ЗАКЛЮЧЕНИЕ НА ГЕНЕРАЛНИЯ АДВОКАТ

M. CAMPOS SÁNCHEZ-BORDONA

представено на 15 януари 2020 година(1)

Съединени дела C‑511/18 и C‑512/18

La Quadrature du Net,

French Data Network,

Fédération des fournisseurs d’accès à Internet associatifs,

Igwan.net (C‑511/18)

срещу

Premier ministre,

Garde des Sceaux, ministre de la Justice,

Ministre de l’Intérieur,

Ministre des Armées

(Преюдициално запитване, отправено от Conseil d’État (Държавен съвет, действащ като Върховен административен съд, Франция)

„Преюдициално запитване — Обработване на лични данни и зачитане на личния живот в областта на електронните съобщения — Защита на националната сигурност и борба с тероризма — Директива 2002/58/ЕО — Приложно поле — Член 1, параграф 3 — Член 15, параграф 3 — Член 4, параграф 2 ДЕС — Харта на основните права на Европейския съюз — Членове 6, 7, 8, 11, 47 и член 52, параграф 1 — Общо и неизбирателно запазване на данните за свързване и на данните, позволяващи да се идентифицират създателите на съдържание — Събиране на данни за трафика и на данни за локализацията — Достъп до данните“

1.        През последните години Съдът се придържа към една постоянна линия в практиката си относно запазването на лични данни и достъпа до тях, като се открояват следните решения:

–      решение от 8 април 2014 г., Digital Rights Ireland и др.(2), в което Директива 2006/24/ЕО(3) е обявена за невалидна, тъй като допуска непропорционална намеса в правата, гарантирани с членове 7 и 8 от Хартата на основните права на Европейския съюз (наричана по-нататък „Хартата“),

–      решение от 21 декември 2016 г., Tele2 Sverige и Watson и др.(4), в което Съдът тълкува член 15, параграф 1 от Директива 2002/58/ЕО(5),

–      решение от 2 октомври 2018 г., Ministerio Fiscal(6), в което Съдът потвърждава тълкуването на същата разпоредба от Директива 2002/58.

2.        Тези съдебни решения (особено второто) притесняват властите на някои държави членки, тъй като според тях имат за последица да ги лишат от средство, което смятат за необходимо за защита на националната сигурност и за борбата с престъпността и тероризма. Ето защо някои от тези държави членки настояват за изоставянето или за нюансирането на въпросната съдебна практика.

3.        Някои юрисдикции на държавите членки изтъкват същите опасения в четири преюдициални запитвания(7), по които представям заключенията си днес.

4.        В четирите дела се поставя преди всичко въпросът за прилагането на Директива 2002/58 спрямо дейностите, свързани с националната сигурност и борбата с тероризма. Ако посочената директива се прилага в този контекст, на следващо място трябва да се изясни доколко държавите членки могат да ограничават защитаваните с нея права на неприкосновеност на личния живот. На последно място, следва да се анализира до каква степен различните национални правни уредби (на Обединеното кралство(8), на Белгия(9) и на Франция(10)) в тази област съответстват на правото на Съюза, тълкувано от Съда.

I.      Правна уредба

1.      Правото на Съюза

1.      Директива 2002/58

5.        Съгласно член 1 („Обхват и цел“):

„1.      Настоящата директива предвижда да се хармонизират националните разпоредби, необходими за осигуряване на еднаква степен на защита на основните права и свободи, и по-специално правото на неприкосновеност на личния живот и правото на поверителност по отношение на обработката на лични данни в електронно съобщителния сектор[,] и да се осигури свободно движение на такива данни и оборудване за електронни съобщения и услуги в Общността.

[…]

3.      Настоящата директива не се прилага за дейности, които попадат извън обхвата на Договора за създаване на Европейската общност, като тези[,] обхванати от дялове V и VI от Договора за Европейския съюз, и във всички случаи за дейности, отнасящи се до обществената сигурност, отбраната, сигурността на държавата (включително икономическото благосъстояние на държавата, когато дейностите се отнасят до проблемите за сигурността на държавата) и дейностите на държавата в областта на наказателното право“.

6.        Член 3 („Обхванати услуги“) гласи:

„Настоящата директива се прилага при обработката на лични данни във връзка с предоставянето на обществено достъпни електронни съобщителни услуги в обществени съобщителни мрежи в Общността, включително обществени съобщителни мрежи, поддържащи събиране на данни и устройства за идентификация“.

7.        Параграф 1 на член 5 („Конфиденциалност на комуникациите“) предвижда:

„Държавите членки гарантират конфиденциалност на съобщенията и свързани[те с тях данни за трафика] през публични комуникационни мрежи и публично достъпни електронни комуникационни услуги, чрез националното си законодателство. По-специално те забраняват слушане, записване, съхранение и други видове подслушване или наблюдение на съобщения и свързаните данни за трафика от страна на лица, различни от потребители[,] без съгласието на заинтересованите потребители, с изключение на законно упълномощени да извършват това в съответствие с член 15[,] параграф 1. Настоящият параграф не пречи на техническото съхранение, което е необходимо за пренасяне на комуникация, без да противоречи на принципа за конфиденциалност“.

8.        Член 6 („Данни за трафик“) гласи:

„1.      Данни за трафик, отнасящи се до абонати и потребители, обработени и съхранени от доставчика на публични комуникационни мрежи или публично достъпни електронни комуникационни услуги, трябва да бъдат изтрити или да се направят анонимни, когато не са необходими повече за целите на предаване на комуникация, без да се накърнява[т] параграф[и] 2, 3 и 5 от настоящия член и член 15, параграф 1.

2.      Могат да бъдат обработени данни за трафик, необходими за целите на изготвяне на сметката на абоната и плащания при взаимна връзка. Такава обработка е допустима само до края на периода, през който сметката може законно да бъде оспорена или плащането търсено“.

9.        В член 15 („Приложение на някои разпоредби от Директива 95/46/ЕО^[(11)^]“), параграф 1 се посочва:

„Държавите членки могат да приемат законодателни мерки, за да ограничат обхвата на правата и задълженията, предвидени в член 5, член 6, член 8, параграф[и] 1, 2, 3, и 4 и член 9 от настоящата директива, когато такова ограничаване представлява необходима, подходяща и пропорционална мярка в рамките на демократично общество, за да гарантира национална сигурност (т.е. държавна сигурност), отбрана, обществена безопасност и превенцията, разследването, разкриването и преследването на [престъпления] или неразрешено използване на електронна комуникационна система, както е посочено в член 13, параграф 1 от Директива 95/46/ЕО. В тази връзка, държавите членки могат, inter alia, да одобрят законодателни мерки, предвиждащи съхранението на данни за ограничен период, оправдани на основанията, изложени в настоящия параграф. Всички мерки, упоменати в настоящия параграф, трябва да бъдат в съответствие с общите принципи на законодателството на Общността, включително онези, упоменати в член 6, параграф[и] 1 и 2 от Договора за Европейския съюз“.

2.      Директива 2000/31/ЕО(12)

10.      Член 14 гласи:

„1.      Когато се предоставя услуга на информационното общество, която се състои в съхраняване на информация, предоставяна [от] получателя на услугата, държавите членки гарантират, че доставчикът на услуги не носи отговорност за информацията, съхранена по молба на получателя на услугата, при условие че:

[…].

3.      Този член не засяга възможността съдебен или административен орган, в съответствие с правните системи на държавите членки, да изисква от доставчика на услуги да прекрати или предотврати нарушение, нито засяга възможността [държавите членки] да предвидят процедури, които уреждат отстраняване или блокиране на достъпа до информация“.

11.      Съгласно член 15:

„1.      Държавите членки не налагат общо задължение на доставчиците при предоставянето на услугите по членове 12, 13 и 14 да контролират информацията, която пренасят или съхраняват, нито общо задължение да търсят активно факти или обстоятелства за незаконна дейност.

2.      Държавите членки могат да установят задължения за доставчиците на услуги на информационното общество за бързо информиране на компетентните публични органи за предполагаеми незаконни действия или информация, предоставена на получателите на техните услуги, или задължения за предаване на компетентните органи, по тяхно искане, на информация която позволява идентифицирането на получатели на техните услуги, с които те имат договори за съхраняване на данни“.

3.      Регламент (ЕС) 2016/679(13)

12.      Съгласно член 2 („Материален обхват“):

„1.      Настоящият регламент се прилага за обработването на лични данни изцяло или частично с автоматични средства, както и за обработването с други средства на лични данни, които са част от регистър с лични данни или които са предназначени да съставляват част от регистър с лични данни.

2.      Настоящият регламент не се прилага за обработването на лични данни:

a)      в хода на дейности, които са извън приложното поле на правото на Съюза;

б)      от държавите членки, когато извършват дейности, които попадат в приложното поле на дял V, глава 2 от ДЕС;

в)      от физическо лице в хода на чисто лични или домашни занимания;

г)      от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наложените наказания, включително предпазването от и предотвратяването на заплахи за обществената сигурност.

[…]“.

13.      Съгласно параграф 1 на член 23 („Ограничения“):

„В правото на Съюза или правото на държава членка, което се прилага спрямо администратора или обработващия лични данни, чрез законодателна мярка може да се ограничи обхватът на задълженията и правата, предвидени в членове 12—22 и в член 34, както и в член 5, доколкото неговите разпоредби съответстват на правата и задълженията, предвидени в членове 12—22, когато подобно ограничение е съобразено със същността на основните права и свободи и представлява необходима и пропорционална мярка в едно демократично общество с цел да се гарантира:

a)      националната сигурност;

б)      отбраната;

в)      обществената сигурност;

г)      предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наложените наказания, включително предпазването от и предотвратяването на заплахи за обществената сигурност;

д)      други важни цели от широк обществен интерес за Съюза или за държава членка, и по-специално важен икономически или финансов интерес на Съюза или на държава членка, включително паричните, бюджетните и данъчните въпроси, общественото здраве и социалната сигурност;

е)      защитата на независимостта на съдебната власт и съдебните производства;

ж)      предотвратяването, разследването, разкриването и наказателното преследване на нарушения на етичните кодекси при регламентираните професии;

з)      функция по наблюдението, проверката или регламентирането, свързана, дори само понякога, с упражняването на официални правомощия в случаите, посочени в букви а)—д) и ж);

и)      защитата на субекта на данните или на правата и свободите на други лица;

й)      изпълнението по гражданскоправни искове“.

14.      Член 95 („Връзка с Директива 2002/58/ЕО“) гласи:

„Настоящият регламент не налага допълнителни задължения на физическите или юридическите лица по отношение на обработването във връзка с предоставянето на обществено достъпни електронни съобщителни услуги в обществени съобщителни мрежи в Съюза, по отношение на въпроси, за които са им наложени специални задължения със същата цел, установени в Директива 2002/58/ЕО“.

2.      Националното право

1.      Code de la sécurité intérieure (Кодекс за вътрешната сигурност)

15.      Съгласно член L. 851‑1:

„При условията, предвидени в дял II, глава 1 на настоящата книга, може да се разреши събирането от операторите на електронни съобщителни услуги и от лицата по член L. 34‑1 от Code des postes et des communications électroniques [Кодекс за пощите и електронните съобщения], както и от лицата по член 6, параграф I, точки 1 и 2 от Loi no 2004‑575 […] pour la confiance dans l’économie numérique [Закон № 2004‑575 […] за доверието в цифровата икономика] на информация или документи, обработвани или съхранявани от техните мрежи или електронни съобщителни услуги, включително технически данни за идентифицирането на абонатните номера или номерата за свързване с електронни съобщителни услуги, за установяването на всички абонатни номера или номера за свързване на дадено лице, за локализацията на използваните крайни устройства, както и за съобщенията на даден абонат, отнасящи се до списъка на изходящите и входящите номера, продължителността и датата на съобщенията […]“.

