FÖRSLAG TILL AVGÖRANDE AV GENERALADVOKAT
MANUEL CAMPOS SÁNCHEZ-BORDONA
föredraget den 18 november 2021(1)
Mål C‑140/20
G.D.
mot
Commissioner of the Garda Síochána,
Minister for Communications, Energy and Natural Resources,
Attorney General
(begäran om förhandsavgörande från Supreme Court (Högsta domstolen, Irland))
”Begäran om förhandsavgörande – Telekommunikationer – Behandling av personuppgifter – Konfidentialitet vid kommunikation – Leverantörer av elektroniska kommunikationstjänster – Direktiv 2002/58/CE – Artikel 15.1 – Artikel 4.2 FEU – Europeiska unionens stadga om de grundläggande rättigheterna – Artiklarna 7, 8, 11 och 52.1 – Generell och odifferentierad lagring av trafik- och lokaliseringsuppgifter – Tillgång till lagrade uppgifter – Användning av lagrade uppgifter som bevisning i ett brottmål”
1. Denna begäran om förhandsavgörande, liksom begäran i de förenade målen C‑793/19, SpaceNet, och C‑794/19, Telekom Deutschland, i vilka jag också föredrar förslag till avgörande(2) samma dag, visar än en gång att det i vissa medlemsstater råder osäkerhet om EU-domstolens praxis rörande lagring och tillgång till personuppgifter som genererats inom sektorn för elektronisk kommunikation.
2. I mina förslag till avgörande i de förenade målen C‑511/18 och C‑512/18, La Quadrature du Net m.fl.,(3) och i mål C‑520/18, Ordre des barreaux francophones et germanophone m.fl.,(4) angav jag att EU-domstolens viktigaste domar dittills var följande:
– Dom av den 8 april 2014, Digital Rights Ireland m.fl.,(5) i vilken domstolen slog fast att direktiv 2006/24/EG(6) var ogiltigt, på grund av att det medgav ett oproportionerligt ingrepp i de rättigheter som säkerställs i artiklarna 7 och 8 i Europeiska unionens stadga om de grundläggande rättigheterna (nedan kallad stadgan).
– Dom av den 21 december 2016, Tele2 Sverige och Watson m.fl.,(7) i vilken domstolen slog fast att artikel 15.1 i direktiv 2002/58/EG(8) utgör hinder för en nationell lagstiftning som i brottsbekämpande syfte föreskriver en generell och odifferentierad lagring av samtliga trafik- och lokaliseringsuppgifter.
– Dom av den 2 oktober 2018, Ministerio Fiscal,(9) vilken bekräftade tolkningen av artikel 15.1 i direktiv 2002/58 och klargjorde proportionalitetsprincipens betydelse i detta sammanhang.
3. År 2018 vände sig domstolar i vissa medlemsstater till EU-domstolen och begärde förhandsavgöranden, i vilka frågorna handlade om huruvida de ovannämnda domarna (från 2014, 2016 och 2018) berövade de statliga myndigheterna ett nödvändigt instrument för att värna om den nationella säkerheten och för att bekämpa brottslighet och terrorism.
4. Fyra av dessa beslut om begäran om förhandsavgörande ledde fram till domen i målet Privacy International(10) och domen i målet La Quadrature du Net m.fl.,(11) båda av den 6 oktober 2020, vilka i allt väsentligt fastställde praxis enligt domen Tele2 Sverige, samtidigt som domstolen införde vissa kompletterande nyanseringar.
5. Mot bakgrund av deras ursprung (domstolens stora avdelning), deras innehåll och deras strävan att, i dialog med de hänskjutande domstolarna, ingående förklara de skäl som motiverar domstolens slutsatser i de domarna, kunde man vänta sig att dessa ”sammanfattande” domar av den 6 oktober 2020 skulle avsluta diskussionen. Varje annan begäran om förhandsavgörande rörande samma fråga borde således föranleda ett motiverat beslut, enligt artikel 99 i domstolens rättegångsregler.
6. Före den 6 oktober 2020 hade emellertid ytterligare tre beslut om begäran om förhandsavgörande registrerats vid domstolen (det i förevarande mål och de i förenade målen C‑793/19 och C-794/19), vars innehåll åter ifrågasatte domstolens praxis rörande artikel 15.1 i direktiv 2002/58.
7. EU-domstolen informerade de hänskjutande domstolarna om domarna av den 6 oktober 2020 och frågade om den ville dra tillbaka sitt beslut om begäran om förhandsavgörande. Eftersom den vidhöll sin begäran, vilket jag ska återkomma till nedan,(12) har EU-domstolen valt att inte tillämpa artikel 99 i rättegångsreglerna utan låta domstolens stora avdelning besvara tolkningsfrågorna.
I. Tillämpliga bestämmelser
A. Unionsrätt. Direktiv 2002/58
8. Punkt 1 i artikel 5 (”Konfidentialitet vid kommunikation”) har följande lydelse:
”Medlemsstaterna skall genom nationell lagstiftning säkerställa konfidentialitet vid kommunikation och därmed förbundna trafikuppgifter via allmänna kommunikationsnät och allmänt tillgängliga elektroniska kommunikationstjänster. De skall särskilt förbjuda avlyssning, uppfångande med tekniskt hjälpmedel, lagring eller andra metoder som innebär att kommunikationen och de därmed förbundna trafikuppgifterna kan fångas upp eller övervakas av andra personer än användarna utan de berörda användarnas samtycke, utom när de har laglig rätt att göra detta i enlighet med artikel 15.1. Denna punkt får inte förhindra teknisk lagring som är nödvändig för överföring av kommunikationen utan att det påverkar principen om konfidentialitet.”
9. Artikel 6 (”Trafikuppgifter”) har följande lydelse:
”1. Trafikuppgifter om abonnenter och användare som behandlas och lagras av leverantören av ett allmänt kommunikationsnät eller en allmänt tillgänglig elektronisk kommunikationstjänst skall utplånas eller avidentifieras när de inte längre behövs för sitt syfte att överföra en kommunikation, utan att det påverkar tillämpningen av punkterna 2, 3 och 5 i den här artikeln samt artikel 15.1.
