Spojeni predmeti C-511/18, C-512/18 i C-520/18
La Quadrature du Net i dr.
protiv
Premier ministre i dr.
(zahtjev za prethodnu odluku koji je uputio Conseil d’État (Državno vijeće, Francuska) i Cour constitutionnelle (Ustavni sud, Belgija))
Presuda Suda (veliko vijeće) od 6. listopada 2020.
„Zahtjev za prethodnu odluku – Obrada osobnih podataka u području elektroničkih komunikacija – Pružatelji elektroničkih komunikacijskih usluga – Pružatelji usluga smještaja informacija na poslužitelju i pružatelji pristupa internetu – Opće i neselektivno zadržavanje podataka o prometu i lokaciji – Automatska analiza podataka – Pristup podacima u stvarnom vremenu – Zaštita nacionalne sigurnosti i borba protiv terorizma – Borba protiv kriminala – Direktiva 2002/58/EZ – Područje primjene – Članak 1. stavak 3. i članak 3. – Povjerljivost elektroničkih komunikacija – Zaštita – Članak 5. i članak 15. stavak 1. – Direktiva 2000/31/EZ – Područje primjene – Povelja Europske unije o temeljnim pravima – Članci 4., 6. do 8. te članak 52. stavak 1. – Članak 4. stavak 2. UEU‑a”
1. Usklađivanje zakonodavstava – Sektor telekomunikacija – Obrada osobnih podataka i zaštita privatnog života u području elektroničkih komunikacija – Direktiva 2002/58 – Područje primjene – Nacionalni propis kojim se pružateljima elektroničkih komunikacijskih usluga nalaže zadržavanje podataka o prometu i lokaciji – Ciljevi zaštite nacionalne sigurnosti i borbe protiv kriminala – Uključenost
(čl. 4. st. 2. UEU-a; Direktiva Europskog parlamenta i Vijeća 2002/58, kako je izmijenjena Direktivom 2009/136, čl. 1. st. 1., čl. 3. st. 3. i čl. 15. st. 1.)
(t. 92.-96., 98.-101., 103., 104.)
2. Usklađivanje zakonodavstava – Sektor telekomunikacija – Obrada osobnih podataka i zaštita privatnog života u području elektroničkih komunikacija – Direktiva 2002/58 – Mogućnost da države članice ograniče doseg određenih prava i obveza – Nacionalne mjere kojima se pružateljima elektroničkih komunikacijskih usluga nalaže opće i neselektivno zadržavanje podataka o prometu i lokaciji – Cilj zaštite nacionalne sigurnosti – Nedopuštenost – Nacionalne mjere koje omogućuju opće i neselektivno zadržavanje u slučaju neposredne ozbiljne prijetnje nacionalnoj sigurnosti – Dopuštenost – Nacionalne mjere koje omogućuju ciljano i žurno zadržavanje na određeno vrijeme tih podataka na temelju objektivnih i nediskriminirajućih elemenata – Nacionalne mjere koje predviđaju opće i neselektivno zadržavanje IP adresa izvora komunikacije, vremenski ograničeno na ono što je strogo nužno – Nacionalne mjere koje predviđaju opće i neselektivno zadržavanje podataka o građanskom identitetu korisnika elektroničkih komunikacijskih sredstava bez vremenskog ograničenja – Cilj zaštite nacionalne sigurnosti – Dopuštenost – Pretpostavke
(čl. 4. st. 2. UEU-a; Povelja Europske unije o temeljnim pravima, čl. 7., 8., 11. i čl. 52. st. 1.; Direktiva Europskog parlamenta i Vijeća 2002/58, kako je izmijenjena Direktivom br. 2009/136, čl. 5. st. 1. i čl. 15. st. 1.)
(t. 107., 109., 111.-119., 122.-128., 130.-165., 168. i t. 1. izreke)
3. Usklađivanje zakonodavstava – Sektor telekomunikacija – Obrada osobnih podataka i zaštita privatnog života u području elektroničkih komunikacija – Direktiva 2002/58 – Mogućnost da države članice ograniče doseg određenih prava i obveza – Nacionalne mjere kojima se pružateljima elektroničkih komunikacijskih usluga nalaže automatizirana analiza i prikupljanje u stvarnom vremenu podataka o prometu i lokaciji – Dopuštenost – Pretpostavke
(čl. 4. st. 2. UEU-a; Povelja Europske unije o temeljnim pravima, čl. 7., 8., 11. i čl. 52. st. 1.; Direktiva Europskog parlamenta i Vijeća 2002/58, kako je izmijenjena Direktivom br. 2009/136, čl. 5. st. 1. i čl. 15. st. 1.)
