riippumattoman hallinnollisen elimen suorittamaa etukäteisvalvontaa.
89. Arvioituani näin tämän alustavan kysymyksen, joka koskee liittymän lähteelle annettujen IP-osoitteiden säilyttämistä, tarkastelen seuraavaksi Hadopin oikeutta saada näitä tietoja direktiivin 2002/58 15 artiklan 1 kohdan valossa.
5. Hadopin oikeus saada IP-osoitetta vastaavaa henkilöllisyyttä koskevia tietoja
90. Siltä osin kuin kyse on tavoitteista, jotka voivat oikeuttaa pääasiassa kyseessä olevan kaltaisen kansallisen lainsäädännön, jolla poiketaan sähköisen viestinnän luottamuksellisuuden periaatteesta, unionin tuomioistuimen oikeuskäytännöstä ilmenee, että tietojen saannin on ehdottomasti ja objektiivisesti vastattava jotain näistä tavoitteista ja että kyseisen lainsäädännön tavoitteella on lisäksi oltava yhteys sen perusoikeuksiin puuttumisen vakavuuteen, jota tämä tietojen saanti merkitsee.(45)
91. Lisäksi, kuten edellä jo totesin,(46) oikeus saada palveluntarjoajien direktiivin 2002/58 15 artiklan 1 kohdan nojalla toteutetun toimenpiteen nojalla säilyttämiä tietoja voidaan lähtökohtaisesti oikeuttaa ainoastaan sillä yleisen edun mukaisella tavoitteella, jonka tähden kyseisille palveluntarjoajille on asetettu tämä säilyttämisvelvollisuus.(47)
92. Unionin tuomioistuin on siten katsonut, että suhteellisuusperiaatteen mukaisesti vakava puuttuminen voi olla oikeutettu rikosten ehkäisemisen, tutkinnan, selvittämisen ja syyteharkinnan alalla vain sellaisen rikollisuuden torjumisen tavoitteella, joka on myös luokiteltavissa vakavaksi.(48)
93. Tästä on todettava, toisin kuin Ranskan hallitus ja komissio väittävät, että Hadopin oikeus saada IP-osoitetta vastaavaa henkilöllisyyttä koskevia tietoja merkitsee todellakin vakavaa puuttumista perusoikeuksiin. Kyse ei nimittäin ole ainoastaan henkilöllisyyttä koskevien tietojen – jotka eivät sinänsä ole kovin arkaluonteisia – saamisesta, vaan kyse on myös näiden tietojen yhdistämisestä laajempaan tietokokonaisuuteen eli IP-osoitteisiin ja, kuten pääasian kantajat korostavat, verkosta ladattuihin tiedostoihin tekijänoikeuksia loukkaavalla tavalla. Kyse on siis siitä, että tietyn henkilön henkilöllisyys yhdistetään haetun tiedoston sisältöön ja siihen IP-osoitteeseen, josta tämä haku on tapahtunut.
94. Katson kuitenkin, että aivan kuten sellainen tietojen säilyttäminen, jolla puututaan vakavasti perusoikeuksiin sellaisten verkkorikosten torjunnan, tutkinnan, selvittämisen ja syyteharkinnan varmistamiseksi, joiden tapauksessa IP-osoite on ainoa tutkintakeino, jolla voidaan yksilöidä henkilö, jolle kyseinen osoite oli annettu kyseisen rikoksen tekohetkellä,(49) myös kyseisten tietojen saaminen olisi mielestäni sallittava silloin, kun sillä pyritään tähän samaan tavoitteeseen, ellei sitten hyväksytä sitä, että yksinomaan verkossa tehdyt rikokset jäävät yleisesti rankaisematta.
95. Mielestäni Hadopin oikeutta saada IP-osoitteeseen yhdistettyjä henkilöllisyyttä koskevia tietoja voidaan siten perustella sillä yleistä etua koskevalla tavoitteella, jonka nojalla sähköisten viestintäpalvelujen tarjoajat on velvoitettu säilyttämään nämä tiedot.