2. Trafikuppgifter som krävs för abonnentfakturering och betalning av samtrafikavgifter får behandlas. Sådan behandling är tillåten endast fram till utgången av den period under vilken det lagligen går att göra invändningar mot fakturan eller kräva betalning.
…”
10. I artikel 15 (”Tillämpningen av vissa bestämmelser i direktiv 95/46/EG”)(13) föreskrivs följande i punkt 1:
”Medlemsstaterna får genom lagstiftning vidta åtgärder för att begränsa omfattningen av de rättigheter och skyldigheter som anges i artikel 5, artikel 6, artikel 8.1, 8.2, 8.3 och 8.4 och artikel 9 i detta direktiv när en sådan begränsning i ett demokratiskt samhälle är nödvändig, lämplig och proportionell för att skydda nationell säkerhet (dvs. statens säkerhet), försvaret och allmän säkerhet samt för förebyggande, undersökning, avslöjande av och åtal för brott eller vid obehörig användning av ett elektroniskt kommunikationssystem enligt artikel 13.1 i direktiv 95/46/EG. Medlemsstaterna får för detta ändamål bland annat vidta lagstiftningsåtgärder som innebär att uppgifter får bevaras under en begränsad period som motiveras av de skäl som fastställs i denna punkt. Alla åtgärder som avses i denna punkt skall vara i enlighet med de allmänna principerna i gemenskapslagstiftningen, inklusive principerna i artikel 6.1 och 6.2 i Fördraget om Europeiska unionen.”
B. Nationell rätt. 2011 års kommunikationslag (lagring av uppgifter) (Communications (Retention of Data) Act 2011) (nedan kallad 2011 års lag)
11. Supreme Court (Högsta domstolen) beskriver den nationella lagstiftningen på följande sätt i punkt 3 i sitt beslut om begäran om förhandsavgörande):
– ”2011 års lag antogs i det uttryckliga syftet att genomföra direktiv 2006/24.
– Enligt section 3 i 2011 års lag krävs att alla tjänsteleverantörer lagrar ’uppgifter från telefoni i fasta nät och mobil telefoni’ under en period av två år.
– Detta är uppgifter som identifierar kommunikationskällan, slutmålet för kommunikationen, datum och tid då kommunikationen påbörjas och avslutas, typ av kommunikation samt typ av kommunikationsutrustning som används och dess geografiska placering. Kommunikationernas innehåll ingår inte i denna typ av uppgifter.
– Åtkomst till och utlämnande av de lagrade uppgifterna kan beviljas till följd av en begäran om utlämnande. I section 6 i 2011 års lag anges på vilka villkor en begäran om utlämnande kan göras och i subsection 1 föreskrivs att en tjänsteman vid An Garda Síochána (Irlands nationella poliskår) med lägst rangen polisintendent får lämna in en begäran om utlämnande, om han eller hon är helt säker på att uppgifterna krävs för bland annat förebyggande, avslöjande, utredning eller åtal av ett allvarligt brott. Med ’allvarligt brott’ avses ett brott för vilket straffet är fängelse i minst fem år och även de brott som förtecknas i bilaga 1 till samma lag.
– De tillsynsmekanismer som föreskrivs i 2011 års lag omfattar det klagomålsförfarande som anges i section 10 i denna lag och de skyldigheter som åligger en ’utsedd domare’ enligt section 12, vilken har i uppgift att kontrollera genomförandet av bestämmelserna i denna lag.
– Som en intern policy har Garda Commissioner, det vill säga chefen för An Garda Síochána, beslutat att ansökningar om utlämnande av telefoniuppgifter som inges i enlighet med 2011 års lag ska handläggas centralt av en och samma polisintendent. Den kriminalintendent som getts ansvaret för frågor som rör utlämnande av uppgifter är chefen för säkerhets- och underrättelseavdelningen vid An Garda Síochána, och det är han eller hon som i sista hand beslutar huruvida en begäran om utlämnande ska inges till kommunikationstjänsteleverantörerna i enlighet med bestämmelserna i 2011 års lag. En liten oberoende enhet kallad Telecommunications Liaison Unit (TLU) har inrättats för att bistå kriminalintendenten i detta arbete och för att fungera som enda kontaktpunkt med tjänsteleverantörerna.
– Vid den tidpunkt som är relevant i förevarande utredning behövde alla begäranden om utlämnande först godkännas av en poliskommissarie (eller en polisinspektör) innan de sändes till TLU för handläggning. Utredarna hade fått anvisningar om att lämna tillräckligt detaljerade uppgifter i begäran för att möjliggöra ett välgrundat beslut och att ha i åtanke att polisintendenten senare kunde komma att behöva motivera beslutet i domstol eller inför den utsedda domaren i High Court. TLU och kriminalintendenten hade i uppgift att kontrollera att de begäranden om utlämnande som ingavs av tjänstemän vid An Garda Síochána var lagenliga, proportionerliga och nödvändiga. Begäranden som bedömdes inte uppfylla kraven i lagen eller i An Garda Síochánas interna protokoll återsändes för klargöranden eller ytterligare information. Enligt ett samförståndsavtal som ingicks i maj 2011 skulle tjänsteleverantörer inte behandla begäranden om telefonsamtalsrelaterade uppgifter som inte inkommit genom detta förfarande. TLU är också föremål för revision, som utförs av Data Protection Commissioner (den irländska datatillsynsmyndigheten).”
12. I bilaga I till beslutet om begäran om förhandsavgörande finns vissa ytterligare preciseringar rörande innehållet i 2011 års lag. I dessa preciseringar anges följande:
– Enligt section 1 i 2011 års lag avses med ”uppgifter” ”trafik- eller lokaliseringsuppgifter och därmed sammanhängande uppgifter för att identifiera abonnenten eller användaren”.
– Enligt section 6.1 i 2011 års lag får en tjänsteman vid polisen, på ovan angivna villkor, ges tillgång till dessa uppgifter om han eller hon anser att det behövs för att ”a) förebygga, avslöja, utreda eller lagföra ett allvarligt brott, b) skydda statens säkerhet och c) skydda människors liv”.
