Esialgne tõlge
EUROOPA KOHTU OTSUS (täiskogu)
30. aprill 2024(*)
Sisukord
Õiguslik raamistik
Liidu õigus
Isikuandmete kaitset käsitlevad üldised õigusnormid
– Direktiiv 95/46/EÜ
– Isikuandmete kaitse üldmäärus
Isikuandmete kaitset käsitlevad valdkonnapõhised õigusnormid
– Direktiiv 2002/58
– Direktiiv (EL) 2016/680
Intellektuaalomandi õiguste kaitset käsitlevad õigusnormid
Prantsuse õigus
CPI
Dekreet nr 2010 236
Posti ja elektroonilise side seadustik
Põhikohtuasi ja eelotsuse küsimused
Eelotsuse küsimuste analüüs
Sissejuhatavad märkused
Direktiivi 2002/58 artikli 15 lõike 1 kohase põhjenduse olemasolu avaliku sektori asutuse juurdepääsuks IP aadressile vastavatele identiteediandmetele, mida elektroonilise side teenuste osutajad säilitavad selleks, et võidelda internetis toimepandava võltsimise vastu
Nõuded, mis reguleerivad identiteediandmete ja vastavate IP aadressidega seotud andmete säilitamist elektroonilise side teenuste osutajate poolt
Nõuded, mis reguleerivad juurdepääsu identiteediandmetele, mis vastavad elektroonilise side teenuste osutajate säilitatavale IP aadressile
Nõue, et kohus või sõltumatu haldusasutus peab teostama kontrolli enne seda, kui avaliku sektori asutus saab IP-aadressile vastavatele identiteediandmetele juurdepääsu
Nõuded, mis seoses materiaal- ja menetlusõiguslike tingimustega ning tagatistega kuritarvituste ohu ning nendele andmetele mis tahes ebaseadusliku juurdepääsu ja nende mis tahes ebaseadusliku kasutamise vastu kehtivad avaliku sektori asutuse võimaluse suhtes saada juurdepääs IP aadressile vastavatele identiteediandmetele
Kohtukulud
Eelotsusetaotlus – Isikuandmete töötlemine ja eraelu kaitse elektroonilise side sektoris – Direktiiv 2002/58/EÜ – Elektroonilise side konfidentsiaalsus – Kaitse – Artikkel 5 ja artikli 15 lõige 1 – Euroopa Liidu põhiõiguste harta – Artiklid 7, 8 ja 11 ning artikli 52 lõige 1 – Riigisisesed õigusnormid, mille eesmärk on võidelda avaliku sektori asutuse meetmetega internetis toime pandavate võltsimiste vastu – „Järkjärgulise reageerimise“ menetlus – Autoriõiguste või nendega kaasnevate õiguste rikkumiseks kasutatavate IP‑aadresside eelnev kogumine õiguste omajate organisatsioonide poolt – Autoriõiguste ja nendega kaasnevate õiguste kaitse eest vastutava avaliku sektori asutuse hilisem juurdepääs nendele IP‑aadressidele vastavatele identiteediandmetele, mida elektroonilise side teenuste osutajad säilitavad – Automatiseeritud töötlemine – Kohtu või sõltumatu haldusasutuse teostatava eelkontrolli nõue – Materiaal- ja menetlusõiguslikud tingimused – Tagatised kuritarvituste ohu ning nendele andmetele mis tahes ebaseadusliku juurdepääsu ja nende mis tahes ebaseadusliku kasutamise vastu
Kohtuasjas C‑470/21,
mille ese on ELTL artikli 267 alusel Conseil d’État’ (Prantsusmaa kõrgeima halduskohtuna tegutsev riiginõukogu) 5. juuli 2021. aasta otsusega esitatud eelotsusetaotlus, mis saabus Euroopa Kohtusse 30. juulil 2021, menetluses
La Quadrature du Net,
Fédération des fournisseurs d’accès à Internet associatifs,
Franciliens.net,
French Data Network
versus
Premier ministre,
Ministre de la Culture,
EUROOPA KOHUS (täiskogu),
koosseisus: president K. Lenaerts, asepresident L. Bay Larsen, kodade presidendid A. Arabadjiev, A. Prechal (ettekandja), K. Jürimäe, C. Lycourgos, E. Regan, T. von Danwitz, F. Biltgen, N. Piçarra, Z. Csehi, kohtunikud M. Ilešič, J.‑C. Bonichot, S. Rodin, P. G. Xuereb, L. S. Rossi, I. Jarukaitis, A. Kumin, N. Jääskinen, N. Wahl, I. Ziemele, J. Passer, D. Gratsias, M. L. Arastey Sahún ja M. Gavalec,
kohtujurist: M. Szpunar,
kohtusekretärid: ametnikud V. Giacobbo ja M. Krausenböck,
arvestades kirjalikku menetlust ja 5. juuli 2022. aasta kohtuistungil esitatut,
arvestades seisukohti, mille esitasid:
– La Quadrature du Net, Fédération des fournisseurs d’accès à Internet associatifs, Franciliens.net ja French Data Network, esindaja: avocat A. Fitzjean Ó Cobhthaigh,
– Prantsuse valitsus, esindajad: A. Daniel, A.‑L. Desjonquères ja J. Illouz,
– Taani valitsus, esindajad: J. F. Kronborg ja V. Pasternak Jørgensen,
– Eesti valitsus, esindaja: M. Kriisa,
– Soome valitsus, esindaja: H. Leppo,
– Rootsi valitsus, esindaja: H. Shev,
– Norra valitsus, esindajad: F. Bergsjø, S.‑E. Dahl, J. T. Kaasin ja P. Wennerås,
– Euroopa Komisjon, esindajad: S. L. Kalėda, H. Kranenborg, P.‑J. Loewenthal ja F. Wilman,
olles 27. oktoobri 2022. aasta kohtuistungil ära kuulanud kohtujuristi ettepaneku,
arvestades suulise menetluse uuendamise määrust, mis tehti 23. märtsil 2023, ning 15. mai 2023. aasta kohtuistungil esitatut,
arvestades seisukohti, mille esitasid:
– La Quadrature du Net, Fédération des fournisseurs d’accès à Internet associatifs, Franciliens.net ja French Data Network, esindaja: avocat A. Fitzjean Ó Cobhthaigh,
– Prantsuse valitsus, esindajad: R. Bénard, J. Illouz ja T. Stéhelin,
– Tšehhi valitsus, esindajad: T. Suchá ja J. Vláčil,
– Taani valitsus, esindajad: J. F. Kronborg ja C. A.‑S. Maertens,
– Eesti valitsus, esindaja: M. Kriisa,
– Iirimaa, esindajad: Chief State Solicitor M. Browne, A. Joyce ja D. O’Reilly, keda abistas D. Fenelly, BL,
– Hispaania valitsus, esindaja: A. Gavela Llopis,
– Küprose valitsus, esindaja: I. Neophytou,
– Läti valitsus, esindajad: J. Davidoviča ja K. Pommere,
– Madalmaade valitsus, esindajad: E. M. M. Besselink, M. K. Bultermann ja A. Hanje,
– Soome valitsus, esindajad: A. Laine ja H. Leppo,
– Rootsi valitsus, esindajad: F.‑D. Göransson ja H. Shev,
– Norra valitsus, esindajad: S.‑E. Dahl ja P. Wennerås,
– Euroopa Komisjon, esindajad: S. L. Kalėda, H. Kranenborg, P.‑J. Loewenthal ja F. Wilman,
– Euroopa Andmekaitseinspektor, esindajad: V. Bernardo, C.‑A. Marnier, D. Nardi ja M. Pollmann,
– Euroopa Liidu Küberturvalisuse Amet, esindaja: A. Bourka,
olles 28. septembri 2023. aasta kohtuistungil ära kuulanud kohtujuristi ettepaneku,
on teinud järgmise
otsuse
1 Eelotsusetaotlus puudutab Euroopa Parlamendi ja nõukogu 12. juuli 2002. aasta direktiivi 2002/58/EÜ, milles käsitletakse isikuandmete töötlemist ja eraelu puutumatuse kaitset elektroonilise side sektoris (eraelu puutumatust ja elektroonilist sidet käsitlev direktiiv) (EÜT 2002, L 201, lk 37; ELT eriväljaanne 13/29, lk 514), muudetud Euroopa Parlamendi ja nõukogu 25. novembri 2009. aasta direktiiviga 2009/136/EÜ (ELT 2009, L 337, lk 11) (edaspidi „direktiiv 2002/58“), tõlgendamist Euroopa Liidu põhiõiguste hartat (edaspidi „harta“) arvestades.
2 Taotlus on esitatud ühelt poolt ühenduste La Quadrature du Net, Fédération des fournisseurs d’accès à Internet associatifs, Franciliens.net ja French Data Network ning teiselt poolt Premier ministre’i (peaminister, Prantsusmaa) ja ministre de la Culture’i (kultuuriminister, Prantsusmaa) vahelises kohtuvaidluses, mis puudutab 5. märtsi 2010. aasta dekreedi nr 2010‑236, mis käsitleb intellektuaalomandi seadustiku artikliga L. 331‑29 lubatud isikuandmete automatiseeritud töötlemist ja on tuntud kui „Teoste internetis kaitsmise meetmete haldamise süsteem“ (décret no 2010‑236, du 5 mars 2010, relatif au traitement automatisé de données à caractère personnel autorisé par l’article L. 331‑29 du code de la propriété intellectuelle dénommé „Système de gestion des mesures pour la protection des œuvres sur internet“) (JORF nr 56, 7.3.2010, tekst nr 19) (muudetud 6. mai 2017. aasta dekreediga nr 2017‑924 autoriõiguste ja nendega kaasnevate õiguste haldamise kohta kollektiivse esindamise organisatsiooni poolt ja millega muudetakse intellektuaalomandi seadustikku (décret no 2017‑924, du 6 mai 2017, relatif à la gestion des droits d’auteur et des droits voisins par un organisme de gestion de droits et modifiant le code de la propriété intellectuelle) (JORF nr 109, 10.5.2017, tekst nr 176) (edaspidi „dekreet nr 2010–236“)) seaduslikkust.
Õiguslik raamistik
Liidu õigus
Isikuandmete kaitset käsitlevad üldised õigusnormid
– Direktiiv 95/46/EÜ
3 Euroopa Parlamendi ja nõukogu 24. oktoobri 1995. aasta direktiivi 95/46/EÜ üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta (EÜT 1995, L 281, lk 31; ELT eriväljaanne 13/15, lk 355) II peatüki II jao „Andmetöötluse seaduslikkuse kriteeriumid“ artikkel 7 oli sõnastatud järgmiselt:
„Liikmesriigid sätestavad, et isikuandmeid võib töödelda ainult juhul, kui:
[…]
f) töötlemine on vajalik vastutava töötleja või andmeid saava kolmanda isiku või kolmandate isikute õigustatud huvide elluviimiseks, kui selliseid huve ei kaalu üles artikli 1 lõike 1 kohaselt kaitstavate andmesubjekti põhiõiguste ja -vabadustega seotud huvid.“
4 Direktiivi artikli 13 lõikes 1 oli ette nähtud:
„Liikmesriigid võivad artikli 6 lõikes 1, artiklis 10, artikli 11 lõikes 1 ja artiklites 12 ja 21 sätestatud kohustuste ja õiguste ulatuse piiramiseks võtta vastu õigusakte, kui sellised piirangud on vajalikud, et kindlustada:
[…]
g) andmesubjekti kaitse või teiste isikute õiguste ja vabaduste kaitse.“
– Isikuandmete kaitse üldmäärus
5 Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määrus (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) (ELT 2016, L 119, lk 1; edaspidi „isikuandmete kaitse üldmäärus“) artikli 2 „Sisuline kohaldamisala“ lõigetes 1 ja 2 on sätestatud:
„1. Käesolevat määrust kohaldatakse isikuandmete täielikult või osaliselt automatiseeritud töötlemise suhtes ja isikuandmete automatiseerimata töötlemise suhtes, kui kõnealused isikuandmed kuuluvad andmete kogumisse või kui need kavatsetakse andmete kogumisse kanda.
2. Käesolevat määrust ei kohaldata, kui
[…]
d) isikuandmeid töötlevad pädevad asutused süütegude tõkestamise, uurimise, avastamise või nende eest vastutusele võtmise ja kriminaalkaristuste täitmisele pööramise, sealhulgas avalikku julgeolekut ähvardavate ohtude eest kaitsmise ja nende ennetamise eesmärgil.“
6 Isikuandmete kaitse üldmääruse artiklis 4 „Mõisted“ on täpsustatud:
„Käesolevas määruses kasutatakse järgmisi mõisteid:
1) „isikuandmed“ – igasugune teave tuvastatud või tuvastatava füüsilise isiku („andmesubjekti“) kohta; […]
2) „isikuandmete töötlemine“ – isikuandmete või nende kogumitega tehtav automatiseeritud või automatiseerimata toiming või toimingute kogum, nagu kogumine, dokumenteerimine, korrastamine, struktureerimine, säilitamine, kohandamine ja muutmine, päringute tegemine, lugemine, kasutamine, edastamise, levitamise või muul moel kättesaadavaks tegemise teel avalikustamine, ühitamine või ühendamine, piiramine, kustutamine või hävitamine;
[…]“.
7 Isikuandmete kaitse üldmääruse artikli 6 „Isikuandmete töötlemise seaduslikkus“ lõikes 1 on ette nähtud:
„Isikuandmete töötlemine on seaduslik ainult juhul, kui on täidetud vähemalt üks järgmistest tingimustest, ning sellisel määral, nagu see tingimus on täidetud:
[…]
f) isikuandmete töötlemine on vajalik vastutava töötleja või kolmanda isiku õigustatud huvi korral, välja arvatud juhul, kui sellise huvi kaaluvad üles andmesubjekti huvid või põhiõigused ja -vabadused, mille nimel tuleb kaitsta isikuandmeid […].
Esimese lõigu punkti f ei kohaldata, kui isikuandmeid töötleb avaliku sektori asutus oma ülesannete täitmisel.“
8 Isikuandmete kaitse üldmääruse artikli 9 „Isikuandmete eriliikide töötlemine“ lõike 2 punktides e ja f on ette nähtud, et keeldu töödelda isikuandmeid, millest ilmneb andmeid füüsilise isiku seksuaalelu ja seksuaalse sättumuse kohta, ei kohaldata, kui töödeldakse isikuandmeid, mille andmesubjekt on ilmselgelt avalikustanud, või kui töötlemine on vajalik õigusnõude koostamiseks, esitamiseks või kaitsmiseks või juhul, kui kohtud täidavad oma õigustmõistvat funktsiooni.
9 Isikuandmete kaitse üldmääruse artikli 23 „Piirangud“ lõikes 1 on sätestatud:
„Vastutava töötleja või volitatud töötleja suhtes kohaldatavas liidu või liikmesriigi õiguses võib seadusandliku meetmega piirata artiklites 12–22 ja artiklis 34, samuti artiklis 5 sätestatud kohustuste ja õiguste ulatust, kuivõrd selle sätted vastavad artiklites 12–22 sätestatud õigustele ja kohustustele, kui selline piirang austab põhiõiguste ja -vabaduste olemust ning on demokraatlikus ühiskonnas vajalik ja proportsionaalne meede, et tagada
[…]
i) andmesubjekti kaitse või teiste isikute õiguste ja vabaduste kaitse;
j) tsiviilõiguslike nõuete täitmise tagamine.“
Isikuandmete kaitset käsitlevad valdkonnapõhised õigusnormid
– Direktiiv 2002/58
10 Direktiivi 2002/58 põhjendustes 2, 6, 7, 11, 26 ja 30 on märgitud:
„(2) Käesoleva direktiiviga püütakse austada põhiõigusi ja selles järgitakse eelkõige [hartas] tunnustatud põhimõtteid. Eelkõige püütakse käesoleva direktiiviga tagada nimetatud harta artiklites 7 ja 8 sätestatud õiguste täielik austamine.
[…]
(6) Internet muudab radikaalselt traditsioonilisi turustruktuure, sest ühise globaalse infrastruktuurina võimaldab ta pakkuda suurt hulka erinevaid elektroonilisi sideteenuseid. Interneti vahendusel pakutavad üldkasutatavad elektroonilised sideteenused loovad kasutajatele uusi võimalusi, kuid samas tekitavad ka uusi ohte kasutajate isikuandmetele ja eraelu puutumatusele.
(7) Üldkasutatavate elektrooniliste sidevõrkude puhul tuleks ette näha konkreetsed õigusnormid ja tehnilised normid, et kaitsta füüsiliste isikute põhiõigusi ja -vabadusi ning juriidiliste isikute õigustatud huve, arvestades eelkõige abonentide ja kasutajate andmete automatiseeritud salvestamise ja töötlemise suurenevat mahtu.
[…]
(11) Nagu direktiivis [95/46], ei käsitleta ka käesolevas direktiivis põhiõiguste ja -vabaduste kaitsmist selliste toimingute puhul, mis ei kuulu ühenduse õiguse reguleerimisalasse. Seega ei muuda käesolev direktiiv senist tasakaalu üksikisiku eraelu puutumatuse õiguse ja liikmesriikide võimaluse vahel võtta käesoleva direktiivi artikli 15 lõikes 1 osutatud meetmeid, mis on vajalikud avaliku korra, riigikaitse, riigi julgeoleku (kaasa arvatud riigi majanduslik heaolu, kui tegevus on seotud riigi julgeolekuga) ja kriminaalõiguse rakendamise seisukohast. Seega ei mõjuta käesolev direktiiv liikmesriikide võimalust kuulata õiguspäraselt pealt elektroonilist sidet või võtta vajaduse korral meetmeid eespool nimetatud eesmärkidel ja kooskõlas [4. novembril 1950 Roomas allkirjastatud] inimõiguste ja põhivabaduste kaitse Euroopa konventsiooniga nii, nagu seda on tõlgendatud Euroopa Inimõiguste Kohtu otsustes. Sellised meetmed peavad olema asjakohased, rangelt proportsionaalsed kavandatud eesmärgiga ja vajalikud demokraatlikus ühiskonnas ning nendega peaksid kaasnema piisavad tagatised kooskõlas inimõiguste ja põhivabaduste kaitse Euroopa konventsiooniga.
