Liidetud kohtuasjad C‑203/15 ja C‑698/15
Tele2 Sverige ABversusPost- och telestyrelsen
ja
Secretary of State for the Home DepartmentversusTom Watson jt
(eelotsusetaotlused, mille on esitanud Kammarrätten i Stockholm ja Court of Appeal (England & Wales) (Civil Division)
Eelotsusetaotlus – Elektrooniline side – Isikuandmete töötlemine – Elektroonilise side konfidentsiaalsus – Kaitse – Direktiiv 2002/58/EÜ – Artiklid 5, 6 ja 9 ning artikli 15 lõige 1 – Euroopa Liidu põhiõiguste harta – Artiklid 7, 8 ja 11 ning artikli 52 lõige 1 – Liikmesriigi õigusnormid – Elektroonilise side teenuste pakkujad – Kohustus säilitada üldiselt ja vahet tegemata kõik liiklusandmed ja asukohaandmed – Liikmesriigi ametiasutused – Juurdepääs andmetele – Kohtu või sõltumatu haldusasutuse eelneva kontrolli puudumine – Kooskõla liidu õigusega
Kokkuvõte – Euroopa Kohtu (suurkoda) 21. detsembri 2016. aasta otsus
1. Õigusaktide ühtlustamine – Telekommunikatsioonisektor – Isikuandmete töötlemine ja eraelu kaitse elektroonilise side sektoris – Direktiiv 2002/58 – Liikmesriikide õigus piirata teatavate õiguste ja kohustuste ulatust – Kohaldamisala – Seadusandlik meede, millega elektroonilise side teenuste pakkujatele pannakse kohustus säilitada kasutajate liiklusandmed ja asukohaandmed – Hõlmamine
(Euroopa Parlamendi ja nõukogu direktiiv 2002/58, mida on muudetud direktiiviga 2009/136, artikli 5 lõige 1 ja artikli 15 lõige 1)
2. Õigusaktide ühtlustamine – Telekommunikatsioonisektor – Isikuandmete töötlemine ja eraelu kaitse elektroonilise side sektoris – Direktiiv 2002/58 – Liikmesriikide õigus piirata teatavate õiguste ja kohustuste ulatust – Tähttäheline tõlgendamine – Põhjused, mille tõttu võib kehtestada piirangu – Ammendavus
(Euroopa Parlamendi ja nõukogu direktiiv 2002/58, mida on muudetud direktiiviga 2009/136, artikli 5 lõige 1 ja artikli 15 lõige 1)
3. Õigusaktide ühtlustamine – Telekommunikatsioonisektor – Isikuandmete töötlemine ja eraelu kaitse elektroonilise side sektoris – Direktiiv 2002/58 – Liikmesriikide õigus piirata teatavate õiguste ja kohustuste ulatust – Liikmesriigi õigusnormid, mis näevad kuritegevuse vastu võitlemise eesmärgil ette kohustuse säilitada üldiselt ja vahet tegemata kasutajate liiklusandmed ja asukohaandmed – Lubamatus – Õiguste eraelu puutumatusele, isikuandmete kaitsele ja väljendusvabadusele raske riive
(Euroopa Liidu põhiõiguste harta, artiklid 7, 8, 11 ja artikli 52 lõige 1; Euroopa Parlamendi ja nõukogu direktiiv 2002/58, muudetud direktiiviga 2009/136, artikli 15 lõige 1)
4. Õigusaktide ühtlustamine – Telekommunikatsioonisektor – Isikuandmete töötlemine ja eraelu kaitse elektroonilise side sektoris – Direktiiv 2002/58 – Liikmesriikide õigus piirata teatavate õiguste ja kohustuste ulatust – Liikmesriigi õigusnormid, mis raske kuritegevuse vastu võitlemise eesmärgil võimaldavad kasutajate liiklusandmete ja asukohaandmete eesmärgipärast säilitamist – Lubatavus – Tingimused
(Euroopa Liidu põhiõiguste harta, artiklid 7, 8, 11 ja artikli 52 lõige 1; Euroopa Parlamendi ja nõukogu direktiiv 2002/58, muudetud direktiiviga 2009/136, artikli 15 lõige 1)