(t. 172.-174., 175.-182., 186.-192. i t. 2. izreke)
4. Usklađivanje zakonodavstava – Elektronička trgovina – Direktiva 2000/31 – Područje primjene – Zaštita povjerljivosti komunikacija i fizičkih osoba u vezi s obradom osobnih podataka u okviru usluga informacijskog društva – Isključenost – Primjenjivost, ovisno o slučaju, Direktive 2002/58 ili Uredbe 2016/679
(Povelja Europske unije o temeljnim pravima, čl. 7., 8., 11. i čl. 52. st. 1.; Uredba Europskog parlamenta i Vijeća 2016/679, uv. izj. 10. i čl. 23. st. 1. i 2.; Direktive Europskog parlamenta i Vijeća 2001/31, uv. izj. 14. i 15., čl. 1. st. 2. i čl. 5. st. 2. t. (a). te 2002/58, kako je izmijenjena Direktivom br. 2009/136, čl. 5. st. 1. i čl. 15. st. 1.)
(t. 197.-202., 204., 205., 207.-212., t. 3. izreke)
5. Usklađivanje zakonodavstava – Sektor telekomunikacija – Obrada osobnih podataka i zaštita privatnog života u području elektroničkih komunikacija – Direktiva 2002/58 – Mogućnost da države članice ograniče doseg određenih prava i obveza – Nacionalne mjere kojima se pružateljima elektroničkih komunikacijskih usluga nalaže opće i neselektivno zadržavanje podataka o prometu i lokaciji – Cilj zaštite nacionalne sigurnosti – Nedopuštenost – Ukidanje mjera koje nisu u skladu s obvezama koje proizlaze iz te direktive koje je izvršio nacionalni sud – Mogućnost održavanja učinaka tih mjera na snazi – Pretpostavke – Neprimjenjivost u ovom slučaju – Posljedice za nacionalni sud
(Povelja Europske unije o temeljnim pravima, čl. 7., 8., 11. i čl. 52. st. 1.; Direktiva Europskog parlamenta i Vijeća 2002/58, kako je izmijenjena Direktivom br. 2009/136, čl. 5. st. 1. i čl. 15. st. 1.)
(t. 216.-220., 223.-228. i t. 4. izreke)
Kratak prikaz
Sud Europske unije potvrđuje da se pravu Europske unije protivi nacionalni propis kojim se pružateljima elektroničkih komunikacijskih usluga nalaže opće i neselektivno zadržavanje ili prijenos podataka o prometu i lokaciji s ciljem borbe protiv kriminala i zaštite nacionalne sigurnosti
Međutim, u situacijama u kojima je država članica suočena s ozbiljnom prijetnjom za nacionalnu sigurnost koja se pokazala stvarnom i trenutačnom ili predvidljivom, ona može odstupiti od obveze osiguravanja povjerljivosti podataka koji se odnose na elektroničke komunikacije nalažući, putem zakonodavnih mjera, opće i neselektivno zadržavanje podataka koje je vremenski ograničeno na ono što je strogo nužno ali se može produljiti u slučaju nastavka prijetnje. Kada se radi o borbi protiv teških kaznenih djela i sprečavanju ozbiljnih prijetnji javnoj sigurnosti, država članica može također predvidjeti ciljano zadržavanje navedenih podataka kao i njihovo hitno zadržavanje. Takvo zadiranje u temeljna prava mora biti popraćeno djelotvornim jamstvima i biti predmet nadzora od strane suda ili neovisnog upravnog tijela. Isto tako, državi članici je dopušteno opće i neselektivno zadržavanje IP adresa izvora komunikacije, ako je razdoblje zadržavanja vremenski ograničeno na ono što je strogo nužno ili opće i neselektivno zadržavanje podataka o građanskom identitetu korisnika elektroničkih komunikacijskih sredstava, a da to u potonjem slučaju nije ograničeno na određeno razdoblje
Sud je posljednjih godina u određenom broju presuda odlučivao o zadržavanju osobnih podataka i pristupu tim podacima u području elektroničkih komunikacija(1). Sudska praksa koja je iz toga proizašla, posebno presuda Tele2 Sverige i Watson i dr., u kojoj je Sud odlučio da države članice ne mogu pružateljima elektroničkih komunikacijskih usluga naložiti obvezu općeg i neselektivnog zadržavanja podataka o prometu i lokaciji, izazvala je određenu zabrinutost država članica, koje su se bojale da im je oduzet instrument koji smatraju nužnim za zaštitu nacionalne sigurnosti i borbu protiv kriminala.
S obzirom na tu pozadinu, pred Investigatory Powers Tribunalom (Sud za istražne ovlasti, Ujedinjena Kraljevina) (Privacy International, C-623/17), Conseil d’État (Francuska) (La Quadrature du Net i dr., spojeni predmeti C-511/18 i C-512/18) kao i Ustavnim sudom (Belgija) (Ordre des barreaux francophones et germanophone i dr., C-520/18) pokrenuti su postupci koji se tiču zakonitosti propisa određenih država članica u tim područjima koji predviđaju obvezu pružatelja elektroničkih komunikacijskih usluga prenošenja podataka tijelu javne vlasti ili obvezu općeg i neselektivnog zadržavanja podataka o prometu i lokaciji.
