A BÍRÓSÁG ÍTÉLETE (nagytanács)
2020. október 6.(*)
[A 2020. november 16‑i végzéssel kijavított szöveg]
Tartalomjegyzék
„Előzetes döntéshozatal – A személyes adatok kezelése az elektronikus hírközlési ágazatban – Elektronikus hírközlési szolgáltatók – Tárhelyszolgáltatók és internet‑hozzáférést nyújtó szolgáltatók – A forgalmi és a helymeghatározó adatok általános és különbségtétel nélküli megőrzése – Automatizált adatelemzés – Az adatokhoz történő, valós idejű hozzáférés – A nemzetbiztonság védelme és a terrorizmus elleni küzdelem – Bűnözés elleni küzdelem – 2002/58/EK irányelv – Hatály – Az 1. cikk (3) bekezdése és a 3. cikk – Az elektronikus közlések titkossága – Védelem – 5. cikk és a 15. cikk (1) bekezdése – 2000/31/EK irányelv – Hatály – Az Európai Unió Alapjogi Chartája – 4., 6–8. és 11. cikk, valamint az 52. cikk (1) bekezdése – Az EUSZ 4. cikk (2) bekezdése”
A C‑511/18., C‑512/18. és C‑520/18. sz. egyesített ügyekben,
az EUMSZ 267. cikk alapján benyújtott előzetes döntéshozatal iránti kérelmek tárgyában, amelyeket a Conseil d’État (államtanács, Franciaország) a Bírósághoz 2018. augusztus 3‑án érkezett, 2018. július 26‑i határozataival (C‑511/18 és C‑512/18), és a Cour constitutionnelle (alkotmánybíróság, Belgium) a Bírósághoz 2018. augusztus 2‑án érkezett, 2018. július 19‑i határozatával (C‑520/18) terjesztett elő
a La Quadrature du Net (C‑511/18 és C‑512/18),
a French Data Network (C‑511/18 és C‑512/18),
a Fédération des fournisseurs d’accès à Internet associatifs (C‑511/18 és C‑512/18),
az Igwan.net (C‑511/18),
és
a Premier ministre (C‑511/18 és C‑512/18),
a Garde des Sceaux, ministre de la Justice (C‑511/18 és C‑512/18),
a Ministre de l’Intérieur (C‑511/18),
a Ministre des Armées (C‑511/18)
között,
a Privacy International (C‑512/18),
a Center for Democracy and Technology (C‑512/18)
részvételével folyamatban lévő eljárásban,
valamint
az Ordre des barreaux francophones et germanophone,
az Académie Fiscale ASBL,
UA,
a Liga voor Mensenrechten ASBL,
a Ligue des Droits de l’Homme ASBL,
VZ,
WY,
XX
és
a Conseil des ministres
között,
a Child Focus (C‑520/18)
részvételével folyamatban lévő eljárásban,
A BÍRÓSÁG (nagytanács),
tagjai: K. Lenaerts elnök, R. Silva de Lapuerta elnökhelyettes, J.‑C. Bonichot, A. Arabadjiev, A. Prechal, M. Safjan, P. G. Xuereb és L. S. Rossi tanácselnökök, J. Malenovský, L. Bay Larsen, T. von Danwitz (előadó), C. Toader, K. Jürimäe, C. Lycourgos és N. Piçarra bírák,
főtanácsnok: M. Campos Sánchez‑Bordona,
hivatalvezető: C. Strömholm tanácsos,
tekintettel az írásbeli szakaszra, valamint a 2019. szeptember 9‑i és 10‑i tárgyalásra,
figyelembe véve a következők által előterjesztett észrevételeket:
– a Quadrature du Net, a Fédération des fournisseurs d’accès à Internet associatifs, az Igwan.net és a Center for Democracy and Technology képviseletében A. Fitzjean Ò Cobhthaigh avocat,
– a French Data Network képviseletében Y. Padova avocat,
– a Privacy International képviseletében H. Roy avocat,
– az Ordre des barreaux francophones et germanophone képviseletében E. Kiehl, P. Limbrée, E. Lemmens, A. Cassart és J.‑F. Henrotte avocats,
– az Académie Fiscale ASBL és UA képviseletében J.‑P. Riquet,
– a Liga voor Mensenrechten ASBL képviseletében J. Vander Velpen avocat,
– a Ligue des Droits de l’Homme ASBL képviseletében R. Jespers és J. Fermon avocats,
– VZ, WY és XX képviseletében D. Pattyn avocat,
– a Child Focus képviseletében N. Buisseret, K. De Meester és J. Van Cauter avocats,
– a francia kormány képviseletében kezdetben: D. Dubois, F. Alabrune, D. Colas, E. de Moustier és A.‑L. Desjonquères, később: D. Dubois, F. Alabrune, E. de Moustier és A.‑L. Desjonquères, meghatalmazotti minőségben,
– a belga kormány képviseletében J.‑C. Halleux, P. Cottin és C. Pochet, meghatalmazotti minőségben, segítőik: J. Vanpraet, Y. Peeters, S. Depré és E. de Lophem avocats,
– a cseh kormány képviseletében M. Smolek, J. Vláčil és O. Serdula, meghatalmazotti minőségben,
– a dán kormány képviseletében kezdetben: J. Nymann‑Lindegren, M. Wolff és P. Ngo, később: J. Nymann‑Lindegren és M. Wolff, meghatalmazotti minőségben,
– a német kormány képviseletében kezdetben: J. Möller, M. Hellmann, E. Lankenau, R. Kanitz és T. Henze, később: J. Möller, M. Hellmann, E. Lankenau és R. Kanitz, meghatalmazotti minőségben,
– az észt kormány képviseletében N. Grünberg és A. Kalbus, meghatalmazotti minőségben,
– az ír kormány képviseletében A. Joyce, M. Browne és G. Hodge, meghatalmazotti minőségben, segítőjük: D. Fennelly BL,
– a spanyol kormány képviseletében kezdetben: L. Aguilera Ruiz és A. Rubio González, később: L. Aguilera Ruiz, meghatalmazotti minőségben,
– a ciprusi kormány képviseletében E. Neofytou, meghatalmazotti minőségben,
– a lett kormány képviseletében V. Soņeca, meghatalmazotti minőségben,
– a magyar kormány képviseletében kezdetben: Fehér M. Z. és Wagner Zs., később: Fehér M. Z., meghatalmazotti minőségben,
– a holland kormány képviseletében M. K. Bulterman és A. M. de Ree, meghatalmazotti minőségben,
– a lengyel kormány képviseletében B. Majczyna, J. Sawicka és M. Pawlicka, meghatalmazotti minőségben,
– a svéd kormány képviseletében kezdetben: H. Shev, H. Eklinder, C. Meyer‑Seitz és A. Falk, később: H. Shev, H. Eklinder, C. Meyer‑Seitz és J. Lundberg, meghatalmazotti minőségben,
– az Egyesült Királyság kormánya képviseletében S. Brandon, meghatalmazotti minőségben, segítői: G. Facenna QC és C. Knight barrister,
– [a 2020. november 16‑i végzéssel törölt francia bekezdés]
– az Európai Bizottság képviseletében kezdetben: H. Kranenborg. M. Wasmeier és P. Costa de Oliveira, később: H. Kranenborg és M. Wasmeier, meghatalmazotti minőségben,
– az európai adatvédelmi biztos képviseletében T. Zerdick és A. Buchta, meghatalmazotti minőségben,
a főtanácsnok indítványának a 2020. január 15‑i tárgyaláson történt meghallgatását követően,
meghozta a következő
Ítéletet
1 Az előzetes döntéshozatal iránti kérelmek egyrészt a 2009. november 25‑i 2009/136/EK európai parlamenti és tanácsi irányelvvel (HL 2009. L 337., 11. o.; helyesbítés: HL 2013. L 241., 9. o.) módosított, az elektronikus hírközlési ágazatban a személyes adatok kezeléséről, feldolgozásáról [helyesen: a személyes adatok kezeléséről] és a magánélet védelméről szóló, 2002. július 12‑i 2002/58/EK európai parlamenti és tanácsi irányelv (elektronikus hírközlési adatvédelmi irányelv) (HL 2002. L 201., 37. o.; magyar nyelvű különkiadás 13. fejezet, 29. kötet, 514. o.; a továbbiakban: 2002/58 irányelv) 15. cikke (1) bekezdésének, másrészt pedig a belső piacon az információs társadalommal összefüggő szolgáltatások, különösen az elektronikus kereskedelem egyes jogi vonatkozásairól szóló, 2004. április 29‑i 2000/31/EK európai parlament és tanácsi irányelv (elektronikus kereskedelemről szóló irányelv) (HL 2000. L 178., 1. o.; magyar nyelvű különkiadás 13. fejezet, 25. kötet, 399. o.) 12–15. cikkének az Európai Unió Alapjogi Chartájának (a továbbiakban: Charta) 4., 6–8. és 11. cikkével, valamint 52. cikkének (1) bekezdésével, továbbá az EUSZ 4. cikk (2) bekezdésével összefüggésben történő értelmezésére irányulnak.
2 A C‑511/18. sz. ügyben a kérelmet az egyfelől a Quadrature du Net, a French Data Network, a Fédération des fournisseurs d’accès à Internet associatifs és az Igwan.net, másfelől a Premier ministre (miniszterelnök, Franciaország), a Garde des Sceaux, ministre de la Justice (igazságügyi miniszter, Franciaország), a ministre de l’Intérieur (belügyminiszter, Franciaország) és a ministre des Armées (honvédelmi miniszter, Franciaország) között, a 2015. szeptember 28‑i décret no 2015–1185 portant désignation des services spécialisés de renseignement (a szakosított hírszerző szolgálatok kijelöléséről szóló, 2015‑1185. sz. rendelet, JORF, 2015. szeptember 29., 1/97. szöveg; a továbbiakban: 2015‑1185. sz. rendelet), a 2015. október 1‑jei décret no 2015‑1211 relatif au contentieux de la mise en œuvre des techniques de renseignement soumises à autorisation et des fichiers intéressant la sûreté de l’État (az engedélyhez kötött információgyűjtési módszerek végrehajtásával és a nemzetbiztonságot érintő iratokkal kapcsolatos jogvitákról szóló 2015‑1211. sz. rendelet, JORF, 2015. október 2., 7/108. szöveg; a továbbiakban: 2015‑1211. sz. rendelet), a 2015. december 11‑i décret no 2015‑1639 relatif à la désignation des services autres que les services spécialisés de renseignement, autorisés à recourir aux techniques mentionnées au titre V du livre VIII du code de la sécurité intérieure, pris en application de l’article L. 811‑4 du code de la sécurité intérieure (a nemzetbiztonságról szóló törvény L. 811‑4. cikke alapján elfogadott, a szakosított hírszerző szolgálatokon kívüli, a nemzetbiztonságról szóló törvény VIII. könyvének V. címében említett módszerek igénybevételére jogosult szolgálatok kijelöléséről szóló 2015‑1639. sz. rendelet, JORF, 2015. december 12., 28/127. szöveg; a továbbiakban: 2015‑1639. sz. rendelet), valamint a 2016. január 29‑i décret no 2016‑67 relatif aux techniques de recueil de renseignement (az információgyűjtés módszereiről szóló 2016‑67. sz. rendelet, JORF 2016. január 31., 2/113. szöveg; a továbbiakban: 2016‑67. sz. rendelet) jogszerűsége tárgyában folyamatban lévő jogvitákban terjesztették elő.
3 A C‑512/18. sz. ügyben a kérelmet az egyfelől a French Data Network, a Quadrature du Net és a Fédération des fournisseurs d’accès à Internet associatifs, másfelől a Premier ministre (miniszterelnök, Franciaország), valamint a Garde des Sceaux, ministre de la Justice (igazságügyi miniszter, Franciaország) között, a code des postes et des communications électroniques (a postáról és az elektronikus hírközlésről szóló törvény, a továbbiakban: CPCE) R. 10‑13. cikkének, valamint a 2011. február 25‑i décret no 2011‑219 relatif à la conservation et à la communication des données permettant d’identifier toute personne ayant contribué à la création d’un contenu mis en ligne (az online tartalmak létrehozásához hozzájáruló személyek azonosítását lehetővé tévő adatok megőrzéséről és közléséről szóló 2011‑219. sz. rendelet, JORF, 2011. március 1., 32/170. szöveg; a továbbiakban: 2011‑219. sz. rendelet) jogszerűsége tárgyában folyamatban lévő jogvitákban terjesztették elő.
4 A C‑520/18. sz. ügyben a kérelmet az egyfelől az Ordre des barreaux francophones et germanophone, az Académie Fiscale ASBL, UA, a Liga voor Mensenrechten ASBL, a Ligue des Droits de l’Homme ASBL, VZ, WY és XX, másfelől a Conseil des ministres (minisztertanács, Belgium) között a loi du 29 mai 2016 relative à la collecte et à la conservation des données dans le secteur des communications électroniques (az elektronikus hírközlési ágazatban az adatok gyűjtéséről és megőrzéséről szóló, 2016. május 29‑i törvény, Moniteur belge, 2016. július 18., 44717. o.; a továbbiakban: 2016. május 29‑i törvény) jogszerűsége tárgyában folyamatban lévő jogviták keretében terjesztették elő.
Jogi háttér
Az uniós jog
A 95/46 irányelv
5 A személyes adatok feldolgozása [helyesen: kezelése] vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló, 1995. október 24‑i 95/46/EK európai parlamenti és tanácsi irányelvet (HL 1995. L 281., 31. o.; magyar nyelvű különkiadás 13. fejezet, 15. kötet, 355. o.) 2018. május 25‑i hatállyal hatályon kívül helyezte a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27‑i (EU) 2016/679 európai parlamenti és tanácsi rendelet (HL 2016. L 119., 1. o.; helyesbítés: HL 2016. L 314., 72. o.). A 95/46 irányelv 3. cikkének (2) bekezdése a következőképpen rendelkezik:
„Az irányelv nem alkalmazandó az alábbi személyesadat‑feldolgozásokra [helyesen: személyesadat‑kezelésekre]:
– a közösségi jog hatályán kívül eső tevékenységek, mint például az Európai Unióról szóló szerződés V. és VI. címeiben megállapítottak, valamint a közbiztonsággal, a védelemmel, a nemzetbiztonsággal (beleértve az ország gazdasági jólétét is, ha a feldolgozási [helyesen: az adatkezelési] művelet nemzetbiztonsági ügyre vonatkozik), továbbá a büntetőjog területén az állami tevékenységekkel kapcsolatos feldolgozási [helyesen: adatkezelési] műveletek,
– a természetes személy által kizárólag személyes célú vagy háztartási tevékenysége keretében végzett adatfeldolgozás [helyesen: adatkezelés].”
6 A 95/46 irányelvnek a „Bírósági jogorvoslat, felelősség és szankciók” című III. fejezetében szereplő 22. cikke a következőképpen rendelkezik:
„A jogszabályban esetlegesen előírt közigazgatási jogorvoslat sérelme nélkül, amelynek keretében többek között a 28. cikkben meghatározott felügyelő hatósághoz lehet fordulni, a bíróság elé utalást megelőzően, a tagállamoknak biztosítaniuk kell mindenki számára a jogorvoslathoz való jogot bármely olyan jogának megsértése esetén, amelyet a szóban forgó adatfeldolgozásra [helyesen: adatkezelésre] alkalmazandó nemzeti jog biztosít számára.”
A 97/66 irányelv
7 A távközlési ágazatban a személyes adatok feldolgozásáról [helyesen: kezeléséről] és a magánélet védelméről szóló, 1997. december 15‑i 97/66/EK európai parlamenti és tanácsi irányelv (HL 1997. L 24., 1. o.; magyar nyelvű különkiadás 13. fejezet, 29. kötet, 514. o.) „A közlések titkossága” című 5. cikke értelmében:
„(1) A tagállamok nemzeti szabályozások révén biztosítják a nyilvános hírközlő hálózatok vagy a nyilvánosan elérhető hírközlési szolgáltatások segítségével történő közlések titkosságát. Megtiltják különösen a közlések felhasználókon kívüli személyek által történő, az érintett felhasználók hozzájárulása nélküli meghallgatását, lehallgatását, tárolását vagy más módon történő elfogását vagy megfigyelését, kivéve ha e tevékenységeket a 14. cikk (1) bekezdésével összhangban jogszerűen engedélyezték.
(2) Az (1) bekezdés nem sérti a közlések jogszerű üzletmenet keretében, kereskedelmi ügylet vagy bármilyen más üzleti közlés bizonyítása céljából történő, jogszerű rögzítését.”
A 2000/31 irányelv
8 A 2000/31 irányelv (14) és (15) preambulumbekezdése a következőképpen rendelkezik:
„(14) A személyesadat‑kezelés vonatkozásában a természetes személyek védelmét kizárólag a [95/46] irányelv és a [97/66] irányelv szabályozza, amelyek teljes mértékben alkalmazandók az információs társadalommal összefüggő szolgáltatásokra. Ezek az irányelvek már meghatároznak egy közösségi jogi keretet a személyes adatok terén, és ennélfogva nem szükséges ebben az irányelvben ezzel a témával foglalkozni ahhoz, hogy a belső piac zavartalan működése, különösen a személyes adatoknak a tagállamok közötti szabad mozgása biztosítható legyen; ezen irányelv végrehajtása és alkalmazása során teljes mértékben a személyes adatok védelmére vonatkozó elvekkel összhangban kell eljárni, különösen a nem kívánt kereskedelmi tájékoztatás és a közvetítő szolgáltatók felelőssége tekintetében; ez az irányelv nem akadályozhatja az olyan nyílt hálózatok, mint például az Internet, anonim használatát.
(15) A közlések titkosságát a [97/66] irányelv 5. cikke garantálja; az említett irányelvnek megfelelően a tagállamoknak meg kell tiltaniuk, hogy az ilyen közléseket a feladókon és a címzetteken kívül bárki lehallgassa vagy nyomon kövesse, kivéve ha ilyen tevékenységre jogszerű felhatalmazása van.”
9 A 2000/31 irányelv 1. cikke a következőképpen szól:
„(1) Ez az irányelv a belső piac megfelelő működéséhez kíván hozzájárulni az információs társadalommal összefüggő szolgáltatások tagállamok közötti szabad mozgásának biztosítása által.
(2) Ez az irányelv az (1) bekezdésben megállapított célkitűzés eléréséhez szükséges mértékben közelít egymáshoz bizonyos, az információs társadalommal összefüggő szolgáltatásokra alkalmazandó, a belső piaccal, a szolgáltatók letelepedésével, a kereskedelmi tájékoztatással, az elektronikus úton kötött szerződésekkel, a közvetítő szolgáltatók felelősségével, a magatartási kódexekkel, a jogviták peren kívüli rendezésével, a bírósági keresetekkel és a tagállamok közötti együttműködéssel kapcsolatos nemzeti rendelkezéseket.
(3) Ez az irányelv kiegészíti az információs társadalommal összefüggő szolgáltatásokra alkalmazandó közösségi jogot, a közösségi jogi aktusokban és az azokat végrehajtó nemzeti jogszabályokban megállapított védelem – különösen a közegészségügy és a fogyasztói érdekek védelme – szintjének sérelme nélkül, amennyiben ez nem korlátozza az információs társadalommal összefüggő szolgáltatások nyújtásának szabadságát.
[…]
(5) Ez az irányelv nem alkalmazható:
[…]
b) az információs társadalommal összefüggő szolgáltatásokkal kapcsolatos, a [95/46] és a [97/66] irányelvben szabályozott kérdésekre;
[…]”
10 A 2000/31 irányelv 2. cikke a következőképpen szól:
„Ennek az irányelvnek az alkalmazásában:
a) »információs társadalommal összefüggő szolgáltatások«: a[z 1998. július 20‑i] 98/34/EK [európai parlamenti és tanácsi] irányelv [(HL 1998. L 217., 18. o.; magyar nyelvű különkiadás 13. fejezet, 21. kötet, 8. o.)] által módosított, a [műszaki szabványok és szabályok, valamint az információs társadalommal összefüggő szolgáltatások szabályai terén történő információszolgáltatási eljárás megállapításáról szóló, 1998. június 22‑i] 98/34/EK [európai parlamenti és tanácsi] irányelv [(HL 1998. L 204., 37. o.; magyar nyelvű különkiadás 13. fejezet, 20. kötet, 337. o.)] 1. cikkének (2) bekezdése szerinti szolgáltatások;
[…]”
11 A 2000/31 irányelv 15. cikke a következőképpen rendelkezik:
„(1) A tagállamok nem állapítanak meg a szolgáltatókat terhelő olyan általános kötelezettséget, amely szerint a 12., 13. és 14. cikk hatálya alá tartozó szolgáltatások nyújtása során az általuk továbbított vagy tárolt információkat nyomon kellene követniük, sem olyan általános kötelezettséget, amely szerint jogellenes tevékenységre utaló tényeket vagy körülményeket kellene kivizsgálniuk.
(2) A tagállamok az információs társadalommal összefüggő szolgáltatások nyújtói számára megállapíthatnak olyan kötelezettségeket, amelyek szerint azonnal tájékoztatniuk kell az illetékes közigazgatási hatóságokat a szolgáltatásuk igénybe vevői által folytatott, jogellenesnek vélt tevékenységekről vagy nyújtott információkról, illetve olyan kötelezettségeket, amelyek szerint az illetékes hatóságokkal, azok kérésére, közölniük kell azokat az adatokat, amelyek lehetővé teszik szolgáltatásuk olyan igénybe vevőinek azonosítását, akikkel, illetve amelyekkel adattárolási megállapodásaik vannak.”
A 2002/21 irányelv
12 Az elektronikus hírközlő hálózatok és elektronikus hírközlési szolgáltatások közös keretszabályozásáról szóló, 2002. március 7‑i 2002/21/EK parlamenti és tanácsi irányelv (keretirányelv) (HL 2002. L 108., 33. o.; magyar nyelvű különkiadás 13. fejezet, 29. kötet, 349. o.) (10) preambulumbekezdése értelmében:
„A [98/48] irányelvvel módosított [98/34] irányelv 1. cikkében foglalt, »információs társadalommal összefüggő szolgáltatás« fogalma online gazdasági tevékenységek széles körét fedi le. E tevékenységek legnagyobb részére nem terjed ki ennek az irányelvnek az alkalmazási köre, mert ezek a tevékenységek teljes egészében vagy részben nem az elektronikus hírközlő hálózatokon történő jeltovábbításból állnak. A beszédalapú telefonszolgáltatások és az elektronikus levéltovábbítási szolgáltatások ennek az irányelvnek a hatálya alá tartoznak. Ugyanazon vállalkozás, például egy internetszolgáltató, egyszerre kínálhat elektronikus hírközlési szolgáltatást, pl. internet‑hozzáférést, és az ezen irányelv hatálya alá nem tartozó szolgáltatásokat, mint például web alapú tartalomszolgáltatást is.”
13 A 2002/21 irányelv 2. cikke a következőképpen rendelkezik:
„Ennek az irányelvnek az alkalmazásában:
[…]
c) »elektronikus hírközlési szolgáltatás«: olyan, általában díjazás ellenében nyújtott szolgáltatás, amely teljes egészében vagy nagyrészt elektronikus hírközlő hálózaton történő jelátvitelből áll, beleértve a műsorterjesztő hálózatokon nyújtott távközlési szolgáltatásokat és átviteli szolgáltatásokat, de nem foglalja magában az elektronikus hírközlő hálózatok és elektronikus hírközlési szolgáltatások segítségével történő tartalomszolgáltatást, illetve az ilyen tartalom felett szerkesztői ellenőrzést biztosító szolgáltatásokat; nem foglalja magában a [98/34] irányelv 1. cikkében meghatározott olyan, információs társadalommal összefüggő szolgáltatásokat, amelyek teljes egészében vagy nagyrészt nem elektronikus hírközlő hálózaton történő jelátvitelből állnak;
[…]”
A 2002/58 irányelv
14 A 2002/58 irányelv (2), (6), (7), (11), (22), (26) és (30) preambulumbekezdése a következőket mondja ki:
„(2) Ennek az irányelvnek a célja az alapvető jogok tiszteletben tartása, és ez az irányelv figyelembe veszi különösen [a Chartában] elismert elveket. Ennek az irányelvnek célja különösen a [Charta] 7. és 8. cikkében megállapított jogok teljes tiszteletben tartásának biztosítása.
[…]
(6) Az Internet felborítja a hagyományos piaci struktúrákat azáltal, hogy közös, világméretű infrastruktúrát biztosít az elektronikus hírközlési szolgáltatások széles körének szolgáltatásához. Az Interneten keresztül nyilvánosan elérhető elektronikus hírközlési szolgáltatások új lehetőségeket jelentenek a felhasználók számára, de egyben új veszélyeket is rejtenek személyes adataik és a magánélet tiszteletben tartásához való joguk vonatkozásában.
(7) A nyilvános hírközlő hálózatok esetében különös törvényi, rendeleti és műszaki rendelkezéseket kell megállapítani a természetes személyek alapvető jogainak és szabadságainak, valamint a jogi személyek jogos érdekeinek védelme érdekében, különösen az előfizetői és felhasználói adatok automatikus tárolását és feldolgozását [helyesen: kezelését] szolgáló növekvő kapacitásra tekintettel.
[…]
(11) A [95/46] irányelvhez hasonlóan ez az irányelv nem szól a közösségi jog által nem szabályozott tevékenységekkel kapcsolatos alapvető jogok és szabadságok védelmének kérdéseiről. Ezáltal nem borítja fel a meglévő egyensúlyt az egyén magánélet tiszteletben tartásához való joga és a tagállamok azon lehetősége között, hogy a közbiztonság védelme, a nemzetvédelem, a nemzetbiztonság (beleértve a nemzetbiztonsági ügyekkel kapcsolatos tevékenységek tekintetében az állam gazdasági prosperitását), valamint a büntetőjogi szankciók végrehajtásának érdekében szükséges, az ezen irányelv 15. cikkének (1) bekezdésében említett intézkedéseket meghozzák. Következésképpen ez az irányelv nem érinti a tagállamok azon lehetőségét, hogy jogszerűen megfigyeljék az elektronikus közléseket, vagy – ha bármely említett cél érdekében szükséges – olyan egyéb intézkedéseket hozzanak, amelyek összhangban vannak az emberi jogok és alapvető szabadságok védelméről szóló [Rómában, 1950. november 4‑én aláírt] európai egyezménynek az Emberi Jogok Európai Bírósága által hozott határozatok szerint értelmezett szövegével. Az ilyen intézkedéseknek megfelelőnek, a tervezett céllal szigorúan arányosnak és egy demokratikus társadalomban szükségesnek kell lenniük, továbbá az ilyen intézkedésekre az Emberi jogok és alapvető szabadságok védelméről szóló európai egyezménnyel összhangban megfelelő garanciáknak kell vonatkozniuk.
[…]
(22) A közléseknek és az azokhoz kapcsolódó forgalmi adatoknak a felhasználókon kívüli személyek által történő vagy a felhasználók hozzájárulása nélkül történő tárolására vonatkozó tilalomnak nem célja, hogy ezeknek az adatoknak bármilyen automatikus, közbenső és átmeneti tárolását tiltsa, amennyiben az ilyen tárolásra kizárólag az elektronikus hírközlő hálózaton keresztül történő továbbítás céljával kerül sor, továbbá feltéve, hogy az adatot csak a továbbításhoz és a forgalomirányításhoz szükséges ideig tárolják, valamint a tárolás ideje alatt a bizalmas kezelés mindvégig garantált. […]
[…]
(26) Az elektronikus hírközlő hálózatokon kezelt, a csatlakozás létrejöttéhez és az adattovábbításhoz szükséges, előfizetőkre vonatkozó adatok természetes személyek magánéletére vonatkozó információkat tartalmaznak, és érintik azoknak a levéltitokhoz való jogát, illetve a jogi személyek jogos érdekeit. Az ilyen adatokat kizárólag a szolgáltatásnyújtáshoz szükséges mértékig lehet tárolni, a számlázás és az összekapcsolási díjak megfizetése céljából, és a tárolás csak korlátozott ideig tarthat. [Ezen adatok bármely további kezelése] kizárólag akkor engedélyezhető, ha a nyilvánosan elérhető elektronikus hírközlési szolgáltatások szolgáltatója az előfizetőt pontosan és teljeskörűen tájékoztatta arról, hogy milyen további adatfeldolgozást [helyesen: adatkezelést] kíván végezni, valamint arról, hogy az előfizetőnek joga van az ilyen adatfeldolgozáshoz [helyesen: adatkezeléshez] való hozzájárulást megtagadni és a hozzájárulását visszavonni, továbbá e tájékoztatás alapján az előfizető az adatfeldolgozáshoz [helyesen: adatkezeléshez] hozzájárult. A hírközlési szolgáltatások értékesítéséhez […] felhasznált forgalmi adatokat […] szintén törölni kell vagy anonimmé kell tenni.
[…]
(30) Az elektronikus hírközlő hálózatok és elektronikus hírközlési szolgáltatások rendszereit úgy kell megtervezni, hogy a szükséges személyes adatok mennyisége szigorúan a minimálisra korlátozott legyen. […]”
15 A 2002/58 irányelv „Hatály és cél” című 1. cikke a következőképpen rendelkezik:
„(1) Ez az irányelv előírja azon nemzeti rendelkezések összehangolását, amelyekre azért van szükség, hogy biztosítsák az elektronikus hírközlési ágazatban a személyes adatok kezelése vonatkozásában az alapvető jogok és szabadságok védelmének egyenértékű szintjét – különös tekintettel a magánélethez és a bizalmas adatkezeléshez való jogra –, valamint biztosítsák az ilyen adatoknak, az elektronikus hírközlő berendezéseknek és az elektronikus hírközlési szolgáltatásoknak a[z Európai Unión] belüli szabad mozgását.
(2) Ennek az irányelvnek a rendelkezései az (1) bekezdésben említett célok érdekében pontosítják és kiegészítik a [95/46] irányelvet. Rendelkeznek továbbá a jogi személyiséggel rendelkező előfizetők jogos érdekeinek védelméről.
(3) Ez az irányelv nem alkalmazható azokra a tevékenységekre, amelyek nem tartoznak az [EUMSZ] hatálya alá, – így az Európai Unióról szóló szerződés V. és VI. címe alá tartozó tevékenységekre –, valamint nem alkalmazható a közbiztonsággal, a nemzetvédelemmel, a nemzetbiztonsággal (beleértve a nemzetbiztonsági ügyekkel kapcsolatos tevékenységek tekintetében az állam gazdasági prosperitását) összefüggő tevékenységekre, valamint a büntetőjogi szankciók végrehajtása terén kifejtett állami tevékenységekre.”
16 A 2002/58 irányelv „Fogalommeghatározások” című 2. cikke szerint:
„Eltérő rendelkezés hiányában a [95/46] irányelvben, valamint [a 2002/21] irányelvben […] szereplő fogalommeghatározásokat kell alkalmazni.
Szintén alkalmazni kell a következő fogalom‑meghatározásokat:
a) »felhasználó«: a nyilvánosan elérhető elektronikus hírközlési szolgáltatást magáncéllal vagy üzleti céllal használó minden természetes személy, aki nem feltétlenül előfizetője az adott szolgáltatásnak;
b) »forgalmi adat«: egy közlésnek az elektronikus hírközlő hálózaton keresztül történő továbbítása vagy erre vonatkozó számlázás céljából kezelt minden adat;
c) »helymeghatározó adat«: egy nyilvánosan elérhető elektronikus hírközlési szolgáltatás felhasználója végberendezésének földrajzi helyzetét jelző, az elektronikus hírközlő hálózatban vagy elektronikus hírközlési szolgáltatás keretében kezelt minden adat;
d) »közlés«: valamely nyilvánosan elérhető elektronikus hírközlési szolgáltatás révén megvalósított adatcsere vagy ‑továbbítás véges számú felek között. Ez nem foglalja magában az elektronikus hírközlő hálózaton keresztül műsorterjesztési szolgáltatás részeként a nyilvánosságnak továbbított adatokat, kivéve, ha az adat az azt átvevő, azonosítható előfizetőhöz vagy felhasználóhoz kapcsolható.