96. Unionin tuomioistuimen oikeuskäytännössä kuitenkin täsmennetään, että kansallisessa lainsäädännössä, jossa säännellään toimivaltaisten viranomaisten oikeutta saada säilytettyjä liikenne- ja paikkatietoja, ei voida tyytyä vaatimaan, että viranomaisten oikeus saada tietoja vastaa kyseisen lainsäädännön tarkoitusta, vaan siinä on myös säädettävä kyseisen käytön aineellisista ja menettelyllisistä edellytyksistä, joiden täyttyessä toimivaltaiset kansalliset viranomaiset voivat saada kyseisiä tietoja(50)
97. Unionin tuomioistuin on erityisesti katsonut, että koska yleisen kaikkien säilytettyjen tietojen saamista koskevan oikeuden, joka on riippumaton siitä, onko olemassa mitään edes välillistä yhteyttä asetettuun tavoitteeseen nähden, ei voida katsoa olevan rajattu täysin välttämättömään, asianomaisen kansallisen lainsäädännön on perustuttava objektiivisiin kriteereihin niiden olosuhteiden ja edellytysten määrittelemiseksi, joilla toimivaltaisille kansallisille viranomaisille on annettava oikeus saada käyttäjien tietoja, sillä tällä tavoin varmistetaan, että tällainen oikeus voidaan lähtökohtaisesti myöntää rikollisuuden torjumisen tavoitteen yhteydessä vain sellaisten henkilöiden tietoihin, joiden epäillään suunnittelevan, tekevän tai tehneen vakavan rikoksen tai olevan jollakin tavalla osallisena tällaisessa rikoksessa.(51)
98. Oikeuskäytännön mukaan on siis niin, että sen takaamiseksi, että näitä edellytyksiä noudatetaan käytännössä täysimääräisesti, on olennaista se, että toimivaltaisten kansallisten viranomaisten oikeus saada säilytettyjä tietoja edellyttää lähtökohtaisesti joko tuomioistuimen tai riippumattoman hallinnollisen elimen etukäteisvalvontaa.(52)
99. Korostan kuitenkin, että unionin tuomioistuin on todennut tällaisen henkilötietojen saantiin kohdistuvan etukäteisvalvonnan tarpeen erityisolosuhteissa, jotka eroavat käsiteltävän asian olosuhteista ja joissa tämä valvonta on merkinnyt erityisen vakavaa puuttumista sähköisten viestintäpalvelujen käyttäjien yksityiselämään.
100. Kaikissa niissä tuomioissa, joissa tätä tarvetta on korostettu, on nimittäin ollut kyse kansallisista toimenpiteistä, joilla annetaan viranomaisille oikeus saada joukko kaikkien sähköisten viestintävälineiden(53) käyttäjiä tai ainakin puhelin- tai matkapuhelinpalvelujen(54) käyttäjiä koskevia liikenne- ja paikkatietoja. Tarkemmin sanottuna kyse on ollut joukosta sellaisia ”– – tietoja, jotka ovat omiaan antamaan tietoja sähköisen viestintävälineen käyttäjän harjoittamasta viestinnästä tai tämän käyttämien päätelaitteiden sijainnista ja joista voidaan tehdä täsmällisiä tämän yksityiselämää koskevia päätelmiä”,(55) joten vaatimus siitä, että tietojen saannin edellytykseksi asetetaan joko tuomioistuimen tai riippumattoman hallinnollisen elimen suorittama etukäteisvalvonta, koskee nähdäkseni vain näitä olosuhteita.
101. Yhtäältä Hadopin tiedonsaanti rajoittuu henkilöllisyyttä koskevien tietojen yhdistämiseen käytettyyn IP-osoitteeseen ja tiettynä ajankohtana haettuun tiedostoon eikä johda siihen, että toimivaltaiset viranomaiset pystyisivät jäljittämään kyseisen internetin käyttäjän selailupolun ja siten tekemään tarkkoja päätelmiä hänen yksityiselämästään, vaan nämä viranomaiset saavat ainoastaan tietää, mikä tiedosto rikoksen tekohetkellä on haettu. Kyse ei siten ole siitä, että se mahdollistaisi käyttäjän kaiken verkkotoiminnan jäljittämisen.