[…]
(26) Abonentide kohta käivad andmed, mida töödeldakse elektroonilistes sidevõrkudes ühenduse loomiseks ja teabe edastamiseks, sisaldavad teavet füüsiliste isikute eraelu kohta ja on seotud õigusega vabale kirjavahetusele või on seotud juriidiliste isikute õigustatud huvidega. Selliseid andmeid võib säilitada ainult sel määral, kui on vaja teenuse osutamise puhul arveldamiseks ja sidumistasude maksmiseks, ning piiratud aja jooksul. Selliste andmete igasugust täiendavat töötlemist […] võib lubada ainult siis, kui abonent on sellega nõustunud täpse ja täieliku teabe põhjal, mille üldkasutatavate elektrooniliste sideteenuste osutaja on talle edastanud kavandatud täiendavate töötlemisviiside kohta ja abonendi õiguste kohta jätta oma nõusolek selliseks töötlemiseks andmata või tühistada selline nõusolek. […]
[…]
(30) Elektrooniliste sidevõrkude pakkumise ja elektrooniliste sideteenuste osutamise süsteemid peaksid olema välja töötatud nii, et vajalike isikuandmete hulk oleks minimaalne. […]“.
11 Direktiivi 2002/58 artikli 2 „Mõisted“ kohaselt:
„[…]
Kasutatakse ka järgmisi mõisteid:
a) kasutaja – füüsiline isik, kes kasutab üldkasutatavat elektroonilist sideteenust isiklikel või ärilistel eesmärkidel, ilma et ta oleks tingimata kõnealust teenust tellinud;
b) liiklusandmed – andmed, mida töödeldakse side edastamiseks elektroonilises sidevõrgus või sellise edastamisega seotud arveldamiseks;
c) asukohaandmed – elektroonilises sidevõrgus või elektrooniliste sideteenuste poolt töödeldavad andmed, mis näitavad üldkasutatavate elektrooniliste sideteenuste kasutaja lõppseadme geograafilist asukohta;
[…]“.
12 Kõnealuse direktiivi artiklis 3 „Asjaomased teenused“ on ette nähtud:
„Käesolevat direktiivi kohaldatakse isikuandmete töötlemisele, mis toimub seoses üldkasutatavate elektrooniliste sideteenuste osutamisega ühenduse üldkasutatavates sidevõrkudes, sealhulgas andmete kogumist ja tuvastusseadmeid toetavates üldkasutatavates sidevõrkudes.“
13 Direktiivi artiklis 5 „Side konfidentsiaalsus“ on sätestatud:
„1. Liikmesriigid tagavad üldkasutatava sidevõrgu ja üldkasutatavate elektrooniliste sideteenuste kaudu toimuva side ja sellega seotud liiklusandmete konfidentsiaalsuse siseriiklike õigusaktidega. Eelkõige keelatakse nende õigusaktidega isikutel, kes ei ole kasutajad, kuulata, salaja pealt kuulata, salvestada või muul viisil pealt kuulata või jälgida sidet ja sellega seotud liiklusandmeid ilma asjaomaste kasutajate loata, kui see ei ole õiguspärane artikli 15 lõike 1 kohaselt. Käesolev lõige ei takista side edastamiseks vajalikku tehnilist salvestamist, ilma et see piiraks konfidentsiaalsuse põhimõtet.
[…]
3. Liikmesriigid tagavad, et teabe salvestamine abonendi või kasutaja lõppseadmesse ja juurdepääsu saamine sinna juba salvestatud teabele on lubatud ainult tingimusel, et asjaomane abonent või kasutaja on andnud selleks oma nõusoleku, ning talle on esitatud direktiivi [95/46] kohaselt selge ja arusaadav teave, muu hulgas andmete töötlemise eesmärgi kohta. […]“.
14 Direktiivi artiklis 6 „Liiklusandmed“ on sätestatud:
„1. Abonentide ja kasutajatega seotud liiklusandmed, mida töötleb üldkasutatava sidevõrgu pakkuja või üldkasutatavate elektrooniliste sideteenuste osutaja, tuleb kustutada või muuta anonüümseks, kui neid ei ole enam vaja side edastamiseks, ilma et see piiraks käesoleva artikli lõigete 2, 3 ja 5 ning artikli 15 lõike 1 kohaldamist.
2. Töödelda võib liiklusandmeid, mis on vajalikud abonentide arvete ja sidumistasude jaoks. Selline töötlemine on lubatud ainult selle tähtaja lõpuni, mille jooksul võib arve õiguspäraselt vaidlustada või mille jooksul võib võtta meetmeid arve sissenõudmiseks.
3. Elektrooniliste sideteenuste turustamiseks ja lisaväärtusteenuste osutamiseks võib üldkasutatavate elektrooniliste sideteenuste osutaja töödelda lõikes 1 nimetatud andmeid selliste teenuste või turustamise jaoks vajalikul määral ja vajaliku aja jooksul, kui abonent või kasutaja, kelle kohta andmed käivad, on andnud oma nõusoleku. Kasutajatele ja abonentidele antakse võimalus tühistada oma liiklusandmete töötlemiseks antud nõusolek mis tahes ajal.
[…]
5. Lõigete 1, 2, 3 ja 4 kohaselt võivad liiklusandmeid töödelda ainult üldkasutatavate sidevõrkude pakkuja ja üldkasutatavate elektrooniliste sideteenuste osutaja loal tegutsevad isikud, kes tegelevad arveldamise või andmeliikluse korraldamise, klientide küsimustele vastamise, pettuste avastamise, elektrooniliste sideteenuste turustamise või lisaväärtusteenuste osutamisega, ja selline töötlemine peab toimuma ainult kõnealusteks toiminguteks vajalikul määral.“
15 Direktiivi 2002/58 artiklis 15 „Direktiivi [95/46] teatavate sätete rakendamine“ on sätestatud:
„1. Liikmesriigid võivad võtta seadusandlikke meetmeid, millega piiratakse käesoleva direktiivi artiklites 5 ja 6, artikli 8 lõigetes 1, 2, 3 ja 4 ning artiklis 9 sätestatud õiguste ja kohustuste ulatust, kui selline piiramine on vajalik, otstarbekas ja proportsionaalne abinõu selleks, et kaitsta direktiivi [95/46] artikli 13 lõikes 1 nimetatud riiklikku julgeolekut (st riigi julgeolekut), riigikaitset, avalikku korda, kriminaalkuritegude või elektroonilise sidesüsteemi volitamata kasutamise ennetamist, uurimist, avastamist ja kohtus menetlemist. Selleks võivad liikmesriigid muu hulgas võtta seadusandlikke meetmeid, millega nähakse ette andmete säilitamine piiratud aja jooksul käesolevas lõikes sätestatud põhjustel. Kõik käesolevas lõikes osutatud meetmed on kooskõlas ühenduse õiguse üldpõhimõtetega, kaasa arvatud [ELL] artikli 6 lõigetes 1 ja 2 osutatud põhimõtetega.
[…]
2. Direktiivi 95/46/EÜ III peatüki „Õiguskaitsevahendid, vastutus ja sanktsioonid“ sätteid kohaldatakse, võttes arvesse liikmesriikides käesoleva direktiivi kohaselt vastuvõetud õigusakte ja käesolevast direktiivist tulenevaid üksikisikute õigusi.
[…]“.
– Direktiiv (EL) 2016/680
16 Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta direktiivi (EL) 2016/680, mis käsitleb füüsiliste isikute kaitset seoses pädevates asutustes isikuandmete töötlemisega süütegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise eesmärgil ning selliste andmete vaba liikumist ning millega tunnistatakse kehtetuks nõukogu raamotsus 2008/977/JSK (ELT 2016, L 119, lk 89), artikli 1 „ Reguleerimisese ja eesmärgid“ lõikes 1 on ette nähtud:
„Käesolevas direktiivis sätestatakse õigusnormid, mis käsitlevad füüsiliste isikute kaitset isikuandmete töötlemisel pädevate asutuste poolt süütegude tõkestamiseks, uurimiseks, avastamiseks, nende eest vastutusele võtmiseks või kriminaalkaristuste täitmisele pööramiseks, sealhulgas avalikku julgeolekut ähvardavate ohtude eest kaitsmiseks ja nende ennetamiseks.“
17 Direktiivi artiklis 3 „Mõisted“ on sätestatud:
„Käesolevas direktiivis kasutatakse järgmisi mõisteid:
[…]
7) „pädev asutus“ –
a) avaliku sektori asutus, kes on pädev süütegusid tõkestama, uurima, avastama või nende eest vastutusele võtma või kriminaalkaristusi täitmisele pöörama, sealhulgas kaitsma avalikku julgeolekut ähvardavate ohtude eest ja neid ohte ennetama, või
b) muu asutus või üksus, kes teostab liikmesriigi õiguse kohaselt avalikku võimu süütegude tõkestamise, uurimise, avastamise või nende eest vastutusele võtmise ja kriminaalkaristuste täitmisele pööramise, sealhulgas avalikku julgeolekut ähvardavate ohtude eest kaitsmise ja nende ennetamise eesmärgil;
[…]“.
Intellektuaalomandi õiguste kaitset käsitlevad õigusnormid
18 Euroopa Parlamendi ja nõukogu 29. aprilli 2004. aasta direktiivi 2004/48/EÜ intellektuaalomandi õiguste jõustamise kohta (ELT 2004, L 157, lk 45; ELT eriväljaanne 17/02, lk 32) artiklis 8 „Õigus teabele“ on sätestatud:
„1. Liikmesriigid tagavad, et intellektuaalomandi õiguste rikkumise menetlemisel ning hageja õigustatud ja proportsionaalse nõude vastuseks võivad pädevad kohtuasutused nõuda, et teave intellektuaalomandi õiguste rikkumise päritolu ja kaupade või teenuste levitamisvõrgustiku kohta esitaks rikkuja [...]:
2. Lõikes 1 nimetatud meetmed hõlmavad vastavalt vajadusele:
a) tootjate, valmistajate, levitajate, tarnijate ja muude kaupade või teenuste varasemate valdajate ning ühtlasi kavandatavate jae- ja hulgimüüjate nimesid ja aadresse;
[…]
3. Ilma et see piiraks lõigete 1 ja 2 kohaldamist, kohaldatakse muid õigusnorme, mis:
a) annavad õiguste valdajale õiguse saada täielikumat teavet;
b) reguleerivad teabe kasutamist tsiviil- või kriminaalmenetlustes vastavalt käesolevale artiklile;
c) reguleerivad vastutust teabeõiguse valesti kasutamise eest või
d) võimaldavad [keelduda esitamast teavet, mis sunniks] lõikes 1 kirjeldatud isikut […] tunnistama isiku enda või isiku lähedaste sugulaste osalust intellektuaalomandi õiguste rikkumises või
e) reguleerivad konfidentsiaalsete teabeallikate kaitset ja isikuandmete töötlemist.“ [täpsustatud sõnastus]
Prantsuse õigus
CPI
19 Intellektuaalomandi seadustiku (code de la propriété intellectuelle) – põhikohtuasja kaebajate poolt vaidlustatud otsuse vastuvõtmise ajal kehtinud redaktsioonis – (edaspidi „CPI“) artiklis L. 331‑12 on sätestatud:
„Haute Autorité pour la diffusion des œuvres et la protection des droits sur internet (Internetis teoste edastamise ja õiguste kaitse ülemamet ; edaspidi „Hadopi“)) on sõltumatu avaliku sektori asutus. […]“.
20 CPI artiklis L. 331‑13 on ette nähtud:
„[Hadopi] ülesanded on järgmised:
1° edendada autoriõiguse või sellega kaasnevate õigustega hõlmatud teoste ja objektide seadusliku pakkumise arendamist ja jälgida nende seaduslikku ja ebaseaduslikku kasutamist elektroonilise side võrkudes, mida kasutatakse üldkasutatavate veebipõhiste sideteenuste osutamiseks;
2° kaitsta kõnealuseid teoseid ja objekte nende õiguste rikkumise eest, mis pannakse toime elektroonilise side võrkudes, mida kasutatakse üldkasutatavate veebipõhiste sideteenuste osutamiseks;
[…]“.
21 CPI artikli L. 331‑15 kohaselt:
„[Hadopi] koosneb kolleegiumist ja õiguste kaitse komisjonist. […]
[…]
Oma volituste teostamisel ei saa kolleegiumi ja õiguste kaitse komisjoni liikmed juhiseid üheltki ametiasutuselt.“
22 CPI artikli L. 331‑17 esimeses lõigus on sätestatud:
„Õiguste kaitse komisjon vastutab artiklis L. 331‑25 sätestatud meetmete võtmise eest.“
23 CPI artiklis L. 331‑21 on ette nähtud:
„Õiguste kaitse komisjoni volituste täitmiseks on [Hadopil] vannutatud avalikud teenistujad, kes on saanud volitused [Hadopi] presidendilt tingimustel, mis on kehtestatud pärast Conseil d’État’ga [(riiginõukogu)] konsulteerimist vastu võetud dekreediga. […]
Õiguste kaitse komisjoni liikmed ja esimeses lõigus mainitud teenistujad saavad kõnealusele komisjonile esitatud taotlused artiklis L. 331‑24 ette nähtud tingimustel. Nad vaatavad asjaolud läbi.
Nad võivad menetluse tarbeks saada kõik dokumendid, olenemata nende andmekandjast, sealhulgas andmed, mida säilitavad ja töötlevad elektroonilise side operaatorid vastavalt posti- ja elektroonilise side seadustiku (code des postes et des communications électroniques) artiklile L. 34‑1, ning 21. juuni 2004. aasta seaduse nr 2004‑575 usalduse kohta digitaalmajanduses (loi no 2004‑575 du 21 juin 2004 pour la confiance dans l’économie numérique) artikli 6 I lõike punktides 1 ja 2 nimetatud teenuseosutajad.
Nad võivad samuti saada eelmises lõigus mainitud dokumentide koopiad.
Eelkõige võivad nad elektroonilise side operaatoritelt saada selle abonendi isikuandmed, postiaadressi, e-posti aadressi ja telefoninumbrid, kelle ühendust üldkasutatavate veebipõhiste sideteenustega on kasutatud kaitstud teoste või objektide reprodutseerimiseks, kujutamiseks, üldsusele kättesaadavaks tegemiseks või edastamiseks ilma […] õiguste omajate loata, kui selline luba on nõutav.“
24 CPI artiklis L. 331‑24 on sätestatud:
„Õiguste kaitse komisjon tegutseb kaebuste alusel, mille on esitanud vannutatud ja volitatud teenistujad […], kelle on määranud:
– nõuetekohaselt asutatud kutsealased kaitseorganisatsioonid;
– kollektiivse esindamise organisatsioonid;
– Centre national du cinéma et de l’image animée [(riiklik kino- ja animatsioonikeskus)].
Õiguste kaitse komisjon võib tegutseda ka vabariigi prokuröri poolt talle edastatud teabe alusel.
Komisjoni poole võib pöörduda kuni kuue kuu taguste faktiliste asjaolude alusel.“
25 Vastavalt CPI artiklile L. 331‑25, mis reguleerib nn järkjärgulise reageerimise menetlust:
„Kui komisjonile on teatavaks tehtud asjaolud, mis võivad endast kujutada [CPI] artiklis L. 336‑3 määratletud kohustuse rikkumist, võib õiguste kaitse komisjon saata abonendile […] soovituse, milles viidatakse artikli L. 336‑3 sätetele, nõutakse nende sätetega talle kehtestatud kohustuse täitmist ja hoiatatakse artiklite L. 335‑7 ja L. 335‑7‑1 alusel määratavate karistuste eest. See soovitus sisaldab ka abonendile suunatud teavet kultuurilise veebisisu seadusliku pakkumise kohta, artiklis L. 336‑3 määratletud kohustuse rikkumise vältimiseks vajalike turvameetmete olemasolu kohta ning ohtude kohta, mida autoriõigust ja sellega kaasnevaid õigusi mittejärgiv tegevus kujutab endast kunstilise loomingu uuendamisele ja kultuurisektori majandusele.
Kui kuue kuu jooksul pärast esimeses lõigus osutatud soovituse saatmist ilmnevad uuesti asjaolud, mis võivad kujutada endast artiklis L. 336‑3 määratletud kohustuse rikkumist, võib komisjon saata elektrooniliselt uue soovituse, mis sisaldab sama teavet kui eelmine soovitus […]. Komisjon peab sellele soovitusele lisama allkirja vastu kätte toimetatava kirja või muu vahendi, millega saab tõendada selle soovituse esitamise kuupäeva.
Käesoleva artikli alusel esitatud soovitustes märgitakse kuupäev ja kellaaeg, mil tuvastati asjaolud, mis võivad kujutada endast artiklis L. 336‑3 määratletud kohustuse rikkumist. Siiski ei avaldata neis kaitstud teoste või objektide sisu, mida see rikkumine puudutab. Neis märgitakse telefoninumber, posti- ja e-posti aadress, mille kaudu adressaat võib soovi korral esitada vastuväiteid õiguste kaitse komisjonile ja saada, kui ta seda sõnaselgelt taotleb, täpsemat teavet nende kaitstud teoste või objektide sisu kohta, mida väidetav rikkumine puudutab.“
26 CPI artiklis L. 331‑29 on sätestatud:
„[Hadopil] on lubatud välja töötada automatiseeritud süsteem nende isikute isikuandmete töötlemiseks, kelle suhtes on algatatud menetlus käesoleva alajao raames.
Töötlemine on ette nähtud selleks, et õiguste kaitse komisjon saaks rakendada käesolevas alajaos ette nähtud meetmeid, teha kõiki seotud menetlustoiminguid ja rakendada korda, mille raames teavitatakse kutsealaseid kaitseorganisatsioone ning kollektiivse esindamise organisatsioone võimalikust õigusasutuse poole pöördumisest ning artikli L. 335‑7 viiendas lõigus ette nähtud teavitustest.
Dekreedis […] sätestatakse käesoleva artikli kohaldamise üksikasjalikud eeskirjad. Selles täpsustatakse eelkõige:
– salvestatavate andmete liigid ja nende säilitamise kestus;
– isikud, kellel on õigus edastatud andmeid saada, eelkõige isikud, kelle tegevusala on pakkuda ühendust üldkasutatavate veebipõhiste sideteenustega;
– tingimused, millistel huvitatud isikud saavad kasutada [Hadopis] oma õigust tutvuda neid puudutavate andmetega […]“.
27 CPI artikli L. 335‑2 esimeses ja teises lõigus on täpsustatud:
„Kirjandusteoste, muusikateoste, joonistuste, maalide või muude teoste täielik või osaline trükitud või graveeritud väljaandmine, mis eirab autoriõigust käsitlevaid seadusi ja määrusi, on võltsimine ja iga võltsimine on delikt.