[…]”
17 A 2002/58 irányelvnek „Az érintett szolgáltatások” című 3. cikke a következőképpen rendelkezik:
„Ezt az irányelvet a Közösségben a nyilvánosan elérhető hírközlési szolgáltatások nyilvános hírközlő hálózaton – az adatgyűjtést és az azonosító eszközöket támogató nyilvános hírközlő hálózatokat is beleértve – történő nyújtásával összefüggő személyes adatok kezelésére kell alkalmazni.”
18 A 2002/58 irányelvnek „A közlések titkossága” című 5. cikke értelmében:
„(1) A tagállamok nemzeti jogszabályok révén biztosítják a nyilvános hírközlő hálózatok és a nyilvánosan elérhető elektronikus hírközlési szolgáltatások segítségével történő közlések és az azokra vonatkozó forgalmi adatok titkosságát. Különösen megtiltják a közlések és az azokra vonatkozó forgalmi adatok felhasználókon kívüli személyek által történő, az érintett felhasználó hozzájárulása nélküli meghallgatását, lehallgatását, tárolását vagy más módon történő elfogását vagy megfigyelését, kivéve, ha az ilyen személy a 15. cikk (1) bekezdésével összhangban jogszerűen jár el. Ez a bekezdés nem akadályozza a közlés továbbításához szükséges műszaki tárolást, a bizalmas adatkezelés elvének sérelme nélkül.
[…]
(3) A tagállamok gondoskodnak arról, hogy egy előfizető vagy felhasználó végberendezésében történő adattárolás, illetve az ott tárolt adatokhoz való hozzáférés csak azzal a feltétellel legyen megengedett, ha az érintett előfizető vagy felhasználó a [95/46] irányelvvel összhangban történő – többek között az adatkezelés céljairól szóló – egyértelmű és teljes körű tájékoztatás alapján ehhez előzetes hozzájárulását adta. Ez a rendelkezés nem akadályozza az olyan műszaki tárolást, illetve műszaki hozzáférést, amelynek kizárólagos célja az elektronikus hírközlő hálózaton keresztül történő közléstovábbítás, vagy amelyre az előfizető vagy felhasználó által kifejezetten kért, az információs társadalommal összefüggő szolgáltatás nyújtásához a szolgáltatónak feltétlenül szüksége van.”
19 A 2002/58 irányelv „Forgalmi adatok” című 6. cikke a következőképpen rendelkezik:
„(1) E cikk (2), (3) és (5) bekezdésének, valamint a 15. cikk (1) bekezdésének sérelme nélkül, az előfizetőkre és felhasználókra vonatkozó, a nyilvános hírközlő hálózat vagy nyilvánosan elérhető elektronikus hírközlési szolgáltatás nyújtója által feldolgozott [helyesen: kezelt] és tárolt forgalmi adatokat törölni kell, vagy anonimmé kell tenni, ha a közlés továbbításához ezek már nem szükségesek.
(2) Az előfizetői számlázás és az összekapcsolási díjak megállapítása céljából szükséges forgalmi adatok kezelhetők. Az ilyen adatkezelés kizárólag annak az időszaknak a végéig megengedett, ameddig a számla jogszerűen megtámadható, illetve a kifizetés követelhető.
(3) Az elektronikus hírközlési szolgáltatások értékesítése vagy értéknövelt szolgáltatások nyújtása céljából, a nyilvánosan elérhető elektronikus hírközlési szolgáltatás nyújtója az ilyen szolgáltatásokhoz, illetve értékesítéshez szükséges mértékig és ideig feldolgozhatja [helyesen: kezelheti] az (1) bekezdésben említett adatokat, amennyiben az az előfizető vagy felhasználó, akire az adat vonatkozik, az adatfeldolgozáshoz [helyesen: adatkezeléshez] előzetesen hozzájárult. A felhasználó és az előfizető a forgalmi adatok feldolgozására [helyesen: kezelésére] vonatkozó hozzájárulását bármikor visszavonhatja.
[…]
(5) A forgalmi adatoknak az (1), (2), (3), és (4) bekezdéssel összhangban történő feldolgozását [helyesen: kezelését] csak olyan személy végezheti, aki a nyilvános hírközlő hálózatokat és nyilvánosan elérhető elektronikus hírközlési szolgáltatásokat nyújtó szolgáltató irányítása alatt számlakezeléssel vagy forgalomirányítással foglalkozik, vagy ügyfélszolgálatot lát el, vagy csalások felderítésével, az elektronikus hírközlési szolgáltatások értékesítésével vagy értéknövelt szolgáltatások nyújtásával foglalkozik; ezt az adatfeldolgozást [helyesen: adatkezelést] az említett tevékenységek céljának megfelelő mértékre kell korlátozni.”
20 Ezen irányelvnek „A forgalmi adatokon kívüli helymeghatározó adatok” című 9. cikke (1) bekezdésében a következőket írja elő:
„Amennyiben nyilvános hírközlő hálózatok vagy nyilvánosan elérhető elektronikus hírközlési szolgáltatások felhasználóival vagy előfizetőivel kapcsolatos, forgalmi adatokon kívüli helymeghatározó adatok kezelésére kerülhet sor, az ilyen adatok kizárólag akkor kezelhetők, ha anonimmé tették azokat, vagy a felhasználók, illetve előfizetők ehhez hozzájárultak, és csak olyan mértékben és időtartamig, amely az értéknövelt szolgáltatás nyújtásához szükséges. A szolgáltatónak a felhasználókat, illetve az előfizetőket a hozzájárulásuk megszerzése előtt tájékoztatnia kell a kezelni kívánt, forgalmi adatokon kívüli helymeghatározó adatok típusáról, az adatkezelés céljairól és időtartamáról, valamint arról, hogy az értéknövelt szolgáltatás nyújtása céljából az adatokat továbbítják‑e harmadik személynek. […]”
21 Az említett irányelvnek „A [95/46] irányelv egyes rendelkezéseinek alkalmazása” című 15. cikke a következőképpen szól:
„(1) A tagállamok jogszabályi intézkedéseket fogadhatnak el az ezen irányelv 5. és 6. cikkében, 8. cikkének (1), (2), (3) és (4) bekezdésében, valamint 9. cikkében előírt jogok és kötelezettségek hatályának korlátozására vonatkozóan, ha az ilyen jellegű korlátozás – a [95/46] irányelv 13. cikkének (1) bekezdésében említettek szerint – egy demokratikus társadalomban szükséges, megfelelő és arányos intézkedésnek minősül a nemzetbiztonság (vagyis az állam biztonsága), a nemzetvédelem és a közbiztonság védelme érdekében, valamint a bűncselekmények, illetve az elektronikus hírközlési rendszer jogosulatlan használata megelőzésének, kivizsgálásának, felderítésének és üldözésének a biztosítása érdekében. E célból a tagállamok többek között jogszabályi intézkedéseket fogadhatnak el az adatoknak az e bekezdésben megállapított indokok alapján korlátozott ideig történő visszatartására [helyesen: megőrzésére] vonatkozóan. Az e bekezdésben említett valamennyi intézkedésnek összhangban kell lennie a[z uniós] jog általános elveivel, beleértve az Európai Unióról szóló szerződés 6. cikkének (1) és (2) bekezdésében említetteket.
[…]
(2) A [95/46] irányelv bírósági jogorvoslatról, felelősségről és szankciókról szóló III. fejezetének rendelkezéseit kell alkalmazni az ezen irányelv szerint elfogadott nemzeti rendelkezésekre és az ezen irányelvből eredő egyedi jogokra.
[…]”
A 2016/679 rendelet
22 A 2016/679 rendelet (10) preambulumbekezdése a következőképpen szól:
„A természetes személyek következetes és magas szintű védelmének biztosítása és a személyes adatok Unión belüli áramlása előtti akadályok elhárítása érdekében a természetes személyeknek az ilyen adatok kezelésével összefüggésben fennálló jogait és szabadságait minden tagállamban azonos szintű védelemben kell részesíteni. A természetes személyeknek a személyes adataik kezeléséhez kapcsolódó alapvető jogai és szabadságai védelmére vonatkozó szabályok következetes és egységes alkalmazását az Unió egész területén biztosítani kell. […]”
23 E rendelet 2. cikke az alábbiak szerint rendelkezik:
„(1) E rendeletet kell alkalmazni a személyes adatok részben vagy egészben automatizált módon történő kezelésére, valamint azoknak a személyes adatoknak a nem automatizált módon történő kezelésére, amelyek valamely nyilvántartási rendszer részét képezik, vagy amelyeket egy nyilvántartási rendszer részévé kívánnak tenni.
(2) E rendelet nem alkalmazandó a személyes adatok kezelésére, ha azt:
a) az uniós jog hatályán kívül eső tevékenységek során végzik;
b) a tagállamok az EUSZ V. címe 2. fejezetének hatálya alá tartozó tevékenységek során végzik;
[…]
d) az illetékes hatóságok bűncselekmények megelőzése, nyomozása, felderítése, vádeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából végzik, ideértve a közbiztonságot fenyegető veszélyekkel szembeni védelmet és e veszélyek megelőzését.
[…]
(4) E rendelet nem érinti a [2000/31] irányelv alkalmazását, különösen az irányelv 12–15. cikkében foglalt, a közvetítő szolgáltatók felelősségére vonatkozó szabályokat.”
24 Az említett rendelet 4. cikke a következőket írja elő:
„E rendelet alkalmazásában:
1. »személyes adat«: azonosított vagy azonosítható természetes személyre (»érintett «) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható;
2. »adatkezelés«: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közléstovábbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés;
[…]”
25 A 2016/679 rendelet 5. cikke a következőképpen rendelkezik:
„(1) A személyes adatok:
a) kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni (»jogszerűség, tisztességes eljárás és átláthatóság«);
b) gyűjtése csak meghatározott, egyértelmű és jogszerű célból történjen, és azokat ne kezeljék ezekkel a célokkal össze nem egyeztethető módon; a 89. cikk (1) bekezdésének megfelelően nem minősül az eredeti céllal össze nem egyeztethetőnek a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból történő további adatkezelés (»célhoz kötöttség«);
c) az adatkezelés céljai szempontjából megfelelőek és relevánsak kell, hogy legyenek, és a szükségesre kell korlátozódniuk (»adattakarékosság«);
d) pontosnak és szükség esetén naprakésznek kell lenniük; minden észszerű intézkedést meg kell tenni annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul töröljék vagy helyesbítsék (» pontosság«);
e) tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé; a személyes adatok ennél hosszabb ideig történő tárolására csak akkor kerülhet sor, amennyiben a személyes adatok kezelésére a 89. cikk (1) bekezdésének megfelelően közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból kerül majd sor, az e rendeletben az érintettek jogainak és szabadságainak védelme érdekében előírt megfelelő technikai és szervezési intézkedések végrehajtására is figyelemmel (»korlátozott tárolhatóság«);
f) kezelését oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve (»integritás és bizalmas jelleg«).
[…]”
26 E rendelet 6. cikkének szövege a következő:
„(1) A személyes adatok kezelése kizárólag akkor és annyiban jogszerű, amennyiben legalább az alábbiak egyike teljesül:
[…]
c) az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges;
[…]
(3) Az (1) bekezdés c) és e) pontja szerinti adatkezelés jogalapját a következőknek kell megállapítania:
a) az uniós jog, vagy
b) azon tagállami jog, amelynek hatálya alá az adatkezelő tartozik.
Az adatkezelés célját e jogalapra hivatkozással kell meghatározni […]. Ez a jogalap tartalmazhat az e rendeletben foglalt szabályok alkalmazását kiigazító rendelkezéseket, ideértve az adatkezelő általi adatkezelés jogszerűségére irányadó általános feltételeket, az adatkezelés tárgyát képező adatok típusát, az érintetteket, azokat a jogalanyokat, amelyekkel a személyes adatok közölhetők, illetve az ilyen adatközlés céljait, az adatkezelés céljára vonatkozó korlátozásokat, az adattárolás időtartamát és az adatkezelési műveleteket, valamint egyéb adatkezelési eljárásokat, így a törvényes és tisztességes adatkezelés biztosításához szükséges intézkedéseket is, ideértve a IX. fejezetben meghatározott egyéb konkrét adatkezelési helyzetekre vonatkozóan. Az uniós vagy tagállami jognak közérdekű célt kell szolgálnia, és arányosnak kell lennie az elérni kívánt jogszerű céllal.
[…]”
27 Az említett rendelet 23. cikke a következőképpen rendelkezik:
„(1) Az adatkezelőre vagy adatfeldolgozóra alkalmazandó uniós vagy tagállami jog jogalkotási intézkedésekkel korlátozhatja a 12–22. cikkben és a 34. cikkben foglalt, valamint a 12–22. cikkben meghatározott jogokkal és kötelezettségekkel összhangban lévő rendelkezései tekintetében az 5. cikkben foglalt jogok és kötelezettségek hatályát, ha a korlátozás tiszteletben tartja az alapvető jogok és szabadságok lényeges tartalmát, valamint az alábbiak védelméhez szükséges és arányos intézkedés egy demokratikus társadalomban:
a) nemzetbiztonság;
b) honvédelem;
c) közbiztonság;
d) bűncselekmények megelőzése, nyomozása, felderítése vagy a vádeljárás lefolytatása, illetve büntetőjogi szankciók végrehajtása, beleértve a közbiztonságot fenyegető veszélyekkel szembeni védelmet és e veszélyek megelőzését;
e) az Unió vagy valamely tagállam egyéb fontos, általános közérdekű célkitűzései, különösen az Unió vagy valamely tagállam fontos gazdasági vagy pénzügyi érdeke, beleértve a monetáris, a költségvetési és az adózási kérdéseket, a népegészségügyet és a szociális biztonságot;
f) a bírói függetlenség és a bírósági eljárások védelme;
g) a szabályozott foglalkozások esetében az etikai vétségek megelőzése, kivizsgálása, felderítése és az ezekkel kapcsolatos eljárások lefolytatása;
h) az a)–e) és a g) pontban említett esetekben – akár alkalmanként – a közhatalmi feladatok ellátásához kapcsolódó ellenőrzési, vizsgálati vagy szabályozási tevékenység;
i) az érintett védelme, vagy mások jogainak és szabadságainak védelme;
j) polgári jogi követelések érvényesítése.
(2) Az (1) bekezdésben említett jogalkotási intézkedések adott esetben részletes rendelkezéseket tartalmaznak legalább:
a) az adatkezelés céljaira vagy az adatkezelés kategóriáira,
b) a személyes adatok kategóriáira,
c) a bevezetett korlátozások hatályára,
d) a visszaélésre, illetve a jogosulatlan hozzáférésre vagy továbbítás megakadályozását célzó garanciákra,
e) az adatkezelő meghatározására vagy az adatkezelők kategóriáinak meghatározására,
f) az adattárolás időtartamára, valamint az alkalmazandó garanciákra, figyelembe véve az adatkezelés vagy az adatkezelési kategóriák jellegét, hatályát és céljait,
g) az érintettek jogait és szabadságait érintő kockázatokra, és
h) az érintettek arra vonatkozó jogára, hogy tájékoztatást kapjanak a korlátozásról, kivéve, ha ez hátrányosan befolyásolhatja a korlátozás célját.”
28 Az említett rendelet 79. cikkének (1) bekezdése szerint:
„A rendelkezésre álló közigazgatási vagy nem bírósági útra tartozó jogorvoslatok – köztük a felügyeleti hatóságnál történő panasztételhez való, 77. cikk szerinti jog – sérelme nélkül, minden érintett hatékony bírósági jogorvoslatra jogosult, ha megítélése szerint a személyes adatainak e rendeletnek nem megfelelő kezelése következtében megsértették az e rendelet szerinti jogait.”
29 A 2016/679 rendelet 94. cikke értelmében:
„(1) A [95/46] irányelv 2018. május 25‑i hatállyal hatályát veszti.
(2) A hatályon kívül helyezett irányelvre történő hivatkozásokat az e rendeletre történő hivatkozásnak kell tekinteni. A [95/46] irányelv 29. cikke által létrehozott, a természetes személyeknek a személyes adatok feldolgozása [helyesen: kezelése] tekintetében való védelmével foglalkozó munkacsoportra történő hivatkozást az e rendelet által létrehozott Európai Adatvédelmi Testületre történő hivatkozásnak kell tekinteni.”
30 E rendelet 95. cikke az alábbiak szerint rendelkezik:
„E rendelet nem ró további kötelezettségeket a természetes vagy jogi személyekre az Unión belüli nyilvános hírközlési hálózatokon keresztül történő nyilvánosan elérhető hírközlési szolgáltatással összefüggésben kezelt adatok tekintetében azon kérdésekkel kapcsolatban, amelyek vonatkozásában ők a [2002/58] irányelvben megállapított, azonos célkitűzésekkel bíró különös kötelezettségek hatálya alá tartoznak.”
A francia jog
A nemzetbiztonsági törvény
31 A code de la sécurité intérieure (a nemzetbiztonságról szóló törvény, a továbbiakban: CSI) normatív részének VIII. könyvében található L. 801‑1‑L. 898‑1. cikke tájékoztatásra vonatkozó szabályokat ír elő.
32 A CSI 811‑3. cikke a következőképpen rendelkezik:
„A szakosított hírszerző szolgálatok – kizárólag feladataik ellátása érdekében – a következő alapvető nemzeti érdekek védelmére és előmozdítására vonatkozó információk gyűjtése céljából vehetik igénybe a jelen könyv V. címében említett módszereket:
1°függetlenség, területi integritás és nemzetvédelem;
2 ° fontos külpolitikai érdekek, Franciaország európai és nemzetközi kötelezettségvállalásainak végrehajtása és a külföldi beavatkozás bármely formájának megelőzése;
3° Franciaország jelentős gazdasági, ipari és tudományos érdekei;
4° terrorelhárítás;
5° az alábbiak megelőzése:
a) a köztársasági államforma elleni támadások;
b) az L. 212‑1. cikk alapján feloszlatott csoportosulások fenntartására vagy újbóli megalakítására irányuló fellépések;
c) a köznyugalmat súlyosan sértő, csoportosan elkövetett, erőszakos cselekmények;
6° a szervezett bűnözés megelőzése;
7° a tömegpusztító fegyverek elterjedésének megelőzése.”
33 A CSI L. 811‑4. cikke a következőképpen rendelkezik:
„A Conseil d’Étatllamtanács, Franciaország] által a Commission nationale de contrôle des techniques de renseignement [hírszerzési módszereket ellenőrző nemzeti bizottság, Franciaország] véleményét követően elfogadott rendelet kijelöli azokat a szakosított hírszerző szolgálatokon kívüli, a honvédelmi, belügy‑, és igazságügyi miniszter, valamint a gazdaságért, a költségvetésért, illetve a vámügyekért felelős miniszterek hatáskörébe tartozó szolgálatokat, amelyek számára engedélyezhető a jelen könyv V. címében említett módszerek alkalmazásának az ugyanezen könyvben előírt feltételek mellett történő igénybevétele. A rendelet minden egyes szolgálat vonatkozásában meghatározza az L. 811‑3. cikkben említett célokat, valamint azokat a módszereket, amelyek engedély tárgyát képezhetik.”
34 A CSI L. 821‑1. cikkének első bekezdése a következőképpen rendelkezik:
„A jelen könyv V. címének I–IV. fejezetében említett információgyűjtési módszerek belföldön történő alkalmazására a miniszterelnök előzetes, a hírszerzési módszereket ellenőrző nemzeti bizottság véleményének kikérését követően kiállított engedélyével kerülhet sor.”
35 A CSI L. 821‑2. cikke a következőképpen rendelkezik:
„Az L. 821‑1. cikkben említett engedélyt a honvédelmi miniszter, a belügyminiszter, az igazságügyi miniszter vagy a gazdaságért, költségvetésért, illetve vámügyekért felelős miniszterek indokolással ellátott, írásbeli kérelme alapján állítják ki. Az egyes miniszterek ezt a hatáskört egyénileg csak közvetlen, titkos honvédelmi anyagok kezelésére jogosult munkatársakra ruházhatják át.
A kérelemben szerepelniük kell az alábbiaknak:
1° az alkalmazandó módszer(ek);
2° az a szolgálat, amelynek vonatkozásában a kérelmet benyújtották;
3° az elérni kívánt cél(ok);
4° az intézkedések indoka(i);
5° az engedély érvényességének időtartama;
6° az érintett személy(ek), helyszín(ek) vagy járművek.
A 6° pont alkalmazásában az ismeretlen személyazonosságú egyéneket ismertetőjeleik vagy leírásuk alapján, a helyszíneket vagy járműveket pedig a kérelem tárgyát képező személyekre való hivatkozással lehet megadni.
[…]”
36 A CSI L. 821‑3. cikke első bekezdése értelmében:
„A kérelmet közölni kell a hírszerzési módszereket ellenőrző nemzeti bizottság elnökével, illetve ennek hiányában a bizottság L. 831‑1. cikk 2. és 3. pontjában említett egyik tagjával, aki 24 órán belül megküldi véleményét a miniszterelnöknek. Ha a kérelmet a bizottság részleges vagy teljes ülése vizsgálja meg, erről haladéktalanul tájékoztatja a miniszterelnököt és 72 órán belül véleményt hoz.”
37 A CSI L. 821‑4. cikke a következőképpen rendelkezik:
„A jelen könyv V. címének I.–IV. fejezetében említett módszerek alkalmazására vonatkozó engedélyt a miniszterelnök legfeljebb négy hónapos időtartamra adja meg. […] Az engedélynek tartalmaznia kell az L. 821‑2. cikk 1–6° pontjában foglalt indokokat és adatokat. Az e fejezetben megállapított feltételek mellett bármely engedély meghosszabbítható.
Ha az engedélyt a hírszerzési módszereket ellenőrző nemzeti bizottság elutasító véleménye ellenére adják meg, az engedélynek tartalmaznia kell azokat az indokokat, amelyek miatt nem a véleményben foglaltak szerint jártak el.
[…]”
38 A CSI e címének III. fejezetében szereplő L. 833‑4. cikk a következőképpen rendelkezik:
„A bizottság saját kezdeményezésére, vagy bármely olyan személy panasza esetén, aki ellenőrizni kívánja, hogy nem alkalmaznak vele szemben szabálytalan hírszerzési módszereket, megvizsgálja a hivatkozott módszert vagy módszereket, és ellenőrzi, hogy azokat a jelen könyvben foglaltak tiszteletben tartásával alkalmazták‑e, illetve alkalmazzák‑e. A bizottság értesíti a panasz benyújtóját arról, hogy lefolytatta a szükséges vizsgálatokat, anélkül hogy a módszerek alkalmazását helybenhagyná vagy elutasítaná.”
39 A CSI L. 841‑1. cikkének első és második bekezdése a következőképpen fogalmaz:
„A jelen törvény L. 854‑9. cikkében foglalt különös rendelkezésekre is figyelemmel, a Conseil d’État (államtanács) a code de justice administrative (a közigazgatási perrendtartásról szóló törvény) VII. könyve VII. címének IIIa. fejezetében foglalt feltételek mellett hatáskörrel rendelkezik a jelen könyv V. címében említett hírszerzési módszerek alkalmazására vonatkozó kérelmek elbírálására.
A Conseil d’État‑hoz (államtanács) a következő személyek fordulhatnak:
1° Bármely személy, aki ellenőrizni kívánja, hogy nem alkalmaznak vele szemben szabálytalan hírszerzési módszereket, és igazolja az L. 833‑4. cikkben előírt eljárás előzetes lefolytatását;
2° A hírszerzési módszereket ellenőrző nemzeti bizottság, az L. 833‑8. cikkben meghatározott feltételek mellett.”
40 A CSI normatív részében a VIII. könyvnek az „engedélyhez kötött információgyűjtési módszerekre” vonatkozó V. címe tartalmazza többek között „A csatlakozási adatokhoz való hatósági hozzáférés” című I. fejezetet, amelyben a CSI L. 851‑1–L. 851‑7. cikke található.
41 A CSI L. 851‑1. cikke a következőképpen rendelkezik:
„A jelen könyv II. címének I. fejezetében előírt feltételek mellett az elektronikus hírközlési szolgáltatók és a [CPCE] L. 34‑1. cikkében említett személyek, valamint a 2004. június 21‑i loi no 2004‑575 pour la confiance dans l’économie numérique [(a digitális gazdaságba vetett bizalomról szóló 2004‑575. sz. törvény, JORF, 2004. június 22., 11168. o.)] 6. cikke I. részének 1. és 2. pontjában említett személyek esetében engedélyezhető az elektronikus hírközlési hálózatuk vagy szolgáltatójuk által kezelt vagy őrzött információk vagy dokumentumok, köztük olyan műszaki adatok gyűjtése, amelyek az elektronikus hírközlési szolgáltatói előfizetések vagy csatlakozások számának azonosítására, a megjelölt személy előfizetési vagy csatlakozási számainak megállapítására, a használt végberendezések helymeghatározására, továbbá az előfizető által hívott és fogadott hívószámok listáját, valamint a kommunikáció időtartamát és időpontját tartalmazó értesítésre vonatkoznak.
Az L. 821‑2. cikkben foglaltaktól eltérően az elektronikus hírközlési szolgáltatói előfizetési vagy csatlakozási számok azonosítására, illetve a megjelölt személy összes előfizetési vagy csatlakozási számának megállapítására vonatkozó műszaki adatokra irányuló, indokolással ellátott írásbeli kérelmeket az L. 811‑2. és L. 811‑4. cikkben említett hírszerző szolgálatok egyénileg kijelölt és felhatalmazott alkalmazottai közvetlenül megküldik a hírszerzési módszereket ellenőrző nemzeti bizottságnak. A bizottság az L. 821‑3. cikkben előírt feltételek mellett véleményt ad.
Az adott miniszterelnöki szolgálat feladata az információknak vagy dokumentumoknak a jelen cikk első bekezdésében említett gazdasági szereplőktől és személyektől való beszerzése. A hírszerzési módszereket ellenőrző nemzeti bizottság a gyűjtött információkhoz vagy dokumentumokhoz állandó, teljes, közvetlen és azonnali hozzáféréssel rendelkezik.
A jelen cikk alkalmazásának részletes szabályait a Conseil d’État (államtanács) a Commission nationale de l’informatique et des libertés [az informatika és a szabadságjogok kérdésével foglalkozó nemzeti bizottság, Franciaország], valamint a hírszerzési módszereket ellenőrző nemzeti bizottság véleményének kikérését követően rendeletben állapítja meg.”
42 A CSI L. 851‑2. cikke a következőképpen rendelkezik:
„I. – A jelen könyv II. címének I. fejezetében előírt feltételek mellett, kizárólag a terrorizmus megelőzése érdekében egyedileg engedélyezhető az L. 851‑1. cikkben említett, korábban fenyegetéssel kapcsolatba hozható személyként azonosított egyénekre vonatkozó információknak vagy dokumentumoknak az L. 851‑1. cikkben említett gazdasági szereplők és személyek hálózatain történő, valós idejű gyűjtése. Amennyiben alapos okkal feltételezhető, hogy az engedéllyel érintett személy környezetéhez tartozó személy vagy személyek alkalmasak arra, hogy az engedély alapjául szolgáló cél tekintetében információt szolgáltassanak, az engedély e személyek mindegyike tekintetében egyedileg megadható.
I bis. A jelen cikk alapján kiadott, egyidejűleg hatályban lévő engedélyek maximális számát a hírszerzési módszereket ellenőrző nemzeti bizottság véleményének kikérését követően a miniszterelnök állapítja meg. Az engedélyek maximális számát és annak az L. 821‑2. cikk első bekezdésében említett miniszterek közötti felosztását megállapító határozatot, valamint a lehallgatási engedélyek számát a bizottság tudomására kell hozni.
[…]”
43 A CSI L. 851‑3. cikke a következőképpen rendelkezik:
„I. – A jelen könyv II. címének I. fejezetében meghatározott feltételek mellett, kizárólag a terrorizmus megelőzése érdekében az L. 851‑1. cikkben említett gazdasági szereplők és személyek kötelezhetők arra, hogy a hálózataikon az esetlegesen terrorfenyegetésre utaló csatlakozásoknak az engedélyben pontosan meghatározott szempontok alapján történő kiszűrésére irányuló, automatizált adatkezelést végezzenek.
Az ilyen automatizált adatkezelési műveletek kizárólag az L. 851‑1. cikkben említett információkat vagy dokumentumokat használják fel, csak olyan adatokat gyűjtenek, amelyek megfelelnek a meghatározott szempontoknak, és nem teszik lehetővé azoknak a személyeknek az azonosítását, akikre az információk vagy dokumentumok vonatkoznak.
A miniszterelnök engedélye az arányosság elvére figyelemmel pontosan meghatározza az adatkezelés végrehajtásának műszaki körét.
II. – A hírszerzési módszereket ellenőrző nemzeti bizottság véleményt ad az automatizált adatkezelési műveletekre vonatkozó engedély iránti kérelemről és az alkalmazott kiszűrési szempontokról. A bizottság állandó, teljes és közvetlen hozzáféréssel rendelkezik ezekhez az adatkezelési műveletekhez, valamint a gyűjtött információkhoz és adatokhoz. A bizottság tájékoztatást kap az adatkezelési műveletek és szempontok megváltoztatásáról, és ajánlásokat tehet.
A jelen cikk I. pontjában előírt, automatizált adatkezelés elvégzésére vonatkozó első engedélyt két hónapra kell kiállítani. Az engedély a jelen könyv II. címének I. fejezetében foglalt, időtartamra vonatkozó feltételek mellett meghosszabbítható. A meghosszabbítási kérelem tartalmazza az automatizált adatkezelés által jelzett azonosítók számának kimutatását, valamint e jelzések relevanciájának elemzését.
III. – Az L. 871‑6. cikkben előírt feltételeket alkalmazni kell az L. 851‑1. cikkben említett gazdasági szereplők és személyek által az automatizált adatkezelés elvégzése érdekében végzett műveletekre.
IV. – Amennyiben a jelen cikk I. pontjában említett adatkezelési műveletek terrorfenyegetettség fennállására utaló adatokat tárnak fel, a miniszterelnök vagy az általa megbízott személy a hírszerzési módszereket ellenőrző nemzeti bizottság által a jelen könyv II. címének I. fejezetében előírt feltételek szerint kiadott véleményét követően engedélyezheti az érintett személy vagy személyek azonosítását és a rájuk vonatkozó adatok gyűjtését. Ezeket az adatokat az információgyűjtéstől számított 60 napon belül felhasználják és e határidő lejártát követően megsemmisítik, kivéve az érintett személyhez vagy személyekhez kapcsolódó terrorfenyegetés fennállását alátámasztó, megalapozott bizonyítékok esetében.
[…]”
44 A CSI L. 851‑4. cikke a következőket tartalmazza:
„A jelen könyv II. címének I. fejezetében előírt feltételek mellett a használt végberendezések helymeghatározására vonatkozó, az L. 851‑1. cikkben említett műszaki adatok hálózati kérés alapján gyűjthetők, az adatokat pedig a gazdasági szereplők valós időben továbbíthatják az adott miniszterelnöki szolgálatnak.”
45 A CSI R. 851‑5. cikke, amely a törvény szabályozási részében szerepel, a következőképpen rendelkezik:
„I. – Az L. 851‑1. cikkben említett információk vagy dokumentumok – a levélváltás vagy a megtekintett információ tartalmát kivéve – a következők:
1° A [CPCE] R. 10‑13. és R. 10‑14. cikkében, valamint a [2011‑219. sz.] rendelet 1. cikkében felsorolt információk vagy dokumentumok;
2° A 1° pontban említetteken kívüli olyan műszaki adatok, amelyek:
a) lehetővé teszik a végberendezések helyének meghatározását;
b) a végberendezések hálózatokhoz vagy nyilvános online hírközlési szolgáltatásokhoz való hozzáférésére vonatkoznak;
c) elektronikus hírközlés hálózaton keresztül történő lebonyolítására vonatkoznak;
d) felhasználó, kapcsolat, hálózat vagy nyilvános online hírközlési szolgáltatás azonosítására és hitelesítésére vonatkoznak;
e) a végberendezések jellemzőire és szoftverkonfigurációjára vonatkoznak.
