Kohtuasi C‑623/17

Privacy International

versus

Secretary of State for Foreign and Commonwealth Affairs jt

(eelotsusetaotlus, mille on esitanud Investigatory Powers Tribunal)

 Euroopa Kohtu (suurkoda) 6. oktoobri 2020. aasta otsus

Eelotsusetaotlus – Isikuandmete töötlemine elektroonilise side sektoris – Elektroonilise side teenuste osutajad – Liiklus- ja asukohaandmete üldine ja vahet tegemata edastamine – Riigi julgeoleku kaitse – Direktiiv 2002/58/EÜ – Kohaldamisala – Artikli 1 lõige 3 ja artikkel 3 – Elektroonilise side konfidentsiaalsus – Kaitse – Artikkel 5 ja artikli 15 lõige 1 – Euroopa Liidu põhiõiguste harta – Artiklid 7, 8 ja 11 ning artikli 52 lõige 1 – ELL artikli 4 lõige 2

1.        Õigusaktide ühtlustamine – Telekommunikatsioonisektor – Isikuandmete töötlemine ja eraelu kaitse elektroonilise side sektoris – Direktiiv 2002/58 – Kohaldamisala – Liikmesriigi õigusnormid, mis panevad elektroonilise side teenuste osutajatele kohustuse edastada julgeoleku- ja luureteenistustele liiklus- ja asukohaandmeid – Eesmärk kaitsta riigi julgeolekut – Hõlmamine

(ELL artikli 4 lõige 2; Euroopa Parlamendi ja nõukogu direktiiv 2002/58, muudetud direktiiviga 2009/136, artikli 1 lõiked 1 ja 3, artikkel 3 ning artikli 15 lõige 1)

(vt punktid 35–39, 41–44, 46, 48 ja 49 ning resolutsiooni punkt 1)

2.        Õigusaktide ühtlustamine – Telekommunikatsioonisektor – Isikuandmete töötlemine ja eraelu kaitse elektroonilise side sektoris – Direktiiv 2002/58 – Kohaldamisala – Liikmesriigi õigusnormid, mis panevad elektroonilise side teenuste osutajatele kohustuse edastada üldiselt ja vahet tegemata liiklus- ja asukohaandmeid julgeoleku- ja luureteenistustele – Eesmärk kaitsta riigi julgeolekut – Lubamatus

(ELL artikli 4 lõige 2; Euroopa Liidu põhiõiguste harta, artiklid 7, 8, 11 ja artikli 52 lõige 1; Euroopa Parlamendi ja nõukogu direktiiv 2002/58, muudetud direktiiviga 2009/136, artikli 5 lõige 1 ja artikli 15 lõige 1)

(vt punktid 55–62 ja 65–82 ning resolutsiooni punkt 2)

Kokkuvõte

Euroopa Kohus kinnitab, et liidu õigusega on vastuolus liikmesriigi õigusnormid, mis panevad elektroonilise side teenuste osutajatele üldisel kuritegevuse vastu võitlemise või riigi julgeoleku kaitsmise eesmärgil kohustuse liiklus- ja asukohaandmeid üldiselt ja vahet tegemata edastada või säilitada.

Seevastu olukordades, kus liikmesriik seisab silmitsi riigi julgeolekut ähvardava suure ohuga, mis osutub tõeliseks ja vahetuks või ettearvatavaks, võib ta teha erandi kohustusest tagada elektroonilise sidega seotud andmete konfidentsiaalsus ning kehtestada seadusandlike meetmetega nende andmete üldise ja vahet tegemata säilitamise kohustuse, mis peab olema ajaliselt piiratud sellega, mis on tingimata vajalik, kuid mida võib ohu püsimise korral pikendada. Ka raskete kuritegude vastu võitlemiseks ja avalikku julgeolekut ähvardava suure ohu ennetamiseks võib liikmesriik näha ette nimetatud andmete eesmärgipärase säilitamise ja nende kiirsäilituse. Sellise põhiõiguste riive puhul tuleb ette näha tõhusad tagatised, mida kontrollib kohus või sõltumatu haldusasutus. Samuti või liikmesriik näha ette side lähtepunktile omistatud IP‑aadresside üldise ja vahet tegemata säilitamise, kui see on ajaliselt piiratud tingimata vajalikuga, või elektroonilise side vahendite kasutajate identiteediga seotud andmete üldise ja vahet tegemata säilitamise, kusjuures viimati nimetatud juhul ei ole vaja kehtestada konkreetset säilitustähtaega.

