Lieta C‑623/17
Privacy International
pret
Secretary of State for Foreign and Commonwealth Affairs u.c.
(Investigatory Powers Tribunal lūgums sniegt prejudiciālu nolēmumu)
Tiesas (virspalāta) 2020. gada 6. oktobra spriedums
Lūgums sniegt prejudiciālu nolēmumu – Personas datu apstrāde elektronisko komunikāciju nozarē – Elektronisko komunikāciju pakalpojumu sniedzēji – Informācijas par datu plūsmu un atrašanās vietas datu visaptveroša un nediferencēta nodošana – Valsts drošības aizsardzība – Direktīva 2002/58/EK – Piemērošanas joma – 1. panta 3. punkts un 3. pants – Elektronisko komunikāciju konfidencialitāte – Aizsardzība – 5. pants un 15. panta 1. punkts – Eiropas Savienības Pamattiesību harta – 7., 8. un 11. pants, kā arī 52. panta 1. punkts – LES 4. panta 2. punkts
1. Tiesību aktu tuvināšana – Telekomunikāciju nozare – Personas datu apstrāde un privātās dzīves aizsardzība elektronisko komunikāciju nozarē – Direktīva 2002/58 – Piemērošanas joma – Valsts tiesiskais regulējums, kurā elektronisko komunikāciju pakalpojumu sniedzējiem ir noteikts pienākums saglabāt informāciju par datu plūsmu un atrašanās vietas datus – Valsts drošības aizsardzības un noziedzības apkarošanas mērķi – Iekļaušana
(LES 4. panta 2. punkts; Eiropas Parlamenta un Padomes Direktīvas 2002/58, kas grozīta ar Direktīvu 2009/136, 1. panta 1. un 3. punkts, 3. pants un 15. panta 1. punkts)
(skat. 35.–39., 41.–44., 46., 48. un 49., punktu un rezolutīvās daļas 1) punktu)
2. Tiesību aktu tuvināšana – Telekomunikāciju nozare – Personas datu apstrāde un privātās dzīves aizsardzība elektronisko komunikāciju nozarē – Direktīva 2002/58 – Dalībvalstu tiesības ierobežot noteiktu tiesību un pienākumu piemērošanas jomu – Valsts tiesību akti, ar kuriem elektronisko komunikāciju pakalpojumu sniedzējiem ir noteikts pienākums veikt informācijas par datu plūsmu un atrašanās vietas datu visaptverošu un nediferencētu saglabāšanu – Valsts drošības aizsardzības mērķis – Nepieļaujamība
(LES 4. panta 2. punkts; Eiropas Savienības Pamattiesību hartas 7., 8. un 11. pants un 52. panta 1. punkts; Eiropas Parlamenta un Padomes Direktīvas 2002/58, kas grozīta ar Direktīvu 2009/136, 5. panta 1. punkts un 15. panta 1. punkts)
(skat. 55.–62., 65.–82. punktu un rezolutīvās daļas 2) punktu)
Rezumējums
Tiesa apstiprina, ka Savienības tiesībām ir pretrunā valsts tiesiskais regulējums, ar kuru elektronisko komunikāciju pakalpojumu sniedzējam vispārīgas noziedzīgu nodarījumu apkarošanas vai valsts drošības aizsardzības mērķa labad ir noteikts pienākums veikt visaptverošu un nediferencētu informācijas par datu plūsmu un atrašanās vietas datu nodošanu vai saglabāšanu
Turpretī situācijās, kad dalībvalsts sastopas ar nopietniem draudiem valsts drošībai, kuri izrādās patiesi un faktiski vai paredzami, tā var atkāpties no pienākuma nodrošināt elektronisko komunikāciju datu konfidencialitāti, tiesību aktos nosakot pienākumu veikt šo datu visaptverošu un nediferencētu saglabāšanu uz laiku, kas nepārsniedz absolūti nepieciešamo, bet kuru var pagarināt draudu saglabāšanās gadījumā. Attiecībā uz smagas noziedzības apkarošanu un smagu draudu sabiedrības drošībai novēršanu dalībvalsts var arī paredzēt minēto datu mērķorientētu un operatīvu saglabāšanu. Šāda iejaukšanās pamattiesībās ir jāpakārto efektīvām garantijām, un tā ir jākontrolē tiesai vai neatkarīgai administratīvai iestādei. Tāpat dalībvalsts var īstenot komunikācijas avotam piešķirto IP adrešu visaptverošu un nediferencētu saglabāšanu, ja saglabāšanas ilgums nepārsniedz absolūti nepieciešamo, vai arī veikt visaptverošu un nediferencētu elektronisko komunikāciju līdzekļu lietotāju personas identitātes datu saglabāšanu, pēdējā minētajā gadījumā to neierobežojot uz noteiktu laiku
Pēdējo gadu laikā Tiesa vairākos spriedumos ir lēmusi par personas datu saglabāšanu un piekļuvi tiem elektronisko komunikāciju jomā (1). No tiem izrietošā judikatūra, īpaši spriedums Tele2 Sverige un Watson u.c., kurā tā tostarp uzskatīja, ka dalībvalstis elektronisko komunikāciju pakalpojumu sniedzējiem nevar noteikt pienākumu veikt visaptverošu un nediferencētu informācijas par datu plūsmu un atrašanās vietas datu saglabāšanu, izraisīja atsevišķu valstu bažas – tās uztraucās par to, ka tām tiek liegts instruments, kuru tās uzskata par nepieciešamu valsts drošības aizsardzībai un noziedzības apkarošanai.