II. – Az L. 851‑1. cikk alkalmazásával kizárólag az I. szakasz 1° pontjában említett információkat és dokumentumokat lehet gyűjteni. Az információgyűjtés nem valós időben történik.
Az I. szakasz 2. pontjában felsorolt információk csak az L. 851‑2. és az L. 851‑3. cikk alkalmazásával gyűjthetők az e cikkekben előírt feltételek és korlátozások mellett, az R. 851‑9. cikk alkalmazására is figyelemmel.”
A CPCE
46 A CPCE L. 34‑1. cikke a következőképpen rendelkezik:
„I. – Ezt a cikket az elektronikus hírközlési szolgáltatások nyilvánosság számára történő nyújtásával összefüggő személyes adatok kezelésére kell alkalmazni; alkalmazni kell többek között az adatgyűjtő és azonosító eszközöket támogató hálózatokra is.
II. – Az elektronikus hírközlési szolgáltatók, és különösen a nyilvános online hírközlési szolgáltatásokhoz való hozzáférést nyújtó személyek – a III., IV., V. és VI. szakasz rendelkezéseire is figyelemmel – valamennyi forgalmi adatot törölnek vagy anonimmé tesznek.
A nyilvánosság számára elektronikus hírközlési szolgáltatásokat nyújtó személyek az előző albekezdés rendelkezéseinek betartása mellett meghatározzák az illetékes hatóságok kérelmére való válaszadást lehetővé tevő belső eljárásokat.
Azok a személyek, akik fő vagy kiegészítő szakmai tevékenységként – adott esetben térítésmentesen – hálózati hozzáférés útján online hírközlést lehetővé tevő csatlakozást biztosítanak a nyilvánosság számára, kötelesek betartani az elektronikus hírközlési szolgáltatókra e cikk alapján alkalmazandó rendelkezéseket.
III. – Bűncselekmények vagy a code de la propriété intellectuelle [a szellemi tulajdonról szóló törvény] L. 336‑3. cikkében meghatározott kötelezettség megsértésének kivizsgálása, megállapítása és üldözése, illetve az automatizált adatkezelési rendszerek elleni, a code pénal [büntető törvénykönyv] 323‑1‑323‑3‑1. cikkében foglalt és büntetendővé tett jogsértések megelőzése érdekében, valamint szükség esetén kizárólag a bíróság, a szellemi tulajdonról szóló törvény L. 331‑12. cikkében említett főhatóság vagy a code de la défense [a honvédelemről szóló törvény] L. 2321‑1. cikkében említett, az információs rendszerek biztonságáért felelős nemzeti hatóság rendelkezésére bocsátásának lehetővé tétele érdekében az egyes műszakiadat‑kategóriák törlésére vagy anonimmé tételére irányuló műveletek legfeljebb egy évvel elhalaszthatók. A Conseil d’État (államtanács) az informatika és a szabadságjogok kérdésével foglalkozó nemzeti bizottság véleményének kikérését követően hozott rendeletében, a VI. szakaszban foglalt korlátozások mellett, meghatározza a szolgáltatók tevékenysége és a hírközlés jellege szerint ezeket az adatkategóriákat és az adatok tárolásának időtartamát, valamint adott esetben a szolgáltatók által az állam kérésére ilyen jogcímen nyújtott szolgáltatások azonosítható, konkrét többletköltségeinek ellentételezésére vonatkozó, részletes szabályokat.
[…]
VI. – A III., IV. és V. szakaszban meghatározott feltételek szerint megőrzött és kezelt adatok kizárólag a gazdasági szereplők által nyújtott szolgáltatások felhasználóinak azonosítására, az említett szolgáltatók által végzett hírközlések műszaki jellemzőire és a végberendezések helymeghatározására vonatkoznak.
Semmiképpen sem vonatkozhatnak ezen adatok az ezen kommunikáció keretében bármilyen módon váltott üzenetek vagy megtekintett információk tartalmára.
Az adatok megőrzését és kezelését az 1978. január 6‑i loi no 78‑17 relative à l’informatique, aux fichiers et aux libertés [az informatikáról, az iratokról és a szabadságjogokról szóló 78‑17. sz. törvény] rendelkezéseire figyelemmel kell végezni.
A szolgáltatók az adatoknak a jelen cikkben előírtaktól eltérő célú felhasználásának megakadályozása érdekében minden szükséges intézkedést megtesznek.”
47 A CPCE R. 10‑13. cikke a következőképpen rendelkezik:
„I. – Az L. 34‑1. cikk III. szakaszának alkalmazásában az elektronikus hírközlési szolgáltatók a bűncselekmények kivizsgálása, megállapítása és üldözése érdekében a következő adatokat őrzik meg:
a) a felhasználó azonosítását lehetővé tévő információk;
b) a használt hírközlési végberendezésekre vonatkozó adatok;
c) az egyes közlések műszaki jellemzői, napja, időpontja és időtartama;
d) a kért vagy felhasznált kiegészítő szolgáltatásokra és szolgáltatóikra vonatkozó adatok;
e) a közlés címzettjének vagy címzettjeinek azonosítását lehetővé tevő adatok.
II. – Távközlési tevékenység esetén a szolgáltató megőrzi a II. pontban említett adatokat, valamint a közlés forrásának és helymeghatározásának azonosítását lehetővé tévő adatokat.
III. – Az e cikkben említett adatok tárolásának időtartama a rögzítés napjától számított egy év.
IV. – Az e cikkben említett kategóriákba tartozó adatok szolgáltatása céljából az igazságügyi hatóságok által igényelt, a szolgáltató részéről felmerült azonosítható és konkrét többletköltségeket a code de procédure pénale (büntetőeljárásról szóló törvénykönyv) R. 213‑1. cikkében foglalt szabályok szerint kell ellentételezni.”
48 A CPCE R. 10‑14. cikke a következőképpen rendelkezik:
„I. – Az L. 34–1. cikk IV. szakaszának alkalmazásában az elektronikus hírközlési szolgáltatók jogosultak számlázási és fizetési műveleteik érdekében megőrizni azokat a műszaki jellegű adatokat, amelyek lehetővé teszik a felhasználó azonosítását, valamint az R. 10–13. cikk I. szakaszának b), c) és d) pontjában említett adatokat.
II. – Távközlési tevékenység esetén a szolgáltatók az I. szakaszban említett adatokon kívül megőrizhetik a közlés helymeghatározására és a közlés címzettjének vagy címzettjeinek azonosítására vonatkozó műszaki adatokat, valamint a számlázás alapjául szolgáló adatokat.
III. – Az e cikk I. és II. pontjában említett adatok csak akkor őrizhetők meg, ha a nyújtott szolgáltatások számlázásához és kifizetéséhez szükségesek. A megőrzésüknek az e cél eléréséhez feltétlenül szükséges időre kell korlátozódnia, de nem haladhatja meg az egy évet.
IV. – A hálózat‑ és létesítménybiztonság érdekében a szolgáltatók három hónapot meg nem haladó időtartamra megőrizhetik:
a) a közlés forrásának és helymeghatározásának azonosítását lehetővé tévő adatokat;
b) az egyes közlések műszaki jellemzőit, napját, időpontját és időtartamát;
c) a közlés címzettjének vagy címzettjeinek azonosítását lehetővé tevő műszaki adatokat;
d) a kért vagy felhasznált kiegészítő szolgáltatásokra és szolgáltatóikra vonatkozó adatokat.”
A digitális gazdaságba vetett bizalomról szóló, 2004. június 21‑i 2004‑575. sz. törvény
49 A digitális gazdaságba vetett bizalomról szóló, 2004. június 21‑i 2004‑575. sz. törvény (JORF 2004. június 22., 11168. o., a továbbiakban: LCEN) 6. cikke a következőképpen rendelkezik:
„I. – (1) A nyilvános online hírközlési szolgáltatásokhoz való hozzáférést nyújtó személyek tájékoztatják előfizetőiket arról, hogy léteznek olyan technikai eszközök, amelyek lehetővé teszik egyes szolgáltatásokhoz való hozzáférés korlátozását vagy kiválasztását, és legalább egy ilyen eszközt kínálnak számukra.
[…]
(2) Azok a természetes vagy jogi személyek, akik – akár térítésmentesen – nyilvános online hírközlési szolgáltatások révén a nyilvánosság számára történő rendelkezésre bocsátás céljából az ezen szolgáltatások igénybevevői által továbbított bármilyen jel, írás, kép, hang vagy üzenet tárolását végzik, nem tartoznak polgári jogi felelősséggel a szolgáltatás igénybe vevője kérésére tárolt tevékenységekért vagy információkért, ha nem volt tényleges tudomásuk ezek jogellenességéről vagy a jogellenességet jelző tényekről, illetve körülményekről, vagy ha a tudomásszerzést követően haladéktalanul intézkedtek az adatok eltávolítása vagy a hozzáférés letiltása érdekében.
[…]”
II. – Az I. szakasz (1) és (2) bekezdésében említett személyek oly módon birtokolják és őrzik meg az adatokat, hogy azonosítani lehessen bárkit, aki hozzájárult az általuk nyújtott szolgáltatások tartalmának vagy egyik tartalmának a létrehozásához.
A nyilvános online hírközlési szolgáltatást megjelentető személyeknek olyan technikai eszközöket biztosítanak, amelyek lehetővé teszik számukra, hogy megfeleljenek a III. szakaszban előírt azonosítási feltételeknek.
Az igazságügyi hatóság kérheti az I. szakasz (1) és (2) bekezdésében említett szolgáltatóktól az első albekezdésben említett adatok közlését.
Ezen adatok kezelésére a büntető törvénykönyv 226‑17., 226‑21. és 226‑22. cikkének rendelkezéseit kell alkalmazni.
A Conseil d’État (államtanács) által az informatika és a szabadságjogok kérdésével foglalkozó nemzeti bizottság véleményének kikérését követően elfogadott rendelet meghatározza az első albekezdésben említett adatok körét, megőrzésük időtartamát és részletes szabályait.
[…]”
A 2011–219. sz. rendelet
50 Az LCEN 6. cikke II. szakaszának utolsó bekezdése alapján elfogadott 2011‑219. sz. rendelet I. fejezete tartalmazza e rendelet 1–4. cikkét.
51 A 2011‑219. sz. rendelet 1. cikke a következőképpen rendelkezik:
„Az [LCEN] 6. cikkének II. szakaszában említett, e rendelkezés alapján kötelezően megőrzendő adatok a következők:
1° Az ugyanezen cikk I. szakaszának (1) bekezdésében említett személyek és előfizetőik minden egyes csatlakozása tekintetében:
a) a csatlakozás azonosítója;
b) e személyek által az előfizetőnek kiosztott azonosító;
c) a csatlakozáshoz használt végberendezés azonosítója, ha ahhoz hozzáférésük van;
d) a csatlakozás kezdetének és végének napja és időpontja;
e) az előfizetői vonal jellemzői;
2° Az ugyanezen cikk I. szakaszának (2) bekezdésében említett személyek és minden egyes létrehozási művelet tekintetében:
a) a közlés alapjául szolgáló csatlakozás azonosítója;
b) az információs rendszer által a művelet tárgyát képező tartalomra kiosztott azonosító;
c) a szolgáltatáshoz való csatlakozásra és a tartalomátvitelre használt protokollok típusai;
d) a művelet jellege;
e) a művelet napja és időpontja;
f) a művelet végzője által a művelet nyújtásakor használt azonosító;
3° Az ugyanezen cikk I. szakaszának (1) és (2) bekezdésében említett személyek tekintetében a felhasználó által a szerződés aláírásakor vagy felhasználói fiók létrehozásakor szolgáltatott információk:
a) csatlakozási azonosító a felhasználói fiók létrehozásának időpontjában;
b) vezetéknév, keresztnév, illetve cégnév;
c) kapcsolódó postai címek;
d) felhasználónevek;
e) kapcsolódó e‑mail‑ vagy felhasználói címek;
f) telefonszámok;
g) jelszó, valamint a jelszó ellenőrzését vagy módosítását lehetővé tevő adatok, a legutóbbi frissítés szerinti változatban;
4° Az ugyanezen cikk I. szakaszának (1) és (2) bekezdésében említett személyek tekintetében díjköteles szerződés vagy felhasználói fiók esetén minden egyes fizetési művelet vonatkozásában az alábbi, fizetésre vonatkozó információk:
a) az alkalmazott fizetési mód;
b) a fizetés hivatkozási száma;
c) az összeg;
d) a tranzakció napja és időpontja.
A 3. és 4. pontban említett adatokat csak az egyénekre szokásosan jellemző mértékben kell megőrizni.”
52 E rendelet 2. cikkének szövege a következő:
„A tartalom létrehozásához való hozzájárulás a következőkre irányuló műveletekre terjed ki:
a) eredeti tartalom létrehozása;
b) a tartalom és a tartalomhoz kapcsolódó adatok módosítása;
c) tartalom eltávolítása.”
53 Az említett rendelet 3. cikke kimondja:
„Az 1. cikkben említett adatok tárolásának időtartama egy év:
a) az 1. és 2. pontban említett adatok esetében a tartalom létrehozásának napjától számítva minden olyan művelet tekintetében, amely a 2. cikkben meghatározott tartalom‑létrehozáshoz való hozzájárulásnak minősül;
b) a 3. pontban említett adatok esetében a szerződés megszűnésének vagy a felhasználói fiók zárolásának napjától számítva;
c) a 4. pontban említett adatok esetében az egyes számlák vagy fizetési műveletek vonatkozásában a számla kibocsátásának időpontjától vagy a fizetési művelet időpontjától számítva.”
A belga jog
54 A 2016. május 29‑i törvény többek között a következő jogszabályokat módosította: a 2005. június 13‑i loi relative aux communications électroniques (az elektronikus hírközlésről szóló törvény, Moniteur belge, 2005. június 20., 28070. o.; a továbbiakban: 2005. június 13‑i törvény), a code d’instruction criminelle (büntetőeljárási törvény), valamint az 1998. november 30‑i loi organique des services de renseignement et de sécurité (a hírszerző és biztonsági szolgálatokról szóló sarkalatos törvény, Moniteur belge, 1998. december 18., 40312. o.; a továbbiakban: 1998. november 30‑i törvény).
55 A 2005. június 13‑i törvény 2016. május 29‑i törvényből következő változatának 126. cikke a következőképpen rendelkezik:
„1. § Az 1992. december 8‑i loi relative à la protection de la vie privée à l’égard des traitements de données à caractère personnel [a magánélethez való jognak a személyes adatok kezelése tekintetében történő védelméről szóló törvény] sérelme nélkül, a nyilvános telefonszolgáltatók (beleértve az internettelefon‑szolgáltatókat is), az internethozzáférés‑szolgáltatók, az elektronikus levelezési szolgáltatók, a nyilvánosan elérhető elektronikus hírközlési hálózatok üzemeltetői, valamint az ilyen szolgáltatásokat nyújtó gazdasági szereplők megőrzik a 3. §‑ban foglalt, az általuk az érintett hírközlési szolgáltatások nyújtása keretében létrehozott vagy kezelt adatokat.
A jelen cikk a közlések tartalmára nem terjed ki.
Az 3. §‑ban említett adatok megőrzésének kötelezettsége a sikertelen hívásokra is vonatkozik, amennyiben ezek az adatok az érintett hírközlési szolgáltatások nyújtásával összefüggésben:
1° telefonos adatok esetében nyilvánosan elérhető elektronikus hírközlési szolgáltatások vagy nyilvános elektronikus hírközlő hálózatok szolgáltatói által előállított vagy kezelt adatok, vagy
2° internetes adatok esetében e szolgáltatók által rögzített adatok.
2. § Kizárólag az alábbi hatóságok kaphatnak egyszerű kérelem alapján az 1. § első bekezdésében említett szolgáltatóktól a jelen cikk alapján megőrzött adatokhoz az alábbiakban felsorolt célokból és feltételekkel hozzáférést:
1° az igazságügyi hatóságok bűncselekmények kivizsgálása, felderítése és üldözése céljából, a büntetőeljárási törvény 46 bis és 88 bis cikkében foglalt intézkedések végrehajtása érdekében, az e cikkekben meghatározott feltételek mellett;
2° a hírszerző és biztonsági szolgálatok hírszerző tevékenységeik teljesítése érdekében, a hírszerző és biztonsági szolgálatokról szóló 1998. november 30‑i sarkalatos törvény 16/2., 18/7. és 18/8. cikkében foglalt adatgyűjtési módszerek alkalmazásával, az e törvényben meghatározott feltételek mellett;
3° az [Institut belge des services postaux et des télécommunications (a postai és hírközlési szolgáltatások belgiumi hivatala)] valamennyi rendőrtisztje a 114. és a 124. cikkbe, valamint a jelen cikkbe ütköző bűncselekmények kivizsgálása, felderítése és üldözése céljából;
4° a helyszíni segítséget nyújtó sürgősségi segélyszolgálatok, amennyiben segélyhívást követően az érintett szolgáltatótól nem kapják meg a 107. cikk 2. §‑ának harmadik bekezdésében említett adatbázis segítségével a hívó fél azonosítására szolgáló adatokat, illetve hiányos vagy helytelen adatokat kapnak. Kizárólag a hívó fél azonosítására szolgáló adatok kérhetők ki, és legkésőbb a hívást követő 24 órán belül;
5° a Cellule des personnes disparues de la Police Fédérale [a szövetségi rendőrség eltűnt személyek után kutató osztálya] rendőrtisztje a veszélyben lévő személy segítésére, és az azon személyek felkutatására irányuló feladata keretében, akiknek eltűnése aggodalomra ad okot, amennyiben alapos okkal vélelmezhető vagy valószínűsíthető, hogy az eltűnt személy testi épsége közvetlen veszélyben forog. Kizárólag a 3. § első és második bekezdésében foglalt, az eltűnt személyre vonatkozó és az adatok beszerzése iránti kérelmet megelőző 48 órában megőrzött adatok kérhetők ki az érintett szolgáltatótól a Király által kijelölt rendőrségi szolgálat útján.
6° a Service de médiation pour les télécommunications [hírközlési közvetítői szolgálat] a hálózatot vagy elektronikus hírközlési szolgáltatásokat rosszhiszeműen használó személyek azonosítása érdekében, az 1991. március 21‑i loi portant réforme de certaines entreprises publiques économiques [az egyes állami vállalatok átalakításáról szóló törvény] 43bis cikke 3. §‑ának 7. pontjában foglalt feltételeknek megfelelően. Kizárólag azonosító adatok kérhetők ki.
Az 1. § első bekezdésében említett szolgáltatók biztosítják, hogy a 3. §‑ban foglalt adatok korlátlanul hozzáférhetők legyenek Belgium területéről, és hogy ezen adatok és az azokkal összefüggő minden más szükséges információ haladéktalanul és kizárólag a jelen §‑ban említett hatóságok számára átadható legyen.
Az 1. § első albekezdésében említett szolgáltatók – egyéb jogszabályi rendelkezések sérelme nélkül – nem használhatják fel más célból a 3. § alapján megőrzött adatokat.
3. § A felhasználó, az előfizető és a hírközlési eszközök azonosítására szolgáló adatokat – a második és harmadik bekezdésben kifejezetten kizárt adatok kivételével – azon időponttól számított tizenkét hónapig kell megőrizni, amikor az igénybe vett szolgáltatás segítségével a közlés az utolsó alkalommal létrejöhet.
A végberendezésnek a hálózathoz és a szolgáltatáshoz való hozzáférésére és csatlakozására, illetve a végberendezés helymeghatározására – köztük a hálózati végpontra – vonatkozó adatokat a közlés időpontjától számított tizenkét hónapig kell megőrizni.
A közlés tartalmán kívüli egyéb hírközlési adatokat, köztük a közlés forrására és rendeltetési helyére vonatkozó adatokat a közlés időpontjától számított tizenkét hónapig kell megőrizni.
A Király az igazságügyi miniszter és [az elektronikus hírközlési ügyekért felelős miniszter] javaslatára, a Commission de la protection de la vie privée [(a magánélet védelméért felelős bizottság)] és a Hivatal véleményének kikérését követően a minisztertanács által megvitatott rendeletben, az első–harmadik bekezdésben szereplő kategóriák szerint meghatározza a megőrizendő adatok körét, valamint azokat a követelményeket, amelyeknek ezen adatoknak meg kell felelniük.
[…]”
Az alapeljárások és az előzetes döntéshozatalra előterjesztett kérdések
A C‑511/18. sz. ügy
56 A Quadrature du Net, a French Data Network, a Fédération des fournisseurs d’accès à Internet és az Igwan.net a Conseil d’État‑hoz (államtanács, Franciaország) 2015. november 30‑án és 2016. március 16‑án benyújtott, az alapeljárásban egyesített keresetleveleivel a 2015‑1185., 2015‑1211., 2015‑1639. és 2016‑67. sz. rendelet megsemmisítését kérte, többek között azzal az indokkal, hogy e rendeletek sértik a francia alkotmányt, az emberi jogok és alapvető szabadságok védelméről szóló európai egyezményt (kihirdette: az 1993. évi XXXI. törvény, a továbbiakban: EJEE), valamint a Charta 7., 8. és 47. cikkével összefüggésben értelmezett 2000/31 és 2002/58 irányelvet.
57 Konkrétan a 2000/31 irányelv megsértésére alapított jogalapokkal kapcsolatban a kérdést előterjesztő bíróság rámutat, hogy a CSI L. 851‑3. cikkében foglalt rendelkezések arra kötelezik az elektronikus hírközlési szolgáltatókat és a műszaki szolgáltatást nyújtókat, hogy „a hálózataikon az esetlegesen terrorfenyegetésre utaló csatlakozásoknak az engedélyben pontosan meghatározott szempontok alapján történő kiszűrésére irányuló, automatizált adatkezelést végezzenek”. Ez a módszer az ezen szolgáltatók és szolgáltatásnyújtók által kezelt összes csatlakozási adat közül csak azoknak az adatoknak a korlátozott ideig tartó gyűjtésére irányul, amelyek ilyen súlyos bűncselekménnyel összefüggésbe hozhatók. E körülmények között az említett rendelkezések, amelyek nem írnak elő általános és aktív megfigyelési kötelezettséget, nem sértik a 2000/31 irányelv 15. cikkét.
58 A 2002/58 irányelv megsértésére alapított jogalapokkal kapcsolatban a kérdést előterjesztő bíróság úgy ítéli meg, hogy az irányelv rendelkezéseiből, valamint a 2016. december 21‑i Tele2 Sverige és Watson és társai ítéletből (C‑203/15 és C‑698/15, a továbbiakban: Tele2 ítélet, EU:C:2016:970) többek között az következik, hogy az elektronikus hírközlési szolgáltatókra olyan kötelezettséget előíró rendelkezések, mint a felhasználóik és előfizetőik forgalmi és helymeghatározó adatainak általános és különbségtétel nélküli, az említett irányelv 15. cikkének (1) bekezdésében említett célok – köztük a nemzetbiztonság, a nemzetvédelem és a közbiztonság – érdekében történő megőrzése, ezen irányelv hatálya alá tartoznak, amennyiben e rendelkezések az említett szolgáltatók tevékenységét szabályozzák. Ugyanez vonatkozik a nemzeti hatóságok adatokhoz való hozzáférésére, valamint azok felhasználására vonatkozó szabályozásokra.
59 A kérdést előterjesztő bíróság ebből azt a következtetést vonja le, hogy a CSI L. 851‑1. cikkéből eredő megőrzési kötelezettség és az említett törvény L. 851‑1., L. 851‑2. és L. 851‑4. cikkében előírt, az említett adatokhoz való – akár valós idejű – hatósági hozzáférés is a 2002/58 irányelv hatálya alá tartozik. Ugyanez vonatkozik e törvény L. 851‑3. cikkének rendelkezéseire is, amelyek bár általános megőrzési kötelezettséget nem írnak elő az érintett szolgáltatók számára, arra kötelezik őket, hogy az esetlegesen terrorfenyegetésre utaló csatlakozások kiszűrésére irányuló, automatizált adatkezelést végezzenek a hálózataikon.
60 Ezzel szemben e bíróság úgy véli, hogy nem tartoznak a 2002/58 irányelv hatálya alá a CSI‑nek a megsemmisítés iránti kérelmekkel érintett azon rendelkezései, amelyek az állam által közvetlenül alkalmazott információgyűjtési módszerekre vonatkoznak, de nem szabályozzák az elektronikus hírközlési szolgáltatók tevékenységét, és nem írnak elő konkrét kötelezettségeket számukra. E rendelkezések tehát nem tekinthetők úgy, hogy az uniós jogot hajtják végre, és ezért nem lehet eredményesen hivatkozni az arra alapított jogalapokra, hogy e rendelkezések sértik a 2002/58 irányelvet.
61 Így a 2015‑1185., a 2015‑1211., a 2015‑1639. és a 2016‑67. sz. rendeletnek a 2002/58 irányelvre tekintettel, abból a szempontból fennálló jogszerűségével kapcsolatos jogviták elbírálását illetően, hogy e rendeleteket a CSI L. 851‑1.‑L. 851‑4. cikkének végrehajtása érdekében fogadták el, három kérdés merül fel az uniós jog értelmezésére vonatkozóan.
62 A 2002/58 irányelv 15. cikke (1) bekezdésének értelmezését illetően a kérdést előterjesztő bíróság először is arra keresi a választ, hogy az elektronikus hírközlési szolgáltatások nyújtóit a CSI L 851‑1. és R. 851‑5. cikke alapján terhelő általános és különbségtétel nélküli megőrzési kötelezettség nem tekinthető‑e, figyelemmel többek között a csatlakozási adatokokhoz való hatósági hozzáféréshez és a csatlakozási adatok felhasználásához kapcsolódó biztosítékokra és ellenőrzésekre, a Charta 6. cikkében biztosított biztonsághoz való jog és az EUSZ 4. cikk alapján kizárólag a tagállamok feladatába tartozó nemzetbiztonság követelményei által igazolt beavatkozásnak.
63 Másodszor, ami az elektronikus hírközlési szolgáltatást nyújtók számára előírható egyéb kötelezettségeket illeti, a kérdést előterjesztő bíróság megállapítja, hogy a CSI L. 851‑2. cikkének rendelkezései kizárólag a terrorizmus megelőzése érdekében engedélyezik a törvény L. 851‑1. cikkében előírt információk vagy dokumentumok ugyanazon személyektől történő gyűjtését. Ez az adatgyűjtés, amely csak egy vagy több olyan egyént érint, akiket korábban terrorfenyegetéssel kapcsolatba hozható személyként azonosítottak, valós időben zajlik. Ugyanez a helyzet az említett törvény L. 851‑4. cikkében foglalt rendelkezések esetében, amelyek feljogosítják a szolgáltatókat, hogy kizárólag végberendezések helymeghatározására vonatkozó műszaki adatokat valós időben továbbítsanak. Ezek a módszerek eltérő célok alapján és különböző módokon valós idejű hatósági hozzáférést biztosítanak a CPCE és az LCEN alapján tárolt adatokhoz, és nem rónak az érintett szolgáltatókra az általuk nyújtott szolgáltatások számlázásához és teljesítéséhez szükségeshez képest további megőrzési követelményt. Hasonlóképpen a CSI L. 851–3. cikkének rendelkezései, amelyek azt a kötelezettséget írják elő a szolgáltatásnyújtók számára, hogy hálózataikon a csatlakozások automatizált elemzését folytassák le, szintén nem jelentenek általános és különbségtétel nélküli adatmegőrzést.
64 Márpedig egyrészt a kérdést előterjesztő bíróság úgy véli, hogy a nemzetbiztonságot érintő, súlyos és tartós fenyegetésekkel – különösen terrorveszéllyel – összefüggésben az általános és különbségtétel nélküli adatmegőrzés és a csatlakozási adatokhoz történő, valós idejű hozzáférés gyakorlati szempontból páratlanul hasznos. Az általános és különbségtétel nélküli adatmegőrzés ugyanis lehetővé teszi a hírszerző szolgálatok számára, hogy még azt megelőzően hozzáférjenek a hírközlési adatokhoz, hogy azonosítanák azokat az okokat, amelyek miatt úgy vélik, hogy az érintett személy veszélyt jelent a közbiztonságra, a nemzetvédelemre vagy a nemzetbiztonságra. Továbbá a csatlakozási adatokhoz történő valós idejű hozzáférés lehetővé teszi, hogy rugalmasan reagálva kövessék azon egyének magatartását, akik közvetlen veszélyt jelenthetnek a közrendre.
65 Másrészt a CSI L. 851‑3. cikkében foglalt módszer lehetővé teszi az e célból pontosan meghatározott szempontok alapján azon egyének kiszűrését, akiknek a magatartása a kommunikációs módjuk alapján terrorfenyegetésre utalhat.
66 Harmadszor, az illetékes hatóságoknak a tárolt adatokhoz való hozzáférésével kapcsolatban az előterjesztő bíróság azt a kérdést teszi fel, hogy a Chartával összefüggésben a 2002/58 irányelvet úgy kell‑e értelmezni, hogy az a csatlakozási adatok gyűjtésére vonatkozó eljárások szabályszerűségét minden esetben az érintett személyek tájékoztatására vonatkozó követelménytől teszi függővé, amennyiben ez az információ már nem veszélyezteti az illetékes hatóságok által végzett nyomozást, vagy pedig az ilyen eljárások a nemzeti jogban előírt egyéb eljárási garanciák összessége alapján – amennyiben azok biztosítják a jogorvoslathoz való jog hatékonyságát – szabályszerűnek tekinthetők.
67 Ezen egyéb eljárási garanciákat illetően a kérdést előterjesztő bíróság ismerteti többek között, hogy bármely olyan személy, aki ellenőrizni kívánja, hogy nem alkalmaznak vele szemben szabálytalan hírszerzési módszereket, a Conseil d’État (államtanács) szakosított testületéhez fordulhat, amelynek feladata kontradiktórius eljáráson kívül közölt információk alapján annak ellenőrzése, hogy a kérelmezővel szemben alkalmaztak‑e ilyen módszert, és hogy arra a CSI VIII. könyvével összhangban került‑e sor. A testületnek a kérelmek vizsgálatára vonatkozó hatásköre biztosítja az általa gyakorolt bírósági felülvizsgálat hatékonyságát. A testület hatáskörrel rendelkezik a kérelmek vizsgálatára, az általa megállapított valamennyi jogsértés hivatalból történő figyelembevételére, valamint a közigazgatási szervek arra való kötelezésére, hogy minden szükséges intézkedést megtegyenek a megállapított jogsértések megszüntetése érdekében. A hírszerzési módszereket ellenőrző nemzeti bizottság feladata továbbá annak ellenőrzése, hogy az információgyűjtési módszereket belföldön a CSI alapján fennálló követelményeknek megfelelően alkalmazzák‑e. Így az a körülmény, hogy az alapügyben szereplő jogszabályi rendelkezések nem írják elő, hogy az érintett személyeket értesíteni kell a rájuk vonatkozó megfigyelési intézkedésekről, önmagában véve nem jelenti a magánélet tiszteletben tartásához való jog túlzott megsértését.
68 E körülmények között határozott úgy a Conseil d’État (államtanács), hogy az eljárást felfüggeszti, és előzetes döntéshozatal céljából a következő kérdéseket terjeszti a Bíróság elé:
„1. A [2002/58] irányelv 15. cikke (1) bekezdésének megengedő rendelkezései alapján a szolgáltatókra előírt általános és különbségtétel nélküli megőrzési kötelezettséget a nemzetbiztonságra súlyos és tartós fenyegetést, különösen terrorveszélyt jelentő összefüggésben nem kell‑e úgy tekinteni, mint a [Charta] 6. cikkében biztosított biztonsághoz való jog és a nemzetbiztonsági követelmények – amelynek felelőssége az [EUSZ] 4. cikk alapján kizárólag a tagállamokra hárul – által igazolt beavatkozást?
