Väliaikainen versio
JULKISASIAMIEHEN RATKAISUEHDOTUS
MANUEL CAMPOS SÁNCHEZ-BORDONA
20 päivänä huhtikuuta 2023 (1)
Asia C‑548/21
C. G.
vastaan
Bezirkshauptmannschaft Landeck
(Ennakkoratkaisupyyntö – Landesverwaltungsgericht Tirol (Tirolin osavaltion hallintotuomioistuin, Itävalta))
Ennakkoratkaisupyyntö – Televiestintä – Henkilötietojen suoja – Direktiivi (EU) 2016/680 – Rikosoikeudellinen menettely – Viranomaisten yritys saada pääsy matkapuhelimelle tallennettuihin tietoihin ilman tuomioistuimen tai riippumattoman hallintoviranomaisen lupaa
1. Tämä ennakkoratkaisupyyntö koskee tiivistäen edellytyksiä, jotka poliisiviranomaisten on täytettävä voidakseen saada pääsyn rikostutkinnan kohteena olevan henkilön matkapuhelimelle tallennettuihin tietoihin.
2. Kuten pyrin selittämään, ennakkoratkaisupyynnössä on huomattavia puutteita, jotka liittyvät sen tutkittavaksi ottamiseen. Jos unionin tuomioistuin kaikesta huolimatta päättää ratkaista asian aineellisesti, sen on otettava kantaa direktiivin 2002/58/EY(2) ja direktiivin (EU) 2016/680(3) soveltamisalaan.
I Asiaa koskevat oikeussäännöt
A Unionin oikeus
1. Asetus (EU) 2016/679(4)
3. Asetuksen 2 artiklan (”Aineellinen soveltamisala”) 2 kohdassa säädetään seuraavaa:
”Tätä asetusta ei sovelleta henkilötietojen käsittelyyn,
– –
d) jota toimivaltaiset viranomaiset suorittavat rikosten ennalta estämistä, tutkintaa, paljastamista tai rikoksiin liittyviä syytetoimia varten tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten, mukaan lukien yleiseen turvallisuuteen kohdistuvilta uhkilta suojelua ja tällaisten uhkien ehkäisyä varten.”
2. Direktiivi 2016/680
4. Direktiivin johdanto-osan toisessa perustelukappaleessa todetaan seuraavaa:
”Sen vuoksi niissä periaatteissa ja säännöissä, jotka koskevat luonnollisten henkilöiden suojelua henkilötietojen käsittelyssä, olisi – – otettava huomioon heidän perusoikeutensa ja ‑vapautensa ja erityisesti oikeus henkilötietojen suojaan. Tällä direktiivillä pyritään tukemaan vapauden, turvallisuuden ja oikeuden alueen kehittämistä.”
5. Johdanto-osan 46. perustelukappaleessa todetaan seuraavaa:
”Kaikkien rekisteröityjen oikeuksien rajoitusten on oltava perusoikeuskirjan ja Euroopan ihmisoikeussopimuksen mukaisia unionin tuomioistuimen ja Euroopan ihmisoikeustuomioistuimen[(5)] oikeuskäytäntöjen tulkitsemalla tavalla, ja on noudatettava erityisesti kyseisten oikeuksien ja vapauksien olennaista sisältöä.”
6. Johdanto-osan 49. perustelukappaleessa todetaan seuraavaa:
”Jos henkilötietoja käsitellään rikostutkinnan ja ‑oikeudenkäynnin yhteydessä, jäsenvaltioiden olisi voitava säätää siitä, että tiedonsaantioikeuden käyttö, pääsy tietoihin ja henkilötietojen oikaiseminen tai poistaminen tai käsittelyn rajoittaminen toteutetaan oikeudellisia menettelyjä koskevien kansallisten sääntöjen mukaisesti.”
7. Direktiivin 1 artiklassa (”Kohde ja tavoitteet”) säädetään seuraavaa:
”1. Tässä direktiivissä vahvistetaan säännöt luonnollisten henkilöiden suojelulle toimivaltaisten viranomaisten suorittamassa henkilötietojen käsittelyssä rikosten ennalta estämistä, tutkimista, paljastamista tai rikoksiin liittyviä syytetoimia tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten, mukaan lukien yleiseen turvallisuuteen kohdistuvilta uhkilta suojelua ja tällaisten uhkien ehkäisyä varten.
2. Tämän direktiivin mukaisesti jäsenvaltioiden on
a) suojeltava luonnollisten henkilöiden perusoikeuksia ja ‑vapauksia ja erityisesti heidän oikeuttaan henkilötietojen suojaan; ja
– –
3. Tämä direktiivi ei estä jäsenvaltioita säätämästä suojatoimista, jotka ylittävät tässä direktiivissä vahvistetut suojatoimet rekisteröidyn oikeuksia ja vapauksien suojelemiseksi toimivaltaisten viranomaisten suorittamassa henkilötietojen käsittelyssä.”
8. Direktiivin 2 artiklan (”Soveltamisala”) 1 kohdassa säädetään seuraavaa:
”Tätä direktiiviä sovelletaan toimivaltaisten viranomaisten 1 artiklan 1 kohdassa säädettyjä tarkoituksia varten suorittamaan henkilötietojen käsittelyyn.”
9. Sen 3 artiklassa (”Määritelmät”) säädetään seuraavaa:
”Tässä direktiivissä tarkoitetaan
– –
2) ’käsittelyllä’ toimintoa tai toimintoja, joita kohdistetaan henkilötietoihin tai henkilötietoja sisältäviin tietojoukkoihin joko automaattista tietojenkäsittelyä käyttäen tai muutoin, kuten tietojen keräämistä, tallentamista, järjestämistä, jäsentämistä, säilyttämistä, muokkaamista tai muuttamista, hakua, kyselyä, käyttöä, tietojen luovuttamista siirtämällä, levittämällä tai asettamalla ne muutoin saataville, tietojen yhteensovittamista tai yhdistämistä, rajoittamista, poistamista tai tuhoamista;
– –
7) ’toimivaltaisella viranomaisella’
a) kaikkia viranomaisia, joiden toimivalta kattaa rikosten ennalta estämisen, tutkimisen, paljastamisen tai rikoksiin liittyvät syytetoimet tai rikosoikeudellisten seuraamusten täytäntöönpanon, mukaan lukien yleiseen turvallisuuteen kohdistuvilta uhkilta suojelu ja tällaisten uhkien ehkäisy; tai
– –”
10. Direktiivin 4 artiklan (”Henkilötietojen käsittelyä koskevat periaatteet”) 1 kohdassa säädetään seuraavaa:
”Jäsenvaltioiden on säädettävä siitä, että
a) henkilötietoja käsitellään lainmukaisesti ja asianmukaisesti;
b) henkilötiedot kerätään tiettyjä nimenomaisia ja laillisia tarkoituksia varten, eikä niitä käsitellä näiden tarkoitusten kanssa yhteensopimattomalla tavalla;
c) henkilötiedot ovat asianmukaisia ja olennaisia eivätkä ne ole liian laajoja niihin tarkoituksiin, joita varten niitä käsitellään;
– –
e) henkilötiedot säilytetään muodossa, josta rekisteröity on tunnistettavissa ainoastaan niin kauan kuin on tarpeen henkilötietojen käsittelytarkoitusten toteuttamista varten;
f) henkilötietoja käsitellään tavalla, jolla varmistetaan henkilötietojen asianmukainen tietoturva muun muassa suojaamalla niitä luvattomalta ja laittomalta käsittelyltä sekä vahingossa tapahtuvalta häviämiseltä, tuhoutumiselta tai vahingoittumiselta asianmukaisia teknisiä tai organisatorisia toimenpiteitä hyödyntäen.”
