Yhdistetyt asiat C-793/19 ja C-794/19
Saksan liittotasavalta
vastaan
SpaceNet AG
ja
Telekom Deutschland GmbH
(Bundesverwaltungsgerichtin esittämät ennakkoratkaisupyynnöt)
Unionin tuomioistuimen tuomio (suuri jaosto) 20.9.2022
Ennakkoratkaisupyyntö – Henkilötietojen käsittely ja yksityisyyden suoja sähköisen viestinnän alalla – Viestinnän luottamuksellisuus – Sähköisten viestintäpalvelujen tarjoajat – Liikennetietojen ja paikkatietojen yleinen ja erotuksetta tapahtuva säilyttäminen – Direktiivi 2002/58/EY – 15 artiklan kohta: – Euroopan unionin perusoikeuskirja – 6, 7, 8 ja 11 artikla sekä 52 artiklan 1 kohta – SEU 4 artiklan 2 kohta
1. Jäsenvaltioiden lainsäädännön lähentäminen – Televiestintäala – Henkilötietojen käsittely ja yksityisyyden suoja sähköisen viestinnän alalla – Direktiivi 2002/58 – Soveltamisala – Kansallinen säännöstö, jonka mukaan sähköisten viestintäpalvelujen tarjoajien on säilytettävä liikenne- ja paikkatiedot – Kansallisen turvallisuuden suojaamisen ja rikollisuuden torjumisen tavoitteet kuuluvat soveltamisalaan
(SEU 4 artiklan 2 kohta; Euroopan parlamentin ja neuvoston direktiivin 2002/58, sellaisena kuin se on muutettuna direktiivillä 2009/136, 1 artiklan 1 ja 3 kohta, 3 artikla sekä 15 artiklan 1 kohta)
(ks. 48 kohta)
2. Jäsenvaltioiden lainsäädännön lähentäminen – Televiestintäala – Henkilötietojen käsittely ja yksityisyyden suoja sähköisen viestinnän alalla – Direktiivi 2002/58 – Jäsenvaltioiden mahdollisuus rajoittaa tiettyjen oikeuksien ja velvollisuuksien ulottuvuutta – Kansalliset toimenpiteet, joilla sähköisten viestintäpalvelujen tarjoajat velvoitetaan säilyttämään liikenne- ja paikkatiedot yleisesti ja erotuksetta – Vakavan rikollisuuden torjumisen ja yleiseen turvallisuuteen kohdistuvien vakavien uhkien ehkäisyn tavoitteet – Eivät ole hyväksyttäviä – Tietojen yleisesti ja erotuksetta tapahtuvan säilyttämisajanjakson kesto – Vaikutuksettomuus – Tiettyjen tietoryhmien säilyttämistä koskevat kansalliset toimenpiteet – Kansallisen turvallisuuden suojaamisen ja vakavan rikollisuuden torjumisen sekä yleiseen turvallisuuteen kohdistuvien vakavien uhkien ehkäisyn tavoitteet – Hyväksyttävyys – Edellytykset
(Euroopan unionin perusoikeuskirjan 7, 8 ja 11 artikla ja 52 artiklan 1 kohta; Euroopan parlamentin ja neuvoston direktiivin 2002/58, sellaisena kuin se on muutettuna direktiivillä N:o 2009/136, 15 artiklan 1 kohta)
(ks. 49–75, 77–81, 83–85, 87–94, 97–99, 110, 113, 116–121 ja 127–131 kohta sekä tuomiolauselma)
Tiivistelmä
Unionin tuomioistuin on viime vuosina ottanut useissa tuomiossa kantaa henkilötietojen säilyttämiseen ja oikeuteen saada niitä sähköisen viestinnän alalla.(1)
Unionin tuomioistuin vahvisti hiljattain suuren jaoston kokoonpanossa 6.10.2020 antamassaan tuomiossa La Quadrature du net ym.(2) tuomioon Tele2 Sverige ja Watson ym.(3) perustuvan oikeuskäytäntönsä, joka koskee sähköiseen viestintään liittyvien liikenne- ja paikkatietojen yleisen ja erotuksetta tapahtuvan säilyttämisen suhteettomuutta. Se esitti myös täsmennyksiä muun muassa sähköisen viestinnän tietosuojadirektiivissä jäsenvaltioille annetun sen toimivallan laajuudesta, joka koskee tällaisten tietojen säilyttämistä kansallisen turvallisuuden suojaamiseksi, rikollisuuden torjumiseksi ja yleisen turvallisuuden suojaamiseksi.