Dvjema presudama velikog vijeća objavljenima 6. listopada 2020., Sud je presudio da se Direktiva o privatnosti i elektroničkim komunikacijama primjenjuje na nacionalne propise koji nalažu pružateljima elektroničkih komunikacijskih usluga da, s ciljem zaštite nacionalne sigurnosti i borbe protiv kriminala, obrađuju osobne podatke tako da ih prenose tijelu javne vlasti ili ih zadržavaju. Potvrđujući sudsku praksu proizašlu iz presude Tele2 Sverige i Watson i dr. o neproporcionalnosti općeg i neselektivnog zadržavanja podataka o prometu i lokaciji, Sud je posebno pojasnio opseg ovlasti zadržavanja tih podataka koje ova direktiva dodjeljuje državama članicama u prethodno navedene svrhe.
Prije svega, Sud nastoji odgovoriti na sumnje u pogledu primjenjivosti Direktive o privatnosti i elektroničkim komunikacijama istaknute u okviru ovog predmeta. Nekoliko država članica koje su podnijele svoja pisana očitovanja Sudu iznijele su različita mišljenja u tom pogledu. Posebno su tvrdile da se ova direktiva ne primjenjuje na predmetne nacionalne propise, jer oni za cilj imaju zaštitu nacionalne sigurnosti, koja je u njihovoj isključivoj nadležnosti, kao što je posebno vidljivo iz članka 4. stavka 2. treće rečenice UEU-a. U tom pogledu Sud smatra da nacionalni propisi koji nalažu pružateljima elektroničkih komunikacijskih usluga da zadržavaju podatke o prometu i lokaciji ili pak da ih prenose sigurnosnim i obavještajnim nacionalnim tijelima spadaju u područje primjene direktive.
Nadalje, Sud podsjeća da Direktiva o privatnosti i elektroničkim komunikacijama(2) ne dopušta da odstupanje od načelne obveze jamčenja povjerljivosti elektroničkih komunikacija i podataka te zabrane pohrane tih podataka postane pravilo. Iz toga proizlazi da ta direktiva dopušta državama članicama da usvoje, između ostaloga, radi zaštite nacionalne sigurnosti, zakonske mjere usmjerene na ograničenje dosega prava i obveza predviđenih tom direktivom, posebno obveze jamčenja povjerljivosti komunikacija i podataka o prometu(3), jedino poštujući opća načela prava Unije, među kojima je načelo proporcionalnosti, kao i temeljna prava zajamčena Poveljom(4).
U tom kontekstu, Sud je smatrao, s jedne strane, u predmetu Privacy International, da se Direktivi o privatnosti i elektroničkim komunikacijama, tumačenoj u skladu s Poveljom, protivi nacionalni propis kojim se nalaže pružateljima elektroničkih komunikacijskih usluga, s ciljem zaštite nacionalne sigurnosti, opći i neselektivni prijenos podataka o prometu i lokaciji sigurnosnim i obavještajnim službama. S druge strane, u spojenim predmetima La Quadrature du Net i dr. kao i u predmetu Ordre des barreaux francophones et germanophone i dr., Sud procjenjuje da se toj istoj direktivi protive zakonodavne mjere koje nalažu pružateljima elektroničkih komunikacijskih usluga, u preventivne svrhe, opće i neselektivno zadržavanje podataka o prometu i lokaciji. Te obveze prijenosa te općeg i neselektivnog zadržavanja tih podataka predstavljaju osobito ozbiljno zadiranje u prava zajamčena Poveljom, bez da je ponašanje osoba o čijim se podacima radi povezano s ciljem koji se predmetnim propisom nastoji postići. Na sličan način, Sud tumači članak 23. stavak 1. Opće uredbe o zaštiti osobnih podataka(5), s obzirom na Povelju, na taj način da mu se protivi nacionalni propis kojim se nalaže pružateljima pristupa javnim internetskim komunikacijskim uslugama i pružateljima usluga smještaja sadržaja opće i neselektivno zadržavanje osobnih podataka koji se odnose na te usluge.