11. Direktiivin 8 artiklassa (”Käsittelyn lainmukaisuus”) säädetään seuraavaa:
”1. Jäsenvaltioiden on säädettävä siitä, että käsittely on lainmukaista ainoastaan jos ja vain siltä osin kuin se on tarpeen toimivaltaisen viranomaisen tehtävän suorittamiseksi 1 artiklan 1 kohdan tarkoitusta varten ja se perustuu unionin oikeuteen tai jäsenvaltion lainsäädäntöön.
2. Jäsenvaltion lainsäädännössä, jossa säännellään tämän direktiivin soveltamisalaan kuuluvaa käsittelyä, on täsmennettävä ainakin käsittelyn tavoitteet, käsiteltävät henkilötiedot ja käsittelyn tarkoitukset.”
12. Direktiivin 13 artiklassa (”Rekisteröidyn saataville asetettavat tai hänelle annettavat tiedot”) säädetään seuraavaa:
”1. Jäsenvaltioiden on säädettävä siitä, että rekisterinpitäjä asettaa rekisteröidyn saataville ainakin seuraavat tiedot:
– –
d) tieto siitä, että rekisteröidyllä on oikeus tehdä valitus valvontaviranomaiselle, ja valvontaviranomaisen yhteystiedot;
– –
3. Jäsenvaltiot voivat hyväksyä lainsäädäntötoimenpiteitä, joilla viivytetään, rajoitetaan tai jätetään kokonaan tekemättä 2 kohdan mukainen rekisteröidylle ilmoittaminen, siltä osin ja niin pitkäksi aikaa kuin tällainen toimenpide on välttämätön ja oikeasuhteinen demokraattisessa yhteiskunnassa, ottaen asianmukaisesti huomioon kyseisen luonnollisen henkilön perusoikeudet ja oikeutetut edut:
a) jotta vältetään virallisten tai laillisten tiedustelujen, tutkimusten tai menettelyjen estäminen;
b) jotta vältetään tuottamasta haittaa rikosten ennalta estämiselle, paljastamiselle, tutkimiselle tai rikoksiin liittyville syytetoimille taikka rikosoikeudellisten seuraamusten täytäntöönpanolle;
c) yleisen turvallisuuden suojelemiseksi;
d) kansallisen turvallisuuden suojelemiseksi;
e) muiden henkilöiden oikeuksien ja vapauksien suojaamiseksi.
– –”
13. Direktiivin 15 artiklan (”Tietoihin pääsyn rajoittaminen”) 1 kohdassa säädetään seuraavaa:
”Jäsenvaltiot voivat hyväksyä lainsäädäntötoimenpiteitä, joilla rajoitetaan kokonaan tai osittain rekisteröidyn oikeutta saada pääsy tietoihin siltä osin ja niin pitkäksi aikaa kuin osittainen tai täydellinen rajoittaminen on välttämätön ja oikeasuhteinen toimenpide demokraattisessa yhteiskunnassa, ottaen asianmukaisesti huomioon kyseisen luonnollisen henkilön perusoikeudet ja oikeutetut edut:
a) jotta vältetään virallisten tai laillisten tiedustelujen, tutkimusten tai menettelyjen estäminen;
b) jotta vältetään tuottamasta haittaa rikosten ennalta estämiselle, paljastamiselle, tutkimiselle tai rikoksiin liittyville syytetoimille taikka rikosoikeudellisten seuraamusten täytäntöönpanolle;
c) yleisen turvallisuuden suojelemiseksi;
d) kansallisen turvallisuuden suojelemiseksi;
e) muiden henkilöiden oikeuksien ja vapauksien suojaamiseksi.”
14. Direktiivin 27 artiklassa (”Tietosuojaa koskeva vaikutustenarviointi”) säädetään seuraavaa:
”1. Jos tietyntyyppinen käsittely etenkin uutta teknologiaa käytettäessä todennäköisesti aiheuttaa käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset huomioon ottaen luonnollisen henkilön oikeuksien ja vapauksien kannalta korkean riskin, jäsenvaltioiden on säädettävä siitä, että rekisterinpitäjä toteuttaa ennen käsittelyä arvioinnin suunniteltujen käsittelytoimien vaikutuksista henkilötietojen suojaan.
2. Edellä 1 kohdassa tarkoitetussa arvioinnissa on esitettävä vähintään yleinen kuvaus suunnitelluista käsittelytoimista, arvio rekisteröidyn oikeuksiin ja vapauksiin kohdistuvista riskeistä, toimet, joiden avulla riskeihin on tarkoitus puuttua, sekä suojatoimet, turvatoimet ja ‑mekanismit, joilla varmistetaan henkilötietojen suoja ja osoitetaan, että tätä direktiiviä on noudatettu, ottaen huomioon rekisteröityjen ja muiden asianomaisten oikeudet ja oikeutetut edut.”
15. Direktiivin 28 artiklassa (”Valvontaviranomaisen ennakkokuuleminen”) todetaan seuraavaa:
”1. Jäsenvaltioiden on säädettävä siitä, että rekisterinpitäjä tai henkilötietojen käsittelijä kuulee valvontaviranomaista ennen henkilötietojen käsittelyä, joka muodostaa osan uutta, tekeillä olevaa rekisteriä, jos
a) 27 artiklan mukainen tietosuojaa koskeva vaikutustenarviointi osoittaa, että käsittely aiheuttaa korkean riskin, ellei rekisterinpitäjä toteuta toimenpiteitä riskin lieventämiseksi; tai
b) tietojen käsittely on sen luonteista, että siihen sisältyy muutoin, erityisesti uusien tekniikoiden, mekanismien tai menettelyjen käytön johdosta, rekisteröityjen oikeuksien ja vapauksien kannalta korkea riski.
– –”
16. Direktiivin 54 artiklassa (”Oikeus tehokkaisiin oikeussuojakeinoihin rekisterinpitäjää tai henkilötietojen käsittelijää vastaan”) säädetään seuraavaa:
”Jäsenvaltioiden on säädettävä, että rekisteröidyllä on oikeus tehokkaisiin oikeussuojakeinoihin, jos hän katsoo, että hänen tämän direktiivin nojalla annettuihin säännöksiin perustuvia oikeuksiaan on rikottu sen takia, ettei hänen henkilötietojensa käsittelyssä ole noudatettu kyseisiä säännöksiä, sanotun kuitenkaan rajoittamatta käytettävissä olevien hallinnollisten muutoksenhakukeinojen tai muiden kuin oikeudellisten oikeussuojakeinojen käyttöä, mukaan lukien 52 artiklan mukainen oikeus tehdä valitus valvontaviranomaiselle.”
B Kansallinen oikeus
17. Itävallan rikosprosessilain (Strafprozessordnung)(6) 18 §:ssä annetaan rikospoliisille tehtäviä, jotka koskevat lainkäyttöä rikosasioissa (1 momentti). Rikospoliisin tutkinnasta vastaavat turvallisuusviranomaiset (2 momentti). Yleisen turvallisuuspalvelun elimet hoitavat rikospoliisin täytäntöönpanotehtäviä, jotka koskevat rikosten tutkintaa ja syytteeseenpanoa (3 momentti).
18. StPO:n 99 §:n mukaan rikospoliisi suorittaa tutkintaa omasta aloitteestaan tai rikosilmoituksen perusteella syyttäjäviranomaisen ja tuomioistuinten määräyksiä noudattaen (1 momentti). Jos tutkintatoimi edellyttää syyttäjäviranomaisen määräystä, rikospoliisi voi välittömän vaaran uhatessa käyttää kyseistä toimivaltaa myös ilman tällaista määräystä. Tällaisessa tilanteessa rikospoliisin on pyydettävä välittömästi lupaa (2 momentti).