Šajā kontekstā Investigatory Powers Tribunal (Izmeklēšanas pilnvaru tiesa, Apvienotā Karaliste) (Privacy International, C‑623/17), Conseil d’État (Valsts padome, Francija) (La Quadrature du Net u.c., apvienotās lietas C‑511/18 un C‑512/18), kā arī Cour constitutionnelle (Konstitucionālā tiesa, Beļģija) (Ordre des barreaux francophones et germanophone u.c., C‑520/18) tika celtas prasības saistībā ar tāda tiesiskā regulējuma likumību, kuru atsevišķas dalībvalstis bija pieņēmušas šajās jomās, konkrētāk, paredzot pienākumu elektronisko komunikāciju pakalpojumu sniedzējiem nodot valsts iestādei vai visaptverošā un nediferencētā veidā saglabāt lietotāju informāciju par datu plūsmu un atrašanās vietas datus.
Divos spriedumos, kurus virspalāta pasludināja 2020. gada 6. oktobrī, Tiesa vispirms nosprieda, ka Direktīva par privātās dzīves aizsardzību un elektroniskajām komunikācijām ir piemērojama valsts tiesiskajiem regulējumiem, ar kuriem elektronisko komunikāciju pakalpojumu sniedzējiem ir noteikts pienākums valsts drošības aizsardzības un noziedzības apkarošanas mērķiem veikt personas datu apstrādi, piemēram, nodot tos valsts iestādēm vai tos saglabāt. Turklāt, apstiprinot tās judikatūru, kas izriet no sprieduma Tele2 Sverige un Watson u.c., par informācijas par datu plūsmu un atrašanās vietas datu visaptverošas un nediferencētas saglabāšanas nesamērīgo raksturu, Tiesa tostarp precizē pilnvaru apmēru, kas ar šo direktīvu ir atzītas dalībvalstīm šādu datu saglabāšanas jomā iepriekš minētajiem mērķiem.
Vispirms Tiesa izkliedē šajās lietās paustās šaubas par Direktīvas par privātās dzīves aizsardzību un elektroniskajām komunikācijām piemērojamību. Vairākas dalībvalstis iesniedza Tiesā rakstveida apsvērumus, izsakot šajā ziņā atšķirīgu viedokli. Tostarp tās apgalvoja, ka šī direktīva neesot piemērojama aplūkotajiem valsts tiesiskajiem regulējumiem, ciktāl to mērķis ir valsts drošības aizsardzība, kas esot vienīgi šo valstu kompetencē, kā to apliecinot tostarp LES 4. panta 2. punkta trešais teikums. Tiesa tomēr uzskata, ka valsts tiesiskie regulējumi, ar kuriem elektronisko komunikāciju pakalpojumu sniedzējiem ir noteikts pienākums saglabāt informāciju par datu plūsmu un atrašanās vietas datus vai arī nodot šos datus valsts drošības un izlūkdienestu iestādēm šim nolūkam, ietilpst direktīvas piemērošanas jomā.