Prantsusmaal või välismaal avaldatud teoste võltsimise eest Prantsusmaal karistatakse kolmeaastase vangistusega ja 300 000 euro suuruse rahalise karistusega.“
28 CPI artikli L. 335‑4 esimeses lõigus on sätestatud:
„Esituse, fonogrammi, videosalvestise, programmi või ajakirjandusväljaande salvestamise, reprodutseerimise, üldsusele tasu eest või tasuta edastamise või kättesaadavaks tegemise eest või televisioonis edastamise eest, mis toimub esitaja, fonogrammide või videosalvestiste tootja, audiovisuaalside ettevõtja, ajakirjandusväljaande kirjastaja või pressiagentuuri loata, kui see luba on nõutav, karistatakse kolmeaastase vangistusega ja 300 000 euro suuruse rahalise karistusega.“
29 CPI artiklis L. 335‑7 on ette nähtud normid, mis reguleerivad eelkõige selle seadustiku artiklites L. 335‑2 ja L. 335‑4 nimetatud süütegudes süüdi mõistetud isikutele lisakaristuse määramist, mis seisneb üldkasutatava veebipõhise sideteenuse kasutamise õiguse peatamises kuni üheks aastaks.
30 CPI artikli L. 335‑7‑1 esimene lõik on sõnastatud järgmiselt:
„Käesolevas seadustikus ette nähtud viienda astme väärtegude eest võib juhul, kui see on määruses ette nähtud, artiklis L. 335‑7 määratletud lisakaristuse raske hooletuse korral samadel tingimustel määrata üldkasutatavate veebipõhiste sideteenuste ühenduse omanikule, kellele õiguste kaitse komisjon on vastavalt artiklile L. 331‑25 eelnevalt saatnud kirja teel, mis on kätte toimetatud allkirja vastu, või muul viisil, millega saab tõendada esitamise kuupäeva, soovituse, et ta kasutaks oma internetiühenduse turvamise vahendit.“
31 CPI artiklis L. 336‑3 on ette nähtud:
„Üldkasutatavate veebipõhiste sideteenuste ühenduse omanikul on kohustus tagada, et seda ühendust ei kasutata autoriõigusega või sellega kaasneva õigusega kaitstud teoste või objektide reprodutseerimiseks, kujutamiseks või üldsusele kättesaadavaks tegemiseks või edastamiseks ilma […] omajate loata, kui selline luba on nõutav.
Kui ühenduse omanik isik ei täida esimeses lõigus sätestatud kohustust, ei too see kaasa asjaomase isiku kriminaalvastutust […]“.
32 CPI artikli R. 331‑37 esimeses lõigus on sätestatud:
„[…] [E]lektroonilise side operaatorid ning […] teenuseosutajad on kohustatud edastama omavahelise ühenduse teel artiklis L. 331‑29 nimetatud isikuandmete automatiseeritud töötlemise süsteemi kaudu või andmekandjale salvestamise abil, mis tagab nende terviklikkuse ja turvalisuse, isikuandmed ja teabe, mida on nimetatud dekreedi [nr 2010‑236] lisa punktis 2, kaheksa päeva jooksul pärast seda, kui õiguste kaitse komisjon on edastanud tehnilised andmed, mis on vajalikud selle abonendi tuvastamiseks, kelle ühendust üldkasutatavate veebipõhiste sideteenustega on kasutatud kaitstud teoste või objektide reprodutseerimiseks, kujutamiseks või üldsusele kättesaadavaks tegemiseks või edastamiseks ilma […] õiguste omajate loata, kui selline luba on nõutav.“
33 CPI artiklis R. 331‑40 on märgitud:
„Kui ühe aasta jooksul pärast artikli L. 335‑71‑1 esimeses lõigus nimetatud soovituse esitamist pöördutakse õiguste kaitse komisjoni poole uutel asjaoludel, mis võivad endast kujutada artiklis R. 335‑5 määratletud rasket hooletust, teatab ta abonendile allkirja vastu kätte toimetatavas kirjas, et nendel asjaoludel võidakse alustada menetlust. Selles kirjas kutsutakse asjaomast isikut üles esitama oma seisukohad 15 päeva jooksul. Täpsustatakse, et selle tähtaja jooksul võib isik taotleda ärakuulamist vastavalt artiklile L. 331‑21‑1 ning et tal on õigus kasutada õigusnõustaja abi. Samuti palutakse tal täpsustada, millised on tema perekulud ja sissetulekud.
Komisjon võib omal algatusel kutsuda asjaomase isiku ärakuulamisele. Kutses täpsustatakse, et tal on õigus kasutada õigusnõustaja abi.“
34 CPI artiklis R. 335‑5 on sätestatud:
„I. – Kui on täidetud II lõikes sätestatud tingimused, siis kujutab endast rasket hooletust, mis on karistatav viienda astme väärtegude puhul ette nähtud rahatrahviga, asjaolu, et isik, kellel on ühendus üldkasutatavate veebipõhiste sideteenustega, ilma õiguspärase põhjuseta:
1° ei ole rakendanud vahendit selle ühenduse turvamiseks;
2° või ei ole rakendanud seda vahendit nõuetekohase hoolsusega.
II. – I lõike sätteid kohaldatakse ainult siis, kui on täidetud kaks järgmist tingimust:
1° vastavalt artiklile L. 331‑25 ja selles artiklis sätestatud viisil on õiguste kaitse komisjon soovitanud ühenduse omanikule rakendada oma ühenduse turvamise vahendeid, mis takistavad selle ühenduse uuesti kasutamist autoriõigusega või sellega kaasneva õigusega kaitstud teoste või objektide reprodutseerimiseks, kujutamiseks või üldsusele kättesaadavaks tegemiseks või edastamiseks ilma õiguste omajate loata […], kui selline luba on nõutav;
2° nimetatud soovituse esitamisele järgneval aastal kasutatakse sellist ühendust uuesti II lõike punktis 1 nimetatud eesmärkidel.“
35 1. jaanuaril 2022 ühendati Hadopi 25. oktoobri 2021. aasta seaduse nr 2021‑1382 kultuuriteostele juurdepääsu reguleerimise ja kaitse kohta digitaalajastul (loi no 2021‑1382, du 25 octobre 2021, relative à la régulation et à la protection de l’accès aux œuvres culturelles à l’ère numérique) (JORF nr 250, 26.10.2021 tekst nr 2) alusel ühe teise sõltumatu avaliku sektori asutuse, Conseil supérieur de l’audiovisueliga (kõrgem audiovisuaalnõukogu, CSA), ning selle tulemusel loodi Autorité de régulation de la communication audiovisuelle et numérique (audiovisuaal- ja digisidet reguleeriv asutus, ARCOM).
36 Käesoleva kohtuotsuse punktis 25 nimetatud järkjärgulise reageerimise menetlus jäi siiski sisuliselt samaks, kuigi seda ei vii nüüd enam läbi Hadopi õiguste kaitse komisjon, mis koosnes kolmest liikmest, kelle nimetasid vastavalt Conseil d’État (riiginõukogu), Cour des comptes (kontrollikoda) ja Cour de cassation (kassatsioonikohus), vaid kaks ARCOMi kolleegiumi liiget, kellest ühe nimetab Conseil d’État ja teise Cour de cassation.
Dekreet nr 2010‑236
37 Dekreedi nr 2010‑236, mis on vastu võetud muu hulgas CPI artikli L. 331‑29 alusel, artiklis 1 on ette nähtud:
„Isikuandmete töötlemise süsteemi ehk „Teoste internetis kaitsmise meetmete haldamise süsteemi“ eesmärk on tagada, et [Hadopi] õiguste kaitse komisjon võtaks järgmised meetmed:
1° meetmed, mis on ette nähtud [CPI] seadusandliku osa III raamatus (III osa I peatüki 3. jao 3. jaotis) ja sama seadustiku regulatiivosa III raamatus (III osa I peatüki 2. jao 2. jaotis);
2° vabariigi prokurörile teate esitamine asjaolude kohta, mis võivad endast kujutada sama seadustiku artiklites L. 335‑2, L. 335‑3, L. 335‑4 ja R. 335‑5 sätestatud süütegusid, ning samuti kutsealaste kaitseorganisatsioonide ja kollektiivse esindamise organisatsioonide teavitamine nende teadete esitamisest;
[…]“.
38 Selle dekreedi artiklis 4 on sätestatud:
„I – [Hadopi] presidendi poolt [CPI] artikli L. 331‑21 alusel vannutatud ja volitatud avalikel teenistujatel ja artiklis 1 nimetatud õiguste kaitse komisjoni liikmetel on otsene juurdepääs käesoleva dekreedi lisas nimetatud isikuandmetele ja teabele.
II – Käesoleva dekreedi lisa punktis 2 nimetatud elektroonilise side operaatoritele ja teenuseosutajatele edastatakse:
– abonendi tuvastamiseks vajalikud tehnilised andmed;
– [CPI] artiklis L. 331‑25 sätestatud soovitused elektrooniliseks edastamiseks nende abonentidele;
– teave, mis on vajalik selleks, et kohaldada lisakaristusi, mis seisnevad üldkasutatava veebipõhise sideteenuse kasutamise õiguse peatamises ja millest prokurör on komisjoni teavitanud.
III – Kutsealastele kaitseorganisatsioonidele ja kollektiivse esindamise organisatsioonidele edastatakse teave vabariigi prokuröri poole pöördumise kohta.
IV – Õigusasutustele edastatakse [CPI] artiklitele L. 335‑2, L. 335‑3, L. 335‑4, L. 335‑7, R. 331‑37, R. 331‑38 ja R. 335‑5 vastavatele süütegudele viitavate asjaolude tuvastamise protokollid.
Automatiseeritud karistusregistrit teavitatakse õiguse peatamise otsuse täitmisest.“
39 Nimetatud dekreedi lisas on ette nähtud:
„Andmetöötlussüsteemis „Teoste internetis kaitsmise meetmete haldamise süsteem“ salvestatavad isikuandmed ja teave on järgmised:
1° Isikuandmed ja teave, mis pärineb nõuetekohaselt asutatud kutsealastelt kaitseorganisatsioonidelt, kollektiivse esindamise organisatsioonidelt, Centre national du cinéma et de l’image animéelt (riiklik kino- ja animatsioonikeskus) ja vabariigi prokurörilt:
seoses asjaoludega, mis võivad endast kujutada [CPI] artiklis L. 336‑3 määratletud kohustuse rikkumist:
asjaolude asetleidmise kuupäev ja kellaaeg;
asjaomaste abonentide IP-aadress;
kasutatud peer‑to‑peer‑protokoll;
abonendi kasutatud pseudonüüm;
teave faktiliste asjaoludega seotud kaitstud teoste või objektide kohta;
abonendi arvutis oleva faili nimi (kui see on asjakohane);
selle internetiühenduse pakkuja nimi, kelle juures on abonent end kasutajaks registreerunud või kes pakkus IP‑tehnilist ressurssi.
[…]
2° Elektroonilise side operaatoritelt […] ja teenuseosutajatelt […] kogutavad isikuandmed ja abonendi andmed:
perekonna- ja eesnimed;
postiaadress ja e-posti aadressid;
telefoninumbrid;
abonendi telefonipaigaldise aadress;
internetiühenduse pakkuja, kes kasutab punktis 1 nimetatud ühenduse pakkuja tehnilisi vahendeid ja kellega abonent on sõlminud lepingu; toimiku number;
kuupäev, millest alates peatatakse õigus kasutada üldkasutatavat veebipõhist sideteenust.
[…]“.
Posti ja elektroonilise side seadustik
40 Posti ja elektroonilise side seadustiku (code des postes et des communications électroniques) artikli L. 34‑1 II bis lõikes on sätestatud:
„Elektroonilise side operaatorid on kohustatud säilitama:
1° kriminaalmenetluse, avalikku julgeolekut ähvardava ohu ennetamise ja riigi julgeoleku kaitsmise eesmärgil kasutaja identiteeti puudutavad andmed kuni viie aasta möödumiseni tema lepingu kehtivusaja lõppemisest;
2° samadel eesmärkidel, mis on sätestatud käesoleva artikli II bis lõike punktis 1, muud andmed, mille kasutaja esitab lepingu sõlmimisel või konto loomisel, ning maksmisega seotud andmed ühe aasta möödumiseni tema lepingu kehtivusaja lõppemisest või konto sulgemisest;
3° raske kuritegevuse vastu võitlemise, avalikku julgeolekut ähvardavate suurte ohtude ennetamise ja riigi julgeoleku kaitsmise eesmärgil tehnilised andmed, mis võimaldavad tuvastada ühenduse allika või kasutatud lõppseadmetega seotud andmed ühe aasta möödumiseni ühenduse toimumisest või lõppseadmete kasutamisest.“
Põhikohtuasi ja eelotsuse küsimused
41 Kuna Premier ministre (peaminister) lükkas vaikimisi tehtud otsusega tagasi põhikohtuasja kaebajate taotluse tühistada dekreet nr 2010‑236, pöördusid nad 12. augustil 2019 Conseil d’Etat’ (Prantsusmaa kõrgeima halduskohtuna tegutsev riiginõukogu) poole kaebusega, milles palusid see vaikimisi tehtud otsus tühistada. Nad väitsid sisuliselt, et CPI artikli L. 331‑21 kolmas kuni viies lõik, mis on selle dekreedi õigusliku aluse osa, on esiteks vastuolus Prantsuse põhiseaduses sätestatud õigusega eraelu puutumatusele ja teiseks rikub liidu õigust, eelkõige direktiivi 2002/58 artiklit 15 ning harta artikleid 7, 8, 11 ja 52.
42 Seoses kaebuse aspektiga, mis puudutab põhiseaduse väidetavat rikkumist, esitas Conseil d’État (kõrgeima halduskohtuna tegutsev riiginõukogu) Conseil constitutionnelile (Prantsusmaa konstitutsioonikohus) eelisjärjekorras lahendamisele kuuluva põhiseaduslikkuse küsimuse.
43 Conseil constitutionnel (konstitutsioonikohus) tunnistas oma 20. mai 2020. aasta otsusega nr 2020‑841 QPC La Quadrature du Net jt [Droit de communication à la Hadopi] (Hadopile edastamise õigus) põhiseadusega vastuolus olevaks CPI artikli L. 331‑21 kolmanda ja neljanda lõigu, kuid tunnistas selle artikli viienda lõigu, välja arvatud selles sisalduv sõna „eelkõige“, põhiseadusega kooskõlas olevaks.
44 Seoses kaebuse aspektiga, mis puudutab liidu õiguse väidetavat rikkumist, kinnitasid põhikohtuasja kaebajad eelkõige, et dekreet nr 2010-236 ja selle õiguslikuks aluseks olevad sätted lubavad ebaproportsionaalset juurdepääsu sideandmetele internetis toime pandud autoriõiguste kergete rikkumiste puhul, ilma et seda enne kontrolliks kohtunik või ametiasutus, kelle puhul on tagatud sõltumatus ja erapooletus. Eelkõige ei kuulu need rikkumised 21. detsembri 2016. aasta kohtuotsuses Tele2 Sverige ja Watson jt (C‑203/15 ja C‑698/15, EU:C:2016:970) nimetatud mõiste „raske kuritegevus“ alla.
45 Conseil d’État (kõrgeima halduskohtuna tegutsev riiginõukogu) tuletab selles osas ühelt poolt meelde, et Euroopa Kohus otsustas 6. oktoobri 2020. aasta kohtuotsuses La Quadrature du Net jt (C‑511/18, C‑512/18 ja C‑520/18, EU:C:2020:791) muu hulgas, et direktiivi 2002/58 artikli 15 lõikega 1, tõlgendatuna lähtudes harta artiklitest 7, 8 ja 11 ning artikli 52 lõikest 1, ei ole vastuolus seadusandlikud meetmed, mis näevad ette riigi julgeoleku kaitsmise, kuritegevuse vastu võitlemise ja avaliku julgeoleku kaitsmise eesmärgil elektroonilise side vahendite kasutajate identiteediga seotud andmete üldise ja vahet tegemata säilitamise. Niisiis on elektroonilise side vahendite kasutajate identiteediga seotud andmete puhul selline säilitamine ilma konkreetse tähtajata võimalik üldiselt kuritegude uurimiseks, tuvastamiseks ja menetlemiseks. Direktiiviga 2002/58 ei ole vastuolus ka juurdepääs nendele andmetele sellistel eesmärkidel.
46 Eelotsusetaotluse esitanud kohus järeldab sellest, et mis puudutab juurdepääsu elektroonilise side vahendite kasutajate identiteediga seotud andmetele, siis tuleb põhikohtuasja kaebajate väide, et dekreet nr 2010‑236 on ebaseaduslik, kuna see võeti vastu kergete süütegude vastase võitluse raames, tagasi lükata.
47 Teiselt poolr tuletab Conseil d’État meelde, et 21. detsembri 2016. aasta kohtuotsuses Tele2 Sverige ja Watson jt (C‑203/15 ja C‑698/15, EU:C:2016:970) otsustas Euroopa Kohus muu hulgas, et direktiivi 2002/58 artikli 15 lõiget 1 tuleb harta artikleid 7, 8 ja 11 ning artikli 52 lõiget 1 arvestades tõlgendada nii, et sellega on vastuolus liikmesriigi õigusnormid, mis reguleerivad liiklus- ja asukohaandmete kaitset ja turvalisust ning eelkõige pädevate riigiasutuste juurdepääsu säilitatavatele andmetele, nägemata ette, et andmetele juurdepääsu saamise eeltingimuseks on kohtu või sõltumatu haldusasutuse teostatav eelkontroll.
48 Eelotsusetaotluse esitanud kohus viitab konkreetsemalt selle kohtuotsuse punktile 120, milles Euroopa Kohus täpsustas, et on esmatähtis, et – välja arvatud nõuetekohaselt põhjendatud kiireloomulistel juhtudel – selline juurdepääs säilitatud andmetele oleks üldjuhul allutatud kohtu või sõltumatu haldusasutuse teostatavale eelkontrollile ja et see kohus või haldusasutus teeks oma otsuse juurdepääsu taotleva asutuse põhjendatud taotluse alusel, mis on ennekõike esitatud kuriteo ennetamise, avastamise või menetlemise raames.
49 Euroopa Kohus meenutas seda nõuet 6. oktoobri 2020. aasta kohtuotsuses La Quadrature du Net jt (C‑511/18, C‑512/18 ja C‑520/18, EU:C:2020:791) seoses sideandmete reaalajas kogumisega luureteenistuste poolt, ning 2. märtsi 2021. aasta kohtuotsuses Prokuratuur (tingimused elektroonilise side andmetele juurdepääsuks) (C‑746/18, EU:C:2021:152) seoses liikmesriigi ametiasutuste juurdepääsuga sideandmetele.