19. StPO:n 111 §:n 2 momentin mukaan silloin, kun on kerättävä tietovälineille tallennettuja tietoja, jokaisen on annettava pääsy näihin tietoihin ja pyynnöstä luovutettava sähköinen tietoväline tai sallittava sen toteuttaminen yleisesti käytetyssä tiedostomuodossa. Lisäksi on sallittava tietovälineille tallennettujen tietojen varmuuskopiointi.
II Tosiseikat, oikeusriita ja ennakkoratkaisukysymykset
20. C. G. on Saksan kansalainen, joka työskentelee ja asuu Itävallassa.
21. Innsbruckin (Itävalta) tulliviranomaiset takavarikoivat 23.2.2021 huumausainevalvonnan yhteydessä C. G:lle osoitetun paketin, joka sisälsi 85 grammaa kannabista.
22. Kaksi poliisia kuulusteli 6.3.2021 C. G:tä paketin lähettäjästä ja teki kotietsinnän hänen asunnossaan. Kotietsinnän yhteydessä hänen matkapuhelimensa (joka sisälsi SIM-kortin ja SD-kortin) takavarikoitiin ja hänelle annettiin takavarikkopäätös.
23. C. G, jota kehotettiin antamaan oikeus tutustua matkapuhelimensa yhteystietoihin ja antamaan puhelimen pääsykoodi, kieltäytyi tästä.
24. Landeckin (Itävalta) poliisiasemalla ei onnistuttu avaamaan matkapuhelimen lukitusta. Se lähetettiin Bundeskriminalamtiin (keskusrikospoliisi) Wieniin (Itävalta), ja siellä yritettiin jälleen tuloksetta avata matkapuhelimen lukitus ja lukea sille tallennettuja tietoja.
25. Ajankohtana, jona poliisi toteutti nämä toimenpiteet, niistä ei ollut syyttäjäviranomaisen määräystä eikä tuomioistuimen päätöstä.
26. C. G. valitti 31.3.2021 Landesverwaltungsgericht Tiroliin (Tirolin osavaltion hallintotuomioistuin, Itävalta) matkapuhelimensa takavarikointia koskevan pakkokeinon määräämisestä. Matkapuhelin palautettiin hänelle 20.4.2021.
27. C. G:lle ei kerrottu siitä, että matkapuhelimen sisältöä oli yritetty tutkia. Tämä tuli hänen tietoonsa vasta, kun takavarikoinnin suorittanutta ja sen jälkeen digitaalisen tutkinnan aloittanutta poliisia kuultiin totuusvelvollisuuden alaisena todistajana. Tätä yritystä ei ollut myöskään kirjattu rikospoliisin asiakirjoihin.
28. Tässä yhteydessä Landesverwaltungsgericht Tirol esitti unionin tuomioistuimelle seuraavat ennakkoratkaisukysymykset:
”1) Onko direktiivin 2002/58 15 artiklan 1 kohtaa (mahdollisesti luettuna yhdessä 5 artiklan kanssa), sellaisena kuin se on muutettuna direktiivillä 2009/136/EY, tulkittava perusoikeuskirjan 7 ja 8 artiklan valossa siten, että viranomaisten mahdollisuus saada matkapuhelimessa säilytettäviä tietoja merkitsee kyseisissä perusoikeuskirjan artikloissa taattuihin perusoikeuksiin puuttumista, joka on niin vakava, että tämä tiedonsaanti on rajoitettava rikosten torjunnan, tutkinnan, selvittämisen ja syyteharkinnan alalla vakavan rikollisuuden torjuntaan?
2) Onko direktiivin 2002/58 15 artiklan 1 kohtaa, sellaisena kuin se on muutettuna direktiivillä 2009/136, tulkittava perusoikeuskirjan 7, 8 ja 11 artiklan sekä 52 artiklan 1 kohdan valossa siten, että se on esteenä [StPO:n] 18 §:n, luettuna yhdessä 99 §:n 1 momentin kanssa, kaltaiselle kansalliselle lainsäädännölle, jonka nojalla turvallisuusviranomaisilla on esitutkinnan yhteydessä ilman tuomioistuimen tai riippumattoman hallintoviranomaisen lupaa kattava ja valvomaton oikeus päästä kaikkiin matkapuhelimessa säilytettäviin digitaalisiin tietoihin?
3) Onko perusoikeuskirjan 47 artikla, luettuna mahdollisesti yhdessä 41 ja 52 artiklan kanssa, ymmärrettävä prosessuaalisen yhdenvertaisuuden ja tehokkaan oikeussuojan näkökulmasta siten, että se on esteenä [StPO:n] 18 §:n, luettuna yhdessä 99 §:n 1 momentin kanssa, kaltaiselle kansalliselle lainsäädännölle, joka mahdollistaa sen, että matkapuhelinta tutkitaan digitaalisesti, ilman että tästä ilmoitetaan rekisteröidylle etukäteen tai ainakin toimenpiteiden toteuttamisen jälkeen?”
III Asian käsittelyn vaiheet unionin tuomioistuimessa
29. Ennakkoratkaisupyyntö kirjattiin saapuneeksi unionin tuomioistuimeen 6.9.2021.
30. Unionin tuomioistuin pyysi 20.10.2021 ennakkoratkaisua pyytänyttä tuomioistuinta ilmoittamaan, voiko direktiivi 2016/680 olla asian kannalta merkityksellinen.
31. Ennakkoratkaisua pyytänyt tuomioistuin vastasi 11.11.2021, että direktiiviä 2016/680 on sovellettava pääasiassa.
32. Kirjallisia huomautuksia esittivät Alankomaiden, Irlannin, Itävallan, Kyproksen, Norjan, Puolan, Ranskan, Ruotsin, Saksan Tanskan, Unkarin ja Viron hallitukset sekä Euroopan komissio.
33. Istunnossa, joka pidettiin 16.1.2023, olivat Puolan, Saksan ja Unkarin hallituksia lukuun ottamatta edustettuina kirjallisia huomautuksia esittäneet osapuolet sekä lisäksi Suomen hallitus. Unionin tuomioistuin kehotti niitä kaikkia keskittymään lausumissaan direktiiviin 2016/680 ja vastaamaan suullisesti tiettyihin tätä direktiiviä koskeviin kysymyksiin.
IV Asian tarkastelu
A Tutkimatta jättäminen
34. Ennakkoratkaisua pyytänyt tuomioistuin muotoili alun perin kysymyksensä siten, että ne koskivat ainoastaan direktiivin 2002/58 tulkintaa. Käytännössä kaikki asian käsittelyyn osallistuneet ovat kuitenkin yhtä mieltä siitä, että tätä direktiiviä ei sovelleta tässä asiassa ja että sen tulkinta ei siten ole asian ratkaisemisen kannalta tarpeen.
35. Direktiivin 2002/58 3 artiklan mukaan tätä direktiiviä sovelletaan ”henkilötietojen käsittelyyn, joka liittyy yleisesti saatavilla olevien sähköisten viestintäpalvelujen tarjoamiseen yleisissä viestintäverkoissa [unionissa], mukaan luettuina tiedonkeruu- ja tunnistuslaitteita tukevat yleiset viestintäverkot”.