Viimastel aastatel on Euroopa Kohus mitmes kohtuotsuses käsitlenud isikuandmete säilitamist ja nendele andmetele juurdepääsu elektroonilise side valdkonnas(1). Kohtupraktika, mis tuleneb nendest kohtuotsustest ja iseäranis kohtuotsusest Tele2 Sverige ja Watson jt, milles Euroopa Kohus leidis eelkõige, et liikmesriigid ei või panna elektroonilise side teenuste osutajatele liiklus- ja asukohaandmete üldise ja vahet tegemata säilitamise kohustust, tekitas muret mõnes liikmesriigis, kes kardavad, et neilt on võetud vahend, mida nad peavad riigi julgeoleku kaitsmisel ja kuritegevuse vastu võitlemisel vajalikuks.

Selline on sisuline taust, mille põhjal Investigatory Powers Tribunalis (ametiasutuste järelevalve kohta esitatud kaebusi lahendav kohus, Ühendkuningriik) (Privacy International, C‑623/17), Conseil d’État’s (Prantsusmaa kõrgeima halduskohtuna tegutsev riiginõukogu) (La Quadrature du Net jt, liidetud kohtuasjad C‑511/18 ja C‑512/18) ja Cour constitutionnelle’is (Belgia konstitutsioonikohus) (Ordre des barreaux francophones et germanophone jt, C‑520/18) algatati kohtuasjad, mis puudutavad õigusakte, mille teatud liikmesriigid on nendes valdkondades vastu võtnud ja millega eelkõige pannakse elektroonilise side teenuste osutajatele kohustus kasutajate liiklus- ja asukohaandmeid avaliku võimu asutusele edastada või selliseid andmeid üldiselt ja vahet tegemata säilitada.

Kahes 6. oktoobril 2020 kuulutatud suurkoja otsuses leiab Euroopa Kohus kõigepealt, et eraelu puutumatust ja elektroonilist sidet käsitleva direktiivi kohaldamisalasse kuuluvad riigisisesed õigusnormid, millega elektroonilise side teenuste osutajatele pannakse riigi julgeoleku kaitsmise ja kuritegevuse vastu võitlemise eesmärgil kohustus isikuandmeid töödelda, näiteks neid avaliku võimu asutustele edastada või säilitada. Euroopa Kohus kinnitab küll kohtuotsusest Tele2 Sverige ja Watson jt tulenevat kohtupraktikat, mille kohaselt on liiklus- ja asukohaandmete üldine ja vahet tegemata säilitamine ebaproportsionaalne, kuid lisab täpsustused eelkõige selle kohta, kui ulatuslikud on volitused, mille see direktiiv liikmesriikidele andmete eespool nimetatud eesmärkidel säilitamisel annab.

Kõigepealt hajutab Euroopa Kohus käesolevates kohtuasjades väljendatud kahtlused eraelu puutumatust ja elektroonilist sidet käsitleva direktiivi kohaldatavuse küsimuses. Mitu Euroopa Kohtule kirjalikud seisukohad esitanud liikmesriiki olid selles küsimuses nimelt lahkarvamusel. Nad väitsid eelkõige, et see direktiiv ei ole vaidlusalustele riigisisestele õigusnormidele kohaldatav, sest nende õigusnormide eesmärk on kaitsta riigi julgeolekut, mis kuulub liikmesriikide ainupädevusse, mida muu hulgas kinnitab ELL artikli 4 lõike 2 kolmas lause. Euroopa Kohus leiab siiski, et riigisisesed õigusnormid, millega elektroonilise side teenuste osutajatele pannakse riigi julgeoleku kaitsmise ja kuritegevuse vastu võitlemise eesmärgil kohustus liiklus- ja asukohaandmeid säilitada või neid andmeid sel eesmärgil riigi julgeoleku- ja luureteenistustele edastada, kuuluvad selle direktiivi kohaldamisalasse.

Järgmiseks märgib Euroopa Kohus, et eraelu puutumatust ja elektroonilist sidet käsitlev direktiiv(2) ei võimalda seda, et erand põhimõttelisest kohustusest tagada elektroonilise side ja sellega seotud andmete konfidentsiaalsus ning keelust neid andmeid salvestada muutuks reegliks. See tähendab, et see direktiiv lubab liikmesriikidel võtta seadusandlikke meetmeid, mis piiravad direktiivis ette nähtud õigusi ja kohustusi ning eelkõige kohustust tagada side ja liiklusandmete konfidentsiaalsus(3) ka riigi julgeoleku kaitsmise eesmärgil ainult juhul, kui see on kooskõlas liidu õiguse üldpõhimõtetega, mille hulka kuulub proportsionaalsuse põhimõte, ja hartaga tagatud põhiõigustega(4).