5. Õigusaktide ühtlustamine – Telekommunikatsioonisektor – Isikuandmete töötlemine ja eraelu kaitse elektroonilise side sektoris – Direktiiv 2002/58 – Liikmesriikide õigus piirata teatavate õiguste ja kohustuste ulatust – Liikmesriigi õigusnormid, mis reguleerivad kasutajate liiklusandmete ja asukohaandmete kaitset ja turvalisust – Liikmesriikide ametiasutuste võimalus saada andmetele juurdepääs ilma kohtu või haldusasutuse eelneva kontrollita – Lubamatus – Kohustuse säilitada kõnealuseid andmeid liidu territooriumil puudumine elektroonilise side teenuste pakkujate jaoks – Lubamatus
(Euroopa Liidu põhiõiguste harta, artiklid 7, 8, 11 ja artikli 52 lõige 1; Euroopa Parlamendi ja nõukogu direktiiv 95/46, artikkel 22 ning Euroopa Parlamendi ja nõukogu direktiiv 2002/58, muudetud direktiiviga 2009/136, artikli 15 lõiked 1 ja 2)
6. Põhiõigused – Euroopa inimõiguste kaitse konventsioon – Dokument, mis ei ole formaalselt Euroopa Liidu õiguskorra osa
(ELL artikli 6 lõige 3, Euroopa Liidu põhiõiguste harta, artikli 52 lõige 3)
7. Eelotsuse küsimused – Euroopa Kohtu pädevus – Piirid – Üldised või hüpoteetilised küsimused – Küsimus, mis on abstraktne ja põhikohtuasja eset arvestades puhtalt hüpoteetiline – Vastuvõetamatus
(ELTL artikkel 267)
1. Direktiivi 2002/58, milles käsitletakse isikuandmete töötlemist ja eraelu puutumatuse kaitset elektroonilise side sektoris (eraelu puutumatust ja elektroonilist sidet käsitlev direktiiv), muudetud direktiiviga 2009/136, artikli 15 lõiget 1 tuleb tõlgendada nii, et see lubab liikmesriikidel võtta selles direktiivis ette nähtud tingimustel seadusandlikke meetmeid, millega piiratakse direktiivi artiklites 5 ja 6, artikli 8 lõigetes 1–4 ning artiklis 9 sätestatud õiguste ja kohustuste ulatust.
Täpsemalt kuulub selle sätte kohaldamisalasse niisugune seadusandlik meede, mis paneb elektroonilise side teenuste osutajatele kohustuse säilitada liiklusandmed ja asukohaandmed, kuna see tegevus hõlmab tingimata ka isikuandmete töötlemist nende teenuseosutajate poolt. Sellesse kohaldamisalasse kuulub ka seadusandlik meede, mis puudutab riigi ametiasutuste juurdepääsu elektroonilise side teenuste osutajate säilitatavatele andmetele. Elektroonilise side ja sellega seotud andmeliikluse konfidentsiaalsuse kaitse, mis on tagatud direktiivi 2002/58 artikli 5 lõikega 1, laieneb nimelt meetmetele, mille on võtnud mis tahes isikud peale kasutajate, olenemata sellest, kas tegemist on eraõiguslike isikute või üksustega või riiklike üksustega.
(vt punktid 71 ja 75–77)
2. Direktiivi 2002/58, milles käsitletakse isikuandmete töötlemist ja eraelu puutumatuse kaitset elektroonilise side sektoris (eraelu puutumatust ja elektroonilist sidet käsitlev direktiiv), muudetud direktiiviga 2009/136, artikli 15 lõiget 1 tuleb tõlgendada nii, et see võimaldab liikmesriikidel teha erandeid direktiivi artikli 5 lõikes 1 ette nähtud põhimõttelisest kohustusest tagada isikuandmete konfidentsiaalsus, ja sellele vastavatest kohustustest, mida on mainitud eelkõige selle direktiivi artiklites 6 ja 9. Direktiivi 2002/58 artikli 15 lõiget 1 tuleb aga osas, milles see võimaldab liikmesriikidel piirata selle põhimõttelise kohustuse ulatust, tõlgendada kitsalt. Selline säte ei saa seega põhjendada seda, et erand kõnealusest põhimõttelisest kohustusest ja täpsemalt kõnealuse direktiivi artiklis 5 ette nähtud andmete säilitamise keelust saaks reegliks, vastasel juhul jääks viimati nimetatud säte suuresti sisutühjaks.