36. Unionin tuomioistuin on todennut, että ”kun jäsenvaltiot panevat – – suoraan täytäntöön sähköisen viestinnän luottamuksellisuudesta poikkeavia toimenpiteitä asettamatta tällaisen viestinnän palveluntarjoajille käsittelyä koskevia velvollisuuksia, asianomaisten henkilöiden tietosuojaan ei sovelleta direktiiviä 2002/58 vaan ainoastaan kansallista oikeutta, jollei [direktiivin 2016/680] soveltamisesta muuta johdu”.(7)
37. Nyt käsiteltävässä asiassa poliisiviranomaiset yrittivät saada suoraan pääsyn tietoihin rikostutkinnan yhteydessä. Se tapahtui ilman sähköisten viestintäpalvelujen tarjoajien, joilta ei pyydetty henkilötietojen luovuttamista, myötävaikutusta. Direktiivi 2002/58 ei näin ollen tule sovellettavaksi.
38. Tähän tilanteeseen sovellettava unionin oikeuden säädös on direktiivi 2016/680, jota sovelletaan sen 2 artiklan 1 kohdan nojalla toimivaltaisten viranomaisten ”rikosten – – tutkimista – – varten” suorittamaan henkilötietojen käsittelyyn.
39. Edellä esitetty riittäisi perusteeksi jättää ennakkoratkaisupyyntö, sellaisena kuin kansallinen tuomioistuin on sen muotoillut, tutkimatta, sillä unionin oikeussääntö, jonka tulkintaa se on pyytänyt, ei ole sovellettavissa tässä asiassa.
40. On kuitenkin selvää, että unionin tuomioistuin voi SEUT 267 artiklan perusteella muotoilla sille esitetyt ennakkoratkaisukysymykset uudelleen tai ilmoittaa muista mahdollisesti merkityksellisistä unionin oikeussäännöistä antaakseen kansalliselle tuomioistuimelle hyödyllisen vastauksen.(8)
41. Unionin tuomioistuin pyysi ennakkoratkaisua pyytänyttä tuomioistuinta ottamaan kantaa direktiivin 2016/680 mahdolliseen vaikutukseen. Unionin tuomioistuin antoi siten sille mahdollisuuden täydentää kysymyksiään tai muotoilla ne uudelleen. Sen sijaan, että ennakkoratkaisua pyytänyt tuomioistuin olisi tehnyt niin, se tyytyi toteamaan, että ”direktiivin 2016/680 säännökset on käsiteltävässä asiassa joka tapauksessa otettava huomioon”, yksilöimättä kuitenkaan tämän direktiivin säännöksiä, joita se pitää epäselvinä, tai esittämättä muita aineellisia perusteluja.(9)
42. Unionin tuomioistuin on toistuvasti todennut, että ”kuten työjärjestyksen 94 artiklan c alakohdassa todetaan, on – – välttämätöntä, että ennakkoratkaisupyynnön esittämistä koskevaan päätökseen sisältyy selostus niistä syistä, joiden vuoksi ennakkoratkaisua pyytävä tuomioistuin on ryhtynyt tarkastelemaan kysymystä unionin oikeuden tiettyjen säännösten tulkinnasta tai pätevyydestä, sekä ennakkoratkaisua pyytävän tuomioistuimen toteama yhteys kyseisten säännösten ja pääasian oikeudenkäynnissä sovellettavien kansallisen oikeuden säännösten välillä”.(10)
43. Edellä esitetyn perusteella on siten selvää, että tässä ennakkoratkaisupyynnössä ei ole noudatettu työjärjestyksen 94 artiklassa asetettuja vaatimuksia. Vaikka unionin tuomioistuin osoittaa tässä suhteessa tiettyä joustavuutta, yhteistyön ennakkoratkaisua pyytäneen tuomioistuimen kanssa on oltava vastavuoroista: jos se perusteettomasti jättää tekemättä yhteistyötä selventääkseen, miksi se pitää mielestään sovellettavaksi tulevan unionin oikeuden (tässä tapauksessa direktiivin 2016/680) tulkintaa epäselvänä, mielestäni on loogista jättää ennakkoratkaisupyyntö tutkimatta.(11)
44. Edellä esitetyn lisäksi kyseinen tuomioistuin
– ei ole täsmentänyt poliisiviranomaisten aikoman käsittelyn tai konkreettisesti etsimien henkilötietojen luonnetta; se ilmoittaa ensin, että kyse oli ainoastaan yhteystiedoista (eli liikenne- ja paikkatiedoista), mutta sen jälkeen se ei sulje pois sitä, että puhelimen lukituksen avaamisella pyrittiin saamaan pääsy ”kaikkiin matkapuhelimessa säilytettäviin digitaalisiin tietoihin”(12) ja myös sen välityksellä vaihdettujen sähköpostiviestien ja sähköisen viestinnän sisältöön(13)
– vetoaa sekä puhelimen takavarikointiin ja siihen sisältyviin tietoihin pääsyyn tai sen yritykseen että sen myöhempään ”käyttöön” (Auswertung) eli sen tutkimiseen ja lukemiseen; sen mukaan tämä viimeksi mainittu ”merkitsee kattavaa ja valvomatonta tiedonsaantia rekisteröidyn koko digitaalisesta viestinnästä”, minkä avulla voidaan ”muodostaa hyvin yksityiskohtainen ja seikkaperäinen kuva lähes kaikista yksityiselämän osa-alueista”.
45. Näissä olosuhteissa unionin tuomioistuin ei ainoastaan muotoilisi uudelleen ennakkoratkaisua pyytäneen tuomioistuimen kysymyksiä vaan todellisuudessa laatisi uuden ennakkoratkaisupyynnön, joka lisäksi perustuisi osittain hypoteettisiin arvioihin toteen näytettyjen tosiseikkojen sijaan. Näin on siis siitä huolimatta, että unionin tuomioistuin on antanut ennakkoratkaisua pyytäneelle tuomioistuimelle mahdollisuuden täydentää kysymyksiään tai muotoilla ne itse uudelleen.
46. Ehdotan näin ollen, että ennakkoratkaisupyyntö jätetään tutkimatta, kuten useat asian käsittelyyn osallistuneista valtioista ovat esittäneet.
47. Istunnossa tuotiin esille, että ennakkoratkaisua pyytäneessä tuomioistuimessa ei ole vireillä todellista oikeusriitaa, joka edellyttäisi unionin oikeussääntöjen tulkintaa, minkä pitäisi johtaa tähän samaan tutkimatta jättämistä koskevaan toteamukseen.
48. Itävallan hallitus (jonka alaisuudessa tutkintaan osallistuneet poliisiviranomaiset toimivat) myöntää, että kyseisten viranomaisten toiminta oli lainvastaista ja loukkasi asianomaisen henkilön oikeuksia. Koska ennakkoratkaisupyynnön mukaan valittajan hallintotuomioistuimessa esittämä vaatimus kohdistui aivan oikein poliisin toimenpiteisiin, joita vastapuolena oleva viranomainen pitää lainvastaisina, ennakkoratkaisua pyytäneen tuomioistuimen ratkaistavaksi saatettu oikeusriita on lakannut olemasta.
49. Siltä varalta, että unionin tuomioistuin ei yhtyisi näkemykseeni, käsittelen seuraavaksi joka tapauksessa toissijaisesti ennakkoratkaisukysymysten taustalla olevia aineellisia kysymyksiä.
50. Sitä ennen on kuitenkin mielestäni tarpeen sulkea pois muut tutkimatta jättämisen edellytykset, joihin jotkin asian käsittelyyn osallistuneet ovat vedonneet.(14) Ne katsovat, että koska direktiivillä 2016/680 suojellaan luonnollisia henkilöitä heidän tietojensa käsittelyssä, se ei koske nyt esillä olevan kaltaisia tilanteita, joissa ei ole tapahtunut tietojen käsittelyä vaan pelkkä yritys saada pääsy tietoihin, joita ei ole lopulta voitu saada.