II. Faktiska omständigheter, det nationella målet och tolkningsfrågor
13. År 2015 dömdes G.D. till livstids fängelse för ett mord. Domen överklagades till Court of Appeal. Under rättegången i den domstolen bestred G.D. utan framgång att viss bevisning i åtalet vilken grundades på lagrade telefoniuppgifter kunde tillåtas.
14. Parallellt med överklagandet i brottmålet väckte G.D. talan i ett civilmål(14) vid High Court (Överdomstolen, Irland) och bestred giltigheten av vissa bestämmelser i 2011 års lag, vilka låg till grund för lagringen av och åtkomsten till ifrågavarande telefoniuppgifter.
15. Genom beslut av den 6 december 2018, biföll High Court (Överdomstolen) G.D.:s talan om fastställelse av att section 6.1 a i 2011 års lag är oförenlig med artikel 15.1 i direktiv 2002/58/EG jämförd med artiklarna 7, 8 och 52.1 i stadgan.
16. Den irländska regeringen överklagade detta beslut till Supreme Court (Högsta domstolen, Irland) som har hänskjutit följande tolkningsfrågor till EU‑domstolen:
”1) Är en generell/allmän ordning för lagring av uppgifter som sådan – även om den omfattas av strikta begränsningar för lagring och åtkomst – oförenlig med bestämmelserna i artikel 15 i direktiv 2002/58/EG jämförd med stadgan?
2) Har en nationell domstol – vid prövningen av huruvida den ska bifalla ett yrkande om fastställelse av oförenlighet vad gäller en nationell åtgärd som har genomförts i enlighet med direktiv 2006/24/EG och som tillåter en generell ordning för lagring av uppgifter (som omfattas av nödvändiga strikta kontroller avseende lagring och/eller åtkomst), och särskilt vid bedömningen av huruvida en sådan ordning är proportionerlig – rätt att beakta den omständigheten att tjänsteleverantörer lagligen kan lagra uppgifter för sina egna kommersiella syften och att lagring av uppgifter kan krävas av skäl som avser den nationella säkerheten, vilket inte omfattas av bestämmelserna i direktiv 2002/58/EG?
3) Vilka kriterier bör en nationell domstol tillämpa när den – i samband med fastställandet av huruvida en nationell åtgärd för åtkomst till lagrade uppgifter är förenlig med unionsrätten och särskilt med stadgan om de grundläggande rättigheterna – bedömer huruvida en sådan åtkomstordning inbegriper en oberoende förhandskontroll enligt kraven i EU-domstolens praxis? Kan en nationell domstol i detta sammanhang, när den gör denna bedömning, ta hänsyn till att oberoende granskning eller domstolskontroll tillämpas i efterhand?
4) Är en nationell domstol under alla omständigheter skyldig att fastställa att en nationell åtgärd är oförenlig med bestämmelserna i artikel 15 i direktiv 2002/58/EG, om den nationella åtgärden tillåter en generell ordning för lagring av uppgifter i syfte att bekämpa allvarliga brott och den nationella domstolen mot bakgrund av all tillgänglig bevisning har fastslagit att sådan lagring är både väsentlig och strikt nödvändig för att uppnå målet att bekämpa allvarliga brott?
5) Om en nationell domstol är skyldig att fastställa att en nationell åtgärd är oförenlig med bestämmelserna i artikel 15 i direktiv 2002/58/EG jämförd med stadgan, har den då rätt att begränsa den tidsmässiga verkan av en sådan fastställelse, om den är helt säker på att underlåtenhet att göra detta skulle leda till ’störande av ordning och skada för det allmänna intresset’ (i linje med synsättet i till exempel domen R (National Council for Civil Liberties) mot Secretary of State for Home Department och Secretary of State for Foreign Affairs (2018) EWHC 975, punkt 46)?
6) Får en nationell domstol, som – inom ramen för ett förfarande som har inletts i syfte att främja ett argument som avser tillåtligheten av bevisning i ett brottmål, eller i något annat sammanhang – har anmodats att fastställa att nationell lagstiftning är oförenlig med artikel 15 i direktiv 2002/58/EG och/eller att underlåta att tillämpa denna lagstiftning och/eller att fastställa att tillämpningen av lagstiftningen i fråga har medfört en kränkning av en enskild persons rättigheter, vägra att fastställa detta med avseende på uppgifter som lagrats i enlighet med den nationella bestämmelsen i fråga, vilken har genomförts i enlighet med den skyldighet som följer av artikel 288 FEUF att i nationell rätt noggrant införliva bestämmelserna i ett direktiv, eller får den begränsa fastställelsen till perioden efter det att direktiv 2006/24/EG ogiltigförklarades av EU-domstolen den 8 april 2014?”
17. Supreme Court (Högsta domstolen) har angett att bevisning av det slag som lades fram i brottmålet mot G.D. får allt större betydelse när det gäller att avslöja och väcka åtal för vissa kategorier av allvarliga brott. Supreme Court har betonat att om allmän lagring av metadata inte tilläts oavsett vilket skydd en åtkomstordning än erbjuder, skulle många av dessa allvarliga brott inte kunna avslöjas eller leda till åtal.
18. Mot bakgrund av detta har Supreme Court påpekat följande:
– Alternativa former av uppgiftslagring, med användning av geografisk målinriktning eller annat, skulle vara ineffektiva när det gäller att uppnå målen att förebygga, utreda, avslöja och åtala för åtminstone vissa typer av allvarliga brott och skulle dessutom kunna föranleda potentiella kränkningar av andra rättigheter för enskilda.
– Målsättningen att lagra uppgifter genom mindre ingripande medel än de som används inom en ordning för generell lagring av uppgifter vilken omfattas av nödvändiga skyddsåtgärder är ogenomförbar.
– Målsättningarna att förebygga, utreda, avslöja och åtala för allvarliga brott skulle i hög grad komprometteras i avsaknad av en ordning för generell lagring av uppgifter.