Direktiivi 2002/58 artikli 15 lõike 1 esimeses lauses on ette nähtud, et selles sättes mainitud seadusandlikud meetmed, millega piiratakse sideseansside ja nendega seonduva andmeliikluse konfidentsiaalsuse põhimõtet, peavad aitama kaitsta riiklikku julgeolekut – st riigi julgeolekut –, riigikaitset, avalikku korda, kriminaalkuritegude või elektroonilise sidesüsteemi volitamata kasutamise ennetamist, uurimist, avastamist ja kohtus menetlemist või olema võetud mõnel muul eesmärgil, mida on nimetatud direktiivi 95/46 üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta artikli 13 lõikes 1. See eesmärkide loetelu on ammendav, nagu selgub viimati nimetatud direktiivi artikli 15 lõike 1 teisest lausest, mille kohaselt peavad seadusandlikud meetmed olema võetud selle direktiivi artikli 15 lõike 1 esimeses lauses sätestatud põhjustel. Seetõttu ei tohi liikmesriigid võtta niisuguseid meetmeid muudel põhjustel kui need, mida on mainitud viimati nimetatud sättes.
(vt punktid 88–90)
3. Direktiivi 2002/58, milles käsitletakse isikuandmete töötlemist ja eraelu puutumatuse kaitset elektroonilise side sektoris (eraelu puutumatust ja elektroonilist sidet käsitlev direktiiv), muudetud direktiiviga 2009/136, artikli 15 lõiget 1 tuleb Euroopa Liidu põhiõiguste harta artikleid 7, 8 ja 11 ning artikli 52 lõiget 1 arvesse võttes tõlgendada nii, et sellega on vastuolus liikmesriigi õigusnormid, mis näevad kuritegevuse vastu võitlemise eesmärgil ette kõiki elektroonilise side vahendeid puudutava kohustuse säilitada üldiselt ja vahet tegemata kõikide abonentide ja registreeritud kasutajate kõik liiklusandmed ja asukohaandmed.
Niisugused andmed kokku võimaldavad nimelt teha väga täpseid järeldusi selliste isikute eraelu kohta, kelle andmeid säilitatakse, näiteks nende igapäevaelu harjumuste, alalise või ajutise elukoha, igapäevaste või muude liikumiste, tegevuste, sotsiaalsete suhete ja ühiskonnagruppide kohta, kellega nad läbi käivad. Täpsemalt võimaldavad need andmed koostada asjaomaste isikute profiili, mis on õigust eraelu puutumatusele arvestades sama tundlik teave kui sideseansi sisu. Niisugused õigusnormid toovas kaasa harta artiklites 7 ja 8 ette nähtud põhiõiguste ulatusliku riive, mida tuleb pidada eriti raskeks. Asjaolu, et andmete säilitamine toimub ilma elektroonilise side teenuste kasutajaid sellest teavitamata, võib neis isikutes tekitada tunde, et nende eraelu pidevalt jälgitakse. Ka juhul, kui niisugused õigusnormid ei anna luba sideseansi sisu säilitamiseks ega kahjusta seega nimetatud õiguste põhisisu, võib liiklusandmete ja asukohaandmete säilitamine ikkagi avaldada otsustava tähtsusega mõju elektrooniliste sidevahendite kasutamisele ning seeläbi ka harta artikliga 11 tagatud sõnavabaduse teostamist.
Arvestades seda, kui raske on käesoleval juhul põhiõiguste riive, mis niisuguste liikmesriigi õigusnormidega tekitatakse, on sellist meedet võimalik põhjendada ainult võitlusega raskete kuritegude vastu. Samas, kuigi raske kuritegevuse, eeskätt organiseeritud kuritegevuse ja terrorismi vastase võitluse tõhusus võib suures ulatuses sõltuda nüüdisaegse uurimistehnika kasutamisest, ei saa ainuüksi selle üldist huvi pakkuva eesmärgiga – olenemata sellest, kui oluline see ka on –, siiski põhjendada seda, et liikmesriigi õigusnorme, millega nähakse ette liiklusandmete ja asukohaandmete üldine ja vahet tegematu säilitamine, peetakse sellise kuritegevusvastase võitluse jaoks vajalikuks. Esiteks on niisuguste õigusnormide tagajärg see, et liiklusandmete ja asukohaandmete säilitamine on reegel, samas kui direktiiviga 2002/58 kehtestatud süsteem nõuab, et selline andmete säilitamine oleks erand. Teiseks ei näe niisugused riigisisesed õigusnormid, mis hõlmavad üldiselt kõiki abonente ja registreeritud kasutajaid ning kõiki elektroonilise side vahendeid ja liiklusandmeid, ette mingeid taotletavast eesmärgist lähtuvaid eristamisi, piiranguid või erandeid. Järelikult on need kohaldatavad ka isikutele, kelle kohta pole mingeid tõendeid, mille põhjal võiks arvata, et nende käitumisel oleks kasvõi kaudne või kauge seos raskete kuritegudega. Niisugused liikmesriigi õigusnormid väljuvad seega rangelt vajaliku piiridest ja demokraatlikus ühiskonnas ei saa neid lugeda põhjendatuks, nagu nõuab direktiivi 2002/58 artikli 15 lõige 1, tõlgendatuna harta artiklite 7, 8 ja 11 ning artikli 52 lõike 1 alusel.