Nasuprot tome, Sud smatra da se, u situacijama u kojima je dotična država članica suočena s ozbiljnom prijetnjom nacionalnoj sigurnosti koja se pokazala stvarnom i trenutačnom ili predvidljivom, Direktivi o privatnosti i elektroničkim komunikacijama, tumačenoj u skladu s Poveljom, ne protivi to da se pružateljima elektroničkih komunikacijskih usluga naloži opće i neselektivno zadržavanje podataka o prometu i lokaciji. U tom kontekstu, Sud pojašnjava da odluka kojom je predviđen takav nalog, izdan za razdoblje koje je vremenski ograničeno na ono što strogo nužno, mora biti predmet djelotvornog nadzora od strane suda ili neovisnog upravnog tijela čija odluka ima obvezujući učinak, a kojom se nastoji provjeriti postoji li jedna od tih situacija i poštuju li se uvjeti i jamstva koji se moraju predvidjeti. U tim istim okolnostima, navedenoj se direktivni ne protivi ni automatska analiza podataka, posebno onih o prometu i lokaciji, svih korisnika sredstava elektroničke komunikacije.
Sud dodaje da se Direktivi o privatnosti i elektroničkim komunikacijama, tumačenoj u skladu s Poveljom, ne protivi zakonska mjera koja omogućuje ciljano zadržavanje, za razdoblje koje je vremenski ograničeno na ono što je strogo nužno, podataka o prometu i lokaciji, koje je ograničeno na temelju objektivnih i nediskriminatornih kriterija, ovisno o kategorijama dotičnih osoba ili posredstvom zemljopisnog kriterija. Isto tako, ovoj direktivi se ne protive one mjere koje predviđaju opće i neselektivno zadržavanje IP adresa dodijeljenih izvoru veze, za razdoblje koje je vremenski ograničeno na ono što je strogo nužno, niti one koje predviđaju takvo zadržavanje podataka o građanskom identitetu korisnika elektroničkih komunikacijskih sredstava, u kojem slučaju države članice nisu obvezne vremenski ograničiti zadržavanje. Štoviše, navedenoj se direktivi ne protivi zakonska mjera koja omogućuje žurno zadržavanje podataka kojima raspolažu pružatelji usluga u situacijama iz kojih proizlazi nužda njihova zadržavanja preko zakonskih rokova zadržavanja, za potrebe rasvjetljavanja teških kaznenih djela ili ugroza nacionalne sigurnosti, i to kako u situaciji u kojoj su ta kaznena djela ili te ugroze već mogli biti utvrđeni tako i u situaciji u kojoj se može osnovano sumnjati u njihovo postojanje.
Nadalje, Sud navodi da se Direktivi o privatnosti i elektroničkim komunikacijama, tumačenoj u skladu s Poveljom, ne protivi nacionalni propis koji nalaže pružateljima elektroničkih komunikacijskih usluga prikupljanje u stvarnom vremenu podataka o prometu i lokaciji, ako je to prikupljanje ograničeno na osobe za koje postoji valjan razlog za sumnju da su na bilo koji način uključeni u terorističke aktivnosti i ako je podvrgnuto prethodnom nadzoru suda ili neovisnog upravnog tijela čija odluka ima obvezujuć učinak, pri čemu se taj sud ili tijelo moraju uvjeriti da je takvo prikupljanje u stvarnom vremenu odobreno samo u granicama onog što je strogo nužno. U slučaju opravdane hitnosti, nadzor mora uslijediti u kratkim rokovima.
Naposljetku, Sud je razmotrio pitanje održavanja na snazi učinaka nacionalnog zakonodavstva za koje je presuđeno da je suprotno pravu Unije. U tom pogledu, Sud smatra da nacionalni sud ne može primijeniti odredbu svojeg nacionalnog prava koja ga ovlašćuje da vremenski ograniči učinke utvrđenja nezakonitosti koje mora iznijeti na temelju tog prava u pogledu nacionalnog propisa kojim se pružateljima elektroničkih komunikacijskih usluga nalaže općenito i neselektivno zadržavanje podataka o prometu i lokaciji, za koje je presuđeno da nije u skladu s Direktivom o privatnosti i elektroničkim komunikacijama, tumačenom u skladu s Poveljom.
S obzirom na navedeno i radi davanja korisnog odgovora nacionalnom sudu, Sud podsjeća da je u trenutačnom stanju prava Unije u načelu samo na nacionalnom pravu da odredi pravila o dopuštenosti i ocjeni, u okviru kaznenog postupka pokrenutog protiv osoba osumnjičenih za teška kaznena djela, onih informacija i dokaza koji su pribavljeni takvim zadržavanjem podataka suprotnim pravu Unije. Međutim, Sud pojašnjava da Direktiva o privatnosti i elektroničkim komunikacijama tumačena u skladu s načelom djelotvornosti, nalaže nacionalnom kaznenom sudu da, u okviru takvog kaznenog postupka , izdvoji dokaze koji su pribavljeni općim i neselektivnim zadržavanjem podataka o prometu i lokaciji nespojivim s pravom Unije, ako osobe osumnjičene za kaznena djela nisu u mogućnosti učinkovito se izjasniti o tim dokazima.