102. Toisaalta kyseiset tiedot koskevat ainoastaan sellaisten henkilöiden tietoja, jotka, kuten oikeudenhaltijoita edustavien järjestöjen laatimista pöytäkirjoista ilmenee, ovat menetelleet tavalla, joka voi merkitä CPI:n L. 336-3 §:ssä säädetyn velvoitteen laiminlyöntiä. Hadopin oikeus saada IP-osoitteisiin yhdistetyt henkilöllisyyttä koskevat tiedot rajoittuu siis siihen, mikä on täysin välttämätöntä tavoitellun päämäärän kannalta eli sellaisten verkkorikosten torjunnan, tutkinnan, selvittämisen ja syyteharkinnan mahdollistamiseksi, joiden tapauksessa IP-osoite on ainoa tutkintakeino, jolla voidaan yksilöidä henkilö, jolle kyseinen osoite oli annettu kyseisen rikoksen tekohetkellä, ja tähän päämäärään porrastetun reagoinnin menettely nimenomaan liittyy.
103. Näin ollen olen sitä mieltä, että direktiivin 2002/58 15 artiklan 1 kohdassa ei velvoiteta säätämään, että Hadopin oikeus saada käyttäjien IP-osoitteisiin yhdistettyjä henkilöllisyyttä koskevia tietoja edellyttää tuomioistuimen tai riippumattoman hallinnollisen elimen suorittamaa etukäteisvalvontaa.
104. Totean myös, kuten Ranskan hallitus korostaa, että vaikka Hadopin oikeus saada näitä tietoja ei edellytä tuomioistuimen tai riippumattoman hallinnollisen elimen suorittamaa etukäteisvalvontaa, tätä oikeutta ei kuitenkaan ole jätetty täysin valvonnan ulkopuolelle, koska valantehnyt virkamies luo Hadopin sähköisen viestinnän operaattoreille lähettämät tiedostot päivittäin siinä järjestyksessä kuin asioita pannaan vireille ja otetaan käsiteltäviksi Hadopissa, ja tämä tapahtuu satunnaisotannalla ennen vireille pannun asian liittämistä tiedostoon.(56) Ennen muuta on todettava, että porrastetun reagoinnin menettelyyn sovelletaan direktiivin (EU) 2016/680(57) säännöksiä. Tätä varten Hadopin toimenpiteiden kohteena olevilla luonnollisilla henkilöillä on käytettävissään useita kyseisessä direktiivissä säädettyjä aineellisia ja menettelyllisiä takeita. Niihin kuuluvat oikeus saada Hadopilta heitä itseään koskevia henkilötietoja ja oikeus pyytää kyseisten henkilötietojen oikaisemista tai poistamista sekä mahdollisuus tehdä valitus riippumattomalle valvontaviranomaiselle ja tarvittaessa käyttää muita oikeussuojakeinoja yleisen lainsäädännön edellytysten mukaisesti.(58)
105. Näin ollen ehdotan, että ensimmäiseen ja toiseen ennakkoratkaisukysymykseen vastataan, että direktiivin 2002/58 15 artiklan 1 kohtaa, luettuna yhdessä perusoikeuskirjan 7, 8 ja 11 artiklan ja 52 artiklan 1 kohdan kanssa, on tulkittava siten, että se ei ole esteenä kansalliselle lainsäädännölle, jossa annetaan hallintoviranomaiselle, joka vastaa tekijän- ja lähioikeuksien suojaamisesta internetissä tapahtuvilta oikeudenloukkauksilta, oikeus saada IP-osoitetta vastaavaa henkilöllisyyttä koskevia tietoja, jotta tämä viranomainen voi yksilöidä IP-osoitteiden haltijat, joiden epäillään syyllistyneen näihin oikeudenloukkauksiin, ja tarvittaessa kohdistaa heihin toimenpiteitä, ilman että tämän tietojen saannin edellytykseksi asetetaan tuomioistuimen tai riippumattoman hallinnollisen elimen suorittama etukäteisvalvonta, jos nämä tiedot ovat ainoa tutkintakeino, jolla voidaan yksilöidä henkilö, jolle kyseinen osoite oli annettu kyseisen rikoksen tekohetkellä.