16.      Членове L. 851‑2 и L. 851‑4 уреждат, за други цели и при различен ред и условия, административния достъп в реално време до запазените по този начин данни за свързване.

17.      Член L. 851‑2 разрешава, единствено за целите на предотвратяването на тероризма, събирането на информацията или документите по член L. 851‑1 от същите лица. Това събиране, засягащо само едно или няколко лица, за които преди това е установено, че може да са свързани с терористична заплаха, се извършва в реално време. Същото се отнася и за член L. 851‑4, който разрешава операторите да предават в реално време само техническите данни за локализацията на крайното оборудване(14).

18.      Член L. 851‑3 позволява на операторите на електронни съобщителни услуги и на техническите доставчици да се налага задължение „да извършват в мрежите си дейности по автоматизирано обработване, предназначени — съгласно уточнени в разрешението параметри — да разкриват случаи на свързване, които може да имат отношение към терористична заплаха“(15).

19.      В член L. 851‑5 е посочено, че при определени условия „може да се разреши използването на техническо устройство, позволяващо установяване в реално време на локализацията на дадено лице, превозно средство или предмет“.

20.      Съгласно член L. 851‑6, параграф I е възможно при определени условия „да се съберат […] пряко — посредством апарат или техническо устройство, посочено в член 226‑3, параграф 1 от Code pénal [Наказателен кодекс] — техническите данни за свързване, позволяващи да се идентифицира определено крайно устройство или абонатният номер на неговия ползвател, както и данните относно локализацията на използваните крайни устройства“.

2.      Кодекс за пощите и електронните съобщения

21.      Съгласно член L. 34‑1 в редакцията му, приложима към фактите:

„I.      Настоящият член се прилага при обработката на лични данни във връзка с предоставянето на публично достъпни електронни съобщителни услуги; по-специално той се прилага спрямо мрежи, поддържащи събиране на данни и устройства за идентификация.

II.      Операторите на електронни съобщителни услуги, и по-специално лицата, чиято дейност се състои в предоставяне на достъп до публични съобщителни услуги в интернет, изтриват или правят анонимни всички данни за трафика, без да се накърняват параграфи III, IV, V и VI.

Лицата, които предоставят публични електронни съобщителни услуги, предвиждат в съответствие с предходната алинея вътрешни процедури, позволяващи им да изпълняват исканията на компетентните органи.

Лицата, чиято основна или допълнителна професионална дейност се изразява в публично осигуряване на свързаност, позволяваща съобщения в интернет посредством достъп до мрежата, дори без заплащане, са длъжни да изпълняват разпоредбите, приложими спрямо операторите на електронни съобщителни услуги съгласно настоящия член.

III.      За целите на разследването, разкриването и наказателното преследване на престъпления или на неизпълнението на задължението по член L. 336‑3 от Code de la propriété intellectuelle [Кодекс на интелектуалната собственост] или с оглед на предотвратяването на посегателствата върху системите за автоматизирана обработка на данни, предвидени и санкционирани в членове 323‑1—323‑3-1 от Наказателния кодекс, и с единствената цел да се направи възможно евентуално предоставяне на съда или на висшия орган по член L. 331‑12 от Кодекса на интелектуалната собственост или на националния орган относно сигурността на информационните системи, посочен в член L. 2321‑1 от Code de la défense [Кодекс на отбраната], могат да се отложат за максимален период от една година действията, насочени към изтриването или анонимизирането на определени категории технически данни. С декрет след консултация с Conseil d’État [Държавен съвет], приет след получаване на становището на Commission nationale de l’informatique et des libertés [Национална комисия по информационните технологии и свободите], се определят — в границите, установени в параграф VI — категориите данни и продължителността на тяхното запазване в зависимост от дейността на операторите и от естеството на съобщенията, както и евентуалното обезщетяване за установимите и специфични допълнителни разходи за услугите, предоставяни от операторите в това отношение по искане на държавата.

[…]

VI.      Данните, които са запазвани и обработвани при условията, определени в параграфи III, IV и V, се отнасят изключително до идентифицирането на потребителите на услугите, предоставяни от операторите, до техническите характеристики на съобщенията, осигурявани от последните, и до локализацията на крайните устройства.

Те не могат в никакъв случай да се отнасят до съдържанието на разменените съобщения или до консултираната информация, под каквато и да е форма, в рамките на съответната комуникация.

Запазването и обработването на данните се извършва при спазване на разпоредбите на Закон № 78‑17 от 6 януари 1978 г. за информационните технологии, компютърните файлове и гражданските свободи.

Операторите приемат всички мерки, за да попречат на използването на тези данни за цели, различни от предвидените в настоящия член“.

22.      Съгласно член R. 10‑13, параграф I за целите на разследването, разкриването и наказателното преследване на престъпления операторите трябва да запазват следните данни:

„a)      данните, позволяващи идентифицирането на потребителя;

b)      данните относно използваните крайни устройства;

c)      техническите характеристики, както и датата, часа и продължителността на всяко съобщение;

d)      данните относно поисканите или използваните допълнителни услуги и техните доставчици;

e)      данните, които позволяват идентифицирането на получателя или получателите на съобщението“.

23.      Съгласно параграф II от същата разпоредба в случай на дейности, свързани с телефония, операторът трябва да запазва и данните, които позволяват да се установят източникът и локализацията на съобщението.

24.      Съгласно параграф III от същия член посочените данни трябва да се запазват в продължение на една година, считано от деня на записването им.

3.      Loi n.º 2004‑575 du 21 juin 2004 pour  la  confiance  dans  l’économie  numérique (Закон от 21 юни 2004 г. за доверието в цифровата икономика)

25.      Член 6, параграф II, първа алинея от Закон 2004‑575 предвижда, че лицата, чиято дейност е свързана с осигуряване на достъп до публични съобщителни услуги в интернет, и физическите или юридическите лица, които осигуряват — дори без заплащане и за целите на публичното им предоставяне посредством публични съобщителни услуги в интернет — съхранението на предоставени от получателите на тези услуги сигнали, текстове, изображения, звуци или съобщения от всякакво естество, „задържат и запазват данните, годни да позволят идентифицирането на всяко лице, допринесло за създаването на съдържанието или на част от съдържанието на предоставяните от тях услуги“.

26.      В параграф II, трета алинея на същия член е предвидено, че съдът може да поиска от тези лица да му съобщят данните по първа алинея.

27.      Съгласно параграф II, последна алинея с декрет на Conseil d’État (Държавен съвет) „се определят данните по първа алинея и срокът и условията за тяхното запазване“(16).

II.    Фактите и отправените преюдициални въпроси

1.      Дело C‑511/18

28.      La Quadrature du Net, French Data Network, Igwan.net и Fédération des fournisseurs d’accès à internet associatifs (наричани по-нататък „жалбоподателите“) искат от Conseil d’État (Държавен съвет) да отмени различни подзаконови актове, приети за изпълнението на някои разпоредби от Кодекса за вътрешната сигурност(17).

29.      Най-общо казано, жалбоподателите поддържат, че както обжалваните подзаконови актове, така и съответните разпоредби от Кодекса за вътрешната сигурност нарушават правата на зачитане на личния живот, на защита на личните данни и на ефективни правни средства за защита, гарантирани съответно с членове 7, 8 и 47 от Хартата.

30.      При това положение Conseil d’État (Държавен съвет) отправя до Съда следните въпроси:

„1)      Трябва ли задължението за общо и неизбирателно запазване, наложено на доставчиците на основание на разрешителните разпоредби на член 15, параграф 1 от Директива 2002/58 […], да се разглежда — в условията на сериозни и постоянни заплахи за националната сигурност, свързани по-специално с риска от тероризъм — като намеса, обоснована с правото на сигурност, гарантирано в член 6 от Хартата […], и с изискванията на националната сигурност, отговорността за която е единствено на държавите членки по силата на член 4 [ДЕС]?

2)      Трябва ли Директива 2002/58 […], разглеждана във връзка с Хартата […], да се тълкува в смисъл, че разрешава законодателни мерки — като мерките за събиране в реално време на данни за трафика и за местонахождението на определени лица — които, макар да засягат правата и задълженията на доставчиците на електронна съобщителна услуга, не им налагат специфично задължение за запазване на техните данни?

3)      Трябва ли Директива 2002/58 […], разглеждана във връзка с Хартата […], да се тълкува в смисъл, че за да са законосъобразни производствата за събиране на данни за свързване, във всички случаи трябва да е изпълнено изискването да се информират засегнатите лица, когато такава информация вече не може да попречи на водените от компетентните органи разследвания, или такива производства могат да се считат за законосъобразни с оглед на всички останали съществуващи процесуални гаранции, доколкото последните осигуряват ефективността на правото на обжалване?“.

2.      Дело C‑512/18

31.      Жалбоподателите в спора, във връзка с който е образувано дело С‑511/18, (с изключение на Igwan.net) искат също така от Conseil d’État (Държавен съвет) да отмени мълчаливия отказ (произтичащ от липсата на отговор от страна на съответния орган) по искането им за отмяна на член R. 10‑13 от Code des postes et des communications électroniques (Кодекс за пощите и електронните съобщения) и на Декрет № 2011‑219 от 25 февруари 2011 г.

32.      Според жалбоподателите оспорваните разпоредби налагат задължение за запазване на данни за трафик, локализация и свързване, което поради общия си характер представлява непропорционално засягане на правото на зачитане на личния и семейния живот, на правото на защита на личните данни и на свободата на изразяване, гарантирани с членове 7, 8 и 11 от Хартата, като се нарушава член 15, параграф 1 от Директива 2002/58.

33.      По въпросното дело Conseil d’État (Държавен съвет) отправя следните преюдициални въпроси:

„1)      Трябва ли задължението за общо и неизбирателно запазване, наложено на доставчиците на основание на разрешителните разпоредби на член 15, параграф 1 от Директива 2002/58 […], да се разглежда — по-специално с оглед на гаранциите и проверките, които са предвидени по-нататък по отношение на събирането и използването на тези данни за свързване — като намеса, обоснована с правото на сигурност, гарантирано в член 6 от Хартата […], и с изискванията на националната сигурност, отговорността за която е единствено на държавите членки по силата на член 4 [ДЕС]?

2)      Трябва ли разпоредбите на Директива 2000/31, разглеждани във връзка с членове 6, 7, 8 и 11, както и с член 52, параграф 1 от Хартата […], да се тълкуват в смисъл, че допускат дадена държава да приеме национална правна уредба, с която да задължи лицата, чиято дейност се състои в осигуряване на достъп до публични съобщителни услуги в интернет, и физическите или юридическите лица, които осигуряват — дори без заплащане и за целите на публичното им предоставяне посредством публични съобщителни услуги в интернет — съхранението на предоставени от получателите на тези услуги сигнали, текстове, изображения, звуци или съобщения от всякакво естество, да запазват данните, годни да позволят идентифицирането на всяко лице, което допринася за създаването на съдържанието или на част от съдържанието на предоставяните от тях услуги, за да може съдът евентуално да ги изиска с оглед на зачитането на нормите в областта на гражданската или наказателната отговорност?“.

III. Производството пред Съда и становищата на страните

34.      Преюдициалното запитване постъпва в Съда на 3 август 2018 г.

35.      Писмени становища представят La Quadrature du Net, Fédération des fournisseurs d’accès à Internet associatifs, French Data Network, правителството на Обединеното кралство, германското, белгийското, чешкото, кипърското, датското, испанското, естонското, френското, унгарското, ирландското, полското и шведското правителство, както и Комисията.