III. Förfarandet vid domstolen
19. Begäran om förhandsavgörande inkom till domstolens kansli den 25 mars 2020.
20. Skriftliga yttranden har getts in av G.D., Commmisioner of the Garda Síochána (chefen för An Garda Síochána), den belgiska, den tjeckiska, den cypriotiska, den danska, den spanska, den estniska, den finländska, den franska, den nederländska, den polska, den portugisiska och den svenska regeringen samt Europeiska kommissionen.
21. Den hänskjutande domstolen tillfrågades om den eventuellt hade för avsikt att dra tillbaka begäran om förhandsavgörande efter det att domen La Quadrature du Net hade meddelats, och den svarade, genom en inlaga som inkom den 27 oktober 2020, att den hade för avsikt att vidhålla den.(15)
22. Förhandlingen hölls den 13 september 2021, då även de förenade målen C‑793/19, SpaceNet, och C‑794/19, Telekom Deutschland, behandlades. Vid förhandlingen närvarade de som hade ingett skriftliga yttranden (med undantag av den belgiska, den tjeckiska och den portugisiska regeringen) samt Europeiska datatillsynsmannen.
IV. Bedömning
A. Inledande anmärkning
23. Merparten av de som har yttrat sig i målet är eniga om att de sex frågor som Supreme Court (Högsta domstolen) har hänskjutit rörande artikel 15.1 i direktiv 2002/58 kan grupperas i tre avdelningar, vilka rör följande:
– Huruvida en ordning för generell och odifferentierad lagring av uppgifter är rättsenlig som sådan och när det gäller bekämpande av grov brottslighet (fråga 1, 2 och 4).
– Vilka eventuella kännetecken som åtkomsten till de lagrade uppgifterna ska ha (fråga 3).
– Huruvida det är möjligt att tidsmässigt begränsa verkningarna av ett eventuellt fastställande av att den nationella lagstiftningen inom detta område är oförenlig med unionsrätten (fråga 5 och 6).
24. Jag anser att alla dessa frågor slutgiltigt har besvarats i domen La Quadrature du Net och i dom av den 2 mars 2021, Prokuratuur (Villkor för tillgång till uppgifter om elektroniska kommunikationer).(16)
25. Vad beträffar domen La Quadrature du Net, var den hänskjutande domstolen mycket kortfattad i sitt svar till EU-domstolen efter det att den fått kännedom om den domen.
26. Efter att ha medgett att den domen bidrar till att klargöra unionsrätten, påpekade den hänskjutande domstolen helt kort att ”den typ av fall som ligger bakom det förfarande i vilket Supreme Court (Högsta domstolen) har begärt ett förhandsavgörande, skiljer sig avsevärt från den typ av situationer som ligger bakom de förfaranden som mynnade ut i den domen”.(17)
27. Dessa uttalanden från den hänskjutande domstolen, vilka gjordes efter det att den hade begärt ett förhandsavgörande, innebär inte att den ifrågasätter praxis enligt domen La Quadrature du Net (vilket däremot några av de regeringar som har yttrat sig i förevarande mål har gjort) eller att den efterfrågar klargöranden om den domens innehåll.
28. Även om de ”situationer som ligger bakom”(18) de förfaranden som mynnade ut i domen La Quadrature du Net skiljer sig från situationerna i förevarande mål, är det viktiga att den praxis som EU-domstolen generellt har lagt fast i den domen ska tillämpas erga omnes och att den är bindande för domstolarna i medlemsstaterna när det gäller tolkningen av direktiv 2002/58.
29. Vad beträffar tillgången till de lagrade uppgifterna, anser jag också att domen Prokuratuur, vilken meddelades efter det att den hänskjutande domstolen hade beslutat att vidhålla sin begäran om förhandsavgörande, besvarar de frågor som har hänskjutits där.
30. Mot bakgrund av detta och till skillnad från det synsätt som jag har tillämpat i mitt förslag till avgörande i de förenade målen SpaceNet och Deutsche Telekom,(19) ska jag i förevarande förslag enbart ta upp de konsekvenser som domen La Quadrature du Net och domen Prokuratuur får för förevarande mål om förhandsavgörande, enligt den ursprungliga begäran.
B. En generell och odifferentierad lagring av trafikuppgifter och lokaliseringsuppgifter (fråga 1, 2 och 4)
31. Den hänskjutande domstolen önskar i korthet få klarhet i följande:
– Huruvida artikel 15.1 i direktiv 2002/58, tolkad mot bakgrund av stadgan, utgör hinder för en ordning för generell lagring av uppgifter.
– Huruvida det vid bedömningen av en nationell lagstiftning som föreskriver en ordning för generell och odifferentierad lagring av trafikuppgifter och lokaliseringsuppgifter, som är underkastad stränga kontroller, har betydelse att tjänsteleverantörerna lagligen kan lagra uppgifter för sina egna kommersiella syften och att lagring av uppgifter kan krävas av skäl som avser den nationella säkerheten.
– Huruvida en nationell lagstiftning fortfarande är oförenlig med artikel 15 i direktiv 2002/58 när den lagstiftningen föreskriver en generell lagring av sådana uppgifter för att bekämpa grov brottslighet.
32. Såsom jag även angett i mitt förslag till avgörande i de förenade målen SpaceNet och Telekom Deutschland,(20) kan svaren på dessa frågor inte skilja sig från de svar som EU-domstolen gav i domen La Quadrature du Net, i vilken den sammanfattade rättspraxis rörande detta.