51. Komissio katsoo sitä vastoin, että direktiivin 2016/680 tehokkaan vaikutuksen vuoksi sen kohdetta pitäisi tulkita ensisijaisesti siten, ettei se koske ainoastaan tietojen käsittelyä suppeassa merkityksessä vaan käsittää myös siihen suoraan liittyvät kysymykset. Yksi näistä kysymyksistä koskee yritystä saada pääsy tietoihin, joita halutaan käsitellä.(15)
52. Mielestäni voidaan direktiivin 2016/680 soveltamisalaa venyttämättä(16) katsoa, että sen soveltaminen tässä tilanteessa ei ole perusteltua matkapuhelimen takavarikoimisen vuoksi(17) vaan sen vuoksi, että poliisiviranomaiset ovat sen jälkeen ryhtyneet toimiin saadakseen puhelimesta rekisteröidyn tiettyjä henkilötietoja ja yrittäneet tässä tarkoituksessa avata sen lukituksen ja saada pääsyn sen sisältöön.
53. Toimintoihin, jotka määritellään direktiivin 2016/680 3 artiklan 2 alakohdassa ”käsittelyksi”, kuuluu henkilötietojen ”asettaminen muutoin saataville” rikostutkinnassa. Mielestäni silloin, jos poliisiviranomainen takavarikoi puhelimen, jossa säilytetään näitä tietoja, ja käsittelee puhelinta saadakseen siitä kyseiset tiedot, se aloittaa ”käsittelytoimen”, vaikka se epäonnistuisi salauksen turvallisuuteen liittyvistä teknisistä syistä.
54. Rikostutkinnassa epäonnistunut yritys saada pääsy matkapuhelimessa säilytettyihin henkilötietoihin kuuluu direktiivin 2016/680 soveltamisalaan vastaavista syistä kuin unionin tuomioistuin totesi direktiiviä 2002/58 sovellettavan (niin ikään epäonnistuneeseen) yritykseen saada tuomioistuimelta lupa saada tiettyjä epäillyn tietoja, jotka olivat sähköisten viestintäpalvelujen tarjoajan hallussa.(18)
55. Jos ennakkoratkaisua pyytänyt tuomioistuin lausuisi tässä yhteydessä poliisin toiminnan lainvastaisuudesta (minkä Itävallan hallitus on edellä esitetyn mukaisesti todennut), sen arviointi voisi riippua sen tarkoituksen laillisuudesta, jota toiminnalla pyritään toteuttamaan, sekä toimenpiteen onnistuessa että silloin, jos se ainoastaan aloitetaan tuloksetta.
B Aineellinen arviointi
1. Ensimmäinen ennakkoratkaisukysymys
56. Ennakkoratkaisua pyytänyt tuomioistuin haluaa tietää, onko direktiivin 2002/58 15 artiklan 1 kohtaa (mahdollisesti luettuna yhdessä 5 artiklan kanssa) tulkittava perusoikeuskirjan 7 ja 8 artiklan valossa siten, että ”viranomaisten mahdollisuus saada matkapuhelimessa säilytettäviä tietoja merkitsee kyseisissä perusoikeuskirjan artikloissa taattuihin perusoikeuksiin puuttumista, joka on niin vakava, että tämä tiedonsaanti on rajoitettava rikosten torjunnan, tutkinnan, selvittämisen ja syyteharkinnan alalla vakavan rikollisuuden torjuntaan”.
57. Koska direktiivi 2002/58 ei ole sovellettavissa, siinä tapauksessa, että ennakkoratkaisupyyntö otetaan tutkittavaksi, ensimmäinen kysymys pitäisi muotoilla uudelleen siten, että unionin tuomioistuimen vastauksessa tulkitaan direktiiviä 2016/680.
58. Tässä vastauksessa pitäisi ensin selventää, voidaanko kyseessä olevan kaltaisessa tapauksessa puhua oikeuksiin puuttumisesta, ja sen jälkeen, jos kyse on tällaisesta, ratkaista, edellytetäänkö direktiivissä 2016/680 tiedonsaannin rajaamista vakavan rikollisuuden torjuntaa koskeviin tilanteisiin.
59. Tietojenkäsittelytoimet voivat jo määritelmänkin mukaan vaarantaa oikeuden yksityiselämän kunnioittamiseen (perusoikeuskirjan 7 artikla) ja henkilötietojen suojaan (perusoikeuskirjan 8 artikla). Viranomaisten on näin ollen täytettävä perusoikeuskirjan 52 artiklan 1 kohdassa määrätyt edellytykset, jotta niiden puuttuminen näiden perusoikeuksien käyttämiseen voidaan oikeuttaa.
60. Puuttuminen perusoikeuskirjan 7 ja 8 artiklassa suojattuihin oikeuksiin on vielä huomattavampaa, kun tällä puuttumisella a) pyritään saamaan arkaluonteisia tietoja, jotka yleensä tallennetaan matkapuhelimille ja jotka voivat paljastaa niiden haltijoiden elämästä sellaisia puolia, jotka eivät saa tulla ulkopuolisten tietoon, ja b) mahdollistetaan pääsy viestinnän sisältöön.
61. Yleiseltä kannalta direktiiviä 2016/680 ei ole sen sisältö huomioon ottaen tulkittava siten, että siinä tarkoitettu tietojen käsittely olisi rajattava pelkästään vakavan rikollisuuden torjuntaa koskeviin tilanteisiin.
62. Direktiivi 2016/680 koskee toimivaltaisten viranomaisten kaikentyyppisten rikosten ennalta estämistä, tutkimista, paljastamista tai rikoksiin liittyviä syytetoimia varten suorittamia henkilötietojen käsittelytoimia.(19)
63. Direktiivissä 2016/680 vahvistetuista periaatteista, jotka koskevat henkilötietojen käsittelyä kyseistä tarkoitusta varten (4 artikla), tai käsittelyn lainmukaisuuden edellytyksistä (8 artikla) ei ilmene, että pääsääntöisesti tietojen käsittely olisi toteutettavissa vain vakavan rikollisuuden tilanteessa.
64. Yksinomaan vakavan rikollisuuden torjuntaa koskevia tilanteita koskeva rajoitus ei voi myöskään perustua siihen, että direktiiviä 2002/58 koskeva unionin tuomioistuimen oikeuskäytäntö(20) ulotettaisiin sellaisenaan koskemaan nyt kyseessä olevan kaltaisia tilanteita.
65. Näin ei voi nähdäkseni olla, koska tässä oikeuskäytännössä viitataan tilanteeseen, jossa sähköisten viestintäpalvelujen tarjoajat systemaattisesti säilyttävät yleisen ja määrittelemättömän henkilöryhmän henkilötietoja yleisesti ja erotuksetta, sanotun kuitenkaan rajoittamatta sitä, mitä esitän jäljempänä. Tämänkaltaisen säilyttämisen edellyttämän puuttumisen laajamittaisuus koko yhteiskunnan kannalta selittää sen, että unionin tuomioistuin on ollut erityisen tarkka sitä kieltäessään ja poikkeuksia tähän kieltoon hyväksyessään.
66. Tästä ei ole kyse, jos haluttu tiedonsaanti ei vaikuta koko väestöön tai suuriin väestöryhmiin (eli yleisen ja määrittelemättömän henkilöryhmän henkilötietoihin) vaan koskee yksittäiselle matkapuhelimelle tallennettuja tietoja niin ikään yksittäisessä rikostutkinnassa, johon direktiiviä 2016/680 nimenomaisesti sovelletaan.