36.      Открито съдебно заседание е проведено на 9 септември 2019 г. съвместно със заседанията по дела C‑623/17, Privacy International, и C‑520/18, Ordre des barreaux francophones et germanophone и др., като се явяват или съответно са представлявани страните в главните производства по четирите преюдициални запитвания, посочените по-горе правителства, както и нидерландското и норвежкото правителство, Комисията и Европейският надзорен орган по защита на данните.

IV.    Анализ

37.      Въпросите на Conseil d’État (Държавен съвет) могат да бъдат разделени в три групи:

–      На първо място, съвместима ли е с правото на Съюза национална правна уредба, която налага на доставчиците на електронни съобщителни услуги задължението за общо и неизбирателно запазване на данните за свързване (първи въпрос по дело С‑511/18 и по дело С‑512/18), и по-специално на данните, които позволяват да се идентифицират създателите на съдържанието, предлагано от посочените доставчици (втори въпрос по дело С‑512/18).

–      На второ място, зависи ли законосъобразността на производствата за събиране на данни за свързване във всички случаи от изпълнението на задължението за информиране на засегнатите лица, когато не се пречи на водените разследвания (трети въпрос по дело С‑511/18).

–      На трето място, съвместимо ли е — и при какви условия — събирането в реално време на данни за трафика и за локализацията, без задължение те да бъдат запазвани с Директива 2002/58 (втори въпрос по дело С‑511/18).

38.      В крайна сметка следва да се определи дали е в съответствие с правото на Съюза национална правна уредба, която налага на доставчиците на електронни съобщителни услуги два вида задължения: а) от една страна, за събиране на определени данни, но не и тяхното запазване; б) от друга страна, за запазване на данните за свързване и на данните, улесняващи идентифицирането на създателите на съдържанието на услугите, предоставяни от такива доставчици.

39.      Най-напред следва да се изясни дали именно поради контекста(18), в който е приета въпросната национална уредба (тоест при обстоятелства, при които може да бъде засегната националната сигурност), Директива 2002/58 е приложима.

1.      Относно приложимостта на Директива 2002/58

40.      Запитващата юрисдикция приема, че спорната правна уредба попада в приложното поле на Директива 2002/58. Според нея това следва от съдебната практика, установена с решение Tele2 Sverige и Watson и потвърдена с решение Ministerio Fiscal.

41.      Обратно, някои от участващите в производството правителства твърдят, че спорната правна уредба не попада в посоченото приложно поле. За да защитят схващането си, те се позовават, наред с други доводи, на решение от 30 май 2006 г., Парламент/Съвет и Комисия(19).

42.      Съгласен съм с Conseil d’État (Държавен съвет), че с решение Tele 2 Sverige и Watson е разрешена тази част от спора, като е потвърдено, че Директива 2002/58 по принцип се прилага, когато доставчиците на електронни съобщителни услуги са задължени от закона да запазват данните на своите абонати и да позволяват на публичните органи да имат достъп до тях. Този извод не се променя от обстоятелството, че задълженията се налагат на доставчиците от съображения за национална сигурност.

43.      Още тук трябва да посоча, че ако има някакво несъответствие между решение Tele 2 Sverige и Watson и предходни решения, би трябвало да се отдаде предпочитание на първото, тъй като е по-ново и е препотвърдено с решение Ministerio Fiscal. Въпреки това смятам, че такова несъответствие не съществува, както ще се опитам да обясня по-долу.

1.      Решение Парламент/Съвет и Комисия

44.      Делата, по които е постановено решение Парламент/Съвет и Комисия, се отнасят до:

–      споразумението между Европейската общност и Съединените американски щати относно обработката и предаването на PNR данни [Passenger Name Records (резервационни данни за пътниците)] от страна на въздушните превозвачи на американските власти(20),

–      подходящия характер на защитата на личните данни от регистрацията на пътниците във въздушния транспорт, предавани на посочените власти(21).

45.      Съдът заключава, че предаването на тези данни представлява обработване, отнасящо се до обществената сигурност и дейностите на държавата в областта на наказателното право. Съгласно член 3, параграф 2, първо тире от Директива 95/46 двете спорни решения не попадат в приложното поле на Директива 95/46.

46.      Първоначално данните са били събирани от въздушните превозвачи в рамките на дейност — продажбата на билети — попадаща в обхвата на правото на Съюза. Въпреки това обработването им, предвидено в спорното решение, „не е необходимо за предоставянето на услуги, а се счита за необходимо за запазване на обществената сигурност и за целите на наказателното преследване“(22).

47.      Така Съдът възприема телеологичен подход, като взема под внимание целта, преследвана с обработването на данните: ако с него се цели запазването на обществената сигурност, то трябва да се счита за попадащо извън обхвата на Директива 95/46. Тази цел обаче не е единственият определящ критерий(23), поради което в решението се подчертава, че предаването „се вписва в установените от публичноправните органи рамки, насочени към запазване на обществената сигурност“(24).

48.      Така решение Парламент/Съвет и Комисия позволява да се очертае разграничението между клаузите за изключване и клаузите за ограничаване по Директива 95/46 (аналогични на тези по Директива 2002/58). Вярно е обаче, че и едните, и другите се отнасят до сходни цели от общ интерес, което създава известно объркване относно съответния им обхват, както посочва генералният адвокат Bot(25).

49.      Вероятно именно това объркване стои в основата на тезата, защитавана от държавите членки, настояващи, че Директива 2002/58 е неприложима в настоящия контекст. Според тях интересът на националната сигурност се защитава само чрез изключването, предвидено в член 1, параграф 3 от Директива 2002/58. Сигурно е обаче, че същия този интерес обслужват и ограниченията, предвидени в член 15, параграф 1 от посочената директива, сред които е и свързаното с националната сигурност. Последната разпоредба би била излишна, ако Директива 2002/58 се оказваше неприложима при всяко изтъкване на националната сигурност.

2.      Решение Tele2 Sverige  и Watson

50.      В решение Tele2 Sverige и Watson се разглежда въпросът дали са съвместими с правото на Съюза някои национални режими, налагащи на доставчиците на публично достъпни електронни съобщителни услуги общо задължение за запазване на данни за посочените електронни съобщения. Затова случаите са по същество еднакви на разглежданите в настоящите преюдициални запитвания.

51.      След като отново е поставен въпросът за приложимостта на правото на Съюза — този път във връзка с Директива 2002/58 — Съдът най-напред отбелязва, че „обхватът на приложното поле на Директива 2002/58 трябва да се прецени, като се вземе предвид по-специално нейната структура“(26).

52.      От тази гледна точка Съдът посочва, че „наистина […] законодателните мерки по член 15, параграф 1 от Директива 2002/58 се отнасят до дейности, които са присъщи на държавите или на държавните органи и са чужди на областите на дейност на частноправните субекти […]. Освен това целите, които трябва да се преследват с такива мерки съгласно посочената разпоредба, а именно гарантиране на националната сигурност, […] по същество съвпадат с целите, които се преследват с дейностите по член 1, параграф 3 от тази директива“(27).

53.      Ето защо целта на мерките, които съгласно член 15, параграф 1 от Директива 2002/58 могат да приемат държавите членки, за да ограничат правото на неприкосновеност на личния живот, съвпада (в това отношение) с целта, оправдаваща изключването на определени държавни дейности от режима по Директивата в съответствие с член 1, параграф 3 от нея.

54.      Въпреки това Съдът приема, че „предвид […] общата структура на Директива 2002/58“ това обстоятелство не позволява „да се направи изводът, че законодателните мерки по член 15, параграф 1 от Директива 2002/58 са изключени от приложното ѝ поле, тъй като в противен случай посочената разпоредба би била лишена от смисъл. Всъщност споменатата разпоредба логично предполага, че посочените в нея национални мерки […] попадат в приложното поле на същата директива, тъй като тя изрично допуска държавите членки да ги приемат само при спазване на предвидените в нея условия“(28).

55.      Към горното се прибавя, че ограниченията по член 15, параграф 1 от Директива 2002/58 „регламентират — за посочените в същата разпоредба цели — дейността на доставчиците на електронни съобщителни услуги“. Следователно тази разпоредба във връзка с член 3 от Директивата „трябва да се тълкува в смисъл, че такива законодателни мерки попадат в приложното поле на същата директива“(29).

56.      Затова Съдът поддържа, че в приложното поле на Директива 2002/58 попадат както законодателна мярка, която налага на доставчиците „задължение за запазване на данни за трафик и на данни за локализация, тъй като една такава дейност логично предполага обработване на лични данни“(30), така и законодателна мярка, уреждаща достъпа на властите до данните, запазени от тези доставчици(31).

57.      Тълкуването на Директива 2002/58 в решение Tele2 Sverige и Watson е възприето от Съда и в решение Ministerio Fiscal.

58.      Би ли могло да се твърди, че решение Tele2 Sverige и Watson представлява завой, повече или по-малко имплицитен, спрямо практиката, установена в решение Парламент/Съвет и Комисия? Така смята например ирландското правителство, според което само последното решение е съвместимо с правното основание на Директива 2002/58 и само то зачита член 4, параграф 2 ДЕС(32).

59.      От своя страна, френското правителство счита, че противоречието би могло да се избегне, ако се вземе предвид, че практиката, установена в решение Tele2 Sverige и Watson, се отнася до дейностите на държавите членки в областта на наказателното право, докато практиката от решение Парламент/Съвет и Комисия се отнася до държавната сигурност и отбраната. Затова практиката, установена в решение Tele2 Sverige и Watson, не била приложима спрямо анализирания понастоящем случай, при който трябвало да се възприеме разрешението съгласно решение Парламент/Съвет и Комисия(33).

60.      Както вече посочих, считам, че може да се намери начин за съгласуване на двете решения, различен от предлагания от френското правителство. Не споделям виждането на последното, тъй като според мен съображенията в решение Tele2 Sverige и Watson, отнасящи се изрично до борбата с тероризма(34), могат да важат и за всяка друга заплаха за националната сигурност (като тероризмът е само една такава заплаха).

3.      Възможност за съгласувано тълкуване на решение Парламент/Съвет и Комисия и решение Tele2 Sverige и Watson

61.      Според мен в решения Tele2 Sverige и Watson и Ministerio Fiscal Съдът отчита смисъла на клаузите за изключване и за ограничаване, както и систематичната връзка между двата вида клаузи.

62.      Ако по дело Парламент/Съвет и Комисия Съдът твърди, че обработването на данните не попада в обхвата на Директива 95/46, това се дължи, както вече припомних, на обстоятелството, че в контекста на сътрудничеството между Европейския съюз и Съединените щати — в една типично международна рамка — преобладава държавното измерение на дейността пред обстоятелството, че въпросното обработване има и търговско или частноправно измерение. Един от спорните въпроси тогава е именно кое е подходящото правно основание за спорното решение.

63.      Обратно, що се отнася до националните мерки, разглеждани в решения Tele2 Sverige и Watson и Ministerio Fiscal, Съдът поставя на преден план вътрешното измерение на обработването на данни: правната рамка, в която то се извършва, е изцяло национална, като следователно липсва външното измерение, характерно за случая, разгледан в решение Парламент/Съвет и Комисия.

64.      Различната тежест на международното и вътрешното (търговско и частноправно) измерение на обработването на данни има за последица, че в първия случай е приложена клаузата за изключване от правото на Съюза като по-подходяща за защитата на общия интерес, свързан с националната сигурност. Във втория случай, обратно, същият интерес е можел да бъде защитен ефективно посредством клаузата за ограничаване, предвидена в член 15, параграф 1 от Директива 2002/58.