2. A [2002/58] irányelvet a [Chartával] összefüggésben úgy kell‑e értelmezni, hogy az felhatalmazást biztosít olyan jogalkotási intézkedésekre, mint a forgalmi adatok és a meghatározott egyének helymeghatározására vonatkozó adatok valós időben történő gyűjtésével kapcsolatos intézkedések, amelyek bár érintik az elektronikus hírközlési szolgáltatók jogait és kötelezettségeit, nem írnak elő velük szemben az adataik megőrzésére vonatkozó különös kötelezettséget?
3. A [2002/58] irányelvet a [Chartával] összefüggésben úgy kell‑e értelmezni, hogy az minden esetben alárendeli a csatlakozási adatok gyűjtésére vonatkozó eljárás szabályszerűségét az érintett személyek tájékoztatására vonatkozó követelménynek, ha egy ilyen tájékoztatás már nem veszélyezteti az illetékes hatóságok által végzett nyomozást, vagy az ilyen eljárások tekinthetők‑e szabályszerűnek, figyelemmel a meglévő egyéb eljárási garanciákra, amennyiben ez utóbbiak biztosítják a jogorvoslathoz való jog hatékonyságát?”
A C‑512/18. sz. ügy
69 A French Data Network, a Quadrature du Net és a Fédération des fournisseurs d’accès à Internet associatifs a Conseil d’État‑hoz (államtanács) 2015. szeptember 1‑jén benyújtott keresetlevelével a CPCE R. 10‑13. cikke és a 2011‑219. sz. rendelet hatályon kívül helyezése iránt azzal az indokkal benyújtott kérelmüket hallgatólagosan elutasító miniszterelnöki határozat megsemmisítését kérte, hogy e jogszabályok sértik a 2002/58 irányelv 15. cikkének a Charta 7., 8. és 11. cikkével összefüggésben értelmezett (1) bekezdését. A Privacy International, valamint a Center for Democracy and Technology számára megengedték, hogy az alapeljárásba beavatkozzanak.
70 A CPCE R. 10–13. cikkével és a hírközlési adatok általános és különbségtétel nélküli megőrzésére vonatkozó, e cikkben előírt kötelezettséggel kapcsolatban a kérdést előterjesztő bíróság, amely a C‑511/18. sz. ügy keretében megfogalmazottakhoz hasonló megfontolásokkal él, megjegyzi, hogy ez az adatmegőrzés lehetővé teszi az igazságügyi hatóság számára, hogy olyan közlésekkel kapcsolatos adatokhoz férjen hozzá, amelyeket valaki még azt megelőzően tett, hogy bűncselekmény elkövetésével gyanúsítható lett volna, és így ez az adatmegőrzés a bűncselekmények kivizsgálása, megállapítása és üldözése szempontjából páratlanul hasznosnak bizonyul.
71 A 2011‑219. sz. rendelettel kapcsolatban a kérdést előterjesztő bíróság úgy véli, hogy az LCEN 6. cikkének II. szakasza, amely kizárólag a tartalom létrehozására vonatkozó adatok birtoklására és megőrzésére vonatkozó kötelezettséget ír elő, nem a 2002/58 irányelv hatálya alá tartozik, mivel az – az irányelv 3. cikke (1) bekezdésének megfelelően – az Unión belül a nyilvánosan elérhető hírközlési szolgáltatások nyilvános hírközlő hálózaton történő nyújtására korlátozódik, hanem a 2000/31 irányelv hatálya alá.
72 E bíróság szerint azonban a 2000/31 irányelv 15. cikkének (1) és (2) bekezdéséből az következik, hogy az irányelv nem vezet be a tartalom létrehozására vonatkozó adatok megőrzésére olyan elvi tilalmat, amelytől csak kivételesen lehetne eltérni. Az a kérdés merül tehát fel, hogy a Charta 6., 7., 8. és 11. cikkével, valamint 52. cikkének (1) bekezdésével összefüggésben az említett irányelv 12., 14. és 15. cikkét úgy kell‑e értelmezni, hogy azok lehetővé teszik a tagállam számára olyan nemzeti szabályozás bevezetését, mint az LCEN 6. cikkének II. szakasza, amely az érintett személyeknek előírja, hogy oly módon őrizzék meg az adatokat, hogy azonosítani lehessen bárkit, aki hozzájárult az általuk nyújtott szolgáltatások tartalmának vagy egyik tartalmának a létrehozásához, mégpedig azért, hogy az igazságügyi hatóság adott esetben, a polgári jogi vagy büntetőjogi felelősségre vonatkozó szabályok betartásának biztosítása érdekében az adatok közlését kérhesse tőlük.
73 E körülmények között határozott úgy a Conseil d’État (államtanács), hogy az eljárást felfüggeszti, és előzetes döntéshozatal céljából a következő kérdéseket terjeszti a Bíróság elé:
„1. A [2002/58] irányelv 15. cikke (1) bekezdésének megengedő rendelkezései alapján a szolgáltatókra előírt általános és különbségtétel nélküli megőrzési kötelezettséget nem kell‑e úgy tekinteni – különösen azokra a garanciákra és felülvizsgálatokra tekintettel, amelyek ezután e csatlakozási adatok gyűjtéséhez és felhasználásához kapcsolódnak –, mint a [Charta] 6. cikkében biztosított biztonsághoz való jog és a nemzetbiztonsági követelmények – amelynek felelőssége az [EUSZ] 4. cikk alapján kizárólag a tagállamokra hárul – által igazolt beavatkozást?
2. A [2000/31] irányelvnek a [Charta] 6., 7., 8. és 11. cikke, valamint 52. cikkének (1) bekezdése tükrében értelmezett rendelkezéseit úgy kell‑e értelmezni, hogy azok lehetővé teszik az állam számára olyan nemzeti szabályozás bevezetését, amely a nyilvánosság számára online hírközlési szolgáltatásokhoz való hozzáférést biztosító személyek, valamint az ezen szolgáltatások igénybevevői által továbbított bármilyen jellegű jel, írás, kép, hang vagy üzenet tárolását a nyilvánosság rendelkezésére bocsátás céljából – akár díjmentesen – a nyilvánosság számára online hírközlési szolgáltatások útján biztosító természetes vagy jogi személyek számára előírja, hogy oly módon őrizzék meg az adatokat, hogy azonosítani lehessen bárkit, aki hozzájárult az általuk nyújtott szolgáltatások tartalmának vagy egyik tartalmának a létrehozásához, mégpedig azért, hogy a bíróság adott esetben, a polgári jogi vagy büntetőjogi felelősségre vonatkozó szabályok betartásának biztosítása érdekében az adatok közlését kérhesse tőlük?”
C‑520/18. sz. ügy
74 Az Ordre des barreaux francophones et germanophone, az Académie Fiscale ASBL, UA, a Liga voor Mensenrechten ASBL, a Ligue des Droits de l’Homme ASBL, VZ, WY, valamint XX 2017. január 10‑én, január 16‑án, január 17‑én és január 18‑án a Cour constitutionnelle‑hez (alkotmánybíróság, Belgium) benyújtott, az alapeljárásban egyesített keresetleveleivel a 2016. május 29‑i törvény megsemmisítését kérte többek között azzal az indokkal, hogy a törvény sérti a belga alkotmánynak az EJEE 5., 6–11., 14., 15., 17. és 18. cikkével összefüggésben értelmezett 10. és 11. cikkét, a Charta 7., 8., 11. és 47. cikkét, valamint 52. cikkének (1) bekezdését, az Egyesült Nemzetek Közgyűlése által 1966. december 16‑án elfogadott és 1976. március 23‑án hatályba lépett Polgári és Politikai Jogok Nemzetközi Egyezségokmánya 17. cikkét, a jogbiztonság, az arányosság és az információs önrendelkezési jog alapelvét, valamint az EUSZ 5. cikk (4) bekezdését.
75 Kereseteik alátámasztásául az alapeljárás felperesei lényegében azzal érvelnek, hogy a 2016. május 29‑i törvény jogellenessége többek között abból ered, hogy túllépi a feltétlenül szükséges mértéket, és nem ír elő megfelelő védelmi garanciákat. Közelebbről tekintve sem a törvény adatmegőrzésre vonatkozó rendelkezései, sem a megőrzött adatokhoz való hatósági hozzáférésre vonatkozó rendelkezések nem felelnek meg a 2014. április 8‑i Digital Rights Ireland és társai ítéletből (C‑293/12 és C‑594/12, a továbbiakban: Digital Rights ítélet, EU:C:2014:238) és a 2016. december 21‑i Tele2 ítéletből (C‑203/15 és C‑698/15, EU:C:2016:970) eredő követelményeknek. E rendelkezések ugyanis magukban foglalják a személyiségprofilok felállításának és az illetékes hatóságok részéről a lehetséges visszaélések ezzel járó veszélyét, és a megőrzött adatok megfelelő biztonsági és védelmi szintjét sem írják elő. Végül ez a törvény szakmai titoktartás hatálya alá tartozó, valamint titoktartási kötelezettséggel rendelkező személyekre irányul, személyes jellegű, különleges hírközlési adatokra vonatkozik, és nem tartalmaz ez utóbbi adatok védelme érdekében különleges garanciákat.
76 A kérdést előterjesztő bíróság megállapítja, hogy azok az adatok, amelyeket a telefonszolgáltatók (beleértve az internettelefon‑szolgáltatókat is), az internethozzáférés‑szolgáltatók, az elektronikus levelezési szolgáltatók, valamint a nyilvánosan elérhető elektronikus hírközlési hálózatok üzemeltetői a 2016. május 29‑i törvény értelmében kötelesek megőrizni, megegyeznek a nyilvánosan elérhető elektronikus hírközlési szolgáltatások nyújtása, illetve a nyilvános hírközlő hálózatok szolgáltatása keretében előállított vagy feldolgozott [helyesen: kezelt] adatok megőrzéséről és a 2002/58/EK irányelv módosításáról szóló, 2006. március 15‑i 2006/24/EK európai parlamenti és tanácsi irányelvben (HL 2006. L 105., 54. o.; helyesbítés: HL 2009. L 50., 52. o.) felsorolt adatokkal, és a törvény nem tesz különbséget az érintett személyek vagy az elérni kívánt cél alapján. Ez utóbbi tekintetben e bíróság pontosítja, hogy a jogalkotó által e törvénnyel elérni kívánt cél nem csupán a terrorizmus és a gyermekpornográfia elleni küzdelemre irányul, hanem arra is, hogy a megőrzött adatokat a nyomozás során számos különböző helyzetben lehessen felhasználni. A kérdést előterjesztő bíróság továbbá megállapítja, hogy az említett törvény indokolásából kitűnik, hogy a nemzeti jogalkotó úgy vélte, hogy a kitűzött célra tekintettel nem lehetséges célzott és differenciált adatmegőrzési kötelezettséget bevezetni, és úgy döntött, hogy az általános és különbségtétel nélküli adatmegőrzési kötelezettséget szigorú biztosítékokkal veszi körül mind az adatmegőrzés védelme, mind pedig az adatokhoz való hozzáférés terén, hogy ezzel a magánélet tiszteletben tartásához való jogba való beavatkozást a minimumra korlátozza.
77 A kérdést előterjesztő bíróság hozzáteszi, hogy a 2005. június 13‑i törvény 2016. május 29‑i törvénnyel módosított változata 126. cikke 2. §‑ának 1°. és 2°. pontja azokat a feltételeket határozza meg, amelyek mellett az igazságügyi hatóságok, illetve a hírszerző és biztonsági szolgálatok a megőrzött adatokhoz hozzáférhetnek, így e törvény jogszerűségének az uniós jog követelményeire tekintettel történő vizsgálatát fel kell függeszteni addig, amíg a Bíróság az ilyen adathozzáféréssel kapcsolatban előtte folyamatban lévő, két előzetes döntéshozatali eljárásban határozatot hoz.
78 A kérdést előterjesztő bíróság végül rámutat, hogy a 2016. május 29‑i törvény a kiskorúak sérelmére elkövetett szexuális visszaélések esetén a hatékony nyomozás és szankcionálás lehetővé tételére, valamint arra irányul, hogy az ilyen bűncselekmények elkövetőit akkor is azonosítani lehessen, ha elektronikus hírközlési eszközöket használnak. Az előtte folyamatban lévő eljárás során e tekintetben felhívták a figyelmet az EJEE 3. és 8. cikkéből eredő pozitív kötelezettségekre. E kötelezettségek a Charta megfelelő rendelkezéseiből is következhetnek, ami befolyásolhatja a 2002/58 irányelv 15. cikke (1) bekezdésének értelmezését.
79 E körülmények között határozott úgy a Cour constitutionnelle (alkotmánybíróság), hogy az eljárást felfüggeszti, és előzetes döntéshozatal céljából a következő kérdéseket terjeszti a Bíróság elé:
„1. A[Charta] 6. cikkében biztosított, biztonsághoz való joggal és a [Charta] 7. és 8. cikkében, valamint 52. cikkének (1) bekezdésében biztosított, a személyes adatok tiszteletben tartásához való joggal összefüggésben úgy kell‑e értelmezni a [2002/58] irányelv 15. cikkének (1) bekezdését, hogy azzal ellentétes az alapügy tárgyát képezőhöz hasonló, olyan nemzeti szabályozás, amely általános kötelezettségként írja elő az elektronikus hírközlési szolgáltatók számára az általuk e szolgáltatások nyújtása során létrehozott vagy kezelt, a [2002/58] irányelv értelmében vett forgalmi és helymeghatározó adatok megőrzését, és amelynek egyedüli célja nem a súlyos bűncselekmények kivizsgálása, felderítése és üldözése, hanem emellett a nemzetbiztonság, a területvédelem és a közbiztonság védelme, a súlyos bűncselekményeken kívüli más bűncselekmények kivizsgálása, felderítése és üldözése, vagy az elektronikus hírközlési rendszerek tiltott használatának megelőzése, illetve a [2016/679] rendelet 23. cikkének (1) bekezdésében meghatározott egyéb cél megvalósítása, és amelyre továbbá az adatmegőrzés és az azokhoz való hozzáférés terén az e szabályozásban megállapított, pontos biztosítékok vonatkoznak?
2. A[Charta] 4., 7., 8. és 11. cikkével, valamint 52. cikkének (1) bekezdésével együttesen úgy kell‑e értelmezni a [2002/58] irányelv 15. cikkének (1) bekezdését, hogy azzal ellentétes az alapügy tárgyát képezőhöz hasonló, olyan nemzeti szabályozás, amely általános kötelezettségként írja elő az elektronikus hírközlési szolgáltatók számára az általuk e szolgáltatások nyújtása során létrehozott vagy kezelt, a [2002/58] irányelv értelmében vett forgalmi és helymeghatározó adatok megőrzését, amennyiben e szabályozásnak többek között azon, a Charta 4. és [7]. cikke alapján a hatóságot terhelő, pozitív kötelezettségek megvalósítása a célja, hogy olyan jogi keretet határozzon meg, amely a kiskorúak sérelmére elkövetett szexuális visszaélések esetén a hatékony nyomozás és szankcionálás lehetővé tételére, valamint arra irányul, hogy az ilyen bűncselekmények elkövetőit akkor is azonosítani lehessen, ha elektronikus hírközlési eszközöket használnak?
3. Amennyiben az első vagy a második előzetes döntéshozatali kérdésre adandó válasz alapján a Cour constitutionnelle‑nek (alkotmánybíróság) azt a következtetést kellene levonnia, hogy a megtámadott törvény az e kérdésekben említett rendelkezésekből eredő valamely kötelezettséget vagy kötelezettségeket sérti, fenntarthatja‑e ideiglenesen a [2016. május 29‑i] törvény joghatásait a jogbizonytalanság elkerülése, és annak biztosítása érdekében, hogy a korábban gyűjtött és megőrzött adatok továbbra is felhasználhatók legyenek a törvényben foglalt célokra?”
A Bíróság előtti eljárásról
80 A Bíróság elnöke 2018. szeptember 25‑i határozatával az írásbeli és a szóbeli szakasz lefolytatása, valamint az ítélethozatal céljából egyesítette a C‑511/18. és a C‑512/18. sz. ügyet. A C‑520/18. sz. ügyet a Bíróság elnöke 2020. július 9‑i határozatával az ítélethozatal céljából egyesítette ezen ügyekkel.
Az előzetes döntéshozatalra előterjesztett kérdésekről
A C‑511/18. és C‑512/18. sz. ügyben előterjesztett első kérdésről, valamint a C‑520/18. sz. ügyben előterjesztett első és második kérdésről
81 A C‑511/18. és C‑512/18. sz. ügyben előterjesztett első kérdéssel, valamint a C‑520/18. sz. ügyben előterjesztett első és második kérdéssel, amelyeket együttesen kell megvizsgálni, az előterjesztő bíróságok lényegében arra keresik a választ, hogy a 2002/58 irányelv 15. cikkének (1) bekezdését úgy kell‑e értelmezni, hogy azzal ellentétes az olyan nemzeti szabályozás, amely az elektronikus hírközlési szolgáltatások nyújtói számára az e 15. cikk (1) bekezdésében foglalt célokból a forgalmi és a helymeghatározó adatok általános és különbségtétel nélküli megőrzését írja elő.
Előzetes észrevételek
82 A Bíróság rendelkezésére álló iratokból kitűnik, hogy az alapügyben szereplő szabályozások különbség vagy kivétel nélkül valamennyi elektronikus hírközlési eszközre, és ezen eszközök valamennyi felhasználójára kiterjednek. Továbbá ezen adatok körébe, amelyek megőrzésére e szabályozások az elektronikus hírközlési szolgáltatókat kötelezik, elsősorban azok az adatok tartoznak, amelyek a közlés forrásának és rendeltetési helyének megtalálásához szükségesek, meghatározzák a közlés napját, időpontját, időtartamát és típusát, azonosítják az alkalmazott hírközlési eszközöket, valamint meghatározzák a végberendezések és a közlések helyét – ilyen adat például a felhasználó neve és címe, a hívó és a hívott fél telefonszáma, valamint az internetes szolgáltatásoknál használt IP‑cím. Az említett adatok ezzel szemben nem terjednek ki az érintett közlések tartalmára.
83 Így azon adatok alapján, amelyeket az alapügyben szereplő nemzeti szabályozások értelmében egy éven keresztül meg kell őrizni, kideríthető, hogy ki az a személy, akivel az elektronikus hírközlési eszköz használója kapcsolatba lépett és hogy milyen eszközzel került sor erre, megállapítható a közlések és az internetcsatlakozások napja, időpontja és időtartama, valamint az a hely, ahonnan azokat lebonyolították, valamint megismerhető a végberendezések helye, anélkül hogy feltétlenül közlésre kerülne sor. Lehetővé teszik továbbá annak meghatározását is, hogy a felhasználó bizonyos személyekkel egy adott időszakban milyen gyakorisággal kommunikál. Végül a C‑511/18. és a C‑512/18. sz. ügyben szereplő nemzeti szabályozást illetően úgy tűnik, hogy az azáltal, hogy az elektronikus hírközlés hálózaton keresztül történő lebonyolítására vonatkozó adatokra is kiterjed, lehetővé teszi az online megtekintett információk jellegének azonosítását is.
84 A kitűzött célokat illetően meg kell állapítani, hogy a C‑511/18. és a C‑512/18. sz. ügyben szereplő szabályozások többek között olyan célokra irányulnak, mint általánosságban a bűncselekmények kivizsgálása, megállapítása és üldözése, a nemzeti függetlenség, a területi integritás és a nemzetvédelem, fontos külpolitikai érdekek, Franciaország európai és nemzetközi kötelezettségvállalásainak végrehajtása, Franciaország jelentős gazdasági, ipari és tudományos érdekei, valamint a terrorizmus megelőzése, a köztársasági államforma elleni támadások, és a köznyugalmat súlyosan sértő, csoportosan elkövetett, erőszakos cselekmények. Ami a C‑520/18. sz. ügyben szereplő szabályozást illeti, az többek között a következő célokra irányul: a bűncselekmények kivizsgálása, felderítése és üldözése, valamint a nemzetbiztonság, a területvédelem és a közbiztonság védelme.
85 Az előterjesztő bíróságok kérdései elsősorban a Charta 6. cikkében biztosított biztonsághoz való jognak a 2002/58 irányelv 15. cikke (1) bekezdésének értelmezésére gyakorolt esetleges hatásaira irányulnak. Felmerül az a kérdés is, hogy a nemzeti hatóságoknak a megőrzött adatokhoz való hozzáférését korlátozó szabályok fennállására tekintettel igazoltnak tekinthető‑e a Charta 7. és 8. cikkében biztosított alapvető jogokba való, az alapügyben szereplő szabályozások által előírt adatmegőrzéssel járó beavatkozás. Ezenkívül a Conseil d’État (államtanács) szerint ezt a kérdést, mivel nemzetbiztonságot érintő, súlyos és tartós fenyegetésekkel összefüggésben merül fel, az EUSZ 4. cikk (2) bekezdésére tekintettel is értékelni kell. A Cour constitutionnelle (alkotmánybíróság) pedig azt hangsúlyozza, hogy a C‑520/18. sz. ügyben szereplő nemzeti szabályozás a kiskorúakkal szembeni szexuális visszaélések hatékony megtorlására lehetőséget adó jogszabályi háttér kialakítására irányuló, a Charta 4. és 7. cikkéből eredő pozitív kötelezettségek végrehajtását is jelenti.
86 Míg a Conseil d’État (államtanács) és a Cour constitutionnelle (alkotmánybíróság) abból az előfeltevésből indul ki, hogy az alapügyben szereplő nemzeti szabályozások – amelyek a forgalmi és a helymeghatározó adatok megőrzésére, valamint az ezen adatokhoz a nemzeti hatóságok által a 2002/58 irányelv 15. cikkének (1) bekezdésében előírt célokból, például a nemzetbiztonság védelme érdekében történő hozzáférésre vonatkoznak – ezen irányelv hatálya alá tartoznak, az alapeljárás egyes felei és a Bírósághoz írásbeli észrevételeket benyújtó egyes tagállamok e tekintetben, különösen az említett irányelv 1. cikke (3) bekezdésének értelmezését illetően, más véleményt fogalmaznak meg. Először is meg kell tehát vizsgálni, hogy az említett szabályozások ugyanezen irányelv hatálya alá tartoznak‑e.
A 2002/58 irányelv hatályáról
87 A Quadrature du Net, a Fédération des fournisseurs d’accès à Internet associatifs, az Igwan.net, a Privacy International és a Center for Democracy and Technology e tekintetben a Bíróságnak a 2002/58 irányelv hatályára vonatkozó ítélkezési gyakorlatára hivatkozva lényegében azt adja elő, hogy mind az adatmegőrzés, mind a megőrzött adatokhoz való hozzáférés az irányelv hatálya alá tartozik, függetlenül attól, hogy erre a hozzáférésre valós időben vagy később kerül sor. Mivel ugyanis a nemzetbiztonság védelmére irányuló célkitűzést ezen irányelv 15. cikkének (1) bekezdése kifejezetten említi, e célkitűzés követése nem vonja maga után az említett irányelv alkalmazhatatlanságát. Az EUSZ 4. cikk (2) bekezdése, amelyre a kérdést előterjesztő bíróságok hivatkoznak, nem érinti ennek megítélését.
88 Azokat a hírszerzési intézkedéseket illetően, amelyeket az illetékes francia hatóságok közvetlenül, az elektronikus hírközlési szolgáltatók tevékenységének konkrét kötelezettségek előírásával történő szabályozása nélkül hajtanak végre, a Center for Democracy and Technology megjegyzi, hogy ezek az intézkedések szükségképpen a 2002/58 irányelv és a Charta hatálya alá tartoznak, mivel az ezen irányelv 5. cikkében biztosított bizalmas kezelés elvétől való eltéréseknek minősülnek. Az említett intézkedéseknek tehát tiszteletben kell tartaniuk az irányelv 15. cikkének (1) bekezdéséből eredő követelményeket.
89 Ezzel szemben a francia, a cseh és az észt kormány, Írország, a ciprusi, a magyar, a lengyel és a svéd kormány, valamint az Egyesült Királyság kormánya lényegében arra hivatkozik, hogy a 2002/58 irányelv nem alkalmazandó az alapügyben szereplőkhöz hasonló nemzeti szabályozásokra, amennyiben azok célja a nemzetbiztonság védelmére irányul. A hírszerző szolgálatok tevékenységei, mivel a közrend fenntartásához, a nemzetbiztonság védelméhez és az állam területi integritásának biztosításához kapcsolódnak, a tagállamok alapvető funkciói közé tartoznak, következésképpen ez utóbbiak kizárólagos hatáskörébe tartoznak, amint azt többek között az EUSZ 4. cikk (2) bekezdésének harmadik mondata is tanúsítja.
90 E kormányok, valamint Írország ezenfelül a 2002/58 irányelv 1. cikkének (3) bekezdésére is hivatkozik, amely – a 95/46 irányelv 3. cikke (2) bekezdésének első francia bekezdésében már korábban előírtakhoz hasonlóan – kizárja az irányelv hatálya alól a közbiztonsággal, a nemzetvédelemmel és a nemzetbiztonsággal kapcsolatos tevékenységeket. E tekintetben ez utóbbi rendelkezésnek a 2006. május 30‑i Parlament kontra Tanács és Bizottság ítéletben (C‑317/04 és C‑318/04, EU:C:2006:346) szereplő értelmezésére hivatkoznak.
91 A 2002/58 irányelv 1. cikkének (1) bekezdése értelmében ezen irányelv többek között azon nemzeti rendelkezések harmonizációját írja elő, amelyekre azért van szükség, hogy biztosítsák az elektronikus hírközlési ágazatban a személyes adatok kezelése vonatkozásában az alapvető jogok és szabadságok védelmének egyenértékű szintjét, különös tekintettel a magánélethez és a bizalmas adatkezeléshez való jogra.
92 Az irányelv 1. cikkének (3) bekezdése kizárja az irányelv hatálya alól az ott meghatározott területeken kifejtett „állami tevékenységeket”, köztük a büntetőjog téren kifejtett tevékenységeket, valamint a közbiztonsággal, a nemzetvédelemmel, és a nemzetbiztonsággal (beleértve a nemzetbiztonsági ügyekkel kapcsolatos tevékenységek tekintetében az állam gazdasági prosperitását) összefüggő tevékenységeket. Az ott példaként említett tevékenységek minden esetben az állam vagy az állami hatóságok sajátos tevékenységei, és nem tartoznak a magánszemélyek tevékenységei közé (2018. október 2‑i Ministerio Fiscal ítélet, EU:C:2018:788, 32. pont, valamint az ott hivatkozott ítélkezési gyakorlat).
93 A 2002/58 irányelv 3. cikkében foglaltak szerint ezt az irányelvet az Unióban a nyilvánosan elérhető hírközlési szolgáltatások nyilvános hírközlő hálózaton – köztük az adatgyűjtő és azonosító eszközöket támogató nyilvános hírközlési hálózatokon – történő nyújtásával (a továbbiakban: elektronikus hírközlési szolgáltatások) összefüggő személyesadat‑kezelésre kell alkalmazni. Ezért az említett irányelvre úgy kell tekinteni, mint amely az ilyen szolgáltatók tevékenységeit szabályozza (2018. október 2‑i Ministerio Fiscal ítélet, EU:C:2018:788, 33. pont, valamint az ott hivatkozott ítélkezési gyakorlat).
94 Ennek keretében a 2002/58 irányelv 15. cikkének (1) bekezdése felhatalmazza a tagállamokat, hogy az ott előírt feltételek mellett „jogszabályi intézkedéseket [fogadjanak] el az ezen irányelv 5. és 6. cikkében, 8. cikkének (1), (2), (3) és (4) bekezdésében, valamint 9. cikkében előírt jogok és kötelezettségek hatályának korlátozására vonatkozóan” (2016. december 21‑i Tele2 ítélet, C‑203/15 és C‑698/15, EU:C:2016:970, 71. pont).
95 Márpedig a 2002/58 irányelv 15. cikkének (1) bekezdése szükségszerűen feltételezi, hogy az ott felsorolt nemzeti jogszabályi intézkedések az irányelv hatálya alá tartoznak, mivel az irányelv kifejezetten csak az abban foglalt feltételek tiszteletben tartása mellett hatalmazza fel a tagállamokat azok elfogadására. Ezenkívül az ilyen intézkedések az e rendelkezésben említett célok érdekében az elektronikus hírközlési szolgáltatók tevékenységét szabályozzák (2018. október 2‑i Ministerio Fiscal ítélet, C‑207/16, EU:C:2018:788, 34. pont, valamint az ott hivatkozott ítélkezési gyakorlat).
96 Elsősorban e megfontolások alapján határozott úgy a Bíróság, hogy a 2002/58 irányelv 15. cikkének (1) bekezdését a 3. cikkével összefüggésben úgy kell értelmezni, hogy ezen irányelv hatálya alá nemcsak az olyan jogszabályi intézkedés tartozik, amely a forgalmi és helymeghatározó adatok megőrzésére kötelezi az elektronikus hírközlési szolgáltatókat, hanem az olyan jogszabályi intézkedés is, amely arra kötelezi őket, hogy az illetékes nemzeti hatóságoknak adjanak hozzáférést ezekhez az adatokhoz. Az ilyen jogszabályi intézkedések ugyanis szükségszerűen együtt járnak az említett adatok említett szolgáltatók általi kezelésével, és mivel e szolgáltatók tevékenységeit szabályozzák, nem hasonlíthatók az említett irányelv 1. cikkének (3) bekezdésében szereplő állami tevékenységekhez (lásd ebben az értelemben: 2018. október 2‑i Ministerio Fiscal ítélet, C‑207/16, EU:C:2018:788, 35. és 37. pont, valamint az ott hivatkozott ítélkezési gyakorlat).
97 Ezenkívül a jelen ítélet 95. pontjában szereplő megfontolásokra és a 2002/58 irányelv általános rendszerére tekintettel ezen irányelv azon értelmezése, amely szerint a 15. cikkének (1) bekezdésében említett jogszabályi intézkedések azért nem tartoznak az említett irányelv hatálya alá, mert azok a célok, amelyeknek az ilyen intézkedéseknek meg kell felelniük, lényegében átfedésben állnak az ugyanezen irányelv 1. cikkének (3) bekezdésében említett tevékenységek által követett célokkal, megfosztaná az említett 15. cikk (1) bekezdését a hatékony érvényesüléstől (lásd ebben az értelemben: 2016. december 21‑i Tele2 ítélet, C‑203/15 és C‑698/15, EU:C:2016:970, 72. és 73. pont).
98 A 2002/58 irányelv 1. cikkének (3) bekezdésében szereplő „tevékenységek” fogalma tehát – amint erre a főtanácsnok a La Quadrature du Net és társai egyesített ügyekre vonatkozó indítványának (C‑511/18 és C‑512/18, EU:C:2020:6) 75. pontjában rámutatott – nem értelmezhető úgy, mint amely kiterjed az ezen irányelv 15. cikkének (1) bekezdésében említett jogszabályi intézkedésekre.
99 Az EUSZ 4. cikk (2) bekezdésében foglalt rendelkezések, amelyekre a jelen ítélet 89. pontjában említett kormányok hivatkoztak, nem cáfolják ezt a következtetést. A Bíróság állandó ítélkezési gyakorlatának megfelelően ugyanis noha alapvető biztonsági érdekeik meghatározása, valamint a külső és belső biztonságukat szolgáló, megfelelő intézkedések meghozatala a tagállamok feladatkörébe tartozik, önmagában az a tény, hogy egy nemzeti intézkedést a nemzetbiztonság védelme érdekében fogadtak el, még nem eredményezi az uniós jog alkalmazhatatlanságát és nem mentesíti a tagállamokat az uniós jog kellő tiszteletben tartása alól (lásd ebben az értelemben: 2013. június 4‑i ZZ ítélet, C‑300/11, EU:C:2013:363, 38. pont; 2018. március 20‑i Bizottság kontra Ausztria [Állami nyomda] ítélet, C‑187/16, EU:C:2018:194, 75. és 76. pont; 2020. április 2‑i Bizottság kontra Lengyelország, Magyarország és Cseh Köztársaság [A nemzetközi védelmet kérelmezők áthelyezésére szolgáló ideiglenes mechanizmus] ítélet, C‑715/17, C‑718/17 és C‑719/17, EU:C:2020:257, 143. és 170. pont).