67. Direktiivi 2016/680 koskee nimenomaan toimivaltaisten viranomaisten suorittamaa tietojen käsittelyä rikosten ennalta estämistä, tutkimista, paljastamista tai rikoksiin liittyviä syytetoimia varten. Se koskee kaikenlaisia rikoksia eikä yksinomaan vakavia rikoksia.
68. Kuten jotkin ennakkoratkaisumenettelyyn osallistuneista ovat korostaneet, koska direktiivissä 2016/680 ei ole mitään mainintaa rikosten vakavuudesta, sitä ei myöskään voitaisi soveltaa yhdenmukaisesti jäsenvaltioissa, sillä kussakin kansallisessa oikeudessa on arvioitu huomattavan eri tavalla se, kuinka vakavana rangaistavaksi säädettyä menettelyä pidetään.(21)
69. Direktiivissä 2016/680 ei siis aseteta lainmukaisuuden edellytykseksi sitä, että siinä säännelty henkilötietojen käsittely olisi mahdollista ainoastaan vakavan rikollisuuden torjumiseksi.
70. Edellä esitetty ei estä sitä, että tietojen käsittelyä, jonka viranomaiset haluavat suorittaa direktiivin 2016/680 perusteella, on suhteellisuusperiaatteen mukaisesti ja tapauskohtaisesti mukautettava a) menettelyn kohteena olevien rikosten luonteen mukaan ja b) tämän käsittelyn kohteena olevien henkilötietojen laadun mukaan.
71. Yhdyn vastaavasti joihinkin Saksan hallituksen väitteisiin, jotka koskevat takavarikoitujen puhelimien tietojen saannin rajoittamista, kun puhelimen digitaalisen sisällön perusteella voidaan luoda sen haltijan täydellinen henkilöprofiili. Saksan hallituksen mukaan tämä tiedonsaanti pitäisi rajoittaa tietoihin, joita tarvitaan todisteena konkreettisessa tilanteessa, eikä se välttämättä ole perusteltua esimerkiksi silloin, jos ”tutkinnan kohteena oleva rikos on vähäinen tai haluttujen tietojen näyttöarvo heikko”.(22)
72. Abstraktisti tarkasteltuna direktiivi 2016/680 ei siis merkitse sitä, että tiedonsaanti matkapuhelimelle tallennetuista henkilötiedoista sellaiseen menettelyyn kohdistuvan tutkinnan helpottamiseksi, jota voidaan pitää yleisenä tai tavanomaisena rikollisuutena, olisi systemaattisesti lainvastaista. Jos konkreettisessa tapauksessa näihin tietoihin saadaan pääsy, kyseessä on tilanne, jota asianomaisen viranomaisen on arvioitava kussakin tapauksessa ottaen huomioon tarpeellisuus ja suhteellisuusperiaate edellä tarkoittamallani tavalla.
73. Tämä voidaan mielestäni päätellä seuraavista direktiivin 2016/680 säännöksistä, joissa asetetaan edellytykset henkilötietojen käsittelyn laillisuudelle rikollisuuden torjunnassa:
– 4 artiklan 1 kohdan a alakohdasta, jossa edellytetään, että tietoja ”käsitellään lainmukaisesti”
– 8 artiklan 1 kohdasta, jonka mukaan käsittelyn on oltava tarpeen ja perustuttava unionin oikeuteen tai jäsenvaltion lainsäädäntöön.
2. Toinen ennakkoratkaisukysymys
74. Ennakkoratkaisua pyytänyt tuomioistuin haluaa toisella ennakkoratkaisukysymyksellään tietää, onko direktiivin 2002/58 15 artiklan 1 kohta perusoikeuskirjan 7, 8 ja 11 artiklan sekä 52 artiklan 1 kohdan valossa ”esteenä [StPO:n] 18 §:n, luettuna yhdessä 99 §:n 1 momentin kanssa, kaltaiselle kansalliselle lainsäädännölle, jonka nojalla turvallisuusviranomaisilla on esitutkinnan yhteydessä ilman tuomioistuimen tai riippumattoman hallintoviranomaisen lupaa kattava ja valvomaton oikeus päästä kaikkiin matkapuhelimessa säilytettäviin digitaalisiin tietoihin”.
75. Kysymyksen sanamuoto ei ole täysi selvä. Ennakkoratkaisua pyytänyt tuomioistuin
– myöntää, että StPO:n 110 §:n 2 momentin mukaan takavarikko edellyttää lähtökohtaisesti syyttäjäviranomaisen lupaa; poliisiviranomainen voi takavarikoida omaisuutta ilman tällaista lupaa ainoastaan saman pykälän 3 momentissa säädetyissä poikkeustilanteissa (joista ei näytä olevan kyse tässä tapauksessa)
– lisää kuitenkin, että oikeudesta käsitellä matkapuhelimille tallennettuja tietoja ”ei ole säädetty yksiselitteisesti [StPO:ssa]” ja että turvallisuusviranomaiset voisivat saada nämä tiedot omasta aloitteestaan ilman etukäteen saatua lupaa.
76. Itävallan hallitus esittää kansallisesta lainsäädännöstä version, joka ei vastaa ennakkoratkaisupyynnön esittämistä koskevassa päätöksessä esitettyä versiota. Se väittää erityisesti, että kansallisen oikeuden mukaan sekä puhelimen takavarikointi (kiireellisiä tilanteita lukuun ottamatta) että puhelimelle tallennettujen tietojen käsittely ovat mahdollisia vain syyttäjäviranomaisen luvalla.(23) Ilman syyttäjäviranomaisen määräystä tässä puhelimessa säilytettävien tietojen hyväksikäyttö poliisin työssä on lainvastaista.
77. Ennakkoratkaisua pyytäneen tuomioistuimen on tarkistettava kansallisen lainsäädännön sanamuoto. SEUT 267 artiklassa määrätyssä menettelyssä unionin tuomioistuimella ei ole toimivaltaa tulkita kansallista oikeutta, ja yksinomaan ennakkoratkaisua pyytäneen tuomioistuimen asiana on selvittää kansallisten lakien, asetusten ja hallinnollisten määräysten täsmällinen ulottuvuus.(24)
78. Haluamatta osallistua Itävallan oikeuden tulkintaa koskevaan kiistaan totean, että pelkästään ennakkoratkaisua pyytäneen tuomioistuimen yksilöimien säännösten (StPO:n 18 § luettuna yhdessä sen 99 §:n 1 momentin kanssa) perusteella on vaikeaa päätyä sen tekemään johtopäätökseen. Toistan kuitenkin, että tämä on kysymys, jonka ainoastaan kyseinen tuomioistuin voi ratkaista.
79. Joka tapauksessa ennakkoratkaisua pyytänyt tuomioistuin katsoo, että sen käsiteltävässä asiassa kyseessä olevaan tilanteeseen voitaisiin soveltaa tuomion Prokuratuur(25) mukaista oikeuskäytäntöä, joka koskee säilytettyjen tietojen saantia koskevaa tuomioistuimen tai riippumattoman viranomaisen etukäteisvalvontaa.
80. Alankomaiden hallitus katsoo sitä vastoin, että tämä oikeuskäytäntö on ymmärrettävä sellaisen kansallisen lainsäädännön asiayhteydessä, jonka mukaan toimivaltaisilla viranomaisilla on kaikkien säilytettyjen liikenne- ja paikkatietojen saamista koskeva yleinen oikeus. Tämä selittää sen mukaan tuomioistuimen etukäteen antamaa lupaa koskevan vaatimuksen, joka ei välttämättä olisi perusteltavissa tapauksessa, jossa on kyse oikeudesta saada pääsy yksittäisen matkapuhelimen tietoihin.