Selle raames leiab Euroopa Kohus esiteks kohtuasjas Privacy International, et eraelu puutumatust ja elektroonilist sidet käsitleva direktiiviga, tõlgendatuna harta alusel, on vastuolus liikmesriigi õigusnormid, mis panevad elektroonilise side teenuste osutajatele riigi julgeoleku kaitsmise eesmärgil kohustuse edastada julgeoleku- ja luureteenistustele üldiselt ja vahet tegemata liiklus- ja asukohaandmeid. Teiseks leiab Euroopa Kohus liidetud kohtuasjades La Quadrature du Net jt ning kohtuasjas Ordre des barreaux francophones et germanophone jt, et sama direktiiviga on vastuolus seadusandlikud meetmed, millega pannakse elektroonilise side teenuste osutajatele ennetava meetmena liiklus- ja asukohaandmete üldise ja vahet tegemata säilitamise kohustus. Selliste andmete edastamise ning üldise ja vahet tegemata säilitamise kohustused kujutavad endast nimelt hartaga tagatud põhiõiguste eriti raskeid riiveid, ilma et andmesubjektide käitumisel oleks seos kõnealuste õigusnormidega taotletava eesmärgiga. Euroopa Kohus annab analoogilise tõlgenduse andmekaitse üldmääruse(5) artikli 23 lõikele 1, leides, et seda tuleb lähtuvalt hartast tõlgendada nii, et sellega on vastuolus riigisisesed õigusnormid, millega pannakse üldkasutatavate veebipõhiste sideteenuste ja veebimajutusteenuste osutajatele kohustus üldiselt ja vahet tegemata säilitada nende teenustega seotud isikuandmeid.

Seevastu leiab Euroopa Kohus, et olukordades, kus liikmesriik seisab silmitsi riigi julgeolekut ähvardava suure ohuga, mis osutub tõeliseks ja vahetuks või ettearvatavaks, ei ole eraelu puutumatust ja elektroonilist sidet käsitleva direktiiviga, tõlgendatuna lähtuvalt hartast, vastuolus see, kui elektroonilise side teenuste osutajatele pannakse kohustus liiklus- ja asukohaandmeid üldiselt ja vahet tegemata säilitada. Euroopa Kohus täpsustab sellega seoses, et otsus, millega selline ettekirjutus tehakse, peab olema ajaliselt piiratud tingimata vajalikuga ning seda peab tõhusalt kontrollima kas kohus või sõltumatu haldusasutus – kelle otsus on siduv –, selleks et teha kindlaks, kas esineb mõni selline olukord ning kas on järgitud ette nähtud tingimusi ja tagatisi. Samadel tingimustel ei ole selle direktiiviga vastuolus ka elektroonilise side vahendite kõigi kasutajate andmete, eelkõige liiklus- ja asukohaandmete automatiseeritult analüüsimine.

Euroopa Kohus lisab, et eraelu puutumatust ja elektroonilist sidet käsitleva direktiiviga, tõlgendatuna lähtuvalt hartast, ei ole vastuolus seadusandlikud meetmed, mis võimaldavad liiklus- ja asukohaandmeid eesmärgipäraselt säilitada, kui see on objektiivsete ja mittediskrimineerivate asjaolude alusel piiritletud vastavalt andmesubjektide kategooriatele või geograafilise kriteeriumi põhjal. Samuti ei ole selle direktiiviga vastuolus seadusandlikud meetmed, mis näevad ette side lähtepunktile omistatud IP‑aadresside üldise ja vahet tegemata säilitamise, kui see on ajaliselt piiratud tingimata vajalikuga, või elektroonilise side vahendite kasutajate identiteediga seotud andmete üldise ja vahet tegemata säilitamise, kusjuures viimati nimetatud juhul ei ole liikmesriikidel vaja säilitusaega piirata. Selle direktiiviga ei ole vastuolus ka seadusandlik meede, mis võimaldab elektroonilise side teenuste osutajate valduses olevaid liiklus- ja asukohaandmete kiirsäilitust, juhul kui esinevad olukorrad, kus andmeid on vaja säilitada seaduses sätestatud tähtaegadest pikemaks ajaks, et selgitada välja raskete kuritegude toimepanemine või riigi julgeoleku kahjustamine, kui selliseid kuritegusid või kahjustamisi on juba tuvastatud või kui nende olemasolu võib mõistlikult kahtlustada.

Peale selle otsustab Euroopa Kohus, et eraelu puutumatust ja elektroonilist sidet käsitleva direktiiviga, tõlgendatuna lähtuvalt hartast, ei ole vastuolus riigisisesed õigusnormid, millega pannakse elektroonilise side teenuste osutajatele kohustus liiklus- ja asukohaandmeid reaalajas koguda, kui see on piiratud isikutega, kelle puhul on mõjuv põhjus kahtlustada, et nad on ühel või teisel viisil seotud terrorismiga, ning kui seda kontrollib enne kas kohus või sõltumatu haldusasutus – kelle otsus on siduv –, selleks et tagada, et andmete reaalajas kogumiseks antakse luba üksnes tingimata vajaliku piires. Kiireloomulisel juhul peab kontroll toimuma lühikese aja jooksul.