50 Eelotsusetaotluse esitanud kohus märgib veel, et Hadopi on alates tema moodustamisest 2009. aastal saatnud CPI artiklis L 331‑25 ette nähtud järkjärgulise reageerimise menetluse raames abonentidele enam kui 12,7 miljonit soovitust, sealhulgas 827 791 soovitust ainuüksi 2019. aastal. See tähendab, et Hadopi õiguste kaitse komisjoni teenistujad on pidanud tingimata saama igal aastal koguda märkimisväärse hulga asjaomaste kasutajate identiteediga seotud andmeid. See kohus leiab, et võttes arvesse nende soovituste hulka, võib sellele kogumisele eelkontrolli nõude kehtestamine muuta soovituste esitamise võimatuks.
51 Nendel asjaoludel otsustas Conseil d’État (kõrgeima halduskohtuna tegutsev riiginõukogu) menetluse peatada ja esitada Euroopa Kohtule järgmised eelotsuse küsimused:
„1. Kas IP‑aadressile vastavad identiteediandmed kuuluvad liiklus- või asukohaandmete hulka, mille üle peab põhimõtteliselt tegema eelkontrolli kohus või sõltumatu haldusasutus, kellel on pädevus teha siduvaid otsuseid?
2. Kui esimesele küsimusele vastatakse jaatavalt, ning arvestades kasutajate identiteeti puudutavate andmete, sealhulgas nende kontaktandmete madalat tundlikkust, siis kas direktiivi [2002/58] tuleb lähtuvalt [hartast] tõlgendada nii, et sellega on vastuolus liikmesriigi õigusnormid, mis näevad ette, et haldusasutus kogub kõnealuseid kasutajate IP‑aadressile vastavaid andmeid ilma kohtu või sõltumatu haldusasutuse – kellel on pädevus teha siduvaid otsuseid – eelkontrollita?
3. Kui teisele küsimusele vastatakse jaatavalt, ning arvestades isiku identiteeti puudutavate andmete madalat tundlikkust, samuti asjaolu, et koguda võib üksnes neid andmeid ja ainult liikmesriigi õiguses täpselt, ammendavalt ja kitsalt määratletud kohustuste rikkumiste ennetamise tarbeks, ning asjaolu, et juhul, kui kohus või kolmas haldusasutus, kellel on pädevus teha siduvaid otsuseid, kontrolliks süstemaatiliselt juurdepääsu iga kasutaja andmetele, võiks see kahjustada andmete kogumist läbi viivale haldusasutusele – kes ise on sõltumatu – antud avaliku teenuse osutamise ülesande täitmist, siis kas direktiiviga [2002/58] on vastuolus see, et sellist kontrolli tehakse kohandatud viisil, nimelt automatiseeritud kontrollina, ja vajaduse korral sellise organisisese teenistuse järelevalve all, kelle puhul on tagatud, et ta on andmete kogumist läbi viivate teenistujate suhtes sõltumatu ja erapooletu?“
Eelotsuse küsimuste analüüs
52 Oma kolme eelotsuse küsimusega, mida tuleb analüüsida koos, soovib eelotsusetaotluse esitanud kohus sisuliselt teada, kas direktiivi 2002/58 artikli 15 lõiget 1 tuleb harta artikleid 7, 8 ja 11 ning artikli 52 lõiget 1 arvestades tõlgendada nii, et sellega on vastuolus riigisisesed õigusnormid, mis annavad avaliku sektori asutusele, kelle ülesanne on kaitsta autoriõigusi ja nendega kaasnevaid õigusi nende õiguste suhtes internetis toimepandavate rikkumiste eest, õiguse juurdepääsuks üldkasutatavate elektroonilise side teenuste osutajate säilitatavatele identiteediandmetele, mis vastavad IP‑aadressidele, mille õiguste omajate organisatsioonid on eelnevalt kogunud selleks, et see avaliku sektori asutus saaks kindlaks teha nende aadresside omanikud, mida on kasutatud tegevuseks, mis võib kujutada endast sellist rikkumist, ning saaks vajaduse korral võtta nende isikute suhtes meetmeid, ilma et sellise juurdepääsu tingimuseks oleks kohtu või sõltumatu haldusasutuse teostatav eelkontroll.
Sissejuhatavad märkused
53 Põhikohtuasjas on kõne all kaks eraldiseisvat ja teineteisele järgnevat isikuandmete töötlemise toimingut, mis tehakse sõltumatu avaliku sektori asutuse Hadopi tegevuse raames, kelle ülesanne on vastavalt CPI artiklile L. 331‑13 eelkõige kaitsta autoriõigusega või sellega kaasneva õigusega kaitstud teoseid ja objekte nende õiguste rikkumiste eest, mis pannakse toime elektroonilise side võrkudes, mida kasutatakse üldkasutatavate veebipõhiste sideteenuste osutamiseks.
54 Esimene töötlemine, millega tegelevad eelnevalt õiguste omajate organisatsioonide vannutatud ja volitatud teenistujad, toimub kahes etapis. Kõigepealt kogutakse peer‑to‑peer‑võrkudes IP‑aadresse, mida näib olevat kasutatud tegevuseks, mis võib kujutada endast autoriõiguse või sellega kaasneva õiguse rikkumist. Seejärel tehakse Hadopile protokollide vormis kättesaadavaks isikuandmete ja teabe kogum. Need andmed on dekreedi nr 2010‑236 lisa punktis 1 toodud loetelu kohaselt asjaolude asetleidmise kuupäev ja kellaaeg, asjaomaste abonentide IP-aadress, kasutatud peer‑to‑peer‑protokoll, abonendi kasutatud pseudonüüm, teave faktiliste asjaoludega seotud kaitstud teoste või objektide kohta, abonendi arvutis oleva faili nimi (kui see on asjakohane), ning selle internetiühenduse pakkuja nimi, kellelt osteti ühendus või kes pakkus IP‑tehnilist ressurssi.
55 Teine töötlemine, millega tegelevad hiljem internetiühenduse pakkujad Hadopi taotlusel, toimub samuti kahes etapis. Kõigepealt luuakse eelnevalt kogutud IP‑aadresside ja nende aadresside omanike vahel seos. Seejärel tehakse sellele avaliku sektori asutusele kättesaadavaks neid isikuid puudutavate isikuandmete ja teabe kogum, mis puudutab peamiselt nende isikute identiteeti. Dekreedi nr 2010‑236 lisa punktis 2 toodud loetelu kohaselt on nendeks andmeteks peamiselt perekonnanimi ja eesnimed, postiaadress ja e‑posti aadressid, telefoninumber ja abonendi telefonipaigaldise aadress.
56 Viimasega seoses näeb CPI artikli L. 331‑21 viies lõik käesoleva kohtuotsuse punktis 43 mainitud Conseil constitutionneli (konstitutsioonikohus) otsusest tulenevas redaktsioonis ette, et Hadopi õiguste kaitse komisjoni liikmed ja selle asutuse presidendi volitatud vannutatud teenistujad võivad elektroonilise side operaatoritelt saada selle abonendi isikuandmed, postiaadressi, e-posti aadressi ja telefoninumbri, kelle ühendust üldkasutatavate veebipõhiste sideteenustega on kasutatud kaitstud teoste või objektide reprodutseerimiseks, kujutamiseks või üldsusele kättesaadavaks tegemiseks või edastamiseks ilma õiguste omajate loata, kui selline luba on nõutav.
57 Isikuandmete sellise mitmesuguse töötlemise eesmärk on võimaldada Hadopil võtta sel moel kindlaks tehtud IP-aadresside omanike suhtes meetmeid, mis on ette nähtud CPI artikliga L. 331‑25 reguleeritud nn järkjärgulise reageerimise haldusmenetluses. Need meetmed on kõigepealt „soovituste“ saatmine, mille võib samastada hoiatustega; seejärel juhul, kui Hadopi õiguste kaitse komisjoni poole pöördutakse ühe aasta jooksul pärast teise soovituse saatmist asjaoludel, mis võivad kujutada endast tuvastatud rikkumise kordumist, saadetakse abonendile CPI artiklis R. 331‑40 viidatud teave selle kohta, et asjaolud võivad endast kujutada CPI artiklis R. 335‑5 määratletud „raske hooletuse“ süütegu, mis on väärtegu, mille eest karistatakse kuni 1500 euro suuruse rahatrahviga ja korduva rikkumise korral kuni 3000 euro suuruse rahatrahviga; lõpuks, pärast otsuse tegemist pöördumine prokuratuuri poole asjaoludel, mis võivad kujutada endast sellist väärtegu, või olenevalt olukorrast CPI artiklis L. 335‑2 või selle seadustiku artiklis L. 335‑4 nimetatud võltsimise delikti, mille eest karistatakse kolmeaastase vangistusega ja 300 000 euro suuruse rahalise karistusega.
58 Samas puudutavad eelotsusetaotluse esitanud kohtu küsimused üksnes käesoleva kohtuotsuse punktis 55 kirjeldatud töötlemist hilisemas etapis, mitte eelnevat töötlemist, mille põhitunnused on välja toodud selle kohtuotsuse punktis 54.
59 Tuleb siiski märkida, et kui IP‑aadresside eelnev kogumine õiguste omajate organisatsioonide poolt oleks vastuolus liidu õigusega, oleks selle õigusega vastuolus ka nende andmete kasutamine elektroonilise side teenuste osutajate poolse hilisema töötlemise raames, mis seisneb nimetatud aadresside seostamises nende aadresside omanike identiteeti puudutavate andmetega.
60 Selles kontekstis tuleb kõigepealt meenutada, et Euroopa Kohtu praktika kohaselt kujutavad IP-aadressid endast nii liiklusandmeid direktiivi 2002/58 tähenduses kui ka isikuandmeid isikuandmete kaitse üldmääruse tähenduses (vt selle kohta 17. juuni 2021. aasta kohtuotsus M.I.C.M., C‑597/19, EU:C:2021:492, punktid 102 ja 113 ning seal viidatud kohtupraktika).
61 Avalike ja kõigile nähtavate IP‑aadresside kogumine õiguste omajate organisatsioonide teenistujate poolt ei kuulu siiski direktiivi 2002/58 kohaldamisalasse, kuna selline töötlemine ei toimu ilmselgelt „seoses elektroonilise side teenuste osutamisega“ selle direktiivi artikli 3 tähenduses.
62 Seevastu IP‑aadresside kogumine, mida Euroopa Kohtu käsutuses olevast toimikust nähtuvalt lubab teatud koguselistes piirides ja teatud tingimustel Commission nationale de l’informatique et des libertés (CNIL) (riiklik andmetöötluse ja vabaduste komisjon, Prantsusmaa) nende edastamiseks Hadopile, et neid saaks hiljem kasutada haldus- või kohtumenetlustes, mille eesmärk on võidelda autoriõigusi ja nendega kaasnevaid õigusi rikkuva tegevuse vastu, on isikuandmete kaitse üldmääruse artikli 4 punkti 2 tähenduses „töötlemine“, mille õiguspärasus sõltub tingimustest, mis on ette nähtud üldmääruse artikli 6 lõike 1 esimese lõigu punktis f, tõlgendatuna arvestades Euroopa Kohtu praktikat, mis tuleneb eelkõige 17. juuni 2021. aasta kohtuotsusest M.I.C.M. (C‑597/19, EU:C:2021:492, punktid 102 ja 103) ning 4. juuli 2023. aasta kohtuotsusest Meta Platforms jt (suhtlusvõrgustiku kasutamise tüüptingimused) (C‑252/21, EU:C:2023:537, punktid 106–112 ja seal viidatud kohtupraktika).
63 Mis puudutab käesoleva kohtuotsuse punktis 55 kirjeldatud hilisemat töötlemist, siis see kuulub omakorda direktiivi 2002/58 kohaldamisalasse, kuna see toimub „seoses elektrooniliste side teenuste osutamisega“ selle direktiivi artikli 3 tähenduses, kui kõnealused andmed on saadud elektroonilise side teenuste osutajatelt vastavalt CPI artiklile L. 331‑21.
Direktiivi 2002/58 artikli 15 lõike 1 kohase põhjenduse olemasolu avaliku sektori asutuse juurdepääsuks IP‑aadressile vastavatele identiteediandmetele, mida elektroonilise side teenuste osutajad säilitavad selleks, et võidelda internetis toimepandava võltsimise vastu
64 Eelnevaid sissejuhatavaid märkusi arvestades tekib küsimus, kas – nagu küsib eelotsusetaotluse esitanud kohus – harta artiklites 7, 8 ja 11 tunnustatud põhiõiguste niisugune piirang, mis kaasneb sellise avaliku sektori asutuse nagu Hadopi juurdepääsuga juba tema valduses olevale IP‑aadressile vastavatele identiteediandmetele, võib olla direktiivi 2002/58 artikli 15 lõike 1 kohaselt põhjendatud.
65 Niisugustele isikuandmetele võib aga anda juurdepääsu üksnes juhul, kui neid andmeid on säilitatud kooskõlas direktiiviga 2002/58 (vt selle kohta 2. märtsi 2021. aasta kohtuotsus Prokuratuur (tingimused elektroonilise side andmetele juurdepääsuks), C‑746/18, EU:C:2021:152, punkt 29).
Nõuded, mis reguleerivad identiteediandmete ja vastavate IP‑aadressidega seotud andmete säilitamist elektroonilise side teenuste osutajate poolt
66 Direktiivi 2002/58 artikli 15 lõige 1 võimaldab liikmesriikidel teha erandeid selle direktiivi artikli 5 lõikes 1 ette nähtud põhimõttelisest kohustusest tagada isikuandmete konfidentsiaalsus ja sellele vastavatest kohustustest, mida on mainitud eelkõige selle direktiivi artiklites 6 ja 9, kui selline piiramine on demokraatlikus ühiskonnas vajalik, otstarbekas ja proportsionaalne meede selleks, et tagada riigi julgeolek, riigikaitse ja avalik julgeolek või kuritegude või elektroonilise sidesüsteemi volitamata kasutamise ennetamine, uurimine, avastamine ja kohtus menetlemine. Selleks võivad liikmesriigid muu hulgas võtta seadusandlikke meetmeid, millega nähakse ette andmete säilitamine piiratud aja jooksul, kui see on mõnel nimetatud põhjusel õigustatud. Samas ei saa võimalus kalduda kõrvale direktiivi 2002/58 artiklites 5, 6 ja 9 ette nähtud õigustest ja kohustustest õigustada seda, et erand põhimõttelisest kohustusest tagada elektroonilise side ja sellega seotud andmete konfidentsiaalsus ja iseäranis selle direktiivi artiklis 5 sätestatud keelust neid andmeid salvestada muutuks reegliks (6. oktoobri 2020. aasta kohtuotsus La Quadrature du Net jt, C‑511/18, C‑512/18 ja C‑520/18, EU:C:2020:791, punktid 110 ja 111).
67 Selle sätte alusel vastu võetud seadusandlik meede peab seega vastama tegelikult ja rangelt ühele eelmises punktis nimetatud eesmärkidest, kuna nende eesmärkide loetelu direktiivi 2002/58 artikli 15 lõike 1 esimeses lauses on ammendav, ning järgima liidu õiguse üldpõhimõtteid, mille hulka kuulub proportsionaalsuse põhimõte, ja hartaga tagatud põhiõigusi. Euroopa Kohus on sellega seoses juba otsustanud, et kui liikmesriik paneb oma riigisiseste õigusnormidega elektroonilise side teenuste osutajatele kohustuse säilitada liiklusandmeid, et teha need vajaduse korral pädevatele riigiasutustele kättesaadavaks, ei muuda see küsitavaks mitte ainult seda, kas seejuures järgitakse harta artikleid 7 ja 8, mis tagavad vastavalt eraelu puutumatuse kaitse ja isikuandmete kaitse, vaid ka seda, kas seejuures järgitakse harta artiklit 11, mis kaitseb sõnavabadust (vt selle kohta 6. oktoobri 2020. aasta kohtuotsus La Quadrature du Net jt, C‑511/18, C‑512/18 ja C‑520/18, EU:C:2020:791, punktid 112 ja 113).
68 Seega tuleb direktiivi 2002/58 artikli 15 lõike 1 tõlgendamisel arvesse võtta nii harta artikliga 7 tagatud õiguse eraelu puutumatusele kui ka artikliga 8 tagatud õiguse isikuandmete kaitsele olulisust, mida on rõhutatud Euroopa Kohtu praktikas, ja samuti õiguse sõnavabadusele olulisust, kuna see harta artikliga 11 tagatud põhiõigus on üks demokraatliku ja pluralistliku ühiskonna alustaladest ning kuulub väärtuste hulka, millel liit ELL artikli 2 kohaselt rajaneb (6. oktoobri 2020. aasta kohtuotsus La Quadrature du Net jt, C‑511/18, C‑512/18 ja C‑520/18, EU:C:2020:791, punkt 114 ja seal viidatud kohtupraktika).
69 Sellega seoses tuleb rõhutada, et liiklus- ja asukohaandmete säilitamine on iseenesest ühelt poolt erand direktiivi 2002/58 artikli 5 lõikes 1 ette nähtud keelust säilitada neid andmeid kõigil teistel peale kasutajate ja teiselt poolt harta artiklitega 7 ja 8 tagatud põhiõiguste eraelu puutumatusele ja isikuandmete kaitsele riive, ilma et oleks oluline, kas asjaomased eraelulised andmed on tundlikud või mitte või kas andmesubjektid on selle riive tõttu pidanud taluma mingeid ebamugavusi või mitte. Samuti ei ole oluline, kas säilitatud andmeid hiljem kasutatakse või mitte, kuna juurdepääs sellistele andmetele kujutab endast olenemata sellest, kuidas neid hiljem kasutatakse, eelmises punktis viidatud põhiõiguste eraldiseisvat riivet (6. oktoobri 2020. aasta kohtuotsus La Quadrature du Net jt, C‑511/18, C‑512/18 ja C‑520/18, EU:C:2020:791, punktid 115 ja 116).