65.      Следва да се прецени и друга разлика, свързана с различния нормативен контекст: всяко от тези съдебни решения се съсредоточава върху тълкуването на две разпоредби, които отвъд привидностите не са еднакви.

66.      Така произнасянето в решение Парламент/Съвет и Комисия е относно тълкуването на член 3, параграф 2 от Директива 95/46, докато решение Tele2 Sverige и Watson се концентрира върху член 1, параграф 3 от Директива 2002/58. При внимателен прочит на тези членове проличават достатъчно разлики, за да се подкрепи начинът на произнасяне на Съда в единия и в другия случай.

67.      Съгласно член 3, параграф 2 от Директива 95/46 „[н]астоящата директива не се прилага за обработването на лични данни […] при извършване на дейности, извън приложното поле на правото на Общността, […] и във всички случаи при дейности по обработването на данни, отнасящи се до обществената сигурност, отбраната, държавната сигурност (включително икономическото благосъстояние на държавата, когато процесът на обработка е свързан[…] с държавната сигурност) и при дейности на държавата в областта на наказателното право“(35).

68.      От своя страна член 1, параграф 3 от Директива 2002/58 предвижда, че последната „не се прилага за дейности, които попадат извън обхвата на Договора за създаване на Европейската общност, […] и във всички случаи за дейности, отнасящи се до обществената сигурност, отбраната, сигурността на държавата (включително икономическото благосъстояние на държавата, когато дейностите се отнасят до проблемите за сигурността на държавата) и дейностите на държавата в областта на наказателното право“(36).

69.      Докато член 3, параграф 2 от Директива 95/46 изключва обработването на данни, отнасящи се (за целите на настоящото производство) до държавната сигурност, член 1, параграф 3 от Директива 2002/58 изключва дейностите, насочени към запазването на държавната сигурност (отново за целите на настоящото производство).

70.      Разликата не е незначителна. Директива 95/46 оставя извън приложното си поле една дейност („обработването на лични данни“), която всеки може да осъществи. Що се отнася до тази дейност, изключва се по-специално обработването на данни, свързани в частност с държавната сигурност. За сметка на това е ирелевантно естеството на субекта, осъществяващ обработването на данните. Ето защо подходът при определянето на изключените дейности е телеологичен или с оглед на целта, като не се прави разграничение между лицата, извършващи тези дейности.

71.      Затова е разбираемо, че по дело Парламент/Съвет и Комисия Съдът взема предвид основно целта, преследвана с обработването на данните. Не е от значение обстоятелството, че данните се събират „от частни оператори за търговски цели и тези оператори организират предаването им към трета държава“, тъй като основното е, че „такова предаване се вписва в установените от публичноправните органи рамки, насочени към запазване на обществената сигурност“(37).

72.      За сметка на това „дейностите, отнасящи се до сигурността на държавата“ и оставащи извън приложното поле на Директива 2002/58, анализирано по дело Tele2 Sverige y Watson, не могат да се извършват от който и да е субект, а единствено от самата държава. Освен това не се включват нормотворческите или регулаторните задачи на държавата, а само правоприлагащата дейност на публичните органи.

73.      Всъщност дейностите, изброени в член 1, параграф 3 от Директива 2002/58, „във всички случаи са присъщи на държавите или на държавните органи дейности, които са извън областите на дейност на частноправните субекти“(38). Тези „дейности“ обаче не могат да бъдат нормотворчески. В противен случай всички разпоредби, приети от държавите членки във връзка с обработването на личните данни, биха останали извън обхвата на Директива 2002/58, стига само да се посочват като необходими за гарантирането на сигурността на държавата.

74.      От една страна, това би означавало осезаема загуба за полезното действие на посочената директива, тъй като само позоваването на толкова неопределено правно понятие като националната сигурност би било достатъчно, за да станат неприложими спрямо държавите членки гаранциите, замислени от законодателя на Съюза с цел защита на личните данни на гражданите. Тази защита не може да се осъществи без съдействието на държавите членки и тя се гарантира за гражданите също и спрямо националните публични органи.

75.      От друга страна, тълкуване на понятието „държавни дейности“, включващо дейностите, които се изразяват в приемането на норми и правни разпоредби, би обезсмислило член 15 от Директива 2002/58, който именно оправомощава държавите членки — по съображения за запазване в частност на националната сигурност — да приемат „законодателни мерки“ с цел да ограничат обхвата на някои права и задължения, предвидени в същата директива(39).

76.      Както подчертава Съдът по дело Tele2 Sverige и Watson, „обхватът на приложното поле на Директива 2002/58 трябва да се прецени, като се вземе предвид по-специално нейната структура“(40). От тази гледна точка тълкуването на член 1, параграф 3 и на член 15, параграф 1 от Директива 2002/58, което им придава смисъл, без да се засяга полезното им действие, е, че първата от двете разпоредби предвижда изключение ratione materiae по отношение на дейностите, извършвани от държавите членки в областта на националната сигурност (и равностойни), а втората съдържа оправомощаване за приемането на законодателни мерки (тоест норми с общо приложение), които в името на националната сигурност засягат дейностите на лицата, подчинени на властта на държавите членки, ограничавайки гарантираните с Директива 2002/58 права.

4.      Изключване на националната сигурност в Директива 2002/58

77.      Националната сигурност (или синонимният израз „държавна сигурност“, както е посочено в член 15, параграф 1) е разгледана на две места в Директива 2002/58. От една страна, тя съставлява основание за изключване (на прилагането на тази директива) спрямо всички онези дейности на държавите членки, „отнасящи се“ по-специално до нея. От друга страна, тя присъства и като основание за ограничаване — което трябва да се извърши посредством закон — на правата и задълженията, предвидени в Директива 2002/58, тоест що се отнася до частноправни или търговски по естеството си дейности, които са чужди на властническите дейности на държавата(41).

78.      До кои дейности се отнася член 1, параграф 3 от Директива 2002/58? Според мен самият Conseil d’État (Държавен съвет) дава добър пример, като споменава членове L. 851‑5 и L. 851‑6 от Кодекса за вътрешната сигурност, които се отнасят до „използваните пряко от държавата средства за събиране на разузнавателна информация, без да уреждат дейностите на доставчиците на електронни съобщителни услуги, като им налагат конкретни задължения“(42).

79.      Смятам, че именно тук се крие ключът за определянето на обхвата на изключването по член 1, параграф 3 от Директива 2002/58. Режимът по нея не се прилага спрямо дейностите, които са насочени към запазване на националната сигурност и които се извършват от публичните органи за тяхна сметка, без да е необходимо съдействие от страна на частноправни субекти и следователно без на последните да се налагат задължения във връзка с организирането на тяхната дейност.

80.      Наборът от дейности на публичните органи, които са изключени от общия режим за обработване на личните данни, трябва обаче да се тълкува ограничително. По-конкретно понятието за национална сигурност, която в съответствие с член 4, параграф 2 ДЕС остава единствено в рамките на отговорността на всяка държава членка, не може да се разпростира към други области на обществения живот, повече или по-малко близки.

81.      Тъй като във връзка с разглежданите преюдициални въпроси са намесени частноправни субекти (тоест такива, които предоставят на потребителите електронни съобщителни услуги), а не само държавните органи, не е необходимо да се разглежда по-подробно обособяването на националната сигурност stricto sensu.

82.      Все пак считам, че за ориентир може да послужи критерият по Рамково решение 2006/960/ПВР(43), в член 2, буква а) от което се прави разграничение между правоприлагащи органи в широк смисъл — които обхващат „национален полицейски, митнически или друг орган, който е оправомощен по националното право да открива, предотвратява и разследва престъпления или престъпна дейност, както и да упражнява власт и да предприема принудителни мерки в контекста на такива дейности“ — от една страна, и „[а]генциите или звената, занимаващи се изключително с въпроси на националната сигурност“, от друга страна(44).

83.      В съображение 11 от Директива 2002/58 се посочва, че „[к]акто Директива 95/46[…], [тя] не се отнася до въпросите за защита на основните права и свободи[,] свързани с дейности, които не се управляват от законодателството на [Съюза]“. Затова Директива 2002/58 „не променя съществуващия баланс между правото на индивида на неприкосновеност на личния живот и възможността на държавите членки да предприемат мерки, съгласно член 15, параграф 1 от настоящата директива, необходими за защита на […] сигурността на държавата […]“.

84.      Всъщност е налице приемственост между Директива 95/46 и Директива 2002/58, що се отнася до правомощията на държавите членки във връзка с националната сигурност. Никоя от двете няма за предмет защитата на основните права в тази специфична област, в която дейностите на държавите членки не се „управляват от законодателството на [Съюза]“.

85.      Посоченият във въпросното съображение „баланс“ следва от необходимостта да се зачитат правомощията на държавите членки в областта на националната сигурност, когато ги упражняват пряко и със собствени средства. Обратно, когато — включително по същите съображения за национална сигурност — е необходимо съдействие от страна на частноправни субекти, на които се налагат определени задължения, това обстоятелство определя попадането в сфера (защитата на неприкосновеността на личния живот, изисквана от тези частноправни субекти), която се урежда от правото на Съюза.

86.      Както Директива 95/46, така и Директива 2002/58 се опитват да постигнат този баланс, допускайки правата на частноправните субекти да могат да бъдат ограничавани по силата на законодателни мерки, приети от държавите в съответствие с член 13, параграф 1 и член 15, параграф 1 от съответните директиви. В това отношение няма никаква разлика между двете.

87.      Що се отнася до Регламент 2016/679, който създава (нова) обща рамка за защита на личните данни, член 2, параграф 2 от него предвижда, че той не се прилага за „обработването на лични данни“, когато държавите членки „извършват дейности, които попадат в приложното поле на дял V, глава 2 от ДЕС“.

88.      Докато при Директива 95/46 обработването на лични данни се определя само с оглед на неговата цел, независимо от субекта, който го осъществява, съгласно Регламент 2016/679 изключеното обработване се определя с оглед както на целта, така и на субектите: изключено е обработването от страна на държавите членки в хода на дейности, които са извън приложното поле на правото на Съюза (член 2, параграф 2, букви а) и б), както и обработването от страна на органите за целите на борбата срещу престъпленията и предпазването от заплахи за обществената сигурност(45).

89.      Определянето на тези дейности на публичната власт трябва по необходимост да бъде ограничително, като в противен случай би се лишила от полезно действие правната уредба на Съюза в областта на защитата на неприкосновеността на личния живот. В член 23 от Регламент 2016/679 се предвижда — в съответствие с член 15, параграф 1 от Директива 2002/58 — ограничаването чрез законодателна мярка на предвидените в него права и задължения, когато това е необходимо с цел да се гарантира в частност националната сигурност, отбраната или обществената сигурност. Отново, ако преследването на тези цели беше достатъчно за изключване от приложното поле на Регламент 2016/679, би било излишно националната сигурност да се посочва като основание за ограничаване чрез законодателни мерки на правата, гарантирани с този регламент.

90.      Както в случая на Директива 2002/58, не би било последователно законодателните мерки, предвидени в член 23 от Регламент 2016/679 (който, повтарям, разрешава ограничения от страна на държавата на правата на неприкосновеност на личния живот на гражданите по съображения за национална сигурност), да попадат в приложното му поле и същевременно замесването на националната сигурност да прави автоматично неприложим самия регламент, което би означавало липса на признаване на всякакво субективно право.

2.      Потвърждаване и възможности за развитие на практиката, установена с решение Tele2 Sverige и Watson

91.      В заключението си по дело С‑520/18 извършвам подробен анализ(46) на практиката на Съда в тази област, в резултат на който предлагам нейното потвърждаване, като същевременно предлагам определен начина на тълкуване за изясняване на съдържанието ѝ.