81. Vastaavasti Norjan hallitus väittää, että direktiivissä 2016/680 säädettyjen lukuisten takeiden(26) joukossa ei ole nimenomaisesti mainittu tarvetta saada tuomioistuimen tai riippumattoman viranomaisen etukäteen antama lupa.
82. Komissio lähtee siitä, että direktiivin 2016/680 säännöksiä on tulkittava perusoikeuskirjan valossa, ja väittää, että jäsenvaltioille tämän direktiivin 8 artiklan 1 kohdassa (käsittelyn lainmukaisuuden edellytykset) asetettu velvollisuus käsittää tarpeen kunnioittaa perusoikeuskirjan 7 ja 8 artiklassa taattuja perusoikeuksia.
83. Olen yhtä mieltä komission kanssa siitä, että kansallisten lainsäätäjien on näitä perusoikeuskirjan määräyksiä noudattaen annettava tarvittavat säännökset, jotta voidaan taata, että oikeus saada pääsy tietoihin on kussakin tapauksessa perusteltu ja rajoittuu siihen, mikä on ehdottoman välttämätöntä ja oikeasuhteista.
84. Tällaisten kansallisten säännösten ei kuitenkaan tarvitse koskea nimenomaan pääsyä henkilötietoihin, jotka sisältyvät – kuten tässä tapauksessa – matkapuhelimeen, vaan ne voivat olla kansallisen oikeuden säännöksiä, jotka koskevat yleisesti todisteiden hankkimista.
85. Tältä osin olen jo lainannut tuomion La Quadrature du Net 103 kohtaa, jossa on kyse jäsenvaltioiden toimenpiteistä, jotka vaikuttavat sähköisen viestinnän luottamuksellisuuteen asettamatta tällaisen viestinnän palveluntarjoajille käsittelyä koskevia velvollisuuksia.(27)
86. Tarvitsematta näin ollen johtaa direktiivistä 2016/680 erityisiä menettelysääntöjä, joilla taataan matkapuhelimelle tallennettuihin tietoihin pääsyn lainmukaisuus,(28) on sovellettava kansallisia säännöksiä, joilla säännellään etsintää ja takavarikkoa koskevien toimivaltuuksien käyttöä rikostutkinnassa.(29)
87. Tukeutuminen kansallisen oikeuden säännöksiin, jotta voidaan taata tietoihin pääsyn lainmukaisuus direktiivin 2016/680 mukaisesti, vastaa myös Euroopan ihmisoikeustuomioistuimen oikeuskäytäntöä. Juuri Itävallan tasavaltaa koskeneessa tilanteessa, jossa oli kyse Euroopan ihmisoikeussopimuksen 8 artiklasta (oikeus nauttia yksityis- ja perhe-elämään, kotiin ja kirjeenvaihtoon kohdistuvaa kunnioitusta), Euroopan ihmisoikeustuomioistuin totesi, että omaisuuden ja erityisesti asiakirjojen takavarikointia koskevaa Itävallan lainsäädäntöä sovelletaan tietovälineillä säilytettävien tietojen etsintään ja takavarikointiin.(30)
88. Jos poliisiviranomaisilla ei ole oikeutta saada pääsyä tietyssä matkapuhelimessa säilytettyihin tietoihin ilman syyttäjäviranomaisen lupaa, kuten Itävallan hallitus väittää Oberster Gerichtshofin (ylin tuomioistuin, Itävalta) oikeuskäytäntöön viitaten, toinen ennakkoratkaisukysymys menettää suurelta osin merkityksensä.
89. Vastauksessa tähän kysymykseen ei voida missään tapauksessa sulkea pois mahdollisuutta, että saamalla pääsy takavarikoidun puhelimen henkilötietoihin voidaan ”muodostaa hyvin yksityiskohtainen ja seikkaperäinen kuva lähes kaikista” rekisteröidyn henkilön ”yksityiselämän osa-alueista”.(31) Poliisiviranomaiset eivät siten voisi vapautua velvollisuudesta hankkia etukäteen lupa, johon tuomiossa Prokuratuur viitattiin.
90. Tämä toteamus näyttäisi ensi arviolta olevan ristiriidassa sen kanssa, että direktiivi 2002/58 (jota tuomiossa Prokuratuur tulkitaan) ei ole sovellettavissa tässä tapauksessa, kuten olen edellä esittänyt. Katson kuitenkin, että kyseisen tuomion tarkoitus johtaa samaan ratkaisuun.
91. Vaikka tuomion Prokuratuur taustalla olleessa asiassa tiedonsaanti tapahtui saamalla tietoja (metadataa) sähköisten viestintäpalvelujen tarjoajilta, siinä oli kyse, kuten tässä tapauksessa, tiettyyn henkilöön kohdistuvasta yksittäisestä rikostutkinnasta. Kyse oli asianomaisen henkilön ”useisiin – – puhelinnumeroihin ja – – eri kansainvälisiin matkaviestimen laitetunnuksiin liittyvien tietojen” saamisesta.(32)
92. Tuomiossa Prokuratuur voidaan mielestäni erottaa seuraavat kaksi tasoa: a) taso, jolla asetetaan kyseenalaiseksi jäsenvaltion yleinen säännöstö, joka koskee tietojen säilyttämistä yleisesti ja erotuksetta ja oikeutta saada palveluntarjoajien hallussa olevia tietoja, ja b) taso, joka koskee metadatan saantiin kohdistuvaa etukäteisvalvontaa yksittäisessä tapauksessa, kun tämän tiedonsaannin avulla voidaan luoda tarkka profiili henkilön yksityiselämästä.
93. Se, että nyt käsiteltävässä asiassa yksityiselämään liittyviä seikkoja paljastavat tiedot eivät ole palveluntarjoajien hallussa ja saadaan (tai yritetään saada) yksittäiseltä takavarikoidulta puhelimelta, on nähdäkseni toisarvoista, kun otetaan huomioon tuomiossa Prokuratuur tarkoitettua etukäteisvalvontaa koskevan vaatimuksen tarkoitus.
94. Tämä etukäteisvalvonta perustuu viime kädessä perusoikeuskirjan 7 ja 8 artiklassa taattuun suojaan. Sitä suorittavan viranomaisen täytyy ”pystyä turvaamaan oikeudenmukainen tasapaino yhtäältä rikollisuuden torjumiseksi tehtävän tutkinnan tarpeisiin liittyvien intressien ja toisaalta henkilöiden, joita tietojensaanti koskee, yksityiselämän kunnioittamista ja henkilötietojen suojelua koskevien perusoikeuksien välillä”.(33)
3. Kolmas ennakkoratkaisukysymys
95. Kolmannella ennakkoratkaisukysymyksellään ennakkoratkaisua pyytänyt tuomioistuin haluaa tietää, onko perusoikeuskirjan 47 artikla (luettuna mahdollisesti yhdessä 41 ja 52 artiklan kanssa) esteenä Itävallan lainsäädännön(34) kaltaiselle lainsäädännölle, joka ”mahdollistaa sen, että matkapuhelinta tutkitaan digitaalisesti, ilman että tästä ilmoitetaan rekisteröidylle etukäteen tai ainakin toimenpiteiden toteuttamisen jälkeen”.
96. Mielestäni tähän sanamuotoon laadittu kysymys voi osoittautua asian ratkaisun kannalta tarpeettomaksi, koska rekisteröity voi käyttää perusoikeuskirjan 47 artiklassa vahvistettua oikeutta ja vaatia ennakkoratkaisua pyytänyttä tuomioistuinta toteamaan pätemättömäksi matkapuhelimen takavarikointia koskevan poliisin toimenpiteen, joka käsitti siinä säilytettyjen tietojen myöhemmän (ja tuloksettoman) käytön.