70 Samas, kuna direktiivi 2002/58 artikli 15 lõige 1 lubab liikmesriikidel kehtestada erandeid, nagu on märgitud käesoleva kohtuotsuse punktis 66, peegeldab see säte asjaolu, et harta artiklites 7, 8 ja 11 tunnustatud õigused ei ole absoluutsed eelisõigused, vaid neid tuleb arvesse võtta kooskõlas nende ülesandega ühiskonnas. Nimelt, nagu nähtub harta artikli 52 lõikest 1, lubab harta nende õiguste teostamist piirata tingimusel, et piirangud on ette nähtud seaduses, arvestavad nimetatud õiguste olemust ning on proportsionaalsuse põhimõtte kohaselt vajalikud ja vastavad tegelikult liidu poolt tunnustatud üldist huvi pakkuvatele eesmärkidele või vajadusele kaitsta teiste isikute õigusi ja vabadusi (6. oktoobri 2020. aasta kohtuotsus La Quadrature du Net jt, C‑511/18, C‑512/18 ja C‑520/18, EU:C:2020:791, punktid 120 ja 121).
71 Käesoleval juhul tuleb märkida, et kuigi ametlikult on Hadopil juurdepääsuõigus ainult IP-aadressile vastavatele identiteediandmetele, on nendele andmetele juurdepääsul üks eripära: selleks on vaja, et asjaomased elektroonilise side teenuste osutajad looksid eelnevalt seose IP‑aadressi ja selle omaniku identiteediandmete vahel. Juurdepääs eeldab seega tingimata, et teenuseosutajate valduses on nii IP‑aadressid kui ka nende omanike identiteeti puudutavad andmed.
72 Lisaks soovib Hadopi saada juurdepääsu nendele andmetele üksnes selleks, et tuvastada selle IP‑aadressi omanik, mida on kasutatud autoriõigusi või nendega kaasnevaid õigusi rikkuda võivaks tegevuseks, kuna see isik tegi kaitstud teosed internetis ebaseaduslikult kättesaadavaks, et teised isikud neid alla laadiksid. Neil asjaoludel tuleb identiteeti puudutavaid andmeid pidada tihedalt seotuks nii IP‑aadressiga kui ka Hadopi valduses oleva teabega internetis kättesaadavaks tehtud teose kohta.
73 Niisugust erilist konteksti ei saa aga tähelepanuta jätta, kui analüüsitakse isikuandmete säilitamise meetme võimalikku põhjendatust direktiivi 2002/58 artikli 15 lõike 1 alusel, tõlgendatuna harta artikleid 7, 8 ja 11 arvestades (vt analoogia alusel EIK 24. aprilli 2018. aasta otsus Benedik vs. Sloveenia, CE:ECHR:2018:0424JUD006235714, punkt 109).
74 Järelikult tuleb just IP-aadresside säilitamise valdkonnas artikli 15 lõikest 1 tulenevate nõuete alusel, tõlgendatuna harta artikleid 7, 8 ja 11 arvestades, analüüsida harta viimati nimetatud artiklitega tunnustatud põhiõiguste sellise riive võimalikku põhjendatust, mis kaasneb üldkasutatavate elektroonilise side teenuste osutajate poolt selliste andmete säilitamisega, millele Hadopil on juurdepääsuõigus.
75 Selles kontekstis tuleb märkida, et Euroopa Kohtu praktikast tuleneb, et kuigi IP‑aadressid kujutavad endast – nagu on meenutatud käesoleva kohtuotsuse punktis 60 – liiklusandmeid direktiivi 2002/58 tähenduses, erinevad need aadressid teistest liiklusandmete kategooriatest ja asukohaandmetest.
76 Sellega seoses märkis Euroopa Kohus, et IP‑aadressid luuakse nii, et need ei ole seotud konkreetse sidega, ning nende peamine eesmärk on elektroonilise side teenuste osutajate kaudu kindlaks teha sellise lõppseadme omanik, mille kaudu toimub side internetis. Seega, kuna e‑kirjade ja internetitelefonide puhul säilitatakse ainult sideallika IP‑aadressid, mitte aga side vastuvõtja IP‑aadressid, ei anna need aadressid iseenesest mingit teavet kolmandate isikute kohta, kes suhtlesid side algatanud isikuga. See andmete kategooria on seega vähem tundlik kui muud liiklusandmed (vt selle kohta 6. oktoobri 2020. aasta kohtuotsus La Quadrature du Net jt, C‑511/18, C‑512/18 ja C‑520/18, EU:C:2020:791, punkt 152).
77 On tõsi, et 6. oktoobri 2020. aasta kohtuotsuse La Quadrature du Net jt (C‑511/18, C‑512/18 ja C‑520/18, EU:C:2020:791) punktis 156 otsustas Euroopa Kohus, et vaatamata sellele, et IP-aadressid on vähem tundlikud, kui nende ainus eesmärk on tuvastada elektroonilise side teenuse kasutaja, on direktiivi 2002/58 artikli 15 lõikega 1 vastuolus see, kui ainult ühenduse allikale omistatud IP‑aadresse säilitatakse üldiselt ja vahet tegemata muudel eesmärkidel kui võitlus raskete kuritegude vastu, avalikku julgeolekut ähvardavate suurte ohtude ärahoidmine või riigi julgeoleku kaitsmine. Sellele järeldusele jõudmiseks tugines Euroopa Kohus siiski sõnaselgelt sellele, et IP‑aadresside säilitamisega kaasneda võiv harta artiklites 7, 8 ja 11 tunnustatud põhiõiguste riive on raske.
78 Nimelt leidis Euroopa Kohus sama kohtuotsuse punktis 153, et kuivõrd IP‑aadressid võivad eelkõige juhul, kui neid kasutatakse „internetikasutaja sirvimisajaloo“ ja seega tema veebis toimuva tegevuse „ammendavaks jälgimiseks“, võimaldada kindlaks teha tema „üksikasjaliku profiili“, siis kujutavad IP‑aadresside säilitamine ja analüüsimine, mida selline jälgimine nõuab, endast andmesubjektile harta artiklitega 7 ja 8 tagatud põhiõiguste rasket riivet, millel võib olla ka pärssiv mõju sellele, et kasutajad kasutaksid elektroonilise side vahendeid harta artikliga 11 tagatud sõnavabaduse väljendamiseks.
79 Tuleb siiski rõhutada, et isiku poolt konkreetsel ajavahemikul kasutatavate staatiliste ja dünaamiliste IP‑aadresside üldine ja vahet tegemata säilitamine – mis võib olla ulatuslik – ei kujuta endast tingimata harta artiklitega 7, 8 ja 11 tagatud põhiõiguste rasket riivet.
80 Nimelt, kõigepealt puudutasid kohtuasjad, milles tehti 6. oktoobri 2020. aasta kohtuotsus La Quadrature du Net jt (C‑511/18, C‑512/18 ja C‑520/18, EU:C:2020:791), riigisiseseid õigusnorme, mis nägid ette kohustuse säilitada kõik need andmed, mis on vajalikud, et määrata kindlaks side kuupäev, kellaaeg, kestus ja liik, teha kindlaks kasutatud sidevahend ning lõppseadmete ja side asukoht – andmed, mille hulka kuuluvad eelkõige kasutaja nimi ja aadress, väljaläinud ja sissetulnud kõnede telefoninumbrid ning IP‑aadress internetiteenuste puhul. Lisaks näisid kõnealused riigisisesed õigusnormid kahes kohtuasjas hõlmavat ka elektroonilise side võrkude kaudu edastamisega seotud andmeid, mis võimaldavad tuvastada ka teabe laadi, millega on veebis tutvutud (vt selle kohta 6. oktoobri 2020. aasta kohtuotsus La Quadrature du Net jt, C‑511/18, C‑512/18 ja C‑520/18, EU:C:2020:791, punktid 82 ja 83).
81 IP-aadresside säilitamine selliste riigisiseste õigusnormide kohaselt võimaldas seega – arvestades muid andmeid, mille säilitamist need õigusnormid nõudsid, ja võimalust erinevaid andmeid kombineerida – teha täpseid järeldusi nende isikute eraelu kohta, kelle andmeid see puudutas, ning võis seega kaasa tuua isikute nende põhiõiguste raske riive, mis on sätestatud harta artiklites 7 ja 8, mis käsitlevad eraelu ja isikuandmete kaitset, ning harta artiklis 11, mis käsitleb nende isikute sõnavabadust.
82 Seevastu võib elektroonilise side teenuste osutajatele direktiivi 2002/58 artikli 15 lõike 1 alusel seadusandliku meetmega pandud kohustus tagada IP‑aadresside üldine ja vahet tegemata säilitamine olenevalt olukorrast olla põhjendatud eesmärgiga võidelda süütegude vastu üldiselt, kui täielikult on välistatud, et selline säilitamine võiks kaasa tuua andmesubjekti eraelu raskeid riiveid põhjusel, et selle kohta on võimalik teha täpseid järeldusi eelkõige selle kaudu, et need IP‑aadressid seostatakse liiklus- või asukohaandmete kogumiga, mille need teenuseosutajad on samuti säilitanud.
83 Järelikult peab liikmesriik, kes soovib kehtestada elektroonilise side teenuste osutajatele IP‑aadresside üldise ja vahet tegemata säilitamise kohustuse selleks, et saavutada süütegude vastase võitlusega seotud eesmärk üldiselt, tagama, et nende andmete säilitamise kord oleks selline, mis direktiivi 2002/58 järgides tagab, et oleks välistatud nende IP‑aadresside muude säilitatud andmetega mis tahes kombineerimine, mis võimaldaks teha täpseid järeldusi nende isikute eraelu kohta, kelle andmeid sel viisil säilitatakse.
84 Selleks et välistada andmete kombineerimine, mis võimaldab teha täpseid järeldusi asjaomase isiku eraelu kohta, peab säilitamise kord puudutama säilitamise struktuuri ennast, mis tuleb sisuliselt korraldada nii, et oleks tagatud säilitatavate andmete eri kategooriate täiesti kindel eraldatus.
85 Sellega seoses tuleb märkida, et liikmesriik, kes soovib kehtestada elektroonilise side teenuste osutajatele IP‑aadresside üldise ja vahet tegemata säilitamise kohustuse selleks, et saavutada üldine süütegude vastu võitlemisega seotud eesmärk, peab oma õigusnormides ette nägema selged ja täpsed reeglid andmete säilitamise korra kohta ning see kord peab vastama rangetele nõuetele. Euroopa Kohus võib siiski esitada täpsemaid juhiseid selle korra kohta.
86 Esiteks peavad eelmises punktis nimetatud riigisisesed õigusnormid tagama, et iga andmekategooriat, sealhulgas identiteediga seotud andmed ja IP‑aadressid, säilitatakse kindlalt eraldi muudest säilitatavate andmete kategooriatest.
87 Teiseks peavad need õigusnormid tagama, et säilitatavate andmete eri kategooriad, eelkõige identiteediga seotud andmed, IP‑aadressid, erinevad liiklusandmed peale IP‑aadresside ja erinevad asukohaandmed, oleksid tehniliselt üksteisest täiesti kindlalt eraldatud, kasutades selleks turvalist ja usaldusväärset infotehnoloogilist vahendit.
88 Kolmandaks, kuivõrd need õigusnormid näevad ette võimaluse seostada säilitatud IP-aadressid andmesubjekti identiteediga, järgides nõudeid, mis tulenevad direktiivi 2002/58 artikli 15 lõikest 1, tõlgendatuna harta artikleid 7, 8 ja 11 arvestades, peavad need võimaldama sellist seostamist üksnes kõrgetasemelise tehnilise protsessi kasutamisega, mis ei sea kahtluse alla nende andmekategooriate kindla eraldatuse tõhusust.
89 Neljandaks peab sellise kindla eraldatuse usaldusväärsust korrapäraselt kontrollima muu avaliku sektori asutus kui see, kes soovib saada juurdepääsu elektroonilise side teenuste osutajate säilitatavatele isikuandmetele.
90 Kui kohaldatavates riigisisestes õigusnormides on ette nähtud sellised ranged nõuded IP-aadresside ja muude elektroonilise side teenuste osutajate säilitatavate andmete üldise ja vahet tegemata säilitamise korra kohta, ei saa IP‑aadresside säilitamisest tulenevat riivet selle säilitamise struktuuri enda tõttu pidada „raskeks“.
91 Nimelt juhul, kui selline õigusnorm on kehtestatud, välistab selliselt ette nähtud IP-aadresside säilitamise kord selle, et neid andmeid saaks muude andmetega, mida säilitatakse kooskõlas direktiiviga 2002/58, kombineerida selliselt, et see võimaldaks teha täpseid järeldusi andmesubjekti eraelu kohta.
92 Järelikult, kui õigusnorm vastab käesoleva kohtuotsuse punktides 86–89 sätestatud nõuetele, tagades, et ükski andmete kombinatsioon ei võimalda teha täpseid järeldusi asjaomase isiku eraelu kohta, ei ole direktiivi 2002/58 artikli 15 lõikega 1, tõlgendatuna harta artikleid 7, 8 ja 11 arvestades, vastuolus see, kui asjaomane liikmesriik kehtestab IP‑aadresside üldise ja vahet tegemata säilitamise kohustuse eesmärgiga võidelda süütegude vastu üldiselt.
93 Lõpuks peab selline seadusandlik meede – nagu nähtub 6. oktoobri 2020. aasta kohtuotsuse La Quadrature du Net jt (C‑511/18, C‑512/18 ja C‑520/18, EU:C:2020:791) punktist 168 – ette nägema säilitamise kestuse, mis on piiratud sellega, mis on tingimata vajalik, ning tagama selgete ja täpsete reeglitega, et kõnealuste andmete säilitamisel järgitakse sellega seotud materiaal- ja menetlusõiguslikke tingimusi ning et andmesubjektidel on tõhusad tagatised kuritarvituste ohu ning nendele andmetele mis tahes ebaseadusliku juurdepääsu ja nende mis tahes ebaseadusliku kasutamise vastu.
94 Eelotsusetaotluse esitanud kohtul tuleb kontrollida, kas põhikohtuasjas kõne all olevad riigisisesed õigusnormid vastavad käesoleva kohtuotsuse punktides 85–93 viidatud nõuetele.
Nõuded, mis reguleerivad juurdepääsu identiteediandmetele, mis vastavad elektroonilise side teenuste osutajate säilitatavale IP‑aadressile
95 Euroopa Kohtu praktikast tuleneb, et süütegude vastase võitluse valdkonnas saavad üksnes raske kuritegevuse vastu võitlemise või avalikku julgeolekut ähvardava suure ohu ennetamise eesmärgid õigustada harta artiklitega 7 ja 8 tunnustatud põhiõiguste sellist rasket riivet, mis seisneb ametiasutuste juurdepääsus liiklus- või asukohaandmete kogumile, millest võib saada teavet elektroonilise side vahendi kasutaja sidepidamise või tema kasutatavate lõppseadmete asukoha kohta ja teha andmesubjektide eraelu kohta täpseid järeldusi, ilma et selline juurdepääs võiks tulenevalt muudest asjaoludest, mis on seotud andmepäringu proportsionaalsusega, nagu selle ajavahemiku kestus, mille ulatuses on andmetele juurdepääsu taotletud, olla üldise kuritegude ennetamise, uurimise, avastamise ja kohtus menetlemise eesmärgiga põhjendatud (2. märtsi 2021. aasta kohtuotsus Prokuratuur (tingimused elektroonilise side andmetele juurdepääsuks), C‑746/18, EU:C:2021:152, punkt 35).
96 Seevastu juhul, kui harta artiklitega 7 ja 8 tunnustatud põhiõiguste selline riive, mis seisneb ametiasutuste juurdepääsus elektroonilise side teenuste osutajate säilitatavatele identiteeti puudutavatele andmetele, ilma et neid andmeid oleks võimalik seostada teabega toimunud side kohta, ei ole raske, kuna need andmed nende kogumis ei võimalda teha täpseid järeldusi nende isikute eraelu kohta, kelle andmeid see puudutab, võib see juurdepääs olla põhjendatud üldise kuritegude ennetamise, uurimise, avastamise ja menetlemise eesmärgiga (vt selle kohta 2. oktoobri 2018. aasta kohtuotsus Ministerio Fiscal, C‑207/16, EU:C:2018:788, punktid 54, 57 ja 60).
97 Samuti on oluline lisada, et Euroopa Kohtu väljakujunenud praktikast tuleneva põhimõtte kohaselt saab liiklus- ja asukohaandmetele juurdepääsu direktiivi 2002/58 artikli 15 lõike 1 alusel põhjendada üksnes sellele üldisele huvile vastava eesmärgiga, mille tõttu on nende säilitamise kohustus elektroonilise side teenuste pakkujatele pandud, välja arvatud juhul, kui juurdepääs on põhjendatud olulisema üldisele huvile vastava eesmärgiga. Sellest põhimõttest järeldub eelkõige, et sellist juurdepääsu üldisel süütegude vastu võitlemise eesmärgil ei või mingil juhul anda siis, kui nende andmete säilitamist põhjendati eesmärgiga võidelda raskete kuritegude vastu või – veelgi enam – eesmärgiga kaitsta riigi julgeolekut (vt selle kohta 6. oktoobri 2020. aasta kohtuotsus La Quadrature du Net jt, C‑511/18, C‑512/18 ja C‑520/18, EU:C:2020:791, punkt 166).
98 Seevastu võimaldab selline eesmärk võidelda süütegude vastu üldiselt õigustada seda, et antakse juurdepääs liiklus- ja asukohaandmetele, mis on salvestatud ja mida seega säilitatakse teenuste turustamiseks, arvete esitamiseks ja lisaväärtusteenuste osutamiseks vajalikul määral ja vajaliku aja jooksul, nagu lubab direktiivi 2002/58 artikkel 6 (vt selle kohta 6. oktoobri 2020. aasta kohtuotsus La Quadrature du Net jt, C‑511/18, C‑512/18 ja C‑520/18, EU:C:2020:791, punktid 108 ja 167).
99 Käesoleval juhul nähtub esiteks põhikohtuasjas kõne all olevatest riigisisestest õigusnormidest, et Hadopil ei ole juurdepääsu „liiklus- või asukohaandmete kogumile“ käesoleva kohtuotsuse punktis 95 viidatud kohtupraktika tähenduses, mistõttu ei saa ta reeglina teha täpseid järeldusi andmesubjektide eraelu kohta. Juurdepääs, mis ei võimalda selliseid järeldusi teha, ei kujuta endast aga harta artiklitega 7 ja 8 tagatud põhiõiguste rasket riivet.