100 Igaz, hogy a 2006. május 30‑i Parlament kontra Tanács és Bizottság ítéletben (C‑317/04 és C‑318/04, EU:C:2006:346, 56–59. pont) a Bíróság úgy ítélte meg, hogy a személyes adatoknak a légitársaságok által harmadik állam hatóságai részére a terrorizmus és egyéb súlyos bűncselekmények megelőzése, illetve az azok elleni küzdelem céljából történő továbbítása a 95/46 irányelv 3. cikke (2) bekezdésének első francia bekezdése értelmében nem tartozik ezen irányelv hatálya alá, mivel ez az adattovábbítás közbiztonsággal kapcsolatos hatósági hatáskörbe tartozik.
101 Mindazonáltal a jelen ítélet 93., 95. és 96. pontjában szereplő megfontolásokra tekintettel ez az ítélkezési gyakorlat nem ültethető át a 2002/58 irányelv 1. cikke (3) bekezdésének értelmezésére. Ugyanis – amint azt a főtanácsnok a La Quadrature du Net és társai egyesített ügyekre vonatkozó indítványának (C‑511/18 és C‑512/18, EU:C:2020:6) 70–72. pontjában lényegében megállapította – a 95/46 irányelv 3. cikke (2) bekezdésének első francia bekezdése, amelyre az említett ítélkezési gyakorlat vonatkozik, általános jelleggel kizárta ez utóbbi irányelv hatálya alól az olyan „[adat]kezeléseket”, amelyek „a közbiztonsággal, a védelemmel, a nemzetbiztonsággal […] kapcsolatos[ak]”, és nem tett különbséget az érintett adatok kezelői alapján. Ezzel szemben a 2002/58 irányelv 1. cikke (3) bekezdésének értelmezése keretében szükségesnek mutatkozik ez a különbségtétel. Ugyanis amint az a jelen ítélet 94–97. pontjából kitűnik, a személyes adatoknak az elektronikus hírközlési szolgáltatások nyújtói által végzett valamennyi kezelése az említett irányelv hatálya alá tartozik, beleértve a hatóságok által velük szemben előírt kötelezettségekből eredő adatkezelést is, míg ez utóbbi adatkezelés adott esetben a 95/46 irányelv 3. cikke (2) bekezdésének első francia bekezdésében előírt kivétel hatálya alá tartozhat, figyelemmel e rendelkezés tágabb körű megfogalmazására, amely az adatkezelő személyétől függetlenül a közbiztonsággal, a nemzetvédelemmel, illetve a nemzetbiztonsággal kapcsolatos valamennyi adatkezelésre vonatkozik.
102 Egyébiránt meg kell állapítani, hogy a 2006. május 30‑i Parlament kontra Tanács és Bizottság ítélet (C‑317/04 és C‑318/04, EU:C:2006:346) alapjául szolgáló ügyben szereplő 95/46 irányelvet a 2016/679 rendelet a 94. cikkének (1) bekezdése értelmében 2018. május 25‑i hatállyal hatályon kívül helyezte és annak helyébe lépett. Márpedig, noha az említett rendelet a 2. cikke (2) bekezdésének d) pontjában pontosítja, hogy a rendelet nem alkalmazandó „az illetékes hatóságok” által többek között bűncselekmények megelőzése és felderítése – köztük a közbiztonságot fenyegető veszélyekkel szembeni védelem és e veszélyek megelőzése – céljából végzett adatkezelésekre, ugyanezen rendelet 23. cikke (1) bekezdésének d) és h) pontjában az áll, hogy a magánszemélyek által ugyanezen célból végzett személyesadat‑kezelés e rendelet hatálya alá tartozik. Ebből következik, hogy a 2002/58 irányelv 1. cikke (3) bekezdésének, 3. cikkének és 15. cikke (1) bekezdésének fenti értelmezése összhangban áll a 2016/679 rendelet hatályának ezen irányelv által kiegészített és pontosított körülhatárolásával.
103 Ezzel szemben ha a tagállamok közvetlenül hajtanak végre az elektronikus közlések titkosságának elve alól eltérő intézkedéseket, és nem írnak elő az elektronikus hírközlési szolgáltatások nyújtóira vonatkozó kezelési kötelezettségeket, akkor az érintett személyek adatainak védelme nem a 2002/58 irányelv hatálya alá, hanem – a személyes adatoknak az illetékes hatóságok által a bűncselekmények megelőzése, nyomozása, felderítése, a vádeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából végzett kezelése tekintetében a természetes személyek védelméről és az ilyen adatok szabad áramlásáról, valamint a 2008/977/IB tanácsi kerethatározat hatályon kívül helyezéséről szóló, 2016. április 27‑i (EU) 2016/680 európai parlamenti és tanácsi irányelv (HL 2016. L 119., 89. o.; helyesbítés: HL 2018. L 127., 7. o.) alkalmazására is figyelemmel – kizárólag a nemzeti jog hatálya alá tartozik, és így a szóban forgó intézkedéseknek tiszteletben kell tartaniuk különösen az alkotmányos szintű nemzeti jogot és az EJEE követelményeit.
104 A fenti megfontolásokból az következik, hogy az alapeljárásban szereplőkhöz hasonló olyan nemzeti szabályozás, amely az elektronikus hírközlési szolgáltatókat arra kötelezi, hogy a nemzetbiztonság védelme és a bűnözés elleni küzdelem érdekében forgalmi és helymeghatározó adatokat őrizzenek meg, a 2002/58 irányelv hatálya alá tartozik.
A 2002/58 irányelv 15. cikke (1) bekezdésének értelmezéséről
105 Elöljáróban emlékeztetni kell arra, hogy az állandó ítélkezési gyakorlat szerint az uniós jogi rendelkezés értelmezéséhez nemcsak annak kifejezéseit, hanem szövegkörnyezetét is figyelembe kell venni, valamint annak a szabályozásnak a célkitűzéseit és keletkezéstörténetét is, amelynek a rendelkezés részét képezi (lásd ebben az értelemben: 2018. április 17‑i Egenberger ítélet, C‑414/16, EU:C:2018:257, 44. pont).
106 A 2002/58 irányelv – amint ez az irányelv (6) és (7) preambulumbekezdéséből is kitűnik – azt tűzte ki célul, hogy az elektronikus hírközlési szolgáltatások felhasználói számára védelmet biztosítson az új technológiákból, valamint különösen a megnövekedett tárolási kapacitásból és az automatizált adatkezelésből eredő, a személyes adatokat és a magánéletet fenyegető veszélyekkel szemben. Az említett irányelv célja a (2) preambulumbekezdése szerint különösen a Charta 7. és 8. cikkében megállapított jogok teljes körű tiszteletben tartásának biztosítása. E tekintetben a 2002/58 irányelv alapjául szolgáló, az elektronikus hírközlési ágazatban a személyes adatok kezeléséről és a magánélet védelméről szóló európai parlamenti és tanácsi irányelv tervezetének (COM(2000) 385 végleges) indokolásából kiderül, hogy az uniós jogalkotó szándéka arra irányult, hogy „a személyes adatok és a magánélet magas szintű védelme az alkalmazott technológiától függetlenül valamennyi elektronikus hírközlési szolgáltatás tekintetében továbbra is biztosítva legyen”.
107 Ennek érdekében a 2002/58 irányelv 5. cikkének (1) bekezdése rögzíti az elektronikus közlések és az azokra vonatkozó forgalmi adatok titkosságának elvét, valamint tartalmazza többek között annak elvi tilalmát, hogy a felhasználókon kívül bármely más személy ezeket a közléseket és adatokat a felhasználó hozzájárulása nélkül tárolja.
108 Ami különösen a forgalmi adatoknak az elektronikus hírközlési szolgáltatások nyújtói általi kezelését és tárolását illeti, a 2002/58 irányelv 6. cikkéből, valamint (22) és (26) preambulumbekezdéséből kitűnik, hogy az ilyen adatkezelés kizárólag a szolgáltatások értékesítéséhez, számlázásához, valamint értéknövelt szolgáltatások nyújtásához szükséges mértékben és ideig engedélyezett. Ezen időtartam leteltét követően a kezelt és tárolt adatokat törölni kell, vagy anonimmé kell tenni. A forgalmi adatokon kívüli helymeghatározó adatokat illetően az említett irányelv 9. cikkének (1) bekezdése úgy rendelkezik, hogy ezen adatok csak bizonyos feltételekkel és akkor kezelhetők, ha anonimmé tették azokat, vagy a felhasználók, illetve előfizetők ehhez hozzájárultak (2016. december 21‑i Tele2 ítélet, C‑203/15 és C‑698/15, EU:C:2016:970, 86. pont, valamint az ott hivatkozott ítélkezési gyakorlat).
109 Az irányelv elfogadásával az uniós jogalkotó tehát a Charta 7. és 8. cikkében foglalt jogokat konkretizálta, és így az elektronikus hírközlési eszközök felhasználói főszabály szerint joggal számíthatnak arra, hogy a közléseik és az azokhoz kapcsolódó adatok hozzájárulásuk hiányában anonimek maradnak, és nem rögzíthetők.
110 A 2002/58 irányelv 15. cikkének (1) bekezdése mindazonáltal lehetővé teszi a tagállamok számára, hogy kivételeket állapítsanak meg a személyes adatok bizalmas kezelésének biztosítására vonatkozóan az irányelv 5. cikkének (1) bekezdésében előírt alapvető kötelezettség, valamint a többek között az említett irányelv 6. és 9. cikkében említett megfelelő kötelezettségek alól, amennyiben az ilyen jellegű korlátozás egy demokratikus társadalomban szükséges, megfelelő és arányos intézkedésnek minősül a nemzetbiztonság, a nemzetvédelem és a közbiztonság védelme érdekében, illetve a bűncselekmények, illetve az elektronikus hírközlési rendszer jogosulatlan használata megelőzésének, kivizsgálásának, felderítésének és üldözésének a biztosítása érdekében. E célból a tagállamok többek között jogszabályi intézkedéseket fogadhatnak el az adatoknak az e bekezdésben megállapított indokok alapján korlátozott ideig történő megőrzésére vonatkozóan.
111 A 2002/58 irányelv 5., 6. és 9. cikkében előírt jogoktól és kötelezettségektől való eltérés lehetősége mindamellett nem igazolhatja azt, hogy az elektronikus közlések és az azokhoz kapcsolódó adatok titkosságának biztosítására vonatkozó alapvető kötelezettségtől, különösen pedig az ezen adatok tárolásának az irányelv 5. cikkében kifejezetten előírt tilalmától való eltérés váljon főszabállyá (lásd ebben az értelemben: 2016. december 21‑i Tele2 ítélet, C‑203/15 és C‑698/15, EU:C:2016:970, 89. és 104. pont).
112 A többek között a 2002/58 irányelv 5., 6. és 9. cikkében előírt jogok és kötelezettségek korlátozásának igazolására alkalmas célokat illetően a Bíróság már kimondta, hogy az ezen irányelv 15. cikke (1) bekezdésének első mondatában szereplő célkitűzések felsorolása kimerítő jellegű, így az e rendelkezés alapján elfogadott jogszabályi intézkedésnek ténylegesen és szigorúan e célok egyikének kell megfelelnie (lásd ebben az értelemben: 2018. október 2‑i Ministerio Fiscal ítélet, C‑207/16, EU:C:2018:788, 52. pont, valamint az ott hivatkozott ítélkezési gyakorlat).
113 Ezenkívül a 2002/58 irányelv 15. cikke (1) bekezdésének harmadik mondatából kitűnik, hogy a tagállamok csak az uniós jog általános elveit, köztük az arányosság elvét és a Charta által biztosított alapvető jogokat tiszteletben tartva hozhatnak olyan jogszabályi intézkedéseket, amelyek az irányelv 5., 6. és 9. cikkében említett jogok és kötelezettségek hatályának korlátozására irányulnak. E tekintetben a Bíróság korábban már kimondta, hogy az elektronikus hírközlési szolgáltatók számára nemzeti szabályozással előírt azon kötelezettség, hogy adott esetben az illetékes nemzeti hatóságok számára való hozzáférhetővé tétel céljából megőrizzék a forgalmi adatokat, nemcsak a Chartának a magánélet védelmére, illetve a személyes adatok védelmére vonatkozó 7. és 8. cikkével, hanem a véleménynyilvánítási szabadságra vonatkozó 11. cikkével kapcsolatos kérdéseket is felvet (lásd ebben az értelemben: 2014. április 8‑i Digital Rights Ireland és társai ítélet, C‑293/12 és C‑594/12, EU:C:2014:238, 25. és 70. pont; 2016. december 21‑i Tele2 ítélet, C‑203/15 és C‑698/15, EU:C:2016:970, 91. és 92. pont, valamint az ott hivatkozott ítélkezési gyakorlat).
114 A 2002/58 irányelv 15. cikke (1) bekezdésének értelmezése során így tehát figyelembe kell venni mind a Charta 7. cikkében biztosított, magánélet tiszteletben tartásához való jognak, mind pedig a Charta 8. cikkében biztosított, személyes adatok védelméhez való jognak a Bíróság ítélkezési gyakorlata szerint fennálló jelentőségét, valamint a véleménynyilvánítás szabadságához való jog jelentőségét, amely a Charta 11. cikkében biztosított alapvető jogként a demokratikus és pluralista társadalom egyik lényegi alapját képezi, és azon értékek közé tartozik, amelyen az EUSZ 2. cikk értelmében az Unió alapul (lásd ebben az értelemben: 2001. március 6‑i Connolly kontra Bizottság ítélet, C‑274/99 P, EU:C:2001:127, 39. pont; 2016. december 21‑i Tele2 ítélet, C‑203/15 és C‑698/15, EU:C:2016:970, 93. pont, valamint az ott hivatkozott ítélkezési gyakorlat).
115 E tekintetben pontosítani kell, hogy a forgalmi és helymeghatározó adatok megőrzése egyrészt eltérésnek minősül a 2002/58 irányelv 5. cikkének (1) bekezdésében előírt tilalom alól, amely a felhasználókon kívül bármely más személy számára megtiltja ezen adatok tárolását, másrészt pedig a magánélet tiszteletben tartásához és a személyes adatok védelméhez való, a Charta 7. és 8. cikkében foglalt alapvető jogokba történő beavatkozásnak minősül, és ennek kapcsán nem bír jelentőséggel az, hogy a magánéletre vonatkozó, érintett információk különlegesnek minősülnek‑e, vagy hogy az érintetteknek ez a beavatkozás okozott‑e esetleges kellemetlenséget (lásd ebben az értelemben: 2017. július 26‑i 1/5 [EU–Kanada PNR‑megállapodás] vélemény, EU:C:2017:592, 124. és 126. pont, valamint az ott hivatkozott ítélkezési gyakorlat, lásd analógia útján, az EJEE 8. cikkére vonatkozóan: EJEB, 2020. január 30., Breyer kontra Németország, CE:ECHR:2020:0130JUD005000112, 81. §).
116 Annak sincs jelentősége, hogy a tárolt adatokat a későbbiekben felhasználják‑e (lásd analógia útján az EJEE 8. cikkét illetően: EJEB, 2000. február 16., Amann kontra Svájc, CE:ECHR:2000:0216JUD002779895, 69. §; 2020. február 13‑i Trajkovski és Chipovski kontra Észak‑Macedónia, CE:ECHR:2020:0213JUD005320513, 51. §), mivel az ilyen adatokhoz való hozzáférés az adatok későbbi felhasználásától függetlenül különálló beavatkozást jelent az előző pontban említett alapvető jogokba (lásd ebben az értelemben: 2017. július 26‑i 1/15 [EU–Kanada PNR‑megállapodás] vélemény, EU:C:2017:592, 124. és 126. pont).
117 Ez a következtetés annál is inkább indokoltnak tűnik, mivel a forgalmi és helymeghatározó adatok az érintett személyekkel kapcsolatban számos magánéleti vonatkozásról tárhatnak fel akár olyan szenzitív információkat is, mint a szexuális irányultság, a politikai vélemény, a vallási, világnézeti, társadalmi vagy egyéb meggyőződés, valamint az egészségi állapot, holott az ilyen adatok az uniós jogban egyébként különleges védelmet élveznek. Összességükben véve az említett adatok alapján igen pontos következtetések vonhatók le azoknak a magánéletével kapcsolatban, akiknek az adatait megőrizték, így például a napi szokásokat, az állandó vagy ideiglenes tartózkodási helyeket, a napi vagy egyéb helyváltoztatásokat, a gyakorolt tevékenységeket, a társas kapcsolataikat és az általuk felkeresett társadalmi köröket illetően. Ezek az adatok pedig eszközül szolgálnak az érintett személyek profiljának megalkotásához, ami a magánélet tiszteletben tartásához való jog tekintetében ugyanolyan különleges információnak minősül, mint a közléseknek maga a tartalma (lásd ebben az értelemben: 2014. április 8‑i Digital Rights Ireland és társai ítélet, C‑293/12 és C‑594/12, EU:C:2014:238, 27. pont; 2016. december 21‑i Tele2 ítélet, C‑203/15 és C‑698/15, EU:C:2016:970, 99. pont).
118 Következésképpen egyrészt a forgalmi és helymeghatározó adatok rendészeti célból történő megőrzése önmagában is alkalmas arra, hogy sértse a kapcsolattartás tiszteletben tartásához fűződő, a Charta 7. cikkében rögzített jogot, és az elektronikus hírközlési eszközök felhasználói tekintetében visszatartó hatást gyakoroljon a Charta 11. cikkében biztosított véleménynyilvánítási szabadságuk gyakorlására (lásd ebben az értelemben: 2014. április 8‑i Digital Rights ítélet, C‑293/12 és C‑594/12, EU:C:2014:238, 28. pont; 2016. december 21‑i Tele2 ítélet, C‑203/15 és C‑698/15, EU:C:2016:970, 101. pont). Ez a visszatartó hatás pedig különösen azokat a személyeket érintheti, akiknek a közlései a nemzeti jogszabályok értelmében szakmai titoktartási kötelezettség alá tartoznak, valamint azokat a visszaélést bejelentő személyeket, akiknek tevékenységét az uniós jog megsértését bejelentő személyek védelméről szóló, 2019. október 23‑i (EU) 2019/1937 európai parlamenti és tanácsi irányelv (HL 2019. L 305., 17. o.) védelemben részesíti. Ez a hatás továbbá annál is inkább súlyosan érvényesül, mivel igen nagyszámú és sokféle adatot őriznek meg.
119 Másrészt pedig tekintettel arra, hogy a forgalmi és helymeghatározó adatok nagy mennyisége általános és különbségtétel nélküli intézkedéssel folyamatosan megőrizhető, valamint hogy ezek az adatok különleges információkat hordozhatnak, az említett adatoknak az elektronikus hírközlési szolgáltatások nyújtói általi megőrzése önmagában véve is magában rejti a visszaélés és a jogellenes hozzáférés veszélyét.
120 Ugyanakkor a 2002/58 irányelv 15. cikkének (1) bekezdése, amennyiben lehetővé teszi a tagállamok számára a jelen ítélet 110. pontjában említett eltérések bevezetését, azt a körülményt tükrözi, hogy a Charta 7., 8. és 11. cikkében foglalt jogok nem korlátlan jogosultságként jelennek meg, hanem a társadalomban betöltött szerepükre tekintettel kell őket figyelembe venni (lásd ebben az értelemben: 2020. július 16‑i Facebook Ireland és Schrems ítélet, C‑311/18, EU:C:2020:559, 172. pont, valamint az ott hivatkozott ítélkezési gyakorlat).
121 A Charta 52. cikkének (1) bekezdése ugyanis lehetővé teszi e jogok gyakorlásának korlátozását, feltéve hogy a korlátozást törvény írja elő, hogy arra az említett jogok lényeges tartalmának és az arányosság elvének tiszteletben tartásával kerül sor, továbbá hogy a korlátozás elengedhetetlen, és ténylegesen az Unió által elismert általános érdekű célkitűzéseket vagy mások jogainak és szabadságainak védelmét szolgálja.
122 Így a 2002/58 irányelv 15. cikke (1) bekezdésének a Charta fényében történő értelmezése megköveteli a Charta 3., 4., 6. és 7. cikkében biztosított jogok jelentőségének figyelembevételét abból a szempontból is, amelyet a nemzetbiztonság védelme és a súlyos bűncselekmények elleni küzdelem a mások jogainak és szabadságainak védelméhez való hozzájárulás révén jelent.
123 E tekintetben a Charta 6. cikke, amelyre a Conseil d’État (államtanács) és a Cour constitutionnelle (alkotmánybíróság) hivatkozik, nemcsak a szabadsághoz, hanem a személyi biztonsághoz való jogot is rögzíti, és az EJEE 5. cikkében biztosítottaknak megfelelő jogokat biztosít (lásd ebben az értelemben: 2016. február 15‑i N. ítélet, C‑601/15 PPU, EU:C:2016:84, 47. pont; 2016. július 28‑i JZ‑ítélet, C‑294/16 PPU, EU:C:2016:610, 48. pont; 2019. szeptember 19‑i Rayonna prokuratura Lom ítélet, C‑467/18, EU:C:2019:765, 42. pont, valamint az ott hivatkozott ítélkezési gyakorlat).
124 Emlékeztetni kell továbbá arra, hogy a Charta 52. cikke (3) bekezdésének célja a Chartában foglalt jogok, illetve az azokkal megegyező, az EJEE‑ben biztosított jogok közötti szükséges összhang biztosítása, anélkül hogy mindez sértené az uniós jognak és az Európai Unió Bíróságának az autonómiáját. A Charta értelmezéséhez tehát a védelem minimális szintjeként figyelembe kell venni az EJEE által biztosított megfelelő jogot (lásd ebben az értelemben: 2019. február 12‑i TC‑ítélet, C‑492/18 PPU, EU:C:2019:108, 57. pont; 2019. május 21‑i Bizottság kontra Magyarország [Mezőgazdasági földterületeken létesített haszonélvezeti jog] ítélet, C‑235/17, EU:C:2019:432, 72. pont, valamint az ott hivatkozott ítélkezési gyakorlat).
125 Az EJEE 5. cikke, amely a „szabadsághoz való jogot” és „biztonsághoz való jogot” rögzíti, az Emberi Jogok Európai Bíróságának ítélkezési gyakorlata szerint az egyént a szabadságától való bármely önkényes vagy indokolatlan megfosztással szemben védi (lásd ebben az értelemben: EJEB, 2008. március 18., Ladent kontra Lengyelország, CE:ECHR:2008:0318JUD001103603, 45. és 46. §; 2010. március 29., Medvegyev és társai kontra Franciaország, CE:ECHR:2010:0329JUD000339403, 76. és 77. §; 2012. december 13., El‑Masri kontra „The former Yugoslav Republic of Macedonia”, CE:ECHR:2012:1213JUD003963009, 239. §). Mindazonáltal amennyiben ez a rendelkezés a hatóság által elkövetett, szabadságtól való megfosztásra vonatkozik, a Charta 6. cikkét nem lehet úgy értelmezni, mint amely az arra kötelezi a hatóságokat, hogy bizonyos bűncselekmények megakadályozása érdekében egyedi intézkedéseket fogadjanak el.
126 Ezzel szemben, ami különösen a Cour constitutionnelle (alkotmánybíróság) által hivatkozott, a kiskorúak és más kiszolgáltatott személyek sérelmére elkövetett bűncselekmények elleni hatékony küzdelmet illeti, hangsúlyozni kell, hogy a magán‑ és a családi élet védelmére irányuló jogi intézkedések meghozatalát illetően a Charta 7. cikkéből származhatnak a tagállamokat terhelő pozitív kötelezettségek is (lásd ebben az értelemben: 2020. június 18‑i Bizottság kontra Magyarország [Az egyesületek átláthatósága] ítélet, C‑78/18, EU:C:2020:476, 123. pont, valamint az ott hivatkozott ítélkezési gyakorlat). Származhatnak ilyen kötelezettségek az említett 7. cikkből az otthon és kapcsolattartás védelme tekintetében, valamint a 3. és 4. cikkből az egyének testi és szellemi sérthetetlenségének védelme, valamint a kínzás és az embertelen vagy megalázó bánásmód tilalma tekintetében is.
127 E különböző pozitív kötelezettségekkel szemben pedig szükségszerűen össze kell egyeztetni a szóban forgó különböző érdekeket és jogokat.
128 Az Emberi Jogok Európai Bírósága ugyanis úgy ítélte meg, hogy az EJEE 3. és 8. cikkéből – amelyek megfelelő biztosítékai a Charta 4. és 7. cikkében szerepelnek – eredő pozitív kötelezettségek többek között olyan anyagi jogi és eljárásjogi rendelkezések, valamint gyakorlati intézkedések elfogadását vonják maguk után, amelyek hatékony nyomozás és büntetőeljárás lefolytatása révén lehetővé teszik a személy elleni bűncselekmények elleni hatékony küzdelmet; ez a kötelezettség pedig különösen fontos akkor, ha a gyermek testi és lelki épsége kerül veszélybe. Az illetékes hatóságok által meghozandó intézkedéseknek mindamellett teljes mértékben tiszteletben kell tartaniuk a jogi lehetőségeket és az egyéb olyan biztosítékokat, amelyek korlátozhatják a nyomozati jogkör terjedelmét, valamint az egyéb szabadságokat és jogokat. E bíróság szerint olyan jogszabályi keretet kell létrehozni, amely lehetővé teszi a különböző érdekek és jogok összeegyeztetését (EJEB, 1998. október 28., Osman kontra Egyesült Királyság, CE:ECHR:1998:1028JUD002345294, 115. és 116. §; 2004. március 4., M. C. kontra Bulgária, CE:ECHR:2003:1204JUD003927298, 151. §; 2004. június 24., Von Hannover kontra Németország, CE:ECHR:2004:0624JUD005932000, 57. és 58. §; 2008. december 2., K. U. kontra Finnország ítélet, CE:ECHR:2008:1202JUD 000287202, 46., 48. és 49. §).
129 Az arányosság elvének tiszteletben tartását illetően a 2002/58 irányelv 15. cikke (1) bekezdésének első mondata úgy rendelkezik, hogy a tagállamok a közlések és az azokra vonatkozó forgalmi adatok titkosságának elve alóli eltérést biztosító intézkedést fogadhatnak el, ha az e rendelkezésben meghatározott célokra tekintettel az „egy demokratikus társadalomban szükséges, megfelelő és arányos intézkedésnek minősül”. Az irányelv (11) preambulumbekezdése ugyanakkor pontosítja, hogy az ilyen jellegű intézkedésnek a tervezett céllal „szigorúan” arányosnak kell lennie.
130 E tekintetben emlékeztetni kell arra, hogy a magánélet tiszteletben tartásához való alapvető jog védelme a Bíróság állandó ítélkezési gyakorlata szerint megköveteli, hogy a személyes adatok védelme alóli kivételek és e védelem korlátozásai a feltétlenül szükséges határokon belül maradjanak. Közérdekű célt nem lehet továbbá annak figyelembevétele nélkül megvalósítani, hogy azt össze kell egyeztetni az intézkedéssel érintett alapvető jogokkal, kiegyensúlyozottan mérlegelve az egyik oldalon a közérdekű célt, a másik oldalon pedig a szóban forgó jogokat (lásd ebben az értelemben: 2008. december 16‑i Satakunnan Markkinapörssi és Satamedia ítélet, C‑73/07, EU:C:2008:727, 56. pont; 2010. november 9‑i Volker und Markus Schecke és Eifert ítélet, C‑92/09 és C‑93/09, EU:C:2010:662, 76., 77. és 86. pont; 2014. április 8‑i Digital Rights Ireland és társai ítélet, C‑293/12 és C‑594/12, EU:C:2014:238, 52. pont; 2017. július 26‑i 1/15 [EU–Kanada PNR‑megállapodás] vélemény, EU:C:2017:592, 140. pont).
131 Közelebbről tekintve a Bíróság ítélkezési gyakorlatából az következik, hogy a tagállamok azon lehetőségét, hogy a többek között a 2002/58 irányelv 5., 6. és 9. cikkében előírt jogok és kötelezettségek korlátozását igazolják, az ilyen korlátozással járó beavatkozás súlyosságának felmérésével, valamint annak ellenőrzésével kell értékelni, hogy a korlátozás által elérni kívánt közérdekű cél jelentősége összefügg‑e a beavatkozás súlyosságával (lásd ebben az értelemben: 2018. október 2‑i Ministerio Fiscal ítélet, C‑207/16, EU:C:2018:788, 55. pont, valamint az ott hivatkozott ítélkezési gyakorlat).
132 Az arányosság követelményének való megfelelés érdekében a szabályozásnak a szóban forgó intézkedés hatályával és alkalmazásával kapcsolatban egyértelmű és pontos szabályokat kell tartalmaznia, valamint bizonyos minimumkövetelményeket kell előírnia annak érdekében, hogy a személyes adataik révén érintett személyek elegendő biztosítékkal rendelkezzenek ezen adatoknak a visszaélések veszélyeivel szembeni hatékony védelmére. E szabályozásnak a belső jogban jogilag kötelező erejűnek kell lennie, és többek között meg kell jelölnie, hogy milyen körülmények között és milyen feltételek mellett lehet az ilyen adatok kezelését előíró intézkedést megtenni, biztosítva ezáltal, hogy a beavatkozás a szigorúan szükséges mértékre korlátozódjék. Az ilyen biztosítékokkal való rendelkezés még inkább szükséges abban az esetben, ha a személyes adatokat automatizáltan kezelik, és különösen ha nagy a veszélye az adatokhoz való jogellenes hozzáférésnek. Ezek a megállapítások különösen akkor érvényesek, ha a személyes adatok e különleges kategóriájának, vagyis a különleges adatoknak a védelméről van szó (lásd ebben az értelemben: 2014. április 8‑i Digital Rights ítélet, C‑293/12 és C‑594/12, EU:C:2014:238, 54. és 55. pont; 2016. december 21‑i Tele2 ítélet, C‑203/15 és C‑698/15, EU:C:2016:970, 117. pont; 2017. július 26‑i 1/15 [EU‑Kanada PNR‑megállapodás] vélemény, EU:C:2017:592, 141. pont).
133 A személyes adatok megőrzését előíró szabályozásnak minden esetben olyan objektív szempontoknak kell megfelelnie, amelyek kapcsolatot teremtenek a megőrzendő személyes adatok és az elérni kívánt cél között (lásd ebben az értelemben: 2017. július 26‑i 1/15 [EU‑Kanada PNR‑megállapodás] vélemény, EU:C:2017:592, 191. pont, valamint az ott hivatkozott ítélkezési gyakorlat; 2019. október 3‑i A és társai ítélet, C‑70/18, EU:C:2019:823, 63. pont).
– A forgalmi és helymeghatározó adatok nemzetbiztonsági célból, megelőző jelleggel történő megőrzését előíró jogszabályi intézkedések
134 Meg kell jegyezni, hogy a kérdést előterjesztő bíróságok és az észrevételeket előterjesztő kormányok által hivatkozott, nemzetbiztonság védelmére irányuló célt a Bíróság a 2002/58 irányelvet értelmező ítéleteiben még nem vizsgálta külön.
135 E tekintetben először is meg kell állapítani, hogy az EUSZ 4. cikk (2) bekezdése deklarálja, hogy a nemzeti biztonság az egyes tagállamok kizárólagos feladata marad. Ez a feladat az állam alapvető funkcióinak és a társadalom alapvető érdekeinek a védelméhez fűződő elsődleges érdeknek felel meg, és magában foglalja az olyan tevékenységek megelőzését és elfojtását, amelyek komolyan destabilizálhatják az ország alapvető alkotmányos, politikai, gazdasági vagy társadalmi szerkezetét, és közvetlenül fenyegethetik a társadalmat, a lakosságot vagy magát az államot, mint például a terrorcselekmények.