33. Jag vill således till att börja med erinra om domstolens praxis i den domen, vilken sammanfattas på följande sätt i punkt 168:
”Artikel 15.1 i direktiv 2002/58, jämförd med artiklarna 7, 8, 11 och 52.1 i stadgan, ska tolkas så, att den utgör hinder för lagstiftning vilken, för de ändamål som anges i nämnda artikel 15.1, föreskriver generell och odifferentierad lagring av trafik- och lokaliseringsuppgifter i förebyggande syfte. Artikel 15.1 i direktiv 2002/58, jämförd med artiklarna 7, 8 och 11 och artikel 52.1 i stadgan, utgör däremot inte hinder för lagstiftning
– som, för att skydda nationell säkerhet, tillåter att leverantörer av elektroniska kommunikationstjänster åläggs att på ett generellt och odifferentierat sätt lagra trafik- och lokaliseringsuppgifter i situationer där den berörda medlemsstaten står inför ett allvarligt hot mot nationell säkerhet beträffande vilket det är visat att hotet är verkligt och aktuellt eller förutsebart, varvid beslutet om åläggande av nämnda lagringsskyldighet måste kunna bli föremål för effektiv kontroll antingen av en domstol eller av en oberoende myndighet, vars avgörande har bindande verkan, i syfte att kontrollera om någon av dessa situationer föreligger och att de villkor och garantier som måste ställas upp är uppfyllda, och varvid åläggandet endast får meddelas för en period som måste vara tidsmässigt begränsad till vad som är strängt nödvändigt, men som kan förlängas om hotet fortfarande kvarstår,
– som, för att skydda nationell säkerhet, bekämpa grov brottslighet och förhindra allvarliga hot mot allmän säkerhet, föreskriver en riktad lagring av trafik- och lokaliseringsuppgifter vilken, på grundval av objektiva och icke-diskriminerande faktorer, är avgränsad genom de kategorier av personer som berörs eller genom ett geografiskt kriterium, för en period som är tidsmässigt begränsad till vad som är strängt nödvändigt men som kan förlängas,
– som, för att skydda nationell säkerhet, bekämpa grov brottslighet och förhindra allvarliga hot mot allmän säkerhet, föreskriver en generell och odifferentierad lagring av IP-adresser som har tilldelats källan till en internetanslutning, för en period som är tidsmässigt begränsad till vad som är strängt nödvändigt,
– som, för att skydda nationell säkerhet, bekämpa brottslighet och skydda allmän säkerhet, föreskriver en generell och odifferentierad lagring av uppgifter om den fysiska identiteten för användare av elektroniska kommunikationsmedel, och
– som, för att bekämpa grov brottslighet eller, i ännu högre grad, skydda nationell säkerhet, tillåter att leverantörer av elektroniska kommunikationstjänster genom ett beslut från behörig myndighet, vilket är föremål för effektiv domstolskontroll, åläggs att, under en begränsad tidsperiod, skyndsamt säkra de trafik- och lokaliseringsuppgifter som dessa tjänsteleverantörer har tillgång till,
förutsatt att denna lagstiftning, genom klara och precisa regler, säkerställer att lagringen av uppgifterna i fråga iakttar tillämpliga materiella och formella villkor, och att de berörda personerna förfogar över effektiva garantier mot riskerna för missbruk.”
34. Den bärande tanken i EU-domstolens praxis rörande direktiv 2002/58 är att användarna av elektroniska kommunikationsmedel i princip har rätt att förvänta sig att deras kommunikationer och därmed förbundna uppgifter förblir anonyma och inte kan registreras, såvida de inte har samtyckt till detta.(21)
35. Artikel 15.1 i direktiv 2002/58 medger undantag från skyldigheten att garantera konfidentialitet och från motsvarande skyldigheter. I domen La Quadrature du Net gjorde EU-domstolen en ingående prövning av huruvida dessa undantag är förenliga med de grundläggande rättigheter vars utövande kan påverkas.(22)
36. En generell och odifferentierad lagring av trafikuppgifter och lokaliseringsuppgifter kan enligt EU-domstolen bara motiveras av målet att skydda nationell säkerhet, vars betydelse ”är … mer omfattande än betydelsen av de övriga mål som anges i artikel 15.1 i direktiv 2002/58”.(23)
37. I sådana situationer (nationell säkerhet) har EU-domstolen slagit fast att artikel 15.1 i direktiv 2002/58, tolkad mot bakgrund av artiklarna 7, 8, 11 och 52.1 i stadgan, ”… i princip inte [utgör] hinder för en lagstiftning som ger behöriga myndigheter rätt att ålägga leverantörer av elektroniska kommunikationstjänster att lagra trafik- och lokaliseringsuppgifter för samtliga användare av elektroniska kommunikationer under en begränsad tid, såvida det föreligger tillräckligt konkreta omständigheter för att anse att den berörda medlemsstaten står inför ett sådant allvarligt hot mot nationell säkerhet …, beträffande vilket det är visat att det är verkligt och aktuellt eller förutsebart”.(24)
38. Dessa föreskrifter medför visserligen ett strängare regelverk än det som följer av praxis från Europeiska domstolen för de mänskliga rättigheterna (Europadomstolen) rörande artikel 8 i Europakonventionen. Att de rättigheter i stadgan som motsvarar sådana som garanteras av Europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna (Europakonventionen) ska ha samma” innebörd och räckvidd” som i konventionen, hindrar emellertid inte unionsrätten från att, enligt artikel 52.3 in fine i stadgan, tillförsäkra ett mer långtgående skydd.
39. Vidare rör Europadomstolens praxis i dess domar av den 25 maj 2021, Big Brother Watch m.fl./Förenade kungariket(25) och Centrum for rättvisa/Sverige,(26) samt dess dom av den 4 december 2015, Zakharov/Ryssland(27) frågor som inte kan likställas med frågorna i förevarande mål, vilket merparten av de som deltog i förhandlingen i målet också gjorde gällande. Dessa frågor ska besvaras genom en tillämpning av nationella bestämmelser som anses överstämma med den uttömmande regleringen i direktiv 2002/58, såsom EU-domstolen tolkar den.
40. Oavsett vad man anser om hänvisningen till nationell säkerhet i domen La Quadrature du Net som skäl för att på vissa villkor göra undantag från förbudet mot generell och odifferentierad lagring av trafik- och lokaliseringsuppgifter (jag anser att EU-domstolens gränser är alltför vida), måste de villkor som domstolen anger i punkterna 137–139 i den domen vara uppfyllda.
41. I övriga fall måste det prövas huruvida den nationella lagstiftningen bygger på kriterier som är tillräckligt riktade för att uppfylla de villkor som enligt EU-domstolens praxis kan motivera ett så långtgående ingrepp i de berörda grundläggande rättigheterna, som en lagring av uppgifter utgör.