92.      Препращам към този анализ, който не смятам за необходимо да пренасям тук единствено от съображения за удобство. Затова изложените по-долу разсъждения по преюдициалните въпроси, отправени от Conseil d’Etat (Държавен съвет), трябва да се разбират, като се изхожда от съответните части на заключението по дело С‑520/18.

3.      Отговор на преюдициалните въпроси

1.      Относно задължението за запазване на данните (първи преюдициален въпрос по дела С‑511/18 и С‑512/18 и втори преюдициален въпрос по дело С‑512/18)

93.      Що се отнася до задължението за запазване на данните, наложено на доставчиците на електронни съобщителни услуги, запитващата юрисдикция иска да се установи по-конкретно:

–      дали това задължение, наложено на основание член 15, параграф 1 от Директива 2002/58, представлява намеса, обоснована с „правото на сигурност“, гарантирано в член 6 от Хартата, и с изискванията на националната сигурност (първи въпрос по дела С‑511/18 и С‑512/18, както и трети въпрос по дело С‑511/18);

–      дали Директива 2000/31 допуска запазването на данни, годни да позволят идентифицирането на лицата, допринесли за създаването на съдържание, което е публично достъпно в интернет (втори въпрос по дело С‑512/18).

1)      Предварително съображение

94.      Conseil d’Etat (Държавен съвет) изтъква основните права, признати в член 7 (зачитане на личния и семейния живот), член 8 (защита на личните данни) и член 11 (свобода на изразяване на мнение и свобода на информация) от Хартата. Всъщност това са правата, които според Съда биха могли да бъдат засегнати от задължението за запазване на данни за трафик, наложено от националните органи на доставчиците на електронни съобщителни услуги(47).

95.      Запитващата юрисдикция споменава и правото на сигурност, гарантирано в член 6 от Хартата. Освен като евентуално засегнато право, тя го посочва и като фактор, който би могъл да оправдае налагането на въпросното задължение.

96.      Съгласен съм с Комисията, че посочването на член 6 по този начин може да се окаже двусмислено. Подобно на Комисията считам, че тази разпоредба не трябва да се тълкува в смисъл, че може „да наложи на Съюза позитивно задължение за приемане на мерки, насочени към защита на лицата срещу престъпни деяния“(48).

97.      Гарантираната с този член сигурност не е равнозначна на обществената сигурност. С други думи, тя има толкова общо с обществената сигурност, колкото всяко друго основно право, доколкото обществената сигурност е необходимо условие за упражняването на основните права и свободи.

98.      Комисията припомня, че член 6 от Хартата съответства на член 5 от Европейската конвенция за защита на правата на човека и основните свободи (наричана по-нататък „ЕКПЧ“), както личи и от придружаващите Хартата обяснения. Видно от прочита на член 5 от ЕКПЧ, гарантираната в него „сигурност“ е само личната сигурност, разбирана като гаранция за правото на физическа свобода срещу произволен арест или задържане. В крайна сметка става въпрос за сигурността, че никой не може да бъде лишен от свободата си освен в случаите, при условията и в съответствие с процедурите, предвидени със закон.

99.      Ето защо става въпрос за личната сигурност, отнасяща се до условията, при които може да се ограничи физическата свобода на лицата(49), а не за обществената сигурност, свързана със съществуването на държавата, която е необходима предпоставка в едно развито общество за примиряване на упражняването на публичната власт и ползването на индивидуалните права.

100. Някои правителства обаче настояват да се отчете в по-голяма степен правото на сигурност във втория посочен смисъл. Всъщност Съдът не го е пренебрегнал, а дори го споменава изрично в своите решения(50) и становища(51). Той никога не е отричал значението на целите от общ интерес за запазване на националната сигурност и обществения ред(52), за борба с международния тероризъм с оглед на опазване на международния мир и сигурност, както и за борба с тежките престъпления с оглед на гарантирането на обществената сигурност(53), което значение той правилно определя като „първостепенно“(54). Както Съдът вече е посочвал, „защитата на обществената сигурност допринася и за защитата на правата и свободите на други хора“(55).

101. Би могла да се използва възможността, предоставена от разглежданите преюдициални запитвания, за да се представи по по-ясен начин търсенето на баланс между правото на сигурност, от една страна, и правото на неприкосновеност на личния живот и правото на защита на личните данни, от друга страна. Така биха се избегнали критиките, че се дава предимство на вторите в ущърб на първото.

102. Според мен за този баланс свидетелстват съображение 11 и член 15, параграф 1 от Директива 2002/58, когато в тях се споменават изискванията за необходимост и пропорционалност на мерките в рамките на едно демократично общество. Повтарям, че правото на сигурност е неразделна част от самото съществуване и оцеляване на демокрацията, а това обосновава то да се взема изцяло предвид в контекста на преценката за пропорционалност. С други думи, ако зачитането на принципа за поверителност на данните е основен в едно демократично общество, не трябва да се подценява и значението на сигурността.

103. Ето защо контекстът на сериозни и постоянни заплахи за националната сигурност, и по-специално рискът от тероризъм, трябва да се има предвид в съответствие със съображенията, изложени в последното изречение на точка 119 от решение Tele2 Sverige и Watson. Национална система може да отговори по пропорционален начин на естеството и сериозността на заплахите, пред които е изправена, без този отговор непременно да трябва да е еднакъв с този на други държави членки.

104. Накрая трябва да добавя, че гореизложените разсъждения не пречат в наистина изключителни случаи, характеризиращи се с непосредствена заплаха или с извънреден риск, оправдаващи официалното обявяване на извънредно положение в определена държава членка, националното законодателство да предвижда възможността за ограничен период от време да се наложи задължение за запазване на данни, което да бъде толкова широко и общо, колкото се сметне за необходимо(56).

105. Следователно първият въпрос в двете преюдициални запитвания би трябвало да се преформулира, като по-скоро бъде насочен към възможността намесата да се обоснове със съображения за национална сигурност. Така съмнението би се отнасяло до въпроса дали задължението, наложено на операторите на електронни съобщителни услуги, е съвместимо с член 15, параграф 1 от Директива 2002/58.

2)      Съображения

1)      Характеристика на вътрешните норми, изложени в преюдициалните запитвания, с оглед на практиката на Съда

106. Съгласно актовете за преюдициално запитване спорната правна уредба в главните производства предвижда задължение за запазване на данните:

–      за операторите на електронни съобщителни услуги, и по-специално за тези, които предлагат достъп до публични съобщителни услуги в интернет, и

–      за физическите или юридическите лица, които съхраняват — дори без заплащане за целите на публичното им предоставяне в интернет — сигнали, текстове, звуци или изображения или съобщения от всякакво естество, предоставени от получателите на тези услуги(57).

107. Операторите трябва да запазват в продължение на една година, считано от деня на записването им, данните, позволяващи идентифицирането на потребителя, данните относно използваните крайни устройства, техническите характеристики, датата, часа и продължителността на всяко повикване, данните относно поисканите или използваните допълнителни услуги и техните доставчици, както и данните, които улесняват идентифицирането на получателя на съобщението, а в случай на дейности, свързани с телефония — които позволяват да се установят източникът и локализацията на съобщението(58).

108. Що се отнася по-специално до услугите за достъп до интернет и до услугите за съхранение, националната правна уредба, изглежда, изисква запазването на IP адресите(59), на паролите, а когато сключването на договора или създаването на профила е възмездно — на вида на извършеното плащане, както и на номера на плащането, неговия размер, датата и часа на сделката(60).

109. Това задължение за запазване се налага с оглед на разследването, разкриването и наказателното преследване на престъпления(61). Тоест за разлика — както ще бъде показано по-долу — от положението във връзка със задължението за събиране на данни за трафика и за локализацията, задължението за тяхното запазване няма за единствена цел предотвратяването на тероризма(62).

110. Що се отнася до условията за достъп до запазените данни, от предоставената информация по делата е видно, че или това са условията съгласно общия режим (намеса на съдебен орган), или такъв достъп се ограничава до индивидуално посочени и оправомощени лица, след разрешение от министър-председателя, дадено въз основа на необвързващото становище на независим административен орган(63).

111. Лесно е да се забележи, че както отбелязва Комисията(64), данните, чието запазване изискват националните разпоредби, по същество съответстват на разгледаните от Съда в решения Digital Rights и Tele2 Sverige и Watson(65). Както и тогава, тези данни са предмет на „задължение за общо и неизбирателно запазване“, както Conseil d’État (Държавен съвет) подчертава съвсем открито в началото на преюдициалните си въпроси.

112. Ако това е така, което в крайна сметка трябва да бъде преценено от запитващата юрисдикция, може само да се заключи, че въпросната правна уредба предполага „намеса в основните права, провъзгласени в членове 7 и 8 от Хартата, [която] се оказва силно изразена и трябва да се счита за особено тежка“(66).

113. Никоя от страните в производството не поставя под съмнение, че правна уредба с тези характеристики предполага намеса в посочените права. Понастоящем не е наложително да се разглежда по-подробно този въпрос, нито дори за да се припомни, че накърняването на тези права прераства неизбежно в засягане на самите основи на общество, което се стреми да зачита, наред с други ценности, неприкосновеността на личния живот, гарантирана с Хартата.

114. Прилагането на практиката, установена с решение Tele2 Sverige и Watson и затвърдена с решение Ministerio Fiscal, води естествено до извода, че правна уредба като разглежданата понастоящем „надхвърля границите на строго необходимото и не може да се счита за обоснована в едно демократично общество, както изисква член 15, параграф 1 от Директива 2002/58 във връзка с членове 7, 8 и 11 и член 52, параграф 1 от Хартата“(67).

115. Всъщност, подобно на анализираната в решение Tele2 Sverige и Watson, разглежданата понастоящем правна уредба също „се отнася общо за всички абонати и регистрирани ползватели, […] визира всички средства за електронни съобщения, както и всички данни за трафик, [и] не предвижда каквото и да било диференциране, ограничение или изключение в зависимост от преследваната цел“(68). Следователно тя „се прилага дори за лица, за които не съществува никаква улика, даваща основание да се счита, че действията им биха могли да имат някаква, била тя непряка и далечна, връзка с извършени тежки престъпления“, като при това тя не допуска никакво изключение, „поради което се прилага и за лица, чиито съобщения според националното право представляват професионална тайна“(69).

116. В допълнение, спорната правна уредба „не изисква никаква връзка между данните, които се предвижда да бъдат запазвани, и наличието на заплаха за обществената сигурност. По-специално тя не се ограничава до запазването само на данни, отнасящи се за определен период и/или за определена географска зона, и/или за кръг от определени лица, които е възможно по един или друг начин да са участвали в тежко престъпление, нито само за лица, които поради други съображения биха могли да допринесат чрез запазване на данните им за борбата с престъпността“(70).

117. От гореизложеното се прави изводът, че тази правна уредба „надхвърля границите на строго необходимото и не може да се счита за обоснована в едно демократично общество, както изисква член 15, параграф 1 от Директива 2002/58 във връзка с членове 7, 8 и 11 и член 52, параграф 1 от Хартата“(71).

118. Предходните съображения са достатъчни, за да може Съдът да заключи, че съответните национални разпоредби не са съвместими с член 15, параграф 1 от Директива 2002/58, доколкото „за целите на борбата с престъпността предвижда[т] общо и неизбирателно запазване на всички данни за трафик и данни за локализация на всички […] регистрирани абонати и ползватели на всички електронни съобщителни средства“(72).