Nyt käsiteltävissä yhdistetyissä asioissa kaksi ennakkoratkaisupyyntöä on esittänyt Bundesverwaltungsgericht (liittovaltion ylin hallintotuomioistuin, Saksa), jonka käsiteltäväksi Saksan liittotasavalta on saattanut kahdesta tuomiosta, joissa kahden internetyhteyspalveluja tarjoavan yhtiön – eli SpaceNet AG:n (asia C-793/19) ja Telekom Deutschland GmbH:n (asia C-794/19) – nostamat kanteet on hyväksytty, tehdyn Revision-valituksen. Kyseiset yhtiöt riitauttivat näillä kanteilla Saksan lainsäädännössä(4) asetetun velvoitteen säilyttää asiakkaiden sähköiseen viestintään liittyvät liikenne- ja paikkatiedot.
Ennakkoratkaisua pyytäneen tuomioistuimen esittämät epäilyt koskivat muu muassa sellaisen kansallisen säännöstön yhteensopivuutta sähköisen viestinnän tietosuojadirektiivin(5) kanssa, –kun sitä luetaan yhdessä Euroopan unionin perusoikeuskirjan(6) (jäljempänä perusoikeuskirja) ja SEU 4 artiklan 2 kohdan kanssa –, jossa yleisesti saatavilla olevien sähköisten viestintäpalvelujen tarjoajat velvoitetaan muun muassa vakavista rikoksista rankaisemiseksi tai kansalliseen turvallisuuteen kohdistuvan konkreettisen vaaran ehkäisemiseksi säilyttämään yleisesti ja erotuksetta suurin osa näiden palvelujen loppukäyttäjien liikenne- ja sijaintitiedoista ja jossa säädetään useiden viikkojen säilytysajasta ja säännöistä, joilla pyritään varmistamaan säilytettyjen tietojen tehokas suoja tietojen väärinkäyttöä ja lainvastaista saantia koskevilta vaaroilta.
Unionin tuomioistuin, joka on kokoontunut suuressa jaostossa, vahvistaa tuomioon La Quadrature du Net ym. ja sittemmin tuomioon Commissioner of An Garda Síochána ym.(7) perustuvan oikeuskäytäntönsä ja täsmentää samalla sen ulottuvuutta. Se muistuttaa, että sähköiseen viestintään liittyvien liikenne- ja paikkatietojen yleinen ja erotuksetta tapahtuva säilyttäminen ennalta ehkäisevästi ei ole sallittua vakavan rikollisuuden torjumiseksi ja yleiseen turvallisuuteen kohdistuvien vakavien uhkien torjumiseksi.
Unionin tuomioistuimen arviointi asiasta
Unionin tuomioistuin aloittaa vahvistamalla sen, että sähköisen viestinnän tietosuojadirektiiviä sovelletaan kyseessä olevaan kansalliseen säännöstöön, se muistuttaa tämän jälkeen periaatteista, joita sen oikeuskäytännöstään seuraa, ennen kuin se alkaa tutkia yksityiskohtaisesti ennakkoratkaisua pyytäneen tuomioistuimen esiin tuomia kyseessä olevan kansallisen säännöstön ominaispiirteitä.
Unionin tuomioistuin toteaa ensinnäkin säilytettyjen tietojen laajuudesta, että kyseisessä kansallisessa säännöstössä säädetty säilyttämisvelvollisuus ulottuu hyvin laajaan liikenne- ja paikkatietojen kokonaisuuteen ja että se koskee lähes kaikkia väestöön kuuluvia henkilöitä, vaikka he eivät ole edes välillisesti tilanteessa, joka voisi johtaa rikosoikeudellisen menettelyn vireillepanoon. Se toteaa myös, että kyseisessä säännöstössä säädetään liikenne- ja paikkatiedoista olennaisen osan, jonka laajuus vastaa olennaisilta osin tuomioon La Quadrature du net ym. johtaneessa asiassa säilytettyjen tietojen laajuutta, säilyttämisestä, joka on perustetta edellyttämätöntä, yleistä ja henkilöllisesti, ajallisesti ja maantieteellisesti erottelematonta. Näin ollen unionin tuomioistuin katsoo tämän oikeuskäytäntö huomioon ottaen, että nyt käsiteltävässä asiassa kyseessä olevan kaltaista tietojen säilyttämisvelvollisuutta ei voida pitää tietojen kohdennettuna säilyttämisenä.