100 Nimelt on nende õigusnormide ja Prantsuse valitsuse poolt selle kohta antud selgituste kohaselt Hadopile antud juurdepääs rangelt piiratud selliste andmetega, mis puudutavad IP‑aadressi omaniku identiteeti, ning see on lubatud ainult selleks, et tuvastada IP‑aadressi omanik, keda kahtlustatakse autoriõigusi või nendega kaasnevaid õigusi rikkuvas tegevuses põhjusel, et ta tegi kaitstud teosed internetis ebaseaduslikult teistele isikutele allalaadimiseks kättesaadavaks. Selle juurdepääsu eesmärk on vajaduse korral võtta selle IP‑aadressi omaniku suhtes üks kasvatuslikest või karistavatest meetmetest, mis on ette nähtud järkjärgulise reageerimise menetluse raames: nimelt saata esimene ja teine soovitus ning seejärel kiri, milles talle teatatakse, et selline tegevus võib kujutada endast raskes hooletuses seisnevat süütegu, ning lõpuks pöörduda prokuratuuri poole võltsimises seisneva väärteo või delikti menetlemiseks.
101 Lisaks on vaja, et nendes riigisisestes õigusnormides oleksid ette nähtud selged ja täpsed reeglid, mis tagaksid, et IP‑aadresse, mida säilitatakse kooskõlas direktiiviga 2002/58, saab kasutada üksnes selleks, et tuvastada isik, kellele on omistatud konkreetne IP‑aadress, välistades samas, et seda kasutatakse selle isiku tegevuse jälgimiseks veebis ühe või mitme sellise aadressi abil. Kui IP‑aadressi kasutatakse seega üksnes selleks, et tuvastada selle omanik konkreetses haldusmenetluses, mis võib viia tema suhtes kriminaalmenetluse alustamiseni, mitte aga selleks, et näiteks välja selgitada omaniku kontakte või asukohta, puudutab juurdepääs sellele aadressile ainult sel eesmärgil kõnealust aadressi pigem kui isiku identiteediandmeid, mitte kui liiklusandmeid.
102 Lisaks tuleneb käesoleva kohtuotsuse punktis 97 viidatud väljakujunenud kohtupraktikas juurutatud põhimõttest, et selline juurdepääs, nagu Hadopil on põhikohtuasjas kõne all olevate riigisiseste õigusnormide alusel, on seetõttu, et selle eesmärk on võidelda süütegude vastu üldiselt, põhjendatud üksnes juhul, kui see puudutab IP-aadresse, mida elektroonilise side teenuste osutajad peavad säilitama samal eesmärgil, mitte aga sellise olulisema eesmärgi saavutamiseks nagu võitlus raske kuritegevuse vastu, ilma et see siiski piiraks juurdepääsu, mida õigustab niisugune eesmärk võidelda süütegude vastu üldiselt, kui see puudutab direktiivi 2002/58 artiklis 6 ette nähtud tingimustel salvestatud ja seega säilitatud IP‑aadresse.
103 Lisaks, nagu nähtub käesoleva kohtuotsuse punktidest 85–92, võib IP‑aadresside säilitamine, mis põhineb direktiivi 2002/58 artikli 15 lõike 1 alusel võetud seadusandlikul meetmel, selleks et võidelda süütegude vastu üldiselt, olla põhjendatud, kui asjaomase õigusaktiga kehtestatud säilitamise kord vastab nõuetele, mille eesmärk on sisuliselt tagada säilitatavate andmete eri kategooriate täiesti kindel eraldatus, mistõttu on eri kategooriatesse kuuluvate andmete kombineerimine tõepoolest välistatud. Nimelt juhul, kui elektroonilise side teenuste osutajatele kehtestatakse selline säilitamise kord, ei kujuta IP‑aadresside üldine ja vahet tegemata säilitamine endast nende aadresside omanike eraelu rasket riivet, kuna need andmed ei võimalda teha täpseid järeldusi nende isikute eraelu kohta.
104 Seega, võttes arvesse käesoleva kohtuotsuse punktides 95–97 viidatud kohtupraktikat, võib juhul, kui selline õiguslik raamistik on kehtestatud, juurdepääs säilitatud IP‑aadressidele selleks, et võidelda süütegude vastu üldiselt, olla direktiivi 2002/58 artikli 15 lõike 1 seisukohast põhjendatud, kui juurdepääs on lubatud üksnes selleks, et tuvastada isik, keda kahtlustatakse sellistes süütegudes osalemises.
105 Pealegi on see, kui sellisele avaliku sektori asutusele nagu Hadopi antakse juurdepääs identiteediandmetele, mis vastavad mõnele avalikule IP‑aadressile, mille õiguste omajate organisatsioonid on talle edastanud üksnes selleks, et tuvastada selle aadressi omanik, mida on kasutatud autoriõigusi või nendega kaasnevaid õigusi rikkuda võivaks tegevuseks veebis, et kohaldada selle isiku suhtes ühte meetmetest, mis on ette nähtud järkjärgulise reageerimise menetluse raames, kooskõlas Euroopa Kohtu praktikaga, mis käsitleb „õigust teabele“ direktiivi 2004/48 artiklis 8 ette nähtud intellektuaalomandi õiguse rikkumist puudutava menetluse kontekstis (vt selle kohta 29. jaanuari 2008. aasta kohtuotsus Promusicae, C‑275/06, EU:C:2008:54, punkt 47 jj).
106 Nimelt on Euroopa Kohus selle kohtupraktika raames – rõhutades küll, et direktiivis 2004/48 ette nähtud meetmete kohaldamine ei saa mõjutada ei isikuandmete kaitse üldmäärust ega direktiivi 2002/58 – otsustanud, et direktiivi 2004/48 artikli 8 lõige 3 koostoimes direktiivi 2002/58 artikli 15 lõikega 1 ja direktiivi 95/46 artikli 7 punktiga f ei välista liikmesriikide võimalust kehtestada elektroonilise side teenuste osutajatele kohustus edastada eraõiguslikele isikutele isikuandmeid, mis võimaldavad esitada tsiviilkohtusse nõude autoriõiguse rikkumisega tekitatud kahju hüvitamiseks, kuid samas ei kohusta see säte ka liikmesriike niisugust kohustust ette nägema (vt selle kohta 17. juuni 2021. aasta kohtuotsus M.I.C.M., C‑597/19, EU:C:2021:492, punktid 124 ja 125 ning seal viidatud kohtupraktika).
107 Samas tuleb teiseks märkida, et selleks, et konkreetselt hinnata, mil määral riivab eraelu avaliku sektori asutuse juurdepääs isikuandmetele, ei saa jätta tähelepanuta selle konteksti erisusi, milles andmetele juurdepääs antakse, ja eelkõige kõiki sellele asutusele kohaldatavate riigisiseste õigusnormide alusel edastatud andmeid ja kogu teavet, sealhulgas juba olemasolevaid andmeid ja teavet, mis kajastavad sisu (vt analoogia alusel EIK 24. aprilli 2018. aasta otsus Benedik vs. Sloveenia, CE:ECHR:2018:0424JUD006235714, punkt 109).
108 Seega tuleb käesoleval juhul selle hinnangu andmisel arvesse võtta asjaolu, et enne seda, kui Hadopi sai juurdepääsu asjaomastele identiteediga seotud andmetele, sai ta õiguste omajate organisatsioonidelt muu hulgas „teavet faktiliste asjaoludega seotud kaitstud teoste või objektide kohta“ ja – „kui see on asjakohane“ – „abonendi arvutis oleva faili nime“ vastavalt dekreedi nr 2010‑236 lisa punktile 1.
109 Euroopa Kohtu käsutuses olevast toimikust nähtub – kuid seda peab kontrollima eelotsusetaotluse esitanud kohus –, et teave asjaomase teose kohta, mis on kantud protokolli, mille sisu põhineb CNILi 10. juuni 2010. aasta otsusel, piirdub peamiselt asjaomase teose pealkirjaga ja väljavõttega nimetusega chunk, mis on tähtnumbrilise jada, mitte teose audio- või videosalvestuse vormis.
110 Selles osas ei saa tõepoolest üldiselt välistada, et avaliku sektori asutuse juurdepääs piiratud arvule IP‑aadressi omaniku identiteeti puudutavatele andmetele – mille on elektroonilise side teenuste osutaja talle teatavaks teinud üksnes selleks, et tuvastada selle IP‑aadressi omanik juhul, kui seda aadressi on kasutatud autoriõigusi või nendega kaasnevaid õigusi rikkuda võivaks tegevuseks – võib juhul, kui kombineerida seda teabe analüüsiga – isegi kui see on piiratud – internetis ebaseaduslikult kättesaadavaks tehtud teose sisu kohta, mille õiguste omajate organisatsioonid on talle varem edastanud, anda sellele avaliku sektori asutusele teavet IP-aadressi omaniku eraelu teatavate aspektide kohta, sealhulgas tundlikku teavet, nagu seksuaalne sättumus, poliitilised vaated, usulised, filosoofilised, ühiskondlikud või muud veendumused, samuti tervislik seisund, samas kui sellistele andmetele on liidu õiguses tagatud eriline kaitse.
111 Võttes aga käesoleval juhul arvesse Hadopi käsutuses olevate piiratud andmete ja teabe laadi, võivad need üksnes ebatüüpilistes olukordades ilmsiks tuua teavet – mis võib olla tundlik – asjaomase isiku eraelu aspektide kohta, mis koosvõetuna võivad võimaldada sellel avaliku sektori asutusel teha täpseid järeldusi asjaomase isiku eraelu kohta, näiteks koostada tema üksikasjaliku profiili.
112 Nii võib see olla eelkõige isiku puhul, kelle IP‑aadressi on korduvalt või isegi ulatuslikult kasutatud niisuguseks tegevuseks, millega rikutakse autoriõigusi või nendega kaasnevaid õigusi peer‑to‑peer‑võrkudes seoses teatavat liiki kaitstud teostega, mida saab rühmitada nende pealkirjades sisalduvate väljendite alusel, mis võivad ilmsiks tuua teavet – mis võib olla tundlik – asjaomase isiku eraelu aspektide kohta.
113 Samas võimaldavad eri asjaolud asuda seisukohale, et käesoleval juhul ei ole isiku – keda kahtlustatakse autoriõigusi või nendega kaasnevaid õigusi rikkuvas tegevuses – eraelu riive, mida lubavad sellised õigusnormid, nagu on kõne all põhikohtuasjas, tingimata väga raske. Kõigepealt tuleb märkida, et selliste õigusnormide kohaselt on Hadopi juurdepääs kõnealustele isikuandmetele antud vaid piiratud arvule selle avaliku sektori asutuse – kellel on pealegi CPI artikli L. 331‑12 kohaselt sõltumatu staatus – volitatud ja vannutatud ametnikele. Seejärel tuleb märkida, et juurdepääsu ainus eesmärk on tuvastada isik, keda kahtlustatakse autoriõigusi või sellega kaasnevaid õigusi rikkuvas tegevuses, kui tuvastatakse, et kaitstud teos on tema internetiühenduse kaudu ebaseaduslikult kättesaadavaks tehtud. Lõpuks on Hadopi juurdepääs kõnealustele isikuandmetele rangelt piiratud andmetega, mis on selleks tingimata vajalikud (vt analoogia alusel EIK 17. oktoobri 2019. aasta otsus López Ribalda jt vs. Hispaania, CE:ECHR:2019:1017JUD000187413, punktid 126 ja 127).
114 Üks asjaolu, mis võib veelgi vähendada eraelu puutumatuse ja isikuandmete kaitse põhiõiguste riivet, mis tuleneb kõnealusest Hadopi juurdepääsust, ja mis näib ilmnevat Euroopa Kohtu käsutuses olevast toimikust, kuid mida peab kontrollima eelotsusetaotluse esitanud kohus, puudutab asjaolu, et kohaldatavate riigisiseste õigusnormide kohaselt on Hadopi teenistujatel, kellel on juurdepääs asjaomastele andmetele ja teabele, konfidentsiaalsuskohustus, mis keelab neil neid andmeid ja teavet mis tahes vormis avalikustada, välja arvatud üksnes prokuratuuri poole pöördumise vajaduse korral, ning kasutada neid muul eesmärgil kui selleks, et tuvastada IP‑aadressi omanik, keda kahtlustatakse autoriõigusi või nendega kaasnevaid õigusi rikkuvas tegevuses, et kohaldada tema suhtes ühte meetmetest, mis on ette nähtud järkjärgulise reageerimise menetluse raames (vt analoogia alusel EIK 17. detsembri 2009. aasta otsus Gardel vs. Prantsusmaa, CE:ECHR:2009:1217JUD001642805, punkt 70).
115 Seega, kui riigisisesed õigusnormid vastavad käesoleva kohtuotsuse punktis 101 viidatud tingimustele, ei võimalda sellisele avaliku sektori asutusele nagu Hadopi edastatud IP‑aadressid jälgida nende omaniku sirvimisajalugu ning see näib kinnitavat järeldust, et riivet, mis kaasneb selle ametiasutuse juurdepääsuga põhikohtuasjas kõne all olevatele identifitseerimisandmetele, ei saa pidada raskeks.
116 Kolmandaks tuleb meenutada, et direktiivi 2002/58 artikli 15 lõike 1 esimeses lauses ette nähtud proportsionaalsuse nõudest tuleneva asjaomaste õiguste ja huvide vajaliku ühitamise seisukohast ei ole need põhiõigused absoluutsed, kuigi sõnavabadus ja isikuandmete konfidentsiaalsus on esmatähtsad kaalutlused ning elektroonilise side ja interneti teenuste kasutajatele peab olema tagatud, et austatakse nende privaatsust ja sõnavabadust. Nimelt peavad asjaomased õigused ja huvid nende kaalumise käigus vahel taanduma muude põhiõiguste ja ülekaalukate üldiste huvide ees, nagu avaliku korra kaitse ja kuritegude ennetamine või teiste isikute õiguste ja vabaduste kaitse. Nii on see eelkõige juhul, kui ülekaalukas tähtsus, mis omistatakse nendele esmatähtsatele kaalutlustele, võib pärssida kriminaaluurimise tõhusust, eelkõige muutes süüteo toimepanija tegeliku tuvastamise ja talle karistuse mõistmise võimatuks või ülemäära raskeks (vt analoogia alusel EIK 2. märtsi 2009. aasta otsus K. U. vs. Soome, CE:ECHR:2008:1202JUD000287202, punkt 49).
117 Selles kontekstis tuleb nõuetekohaselt arvesse võtta asjaolu – nagu Euroopa Kohus on juba otsustanud –, et veebis toime pandud süütegude korral võib IP‑aadress olla ainus uurimisvahend, mis võimaldab tuvastada isiku, kellele see aadress oli süüteo toimepanemise ajal omistatud (vt selle kohta 6. oktoobri 2020. aasta kohtuotsus La Quadrature du Net jt, C‑511/18, C‑512/18 ja C‑520/18, EU:C:2020:791, punkt 154).
118 See asjaolu kaldub tõendama – nagu märkis sisuliselt ka kohtujurist oma 28. septembri 2023. aasta ettepaneku punktis 59 –, et nende aadresside säilitamine ja neile juurdepääs on selliste süütegude vastu võitlemisel, nagu veebis toimepandavad autoriõigusi või nendega kaasnevaid õigusi rikkuvad teod, tingimata vajalikud taotletava eesmärgi saavutamiseks ja vastavad seega proportsionaalsuse nõudele, mis on ette nähtud direktiivi 2002/58 artikli 15 lõikes 1, tõlgendatuna selle direktiivi põhjendust 11 ja harta artikli 52 lõiget 2 arvestades.
119 Lisaks, nagu kohtujurist oma 27. oktoobri 2022. aasta ettepaneku punktides 78–80 ja 28. septembri 2023. aasta ettepaneku punktides 80 ja 81 sisuliselt rõhutas, kaasneks selle juurdepääsu keelamisega süsteemne karistamatuse oht mitte ainult nende süütegude puhul, millega rikutakse autoriõigusi või nendega kaasnevaid õigusi, vaid ka muud liiki süütegude puhul, mis pannakse toime veebis või mille toimepanemist või ettevalmistamist hõlbustavad internetile omased tunnused. Sellise ohu olemasolu on aga oluline asjaolu, et hinnata olemasolevate õiguste ja huvide kaalumise käigus, kas harta artiklitega 7, 8 ja 11 tagatud õiguste riive on proportsionaalne meede eesmärgiga võidelda süütegude vastu.
120 On tõsi, et sellise avaliku sektori asutuse nagu Hadopi juurdepääs identiteediandmetele, mis vastavad IP‑aadressile, mille kaudu süütegu veebis toime pandi, ei ole tingimata ainus võimalik uurimisvahend, et tuvastada isik, kellele kuulus see aadress selle süüteo toimepanemise ajal. Nimelt võib selline tuvastamine olla a priori võimalik ka siis, kui analüüsida andmesubjekti kõiki veebipõhiseid tegevusi, eelkõige analüüsides „jälgi“, mida see isik on võinud sotsiaalvõrgustikes jätta, nagu nendes võrkudes kasutatav identifitseerimistunnus või tema kontaktandmed.
121 Kuid nagu kohtujurist oma 28. septembri 2023. aasta ettepaneku punktis 83 märkis, on selline uurimisvahend eriti sekkuv, kuna sellest võib saada täpset teavet andmesubjektide eraelu kohta. See tähendaks seega nendele isikutele harta artiklitega 7, 8 ja 11 tagatud õiguste raskemat riivet kui see, mis tuleneb niisugustest õigusnormidest, nagu on kõne all põhikohtuasjas.
122 Eeltoodust tuleneb, et direktiivi 2002/58 artikli 15 lõiget 1 tuleb harta artikleid 7, 8 ja 11 ning artikli 52 lõiget 1 arvestades tõlgendada nii, et sellega ei ole üldjuhul vastuolus riigisisesed õigusnormid, mis annavad avaliku sektori asutusele, kelle ülesanne on kaitsta autoriõigusi ja nendega kaasnevaid õigusi nende õiguste suhtes internetis toimepandavate rikkumise eest, õiguse juurdepääsuks identiteediandmetele – mis vastavad IP-aadressidele, mille õiguste omajate organisatsioonid on eelnevalt kogunud ja elektroonilise side teenuste osutajad on täiesti kindlalt eraldatult säilitanud – ainult eesmärgil, et see ametiasutus saaks kindlaks teha nende IP‑aadresside omanikud, keda kahtlustatakse nende rikkumiste toimepanemises, ja saaks vajaduse korral võtta nende isikute suhtes meetmeid. Sellisel juhul peavad kohaldatavad riigisisesed õigusnormid keelama sel viisil andmetele juurdepääsu saanud teenistujatel esiteks avaldada mis tahes vormis teavet nende failide sisu kohta, millega IP‑aadresside omanikud on tutvunud, välja arvatud üksnes prokuratuuri poole pöördumise vajaduse korral, teiseks kontrollida nende aadresside omanike sirvimisajalugu ja kolmandaks kasutada neid IP‑aadresse muul eesmärgil kui nende meetmete võtmiseks.