119. Възникналият понастоящем въпрос е дали практиката на Съда в областта на запазването на лични данни може, ако не да се промени, то поне да се нюансира, когато целта, преследвана с това „общо и неизбирателно“ запазване, е борбата с тероризма. Първият въпрос по дело С‑511/18 се поставя именно „в условията на сериозни и постоянни заплахи за националната сигурност, свързани по-специално с риска от тероризъм“.

120. Макар това да е фактическият контекст, в който се налага задължението за запазване на данните, от значение е, че правният контекст не се отнася само до тероризма. Режимът относно запазването и достъпа до данните, който се разглежда в производството пред Conseil d’État (Държавен съвет), предвижда това задължение за целите на разследването, разкриването и наказателното преследване на всякакви престъпления.

121. Във всеки случай следва да се припомни, че борбата с тероризма не остава незасегната от съображенията в решение Tele2 Sverige и Watson, без Съдът тогава да приеме, че тази престъпна дейност налага промяна на практиката му(73).

122. Затова и по принцип считам, че на въпроса на запитващата юрисдикция, съсредоточен върху спецификите на терористичната заплаха, би трябвало да се отговори в същия смисъл, в който се произнася Съдът в решение Tele2 Sverige и Watson.

123. Както поддържам в заключението по дело Stichting Brein, „[п]равната сигурност изисква от съдилищата може би не чак стриктно да прилагат принципа stare decisis, но поне да се придържат към това, което сами са постановили след задълбочена преценка по даден правен въпрос“(74).

2)      Ограничено запазване на данни с оглед на заплахите за държавната сигурност, включително терористичната заплаха

124. Възможно ли е все пак нюансирането или допълването на тази съдебна практика предвид последиците от нея за борбата с тероризма или за защитата на държавата от аналогични заплахи за националната сигурност?

125. Вече подчертах, че самото запазване на лични данни предполага намеса в правата, гарантирани с членове 7, 8 и 11 от Хартата(75). Отвъд обстоятелството, че в крайна сметка с него се цели да се направи възможен достъпът — ретроспективно или в реално време — до данните в определен момент(76), запазването на данни, които надхвърлят стриктно необходимото за предаването на определено съобщение или за фактурирането на услугите, предоставени от доставчика, предполага незачитане на границите, предвидени в членове 5 и 6 от Директива 2002/58.

126. Потребителите на тези услуги (всъщност почти всички граждани в развитите общества) имат — или трябва да имат — оправдани правни очаквания в смисъл, че без съгласието им не се запазват повече техни данни от съхраняваните в съответствие с тези разпоредби. Изключенията по член 15, параграф 1 от Директива 2002/58 трябва да се тълкуват, изхождайки от тази предпоставка.

127. Както вече обясних, в решение Tele2 Sverige и Watson Съдът отхвърля, включително във връзка с борбата с тероризма, общото и неизбирателно запазване на лични данни(77).

128. Предвид получените критики не смятам, че установената във въпросното съдебно решение практика подценява терористичната заплаха като форма на особено тежка престъпна дейност, включваща ясно изразената цел за подкопаване на държавната власт и за дестабилизиране или унищожаване на институциите на държавата. Борбата с тероризма буквално е жизненоважна за държавата и нейното успешно развитие, цел от общ интерес, която е крайно необходима в една правова държава.

129. На практика всички правителства, участващи в производството, както и Комисията, посочват, че освен свързаните с него технически трудности частичното и избирателно запазване на лични данни би лишило националните разузнавателни служби от възможността за достъп до информация, необходима за идентифицирането на заплахи за обществената сигурност и отбраната на държавата, както и за преследването на извършителите на терористични актове(78).

130. Предвид това схващане ми се струва релевантно да посоча, че борбата с тероризма не трябва да се разглежда, мислейки само за нейната ефективност. От това следва трудност, но и значително постижение, когато нейните средства и методи съответстват на изискванията на правовата държава, свързани преди всичко с ограничаване на властта и силата чрез правото, и по-специално чрез един правен ред, чиито смисъл и цел на съществуване са защитата на основните права.

131. Ако за тероризма оправдаването на използваните средства не е подчинено на друг критерий освен този за чиста (и максимална) ефективност на атаките срещу установения ред, за правовата държава ефективността се измерва по начин, който не позволява в нейно име да се пренебрегнат процедурите и гаранциите, определящи държавата като законен правен ред. Отчитайки автоматично само ефективността, правовата държава би загубила отличителното си качество и в крайни случаи би могла самата тя да се превърне в заплаха за гражданите. Нищо не би могло да гарантира, че ако публичната власт се снабди с крайни средства за преследване на престъпната дейност, с които би могла да пренебрегне или да подкопае основните права, нейната неконтролирана и напълно свободна дейност в крайна сметка не би засегнала свободата на други лица.

132. Ефективността на публичната власт, повтарям, се натъква на непреодолимата бариера на основните права на гражданите, чието ограничаване съгласно член 52, параграф 1 от Хартата може да бъде предвидено само в закон при зачитане на основното им съдържание, когато е „необходим[о] и ако действително отговаря[…] на признати от Съюза цели от общ интерес или на необходимостта да се защитят правата и свободите на други хора“(79).

133. По въпроса за условията, при които съгласно решение Tele2 Sverige и Watson би било допустимо избирателно запазване на данни, препращам към заключението си по дело С‑520/18(80).

134. Обстоятелства, при които информацията, налична при службите за сигурност, предизвиква сериозни подозрения за подготовката на терористичен акт, могат да съставляват законно основание за налагане на задължение за запазване на определени данни. По аргумент за по-силното основание такова законно основание може да бъде действителното извършване на терористичен акт. Ако в последния случай извършването на престъплението може само по себе си да представлява фактор, обосноваващ приемането на тази мярка, при подозрение за евентуален терористичен акт би било необходимо оправдаващите тази мярка обстоятелства да предполагат минимална степен на правдоподобност, необходима за обективната преценка на уликите, които биха могли да обосноват мярката.

135. Макар да е трудно, не е невъзможно да се определят точно и съгласно обективни критерии както категориите данни, чието запазване се счита за необходимо, така и кръгът на засегнатите лица. Вярно е, че най-практично и ефективно би било общото и неизбирателно запазване на толкова данни, колкото могат да получат доставчиците на електронни съобщителни услуги, но както вече посочих, въпросът не може да се решава с оглед на практическата ефективност, а трябва да се разглежда с оглед на правната ефективност и в контекста на правовата държава.

136. Тази дейност по определяне е типично законодателна дейност, ограничена от рамките на практиката на Съда. Отново препращам към изложеното в това отношение в заключението ми по дело С‑520/18(81).

3)      Достъп до запазените данни

137. Изхождайки от предпоставката, че операторите са събрали данните по начин, съответстващ на разпоредбите на Директива 2002/58, и че запазването им се е извършило на основание член 15, параграф 1(82), достъпът на компетентните органи до тази информация трябва да се осъществява при условията, които са определени от Съда и които анализирам в заключението си по дело С‑520/18, към което препращам(83).

138. Затова също и в този случай националната правна уредба трябва да определи материалните и процесуалните условия за достъп на компетентните органи до запазените данни(84). В контекста на разглежданите преюдициални запитвания тези условия биха позволили достъпа до данните на лицата, които са заподозрени, че подготвят, извършват или са извършили терористичен акт или че може да са замесени в такова престъпление(85).

139. От съществено значение е обаче — освен в надлежно обосновани неотложни случаи — достъп до въпросните данни да се предоставя след предварителен контрол, осъществен от юрисдикция или от независим административен орган, чието решение се приема след мотивирана молба на компетентните органи(86). По този начин там, където абстрактната уредба в закона не е достатъчна, се осигурява конкретната преценка на този независим орган, който също е задължен да гарантира държавната сигурност и защитата на основните права на гражданите.

4)      Задължение за запазване на данните, позволяващи да се идентифицират създателите на съдържание, с оглед на Директива 2000/31 (втори преюдициален въпрос по дело С‑512/18)

140. Запитващата юрисдикция посочва Директива 2000/31 като отправна точна за преценката дали е възможно да бъдат задължени определени лица(87) и оператори, които предоставят публични съобщителни услуги, да запазват данните, „годни да позволят идентифицирането на всяко лице, което допринася за създаването на съдържанието или на част от съдържанието на предоставяните от тях услуги, за да може съдът евентуално да ги изиска с оглед на зачитането на нормите в областта на гражданската или наказателната отговорност“.

141. Съгласен съм с Комисията, че би било неуместно да се разглежда съвместимостта на това задължение с Директива 2000/31(88), тъй като член 1, параграф 5, буква б) от последната изключва от приложното ѝ поле „въпроси[те], които се отнасят до услуги на информационното общество, които са предмет на директиви 95/46/ЕО и 97/66/ЕО“, актове, съответстващи понастоящем на Регламент 2006/679 и на Директива 2002/58(89), съответно член 23, параграф 1 и член 15, параграф 1 от които според мен трябва да се тълкуват по изложения по-горе начин.

2.      Относно задължението за събиране в реално време на данни за трафика и за локализацията (втори преюдициален въпрос по дело С‑511/18)

142. Според запитващата юрисдикция член L. 851‑2 от Кодекса за вътрешната сигурност разрешава, единствено за целите на предотвратяването на тероризма, събирането в реално време на информация относно лица, за които преди това е установено, че може да са свързани с терористична заплаха. По същия начин член 851‑4 от този кодекс разрешава операторите да предават в реално време техническите данни за локализацията на крайното оборудване.

143. Според запитващата юрисдикция тези технически средства не налагат на доставчиците изискване за допълнително запазване извън това, което е необходимо за фактурирането и предлагането на пазара на техните услуги.

144. Освен това съгласно член L. 851‑3 от Кодекса за вътрешната сигурност на операторите на електронни съобщителни услуги и на техническите доставчици може да се налага задължение „да извършват в мрежите си дейности по автоматизирано обработване, предназначени — съгласно уточнени в разрешението параметри — да разкриват случаи на свързване, които може да имат отношение към терористична заплаха“. Това техническо средство не предполагало общо и неизбирателно запазване на данни и било насочено към събирането за ограничен период от време на такива данни за свързване, които биха могли да имат отношение към определена терористична дейност.

145. Според мен условията, необходими за достъп до запазените лични данни, трябва да се прилагат също и спрямо достъпа в реално време до данните, създадени в хода на електронните съобщения. Ето защо препращам към вече изложеното в това отношение. Дали става въпрос за запазени, или за получени на момента данни, е ирелевантно, тъй като и в двата случая е налице запознаване с лични данни без значение дали те са минали, или настоящи.

146. По-конкретно, ако достъпът в реално време е последица от случаи на свързване, открити чрез средства за автоматизирана обработка като предвидените в член L. 851‑3 от Кодекса за вътрешната сигурност, се налага предварително установените модели и критерии за тази обработка да бъдат специфични, надеждни и недискриминационни, така че да улесняват идентифицирането на лицата, за които може да съществува разумно подозрение за участие в терористични дейности(90).

3.      Относно задължението за информиране на засегнатите лица (трети преюдициален въпрос по дело С‑511/18)

147. Съдът е приел, че органите, на които е предоставен достъп до данните, трябва да информират за това засегнатите лица, стига да не се пречи на водените разследвания. Причината за това задължение се крие в обстоятелството, че посочената информация е необходима, за да се позволи на тези лица да упражнят правото си на ефективни правни средства за защита, изрично предвидено в член 15, параграф 2 от Директива 2002/58, в случай на нарушение на правата им(91).

148. С третия си въпрос по дело С‑511/18 Conseil d’État (Държавен съвет) иска да се установи дали това изискване за информиране важи във всеки случай, или е възможно освобождаване от него, когато са предвидени други гаранции като описаните в акта за преюдициално запитване.