(vt punktid 99–105, 107 ja 112 ning resolutsiooni punkt 1)
4. Direktiivi 2002/58, milles käsitletakse isikuandmete töötlemist ja eraelu puutumatuse kaitset elektroonilise side sektoris (eraelu puutumatust ja elektroonilist sidet käsitlev direktiiv), muudetud direktiiviga 2009/136, artikli 15 lõiget 1 tuleb Euroopa Liidu põhiõiguste harta artikleid 7, 8 ja 11 ning artikli 52 lõiget 1 arvesse võttes tõlgendada nii, et sellega ei ole vastuolus see, kui liikmesriik võtab vastu õigusnormid, mis raske kuritegevuse vastu võitlemise eesmärgil võimaldavad liiklusandmete ja asukohaandmete eesmärgipärast ennetavat säilitamist, tingimusel et andmete säilitamine oleks säilitatavate andmete liigi, asjassepuutuvate sidevahendite ja isikute ning säilitamise kestuse osas piiratud rangelt vajalikuga.
Nende nõuete täitmiseks peavad need liikmesriigi õigusnormid esiteks sätestama selged ja täpsed eeskirjad niisuguse andmete säilitamise meetme ulatuse ja kohaldamise kohta ning kehtestama miinimumnõuded, nii et isikutel, kelle andmeid säilitatakse, oleks piisavad garantiid, mis võimaldavad tõhusalt kaitsta nende isikuandmeid kuritarvitamise ohu eest. Täpsemalt peavad need ette nägema, millistel asjaoludel ja milliste tingimuste kohaselt võib andmete säilitamise meetme ennetavalt võtta, tagades seeläbi, et niisugune meede piirduks rangelt vajalikuga.
Teiseks tuleb märkida seoses sisuliste tingimustega, millele liikmesriigi õigusnormid peavad vastama, et tagada, et need piirduks rangelt vajalikuga, et kuigi raske kuriteo ennetamiseks, uurimiseks, avastamiseks ja menetlemiseks võetavad meetmed võivad varieeruda, peab andmete säilitamine siiski alati vastama objektiivsetele kriteeriumidele, mis loovad seose säilitatavate andmete ja taotletava eesmärgi vahel. Täpsemalt peavad need tingimused olema sellised, mis praktikas võimaldaks meetme ulatust ja seeläbi ka puudutatud isikuteringi tõhusalt piirata. Mis puudutab niisuguse meetme piiramist, siis liikmesriigi õigusnormid peavad lähtuma objektiivsetest asjaoludest, mis võimaldavad meetme suunata isikuteringile, kellega seotud andmetest võib avalduda kasvõi kaudne seos raskete kuritegudega, või mis võimaldavad ühel või teisel viisil võidelda raske kuritegevusega või ära hoida suurt ohtu avalikule julgeolekule. Niisuguse piirangu võib saavutada geograafilise kriteeriumi seadmise teel, kui pädevad ametiasutused leivad objektiivsete asjaolude pinnalt, et ühes või mitmes geograafilises piirkonnas esineb kõrgendatud oht selliste kuritegude ettevalmistamiseks või toimepanemiseks.
(vt punktid 108–111)
5. Direktiivi 2002/58, milles käsitletakse isikuandmete töötlemist ja eraelu puutumatuse kaitset elektroonilise side sektoris (eraelu puutumatust ja elektroonilist sidet käsitlev direktiiv), muudetud direktiiviga 2009/136, artikli 15 lõiget 1 tuleb Euroopa Liidu põhiõiguste harta artikleid 7, 8 ja 11 ning artikli 52 lõiget 1 arvesse võttes tõlgendada nii, et sellega on vastuolus liikmesriigi õigusnormid, mis reguleerivad liiklusandmete ja asukohaandmete kaitset ja turvalisust ning eelkõige pädevate ametiasutuste juurdepääsu säilitatavatele andmetele, piiramata seda juurdepääsu kuritegevuse vastu võitlemise raames üksnes raske kuritegevuse vastu võitlemisega; nägemata ette, et andmetele juurdepääsu saamise eeltingimuseks on kohtu või sõltumatu haldusasutuse eelnev kontroll; ning nõudmata, et kõnealuseid andmeid säilitataks liidu territooriumil.