Unionin tuomioistuin muistuttaa tämän jälkeen tietojen säilytysajasta, että sähköisen viestinnän tietosuojadirektiivistä(8) ilmenee, että kansallisen toimenpiteen, jossa säädetään yleisestä ja erotuksetta tapahtuvasta säilyttämisvelvollisuudesta, mukainen säilyttämisaika on tosin merkityksellinen tekijä muiden joukossa sen määrittämiseksi, onko unionin oikeus esteenä tällaiselle toimenpiteelle, mutta mainitussa direktiivissä edellytetään keston olevan ”rajoitettu”. Puuttumisen vakavuus johtuu kuitenkin siitä vaarasta, että säilytetyt tiedot – muun muassa niiden määrä ja moninaisuus huomioon ottaen – mahdollistavat yhdessä tarkasteltuina hyvin tarkkojen päätelmien tekemisen niiden henkilöiden, joiden tietoja on säilytetty, yksityiselämästä ja että niiden avulla voidaan erityisesti laatia asianomaisen henkilön tai asianomaisten henkilöiden profiili, joka on yksityisyyden suojaa koskevan oikeuden kannalta aivan yhtä arkaluonteista tietoa kuin itse viestinnän sisältö. Näin ollen liikenne- tai paikkatietojen säilyttäminen on joka tapauksessa vakavaa riippumatta säilyttämisajanjakson kestosta ja säilytettyjen tietojen määrästä tai laadusta, kun säilytettyjen tietojen joukon perusteella voidaan tehdä tällaisia päätelmiä.(9)
Unionin tuomioistuin toteaa aiempaan oikeuskäytäntöön tukeutuen lopuksi takeista, joilla säilytettyjä tietoja pyritään suojaamaan tietojen väärinkäyttöä ja lainvastaista saantia koskevilta vaaroilta, että tietojen säilyttäminen ja oikeus saada niitä merkitsevät erillisiä puuttumisia asianomaisten henkilöiden perusoikeuksiin, mikä edellyttää erillistä oikeuttamisperustetta. Tästä seuraa, että kansallinen lainsäädäntö, jolla taataan säilytettyjen tietojen saantia koskevasta oikeuskäytännöstä johtuvien edellytysten täysimääräinen noudattaminen, ei voi luonteensa vuoksi rajoittaa tai edes korjata näiden tietojen yleisestä säilyttämisestä johtuvaa vakavaa puuttumista asianomaisten henkilöiden oikeuksiin.
Lisäksi unionin tuomioistuin totesi vastauksena sille esitettyihin väitteisiin ensinnäkin, että kansalliseen turvallisuuteen kohdistuvan uhan on oltava todellinen ja olemassa oleva tai ainakin ennakoitavissa oleva, mikä edellyttää riittävän konkreettisten seikkojen ilmenemistä, jotta voidaan oikeuttaa liikenne- ja paikkatietojen säilyttäminen yleisesti ja erotuksetta rajoitetun ajanjakson ajan. Tällainen uhka eroaa siis luonteeltaan, vakavuudeltaan ja uhan muodostavien erityisten olosuhteiden vuoksi siitä yleisestä ja pysyvästä vaarasta, jonka muodostavat yleisen turvallisuuden jännitteiden tai häiriöiden, jopa vakavien, ilmeneminen tai vakavat rikokset. Näin ollen rikollisuutta, vaikka se olisi erityisen vakavaa, ei voida rinnastaa kansallista turvallisuutta koskevaan uhkaan.
Se toteaa toiseksi, että se, että vakavan rikollisuuden torjumiseksi annettaisiin oikeus saada yleisesti ja erotuksetta kansalliseen turvallisuuteen kohdistuvan vakavan uhan torjumiseksi säilytettyjä liikenne- ja paikkatietoja, olisi vastoin niiden yleistä etua koskevien tavoitteiden hierarkiaa, jolla sähköisen viestinnän tietosuojadirektiivin perusteella toteutettua toimenpidettä voidaan perustella.(10) Tämä merkitsisi nimittäin sen sallimista, että tietojen saanti voitaisiin oikeuttaa tavoitteella, joka on yleisen edun mukaisten tavoitteiden hierarkiassa alempana kuin säilyttämisen perusteena ollut tavoite eli kansallisen turvallisuuden suojaaminen, jolloin vaarana olisi, että yleistä ja erotuksetta tapahtuvaa tietojen säilyttämistä vakavan rikollisuuden torjumiseksi koskeva kielto menettäisi kokonaan tehokkaan vaikutuksensa.