Nõue, et kohus või sõltumatu haldusasutus peab teostama kontrolli enne seda, kui avaliku sektori asutus saab IP-aadressile vastavatele identiteediandmetele juurdepääsu
123 Siiski tekib küsimus, kas avaliku sektori asutuse juurdepääs IP‑aadressile vastavatele identiteediandmetele peab lisaks olema allutatud kohtu või sõltumatu haldusasutuse teostatavale eelkontrollile.
124 Selleks et tegelikkuses oleks tagatud nende tingimuste täielik järgimine, mille liikmesriigid peavad ette nägema kindlustamaks, et juurdepääs piirduks sellega, mis on tingimata vajalik, on Euroopa Kohus otsustanud, et on „esmatähtis“, et liikmesriigi pädevate asutuste juurdepääs liiklus- ja asukohaandmetele oleks allutatud kohtu või sõltumatu haldusasutuse teostatavale eelkontrollile (vt selle kohta 21. detsembri 2016. aasta kohtuotsus Tele2 Sverige ja Watson jt, C‑203/15 ja C‑698/15, EU:C:2016:970, punkt 120; 6. oktoobri 2020. aasta kohtuotsus La Quadrature du Net jt, C‑511/18, C‑512/18 ja C‑520/18, EU:C:2020:791, punkt 189; 2. märtsi 2021. aasta kohtuotsus Prokuratuur (tingimused elektroonilise side andmetele juurdepääsuks), C‑746/18, EU:C:2021:152, punkt 51, ning 5. aprilli 2022. aasta kohtuotsus Commissioner of An Garda Síochána jt, C‑140/20, EU:C:2022:258, punkt 106).
125 See eelkontroll eeldab esiteks, et kohtul või sõltumatul haldusasutusel, kelle ülesanne on seda kontrolli teha, oleksid kõik volitused ja kõik vajalikud tagatised, et kindlustada erinevate asjaomaste õigustatud huvide ja õiguste ühitamine. Mis puudutab konkreetsemalt kriminaaluurimist, siis eeldab selline kontroll, et see asutus suudaks tagada õiglase tasakaalu ühelt poolt kuritegevusvastase võitluse raames uurimise vajadustega seotud õigustatud huvide ning teiselt poolt nende isikute põhiõiguste vahel eraelu puutumatusele ja isikuandmete kaitsele, kelle andmetele juurdepääsu taotletakse (5. aprilli 2022. aasta kohtuotsus Commissioner of An Garda Síochána jt, C‑140/20, EU:C:2022:258, punkt 107 ja seal viidatud kohtupraktika).
126 Teiseks, kui seda kontrolli ei tee kohus, vaid sõltumatu haldusasutus, peab sellel asutusel olema staatus, mis võimaldab tal tegutseda oma ülesannete täitmisel objektiivselt ja erapooletult, ning selleks peab ta olema kaitstud igasuguse välise mõju eest. Seega eeldab sõltumatuse nõue, millele peab vastama eelkontrolli tegev asutus, et see asutus oleks andmetele juurdepääsu taotleva asutuse suhtes kolmas isik, mistõttu ta saab teha kontrolli objektiivselt ja erapooletult, olles kaitstud igasuguse välise mõju eest. Täpsemalt eeldab sõltumatuse nõue kriminaalõiguse valdkonnas, et sellise eelkontrolli eest vastutav asutus ei oleks ühelt poolt seotud kõnealuse kriminaaluurimisega ja et teiselt poolt oleks tal kriminaalmenetluse poolte suhtes neutraalne positsioon (vt selle kohta 5. aprilli 2022. aasta kohtuotsus Commissioner of An Garda Síochána jt, C‑140/20, EU:C:2022:258, punkt 108 ja seal viidatud kohtupraktika).
127 Kolmandaks peab direktiivi 2002/58 artikli 15 lõike 1 kohaselt nõutav sõltumatu kontroll toimuma enne mis tahes juurdepääsu andmist, välja arvatud nõuetekohaselt põhjendatud kiireloomulistel juhtudel, mil kontroll peab toimuma lühikese aja jooksul. Hilisem kontroll ei võimalda nimelt vastata eelkontrolli eesmärgile, milleks on takistada loa andmist kõnealustele andmetele juurdepääsuks, mis läheb kaugemale sellest, mis on tingimata vajalik (5. aprilli 2022. aasta kohtuotsus Commissioner of An Garda Síochána jt, C‑140/20, EU:C:2022:258, punkt 110).
128 Samas, kuigi – nagu nähtub käesoleva kohtuotsuse punktis 124 viidatud kohtupraktikast – Euroopa Kohus pidas „esmatähtsaks“, et pädevate riigiasutuste juurdepääs liiklus- ja asukohaandmetele oleks allutatud kohtu või sõltumatu haldusasutuse teostatavale eelkontrollile, on see kohtupraktika välja kujunenud riigisiseste meetmete kontekstis, mis võimaldavad raske kuritegevuse vastase võitluse eesmärgil üldist juurdepääsu kõigile säilitatud liiklus- ja asukohaandmetele, sõltumata mis tahes – kas või kaudsest – seosest taotletava eesmärgiga, ning mis kätkevad seega asjaomaste põhiõiguste raskeid ja isegi „eriti raskeid“ riiveid.
129 Seevastu juhul, kui vaidluse all olid tingimused, mille korral juurdepääs identiteediandmetele võis olla õigustatud direktiivi 2002/58 artikli 15 lõike 1 alusel, tõlgendatuna harta artikleid 7, 8 ja 11 arvestades, ei ole Euroopa Kohus sellise eelkontrolli nõuet sõnaselgelt nimetanud (vt selle kohta 2. oktoobri 2018. aasta kohtuotsus Ministerio Fiscal, C‑207/16, EU:C:2018:788, punktid 59, 60 ja 62; 6. oktoobri 2020. aasta kohtuotsus La Quadrature du Net jt, C‑511/18, C‑512/18 ja C‑520/18, EU:C:2020:791, punktid 157 ja 158, ning 2. märtsi 2021. aasta kohtuotsus Prokuratuur (tingimused elektroonilise side andmetele juurdepääsuks), C‑746/18, EU:C:2021:152, punkt 34).
130 Euroopa Kohtu praktikast, mis käsitleb proportsionaalsuse põhimõtet, mille järgimist nõuab direktiivi 2002/58 artikli 15 lõike 1 esimene lause – ning eriti sellest kohtupraktikast, mille kohaselt tuleb liikmesriikide võimalust põhjendada eelkõige selle direktiivi artiklites 5, 6 ja 9 ette nähtud õiguste ja kohustuste piiramist hinnata, kaaludes seda, kui raske on harta artiklites 7, 8 ja 11 tunnustatud põhiõiguste riive, mis niisuguse piiranguga kaasneb, ning kontrollida, et selle piiranguga taotletava üldisele huvile vastava eesmärgi olulisus on riive raskusega vastavuses (6. oktoobri 2020. aasta kohtuotsus La Quadrature du Net jt, C‑511/18, C‑512/18 ja C‑520/18, EU:C:2020:791, punkt 131) –, tuleneb, et vaidlusalustele isikuandmetele juurdepääsuga põhjustatava põhiõiguste riive raskus ja nende andmete tundlikkuse aste peavad samuti mõjutama selle juurdepääsuga kaasnevaid materiaal- ja menetlusõiguslikke tagatisi, mille hulka kuulub nõue, et kohus või sõltumatu haldusasutus teostaks eelkontrolli.
131 Seega tuleb proportsionaalsuse põhimõtet arvestades asuda seisukohale, et kohtu või sõltumatu haldusasutuse teostatava eelkontrolli nõue kehtib juhul, kui selliste riigisiseste õigusnormide kontekstis, mis näevad ette avaliku sektori asutuse juurdepääsu isikuandmetele, kaasneb sellega andmesubjekti põhiõiguste raske riive oht, kuna see annab sellele avaliku sektori asutusele võimaluse teha tema eraelu kohta täpseid järeldusi ja teatud juhtudel koostada tema üksikasjalik profiil.
132 Seevastu ei ole see eelkontrolli nõue kohaldatav juhul, kui asjaomaste põhiõiguste riivet, mis kaasneb avaliku sektori asutuse juurdepääsuga isikuandmetele, ei saa pidada raskeks.
133 Nii on see juhul, kui elektroonilise side vahendite kasutajate identiteeti puudutavatele andmetele juurdepääsul on üksnes asjaomase kasutaja tuvastamise eesmärk, ilma et neid andmeid saaks seostada teabega toimunud side kohta, kuna Euroopa Kohtu praktika kohaselt ei saa sellise andmetöötlusega kaasnevat riivet üldjuhul pidada raskeks (vt selle kohta 6. oktoobri 2020. aasta kohtuotsus La Quadrature du Net jt, C‑511/18, C‑512/18 ja C‑520/18, EU:C:2020:791, punktid 157 ja 158).
134 Sellest järeldub, et kui on kehtestatud selline säilitamissüsteem, nagu on kirjeldatud käesoleva kohtuotsuse punktides 86–89, ei pea avaliku sektori asutuse juurdepääs sel viisil säilitatavatele IP‑aadressidele vastavatele identiteediandmetele üldjuhul olema allutatud kohtu või sõltumatu haldusasutuse teostatavale eelkontrollile.
135 Samas, nagu on juba märgitud käesoleva kohtuotsuse punktides 110 ja 111, ei saa välistada, et ebatüüpilistes olukordades võivad sellises menetluses nagu põhikohtuasjas käsitletav järkjärgulise reageerimise menetlus avaliku sektori asutusele kättesaadavaks tehtud piiratud hulk andmeid ja teavet tuua ilmsiks sellist teavet – mis võib olla tundlik – andmesubjekti eraelu aspektide kohta, mis koosvõetuna võivad võimaldada sellel avaliku sektori asutusel teha täpseid järeldusi selle isiku eraelu aspektide kohta ja teatud juhtudel koostada tema üksikasjaliku profiili.
136 Nagu nähtub käesoleva kohtuotsuse punktist 112, võib selline oht eraelu puutumatusele tekkida eelkõige siis, kui isik tegeleb peer‑to‑peer‑võrkudes autoriõigusi või nendega kaasnevaid õigusi rikkuva tegevusega korduvalt või isegi ulatuslikult seoses teatavat liiki kaitstud teostega, mida saab rühmitada nende pealkirjades sisalduvate väljendite alusel, mis võivad ilmsiks tuua teavet – mis võib olla tundlik – selle isiku eraelu kohta.
137 Seega võib käesoleval juhul IP‑aadressi omanikku järkjärgulise reageerimise haldusmenetluses eriti ähvardada selline oht tema eraelule juhul, kui see menetlus jõuab staadiumisse, kus Hadopi peab otsustama, kas pöörduda prokuratuuri poole, et alustataks selle aadressi omaniku suhtes menetlust seoses tegudega, mis võivad endast kujutada raskes hooletuses seisnevat väärtegu või võltsimises seisnevat delikti.
138 Nimelt eeldab prokuratuuri poole pöördumine, et IP‑aadressi omanikule on juba tehtud kaks soovitust ja saadetud kiri, milles teda teavitatakse sellest, et tema tegevuse suhtes võidakse alustada kriminaalmenetlust; need meetmed tähendavad, et Hadopil on iga kord olnud juurdepääs andmetele, mis puudutavad selle IP‑aadressi omaniku identiteediandmeid, kelle IP‑aadressi on kasutatud autoriõigusi või nendega kaasnevaid õigusi rikkuvaks tegevuseks, ning juurdepääs selle teose failile, mis sisaldab peamiselt selle pealkirja.
139 Ei saa aga välistada, et selle järkjärgulise reageerimise haldusmenetluse eri etappides selliselt esitatud andmed koos võivad ilmsiks tuua kokkulangevat ja võib-olla tundlikku teavet andmesubjekti eraelu aspektide kohta, mis võimaldab teatud juhul koostada tema profiili.
140 Seega võib õiguse eraelu puutumatusele riive intensiivsus suureneda vastavalt sellele, kuidas järkjärgulise reageerimise haldusmenetlust selle eri etappides toimetatakse.
141 Käesoleval juhul võib Hadopi juurdepääs kõigile andmesubjekti puudutavatele andmetele, mis on menetluse eri etappides kogutud, võimaldada nende andmete üksteisega seostamise korral teha täpseid järeldusi andmesubjekti eraelu kohta. Järelikult peab niisuguse menetluse jaoks nagu põhikohtuasjas kõne all olev järkjärgulise reageerimise menetlus olema riigisisestes õigusnormides ette nähtud ka selle menetluse teatud staadiumis toimuv eelkontroll, mida teostab kohus või sõltumatu haldusasutus ja mis vastab käesoleva kohtuotsuse punktides 125–127 viidatud tingimustele, et välistada oht, et andmesubjekti põhiõigust eraelu puutumatusele ja isikuandmete kaitsele riivatakse ebaproportsionaalselt. See tähendab tegelikkuses, et selline kontroll peab toimuma enne, kui Hadopil on võimalik seostada IP-aadressile vastavad isiku identiteediandmed – mis on saadud elektroonilise side teenuste osutajalt, kui sellele isikule on juba tehtud kaks soovitust – teost puudutava failiga, mis on internetis teistele isikutele allalaadimiseks kättesaadavaks tehtud. Järelikult peab see kontroll toimuma enne võimalikku CPI artiklis R‑331‑40 ette nähtud teavituskirja saatmist, milles tõdetakse, et see isik on toime pannud tegusid, mis võivad kujutada endast rasket hooletust. Alles pärast seda, kui kohus või sõltumatu haldusasutus on teostanud eelkontrolli ja andnud loa, võib Hadopi selle kirja saata ja seejärel pöörduda vajaduse korral prokuratuuri poole, et viimane alustaks selle süüteo asjas menetlust.
142 Hadopil peaks olema võimalik kindlaks teha juhtumid, mil asjaomase IP‑aadressi omanik jõuab sellise järkjärgulise reageerimise menetluse kolmandasse etappi. Järelikult tuleb menetlus korraldada ja struktureerida nii, et Hadopis faktiliste asjaolude uurimise eest vastutavad isikud ei saaks eelnevalt internetist kogutud IP‑aadressidele vastavaid isiku identiteediandmeid, mis on saadud elektroonilise side teenuste osutajatelt, automaatselt seostada failidega, mis sisaldavad elemente, mis võimaldavad ära tunda kaitstud teoste pealkirju, mille internetis kättesaadavaks tegemine andis alust IP‑aadresside kogumiseks.
143 Seega tuleb seostamine järkjärgulise reageerimise kolmanda etapi puhul peatada, kui nimetatud identiteediandmete kogumise tagajärjel, mis vastavad võimalikule teistkordsele autoriõigusi või nendega kaasnevaid õigusi rikkuva tegevuse kordamise juhtumile, tekib kohustus kohtu või sõltumatu haldusasutuse teostatavaks eelkontrolliks, mida on kirjeldatud käesoleva kohtuotsuse punktis 141.
144 Lisaks võimaldab käesoleva kohtuotsuse punktides 141–143 kirjeldatud eelkontrolli nõude sisustamine nii, et see piirdub selle menetluse kolmanda etapiga ja seda ei kohaldata selle menetluse eelnevatele etappidele, arvesse võtta ka argumenti, mille kohaselt tuleb tagada selle menetluse teostatavus, mida iseloomustab – eriti teavituskirja võimalikule saatmisele ja vajaduse korral prokuratuuri poole pöördumisele eelnevates etappides – väga suur arv avaliku sektori asutuse andmepäringuid, mis tulenevad sama suurest arvust protokollidest, mille on talle esitanud õiguste omajate organisatsioonid.
145 Mis puudutab veel käesoleva kohtuotsuse punktides 141–143 viidatud eelkontrolli eset, siis tuleneb kohtuotsuse punktides 95 ja 96 viidatud kohtupraktikast, et juhul, kui andmesubjekti kahtlustatakse CPI artiklis R. 335‑5 määratletud „raske hooletuse“ süüteo toimepanemises, mis kuulub üldiste süütegude hulka, peab selle kontrolli eest vastutav sõltumatu haldusasutus keelduma juurdepääsuloa andmisest, kui see võimaldaks päringu teinud avaliku sektori asutusel teha selle isiku eraelu kohta täpseid järeldusi.
146 Seevastu peaks isegi selline andmetele juurdepääs, mis võimaldab teha niisuguseid täpseid järeldusi, olema lubatud juhul, kui kohtule või sõltumatule haldusasutusele teatavaks tehtud asjaolud võimaldavad kahtlustada, et andmesubjekt on toime pannud CPI artiklis L. 335‑2 või artiklis L. 335‑4 nimetatud võltsimises seisneva delikti, kuna liikmesriigil on õigus asuda seisukohale, et selline delikt, mis kahjustab mõnd ühiskonna põhihuvi, kuulub raskete kuritegude hulka.
147 Mis puudutab lõpuks selle eelkontrolli korda, siis leiab Prantsuse valitsus, et arvestades eriomadusi, mis on Hadopi juurdepääsul kõnealustele andmetele, eelkõige selle ulatust, on asjakohane, et eelkontroll, kui see on nõutav, oleks täielikult automatiseeritud. Sellise puhtobjektiivse kontrolli eesmärk on peamiselt kontrollida, kas protokoll, millega on Hadopi poole pöördutud, sisaldab kogu nõutavat teavet ja andmeid, ilma et see ametiasutus peaks neid hindama.
148 Eelkontroll ei saa siiski mingil juhul olla täielikult automatiseeritud, sest nagu nähtub käesoleva kohtuotsuse punktis 125 viidatud kohtupraktikast, nõuab selline kontroll kriminaaluurimise puhul igal juhul, et asjaomane kohus või sõltumatu haldusasutus suudaks tagada õiglase tasakaalu ühelt poolt kuritegevusvastase võitluse raames uurimise vajadustega seotud õigustatud huvide ning teiselt poolt nende isikute, kelle andmetele juurdepääsu taotletakse, põhiõiguste eraelu puutumatusele ja isikuandmete kaitsele vahel.
149 Nimelt nõuab erinevate õigustatud huvide ja asjaomaste õiguste kaalumine füüsilise isiku sekkumist ning see on seda vajalikum, et kõnealuste andmete töötlemise automatiseeritus ja sellise töötlemise suur ulatus kujutavad endast ohtu eraelu puutumatusele.