136 Márpedig a nemzetbiztonság védelmére irányuló, az EUSZ 4. cikk (2) bekezdésével összefüggésben értelmezett célkitűzés jelentősége meghaladja a 2002/58 irányelv 15. cikkének (1) bekezdésében említett többi cél, különösen az általánosságban véve az – adott esetben súlyos – bűncselekmények elleni küzdelem, valamint a közbiztonság védelmére irányuló cél jelentőségét. Az előző pontban említettekhez hasonló veszélyek ugyanis jellegüknél és különösen súlyosságuknál fogva különböznek a közbiztonságot érintő, adott esetben súlyos feszültségek vagy zavarok felmerülésének általános veszélyétől. A Charta 52. cikkének (1) bekezdésében előírt egyéb követelmények tiszteletben tartása mellett a nemzetbiztonság védelmére irányuló céllal tehát igazolhatók az olyan intézkedések, amelyek súlyosabb beavatkozásokat jelentenek az alapvető jogokba, mint amelyek e más célokkal igazolhatók.
137 Így a jelen ítélet 135. és 136. pontjában ismertetetthez hasonló helyzetekben a 2002/58 irányelv 15. cikkének a Charta 7., 8. és 11. cikkével, valamint 52. cikkének (1) bekezdésével összefüggésben értelmezett (1) bekezdésével főszabály szerint nem ellentétes az olyan jogszabályi intézkedés, amely felhatalmazza az illetékes hatóságokat arra, hogy az elektronikus hírközlési szolgáltatások nyújtóit az elektronikus hírközlési eszközök összes felhasználójához tartozó forgalmi és helymeghatározó adatok korlátozott ideig történő megőrzésére kötelezzék, amennyiben kellően konkrét körülmények alapján megállapítható, hogy az érintett tagállamnak olyan, a jelen ítélet 135. és 136. pontjában kifejtett súlyos nemzetbiztonsági fenyegetéssel kell szembenéznie, amely valós és közvetlen, illetve előre látható. Még ha az ilyen intézkedés különbségtétel nélkül az elektronikus hírközlési eszközök valamennyi felhasználójára irányul is, és nem is kell ehhez nyilvánvaló kapcsolatot mutatniuk a jelen ítélet 133. pontjában hivatkozott ítélkezési gyakorlat értelmében a tagállam nemzetbiztonságát érintő fenyegetéssel, meg kell állapítani, hogy az ilyen fenyegetés fennállása már önmagában olyan jellegű, hogy megteremtheti ezt a kapcsolatot.
138 Az elektronikus hírközlési eszközök valamennyi felhasználójára vonatkozó adatok megelőző jellegű megőrzését előíró rendelkezésnek mindazonáltal a feltétlenül szükséges mértékű időre kell korlátozódnia. Bár nem zárható ki, hogy az elektronikus hírközlési szolgáltatások nyújtóinak adatmegőrzésre való kötelezése ilyen veszély tartós fennállása miatt meghosszabbítható, az erre kötelező egyes határozatok időtartama nem haladhatja meg a belátható időtartamot. Az ilyen adatmegőrzést továbbá szigorú korlátozásoknak és garanciáknak kell alávetni, amelyek lehetővé teszik az érintettek személyes adatainak a visszaélések veszélyeivel szembeni hatékony védelmét. Ez a megőrzés tehát nem lehet rendszerszintű.
139 Tekintettel arra, hogy az ilyen általános és különbségtétel nélküli adatmegőrzési intézkedés súlyos beavatkozást jelent a Charta 7. és 8. cikkében biztosított alapvető jogokba, biztosítani kell, hogy az ilyen intézkedés alkalmazása ténylegesen azokra a – jelen ítélet 135. és 136. pontjában említett – helyzetekre korlátozódjon, amelyekben a nemzetbiztonság súlyos fenyegetettsége áll fenn. E tekintetben alapvető fontosságú, hogy az elektronikus hírközlési szolgáltatókat ilyen adatmegőrzésre kötelező határozat bíróság, illetve kötelező erejű határozatot hozó, független közigazgatási szerv általi, tényleges ellenőrzés tárgya lehessen, amely annak vizsgálatára irányul, hogy e helyzetek valamelyike fennáll‑e, valamint hogy tiszteletben tartják‑e az előírandó feltételeket és garanciákat.
– A forgalmi és helymeghatározó adatoknak a bűnözés elleni küzdelem és a közbiztonság védelme céljából történő, megelőző jellegű megőrzését előíró jogszabályi intézkedések
140 A bűncselekmények megelőzésére, kivizsgálására, felderítésére és üldözésére irányuló célkitűzést illetően az arányosság elvének megfelelően kizárólag a súlyos bűncselekmények elleni küzdelem és a közbiztonságot érintő súlyos fenyegetettség megelőzése igazolhatja a Charta 7. és 8. cikkében biztosított alapvető jogokba történő olyan súlyos beavatkozásokat, mint amelyek a forgalmi és helymeghatározó adatok megőrzésével járnak. Következésképpen általánosságban a bűncselekmények megelőzésére, kivizsgálására, felderítésére és üldözésére irányuló célkitűzéssel az említett alapvető jogokba történő beavatkozások közül kizárólag a nem súlyos beavatkozások igazolhatók (lásd ebben az értelemben: 2016. december 21‑i Tele2 ítélet, C‑203/15 és C‑698/15, EU:C:2016:970, 102. pont; 2018. október 2‑i Ministerio Fiscal ítélet, C‑207/16, EU:C:2018:788, 56. és 57. pont; 2017. július 26‑i 1/15 [EU‑Kanada PNR‑megállapodás] vélemény, EU:C:2017:592, 149. pont).
141 Az olyan nemzeti szabályozás, amely a súlyos bűncselekmények elleni küzdelem érdekében a forgalmi és helymeghatározó adatok általános és különbségtétel nélküli megőrzését írja elő, túllépi a feltétlenül szükséges mértéket, továbbá demokratikus társadalmakban nem tekinthető indokoltnak, ahogyan ezt a 2002/58 irányelv 15. cikkének a Charta 7., 8. és 11. cikkével, valamint 52. cikkének (1) bekezdésével összefüggésben értelmezett (1) bekezdése megköveteli (lásd ebben az értelemben: 2016. december 21‑i Tele2 ítélet, C‑203/15 és C‑698/15, EU:C:2016:970, 107. pont).
142 Figyelembe véve ugyanis a forgalmi és helymeghatározó adatokból származtatható információk érzékeny jellegét, ezen információk titkossága a magánélet tiszteletben tartásához való jog szempontjából alapvetőnek tekinthető. Így tehát figyelembe véve egyrészt a Charta 7. és 11. cikkében szereplő, a jelen ítélet 118. pontjában említett alapvető jogok gyakorlását érintő, ezen adatok megőrzésével kiváltott visszatartó hatásokat, másrészt pedig az adatmegőrzéssel járó beavatkozás súlyosságát, demokratikus társadalmakban kiemelt jelentősége van annak, hogy az ilyen adatmegőrzés – amint azt a 2002/58 irányelv által létrehozott rendszer előírja – kivételt, ne pedig szabályt képezzen, és hogy ezek az adatok ne képezhessék rendszerszintű és folyamatos megőrzés tárgyát. Ez a következtetés a súlyos bűncselekmények elleni küzdelemre és a közbiztonságot érintő súlyos fenyegetettség megelőzésére irányuló célokra, valamint az azoknak tulajdonítandó fontosságra is vonatkozik.
143 A Bíróság továbbá hangsúlyozta, hogy a forgalmi és helymeghatározó adatok általános és különbségtétel nélküli megőrzését előíró szabályozás a lakosság szinte egészének elektronikus kommunikációjára kiterjed, anélkül hogy az elérni kívánt cél alapján bármilyen különbségtételt, korlátozást vagy kivételt alkalmazna. Az ilyen szabályozás – a jelen ítélet 133. pontjában ismertetett követelménnyel ellentétben – általánosságban az összes, elektronikus hírközlési szolgáltatást használó személyre vonatkozik, anélkül hogy e személyek – akár csak közvetve is – olyan helyzetben lennének, amely büntetőeljárás lefolytatására adna okot. Olyan személyekre is alkalmazandó tehát, akik tekintetében nem áll fenn olyan valószínűsítő körülmény, amely alapján feltételezhető lenne, hogy magatartásuk akár közvetett, akár távoli kapcsolatban állhat a súlyos bűncselekmények elleni küzdelem e céljával, és hogy konkrétan kapcsolat állna fenn a megőrizendő adatok és a közbiztonságot érintő fenyegetettség között (lásd ebben az értelemben: 2014. április 8‑i Digital Rights ítélet, C‑293/12 és C‑594/12, EU:C:2014:238, 57. és 58. pont; 2016. december 21‑i Tele2 ítélet, C‑203/15 és C‑698/15, EU:C:2016:970, 105. pont).
144 Az ilyen szabályozás – amint ezt a Bíróság korábban már kimondta – nem korlátozódik különösen olyan meghatározott időszakkal és/vagy földrajzi területtel és/vagy adott személyi körrel kapcsolatos adatok megőrzésére, amelyek valamilyen módon súlyos bűncselekménnyel hozhatók kapcsolatba, vagy olyan személyekre, akik egyéb okokból adataik megőrzése révén hozzájárulhatnak a súlyos bűncselekmények elleni küzdelemhez (lásd ebben az értelemben: 2014. április 8‑i Digital Rights ítélet, C‑293/12 és C‑594/12, EU:C:2014:238, 59. pont; 2016. december 21‑i Tele2 ítélet, C‑203/15 és C‑698/15, EU:C:2016:970, 106. pont).
145 Márpedig még a tagállamoknak a Charta – esettől függően – 3., 4. és 7. cikkéből eredő, a jelen ítélet 126. és 128. pontjában megállapítottak szerint a bűncselekmények elleni hatékony küzdelmet lehetővé tevő szabályok bevezetésére vonatkozó pozitív kötelezettségei sem igazolhatnak olyan súlyos beavatkozásokat, mint amilyennek a forgalmi és helymeghatározó adatok megőrzését előíró szabályozás minősül a Charta 7. és 8. cikkében szereplő alapvető jogok tekintetében, amely szabályozás a lakosság szinte egészére kiterjed anélkül, hogy az érintett személyek bármilyen – akár közvetett – kapcsolatot mutatnának az elérni kívánt céllal.
146 A jelen ítélet 142–144. pontjában tett megállapításoknak megfelelően, a szóban forgó jogok és érdekek szükséges összehangolására figyelemmel ezzel szemben a súlyos bűncselekmények elleni küzdelemre, a közbiztonság súlyos veszélyeztetésének megelőzésére és a fortiori a nemzetbiztonság védelmére irányuló célok – jelentőségükre és az előző pontban ismertetett, elsősorban a Cour constitutionnelle (alkotmánybíróság) által hivatkozott pozitív kötelezettségekre tekintettel – igazolhatják a forgalmi és helymeghatározó adatok célzott megőrzésével együtt járó, különösen súlyos beavatkozást.
147 Ezért – amint ezt a Bíróság korábban már kimondta – nem ellentétes 2002/58 irányelv 15. cikkének a Charta 7., 8. és 11. cikkével, valamint 52. cikkének (1) bekezdésével összefüggésben értelmezett (1) bekezdésével, ha egy tagállam olyan szabályozást fogad el, amely a súlyos bűncselekmények elleni küzdelem, a közbiztonságot érintő súlyos fenyegetettség megelőzése, valamint a nemzetbiztonság védelme érdekében megelőző jelleggel lehetővé teszi a forgalmi és helymeghatározó adatok célzott megőrzését, feltéve hogy az adatmegőrzés a megőrzendő adatok kategóriái, az érintett hírközlési eszközök, az érintett személyek és a megőrzés időtartama tekintetében a feltétlenül szükséges mértékre korlátozódik (lásd ebben az értelemben: 2016. december 21‑i Tele2 ítélet, C‑203/15 és C‑698/15, EU:C:2016:970, 108. pont).
148 Az ilyen adatmegőrzési intézkedés hatályára vonatkozó korlátozás többek között az érintett személyek kategóriái alapján állapítható meg, mivel a 2002/58 irányelv 15. cikkének (1) bekezdésével nem ellentétes az olyan objektív körülményeken alapuló szabályozás, amely azokat a személyeket célozza meg, akik a forgalmi és helymeghatározó adataik alapján – legalábbis közvetett módon – súlyos bűncselekményekkel hozhatók összefüggésbe, és ezzel valamilyen módon elősegíti a súlyos bűncselekmények elleni küzdelmet vagy a közbiztonságot érintő súlyos veszély, illetve a nemzetbiztonságot érintő veszély megelőzését (lásd ebben az értelemben: 2016. december 21‑i Tele2 ítélet, C‑203/15 és C‑698/15, EU:C:2016:970, 111. pont).
149 E tekintetben pontosítani kell, hogy az így érintett személyek körébe tartozhatnak többek között azok, akiket az alkalmazandó nemzeti eljárások keretében objektív körülmények alapján korábban olyan személyként azonosítottak, akik veszélyt jelentenek az érintett tagállam köz‑ vagy nemzetbiztonságára.
150 A forgalmi és helymeghatározó adatok megőrzését előíró intézkedés hatályának korlátozása földrajzi kritériumon is alapulhat abban az esetben, ha az illetékes nemzeti hatóságok objektív és hátrányos megkülönböztetéstől mentes tényezők alapján úgy ítélik meg, hogy bizonyos földrajzi területen vagy területeken súlyos bűncselekmények előkészületének vagy elkövetésének magas kockázata áll fenn (lásd ebben az értelemben: 2016. december 21‑i Tele2 ítélet, C‑203/15 és C‑698/15, EU:C:2016:970, 111. pont). Ilyen területek lehetnek többek között a súlyos bűncselekmények magas számával jellemzett helyek, a súlyos bűncselekmények elkövetésének különösen kitett területek, például a nagy tömegek által rendszeresen látogatott helyek és infrastruktúrák, illetve az olyan stratégiai helyek, mint a repülőterek, pályaudvarok vagy a fizetőkapuk környéke.
151 Ahhoz, hogy a jelen ítélet 147–150. pontjában ismertetett, célzott adatmegőrzésre irányuló intézkedésekkel járó beavatkozás megfeleljen az arányosság elvének, az intézkedések időtartama nem haladhatja meg az elérni kívánt célra, valamint az azokat igazoló körülményekre tekintettel feltétlenül szükséges időtartamot, nem érintve az ilyen adatmegőrzés folytatólagos szükségessége miatti meghosszabbítás lehetőségét.
– Az IP‑címeknek és a személyazonosságra vonatkozó adatoknak a bűnözés elleni küzdelem és a közbiztonság védelme céljából történő, megelőző jellegű megőrzését előíró jogszabályi intézkedések
152 Meg kell állapítani, hogy az IP‑címek, bár a forgalmi adatok részét képezik, anélkül jönnek létre, hogy meghatározott közléshez kapcsolódnának, és elsősorban arra szolgálnak, hogy az elektronikus hírközlési szolgáltatások nyújtói segítségével azonosítsák azt a természetes személyt, aki olyan végberendezés tulajdonosa, amelyről internetes hírközlés megy végbe. Így az elektronikus levelezés és az internetes telefonálás területén, amennyiben csak a közlés forrásának IP‑címeit őrizték meg, a közlés címzettjének IP‑címeit pedig nem, önmagukban az IP‑címek nem tartalmaznak semmiféle információt azon harmadik személyekkel kapcsolatban, akik a közlés forrásának személyével kapcsolatban álltak. Ez az adatkategória tehát a többi forgalmi adatnál kevésbé érzékeny.
153 Mivel azonban az IP‑címek többek között az internethasználó böngészési útvonalának, és ebből következően online tevékenységének kimerítő nyomonkövetésére is használhatók, ezek az adatok lehetővé teszik az internethasználó részletes profiljának megállapítását. Így az említett IP‑címeknek az ilyen nyomonkövetéshez szükséges megőrzése és elemzése az internethasználónak a Charta 7. és 8. cikkében rögzített alapvető jogaiba történő olyan súlyos beavatkozásnak minősül, amely a jelen ítélet 118. pontjában említett visszatartó hatással járhat.
154 Márpedig a szóban forgó jogoknak és érdekeknek a jelen ítélet 130. pontjában hivatkozott ítélkezési gyakorlat által megkövetelt szükségszerű összeegyeztetése szempontjából figyelembe kell venni azt a tényt, hogy interneten elkövetett bűncselekmény esetén az IP‑cím lehet az egyetlen olyan nyomozati eszköz, amely lehetővé teszi annak a személynek az azonosítását, akihez az IP‑címet a jogsértés elkövetésének időpontjában rendelték. Ehhez hozzáadódik, hogy az IP‑címeknek az elektronikus hírközlési szolgáltatók általi, ezen adatok kiosztásának időtartamán túli megőrzése főszabály szerint nem szükséges a szóban forgó szolgáltatások számlázásához, így az interneten elkövetett bűncselekmények felderítése – amint azt a Bíróság elé terjesztett észrevételeikben több kormány is jelezte – a 2002/58 irányelv 15. cikkének (1) bekezdése szerinti jogszabályi intézkedés alkalmazása nélkül lehetetlennek bizonyulhat. Ez történhet e kormányok meglátása szerint a különösen súlyos, gyermekpornográfiával kapcsolatos bűncselekmények, így például a gyermekek szexuális bántalmazása, szexuális kizsákmányolása és a gyermekpornográfia elleni küzdelemről, valamint a 2004/68/IB tanácsi kerethatározat felváltásáról szóló, 2011. december 13‑i 2011/93/EU európai parlamenti és a tanácsi irányelv (HL 2011. L 335., 1. o.; helyesbítés: HL 2012. L 18., 7. o.) 2. cikkének c) pontja értelmében vett gyermekpornográfia megszerzésére, terjesztésére, továbbítására vagy internetes hozzáférhetővé tételére vonatkozó tényállások esetében.
155 E körülmények között – noha igaz, hogy az azt előíró jogszabályi intézkedés, hogy minden olyan természetes személy IP‑címét meg kell őrizni, aki internet‑hozzáférés biztosítására alkalmas végberendezés tulajdonosa, olyan személyekre is vonatkozik, akik nem mutatnak nyilvánvaló kapcsolatot a jelen ítélet 133. pontjában hivatkozott ítélkezési gyakorlat értelmében az elérni kívánt célokkal, és az internethasználók, a jelen ítélet 109. pontjában megállapítottaknak megfelelően, a Charta 7. és 8. cikke alapján joggal számíthatnak arra, hogy főszabály szerint a személyazonosságukat nem fedik fel – a kizárólag a csatlakozási forráshoz hozzárendelt IP‑címek általános és különbségtétel nélküli megőrzését előíró nemzeti szabályozás főszabály szerint nem ellentétes a 2002/58 irányelv 15. cikkének a Charta 7., 8. és 11. cikkével, valamint 52. cikkének (1) bekezdésével összefüggésben értelmezett (1) bekezdésével, feltéve hogy erre a lehetőségre az adatok felhasználását szabályozó anyagi jogi és eljárásjogi feltételek szigorú tiszteletben tartása mellett kerül sor.
156 Tekintettel arra, hogy ez az adatmegőrzés súlyos beavatkozást jelent a Charta 7. és 8. cikkében biztosított alapvető jogokba, kizárólag a súlyos bűncselekmények elleni küzdelemmel és a közbiztonságot érintő súlyos fenyegetettség megelőzésével lehet – a nemzetbiztonság védelméhez hasonlóan – igazolni ezt a beavatkozást. A megőrzés időtartama továbbá nem haladhatja meg az elérni kívánt cél tekintetében feltétlenül szükséges időtartamot. Végül az ilyen jellegű intézkedésnek az érintett személyek által az interneten keresztül bonyolított kommunikáció és tevékenység tekintetében szigorú feltételeket és garanciákat kell előírnia az adatok – többek között nyomonkövetéssel történő – felhasználását illetően.
157 Végül az elektronikus hírközlési eszközök felhasználóinak személyazonosságára vonatkozó adatok önmagukban véve nem teszik lehetővé sem a lebonyolított közlések napjának, időpontjának, időtartamának és címzettjeinek, sem pedig annak a megismerését, hogy ezekre a közlésekre hol, illetve milyen gyakran került sor bizonyos személyekkel egy adott időszakban, és ezért a felhasználók elérhetőségein, például a címükön kívül nem szolgálnak semmilyen információval az adott közlésekkel kapcsolatban, következésképpen a magánéletükkel kapcsolatban sem. Az ezen adatok megőrzésével járó beavatkozás főszabály szerint tehát nem minősíthető súlyosnak (lásd ebben az értelemben: 2018. október 2‑i Ministerio Fiscal ítélet, C‑207/16, EU:C:2018:788, 59. és 60. pont).
158 Ebből következik, hogy a jelen ítélet 140. pontjában kifejtetteknek megfelelően azok a jogszabályi intézkedések, amelyek ezen adatoknak kizárólag az érintett felhasználó azonosítása céljából történő kezelésére – különösen az adatok tárolására és az adatokhoz való hozzáférésre – vonatkoznak oly módon, hogy az említett adatok nem kapcsolódnak a lezajlott közlésekre vonatkozó információkhoz, igazolhatók az általánosságban a bűncselekmények megelőzésére, kivizsgálására, felderítésére és üldözésére irányuló, a 2002/58 irányelv 15. cikke (1) bekezdésének első mondatában hivatkozott célkitűzéssel (lásd ebben az értelemben: 2018. október 2‑i Ministerio Fiscal ítélet, C‑207/16, EU:C:2018:788, 62. pont).
159 E körülmények fennállása mellett, a szóban forgó jogok és érdekek szükségszerű összeegyeztetésére és a jelen ítélet 131. és 158. pontjában szereplő indokokra tekintettel meg kell állapítani, hogy még az elektronikus hírközlési eszközök összes felhasználója és az elérni kívánt célok közötti kapcsolat hiányában sem ellentétes a 2002/58 irányelv 15. cikkének a Charta 7., 8. és 11. cikkével, valamint 52. cikkének (1) bekezdésével összefüggésben értelmezett (1) bekezdésével az a jogszabályi intézkedés, amely külön határidő megjelölése nélkül arra kötelezi az elektronikus hírközlési szolgáltatások nyújtóit, hogy a bűncselekmények megelőzése, kivizsgálása, felderítése és üldözése, valamint a nemzetbiztonság védelme érdekében őrizzék meg az elektronikus hírközlési eszközök valamennyi felhasználójának személyazonosságára vonatkozó adatokat, az adatmegőrzésnek pedig nem feltétele, hogy a bűncselekmények, illetve a nemzetbiztonság elleni fenyegetések vagy támadások súlyosak legyenek.
– A forgalmi és helymeghatározó adatoknak a súlyos bűncselekmények elleni küzdelem céljából történő, gyors megőrzését előíró jogszabályi intézkedések
160 Ami a 2002/58 irányelv 5., 6. és 9. cikke alapján az elektronikus hírközlési szolgáltatások nyújtói által kezelt és tárolt forgalmi és helymeghatározó adatokat, illetve az ezen irányelv 15. cikkének (1) bekezdése alapján hozott, a jelen ítélet 134–159. pontjában ismertetett jogszabályi intézkedéseket illeti, meg kell állapítani, hogy főszabály szerint ezeket az adatokat az irányelvet átültető nemzeti rendelkezéseknek megfelelően az adatok kezelésére és a tárolására vonatkozóan jogszabályban meghatározott időtartam leteltét követően az esettől függően törölni kell, vagy anonimmé kell tenni.
161 Mindazonáltal ezen adatkezelés és ‑tárolás során előfordulhatnak olyan helyzetek, amelyekben az említett adatokat súlyos bűncselekmények vagy a nemzetbiztonságot ért támadások felderítése céljából ezen határidőkön túl is meg kell őrizni, akár abban az esetben, amikor ezek a bűncselekmények vagy támadások már megállapítást nyertek, akár abban, amikor ezek fennállása a releváns körülmények összességének objektív vizsgálata alapján észszerűen feltételezhető.
162 E tekintetben meg kell állapítani, hogy az Európa Tanács számítástechnikai bűnözésről szóló, 2001. november 23‑i egyezménye (az Európa Tanács Szerződéseinek Tára, 185. szám), amelyet 27 tagállam írt alá és közülük 25 tagállam ratifikált, és amelynek célja az informatikai hálózatokon keresztül elkövetett bűncselekmények elleni küzdelem megkönnyítése, 14. cikkében úgy rendelkezik, hogy a szerződő felek meghatározott bűnügyi nyomozás vagy büntetőeljárás érdekében bizonyos, a már tárolt forgalmi adatokkal kapcsolatos intézkedéseket fogadnak el. Ezen egyezmény 16. cikkének (1) bekezdése különösen úgy rendelkezik, hogy a szerződő felek olyan jogalkotási intézkedéseket fogadnak el, amelyek ahhoz szükségesek, hogy lehetővé tegyék az illetékes hatóságaik számára a számítástechnikai rendszerben tárolt forgalmi adatok elrendelését vagy más módon történő kikényszerítését, különösen ha alappal feltételezhető, hogy az érintett adatokat módosulás vagy megsemmisülés veszélye fenyegeti.
163 A jelen ítélet 161. pontjában foglalthoz hasonló helyzetben a tagállamok a szóban forgó jogoknak és érdekeknek a jelen ítélet 130. pontjában említett szükségszerű összeegyeztetésére tekintettel a 2002/58 irányelv 15. cikkének (1) bekezdése alapján elfogadott jogszabályban előírhatják annak lehetőségét, hogy a hatáskörrel rendelkező hatóság hatékony bírósági felülvizsgálatnak alárendelt határozata útján az elektronikus hírközlési szolgáltatókat a rendelkezésükre álló forgalmi és helymeghatározó adatok korlátozott ideig történő, gyors megőrzésére kötelezik.
164 Mivel az ilyen gyors megőrzés célja már nem felel meg azoknak a céloknak, amelyek érdekében az adatokat eredetileg gyűjtötték és megőrizték, és mivel a Charta 8. cikkének (2) bekezdése értelmében minden adatkezelésnek meghatározott célt kell szolgálnia, a tagállamoknak jogszabályban meg kell jelölniük azt a célt, amelyre tekintettel az adatok gyors megőrzésére sor kerülhet. Tekintettel arra, hogy az ilyen adatmegőrzés súlyos beavatkozást jelent a Charta 7. és 8. cikkében biztosított alapvető jogokba, kizárólag a súlyos bűncselekmények elleni küzdelemmel és a fortiori a nemzetbiztonság védelmével lehet igazolni ezt a beavatkozást. Továbbá annak biztosításához, hogy az ilyen típusú intézkedéssel járó beavatkozás a feltétlenül szükséges mértékre korlátozódjon, egyrészt az szükséges, hogy a megőrzési kötelezettség kizárólag azokra a forgalmi és helymeghatározó adatokra vonatkozzon, amelyek segítséget nyújthatnak a súlyos bűncselekmény vagy a nemzetbiztonságot ért támadás felderítéséhez. Másrészt az adatmegőrzés időtartamát a feltétlenül szükséges mértékre kell korlátozni, ez azonban meghosszabbítható, ha a körülmények és az említett intézkedés által elérni kívánt cél indokolja.
165 E tekintetben pontosítani kell, hogy az ilyen gyors megőrzés nem korlátozható a bűncselekmény vagy a nemzetbiztonság elleni támadás elkövetésével konkrétan gyanúsított személyek adataira. A 2002/58 irányelv 15. cikkének a Charta 7., 8. és 11. cikkével, valamint 52. cikkének (1) bekezdésével összefüggésben értelmezett (1) bekezdése által kialakított keretek tiszteletben tartása mellett, valamint a jelen ítélet 133. pontjában szereplő megfontolásokra figyelemmel az ilyen intézkedés – a jogalkotó döntése alapján, a szigorúan szükséges mértéket tiszteletben tartva – kiterjeszthető a súlyos bűncselekmény vagy nemzetbiztonság elleni támadás elkövetésével vagy előkészületével gyanúsított személyeken kívüli más személyek forgalmi és helymeghatározó adataira, amennyiben ezek az adatok objektív és hátrányos megkülönböztetéstől mentes tényezők alapján segítséget nyújthatnak a súlyos bűncselekmények vagy a nemzetbiztonságot ért támadások felderítéséhez, például a sértettre, annak társas vagy szakmai kapcsolataira, vagy akár meghatározott földrajzi területek, például a szóban forgó bűncselekmény vagy nemzetbiztonságot ért támadás elkövetésének vagy előkészületének helyszínére vonatkozó adatok révén. Ezenkívül az illetékes hatóságoknak az ily módon megőrzött adatokhoz való hozzáférésének a 2002/58 irányelvet értelmező ítélkezési gyakorlatból eredő feltételek tiszteletben tartásával kell megvalósulnia (lásd ebben az értelemben: 2016. december 21‑i Tele2 ítélet, C‑203/15 és C‑698/15, EU:C:2016:970, 118–121. pont).
166 Hozzá kell tenni továbbá, hogy – amint az különösen a jelen ítélet 115. és 133. pontjából is kitűnik – a szolgáltatók által a 2002/58 irányelv 15. cikkének (1) bekezdése alapján hozott intézkedés alkalmazásával megőrzött forgalmi és helymeghatározó adatokhoz való hozzáférés főszabály szerint csak azzal a közérdekű céllal igazolható, amelynek érdekében az adatmegőrzést előírták a szolgáltatókkal szemben. Ebből különösen az következik, hogy a közönséges bűncselekmények üldözése és szankcionálása céljából az ilyen adatokhoz semmiképpen nem adható hozzáférés abban az esetben, ha az adatok megőrzését a súlyos bűncselekmények elleni küzdelemmel, vagy a fortiori a nemzetbiztonság védelmével indokolták. Ezzel szemben a jelen ítélet 131. pontjában kifejtett arányosság elvének megfelelően a súlyos bűncselekmények elleni küzdelemre tekintettel megőrzött adatokhoz való hozzáférés – amennyiben tiszteletben tartják a hozzáférésre vonatkozó, előző pontban említett anyagi jogi és eljárásjogi feltételeket – igazolható a nemzetbiztonság védelmére irányuló céllal.
167 E tekintetben a tagállamok nemzeti jogszabályaikban előírhatják, hogy a forgalmi és helymeghatározó adatokhoz való hozzáférésre – ugyanezen anyagi jogi és eljárásjogi feltételek tiszteletben tartása mellett – sor kerülhet a súlyos bűncselekmények elleni küzdelem vagy a nemzetbiztonság védelme céljából, amennyiben az említett adatokat a szolgáltató a 2002/58 irányelv 5., 6. és 9. cikkének, illetve 15. cikke (1) bekezdésének megfelelően őrizi meg.