Viimaks käsitleb Euroopa Kohus liidu õigusega vastuolus olevaks tunnistatud riigisiseste õigusnormide toime säilitamist teatavaks ajaks. Ta otsustab, et liikmesriigi kohus ei või kohaldada riigisisest õigusnormi, mis annab talle õiguse ajaliselt piirata tagajärgi, mis kaasnevad sellega, kui ta tühistab riigisisese õigusakti, millega on elektroonilise side teenuste osutajatele kehtestatud liiklus- ja asukohaandmete üldise ja vahet tegemata säilitamise kohustus, mis on tunnistatud vastuolus olevaks eraelu puutumatust ja elektroonilist sidet käsitleva direktiiviga, tõlgendatuna lähtuvalt hartast.

Liikmesriigi kohtule tarviliku vastuse andmiseks tuletab Euroopa Kohus samas meelde, et kehtiva liidu õiguse kohaselt võib üldjuhul üksnes riigisiseses õiguses kindlaks määrata reeglid, mis puudutavad rasketes kuritegudes kahtlustatavate isikute suhtes alustatud kriminaalmenetluses sellise teabe ja selliste tõendite lubatavust ja hindamist, mis on saadud andmete liidu õigusega vastuolus oleva säilitamise teel. Euroopa Kohus täpsustab siiski, et eraelu puutumatust ja elektroonilist sidet käsitlev direktiiv, tõlgendatuna lähtuvalt tõhususe põhimõttest, kohustab liikmesriigi kriminaalkohut jätma kriminaalmenetluses arvesse võtmata tõendid, mis on saadud liiklus- ja asukohaandmete liidu õigusega vastuolus oleva üldise ja vahet tegemata säilitamise teel, kui kuritegudes kahtlustatavatel ei ole võimalik nende tõendite suhtes tõhusalt seisukohta võtta.

1      8. aprilli 2014. aasta kohtuotsuses Digital Rights Ireland jt (C‑293/12 ja C‑594/12, EU:C:2014:238) (vt pressiteade nr 54/14) tunnistas Euroopa Kohus kehtetuks Euroopa Parlamendi ja nõukogu 15. märtsi 2006. aasta direktiivi 2006/24/EÜ, mis käsitleb üldkasutatavate elektrooniliste sideteenuste või üldkasutatavate sidevõrkude pakkujate tegevusega kaasnevate või nende töödeldud andmete säilitamist ja millega muudetakse direktiivi 2002/58/EÜ (ELT 2006, L 105, lk 54), põhjusel et Euroopa Liidu põhiõiguste hartaga (edaspidi „harta“) kaitstud põhiõiguste eraelu puutumatusele ja isikuandmete kaitsele riive, mille selle direktiiviga ette nähtud kohustus liiklus- ja asukohaandmeid üldiselt ja vahet tegemata säilitada kaasa tõi, ei piirdunud sellega, mis on tingimata vajalik. Seejärel tõlgendas Euroopa Kohus 21. detsembri 2016. aasta kohtuotsuses Tele2 Sverige ja Watson jt (C‑203/15 ja C‑698/15, EU:C:2016:970) (vt pressiteade nr 145/16) Euroopa Parlamendi ja nõukogu 12. juuli 2002. aasta direktiivi 2002/58/EÜ, milles käsitletakse isikuandmete töötlemist ja eraelu puutumatuse kaitset elektroonilise side sektoris (eraelu puutumatust ja elektroonilist sidet käsitlev direktiiv) (EÜT 2002, L 201, lk 37; ELT eriväljaanne 13/29, lk 514) (muudetud Euroopa Parlamendi ja nõukogu 25. novembri 2009. aasta direktiiviga 2009/136/EÜ (ELT 2009, L 337, lk 11)) (edaspidi „eraelu puutumatust ja elektroonilist sidet käsitlev direktiiv“) artikli 15 lõiget 1. See direktiiv võimaldab liikmesriikidel – muu hulgas riigi julgeoleku kaitsmiseks – võtta „seadusandlikke meetmeid“ teatavate selles direktiivis ette nähtud õiguste ja kohustuste ulatuse piiramiseks. Lõpuks, 2. oktoobri 2018. aasta kohtuotsuses Ministerio Fiscal (C‑207/16, EU:C:2018:788) (vt pressiteade nr 141/18), tõlgendas Euroopa Kohus kõnealuse artikli 15 lõiget 1 kohtuasjas, mis puudutas avaliku võimu asutusele juurdepääsu elektroonilise side vahendite kasutajate identiteeti puudutavatele andmetele.

2      Direktiivi 2002/58 artikli 15 lõiked 1 ja 3.

3      Direktiivi 2002/58 artikli 5 lõige 1.

4      Eelkõige harta artiklid 7, 8, 11 ja artikli 52 lõige 1.

5      Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määrus (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) (ELT 2016, L 119, lk 1).