42. Innebörden av domen La Quadrature du Net skulle emellertid inte respekteras om dess slutsatser rörande nationell säkerhet skulle kunna tillämpas på brott, inklusive grova sådana, som inte riktar sig mot nationell säkerhet, utan mot allmän säkerhet och andra rättsligt skyddade intressen.
43. Den är därför som domstolen varit noga med att göra åtskillnad mellan nationella lagstiftningsåtgärder som föreskriver en generell och odifferentierad lagring i förebyggande syfte för att skydda nationell säkerhet (punkterna 134–139 i domen La Quadrature du Net) och sådana åtgärder som rör brottsbekämpning och skydd av allmän säkerhet (punkterna 140–151 i samma dom). Dessa båda kategorier av åtgärder kan inte ha samma räckvidd, eftersom det i så fall skulle vara meningslöst att göra en sådan åtskillnad.
44. Instrumenten för att lagra trafik- och lokaliseringsuppgifter för att bekämpa grov brottslighet beskrivs som nämnts i punkterna 140–151 i domen La Quadrature du Net. Till dessa ska, för samma ändamål, läggas de som medger lagring i förebyggande syfte av IP-adresser och uppgifter om personens fysiska identitet (punkterna 152–159 i den domen), samt ”skyndsamt säkrande” av trafik- och lokaliseringsuppgifter (punkterna 160–166 i samma dom).
45. Den hänskjutande domstolen frågar närmare bestämt om betydelsen av ”den omständigheten att tjänsteleverantörer lagligen kan lagra uppgifter för sina egna kommersiella syften och att lagring av uppgifter kan krävas av skäl som avser den nationella säkerheten, vilket inte omfattas av bestämmelserna i direktiv 2002/58”.
46. Vad beträffar de uppgifter som dessa operatörer lagrar för kommersiella syften, knyter EU-domstolen i domen La Quadrature du Net dem till det syfte för vilket de samlades in och tillåter bara ett eventuellt ”skyndsamt säkrande” av uppgifterna på de villkor som framgår av de ovannämnda punkterna 160–166 i den domen.
47. Kraven på nationell säkerhet medger en generell och odifferentierad lagring av trafik- och lokaliseringsuppgifter, på det sätt och med de garantier och begränsningar som anges i domen La Quadrature du Net. Så förhåller det sig emellertid inte med målet att bekämpa sådana brott, även grova sådana, som nämns i section 6.1 a i 2011 års lag, om vilken begäran om förhandsavgörande handlar.
48. Beträffande de problem som uppkommer vid en riktad lagring av trafik- och lokaliseringsuppgifter,(28) hänvisar jag för övrigt till punkterna 43–50 i mitt förslag till avgörande i de förenade målen SpaceNet och Telekom Deutschland.
49. Om det inte kan begäras att EU-domstolen ska utföra lagstiftande uppgifter och noga precisera vilka kategorier av uppgifter som får lagras och under hur lång tid,(29) kan det än mindre krävas att den, när den tolkar artikel 15.1 a i direktiv 2002/58, ska påta sig lagstiftarens uppgift och föra in mellanliggande kategorier mellan nationell säkerhet och allmän säkerhet i den bestämmelsen, för att tillämpa krav som är förknippade med den förstnämnda kategorin på den sistnämnda.
50. Domstolen har slagit fast att ”uppräkningen av mål i artikel 15.1 första meningen i detta direktiv är uttömmande. En lagstiftningsåtgärd som har vidtagits med stöd av denna bestämmelse måste därför faktiskt och strikt avse ett av dessa mål.”(30)
51. Det förslag som kommissionen framförde vid förhandlingen(31) (att införa ett tertium genus när det gäller överträdelser) skulle utsträcka den enda grund som kan motivera en generell och odifferentierad lagring av trafik- och lokaliseringsuppgifter – det vill säga nationell säkerhet – till att omfatta ett obestämt antal fall och likställa hot mot nationell säkerhet med de hot som är förknippade med grov brottslighet.
52. De svårigheter som framkom i samband med denna debatt vid förhandlingen, vad beträffar avgränsningen av de brott som skulle kunna anses ingå i detta tertium genus, visar att detta är en uppgift som det inte ankommer på en domstol att utföra.
53. Det bör dessutom påpekas att när EU-domstolen beskrev ”verksamhet som allvarligt kan störa … strukturerna” i ett land och hota ”statens väsentliga funktioner och samhällets grundläggande intressen”, syftade den på det landets ”grundläggande konstitutionella, politiska, ekonomiska eller sociala strukturer”.(32)
54. Mot bakgrund av detta skiljer sig den irländska lagstiftning som den hänskjutande domstolen beskriver inte på något väsentligt vis från de lagstiftningar som var föremål för prövning i de mål som ledde fram till domen La Quadrature du Net. Oavsett vilken ordning för tillgång till uppgifterna som föreskrivs i 2011 års lag (om vilken den tredje tolkningsfrågan handlar), liknar de regler för lagring som föreskrivs i den lagen de som prövades i den domen, vilket innebär att de också strider mot artikel 15.1 i direktiv 2002/58.
55. Den irländska lagstiftningen medger en generell och odifferentierad lagring av trafik- och lokaliseringsuppgifter för alla abonnenter under en tid av två år i förebyggande syfte, av skäl som inte bara rör skyddet av nationell säkerhet.
56. Sammanfattningsvis föreslår jag att EU-domstolen ska besvara fråga 1, 2 och 4 från Supreme Court (Högsta domstolen) på samma sätt som den uttalade sig i domen La Quadrature du Net.
C. Åtkomst till lagrade uppgifter (fråga 3)
57. Den hänskjutande domstolen vill veta vilka kriterier den bör beakta när den bedömer huruvida de nationella reglerna för åtkomst till lagrade uppgifter ska innefatta en förhandskontroll enligt kraven i EU-domstolens praxis eller om det räcker med en oberoende granskning eller domstolskontroll i efterhand.