168 A fenti megfontolások összességére tekintettel a C‑511/18. és C‑512/18. sz. ügyben előterjesztett első kérdésre, valamint a C‑520/18. sz. ügyben előterjesztett első és második kérdésre azt a választ kell adni, hogy a Charta 7., 8. és 11. cikkével, valamint 52. cikkének (1) bekezdésével összefüggésben a 2002/58 irányelv 15. cikkének (1) bekezdését úgy kell értelmezni, hogy azzal ellentétesek az olyan jogszabályi intézkedések, amelyek a 15. cikk (1) bekezdésében foglalt célokból a forgalmi és a helymeghatározó adatok általános és különbségtétel nélküli, megelőző jelleggel történő megőrzését írják elő. Ezzel szemben az említett 15. cikknek a Charta 7., 8. és 11. cikkével, valamint 52. cikkének (1) bekezdésével összefüggésben értelmezett (1) bekezdésével nem ellentétesek az olyan jogszabályi intézkedések, amelyek
– lehetővé teszik, hogy a nemzetbiztonság védelme érdekében az elektronikus hírközlési szolgáltatások nyújtóit a forgalmi és helymeghatározó adatok általános és különbségtétel nélküli megőrzésére kötelezzék olyan helyzetekben, amikor az érintett tagállamnak olyan súlyos nemzetbiztonsági fenyegetéssel kell szembenéznie, amely valósnak és közvetlennek, illetve előre láthatónak bizonyul, és az erre kötelező határozat bíróság, illetve kötelező erejű határozatot hozó, független közigazgatási szerv általi, tényleges ellenőrzésnek vethető alá, amely annak vizsgálatára irányul, hogy e helyzetek valamelyike fennáll‑e, valamint hogy tiszteletben tartják‑e az előírandó feltételeket és garanciákat, az említett kötelezés időtartamát pedig a feltétlenül szükséges mértékre kell korlátozni, ez azonban a fenyegetettség tartós fennállása esetén meghosszabbítható;
– a nemzetbiztonság védelme, a súlyos bűncselekmények elleni küzdelem és a közbiztonságot érintő súlyos fenyegetettség megelőzése érdekében a forgalmi és helymeghatározó adatok célzott megőrzését írják elő, amelyet objektív és hátrányos megkülönböztetéstől mentes tényezők alapján, az érintett személyek kategóriái szerint vagy földrajzi kritérium segítségével, a feltétlenül szükséges mértékű, de meghosszabbítható időtartamra korlátozva határoznak meg;
– a nemzetbiztonság védelme, a súlyos bűncselekmények elleni küzdelem és a közbiztonságot érintő súlyos fenyegetettség megelőzése érdekében a csatlakozási forráshoz hozzárendelt IP‑címek általános és különbségtétel nélküli, a feltétlenül szükséges mértékre korlátozott időtartamú megőrzését írják elő;
– a nemzetbiztonság védelme, a bűnözés elleni küzdelem és a közbiztonság védelme érdekében az elektronikus hírközlési eszközök felhasználóinak személyazonosságára vonatkozó adatok általános és különbségtétel nélküli megőrzését írják elő, és
– lehetővé teszik, hogy a súlyos bűncselekmények elleni küzdelem és a fortiori a nemzetbiztonság védelme érdekében az elektronikus hírközlési szolgáltatások nyújtóit a hatáskörrel rendelkező hatóság hatékony bírósági felülvizsgálat alá tartozó határozatával a rendelkezésükre álló forgalmi és helymeghatározó adatok korlátozott ideig történő, gyors megőrzésére kötelezzék,
amennyiben ezek az intézkedések egyértelmű és pontos szabályok révén biztosítják, hogy a szóban forgó adatok megőrzésére az erre vonatkozó anyagi jogi és eljárásjogi feltételek betartása mellett kerül sor, és hogy az érintett személyeket a visszaélések veszélyével szemben tényleges biztosítékok illetik meg.
A C‑511/18. sz. ügyben előterjesztett második és harmadik kérdésről
169 A C‑511/18. sz. ügyben előterjesztett második és harmadik kérdésével az előterjesztő bíróság lényegében arra vár választ, hogy a 2002/58 irányelv 15. cikkének (1) bekezdését a Charta 7., 8. és 11. cikkével, valamint 52. cikkének (1) bekezdésével összefüggésben úgy kell‑e értelmezni, hogy azzal ellentétes az olyan nemzeti szabályozás, amely az elektronikus hírközlési szolgáltatások nyújtóit arra kötelezi, hogy a hálózataikon egyrészt a forgalmi és helymeghatározó adatok automatizált elemzését és valós idejű gyűjtését, másrészt a használt végberendezések helymeghatározására vonatkozó műszaki adatok valós idejű gyűjtését lehetővé tévő intézkedéseket hajtsanak végre, de nem rendelkezik az érintett személyek ezen adatkezeléssel és adatgyűjtéssel kapcsolatos tájékoztatásáról.
170 A kérdést előterjesztő bíróság ismerteti, hogy a CSI L. 851‑2‑L. 851‑4. cikkében előírt információgyűjtési módszerek között nem szerepel az elektronikus hírközlési szolgáltatások nyújtói tekintetében kifejezetten a forgalmi és helymeghatározó adatok megőrzésére vonatkozó követelmény. Konkrétan a CSI L. 851‑3. cikkében említett automatizált elemzéssel kapcsolatban az előterjesztő bíróság megállapítja, hogy ez az adatkezelés arra irányul, hogy az e célból meghatározott kritériumok alapján felderítse az esetlegesen terrorfenyegetésre utaló csatlakozásokat. A CSI L. 851‑2. cikke szerinti valós idejű adatgyűjtést illetően az említett bíróság megállapítja, hogy az csak olyan személyt vagy személyeket érint, akiket korábban terrorfenyegetéssel kapcsolatba hozható személyként azonosítottak. Ugyanezen bíróság szerint ezt a két módszert csak a terrorizmus megelőzése érdekében lehet alkalmazni, és azok a CSI L. 851‑1. és R. 851‑5. cikkében foglalt adatokra vonatkoznak.
171 Elöljáróban pontosítani kell, hogy az a körülmény, hogy a CSI L. 851‑3. cikke szerint az ott előírt automatizált elemzés önmagában nem teszi lehetővé azon felhasználók azonosítását, akiknek adataira az elemzés irányul, nem képezi akadályát annak, hogy az ilyen adatok „személyes adatnak” minősüljenek. Mivel ugyanis az ugyanezen rendelkezés IV. szakaszában előírt eljárás egy későbbi szakaszban lehetővé teszi az érintett személy vagy személyek olyan adatokkal történő azonosítását, amelyek automatizált elemzése kimutatta, hogy terrorista fenyegetés fennállását támaszthatják alá, minden olyan személy, akinek adatai az automatikus elemzés tárgyát képezik, ezen adatok alapján továbbra is azonosítható. Márpedig a személyes adatoknak a 2016/679 rendelet 4. cikkének 1. pontjában szereplő meghatározása szerint ilyen adatoknak minősülnek többek között az azonosítható személyre vonatkozó információk.
A forgalmi és a helymeghatározó adatok automatizált elemzéséről
172 A CSI L. 851‑3. cikkében foglaltak szerint az ott előírt automatizált elemzés lényegében az elektronikus hírközlési szolgáltatók által megőrzött összes forgalmi és helymeghatározó adat olyan szűrésének felel meg, amelyet ez utóbbiak az illetékes nemzeti hatóságok kérésére, az azok által meghatározott paraméterek alapján végeznek el. Ebből következően az elektronikus hírközlési eszközök felhasználóinak valamennyi adatát meg kell vizsgálni, hogy megfelelnek‑e ezeknek a paramétereknek. Az ilyen automatizált elemzést következésképpen úgy kell tekinteni, mint amely az érintett elektronikus hírközlési szolgáltatók számára azzal jár, hogy az illetékes hatóság nevében a 2016/679 rendelet 4. cikkének 2. pontja értelmében vett, automatizált módon végzett felhasználás formájában olyan általános és különbségtétel nélküli adatkezelést végeznek, amely az elektronikus hírközlési eszközök valamennyi felhasználójának valamennyi forgalmi és helymeghatározó adatára kiterjed. Ez az adatkezelés független az automatizált elemzés alapján azonosított személyekre vonatkozó adatok ezt követően végzett gyűjtésétől, amely a CSI L. 851‑3. cikkének IV. szakasza alapján engedélyezett.
173 Márpedig az olyan nemzeti szabályozás, amely lehetővé teszi a forgalmi és helymeghatározó adatok ilyen automatizált elemzését, eltér a 2002/58 irányelv 5. cikkében előírt azon elvi kötelezettségtől, amely szerint biztosítani kell az elektronikus közlések és az azokra vonatkozó adatok titkosságát. Az ilyen szabályozás – ezen adatok későbbi felhasználásától függetlenül – a Charta 7. és 8. cikkében biztosított alapvető jogokba történő beavatkozást is megvalósít. Végül az említett szabályozás a jelen ítélet 118. pontjában hivatkozott ítélkezési gyakorlatnak megfelelően visszatartó hatást gyakorolhat a Charta 11. cikkében biztosított véleménynyilvánítási szabadság gyakorlására.
174 Ezenkívül a forgalmi és helymeghatározó adatok olyan automatizált elemzéséből eredő beavatkozás, mint amelyről az alapügyben szó van, különösen súlyosnak bizonyul, mivel általánosan és különbségtétel nélkül vonatkozik az elektronikus hírközlési eszközöket használó személyek adataira. Ez a megállapítás annál is inkább érvényes, mivel – amint az az alapügyben szereplő nemzeti szabályozásból kitűnik – az automatizált elemzés tárgyát képező adatok alapján kideríthető, milyen online információkat tekintettek meg. Ráadásul az ilyen automatizált elemzést az elektronikus hírközlési eszközöket használó valamennyi személyre átfogóan kell alkalmazni, következésképpen azokra is, akik tekintetében semmilyen jel nem utal arra, hogy magatartásuk bármilyen – akár közvetett vagy távoli – kapcsolatban állhat terrorista tevékenységekkel.
175 Az ilyen beavatkozás igazolását illetően pontosítani kell, hogy a Charta 52. cikkének (1) bekezdésében előírt azon követelmény, amely szerint az alapvető jogok gyakorlása csak törvény által korlátozható, magában foglalja azt is, hogy a beavatkozást lehetővé tevő jogalapnak magának kell meghatároznia az érintett jog gyakorlásával kapcsolatos korlátozás mértékét (lásd ebben az értelemben: 2020. július 16‑i Facebook Ireland és Schrems ítélet, C‑311/18, EU:C:2020:559, 175. pont, valamint az ott hivatkozott ítélkezési gyakorlat).
176 Ezenkívül a jelen ítélet 130. és 131. pontjában hivatkozott arányosság követelményének való megfelelés érdekében, amely szerint a személyes adatok védelme alóli kivételeknek és korlátozásoknak a feltétlenül szükséges mértéken belül kell maradniuk, az illetékes hatóságoknak a megőrzött forgalmi és helymeghatározó adatokhoz való hozzáférését szabályozó nemzeti szabályozásnak tiszteletben kell tartania a jelen ítélet 132. pontjában hivatkozott ítélkezési gyakorlatból eredő követelményeket. Az ilyen szabályozásnak nemcsak azt kell többek között előírnia, hogy a hatóságok adatokhoz való hozzáférésének meg kell felelnie a szabályozás által elérni kívánt célnak, hanem a felhasználásra vonatkozó anyagi jogi és eljárásjogi feltételekről is rendelkeznie kell (lásd analógia útján: 2017. július 26‑i 1/15 [EU–Kanada PNR‑megállapodás] vélemény, EU:C:2017:592, 192. pont, valamint az ott hivatkozott ítélkezési gyakorlat).
177 E tekintetben emlékeztetni kell arra, hogy a forgalmi és helymeghatározó adatok általános és különbségtétel nélküli megőrzéséből eredő különösen súlyos beavatkozás, amelyre a jelen ítélet 134–139. pontjában szereplő megfontolások vonatkoznak, valamint az automatizált elemzésükből eredő különösen súlyos beavatkozás csak abban a helyzetben felelhet meg az arányosság követelményének, amikor a tagállamnak olyan súlyos nemzetbiztonsági fenyegetéssel kell szembenéznie, amely valósnak és közvetlennek, illetve előre láthatónak bizonyul, feltéve hogy az adatmegőrzés időtartama a feltétlenül szükséges mértékre korlátozódik.
178 Az előző pontban említettekhez hasonló helyzetekben az elektronikus hírközlési eszközök valamennyi felhasználójára vonatkozó forgalmi adatok és helymeghatározó adatok automatizált elemzésének szigorúan korlátozott ideig történő végrehajtása igazoltnak tekinthető a 2002/58 irányelv 15. cikkének a Charta 7., 8. és 11. cikkével, valamint 52. cikkének (1) bekezdésével összefüggésben értelmezett (1) bekezdéséből eredő követelményekre tekintettel.
179 Mindemellett annak biztosítása érdekében, hogy az ilyen intézkedés alkalmazása ténylegesen a nemzetbiztonság védelméhez és különösen a terrorizmus megelőzéséhez feltétlenül szükséges mértékre korlátozódjon, a jelen ítélet 139. pontjában megállapítottaknak megfelelően alapvető fontosságú, hogy az automatizált elemzést engedélyező határozatot bíróság, illetve kötelező erejű határozatot hozó, független közigazgatási szerv általi, tényleges ellenőrzésnek lehessen alávetni, amely annak vizsgálatára irányul, hogy fennáll‑e az említett intézkedést igazoló helyzet, valamint hogy tiszteletben tartják‑e az előírandó feltételeket és garanciákat.
180 E tekintetben pontosítani kell, hogy azoknak az előre meghatározott modelleknek és szempontoknak, amelyeken az ilyen típusú adatkezelés alapul, egyrészt konkrétnak és megbízhatónak kell lenniük, a kapott eredménnyel lehetővé téve azon személyek azonosítását, akik vonatkozásában fennállhat a terrorcselekményekben való részvétel észszerű gyanúja, másrészt pedig hátrányos megkülönböztetéstől mentesnek kell lenniük (lásd ebben az értelemben: 2017. július 26‑i 1/15 [EU–Kanada PNR‑megállapodás] vélemény, EU:C:2017:592, 172. pont).
181 Ezenkívül emlékeztetni kell arra, hogy bármely olyan automatizált elemzés, amelyet azon az előfeltevésen alapuló modellek és szempontok szerint végeznek, hogy a faji vagy etnikai származás, a politikai vélemény, a vallási vagy világnézeti meggyőződés, a szakszervezeti tagság, az egészségi állapot vagy a szexuális élet önmagában véve, az adott személy egyéni magatartásától függetlenül releváns lehet a terrorizmus megelőzésével összefüggésben, sérti a Charta 21. cikkével összefüggésben értelmezett 7. és 8. cikkében biztosított jogokat. Így a nemzetbiztonságot súlyosan veszélyeztető terrorcselekmények megelőzésére irányuló automatizált elemzés céljából előre meghatározott modellek és szempontok nem alapulhatnak kizárólag ezeken a különleges adatokon (lásd ebben az értelemben: 2017. július 26‑i 1/15 [EU–Kanada PNR‑megállapodás] vélemény, EU:C:2017:592, 165. pont).
182 Egyébiránt, mivel a forgalmi és helymeghatározó adatok automatizált elemzései szükségszerűen bizonyos hibaszázalékot foglalnak magukban, az automatizált kezelést követően kapott minden pozitív eredményt nem automatizált eszközökkel egyedileg felül kell vizsgálni, mielőtt az érintettekre nézve sérelmes hatásokkal járó egyedi intézkedést – például a forgalmi adatok és helymeghatározó adatok ezt követően végzett, valós idejű gyűjtésére irányulót – fogadnának el, az ilyen intézkedés ugyanis nem alapulhat döntően kizárólag az automatizált adatkezelés eredményén. Hasonlóképpen annak biztosítása érdekében, hogy az előre meghatározott modellek és szempontok, azok használata, valamint a használt adatbázisok ne legyenek a gyakorlatban hátrányosan megkülönböztető jellegűek és a nemzetbiztonságot súlyosan veszélyeztető terrorcselekmények megelőzésére irányuló célhoz képest feltétlenül szükséges mértékre korlátozódjanak, az előre meghatározott modellek és szempontok, valamint a használt adatbázisok megbízhatóságát és időszerűségét rendszeresen felül kell vizsgálni (lásd ebben az értelemben: 2017. július 26‑i 1/15 [EU–Kanada PNR‑megállapodás] vélemény, EU:C:2017:592, 173. és 174. pont).
A forgalmi adatok és a helymeghatározó adatok valós idejű gyűjtéséről
183 A CSI L. 851‑2. cikkében említett forgalmi és helymeghatározó adatok valós idejű gyűjtését illetően meg kell állapítani, hogy az egyedileg engedélyezhető a „korábban [terrorista] fenyegetéssel kapcsolatba hozható személyként azonosított egyének” tekintetében. Ehhez hasonlóan, e rendelkezés szerint „amennyiben alapos okkal feltételezhető, hogy az engedéllyel érintett személy környezetéhez tartozó személy vagy személyek alkalmasak arra, hogy az engedély alapjául szolgáló cél tekintetében információt szolgáltassanak, az engedély e személyek mindegyike tekintetében egyedileg megadható”.
184 Az ilyen jellegű intézkedés tárgyát képező adatok lehetővé teszik az illetékes nemzeti hatóságok számára, hogy az engedély időtartama alatt folyamatosan, valós időben figyelemmel kísérjék azokat, akikkel az érintett személyek kommunikálnak, az általuk használt eszközöket, az általuk folytatott kommunikáció időtartamát, valamint tartózkodási helyüket és helyváltoztatásaikat. Úgy tűnik továbbá, hogy ezen adatok alapján az is kideríthető, milyen online információkat tekintettek meg. Összességükben véve ezen adatok segítségével – amint az a jelen ítélet 117. pontjából is kitűnik – igen pontos következtetések vonhatók le az érintett személyek magánéletével kapcsolatban, és ezek az adatok eszközül szolgálnak az érintett személyek profiljának megalkotásához, ami a magánélet tiszteletben tartásához való jog tekintetében ugyanolyan szenzitív információnak minősül, mint a közléseknek maga a tartalma.
185 Ami a CSI L. 851‑4. cikkében említett valós idejű adatgyűjtést illeti, ez a rendelkezés lehetővé teszi a végberendezések helymeghatározására vonatkozó műszaki adatok gyűjtését és miniszterelnöki szolgálat részére történő, valós idejű továbbítását. Úgy tűnik, hogy az ilyen adatok lehetővé teszik az illetékes szolgálat számára, hogy az engedély időtartama alatt bármikor folyamatosan, valós időben meghatározzák a használt végberendezések, például mobiltelefonok helyét.
186 Márpedig az ilyen valós idejű adatgyűjtést megengedő nemzeti szabályozás – az adatok automatizált elemzését lehetővé tevő szabályozáshoz hasonlóan – eltér a 2002/58 irányelv 5. cikkében előírt azon elvi kötelezettségtől, amely szerint biztosítani kell az elektronikus közlések és az azokra vonatkozó adatok titkosságát. Következésképpen szintén megvalósítja a Charta 7. és 8. cikkében biztosított alapvető jogokba való beavatkozást, valamint visszatartó hatást gyakorolhat a Charta 11. cikkében biztosított véleménynyilvánítási szabadság gyakorlására.
187 Hangsúlyozni kell, hogy a végberendezés helyének megállapítását lehetővé tevő, valós idejű adatgyűjtés által megvalósított beavatkozás különösen súlyosnak tekinthető, mivel ezek az adatok eszközt nyújtanak az illetékes nemzeti hatóságok számára a mobiltelefon‑használók helyváltoztatásainak pontos és folyamatos nyomonkövetésére. Mivel ezeket az adatokat tehát különösen érzékeny adatnak kell tekinteni, az illetékes hatóságok ilyen adatokhoz való valós idejű hozzáférését meg kell különböztetni az adatokhoz való későbbi hozzáféréstől, az előbbi ugyanis nagyobb beavatkozással jár, mivel lehetővé teszi a mobiltelefon‑használók szinte tökéletes nyomon követését (lásd analógia útján az EJEE 8. cikkét illetően: EJEB, 2018. február 8., Ben Faiza kontra Franciaország, CE:ECHR:2018:0208JUD003144612, 74. §). A beavatkozás még fokozottabb, ha a valós idejű adatgyűjtés kiterjed az érintett személyek forgalmi adataira is.
188 Noha az alapügyben szereplő nemzeti szabályozás által elérni kívánt, a terrorizmus megelőzésére irányuló cél a jelentőségére tekintettel igazolhatja a forgalmi és helymeghatározó adatok valós idejű gyűjtéséből eredő beavatkozást, az ilyen intézkedés – különösen erősen beavatkozó jellegére tekintettel – csak olyan személyek tekintetében hajtható végre, akik esetében alapos okkal feltételezhető, hogy valamilyen módon terrorcselekményekben működnek közre. Az ebbe a kategóriába nem tartozó személyek adataihoz pedig csak későbbi időpontban lehet hozzáférni, és a hozzáférésre a Bíróság ítélkezési gyakorlatának megfelelően csak bizonyos különleges helyzetekben, például terrorcselekmények esetén, és olyan objektív tényezők fennállásakor kerülhet sor, amelyek alapján megállapítható, hogy ezek az adatok a konkrét esetben hatékonyan hozzájárulhatnak a terrorizmus elleni küzdelemhez (lásd ebben az értelemben: 2016. december 21‑i Tele2 ítélet, C‑203/15 és C‑698/15, EU:C:2016:970, 119. pont, valamint az ott hivatkozott ítélkezési gyakorlat).
189 A forgalmi és helymeghatározó adatok valós idejű gyűjtését engedélyező határozatnak továbbá a nemzeti jogszabályokban előírt objektív kritériumokon kell alapulnia. Konkrétan a nemzeti jogszabályokban meg kell határozni a jelen ítélet 176. pontjában hivatkozott ítélkezési gyakorlatnak megfelelően azokat a körülményeket és feltételeket, amelyek mellett az ilyen adatgyűjtés engedélyezhető, valamint elő kell írni, hogy – amint az az előző pontban is szerepel – csak azok a személyek lehetnek érintettek, akik összefüggésbe hozhatók a terrorizmus megelőzésének céljával. A forgalmi és helymeghatározó adatok valós idejű gyűjtését engedélyező határozatnak továbbá a nemzeti jogszabályban előírt, objektív és hátrányos megkülönböztetéstől mentes kritériumokon kell alapulnia. E feltételek gyakorlatban történő betartása szempontjából alapvető fontosságú, hogy a valós idejű adatgyűjtést engedélyező intézkedés végrehajtását bíróság, illetve kötelező erejű határozatot hozó, független közigazgatási szerv előzetesen ellenőrizze és megbizonyosodjon különösen arról, hogy a valós idejű adatgyűjtést csak a feltétlenül szükséges mértékben engedélyezik (lásd ebben az értelemben: 2016. december 21‑i Tele2 ítélet, C‑203/15 és C‑698/15, EU:C:2016:970, 120. pont). Kellően indokolt sürgős esetben az ellenőrzést rövid határidőn belül el kell végezni.
Azon személyek tájékoztatásáról, akiknek az adatait összegyűjtötték vagy elemezték
190 Fontos, hogy a forgalmi és helymeghatározó adatok valós idejű gyűjtését végző, illetékes nemzeti hatóságok az alkalmazandó nemzeti eljárások keretében tájékoztassák erről az érintett személyeket, amennyiben és amikor ez a tájékoztatás már nem veszélyeztetheti a hatóságokra bízott feladatok elvégzését. Ez a tájékoztatás ugyanis ténylegesen szükséges ahhoz, hogy lehetővé tegye e személyek számára a Charta 7. és 8. cikkéből eredő, arra irányuló jogaik gyakorlását, hogy hozzáférést kérjenek az ezen intézkedések tárgyát képező személyes adataikhoz és adott esetben azok helyesbítését vagy törlését kérjék, valamint hogy a Charta 47. cikke első bekezdésének megfelelően bíróság előtti hatékony jogorvoslatot kezdeményezzenek; ezt a jogot egyébként a 2002/58 irányelv 15. cikkének a 2016/679 irányelv 79. cikkének (1) bekezdésével összefüggésben értelmezett (2) bekezdése is kifejezetten biztosítja (lásd ebben az értelemben: 2016. december 21‑i Tele2 ítélet, C‑203/15 és C‑698/15, EU:C:2016:970, 121. pont, valamint az ott hivatkozott ítélkezési gyakorlat; 2017. július 26‑i 1/15 [EU–Kanada PNR‑megállapodás] vélemény, EU:C:2017:592, 219. és 220. pont).
191 Ami a forgalmi és helymeghatározó adatok automatizált elemzésével összefüggésben adandó tájékoztatást illeti, az illetékes nemzeti hatóság köteles az automatizált elemzésre vonatkozó, általános jellegű információkat közzétenni, de nem kell az érintetteket egyénileg tájékoztatnia. Ezzel szemben abban az esetben, ha az adatok megfelelnek az automatikus elemzést engedélyező intézkedésben meghatározott paramétereknek, és az illetékes nemzeti hatóság az érintett személyt a rá vonatkozó adatok alaposabb elemzése céljából azonosítja, az érintett személyt egyénileg kell tájékoztatni. Ilyen tájékoztatásra azonban csak abban az esetben és attól kezdve kerülhet sor, hogy nem veszélyezteti az említett hatóságra bízott feladat elvégzését (lásd analógia útján: 2017. július 26‑i 1/15 [EU–Kanada PNR‑megállapodás] vélemény, EU:C:2017:592, 222–224. pont).
192 A fenti megállapítások összességére tekintettel a C‑511/18. sz. ügyben előterjesztett második és harmadik kérdésre azt a választ kell adni, hogy a 2002/58 irányelv 15. cikkének a Charta 7., 8. és 11. cikkével, valamint 52. cikkének (1) bekezdésével összefüggésben értelmezett (1) bekezdését úgy kell értelmezni, hogy azzal nem ellentétes az olyan nemzeti szabályozás, amely az elektronikus hírközlési szolgáltatások nyújtóit egyrészt többek között a forgalmi és helymeghatározó adatok automatizált elemzésére és valós idejű gyűjtésére, másrészt a használt végberendezések helymeghatározására vonatkozó műszaki adatok valós idejű gyűjtésére kötelezi, amennyiben
– az automatizált elemzés alkalmazása azokra a helyzetekre korlátozódik, amikor a tagállamnak olyan súlyos nemzetbiztonsági fenyegetéssel kell szembenéznie, amely valósnak és közvetlennek, illetve előre láthatónak bizonyul, az automatizált elemzés alkalmazása pedig bíróság, illetve kötelező erejű határozatot hozó, független közigazgatási szerv általi, tényleges ellenőrzésnek vethető alá, amely annak vizsgálatára irányul, hogy fennáll‑e az említett intézkedést igazoló helyzet, valamint hogy tiszteletben tartják‑e az előírandó feltételeket és garanciákat, és
– a forgalmi és helymeghatározó adatok valós idejű gyűjtése azokra a személyekre korlátozódik, akik tekintetében alapos okkal feltételezhető, hogy valamilyen módon terrorcselekményekben működnek közre, valamint bíróság, illetve kötelező erejű határozatot hozó, független közigazgatási szerv előzetes ellenőrzése alá tartozik, biztosítandó, hogy a valós idejű adatgyűjtést csak a feltétlenül szükséges mértékben engedélyezzék. Kellően indokolt sürgős esetben az ellenőrzést rövid határidőn belül el kell végezni.
A C‑512/18. sz. ügyben előterjesztett második kérdésről
193 A C‑512/18. sz. ügyben előterjesztett második kérdésével az előterjesztő bíróság lényegében arra keresi a választ, hogy a 2000/31 irányelvnek a Charta 6–8. és 11. cikkével, valamint 52. cikkének (1) bekezdésével összefüggésben értelmezett rendelkezéseit úgy kell‑e értelmezni, hogy azokkal ellentétes az olyan nemzeti szabályozás, amely a nyilvános online hírközlési szolgáltatásokhoz való hozzáférést nyújtókat és a tárhelyszolgáltatókat többek között az e szolgáltatásokhoz kapcsolódó személyes adatok általános és különbségtétel nélküli megőrzésére kötelezi.
194 Úgy ítélve meg, hogy az ilyen szolgáltatások a 2000/31 irányelv, nem pedig a 2002/58 irányelv hatálya alá tartoznak, a kérdést előterjesztő bíróság azon a véleményen van, hogy a 2000/31 irányelv 15. cikkének a 12. és 14. cikkével összefüggésben értelmezett (1) és (2) bekezdése önmagában véve nem vezet be a tartalom létrehozására vonatkozó adatok megőrzésére olyan elvi tilalmat, amelytől csak kivételesen lehetne eltérni. E bíróságban mindazonáltal felmerül a kérdés, hogy ezt az álláspontot – a Charta 6–8. és 11. cikkében biztosított alapvető jogok tiszteletben tartásának szükségességére tekintettel – el kell‑e fogadni.
195 A kérdést előterjesztő bíróság továbbá pontosítja, hogy kérdése az LCEN‑nek a 2011–219. sz. rendelettel összefüggésben értelmezett 6. cikkében előírt megőrzési kötelezettségre vonatkozik. Azok az adatok, amelyeket az érintett szolgáltatóknak ezen a jogcímen meg kell őrizniük, magukban foglalják többek között a szolgáltatásokat igénybe vevő személyek személyazonosságára vonatkozó adatokat, így a vezetéknevüket, keresztnevüket, kapcsolódó postai címüket, e‑mail‑ vagy felhasználói címüket, a jelszavaikat, és díjköteles szerződés vagy felhasználói fiók esetén az alkalmazott fizetési módot, a fizetés hivatkozási számát, az összeget, valamint a tranzakció napját és időpontját.
196 A megőrzési kötelezettség alá tartozó adatok körébe tartoznak továbbá az előfizetők, a csatlakozások és a használt végberendezések azonosítói, a tartalomra kiadott azonosítók, a csatlakozások és a műveletek kezdetének és végének napja és időpontja, valamint a szolgáltatáshoz való csatlakozásra és a tartalomátvitelre használt protokollok típusai. Ezekhez az adatokhoz, amelyek megőrzési ideje egy év, büntető‑ és polgári eljárásokban kérhető hozzáférés, a polgári jogi vagy büntetőjogi felelősségre vonatkozó szabályok betartásának biztosítása érdekében, valamint azon információgyűjtési intézkedések keretében, amelyekre a CSI L. 851‑1. cikke alkalmazandó.
197 E tekintetben meg kell állapítani, hogy a 2000/31 irányelv az 1. cikke (2) bekezdésének megfelelően közelít egymáshoz bizonyos, a 2. cikkének a) pontjában említett, az információs társadalommal összefüggő szolgáltatásokra alkalmazandó nemzeti rendelkezéseket.
198 Kétségtelen, hogy az ilyen szolgáltatások körébe tartoznak azon szolgáltatások is, amelyeket távolról, adatok kezelésére és tárolására szolgáló elektronikus berendezés útján, a szolgáltatást igénybe vevő egyéni kérelmére, és rendszerint térítés ellenében nyújtanak, mint például az internethez vagy hírközlő hálózathoz való hozzáférést nyújtó szolgáltatásokat, valamint a tárhelyszolgáltatásokat (lásd ebben az értelemben: 2011. november 24‑i Scarlet Extended ítélet, C‑70/10, EU:C:2011:771, 40. pont; 2012. február 16‑i SABAM‑ítélet, C‑360/10, EU:C:2012:85, 34. pont; 2016. szeptember 15‑i Mc Fadden ítélet, C‑484/14, EU:C:2016:689, 55. pont; 2018. augusztus 7‑i SNB‑REACT ítélet, C‑521/17, EU:C:2018:639, 42. pont, valamint az ott hivatkozott ítélkezési gyakorlat).
199 A 2000/31 irányelv 1. cikkének (5) bekezdése azonban úgy rendelkezik, hogy az irányelv nem alkalmazható az információs társadalommal összefüggő szolgáltatásokkal kapcsolatos, a 95/46 és a 97/66 irányelvben szabályozott kérdésekre. E tekintetben a 2000/31 irányelv (14) és (15) preambulumbekezdésében az szerepel, hogy a személyesadat‑kezelés vonatkozásában a természetes személyek védelmét és a közlések titkosságát az információs társadalommal összefüggő szolgáltatások keretében kizárólag a 95/46 és a 97/66 irányelv szabályozza, amelyek közül az utóbbi 5. cikkében a közlések titkosságának védelme érdekében a közlések lehallgatásának vagy megfigyelésének bármely formáját megtiltja.
200 Így a közlések és a személyes adatok titkosságának védelmével kapcsolatos kérdéseket a 97/66 irányelv, illetve a 95/46 irányelv helyébe lépő 2002/58 irányelv és 2016/679 rendelet alapján kell megítélni, azzal a pontosítással, hogy a 2000/31 irányelv által biztosítani kívánt védelem semmi esetre sem sértheti a 2002/58 irányelvből és a 2016/679 rendeletből eredő követelményeket (lásd ebben az értelemben: 2008. január 29‑i Promusicae ítélet, C‑275/06, EU:C:2008:54, 57. pont).