97. Näissä kahdessa poliisin toiminnan vaiheessa on erotettava seuraavat seikat:
– siltä osin kuin kyse on puhelimen takavarikoinnista sinänsä, ennakkoratkaisupyynnön esittämistä koskevasta päätöksestä ilmenevien tietojen mukaan rekisteröity oli siitä tietoinen ja kieltäytyi antamasta poliiseille pääsykoodia näiden ottaessa puhelimen haltuunsa
– siltä osin kuin kyse on yrityksestä tutkia tietoja, kaikki viittaa siihen, että rekisterinpitäjä ei ilmoittanut rekisteröidylle tästä toimenpiteestä, vaikka Itävallan hallituksen mukaan rekisteröity oli tutustunut kertomukseen, jossa todettiin rikospoliisin puhelimeen kohdistama toiminta.(35)
98. Näin ollen tietojen käyttöön ja siihen, oliko rekisteröity siitä tietoinen, liittyy edelleen epäselvyyksiä, jotka, kuten olen jo todennut, ennakkoratkaisua pyytäneen tuomioistuimen olisi pitänyt selvittää ennakkoratkaisupyynnössä ja jotka estävät antamasta kolmanteen ennakkoratkaisukysymykseen hyödyllistä vastausta.
99. Otan tähän kysymykseen kantaa joka tapauksessa siltä varalta, että unionin tuomioistuin ei jätä sitä tutkimatta. Koska direktiivi 2002/58 ei ole sovellettavissa, kysymys pitäisi siinä tapauksessa muotoilla uudelleen direktiivin 2016/680 valossa, ja siihen voidaan vastata sen 13, 15 ja 54 artiklassa säädetyn perusteella.
100. Direktiivin 2016/680 mukaan rekisteröidylle on annettava hänen tietojensa käsittelyä koskevat tiedot, jotka ovat tarpeen, jotta tämä voi muun muassa a) tehdä valituksen valvontaviranomaiselle (13 artiklan 1 kohdan d alakohta) ja b) saada asiansa käsitellyksi tuomioistuimissa, jos hänen direktiivissä 2016/680 taattuja oikeuksiaan on loukattu, sanotun kuitenkaan rajoittamatta käytettävissä olevien hallinnollisten muutoksenhakukeinojen tai muiden kuin oikeudellisten oikeussuojakeinojen käyttöä (54 artikla).
101. On kuitenkin syytä muistaa, että sekä direktiivin 2016/680 13 artiklan 3 kohdan että sen 15 artiklan 1 kohdan mukaan jäsenvaltiot voivat hyväksyä lainsäädäntötoimenpiteitä, joilla
– viivytetään, rajoitetaan tai jätetään kokonaan tekemättä 13 artiklan 2 kohdan mukainen rekisteröidylle ilmoittaminen
– rajoitetaan kokonaan tai osittain rekisteröidyn oikeutta saada pääsy käsiteltäviin tietoihin siltä osin ja niin pitkäksi aikaa kuin rajoittaminen on välttämätön ja oikeasuhteinen toimenpide, jotta muun muassa vältetään virallisten tai laillisten tutkimusten tai menettelyjen estäminen tai vältetään tuottamasta haittaa rikosten tutkimiselle.(36)
102. Tietojen käsittelyn lainmukaisuus ei kuitenkaan riipu siitä, noudattavatko toimivaltaiset viranomaiset direktiivin 2016/680 13 artiklan mukaisia (myöhempiä) velvoitteitaan, vaan sen tavoitteen lainmukaisuudesta, jolla käsittelyä on perusteltu, toisin sanoen siitä, onko näillä hallintoviranomaisilla oikeus käsitellä henkilötietoja.
103. Tältä kannalta katsottuna se, onko rekisteröidylle ilmoitettu yrityksestä saada pääsy tältä takavarikoidulle puhelimelle tallennettuihin tietoihin, ei itsessään liity siihen, onko poliisin toiminta lainmukaista aineellisilla perusteilla. Rekisterinpitäjän toiminnalla, joka on mahdollisesti ristiriidassa direktiivin 2016/680 13 artiklassa tälle asetettujen velvoitteiden kanssa, voi olla muita seurauksia, mutta toistettakoon vielä, että ne eivät itsessään vaikuta tämän käsittelyn lainmukaisuuteen tai lainvastaisuuteen.
104. Ennakkoratkaisua pyytäneen tuomioistuimen on ratkaistava, voiko asianomainen henkilö käyttää tehokkaasti näitä oikeuksia kansallisen säännöstön perusteella.
V Ratkaisuehdotus
105. Edellä esitetyn perusteella ehdotan, että unionin tuomioistuin jättää Landesverwaltungsgericht Tirolin ennakkoratkaisupyynnön tutkimatta.
Toissijaisesti ehdotan, että tähän ennakkoratkaisupyyntöön vastataan seuraavasti:
1) Luonnollisten henkilöiden suojelusta toimivaltaisten viranomaisten suorittamassa henkilötietojen käsittelyssä rikosten ennalta estämistä, tutkimista, paljastamista tai rikoksiin liittyviä syytetoimia tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten sekä näiden tietojen vapaasta liikkuvuudesta ja neuvoston puitepäätöksen 2008/977/YOS kumoamisesta 27.4.2016 annetun Euroopan parlamentin ja neuvoston direktiivin (EU) 2016/680 4 artiklan 1 kohdan a alakohtaa ja 8 artiklan 1 kohtaa, luettuina yhdessä Euroopan unionin perusoikeuskirjan 7, 8 ja 52 artiklan kanssa,
on tulkittava siten, että
viranomaisten oikeus saada rikostutkinnassa matkapuhelimessa säilytettäviä henkilötietoja niiden käsittelyä varten ei rajoitu vakavan rikollisuuden torjuntaa koskeviin tilanteisiin.
Tämän tiedonsaannin on oltava kussakin tapauksessa perusteltu ja rajoituttava siihen, mikä on ehdottoman välttämätöntä ja oikeasuhteista menettelyn kohteena olevien rikosten ja haluttujen henkilötietojen luonteen mukaan.
Poliisiviranomaiset eivät voi saada rikostutkinnan yhteydessä ilman tuomioistuimen etukäteen antamaa lupaa kattavaa ja valvomatonta oikeutta päästä kaikkiin matkapuhelimessa säilytettäviin tietoihin, jos niiden perusteella voidaan muodostaa tarkka kuva henkilön yksityiselämästä.
2) Direktiivin 2016/680 13, 15 ja 54 artiklaa, luettuina yhdessä perusoikeuskirjan 47 ja 52 artiklan kanssa,
on tulkittava siten, että
matkapuhelimen haltijalle on ilmoitettava asianomaisten viranomaisten suorittamasta matkapuhelimessa säilytettävien henkilötietojen käsittelystä siinä vaiheessa ja siltä osin kuin hänen tehokasta oikeussuojakeinoa koskevan oikeutensa takaamiseksi on tarpeen tilanteessa, jossa direktiivissä 2016/680 tunnustettuja oikeuksia on mahdollisesti loukattu, sanotun kuitenkaan rajoittamatta direktiivin 2016/680 15 artiklan 1 kohdassa sallittujen rajoitusten tai muiden käytettävissä olevien hallinnollisten muutoksenhakukeinojen tai muiden kuin oikeudellisten oikeussuojakeinojen käyttöä.