58. Även denna fråga har domstolen besvarat i domen Prokuratuur. För att säkerställa att kraven på den lagstiftning som reglerar tillgång till lagrade uppgifter verkligen uppfylls,(33) ”är det väsentligt att behöriga nationella myndigheters tillgång till de lagrade uppgifterna är underkastad förhandskontroll av en domstol eller en oberoende myndighet, och att domstolen meddelar sitt avgörande eller myndigheten antar sitt beslut till följd av att dessa myndigheter har framställt en motiverad begäran inom ramen för exempelvis ett förfarande för förebyggande, avslöjande eller lagföring av brott”.(34)
59. Domstolen framhåller att en sådan ”förhandskontroll bland annat innebär att den domstol eller det organ som ska utföra denna kontroll har alla befogenheter och lämnar alla nödvändiga garantier för att kunna göra en vederbörlig avvägning mellan de olika intressen och rättigheter som är i fråga. Vad särskilt gäller en brottsutredning kräver en sådan kontroll att denna domstol eller detta organ kan säkerställa en korrekt balans mellan de intressen som inom ramen för brottsbekämpning gör sig gällande för att svara mot utredningens behov, å ena sidan, och de grundläggande rättigheter avseende respekt för privatlivet och skydd av personuppgifter som tillkommer de personer vars uppgifter kan komma att lämnas ut, å den andra sidan.”(35)
60. ”När denna kontroll inte utförs av en domstol utan av en oberoende förvaltningsmyndighet måste denna myndighet ha en ställning som innebär att den kan fullgöra sitt uppdrag på ett objektivt och opartiskt sätt, och den måste därför vara fri från all yttre påverkan.”(36)
61. Just ”det krav på oberoende som myndigheten med ansvar för sådan förhandskontroll ska uppfylla innebär att myndigheten måste vara fristående i förhållande till den som begär tillgång till uppgifterna, så att myndigheten kan utöva sin kontroll på ett objektivt och opartiskt sätt utan yttre påverkan. På det straffrättsliga området innebär kravet på oberoende att den myndighet som ska utföra förhandskontrollen dels inte får vara involverad i den aktuella brottsutredningen, dels ska ha en neutral ställning i förhållande till parterna i det straffrättsliga förfarandet.”(37)
62. Enligt den hänskjutande domstolens beskrivning av de irländska bestämmelserna, förefaller inte tillgången till lagrade uppgifter kräva någon förhandskontroll av en domstol eller av ett självständigt organ. I stället får en polistjänsteman med en viss grad efter eget skön fatta beslut om huruvida en begäran ska framställas till tjänsteleverantörerna.
63. Det ankommer på den hänskjutande domstolen att pröva huruvida den tjänsteman som enligt den nationella lagstiftningen får utföra förhandskontrollen för tillgång till lagrade trafik- och lokaliseringsuppgifter, är att betrakta som en ”oberoende myndighet” och är ”fristående”, vilket krävs enligt EU-domstolens praxis.
64. När den hänskjutande domstolen gör denna prövning ska den beakta att domstolen i domen Prokuratuur slog fast att åklagarmyndigheten i en medlemsstat inte är att betrakta som oberoende och ”fristående” om den samtidigt har uppgifter i samband med förundersökningen i straffrättsliga förfaranden.
65. Vad beträffar frågan huruvida den kontroll som den hänskjutande domstolen nämner kan ske i efterhand, innehåller domen Prokuratuur även ett (negativt) svar på den:
– ”avsaknaden av en oberoende myndighets kontroll kan [inte] avhjälpas genom att en domstol utför en senare kontroll av lagenligheten av en nationell myndighets tillgång till trafik- och lokaliseringsuppgifter”;
– ”den oberoende kontrollen [ska] ske innan tillgång till uppgifterna beviljas, förutom i vederbörligen motiverade fall då denna kontroll ska ske utan dröjsmål”.(38)
D. Huruvida det är möjligt att tidsmässigt begränsa verkan av ett fastställande av att en nationell lagstiftning är oförenlig med unionsrätten (fråga 5 och 6)
66. Supreme Court (Högsta domstolen) frågar avslutningsvis följande:
– Får den tidsmässiga verkan av ett fastställande av att en nationell bestämmelse är oförenlig med artikel 15 i direktiv 2002/58 begränsas, om en underlåtenhet att göra detta skulle leda till ”störande av ordning och skada för det allmänna intresset”?
– Får Supreme Court om den anmodats att inte tillämpa en nationell bestämmelse som antagits för att genomföra bestämmelserna i ett direktiv, vägra att följa denna anmodan eller bara underlåta att tillämpa bestämmelsen för tiden efter det att EU-domstolen meddelade sin dom av den 8 april 2014,(39) i vilken direktiv 2006/24 ogiltigförklarades.
67. Även här finns svaret på frågan i domen La Quadrature du Net, i vilken EU-domstolen följde sin traditionella rättspraxis.
68. I målet C‑520/18 hade Cour Constitutionnelle (Författningsdomstolen) i Belgien ställt en liknande fråga till EU-domstolen som den som Supreme Court (Högsta domstolen) i Irland har ställt i förevarande mål.(40)
69. När EU-domstolen besvarade den frågan i domen La Quadrature du Net, återgav den sin rättspraxis rörande begränsning av verkningarna av dess domar, efter att ha erinrat om de krav som följer av principen om unionsrättens företräde (punkterna 214 och 215): ”Det är endast EU-domstolen som, undantagsvis och av tvingande rättssäkerhetshänsyn, får förordna om ett tillfälligt uppskjutande av en unionsbestämmelses undanträngningsverkan i förhållande till nationell rätt som strider mot den förstnämnda bestämmelsen. Det får endast förordnas om en sådan begränsning i tiden av verkningarna av domstolens tolkning av unionsrätten i den dom varigenom den begärda tolkningen meddelas.”(41)
70. Omedelbart därefter angav domstolen att ”[t]ill skillnad från en underlåtenhet att uppfylla en formell skyldighet såsom att på miljöskyddsområdet göra en förhandsbedömning av ett projekts konsekvenser, kan ett åsidosättande av artikel 15.1 i direktiv 2002/58, jämförd med artiklarna 7, 8, 11 och artikel 52.1 i stadgan, emellertid inte legaliseras genom ett förfarande som är jämförbart med det som nämns i föregående punkt. Att låta verkningarna av en sådan nationell lagstiftning som den som är aktuell i det nationella målet bestå skulle innebära att denna lagstiftning skulle fortsätta att ålägga leverantörer av elektroniska kommunikationstjänster skyldigheter som strider mot unionsrätten och som innebär allvarliga ingrepp i de grundläggande rättigheterna för de personer vars uppgifter har lagrats.”(42)
71. Härav drog EU-domstolen slutsatsen att ”[d]en hänskjutande domstolen … följaktligen inte [kan] tillämpa en bestämmelse i nationell rätt som ger den behörighet att tidsmässigt begränsa verkningarna av en förklaring om rättsstridighet som den domstolen är skyldig att meddela enligt nationell rätt med avseende på den aktuella nationella lagstiftningen”.(43)