Turklāt Tiesa atgādina, ka Direktīva par privātās dzīves aizsardzību un elektroniskajām komunikācijām (2) nepieļauj, ka atkāpe no principiālā pienākuma nodrošināt elektroniskās komunikācijas un ar to saistīto datu konfidencialitāti un atkāpe no aizlieguma uzglabāt šos datus kļūtu par normu. Tas nozīmē, ka šī direktīva ļauj dalībvalstīm, tostarp valsts drošības mērķiem, pieņemt tiesību aktus ar nolūku ierobežot šajā direktīvā paredzēto tiesību un pienākumu, tostarp pienākuma nodrošināt komunikācijas un informācijas par datu plūsmu konfidencialitāti (3), piemērošanas jomu, vienīgi ievērojot vispārējos Savienības tiesību principus, tostarp samērīguma principu, un Hartā garantētās pamattiesības (4).
Šādā saistībā Tiesa, pirmkārt, lietā Privacy International, uzskata, ka Direktīva par privātās dzīves aizsardzību un elektroniskajām komunikācijām, to lasot Hartas kontekstā, nepieļauj tādu tiesisko regulējumu, ar kuru elektronisko komunikāciju pakalpojumu sniedzējiem valsts drošības aizsardzības nolūkos ir noteikts pienākums veikt informācijas par datu plūsmu un atrašanās vietas datu visaptverošu un nediferencētu nodošanu drošības dienestiem un izlūkdienestiem. Otrkārt, apvienotajās lietās La Quadrature du Net u.c., kā arī lietā Ordre des barreaux francophones et germanophone u.c. Tiesa uzskata, ka šī pati direktīva nepieļauj tiesību aktus, ar kuriem elektronisko komunikāciju pakalpojumu sniedzējiem ir noteikts pienākums veikt preventīvu informācijas par datu plūsmu un atrašanās vietas datu visaptverošu un nediferencētu saglabāšanu. Šādi šo datu visaptveroši un nediferencēti nodošanas un saglabāšanas pienākumi ir uzskatāmi par īpaši smagu iejaukšanos Hartas garantētajās pamattiesībās, jo personu, kuru dati tiek skarti, rīcībai nav saiknes ar aplūkotajā tiesiskajā regulējumā izvirzīto mērķi. Līdzīgi Tiesa interpretē Vispārīgās datu aizsardzības regulas (5) 23. panta 1. punktu, to lasot Hartas kontekstā, tādējādi, ka tas nepieļauj valsts tiesisko regulējumu, ar kuru piekļuves publiskiem tiešsaistes komunikāciju pakalpojumiem sniedzējiem un mitināšanas pakalpojumu sniedzējiem ir noteikts pienākums veikt visaptverošu un nediferencētu ar šiem pakalpojumiem saistīto personas datu saglabāšanu.
Turpretī Tiesa uzskata, ka situācijās, kad dalībvalsts sastopas ar smagiem draudiem valsts drošībai, kas izrādās patiesi un faktiski vai paredzami, Direktīva par privātās dzīves aizsardzību un elektroniskajām komunikācijām, to lasot Hartas kontekstā, neliedz uzdot elektronisko komunikāciju pakalpojumu sniedzējiem visaptverošā un nediferencētā veidā saglabāt informāciju par datu plūsmu un atrašanās vietas datus. Šādā kontekstā Tiesa precizē, ka lēmumam, kurā ir paredzēts šāds rīkojums uz laiku, kas nepārsniedz absolūti nepieciešamo, ir jābūt pakļautam efektīvai pārbaudei tiesā vai arī neatkarīgā administratīvā iestādē, kuras lēmumam ir saistoša iedarbība, lai pārliecinātos, vai pastāv šāda situācija, kā arī, vai ir ievēroti paredzētie nosacījumi un garantijas. Ar šādiem pašiem nosacījumiem minētā direktīva pieļauj arī visu elektroniskās komunikācijas līdzekļu lietotāju datu, īpaši informācijas par datu plūsmu un atrašanās vietas datu, automatizētu analīzi.