150 Lisaks ei taga täielikult automatiseeritud kontroll üldjuhul seda, et juurdepääs ei lähe kaugemale sellest, mis on tingimata vajalik, ning et isikutel, kelle isikuandmetega on tegemist, on tõhusad tagatised kuritarvituste ohu ning nendele andmetele mis tahes ebaseadusliku juurdepääsu ja nende mis tahes ebaseadusliku kasutamise vastu.
151 Seega, kuigi automatiseeritud kontroll võib võimaldada kontrollida teatavaid andmeid, mis sisalduvad õiguste omajate organisatsioonide protokollides, peavad sellised kontrollid toimuma paralleelselt füüsiliste isikute teostatavate kontrollidega, mis vastavad täielikult käesoleva kohtuotsuse punktides 125–127 viidatud nõuetele.
Nõuded, mis seoses materiaal- ja menetlusõiguslike tingimustega ning tagatistega kuritarvituste ohu ning nendele andmetele mis tahes ebaseadusliku juurdepääsu ja nende mis tahes ebaseadusliku kasutamise vastu kehtivad avaliku sektori asutuse võimaluse suhtes saada juurdepääs IP‑aadressile vastavatele identiteediandmetele
152 Euroopa Kohtu praktikast tuleneb, et juurdepääs isikuandmetele saab olla kooskõlas direktiivi 2002/58 artikli 15 lõikes 1 sätestatud proportsionaalsuse nõudega üksnes siis, kui seda lubav seadusandlik meede näeb selgete ja täpsete reeglitega ette, et selleks juurdepääsuks peavad olema täidetud sellega seotud materiaal- ja menetlusõiguslikud tingimused ning et andmesubjektidel on tõhusad tagatised nendele andmetele ebaseadusliku juurdepääsu ja nende ebaseadusliku kasutamise vastu (vt selle kohta 6. oktoobri 2020. aasta kohtuotsus La Quadrature du Net jt, C‑511/18, C‑512/18 ja C‑520/18, EU:C:2020:791, punktid 132 ja 173, ning 2. märtsi 2021. aasta kohtuotsus Prokuratuur (tingimused elektroonilise side andmetele juurdepääsuks), C‑746/18, EU:C:2021:152, punkt 49 ja seal viidatud kohtupraktika).
153 Nagu Euroopa Kohus on rõhutanud, on niisuguste tagatiste olemasolu veel vajalikum siis, kui isikuandmeid töödeldakse automatiseeritult (16. juuli 2020. aasta kohtuotsus Facebook Ireland ja Schrems, C‑311/18, EU:C:2020:559, punkt 176 ja seal viidatud kohtupraktika).
154 Sellega seoses kinnitas Prantsuse valitsus vastuseks küsimusele, mille Euroopa Kohus esitas 5. juuli 2022. aasta kohtuistungiks, et nagu on märgitud ka CPI artiklis L. 331‑29, tuleneb Hadopi juurdepääs identiteediga seotud andmetele järkjärgulise reageerimise menetluse raames peamiselt automatiseeritud andmetöötlusest, mis on seletatav sellega, et õiguste omajate organisatsioonide poolt peer‑to‑peer‑võrkudes tuvastatud võltsingud on massilised ja andmed nende kohta edastatakse Hadopile protokollide vormis.
155 Euroopa Kohtu käsutuses olevast toimikust nähtub eelkõige, et selle andmetöötluse käigus kontrollivad Hadopi teenistujad peamiselt automatiseeritult ja faktilisi asjaolusid kui selliseid hindamata, kas talle esitatud protokollid sisaldavad dekreedi nr 2010‑236 lisa punktis 1 nimetatud kogu teavet ja andmeid, eelkõige kõnealuseid internetis ebaseaduslikult kättesaadavaks tegemise asjaolusid ja selleks kasutatud IP‑aadresse. Selline töötlemine peab aga toimuma paralleelselt füüsiliste isikute teostatava kontrolliga.
156 Kuna selline automatiseeritud töötlemine võib hõlmata teatud hulka valepositiivseid juhtumeid ning eelkõige ohtu, et kolmandad isikud võivad väärkasutada potentsiaalselt väga suurt hulka isikuandmeid kuritahtlikel või ebaseaduslikel eesmärkidel, on oluline, et avaliku sektori asutuse kasutatavat andmetöötlussüsteemi kontrolliks seadusandliku meetme alusel regulaarsete ajavahemike järel sõltumatu organ, kes on selle asutuse suhtes kolmas isik, eesmärgiga kontrollida süsteemi terviklikkust, sealhulgas kuritarvituste ohu ning nendele andmetele mis tahes ebaseadusliku juurdepääsu ja nende mis tahes ebaseadusliku kasutamise vastu tõhusaid tagatisi, mille see süsteem peab kindlustama, ning selle tõhusust ja usaldusväärsust, et avastada rikkumisi, mille võib kordumise korral kvalifitseerida raskeks hooletuseks või võltsimiseks.
157 Lõpuks tuleb lisada, et isikuandmete töötlemine, millega tegeleb selline avaliku sektori asutus nagu Hadopi järkjärgulise reageerimise menetluse raames, peab vastama nende andmete kaitset käsitlevatele erinormidele, mis on ette nähtud direktiivis 2016/680, mille eesmärk on selle artikli 1 kohaselt kehtestada õigusnormid, mis käsitlevad füüsiliste isikute kaitset isikuandmete töötlemisel pädevate asutuste poolt süütegude tõkestamiseks, uurimiseks, avastamiseks, nende eest vastutusele võtmiseks või kriminaalkaristuste täitmisele pööramiseks, sealhulgas avalikku julgeolekut ähvardavate ohtude eest kaitsmiseks ja nende ennetamiseks.
158 Nimelt, kuigi käesoleval juhul ei ole Hadopil kohaldatava riigisisese õiguse kohaselt oma otsustuspädevust, tuleb ta juhul, kui ta töötleb järkjärgulise reageerimise menetluse raames isikuandmeid ja teeb selliseid toiminguid nagu soovituse andmine või andmesubjekti teavitamine sellest, et asjaomaste tegude suhtes võidakse alustada kriminaalmenetlust, kvalifitseerida „avaliku sektori asutuseks“ direktiivi 2016/680 artikli 3 tähenduses, kes tegeleb süütegude – nimelt raskes hooletuses seisnev väärtegu ja võltsimises seisnev delikt – tõkestamise ja avastamisega ning kuulub seega vastavalt selle direktiivi artiklile 1 selle direktiivi kohaldamisalasse.
159 Sellega seoses märkis Prantsuse valitsus vastuseks küsimusele, mille Euroopa Kohus esitas 5. juuli 2022. aasta kohtuistungiks, et kuna toimingud, mida Hadopi teeb järkjärgulise reageerimise menetluse raames, on „kohtumenetlusega otseselt seotud kohtueelsed toimingud“, kehtivad teoste internetis kaitsmise meetmete haldamise süsteemi suhtes, mida rakendab Hadopi, nagu nähtub eelotsusetaotluse esitanud kohtu praktikast, riigisisesed õigusnormid, millega on üle võetud direktiiv 2016/680.
160 Samas ei kuulu selline andmete töötlemine Hadopi poolt isikuandmete kaitse üldmääruse kohaldamisalasse. Isikuandmete kaitse üldmääruse artikli 2 lõike 2 punktis d on nimelt ette nähtud, et seda määrust ei kohaldata, kui pädevad asutused töötlevad isikuandmeid süütegude tõkestamise, uurimise, avastamise või nende eest vastutusele võtmise ja kriminaalkaristuste täitmisele pööramise, sealhulgas avalikku julgeolekut ähvardavate ohtude eest kaitsmise ja nende ennetamise eesmärgil.
161 Nagu märkis kohtujurist oma 27. oktoobri 2022. aasta ettepaneku punktis 104, peab tulenevalt sellest, et Hadopil tuleb järkjärgulise reageerimise menetluse raames järgida direktiivi 2016/680, sellise menetluse subjektiks olevatel isikutel olema hulk materiaal- ja menetlusõiguslikke tagatisi, mis hõlmavad õigust Hadopi poolt töödeldavate isikuandmetega tutvumisele, nende parandamisele ja kustutamisele ning võimalust esitada kaebus sõltumatule järelevalveasutusele, mille järel vajaduse korral kohaldatakse õiguskaitsevahendit üldnormides sätestatud tingimuste kohaselt.
162 Selles kontekstis nähtub põhikohtuasjas kõne all olevatest riigisisestest õigusnormidest, et järkjärgulise reageerimise menetluse raames, täpsemalt siis, kui on saadetud teine soovitus ja seejärel teavitus, et tuvastatud faktilised asjaolud võib kvalifitseerida süüteoks, on nende adressaadil teatavad menetluslikud tagatised, nagu õigus esitada oma seisukohad, õigus saada täpsustusi talle etteheidetava rikkumise kohta ning seoses teavitusega õigus taotleda ärakuulamist ja õigus kasutada õigusnõustaja abi.
163 Igal juhul on eelotsusetaotluse esitanud kohtu ülesanne kontrollida, kas nendes riigisisestes õigusnormides on ette nähtud kõik direktiivis 2016/680 sätestatud materiaal- ja menetlusõiguslikud tagatised.
164 Kõiki eeltoodud kaalutlusi arvestades tuleb kolmele eelotsuse küsimusele vastata, et direktiivi 2002/58 artikli 15 lõiget 1 tuleb harta artikleid 7, 8 ja 11 ning artikli 52 lõiget 1 arvestades tõlgendada nii, et sellega ei ole vastuolus riigisisesed õigusnormid, mis annavad avaliku sektori asutusele, kelle ülesanne on kaitsta autoriõigusi ja nendega kaasnevaid õigusi nende õiguste suhtes internetis toimepandavate rikkumise eest, õiguse juurdepääsuks üldkasutatavate elektroonilise side teenuste osutajate säilitatavatele identiteediandmetele, mis vastavad IP‑aadressidele, mille õiguste omajate organisatsioonid on eelnevalt kogunud, et see ametiasutus saaks kindlaks teha nende aadresside omanikud, mida on kasutatud tegevuseks, mis võib kujutada endast sellist rikkumist, ning saaks vajaduse korral võtta nende isikute suhtes meetmeid, tingimusel et need õigusnormid näevad ette, et
– neid andmeid säilitatakse sellistel tingimustel ja tehnilisel viisil, mis tagavad, et oleks välistatud, et see säilitamine võimaldab teha nende aadresside omanike eraelu kohta täpseid järeldusi, näiteks koostades nende üksikasjaliku profiili – seda saab teha eelkõige nii, et elektroonilise side teenuste osutajatele kehtestatakse kohustus säilitada eri liiki isikuandmeid, nagu isiku identiteediga seotud andmed, IP‑aadressid ning liiklus- ja asukohaandmed – viisil, mis tagab nende eri kategooriatesse kuuluvate andmete täiesti kindla eraldatuse, takistades säilitamise etapis nende andmekategooriate mis tahes kombineeritud kasutamist, ja ajavahemikuks, mis ei ületa seda, mis on tingimata vajalik,
– selle avaliku sektori asutuse juurdepääs sellistele täiesti kindlalt eraldatult säilitatud andmetele on mõeldud üksnes selleks, et tuvastada isik, keda kahtlustatakse süüteo toimepanemises, ning sellega kaasnevad vajalikud tagatised välistamaks, et välja arvatud ebatüüpilistes olukordades, võiks see juurdepääs võimaldada teha täpseid järeldusi IP‑aadresside omanike eraelu kohta, näiteks koostades nende üksikasjaliku profiili, mis tähendab eelkõige, et andmetele juurdepääsu saanud asutuse teenistujatel on keelatud avaldada mis tahes vormis teavet nende failide sisu kohta, millega nende aadresside omanikud on tutvunud, välja arvatud üksnes prokuratuuri poole pöördumise vajaduse korral, ning kontrollida nende aadresside omajate sirvimisajalugu ja kasutada neid IP‑aadresse üldiselt muul eesmärgil kui nende aadresside omanike suhtes võimalike meetmete võtmiseks,
– nende isikute võimalus, kes vastutavad nimetatud avaliku sektori asutuses faktiliste asjaolude uurimise eest, seostada neid andmeid failidega, mis sisaldavad elemente, mis võimaldavad ära tunda kaitstud teoste pealkirju, mille internetis kättesaadavaks tegemine andis alust IP‑aadresside kogumiseks õiguste omajate organisatsioonide poolt, allub juhul, kui üks ja sama isik kordab uuesti autoriõigusi või nendega kaasnevaid õigusi rikkuvat tegevust, kohtu või sõltumatu haldusasutuse kontrollile, mis ei või olla täielikult automatiseeritud ja peab toimuma enne sellist andmete seostamist, mis sellistel juhtudel võimaldaks teha täpseid järeldusi selle isiku eraelu kohta, kelle IP‑aadressi on kasutatud autoriõigusi või nendega kaasnevaid õigusi rikkuda võivaks tegevuseks,
– avaliku sektori asutuse kasutatavat andmetöötlussüsteemi kontrollib regulaarsete ajavahemike järel sõltumatu organ, kes on selle asutuse suhtes kolmas isik, eesmärgiga kontrollida süsteemi terviklikkust, sealhulgas tõhusaid tagatisi kuritarvituste ohu ning nendele andmetele ebaseadusliku juurdepääsu ja nende ebaseadusliku kasutamise vastu, ning selle süsteemi tõhusust ja usaldusväärsust võimalike rikkumiste avastamisel.
Kohtukulud
165 Kuna põhikohtuasja poolte jaoks on käesolev menetlus eelotsusetaotluse esitanud kohtus pooleli oleva asja üks staadium, otsustab kohtukulude jaotuse liikmesriigi kohus. Euroopa Kohtule seisukohtade esitamisega seotud kulusid, välja arvatud poolte kohtukulud, ei hüvitata.
Esitatud põhjendustest lähtudes Euroopa Kohus (täiskogu) otsustab:
Euroopa Parlamendi ja nõukogu 12. juuli 2002. aasta direktiivi 2002/58/EÜ, milles käsitletakse isikuandmete töötlemist ja eraelu puutumatuse kaitset elektroonilise side sektoris (eraelu puutumatust ja elektroonilist sidet käsitlev direktiiv) (muudetud Euroopa Parlamendi ja nõukogu 25. novembri 2009. aasta direktiiviga 2009/136/EÜ), artikli 15 lõiget 1 tuleb Euroopa Liidu põhiõiguste harta artikleid 7, 8 ja 11 ning artikli 52 lõiget 1 arvestades
tõlgendada nii, et
sellega ei ole vastuolus riigisisesed õigusnormid, mis annavad avaliku sektori asutusele, kelle ülesanne on kaitsta autoriõigusi ja nendega kaasnevaid õigusi nende õiguste suhtes internetis toimepandavate rikkumise eest, õiguse juurdepääsuks üldkasutatavate elektroonilise side teenuste osutajate säilitatavatele identiteediandmetele, mis vastavad IP‑aadressidele, mille õiguste omajate organisatsioonid on eelnevalt kogunud, et see ametiasutus saaks kindlaks teha nende aadresside omanikud, mida on kasutatud tegevuseks, mis võib kujutada endast sellist rikkumist, ning saaks vajaduse korral võtta nende isikute suhtes meetmeid, tingimusel et need õigusnormid näevad ette, et
– neid andmeid säilitatakse sellistel tingimustel ja tehnilisel viisil, mis tagavad, et oleks välistatud, et see säilitamine võimaldab teha nende aadresside omanike eraelu kohta täpseid järeldusi, näiteks koostades nende üksikasjaliku profiili – seda saab teha eelkõige nii, et elektroonilise side teenuste osutajatele kehtestatakse kohustus säilitada eri liiki isikuandmeid, nagu isiku identiteediga seotud andmed, IP‑aadressid ning liiklus- ja asukohaandmed – viisil, mis tagab nende eri kategooriatesse kuuluvate andmete täiesti kindla eraldatuse, takistades säilitamise etapis nende eri andmekategooriate mis tahes kombineeritud kasutamist, ja ajavahemikuks, mis ei ületa seda, mis on tingimata vajalik,
– selle avaliku sektori asutuse juurdepääs sellistele täiesti kindlalt eraldatult säilitatud andmetele on mõeldud üksnes selleks, et tuvastada isik, keda kahtlustatakse süüteo toimepanemises, ning sellega kaasnevad vajalikud tagatised välistamaks, et välja arvatud ebatüüpilistes olukordades, võiks see juurdepääs võimaldada teha täpseid järeldusi IP‑aadresside omanike eraelu kohta, näiteks koostades nende üksikasjaliku profiili, mis tähendab eelkõige, et andmetele juurdepääsu saanud asutuse teenistujatel on keelatud avaldada mis tahes vormis teavet nende failide sisu kohta, millega nende aadresside omanikud on tutvunud, välja arvatud üksnes prokuratuuri poole pöördumise vajaduse korral, ning kontrollida nende aadresside omajate sirvimisajalugu ja kasutada neid IP-aadresse üldiselt muul eesmärgil kui nende aadresside omanike suhtes võimalike meetmete võtmiseks,
– nende isikute võimalus, kes vastutavad nimetatud avaliku sektori asutuses faktiliste asjaolude uurimise eest, seostada neid andmeid failidega, mis sisaldavad elemente, mis võimaldavad ära tunda kaitstud teoste pealkirju, mille internetis kättesaadavaks tegemine andis alust IP‑aadresside kogumiseks õiguste omajate organisatsioonide poolt, allub juhul, kui üks ja sama isik kordab uuesti autoriõigusi või nendega kaasnevaid õigusi rikkuvat tegevust, kohtu või sõltumatu haldusasutuse kontrollile, mis ei või olla täielikult automatiseeritud ja peab toimuma enne sellist andmete seostamist, mis sellistel juhtudel võimaldaks teha täpseid järeldusi selle isiku eraelu kohta, kelle IP‑aadressi on kasutatud autoriõigusi või nendega kaasnevaid õigusi rikkuda võivaks tegevuseks,
– avaliku sektori asutuse kasutatavat andmetöötlussüsteemi kontrollib regulaarsete ajavahemike järel sõltumatu organ, kes on selle asutuse suhtes kolmas isik, eesmärgiga kontrollida süsteemi terviklikkust, sealhulgas tõhusaid tagatisi kuritarvituste ohu ning nendele andmetele ebaseadusliku juurdepääsu ja nende ebaseadusliku kasutamise vastu, ning selle süsteemi tõhusust ja usaldusväärsust võimalike rikkumiste avastamisel.
Allkirjad