72. Dessa slutsatser är fullt tillämpliga på fråga 5 och 6 från Supreme Court (Högsta domstolen).
73. För det första saknar det betydelse att den aktuella nationella lagstiftningen har antagits för att införliva direktiv 2006/24 med nationell rätt. Det avgörande i det här sammanhanget är att den nationella lagstiftningens innehåll är förenligt med unionsrätten som helhet, vilket inte är fallet här.
74. Ogiltigheten av ett direktiv, som EU-domstolen har slagit fast på grund av att det är oförenligt med de materiella bestämmelserna i fördragen, innebär att denna oförenlighet med unionens primärrätt även påverkar sådana nationella bestämmelser som enbart syftar till att genomföra det direktivet.
75. Den hänskjutande domstolen har påpekat att 2011 års lag antogs för att i enlighet med artikel 288 FEUF införliva direktiv 2006/24 med irländsk rätt. Ingen har förnekat detta, men det viktiga är, såsom nämnts, att det direktivet var ogiltigt redan från början (vilket slogs fast i domen Digital Rights), eftersom det innebar ett oproportionerligt ingrepp i de rättigheter som säkerställs i artiklarna 7 och 8 i stadgan, och att lagring av trafik- och lokaliseringsuppgifter ska omfattas av direktiv 2002/58, såsom EU-domstolen har tolkat det.
76. För det andra är det väl känt att EU-domstolens domar i mål om förhandsavgörande som rör tolkning, får verkan från och med den tidpunkt då den unionsrättsliga bestämmelse som tolkas träder i kraft.(44)
77. Om en begränsning av den tidsmässiga verkan av EU-domstolens tolkning av unionsrätten bara får ske i den dom där beslut fattas om den tolkning som begärts, vill jag erinra om att så inte var fallet i domen Digital Rights, vilken den hänskjutande domstolen har hänvisat till.
78. Det var heller inte fallet i följande domar:
– Domen Tele2 Sverige, som meddelades den 21 december 2016, i vilken EU-domstolen tolkade direktiv 2002/58 och slog fast att det utgjorde hinder för en nationell lagstiftning som föreskriver en generell och odifferentierad lagring av trafik- och lokaliseringsuppgifter, när det gäller bekämpande av grov brottslighet.
– Domen La Quadrature du Net, i vilken EU-domstolen den 6 oktober 2020 åter bekräftade den tolkning av direktiv 2002/58 som jag har redogjort för ovan.
79. För det tredje handlar förevarande mål inte om problem som har samband med uteslutningen av bevis i det straffrättsliga förfarande som tillämpats mot den person som dömdes för mord. Här rör det sig i stället om ett civilrättsligt förfarande (så betecknas det av Supreme Court (Högsta domstolen)) som ska avgöras genom en objektiv jämförelse mellan den nationella lagstiftningen och unionsrätten.
80. Den hänskjutande domstolen betonar detta på följande sätt: ”Inom ramen för det mål som nu är anhängigt vid denna domstol (Supreme Court (Högsta domstolen)), är den enda fråga som ställts huruvida High Court (Överdomstolen) gjorde rätt då den slog fast att section 6.1 a i [2011 års lag] var oförenlig med unionsrätten.”(45)
81. Svaret på denna ”enda fråga” är att section 6.1 a i 2011 års lag är oförenlig med unionsrätten och att det saknas skäl att skjuta upp verkan av den dom i vilket detta ska slås fast.
V. Förslag till avgörande
82. Mot bakgrund av vad som ovan anförts föreslår jag att domstolen ska ge Supreme Court (Högsta domstolen, Irland) följande svar:
”1. Artikel 15.1 i Europaparlamentets och rådets direktiv 2002/58/EG av den 12 juli 2002 om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation (direktiv om integritet och elektronisk kommunikation), i dess lydelse enligt Europaparlamentets och rådets direktiv 2009/136/EG av den 25 november 2009, jämförd med artiklarna 7, 8 11 och 52.1 i Europeiska unionens stadga om de grundläggande rättigheterna och artikel 4.2 FEU, ska tolkas så, att den utgör hinder för en nationell lagstiftning som
– ålägger leverantörer av allmänt tillgängliga elektroniska kommunikationstjänster en skyldighet att i förebyggande syfte lagra trafik- och lokaliseringsuppgifter rörande slutanvändarna av dessa tjänster för andra ändamål än skydd av nationell säkerhet mot ett allvarligt hot som är verkligt, aktuellt eller förutsebart,
– inte föreskriver att en domstol eller ett oberoende förvaltningsorgan ska göra en förhandskontroll innan de behöriga myndigheterna får tillgång till de lagrade trafik- och lokaliseringsuppgifterna.
2. En nationell domstol får inte tidsmässigt begränsa verkningarna av en förklaring om rättsstridighet med avseende på nationell lagstiftning enligt vilken leverantörer av elektroniska kommunikationstjänster åläggs att – i syfte att bland annat skydda nationell säkerhet och bekämpa brottslighet – generellt och odifferentierat lagra trafik- och lokaliseringsuppgifter som är oförenlig med artikel 15.1 i direktiv 2002/58, jämförd med artiklarna 7, 8, 11 och 52.1 i stadgan om de grundläggande rättigheterna.”