201 A jelen ítélet 195. pontjában említett nemzeti szabályozás által a nyilvános online hírközlési szolgáltatásokhoz való hozzáférést nyújtók és a tárhelyszolgáltatók számára előírt azon kötelezettséget tehát, hogy az e szolgáltatásokra vonatkozó személyes adatokat megőrizzék – amint arra lényegében a főtanácsnok a La Quadrature du Net és társai egyesített ügyekre vonatkozó indítványának (C‑511/18 és C‑512/18, EU:C:2020:6) 141. pontjában rámutatott –, a 2002/58 vagy a 2016/679 rendelet alapján kell megítélni.
202 Így aszerint, hogy a nemzeti szabályozás hatálya alá tartozó szolgáltatások nyújtása a 2002/58 irányelv hatálya alá tartozik‑e, azt vagy ez utóbbi irányelv, különösen annak a Charta 7., 8. és 11. cikkével, valamint 52. cikkének (1) bekezdésével összefüggésben értelmezett 15. cikkének (1) bekezdése, vagy pedig a 2016/679 rendelet, különösen a 23. cikkének a Charta ugyanezen rendelkezéseivel összefüggésben értelmezett (1) bekezdése szabályozza.
203 A jelen ügyben nem zárható ki – amint arra az Európai Bizottság az írásbeli észrevételeiben rámutatott –, hogy a jelen ítélet 195. pontjában említett nemzeti szabályozás hatálya alá tartozó egyes szolgáltatások a 2002/58 irányelv értelmében vett elektronikus hírközlési szolgáltatásnak minősülnek, aminek vizsgálata a kérdést előterjesztő bíróság feladata.
204 E tekintetben meg kell jegyezni, hogy a 2002/58 irányelv hatálya alá tartoznak azok az elektronikus hírközlési szolgáltatások, amelyek megfelelnek a 2002/58 irányelv 2. cikkében hivatkozott 2002/21 irányelv 2. cikkének azon c) pontjában foglalt feltételeknek, amely az elektronikus hírközlési szolgáltatást úgy határozza meg, hogy az „olyan, általában díjazás ellenében nyújtott szolgáltatás, amely teljes egészében vagy nagyrészt elektronikus hírközlő hálózaton történő jelátvitelből áll, beleértve a műsorterjesztő hálózatokon nyújtott távközlési szolgáltatásokat és átviteli szolgáltatásokat”. Ami a jelen ítélet 197. és 198. pontjában említett, a 2000/31 irányelv hatálya alá tartozó, információs társadalommal összefüggő szolgáltatásokat illeti, azok elektronikus hírközlési szolgáltatásoknak minősülnek, mivel teljes egészében vagy nagyrészt elektronikus hírközlő hálózaton történő jelátvitelből állnak (lásd ebben az értelemben: 2019. június 5‑i Skype Communications ítélet, C‑142/18, EU:C:2019:460, 47. és 48. pont).
205 Így a jelen ítélet 195. pontjában említett nemzeti szabályozás hatálya alá tartozó internet‑hozzáférési szolgáltatások – amint azt a 2002/21 irányelv (10) preambulumbekezdése is megerősíti – ezen irányelv értelmében elektronikus hírközlési szolgáltatásoknak minősülnek (lásd ebben az értelemben: 2019. június 5‑i Skype Communications ítélet, C‑142/18, EU:C:2019:460, 37. pont). Ugyanez a helyzet az internetes üzenetküldő szolgáltatások esetében is, amelyek esetében nem tűnik kizártnak, hogy szintén e nemzeti szabályozás hatálya alá tartoznak, mivel műszaki szempontból teljes egészében vagy nagyrészt elektronikus hírközlő hálózaton történő jelátvitelből állnak (lásd ebben az értelemben: 2019. június 13‑i Google ítélet, C‑193/18, EU:C:2019:498, 35. és 38. pont).
206 A 2002/58 irányelv 15. cikkének a Charta 7., 8. és 11. cikkével, valamint 52. cikkének (1) bekezdésével összefüggésben értelmezett (1) bekezdéséből eredő követelményekkel kapcsolatban utalni kell a C‑511/18. és C‑512/18. sz. ügyekben előterjesztett első kérdésre adott, valamint a C‑520/18. sz. ügyben előterjesztett első és második kérdésre adott válasz keretében tett valamennyi megállapításra és értékelésre.
207 A 2016/679 rendeletből eredő követelményeket illetően emlékeztetni kell arra, hogy e rendelet – amint az a (10) preambulumbekezdéséből kitűnik – többek között arra irányul, hogy biztosítsa a természetes személyek magas szintű védelmét az Unión belül, és e célból a személyes adatok kezelése tekintetében biztosítsa a természetes személyek alapvető jogainak és szabadságainak védelmére vonatkozó szabályok következetes és egységes alkalmazását az Unió egész területén (lásd ebben az értelemben: 2020. július 16‑i Facebook Ireland és Schrems ítélet, C‑311/18, EU:C:2020:559, 101. pont).
208 Ennek érdekében minden személyesadat‑kezelésnek – a 2016/679 rendelet 23. cikkében megengedett eltérésekre is figyelemmel – tiszteletben kell tartania a személyes adatok kezelésére vonatkozó elveket, valamint az érintett személynek az e rendelet II., illetve III. fejezetében foglalt jogait. Közelebbről tekintve, minden személyesadat‑kezelésnek meg kell felelnie egyrészt az említett rendelet 5. cikkében foglalt elveknek, másrészt az ugyanezen rendelet 6. cikkében felsorolt jogszerűségi feltételeknek (lásd analógia útján a 95/46 irányelv vonatkozásában: 2013. május 30‑i Worten ítélet, C‑342/12, EU:C:2013:355, 33. pont, valamint az ott hivatkozott ítélkezési gyakorlat).
209 Ami közelebbről a 2016/679 rendelet 23. cikkének (1) bekezdését illeti, meg kell állapítani, hogy az – a 2002/58 irányelv 15. cikkének (1) bekezdésében foglaltakhoz hasonlóan – lehetővé teszi a tagállamok számára, hogy a rendeletben előírt célokra tekintettel, jogalkotási intézkedésekkel korlátozzák a rendeletben foglalt jogok és kötelezettségek hatályát, „ha a korlátozás tiszteletben tartja az alapvető jogok és szabadságok lényeges tartalmát, valamint az [elérni kívánt cél] védelméhez szükséges és arányos intézkedés[nek minősül] egy demokratikus társadalomban”. Minden, ezen az alapon hozott jogalkotási intézkedésnek tiszteletben kell tartania többek között az e rendelet 23. cikkének (2) bekezdésében előírt részletes követelményeket.
210 Így a 2016/679 rendelet 23. cikkének (1) és (2) bekezdése nem értelmezhető úgy, mint amely arra irányuló hatáskört ruház a tagállamokra, hogy megsértsék a magánélet tiszteletben tartását, megsértve ezzel a Charta 7. cikkét, valamint az abban előírt egyéb garanciákat (lásd analógia útján a 95/46 irányelvet illetően: 2003. május 20‑i Österreichischer Rundfunk és társai ítélet, C‑465/00, C‑138/01 és C‑139/01, EU:C:2003:294, 91. pont). A 2002/58 irányelv 15. cikkének (1) bekezdésére érvényes megfontolásokhoz hasonlóan a 2016/679 rendelet 23. cikkének (1) bekezdése által a tagállamokra ruházott hatáskör is csak az arányosság azon követelményének tiszteletben tartása mellett gyakorolható, amely szerint a személyes adatok védelme alóli kivételeknek és korlátozásoknak a feltétlenül szükséges mértéken belül kell maradniuk (lásd analógia útján a 95/46 irányelvvel kapcsolatban: 2013. november 7‑i IPI ítélet, C‑473/12, EU:C:2013:715, 39. pont, valamint az ott hivatkozott ítélkezési gyakorlat).
211 Ebből az következik, hogy a C‑511/18. és C‑512/18. sz. ügyben előterjesztett első kérdésre, valamint a C‑520/18. sz. ügyben előterjesztett első és második kérdésre adott válasz keretében tett megállapítások és értékelések értelemszerűen alkalmazandók a 2016/679 rendelet 23. cikkére is.
212 A fenti megfontolásokra tekintettel a C‑512/18. sz. ügyben előterjesztett második kérdésre azt a választ kell adni, hogy a 2000/31 irányelvet úgy kell értelmezni, hogy az nem alkalmazható az információs társadalommal összefüggő szolgáltatások keretében a közlések és a természetes személyek titkosságának a személyesadat‑kezeléssel kapcsolatos védelme terén, mivel azt az esettől függően a 2002/58 irányelv vagy a 2016/679 rendelet szabályozza. A 2016/679 rendelet 23. cikkének (1) bekezdését a Charta 7., 8. és 11. cikkével, valamint 52. cikkének (1) bekezdésével összefüggésben úgy kell értelmezni, hogy azzal ellentétes az olyan nemzeti szabályozás, amely a nyilvános online hírközlési szolgáltatásokhoz való hozzáférést nyújtókat és a tárhelyszolgáltatókat többek között az e szolgáltatásokhoz kapcsolódó személyes adatok általános és különbségtétel nélküli megőrzésére kötelezi.
A C‑520/18. sz. ügyben előterjesztett harmadik kérdésről
213 A C‑520/18. sz. ügyben előterjesztett harmadik kérdésével az előterjesztő bíróság lényegében arra vár választ, hogy a nemzeti bíróság alkalmazhat‑e olyan nemzeti jogi rendelkezést, amely felhatalmazza őt arra, hogy korlátozza azon ítéletének időbeli hatályát, amelyben olyan nemzeti jogszabály jogellenességét kell a nemzeti jog alapján megállapítania, amely az elektronikus hírközlési szolgáltatókat – többek között nemzetbiztonság védelmére és a bűnözés elleni küzdelemre irányuló célok elérése érdekében – a forgalmi és helymeghatározó adatok általános és különbségtétel nélküli megőrzésére kötelezi, és amely jogszabály jogellenessége abból ered, hogy nem egyeztethető össze a 2002/58 irányelv 15. cikkének a Charta 7., 8. és 11. cikkével, valamint 52. cikkének (1) bekezdésével összefüggésben értelmezett (1) bekezdésével.
214 Az uniós jog elsőbbségének elve szentesíti az uniós jog elsődlegességét a tagállamok jogával szemben. Ez az elv tehát arra kötelezi a tagállamok valamennyi szervét, hogy biztosítsák a különböző uniós jogi normák teljes érvényesülését, mivel a tagállamok joga nem befolyásolhatja a különböző normáknak a tagállamok területére nézve elismert hatását (1964. július 15‑i Costa ítélet, 6/64, EU:C:1964:66, 1159. és 1160. o.; 2019. november 19‑i A. K. és társai [A legfelsőbb bíróság fegyelmi tanácsának függetlensége] ítélet, C‑585/18, C‑624/18 és C‑625/18, EU:C:2019:982, 157. és 158. pont, valamint az ott hivatkozott ítélkezési gyakorlat).
215 Az elsőbbség elvének értelmében továbbá, amennyiben a nemzeti jogszabályoknak az uniós jog követelményeivel összhangban álló értelmezése nem lehetséges, az uniós jogi rendelkezéseket hatáskörének keretei között alkalmazni hivatott nemzeti bíróság köteles biztosítani e normák teljes érvényesülését, szükség esetén – saját hatáskörénél fogva – mellőzve a nemzeti jogszabályok uniós joggal ellentétes rendelkezéseinek alkalmazását, utólagosan is, anélkül hogy előzetesen kérelmeznie vagy várnia kellene azok jogalkotói vagy bármilyen egyéb alkotmányos úton történő megsemmisítésére (2010. június 22‑i Melki és Abdeli ítélet, C‑188/10 és C‑189/10, EU:C:2010:363, 43. pont, valamint az ott hivatkozott ítélkezési gyakorlat; 2019. június 24‑i Popławski ítélet, C‑573/17, EU:C:2019:530, 58. pont; 2019. november 19‑i A. K. és társai [A legfelsőbb bíróság fegyelmi tanácsának függetlensége] ítélet, C‑585/18, C‑624/18 és C‑625/18, EU:C:2019:982, 160. pont).
216 Kizárólag a Bíróság engedélyezheti, kivételesen és jogbiztonságon alapuló kényszerítő megfontolások alapján, azon kizárás joghatásainak ideiglenes felfüggesztését, amelyeket valamely uniós rendelkezés a vele ellentétes nemzeti jogra gyakorol. A Bíróság által adott jogértelmezéshez fűződő joghatások időbeli korlátozására kizárólag ugyanazon ítéletben kerülhet sor, amely a kért értelmezésről szól (lásd ebben az értelemben: 2012. október 23‑i Nelson és társai ítélet, C‑581/10 és C‑629/10, EU:C:2012:657, 89. és 91. pont; 2020. április 23‑i Herst‑ítélet, C‑401/18, EU:C:2020:295, 56. és 57. pont; 2020. június 25‑i A és társai [Aalteri és nevelei szélerőművek] ítélet, C‑24/19, EU:C:2020:503, 84. pont, valamint az ott hivatkozott ítélkezési gyakorlat).
217 Sértené az uniós jog elsőbbségét és egységes alkalmazását, ha a nemzeti bíróságoknak lehetőségük lenne – akár ideiglenesen – elsőbbséget biztosítani az uniós joggal ellentétes nemzeti rendelkezéseknek az uniós joggal szemben (lásd ebben az értelemben: 2019. július 29‑i Inter‑Environnement Wallonie és Bond Beter Leefmilieu Vlaanderen ítélet, C‑411/17, EU:C:2019:622, 177. pont, valamint az ott hivatkozott ítélkezési gyakorlat).
218 Mindazonáltal egy olyan ügyben, amelyben olyan intézkedések jogszerűségéről volt szó, amelyeket az uniós jog által előírt azon kötelezettség megsértésével fogadtak el, hogy a projektek környezetre és védett területre gyakorolt hatásait előzetes vizsgálatnak kell alávetni, a Bíróság kimondta, hogy a nemzeti bíróság, amennyiben a belső jog ezt lehetővé teszi, kivételesen fenntarthatja az ilyen intézkedések joghatásait, ha a joghatások fenntartását az érintett tagállam villamosenergia‑ellátásának a megszakadásával fenyegető, valós és súlyos veszély elhárításának szükségességéhez kapcsolódó kényszerítő megfontolások igazolják, és ezt a veszélyt más eszközökkel és alternatív megoldásokkal – többek között a belső piac keretében – nem lehetne elhárítani, továbbá a joghatások fenntartása csupán az említett jogellenesség megszüntetéséhez feltétlenül szükséges időtartamra terjedhet ki (lásd ebben az értelemben: 2019. július 29‑i Inter‑Environnement Wallonie és Bond Beter Leefmilieu Vlaanderen ítélet, C‑411/17, EU:C:2019:622, 175., 176., 179. és 181. pont).
219 Márpedig ellentétben egy olyan eljárási kötelezettség elmulasztásával, mint a projekteknek a környezetvédelem sajátos területére gyakorolt hatásainak előzetes vizsgálata, a 2002/58 irányelv 15. cikkének a Charta 7., 8. és 11. cikkével, valamint 52. cikkének (1) bekezdésével összefüggésben értelmezett (1) bekezdésének megsértése nem orvosolható az előző pontban említetthez hasonló eljárás útján. Az alapügy tárgyát képezőhöz hasonló nemzeti szabályozás joghatásainak fenntartása ugyanis azt jelentené, hogy a szabályozás továbbra is olyan kötelezettségeket ír elő az elektronikus hírközlési szolgáltatások nyújtóinak, amelyek ellentétesek az uniós joggal, és amelyek súlyos beavatkozást jelentenek azon személyek alapvető jogaiba, akiknek az adatait megőrizték.
220 Következésképpen a kérdést előterjesztő bíróság nem alkalmazhat olyan nemzeti jogi rendelkezést, amely felhatalmazza őt arra, hogy korlátozza azon ítéletének időbeli hatályát, amelyben az alapügyben szereplő nemzeti jogszabály jogellenességét kell a nemzeti jog alapján megállapítania.
221 Mindemellett a Bíróság elé terjesztett észrevételeiben VZ, WY és XX azt állítja, hogy a harmadik kérdés hallgatólagosan, de szükségszerűen felveti azt a kérdést, hogy az uniós joggal ellentétes‑e az olyan információk és bizonyítékok büntetőeljárás keretében történő felhasználása, amelyekhez a forgalmi és helymeghatározó adatoknak az uniós joggal összeegyeztethetetlen, általános és különbségtétel nélküli megőrzésével jutottak.
222 E tekintetben, annak érdekében, hogy a kérdést előterjesztő bíróság számára hasznos válasszal lehessen szolgálni, emlékeztetni kell arra, hogy az uniós jog jelenlegi állapotában főszabály szerint kizárólag a nemzeti jog határozza meg az ilyen, uniós joggal ellentétes adatmegőrzéssel szerzett információknak és bizonyítékoknak a súlyos bűncselekmények elkövetésével gyanúsított személyekkel szemben indított büntetőeljárás keretében való megengedhetőségére és értékelésére vonatkozó szabályokat.
223 Az állandó ítélkezési gyakorlat szerint ugyanis az adott területre vonatkozó uniós szabályozás hiányában a jogalanyok számára biztosított jogok védelmének biztosítására irányuló bírósági felülvizsgálatra vonatkozó eljárási szabályok meghozatala az eljárási autonómia elve alapján az egyes tagállamok belső jogrendjébe tartozik, azzal a feltétellel azonban, hogy e szabályok nem lehetnek kedvezőtlenebbek a hasonló jellegű belső jogi helyzetekre vonatkozókhoz képest (az egyenértékűség elve), és nem tehetik gyakorlatilag lehetetlenné vagy rendkívül nehézzé az uniós jog által biztosított jogok gyakorlását (a tényleges érvényesülés elve) (lásd ebben az értelemben: 2015. október 6‑i Târşia ítélet, C‑69/14, EU:C:2015:662, 26. és 27. pont; 2018. október 24‑i XC és társai ítélet, C‑234/17, EU:C:2018:853, 21. és 22. pont, valamint az ott hivatkozott ítélkezési gyakorlat; 2019. december 19‑i Deutsche Umwelthilfe ítélet, C‑752/18, EU:C:2019:1114, 33. pont).
224 Ami az egyenértékűség elvét illeti, a 2002/58 irányelvből eredő követelmények megsértésével szerzett információkon vagy bizonyítékokon alapuló büntetőeljárásban eljáró nemzeti bíróság feladata annak vizsgálata, hogy az ezen eljárásra irányadó nemzeti jog az ilyen információk és bizonyítékok elfogadhatóságát és felhasználását illetően kedvezőtlenebb szabályokat ír‑e elő, mint a belső jog megsértésével szerzett információkra és bizonyítékokra vonatkozó szabályok.
225 A tényleges érvényesülés elvét illetően meg kell állapítani, hogy az információk és bizonyítékok elfogadhatóságára és felhasználására vonatkozó nemzeti szabályok célja a nemzeti jog döntése alapján annak elkerülése, hogy a jogellenesen szerzett információk és bizonyítékok indokolatlan sérelmet okozzanak a bűncselekmény elkövetésével gyanúsított személynek. Márpedig ez a cél a nemzeti jog szerint nemcsak az ilyen információk és bizonyítékok felhasználásának tilalmával érhető el, hanem az információk és bizonyítékok értékelését és súlyozását szabályozó nemzeti szabályok és gyakorlatok révén is, vagy akár a jogellenes jellegüknek a büntetéskiszabás keretében történő figyelembevételével is.
226 Mindemellett a Bíróság ítélkezési gyakorlatából kitűnik, hogy az uniós jogi előírások megsértésével szerzett információk és bizonyítékok kizárásának szükségességét többek között arra tekintettel kell értékelni, hogy az ilyen információk és bizonyítékok elfogadhatósága milyen veszélyt jelent a kontradiktórius eljárás elvének, és ennélfogva a tisztességes eljáráshoz való jognak a tiszteletben tartására (lásd ebben az értelemben: 2003. április 10‑i Steffensen ítélet, C‑276/01, EU:C:2003:228, 76. és 77. pont). Ha pedig a bíróság úgy ítéli meg, hogy az egyik fél nem tud hatékony módon észrevételt tenni egy olyan bizonyítási eszközzel kapcsolatban, amely a bíróságok tudomásán kívüli területről származik és döntő befolyással lehet a tényállás megállapítására, akkor meg kell állapítania a tisztességes eljáráshoz való jog megsértését, és az ilyen jogsértés elkerülése érdekében ki kell zárnia ezt a bizonyítási eszközt (lásd ebben az értelemben: 2003. április 10‑i Steffensen ítélet, C‑276/01, EU:C:2003:228, 78. és 79. pont).
227 Következésképpen a tényleges érvényesülés elve alapján a nemzeti büntetőbíróság köteles a bűncselekmények elkövetésével gyanúsított személyekkel szemben indított büntetőeljárásban figyelmen kívül hagyni azokat az információkat és bizonyítékokat, amelyekhez a forgalmi és helymeghatározó adatoknak az uniós joggal összeegyeztethetetlen, általános és különbségtétel nélküli megőrzésével jutottak, ha a gyanúsított személyek nem tudnak hatékony módon észrevételt tenni ezekkel az információkkal és bizonyítékokkal kapcsolatban, amelyek a bíróság tudomásán kívüli területről származnak és döntő befolyással lehetnek a tényállás megállapítására.
228 A fenti megfontolásokra tekintettel a C‑520/18. sz. ügyben előterjesztett harmadik kérdésre azt a választ kell adni, hogy a nemzeti bíróság nem alkalmazhat olyan nemzeti jogi rendelkezést, amely felhatalmazza őt arra, hogy korlátozza azon ítéletének időbeli hatályát, amelyben olyan nemzeti jogszabályt kell a nemzeti jog alapján jogellenesnek nyilvánítania, amely az elektronikus hírközlési szolgáltatókat – különösen nemzetbiztonság védelme és a bűnözés elleni küzdelem érdekében – a forgalmi és helymeghatározó adatok általános és különbségtétel nélküli, a 2002/58 irányelv 15. cikkének a Charta 7., 8. és 11. cikkével, valamint 52. cikkének (1) bekezdésével összefüggésben értelmezett (1) bekezdésével összeegyeztethetetlen megőrzésére kötelezi. A tényleges érvényesülés elvének tükrében értelmezett ezen 15. cikk (1) bekezdése alapján a nemzeti büntetőbíróság köteles a bűncselekmények elkövetésével gyanúsított személyekkel szemben indított büntetőeljárásban figyelmen kívül hagyni azokat az információkat és bizonyítékokat, amelyekhez a forgalmi és helymeghatározó adatoknak az uniós joggal összeegyeztethetetlen, általános és különbségtétel nélküli megőrzésével jutottak, ha a gyanúsított személyek nem tudnak hatékony módon észrevételt tenni ezekkel az információkkal és bizonyítékokkal kapcsolatban, amelyek a bíróság tudomásán kívüli területről származnak és döntő befolyással lehetnek a tényállás megállapítására.
A költségekről
229 Mivel ez az eljárás az alapeljárásban részt vevő felek számára a kérdést előterjesztő bíróságok előtt folyamatban lévő eljárások egy szakaszát képezi, e bíróságok döntenek a költségekről. Az észrevételeknek a Bíróság elé terjesztésével kapcsolatban felmerült költségek, az említett felek költségeinek kivételével, nem téríthetők meg.
A fenti indokok alapján a Bíróság (nagytanács) a következőképpen határozott:
1) A 2009. november 25‑i 2009/136/EK európai parlamenti és tanácsi irányelvvel módosított, az elektronikus hírközlési ágazatban a személyes adatok kezeléséről, feldolgozásáról [helyesen: a személyes adatok kezeléséről] és a magánélet védelméről szóló, 2002. július 12‑i 2002/58/EK európai parlamenti és tanácsi irányelv (elektronikus hírközlési adatvédelmi irányelv) 15. cikkének (1) bekezdését az Európai Unió Alapjogi Chartájának 7., 8. és 11. cikkével, valamint 52. cikkének (1) bekezdésével összefüggésben úgy kell értelmezni, hogy azzal ellentétesek az olyan jogszabályi intézkedések, amelyek a 15. cikk (1) bekezdésében foglalt célokból a forgalmi és a helymeghatározó adatok általános és különbségtétel nélküli, megelőző jelleggel történő megőrzését írják elő. Ezzel szemben a 2009/136 irányelvvel módosított 2002/58 irányelv 15. cikkének az Alapjogi Charta 7., 8. és 11. cikkével, valamint 52. cikkének (1) bekezdésével összefüggésben értelmezett (1) bekezdésével nem ellentétesek az olyan jogszabályi intézkedések, amelyek
– lehetővé teszik, hogy a nemzetbiztonság védelme érdekében az elektronikus hírközlési szolgáltatások nyújtóit a forgalmi és helymeghatározó adatok általános és különbségtétel nélküli megőrzésére kötelezzék olyan helyzetekben, amikor az érintett tagállamnak olyan súlyos nemzetbiztonsági fenyegetéssel kell szembenéznie, amely valós és közvetlen, illetve előre látható, és az erre kötelező határozat bíróság, illetve kötelező erejű határozatot hozó, független közigazgatási szerv általi, tényleges ellenőrzésnek vethető alá, amely annak vizsgálatára irányul, hogy e helyzetek valamelyike fennáll‑e, valamint hogy tiszteletben tartják‑e az előírandó feltételeket és garanciákat, az említett kötelezés időtartamát pedig a feltétlenül szükséges mértékre kell korlátozni, ez azonban a fenyegetettség tartós fennállása esetén meghosszabbítható;
– a nemzetbiztonság védelme, a súlyos bűncselekmények elleni küzdelem és a közbiztonságot érintő súlyos fenyegetettség megelőzése érdekében a forgalmi és helymeghatározó adatok célzott megőrzését írják elő, amelyet objektív és hátrányos megkülönböztetéstől mentes tényezők alapján, az érintett személyek kategóriái szerint vagy földrajzi kritérium segítségével, a feltétlenül szükséges mértékű, de meghosszabbítható időtartamra korlátozva határoznak meg;
– a nemzetbiztonság védelme, a súlyos bűncselekmények elleni küzdelem és a közbiztonságot érintő súlyos fenyegetettség megelőzése érdekében a csatlakozási forráshoz hozzárendelt IP‑címek általános és különbségtétel nélküli, a feltétlenül szükséges mértékre korlátozott időtartamú megőrzését írják elő;
– a nemzetbiztonság védelme, a bűnözés elleni küzdelem és a közbiztonság védelme érdekében az elektronikus hírközlési eszközök felhasználóinak személyazonosságára vonatkozó adatok általános és különbségtétel nélküli megőrzését írják elő, és
– lehetővé teszik, hogy a súlyos bűncselekmények elleni küzdelem és a fortiori a nemzetbiztonság védelme érdekében az elektronikus hírközlési szolgáltatások nyújtóit a hatáskörrel rendelkező hatóság hatékony bírósági felülvizsgálat alá tartozó határozatával a rendelkezésükre álló forgalmi és helymeghatározó adatok korlátozott ideig történő, gyors megőrzésére kötelezzék,
amennyiben ezek az intézkedések egyértelmű és pontos szabályok révén biztosítják, hogy a szóban forgó adatok megőrzésére az erre vonatkozó anyagi jogi és eljárásjogi feltételek betartása mellett kerül sor, és hogy az érintett személyeket a visszaélések veszélyével szemben tényleges biztosítékok illetik meg.
2) A 2009/136 irányelvvel módosított 2002/58 irányelv 15. cikkének (1) bekezdését az Alapjogi Charta 7., 8. és 11. cikkével, valamint 52. cikkének (1) bekezdésével összefüggésben úgy kell értelmezni, hogy azzal nem ellentétes az olyan nemzeti szabályozás, amely az elektronikus hírközlési szolgáltatások nyújtóit egyrészt többek között a forgalmi és helymeghatározó adatok automatizált elemzésére és valós idejű gyűjtésére, másrészt a használt végberendezések helymeghatározására vonatkozó műszaki adatok valós idejű gyűjtésére kötelezi, amennyiben
– az automatizált elemzés alkalmazása azokra a helyzetekre korlátozódik, amikor a tagállamnak olyan súlyos nemzetbiztonsági fenyegetéssel kell szembenéznie, amely valós és közvetlen, illetve előre látható, az automatizált elemzés alkalmazása pedig bíróság, illetve kötelező erejű határozatot hozó, független közigazgatási szerv általi, tényleges ellenőrzésnek vethető alá, amely annak vizsgálatára irányul, hogy fennáll‑e az említett intézkedést igazoló helyzet, valamint hogy tiszteletben tartják‑e az előírandó feltételeket és garanciákat, és
– a forgalmi és helymeghatározó adatok valós idejű gyűjtése azokra a személyekre korlátozódik, akik tekintetében alapos okkal feltételezhető, hogy valamilyen módon terrorcselekményekben működnek közre, valamint bíróság, illetve kötelező erejű határozatot hozó, független közigazgatási szerv előzetes ellenőrzése alá tartozik, biztosítandó, hogy a valós idejű adatgyűjtést csak a feltétlenül szükséges mértékben engedélyezzék. Kellően indokolt sürgős esetben az ellenőrzést rövid határidőn belül el kell végezni.
3) A belső piacon az információs társadalommal összefüggő szolgáltatások, különösen az elektronikus kereskedelem egyes jogi vonatkozásairól szóló, 2000. június 8‑i 2000/31/EK európai parlament és tanácsi irányelvet (elektronikus kereskedelemről szóló irányelv) úgy kell értelmezni, hogy az nem alkalmazható az információs társadalommal összefüggő szolgáltatások keretében a közlések és a természetes személyek titkosságának a személyesadat‑kezeléssel kapcsolatos védelme terén, mivel azt az esettől függően a 2009/136 irányelvvel módosított 2002/58 irányelv vagy a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46 irányelv hatályon kívül helyezéséről szóló, 2016. április 27‑i (EU) 2016/679 európai parlamenti és tanácsi rendelet szabályozza. A 2016/679 rendelet 23. cikkének (1) bekezdését az Alapjogi Charta 7., 8. és 11. cikkével, valamint 52. cikkének (1) bekezdésével összefüggésben úgy kell értelmezni, hogy azzal ellentétes az olyan nemzeti szabályozás, amely a nyilvános online hírközlési szolgáltatásokhoz való hozzáférést nyújtókat és a tárhelyszolgáltatókat többek között az e szolgáltatásokhoz kapcsolódó személyes adatok általános és különbségtétel nélküli megőrzésére kötelezi.
4) A nemzeti bíróság nem alkalmazhat olyan nemzeti jogi rendelkezést, amely felhatalmazza őt arra, hogy korlátozza azon ítéletének időbeli hatályát, amelyben olyan nemzeti jogszabályt kell a nemzeti jog alapján jogellenesnek nyilvánítania, amely az elektronikus hírközlési szolgáltatókat – különösen a nemzetbiztonság védelme és a bűnözés elleni küzdelem érdekében – a forgalmi és helymeghatározó adatok általános és különbségtétel nélküli, a 2009/136 irányelvvel módosított 2002/58 irányelv 15. cikkének az Alapjogi Charta 7., 8. és 11. cikkével, valamint 52. cikkének (1) bekezdésével összefüggésben értelmezett (1) bekezdésével összeegyeztethetetlen megőrzésére kötelezi. A tényleges érvényesülés elvének tükrében értelmezett ezen 15. cikk (1) bekezdése alapján a nemzeti büntetőbíróság köteles a bűncselekmények elkövetésével gyanúsított személyekkel szemben indított büntetőeljárásban figyelmen kívül hagyni azokat az információkat és bizonyítékokat, amelyekhez a forgalmi és helymeghatározó adatoknak az uniós joggal összeegyeztethetetlen, általános és különbségtétel nélküli megőrzésével jutottak, ha a gyanúsított személyek nem tudnak hatékony módon észrevételt tenni ezekkel az információkkal és bizonyítékokkal kapcsolatban, amelyek a bíróság tudomásán kívüli területről származnak és döntő befolyással lehetnek a tényállás megállapítására.
Aláírások