B Kolmas ennakkoratkaisukysymys
106. Kolmannella ennakkoratkaisukysymyksellään kansallinen tuomioistuin haluaa selvittää, onko siinä tapauksessa, että ensimmäiseen ja toiseen kysymykseen vastataan myöntävästi, ja kun otetaan huomioon henkilöllisyyttä koskevien tietojen vähäinen arkaluonteisuus, tietojen saannille asetetut tiukat rajoitukset ja tarve olla vaarantamatta hallintoviranomaiselle annetun julkisen palvelun tehtävän hoitamista, direktiivin 2002/58 15 artiklan 1 kohtaa, luettuna perusoikeuskirjan 7, 8 ja 11 artiklan ja 52 artiklan 1 kohdan valossa, tulkittava siten, että se on esteenä sille, että tietojen saantia koskeva etukäteisvalvonta suoritetaan soveltuvilla tavoilla, kuten automaattisena valvontana, tarvittaessa sellaisen elimen sisäisen yksikön valvonnassa, joka tarjoaa takeet riippumattomuudesta ja puolueettomuudesta tästä keräämisestä vastaavien virkamiesten suhteen.
107. Kolmannen ennakkoratkaisukysymyksen sanamuodosta ja Ranskan hallituksen unionin tuomioistuimen esittämiin kysymyksiin antamasta kirjallisesta vastauksesta ilmenee, että soveltuvilla valvontatavoilla, joihin kysymyksessä viitataan, ei tarkoiteta mitään kansallisessa oikeudessa jo olemassa olevaa valvontamenetelmää, vaan niillä tarkoitetaan ratkaisuja, joita voidaan harkita ja joiden tarkoituksena olisi tarvittaessa saattaa Ranskan säännökset unionin oikeuden mukaisiksi.
108. Vakiintuneesta oikeuskäytännöstä kuitenkin ilmenee, että ennakkoratkaisupyynnön esittämisen tavoitteena ei ole neuvoa-antavien lausuntojen saaminen yleisistä tai hypoteettisista kysymyksistä, vaan sillä pyritään vastaamaan tarpeeseen, joka liittyy unionin oikeutta koskevan riidan todelliseen ratkaisemiseen.(59)
109. Koska kolmas ennakkoratkaisukysymys on nähdäkseni hypoteettinen, se on jätettävä tutkimatta.
110. Ensimmäiseen ja toiseen ennakkoratkaisukysymykseen ehdottamani vastauksen huomioon ottaen kolmanteen ennakkoratkaisukysymykseen ei ole tarpeen vastata.
V Ratkaisuehdotus
111. Edellä esitetyn perusteella ehdotan, että unionin tuomioistuin vastaa Conseil d’État’n esittämiin ennakkoratkaisukysymyksiin seuraavasti:
Henkilötietojen käsittelystä ja yksityisyyden suojasta sähköisen viestinnän alalla 12.7.2002 annetun Euroopan parlamentin ja neuvoston direktiivin 2002/58/EY (sähköisen viestinnän tietosuojadirektiivi) 15 artiklan 1 kohtaa, luettuna Euroopan unionin perusoikeuskirjan 7, 8 ja 11 artiklan ja 52 artiklan 1 kohdan valossa,
on tulkittava siten, että
se ei ole esteenä kansalliselle lainsäädännölle, jossa annetaan hallintoviranomaiselle, joka vastaa tekijän- ja lähioikeuksien suojaamisesta internetissä tapahtuvilta oikeudenloukkauksilta, oikeus saada IP-osoitetta vastaavaa henkilöllisyyttä koskevia tietoja, jotta tämä viranomainen voi yksilöidä IP-osoitteiden haltijat, joiden epäillään syyllistyneen näihin oikeudenloukkauksiin, ja tarvittaessa kohdistaa heihin toimenpiteitä, ilman että tämän tietojen saannin edellytykseksi asetetaan tuomioistuimen tai riippumattoman hallinnollisen elimen suorittama etukäteisvalvonta, jos nämä tiedot ovat ainoa tutkintakeino, jolla voidaan yksilöidä henkilö, jolle kyseinen osoite oli annettu kyseisen rikoksen tekohetkellä.