Tiesa piebilst, ka Direktīva par privātās dzīves aizsardzību un elektroniskajām komunikācijām, to lasot Hartas kontekstā, neliedz pieņemt tiesību aktus, ar kuriem tiek ļauts veikt tādas informācijas par datu plūsmu un atrašanās vietas datu mērķorientētu saglabāšanu uz laiku, ne ilgāku par absolūti nepieciešamo, kura ir ierobežota ar objektīviem un nediskriminējošiem elementiem, ņemot vērā datu subjektu kategorijas vai, izmantojot ģeogrāfisko kritēriju. Tāpat šī direktīva neliedz šādos tiesību aktos paredzēt komunikācijas avotam piešķirto IP adrešu visaptverošu un nediferencētu saglabāšanu, ja saglabāšanas ilgums nepārsniedz absolūti nepieciešamo, vai arī veikt šādu elektronisko komunikāciju līdzekļu lietotāju personas identitātes datu saglabāšanu, pēdējā minētajā gadījumā nenosakot dalībvalstīm pienākumu saglabāšanu ierobežot laikā. Turklāt minētā direktīva pieļauj tiesību aktu, kas ļauj veikt pakalpojumu sniedzēju rīcībā esošo datu operatīvu saglabāšanu, ja rodas situācijas, kurās ir nepieciešams saglabāt minētos datus pēc tiesību aktos noteiktajiem termiņiem datu saglabāšanai, lai atklātu smagus noziedzīgus nodarījumus vai valsts drošības apdraudējumu, ja šie noziedzīgie nodarījumi vai šis apdraudējums jau ir ticis konstatēts, vai arī, ja par to esamību radušās pamatotas aizdomas.
Turklāt Tiesa nospriež, ka Direktīva par privātās dzīves aizsardzību un elektroniskajām komunikācijām, to lasot Hartas kontekstā, pieļauj valsts tiesisko regulējumu, ar kuru elektronisko komunikāciju pakalpojumu sniedzējiem ir noteikts pienākums reāllaikā vākt tostarp informāciju par datu plūsmu un atrašanās vietas datus, ja šī vākšana attiecas tikai uz tādām personām, par kurām ir pamatots iemesls aizdomām, ka tās kaut kādā veidā ir iesaistītas terorisma darbībās, un ja tas ir pakļauts iepriekšējai pārbaudei tiesā vai neatkarīgā administratīvā iestādē, kuras lēmumam ir saistoša iedarbība, lai pārliecinātos, ka šāda vākšana reāllaikā ir atļauta vienīgi absolūti nepieciešamā apmērā. Neatliekamības gadījumos pārbaude jāveic īsā laikā.
Visbeidzot Tiesa pievēršas jautājumam par valsts tiesiskā regulējuma, kurš ir atzīts par neatbilstīgu Savienības tiesībām, seku saglabāšanu laikā. Šajā ziņā tā norāda, ka valsts tiesa nevar piemērot valsts tiesību normu, ar kuru tā ir pilnvarota ierobežot laikā tāda konstatējuma par prettiesiskumu iedarbību laikā, kas tai saskaņā ar šīm tiesībām ir jāveic attiecībā uz valsts tiesību aktiem, ar kuriem elektronisko komunikāciju pakalpojumu sniedzējiem ir noteikts pienākums veikt visaptverošu un nediferencētu informācijas par datu plūsmu un atrašanās vietas datu saglabāšanu, kas ir atzīta par nesaderīgu ar Direktīvu par privātās dzīves aizsardzību un elektroniskajām komunikācijām, to lasot Hartas kontekstā.
To ņemot vērā, lai sniegtu lietderīgu atbildi valsts tiesai, Tiesa atgādina, ka pierādījumu, kas iegūti, veicot Savienības tiesībām neatbilstošu datu saglabāšanu, pieņemamība un izvērtēšana kriminālprocesā, kas uzsākts pret personām, kuras tiek turētas aizdomās par smagu noziegumu izdarīšanu, saskaņā ar pašreiz spēkā esošajām Savienības tiesībām ir atkarīga vienīgi no valsts tiesībām. Tomēr Tiesa precizē, ka Direktīva par privātās dzīves aizsardzību un elektroniskajām komunikācijām, to interpretējot efektivitātes principa kontekstā, pieprasa, lai valsts krimināltiesa šādā kriminālprocesā neņemtu vērā pierādījumus, kas – pretrunā Savienības tiesībām – ir iegūti, visaptveroši un nediferencēti saglabājot informāciju par datu plūsmu un atrašanās vietas datus, ja personas, kuras tiek turētas aizdomās par noziegumu, nevar efektīvi paust nostāju par šiem pierādījumiem.