Unionin tuomioistuin katsoo aiemman oikeuskäytäntönsä samalla vahvistaen, että sähköisen viestinnän tietosuojadirektiivi – kun sitä luetaan perusoikeuskirjan valossa – on esteenä kansallisille lainsäädännöllisille toimenpiteille, joissa säädetään ennalta ehkäisevästi liikenne- ja paikkatietojen yleisestä ja erotuksetta tapahtuvasta säilyttämisestä vakavan rikollisuuden torjumiseksi ja yleiseen turvallisuuteen kohdistuvien vakavien uhkien ehkäisemiseksi.
Se ei sitä vastoin ole esteenä kansallisille lainsäädännöllisille toimenpiteille, joissa sallitaan kansallisen turvallisuuden takaamiseksi se, että sähköisten viestintäpalvelujen tarjoajat määrätään säilyttämään liikenne- ja paikkatiedot yleisesti ja erotuksetta tilanteissa, joissa asianomaisen jäsenvaltion kansalliseen turvallisuuteen kohdistuu vakava uhka, joka osoittautuu todelliseksi ja olemassa olevaksi tai ennakoitavissa olevaksi. Unionin tuomioistuin täsmentää tässä yhteydessä, että joko tuomioistuin tai riippumaton hallinnollinen elin, jonka ratkaisu on sitova, voi kohdistaa päätökseen, jolla tällainen määräys annetaan, tehokasta valvontaa, jolla pyritään tarkastamaan, että kyseessä on jokin näistä tilanteista ja että niitä edellytyksiä ja takeita, joista on säädettävä, noudatetaan; mainittu määräys voidaan antaa ainoastaan ajanjaksoksi, joka on rajoitettu täysin välttämättömään mutta jota voidaan jatkaa, jos kyseinen uhka on edelleen olemassa.
Tämä direktiivi – kun sitä luetaan perusoikeuskirjan valossa – ei ole esteenä myöskään kansallisille lainsäädännöllisille toimenpiteille, joissa säädetään kansallisen turvallisuuden takaamiseksi, vakavan rikollisuuden torjumiseksi ja yleiseen turvallisuuteen kohdistuvien vakavien uhkien ehkäisemiseksi liikenne- ja paikkatietojen kohdennetusta säilyttämisestä, joka on objektiivisten ja syrjimättömien seikkojen perusteella rajattu asianomaisten henkilöiden ryhmien mukaan tai maantieteellisen kriteerin avulla ajanjaksoksi, joka on rajoitettu täysin välttämättömään mutta jota voidaan jatkaa.
Sama koskee kansallisia lainsäädännöllisiä toimenpiteitä, joissa säädetään kansallisen turvallisuuden takaamiseksi, vakavan rikollisuuden torjumiseksi ja yleiseen turvallisuuteen kohdistuvien vakavien uhkien ehkäisemiseksi liittymän lähteelle annettujen IP-osoitteiden yleisestä ja erotuksettomasta säilyttämisestä ajanjaksoksi, joka on rajoitettu täysin välttämättömään, ja kansallisen turvallisuuden suojaamiseksi, rikollisuuden torjumiseksi ja yleisen turvallisuuden suojaamiseksi sähköisten viestintävälineiden käyttäjien henkilöllisyyttä koskevien tietojen yleisestä ja erotuksetta tapahtuvasta säilyttämisestä, jos on selvää, että tietojen säilyttäminen voi myötävaikuttaa vakavan rikollisuuden torjuntaan, siltä osin kuin näiden tietojen avulla voidaan tunnistaa henkilöt, jotka ovat käyttäneet näitä välineitä vakavan rikoksen valmistelun tai tekemisen yhteydessä.
Asia ei ole toisin niiden kansallisten lainsäädännöllisten toimenpiteiden osalta, joissa sallitaan vakavan rikollisuuden torjumiseksi ja varsinkin kansallisen turvallisuuden takaamiseksi se, että sähköisten viestintäpalvelujen tarjoajat määrätään toimivaltaisen viranomaisen päätöksellä, johon kohdistuu tehokas tuomioistuinvalvonta, varmistamaan nopeasti kyseisten palveluntarjoajien käytössä olevien liikenne- ja paikkatietojen säilyttäminen tietyn ajan.
Unioni tuomioistuin toteaa kuitenkin, että kaikissa edellä mainituissa toimenpiteissä on varmistettava selvin ja täsmällisin säännöin, että kyseessä olevien tietojen säilyttämisen ehtona on, että näihin toimenpiteisiin liittyviä aineellisia ja menettelyllisiä edellytyksiä noudatetaan, ja että asianomaisilla henkilöillä on tehokkaat takeet väärinkäytön vaaroja vastaan. Näitä eri toimenpiteitä voidaan kansallisen lainsäätäjän valinnan mukaan ja täysin välttämättömän rajoissa soveltaa yhdessä.