Selleks et tagada, et riigi pädevatele ametiasutustele antaks juurdepääs säilitatavatele andmetele ainult rangelt vajalikus ulatuses, tuleb liikmesriigi õiguses mõistagi kindlaks määrata tingimused, mille kohaselt elektroonilise side teenuste osutajad niisuguse juurdepääsu peavad andma. Asjassepuutuvad liikmesriigi õigusnormid ei saa aga siiski piirduda üksnes sätestamisega, et juurdepääs antakse mõnel direktiivi 2002/58 artikli 15 lõikes 1 sätestatud eesmärgil, isegi kui selleks eesmärgiks on võitlemine raske kuritegevusega. Niisugustes liikmesriigi õigusnormides tuleb nimelt ette näha ka materiaal- ja menetlusõiguslikud tingimused, mille esinemise korral peavad riigi pädevad asutused saama juurdepääsu säilitatavatele andmetele. Kuna üldist juurdepääsu kõigile säilitatavatele andmetele olenemata sellest, kas esineb mis tahes – kas või kaudne – seos taotletava eesmärgiga, ei saa lugeda piirduvaks rangelt vajalikuga, peavad asjassepuutuvad liikmesriigi õigusnormid lähtuma objektiivsetest kriteeriumidest, et määratleda asjaolud ja tingimused, mille esinemise korral tuleb riigi pädevatele ametiasutustele anda juurdepääs abonentide ja registreeritud kasutajate andmetele. Selle kohta tuleb märkida, et põhimõtteliselt tohib kuritegevuse vastu võitlemise eesmärgil anda juurdepääsu ainult nende isikute andmetele, keda kahtlustatakse raske kuriteo kavandamises, toimepanemises või eelnevas toimepanemises või niisuguse kuriteoga ühel või teisel viisil seotud olemises. Teatavatel erijuhtudel, näiteks olukordades, kus terroristlik tegevus ohustab riiklikku julgeolekut, riigikaitset või avalikku julgeolekut, võib juurdepääsu teiste isikute andmetele anda ka juhul, kui esineb objektiivseid asjaolusid, mis võimaldavad järeldada, et need andmed võimaldavad konkreetsel juhul tulemuslikult kaasa aidata niisuguse tegevuse vastasele võitlemisele.
Selleks et tegelikkuses oleks tagatud nende tingimuste täielik järgimine, on esmatähtis, et – välja arvatud nõuetekohaselt põhjendatud kiireloomulistel juhtudel – riigi pädevate asutuste juurdepääs andmetele oleks allutatud kohtu või sõltumatu haldusasutuse teostatavale eelnevale kontrollile ja et see kohus või haldusasutus teeks oma otsuse juurdepääsu taotleva asutuse põhjendatud taotluse alusel, mis on ennekõike esitatud kuriteo ennetamise, avastamise või menetlemise raames. Ühtlasi on oluline, et riigi pädevad ametiasutused, kellele on antud juurdepääs säilitatavatele andmetele, teavitaksid sellest asjassepuutuvaid isikuid kohaldatavate riigisiseste menetluste raames alates hetkest, kui see teavitamine ei saa enam kahjustada nende ametiasutuste läbiviidavat menetlust. Selline teavitamine on vajalik selleks, et puudutatud isikud saaks juhul, kui nende õigusi on rikutud, kasutada õiguskaitsevahendeid, mis on sõnaselgelt ette nähtud direktiivi 2002/58 artikli 15 lõikes 2, tõlgendatuna koostoimes direktiivi 95/46 üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta artikliga 22.
Arvestades säilitatavate andmete hulka, delikaatsust ja neile ebaseaduslikult juurde pääsemise ohtu, peavad elektroonilise side teenuste osutajad, selleks et kindlustada säilitatavate andmete terviklikkus ja konfidentsiaalsus, tagama nende andmete eriti kõrgetasemelise kaitse ja turvalisuse, kasutades selleks sobivaid tehnilisi ja korralduslikke meetmeid. Täpsemalt peavad liikmesriigi õigusnormid nägema ette andmete säilitamise liidu territooriumil ja nende pöördumatu hävitamise pärast säilitamistähtaja lõppu.
(vt punktid 118–122 ja 125 ning resolutsiooni punkt 2)
6. Vt otsuse tekst.
(vt punktid 127–129)
7. Vt otsuse tekst.
(vt punkt 130)