149. Съгласно изложението на запитващата юрисдикция(92) посочените гаранции се свеждат до възможността на всяко лице, което желае да направи проверка за евентуално незаконосъобразно използване на разузнавателни средства, да сезира самия Conseil d’État (Държавен съвет). Този орган може евентуално да отмени разрешението относно мярката и да разпореди унищожаването на събраните данни в рамките на производство, което не е съобразено с принципа на състезателност, обичаен при съдебните производства.

150. Запитващата юрисдикция счита, че тази правна уредба не накърнява правото на ефективни правни средства за защита. Смятам обаче, че това на теория би могло да се приеме за лицата, които решат да проверят дали спрямо тях се водят разузнавателни действия. Обратно, това право не е зачетено, ако лицата, спрямо които се водят или са се водили такива действия, не бъдат уведомени за това обстоятелство и следователно не могат дори да си поставят въпроса дали правата им са били накърнени.

151. Споменатите от запитващата юрисдикция съдебни гаранции, изглежда, зависят от инициативата на лицето, което подозира, че се събира информация за него. Достъпът до съд с оглед на защитата на правата му обаче трябва да бъде ефективен за всички, което означава, че лицето, чиито лични данни са били обработени, трябва да има възможност да оспори пред съд законосъобразността на това обработване и следователно да бъде уведомено за него.

152. Действително съгласно предоставената информация сезирането на съда може да стане по служебен път или вследствие на подадена по административен ред жалба, но при всички положения на засегнатото лице трябва да се предостави възможност самото то да сезира съда, за което е необходимо да му бъде съобщено, че личните му данни са били обработени по определен начин. Не може защитата на правата му да зависи от това то да научи за въпросното обработване от трети лица или със свои собствени средства.

153. Така, доколкото не се създават пречки за водените разследвания, заради които е предоставен достъп до запазените данни, засегнатото лице трябва да бъде уведомено за този достъп.

154. Отделен е въпросът дали, когато съдът е сезиран от засегнатото лице, след като то е било уведомено за достъпа до данните му, последващото съдебно производство съответства на изискванията за поверителност и за сдържаност, присъщи на контрола на дейността на публичните органи в чувствителни области като тези на държавната сигурност и отбрана. Този въпрос обаче не е предмет на разглежданите преюдициални запитвания, поради което според мен Съдът не следва да се произнася в това отношение.

V.      Заключение

155. С оглед на изложеното предлагам на Съда да отговори на Conseil d’État (Държавен съвет, Франция) по следния начин:

„Член 15, параграф 1 от Директива 2002/58/ЕО на Европейския парламент и на Съвета от 12 юли 2002 година относно обработката на лични данни и защита на правото на неприкосновеност на личния живот в сектора на електронните комуникации (Директива за правото на неприкосновеност на личния живот и електронни комуникации) във връзка с членове 7, 8, 11 и член 52, параграф 1 от Хартата на основните права на Европейския съюз трябва да се тълкува в смисъл, че:

1)      не допуска национална правна уредба, която — в условията на сериозни и постоянни заплахи за националната сигурност, свързани по-специално с риска от тероризъм — налага на операторите и на доставчиците на електронни съобщителни услуги задължение за общо и неизбирателно запазване на данните за трафика и за локализацията на всички абонати, както и на данните, позволяващи идентифицирането на създателите на съдържанието, предлагано от доставчиците на посочените услуги;

2)      не допуска национална правна уредба, която не предвижда задължение за информиране на засегнатите лица относно обработването на личните им данни от компетентните органи, освен ако това информиране пречи на дейността на посочените органи;

3)      допуска национална правна уредба, която разрешава събирането в реално време на данни за трафика и за локализацията на отделни лица, при условие че тази дейност се извършва в съответствие с установените процедури за достъп до законосъобразно запазени лични данни и при същите гаранции“.

1      Език на оригиналния текст: испански.

2      Решение по дела C‑293/12 и C‑594/12, наричано по-нататък „решение Digital Rights“, EU:C:2014:238.

3      Директива на Европейския парламент и на Съвета от 15 март 2006 година за запазване на данни, създадени или обработени, във връзка с предоставянето на обществено достъпни електронни съобщителни услуги или на обществени съобщителни мрежи и за изменение на Директива 2002/58/EО (OB L 105, 2006 г., стр. 54; Специално издание на български език, 2007 г., глава 13, том 53, стр. 51).

4      Решение по дела C‑203/15 и C‑698/15, наричано по-нататък „решение Tele2 Sverige и Watson“, EU:C:2016:970.

5      Директива на Европейския парламент и на Съвета от 12 юли 2002 година относно обработката на лични данни и защита на правото на неприкосновеност на личния живот в сектора на електронните комуникации (Директива за правото на неприкосновеност на личния живот и електронни комуникации) (OB L 201, 2002 г., стр. 37; Специално издание на български език, 2007 г., глава 13, том 36, стр. 63).

6      Решение по дело C‑207/16, наричано по-нататък „решение Ministerio Fiscal“, EU:C:2018:788.

7      Освен настоящите две дела (дела C‑511/18 и C‑512/18), дела C‑623/17, Privacy International и C‑520/18, Ordre des barreaux francophones et germanophone и др.

8      Дело Privacy International, C‑623/17.

9      Дело Ordre des barreaux francophones et germanophone и др., C‑520/18.

10      Дела La Quadrature du Net и др., C‑511/18 и C‑512/18.

11      Директива на Европейския парламент и на Съвета от 24 октомври 1995 година за защита на физическите лица при обработването на лични данни и за свободното движение на тези данни (OB L 281, 1995 г., стр. 31; Специално издание на български език, 2007 г., глава 13, том 17, стр. 10).

12      Директива на Европейския парламент и на Съвета от 8 юни 2000 година за някои правни аспекти на услугите на информационното общество, и по-специално на електронната търговия на вътрешния пазар (Директива за електронната търговия) (OB L 178, 2000 г., стр. 1; Специално издание на български език, 2007 г., глава 13, том 29, стр. 257).

13      Регламент на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните) (OB L 119, 2016 г., стр. 1).

14      Според запитващата юрисдикция тези технически средства не налагат на засегнатите доставчици изискване за допълнително запазване извън това, което е необходимо за фактурирането на техните услуги, предлагането им на пазара и предоставянето на услуги с добавена стойност.

15      Според запитващата юрисдикция единствената цел на това техническо средство, което не предполага общо и неизбирателно запазване, е ограничено във времето събиране на данни за свързване, които може да имат отношение към тежко престъпление, измежду всички данни за свързване, обработвани от тези лица.

16      Определянето е утвърдено с décret n.º 2011‑219 du 25 février 2011 relatif à la conservation et à la communication des données permettant d’identifier toute personne ayant contribué à la création d’un contenu mis en ligne (Декрет № 2011‑219 от 25 февруари 2011 г. относно запазването на данните, позволяващи идентифицирането на всяко лице, допринесло за създаването на съдържание, предлагано в интернет). По отношение на този декрет следва да се отбележи следното: а) член 1, параграф 1, съгласно който лицата, предлагащи достъп до съобщителни услуги в интернет, трябва да запазват следните данни: идентификатор на свързването, идентификатор, даден на абоната от тези лица, идентификатор на крайното устройство, използвано за свързването, дата и час на началото и на края на свързването, характеристики на абонатната линия; б) съгласно член 1, параграф 2 лицата, които осигуряват — дори без заплащане и за целите на публичното им предоставяне посредством публични съобщителни услуги в интернет — съхранението на предоставени от получателите на тези услуги сигнали, текстове, изображения, звуци или съобщения от всякакво естество, трябва да запазват следните данни за всяка операция: идентификатор на свързването, стоящо в основата на съобщението, идентификатор, даден на съдържанието, до което се отнася операцията, видовете протоколи, използвани за свързването с услугата и за прехвърлянето на съдържанието, естеството на операцията, дата и час на операцията, идентификатора, използван от лицето, извършващо операцията; и в) накрая, член 1, параграф 3 предвижда, че посочените в предходните параграфи лица трябва да запазват следните данни, предоставени от потребителя при сключването на договор или при създаването на профил: идентификатор на свързването при създаването на профила, фамилно име и собствено(и) име(на) или наименование, свързаните пощенски адреси, използваните псевдоними, свързаните адреси за елекронна поща или адреси на профили, телефонни номера, данните, позволяващи паролата да бъде проверена или изменена, в тяхната актуална версия.

17      Обжалваните подзаконови актове са следните: а) décret n.º 2015‑1885 du 28 septembre 2015 portant désignation des services spécialisés de renseignement (Декрет № 2015‑1185 от 28 септември 2015 г. за определяне на специализираните разузнавателни служби); б) décret n.º 2015‑1211 du 1er octobre 2015 relatif au contentieux de la mise en oeuvre des techniques de renseignement soumises à autorisation et des fichiers intéressant la sûreté de l’État (Декрет № 2015‑1211 от 1 октомври 2015 г. относно съдебните спорове във връзка с използването на разузнавателните средства, които подлежат на разрешителен режим, и на досиетата, свързани със сигурността на държавата); в) décret n.º 2015‑1639 du 11 décembre 2015 relatif à la désignation des services autres que les services spécialisés de renseignement, autorisés à recourir aux techniques mentionnées au titre V du livre VIII du code de la sécurité intérieure (Декрет № 2015‑1639 от 11 декември 2015 г. относно определянето на службите, различни от специализираните разузнавателни служби, на които е разрешено да използват средствата, посочени в книга VIII, дял V на Кодекса за вътрешната сигурност); и г) décret n.º 2016‑67 du 29 janvier 2016 relatif aux techniques de recueil de renseignement (Декрет № 2016‑67 от 29 януари 2016 г. относно средствата за събиране на разузнавателна информация).

18      Контекст „на сериозни и постоянни заплахи за националната сигурност, свързани по-специално с риска от тероризъм“, както е посочено в първия въпрос по дело С‑511/18.

19      Решение по дела C‑317/04 и C‑318/04, наричано по-нататък „решение Парламент/Съвет и Комисия“, EU:C:2006:346.

20      Решение 2004/496/ЕО на Съвета от 17 май 2004 година относно сключването на споразумение между Европейската общност и Съединените американски щати относно обработката и предаването на резервационни данни за пътниците от страна на въздушните превозвачи на Бюрото за митническа и гранична защита на Министерството на вътрешната сигурност на Съединените американски щати (ОВ L 183, 2004 г., стр. 83 и поправка в ОВ L 255, 2005 г., стр. 168) (дело С‑317/04).

21      Решение 2004/535/ЕО на Комисията от 14 май 2004 година относно равнището на подходяща защита на личните данни от регистрацията на пътниците във въздушния транспорт, предавани на Бюрото за митническа и гранична защита на Съединените американски щати (ОВ L 235, 2004 г., стр. 11) (дело С‑318/04).

22      Решение Парламент/Съвет и Комисия, т. 57. Съгласно точка 58 обстоятелството, че „събирането на данни […] се осъществява от частни оператори за търговски цели и тези оператори организират предаването им към трета държава“, не означава, че това предаване не представлява един от случаите, в които Директива 95/46 не се прилага и които са изброени в член 3, параграф 2, първо тире от последната, тъй като „такова предаване се вписва в установените от публичноправните органи рамки, насочени към запазване на обществената сигурност“.

23      Това е изтъкнато по-късно от генералния адвокат Bot в заключението му по дело Ирландия/Парламент и Съвет (C‑301/06, EU:C:2008:558). Той посочва, че решение Парламент/Съвет и Комисия „не би могло да означава, че единствено разглеждането на крайната цел, преследвана от обработването на лични данни, е от значение за включването или изключването на такова обработване от приложното поле на системата за защита на данните, установена с Директива 95/46. Важно е да се провери и в рамките на какъв тип дейност се осъществява обработването на данни. Единствено в случай на такова обработване, прилагано с оглед на упражняването на дейности, присъщи на държавата или държавните органи и чужди на областите на дейност на частноправните субекти, то се оказва изключено от общностната система за защита на личните данни по Директива 95/46, и то в приложение на член 3, параграф 2, първо тире от нея“ (т. 122).

24      Решение Парламент/Съвет и Комисия, т. 58. Споразумението има за основна цел да се изиска от въздушните превозвачи, предоставящи услуги по пътнически транспорт между Съюза и Съединените щати, да предоставят на американските власти електронен достъп до данните PNR от досиетата за регистрация на пътниците, налични в информационните им системи за контрол на резервациите и заминаващите пътници. Следователно то създава форма на международно сътрудничество между Съюза и Съединените щати с цел борба срещу тероризма и други тежки престъпления, опитвайки се да примири тази цел със защитата на личните данни на пътниците. В този контекст задължението, наложено на въздушните превозвачи, не е твърде отдалечено от пряк обмен на данни между публичните органи.

25      Заключение на генералния адвокат Bot по дело Ирландия/Парламент и Съвет (C‑301/06, EU:C:2008:558, т. 127).

26      Решение Tele2 Sverige и Watson, т. 67.

27      Пак там, т. 72.

28      Пак там, т. 73.

29      Пак там, т. 74.

30      Пак там, т. 75.

31      Пак там, т. 76.

32      Точки 15 и 16 от писменото становище на ирландското правителство.

33      Точки 34—50 от писменото становище на френското правителство.

34      Решение Tele2 Sverige и Watson, т. 103 и 119.

35      Курсивът е мой.

36      Курсивът е мой.

37      Решение Парламент/Съвет и Комисия, т. 58.

38      Решение Ministerio Fiscal, т. 32. В същия смисъл е и решение Tele2 Sverige и Watson, т. 72.

39      Всъщност би било трудно да се поддържа, че член 15, параграф 1 от Директива 2002/58 разрешава да се ограничат предвидените в тази директива права и задължения в област, която, както е при националната сигурност, по принцип е извън приложното ѝ поле в съответствие с член 1, параграф 3 от самата директива. Както посочва Съдът в точка 73 от решение Tele2 Sverige и Watson, член 15, параграф 1 от Директива 2002/58 „логично предполага, че посочените в нея национални мерки, […] попадат в приложното поле на същата директива, тъй като тя изрично допуска държавите членки да ги приемат само при спазване на предвидените в нея условия“.

40      Решение Tele2 Sverige и Watson, т. 67.

41      Както инцидентно посочва генералният адвокат Saugmandsgaard Øe в заключението си по дело Ministerio Fiscal (C‑207/16, EU:C:2018:300, т. 47), „следва да не се смесват, от една страна, личните данни, обработвани пряко в рамките на властническите по естеството си дейности на държавата в определена област от наказателното право, и от друга страна, личните данни, обработвани в рамките на търговски по естеството си дейности на доставчик на електронни съобщителни услуги, които се използват впоследствие от компетентните държавни органи“.

42      Точки 18 и 21 от акта за преюдициално запитване по дело C‑511/18.

43      Рамково решение на Съвета от 18 декември 2006 година за опростяване обмена на информация и сведения между правоприлагащите органи на държавите — членки на Европейския съюз (OB L 386, 2006 г., стр. 89; Специално издание на български език, 2007 г., глава 19, том 9, стр. 96).

44      В същия ред на мисли член 1, параграф 4 от Рамково решение 2008/977/ПВР на Съвета от 27 ноември 2008 година относно защитата на личните данни, обработвани в рамките на полицейското и съдебното сътрудничество по наказателноправни въпроси (OB L 350, 2008 г., стр. 60), предвижда, че то „не засяга основни интереси, свързани с националната сигурност, нито специфични разузнавателни дейности в областта на националната сигурност“.

45      Всъщност Регламент 2016/679 изключва обработването на данни от страна на държавите членки в хода на дейности, които не попадат в приложното поле на правото на Съюза, както и обработването от страна на органите за целите на предпазването на обществената сигурност.

46      Точки 27—68.

47      Вж. точка 92 от решение Tele2 Sverige и Watson, препращаща по аналогия към точки 25 и 70 от решение Digital Rights.

48      Точка 37 от писменото становище на Комисията.

49      Такова е тълкуването на ЕСПЧ. Например решение от 5 юли 2016 г., Buzadji с/у Република Молдова, ECHR:2016:0705JUD002375507, в § 84 от което се посочва, че основната цел на правото, признато в член 5 от ЕКПЧ, е да се избегне произволното или необосновано лишаване от лична свобода.

50      Решение Digital Rights, т. 42.

51      Становище 1/15 (Споразумение PNR ЕС — Канада) от 26 юли 2017 г. (наричано по-нататък „становище 1/15“, EU:C:2017:592, т. 149 и цитираната съдебна практика).

52      Решение от 15 февруари 2016 г., N. (C‑601/15 PPU, EU:C:2016:84, т. 53).

53      Решение Digital Rights, т. 42 и цитираната съдебна практика.

54      Пак там, т. 51.

55      Становище 1/15, т. 149.

56      Вж. точки 105—107 от заключението ми по дело C‑520/18.

57      Това е видно от член L. 851‑1 от Кодекса за вътрешната сигурност, който препраща към член L. 34‑1 от Кодекса за пощите и електронните съобщения и към член 6 от Закон № 2004‑575 за доверието в цифровата икономика.

58      Това предвижда член R. 10‑13 от Кодекса за пощите и електронните съобщения.

59      Запитващата юрисдикция трябва да провери това обстоятелство, относно което са изразени различни мнения в съдебното заседание.

60      Член 1 от Декрет № 2011‑219.

61      Член R. 10‑13 от Кодекса за пощите и електронните съобщения.

62      Както La Quadrature du Net, така и Fédération des founisseurs d’accès à Internet associatifs изтъкват големия брой цели, на които служи запазването, свободата на преценка, с която разполагат органите, липсата на обективни критерии при дефинирането му и значението, отдавано на форми на престъпна дейност, които не могат да се приемат за тежки.

63      Commission nationale de contrôle des techniques de renseignement (Национална комисия за контрол на разузнавателните средства). Вж. в това отношение точки 145—148 от писменото становище на френското правителство.

64      Точка 60 от писменото становище на Комисията.

65      В действителност са малко по-широкообхватни, тъй като изглежда, че се обхваща — в случая на услугите за достъп до интернет — и запазването на IP адресите и на паролите.

66      Решение Tele2 Sverige и Watson, т. 100.

67      Пак там, т. 107.

68      Пак там, т. 105.

69      Пак там.

70      Решение Tele2 Sverige и Watson, т. 106.

71      Пак там, т. 107.

72      Пак там, т. 112.

73      Пак там, т. 103.

74      Дело C‑527/15, EU:C:2016:938, т. 41.

75      Както Съдът припомня в точка 124 от становище 1/15, „съобщаването на лични данни на трето лице, например публичен орган, представлява намеса в основното право, закрепено в член 7 от Хартата, независимо от последващото използване на съобщената информация. Същото се отнася за запазването на лични данни, както и за достъпа до тях с оглед на използването им от публичните органи. В това отношение е без значение дали съответните данни за личния живот имат чувствителен характер и дали заинтересованите лица са претърпели евентуални неудобства поради тази намеса“.

76      Както посочва генералният адвокат Cruz Villalón в заключението си по дело Digital Rights (C‑293/12 и C‑594/12, EU:C:2013:845, т. 72), „събирането и най-вече запазването в огромни масиви на множество данни, създадени или обработени понастоящем в рамките на повечето електронни съобщения на гражданите на Съюза, представляват особено изразена намеса в личния им живот, макар че тази намеса създава единствено условия, способстващи за извършване на ретроспективен контрол на действията им както в личния, така и в професионалния им живот. Събирането на тези данни създава условия за следене, което макар и да се упражнява ретроспективно в случай на нужда от използване на тези данни, представлява постоянна, надвиснала през целия период на запазването им заплаха за правото на гражданите на Съюза на неприкосновеност на личния живот. Смътното усещане за следене поставя особено остро въпроса за периода на запазване на данните“.

77      Решение Tele2 Sverige и Watson, т. 103: „подобна цел от общ интерес не би могла по никакъв начин да обоснове приемането като необходима за целите на тази борба на национална правна уредба, предвиждаща общо и неизбирателно запазване на всички данни за трафик и данни за местонахождение“.

78      Това твърди например френското правителство, което подкрепя това твърдение с конкретни примери за ползата от общото запазване на данни, направило възможно държавата да реагира на тежките терористични актове, засегнали страната през последните години (т. 107 и 122—126 от писменото становище на френското правителство).

79      Решение от 15 февруари 2016 г., N. (C‑601/15 PPU, EU:C:2016:84, т. 50). Тоест става въпрос за трудния баланс между обществения ред и свободата, който вече споменах и към който по принцип се стреми всяка правна уредба на Съюза. Пример в това отношение е Директива (ЕС) 2017/541 на Европейския парламент и на Съвета от 15 март 2017 година относно борбата с тероризма и за замяна на Рамково решение 2002/475/ПВР на Съвета, и за изменение на Решение 2005/671/ПВР на Съвета (OB L 88, 2017 г., стр. 6). Докато съгласно член 20, параграф 1 от нея държавите членки трябва да гарантират, че на субектите, отговорни за разследването или наказателното преследване на престъплението тероризъм, „са предоставени ефективни способи за разследване“, в съображение 21 от нея се посочва, че използването на тези ефективни способи „следва да е целенасочено и да е съобразено с принципа на пропорционалност и естеството и тежестта на разследваните престъпления и следва да зачита правото на защита на личните данни“.

80      Точки 87—95.

81      Точка 100—107.

82      Стига, разбира се, да са спазени условията, предвидени в точка 122 от решение Tele2 Sverige и Watson: Съдът припомня, че член 15, параграф 1 от Директива 2002/58 не допуска дерогиране от член 4, параграф 1 и член 4, параграф 1а, които разпоредби изискват от доставчиците да приемат мерки, позволяващи да се гарантира защита на запазените данни срещу рискове от злоупотреби и незаконен достъп до тях. В този смисъл Съдът приема, че „[п]редвид количеството на запазените данни, чувствителния им характер и риска от незаконен достъп до тях доставчиците на електронни съобщителни услуги, за да гарантират пълната неприкосновеност и поверителност на тези данни, трябва да осигурят особено завишено ниво на защита и на сигурност посредством подходящи технически и организационни мерки. В частност националната правна уредба трябва да предвижда, че данните следва да се запазват на територията на Съюза и безвъзвратно да се унищожават в края на периода за запазването им“.

83      Точки 52—60.

84      Решение Tele2 Sverige и Watson, т. 118.

85      Пак там, т. 119.

86      Пак там, т. 120.

87      Тези, които „осигуряват — […] за целите на публичното им предоставяне посредством публични съобщителни услуги в интернет — съхранението на предоставени от получателите на тези услуги сигнали, текстове, изображения, звуци или съобщения от всякакво естество“.

88      Във втория въпрос по дело С‑512/18 запитващата юрисдикция споменава тази директива по общ начин и без да посочва никаква конкретна разпоредба.

89      Точки 112 и 113 от писменото становище на Комисията.

90      Решение Digital Rights, т. 59.

91      Решение Tele2 Sverige и Watson, т. 121.

92      Точки 8—11 от акта за преюдициално запитване.